加强我国电子政务系统的终端安全.pdfVIP

加强我国电子政务系统的终端安全 加强我国电子政务系统的终端安全 高宏 (清华大学电子政务实验室，北京 100084) 1 党中央、国务院高度重视信息安全问题 党的十五届五中全会提出：“大力推进国民经济和社会信息化，是覆盖现代化建设全局 的战略举措。要把国民经济和社会信息化放在优先位置，以信息化带动工业化，发挥后发 优势，实现社会生产力的跨越式发展”。 随着信息化进程的全面加快，网络与信息系统已成为国家的关键基础设施，国民经济 和社会发展对信息系统的依赖性越来越强，信息安全对经济发展、国家安全和社会稳定的 影响也日益突出。信息安全不仅关系到信息化的健康发展，而且关系到国家的政治安全、 经济安全、国防安全和社会稳定。 党中央、国务院一贯高度重视信息安全问题。在2003年7月22日召开的国家信息化 领导小组第二次会议上，主题研究了加强信息安全保障工作。中共中央政治局常委、国务 院总理、国家信息化领导小组组长温家宝主持会议并作重要讲话，会议讨论通过了《国家 信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003127号)。《意见》明 确指出“信息安全已经成为国家安全的重要组成部分”，这是党中央、国务院根据以信息技 术为代表的世界科学技术的迅猛发展，特别是我国国民经济和社会信息化发展全面加快的 形势做出的科学判断。《意见》要求切实加强信息安全保障工作，坚持积极防御、综合防范 的方针，全面提高信息安全防护能力。 为了落实贯彻《意见》精神，党中央、国务院于2004年1月9日在北京召开了全国信 息安全保障工作会议。中共中央政治局常委、国务院副总理黄菊出席会议并作重要讲话。 黄菊同志代表党中央、国务院和国家信息化领导小组，就贯彻落实《意见》，加强信息安全 保障工作作了题为《全面加强信息安全保障工作，促进信息化健康发展》的重要讲话。中 央专门就信息安全问题召开全国性会议、中央领导同志出席作重要讲话，这在历史上还是 第一次，会议的召开充分说明了信息安全保障工作的极端重要性。 2 “防外不防内是我国信息安全保障体系的致命缺陷 我国现有的信息安全保障体系主要由防火墙、入侵检测系统和病毒防范系统组成。为 了确保不受到黑客、病毒等网络攻击，我国的电子政务安全保障体系采用了物理隔离措施， 中断了内部网与公共网的物理连接。但是中国国家信息安全测评认证中心提供的调查结果 表明，信息安全问题在很多情况下是由内部人员所为，而非外来黑客和病毒引起。防火墙、 入侵检测和物理隔离等安全技术只能提供网络边界的防卫，虽然可阻止通过网络的攻击， 但是却无法防范内部人员对关键信息的泄露、窃取、篡改或破坏。因此我国的信息安全保 障系统普遍存在“防外不防内”的致命缺陷，具有极大的风险性和危险性。 美国联邦调查局(FBI)和计算机安全机构(CSI)近年来的调查结果也表明：超过80％ 的信息安全事故是内部人员作案或内外勾结所为，企业和政府机构因重要信息被窃所造成 的损失超过病毒感染和黑客攻击所造成的损失。在各种信息安全威胁导致的损失中，关键 信息被窃所造成的经济损失近几年来始终排在第一位。 黑客主要通过大量的拒绝服务攻击堵塞网络带宽或服务器端口。或是侵入系统后更改 ——一 加强我国电子政务系统的终端安全 ———————————————————————————————————————————二_二—二==二二=————————一． 主页等，很难攻击到真正的业务。而内部人员就不一样，他们往往具有合法身份，最容易 接触关键设备和敏感信息，对业务流程非常了解，他们的行动非常具有针对性，危害的对 象往往是系统中最核心的数据和资源，会造成比黑客攻击和病毒感染更大的破坏。另外， 内部人员窃取或破坏信息时也不易被发觉，事后也难以发现。因此内部人员对信息系统的 安全威胁最大。 我国现有的计算机根本就没有安全保障功能，就象一个门窗大开的屋子，任何可以接 触计算机的人都可以访问其中的信息，导致计算机信息始终面临着泄露、窃取、篡改和破 坏的巨大危险。计算机终端信息安全是电子政务安全的基础，终端安全目前已成为制约我 国电子政务安全保障体系建设的难题和障碍。因此，如何提高现有计算机终端的安全防护 能力，保护计算机信息不被非法获取、盗用、篡改和破