淺析電子政務信息安全

周 萍

近年來，政府電子政務安全體系建設受到各級政府的高度重視。在各類電子政務系統建設中，安全無不被提高到戰略高度對待。政府部門或從技術手段出發，采用各類信息安全技術來保障電子政務安全，或是輔之以信息安全的制度保障，從技術加管理的角度來落實安全措施。

一、電子政務安全需求

電子政務是由政務內網、政務外網和互聯網三級網絡構成的，政務內網為政府部門內部的關鍵業務管理系統和核心數據應用系統，政務外網為政府部門內部以及部門之間的各類非公開應用系統，所涉及的信息應在政務外網上傳輸，與互聯網相聯的網絡。電子政務所涵蓋的信息系統是政府機構用于執行政府職能的信息系統。政府機構從事的行業性質跟國家緊密聯系，所涉及的眾多信息都帶有保密性，所以信息安全問題尤其重要。

電子政務安全主要表現在技術層面的安全機制和社會人文環境、道德倫理方面的保障體系。在電子政務實踐中人們的安全需求主要有三點：一是掃除信息網絡安全隱患；二是打擊違法犯罪活動；三是保障國家信息領域。

二、加強電子政務信息安全管理對策

電子政務網絡安全是指信息安全和系統安全兩部分。信息安全包括“保障計算機及其相關的和配套的設備、設施(網絡)的安全，運行環境的安全，保障信息安全，保障計算機功能的正常發揮，以維護計算機信息系統的安全”。系統安全包括物理安全與傳輸安全、操作系統安全、網絡結構安全、信息傳遞過程安全、身份鑒別與訪問控制、標準時間源、病毒保護、數據備份與容災等幾個方面，其中操作系統安全、網絡結構安全和信息傳遞過程安全成為重點。加強電子政務信息安全管理對策如下：

1使用網頁防篡改系統構建安全網站。

針對政府機關Web安全性的要求，可選用網頁防篡改系統來構建安全網站。網頁防篡改系統實時監控Web站點，當Web站點上的文件受到破壞時，能迅速恢復被破壞的文件，并及時提交報告給系統管理員，從而保護政務網每個Web站點的數據安全。做好服務器的安全策略配置，及時升級補丁程序；正確配置防火墻、入侵檢測設備策略，通過以防火墻為政府網站的安全方案配置，能將所有安全軟件(如口令、加密、身份認證、審計等)配置在防火墻上，對網絡存取和訪問進行監控審計。既注重外部防范。又要加強內部管理，在政務內網與外網之間采用物理方式隔離，政務外網與互聯網之間采用邏輯方式隔離。

2使用漏洞掃描系統彌補缺陷。

目前，我國的信息安全形勢嚴峻，被列入防護能力最低的國家之一。所有的政務應用和安全措施都依賴操作系統提供支持，操作系統的漏洞或配置不當將有可能導致整個安全體系的崩潰。在電子政務設計建設中，使用具有自主知識產權且代碼對政府公開的產品是信息安全的根本，但由于我國沒有掌握CPU等核心技術，未能建立獨立自主的信息安全產業，在操作系統安全設計方面必須布置漏洞掃描系統以彌補操作系統無自主產權的缺陷。利用漏洞掃描工具采取時間策略定時掃描整個網絡地址網段，對多種來自通訊、服務、設備、系統等的漏洞進行掃描。采用模擬攻擊的手段去檢測網絡上隱藏的漏洞。且對網絡不做任何修改或造成任何危害，并提供漏洞檢測報告和解決方案，從而有效檢查網絡系統的可靠性和安全性。

3使用隔離網閘技術整合網絡結構。

電子政務實踐中往往產生內網與專網、外網間的信息交換需求，然而基于內網數據保密性的考慮，我們又不希望內網暴露在對外環境中。解決該問題的有效方式是設置安全島，通過安全島來實現信息的過濾和兩個網絡間的物理隔離，從而實現安全的數據交換。隔離網閘技術是實現安全島的關鍵技術，通過添加VPN通信認證、加密、入侵檢測和對數據的病毒掃描，就可構成一個在物理隔離基礎上實現安全數據交換的信息安全島。在此基礎上，隔離網閘作為代理從外網的網絡訪問包中抽取出數據然后通過反射開關轉入內網。完成數據中轉。另一方面，由于隔離網閘僅抽取數據交換進內網，因此，內網不會受到網絡層的攻擊，這就在物理隔離的同時實現了數據的安全交換。

4使用PKI技術進行加密認證。

PKl是公鑰基礎設施(Public Key In-frastructure)的簡稱，是一個用非對稱密碼算法原理和技術來實現并提供安全服務的、具有通用性的安全基礎設施。在電子政務和電子商務的建設中，PKI實際上是提供了一整套的、遵循標準的密鑰管理基礎平臺。PKI技術通過第三方的可信任機構認證中心CA把用戶的公鑰和用戶的其他標識信息(如名稱、E-mail、身份證號等)捆綁在一起，通過數字身份證、數據簽名、用戶名及其訪問口令。進行身份鑒別及訪問權限的控制，防止非法人員對網絡的登錄，保證網絡資源的使用安全性。在加密過程將密鑰分解為公開密鑰和私有密鑰，公開密鑰用于加密，私有密鑰用于解密，私有密鑰只能由生成密鑰的交換方掌握，公開密鑰可廣泛公布。但它只對應于生成密鑰的交換方。認證中心CA是PKI的核心執行機構，承擔認證服務、簽發數字證書，由受信任的第三方權威機構擔當，驗證并標識證書申請者的身份，對證書申請者的信用度、申請證書的目的、身份的真實可靠性等問題進行審查，確保證書與身份綁定的正確性，具有唯一性和權威性。

三、結束語

電子政務信息安全系統的宗旨是通過在實現信息系統時充分考慮信息風險，從而確保一個政府部門能夠有效地完成政府職能。本文試圖探討如何應用相應技術加強電子政務信息安全，樹立主動防范、積極應對的網絡信息安全意識，從根本上提高網絡監測、防護、響應、恢復和抗擊的能力。