APP下载

电子政务安全隐患与安全体系分析

2012-09-27才让卓玛才智杰卓玛吉

电子设计工程 2012年5期
关键词:电子政务系统管理

才让卓玛,才智杰,卓玛吉

(1.青海师范大学 计算机学院,青海 西宁 810008;2.青海省印刷产品质量监测站,青海 西宁 810008)

电子政务安全隐患与安全体系分析

才让卓玛1,才智杰1,卓玛吉2

(1.青海师范大学 计算机学院,青海 西宁 810008;2.青海省印刷产品质量监测站,青海 西宁 810008)

针对当前电子政务面临的各种安全隐患,通过分析影响电子政务发展的主要安全问题,提出安全技术和安全管理相结合的电子政务安全体系模型。此安全体系具有良好可扩展性和先进性,对电子政务系统的开发具有一定的理论和现实意义。

电子政务;安全技术;安全管理;安全隐患;网络安全

近年来,随着以互联网技术为承载主体的信息技术的发展,极大地推动着经济和社会发展,引发了深刻的生产和生活方式变革。电子政务应运而生并在全球受到高度重视,电子政务的建设已成为是各国核心竞争力的重要因素之一[1]。

电子政务是指政府部门以信息网络为平台,综合运用信息技术,实现政府组织机构和工作流程的优化重组[2]。将政府的管理和服务职能进行整合,超越时间、空间的界限,打破部门分隔的制约,全方位向社会提供优质、规范、透明的管理和服务,实现公务、政务、商务、事务的一体化管理和运行。

在我国,电子政务的发展源于20世纪80年代中期开始的办公自动化建设,20世纪90年代后期,我国电子政务的发展正式提上日程,近些年来取得了长足的进展[3]。推行电子政务建设是促进政府行政改革的重要手段,对于转变政府职能,推动政府的现代化进程,带动和促进我国社会信息化的发展都有重要的现实意义。电子政务的建设既要考虑目前政府的组织机构与业务现状,又要满足未来电子政务发展需求,这就要求电子政务系统的设计具有系统性、综合性、变更性和可持续性。同时,由于电子政务是依赖于信息技术和网络技术而存在,并通过因特网为企业和个人用户提供服务。因此,电子政务的首要问题是如何保障其信息安全[5]。电子政务的安全问题,从电子政务的概念提出就成为备受关注的问题之一。随着各国电子政务的实践的发展,其安全问题也日益突出,成为制约电子政务进一步发展的首要因素。

电子政务的发展关系到国家政治、经济、社会、文化等多个方面,而电子政务的发展需要安全保障。对电子政务安全问题的成因进行分析,是解决其安全问题的前提条件。只有对电子政务所面临的安全风险与隐患进行全面深入的了解,才有可能针对性地做好安全防范工作,建立起有效的安全防范体系和风险控制机制。

1 电子政务安全隐患分析

由于电子政务系统具有网络化的业务服务特点,因此很容易遭到各种各样的攻击,如账号被盗用、被监听和截取信息包、搭载木马程序、扫描端口、占用服务器带宽、破坏数据完整性等[5]。电子政务安全隐患的成因,可以从多个方面和多个角度进行分析。从攻击者威胁行为的动机角度分析,可以分为利益驱动、技术驱动、信息驱动等几个方面;从系统防范的角度分析,可以分为技术问题和管理问题。文章主要从技术和管理两方面讨论电子政务安全隐患。技术隐患指电子政务信息系统本身的技术漏洞,是系统自身的技术缺陷;管理隐患则包含内部和外部威胁,来自内部的威胁如内部人员的恶意破坏、管理人员滥用职权、执行人员的违规和违法操作、内部管理的疏漏等。来自于外部的威胁,如骇客入侵和攻击、病毒传染和蔓延、信息间谍的潜入和窃密、网络攻击和破坏、信息战争及自然灾害等。

1.1 技术隐患分析

技术隐患包括基础网络、操作系统和数据库以及应用平台等方面的隐患。在基础网络方面,网络拓扑结构设计不合理或缺乏可扩展性,可能会因某结点遭到破坏而导致整个系统瘫痪,其通信线路也易遭物理破坏和搭线窃听;操作系统和数据库方面,由于目前所使用的计算机网络操作系统,多偏重于考虑系统使用的方便性,其结构和代码设计相对在系统的安全机制上考虑还不够精细,或多或少地存在安全漏洞;数据库管理系统基于分级理念对数据库进行管理,同时数据库管理系统的安全与操作系统的安全相配套,这使得系统的安全出现不稳定因素。应用平台方面的隐患主要表现在“后门攻击”,即在开发电子政务系统的应用功能时,往往留有所谓的“后门”,以便程序员在应用层面进行定期维护或升级,该“后门”一旦被非法人员发现,其破坏性就有可能波及整个系统。

1.2 管理隐患分析

管理隐患包括身份和口令、资源管理和制度法规等多方面的隐患。身份和口令隐患主要表现在用户名和口令过于简单,在验证时极易导致合法身份被冒用,采用静态口令很容易在日志记录中被窃取,内部用户身份级别划定不严格也会导致信息使用级别的混乱。资源管理隐患是内部用户使用资源时,对重要文件不加密,重要信息进行长期共享,传递信息时无身份认证,电子邮件大量群发时缺乏信息保密安全意识的资源管理行为。制度法规方面的隐患主要表现在网络信息安全法规目前尚未健全,尤其在涉及到政府各部门横向信息交流时的安全约束机制。多见行政规定代替法规,缺少统一标准,又大多不全面细化,起不到真正监管电子政务信息系统安全的作用。

近年来还出现了一种新的安全隐患,即直接在网络上假冒政府或某些职能部门的名义开设网站,以牟取非法利益。随着形势的发展电子政务系统中可能还会出现新的安全隐患,并且这些安全隐患相互作用,彼此纠结,使得系统安全的维护变得非常困难。综上所述,可将电子政务安全主要隐患来源设计如图1所示。

图1 电子政务安全隐患来源Fig.1 Source of security hidden trouble of E-government

在现实中,很多的安全隐患是由内外因素共同引发的。例如病毒的破坏,往往是由于内部管理的疏漏和人员安全实施的薄弱造成的。来自于系统内部和外部的因素,针对上述安全隐患,需要分别考虑不同的安全隐患的各自特点,制定出针对性的专门的防范措施和危机救援措施。文中通过对电子政务的研究和对政府组织管理、行政事务管理等方面的理解,给出了电子政务安全体系结构及其设计。

2 电子政务的安全体系

电子政务的安全主要是系统安全和数据安全。电子政务的安全目标就是要在确保电子政务的正常运行的同时,维护电子政务系统的安全,也就是维护信息的安全和网络的安全。从而保证电子政务信息的可用性、完整性、保障性、保密性和不可否认性。

2.1 电子政务安全体系结构

电子政务通过网络系统实现信息资源的共享与交互,提高了政府处理政务的工作效率,提供了政务系统的可扩充性。但同时,随着计算机网络技术的发展和计算机安全问题的日益复杂,增加了电子政务系统安全的复杂性和脆弱性。因此,建立一个稳定可靠的电子政务系统除了加强计算机及网络等方面的技术安全保障措施外,还必须建立健全法制管理措施对系统的日常操作、运行、维护、审计、监督及文档管理进行统一管理。

共享型生活服务平台使社区各主体要素间关系更为紧密,建立起稳定的社会化关系网络。研究发现,稳定和紧密的人际关系能够产生经济价值。社区中的商户和消费者均是相对稳定的要素,相互间通过生活服务平台产生了更为紧密的情感联系和更高的信任度,促进了社区的和谐发展以及社会资本价值的增加[14]。

电子政务系统结构中电子政务安全体系是最重要的组成部分之一,是电子政务系统运行的必要保障体系,文中从技术安全和安全管理两方面谈论电子政务的安全问题。

安全技术系统涉及物理层安全、网络基础平台安全、信息资源层安全与业务应用层安全。安全管理系统包括政务的安全组织、安全策略、安全标准、安全评估与审计及安全制度,其中安全组织包括决策机构、专家小组、管理机制与执行维护机构等。电子政务的安全体系结构如图2所示。

图2 电子政务安全体系结构图Fig.2 Structure of security system on E-government

2.2 电子政务安全体系设计

电子政务系统本身是一个非常复杂的系统,其安全问题也是一个综合性很强的问题。要确保电子政务的安全不仅仅是政府各机构、各部门内部的事情,也是一个国家层面的事情,因为政务信息的安全涉及不同国家之间、不同政治集团之间的利益关系,它的安全保障问题需要从国家范围来统一规划,以抵御外来的信息安全威胁。因此,构建一个综合性的安全保障体系,要从安全技术、安全管理、及相关支撑体系等方面提供全方位的保护和保障。

安全管理系统和安全技术系统是相辅相成的,在建设电子政务系统时,在对安全技术系统进行设计时,必须同时考虑安全管理系统的建设和实施。安全管理系统与安全技术系统的相互关系如图3所示。

图3 安全管理系统与安全技术系统的相互关系Fig.3 The relationship between safety management system and the safety technique system

在这一安全体系中,安全技术系统是核心问题,它涉及理论研究和技术开发,安全系统应用,及构建综合防护系统的等问题;安全管理系统是安全保障的关键,其中包括安全制度、安全组织、安全审计、安全标准及安全评估等内容的管理。

2.2.1 安全技术系统设计

首先,由于电子政务系统包含着大量的信息资源,拓构非常复杂,不仅关系到政府办公外网与政府非涉密网的连接也有非涉密网与涉密网之间的连接。因此,物理安全首先应保证物理连接方面的安全,防止电力中断、电磁泄漏、保证物理结构合理和可扩展性。对涉密网与非涉密网之间的连接,采用双布线、双交换机、双处理设备,且两套线路和设备之间不进行物理连接;办公单位与数据中心的连接均用防火墙进行逻辑隔离,根据过滤规则来判断网络数据是否能够通过防火墙,用以加强网络之间访问控制,保证可信的数据传输及对非法访问的拒绝;使用基于物理隔离的数据交换技术对政府涉密外网数据进行审查,保证通行可信数据,拒绝非法请求。

综合运用防火墙、入侵检测技术、漏洞扫描技术、病毒防治技术和安全审计技术、操作系统安全策略和数据库安全策略构建统一的网络基础平台安全策略,及时更新防毒软件、识别骇客入侵的各种方法和手段、检测内部人员的误操作、资源滥用和恶意行为、多层次安全审计,帮助用户对内外网行为进行追踪、实时的报警和响应。定期或不定期地调用网络安全性分析软件发现网络安全漏洞。由于操作系统的问题是随着时间的延续而逐渐出现的,不是在进行一次安全加固后就能解决,所以要通过采用安全工具及时从网络进行升级、定时扫描,建立完善的分类报表来加强安全。数据库方面可通过及时下载安全补丁、分阶段建立数据库、制定完善的口令策略和修改系统参数等措施来加强数据库安全,从保证数据对象的安全着手保证信息数据的安全。

应用安全主要涉及到信息传输的安全、信息存储的安全及对网络传输信息内容的审计等方面,可根据安全构成与其相互关系,建立在PKI(安全存储公钥基础设施,Public Key Infrastructure)体系的 CA(Certificate Authority,证书授权中心)身份认证的基础上,通过设计CA身份认证的系统,形成基于公钥密码体制的安全用基础环境,为安全体系上其他应用系统解决内部授权访问、数据完整性、审计、抗否认提供保证。

2.2.2 安全管理系统设计

安全管理是一项综合管理,是对电子政务的所有安全问题和环节进行管理,如保证设施的安全、信息的安全和运行过程的安全。本文从管理职能的角度将安全管理系统分为安全组织、安全策略和制度、安全标准、安全评估、安全审计等5个方面。

安全组织设计包括如何建立安全决策组织、安全指导小组、安全专家小组、安全领导小组、建立网络日常管理机构、建立维护单元等。

安全政策和制度包括制定与政府信息系统安全等级相对应的安全措施不力和要求,对参与系统开发和运行的企业的要求和约束,同时执行系统安全审计与安全问题报告制度与程序。如制定国家公务员捷足先登安全规范、安全策略制定规范、物理层安全建设规范、数字证书管理规范、系统管理规范及应急系统构建规范等。

安全等级的分类与等级相应的安全措施,对参与系统开发和运行的单位、人员的要求,系统安全审计,安全问题的报告制度和程序,紧急情况的处理和应急措施有关。

安全标准包括制定具体的,针对每一个安全等级的政务信息系统的安全标准、运行的规范、数据和软件的备份、系统的物理安全。制定安全标准,电子政务系统中的信息可参照标准执行确保在该标准下的安全。从而保证安全管理,节约各部门和系统在安全问题上消耗的人力、财力和资源。

安全评估主要从政治、经济、技术等方面分析,明确并规范哪些子系统需要专网,哪些子系统需要加密措施,并确定系统中信息资源的安全级别。分析电子政务系统中的各子系统会有哪些潜在的威胁、威胁的严重程度如何、威胁将造成什么样的后果、系统对此到底需要什么样的安全措施。

电子政务在建成和运行的过程中,都应接受有关部门的安全审计,以确保政务的安全政策与安全标准得到落实。安全审计主要通过人工审记或由计算机自动分析处理审计的方法,记录和跟踪网络状态的变化,对用户的活动、程序和文件的使用情况进行监控,并对程序和文件的使用及对文件的处理过程等加以记录。

3 结束语

电子政务是信息技术应用带来的一种新的政务形式,它的实施对转变政府职能、改进政府作风、精简政府机构、提高行政效率、节省管理成本、提高政务质量等方面都起着直接的推动作用。安全是电子政务系统[6]最基本的要求,本文的通过对电子政务安全问题的成因分析,针对性地提出保障电子政务系统安全有效运转的体系结构,力求从整体上寻求比较完善可靠的解决之道。但安全体系的建设并非一劳永逸,随着电子政务的进一步发展,必然会对网络安全提出更高的要求,这就需要用动态的、前进的、创新的眼光来认识电子政务,建立起更加完善的电子政务系统体系结构[6],定期进行安全评估、合理运用安全技术和加强安全管理措施。

[1]HUANG Meng-xing,XING Chun-xiao,YANG Ji-jiang.E-government maturity model and its evaluation[J].Journal of Southeast University:English Edition,2008,24(3):389-392.

[2]杨安.电子政务理论与技术[M].北京:清华大学出版社,2008.

[3]徐晓林,杨锐.武汉:电子政务[M].武汉:华中科技大学出版社,2009.

[4]穆昕,王浣尘,王晓华.电子政务信息共享问题研究[J].中国管理科学,2004,12(3):122-125.

MU Xin,WANG Huan-chen,WANG Xiao-hua.Study on information sharing of E-government[J].Chinese Journal of Management Science,2004,12(3):122-125.

[5]陈兵,钱兵燕,冯爱民,等.电子政务安全技术[M].北京:北京大学出版社,2005.

[6]顾静秋,吴华瑞,朱华吉.小城镇移动电子政务系统的设计与实现[J].计算机工程与设计,2010,31(1):98-112

GUJing-qiu,WUHua-rui,ZHUHua-ji.Designandimplementation of mobile E-government system of small town[J].Computer Engineering and Design,2010,31(1):98-112.

Analysis of security hidden trouble and security system on E-government

Cai-rang-zhou-ma1, Cai-zhi-jie1, Zhuo-ma-ji2(1.College of Computer science,Qinghai Normal University,Xining810008,China;2.Printing Quality Monitoring Station in Qinghai Province,Xining810008,China)

According to the Various Kinds of security hidden troubles in the E-government,the major network security problem is analyzed which affects on the development of E-government,and proposed an E-government security system model of combining with security technology and security management.The security system is designed has good expansibility and advancement.it has a certain theoretical and realistic significance to the development of E-government system.

E-government; security technology; security management; security hidden trouble; network security

TP 399

A

1674-6236(2012)05-0005-03

2011-12-16稿件编号:201112092

国家自然科学基金资助项目(61163018);国家社会科学基金资助项目(09XYY024);青海省科技厅应用基础研究计划基金资助项目(2011-Z-750;2011-Z-755)

才让卓玛(1970—),女,藏族,青海西宁人,硕士,副教授。研究方向:软件工程、中文信息处理。

猜你喜欢

电子政务系统管理
枣前期管理再好,后期管不好,前功尽弃
Smartflower POP 一体式光伏系统
WJ-700无人机系统
论基于云的电子政务服务平台构建
基于PowerPC+FPGA显示系统
连通与提升系统的最后一块拼图 Audiolab 傲立 M-DAC mini
电子政务工程项目绩效评价研究
“这下管理创新了!等7则
中国电子政务的“短板”
人本管理在我国国企中的应用