新形勢下電子政務(wù)的信息安全

陶　鵬

摘 要：“十五”期間，我國政府完成了多個以業(yè)務(wù)部門為基礎(chǔ)的電子政務(wù)信息系統(tǒng)建設(shè)，以各級地方政府為主體的信息化建設(shè)工程獲得了迅猛的發(fā)展。從2006年開始，我國邁進了“十一五 ”規(guī)劃，信息安全保障工作邁出了新的堅實步伐，信息安全法律法規(guī)、標準化和人才培養(yǎng)工作取得了新成果。信息安全基礎(chǔ)設(shè)施和工程建設(shè)進一步完善，信息安全等級保護和風(fēng)險評估工作取得了重大進展。在此基礎(chǔ)上，電子政務(wù)將進入一個新的建設(shè)時期。

關(guān)鍵詞：電子政務(wù)；信息安全；漏洞

1 新時期我國電子政務(wù)信息安全面臨的新問題

1.1 信息化程度越高，電子政務(wù)系統(tǒng)基礎(chǔ)設(shè)施本身的脆弱性越值得警惕

網(wǎng)絡(luò)設(shè)施無法抵御各種自然災(zāi)害的破壞，也難以避免偶然無意造成的危害。電子政務(wù)系統(tǒng)所處環(huán)境的影響(溫濕度、磁場、碰撞、污染等)，硬件設(shè)備故障，突然斷電或電壓不穩(wěn)定及各種誤操作等。這些危害會損害系統(tǒng)設(shè)備，有時會丟失或破壞數(shù)據(jù)，甚至毀掉整個系統(tǒng)。如2006年底，受中國臺灣南部海域強震影響，亞太地區(qū)互聯(lián)網(wǎng)發(fā)生了嚴重癱瘓。地震沖擊下，中美海纜等多條海纜受損，網(wǎng)絡(luò)訪問不通、電話線路受阻、國際金融交易中斷或受限……嚴重依賴互聯(lián)網(wǎng)的ＩＴ、國際貿(mào)易、媒體、金融等行業(yè)受到極大影響。其影響范圍之廣，讓人深刻體會到，全球化時代我們對網(wǎng)絡(luò)如此依賴，而這種高科技的通信手段卻如此脆弱。

1.2 漏洞數(shù)量居高不下，利用漏洞發(fā)起攻擊仍是電子政務(wù)系統(tǒng)最大的安全隱患

安全漏洞是指硬件、軟件、協(xié)議和系統(tǒng)安全策略等存在的缺陷和錯誤，攻擊者可利用這些缺陷和錯誤對電子政務(wù)系統(tǒng)進行非法授權(quán)和破壞。據(jù)國內(nèi)著名反黑專家、中科院物理所許榕研究員介紹，他與有關(guān)部門對國內(nèi)多家網(wǎng)站的安全性進行測試，測試結(jié)果顯示，90%的網(wǎng)站都存在不同程度的安全問題，無法有效地抵抗電子攻擊。2007至2008年，我國多個單位的電子政務(wù)系統(tǒng)曾遭受過利用漏洞發(fā)起的攻擊，甚至連公務(wù)員招考網(wǎng)站、網(wǎng)上銀行都不能幸免。目前，美國微軟公司幾乎壟斷了我國電腦軟件的基礎(chǔ)和核心市場，離開了微軟的操作系統(tǒng)，國產(chǎn)的大多數(shù)軟件就沒有了操作平臺，而操作系統(tǒng)自身的安全漏洞就非常多。同時，我國具有自主知識產(chǎn)權(quán)的信息設(shè)備、技術(shù)、產(chǎn)品較少，一些核心硬件基本上從國外進口，且對發(fā)達國家或跨國公司提供的關(guān)鍵設(shè)備中可能事先做的手腳無從檢測和排除，這將造成既花費大量資金，又買來了電子政務(wù)系統(tǒng)運行中的安全隱患。其次，絕大多數(shù)電子政務(wù)信息網(wǎng)絡(luò)運行的是TCP /IP、 NetBEUT、IPX/SPX等網(wǎng)絡(luò)協(xié)議，而這些網(wǎng)絡(luò)協(xié)議并非專為安全通訊而設(shè)計。在這些網(wǎng)絡(luò)中使用和運行的電子政務(wù)系統(tǒng)，本身就可能存在多方面的安全漏洞。

1.3 經(jīng)濟利益成為病毒、惡意軟件開發(fā)和傳播的最大驅(qū)動力，電子政務(wù)系統(tǒng)的安全性受到極大考驗

根據(jù)我國著名的反病毒公司金山發(fā)布的2008年度電腦病毒疫情報告顯示，2008年上半年，計算機病毒、木馬的數(shù)量呈爆炸式增長，其總數(shù)已經(jīng)超過了近五年的病毒數(shù)量的總和。金山毒霸全球反病毒監(jiān)測中心監(jiān)測數(shù)據(jù)顯示，截止到6月30日，2008年上半年，金山毒霸共截獲新增病毒、木馬1242244個，較2007年全年病毒、木馬總數(shù)增長了338%，其中90％以上帶有明顯的利益特征，有竊取個人資料、各種賬號密碼等行為。報告同時顯示，近年來肆虐互聯(lián)網(wǎng)的流氓軟件逐漸被控制，但是黑客和病毒制造者等團伙卻空前猖獗起來，他們除了制造能和殺毒軟件對抗的新病毒之外，還頻繁地在各個網(wǎng)站上植入木馬，并瘋狂地將用戶電腦變成任由他們控制的僵尸網(wǎng)絡(luò)（Botnet）。網(wǎng)絡(luò)黑客逐步形成了較為嚴密的組織，在組織內(nèi)部分工明確，從惡意代碼的制作，惡意代碼的散布到敏感信息的竊取都有專人負責(zé)，網(wǎng)絡(luò)攻擊從最初的技術(shù)炫耀轉(zhuǎn)向獲取經(jīng)濟利益，網(wǎng)絡(luò)攻擊的針對性和定向性越來越強。制造木馬、傳播木馬、盜竊賬戶信息、第三方平臺銷贓、洗錢，常規(guī)的病毒黑色產(chǎn)業(yè)鏈在2008年上半年開始正在發(fā)生新的變化。伴隨著病毒制作技術(shù)的進步，病毒產(chǎn)業(yè)鏈也隨之發(fā)生變化，新型產(chǎn)業(yè)鏈在技術(shù)上也呈現(xiàn)出分工明細的趨勢,例如專門對抗殺軟的病毒,專門下載其它病毒的downloader類別的病毒,專門的盜號功能等。

特別是當(dāng)一些政府網(wǎng)站被入侵后，由于這些網(wǎng)站的瀏覽量非常大，致使病毒的感染范圍非常廣，其中不乏金融、稅務(wù)、能源等關(guān)系到國計民生的重要單位。目前，各級電子政務(wù)系統(tǒng)已經(jīng)成為信息資源的最大擁有者，也是最大的信息資源生產(chǎn)者和發(fā)布者，這些具備重要價值的信息資源無疑將成為被攻擊和竊取的主要對象。

1.4 移動辦公設(shè)備和技術(shù)的普及，成為電子政務(wù)信息安全的所面臨的新問題

隨著計算機制造技術(shù)和應(yīng)用技術(shù)的不斷發(fā)展，筆記本電腦、移動硬盤、U盤等移動存儲設(shè)備購置成本不斷降低，它們被大量地應(yīng)用到了日常工作中，成為人們進行辦公信息存儲的首選設(shè)備。與此同時，近年來無線局域網(wǎng)產(chǎn)品逐漸走向成熟，正在以它的高速傳輸能力和靈活性發(fā)揮日益重要的作用。但正是由于移動辦公的“移動”特性，卻給當(dāng)前電子政務(wù)信息安全保障工作帶來了新的風(fēng)險，成為人們廣泛關(guān)注的新的研究課題。諸如筆記本電腦、移動硬盤、U盤等移動辦公設(shè)備，普遍存在易丟失泄密、內(nèi)外網(wǎng)交叉使用、公私交叉使用、病毒防范不到位等問題。無線局域網(wǎng)通過無線信道相互連接，電磁輻射難以精確地控制在某個范圍之內(nèi)，因此相對有線網(wǎng)絡(luò)，通過WLAN發(fā)送和接收數(shù)據(jù)容易受到各種被動和主動攻擊，如竊聽、篡改、拒絕服務(wù)攻擊等，面臨著比有線網(wǎng)絡(luò)更多、更嚴重的安全威脅。

1.5 P2P技術(shù)帶來了對電子政務(wù)信息安全的新威脅

P2P是一種分布式網(wǎng)絡(luò)，主要指由硬件形成連接后的信息控制技術(shù)，網(wǎng)絡(luò)的參與者共享他們所擁有的一部分硬件資源(處理能力、存儲能力、網(wǎng)絡(luò)連接能力、打印機等)。近年來P2P軟件迅速普及，幾乎在每個單位的辦公網(wǎng)絡(luò)中都可以找到它們的使用痕跡，但正是這種新的應(yīng)用型技術(shù)，給電子政務(wù)信息安全帶來了新的威脅。

2 運用多種電子政務(wù)信息安全保障技術(shù)，充分應(yīng)對新時期我國電子政務(wù)信息安全面臨的新問題

2.1 對電子政務(wù)系統(tǒng)進行全方位的安全管理

電子政務(wù)的信息安全是一個管理與技術(shù)相結(jié)合的問題，管理包括行政管理和技術(shù)管理。目前我國已經(jīng)開展電子政務(wù)工作的單位，基本都建立了由所在單位主要領(lǐng)導(dǎo)直接主管的信息安全組織機構(gòu)，明確了相關(guān)人員的職責(zé)，并制訂了信息安全的規(guī)章制度。在此基礎(chǔ)上，應(yīng)充分認識到電子政務(wù)運行中環(huán)境安全的重要性。正確選擇建筑物所處的位置，設(shè)置監(jiān)控系統(tǒng)，嚴格按照國家有關(guān)標準設(shè)計實施，須具備消防報警、安全照明、不間斷供電、溫濕度控制、防盜報警等能力，以保護系統(tǒng)免受水、火、地震、靜電、噪音、蟲害等因素的危害，技術(shù)人員對設(shè)備進行定期管理和維護保養(yǎng)，具有一定對抗自然和人為因素破壞的能力。其次是要加強對含有敏感信息的可移動媒體的管理，防止信息的泄露，針對不同類型的存儲介質(zhì)建立不同的安全處置方法、審批程序、報廢記錄等措施。

2.2 運用訪問控制技術(shù)，對來訪者進行用戶識別、權(quán)限分配和實時監(jiān)控

訪問控制是網(wǎng)絡(luò)安全防范和保護的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問。入網(wǎng)訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制，它分為三個步驟：用戶名的識別和驗證、用戶口令的識別和驗證、用戶帳號的缺省限制檢查。用戶只有通過以上三個步驟的合法驗證，才能登錄到相應(yīng)的電子政務(wù)系統(tǒng)當(dāng)中，然后系統(tǒng)根據(jù)來訪者所屬的用戶組分配權(quán)限。與此同時，網(wǎng)絡(luò)管理員應(yīng)對網(wǎng)絡(luò)實施監(jiān)控，服務(wù)器應(yīng)記錄用戶對網(wǎng)絡(luò)資源的訪問，服務(wù)器要以圖形、文字或聲音等方式對非法的網(wǎng)絡(luò)訪問給予警示。如果檢測到有人試圖非法進入電子政務(wù)系統(tǒng)，網(wǎng)絡(luò)服務(wù)器應(yīng)自動記錄企圖嘗試進入的次數(shù)，當(dāng)非法訪問的次數(shù)達到設(shè)定的數(shù)值，那么該帳戶將被自動鎖定。

2.3 合理配置防火墻是實現(xiàn)信息安全最基本的技術(shù)措施

配置防火墻是目前使用最廣泛的安全方法。防火墻是設(shè)置在被保護網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，采用包過濾或代理技術(shù)，根據(jù)既定安全策略允許特定用戶和數(shù)據(jù)包穿過，同時將安全策略不允許的用戶與數(shù)據(jù)包隔斷，有效監(jiān)控著內(nèi)外網(wǎng)之間的任何活動，防止惡意或非法訪問，保證了內(nèi)部網(wǎng)絡(luò)的安全。電子政務(wù)網(wǎng)絡(luò)由各級政府網(wǎng)絡(luò)組成，從網(wǎng)絡(luò)安全角度上看，它們屬于不同網(wǎng)絡(luò)安全域。所以，在各中心的網(wǎng)絡(luò)邊界以及政務(wù)網(wǎng)和Internet邊界都應(yīng)安裝防火墻，并實施相應(yīng)安全策略。同時通過合理的配置防火墻，也可以最大限度地減少P2P技術(shù)對電子政務(wù)系統(tǒng)的負面影響。目前應(yīng)用較多的防火墻主要有三種:數(shù)據(jù)包過濾防火墻、代理防火墻和雙穴主機防火墻。但是防火墻也有其自身的局限性，其中最重要的一點是它對來自網(wǎng)絡(luò)內(nèi)部的攻擊無能為力。

2.4 加密技術(shù)是政務(wù)信息完整性、機密性和不可抵賴性的保障

數(shù)據(jù)加密技術(shù)有著悠久的歷史，技術(shù)的成熟已經(jīng)是毋庸質(zhì)疑的。采用數(shù)據(jù)加密技術(shù)可以將敏感數(shù)據(jù)進行加密，防止被未經(jīng)授權(quán)人員竊聽和訪問，這是數(shù)據(jù)加密技術(shù)為電子政務(wù)網(wǎng)絡(luò)系統(tǒng)帶來最基本的好處。

另外，利用數(shù)據(jù)加密技術(shù)，可以在網(wǎng)絡(luò)上建立一種安全的數(shù)據(jù)傳輸通道，保證敏感數(shù)據(jù)從發(fā)出到接收在安全的環(huán)境下進行，從而打消了電子政務(wù)系統(tǒng)使用者的顧慮，推動電子政務(wù)系統(tǒng)的快速發(fā)展。

利用數(shù)據(jù)加密技術(shù)，在系統(tǒng)管理人員與電子政務(wù)系統(tǒng)使用人員(政府機構(gòu)工作人員)之間建立起了信任機制。系統(tǒng)管理人員不再能查看敏感信息的內(nèi)容，但又不影響他執(zhí)行系統(tǒng)管理的職責(zé)。

利用數(shù)據(jù)加密技術(shù)，可以實現(xiàn)數(shù)據(jù)的定向發(fā)送，這在公文流轉(zhuǎn)、受控文件的發(fā)放方面有重要意義。在進行數(shù)據(jù)發(fā)送之前，發(fā)送者可以通過SMIME協(xié)議，利用指定接收者的公鑰對數(shù)據(jù)進行定向加密，這樣做出來的加密數(shù)據(jù)只有指定接收者利用自己的私鑰才能解開，而且可指定多個接收者。

2.5 緊跟信息技術(shù)的發(fā)展，增進電子政務(wù)無線網(wǎng)絡(luò)安全

由于無線網(wǎng)絡(luò)先天設(shè)計便是以無線電技術(shù)為基礎(chǔ)，使得攻擊者可以在無線電波涵蓋的范圍內(nèi)進行通訊內(nèi)容的監(jiān)聽。如果使用者未將傳送的信息適當(dāng)?shù)倪M行加密，則入侵者很容易的便可竊取所有的通訊內(nèi)容。因此，除了修改網(wǎng)絡(luò)設(shè)計、修改預(yù)設(shè)等技術(shù)管理以外，電子政務(wù)無線網(wǎng)絡(luò)還要采取相關(guān)的管理措施，以便有效地提升電子政務(wù)無線網(wǎng)絡(luò)的安全性。首先要明確無線網(wǎng)絡(luò)的使用權(quán)限。政府或機關(guān)必須制定無線網(wǎng)絡(luò)使用的授權(quán)標準，規(guī)范可使用無線網(wǎng)絡(luò)人員授權(quán)方法以及無線網(wǎng)絡(luò)實體使用范圍；其次要確認無線網(wǎng)絡(luò)活動范圍。政府或機關(guān)必須針對內(nèi)部信息進行標記，限制電子政務(wù)無線網(wǎng)絡(luò)可存取的信息內(nèi)容及范圍，以免遭受入侵，造成損失；第三要確認無線網(wǎng)絡(luò)相關(guān)安全操作標準。對于電子政務(wù)無線網(wǎng)絡(luò)安全所必須遵守安全管理條文，并列出使用無線網(wǎng)絡(luò)各種狀況下所需符合的安全標準，例如加密機制的使用、安全控管方式等等；最后要確認無線網(wǎng)絡(luò)管理權(quán)責(zé)。政府或機關(guān)必須確認無線網(wǎng)絡(luò)設(shè)置、設(shè)定管理權(quán)責(zé)，并依照管理規(guī)定，定期稽核清查。