杜建亮

（中共山西省委黨校，山西太原030006）

網(wǎng)絡(luò)環(huán)境下的政府信息安全

杜建亮

（中共山西省委黨校，山西太原030006）

政府信息安全是國家安全的重要組成部分。由于政府信息安全的法律、法規(guī)不健全，信息安全管理政出多門，加之自主研發(fā)技術(shù)落后等，使得政府信息安全面臨諸多威脅，如信息泄露、拒絕訪問、授權(quán)侵犯、惡意暗鏈等，為此，網(wǎng)絡(luò)環(huán)境下政府信息安全一般應(yīng)按照“誰主管誰負(fù)責(zé)、誰運(yùn)行誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”的原則，從外部環(huán)境、技術(shù)設(shè)備、法律法規(guī)、人事管理等幾個層面保護(hù)入手，最終使信息資源在政府的管理活動中發(fā)揮應(yīng)有的作用。

網(wǎng)絡(luò)環(huán)境；政府信息安全；信息資源

隨著我國國民經(jīng)濟(jì)和社會信息化進(jìn)程的全面加快，信息技術(shù)也得到了廣泛應(yīng)用，網(wǎng)絡(luò)與信息系統(tǒng)的基礎(chǔ)性、全局性作用進(jìn)一步凸顯，已成為國家的關(guān)鍵基礎(chǔ)設(shè)施。信息安全已經(jīng)不單是一個技術(shù)問題、一個業(yè)務(wù)工作問題，也不僅僅是信息化本身的問題，而是一個上升為事關(guān)國家經(jīng)濟(jì)安全、社會穩(wěn)定的全局性戰(zhàn)略問題，是國家安全的重要組成部分。因此，我們必須從促進(jìn)經(jīng)濟(jì)發(fā)展、維護(hù)社會穩(wěn)定、保障國家安全、加強(qiáng)精神文明建設(shè)的高度，充分認(rèn)識加強(qiáng)信息安全保障工作的極端重要性，增強(qiáng)做好這項(xiàng)工作的緊迫感、責(zé)任感和自覺性。

一、政府信息安全存在隱患

隨著電子政務(wù)的長足發(fā)展，網(wǎng)絡(luò)使用不當(dāng)造成的失泄密事件時有發(fā)生，信息安全問題日益凸顯出來。雖然各級政府部門愈來愈重視網(wǎng)絡(luò)信息的保護(hù)和防御，但網(wǎng)絡(luò)信息安全狀況不容樂觀。

（一）政府信息安全的法律、法規(guī)不健全

我國有《政府信息公開條例》，但就沒有《政府信息安全條例》，也就是說，在政府信息安全方面，我們?nèi)匀粺o法可依。但和信息安全相關(guān)的倒是有很多法規(guī)，如《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》、《信息安全等級保護(hù)辦法》等，據(jù)相關(guān)統(tǒng)計，截至2008年與信息安全直接相關(guān)的法律有65部，但沒有一部專門的、系統(tǒng)的針對信息安全的法律或法規(guī)。2010年11月8日，有報道說，我國將制定《信息安全條例》，進(jìn)一步加強(qiáng)信息安全監(jiān)管。目前，工業(yè)和信息化部已完成的《信息安全條例（報送稿）》，已報送全國人大，這是一件令人高興的事情，實(shí)踐中，政府信息安全的法律法規(guī)還有待進(jìn)一步完善。

（二）信息安全管理政出多門

我國信息安全管理職能的格局已經(jīng)形成，如國家公安部、國家安全局、國家保安局、國家密碼管理委員會、信息產(chǎn)業(yè)部、總參等部門分別執(zhí)行著各自的安全職能，由這些部門對我國政府信息安全“分而治之”。實(shí)踐證明，這種分開管理，又保留一定的交叉的管理方式有它的合理性，這種合理性就是能保證信息安全沒有“安全漏縫”。但是，我們應(yīng)該清醒地認(rèn)識到，這種管理方式中也存在“條塊分割、各行其是、交叉管理、職責(zé)不清”的問題，這極大地影響了我國政府網(wǎng)絡(luò)信息安全。目前，信息安全領(lǐng)域最大的問題之一是缺乏統(tǒng)一的領(lǐng)導(dǎo)、組織和協(xié)調(diào)，因而就出現(xiàn)了“三個和尚沒水吃”的怪現(xiàn)象，看似齊抓共管，實(shí)屬不抓不管。

（三）自主研發(fā)技術(shù)落后

長期以來，我國信息化產(chǎn)品或技術(shù)大多依賴進(jìn)口，自主研發(fā)投入與能力都還不足，因而，造成我國具有自主知識產(chǎn)權(quán)的設(shè)備、技術(shù)、產(chǎn)品較少，如計算機(jī)芯片、骨干路由器、操作系統(tǒng)軟件等基本上是從國外進(jìn)口，且對引進(jìn)技術(shù)和設(shè)備缺乏必要的技術(shù)改造。而歐美等發(fā)達(dá)國家對我國限制和封鎖信息安全高密度產(chǎn)品，出口到我國的信息產(chǎn)品中存在安全隱患。如美國出口到我國的計算機(jī)系統(tǒng)的安全級別只有C2級，在美國國防部規(guī)定的8個安全級別之中處于倒數(shù)第3位。

（四）人們安全保護(hù)意識薄弱

在政府機(jī)關(guān)中，重設(shè)備、輕安全，重應(yīng)用、輕管理的思想普遍存在，加之網(wǎng)絡(luò)信息使用者的水平參差不齊，他們只圖自己使用中的方便，而對網(wǎng)絡(luò)安全問題認(rèn)識不到位，因而難免存在泄密的隱患。病毒、網(wǎng)絡(luò)攻擊、非法入侵是影響網(wǎng)絡(luò)信息安全的主要因素。很多政府部門建立的技術(shù)防御措施相對簡單，個別單位的信息系統(tǒng)沒有采取任何安全保護(hù)技術(shù)措施；有的單位沒有建立相應(yīng)的計算機(jī)網(wǎng)絡(luò)安全保護(hù)制度，網(wǎng)絡(luò)信息安全管理協(xié)調(diào)組織任務(wù)不明、職責(zé)不清，缺乏對潛在威脅、薄弱環(huán)節(jié)和各類風(fēng)險情況的處置預(yù)案。

二、政府信息安全面臨的威脅及其來源

隨著互聯(lián)網(wǎng)的發(fā)展，信息安全問題越發(fā)凸顯，承載政府信息的各類政府網(wǎng)站開始成為黑客獲取非法利益的一條捷徑，事實(shí)上，部分政府網(wǎng)站已經(jīng)成為木馬、釣魚網(wǎng)站攻擊的重災(zāi)區(qū)。

（一）政府信息安全面臨的主要威脅

第一，信息泄露。信息被有意或無意地泄露或透露給非授權(quán)的實(shí)體。第二，破壞信息的完整性。數(shù)據(jù)被非授權(quán)地進(jìn)行修改或破壞而受到損失。第三，拒絕服務(wù)。合法訪問信息或資源被無故阻止。第四，假冒、非授權(quán)訪問。非法用戶冒充合法用戶，特權(quán)小的用戶冒充特權(quán)大的用戶以獲取更多的信息，導(dǎo)致信息資源被非授權(quán)的人或以非授權(quán)的方式使用。第五，竊聽、業(yè)務(wù)流分析。對通信線路中傳輸?shù)男盘柡碗姶判孤哆M(jìn)行監(jiān)聽，通過長期監(jiān)聽，利用統(tǒng)計分析方法進(jìn)行分析，從中發(fā)現(xiàn)有價值的信息和規(guī)律。第六，旁路控制。任何系統(tǒng)都不可能是完美無缺的，攻擊者利用系統(tǒng)固有的安全缺陷獲得非授權(quán)的權(quán)利或特權(quán)。第七，授權(quán)侵犯。被授權(quán)以某一目的使用某一系統(tǒng)或資源的某個人，卻將此權(quán)限用于其他非授權(quán)的目的。第八，木馬、病毒。系統(tǒng)中被植入一個覺察不出的有害程序，特定條件下該程序執(zhí)行時，會將系統(tǒng)中所承載的信息主動發(fā)送給對方或者對信息進(jìn)行破壞，從而造成信息失控。第九，陷阱門。在系統(tǒng)或某個部件中故意設(shè)置“機(jī)關(guān)”，使得在特定的數(shù)據(jù)或指令輸入時，允許違反安全策略。第十，抵賴。對自己的行為故意隱瞞或不承認(rèn)，這是一種來自內(nèi)部用戶的攻擊。第十一，重放。將某次合法的通信數(shù)據(jù)進(jìn)行拷貝，而重新發(fā)送。第十二，人員不慎。一個授權(quán)的人為了某種利益，或由于粗心，將信息泄露給一個非授權(quán)的人。第十三，媒體廢棄。信息被從廢棄的磁碟或打印過的存儲介質(zhì)中獲得。第十四，物理侵入。侵入者繞過物理（如防火墻）控制而獲得對系統(tǒng)的訪問。第十五，竊取。重要的安全物品，如令牌或身份卡被盜。第十六，惡意暗鏈。在無授權(quán)狀態(tài)下，通過各類攻擊手段，在網(wǎng)站中植入無行為能力的惡意文本，然后將非法網(wǎng)站鏈接到該網(wǎng)站。

（二）政府信息安全威脅的主要來源

第一，自然災(zāi)害、意外事故，如地震、泥石流爆發(fā)造成機(jī)房被毀等。第二，計算機(jī)犯罪、外部泄密。這方面的危害主要來自于外部人員，且主觀目的和目標(biāo)明確。第三，人為錯誤、內(nèi)部泄密，如使用不當(dāng)、安全意識差等，這方面的威脅主要來自于內(nèi)部。第四，“黑客”行為。網(wǎng)站或多或少總會存在一些漏洞，好奇的黑客有借助政府網(wǎng)站從事網(wǎng)絡(luò)釣魚活動的趨勢。第五，存儲失效、信息丟失。任何一種存儲設(shè)備都有其壽命或不可預(yù)見的損壞，重復(fù)備份是防止此類威脅的有效手段。第六，嗅探、信息戰(zhàn)、電子諜報。嗅探器可以竊聽網(wǎng)絡(luò)上流經(jīng)的數(shù)據(jù)包，再經(jīng)過信息流量分析從而達(dá)到信息竊取的目的或者使對方服務(wù)器癱瘓。第七，操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議的自身缺陷，如TCP/IP協(xié)議的安全問題等等。

三、政府信息安全防范策略

信息安全是指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，信息服務(wù)不中斷。信息安全的實(shí)質(zhì)就是要保護(hù)信息系統(tǒng)或信息網(wǎng)絡(luò)中的信息資源免受各種類型的威脅、干擾和破壞，即保證信息的安全性。實(shí)踐中，政府信息安全一般按照“誰主管誰負(fù)責(zé)、誰運(yùn)行誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”的原則，從以下幾個層面加以保護(hù)。

（一）外部環(huán)境層面的保護(hù)

環(huán)境方面的保護(hù)指的是一些基礎(chǔ)設(shè)施的安全保護(hù)，只有基礎(chǔ)設(shè)施安全了，設(shè)備才能安全，只有設(shè)備安全了，設(shè)備上所承載的信息才能安全。

這方面的安全保護(hù)包括房間的安全，供電系統(tǒng)的安全（加裝凈化電源、UPS、電源接地等確保系統(tǒng)正常供電），防靜電地板的安裝，機(jī)房溫度、濕度的控制，機(jī)房灰塵的控制等，環(huán)境方面的保護(hù)是基礎(chǔ)，也是基本的、起碼的、必須的保護(hù)。

（二）技術(shù)、設(shè)備層面的保護(hù)

這方面包括的內(nèi)容比較多，也比較雜，大多數(shù)政府單位在實(shí)踐中也做了一些工作，但還不夠，需要進(jìn)一步加強(qiáng)保護(hù)。

1.要使用必要的設(shè)備或軟件對政府信息進(jìn)行保護(hù)，如使用防火墻、行為審計系統(tǒng)、使用可網(wǎng)管的交換機(jī)、使用殺毒軟件等。

2.要建立授權(quán)和身份認(rèn)證系統(tǒng)，加強(qiáng)對賬戶和口令的控制，實(shí)現(xiàn)授權(quán)訪問控制、用戶身份識別等，用于自動發(fā)現(xiàn)網(wǎng)絡(luò)上的安全漏洞，并給出分析報告。

3.要建立安全監(jiān)測預(yù)警系統(tǒng)，用于實(shí)時監(jiān)測網(wǎng)上的數(shù)據(jù)流，尋找具有網(wǎng)絡(luò)攻擊特性和違反網(wǎng)絡(luò)安全策略的數(shù)據(jù)流，當(dāng)發(fā)現(xiàn)可疑數(shù)據(jù)流時按照系統(tǒng)安全策略規(guī)定的響應(yīng)策略進(jìn)行響應(yīng)，實(shí)時阻斷非法的網(wǎng)絡(luò)連接。

4.要建立數(shù)據(jù)應(yīng)急保護(hù)系統(tǒng)。為了滿足系統(tǒng)業(yè)務(wù)不間斷的要求，避免由于自然災(zāi)難的損壞造成系統(tǒng)停止服務(wù)而采用系統(tǒng)備份和恢復(fù)技術(shù)。

5.要建立有關(guān)系統(tǒng)安全方面有價值的系統(tǒng)日志審計。在系統(tǒng)運(yùn)行時，通過網(wǎng)絡(luò)管理員對系統(tǒng)日志進(jìn)行配置，達(dá)到盡可能多地保留有用信息的目的。

6.要對敏感信息載體加以物理屏蔽。如對一些政府保密的部門，使用屏蔽網(wǎng)線。還有一些國家機(jī)密場所，工作人員一旦進(jìn)入后，隨身攜帶的通信設(shè)備信號全無，那就是被屏蔽了，以防止信息外泄。

7.要嚴(yán)格規(guī)范內(nèi)外網(wǎng)絡(luò)的連接。內(nèi)網(wǎng)與外網(wǎng)應(yīng)該進(jìn)行完全物理隔離，但有些單位受經(jīng)濟(jì)條件所限，達(dá)不到這個要求，從而使內(nèi)外網(wǎng)混用。一臺計算機(jī)既可以訪問內(nèi)網(wǎng)，也可以訪問外網(wǎng)，那這臺計算機(jī)就可能成為內(nèi)外網(wǎng)的連通器，這就很可能泄露信息。

8.軟、硬件盡量不要使用國外的產(chǎn)品。中國的信息安全要靠外國人來管理，豈不是中國信息安全行業(yè)乃至信息行業(yè)的悲哀，所以，要扭轉(zhuǎn)這一局面，不僅需要我國企業(yè)練好內(nèi)功，提供優(yōu)秀的產(chǎn)品和解決方案，更重要的是必須讓強(qiáng)勢的采購人和采購代理機(jī)構(gòu)轉(zhuǎn)變思路，為國內(nèi)IT企業(yè)提供足夠的市場空間。

（三）法律、法規(guī)層面的保護(hù)

安全不僅是技術(shù)問題，同時還是社會和法律問題。與美國相比，我國在信息安全標(biāo)準(zhǔn)的制定、認(rèn)證、檢測等方面有待進(jìn)一步加強(qiáng)。在信息安全標(biāo)準(zhǔn)方面，我國有國家信息安全產(chǎn)品測評認(rèn)證中心、公安部、國家質(zhì)量技術(shù)監(jiān)督局等多個部門參與這方面的工作，而美國則在法案中明確表示由美國國家標(biāo)準(zhǔn)技術(shù)研究院一家來完成。所以，我們的產(chǎn)品一般都有好幾個部門的認(rèn)證，這不僅增加了產(chǎn)品的成本，而且部門之間相互推諉，影響認(rèn)證，應(yīng)該出臺一部法律法規(guī)，使認(rèn)證有一個統(tǒng)一的標(biāo)準(zhǔn)。

另外值得注意的是，我國信息安全標(biāo)準(zhǔn)的培訓(xùn)、認(rèn)證和檢測機(jī)構(gòu)中，有些部門是營利機(jī)構(gòu)，還有些是沒有收費(fèi)權(quán)的政府部門，也在想方設(shè)法、變著法地給本單位或者本部門營利，這在某種程度上降低了信息安全標(biāo)準(zhǔn)認(rèn)證的公證性。這樣的認(rèn)證不僅影響其公信力，而且證件面臨在國際上有可能不被承認(rèn)的危險，因此，急需要有這方面的法律法規(guī)予以規(guī)范。

（四）人事管理層面的保護(hù)

資料表明，七成以上的政府信息安全事故是由政府內(nèi)部相關(guān)工作人員引發(fā)的?？梢姡谡畔踩录衅饹Q定作用的是人，人是信息安全保障中最需要的因素。

信息安全人事管理是指以現(xiàn)代人力資源管理理論為基礎(chǔ)，從招聘選拔、人員培訓(xùn)、人員使用、績效考核、人員激勵等主要職能入手，對組織中信息安全人員進(jìn)行科學(xué)管理、合理配置和有效開發(fā)，制定適合的規(guī)章制度，借以實(shí)現(xiàn)組織信息安全管理目標(biāo)的活動。信息安全人事管理是信息安全管理的核心，作為信息安全保障的一個關(guān)鍵要素，信息安全人事管理的強(qiáng)化實(shí)施可以為政府搭建起一道牢固的“人力防火墻”。

政府信息安全工作是一項(xiàng)全方位的工作，需要從多方面進(jìn)行有效管理以及合理運(yùn)用技術(shù)、政策、法規(guī)、制度等，在計算機(jī)網(wǎng)絡(luò)不斷發(fā)展普及、政務(wù)信息公開程度日益擴(kuò)大的今天，加強(qiáng)管理為政府信息安全問題消除隱患顯得尤為重要，最終使信息資源在政府的管理活動中發(fā)揮應(yīng)有的作用，以最大限度地保護(hù)網(wǎng)絡(luò)環(huán)境下的政府信息安全。

D63

A

1009-1203（2011）04-0102-03

2011-06-29

杜建亮（1971-），男，山西臨汾人，中共山西省委黨校信息網(wǎng)絡(luò)教研部副教授。

責(zé)任編輯 雨文