加强电子政务信息安全思考.docVIP

加强电子政务信息安全思考 　　随着国际政治形势的发展，以及经济全球化过程的加快，一个国家的信息获取能力以及在社会生产生活领域中的“信息制控权”，将成为这个国家在新世纪的生存与发展竞争中能否占据主动的关键，而信息安全问题将涉及整个国家的经济、金融、国防、政治和文化安全。电子政务网作为政府业务通信枢纽，只有构建在安全可靠的计算机网络平台上，才能防止重要信息被攻击、窃取或泄露，安全地连接因特网或其他组织，才能确保政府顺利开展日常工作。 　　 　　一、电子政务网络安全需求 　　 　　电子政务是一个由政务内网、政务外网和互联网三级网络构成，政务内网为政府部门内部的关键业务管理系统和核心数据应用系统，政务外网为政府部门内部以及部门之间的各类非公开应用系统，所涉及的信息应在政务外网上传输，与互联网相联的网络，面向社会提供的一般应用服务及信息发布，包括各类公开信息和非敏感的社会服务。面对如此复杂的应用环境，整个系统中任何一个不安全因素都会造成在此平台上传递的政务信息面临风险，产生不良后果。在电子政务实践中人们的安全需求集中在三个角度： 　　1.扫除信息网络安全隐患 　　针对信息存在形式和运行特点，电子政务信息安全隐患主要是系统自身和信息系统、数据库系统、应用系统、数据、物理环境等各个方面，信息隐患则是人为的侦听、截获、窃取、破译等被动攻击和修改、伪造、破坏、冒充、病毒扩散等主动攻击。特别值得关注的源头： 　　一是硬件设备。由于缺乏自主技术，计算机的CPU芯片、操作系统和数据库及网关软件大多依赖进口，一些发达国家或跨国公司趁我国为加快信息化建设的需要大量引进基础设备的机会，在其提供关键设备中设置陷阱(如在电脑芯片中隐藏着特定的程序，有可能在某种指令下被激活，或使电脑无法启动)，使我国计算机网络的安全性能大大降低，被认为是易窥视和易打击的“玻璃网”。我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中，妨碍、限制、压制和破坏我国对信息的自由运用。 　　二是人的道德。系统使用者掌握了网络服务器上的用户账号信息和口令文件后，直接修改、删除系统重要数据文件。而黑客们采用包括窃听报文、IP地址欺骗、源路由攻击、端口扫描、拒绝服务攻击和应用层攻击等方式非法侵入重要信息系统，修改或破坏系统功能或数据等手段，造成数据丢失或系统瘫痪，给国家造成重大政治影响和经济损失。 　　2.打击违法犯罪活动 　　近年来，国内外反动势力利用互联网组党结社，进行针对我国党和政府的非法组织和串联活动，猖獗频繁，屡禁不止。尤其是一些非法组织有计划地通过网络渠道，宣传异教邪说，妄图扰乱人心，扰乱社会秩序。如“法轮功”非法组织就是在美国设网站，利用无国界的信息空间进行反政府活动。金融机构内部利用计算机犯罪案件大 幅度上升，犯罪分子建立起域名和网页内容都与真正网上银行系统、网上证券交易平台极为相似的网站，引诱用户输入账号密码等信息，进而通过真正的网上银行、网上证券系统或者伪造银行储蓄卡、证券交易卡盗窃资金；有的利用合法网站服务器程序上的漏洞，在站点的某些网页中插入恶意Html代码，屏蔽住一些可以用来辨别网站真假的重要信息，利用cookies窃取用户信息。 　　3.保障国家信息领域 　　信息是社会发展需要的战略资源，国际上围绕信息的获取、使用和控制的斗争愈演愈烈，信息安全成为维护国家安全和社会稳定的一个焦点。由于信息技术和信息产业的发展是“西强我弱”，互联网成为超级大国谋求跨世纪战略优势的工具。居于信息低位势的国家的政治安全、经济安全、军事安全乃至民族文化传统都将面临前所未有的冲击、挑战和威胁。以带有政治影响力的信息辐射空间来划分的信息疆域，关系到一个民族、一个国家在信息时代的兴衰存亡。 　　 　　二、强化信息安全管理对策 　　 　　信息安全包括“保障计算机及其相关的和配套的设备、设施(网络)的安全，运行环境的安全，保障信息安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全”。实施保护的措施集中在安全法规、安全管理、安全技术三方面：其中，安全法规主要是构建以科学的信息安全法律保护理念为指导，吸取外国的“明示式”和“开放式”立法模式有益成分，在全面保障国家信息安全的基础上，围绕国家信息安全的技术防范，遵循国家信息安全的组织保障原则，以国家信息安全的技术标准为内容的法律体系；安全管理则是遵循多人负责、任期有限和职责分离原则制定安全管理制度和组建由主管领导、网络管理员、安全操作员等人员组成信息安全组织体系；安全技术是采用CA认证、加密传输、防火墙技术、VPN、漏洞检测与在线黑客监测预警、实时审计、网络防病毒、自动备份恢复等技术确保系统安全。 　　系统安全包括物理安全与传输安全、操作系统安全、网络结构安全、信息传递过程安全、身份鉴别与访问控制、标准