電子政務係統安全防禦體係建設現狀與問題分析

應用研究

作者：李亞巍

摘 要 現代通信信息科學技術的的發展日新月異，它以網絡為標誌，以通信技術和計算機技術為核心，人類社會正以前所未有的速度朝著信息時代大步邁進。在擴大民主參與、改善政府效能、提高行政效率等方麵，電子政務的作用日益顯著，它是全球信息化的重要組成部分。世界各國發展社會經濟，加大信息公開，轉變政府職能，推進政務協同，強化公共服務的有效手段便是建立快捷高效的電子政府，使信息化技術得到充分有效地利用。然而，電子政務係統豐富功能的同時，也存在一係列的安全隱患。電子政務係統的建設，需求較高的保密措施，涉及麵廣泛，難度很大，在係統內必須配備大量的人員、設備、信息等資源來加強安全措施的防護，這是一項複雜而龐大的工程。

關鍵詞 電子政務 安全 防禦 分析

中圖分類號：TP393.08 文獻標識碼：A

1電子政務安全防禦體係建設現狀

在全球信息化形勢下，電子政務在擴大民主參與、提高行政效率、改善政府效能等方麵的具有顯著的作用。為了加強公共服務，促進社會經濟發展，轉變政府職能，進而加大各國信息公開力度，所以建立一個高效快捷的政府，使信息化技術得到充分利用，進而推動世界各國政務協同合作是當前最行之有效的手段。電子政務的建設與發展受到越來越多的國家都的重視，許多國家都將其作為重點建設項目。

信息化程度最高和最早發展電子政務的國家是美國，多達10 000種申請服務項目在國家網站上推出；2005年在所有的英國政府服務領域均能實現上網，英國政府服務的所有區域，均在2005年實現了24小時不間斷的網絡服務。日本政府也在2000年3月正式啟動“電子政務工程”建設，這一工程在很大程度是加速了日本政府的電子化、信息化進程。目前，許多發展中國家在電子政務建設上屬於後來居上，他們在很多方麵都已經達到，甚至超過了發達國家的水平。而在這一時期，西班牙和法國的網絡覆蓋率為32%，瑞典的網絡覆蓋率達到34%。

信息化越來越成為發達國家社會轉型的一種趨勢，而對於發展中國家來說，這既是一種新的機遇，也是一種挑戰，利與弊都在一念之間。但在電子政務網絡被大力發展的同時，各國政府同時又不得不麵臨層出不窮的多種網絡安全現狀：（1）外網準入控製係統不夠完善：非法分子通常就是通過管理漏洞對係統發起攻擊，而這些攻擊的渠道又多半是外網。所以，要實時關注外網動態，並及時有效的對出現的漏洞進行更新和維護。（2）由於內網具有較強的機密性，所以各級政府都很重視其安全控製，但其準入行為審計過程中，準入標準沒有規範化，導致係統文件缺失，從而方便了非法分子的不法行為。（3）缺失網絡操作行為管理：因缺乏有效的信息化管理手段，違規操作和不安全操作等行為無法按照網絡內部的要求，來對網絡數據進行正確操作，實行有效管理。

目前主要有下列電子政務網絡安全威脅：（1）非法攻擊並入侵電子政務網絡接口：互聯網仍是電子政務麵向公眾的網絡基礎，因此仍然會存在非法分子利用外網、專網的服務器接口進行非法入侵的風險。非法分子經常通過業務係統拒絕服務等方式進行攻擊，並依靠猜測來獲取其他內部主機的服務訪問權限。（2）攻擊電子政務網絡先天畸形：電子政務網絡的很多子係統如操作係統、應用係統、支撐係統等的管理過程和係統配置在不同的時間和地點都會出現固有的安全隱患，而這就成了不法分子用來攻擊政務係統的隱秘暗門、使用網絡攻擊等手段致溢出緩衝區信息、利用“特洛伊”木馬程序來非法盜取信息，利用這些漏洞來實現對係統的非法訪問和控製，繞過甚至穿透針對安全設施製定的防護策略，並且基於此來繼續對其他係統進行攻擊。

2存在的主要問題

以前較為傳統的工作過程被現在獨立、集成、全智能化、全開放的計算機網絡係統所代替了。各行各業都從中受益，人們生活和工作因為計算機網絡技術和電子信息技術的飛速發展，發生了翻天覆地的變化，同時也逐漸改變了世界。但同時也給人們的日常生活帶來了許多危害。現在，計算機網絡安全相關的研究涉及了很多方麵，比如教育、政府、科研等等，同時，也促進了計算機網絡技術能進一步發展。

安全防範中存在的主要問題：（1）信息安全管理由於沒有形成一個國家性的方案，所以現在可以所是一團糟。實施與監管策略不到位，信息安全處理能力較弱。沒有走中國特色政治經濟大路，相反隻是一味追求部門特色。管理技術和法製之間的關係也沒有得到準確地區分，沒有與時俱進而采取先進的管理方法，導致製度難以完美實施。（2）動態的、中國特色的並包括組織文件的工作流程與防範方法還未建立起來，也缺乏針對信息安全管理體係的相關要素和資源。（3）信息安全的要點及所要保護的範圍還沒得到很好的確定，中國特色信息安全評估準則還不夠完善，完整、全方位的信息保障係統及風險評估和評價體係也沒建立起來。（4）隻重方法、不重管理，隻重產物、不重服務的不好思想一直存在，沒有形成較好的信息安全觀念。（5）信息管理人才不足，重要技術與相關理論的研究十分薄弱，沒有投入足夠的專項經費，對引進國外的信息設備和技術嚴重依賴，缺乏有效技術改造和信息管理來對信息安全提供保護。（6）缺乏較高水平和質量的信息安全管理產品，通常會以集中配置為主、不重視技術創新，安全管理平台的主要任務是報告狀態、管理與策略同時進行，不足的是，產品研發過於滯後。（7）沒有特定的具有權威的機關機構來對立法管理組織實現協調與管理，造成了中國現在關於信息管理安全方麵的法律不多，水平不夠，製度多，結構亂，缺乏嚴密的體係；多方進行管理，不明確執法主體，各行政部門各行其是，規則不一致，執行難度較大可操作性不強，缺少法律依據；缺少應有的數量，製定周期太長，內容上不全麵，不能按時完工；缺乏監督機構，執法不嚴；信息安全法和電了商務法等專門的信息安全基本法缺乏；互聯網多項權力立法不全麵；社會各界的法律意識不強，政府執法力度不夠，法律人才不多。（8）我國沒有專門製定關於信息管理安全方麵的標準，而是效仿國際標準。國家缺乏必要法律保護和監督管理機製在對標準的實施過程中，進行監督，致使用戶或企業不執行標準，不能及時、妥善的解決執行過程中出現的問題。