浅析电子政务信息安全

周 萍

近年来，政府电子政务安全体系建设受到各级政府的高度重视。在各类电子政务系统建设中，安全无不被提高到战略高度对待。政府部门或从技术手段出发，采用各类信息安全技术来保障电子政务安全，或是辅之以信息安全的制度保障，从技术加管理的角度来落实安全措施。

一、电子政务安全需求

电子政务是由政务内网、政务外网和互联网三级网络构成的，政务内网为政府部门内部的关键业务管理系统和核心数据应用系统，政务外网为政府部门内部以及部门之间的各类非公开应用系统，所涉及的信息应在政务外网上传输，与互联网相联的网络。电子政务所涵盖的信息系统是政府机构用于执行政府职能的信息系统。政府机构从事的行业性质跟国家紧密联系，所涉及的众多信息都带有保密性，所以信息安全问题尤其重要。

电子政务安全主要表现在技术层面的安全机制和社会人文环境、道德伦理方面的保障体系。在电子政务实践中人们的安全需求主要有三点：一是扫除信息网络安全隐患；二是打击违法犯罪活动；三是保障国家信息领域。

二、加强电子政务信息安全管理对策

电子政务网络安全是指信息安全和系统安全两部分。信息安全包括“保障计算机及其相关的和配套的设备、设施(网络)的安全，运行环境的安全，保障信息安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全”。系统安全包括物理安全与传输安全、操作系统安全、网络结构安全、信息传递过程安全、身份鉴别与访问控制、标准时间源、病毒保护、数据备份与容灾等几个方面，其中操作系统安全、网络结构安全和信息传递过程安全成为重点。加强电子政务信息安全管理对策如下：

1使用网页防篡改系统构建安全网站。

针对政府机关Web安全性的要求，可选用网页防篡改系统来构建安全网站。网页防篡改系统实时监控Web站点，当Web站点上的文件受到破坏时，能迅速恢复被破坏的文件，并及时提交报告给系统管理员，从而保护政务网每个Web站点的数据安全。做好服务器的安全策略配置，及时升级补丁程序；正确配置防火墙、入侵检测设备策略，通过以防火墙为政府网站的安全方案配置，能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上，对网络存取和访问进行监控审计。既注重外部防范。又要加强内部管理，在政务内网与外网之间采用物理方式隔离，政务外网与互联网之间采用逻辑方式隔离。

2使用漏洞扫描系统弥补缺陷。

目前，我国的信息安全形势严峻，被列入防护能力最低的国家之一。所有的政务应用和安全措施都依赖操作系统提供支持，操作系统的漏洞或配置不当将有可能导致整个安全体系的崩溃。在电子政务设计建设中，使用具有自主知识产权且代码对政府公开的产品是信息安全的根本，但由于我国没有掌握CPU等核心技术，未能建立独立自主的信息安全产业，在操作系统安全设计方面必须布置漏洞扫描系统以弥补操作系统无自主产权的缺陷。利用漏洞扫描工具采取时间策略定时扫描整个网络地址网段，对多种来自通讯、服务、设备、系统等的漏洞进行扫描。采用模拟攻击的手段去检测网络上隐藏的漏洞。且对网络不做任何修改或造成任何危害，并提供漏洞检测报告和解决方案，从而有效检查网络系统的可靠性和安全性。

3使用隔离网闸技术整合网络结构。

电子政务实践中往往产生内网与专网、外网间的信息交换需求，然而基于内网数据保密性的考虑，我们又不希望内网暴露在对外环境中。解决该问题的有效方式是设置安全岛，通过安全岛来实现信息的过滤和两个网络间的物理隔离，从而实现安全的数据交换。隔离网闸技术是实现安全岛的关键技术，通过添加VPN通信认证、加密、入侵检测和对数据的病毒扫描，就可构成一个在物理隔离基础上实现安全数据交换的信息安全岛。在此基础上，隔离网闸作为代理从外网的网络访问包中抽取出数据然后通过反射开关转入内网。完成数据中转。另一方面，由于隔离网闸仅抽取数据交换进内网，因此，内网不会受到网络层的攻击，这就在物理隔离的同时实现了数据的安全交换。

4使用PKI技术进行加密认证。

PKl是公钥基础设施(Public Key In-frastructure)的简称，是一个用非对称密码算法原理和技术来实现并提供安全服务的、具有通用性的安全基础设施。在电子政务和电子商务的建设中，PKI实际上是提供了一整套的、遵循标准的密钥管理基础平台。PKI技术通过第三方的可信任机构认证中心CA把用户的公钥和用户的其他标识信息(如名称、E-mail、身份证号等)捆绑在一起，通过数字身份证、数据签名、用户名及其访问口令。进行身份鉴别及访问权限的控制，防止非法人员对网络的登录，保证网络资源的使用安全性。在加密过程将密钥分解为公开密钥和私有密钥，公开密钥用于加密，私有密钥用于解密，私有密钥只能由生成密钥的交换方掌握，公开密钥可广泛公布。但它只对应于生成密钥的交换方。认证中心CA是PKI的核心执行机构，承担认证服务、签发数字证书，由受信任的第三方权威机构担当，验证并标识证书申请者的身份，对证书申请者的信用度、申请证书的目的、身份的真实可靠性等问题进行审查，确保证书与身份绑定的正确性，具有唯一性和权威性。

三、结束语

电子政务信息安全系统的宗旨是通过在实现信息系统时充分考虑信息风险，从而确保一个政府部门能够有效地完成政府职能。本文试图探讨如何应用相应技术加强电子政务信息安全，树立主动防范、积极应对的网络信息安全意识，从根本上提高网络监测、防护、响应、恢复和抗击的能力。