电子政务网中的信息安全
目 录
引言 1
1. 电子政务中信息安全的几个基本问题 1
1.1 电子政务 1
1.2 信息安全 2
1.3 电子政务中的信息安全 2
1.4 信息安全在国家安全中的地位 3
1.5 政府信息安全的保护 3
1.5.1 以国家信息安全的组织保障为原则 4
1.5.2 以国家信息安全的全面保障为基础 5
1.5.3 以国家信息安全的技术防范为核心 5
1.5.4 以国家信息安全的技术标准为内容 6
2. 我国电子政务信息安全的目标及现状 6
2.1 电子政务信息安全的目标 6
2.1.1 可用性目标 6
2.1.2 完整性目标 6
2.1.3 保密性目标 6
2.1.4 可记账性目标 7
2.1.5 保障性目标 7
2.2 我国电子政务中信息安全的现状及表现 7
3. 我国电子政务中信息安全的保护对策 8
3.1 尽快建立我国信息安全的保护体系 8
3.1.1 迅速健全信息安全保护的组织机制 8
3.1.2 尽快完善国家信息安全基础设施建设 9
3.1.3 坚定地确立信息安全产业的策略 9
3.2 进一步完善我国信息安全保障的法律体系 9
3.2.1 确立科学的信息安全法律保护理念 10
3.2.2 构建完备的信息安全法律体系 10
3.2.3 强化超前的信息安全法律效率 11
3.2.4 主动融入国际信息安全的法律体系 11
3.2.5 建立电子政务信息安全四大体系 11
4. 我国电子政务信息安全的两个主要问题 15
4.1 网络技术的问题 15
4.1.1 网络信息安全问题 15
4.1.2 网络对人的情感问题 15
4.2 政府自身的问题 16
4.2.1 公务员及官员素质有待提高 16
4.2.2 电子政务的规划和标准缺乏统一性 16
5. 我国电子政务信息安全的主要问题的解决 16
5.1 网络安全问题的应对方法 16
5.1.1 加强对公务员的安全技术教育,树立网络安全观念 16
5.1.2 改变信息安全管理依靠传统的管理方法和手段的模式,实现现代的系统管理技术手段 17
5.1.3 鼓励民族信息技术产业的发展,解决好技术的先进性与自主性的关系 17
5.1.4 关于网络对人的情感及价值忽略问题的应对方法 18
5.2 政府自身问题的应对方法 18
5.2.1 提高公务员素质 18
5.2.2 制定发展规划,明确阶段目标,避免重复建设作为政务活动和信息技术的结合点 18
结束语 19
引言
随着全球政治经济一体化的日益明显,以电子政务为代表的政府管理服务职能的电子化、自动化、无纸化,目前正在一些国家尤其是发达国家中快速发展。在世界各国积极倡导的“信息高速公路”的五个应用领域中,“电子政务”被列为第一位,因此可以说政府信息化是社会信息化的先导,电子政务是信息化社会发展的必然。
电子政务是一国的各级政府机关或者是有关机构借助电子信息技术而进行的政务活动。其实质是通过应用信息技术,转变政府传统的集中管理,分层结构运行模式,以适应数字化社会的需求。电子政务主要由政府部门内部的数字化办公,政府部门之间通过计算机网络而进行的信息共享和适时通信。政府部门通过网络与公众进行的双向交流三部分组成。
由于电子政务依赖于计算机和网络技术而存在,这就意味着,电子政务的应用就不可避免的与INTERNET打交道。电子政务涉及对国家秘密信息和高敏感度核心政务的保护,设计维护公共秩序和行政监管的准确实施,涉及到为社会提供公共服务的质量保证。电子政务是党委、政府、人大、政协有效决策、管理、服务的重要手段,必然会遇到各种敌对势力、恐怖集团、捣乱分子的破坏和攻击。尤其电子政务是搭建在基于互联网技术的网络平台上,包括政务内网、政务外网和互联网,而互联网的安全先天不足,互联网是一个无行政主管的全球网络,自身缺少设防和安全隐患很多,对互联网犯罪尚缺乏足够的法律威慑,大量的跨国网络犯罪给执法带来很大的难度。所有上述分子利用互联网进行犯罪则有机可乘,使基于互联网开展的电子政务应用面临着严峻的挑战。
对电子政务的安全威胁,包括网上黑客入侵和犯罪、网上病毒泛滥和蔓延、信息间谍的潜入和窃密、网络恐怖集团的攻击和破坏、内部人员的违规和违法操作、网络系统的脆弱和瘫痪、信息产品的失控等,应引起足够警惕,采取安全措施,应对这种挑战。
1. 电子政务中信息安全的几个基本问题
1.1 电子政务
电子政务是政府在国民经济和社会信息化的背景下,以提高政府办公效率,改善决策和投资环境为目标,将政府的信息发布、管理、服务、沟通功能向互联网上迁移的系统解决方案。同时也提供了结合政府管理流程再造,构建和优化政府内部管理系统、决策支持系统、办公自动化系统,为政府信息管理、服务水平的提高提供强大的技术和咨询支持。
1.2 信息安全
信息安全是指一个国家的社会信息化状态不受外来的威胁与侵害;一个国家的信息技术体系不受外来的威胁与侵害。电子政务中的信息安全包括了信息的机密性、完整性、可信性、可控性、不可否认性等。我国立法把信息安全界定为“保障计算机及其相关的和配套的设备、设施(网络)的安全,运行环境的安全,保障信息安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全”。从这一法律规定看,计算机信息系统安全应当包括实体安全、信息安全、运行安全和人的安全。其中,人的安全主要是指计算机使用人员的安全意识、法律意识、安全技能等;实体安全是指保护计算机设备、设施(含网络)以及其他媒体免遭自然和人为破坏的措施、过程。实体安全包括环境安全、设备安全和媒体安全三个方面;计算机信息系统的运行安全包括:系统风险管理、审计跟踪、备份与恢复、应急四个方面的内容。所谓计算机信息系统的信息安全是指防止信息被故意的或偶然的非法授权泄漏、更改、破坏或使信息被非法系统辨识、控制,即确保信息的保密性、完整性、可用性、可控性。针对计算机信息系统中信息存在形式和运行特点,信息安全包括操作系统安全、数据库安全、网络安全、病毒保护、访问控制、加密与鉴别七个方面。
1.3 电子政务中的信息安全
电子政务中的信息安全包括了信息的机密性、完整性、可信性、可控性、不可否认性等。我国立法把信息安全界定为“保障计算机及其相关的和配套的设备、设施(网络)的安全,运行环境的安全,保障信息安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全”。从这一法律规定看,计算机信息系统安全应当包括实体安全、信息安全、运行安全和人的安全。其中,人的安全主要是指计算机使用人员的安全意识、法律意识、安全技能等;实体安全是指保护计算机设备、设施(含网络)以及其他媒体免遭自然和人为破坏的措施、过程。实体安全包括环境安全、设备安全和媒体安全三个方面;计算机信息系统的运行安全包括:系统风险管理、审计跟踪、备份与恢复、应急四个方面的内容。所谓计算机信息系统的信息安全是指防止信息被故意的或偶然的非法授权泄漏、更改、破坏或使信息被非法系统辨识、控制,即确保信息的保密性、完整性、可用性、可控性。针对计算机信息系统中信息存在形式和运行特点,信息安全包括操作系统安全、数据库安全、网络安全、病毒保护、访问控制、加密与鉴别七个方面。
1.4 信息安全在国家安全中的地位
电子政务中政府信息安全实质是由于计算机信息系统作为国家政务的载体和工具,而引发的信息安全。信息安全成为当前政府信息化中的关键问题。安全问题是电子政务建设中的重中之重。电子政务中的政府信息安全是国家安全的重要内容,是保障国家信息安全所不可忽缺的组成部分。
信息安全涉及到政治、经济、军事、文化等方方面面,由于互联网发展在地域上极不平衡,信息强国对于信息弱国已经形成了战略上的“信息位势差”,居于信息低位势的国家的政治安全、经济安全、军事安全乃至民族文化传统都将面临前所未有的冲击、挑战和威胁,互联网成为超级大国谋求跨世纪战略优势的工具。“信息疆域”不是以传统的地缘、领土、领空、领海来划分,而是以带有政治影响力的信息辐射空间来划分。“信息疆域”的大小、“信息边界”的安全,关系到一个民族、一个国家在信息时代的兴衰存亡。在知识经济时代,一个国家的信息获取能力以及在社会生产生活领域中的“信息制控权”,将成为这个国家在新世纪的生存与发展竞争中能否占据主动的关键。
1.5 政府信息安全的保护
一个国家的信息安全,实际是由两方面构成的。其一,为一个国家在信息安全方面采取的一系列组织措施及有关政策、法规;其二,为强有力的、切实可行的技术手段及有关技术装备。前者反映了一个国家在信息安全方面的决心、意志和战略、策略;后者反映了一个国家在信息安全方面的实力。信息技术是信息安全的前提和基础,信息安全的国家发展战略(包括信息安全法律制度),早已从一个产业问题上升为一个事关国家的社会、文化、军事等各方面的核心问题。在信息安全中其地位举足轻重,尤其作为信息技术相对落后的我国如何调整信息安全战略,完善信息安全保障法律规范,不仅是提高信息安全保障能力的手段和方法,而且是提高信息安全技术的前提和保证。所以我国“计算机信息安全的保护主要包括两方面的内容,一是国家安全监督管理,二是计算机信息系统使用单位自身的保护措施。实施计算机信息系统保护的措施包括:安全法规、安全管理、安全技术三方面”。 信息安全是一项极其复杂的系统工程,在安全法规、安全管理、安全技术的保障措施中,安全技术是信息安全的基础;安全管理是信息安全的关键;安全法规是信息安全的保证。 采用先进可靠的安全技术是维护信息安全的有力保障。事实上,大多数安全事件和安全隐患的发生与其说是技术上的原因,不如说是管理中的缘故。我国已发生的许多计算机安全事件(包括计算机犯罪行为),技术手段并不高明,仅仅是由于钻了管理上的漏洞。管理的关键在于管好人。因为一方面各种安全措施要靠人实施,另一方面有相当多的威胁网络的行为出自系统内部人员。因此必须提高安全管理人员的素质,加强对系统内部人员和网络用户的教育和管理。
采用安全技术,加强安全管理,可以大大提高网络的安全性。为了切实贯彻执行这些安全措施,并有实施的法律依据,制定保障网络安全的法律、法规就显得尤为必要。对于已经发生的违法行为,只能依靠法律进行惩处,当然也包括一些民事行为的法律调整,这是保护网络安全的最终手段。同时通过法律的威慑力,还可以使有犯罪意识者产生畏惧心理,达到惩一儆百的效果。法律还可以便公民了解在网络的管理和应用中什么是违法行为,而自觉地不为,从而创造一个良好的社会环境,起到保护网络安全的重要作用。所以说法律又是网络安全的第一道防线。
综观各国信息安全法律政策,其主要特征有:
1.5.1 以国家信息安全的组织保障为原则
各国在其信息安全法律政策中,无不明确规定了国家信息安全工作的管理机构以及各个机构的职责范围,在各个层次上都力求做到分工负责、各司其责。如美国的《计算机安全法》明确规定,由商务部所属的国家标准和技术局(NIST)负责有关敏感信息的信息安全工作,具体负责主持制定和推广计算机安全标准和指导方针,为联邦政府解决各种信息安全问题,其中包括安全规划、风险管理、应急计划、安全教育培训、网络安全加密技术、身份认证、智能卡应用、计算机病毒检测与防治等等;由国防部所属的国家安全局(NSA)负责例如“国家安全系统”,即由政府及其合同单位或代理机构管理的信息系统中保密信息的信息安全工作,其中包括国家保密信息、美国宪法2315款第102项(Warner修正案)规定的信息、涉及谍报(Intelligence)的信息、涉及与国家安全有关的秘密活动(Crypt—logic)的信息、涉及军队指挥和控制的佰息、涉及属于武器和武器系统设备的信息以及对于完成军事或情报任务至关重要的设备的信息等等。
1.5.2 以国家信息安全的全面保障为基础
信息安全是个巨大的系统工程,需要各方面力量的综合协调,更需要涉及信息活动的人员、信息系统的实体、信息系统的运行和系统中的信息的安全。因此,信息安全保障应当以全面、严密为基础。如美国政府关于国家信息安全保障的行动策略主要有,制定信息资源安全管理的全面政策。实施风险评估、安全规划、运行安全和各种验证的方法;出版了《信息系统安全产品和服务自录》;对信息系统的各个环节以及各机构信息安全管理工作的效率加以评估;全力支持对安全措施的投入;协调各个机构的信息安全工作;监督政府信息安全管理原则、标准、指导方针的制定和推广工作;强化计算机信息系统人员的安全法律培训等等。
1.5.3 以国家信息安全的技术防范为核心
社会信息化的发展实质是计算机技术为核心的信息技术在人类社会生活中充分发挥其主导控制作用的过程。任何国家的信息安全保护都不能脱离信息技术本身,就信息安全的法律保护和技术保护的关系来说,技术保护是基础和前提,法律保护只是技术保护的手段。,因而各国信息安全立法都以国家信息安全的技术防范为核心。20世纪80年代,美国率先在计算机保密模型的基础上,制定了《可估计算机系统安全评价准则》(TCSEC),随后又制定了关于网络系统、数据库等方面的系列安全解释,形成了安全信息系统体系结构的最早原则。20世纪90年代初,欧洲英、法、德、荷四国共同提出了包括保密性、完整性、可用性等性质的《信息技术安全评价准则》(ITSFC)。近年来,美国国家安全局、美国国家技术标准研究所和加、英、法、德、荷等六国七方共同提出了《信息技术安全评价通用准则》(CC for ITSEC),综合了国际上已有的评价准则和技术标准的精华,给出了信息安全保护的框架和原则要求。
1.5.4 以国家信息安全的技术标准为内容
将技术标准纳入国家信息安全保障的政策法律体系范畴,赋予技术标准以国家意志的属性,使其具有强制实施的法律效力,是世界各国的一致行动。美国从20世纪70年代初就开始制定信息技术的安全标准,现在已经形成了由国家标准化协会制定的国家标准(ANSI)、由国家标准局制定的联邦信息处理安全标准(FIPS)以及由国防部制定的信息安全指令和标准(DOD)三位一体的国家信息安全标准体系,从不同的角度规范国家的信息安全。欧盟除了发布前已所述的《信息技术安全性评测标准》(ITSEC)之外,还有由欧洲计算机厂商协会规定的被欧洲国家共同执行的计算机信息安全标准。
2. 我国电子政务信息安全的目标及现状
2.1 电子政务信息安全的目标
信息系统信息安全的宗旨是通过在实现信息系统时充分考虑到自身、伙伴和客户的信息风险,确保组织能够完成它的全部使命和目标。进而言之,电子政务系统信息安全的宗旨就是通过在实现信息系统时充分考虑信息风险,从而确保一个政府部门能够有效地完成法律所赋予的政府职能。电子政务信息安全必须实现以下目标:
2.1.1 可用性目标
可用性目标是指确保电子政务系统有效率地运转并使授权用户得到所需信息服务。通常,可用性目标是电子政务系统的首要信息安全目标。
2.1.2 完整性目标
完整性目标包括两个方面:数据完整性和系统完整性。通常,完整性目标是电子政务系统除了可用性目标之外最重要的信息安全目标。
2.1.3 保密性目标
保密性目标是指不向非授权个人和部门暴露私有或者保密信息。通常,对于大多数电子政务系统而言,保密性目标在信息安全的重要程度排序中仅次于可用性目标和完整性目标。然而,对于某些特定的电子政务系统和数据,保密性目标是最重要的信息安全目标。
2.1.4 可记账性目标
可记账性目标是指电子政务系统能够如实记录一个实体的全部行为。通常,可记账性目标是政府部门的一种策略需求。可记账性目标可以为拒绝否认、威慑违规、隔离故障、检测和防止入侵、事后恢复和法律诉讼提供支持。
2.1.5 保障性目标
保障性是电子政务系统信息安全的信任基。保障性目标突出了这样的事实:对于希望做到安全的信息系统而言,不仅需要提供预期的功能,而且需要保证不会发生非预期的行为。具体而言,保障性目标是指:提供并正确实现需要的电子政务功能;在用户或者软件无意中出现差错时,提供充分保护;在遭受恶意的系统穿透或者旁路时,提供充足防护。
2.2 我国电子政务中信息安全的现状及表现
目前我国电子政务中的政府信息安全问题突出表现在:一是我国政府信息网络安全存在严重隐患。网络非常脆弱,各种安全隐患普遍存在。掌握了一定技术的人可以轻易获取网络服务器上的用户账号信息和口令文件,并可进入系统修改、删除重要数据文件。一旦这些系统被非法侵入和破坏,将不能正常工作,甚至全部瘫痪,给国家带来重大损失。二是互联网上和针对计算机信息系统的违法犯罪活动日益增多。近年来,金融机构内部利用计算机犯罪案件大幅度上升;在互联网上泄露国家秘密的案件屡有发生;提供境外黄色站点的错接服务,向国内用户提供色情信息。三是境内外黑客攻击破坏网络的问题十分严重。他们通常采用非法侵入重要信息系统,修改或破坏系统功能或数据等手段,造成数据丢失或系统瘫痪,给国家造成重大政治影响和经济损失。四是境内外敌对势力、敌对分子和非法组织利用互联网进行煽动、渗透、组织、联络等非法活动日趋突出。他们通过建立针对境内的反动宣传、煽动的站点,利用电子公告栏、新闻讨论等公共媒体,发表反动文章,散布反动言论,煽动反政府情绪;利用互联网进行组党结社,公开吸纳成员;利用电子邮件直接向国内用户发送反动刊物;利用电子邮件进行联络。对电子政务中的政府信息安全受侵害的方式主要包括:偷窃、分析、冒充、篡改、抵赖等。
目前我国电子政务中的政府信息安全问题突出表现在:
(1)网络非常脆弱,各种安全隐患普遍存在。掌握了一定技术的人可以轻易获取网络服务器上的用户账号信息和文件.并可进入系统修改删除重要数据文件。一旦电子政务系统被非法侵入和破坏它将不能正常工作甚至全部瘫痪。如果系统的安全性被破坏.造成敏感信息暴露或丢失,或网络被攻击等安全事件.那么产生的后果必然波及地区和整个国家的安全,这种破坏将会给国家带来重大损失。由此看来,电子政务信息系统也必然成为信息间谍、敌对势力,恐怖集团、国家之间信息战攻击的目标。
(2)病毒破坏黑客入侵、重要信息泄漏等危害越来越大。国家规定涉及国家秘密的计算机信息系统,不得直接或间接与国际互联网或其它公共网络联接。
(3)我国大部分政府官员和公务员对信息技术、网络技术和计算机技术还未接触或接触不多,所以对高新信息技术应用方面的能力也比较欠缺,整体素质与电子政务建设要求也还有很大的距离,对电子政务建设就缺乏应有的积极态度。
(4)一些信息技术厂商夸张地炫耀信息技术产品的性能和先进性,错误的提供了信息技术、网络技术和计算机技术应用范围的信息,使我国部分政府官员和公务员认为只有专业人士才能很好的使用,人为地扩大了信息技术提供者和应用者之间的“数字鸿沟”,加大了信息安全的隐患。
(5)随着电子政务向纵深发展,业务的敏感性和业务系统之间的相互操作越来越多,因业务系统敏感性导致的网上真实的有效确认、业务数据的安全、业务系统之间的相互责任等信息安全问题成为电子政务建设中必需要解决的问题。
3. 我国电子政务中信息安全的保护对策
针对我国信息安全的现状,结合我国电子政务的实际,当前在政府信息安全的保护方面的当务之急是:
3.1 尽快建立我国信息安全的保护体系
3.1.1 迅速健全信息安全保护的组织机制
国家信息化工作领导小组是站在国家的高度,对网络信息的国家发展总体战略进行规划、设计、研究,组织、协调、配合有关部门进行立法调研,使国家在网络信息方面的立法成为一个有机的整体。但地方政府和重点保护的重要领域相应的组织机构还不健全;《中华人民共和国计算机信息系统安全保护条例》中确立了公安部主管全国计算机信息系统安全保护工作,但由于编制等原因许多地方公安机关没有成立专门的机构,警力尤其是适应计算机信息技术高速发展的警力配备不足等。最好能组建国家信息安全委员会,组织和协调国家安全、公安、保密等职能部门,在信息化建设中信息安全的分工,对国家信息安全政策统一步调、统筹规划。因此尽快健全相应的信息安全保障的组织机构是信息安全保护的组织保证。
3.1.2 尽快完善国家信息安全基础设施建设
我国目前信息安全基础设施的建设还处于初级阶段,需要逐步完善。当前迫切需要建立的国家信息安全基础设施建设包括:国际出入口监控中心、安全产品评测认怔中心、病毒检测和防治中心。关键网络系统灾难恢复中心、系统攻击和反攻击中心、电子保密标签监管中心、网络安全紧急处置中心、电子交易证书授权中心、密钥恢复监管中心、密钥基础设施与监管中心、信息战防御研究中心等。其中,国际出入口监控中心和安全产品评测认证中心已初步建成。安全产品评测认证中心由安全标准研究、产品安全测试、系统安全评估、认证注册部门和信息安全专家委员会组成。国家信息安全基础设施建设是信息安全技术保证。
3.1.3 坚定地确立信息安全产业的策略
目前就我国的信息产业无论是技术、管理还是生产规模、服务观念,都不具备力量在短时间内使国产信息产品占领国内的主要市场。但是我国必须建立起独立自主的信息安全产业。自主的信息产业或信息产品国产化是信息安全的根本。国产化不等于绝对安全,而绝对安全却需要国产化。国家可集中人力、物力和给以政策,大力发展自主的专用芯片、自主嵌入式操作系统和自主的密码技术产品等,以确保关键部门的信息系统的安全。信息安全产业的策略是信息安全的基本保证。
3.2 进一步完善我国信息安全保障的法律体系
虽然我国已颁布相当数量的信息安全方面的法律规范如《关于维护互联网安全的决定》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》、《商用密码管理条例》、《金融机构计算机信息系统安全保护工作暂行规定》、《计算机信息系统国际联网保密管理规定》、《计算机信息系统安全专用产品检测和销售许可证管理办法》、《计算机信息系统安全专用产品分类原则》等,但立法层次不高,现行的有关信息安全的法律规范大多只是国务院制定的行政法规或国务院部委制定的行政规章;法律规定之间不统一;立法理念和立法技术相对滞后等,因此要进一步完善我国信息安全的法律保障体系应当做到:
3.2.1 确立科学的信息安全法律保护理念
为了使国家的政策法律能够适应社会存在的现实和需求,需要确立起法制建设要保障和促进国家的信息化发展、法制建设为社会信息化发展提供全面服务的指导思想,修正传统的立法理念,从彻底改革国家传统的经济体制和保障机制入手,改变落后的调整方法,把信息安全法制保障的重点从单纯的“规范”、“控制”转移到首先为信息化的建设与发展“扫清障碍”上来,以规范发展达到保障发展,由保障发展实现促进发展,构筑促进国家信息化发展的社会环境,形成适于信息网络安全实际需要的法治文化。
3.2.2 构建完备的信息安全法律体系
信息化的社会秩序主要由三个基础层面的内容所构成,即信息社会活动的公共需求,信息社会生活的基本支柱和信息社会所特有的社会关系。信息社会活动的公共需求是往往以政府意志的形式代为表现的社会公众的共同意愿,其主要包括国家信息化建设的基本目标、发展纲领、建设规划、行动策略、工作计划等等,是指导国家信息化发展的基本内容,也是国家信息化建设的公共需求;信息社会生活的基本支柱是由信息化的技术属性所决定的、国家信息化建设赖以萌芽、生成和发展的信息技术及其应用,包括计算机技术、网络技术、通信技术、安全技术、电子商务技术等等,它是信息社会生活必不可少的基本支柱;信息社会所特有的社会关系是指在国家信息化建设的过程中,参与其中的各个主体之间由于其信息化活动而产生的各种社会关系,具体将表现为相应的法律关系,其中主要包括信息民事法律关系、信息刑事法律关系、信息经济法律关系、信息行政法律关系、信息科技法律关系以及信息社会所特有的各种法律关系。与之相适应,国家信息化建设所应有的政策法律环境也就必然是由对应的指导政策、技术标准和法律规范等三项内容所共同构建的三位一体的且能够发挥促进、激励和规范作用的有机的体系。
3.2.3 强化超前的信息安全法律效率
信息技术突飞猛进,信息安全政策、法律的促进作用不应仅仅是被动适应和滞后,在国家信息化建设中,更多地还应表现为对技术的主动规范性和前瞻性。信息安全政策法律必须促进信息技术的进步,因此要强化超前的信息安全政策法律的效率。在制订政策和创设法律时应当借鉴国际社会关于“技术中立”的主流思想,注意政策和法律符合技术的特殊要求,同时为技术的发展和完善预留空间,排除可能窒息技术发展的可能性,提高法律自身对信息社会的适应性。在具体做法上,则可以吸取外国的“明示式”和“开放式”立法模式中有益的成分,参照“准则式”的立法模式解决技术和法律之间的矛盾,鼓励技术创新,开发自主的知识产权,加强技术标准体系的建立和完善,提高国家信息法律规范的效率。
3.2.4 主动融入国际信息安全的法律体系
世界经济一体化,使得“法律全球化不仅有条件,有可能,而且有必要,更是一种发展趋势”。由于信息化是建筑在例如因特网的国际互联基础之上,人类信息社会是全球范围内的各国一体的信息化。因此,信息的政策和法律就必然具有国际化的属性,具体表现为有关的“国际游戏规则”。我们在制订政策和法律的时候,要特别注意和现有的国际规则的兼容包括在立法思想、方式方法上和具体法律规定等各方面的相互兼容;要积极主动地参与国际规则的创设,以维护我国的实际利益。在主动参与和合作、促进、创设的过程中,真正地主动融人国际大环境。
3.2.5 建立电子政务信息安全四大体系
电子政务安全采取"国家推动、社会参与、全局治理、积极防御、等级保护、保障发展"的策略,鉴于电子政务的信息安全面临的是一场高技术的对抗,是一场综合性斗争,涉及法律、管理、标准、技术、产品、服务和基础设施诸多领域,所以电子政务安全,还要从全局来构建其安全保障的体系框架,以保障电子政务的健康发展。电子政务安全保障体系由六要素组成,即安全法规、安全管理、安全标准、安全服务、安全技术产品和安全基础设施等安全要素。
要素一 安全法律与政策
电子政务的工作内容和工作流程涉及到国家秘密与核心政务,它的安全关系到国家的主权、国家的安全和公众利益,所以电子政务的安全实施和保障,必须以国家法规形式将其固化,形成全国共同遵守的规约,成为电子政务实施和运行的行为准则,成为电子政务国际交往的重要依据,保护守法者和依法者的合法权益,为司法和执法者提供法律依据,对违法、犯法者形成强大的威慑。
要素二 安全组织与管理
我国信息安全管理职能的格局已经形成,如国家安全部、国家保密局、国家密码管理委员会、信息产业部、总参......分别执行各自的安全职能,维护国家信息安全。电子政务安全管理涉及到上述众多的国家安全职能部门,其安全管理职能的协调需要由国家信息化领导机构,如国家信息化领导小组及其办公室、国家电子政务协调小组、国家信息安全协调小组等来进行。各地区和部委建立相应的信息安全管理机构,以完成和强化信息安全的管理,形成自顶向下的信息安全管理组织体系,是电子政务安全实施的必要条件。
要素三 安全标准与规范
信息安全标准有利于安全产品的规范化,有利于保证产品安全可信性、实现产品的互联和互操作性,以支持电子政务系统的互联、更新和可扩展性,支持系统安全的测评与评估,保障电子政务系统的安全可靠。
要素四 安全保障与服务
1.电子政务系统建设,要构建其技术安全保障架构,对大型电子政务系统要建立纵深防御体系。
2.推广电子政务信息系统安全工程(ISSE)的控制方法,全面实现安全服务要求。
要素五 安全技术与产品
1.加强安全技术和产品的自主研制和创新。
由于电子政务的国家涉密性,电子政务系统工程的安全保障需要各种有自主知识产权的信息安全技术和产品,全面推动自主研发和创新这些技术和产品是电子政务安全的需要。
2.电子政务安全产品的选择。
整个电子政务的安全,涉及信息安全产品的全局配套和科学布置,产品选择应充分考虑产品的自主权和自控权。 产品可涉及安全操作系统、安全硬件平台、安全数据库、PKI/CA、PMI、VPN、安全网关、防火墙、数据加密机、入侵检测(IDS)、漏洞扫描、计算机病毒防治工具、强审计工具、安全Web、安全邮件、安全设施集成管理平台、内容识别和过滤产品、安全备份、电磁泄漏防护、安全隔离客户机、安全网闸。
要素六 安全基础设施
信息安全基础设施是一种为信息系统应用主体和信息安全执法主体提供信息安全公共服务和支撑的社会基础设施,方便信息应用主体安全防护机制的快速配置,有利于促进信息应用业务的健康发展,有利于信息安全技术和产品的标准化和促进其可信度的提高,有利于信息安全职能部门的监督和执法,有利于增强全社会信息安全移师和防护技能,有利于国家信息安全保障体系的建设。因此,推动电子政务的发展,应重视相关信息安全基础设施的建设。
电子政务的信息安全建设是在适当的信息安全保障体系和框架指导下进行的一项系统工程。这项工程包括密切关联的四大体系:安全管理体系、预警检测体系、安全防护体系和响应恢复体系,其中,安全管理体系是整个信息安全保障体系中最核心的组成部分,是贯穿其他三个体系的主线。
1.安全管理体系
安全管理体系的建立要遵循以下原则:符合法律、法规、标准;符合组织使命;符合组织利益。
建立健全安全管理体系,最重要的是针对电子政务的现有情况制定统一的行政管理制度,在整个网络系统中贯彻执行。当然,根据当地网络的实际情况和具体网络应用的不同,适当作出调整,可以比较好地保证安全策略的统一性、一致性和可管理性。
2.预警检测体系
预警检测体系包括入侵检测、漏洞检测、外联和接入检测、补丁管理等。
入侵检测系统是目前最为主要的一个广泛应用的技术和管理手段。利用网络入侵检测系统,可以了解网络的运行状况和发生的安全事件,并根据安全事件来调整安全策略和防护手段,同时改进实时响应和事后恢复的有效性,为定期的安全评估和分析提供依据,从而提高网络安全的整体水平。
电子政务信息网络需要部署漏洞检测系统。漏洞检测系统一般包括漏洞扫描引擎、控制中心、报表和显示中心及管理控制台4个功能组件。
在电子政务的网络系统内,防火墙等安全手段往往被一些违反安全策略的行为所破坏,包括MODEM拨号、双网卡或无线上网等各种方式接入互联网。这些违反规定的非法外联行为使电子政务网络系统内的个人计算机毫无防范地接入Internet,在用户无意识的情况下,一些机密信息(包括机器和网络的所有配置信息以及数据文件)可能泄漏,由此危害整个电子政务网络的安全。
非法外联监控技术就是为了防范上述两类安全问题而设计的,它对内部人员的非法外联行为进行实时监控,对物理隔离措施或安全限制规定进行有效性检查。
补丁管理应该纳入组织的安全体系。补丁管理的意义已经超出了传统的安全领域,成为维护企业信息系统正常操作所必须具备的措施。电子政务需要部署补丁管理系统,补丁可以被存储在本地网络以确保它们的更高可读性和加速分发。
3.安全防护体系
安全防护体系包括防火墙、身份鉴别与认证、系统访问控制、网络审计等内容。
防火墙就是运行于软件和硬件上的、安装在特定网络边界的、实施网间访问控制的一组组件的集合。它在内部网络与外部网络之间形成一道安全保护屏障,防止非法用户访问内部网络上的资源和非法向外传递内部信息。
身份鉴别与认证是系统的第一道安全屏障,也是实施访问控制的基础,具有十分重要的作用。因此,身份鉴别与认证机制的强度如何,将直接关系到整个系统的安全度,口令与令牌相结合的身份验证方式可以为大多数的场合提供足够的安全性。
访问控制包括自主访问控制和强制访问控制两种,其中强制访问控制具有更高的安全性,建议采用。强制访问控制给每个客体和主体分配了不同的安全属性,而且这些安全属性不像ACL那样容易被修改,系统通过比较主体和客体的安全属性才决定主体对客体的操作可行性。强制访问控制可以防范特洛伊木马和用户滥用权限,具有更高的安全性。
来自网络的安全威胁日益增多,很多威胁并不是以网络入侵的形式进行的,这些威胁事件多数来自内部合法用户的误操作或恶意操作,仅靠系统自身的日志功能并不能满足对这些网络安全事件的审计要求。使用网络审计系统,记录网络中发生的违规行为,完整地记录各种信息的起始地址和使用者,将有利于事后追踪,为调查取证提供第一手资料。
4.响应恢复体系
响应恢复体系包括应急响应和业务连续性计划两个方面。
电子政务信息系统已经成为电子政务业务的支撑平台。安全策略中必须具备应急响应手段,保证电子政务发生安全事故后,能够及时作出有效响应,采取合适的应急措施处理事故。
安全事件预警与应急响应体系主要针对危及电子政务信息系统安全的重大事件进行检测、预警、抑制、根除,并从事件的影响中尽快恢复,以确保电子政务信息系统的业务连续性。
业务连续性计划(BCP)是与信息安全相关、但与业务关系非常紧密的一项内容。因此,电子政务的业务连续性计划必须以电子政务的业务为中心,综合考虑。
4. 我国电子政务信息安全的两个主要问题
4.1 网络技术的问题
4.1.1 网络信息安全问题
目前对信息安全构成威胁的既有自然因素也有人为因素,主要有火灾等自然灾害、硬件故障、严重误操作、数据泄露、盗用、伪造、假冒、故意对数据或程序破坏、病毒、错误指向、黑客、特洛伊木马、搭线窃听等。掌握了一定技术的人可以轻易获取网络服务器上的用户账号信息和文件。并可进入系统修改删除重要数据文件。一旦电子政务系统被非法侵入和破坏它将不能正常工作甚至全部瘫痪。如果系统的安全性被破坏。造成敏感信息暴露或丢失,或网络被攻击等安全事件。那么产生的后果必然波及地区和整个国家的安全,这种破坏将会给国家带来重大损失。一旦网络受到攻击,不能正常工作,甚至全部瘫痪时,整个社会将陷入危机。国家机密难保,致使某些部门不敢使用互联网。
4.1.2 网络对人的情感问题
电子政务的一大特点是虚拟性,这是由互联网的特点所决定的。政府工作人员在进行电子政务的活动中,往往会使人际关系淡化,政府工作人员和公众似乎面对的只是电脑,而常常忘记他们也是和人进行交往。例如时下兴起的在城市公共场所安装的“电子眼”监控系统,虽然在一定程度上改善了城市交通,降低了犯罪率,但这种“倒洗脚水也将孩子一块儿泼出”的做法也对公民的隐私权和其他方面的权利造成了严重侵犯,其对人性化和人本管理的背离也是显而易见的。
4.2 政府自身的问题
4.2.1 公务员及官员素质有待提高
大部分政府官员和公务员对信息技术、网络技术和计算机技术还未接触或接触不多,所以对高新信息技术应用方面的能力也比较欠缺,整体素质与电子政务建设要求也还有很大的距离,对电子政务建设就缺乏应有的积极态度。
从公务员的文化水平来看,经过1998年的政府机构改革,国务院近1.7万名公务员中,大学本科毕业以上学历的占65%。但地方政府500万公务员中,大学本科毕业以上学历的仅有10%,约有20%的公务员不会操作计算机。面对电子政务的潮流,许多公务员在心理上必然会恐惧害怕,产生抵触情绪,而不能从心理上积极学习,以适应政府信息化的历史潮流,结果使得很多昂贵的设置成为装点门面的饰物。
4.2.2 电子政务的规划和标准缺乏统一性
目前,我国电子政务的发展缺乏宏观规划,没有提出明确的发展目标。同时,条块分割的管理体制与电子政务的统一性、开放性、交互性和规模经济等自然特性产生严重冲突,各级地方政府和部门在电子政务的建设中往往各自为政,采用的标准也各不相同,业务内容单调重复,造成新的重复建设。同时,缺乏规范和标准也使得信息流通不畅,资源无法共享和信息孤岛,影响了跨部门、跨区域共性业务的处理和政府的有效监管。
5. 我国电子政务信息安全的主要问题的解决
5.1 网络安全问题的应对方法
5.1.1 加强对公务员的安全技术教育,树立网络安全观念
网络的开放性在给人类的生活带来诸多方便的同时,也给社会生活的许多方面带来了很多不稳定的因素,尤其是作为社会管理者的政府,一旦其网络遭到恶意攻击,很可能给社会带来灾难性的损失。因此,加强公务员的网络安全教育和技术培训,使之树立网络安全意识,并掌握一定的网络安全技术和技能,不仅是对公务员自身素质的一大要求,也是应对网络安全的关键。
5.1.2 改变信息安全管理依靠传统的管理方法和手段的模式,实现现代的系统管理技术手段
国际标准BS7799和ISO/IEC17799是流行的信息安全管理体系标准。其中的管理目标为数据的保密性、完整性和可用性要求。具有自组织、自学习、自适应自修复、自生长的能力和功能。保证持续有效性。通过计划、实施、检查、措施四个阶段周而复始的循环。应用于其整体过程、其他过程及其子过程,例如信息安全风险评估或者商务持续性计划的安排等。为信息安全管理体系与质量管理体系、环境管理体系等的整合运行提供了方便在模式和方法上都兼容,成为统一的内部综合管理体系包括按照可信网络架构方法。编制信息安全解决方案。多层防范多级防护,等级保护,风险评估、重点保护。针对可能发生的事故或灾害。制定信息安全应急预案,建立新机制、规避风险、减少损失。根据相应的政策法规在网络工程数据设计、建设和验收等阶段实行同步审查,建立完善的数据备份、灾难恢复等应用,确保实时、安全、高效、可靠的运行效果。
5.1.3 鼓励民族信息技术产业的发展,解决好技术的先进性与自主性的关系
作为一个先进复杂的系统,电子政务系统必须尽量采用先进技术和手段以提高政务运转的效率,并增强整个系统的可靠性。从目前信息技术发展的情况来看,绝大多数的关键技术掌握在以美国为首的少数发达国家手中,在实施电子政务过程中不可避免地要采用这些国家的技术和产品,而从我国的国家和民族利益来看,又要尽量避免在关键要害部门受制于人。鉴于安全问题,在构建电子政务系统过程必须要处理好技术先进性与自主性的关系。首先,对于核心应用系统和关键政务环节,必须确保在各类实施方案中的技术自主性。其次,对于核心层外部,但又与其他外部信息系统存在一定可监控隔绝层的层次,可以尽量采用先进技术以提高系统的效率和可靠性。实际上在整个电子政务系统中,位于此层次的应用系统也是承载信息最多,工作模型和处理流程最复杂的。由于此层应用系统不直接与外部信息系统相接,并能在一定的安全监控体系中运行,因此,不必单纯从技术自主的角度考虑放弃某些先进的技术。最后,对于直接与外部信息系统相联的部分,也要针对不同情况分别加以考虑。对于其中安全监控系统,需要在其中的核心部分(如核心加密算法)确保技术自主,对于其余部分,由于所承载的信息基本都属于非关键信息,可以考虑与其他信息系统接口保持通信协议、数据格式甚至软件体系的一致性。
5.1.4 关于网络对人的情感及价值忽略问题的应对方法
解决这一问题,一是改进和普及多用途互联网电子邮件系统(MIME),使政府公务员与公众之间通过文字、声音、图象和影视进行交流与沟通,促其将信息沟通与情感交流融为一体;二是采用如专题调研、座谈讨论、听证会、新闻发布会等形式,促使政府公务员与社会公众之间进行面对面的交流与沟通,从而消除相互之间的情感隔阂,建立政府与社会之间的相互信任机制。
5.2 政府自身问题的应对方法
5.2.1 提高公务员素质
推行任何改革,思想解放是关键。应加强对公务员的思想政治教育,使之转变观念,从而在思想上接受这场变革,进而在行动上积极应对这种变革。要加大对公务员的培训工作,使得他们掌握先进的信息技术,以适应全新的信息社会工作环境,并且要把信息技术知识与技能的考核纳入公务员综合考核范围之内。
5.2.2 制定发展规划,明确阶段目标,避免重复建设作为政务活动和信息技术的结合点
电子政务建设不单单是一个技术问题,而且涉及到政党部门的工作程序、组织结构、人事制度等方面的调整和协调。因此,国家要制定相应的发展规划,建立相应的领导机构,加强对电子政务的研究、规划和组织协调,并根据国情,制定切实可行的阶段性目标.虽然可以在电子政务的其他方面(如硬件平台应用软件的选择上)可以搞市场经济,由各厂商自由开发、公平竞争,但是在技术标准的问题上必须搞“计划经济”,由国家同一制定。技术标准确立的越早,我国的电子政务建设就越能尽早走上快车道,因此也就能尽早避免将来因标准混乱而导致的被动局面。
结束语
网络环境的复杂性、多变性,以及信息系统的脆弱性,决定了网络安全威胁的客观存在。我国日益开放并融入世界,但加强安全监管和建立保护屏障不可或缺。国家科技部部长徐冠华曾在某市信息安全工作会议上说:“信息安全是涉及我国经济发展、社会发展和国家安全的重大问题。近年来,随着国际政治形势的发展,以及经济全球化过程的加快,人们越来越清楚,信息时代所引发的信息安全问题不仅涉及国家的经济安全、金融安全,同时也涉及国家的国防安全、政治安全和文化安全。因此,可以说,在信息化社会里,没有信息安全的保障,国家就没有安全的屏障。信息安全的重要性怎么强调也不过分。”目前我国政府、相关部门和有识之士都把网络监管提到新的高度,上海市负责信息安全工作的部门提出采用非对称战略构建上海信息安全防御体系,其核心是在技术处于弱势的情况下,用强化管理体系来提高网络安全整体水平。衷心希望在不久的将来,我国信息安全工作能跟随信息化发展,上一个新台阶。
