网络环境下的政府信息安全
2011-02-19杜建亮
杜建亮
(中共山西省委党校,山西太原030006)
网络环境下的政府信息安全
杜建亮
(中共山西省委党校,山西太原030006)
政府信息安全是国家安全的重要组成部分。由于政府信息安全的法律、法规不健全,信息安全管理政出多门,加之自主研发技术落后等,使得政府信息安全面临诸多威胁,如信息泄露、拒绝访问、授权侵犯、恶意暗链等,为此,网络环境下政府信息安全一般应按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,从外部环境、技术设备、法律法规、人事管理等几个层面保护入手,最终使信息资源在政府的管理活动中发挥应有的作用。
网络环境;政府信息安全;信息资源
随着我国国民经济和社会信息化进程的全面加快,信息技术也得到了广泛应用,网络与信息系统的基础性、全局性作用进一步凸显,已成为国家的关键基础设施。信息安全已经不单是一个技术问题、一个业务工作问题,也不仅仅是信息化本身的问题,而是一个上升为事关国家经济安全、社会稳定的全局性战略问题,是国家安全的重要组成部分。因此,我们必须从促进经济发展、维护社会稳定、保障国家安全、加强精神文明建设的高度,充分认识加强信息安全保障工作的极端重要性,增强做好这项工作的紧迫感、责任感和自觉性。
一、政府信息安全存在隐患
随着电子政务的长足发展,网络使用不当造成的失泄密事件时有发生,信息安全问题日益凸显出来。虽然各级政府部门愈来愈重视网络信息的保护和防御,但网络信息安全状况不容乐观。
(一)政府信息安全的法律、法规不健全
我国有《政府信息公开条例》,但就没有《政府信息安全条例》,也就是说,在政府信息安全方面,我们仍然无法可依。但和信息安全相关的倒是有很多法规,如《中华人民共和国计算机信息系统安全保护条例》、《信息安全等级保护办法》等,据相关统计,截至2008年与信息安全直接相关的法律有65部,但没有一部专门的、系统的针对信息安全的法律或法规。2010年11月8日,有报道说,我国将制定《信息安全条例》,进一步加强信息安全监管。目前,工业和信息化部已完成的《信息安全条例(报送稿)》,已报送全国人大,这是一件令人高兴的事情,实践中,政府信息安全的法律法规还有待进一步完善。
(二)信息安全管理政出多门
我国信息安全管理职能的格局已经形成,如国家公安部、国家安全局、国家保安局、国家密码管理委员会、信息产业部、总参等部门分别执行着各自的安全职能,由这些部门对我国政府信息安全“分而治之”。实践证明,这种分开管理,又保留一定的交叉的管理方式有它的合理性,这种合理性就是能保证信息安全没有“安全漏缝”。但是,我们应该清醒地认识到,这种管理方式中也存在“条块分割、各行其是、交叉管理、职责不清”的问题,这极大地影响了我国政府网络信息安全。目前,信息安全领域最大的问题之一是缺乏统一的领导、组织和协调,因而就出现了“三个和尚没水吃”的怪现象,看似齐抓共管,实属不抓不管。
(三)自主研发技术落后
长期以来,我国信息化产品或技术大多依赖进口,自主研发投入与能力都还不足,因而,造成我国具有自主知识产权的设备、技术、产品较少,如计算机芯片、骨干路由器、操作系统软件等基本上是从国外进口,且对引进技术和设备缺乏必要的技术改造。而欧美等发达国家对我国限制和封锁信息安全高密度产品,出口到我国的信息产品中存在安全隐患。如美国出口到我国的计算机系统的安全级别只有C2级,在美国国防部规定的8个安全级别之中处于倒数第3位。
(四)人们安全保护意识薄弱
在政府机关中,重设备、轻安全,重应用、轻管理的思想普遍存在,加之网络信息使用者的水平参差不齐,他们只图自己使用中的方便,而对网络安全问题认识不到位,因而难免存在泄密的隐患。病毒、网络攻击、非法入侵是影响网络信息安全的主要因素。很多政府部门建立的技术防御措施相对简单,个别单位的信息系统没有采取任何安全保护技术措施;有的单位没有建立相应的计算机网络安全保护制度,网络信息安全管理协调组织任务不明、职责不清,缺乏对潜在威胁、薄弱环节和各类风险情况的处置预案。
二、政府信息安全面临的威胁及其来源
随着互联网的发展,信息安全问题越发凸显,承载政府信息的各类政府网站开始成为黑客获取非法利益的一条捷径,事实上,部分政府网站已经成为木马、钓鱼网站攻击的重灾区。
(一)政府信息安全面临的主要威胁
第一,信息泄露。信息被有意或无意地泄露或透露给非授权的实体。第二,破坏信息的完整性。数据被非授权地进行修改或破坏而受到损失。第三,拒绝服务。合法访问信息或资源被无故阻止。第四,假冒、非授权访问。非法用户冒充合法用户,特权小的用户冒充特权大的用户以获取更多的信息,导致信息资源被非授权的人或以非授权的方式使用。第五,窃听、业务流分析。对通信线路中传输的信号和电磁泄露进行监听,通过长期监听,利用统计分析方法进行分析,从中发现有价值的信息和规律。第六,旁路控制。任何系统都不可能是完美无缺的,攻击者利用系统固有的安全缺陷获得非授权的权利或特权。第七,授权侵犯。被授权以某一目的使用某一系统或资源的某个人,却将此权限用于其他非授权的目的。第八,木马、病毒。系统中被植入一个觉察不出的有害程序,特定条件下该程序执行时,会将系统中所承载的信息主动发送给对方或者对信息进行破坏,从而造成信息失控。第九,陷阱门。在系统或某个部件中故意设置“机关”,使得在特定的数据或指令输入时,允许违反安全策略。第十,抵赖。对自己的行为故意隐瞒或不承认,这是一种来自内部用户的攻击。第十一,重放。将某次合法的通信数据进行拷贝,而重新发送。第十二,人员不慎。一个授权的人为了某种利益,或由于粗心,将信息泄露给一个非授权的人。第十三,媒体废弃。信息被从废弃的磁碟或打印过的存储介质中获得。第十四,物理侵入。侵入者绕过物理(如防火墙)控制而获得对系统的访问。第十五,窃取。重要的安全物品,如令牌或身份卡被盗。第十六,恶意暗链。在无授权状态下,通过各类攻击手段,在网站中植入无行为能力的恶意文本,然后将非法网站链接到该网站。
(二)政府信息安全威胁的主要来源
第一,自然灾害、意外事故,如地震、泥石流爆发造成机房被毁等。第二,计算机犯罪、外部泄密。这方面的危害主要来自于外部人员,且主观目的和目标明确。第三,人为错误、内部泄密,如使用不当、安全意识差等,这方面的威胁主要来自于内部。第四,“黑客”行为。网站或多或少总会存在一些漏洞,好奇的黑客有借助政府网站从事网络钓鱼活动的趋势。第五,存储失效、信息丢失。任何一种存储设备都有其寿命或不可预见的损坏,重复备份是防止此类威胁的有效手段。第六,嗅探、信息战、电子谍报。嗅探器可以窃听网络上流经的数据包,再经过信息流量分析从而达到信息窃取的目的或者使对方服务器瘫痪。第七,操作系统、网络协议的自身缺陷,如TCP/IP协议的安全问题等等。
三、政府信息安全防范策略
信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性。实践中,政府信息安全一般按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,从以下几个层面加以保护。
(一)外部环境层面的保护
环境方面的保护指的是一些基础设施的安全保护,只有基础设施安全了,设备才能安全,只有设备安全了,设备上所承载的信息才能安全。
这方面的安全保护包括房间的安全,供电系统的安全(加装净化电源、UPS、电源接地等确保系统正常供电),防静电地板的安装,机房温度、湿度的控制,机房灰尘的控制等,环境方面的保护是基础,也是基本的、起码的、必须的保护。
(二)技术、设备层面的保护
这方面包括的内容比较多,也比较杂,大多数政府单位在实践中也做了一些工作,但还不够,需要进一步加强保护。
1.要使用必要的设备或软件对政府信息进行保护,如使用防火墙、行为审计系统、使用可网管的交换机、使用杀毒软件等。
2.要建立授权和身份认证系统,加强对账户和口令的控制,实现授权访问控制、用户身份识别等,用于自动发现网络上的安全漏洞,并给出分析报告。
3.要建立安全监测预警系统,用于实时监测网上的数据流,寻找具有网络攻击特性和违反网络安全策略的数据流,当发现可疑数据流时按照系统安全策略规定的响应策略进行响应,实时阻断非法的网络连接。
4.要建立数据应急保护系统。为了满足系统业务不间断的要求,避免由于自然灾难的损坏造成系统停止服务而采用系统备份和恢复技术。
5.要建立有关系统安全方面有价值的系统日志审计。在系统运行时,通过网络管理员对系统日志进行配置,达到尽可能多地保留有用信息的目的。
6.要对敏感信息载体加以物理屏蔽。如对一些政府保密的部门,使用屏蔽网线。还有一些国家机密场所,工作人员一旦进入后,随身携带的通信设备信号全无,那就是被屏蔽了,以防止信息外泄。
7.要严格规范内外网络的连接。内网与外网应该进行完全物理隔离,但有些单位受经济条件所限,达不到这个要求,从而使内外网混用。一台计算机既可以访问内网,也可以访问外网,那这台计算机就可能成为内外网的连通器,这就很可能泄露信息。
8.软、硬件尽量不要使用国外的产品。中国的信息安全要靠外国人来管理,岂不是中国信息安全行业乃至信息行业的悲哀,所以,要扭转这一局面,不仅需要我国企业练好内功,提供优秀的产品和解决方案,更重要的是必须让强势的采购人和采购代理机构转变思路,为国内IT企业提供足够的市场空间。
(三)法律、法规层面的保护
安全不仅是技术问题,同时还是社会和法律问题。与美国相比,我国在信息安全标准的制定、认证、检测等方面有待进一步加强。在信息安全标准方面,我国有国家信息安全产品测评认证中心、公安部、国家质量技术监督局等多个部门参与这方面的工作,而美国则在法案中明确表示由美国国家标准技术研究院一家来完成。所以,我们的产品一般都有好几个部门的认证,这不仅增加了产品的成本,而且部门之间相互推诿,影响认证,应该出台一部法律法规,使认证有一个统一的标准。
另外值得注意的是,我国信息安全标准的培训、认证和检测机构中,有些部门是营利机构,还有些是没有收费权的政府部门,也在想方设法、变着法地给本单位或者本部门营利,这在某种程度上降低了信息安全标准认证的公证性。这样的认证不仅影响其公信力,而且证件面临在国际上有可能不被承认的危险,因此,急需要有这方面的法律法规予以规范。
(四)人事管理层面的保护
资料表明,七成以上的政府信息安全事故是由政府内部相关工作人员引发的。可见,在政府信息安全事件中起决定作用的是人,人是信息安全保障中最需要的因素。
信息安全人事管理是指以现代人力资源管理理论为基础,从招聘选拔、人员培训、人员使用、绩效考核、人员激励等主要职能入手,对组织中信息安全人员进行科学管理、合理配置和有效开发,制定适合的规章制度,借以实现组织信息安全管理目标的活动。信息安全人事管理是信息安全管理的核心,作为信息安全保障的一个关键要素,信息安全人事管理的强化实施可以为政府搭建起一道牢固的“人力防火墙”。
政府信息安全工作是一项全方位的工作,需要从多方面进行有效管理以及合理运用技术、政策、法规、制度等,在计算机网络不断发展普及、政务信息公开程度日益扩大的今天,加强管理为政府信息安全问题消除隐患显得尤为重要,最终使信息资源在政府的管理活动中发挥应有的作用,以最大限度地保护网络环境下的政府信息安全。
D63
A
1009-1203(2011)04-0102-03
2011-06-29
杜建亮(1971-),男,山西临汾人,中共山西省委党校信息网络教研部副教授。
责任编辑 雨文