论电子政务信息系统安全保障体系

  • 格式:doc
  • 大小:85.00 KB
  • 文档页数:7

论电子政务信息系统安全保障体系
2002-09-06
摘要电子政务的实施为政府和组织承担的公共管理和服务实现电子化、网络化和透明、高效开辟了广阔的空间。

然而电子政务信息系统的安全问题也变得更加突出、严重。

认识电子政务信息系统安全的威胁,把握系统安全的影响因素和要求,建设系统安全保障体系,对保证电子政务的有效运行具有重要意义。

所谓电子政务是指政府运用现代电脑和网络技术,将其承担的公共管理和服务职能转移到网络上进行,同时实现政府组织结构和工作流程的重组优化,超越时间、空间和部门分隔的制约,向社会提供高效优质、规范透明和全方位的管理与服务。

电子政务的实施使得政府事务变得公开、高效、透明、廉洁和信息共享,与此同时,也使得政务信息系统安全问题更加突出和严重,影响电子政务信息系统功能的发挥,甚至对政府部门和社会公众产生危害,严重的还将对国家信息安全乃至国家安全产生威胁。

因此,从分析电子政务信息系统的构成与特点出发,认识电子政务信息系统安全的重要性,把握电子政务信息系统安全的影响因素和要求,建设电子政务信息系统安全的保障体系是发展电子政务的关键所在,具有极其重要的意义。

1 电子政务信息系统
信息系统,即信息传递交流系统,一般是指将信息从信息源传递给有关用户的职能系统。

信息系统的发展与信息处理技术的进步密切相关。

信息系统的功能、效率,均取决于信息处理、传递技术的先进与否。

电子政务与传统政务活动相比,其优势就是借助现代信息技术和信息系统实现信息的有效流动。

实质上,电子政务的发展就是基于电子政务信息系统的完善和发展。

1.1系统的构成
所谓电子政务信息系统是一个基于网络的,符合Internet技术标准的面向政府机关内部、其它政府机构、企业以及社会公众的信息服务和信息处理系统。

它由政府部门内部电子化、网络化政务信息子系统,政府部门之间通过网络进行的政务信息子系统,政府部门与社会和公众之间通过网络进行的政务信息子系统组成,其系统构成包括:1个信息资源中心+3个信息管理模块。

如图1所示:
图1 电子政务信息系统构成
在电子政务信息系统中,以政府办公业务综合信息资源中心为政务平台,连接政府部门
办公业务信息管理模块,各级政府办公业务信息管理模块,面向社会公众的综合服务信息管理模块。

这三个信息管理模块分别于政府办公业务综合信息资源中心相连,又彼此相连,使政务信息通过网络形成三个循环,从而构成电子政务信息系统的总框架。

1.2系统的特点
电子政务信息系统是一个以计算机网络技术为基础,以共享、交流、协作为核心,以政务的信息流、工作流相对集成为基本结构的系统,其特点主要表现为:
1)开放。

指在法律允许范围内政府信息的公开和可获得性,以及管理和沟通渠道公开,便于公众获得政府信息,办事和监督。

2)协同。

在电子政务信息系统中,政府机构的每一个部门,由网络连接起来协同工作,打破了地域、层级、部门的限制,促使政府组织和职能的整合,让政府部门之间的信息能够流通、共享,使公众享受到无组织边界的政治服务。

3)交互。

系统保证任何个人、企业和团体组织,都可以直接通过交互式的技术手段表达和传递信息,政府与公众和企业等团体组织可以直接地交流沟通。

4)服务。

电子政务信息系统最突出的功能便是提供信息服务。

这种理念使得公众和企业等团体组织成为政府机构的服务的客户,政府要确定服务标准,向客户作出承诺,政府职能由控制型转向为控制——服务型。

5)直通。

电子政务信息系统通过计算机网络减少中间环节,寻求最佳途径,保证信息交换的“直通”,确保信息畅通。

1.3系统的结构模型
电子政务信息系统是一个复杂的技术化体系,从表现形态看是由包括终端系统、局域网、广域网、通过广域网组成的专用网、虚拟网、因特网等一系列实体组成,从结构描述的角度看,应包含基础设施、体系结构和基础功能三部分。

其结构模型可由图2描述:
图2 电子政务信息系统结构模型
2 电子政务信息系统安全
电子政务信息系统通过政务信息的共享、交流、协作,使电子政务的管理活动成为电子政务的增值过程:通过该系统实现政府在政治、经济、社会、生活等领域的管理服务职能;实现政府决策信息的发布与存取,支持决策活动:实现办公业务信息交流和交互式处理,支持政务执行活动,以完成政务活动的全过程。

然而,电子政务信息系统功能的发挥,是建立在系统安全、有效的基础上的,电子政务信息系统的安全是实现系统功能的关键所在。

2.1系统安全的内容要求
电子政务信息系统是基于网络的信息系统,其安全内容十分广泛,安全要求各不相同。

从网络层次看,包括1)可靠性。

即保证网络和信息系统随时可用,运行过程中不出现故障,若遇意外打击能够尽量减少损失并尽快恢复正常;2)可控性。

即保证营运者对网络和信息系统有足够的控制和管理能力;3)互操作性。

即保证协议和系统能够联接:4)可计算性。

即保证准确跟踪实体运行达到审计和识别的目的等。

从信息层次看,包括1)信息的完整性。

即保证信息的来源、去向、内容真实无误:2)保密性。

即信息不会被非法泄露扩散;3)不可否认性。

即保证信息的发送和接收者无法否认自己所做过的操作行为等。

从设备层次看,包括质量保证、设备备份、物理安全等。

从经营管理层次看,包括人员可靠、规章制度完善等。

2.2系统安全的相关因素
电子政务信息系统的安全取决于特定的安全环境。

安全环境包含社会环境、技术环境和物理自然环境。

社会环境指各种社会组织机构和人员。

技术环境指信息系统的技术因素,包括:硬件设施、软件设施、网络结构、局域网、信息流、信息存取方式、信息生成、信息处理、信息传输、信息存储、安全人员管理和技术安全管理等。

物理自然环境是指来自物理基础支持能力和自然环境的变化。

电子政务信息系统的安全风险,来源于社会环境的威胁、技术坏境的脆弱和物理自然环境的恶化。

社会环境的威胁方其主体是个人、组织和国家三个层次。

其具体攻击手段主要有:1)中断。

即攻击系统的可用性,破坏系统中的硬件、硬盘、线路、文件系统,使系统不能正常工作;2)删改。

即攻击系统的完整性,删改系统中数据内容,修正消息次序、时间(延时或重放):3)窃取。

即攻击系统的机密性,通过搭线和电磁泄露等手段造成泄露,或根据窃取信息的大小变化,交换频次的统计分析,获取有价值的情报:4)伪造。

且口攻击系统的真实性,将伪造的虚假信息注入系统,假冒合法人接入系统,重放截获的合法消息实现非法目的,否认消息的接收或发送等。

技术环境的脆弱性来源于信息系统技术上和管理上的缺陷。

典型的缺陷和安全隐患有:1)缺陷或漏洞。

指信息系统中各组成部分和整个网络在设计时,由于考虑不周或者是设计者。