基于我国电子政务信息安全的问题及对策研究
2019-03-17田函灵
田函灵
摘要:近年来伴随着经济的快速发展,计算机技术日渐普及到社会生活的各个领域中,我国政府也实现了电子化办公。但是在使用计算机办公的时候,很多弊端也逐渐暴露出来了,其中最主要的就是电子政务的信息安全问题。政府在办公中会收发许多具有重要意义的文件,涉及到核心项目的这些文件一旦泄露出去就会给政府乃至国家带来无法挽回的后果。因此,电子政务安全的保障是保护国家利益的重要环节。本文对电子政务作了简要概述,结合实例进行分析,找出了现存的威胁并给出了一系列切实可行的应对措施。
关键词:电子政务;信息安全;政府网站
文章编号:978 -7 - 80736 - 771 -0(2019) 01 -127 - 03
一、引言
我国服务性的政府理念不断推行,电子政务获得了飞速发展,另外,电子政务系统可以有效实现行政的透明化,切实提高有关部门的办事效率,减少相应的行政成本,改善人们对政府及有关单位的态度。但现阶段我国电子政务内部系统相对较为落后,内部人员的信息安全意识不强,致使非法入侵容易,且信息管理的法制尚不完善,给政务系统的全面管理带来了较大的挑战,因此,我国必须根据现阶段电子政务信息安全管理现状,提出有效的改进意见。
一、电子政务及信息安全概述
(一)贴合我国实际的电子政务定义
我们理解的“电子政务”,指运用信息和通信技术,打破行政机关的组织界限,改进行政组织,重组公共管理,实现政府办公自动化、政务业务流程信息化,为公众和企业提供广泛、高效和个性化服务的一个过程。其核心内容在于,将政府的管理和服务借助于信息手段进行集成,以实现更高效、更廉洁务实的政府监管和服务。准确地讲,我国的“电子政务”应理解为“E - Governing”。
这个定义包括三个方面的信息:第一,电子政务必须借助于电子信息和数字网络技术,离不开信息基础设施和相关软件技术的发展:第二,电子政务处理的是与政权有关的公开事务,除了包括政府机关的行政事务以外,还包括立法、司法部门以及其他一些公共组织的管理事务,如检务、审务、社区事务等;第三,电子政务并不是简单地将传统的政府管理事务原封不动地搬到互联网上,而是要对其进行组织结构的重组和业务流程的再造。[1]
(二)电子政务信息安全的定义
电子政务信息安全主要是指在网络背景下,有关政府和单位的各种信息和机密文件不会受到外来入侵者的损害,信息的安全不仅仅包括信息本身的安全,还包括信息储存过程的技术安全与信息载体的安全,如网络的安全、U盘等设备的安全。
(三)电子政务信息安全的重要意义
电子政务信息的内容往往是国家或相关企业的基础信息,如果受到外界的强制干预,往往表现出相关部门的信息保护能力相对较差,在一定程度上纵容了入侵者的行为,且相应的行为很难受到法律的惩罚。另外,对于公民来说,有关部门的信息安全保障能力较弱,人们往往对其失失去了信任,最终导致有关部门甚至国家的不稳定,因此,必须有效提高电子政务的信息安全质量。人们往往通过对电子政务信息的获取,正确了解实事,并根据相关信息,解决自身问题,政府也可以通过政务信息系统了解人们的诉求,解决公民的问题,但如果电子政务系统受到了外界的侵袭,严重时侵害者会肆意改变政务信息的内容,甚至造謠生事,最终影响电子政务工程的建设。[2]
二、电子政务信息安全案例及分析
(一)案例一:公开信息安全问题
2008年奥运会举办前,因为国家领导万无一失的要求,北京进行了大规模的信息系统安全性检查,北京某区政府门户网站上,通过搜索网站,找到了一个邮箱使用说明,该网页说明了如何使用区政府公务员邮件系统。例如,选择公务员邮箱,在用户名处输入xxx,密码输入111111,单击登陆即可进入统计局办公室的邮箱。那么对于攻击者来说,只要在网上找找,就能找到区重要领导名字、重要部门的名称,再据此进行攻击。对这些公布的邮件进行了简单的口令测试,有重要领导的邮箱密码尚未改变,有两位领导已经改变,但也改得有些过于简单。登录进去,看到了给领导发的汇报材料、请示之类的。试想,若攻击者以此领导的邮箱群发个恶性邮件,在当时奥运会严格的要求形势下,一定会对内部人员乃至群众造成不好的影响,而其后果也是不堪设想的。
(二)案例二:不安全的“安全密码”
事情起因非常简单:管理员发现一台服务器被入侵,但是不知道如何被入侵的,简单了解了一下情况,服务器前有防火墙,只开放了80、3389端口,服务器补丁打全了。按照老习惯怀疑可能SQL注入,但是看web日志前,习惯性的先简单看了看服务器日志,发现服务器安全日志中存在多个互联网IP地址从远程终端登录的记录,甚至有在夜间的。于是问了一下开发商人员,在记录的时间段内是否进行过登录,回答均没有在那个时间登录过,初步判断可能是密码被猜出来,攻击者直接从终端服务进行了远程登录,到系统上进行了操作。
(三)两起案例分析
根据上述案例,可以发现现今政府内部人员的密码保护和信息安全意识不强,政府网站中的个人用户密码一猜即中,也从侧面反映出网站系统本身的漏洞较多,攻击者要非法入侵非常简单。而被入侵之后,即使修复了网站系统漏洞也没有后续的追踪措施,可见有关信息安全的法律法规滞后,未能起到规范及保护的作用,从而导致政府部门的内部网站成了入侵者的“随意进出之地”。
三、当前影响电子政务信息安全的主要因素
(一)内网系统本身漏洞
电子信息技术的迅速发展在不断强化着信息安全技术,保密的方式也是五花八门,当然所起到的信息保密功能也日趋完善,但是还是难以避免先天的系统安全漏洞,软件漏洞、网络数据系统漏洞等等各个方面的漏洞还是给电子政务安全带来了很多难以根除的安全缺陷。举个例子:比如风靡全球的Windows系列操作系统,虽然在不断改进着,但是固有的系统漏洞还是有很多;来自应用软件的漏洞更是难以避免,各种软件的开发均是具有显著抄袭特征的,功能等方面的系统漏洞甚至会导致数据库存储的数据丢失:在构建电子政务信息官方网络的时候,数据库系统的编程难免会出现一些瑕疵和漏洞等。以上这些不起眼的系统漏洞都会给不法分子以可乘之机,便于他们利用这些漏洞和缺陷大做文章,给我国的电子政务安全带来很大的威胁。
(二)内部人员泄密
内部人员试图泄露政府机密信息的原因有很多,大致有如下几个方面:第一,可能是一时的操作失误引起的信息泄露;第二,可能是好奇心作祟;第三,可能在受到某种不公平待遇时,为了发泄心中不满而故意泄露。无论是上述哪种情况,内部人员有意或无意的操作都会导致机密信息外泄,除此之外,不排除有人通过窃取内部人员的账号信息来进行信息窃取,无论是谁,都会给我国电子政务信息的安全性带来难以预计的威胁和损害。[3]
(三)非法入侵
非法人侵简要来说就是一些具备较为高端的计算机操作能力的人试图通过一些不被法律允许的手段来侵人到电子政务局域网并做出一些破坏性的举动或者是窃取机密文件来获取经济报酬。具体的破坏性手段可以是把病毒植人到电子政务网络,使得下载指定文件的用户感染某种特定的提前设置好的病毒,这些通过恶意插件传播的病毒具有极强的破坏性,还可以通过网络无限制的传播下去,带来大规模的病毒感染,这不仅仅会破坏政府电子政务的程序,还会使得电子政务的办理陷人瘫痪状态,给广大人民带来很多不便。
(四)配套法律法规内容滞后
在信息时代背景下,现代化技术不断更新和完善,政府门户网站却并未得到同步更新和完善,导致其中漏洞愈加鲜明。尤其是现行配套的法律法规不健全,在政府网站安全方面缺乏明确的规定,在政府网站信息安全维护中缺乏配套法律支持,很容易受到外界因素影响加剧突发事件出现。即便是发现突发事件,仍然缺乏有效依据来判定罪犯身份,在很大程度上威胁着政府网站信息安全。
四、加强我国电子政务信息安全的措施
(一)建立政府网站信息安全的技术治理体系
为了可以维护政府网站信息安全,应该明确电子政务发展要求和方向,立足于实际情况建立完善的政府网站信息安全技术治理体系。加强信息安全核心技术研发,尤其是系统芯片技术和操作系统的研发,摆脱国外进口依赖。只有具备核心安全技术,才能从根本上维护政府网站信息安全。结合政府网站信息安全相关要求和特点,针对性选择技术,具体包括以下几点:其一,网站防火墙和入侵检测技术。在传统网站防火墙基础上,通过入侵检测系统来识别非法入侵、攻击行为,一旦发现异常问题可以通过调整和配置网站防火墙来阻隔外界非法攻击行为。其二,加强网站平台安全管理。合理配置网络资源,优化网站结构的同时,推行入侵检测、边界防护以及木马防护等多种安全措施,全方位维护数据信息安全,通过检测后方可进入政府网站,以此来保证政府网站平台稳定运行。其三,维护网站代码安全。在系统开发时尽可能规避来历不明的程序代码,网站代码编写完成后需要及时检测,建立对应的代码检测机制,以便于及时更新和完善系统漏洞。其四,強化数据安全防护力度。定期更新和完善数据库,根据技术要求合理划分网络安全域,为数据库安全提供坚实保障。其五,建立数据灾备系统。营造安全的设备运行环境,并对重要数据及时备份存储,即便遭受重大损害仍然可以保证数据安全。
(二)建立电子政务信息安全管理机构
一方面,政府部门要严格根据有关法律条文的相关规定给在网络信息保护部门下设置专门的电子政务信息安全管理部门,并选定有相关电子信息安全经历的人来担任领导工作,制定完善的责任追究制和其他详细条例,并在日常工作中严格执行规章制度,追查并严厉打击破坏电子政务信息安全的不良行为,维护电子政务的安全;明确领导及工作人员责任,制定管理岗位责任制及有关措施,严格内部安全管理机制,并对破坏电子政务信息安全的事件进行调查和处理,确保网络信息的安全。另一方面,要构建起网络警察队伍,在电子政务网络中加大检查力度,对于试图通过不正当手段窃取重要机密的行为严惩不贷:从公安部门吸收高水平的复合型人才,完善警察队伍,促进队伍综合能力的提高。
(三)建立政府网站信息安全法律体系
法律作为最有效的制度保障,可以为电子政务的安全搭建起最有效的屏障,在这个方面世界很多国家已经有了很多成功的借鉴,我国的立法部门可以参考并借鉴现有的案例,尽快把我国的信息安全法律完善起来。其一,确立科学的信息安全法律保护理念。为了使国家的政策法律能够适应社会存在的现实和需求,需要确立起法制建设要保障和促进国家的信息化发展、法制建设为社会信息化发展提供全面服务的指导思想。其二,构建完备的信息安全法律体系。要制定详细的犯罪行为处罚办法,将迄今为止出现的信息窃取手段都列人到法律之中并进行严格的处罚,尽快完善我国的网络信息安全体系,使得电子政务安全维权有法可依,促进其法律化、制度化的转变;执法部门要严格按照立法执行,保证法律法规条文的有效性,绝不放过一个违法犯罪分子,维护好我国的电子政务安全。4其三,强化超前的信息安全法律效率。信息技术突飞猛进,信息安全政策、法律的促进作用不应仅仅是被动适应和滞后的,在国家信息化建设中,更多地还应表现为对技术的主动规范性和前瞻性。
(四)培养及强化电子政务环境下公务员信息安全意识
信息安全意识从字面上理解就是公务员可以对电子政务中出现的信息泄露所造成的危害有着深刻的认识和了解,并且拥有在日常办公中时刻维护电子政务信息安全的意识,最好还可以拥有敏锐的洞察能力,可以发现并检举身边的信息泄露行为。促进公务员信息安全意识的提高是让其能够主动关心电子政务安全的首要措施,只有公务员心中树立起这种安全意识,才能够在工作中时时刻刻注意维护信息的安全,这也是做好维护国家信息安全的第一步。我国政府部门要在平时做好公务员电子政务安全信息意识的培养工作,这样才可以尽量减少安全信息泄漏事件的发生,具体的方式如下:首先,政府可以在工作之余举办讲座和宣讲会,鼓励公务员积极参加并上交观看心得,这样可以加深其对信息安全的理解和认识:其次,可以开办专门的信息安全培训班,给参加的公务员一定的鼓励,培养信息安全人才,增加信息安全意识;最后,可以举办一些知识竞赛还有辩论赛,在全政府上下营造出一种维护信息安全的氛围来。
五、对未来电子政务信息安全展望
综上所述,电子政务系统中保存的机密文件的安全性必须得到最严密的防护,一旦外泄就会影响到国家的经济政治利益。电子政务安全的防护必须受到国家的重视,只有保护好我国的电子政务安全,才可以更好地促进我国的政务建设和发展,才能尽量避免机密文件的外泄,保证信息安全,促进行政工作的顺利开展。而加强我国电子政务信息安全力度,是现阶段政务管理中亟待解决的问题。因此,政府必须建立电子政务信息安全的法律法规,加强电子政务信息安全核心技术的研发工作,建立安全管理的机构,对保证电子政务的安全有效运行具有重要意义。
参考文献:
[1]赵毫迈.电子政务中政府模型与建模方法研究[M].北京人民出版社.2009.
[2]姜壮.基于电子政务发展要求的政府网站信息安全问题思考[J].网络安全技术与应用,2018.
[3]谢芳.我国电子政务信息安全对策分析.[J].信息化建设,2016.
[4]韩双喜.电子政务信息安全管理的改进建议[J].中南管理信息化,2017.
[5]林磊,事业单位电子政务信息安全管理的改进建议[J].电子技术与软件工程,2016(16).
[6]林乐坚,林向民,许哲君.关于电子政务信息安全管理体系建设的几点思考[J].海峡科学,2010 (11).
[7]黄健,黑龙江省电子政务信息安全问题分析与管理对策[D].哈尔滨:哈尔滨工业大学,2012.