电子政务安全隐患及安全系统思考.docxVIP

电子政务安全隐患及安全系统思考 近年来，随着以互联网技术为承载主体的信息技术的发展，极大 地推动着经济和社会发展，引发了深刻的生产和生活方式变革。电子 政务应运而生并在全球受到高度重视，电子政务的建设已成为是各国 核心竞争力的重要因素之一［1］。电子政务是指政府部门以信息网络 为平台，综合运用信息技术，实现政府组织机构和工作流程的优化重 组［2］。将政府的管理和服务职能进行整合，超越时间、空间的界限， 打破部门分隔的制约，全方位向社会提供优质、规范、透明的管理和 服务，实现公务、政务、商务、事务的一体化管理和运行。在我国, 电子政务的发展源于20世纪80年代中期开始的办公自动化建设，20 世纪90年代后期，我国电子政务的发展正式提上日程，近些年来取 得了长足的进展［3］。 推行电子政务建设是促进政府行政改革的重要手段，对于转变政 府职能，推动政府的现代化进程，带动和促进我国社会信息化的发展 都有重要的现实意义。电子政务的建设既要考虑目前政府的组织机构 与业务现状，又要满足未来电子政务发展需求，这就要求电子政务系 统的设计具有系统性、综合性、变更性和可持续性。同时，由于电子 政务是依赖于信息技术和网络技术而存在，并通过因特网为企业和个 人用户提供服务。因此，电子政务的首要问题是如何保障其信息安全 ［5］o电子政务的安全问题，从电子政务的概念提出就成为备受关注 的问题之一。随着各国电子政务的实践的发展，其安全问题也日益突 出，成为制约电子政务进一步发展的首要因素。电子政务的发展关系 到国家政治、经济、社会、文化等多个方面，而电子政务的发展需要 安全保障。对电子政务安全问题的成因进行分析，是解决其安全问题 的前提条件。只有对电子政务所面临的安全风险与隐患进行全面深入 的了解，才有可能针对性地做好安全防范工作，建立起有效的安全防 范体系和风险控制机制。 1电子政务安全隐患分析 由于电子政务系统具有网络化的业务服务特点，因此很容易遭到 各种各样的攻击，如账号被盗用、被监听和截取信息包、搭载木马程 序、扫描端口、占用服务器带宽、破坏数据完整性等［5］。电子政务 安全隐患的成因，可以从多个方面和多个角度进行分析。从攻击者威 胁行为的动机角度分析，可以分为利益驱动、技术驱动、信息驱动等 几个方面；从系统防范的角度分析，可以分为技术问题和管理问题。 文章主要从技术和管理两方面讨论电子政务安全隐患。技术隐患指电 子政务信息系统本身的技术漏洞，是系统自身的技术缺陷；管理隐患 则包含内部和外部威胁，来自内部的威胁如内部人员的恶意破坏、管 理人员滥用职权、执行人员的违规和违法操作、内部管理的疏漏等。 来自于外部的威胁，如骇客入侵和攻击、病毒传染和蔓延、信息间谍 的潜入和窃密、网络攻击和破坏、信息战争及自然灾害等。 技术隐患分析 技术隐患包括基础网络、操作系统和数据库以及应用平台等方面 的隐患。在基础网络方面，网络拓扑结构设计不合理或缺乏可扩展性， 可能会因某结点遭到破坏而导致整个系统瘫痪，其通信线路也易遭物 理破坏和搭线窃听；操作系统和数据库方面，由于目前所使用的计算 机网络操作系统，多偏重于考虑系统使用的方便性，其结构和代码设 计相对在系统的安全机制上考虑还不够精细，或多或少地存在安全漏 洞；数据库管理系统基于分级理念对数据库进行管理，同时数据库管 理系统的安全与操作系统的安全相配套，这使得系统的安全出现不稳 定因素。应用平台方面的隐患主要表现在“后门攻击”，即在开发电 子政务系统的应用功能时，往往留有所谓的“后门”，以便程序员在 应用层面进行定期维护或升级，该“后门” 一旦被非法人员发现，其 破坏性就有可能波及整个系统。 管理隐患分析 管理隐患包括身份和口令、资源管理和制度法规等多方面的隐患。 身份和口令隐患主要表现在用户名和口令过于简单，在验证时极易导 致合法身份被冒用，采用静态口令很容易在日志记录中被窃取，内部 用户身份级别划定不严格也会导致信息使用级别的混乱。资源管理隐 患是内部用户使用资源时，对重要文件不加密，重要信息进行长期共 享，传递信息时无身份认证，电子邮件大量群发时缺乏信息保密安全 意识的资源管理行为。制度法规方面的隐患主要表现在网络信息安全 法规目前尚未健全，尤其在涉及到政府各部门横向信息交流时的安全 约束机制。多见行政规定代替法规，缺少统一标准，又大多不全面细 化，起不到真正监管电子政务信息系统安全的作用。近年来还出现了 一种新的安全隐患，即直接在网络上假冒政府或某些职能部门的名义 开设网站，以牟取非法利益。随着形势的发展电子政务系统中可能还 会出现新的安全隐患，并且这些安全隐患相互作用，彼此纠结，使得 系统安全的维护变得非常困难。综上所述，可将电子政务安全主要隐 患来源设计如图1所示。在现实中，很多的安全隐患是由内外因素共 同