電子政務系統安全防御體系建設現狀與問題分析

李亞巍

摘 要 現代通信信息科學技術的的發展日新月異，它以網絡為標志，以通信技術和計算機技術為核心，人類社會正以前所未有的速度朝著信息時代大步邁進。在擴大民主參與、改善政府效能、提高行政效率等方面，電子政務的作用日益顯著，它是全球信息化的重要組成部分。世界各國發展社會經濟，加大信息公開，轉變政府職能，推進政務協同，強化公共服務的有效手段便是建立快捷高效的電子政府，使信息化技術得到充分有效地利用。然而，電子政務系統豐富功能的同時，也存在一系列的安全隱患。電子政務系統的建設，需求較高的保密措施，涉及面廣泛，難度很大，在系統內必須配備大量的人員、設備、信息等資源來加強安全措施的防護，這是一項復雜而龐大的工程。

關鍵詞 電子政務 安全 防御 分析

中圖分類號：TP393.08 文獻標識碼：A

1電子政務安全防御體系建設現狀

在全球信息化形勢下，電子政務在擴大民主參與、提高行政效率、改善政府效能等方面的具有顯著的作用。為了加強公共服務，促進社會經濟發展，轉變政府職能，進而加大各國信息公開力度，所以建立一個高效快捷的政府，使信息化技術得到充分利用，進而推動世界各國政務協同合作是當前最行之有效的手段。電子政務的建設與發展受到越來越多的國家都的重視，許多國家都將其作為重點建設項目。

信息化程度最高和最早發展電子政務的國家是美國，多達10 000種申請服務項目在國家網站上推出；2005年在所有的英國政府服務領域均能實現上網，英國政府服務的所有區域，均在2005年實現了24小時不間斷的網絡服務。日本政府也在2000年3月正式啟動“電子政務工程”建設，這一工程在很大程度是加速了日本政府的電子化、信息化進程。目前，許多發展中國家在電子政務建設上屬于后來居上，他們在很多方面都已經達到，甚至超過了發達國家的水平。而在這一時期，西班牙和法國的網絡覆蓋率為32%，瑞典的網絡覆蓋率達到34%。

信息化越來越成為發達國家社會轉型的一種趨勢，而對于發展中國家來說，這既是一種新的機遇，也是一種挑戰，利與弊都在一念之間。但在電子政務網絡被大力發展的同時，各國政府同時又不得不面臨層出不窮的多種網絡安全現狀：（1）外網準入控制系統不夠完善：非法分子通常就是通過管理漏洞對系統發起攻擊，而這些攻擊的渠道又多半是外網。所以，要實時關注外網動態，并及時有效的對出現的漏洞進行更新和維護。（2）由于內網具有較強的機密性，所以各級政府都很重視其安全控制，但其準入行為審計過程中，準入標準沒有規范化，導致系統文件缺失，從而方便了非法分子的不法行為。（3）缺失網絡操作行為管理：因缺乏有效的信息化管理手段，違規操作和不安全操作等行為無法按照網絡內部的要求，來對網絡數據進行正確操作，實行有效管理。

目前主要有下列電子政務網絡安全威脅：（1）非法攻擊并入侵電子政務網絡接口：互聯網仍是電子政務面向公眾的網絡基礎，因此仍然會存在非法分子利用外網、專網的服務器接口進行非法入侵的風險。非法分子經常通過業務系統拒絕服務等方式進行攻擊，并依靠猜測來獲取其他內部主機的服務訪問權限。（2）攻擊電子政務網絡先天畸形：電子政務網絡的很多子系統如操作系統、應用系統、支撐系統等的管理過程和系統配置在不同的時間和地點都會出現固有的安全隱患，而這就成了不法分子用來攻擊政務系統的隱秘暗門、使用網絡攻擊等手段致溢出緩沖區信息、利用“特洛伊”木馬程序來非法盜取信息，利用這些漏洞來實現對系統的非法訪問和控制，繞過甚至穿透針對安全設施制定的防護策略，并且基于此來繼續對其他系統進行攻擊。

2存在的主要問題

以前較為傳統的工作過程被現在獨立、集成、全智能化、全開放的計算機網絡系統所代替了。各行各業都從中受益，人們生活和工作因為計算機網絡技術和電子信息技術的飛速發展，發生了翻天覆地的變化，同時也逐漸改變了世界。但同時也給人們的日常生活帶來了許多危害。現在，計算機網絡安全相關的研究涉及了很多方面，比如教育、政府、科研等等，同時，也促進了計算機網絡技術能進一步發展。

安全防范中存在的主要問題：（1）信息安全管理由于沒有形成一個國家性的方案，所以現在可以所是一團糟。實施與監管策略不到位，信息安全處理能力較弱。沒有走中國特色政治經濟大路，相反只是一味追求部門特色。管理技術和法制之間的關系也沒有得到準確地區分，沒有與時俱進而采取先進的管理方法，導致制度難以完美實施。（2）動態的、中國特色的并包括組織文件的工作流程與防范方法還未建立起來，也缺乏針對信息安全管理體系的相關要素和資源。（3）信息安全的要點及所要保護的范圍還沒得到很好的確定，中國特色信息安全評估準則還不夠完善，完整、全方位的信息保障系統及風險評估和評價體系也沒建立起來。（4）只重方法、不重管理，只重產物、不重服務的不好思想一直存在，沒有形成較好的信息安全觀念。（5）信息管理人才不足，重要技術與相關理論的研究十分薄弱，沒有投入足夠的專項經費，對引進國外的信息設備和技術嚴重依賴，缺乏有效技術改造和信息管理來對信息安全提供保護。（6）缺乏較高水平和質量的信息安全管理產品，通常會以集中配置為主、不重視技術創新，安全管理平臺的主要任務是報告狀態、管理與策略同時進行，不足的是，產品研發過于滯后。（7）沒有特定的具有權威的機關機構來對立法管理組織實現協調與管理，造成了中國現在關于信息管理安全方面的法律不多，水平不夠，制度多，結構亂，缺乏嚴密的體系；多方進行管理，不明確執法主體，各行政部門各行其是，規則不一致，執行難度較大可操作性不強，缺少法律依據；缺少應有的數量，制定周期太長，內容上不全面，不能按時完工；缺乏監督機構，執法不嚴；信息安全法和電了商務法等專門的信息安全基本法缺乏；互聯網多項權力立法不全面；社會各界的法律意識不強，政府執法力度不夠，法律人才不多。（8）我國沒有專門制定關于信息管理安全方面的標準，而是效仿國際標準。國家缺乏必要法律保護和監督管理機制在對標準的實施過程中，進行監督，致使用戶或企業不執行標準，不能及時、妥善的解決執行過程中出現的問題。

3問題解決的方法

對電子政務網絡信息系統安全防御體系建設進行介紹：（1）對電子政務安全防御體系解決方案的建立，通過電子政務的應用規劃、主要技術路線和系統架構進行了比較完整分析，進而明確構建目標。（2）根據政府體系的內部和外部的威脅是政府電子政務信息所面臨的兩個主要安全威脅因素的介紹，為我國電子政府的信息系統安全防御建進行了清楚的劃分。（3）通過主要對美國政府長期在公共部門信息安全防范管理方面的工作進行借鑒，對他們的教訓和豐富的經驗進行總結并分析，深入思考信息保障問題，以對比分析來確保，能夠建設一支可實施性強的具體的國家信息安全保障國家戰略體系。（4）通過結合我國具體情況，設計了具有中國特色的電子政務信息安全防御系統。并對中國電子政務信息安全系統防御體系核心部分的程序進行設計，主要包括登陸代碼、數據加密和解密的實現；通過信息安全防御體系的應用及其實現標準和電子政務網絡安全防御體系的具體應用，以此進一步確保電子政務系統信息安全防御體系的應用實現。

參考文獻

[1] 劉義理.電子政務——理論、應用與管理[M].北京：中國建筑工業出版社，2010.

[2] 王長勝，許曉平.中國電子政務發展報告（2010）[M].北京：社會科學文獻出版社，2010.

[3] Wong C，Lam S.Digital signatures for flows and multicasts.Networking，IEEE/ACM Transactions，2009，7（4）：502-513.

[4] Fang B.Introducing decryption authority into PIG.Computer Security Applications，2010：288-296.

[5] 張建華.電子政務知識管理[M].北京：科學出版社，2010.

[6] 徐曉林，楊蘭蓉.電子政務[M].北京：科學出版社，2010.

[7] 杜治洲.電子政務與政府管理模式的互動[M].北京：中國經濟出版社，2006.

[8] 姚國章.中國電子政務案例[M].北京：北京大學出版社，2007.

[9] 工業和信息化部信息化推進司.轉型與調整——中國信息化發展報告2010[M].北京：電子工業出版社，2010.

[10] Yu H，Jin C，Che H.A description logic for PK1 trust domain modeling.Information Technology and Applications，2011：524-528.

[11] 張建偉.國外電子政務發展戰略對我國的啟示[J].改革與戰略，2009（05）.

[12] Galley·Michael J.Digital signatures.Information Security Technical Report， 2007，2（4）：12-22.