论文部分内容阅读
摘 要 现代通信信息科学技术的的发展日新月异,它以网络为标志,以通信技术和计算机技术为核心,人类社会正以前所未有的速度朝着信息时代大步迈进。在扩大民主参与、改善政府效能、提高行政效率等方面,电子政务的作用日益显著,它是全球信息化的重要组成部分。世界各国发展社会经济,加大信息公开,转变政府职能,推进政务协同,强化公共服务的有效手段便是建立快捷高效的电子政府,使信息化技术得到充分有效地利用。然而,电子政务系统丰富功能的同时,也存在一系列的安全隐患。电子政务系统的建设,需求较高的保密措施,涉及面广泛,难度很大,在系统内必须配备大量的人员、设备、信息等资源来加强安全措施的防护,这是一项复杂而庞大的工程。
关键词 电子政务 安全 防御 分析
中图分类号:TP393.08 文献标识码:A
1电子政务安全防御体系建设现状
在全球信息化形势下,电子政务在扩大民主参与、提高行政效率、改善政府效能等方面的具有显著的作用。为了加强公共服务,促进社会经济发展,转变政府职能,进而加大各国信息公开力度,所以建立一个高效快捷的政府,使信息化技术得到充分利用,进而推动世界各国政务协同合作是当前最行之有效的手段。电子政务的建设与发展受到越来越多的国家都的重视,许多国家都将其作为重点建设项目。
信息化程度最高和最早发展电子政务的国家是美国,多达10 000种申请服务项目在国家网站上推出;2005年在所有的英国政府服务领域均能实现上网,英国政府服务的所有区域,均在2005年实现了24小时不间断的网络服务。日本政府也在2000年3月正式启动“电子政务工程”建设,这一工程在很大程度是加速了日本政府的电子化、信息化进程。目前,许多发展中国家在电子政务建设上属于后来居上,他们在很多方面都已经达到,甚至超过了发达国家的水平。而在这一时期,西班牙和法国的网络覆盖率为32%,瑞典的网络覆盖率达到34%。
信息化越来越成为发达国家社会转型的一种趋势,而对于发展中国家来说,这既是一种新的机遇,也是一种挑战,利与弊都在一念之间。但在电子政务网络被大力发展的同时,各国政府同时又不得不面临层出不穷的多种网络安全现状:(1)外网准入控制系统不够完善:非法分子通常就是通过管理漏洞对系统发起攻击,而这些攻击的渠道又多半是外网。所以,要实时关注外网动态,并及时有效的对出现的漏洞进行更新和维护。(2)由于内网具有较强的机密性,所以各级政府都很重视其安全控制,但其准入行为审计过程中,准入标准没有规范化,导致系统文件缺失,从而方便了非法分子的不法行为。(3)缺失网络操作行为管理:因缺乏有效的信息化管理手段,违规操作和不安全操作等行为无法按照网络内部的要求,来对网络数据进行正确操作,实行有效管理。
目前主要有下列电子政务网络安全威胁:(1)非法攻击并入侵电子政务网络接口:互联网仍是电子政务面向公众的网络基础,因此仍然会存在非法分子利用外网、专网的服务器接口进行非法入侵的风险。非法分子经常通过业务系统拒绝服务等方式进行攻击,并依靠猜测来获取其他内部主机的服务访问权限。(2)攻击电子政务网络先天畸形:电子政务网络的很多子系统如操作系统、应用系统、支撑系统等的管理过程和系统配置在不同的时间和地点都会出现固有的安全隐患,而这就成了不法分子用来攻击政务系统的隐秘暗门、使用网络攻击等手段致溢出缓冲区信息、利用“特洛伊”木马程序来非法盗取信息,利用这些漏洞来实现对系统的非法访问和控制,绕过甚至穿透针对安全设施制定的防护策略,并且基于此来继续对其他系统进行攻击。
2存在的主要问题
以前較为传统的工作过程被现在独立、集成、全智能化、全开放的计算机网络系统所代替了。各行各业都从中受益,人们生活和工作因为计算机网络技术和电子信息技术的飞速发展,发生了翻天覆地的变化,同时也逐渐改变了世界。但同时也给人们的日常生活带来了许多危害。现在,计算机网络安全相关的研究涉及了很多方面,比如教育、政府、科研等等,同时,也促进了计算机网络技术能进一步发展。
安全防范中存在的主要问题:(1)信息安全管理由于没有形成一个国家性的方案,所以现在可以所是一团糟。实施与监管策略不到位,信息安全处理能力较弱。没有走中国特色政治经济大路,相反只是一味追求部门特色。管理技术和法制之间的关系也没有得到准确地区分,没有与时俱进而采取先进的管理方法,导致制度难以完美实施。(2)动态的、中国特色的并包括组织文件的工作流程与防范方法还未建立起来,也缺乏针对信息安全管理体系的相关要素和资源。(3)信息安全的要点及所要保护的范围还没得到很好的确定,中国特色信息安全评估准则还不够完善,完整、全方位的信息保障系统及风险评估和评价体系也没建立起来。(4)只重方法、不重管理,只重产物、不重服务的不好思想一直存在,没有形成较好的信息安全观念。(5)信息管理人才不足,重要技术与相关理论的研究十分薄弱,没有投入足够的专项经费,对引进国外的信息设备和技术严重依赖,缺乏有效技术改造和信息管理来对信息安全提供保护。(6)缺乏较高水平和质量的信息安全管理产品,通常会以集中配置为主、不重视技术创新,安全管理平台的主要任务是报告状态、管理与策略同时进行,不足的是,产品研发过于滞后。(7)没有特定的具有权威的机关机构来对立法管理组织实现协调与管理,造成了中国现在关于信息管理安全方面的法律不多,水平不够,制度多,结构乱,缺乏严密的体系;多方进行管理,不明确执法主体,各行政部门各行其是,规则不一致,执行难度较大可操作性不强,缺少法律依据;缺少应有的数量,制定周期太长,内容上不全面,不能按时完工;缺乏监督机构,执法不严;信息安全法和电了商务法等专门的信息安全基本法缺乏;互联网多项权力立法不全面;社会各界的法律意识不强,政府执法力度不够,法律人才不多。(8)我国没有专门制定关于信息管理安全方面的标准,而是效仿国际标准。国家缺乏必要法律保护和监督管理机制在对标准的实施过程中,进行监督,致使用户或企业不执行标准,不能及时、妥善的解决执行过程中出现的问题。
关键词 电子政务 安全 防御 分析
中图分类号:TP393.08 文献标识码:A
1电子政务安全防御体系建设现状
在全球信息化形势下,电子政务在扩大民主参与、提高行政效率、改善政府效能等方面的具有显著的作用。为了加强公共服务,促进社会经济发展,转变政府职能,进而加大各国信息公开力度,所以建立一个高效快捷的政府,使信息化技术得到充分利用,进而推动世界各国政务协同合作是当前最行之有效的手段。电子政务的建设与发展受到越来越多的国家都的重视,许多国家都将其作为重点建设项目。
信息化程度最高和最早发展电子政务的国家是美国,多达10 000种申请服务项目在国家网站上推出;2005年在所有的英国政府服务领域均能实现上网,英国政府服务的所有区域,均在2005年实现了24小时不间断的网络服务。日本政府也在2000年3月正式启动“电子政务工程”建设,这一工程在很大程度是加速了日本政府的电子化、信息化进程。目前,许多发展中国家在电子政务建设上属于后来居上,他们在很多方面都已经达到,甚至超过了发达国家的水平。而在这一时期,西班牙和法国的网络覆盖率为32%,瑞典的网络覆盖率达到34%。
信息化越来越成为发达国家社会转型的一种趋势,而对于发展中国家来说,这既是一种新的机遇,也是一种挑战,利与弊都在一念之间。但在电子政务网络被大力发展的同时,各国政府同时又不得不面临层出不穷的多种网络安全现状:(1)外网准入控制系统不够完善:非法分子通常就是通过管理漏洞对系统发起攻击,而这些攻击的渠道又多半是外网。所以,要实时关注外网动态,并及时有效的对出现的漏洞进行更新和维护。(2)由于内网具有较强的机密性,所以各级政府都很重视其安全控制,但其准入行为审计过程中,准入标准没有规范化,导致系统文件缺失,从而方便了非法分子的不法行为。(3)缺失网络操作行为管理:因缺乏有效的信息化管理手段,违规操作和不安全操作等行为无法按照网络内部的要求,来对网络数据进行正确操作,实行有效管理。
目前主要有下列电子政务网络安全威胁:(1)非法攻击并入侵电子政务网络接口:互联网仍是电子政务面向公众的网络基础,因此仍然会存在非法分子利用外网、专网的服务器接口进行非法入侵的风险。非法分子经常通过业务系统拒绝服务等方式进行攻击,并依靠猜测来获取其他内部主机的服务访问权限。(2)攻击电子政务网络先天畸形:电子政务网络的很多子系统如操作系统、应用系统、支撑系统等的管理过程和系统配置在不同的时间和地点都会出现固有的安全隐患,而这就成了不法分子用来攻击政务系统的隐秘暗门、使用网络攻击等手段致溢出缓冲区信息、利用“特洛伊”木马程序来非法盗取信息,利用这些漏洞来实现对系统的非法访问和控制,绕过甚至穿透针对安全设施制定的防护策略,并且基于此来继续对其他系统进行攻击。
2存在的主要问题
以前較为传统的工作过程被现在独立、集成、全智能化、全开放的计算机网络系统所代替了。各行各业都从中受益,人们生活和工作因为计算机网络技术和电子信息技术的飞速发展,发生了翻天覆地的变化,同时也逐渐改变了世界。但同时也给人们的日常生活带来了许多危害。现在,计算机网络安全相关的研究涉及了很多方面,比如教育、政府、科研等等,同时,也促进了计算机网络技术能进一步发展。
安全防范中存在的主要问题:(1)信息安全管理由于没有形成一个国家性的方案,所以现在可以所是一团糟。实施与监管策略不到位,信息安全处理能力较弱。没有走中国特色政治经济大路,相反只是一味追求部门特色。管理技术和法制之间的关系也没有得到准确地区分,没有与时俱进而采取先进的管理方法,导致制度难以完美实施。(2)动态的、中国特色的并包括组织文件的工作流程与防范方法还未建立起来,也缺乏针对信息安全管理体系的相关要素和资源。(3)信息安全的要点及所要保护的范围还没得到很好的确定,中国特色信息安全评估准则还不够完善,完整、全方位的信息保障系统及风险评估和评价体系也没建立起来。(4)只重方法、不重管理,只重产物、不重服务的不好思想一直存在,没有形成较好的信息安全观念。(5)信息管理人才不足,重要技术与相关理论的研究十分薄弱,没有投入足够的专项经费,对引进国外的信息设备和技术严重依赖,缺乏有效技术改造和信息管理来对信息安全提供保护。(6)缺乏较高水平和质量的信息安全管理产品,通常会以集中配置为主、不重视技术创新,安全管理平台的主要任务是报告状态、管理与策略同时进行,不足的是,产品研发过于滞后。(7)没有特定的具有权威的机关机构来对立法管理组织实现协调与管理,造成了中国现在关于信息管理安全方面的法律不多,水平不够,制度多,结构乱,缺乏严密的体系;多方进行管理,不明确执法主体,各行政部门各行其是,规则不一致,执行难度较大可操作性不强,缺少法律依据;缺少应有的数量,制定周期太长,内容上不全面,不能按时完工;缺乏监督机构,执法不严;信息安全法和电了商务法等专门的信息安全基本法缺乏;互联网多项权力立法不全面;社会各界的法律意识不强,政府执法力度不够,法律人才不多。(8)我国没有专门制定关于信息管理安全方面的标准,而是效仿国际标准。国家缺乏必要法律保护和监督管理机制在对标准的实施过程中,进行监督,致使用户或企业不执行标准,不能及时、妥善的解决执行过程中出现的问题。