統計部門電子政務安全需求分析

馮巧娟　王傲勝

摘要：針對某統計部門做電子政務安全需求分析．為解決統計部門的電子政務安全問題提供依據和參考。

關鍵詞： 電子政務業務流程安全需求分析

中圖分類號TP393.08文獻標識碼A文章編號：1002-2422(2007)03-0027-02

解決電子政務的安全問題，首先要分析電子政務的安全需求。作為政府機構之一的統計部門也毫不例外，下面先分析統計部門的業務流程，從業務流程中分析其安全需求。

1統計部門的業務流程分析及內、外網絡劃分

以某市級統計局為研究主體，該統計局是統計部門政令、工作任務上傳下達的中間環節，處在重要的位置。其信息網絡系統是一個覆蓋全市的廣域網絡，它包括如下幾部分：(1)向上連接省統計局，向下連接各縣、區統計局的內聯網絡，稱為內聯網；(2)與內部網絡物理隔離的外部網絡，該網絡連接Internet，提供對外信息公開服務，稱為外部網：(3)該統計局內部的辦公自動化網絡，稱為內部網。從涉密程度上劃分安全層次，內聯網屬于涉密域，安全要求較高，并且由于內聯網實際上是要通過Internet連接的，是一種虛擬的專用網絡，所以其安全需求實現的難度也比較大：內部網屬于非涉密域，安全要求中等；外部網屬于公共服務域，安全要求較低。內聯網和內部網要與外部網實施物理隔離。

從網絡的主要作用上來看，內聯網是部門內部的關鍵業務管理系統和核心數據應用系統，一般情況下信息都是要防止數據在傳輸過程中被竊取、篡改、偽造、重發等惡意破壞，為此各科室都有專人負責(一般是科室領導)數據在網絡上的發送、接收工作，首先做到了管理上的安全責任到人，其次在網絡上需要包括安全認證、身份鑒別、訪問控制、數據保密、數據完整、防止否認、審計管理、可用性和可靠性等安全措施。內聯網要與外部網物理隔離，在實現隔離網絡間數據正常傳輸的同時，對傳輸的數據進行校驗，過濾其中的非正常程序和破壞信息，只允許與系統相關的數據進入內網；指定的數據和文檔可以在內外網物理隔離的條件下單向或雙向地流動；保證內、外網傳輸的信息是安全的，對內部網絡系統和數據不會造成破壞和不良影響。

內部網是部門內及部門間的各類非公開應用系統，是局內各科室使用最頻繁的，包括OA辦公自動化系統、數據庫、統計數據綜合采集平臺、IP電話、Web服務、電子郵件等功能。這部分網絡的主要功能是實現統計局內部的無紙化辦公，是電子政務在統計局內部的具體實現，是局內各科室傳統工作在網絡世界的體現。內部網須應用漏洞檢測、黑客監測預警、防治病毒、自動備份恢復等安全技術。

外部網是與互聯網相聯的網絡，主要作用是公布統計信息、宣傳統計法規知識、各業務單位上報數據等。這部分網絡也要求有安全認證、非法程序檢測等安全技術來保證數據的真實性、完整性。

2電子政務系統所受的安全威脅

從安全威脅的來源來看，電子政務系統所受的安全威脅可以分為內、外兩部分。所謂“內”，是指政府機關內部，來自內部的威脅則包括內部人員惡意破壞、管理人員濫用職權、執行人員操作不當、內部管理疏漏、軟硬件缺陷等；相應的“外”是指社會環境，來自于外部的威脅有病毒傳染、黑客攻擊、信息間諜、信息恐怖活動、信息戰爭、自然災害等。一般說來電子政務安全中普遍存在著以下幾種安全隱患：

(1)竊取信息：由于未采用加密措施，調制解調器之間的信息以明文形式傳送，入侵者使用相同的調制解調器就可以截獲傳送的信息。同時，政府機關內部人員更是可以十分輕松的將一些機要信息泄漏出去，此謂“監守自盜”。在電子政務信息存儲、傳輸的各個環節都存在這樣的安全隱患，各個局域網的內部也存在信息被竊取的可能。

(2)篡改信息：當入侵者掌握了信息的格式和規律之后，通過各種方式，在原網絡的調制解調器之間增加兩個相同類型的調制解調器，將通過的數據在中間修改，然后發向另一端。這便嚴重的破壞了原信息的完整性與有效性。這種隱患主要存在于信息的傳輸過程中。

(3)冒名頂替：由于掌握了數據的格式，并可以篡改通過的信息，攻擊者可冒充合法用戶發送假冒的信息或者主動獲取信息，而遠端用戶通常很難分辨。同時，由于內部權限分配不明或者濫用他人名義實施違法活動，極有可能造成“栽贓嫁禍”。這樣的隱患同樣存在于網絡的各個環節。

(4)惡意破壞：攻擊者可以接入網絡，則可能對網絡中的信息進行修改，掌握網上的機要信息，甚至可以潛入兩邊的網絡內部，這樣的隱患難于防范，破壞者可以對硬件或是軟件實施各種形式的破壞，這種事情可能存在整個電子政務網絡的各個地方，區別只在于破壞被發現的難易。

(5)失誤操作：由于缺乏明確的操作規程和必要的備份措施，加之部分工作人員的安全意識不強和安全技術有限，一旦出現失誤操作，重要的信息將無法恢復。這樣的隱患主要決定于操作規程的制定和執行，一般存在于系統內部，若要求有嚴格的規范的管理，可杜絕大部分的失誤。

3電子政務的安全需求

電子政務存在很多的安全問題，可說是危機四伏，因此從安全需求來說，一般的電子政務網絡在劃分內、外網絡的基礎上可細分為四層：第一層是核心決策層，就是國家涉密的、最核心、最機密的那一層。對這一層來說，高度的認證、高度的預審和用核心密碼加密非常必要和重要；第二層市政府業務處理層，這一層一般是有防火墻、訪問控制等安全措施組成。一、二層合起來就是機關內網(即局域網)；第三層是與合作機構的信息交換層。第四層，即最外層，就是公共服務層。其中一、二、三層合起來稱政府內部網。內部網與第四層應根據國家保密局要求，實施物理隔離。電子政務系統上述四個層次的業務安全需求如表l所示。

4結束語

本文對統計部門電子政務業務流程進行了分析，針對業務流程的各個環節分析電子政務的安全隱患，提出安全要求，并由此詳細劃分了電子政務的安全框架結構。為解決統計部門電子政務安全問題做系統需求分析等前期工作。