浅谈我国电子政务运行的安全问题及对策

来源：超达科技 发布时间：2017-12-05浏览：2240次

浅谈我国电子政务运行的安全问题及对策

        一、电子政务安全运行简介
        随着信息技术和网络的发展与普及，网络信息安全越来越引起人们的高度重视。因为人们在实践中看到，以计算机网络为基础的电子政务运行是一个开放型的系统，其内部信息具有共享性、广泛的分布性和流动性，尽管有着很强的优越性和不可替代性，但同时其系统自身安全性和保密性下降，给非法使用和破坏提供了可能。威胁电子政务安全运行的主要形式有；非法使用网络信息资源；恶意破坏网络系统或数据文件，造成系统瘫痪，文件无效或消失，使电子政务中断对用户提供服务；盗窃金融数据、机密文件以及其他敏感的数据信息等。所以，随着"政府上网热潮"的兴起，电子政务的安全运行就成为亟待解决的问题。
        二、我国电子政务运行中存在的安全性问题
         （一）技术问题
        引起电子政务安全问题的技术原因包括以下几个方面
        其一，我国网络安全技术落后
        从总体上讲，在网络安全技术方面，我国与技术发达国家差距很大，具体表现在；一是我国的信息安全研究经历了通信保密、计算机数据保护两个发展阶段， 目前才进入网络信息安全的研究阶段。二是国内一些部门在学习借鉴国外技术的基础上，也开发研制了一些防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但是，这些产品安全技术的完善性、规范化、实用性还存在许多不足，特别是在多平台的兼容性、多协议的适应性、多接口的满足性方面存在很大差距。三是在系统安全工作和安全协议的研究方面差距更大。四是研究与建立创新性安全理论和系列算法，对我国而言仍是一项艰巨的任务。
        其二，网络技术本身存在缺陷
        网络技术本身的缺陷主要表现在；一是软件本身缺乏安全性。操作系统的设计一般着重于提高信息处理的能力和效率，对于安全只是作为一项附带的条件加以考虑。因此，操作系统中的安全缺陷相当多，使入侵者有不少空子可钻。二是通信与网络的弱点。通信线路一般是电话线、专线、微波、光缆或无线系统，这些线路易遭物理破坏，易被搭线窃听，无线通信易遭截获、监听等等。网络规模越大，通信线路越长，这种弱点也随之增加。三是安全技术标准不统一。目前世界上还缺乏统一的操作系统、计算机网络系统和数据库管理系统， 缺乏统一的信息安全标准、密码算法和协议，在安全性与网络性能和效率之间难以两全。而且，从根本上说，信息加密等安全技术跟不上信息应用技术的发展，信息系统的绝对安全是不可能的。
        （二）认识问题
        其一，对网络安全的战略认识不足。
        一方面，我国还没有从国家战略的高度将网络安全问题纳入整个国家信息发展战略的重要行列，还没有制定符合我国国情的信息安全政策。我国著名信息安全专家、中国工程院院士沈昌祥从国家安全考虑，提出应把信息系统安全建设提高到"两弹一星"的高度去认识，实不为过。但实际上，我们的认识与之相比， 还有相当大的差距。另一方面，我国的许多部门在实际工作中重视网络系统建设， 但轻视网络安全工作，只看重信息的应用带来的巨大财富，没有意识到信息安全的漏洞。所以，在网络系统建设过程中，缺乏安全防范意识，忽视系统的安全技术规范。例如，我国在网络工程中网络安全的投入费用，据估计不到2% ，同国外10% 的比率相比有较大的差距。
        其二，民众的网络安全意识比较淡漠。
        一方面，由于国内"黑客"事件不多，我国的信息化程度还不高，一些重要部门的系统基本上还不具开放性，因此，人们似乎觉得信息安全问题离我们还比较遥远，没有引起足够的重视。其实，上海的"黑客"事件说明"黑客"已经在我们身边，我们不可再麻痹大意了。另一方面，对普通大众来说，他们对计算机犯罪的态度较为"宽容"，主要理由是没有直接的人员伤害；所造成的损失大多由政府或单位承担。因此，他们对信息安全问题不太关心，安全意识淡漠。
        （三）管理问题
        总体上说，我国网络安全管理与保卫工作是滞后的。不少单位还停滞在传统上的"看家护院"的工作模式，没有从管理制度、人员和技术上建立相应的电子化业务安全防范机制，缺乏行之有效的安全检查保护措施。管理上的漏洞，使网络罪犯有机可乘。许多网络犯罪行为尤其是非法操作都是利用联网的电脑管理制度上的漏洞而得逞的。另外，网络管理者自身的违法行为，网络管理者利用管理用户地址目录之便， 很容易就以某一用户的身份登录、查看和复制用户的信息， 甚至以用户的名义发送报文。根据公安部门的报告，作案人员往往是利用管理上的漏洞，而且内部人员居多。

       （四）法制问题
        网络犯罪活动与网络信息法制不完善和对罪犯的惩治不力密不可分。一方面， 尽管我国已经出台了一些与网络安全有关的法律法规，但现行政策法规仍难以适应网络发展的需要，信息立法还存在相当多的空白。个人隐私保护法、数据库保护法、数字媒体法、数字签名认证法、计算机犯罪法以及计算机安全监管法等数字经济正常运作所需的配套法规急需制定。由于法规不健全，信息市场交秩序的维护、信息犯罪的惩处等无法可依，使信息犯罪者有空子可钻。另一方面，由于网络作案手段新、时间短、不留痕迹等特点，给网上犯罪案件的侦破和审理带来了极大的困难。虽然我国针对电脑病毒、信息侵权和网络犯罪等非法信息行为制定了一些政策法规，但由于执行不力，效果不明显。
        三、保证电子政务安全运行的对策
        （一）加强电子政务安全运行的相关法律法规建设，提高执法水平
        我国的网络安全的标准、法律，正逐步形成结构严谨、内在和谐的统一体系， 填补了传统法律和标准体系的空白与不足。当然，我国网络安全法规的建设并不是尽善尽美的，仍然存在着不少缺陷和不足。例如，我国还缺少有关电子政务安全保障的专门法规、政策以及地方性法规和政策，难免导致法规执行的针对性不强。今后，我国应该在这方面下功夫。有了相关法律的保障，没有相应的政策， 也无法使信息安全的保障具备可操作性。美国联邦政府1996 年发布了A - 130 通告，在附录"联邦政府自动化信息资源安全"政策大纲中，具体阐述了计算机系统的安全对策，可操作性很强，其做法值得我们借鉴。所以，电子政务安全保护问题，不但要从政治和法律上着眼，还要从政策上着手。
        （二）强化计算机网络安全管理，增加网络安全意识
        在网络安全制度的建设与管理中，需要抓好的主要工作是建立和落实安全责任制度。计算机网络系统运行管理部门必须设有安全组织或安全负责人。每个工作站和每个终端都要建立健全网络操作的各项制度，加强对内部操作人员的安全教育和监督，严格网络工作人员的操作职责，加强密码、口令和授权的管理，及时更换有关密码、口令，重视软件和数据库的管理和维护工作，加强对磁盘文件和软盘的发放和保管，禁止在网上使用非法软件、软盘。有了组织机构和相应的制度，还需要领导的高度重视和群防群治。这需要进行网络信息安全意识的教育和培训，提高全社会网络安全意识和法律观念，以及对信息安全问题的高度重视， 尤其是对主管计算机应用工作的领导和计算机系统管理员、操作员要通过多种渠道进行计算机及网络安全法律法规和安全技术知识培训与教育，使主管领导增强计算机安全意识，使计算机应用人员掌握计算机安全知识，知法、懂法、守法。
        （三）构建电子政务的安全保障体系
        第一，物理安全。
        保证计算机信息系统各种设备的物理安全是保障整个政府网络系统安全的前提。它主要包括三个方面；一是环境安全。对系统所在环境的安全保护，如区域保护和灾难保护；二是设备安全。设备安全主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等；三是媒体安全。包括媒体数据的安全及媒体本身的安全。显然，为保证信息网络系统的物理安全， 除在网络规划和场地、环境等要求之外，还要防止系统信息在空间的扩散。为了防止系统中的信息在空间上的扩散，通常是在物理上采取一定的防护措施，来减少或干扰扩散出去的空间信号。
        第二，系统安全。
        它包括三个方面；一是网络结构安全。主要指网络拓扑结构是否合理；线路是否有冗余；路由是否冗余，防止单点失败等。二是操作系统安全。对于操作系统的安全防范，应尽量采用安全性较高的网络操作系统并进行必要的安全配置、关闭一些起不常用却存在安全隐患的应用、对一些保存有用户信息及其口令的关键文件使用权限进行严格限制。三是应用系统安全。在应用系统安全上，应用服务器尽量不要开放一些没有经常用的协议及协议端口。
        第三，网络安全。
        网络安全是电子政务整个安全解决方案的关键。在访问控制方面，要制定严格的管理制度，内部办公自动化网络要根据不同用户安全级别或者根据不同部门的安全需求，利用三层交换机来划分虚拟子网(VLAN )，在没有配置路的情况下， 不同虚拟子网间不能够互相访问。在通信保密方面，主要是保障数据的机密性与完整性，保护在网上传送的涉及政府机密的信息，经过配备加密设备，使得在网上传送的数据是密文形式，而不是明文。入侵检测，这是防火墙的必要补充。利用入侵检测系统，可以根据已有的、最新的攻击手段的信息代码对进出网段的所有操作行为进行实时监控、记录，并按制定的策略实行响应，从而防止针对网络的攻击与犯罪行为；安全扫描系统，包括网络扫描和系统扫描。网络扫描可以对网络中所有部件进行攻击性扫描、分析和评估，发现并报告系统存在的弱点和漏洞，评估安全风险，建议补救措施。系统扫描可以对网络系统中的所有操作系统进行安全性扫描，检测操作系统存在的安全漏洞，并产生报表，以供分析；还会针对具体安全漏洞提出补救措施。
        第四，应用安全。
        一方面，要严格控制内部人员对网络共享资源的使用。在内部子网中一般不要轻易开放共享目录，否则，较容易因为疏忽而在与职工间交换信息时泄漏重要信息。对有经常交换信息需求的用户，在共享时也必须加上必要的口令认证机制， 即只有通过口令的认证才允许访问数据。另一方面，对涉及秘密信息的用户主机， 使用者在应用过程中应该做到尽量少开放一些不常用的网络服务。还要进行信息存储，对数据库服务器中的数据库必须做安全备份。通过网络备份系统，可以对数据库进行远程备份存储。
        参考文献：
        [1] 曾华国，网络世界； 我们怎样设防--关于我国信息安全的报告，1998
        [2] 崔　丽， 沈昌祥. 国家安全新概念； 对信息系统安全应从"两弹一星"的高度去认识  中国青年报，1999
        [3] 赵　林， 斩断伸向计算机的黑手  中国科技信息，1998
        [4] 陈朝辉， Internet 网络信息安全问题及其对策，图书馆，1997