电子政务中信息安全研究
2014-04-29黄晶凤
黄晶凤
摘 要 我国电子政务在基础环境建设、业务系统应用和信息资源开发等方面取得了重要进展,为带动国民经济和社会信息化、促进政府职能转变起到了积极作用。电子政务涉及对国家秘密信息和高敏感度核心政务的保护,设计维护公共秩序和行政监管的准确实施,涉及到为社会提供公共服务的质量保证。
关键词 电子政务 信息安全
中图分类号:C931 文献标识码:A
1电子政务中的信息安全
电子政务中的信息安全包括了信息的机密性、完整性、可信性、可控性、不可否认性等。我国立法把信息安全界定为“保障计算机及其相关的和配套的设备、设施(网络)的安全,运行环境的安全,保障信息安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全”。从这一法律规定看,计算机信息系统安全应当包括实体安全、信息安全、运行安全和人的安全。
20世纪90年代以来,信息技术革命在世界范围内加速推进,覆盖全球的信息网络系统逐步建立。信息网络系统已成为社会各个领域不可或缺的基础设施;然而,信息技术的发展和广泛应用,在给世界各国带来重大发展机遇的同时,也给国家安全带来了新的威胁与挑战——国家信息安全问题日渐突出。国家信息安全得不到保障,会使国家建设遭受毁灭性打击,并引发其他领域的不安全,可见,在信息技术广泛渗透于各个领域的条件下,信息安全在国家安全中占居战略地位,已经成为国家安全的基石。
一个国家的信息安全,实际是由两方面构成的。其一,为一个国家在信息安全方面采取的一系列组织措施及有关政策、法规;其二,为强有力的、切实可行的技术手段及有关技术装备。在信息安全中其地位举足轻重,尤其作为信息技术相对落后的我国如何调整信息安全战略,完善信息安全保障法律规范,不仅是提高信息安全保障能力的手段和方法,而且是提高信息安全技术的前提和保证。
2我国电子政务信息安全的目标及现状
2.1电子政务信息安全的目标
信息系统信息安全的宗旨是通过在实现信息系统时充分考虑到自身、伙伴和客户的信息风险,确保组织能够完成它的全部使命和目标。进而言之,电子政务系统信息安全的宗旨就是通过在实现信息系统时充分考虑信息风险,从而确保一个政府部门能够有效地完成法律所赋予的政府职能。电子政务信息安全必须实现以下目标:可用性目标,完整性目标,保密性目标,可记账性目标,保障性目标。
可用性目标是指确保电子政务系统有效率地运转并使授权用户得到所需信息服务。通常,可用性目标是电子政务系统的首要信息安全目标。完整性目标包括两个方面:数据完整性和系统完整性。通常,完整性目标是电子政务系统除了可用性目标之外最重要的信息安全目标。保密性目标是指不向非授权个人和部门暴露私有或者保密信息。通常,对于大多数电子政务系统而言,保密性目标在信息安全的重要程度排序中仅次于可用性目標和完整性目标。然而,对于某些特定的电子政务系统和数据,保密性目标是最重要的信息安全目标。可记账性目标是指电子政务系统能够如实记录一个实体的全部行为。通常,可记账性目标是政府部门的一种策略需求。可记账性目标可以为拒绝否认、威慑违规、隔离故障、检测和防止入侵、事后恢复和法律诉讼提供支持。保障性是电子政务系统信息安全的信任基。保障性目标突出了这样的事实:对于希望做到安全的信息系统而言,不仅需要提供预期的功能,而且需要保证不会发生非预期的行为。具体而言,保障性目标是指:提供并正确实现需要的电子政务功能;在用户或者软件无意中出现差错时,提供充分保护;在遭受恶意的系统穿透或者旁路时,提供充足防护。
2.2 我国电子政务中信息安全的现状
目前我国电子政务中的政府信息安全问题突出表现在:一是我国政府信息网络安全存在严重隐患。网络非常脆弱,各种安全隐患普遍存在。掌握了一定技术的人可以轻易获取网络服务器上的用户账号信息和口令文件,并可进入系统修改、删除重要数据文件。二是互联网上和针对计算机信息系统的违法犯罪活动日益增多。近年来,金融机构内部利用计算机犯罪案件大幅度上升;在互联网上泄露国家秘密的案件屡有发生。三是境内外黑客攻击破坏网络的问题十分严重。他们通常采用非法侵入重要信息系统,修改或破坏系统功能或数据等手段,造成数据丢失或系统瘫痪,给国家造成重大政治影响和经济损失。四是境内外敌对势力、敌对分子和非法组织利用互联网进行煽动、渗透、组织、联络等非法活动日趋突出。
3 我国电子政务中信息安全的保护对策
针对我国信息安全的现状,结合我国电子政务的实际,当前在政府信息安全的保护方面的当务之急是:
3.1尽快建立我国信息安全的保护体系
国家应该组建国家信息安全委员会。该组织负责组织和协调国家安全、公安、保密等职能部门,在信息化建设中信息安全的分工,对国家信息安全政策统一步调、统筹规划。
要建立我国信息安全的保护体系,必须尽快完善国家信息安全基础设施建设。目前就我国的信息产业无论是技术、管理还是生产规模、服务观念,都不具备力量在短时间内使国产信息产品占领国内的主要市场。自主的信息产业或信息产品国产化是信息安全的根本,国产化不等于绝对安全,而绝对安全却需要国产化。国家可集中人力、物力和给以政策,大力发展自主的专用芯片、自主的密码技术产品等,以确保关键部门的信息系统的安全。
3.2进一步完善我国信息安全保障的法律体系
虽然我国已颁布相当数量的信息安全方面的法律,但是目前我国立法层次不高,现行的有关信息安全的法律规范大多只是国务院制定的行政法规或国务院部委制定的行政规章;法律规定之间不统一;立法理念和立法技术相对滞后等,因此要进一步完善我国信息安全的法律保障体系。
第一、确立科学的信息安全法律保护理念。修正传统的立法理念,改变落后的调整方法,把信息安全法制保障的重点转移到信息化的建设与发展上来构筑适于信息网络安全实际需要的法治文化。第二、构建完备的信息安全法律体系。信息化的社会秩序主要由三个基础层面的内容所构成,即信息社会活动的公共需求,信息社会生活的基本支柱和信息社会所特有的社会关系。信息社会所特有的社会关系是指在国家信息化建设的过程中,参与其中的各个主体之间由于其信息化活动而产生的各种社会关系,具体将表现为相应的法律关系,国家信息化建设所应有的政策法律环境也就必然是由对应的指导政策、技术标准和法律规范等三项内容所共同构建的三位一体的且能够发挥促进、激励和规范作用的有机的体系。
3.3建立电子政务信息安全四大体系
电子政务的信息安全建设是在适当的信息安全保障体系和框架指导下进行的一项系统工程。这项工程包括密切关联的四大体系:安全管理体系、预警检测体系、安全防护体系和响应恢复体系,其中,安全管理体系是整个信息安全保障体系中最核心的组成部分,是贯穿其他三个体系的主线。建立健全安全管理体系,最重要的是针对电子政务的现有情况制定统一的行政管理制度,在整个网络系统中贯彻执行。入侵检测系统是目前最为主要的一个广泛应用的技术和管理手段。利用网络入侵检测系统,可以了解网络的运行状况和发生的安全事件,并根据安全事件来调整安全策略和防护手段,同时改进实时响应和事后恢复的有效性,为定期的安全评估和分析提供依据,从而提高网络安全的整体水平。安全防护体系包括防火墙、身份鉴别与认证、系统访问控制、网络审计等内容。响应恢复体系包括应急响应和业务连续性计划两个方面。电子政务信息系统已经成为电子政务业务的支撑平台。安全策略中必须具备应急响应手段,保证电子政务发生安全事故后,能够及时作出有效响应,采取合适的应急措施处理事故。
参考文献
[1] 岳建伟,刘生权,钟耳顺,姚敏,方利,张建平.电子政务系统协同式开发平台研究.《计算机工程》,2007.03.
[2] 常永新.我国电子政务中的信息安全休息安全问题分析.《人民论坛》,2011.14.
[3] 孔永红.基于知识协同的电子政务问题与对策研究.《电子商务》,2007.07.