电子政务安全的“弦”松不得
来源:中国计算机报 更新时间:2012-04-13
 近期,有关政府网站安全的一则消息让笔者不禁为我国电子政务建设“捏了一把汗”。

  据国家计算机网络应急技术处理协调中心统计显示,我国各级政府网站仅在2005年就被篡改网页2027次,比2004年多出一倍,而且这还未包括隐蔽的篡改行为。国家计算机网络应急技术处理协调中心副总工程师杜跃进博士在3月30日召开的2006中国计算机网络安全应急年会上说,根据中心统计,去年网页篡改在大陆发生13000多次,其中六分之一攻击对象为政府网站。

  从数据统计来看,政府网站安全攻击次数和我国目前大约12000多个政府网站的数量相比,确实还未到破坏严重的程度,但其后果却不容忽视。

  一直以来,政府电子政务安全体系建设受到各级政府的高度重视。在各类电子政务系统建设中,安全无不被提高到战略高度对待。政府部门或从技术手段出发,采用各类信息安全技术来保障电子政务安全,或是辅之以信息安全的制度保障,从技术加管理的角度来落实安全措施。

  但在电子政务系统实际运行中,我们却看到了另一番景象,首先是“重内轻外”,即在政府网站系统建设过程中,对内部办公网和专用网的安全高度重视,甚至为保证绝对安全,不惜采用物理隔绝的方式来处理;但针对公众直接服务的门户网站的信息安全却未得到特别重视,许多部门甚至连基本的外网安全保障措施都未不部署,形成了两个“极端”。此外,在电子政务安全体系建设过程中,“唯技术论”观念十分突出,即认为系统安全的管理和维护需要各个层次的系统安全技术,要求技术专家全程参与来确保实施效果;但是,对保障电子政务安全的“软措施”却未做细做实,如从管理体制上落实安全责任制,建立完备的信息安全管理和认证机制等,这些事项都未落到实处。

  更让人担心的是,由于对政府网站安全缺乏足够认识,许多政府网站的安全体系建设都十分脆弱,其应急响应能力也很薄弱。面对漏洞信息的分析、处理缺乏必要的认识和判别,无异于将重要信息暴露于外。这正如很多业内专家所指出的那样:网页频遭篡改暴露出了政府网站重形式、轻安全的问题。

  此次统计结果向所有政府机关及时提出了一个须认真对待的问题。目前的信息安全事件还主要局限于篡改网页和直接攻击,当然也不排除更大更严重的安全威胁,如利用网站漏洞侵入后台窃取信息;散播病毒进入系统,使系统瘫痪;干扰政府网站正常为公众服务等。但根据杜跃进博士的说法:这一统计数据尚不包括隐蔽的网页篡改行为,如黑客通过网页隐蔽地传播僵尸程序、间谍软件或控制僵尸网络活动。这类攻击行为与传统的病毒、蠕虫攻击相比,更像一个威力强大的“看不见的敌人”,可以暗中控制攻击系统进行很多破坏活动,而且这种攻击将越来越专业化。

  如此看来,电子政务安全建设一刻都不能放松,尤其是外网安全建设,包括政府门户网站的信息安全问题都要纳入电子政务安全体系建设范畴,做到“两手抓,两手都要硬。”当然,当务之急是要从源头上把握电子政务安全体系建设的相关问题。

  各级政府部门可以在国家电子政务安全体系建设的规定基础上,统一规划、设计各自的安全体系,包括建立统一的信息安全保障中心,对涉及信息安全的电子政务系统中的硬件设备、网络、系统软件、数据库、应用系统等内容进行全程安全管理。同时,在利用技术管理,如网络运行前的开发、试用、验收和推广各阶段的安全管理;要实施必要的安全行政管理措施,如建立完备的安全管理制度、配备专职的信息安全人员、并建立完善的责任和监督机制等。

  电子政务信息安全管理不是一成不变的,它是一个动态的过程,但又是一个必须“长抓不懈”的系统过程。随着安全攻击和防范技术的发展,电子政务的安全策略也要因时因势分阶段调整。

  当然,已经呼吁多年的“建立良好的信息安全管理机制,做到技术和管理的良好配合”,仍是实现政府部门电子政务信息系统风险防范长期有效的途径。