电子政务系统建设过程中的安全元素
摘要:电子政务系统的技术基础是网络技术,无论政府部门内部使用、部门之间信息共享,还是政府网站为民众提供服务,都会遭受到各种破坏、攻击。因此,从系统的规划到建设,再到实施,都需要有一套完善的安全体系来确保政务系统的安全。
关键词: 系统安全 安全技术 信息法制 认证体系
引言:
2010年5月下旬,国家互联网应急中心发布一份权威报告,报告中指出,在5月10日至5月16日之间,中国境内有81个政府网站被黑,而这还是环比下降了35%以后的数据,而到5月17日12时,仍有29个被黑的政府网站没有恢复,其中包括4个位于安徽、江苏、四川和西藏的省部级网站,以及25个地市级政府网站,可见,国内政务系统的安全性能堪忧。而要保证一个系统的安全,并不是一朝一夕能够做到的,需要从规划开始就考虑好安全问题,在以后的实施过程中不断深化,完善系统。
对电子政务来说,安全议题是至关重要的,政府需要维持一个比商业组织更高的安全标准,因为政府部门的业务范围极为庞大,政府的额外的社会政治伦理性维度的服务是面向其所有的公民,因此,它会吸引黑客们来攻击。
政务系统建设前先立法保证电子政务的安全
在中国古代军事思想中有一句著名的话:“军马未动,粮草先行”,建设电子政务系统也是如此。在实施电子政务之前,配套的法律法规必须先制定实施,只有这样电子政务才能有法可依。以信息公开化为例,在美国有《政府信息公开法》、《个人隐私权保护法》、《美国联邦信息资源规范法》等一系列法律、法规,在德国有《信息和通讯服务规范法》,俄罗斯有《联邦信息、信息化和信息保护权》,英国有《政府信息公开法》。而我国仅有一部《中华人民共和国政府信息公开条例》,立法层次不高,许多立法中的盲点已经成为制约电子政务发展的瓶颈,严重影响到政府信息化的发展。因此需要组成权威的立法领导部门,精通信息领域的专业立法队伍,进行认真的规划、精心的设计,制订出一个结构严谨、内在和谐、统一的信息安全法体系,以在这样一个领域内形成有效的法律保护。
政务系统规划时选用合适的安全技术
互联网技术诞生的第一天起,安全问题就已经是程序员、管理员重点关注的问题,随着技术的不断成熟、发展,各种安全技术孕育而生,数字证书认证中心(CA)、电子签名、Secure Socket Layer(SSL)协议、物理隔离技术、防火墙技术、加密技术、权限控制与鉴别、日志与安全审计等等,这时,根据政务系统的不同应用环境选用恰当的安全技术就至关重要了,美国电子政府与信息技术办公室所制订的《国家电子政务战略》中更是明确提出要利用各种安全技术来加强电子政务的安全。
(图示选自李建设/卢辉斌/陈淑清/徐天赋,《电子政务系统安全的框架性解决方案》)
当前我国的政务系统主要由三网(内网、专网、外网)一库(信息资源库)组成,内网是用于机关内部办公服务的局域网;专网是用于各级党政部门之间信息交换的办公业务资源网,包括纵向系统网和横向系统网;外网是用于公共管理与服务的互联网,包括了在国际互联网上有组织地建立政府网站群和电子数据交换系统。
由于内网和专网是政府专用网络,一般使用物理隔离技术将其与外界隔绝,彻底避免被黑客攻克。其次还需使用用户认证技术、地点认证技术来辅助系统辨认访问者的身份,从而有效拒绝非授权用户登录系统,从而避免了机密文件被外泄。
外网由于是向公众提供各种服务的网络,在客户端与主机之间会有大量数据传输,其中不乏一些公民、企业的隐私数据,在数据的传输中间确保数据不被有心之人截取,这里一般会使用SSL协议来保证数据通信的安全,从而有效避免中间人攻击(简称“MITM攻击”)带来的危害性,目前欧美计算机发达的国际已经广泛使用SSL协议来加强自身的安全性。就政府组织给公众的感觉来说,安全意味着对用来记录、管理和监管公众活动和政府机构政策的访问记录和数据的保护。一个电子政务系统的成功,其最重要的因素之一就是对数据隐私、安全的保护,服务方必须确定系统是安全的、可信的,有研究成果表明最好的几个政务系统项目都有强大的安全性能,它们都难以被攻破。
政务系统建设阶段实施监理机制
政务系统的建设是一个非常重要的工程,一旦政务系统出现一点差错,它所带来的损失将会是惊人的,因此在政务系统建设过程中引入已在我国建筑业发展成熟的监理机制是必要的。对政务系统实施监理机制不但能够确保系统的安全性,也能保证政务系统准时交付使用,无论在经济方面,还是技术方面,监理机制都是值得实施的。
监理机构是业主和开发商之间沟通的桥梁,他可以协助双方在一些重要环节达成协调。在政务系统的建设过程中,业主和开发商存在着信息不对称。一方面业主不熟悉信息技术方面的知识,另一方面开发商对政府机构的业务活动不熟悉,这种信息不对称容易导致双方对系统安全需求的矛盾,这时,监理机构就可以从中协调,使双方达成一致。
电子政务系统交付阶段引入安全审计程序
安全审计是继安全监理之后另一个非常重要的环节,安全审计同时也是和安全监理相辅相成的。在完成的政务系统交付给政府机构时,监理机构往往会对该政务系统进行集成性安全测试,包括对系统运行效率和可靠性测试,只有通过了验收的政务系统才能投入使用。
安全审计的对象是全方面的,包括:网络设备、服务器操作系统、应用平台软件、数据库、应用系统、客户机等等,完善的安全审计系统可以在政务系统投入使用前发现系统中存在的风险和漏洞,将危险扼杀于萌芽状态中,有效避免经济损失。
安全审计是通过建立制度,辅以相应的分析手段和工具,从内部提升安全强度,从而杜绝外强中干的现象。
政务系统使用前优化安全管理机制
再安全的政务系统,如果使用者在使用中不规范、不注重安全,仍然会导致严重的安全事故。因此在政务系统投入使用前,应当建立完善与电子政务系统安全技术和安全运行相适应的
安全管理机制,包括:配套的安全管理机构和人员,安全管理制度和操作规程,对人员进行安全技能培训。
政务系统使用环境确保安全
电子政务系统由于其专门化的使用用途和团体,其系统环境对安全措施也有着严格的要求,包括:场地安全(无关人员严禁入内,对进入机房的人员和时间进行记录和限制)、机房建设安全(对突发事件、灾难有着良好的应对机制、恢复能力)、动力保障系统安全(在突发灾难中确保系统能正常运作)。
政务系统的安全是全方面的
电子政务系统的安全是全方面的,贯穿于政务系统的规划、设计、实施过程中,在任何一个环节忽略安全考量都会致使政务系统陷入危险之中。因此,无论是电子政务系统的需求方、开发方、监理方都需要时刻注意安全性原则,毕竟安全性原则是电子政务系统所需要遵循的原则的重中之重。
参考文献:
刘邦凡,《浅析电子政务建设原则》
陈岗/刘亚彬,《电子政务安全系统建设框架》
陈志强/马溪骏,《电子政务系统信息安全建设监理的研究》
孟昊晨,《Secure Socket Layer协议在电子政务系统安全建设中的应用》
尹洁,《凉山州电子政务建设中的安全集成》
孙洪林/王显义/叶莉莉/唐燕,《建设高效安全的电子政务系统》
孙洪林,《电子政务系统建设过程中应考虑的几个因素》
李建设/卢辉斌/陈淑清/徐天赋,《电子政务系统安全的框架性解决方案》
张俊恩,《浅析我国的信息安全法制建设》
王升,《电子政务系统建设浅析》
张宗平/罗琴涛,《构建电子政务网络安全管理平台》
刘枫/薛松山,《安全审计在电子政务中的应用》
Rana,Tassabehji,《INCLUSION IN E-GOVERNMENT: A SECURITY PERSPECTIVE》
Stephen Smith,《Key Factors in E-Government Information System Security》
EILU EMMANUEL,《 A SYSTEMATIC APPROACH TO DESIGNING AND IMPLEMENTINGE-GOVERNMENT SYSTEMS IN THE DEVELOPING WORLD》
注:本文为上学期《电子政务系统建设与管理》课程的一篇小论文,由于是仅用了1天时间写的,所有写得比较烂,敬请见谅!
原创文章,转载请注明: 转载自网憩阁
本文链接地址: 电子政务系统建设过程中的安全元素
苌蓊芪