牛朋飛

喜科（上海）軟件系統(tǒng)有限公司，成都 郵編 200000

電子政務(wù)信息安全體系研究

牛朋飛

喜科（上海）軟件系統(tǒng)有限公司，成都 郵編 200000

近年來(lái)，電子政務(wù)所處的網(wǎng)絡(luò)環(huán)境日益復(fù)雜，來(lái)自黑客、病毒的攻擊行為也日益頻繁，給國(guó)家的信息安全帶來(lái)嚴(yán)重的威脅。本文分析電子政務(wù)網(wǎng)絡(luò)面臨的安全威脅和要求，從基礎(chǔ)設(shè)施、技術(shù)保障、管理體系等三個(gè)方面構(gòu)建信息安全保障體系。

電子政務(wù)，信息安全，安全威脅，保障體系

電子政務(wù)信息平臺(tái)是我國(guó)“十五”規(guī)劃建設(shè)的重要內(nèi)容，各級(jí)人民政府都建立了專(zhuān)業(yè)化的政務(wù)管理信息化系統(tǒng)，電子政務(wù)發(fā)展具有了一定的規(guī)模，提高了政府辦公的工作效率。電子政務(wù)平臺(tái)中的信息涉及到國(guó)家秘密，這些信息的安全與否直接關(guān)系到國(guó)家的主權(quán)、社會(huì)的穩(wěn)定和廣大人民的利益以及國(guó)家的安全。因此，在推進(jìn)政務(wù)信息化進(jìn)程的過(guò)程中，首要的任務(wù)是保障電子政務(wù)信息的安全。目前，我國(guó)還沒(méi)有一套完整的電子政務(wù)信息框架，地方政府只是根據(jù)自身職能的需要實(shí)施了一些信息安全的保護(hù)措施，但是在實(shí)際的信息管理、監(jiān)督能力方面都有待于進(jìn)一步提高。

1 電子政務(wù)安全面臨的主要威脅

從電子政務(wù)系統(tǒng)所處的網(wǎng)絡(luò)環(huán)境來(lái)分析，Internet外網(wǎng)可看作是外部環(huán)境，電子政務(wù)系統(tǒng)及所屬的政府機(jī)關(guān)可看作是內(nèi)部環(huán)境，無(wú)論從內(nèi)部還是外部，電子政務(wù)系統(tǒng)所面臨的安全威脅都存在。外部威脅：一是無(wú)組織的黑客攻擊，二是有組織的網(wǎng)絡(luò)攻擊。據(jù)不完全統(tǒng)計(jì)，電子政務(wù)系統(tǒng)來(lái)自網(wǎng)絡(luò)的攻擊占整個(gè)安全攻擊的70%以上，黑客利用高超的計(jì)算機(jī)技術(shù)和通信技術(shù)侵入到計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)中。外部攻擊有兩種目的：一是以刺探、破壞信息為目的，另一是獲取信息內(nèi)的秘密文件，進(jìn)而以篡改文件為目的，即獲取情報(bào)為目的。前者主要表現(xiàn)為各種計(jì)算機(jī)病毒，后者則是秘密地竊取情報(bào)，和前者相比，更不容易被發(fā)現(xiàn)，所造成的危害也就更深遠(yuǎn)一些。

內(nèi)部的威脅主要表現(xiàn)為操作人員的違規(guī)操作和惡意報(bào)復(fù)。其中違規(guī)操作是造成內(nèi)部威脅得逞的主要原因。如內(nèi)部人員擅自通過(guò)實(shí)名計(jì)算機(jī)直接進(jìn)入因特網(wǎng)，造成計(jì)算機(jī)內(nèi)存儲(chǔ)的秘密文件被竊；又如不經(jīng)病毒過(guò)濾擅自從互聯(lián)網(wǎng)上下載多媒體影音數(shù)據(jù)，造成計(jì)算機(jī)的感染。另外，內(nèi)部人員的惡意報(bào)復(fù)在電子政務(wù)系統(tǒng)中也時(shí)有發(fā)生，如果工作人員有不滿情緒，它們可能會(huì)利用工作之便惡意破壞數(shù)據(jù)庫(kù)軟件，造成數(shù)據(jù)丟失和系統(tǒng)故障，對(duì)系統(tǒng)造成重大損失。

2 電子政務(wù)信息安全的要求

《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》把信息安全界定為“保障計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施(網(wǎng)絡(luò))的安全，運(yùn)行環(huán)境的安全，保障信息安全，保障計(jì)算機(jī)功能的正常發(fā)揮，以維護(hù)計(jì)算機(jī)信息系統(tǒng)的安全”。從這個(gè)規(guī)定可以看出，在電子政務(wù)環(huán)境下，信息安全主要包括系統(tǒng)實(shí)體安全、人員安全、應(yīng)用軟件安全、運(yùn)行安全和數(shù)據(jù)安全。

電子政務(wù)系統(tǒng)中的實(shí)體是指系統(tǒng)運(yùn)行所需要的計(jì)算機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備設(shè)施等，實(shí)體安全就是保證這些設(shè)施不受自然因素和人為因素破壞和影響，保證設(shè)備的正常運(yùn)行，通常分為人員安全、運(yùn)行安全和數(shù)據(jù)安全三部分。人員安全是指使用電子政務(wù)系統(tǒng)的政府工作人員、系統(tǒng)管理員的安全技能、安全意識(shí)和法律意識(shí)等；電子政務(wù)系統(tǒng)中開(kāi)發(fā)了大量的應(yīng)用軟件，要確保操作系統(tǒng)不存在安全漏洞和缺陷，能夠抵制外來(lái)的破壞；運(yùn)行安全是指電子政務(wù)系統(tǒng)在運(yùn)行過(guò)程中的安全，包括系統(tǒng)不受病毒和網(wǎng)絡(luò)黑客的攻擊等；數(shù)據(jù)安全是指電子政務(wù)系統(tǒng)中的數(shù)據(jù)和信息不被非法訪問(wèn)、更改和破壞，包括數(shù)據(jù)加密解密、數(shù)據(jù)備份與恢復(fù)、審計(jì)跟蹤、訪問(wèn)控制、網(wǎng)絡(luò)安全和數(shù)據(jù)庫(kù)安全等。

3 電子政務(wù)信息安全保障體系

圖1 電子政務(wù)信息安全體系框架

從電子政務(wù)系統(tǒng)安全的總需求來(lái)看，其中的網(wǎng)絡(luò)安全、信息內(nèi)容安全等可以通過(guò)開(kāi)放系統(tǒng)互連安全體系提供的安全服務(wù)、安全機(jī)制及其管理獲得，但所獲得的這些安全性只解決了與通信和互連有關(guān)的安全問(wèn)題，而涉及與信息系統(tǒng)構(gòu)成組件，運(yùn)行環(huán)境安全有關(guān)的其他問(wèn)題(如物理安全、系統(tǒng)安全等)等，還需要從技術(shù)措施和管理措施兩個(gè)方面來(lái)考慮解決方案。一個(gè)完整的電子政務(wù)信息安全體系包括基礎(chǔ)設(shè)施體系、技術(shù)保障體系和管理體系三部分組成，如圖1所示:

3.1 基礎(chǔ)設(shè)施體系

電子政務(wù)系統(tǒng)的基礎(chǔ)設(shè)施包括政務(wù)內(nèi)網(wǎng)、政務(wù)外網(wǎng)、電子政務(wù)信息專(zhuān)用網(wǎng)三部分。政務(wù)內(nèi)網(wǎng)用于運(yùn)行內(nèi)部辦公系統(tǒng)、基礎(chǔ)數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)存儲(chǔ)管理，通過(guò)路由器接入電子政務(wù)信息專(zhuān)網(wǎng)；電子政務(wù)信息專(zhuān)網(wǎng)，實(shí)現(xiàn)國(guó)家、省、市、縣四級(jí)政府部門(mén)的信息共享與交換；政務(wù)外網(wǎng)通過(guò)防火墻接入國(guó)際互聯(lián)網(wǎng)，為社會(huì)提供電子政務(wù)信息服務(wù)。

電子政務(wù)系統(tǒng)的內(nèi)網(wǎng)是整個(gè)政務(wù)信息化的基礎(chǔ)，負(fù)擔(dān)了大部分的政務(wù)信息和政務(wù)信息系統(tǒng)。電子政務(wù)內(nèi)網(wǎng)與外部網(wǎng)絡(luò)通過(guò)網(wǎng)絡(luò)物理隔離，存在的安全威脅主要來(lái)自?xún)?nèi)部區(qū)域的不安全因素，內(nèi)網(wǎng)安全集中表現(xiàn)在應(yīng)用系統(tǒng)的安全和數(shù)據(jù)信息的安全上。

安全域是由一系列相互信任，具有相同的信息安全需求的終端或系統(tǒng)等組成的邏輯網(wǎng)絡(luò)區(qū)域，為達(dá)到安全目的，安全域基于信息安全標(biāo)準(zhǔn)，從系統(tǒng)信息安全的角度劃分，可將電子政務(wù)網(wǎng)絡(luò)劃分為多個(gè)安全域。即使用交換機(jī)或者網(wǎng)絡(luò)結(jié)構(gòu)劃分為不同的子網(wǎng)或VLAN，并對(duì)不同的子網(wǎng)或VLAN進(jìn)行安全策略設(shè)置，防止不同安全域之間的非授權(quán)互訪。電子政務(wù)網(wǎng)絡(luò)安全域劃分后，同一安全域的終端或系統(tǒng)相互信任，并具有相同信息安全訪問(wèn)控制策略和邊界控制策略。

3.2 技術(shù)保障體系

信息安全體系的建設(shè)是一個(gè)復(fù)雜的系統(tǒng)工程，需要從多角度、多層次進(jìn)行分析和控制，根據(jù)電子政務(wù)網(wǎng)絡(luò)的不同層次，采取有針對(duì)性的技術(shù)措施，主要包括物理層安全、網(wǎng)絡(luò)層安全、系統(tǒng)層安全和應(yīng)用層安全等。

物理層安全是指電子政務(wù)系統(tǒng)運(yùn)行的物理環(huán)境的安全。通過(guò)對(duì)電力供應(yīng)設(shè)備以及信息系統(tǒng)組成的抗電磁干擾和電磁泄露性能的選擇性措施；通過(guò)物理機(jī)械強(qiáng)度標(biāo)準(zhǔn)的控制使信息系統(tǒng)的建筑物、機(jī)房條件及硬件設(shè)備條件滿足信息系統(tǒng)的機(jī)械防護(hù)安全。

網(wǎng)絡(luò)層安全就是確保該層的交換機(jī)，路由器、防火墻等設(shè)備的安全性。通常采取的技術(shù)措施包括：網(wǎng)絡(luò)訪問(wèn)控制、遠(yuǎn)程接入控制、內(nèi)容安全等相關(guān)控制措施。網(wǎng)絡(luò)訪問(wèn)控制是在網(wǎng)絡(luò)層實(shí)現(xiàn)訪問(wèn)控制措施，以限制主體對(duì)客體資源的訪問(wèn)，適當(dāng)?shù)脑L問(wèn)控制能夠阻止未經(jīng)許可的用戶(hù)有意或無(wú)意地獲取敏感信息。遠(yuǎn)程接入建議選擇較為安全的VPN接入方式，如果采用撥號(hào)接入，則建議在撥號(hào)后結(jié)合采用VPN進(jìn)行遠(yuǎn)程連接，然后通過(guò)對(duì)安全策略的統(tǒng)一管理和設(shè)置，確保所提供的安全功能得到有效地實(shí)施。內(nèi)容安全包括對(duì)惡意代碼及垃圾郵件等通過(guò)正常協(xié)議傳輸?shù)膼阂庑畔⒌倪^(guò)濾、攔截，可采用統(tǒng)一威脅管理、入侵防護(hù)系統(tǒng)、防火墻等安全措施措施。

系統(tǒng)層安全是指電子政務(wù)平臺(tái)下操作系統(tǒng)的安全。它通過(guò)對(duì)信息系統(tǒng)與安全相關(guān)組件的操作系統(tǒng)的安全性選擇措施或自主控制，使信息系統(tǒng)安全組件的軟件工作平臺(tái)達(dá)到相應(yīng)的安全等級(jí)。一方面阻止任何形式的非授權(quán)行為對(duì)信息系統(tǒng)安全組件的入侵或接管系統(tǒng)管理權(quán)；另一方面避免操作平臺(tái)自身的脆弱性和漏洞引發(fā)的風(fēng)險(xiǎn)。

應(yīng)用層安全主要是指電子政務(wù)平臺(tái)的安全和運(yùn)行在此平臺(tái)上的各應(yīng)用系統(tǒng)的安全。它主要采取身份認(rèn)證、訪問(wèn)控制等安全措施，保證應(yīng)用系統(tǒng)自身的安全性，以及與其他系統(tǒng)進(jìn)行數(shù)據(jù)交互時(shí)所傳輸數(shù)據(jù)的安全性；采取審計(jì)措施在安全事件發(fā)生前發(fā)現(xiàn)入侵企圖或在安全事件發(fā)生后進(jìn)行審計(jì)追蹤。

3.3 管理體系

電子政務(wù)信息安全管理體系的關(guān)鍵在于建立一個(gè)有效的安全管理組織機(jī)構(gòu)和管理制度。管理機(jī)構(gòu)以單位主管信息工作的負(fù)責(zé)人為首，有行使國(guó)家安全、公共安全、機(jī)要和保密職能的部門(mén)負(fù)責(zé)人和信息系統(tǒng)主要負(fù)責(zé)人參與組成。主要負(fù)責(zé)是規(guī)劃并協(xié)調(diào)各方面力量實(shí)施信息系統(tǒng)的安全方案，制定、修改安全策略，處理安全事故等。

安全管理制度包括安全責(zé)任制度、系統(tǒng)運(yùn)行維護(hù)管理制度、計(jì)算機(jī)處理控制管理制度、文檔資料管理制度、管理和操作人員管理制度、機(jī)房安全管理制度、定期安檢與安監(jiān)管理制度、網(wǎng)絡(luò)通信安全管理制度、病毒防治管理制度、信息保護(hù)制度等。

4 結(jié)語(yǔ)

無(wú)論采用什么樣的網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用體系，對(duì)于電子政務(wù)來(lái)說(shuō)，安全總是第一位的。因此，信息安全是電子政務(wù)的頭等大事，加強(qiáng)對(duì)電子政務(wù)信息安全體系的研究，對(duì)于推動(dòng)我國(guó)電子政務(wù)建設(shè)具有重大的現(xiàn)實(shí)意義。

[1]楊泉.我國(guó)電子政務(wù)信息安全對(duì)策分析[J].企業(yè)技術(shù)開(kāi)發(fā). 2014年36期.

[2]劉傳蔚.電子政務(wù)系統(tǒng)信息安全策略研究[J].計(jì)算機(jī)光盤(pán)軟件與應(yīng)用.2014年第23期.

[3]楊萌.電子政務(wù)信息系統(tǒng)的安全性分析[J]．課程教育研究. 2014年06期