试论电子政务网站的安全管理.docx

《试论电子政务网站的安全管理.docx》由会员分享，可在线阅读，更多相关《试论电子政务网站的安全管理.docx（11页珍藏版）》请在三一办公上搜索。

1、试论电子政务网站的安全管理试论电子政务网站的安全管理 摘要 如今电子信息化的飞速发展，电子政务已逐渐成为*对民办公和与民联系的重要平台。这个平台必须要能连续使用并且安全性很高，这才能保证*的各项业务能流畅进行，才能达到提高*办事效率；便民、利民的目的。然而，在这一进程中，安全问题成为阻碍其发展的重要因素之一。病毒、黑客侵袭信息网络系统的例子不胜枚举。这些破坏行为会带来巨大的经济损失，尤其对于*网络系统而言，除了经济损失外，还会带来国家安全、社会稳定，甚至是人类生存等重大问题。具体而言，在维护电子*的良好形象、保证政务系统的安全运行、保护涉密政务信息的内容和传输安全、控制政务系统中的权限、认证政

2、务活动中的身份、保障政务信息存储安全、系统的安全备份与恢复机制等诸多方面，电子政务都有着强烈的安全需求。 关键词 电子政务 政务 安全 管理 电子政务是一个综合性信息系统，业务涉及*机关内部，其他机关、团体、企业和社会公众。所处理的信息既包括*机关内部的信息，也包括可在一定范围内交流的信息，还包含可以公开发布的信息。在机关内部，主要处理流程模拟、协作，信息发布，受理各类申请、投诉、建议和要求，既有信息的发布和接收，还有交互式的处理。电子政务系统建设包括涉及*内部核心机密的应用系统，主要有机要、秘密文件及相关信息数据管理系统；领导事务管理系统，包括日程安排、个人信息等；涉及重大事件的决策分析、决

3、策处理系统；涉及国家重大事务的数据分析、处理系统；涉及重要事务的核心数据库系统。如何保证这种基于网络的、符合Internet技术标准的、面向*机关内部和其他*机构、企业以及社会公众提供信息服务和信息处理的系统安全、正常运转，是电子政务建设的关键之一。 如今电子信息化的飞速发展，电子政务已逐渐成为*对民办公和与民联系的重要平台。这个平台必须要能连续使用并且安全性很高，这才能保证*的各项业务能流畅进行，才能达到提高*办事效率；便民、利民的目的。然而，在这一进程中，安全问题成为阻碍其发展的重要因素之一。病毒、黑客侵袭信息网络系统的例子不胜枚举。这些破坏行为会带来巨大的经济损失，尤其对于*网络系统而言

4、，除了经济损失外，还会带来国家安全、社会稳定，甚至是人类生存等重大问题。具体而言，在维护电子*的良好形象、保证政务系统的安全运行、保护涉密政务信息的内容和传输安全、控制政务系统中的权限、认证政务活动中的身份、保障政务信息存储安全、系统的安全备份与恢复机制等诸多方面，电子政务都有着强烈的安全需求。从安全需求来说，一般的电子政务可以划分为四层。第一层是核心决策层，就是国家涉密的、最核心、最机密的那一层。对于这一层来说，高度的认证，高度的预审和用核心密码加密，非常必要和重要。第二层市*业务处理层。这一层一般是有防火墙、访问控制等安全措施组成。一、二层合起来就是内网。第三层是与合作的信息交换层。第四层

5、、，即最外层，就是公共服务层。其中一、二、三层和起来称*内部网。内部网与第四层应根据国家保密局要求，实施物理隔离。 电子政务中的安全管理，应该分为两个层次:一个层次是从国家强制角度的安全管理，这就是立法和制定相关的技术标准，由执法机关来监督实施；另一个层次是应用系统使用单位自身的管理。从整体上看，应该在以下的几个方面考虑电子政务的安全管理： 一、电子政务体系中各层面上的安全管理； 二、电子政务系统中维护的安全管理； 三、证书中心的安全管理； 四、安全技术与产品的安全管理。 认证中心的安全管理问题: 电子政务活动中，传统白纸黑字的认证方式已不存在，网上的身份认证是必需的。证书中心的安全管理是整个

6、电子政务系统安全的关键环节。 证书中心的任务是要解决以下的问题： 1.身份认证服务。为进行电子政务业务的实体定义惟一的电子身份标识，并通过该标识进行身份 认证，保证身份的真实性。 2.数据完整性服务。保证收发双方数据的一致性，防止信息被非授权修改。 3.不可否认服务。为第三方验证信息源的真实性和信息的完整性提供证据，它有助于责任机制的建立，为解决电子政务中的争议提供法律证据。 所以证书中心本身的安全，是电子政务乃至所有网上活动安全的关键环节。必须解决证书中心应该由谁来建，怎样建，谁来管理的问题。因此，应该从立法的角度对证书中心的建设与运管及责任与义务作出规定。证书中心建设的立项和审批必须通过公

7、安信息网络安全监察部门，未得到公安部门安全许可的单位不得建立这样的认证中心。 证书中心所采用的技术，目前来说已经不是问题，但采取什么样的技术，采用谁的技术这是个问题。证书中心必须建立在我们自己的技术平台上，这是一个关系到国家主权和安全的问题，也应该从立法的角度予以明确。 证书中心的安全管理是极为重要的，否则安全就得不到保障。应该由公安部门对证书中心进行严格的日常监管,必须有严格的人员审查机制和日常的管理机制。 维护中的安全管理问题 电子政务中的应用开发、系统运行、日常维护、重要设备维护等大都涉及信息安全，“电子政务信息安全管理的核心要素是高素质的人和技术队伍”。 电子政务的大力加强，必然导致系

8、统维护工作量的大大增加，但是目前的公务员队伍只有极少数的人具有一定的计算机技术知识，有相当多的人不懂计算机，这是目前*实现电子政务中极为突出的矛盾。另外，从事业的发展角度来看，这些维护性工作全由*部门自己包起来的做法也不妥当。一方面*会增大开资，而另一方面，一个单独的*部门也难以在某一领域内进行深入的研究，所以也不能更好地使电子政务事业得到发展。而专业的维护公司，可根据自身的经济与技术实力，加大研究的力度，可以更好地为电子政务系统服务，也会为*节约相当大的开支。但这样就会产生一个矛盾，即维护外包与信息安全之间的矛盾。 从*的某一个部门，很难解决这样的矛盾，但可以从行政法规进行某种规定，从立法的

9、角度来解决这一问题。对这种从事所谓“电子物业”的公司进行相关的管理。从事这类服务的公司或其他单位应该具有以下的条件：有较强的经济技术实力；内部有较好的管理机制；所有的员工均在接受由公安部门进行的安全培训并在公安部门备案；由公安、服务委托方和受托公司签安全保密协议；受托方公司的每一员工也要签相关的安全保密协议，知道自己应该承担的义务；公安部门对受托公司委约的不定期的检查；制定相应的罚则。 安全产品的安全管理问题 计算机信息系统安全专用产品，是实现计算机信息系统安全的技术保证，电子政务系统的建设也离不开安全产品的使用，对安全产品的管理应该在目前的水平上进行加强。 1.安全产品选择的管理 安全产品同

10、其他计算机产品一样，也存在着安全漏洞、后门、隐蔽信道等问题，所以在安全产品选择和采购等方面要进行管理。应该有明确的规定，安全专用产品的采购除了必须符合国家各方面的相关规定，如公安部的许可证，国家保密局对涉及国家秘密网络使用安全产品的规定等外，还必须选择有我国自主知识产权的安全产品。 2.经销环节的管理 安全产品不同于网络产品或其他计算机产品，服务是非常重要的。安全体系建设应该是个性化的，要根据用户的“应用”来制定完全个性的安全策略，并构建安全体系。对于相同的行业用户，即使是有相同的“应用”，也要考虑采取不同的安全策略。现在有一种做法，许多行业和部门，为了降低费用，往往采取从上至下选择同一种安全

11、产品。这实际上存在着一种弊端，行业外的用户攻击我们可能会有较好的防护，但在行业内，掌握相同安全策略的人在不同的部门中会有很多。就会出现，多个防盗门用的是同样的锁、同样的钥匙，而这样的钥匙且掌握在多个人手中。 这种根据“应用”来制定安全策略的方针，实际上是建立在风险分析基础上的。不同的网络应用对风险所造成后果的容忍程度是不一样的，应该基于风险分析得出的结论来制定一个合理的安全策略。寻找风险与安全投入的一个最佳的平衡点，也就是说这种策略的制定应该是合理的。不合理的安全策略，不仅浪费了投资，同时也会造成安全隐患。 后期服务与升级。安全产品的售后服务是十分重要的，对一般的计算机产品可能有备机、备份的数

12、据、备份的系统，就可以完成一般的灾难恢复。但是，对于安全产品的后期服务来说，就不能靠单纯的备机来实现，除非是硬件损坏。如果出现如黑客攻击造成的灾害时，安全策略的重新制定就是必需的。 网络环境为信息共享、信息交流、信息服务创造了理想空间，同时也产生了许多安全问题如信息泄漏、信息污染、信息不易受控等。网络运用的趋势是全社会广泛参与，但随之而来的是控制权分散的*电子政务管理问题。由于人们利益、目标、价值的分歧，使信息资源的保护和管理出现脱节和真空，从而使信息安全问题变得广泛而复杂。在网络环境中，一些组织或个人出于某种特殊目的，进行信息泄密、信息破坏、信息侵权和意识形态的信息渗透，甚至通过网络进行政治

13、颠覆等活动，使国家利益、社会公共利益和各类主体的合法权益受到威胁。随着社会重要基础设施的高度信息化，社会的“命脉”和核心控制系统有可能面临更大的威胁。 一、网络安全风险分析 电子政务网络安全是网络正常运行的前提。网络安全不只是单点的安全，而是整个信息网的安全，需要从物理、网络、系统、应用和管理方面进行立体的防护。要想知道如何防护，首先需要了解安全风险来自于何处。电子政务网络安全系统必须包括技术和管理两方面，涵盖物理层、系统层、网络层、应用层和管理层各个层面上的诸多风险类。无论哪个层面上的安全措施不到位，都会存在很大的安全隐患，都有可能造成网络的中断。根据国内网络系统的网络结构和应用情况来看，应

14、当从网络安全、系统安全、应用安全及管理安全等方面进行全面地分析。风险分析是*电子政务网络安全技术需要提供的一个重要功能。它要连续不断地对网络中的消息和事件进行检测，对系统受到侵扰和破坏的风险进行分析。风险分析必须包括网络中所有有关的成分。 我国*电子政务网络安全问题日益突出的主要标志是：一是计算机系统遭受病毒感染和破坏的情况相当严重；二是电脑黑客活动已形成重要威胁；三是信息基础设施面临网络安全的挑战；四是网络政治颠覆活动频繁。 我国*电子政务网络安全防范能力被制约的因素主要有以下几方面： 一是计算机网络和软件核心技术缺乏。我国*电子政务信息化建设过程中缺乏自主技术支撑。计算机安全的问题存在于C

15、PU芯片、操作系统、数据库和网关软件的大多依赖进口。我们的网络发展很快，但安全状况如何？现在有很多人投很多钱去建网络，实际上并不清楚建的是没有防范的网，是没有保护的裸网，这如同房产公司盖了很多楼，门窗都不加锁就交付给业主去住。由于缺乏自主技术，我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中，网络安全处于极脆弱的状态。 二是安全意识淡薄。目前，在网络安全问题上还存在不少认知盲区和制约因素。网络是新生事物，许多人一接触就忙着用于学习、工作和娱乐等，对网络信息的安全性无暇顾及，安全意识相当淡薄，对网络信息不安全的事实认识不足。与此同时，网络经营者注重的是网络效应，对安全领域的投入和管理远

16、远不能满足安全防范的要求。总体上看，电子政务网络信息安全处于被动的封堵漏洞状态，没有形成主动防范、积极应对的全民意识，更无法从根本上提高网络监测、防护、响应、恢复和抗击能力。近年来，国家和各级职能部门在*电子政务信息安全方面已做了大量努力，但就范围、影响和效果来讲，迄今所采取的*电子政务信息安全保护措施和有关计划还不能从根本上解决目前的被动局面，整个信息安全系统在迅速反应、快速行动和预警防范等主要方面，缺少方向感、敏感度和应对能力。 三是*电子政务运行管理机制的缺陷和不足制约了安全防范的力度。电子政务运行管理是过程管理，是实现全网安全和动态安全的关键。有关电子政务信息安全的政策、计划和管理手段

17、等最终都会在*电子政务运行管理机制上体现出来。就目前的电子政务运行管理机制来看，有以下几方面的缺陷和不足。 1、*电子政务网络安全管理方面人才匮乏。由于互联网通信成本极低，分布式客户服务器和不同种类配置不断更新和发展及技术应用的扩展，技术的管理也应同步扩展，但从事系统管理的人员却往往并不具备安全管理所需的技能、资源和利益导向。*电子政务信息安全技术管理方面的人才无论是数量还是水平，都无法适应*电子政务信息安全形势的需要。 2、安全措施不到位。互联网越来越具有综合性和动态性特点，这同时也是互联网不安全因素的原因所在。然而，网络用户对此缺乏认识，未进入安全就绪状态就急于操作，结果导致敏感数据暴露，

18、使系统遭受风险。配置不当或过时的操作系统、邮件程序和内部网络都存在入侵者可利用的缺陷，如果缺乏周密有效的安全措施，就无法发现和及时查堵安全漏洞。当厂商发布补丁或升级软件来解决安全问题时，许多用户的系统却不进行同步升级，主要是管理者未充分意识到网络不安全的风险所在，未引起重视。 3、缺乏综合性的解决方案。面对复杂的不断变化的互联网世界，大多数*电子政务部门缺乏综合性的安全管理解决方案，使这些*电子政务部门就此产生了虚假的安全感，渐渐丧失警惕。实际上，一次性使用一种方案并不能保证系统一劳永逸和高枕无忧，网络安全问题远远不是防毒软件和防火墙能够解决的，也不是大量标准安全产品简单堆砌就能解决的。近年来

19、，国外的一些互联网安全产品厂商及时应变，由防病毒软件供应商转变为企业安全解决方案的提供者，他们相继在我国推出多种全面的企业安全解决方案，包括风险评估和漏洞检测、入侵检测、防火墙和虚拟专用网、防病毒和内容过滤解决方案等一整套综合性安全管理解决方案。 四是缺乏制度化的防范机制。不少*电子政务部门单位没有从管理制度上建立相应的安全防范机制，在整个运行过程中，缺乏行之有效的安全检查和应对保护制度。不完善的制度滋长了网络管理者和内部人士自身的违法行为。许多网络犯罪行为(尤其是非法操作)都是因为内部联网电脑和系统管理制度疏于管理而造成的。同时，政策法规难以适应网络发展的需要，*电子政务部门信息立法还存在相

20、当多的空白。个人隐私保护法、数据库保护法、数字媒体法、数字签名认证法、计算机犯罪法以及计算机安全监管法等信息空间正常运作所需的配套法规尚不健全。由于网络作案手段新、时间短、不留痕迹等特点，给侦破和审理网上犯罪案件带来极大困难。 目前电子政务系统的安全问题主要包括以下几个方面：非法访问，电子政务系统中在实际运行环境中，非法用户可能企图假冒合法用户的身份进入系统，低权限的合法用户也可能企图执行高权限用户的操作，这邪恶非授权访问给系统的运行带来了很大的安全风险。信息泄密或被剖爱，因为电子政务系统的数据涉及敏感信息、商业秘密、甚至国家秘密。这些重要信息在存储、传输、转发、处理、销毁过程中必须要防泄密、

21、防募改和防破坏，所以数据的加密技术至关重要。网络安全管理制度缺乏，网络安全最重要的还是要思想上高度重视，建立和实施严密的计算机网络安全制度与策略是真正实现网络安全的基础。 二、电子政务的网络信息安全技术 1.防火墙技术 常见的防火墙可以归为三类，即包过滤防火墙、双宿网关防火墙和屏蔽子网防火墙。包过滤型防火墙就是通过包过滤技术实现对进出数据的控制。包过滤防火墙在网络层对进出内部网络的所有信息进行分析，并按照一定的安全策略进行筛选，允许授权信息通过，拒绝非授权信息。双宿网关是一种拥有两个连接到不同网络上的网络接口的防火墙。双宿网关是一种拥有两个连接到不同网络上的网络接口的防火墙。双宿网关防火墙又称

22、为双重宿主主机防火墙，屏蔽子网防火墙是在内网和外网之间建立一个子网以进行隔离，这个屏蔽子网区域成为边界网络，也成为非军事区。 2VPN技术 VPN是指虚拟专用网络。它是指“在公众数据网络上建立属于自己的私有数据网络”。它构建在公网之上，却如同一个专用网络，所以被成为“虚拟专用网络”。VPN有如下两层含义：它是虚拟的网络，即没有固定的物理连接，只有用户需要时才建立连接它是利用公共网络设施构成的专用网。虚拟专用网VPN是专用网络在公共网络上的扩展，VPN通过私有隧道技术在公共网络上仿真一条点到点专线，从而达到安全传输的目的。 3.入侵检测技术 入侵检测技术，便是对入侵行为的发觉。它通过对计算机网络

23、或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象，进行入侵检测的软件与硬件的组合便是入侵检测系统，入侵检测技术是发现攻击者企图参透和入侵行为的技术，入侵检测技术根据入侵者的攻击行为与合法用户的正常行为明显的不同，实现对入侵行为的检测和告警，以及对入侵者的跟踪定位和行为取证。 对解决我国*电子政务网络安全问题的几点建议 就*层面来说，解决网络安全问题应当尽快采纳以下几点建议： 一是在国家层面上结合我国国情制定的计划能全面加强和指导国家政治、军事、经济、文化以及社会生活各个领域的网络安全防范体系。 二是建立有效的国家*电子政务信息安全管理

24、体系。改变原来职能不匹配、重叠、交叉和相互冲突等不合理状况，提高*的管理职能和效率。 三是加快出台相关法律法规。改变目前一些相关法律法规太笼统、缺乏操作性的现状，对各种*电子政务信息主体的权利、义务和法律责任，做出明确的法律界定。 四是在信息技术尤其是*电子政务信息安全关键产品的研发方面，提供全局性的具有超前意识的发展目标和相关产业政策，保障*电子政务信息技术产业和*电子政务信息安全产品市场有序发展。 五是加强我国*电子政务信息安全基础设施建设，建立一个功能齐备、全局协调的安全技术平台(包括应急响应、技术防范和公共密钥基础设施等系统)，与*电子政务信息安全管理体系相互支撑和配合。 网络环境的复

25、杂性、多变性，以及*电子政务信息系统的脆弱性，决定了网络安全威胁的客观存在。我国日益开放并融入世界，加强安全监管和建立保护屏障势在必行。信息安全是涉及我国经济繁荣、社会发展和国家安全的重大问题。近年来，随着国际政治形势的发展，以及经济全球化过程的加快，人们越来越清楚，*电子政务信息时代所引发的信息安全问题不仅涉及国家的经济安全、金融安全，同时也涉及国家的国防安全、政治安全和文化安全。可以说，在*电子政务信息化社会里，没有*电子政务信息安全的保障，国家就没有安全的屏障。目前我国*、相关部门和有识之士都把网络监管提到新的高度，衷心希望在不久的将来，我国*电子政务信息安全工作能跟随信息化发展，走上一个新台阶。