陶　鹏

摘 要：“十五”期间，我国政府完成了多个以业务部门为基础的电子政务信息系统建设，以各级地方政府为主体的信息化建设工程获得了迅猛的发展。从2006年开始，我国迈进了“十一五 ”规划，信息安全保障工作迈出了新的坚实步伐，信息安全法律法规、标准化和人才培养工作取得了新成果。信息安全基础设施和工程建设进一步完善，信息安全等级保护和风险评估工作取得了重大进展。在此基础上，电子政务将进入一个新的建设时期。

关键词：电子政务；信息安全；漏洞

1 新时期我国电子政务信息安全面临的新问题

1.1 信息化程度越高，电子政务系统基础设施本身的脆弱性越值得警惕

网络设施无法抵御各种自然灾害的破坏，也难以避免偶然无意造成的危害。电子政务系统所处环境的影响(温湿度、磁场、碰撞、污染等)，硬件设备故障，突然断电或电压不稳定及各种误操作等。这些危害会损害系统设备，有时会丢失或破坏数据，甚至毁掉整个系统。如2006年底，受中国台湾南部海域强震影响，亚太地区互联网发生了严重瘫痪。地震冲击下，中美海缆等多条海缆受损，网络访问不通、电话线路受阻、国际金融交易中断或受限……严重依赖互联网的ＩＴ、国际贸易、媒体、金融等行业受到极大影响。其影响范围之广，让人深刻体会到，全球化时代我们对网络如此依赖，而这种高科技的通信手段却如此脆弱。

1.2 漏洞数量居高不下，利用漏洞发起攻击仍是电子政务系统最大的安全隐患

安全漏洞是指硬件、软件、协议和系统安全策略等存在的缺陷和错误，攻击者可利用这些缺陷和错误对电子政务系统进行非法授权和破坏。据国内著名反黑专家、中科院物理所许榕研究员介绍，他与有关部门对国内多家网站的安全性进行测试，测试结果显示，90%的网站都存在不同程度的安全问题，无法有效地抵抗电子攻击。2007至2008年，我国多个单位的电子政务系统曾遭受过利用漏洞发起的攻击，甚至连公务员招考网站、网上银行都不能幸免。目前，美国微软公司几乎垄断了我国电脑软件的基础和核心市场，离开了微软的操作系统，国产的大多数软件就没有了操作平台，而操作系统自身的安全漏洞就非常多。同时，我国具有自主知识产权的信息设备、技术、产品较少，一些核心硬件基本上从国外进口，且对发达国家或跨国公司提供的关键设备中可能事先做的手脚无从检测和排除，这将造成既花费大量资金，又买来了电子政务系统运行中的安全隐患。其次，绝大多数电子政务信息网络运行的是TCP /IP、 NetBEUT、IPX/SPX等网络协议，而这些网络协议并非专为安全通讯而设计。在这些网络中使用和运行的电子政务系统，本身就可能存在多方面的安全漏洞。

1.3 经济利益成为病毒、恶意软件开发和传播的最大驱动力，电子政务系统的安全性受到极大考验

根据我国著名的反病毒公司金山发布的2008年度电脑病毒疫情报告显示，2008年上半年，计算机病毒、木马的数量呈爆炸式增长，其总数已经超过了近五年的病毒数量的总和。金山毒霸全球反病毒监测中心监测数据显示，截止到6月30日，2008年上半年，金山毒霸共截获新增病毒、木马1242244个，较2007年全年病毒、木马总数增长了338%，其中90％以上带有明显的利益特征，有窃取个人资料、各种账号密码等行为。报告同时显示，近年来肆虐互联网的流氓软件逐渐被控制，但是黑客和病毒制造者等团伙却空前猖獗起来，他们除了制造能和杀毒软件对抗的新病毒之外，还频繁地在各个网站上植入木马，并疯狂地将用户电脑变成任由他们控制的僵尸网络（Botnet）。网络黑客逐步形成了较为严密的组织，在组织内部分工明确，从恶意代码的制作，恶意代码的散布到敏感信息的窃取都有专人负责，网络攻击从最初的技术炫耀转向获取经济利益，网络攻击的针对性和定向性越来越强。制造木马、传播木马、盗窃账户信息、第三方平台销赃、洗钱，常规的病毒黑色产业链在2008年上半年开始正在发生新的变化。伴随着病毒制作技术的进步，病毒产业链也随之发生变化，新型产业链在技术上也呈现出分工明细的趋势,例如专门对抗杀软的病毒,专门下载其它病毒的downloader类别的病毒,专门的盗号功能等。

特别是当一些政府网站被入侵后，由于这些网站的浏览量非常大，致使病毒的感染范围非常广，其中不乏金融、税务、能源等关系到国计民生的重要单位。目前，各级电子政务系统已经成为信息资源的最大拥有者，也是最大的信息资源生产者和发布者，这些具备重要价值的信息资源无疑将成为被攻击和窃取的主要对象。

1.4 移动办公设备和技术的普及，成为电子政务信息安全的所面临的新问题

随着计算机制造技术和应用技术的不断发展，笔记本电脑、移动硬盘、U盘等移动存储设备购置成本不断降低，它们被大量地应用到了日常工作中，成为人们进行办公信息存储的首选设备。与此同时，近年来无线局域网产品逐渐走向成熟，正在以它的高速传输能力和灵活性发挥日益重要的作用。但正是由于移动办公的“移动”特性，却给当前电子政务信息安全保障工作带来了新的风险，成为人们广泛关注的新的研究课题。诸如笔记本电脑、移动硬盘、U盘等移动办公设备，普遍存在易丢失泄密、内外网交叉使用、公私交叉使用、病毒防范不到位等问题。无线局域网通过无线信道相互连接，电磁辐射难以精确地控制在某个范围之内，因此相对有线网络，通过WLAN发送和接收数据容易受到各种被动和主动攻击，如窃听、篡改、拒绝服务攻击等，面临着比有线网络更多、更严重的安全威胁。

1.5 P2P技术带来了对电子政务信息安全的新威胁

P2P是一种分布式网络，主要指由硬件形成连接后的信息控制技术，网络的参与者共享他们所拥有的一部分硬件资源(处理能力、存储能力、网络连接能力、打印机等)。近年来P2P软件迅速普及，几乎在每个单位的办公网络中都可以找到它们的使用痕迹，但正是这种新的应用型技术，给电子政务信息安全带来了新的威胁。

2 运用多种电子政务信息安全保障技术，充分应对新时期我国电子政务信息安全面临的新问题

2.1 对电子政务系统进行全方位的安全管理

电子政务的信息安全是一个管理与技术相结合的问题，管理包括行政管理和技术管理。目前我国已经开展电子政务工作的单位，基本都建立了由所在单位主要领导直接主管的信息安全组织机构，明确了相关人员的职责，并制订了信息安全的规章制度。在此基础上，应充分认识到电子政务运行中环境安全的重要性。正确选择建筑物所处的位置，设置监控系统，严格按照国家有关标准设计实施，须具备消防报警、安全照明、不间断供电、温湿度控制、防盗报警等能力，以保护系统免受水、火、地震、静电、噪音、虫害等因素的危害，技术人员对设备进行定期管理和维护保养，具有一定对抗自然和人为因素破坏的能力。其次是要加强对含有敏感信息的可移动媒体的管理，防止信息的泄露，针对不同类型的存储介质建立不同的安全处置方法、审批程序、报废记录等措施。

2.2 运用访问控制技术，对来访者进行用户识别、权限分配和实时监控

访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非法访问。入网访问控制为网络访问提供了第一层访问控制，它分为三个步骤：用户名的识别和验证、用户口令的识别和验证、用户帐号的缺省限制检查。用户只有通过以上三个步骤的合法验证，才能登录到相应的电子政务系统当中，然后系统根据来访者所属的用户组分配权限。与此同时，网络管理员应对网络实施监控，服务器应记录用户对网络资源的访问，服务器要以图形、文字或声音等方式对非法的网络访问给予警示。如果检测到有人试图非法进入电子政务系统，网络服务器应自动记录企图尝试进入的次数，当非法访问的次数达到设定的数值，那么该帐户将被自动锁定。

2.3 合理配置防火墙是实现信息安全最基本的技术措施

配置防火墙是目前使用最广泛的安全方法。防火墙是设置在被保护网络和外部网络之间的一道屏障，采用包过滤或代理技术，根据既定安全策略允许特定用户和数据包穿过，同时将安全策略不允许的用户与数据包隔断，有效监控着内外网之间的任何活动，防止恶意或非法访问，保证了内部网络的安全。电子政务网络由各级政府网络组成，从网络安全角度上看，它们属于不同网络安全域。所以，在各中心的网络边界以及政务网和Internet边界都应安装防火墙，并实施相应安全策略。同时通过合理的配置防火墙，也可以最大限度地减少P2P技术对电子政务系统的负面影响。目前应用较多的防火墙主要有三种:数据包过滤防火墙、代理防火墙和双穴主机防火墙。但是防火墙也有其自身的局限性，其中最重要的一点是它对来自网络内部的攻击无能为力。

2.4 加密技术是政务信息完整性、机密性和不可抵赖性的保障

数据加密技术有着悠久的历史，技术的成熟已经是毋庸质疑的。采用数据加密技术可以将敏感数据进行加密，防止被未经授权人员窃听和访问，这是数据加密技术为电子政务网络系统带来最基本的好处。

另外，利用数据加密技术，可以在网络上建立一种安全的数据传输通道，保证敏感数据从发出到接收在安全的环境下进行，从而打消了电子政务系统使用者的顾虑，推动电子政务系统的快速发展。

利用数据加密技术，在系统管理人员与电子政务系统使用人员(政府机构工作人员)之间建立起了信任机制。系统管理人员不再能查看敏感信息的内容，但又不影响他执行系统管理的职责。

利用数据加密技术，可以实现数据的定向发送，这在公文流转、受控文件的发放方面有重要意义。在进行数据发送之前，发送者可以通过SMIME协议，利用指定接收者的公钥对数据进行定向加密，这样做出来的加密数据只有指定接收者利用自己的私钥才能解开，而且可指定多个接收者。

2.5 紧跟信息技术的发展，增进电子政务无线网络安全

由于无线网络先天设计便是以无线电技术为基础，使得攻击者可以在无线电波涵盖的范围内进行通讯内容的监听。如果使用者未将传送的信息适当的进行加密，则入侵者很容易的便可窃取所有的通讯内容。因此，除了修改网络设计、修改预设等技术管理以外，电子政务无线网络还要采取相关的管理措施，以便有效地提升电子政务无线网络的安全性。首先要明确无线网络的使用权限。政府或机关必须制定无线网络使用的授权标准，规范可使用无线网络人员授权方法以及无线网络实体使用范围；其次要确认无线网络活动范围。政府或机关必须针对内部信息进行标记，限制电子政务无线网络可存取的信息内容及范围，以免遭受入侵，造成损失；第三要确认无线网络相关安全操作标准。对于电子政务无线网络安全所必须遵守安全管理条文，并列出使用无线网络各种状况下所需符合的安全标准，例如加密机制的使用、安全控管方式等等；最后要确认无线网络管理权责。政府或机关必须确认无线网络设置、设定管理权责，并依照管理规定，定期稽核清查。