时间:2024-04-24
□ 李 贺,管清华
(⒈中共吉林省委党校,吉林 长春 130012;⒉敦化市人事局,吉林 敦化 133000)
信息时代我国政务信息安全保障探究
□ 李 贺1,管清华2
(⒈中共吉林省委党校,吉林 长春 130012;⒉敦化市人事局,吉林 敦化 133000)
人类社会已由工业时代迈向信息时代,安全的核心内容也经历着由物质资料安全到以知识、信息为核心的信息安全的转变之中。政府在国家和社会生活中有着不可替代的作用,应用现代信息技术来提高政府的运行效率和服务质量是信息时代政府建设和发展的必由之路,因此,信息时代政务信息安全显得尤为重要。
电子政务;信息安全;信息社会;网络
纵观人类历史的发展进程,从农业社会到工业社会,安全的核心内容在整体上已发生了根本性变化,经历了从以土地、食物为代表的生活资料安全到以资本、钢材、石油、电力为核心的物质资料安全的转变。目前,则正处于从物质资料安全到以知识、信息为核心的信息安全的转变之中。信息安全已经成为信息时代安全问题的核心和基础。
政务信息是信息的一个重要门类,是政务活动中反映政务工作及其相关事务的情报、情况、资料、数据、图表、文字材料和音像材料等的总称。政务信息应当同时符合三个条件:一是由政府机关掌握的信息,是指由政府机关合法产生、采集和整合的;二是与经济、社会管理和公共服务相关的信息;三是由特定载体所反映的内容。
政务信息的内容可分为十大类:一是中央、人大、国务院、政协领导到本地区的重要讲话;二是各地贯彻中央、国务院、省委、省政府各项方针、政策的情况以及各单位执行上级机关一个时期重要工作部署的情况;三是上级机关交办有关事项的落实情况;四是下级单位重要工作决定、举措及其自身建设方面需要上级单位领导了解并掌握的情况;五是两个文明建设和改革开放的重大成就;六是本地区、本部门、本单位推广的重要经验;七是工作中的重大问题、灾情、事故、社情以及其他突发事件等;八是一些反映倾向性、苗头性、趋势性的材料;九是社会各阶层的思想动态、群众情绪、要求、意见建议以及国外友人的意见建议,与人民群众生活密切相关的情况,重大的群访事件;十是本地区经济、社会发展中的热点、难点、重点问题以及相关的举措、对策。
政务信息管理涉及到对国家秘密信息和核心政务的保护,涉及到维护公共秩序和实施行政监管,涉及到为社会提供公共服务的质量。作为政府重要的对外交流渠道,它必然会遇到各种敌对势力、恐怖集团、捣乱分子的破坏和攻击。因此,政务信息要求比其它信息具有更高的可靠性和安全性。
政务信息安全的内涵主要有以下几个方面:一是从信息的层次看,包括信息的完整性 (保证信息的来源、去向、内容真实无误)、保密性(保证信息不会被非法泄露扩散)、不可否认性(保证信息的发送和接收者无法否认自己所做过的操作行为)等。二是从网络层次看,包括可靠性(保证网络和信息系统随时可用,运行过程中不出现故障,遇意外事故能够尽量减少损失并尽早恢复正常)、可控性(保证营运者对网络和信息系统有足够的控制和管理能力)、互操作性(保证协议和系统能够互相联接)、可计算性(保证准确跟踪实体运行达到审计和识别的目的)等。三是从设备层次看,包括质量保证、设备备份、物理安全等。四是从管理层次看,包括人员可靠、规章制度完整等。
据公安部公布的2008年全国信息网络安全状况调查结果显示,在被调查的12022家重要信息网络、信息系统使用单位中,发生网络安全事件的比例为62.7%,计算机病毒感染率为85.5%,屡次发生网络安全事件(3次以上)的比例为50%,多次感染病毒(3次以上)的比例为66.8%。这说明我国互联网信息安全系数比较低,难以抵御某些方式的网络攻击。
政务信息安全面临的挑战主要存在于信息立法、信息技术和信息管理三个方面。
黑客攻击、病毒入侵等网络犯罪的日益增多与电子政务信息安全法制不健全和对网络犯罪的惩治不力密不可分。我国虽已出台了一系列与网络信息安全有关的法律法规,但仍难以适应电子政务发展的需要,主要制约因素在于:一是天然局限性。经济基础决定上层建筑,法律法规的制定也天然地受到经济基础、社会发展进程等现实条件的制约。有学者指出,当今世界,如果技术的发展速度每小时是1万英里;政策的发展速度就是每小时10英里。而我国政策法规的制定颁布需要经历立项、起草、审批、表决等复杂程序,这也在无形中制约了我国网络信息安全法制化建设的进程。二是法律制定模式存在弊端。我国信息化发展起步较晚,基础薄弱,经济体制转轨过程中面对信息技术迅猛发展带来的各种变化、问题、矛盾,往往采取“挑战—应对”式的法律制定模式,缺乏全局统筹,对信息化相关领域中存在的错综复杂的关系、利益没有进行全面的调节与把握。三是相关法律体系不健全。尽管现行的与网络信息安全相关的法律法规为数不少,但内容多交叉重复,存在不少薄弱甚至空白领域,没有形成体系,难以相互支撑。
首先,计算机系统本身即具有脆弱性。系统在受到温湿度、电压、碰撞等环境影响时,硬件设备容易发生故障,从而损害操作系统设备,有时会丢失或破坏数据甚至毁掉整个系统。其次,网络环境存在缺陷。绝大多数电子政务信息网络运行的是TCP/IP,NetBEUI,IPX/SPX等网络协议,而这些网络协议并非专为安全通讯而设计。利用这些网络进行服务,本身就可能存在多方面的威胁,加之使用者信息安全意识淡薄,管理者管理措施不力等原因,会出现一些常见的安全问题:对物理通路的干扰;网络链路传送的数据被窃听;非授权用户非法使用,信息被拦截或监听;操作系统存在的网络安全漏洞;直接面向用户的应用系统存在的信息泄露、信息篡改、信息抵赖、信息假冒等。
电子政务信息安全不只是简单的技术问题,如果在管理、制度、人员方面没有建立相应的电子化业务安全防范机制,缺乏行之有效的安全检查保护措施,再好的技术和设备都无法确保其信息安全。例如:机房重地随意进出,微机或工作站管理人员在开机状态下擅离岗位,敏感信息临时存放在本地的磁盘上,如果这些信息处于未保护状态,都会为外部入侵,更会为内部破坏埋下隐患。其中,来自内部的安全威胁可能会更大,因为内部人员了解内部的网络、主机和应用系统的结构;掌握内部网络和系统管理员的工作规律甚至自己就是管理员;拥有一定的访问权限,可以轻易地绕过许多访问控制机制;在内部系统进行网络刺探、尝试登录、破解密码等都相对容易。如果内部人员为了报复或销毁某些记录而突然发难,在系统中植入病毒或改变某些程序设置,就有可能造成损失。内部人员的破坏活动也并不局限于破坏计算机系统,还包括越权处理公务、窃取国家机密数据等。
电子政务的安全关系到国家的主权、国家的安全和公众利益,所以,保障电子政务信息安全必须有相应的国家法律法规的约束。发达国家已经在政务信息安全立法方面积累了成功经验,如美国的《情报自由法》和《阳光下的政府法》、英国的《官方信息保护法》、俄罗斯的《联邦信息、信息化和信息保护法》等。对此,我国立法部门应加快立法进程,吸取和借鉴国外网络信息安全立法的经验,制订与政务信息安全相关的法律,以完善我国的网络信息安全法律体系,使政务信息安全管理走上法制化轨道。另外,执法部门要严格执法,确保各项法律法规落到实处。对于各种违法犯罪情况要严加追究,对于各种隐患要及时加以预防和制止。
一个国家的信息安全能否得到有效的保障,根本问题在于其综合国力的高低,在于信息基础设施的发达程度,在于自主研发与创新能力的强弱,这些是构筑信息安全体系的物质基础。目前,我国网络与信息安全的防护尚处于发展的初级阶段,因此,应立足于发展信息安全产业,加强基础研究,抓好当前急需的关键技术的科研攻关,重点是大力发展独立自主的软件产业,提高信息安全技术自主研发能力,全力推进技术创新,迅速改变核心技术受制于人的状况。同时,加强国际合作,将引进、消化吸收与自主创新相结合,以形成有中国特色的、先进可靠的信息安全技术和装备体系,为国家信息安全提供强有力的技术支撑。其技术主要包括:一是身份认证技术:公共密钥基础设施(简称PKI)是一种遵循标准的密钥管理平台,可以做到确认发送方的身份、保证发送方所发信息的机密性、保证发送方所发信息不被篡改、发送方无法否认已发该信息的事实。二是防火墙技术:防火墙是实现网络信息安全的最基本设施,它采用包过滤或代理技术使数据有选择的通过,可以有效监控内部网和外部网之间的任何活动,防止恶意或非法访问,保证内部网络的安全。对整个省级区域来说,电子政务是一个由省、市(州)、县(市、区)政府网络组成的三级网络体系结构,从网络安全角度上讲,它们属于不同的网络安全域,因此,在各中心的网络边界以及政务网和Internet边界都应安装防火墙,并实施相应的安全策略控制。另外,根据对外提供信息查询等服务的要求,为了控制对关键服务器的授权访问,应把对外公开服务器集合起来划分为一个专门的服务器子网,运用设置防火墙策略来保护对它们的访问。三是入侵检测技术 (IDS):IDS是近年出现的新型网络安全技术,通过从计算机网络系统中若干关键节点收集信息并加以分析,监控网络中是否有违反安全策略的行为或者是否存在入侵行为,可以提供安全审计、监视、攻击识别和反攻击等多项功能,并采取相应的行动如断开网络连接、记录攻击过程、跟踪攻击源、紧急告警等,是安全防御体系的一个重要组成部分。入侵检测系统与防火墙联动,可以增强网络的防御能力。四是防病毒技术:病毒是系统中最常见、威胁最大的安全隐患,建立一个全方位的病毒防范系统是电子政务安全体系建设的重要任务。系统的每一层都要有相应的防毒软件提供完整的、全面的防病毒保护。五是网络安全隔离技术:计算机如果同时具有内网和外网的应用需求,就必须采取网络安全隔离技术,在计算机终端安装隔离卡,使内网与外网之间从根本上实现物理隔离,防止涉密信息通过外网泄漏。
此外,还可以采用VPN、安全网关、数据加密机、漏洞扫描、安全邮件、安全备份、电磁泄漏防护、安全操作系统、安全数据库等安全技术。保障电子政务的信息安全,需要这些技术手段综合、合理的应用。
据相关调查显示,在实际的网络安全问题中,约有80%是由于管理问题造成的。因此,信息安全保障体系建设要有网络与信息安全领导小组、信息安全处、信息安全管理员等组织体系。此外,信息化涉及到政务工作的方方面面,信息安全不仅是信息化主管部门的工作,也是其他各个部门综合安全管理工作的核心。只有把信息安全作为政务管理的有机组成部分,信息安全保障建设才能落到实处。首先,政府部门要严格按照《中华人民共和国计算机信息系统安全保护条例》和《计算机信息网络安全保护管理办法》的规定,在国家安全部、国家保密局、国务院有关部门及各省、市、自治区公安厅(局),地(市)、县(市)公安局负责计算机网络信息系统安全保护的统一管理下,建立本单位、本部门、本系统的组织领导管理机构,明确领导及工作人员的责任,制定管理岗位责任制及有关措施,严格内部安全管理机制,并对破坏电子政务信息安全的事件进行调查和处理,确保网络信息的安全。其次,要加强“网上警察”队伍建设,加大监视和打击网络犯罪活动的力度。我国已于1983年成立了公安部计算机管理和监察局,1985年全国人大通过了《警察法》,其目的就是“监督计算机信息系统安全保护工作”。1998年又成立了公安部公共信息网络安全监察局,并逐步形成了一支“网上警察”队伍。当前,公安部门的首要任务是吸纳高级信息安全人才充实到“网上警察”队伍中来,提高“网上警察”的快速反应能力和侦察与追踪水平。
首先,要建立和完善信息安全监控体系,及时发现和处置突发事件,提高对网络攻击、病毒入侵、网络失窃的防范能力,防止有害信息传播,增强对政务网络和信息系统的监控、管理和保护。其次,要重视信息安全应急处理工作,建立健全应急管理协调机制、指挥调度机制和信息安全通报制度。要制定完善的信息安全处置预案,加强信息安全应急支援服务队伍建设,提高信息安全应急响应能力。第三,要高度重视信息安全人才的培养,为我国信息安全技术自主创新和技术研究、信息安全产业的开发、信息安全技术系统的管理和维护、信息犯罪的侦破、信息战的防御对抗建立起一流的专业队伍,铸成信息安全的长城。
[1]钟义信,邓寿鹏.信息时代宣言[J].今日电子,1996,(07).
[2]李兴民.影响电子政务信息安全的因素分析与信息安全体系构建[J].西南民族大学学报(人文社科版),2004,(11).
[3]迟晓君.加强政务信息安全,建设和谐电子政务[J].中共青岛市委党校(青岛行政学院)学报,2009,(05).
[4]尹全喜.浅议我国电子政务信息安全[J].信息与电脑(理论版),2010,(08).
[5]邓密,何黎明.电子政务信息安全的技术策略[J].信息化建设,2010,(02).
[6]张自荣.试论网络时代的政务信息管理 [J].中国科技信息,2005,(16).
[7] 政 务 信 息 [EB/OL].http://baike.baidu.com/view/744979.htm.2012-02-01
[8]蔡皖东.网络与信息安全[M].西北工业大学出版社,2004.
[9]董振国.开展电子政务必须重视建立健全信息安全保障体系[J].信息化建设,2007,(02).
[10]王进京.浅谈电子政务信息安全技术保障体系建设[J].信息化建设,2003,(08).
[11]姜志能.电子政务信息安全风险与对策[J].商情,2011,(05).
(责任编辑:高 静)
The Research of Our Government Information's Safety Guarantee in Information Age
Li He,Guan Qinghua
The human society is advancing with great stride from industrial age to information age.The core content of safety is transforming profoundly from material goods security to information security which is as the core of knowledge and information.Government has an irreplaceable role at the Nation and social life.The only way to improve operation efficiency and service quality of government in information age is the application of modern information technology.So the safety of government information seems especially important in information age.
e-government;information security;information society;internet
D922.8
A
1007-8207(2012)05-0080-03
2012-02-20
李贺 (1982—),女,吉林省吉林市人,中共吉林省委党校 (吉林省行政学院)图书馆馆员,研究方向为电子政务、数字图书馆、信息检索。
我们致力于保护作者版权,注重分享,被刊用文章因无法核实真实出处,未能及时与作者取得联系,或有版权异议的,请联系管理员,我们会立即处理! 部分文章是来自各大过期杂志,内容仅供学习参考,不准确地方联系删除处理!