電子政務信息安全保障機制探討

摘 要：作為政府信息化工程的重要組成部分，電子政務在我國的發展已初具規模。由于政務信息的敏感性和保密性要求，以及網絡平臺的安全性影響，電子政務信息系統的安全保障是至關重要的。電子政務信息系統的安全保障涉及到網絡技術、系統功能、人員管理、法制法規等諸多因素，必須形成全面、規范、有執行力的保障機制。

關鍵詞：電子政務；信息安全；缺陷；保障機制；管理；法規

中圖分類號：TP309.2文獻標識碼：A文章編號：1009-3044(2008)29-0511-02

Discussion of E-government System Information Security Mechanism

ZHANG Hong-jiao

(Soochow University Politics and Administration College， Suzhou 215006， China)

Abstract: As one of the most important part of government information project， e-government in China is in a prosperous stage. Because the information about government is sensitive and secret somehow and based on Internet platform， it is vital to guarantee information security in e-government system. Network techniques， applications， users management and legislation are involved in how to guarantee information security， and to set up a comprehensive， normative and executable security mechanism is necessary.

Key words：e-government; information security; defect; security mechanism;management; legislation

1 引言

近年來，以互聯網技術為承載主體的信息技術的飛速發展，引發了一場深刻的生產和生活方式變革，極大地推動著經濟和社會的發展。作為信息高速公路五個應用領域中的首要應用，電子政府/電子政務在全球范圍內受到廣泛的重視，政府上網、政府工作電子化勢在必行，政府信息化已成為經濟信息化和社會信息化的前提，電子政務將是未來國家核心競爭力的重要因素之一。

所謂電子政務是指政府機構運用現代信息技術，在組織機構管理和服務職能實現上突破時間、空間和部門分隔的限制，形成精簡、高效、廉潔、公平的政府運作模式。電子政務模型可簡單分為兩方面：部門內部的網絡辦公平臺和各部門與社會各界之間的網絡信息溝通平臺。因此，電子政務實施過程中的首要問題，便是如何保障信息安全。如果信息安全不能得以保障，輕則影響電子政務信息系統正常功能的運轉，重則破壞政府的公眾形象甚至對社會的團結穩定產生危害。

2 電子政務常見信息安全漏洞及受攻擊方式

雖然實際使用的電子政務信息系統各異，但總體上可基本分為以技術為核心建立的開放與共享的應用平臺、以及以業務為核心的各項業務系統。因此，可能出現的安全隱患也分為技術性缺陷和管理或使用式缺陷。

2.1 技術性缺陷

1) 基礎網絡：首先，無論是有線還是無線網絡，其通信線路如電纜、微波等，都易遭物理破壞，或易被搭線竊聽，或易遭截獲、監聽等。其次，網絡拓撲結構設計不合理或缺乏可擴展性，很可能一個結點遭破壞導致整個系統癱瘓。

2) 操作系統和數據庫：目前所使用的計算機網絡操作系統，多偏重于考慮系統使用的方便性，其結構和代碼設計相對在系統的安全機制上考慮還不夠精細，或多或少存在些安全漏洞。數據庫管理系統基于分級理念對數據庫進行管理，同時數據庫管理系統的安全必須與操作系統的安全相配套，這樣系統的安全又出現一些不穩定因素。

3) 應用平臺：為便于在應用層面進行定期維護或升級，在開發電子政務信息系統的應用功能時，往往有可能留有所謂的“后門”，一旦被非法人員發現，破壞性有可能波及整個系統。

2.2 管理或使用式缺陷

1) 身份和口令：簡單的用戶名加口令的驗證方式極易導致合法身份被冒用，采用靜態口令也很容易在日志記錄中被竊取。內部用戶身份級別如劃定不嚴格將會導致信息使用級別的混亂。

2) 資源管理：內部用戶使用資源時，重要文件不加密，或將重要信息進行長期共享，傳遞信息時無身份認證，電子郵件大量群發等缺乏信息保密安全意識的資源管理行為，是常見的人為過失。

3) 制度法規：網絡信息安全法規目前尚未健全，尤其在涉及到政府各部門橫向信息交流時的安全約束機制尚有缺失。多見行政規定代替法規，但缺少統一標準，又大多不全面細化，難起到真正監管電子政務信息系統安全的作用。

正因為以上的安全漏洞，電子政務信息系統常遭受的攻擊方式有監聽和截取信息包、搭載木馬程序、掃描端口、占用服務器帶寬、破壞數據完整性、盜用賬號等，近年來還有一種新動向，即直接在網絡上假冒政府或某些職能部門的名義開設網站，以牟取非法利益。

3 電子政務信息安全保障機制

根據以上分析，電子政務信息安全的保障，不是簡單的一項措施，而需形成貫穿于系統的設計、運行和管理全過程的整套機制。具體可從以下幾個角度予以實施：

3.1 前瞻性安全規劃

由于電子政務信息系統的特殊性和敏感性，在從技術角度設計系統的同時，必須將安全保障技術納入整個系統內，并且要對將來可能發生的軟硬件環境變化做出預測，長期規劃，留有足夠的擴容和升級空間，避免基礎隱患。

3.2 系統運行環境安全

1) 網絡分級隔離：外網與內網和專網進行物理隔離，內網與專網、外網與Internet之間則采用邏輯隔離。內外網間必須安裝防火墻，根據各種過濾規則來判斷網絡數據是否能夠通過防火墻，用以加強網絡之間訪問控制、防止外網用戶以非法手段進入內網、保護內網中的特殊網絡互聯設備，既防止外來的入侵，也阻止局域網內部重要信息的泄露。內外網之間的通信則采用異步高位加密機制，可以保證內外網的通信安全。

2) 網絡設備和軟件：選用高帶寬網絡和高性能服務器。配備加密設備，使得數據以密文形式在網上傳送，保證數據的機密性與完整性。在安裝防火墻的基礎上，輔以入侵檢測系統，用于實時監控和記錄具攻擊性的信息代碼在進出網段的所有操作行為，并按制定的策略實行響應(阻斷、報警、發送電子郵件等)，從而防止網絡的攻擊與犯罪行為。安裝正版操作系統或源代碼對政府開放的操作系統，堅持日常維護和記錄，及時更新、升級病毒庫；使用安全掃描工具定期檢查系統漏洞和配置更改情況，及時安裝系統補丁，堵塞系統漏洞。

3.3 用戶應用安全

電子政務中，由于管理和使用不當造成的安全問題愈七成，因此加強人員對系統使用的安全意識，尤為重要。首先在系統投入使用前，必須對所有人員進行技術培訓；其次，在使用過程中，也應有針對性的就系統變更等問題與工作人員進行雙向交流。其它還需特別注意的地方有：

1) 管理員職責：管理員賬戶本身最易受到黑客攻擊，定期更換賬戶及密碼，是提高安全性的有效措施。同時，盡量不開放Guest賬戶，對其他用戶嚴格劃定訪問權限和資源使用權限；定期檢查用戶IP地址范圍，用戶使用系統的頻率和內容；發現異常及時封鎖IP或相應用戶賬號。

2) 普通用戶：在內部子網中不應開放共享目錄。如有經常交換信息需求的用戶，在共享時必須加上必要的口令認證機制。現在更為常見的方式是給用戶配備USB安全密鑰或者經第三方CA認證，可用來進行數字簽名和驗證簽名，確保通訊雙方的真實身份，兼具真實性和不可抵賴性，保障政務的安全傳送和處理。

3.4 數據安全

妥善保管進行數據存儲的各類介質，如光盤和移動硬盤等。要防盜、防損、防災。廢舊存儲介質要特別加強管理，必要時應予以銷毀。每日進行系統的安全備份，除本地備份，還可添加遠程備份方式，必要時進行紙質備份，務必使系統在出現問題時能迅速恢復到原有狀態或及時調出數據。

3.5 法規監管

再完美的電子政務信息系統也可能出現內部使用的疏忽或遭受外來的惡意攻擊，只有將網絡技術和網絡法律法規結合起來，并與國際立法規則相兼容，才能在發生問題后有法可依。建議制定專門的電子政務信息系統安全法。一是用以規范電子政務中的信息安全技術范疇，二是對破壞電子政務信息安全的行為如何處罰要從法律意義上制定專門的規定。

4 結論

電子政務信息系統的安全保障不但要從實現技術入手，更要與系統在政府工作中的重要地位相呼應，保證其先進性和可擴展性；要進行深入調研和長遠規劃，必須能夠適應網絡的快速發展變化。根本上還需要國家的司法支持和參與人員管理意識的增強。保障了電子政務的安全，才能保障政府信息化的順利推進。

參考文獻:

[1] 覃正. 中美電子政務發展報告[M]. 北京: 科學出版社， 2008(5).

[2] 國家信息安全工程技術研究中心，國家信息安全基礎設施研究中心. 電子政務總體設計與技術實現[M]. 北京：電子工業出版社，2003.

[3] 樊博. 電子政務[M]. 上海：交通大學出版社， 2006(6).

[4] 褚俊，蘇震. 電子政務安全技術保障[M]. 北京：中國人民大學出版社， 2004(3).

[5] 蘇玉召，趙妍. 計算機網絡信息安全及其防護策略的研究[J]．計算機與信息技術，2006 (5).

[6] 王海濤. 電子政務中的安全問題[J]．佳木斯大學學報:自然科學版，2005 (2).

[7] 羅茂斌. 論電子政務與電子文件的保護[J]. 檔案管理，2001(4).

[8] 鄧崧. 電子政務價值評估研究[D]. 上海：同濟大學，2007.