分析美国电子政府中强化网络安全
来源:grp 更新时间:2012-04-13
 美国政府拥有许多敏感信息:(1)要害部门形成大量涉及国防、外交、国家安全、社会治安、缉私缉毒等秘密事项的信息,不容外泄。(2)政府部门在履行管理和服务职能的过程中,也积聚了大量个人敏感数据。如市民的种族、肤色、性别、年龄;婚姻状况、宗教信仰、受教育程度、财产状况;血型、指纹、医疗史、犯罪史;职业经历、身份证号码、住址;个人观点及与政府机构的秘密通信等。(3)为将电子政务功能提升到“交易”层面,以完成在线事务处理,必须确立身份认证机制。而实施数字签名或电子身份编码的前提有两个,一是公民个人的基本信息数字化;二是将这种数字化的个人信息集中贮存,以备在电子交易中验证申请者的身份。贮存地点通常是政府的电子信息资料库,或具有公信力的第三方(供颁给数字证书之用)。

  对此,须妥善保护、谨慎从事。若处理不当而造成信息失控,被他人获取及不正当地利用,就会损害国家利益或侵犯公民的隐私权,极易挫伤政府官员和企业、公众对电子政务的信心。据政府优质管理委员会的调查,对通过在线互动可能发生的政府收集个人信息的做法,加拿大、英国和新加坡公民比较容易接受;而美国人对隐私权的担忧远远重于其他国家,有46%的被调查者表示了这种担忧。因而,敏感数据保密和公民隐私保障,在美国电子政务推行过程中,受到了电子服务提供者、利用者更多的重视和关注。2003年由光速系统公司进行的一项对政府信息技术专家的调查显示:80%的被调查者把保护敏感信息作为首要任务。2003年10月份,这家信息技术公司的总裁罗卜特·麦卡锡对《政府技术》杂志记者说:“诸如隐私保护、系统入侵、恶意电子邮件和垃圾邮件等信息技术问题,消耗了政府机构大量的信息技术资源,花费了这些机构大量的时间和金钱。”

  公众信心,来自于信息安全和有效的隐私保护。确保政府与公民在线互动的隐私性和保密性,是政府信息化系统成功建设和运行的关键。布朗大学陶布曼中心对全美的前70多个大城市政府网站所进行的评估表明:在限制进入方面,符合国际网络标准的政府网站只有20%;符合美国法律所定标准的也只有13%。网上欺诈行为日益增多,美国国防部、联邦调查局的网站不时遭受黑客攻击并造成程度不等的破坏,都是明证。

  美国政府对网络安全所作的努力,可从性质上区分为普遍的网络安全措施、电子政务安全措施两大类。

  普遍的网络安全。随着网上服务日渐增多,防范网络犯罪,确保信息安全的问题,也显得更为迫切和重要。为此,美国联邦政府规定,在开始采集公众信息和投入使用之前,任何电子政务系统必须要通过隐私保护评估,并将评估报告送交联邦首席信息官。联邦调查局已成立专门的反网络犯罪部门,国土安全部也把防范网络恐怖列为工作重点之一。联邦贸易委员会还建立Internet实验室,实施24小时跟踪监测,以便及时发现可疑信息;并为客户获取和保留证据,以增强公众上网交易的安全感。因为,网上资料有些更新较快,有些则打印不出。

  电子政务的网络安全。2002年4月,马克·福尔曼说,对政府投资100亿美元的400个汀项目,管理与预算办公室正在监控。监控的重点是提高信息与网络的安全性。美国政府的信息网络建设,大体分为内网、专网、外网三大类型。故电子政务中的网络安全,也贯穿于这三个方面。

 内网建设,相当于以电子平台汇聚局域网上的政府部门办公自动化,并与数据库、决策支持系统、信息处理系统相联接。办公软件则包括文档处理软件、电子邮件系统、其他专门业务处理软件。前些年,中国教育行政管理考察团赴美,曾访问过一般不允许外人参观的内部办公网。在部门内部办公网与互联网之间,有严密的物理隔离措施,以保安全,工作人员的安全意识也很强。内网建设,是推行电子政务的基础:(1)加快信息流通,简化运转环节,提高办事效率。诸如:政府部门内各机构的在线浏览、会议通知、意见调查、审核签发等。(2)构成部门间联系和对外服务的操作后端。诸如:经由政府专网,向其他部门传递电子邮件、商榷联系工作。通过政府网站,宣传政策、颁布法规、答复询疑,提供信息服务;接受企业、民众的交易申请,进行事务处理。

  专网建设,主要由国防部等少数特别重要的联邦部门建立,用于本系统的业务处理和服务。譬如,国防部的旅行(出差)系统,以国防部为基础,再与公共电信网络和旅行机构的服务系统相连接,可为所有美国军人提供全过程服务:从出差审批,到航空机票和旅馆房间预订,到费用领取和报销。再如,美国财政部的国际贸易数据系统,连接着80多个与国际贸易有关的政府机构,并收集和处理各种数据。又如,美国规定:凡超过1万美元的现金从银行一次提取、汇出、汇入或携带入境、出境,都必须向联邦储备局备案。实施如此严格的现金管理,须以良好的金融和财政管理信息系统为技术支撑。

  外网建设,绝大多数联邦政府机构,各自在公共电信网络上,采用建立虚拟专网的基本模式;在州政府一级,大部分已经规划或实施了统一的连接州政府吝个机构及公立学校、图书馆的网络,如德克萨斯州的政府专用虚拟网等。再于虚拟专网上建立政府网站,实施面向企业、民众的信息服务和事务服务。

  在现阶段,美国政府保障电子政务安全的方法主要有两种。其一,技术隔离。即:采用多级防火墙、网络分级授权、数字签名、数据库备份等技术手段,保障网上施政安全。其二,物理隔离。采用“网上”与“网下”相结合的方法:对一般业务处理,用电子文件实施在线传递以保持高效迅捷;对重要事项的审批等关键环节,则依赖纸质文件和书面签名的传统手段,以离线方式完成。显然,两种隔离手段的适用范围有异:技术隔离主要适用于低风险的一般性事务,物理隔离则针对安全级别较高的决策性事务。

  安全问题至关重要,已成为影响美国电子政务进程的症结所在。从理论上说:无论电子政务如何发达,都不可能把政府完全虚拟化,使所有政务完全依赖网络进行。但问题的关键在于:技术隔离的安全度如不够高,势必扩大物理隔离的范围或影响电子政务的广度。较为显著的实例是:2001年“9·11”恐怖袭击事件发生后,美国增强了“本土安全”意识,将网络安全的重要性提到预防“数字珍珠港”的全新高度。经与其他政府部门磋商,司法部采取措施对相关法律的适用作了调整,从政府网站撤回许多内容涉及关键基础设施的网页,以避免恐怖主义分子利用政府公开的信息对美国安全造成新的威胁。因此,美国佛里斯特研究公司曾发表报告称:鉴于现在的情形,政府近年内仍将以维持低风险网上服务为主,完成一些较为简单的业务处理。随着安全问题的墓本解决,再经历实践积累、整合和机构改革三个阶段,到2006年各级政府网站将会推出1.4万种网上申请服务项目,并将从网上接收3.33亿份来自企业和民众的各种申请和报告。届时,美国的电子政府时代才会真正降临。

  为提高技术隔离的安全度,保障电子政务的健康发展,美国政府打算从两方面着手:(1)制定统一的隐私保护标准、数字签名标准、详尽实用的加密标准,确保政府信息的安全存放和维护,区分不同信息的敏感程度,建立相应的授权制度,避免未经授权的人员接触。正是基于这一考虑,克林顿签署了《电子签名法案》,布什政府拨款1亿美元,重点开发数字签名技术。(2)布什强调,政府正在考虑另辟一个与现行互联网相分离的联邦政府统一专网(GovNet),并任命该创意的提议者网络反恐怖专家理查德·克拉克,为总统的网络安全特别顾问。