目前,国家信息化建设正在不断深入,作为信息化建设重要组成部分的电子政务也在蓬勃发展。电子政务是一种全新的政府管理方式。它的实质是政府机构在其管理和服务职能中运用现代信息技术,实现政府组织结构和工作流程的重组优化,超越时间、空间和部门分割的制约,形成一个精简、高效的政府运作模式。电子政务建设的最终目标,是为了提高政府办公业务的效率和响应速度,充分发挥政府信息资源的优势,增加政府工作的透明度,促进政府与社会大众间的联络。
电子政务是一个由内网(包括核心数据层和办公业务层)、外网(公众服务层)和互联网(数据交换层)三级网络构成的庞大的信息系统,如此复杂的应用环境给整个系统带来了大量潜在的安全隐患。又由于电子政务所涵盖的信息系统是政府机构用于执行政府职能的信息系统。政府机构从事的行业性质跟国家紧密联系,所涉及的众多信息都带有保密性,所以信息安全问题尤其重要。
电子政务的安全管理
电子政务是依赖于计算机和网络技术而存在的,因此它的安全隐患主要有两个方面:即系统自身的安全隐患(这些安全隐患可能存在于网络、操作系统、数据库系统、应用系统、数据、物理环境等各个方面)和信息安全隐患(包括侦听、截获、窃取、破译等被动攻击和修改、伪造、破坏、冒充、病毒扩散等主动攻击)。因此,从系统安全设计方面考虑,应注意以下几方面:
物理安全与传输安全设计
电子政务系统中的信息比商业信息更为敏感,对物理安全设计和信息传输过程的安全性要求更高。物理安全是整个系统安全的前提。主要的物理安全风险有因为水灾、火灾、地震等环境因素造成的系统安全风险;设备被盗、毁坏等造成的数据丢失风险;报警、治安等措施不力造成的安全风险。对于物理安全防范,可参照国家标准《电子计算机机房设计规范》、《计算站场地技术条件》和《计算站场地安全要求》进行设计;另外,提高安全防范意识,防止设备被盗、被毁以及因电磁辐射而造成的信息被盗、被窃。由于电子政务系统在服务发布层、内部安全应用层、核心安全应用层等网络之间存在着信息资源、服务对象、数据通信等方面的差异,其信息内容和保密级别也不尽相同,在电子政务系统设计时,为了防止信息在传输过程中的非法截获,确保信息的安全传输,应依据不同信息的安全要求,采用的不同特性的传输材料和传输方案。比如,对于交互信息的传输,就应该采用专用的通信线路,甚至可以选用没有电磁泄露的光缆传输,提高安全保密性能。
操作系统的安全防范
网络安全的重要基础之一是安全的操作系统,因为所有的政务应用和安全措施(包括防火墙、防病毒、入侵检测等)都依赖操作系统提供底层支持。操作系统的漏洞或配置不当将有可能导致整个安全体系的崩溃。由于我国没有掌握CPU等核心技术,这方面技术依然被国外所垄断。在电子政务设计建设中,对操作系统的潜在安全性隐患应予以高度重视。更危险的是,我们无法保证国外厂家的操作系统产品不存在后门。在操作系统安全方面,有两点是值得考虑的:一是采用具有自主知识产权且源代码对政府公开的产品;二是利用漏洞扫描工具定期检查系统漏洞和配置更改情况,及时发现问题。
