1 引子
电子政务是政府机构运用现代信息与通讯技术,将管理与服务通过信息化集成,在网络上实现政府组织结构和工作流程的优化重组,超越时间、空间与部门分割的限制,全方位地向社会提供高效、优质、规范、透明的管理与服务。电子政务作为当代信息化最重要的领域之一,已经成为全球关注的焦点,是我国现代化进程中不可或缺的一环,也是我们全面提升政府机构管理与服务水平的重要技术手段。
电子政务的意义,在于突破了传统的工业时代"一站式"政府办公模式,建立了适应网络时代的"一网式"、"一表式"新模式开辟了推动社会信息化的新途径, 创造了政府实施产业政策的新手段,管理水平实现跨越式发展。
党中央、国务院特别重视发展我国的电子政务。中共中央在“关于制定国民经济和社会发展第十个五年计划的建议”中就明确提出要加快国民经济和社会信息化;新世纪刚开始,国务院又相继发出了进一步推进政府系统信息化建设的文件,要求各级政府要进一步加强党政网基础设施建设,切实搞好“三网一库”。
2 问题及对策
电子政务的安全问题倍受人们关注,安全性问题是电子政务的首要问题,各国政府都在开展这方面的研究。在电子政务系统的技术选择过程中,应该首先考虑政务信息的安全问题。电子政务系统是供政府和公民使用的信息交流平台,在这之上流动的有可公知公用的信息,还有的是需要保密的非公开信息。即使说一个电子政务网络可以提供强大的功能,可以解决大部分电子政府信息交互的问题,但其本身使用不是本国的软件、硬件,而这些软件、硬件使用的技术不是本国所掌握的或者说这些软硬件并不能保证电子政府免受病毒侵害、黑客攻击,那么,何谈电子政务的安全性,稳定性。这样一来,我们的很多政务信息就不只是“公之于众”了,而且将会是“大白于天下”了!
2.1 电子政务安全的威胁
2001年,武汉一名黑客通过境外代理服务器,使用隐藏真实IP地址等手段,利用一种经他改造过的黑客软件,在网上大肆对国内一些地方政府网站进行攻击,先后入侵武昌区政府网站、大冶市政府网站、黄石热线网站、数字重庆网站等,肆意修改主页内容、粘贴色情淫秽图片和对政府人员进行政治和人身攻击,造成了极其恶略的社会影响。
2003年,黑龙江省公安厅网络监察处在农垦公安局网监部门的配合下,侦破一起利用黑客攻击政府网站的案件,行为人潘某被抓获。今年6月初,潘某用弱口令扫描软件进行扫描,发现辽宁一政府网站使用的是弱口令,就进入该网站,并在该网站的服务器上建立了自己的FTP服务,把自己的论坛主页上传到该网站服务器上,并做了链接。
《计算机硕士“黑客”攻击政府网站嫁祸他人被判》;《“黑客”今年17岁 为显示自己攻击政府网站》;《大学生在家攻击政府网站 神勇公安一举拿获》。。。。。。如此种种,政府网站遭受攻击的案例屡见不鲜,我国电子政务的安全堪忧。
电子政务安全是一个复杂的系统工程。仅从安全威胁的来源来看,可以分为内、外两部分。所谓“内”,是指政府机关内部;而“外”,则是指社会环境。来自于外部的威胁有病毒传染、黑客攻击、信息间谍、信息恐怖活动、信息战争、自然灾害等,而来自内部的威胁则包括内部人员恶意破坏、管理人员滥用职权、执行人员操作不当、内部管理疏漏、软硬件缺陷等。
一般说来电子政务安全中普遍存在着以下几种安全隐患:
◆ 窃取信息
由于未采用加密措施,调制解调器之间的信息以明文形式传送,入侵者使用相同的调制解调器就可以截获传送的信息。同时,政府机关内部人员更是可以十分轻松的将一些机要信息泄漏出去,此谓“监守自盗”。
◆ 篡改信息
当入侵者掌握了信息的格式和规律之后,通过各种方式,在原网络的调制解调器之间增加两个相同类型的调制解调器,将通过的数据在中间修改,然后发向另一端。这便严重的破坏了原信息的完整性与有效性。
◆ 冒名顶替
由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户及送假冒的信息或者主动获取信息,而远端用户通常很难分辨。同时,由于内部权限分配不明或者滥用他人名义实施违法活动,极有可能造成“栽赃嫁祸”。
◆ 恶意破坏
由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入两边的网络内部,其后果是非常严重的。如果政府内部人员与外部不法分子勾结或由于发泄私愤,从而破坏重要信息的数据库或其他软硬件,后果更是不堪设想。
◆ 失误操作
由于缺乏明确的操作规程和必要的备份措施,加之部分工作人员的安全意识不强和安全技术有限,一旦出现失误操作,重要的信息将无法恢复。
2.2 电子政务安全的意义
发展电子政务的一项主要任务就是让政府在互联网上树立良好的形象。但是,如果政务系统经常遭到攻击和破坏,基本的安全都得不到保障,又何从谈起形象问题。而且,由于电子政务的特殊性,一旦发生安全事故,轻则干扰人们的日常生活,重则造成巨大的经济损失,甚至威胁到国家的安全。因此,安全的意义不言而喻。失去了安全的基石,再方便、先进的政务方式也只能是“空中楼阁”!
2.3 电子政务安全的需求
安全的电子政务应该实现五项性能,即有效性、保密性、完整性、可鉴别性和可监控/审查性。
(1)有效性
电子政务作为政务的一种形式,其信息的有效性将直接关系到国家、企业、个人的政治利益、经济利益和声誉。试想,如果政府的灾情、疫情电子公告出现差错,那么,极有可能引发社会动荡。因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证政务信息在确定的时刻、确定的地点都是有效的。
(2)机密性
电子政务的信息直接代表着国家和企业的机密。例如,很多对外贸易企业的网上“报关”,所传输的信息都是企业的商业秘密,必须保证其机密性。然而,电子政务是建立在一个较为开放的网络环境上的(尤其Internet是更为开放的网络), 维护机密是电子政务全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取。
(3)完整性
电子政务简化了政务过程,减少了人为的干预,同时也带来维护政务信息的完整、统一的问题,保持政务信息的完整性是电子政务应用的基础。比如统计部门网上采集关系国计民生的数据,如果其完整性得不到保证,信息出现差错,那么,将最终影响政府做出正确的决策,其严重性可想而知。因此,要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。
(4)可鉴别性
电子政务直接关系企业和个人的利益,如何确定网上管理的行政对象正是所期望的管理对象这一问题则是保证电子政务顺利进行的关键。像税务系统正在实施的“金税工程”,如何确定纳税人的身份,如何确保企业不对网上下达的催税通知加以抵赖,都是十分重要的问题。因此,要在交易信息的传输过程中为参与政务的个人、企业或国家提供可靠的标识。
(5)可监控/审查性
根据机密性和完整性的要求,应对数据审查的结果进行记录。同时,国家正实施为了实现审计工作数字化的“金审工程”,更是需要各政府机关把网上的政务信息加以保留,已备审计。
2.4 电子政务安全的对策
根据国家信息化领导小组提出的"坚持积极防御、综合防范"的方针,我建议从如下三方面解决好我国电子政务的安全问题,即“一个基础(法律制度),两根支柱(技术,管理)”。
信息安全要靠技术,更要靠管理,要把技术和管理相结合,要以人为本,提高安全意识,才能增强信息安全的保障。当然,所有这些都必须建立在国家各种法律制度的基础之上,才会得到切实的保障。
2.4.1 安全技术方面
2.4.1.1 网络安全技术
一个全方位的计算机网络安全体系结构包含网络的物理安全、访问控制安全、系统安全、用户安全、信息加密、安全传输和管理安全等。充分利用各种先进的主机安全技术、访问控制技术、防火墙技术、安全审计技术、安全管理技术、系统漏洞检测技术、黑客跟踪技术,在攻击者和受保护的资源间建立多道严密的安全防线,极大地增加了恶意攻击的难度,并增加了审核信息的数量,利用这些审核信息可以跟踪入侵者。
在实施网络安全防范措施时:
◆ 首先要加强主机本身的安全,做好安全配置,及时安装安全补丁程序,减少漏洞;
◆ 其次要用各种系统漏洞检测软件定期对网络系统进行扫描分析,找出隐患,及时修补;
◆ 建立完善的访问控制措施,安装防火墙,加强授权管理和认证;
◆ 安装防病毒软件,加强内部网的整体防病毒措施;
◆ 对敏感的设备和数据要建立必要的物理或逻辑隔离措施;
◆ 利用数据存储技术加强数据备份和恢复措施;
◆ 建立详细的安全审计日志,以便检测并跟踪入侵攻击等。
2.4.1.2 政务安全技术
我们区别地借鉴电子商务在此方面的成功经验。
(1)加密技术
加密技术是一种主动的信息安全防范措施,可根据需要在信息交换的阶段使用。目前,加密技术分为两类,即对称加密和非对称加密。它可以解决诸如信息的篡改、假冒等问题。
(2)数字签名
通过数字签名能够实现对原始报文的鉴别和不可抵赖性。ISO/IEC JTC1已在起草有关的国际标准规范。该标准的初步题目是"信息技术安全技术带附件的数字签名方案",它由概述和基于身份的机制两部分构成。
(3)认证机构(CA)
目前,全方位税收电子化系统的“金税工程”、完整的通关业务电子化的“金关工程”等,都需要实现网上安全支付。因此,建立安全的认证体系(CA)也是电子政务的中心环节,建立CA的目的是加强电子证书和密钥的管理工作,控制交易的风险,从而推动电子政务的发展。与电子商务CA的情形不同,由于电子政务的一方是政府机构,其本身就是天然的值得信赖的CA。
(4)安全认证协议
A. SSL
SSL(安全槽层)协议是由Netscape公司研究制定的安全协议,该协议向基于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。该协议通过在应用程序进行数据交换前交换SSL初始握手信息来实现有关安全特性的审查。该协议已成为事实上的工业标准,并被广泛应用于Internet和Intranet的服务器产品和客户端产品中。
B. SET
SET向基于信用卡进行电子化交易的应用提供了实现安全措施的规则。它是由Visa国际组织和万事达组织共同制定的一个能保证通过开放网络(包括Internet)进行安全资金支付的技术标准。SET 1.0版已经公布并可应用于任何银行支付服务。
2.4.2 安全管理方面
在电子政务的安全建设中,管理的作用至关重要。网络提供多种便捷的应用,帮助我们提高工作的效率,而同时因为许多管理上的原因,使我们的网络不安全、不稳定,特别是在电子政务建设过程中网络的安全问题,由于政府工作人员对信息网络安全方面警惕性不高,这样就导致了效率的低下,浪费了投资,严重时会引起泄密事件。
2.4.2.1 管理对象
重点在与人和策略的管理,人是一切策略的最终执行者。
2.4.2.2 管理内容
(1)核心业务层与外网隔离
党政军内部网络是我国信息网络的重要组成部分,按照2002年发过的17号文件精神,国务院办公厅把信息网络分为内网(涉密网)、外网(非涉密网)和因特网三类,而且明确内网和外网要物理隔离。但从近几年部分单位安全检查遇到的案例来看,有的不遵守安全保密规定,将内网直接或间接地与因特网连接,这些问题的存在直接带来了安全威胁。
(2)政务系统中权限的控制
电子政务需要划分成若干个安全域,不同的安全域中,安全的要求、级别是不一样的,因此需要把使用不同级别政务信息资源的用户划分成不同类型,实现不同类型人员对不同级别信息访问的控制策略。
(3)系统的安全备份与恢复机制
鉴于政务信息的重要性和特殊性,建立必要的备份制度和有效的系统和数据恢复机制是保障电子政务安全的基本需求。
(4)定期检测和审计机制
对于电子政务系统运行中的漏洞以及工作人员在执行安全策略方面的疏忽必须加以监控并且及时纠正。
(5)信息发布严格合理审查机制
敌对力量通过网络系统散布不满情绪、制造流言、做颠覆性的宣传等不利于政治与社会稳定的行为。因此,需要对发布的信息进行必要的审查,尤其是要看管好BBS系统。
(6)废旧信息存储介质的处理
等,往往存储过涉密信息,有的国家可以从消过磁的介质中恢复曾经存储过的信息,情报机关就利用收集废旧物品的机会专门搜集废旧磁媒体,从中获取情报。因此对废旧磁媒体要特别加强管理。
2.4.2.3管理步骤
(1)事前明确要求
(2)事中严格监督
(3)事后严肃惩处
2.4.3 安全法律方面
(1)现有部分计算机网络管制法:
A. 《中华人民共和国保守国家秘密法》第三章
B. 《计算机病毒控制规定》
C. 《计算机软件保护条例》
D. 《中华人民共和国计算机信息系统安全保护条例》
E. 《中华人民共和国计算机网络国际联网管理暂行规定》
F. 《中华人民共和国计算机信息网络国际联网管理暂行规定实施细则》
(2)现有部分主要行政法:
A. 《中华人民共和国行政许可法》
B. 《中华人民共和国行政诉讼法》
C. 《中华人民共和国行政复议法》
D. 《中华人民共和国行政处罚法》
E. 《中华人民共和国行政监察法》
(3)有关部委制定的规章制度,比如《国土资源管理系统行政为民措施》和《国土资源管理系统工作人员禁令》都是比较有效的保障网上政务安全运行的成功典范。
(4)电子政务的安全实施和保障,应以国家法规形式将其固化,成为电子政务实施和运行的行为准则,成为电子政务国际交往的重要依据。因此,制订政务信息公开法,适度的解密和规范开放的规则,保护政府部门间信息的正常交流。建立电子签章(含数字签名和电子印章)和电子文档的立法保护。加快个人数据保护法的制订,是必要的。
2.5 电子政务安全的特别注意问题
(1) 电子政务产品的自主开发性
由于电子政务的国家涉密性,电子政务系统工程的安全保障需要各种有自主知识产权的信息安全技术和产品,全面推动自主研发和创新这些技术和产品是电子政务安全的需要。
电子政务安全涉及信息安全产品的全局配套和科学的布置,产品选择应考虑产品的自主权和自控权。产品涉及到安全的操作系统、安全的硬件平台、安全的数据库、强认证设施等。
(2) 政务公开与信息安全“度”的把握
在加强信息公开的同时,不能忽视信息安全。信息安全是中央反复强调的非常重要的问题。电子政务建设涉及政务管理的核心业务,涉及国计民生和国家安全。因此,我们要增强安全意识,严格执行国家和部颁布的安全和保密规定,建立严格的信息公开审查制度。同时,要采取切实的技术手段,积极防御各类黑客行为、计算机病毒等对电子政务系统所构成的威胁。也就是说,要以辩证的眼光看待信息公开和安全问题,正确处理好两者之间的关系,既不能为了公开而忽视安全,也不能将安全问题绝对化,阻碍信息公开和应用发展。要通过制度建设,形成安全与应用相互促进的良性发展机制。
(3) 强化安全观念的宣传,重视工作人员的培训与教育
安全产品的配置虽然可以降低安全风险,但不能完全消除安全风险。安全产品靠人来操作、使用、管理,人员的安全意识、安全素质显得十分重要。必须加强信息安全人才队伍的建设,提高工作人员信息安全的意识,从而使各种安全策略和措施得以切实的实现。
3 结语
无论任何形式的政务,安全都是最基本的要求。如果连安全都没有保证,再先进的技术,再方便的功能,人们也只能敬而远之。只有切实做好安全工作,解决好安全问题,才能真正做到“一网管天下”,电子政务时代才会真正到来!