摘 要 本文分析了当前电子政务安全体系中面临的亟待解决的安全问题及其重要性,并对电子政务的安全风险、隐患进行介绍,列出当前电子政务系统构建的主要结构模型以及其安全体系的结构模型,然后根据其中的安全结构模型对电子政务的安全支撑体系进行介绍。
新时期的经济、文化、生态文明建设等不能离开电子政务的支撑。在对电子政务系统来进行建设中,由于其自身发展的不完善,以及各种有意无意的电子政务违法犯罪行为,利益集团在电子政务上的利益博弈,进而时电子政务安全问题频频发生。
由于电子政务系统建立在互联网基础平台上,包含政务外网、内网和门户网。而互联网是有很多缺陷的全球网络,自身的安全风险隐患很多,使在网络上开展的电子政务应用面临着严峻的挑战。
电子政务系统的信息安全是指一个国家的政府信息资源不受外来的侵害与威胁,信息资源不被故意的或偶然的非法授权泄漏、更改,防止信息被非法入侵者辨识、窃取、控制、利用等。信息安全成为如今政府信息化中的核心问题。安全问题是电子政务建设中的重中之重。信息安全包括:存储传输、系统风险管理、审计跟踪、备份与恢复、应急响应等方面的安全内容。
电子政务直接涉及到各级政府的重要核心政务,必须要求电子政务实施的过程具有极高的可靠性和安全性。电子政务系统中的信息安全还涉及到了公众权益、个人隐私信息保密,甚至国家利益、社会稳定和国家安全等重要的问题。
信息安全主要是采取各种措施,保证信息的机密性、完整性、一致性和毋庸置疑性等。信息安全技术大范围的应用于电子政务,规范了政务处理的流程,加快了信息流动,提高了政务处理效率,给政务工作方式带来了全新的变化。
当今,我国电子政务中信息安全技术主要有:数据加密技术、认证技术与数字签名、信息安全分级等级保护方法、入侵检测安全技术、政务系统安全域划分技术、虚拟专网技术、防火墙技术。
我国电子政务系统结构从“三网一库”到政务内外网结构,使得数据信息能够实时快速的进行交换处理,地方政府尤其是基层政府对群众的服务需求的反应更加迅速。内外网结构模型,如图1所示。
保障电子政务系统安全各组成部分构成电子政务系统安全体系。它包括电子政务安全支撑部分与电子政务安全法律和法规部分,而电子政务安全支撑部分又由安全基础设备与设施、信息安全技术、安全管理、安全应急响应系统组成。
要建立全方位、多层次的、完善的电子政务系统安全体系,需要从这电子政务安全支撑部分的四个部分与电子政务安全法律和法规部分这样一些方面来设计构造电子政务系统安全体系的框架模型。
电子政务系统安全性被破坏,造成机密的信息暴露或丢失,或网络被攻击导致系统功能毁坏等安全事件,带来的后果必然极为严重,不堪设想,电子政务信息系统也必然成为信息间谍、黑客等各类违法犯罪分子攻击的目标。电子政务系统安全最重要的包含以下方面的隐患:物理安全、系统安全、网络安全、应用安全及管理安全。
根据电子政务系统安全风险隐患,电子政务安全支撑部分主要由以下部分所组成:安全基础设备与设施;信息安全技术;安全管理;安全应急响应系统。
电子政务系统安全基础设备与设施是指能够为电子政务系统提供安全保障的物理硬件环境、设施设备和软件环境。它的详细的细节内容最重要的包含以下方面:
①保护电子政务物理硬件设备、设施以及其它硬件媒体免遭水灾、地震、火灾等环境事故,人为操作的失误或错误,及各种计算机犯罪行为导致的破坏物理硬件环境、设施设备。
②能够为电子政务系统中的通信、交易各方提供共同信任的权限授予、握手协议、秘钥的分发和身份认证的公共第三方安全基础设施,它包括基于PKI技术的CA认证中心、可信的时间戳服务中心、密码秘钥管理中心、基于PMI的授权管理设施、信任策略库等安全基础设施。
电子政务安全技术是指保护电子政务系统正常安全工作的安全方法、原则、规则等。安全技术是由保障电子政务系统安全工作的技术组成的总和,电子政务安全技术主要由信息安全技术构成。信息安全技术广泛的应用在对电子政务系统起安全防护作用及起基础安全支撑作用等其他辅助作用的系统中,它负责电子政务系统的网络安全、局部计算的环境安全、区域边界安全等方面的保护以及能够为电子政务系统中的通信、交易各方提供共同信任的权限授予、握手协议、秘钥的分发和身份认证的基础安全支撑,它包括应用在防火墙系统、漏洞扫描系统、入侵监测系统、路由器、Web防篡改系统、DNS服务器安全系统、网络防病毒系统、基于PKI技术的CA认证中心、密码秘钥管理中心、基于PMI的授权管理设施等设施或系统中的信息安全技术。
保障电子政务系统安全的一个重要核心是安全管理,安全管理是确保安全技术得以有效实施的重要保障。依据电子政务系统的安全需求及系统所出现的问题,安全管理部分应该包括以下内容:安全管理的组织机构的设立、安全管理的规章制度的制定、对安全技术的管理、对系统工作人员的管理与培训、安全管理技术体系、对安全基础设备设施的管理、安全策略的制定与管理、对系统安全问题的管理、对从事电子政务系统安全工作的单位与个人的资质证书的认证等、对系统安全性能风险的评估与安全资产价值的评估、对安全管理的组织及其管理工作人员的工作职责的监督审查等。
安全应急预案又称为安全事件预警与应急响应方案,它是建立起应对安全突发事件的综合系统,电子政务安全应急响应系统是指通过整体部署入侵检测、安全性能风险评估、预警与响应等的应用,作为有效的技术支撑手段,建立起以安全工作人员队伍为基础、技术服务队伍为后备,构建组织管理,制定制度规范标准、预案流程等综合措施,以便尽早分析、发现和确认将要发生或己发生的有严重危害的网络安全和计算机突发事件,并对其进行应急响应,采取比较有效应对措施,以尽可能降低将要造成的危害和损失的综合安全系统。
安全应急响应服务指当安全事件发生后,安全运维服务团队根据安全突发事件及预案快速应急响应。应急响应预案应按照准备、检测、抑制、根除、恢复、跟踪等一系列标准措施制定,保证网络安全无忧,预防危险发生。应急处理和灾难恢复。这是电子政务建设近期迫切地需要的。
国家有关部门最新多个方面数据显示,中国遭受境外网络攻击的情况日趋严重,仅今年前两个月,就有境外5324台主机通过植入后门对中国境内11421个网站实施远程控制,此外,针对中国网上银行、支付平台、网上商城等的钓鱼网站有96%位于境外,中国境内遭受网络攻击的情况十分严重。因此面对如此严峻形势,需要国家有关部门尽快出台国家信息安全战略,确保互联网空间有法可依,并加大网络违法犯罪打击力度,整合部门、企业、社会组织等构建国家网络安全综合防御体系,切实维护网络安全,尤其是保障电子政务网络的安全。
如何保障电子政务安全,做好电子政务安全建设,成为各国政府亟待解决的问题。作为一个庞大的系统工程,电子政务系统安全体系的建设是其中的一个很重要的复杂的系统工程,信息安全支撑部分是电子政务系统安全体系中的重要组成部分,也是保障电子政务系统安全的很重要的手段。通过对电子政务系统信息安全支撑系统来进行介绍,进而为构建安全电子政务系统提供一定借鉴意义。
[1] 张剑锋.电子政务安全体系研究[J].数字技术与应用,2013(11).
[2] 陈荣艺.电子政务中信息安全技术的应用研究[D].广东工业大学,2013.
[3] 张敏.电子政务信息安全体系构建浅析[J].内江科技,2013(10).