网络环境下的政府信息安全

２０１１年８月　中共山西省委党校学报　Ａｃａｄｅｍｉｃ　Ｊｏｕｒｎａｌ　ｏｆ　Ｓｈａｎｘｉ　Ｐｒｏｖｉｎｃｉａｌ　Ｃｏｍｍｉｔｔｅｅ　Ｐａｒｔｙ　Ｓｃｈｏｏｌ　ｏｆ　Ｃ．Ｐ．Ｃ　Ａｕｇ．２０１１　Ｖｏ１．３４　Ｎｏ．４　第３４卷第４期　网络环境下的政府信息安全　杜建亮　（中共山西省委党校，山西　太原０５０００６）　［摘要］政府信息安全是国家安全的重要组成部分。由于政府信息安全的法律、法规不健全，信息安全管理政　出多门，加之自主研发技术落后等，使得政府信息安全面临诸多威胁，如信息泄露、拒绝访问、授权侵犯、恶意暗链　等，为此，网络环境下政府信息安全一般应按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则，从外部环　境、技术设备、法律法规、人事管理等几个层面保护入手，最终使信息资源在政府的管理活动中发挥应有的作用。　［关键词］　网络环境；政府信息安全；信息资源　［中图分类号］Ｄ６３［文献标识码］Ａ［文章编号］１００９—１２０３（２０１１）０４—０１０２—０３　随着我国国民经济和社会信息化进程的全面加　部，但没有一部专门的、系统的针对信息安全的法　律或法规。２０１０年１１月８日，有报道说，我国将制　快，信息技术也得到了广泛应用，网络与信息系统的　基础性、全局性作用进一步凸显，已成为国家的关键　定《信息安全条例》，进一步加强信息安全监管。目　基础设施。信息安全已经不单是一个技术问题、一个　前，工业和信息化部已完成的《信息安全条例（报　业务工作问题，也不仅仅是信息化本身的问题，而是　送稿）》，已报送全国人大，这是一件令人高兴的事　一个上升为事关国家经济安全、社会稳定的全局性　战略问题，是国家安全的重要组成部分。因此，我们　必须从促进经济发展、维护社会稳定、保障国家安　全、加强精神文明建设的高度，充分认识加强信息安　全保障工作的极端重要性，增强做好这项工作的紧　情，实践中，政府信息安全的法律法规还有待进一　步完善。　（二）信息安全管理政出多门　我国信息安全管理职能的格局已经形成，如国　家公安部、国家安全局、国家保安局、国家密码管理　委员会、信息产业部、总参等部门分别执行着各自　的安全职能，由这些部门对我国政府信息安全“分　而治之”。实践证明，这种分开管理，又保留一定的　迫感、责任感和自觉性。　政府信息安全存在隐患　一、随着电子政务的长足发展，网络使用不当造成　的失泄密事件时有发生，信息安全问题１３益凸显出　来。虽然各级政府部门愈来愈重视网络信息的保护　和防御，但网络信息安全状况不容乐观。　（一）政府信息安全的法律、法规不健全　交叉的管理方式有它的合理性，这种合理性就是能　保证信息安全没有“安全漏缝”。但是，我们应该清　醒地认识到，这种管理方式中也存在“条块分割、各　行其是、交叉管理、职责不清”的问题，这极大地影　响了我国政府网络信息安全。目前，信息安全领域　最大的问题之一是缺乏统一的领导、组织和协调，　因而就出现了“三个和尚没水吃”的怪现象，看似齐　、　（三）自主研发技术落后　我国有《政府信息公开条例》，但就没有《政府　信息安全条例》，也就是说，在政府信息安全方面，　我们仍然无法可依。但和信息安全相关的倒是有很　多法规，如《中华人民共和国计算机信息系统安全　抓共管，实属不抓不管。　保护条例》、《信息安全等级保护办法》等，据相关统　计，截至２００８年与信息安全直接相关的法律有６５　［收稿日期］２０１１—０６—２９　长期以来，我国信息化产品或技术大多依赖进　［作者简介］杜建亮（１９７１一），男，山西临汾人，中共山西省委党校信息网络教研部副教授。　１０２　口，自主研发投入与能力都还不足，因而，造成我国　具有自主知识产权的设备、技术、产品较少，如计算　机芯片、骨干路由器、操作系统软件等基本上是从　国外进口，且对引进技术和设备缺乏必要的技术改　造。而欧美等发达国家对我国限制和封锁信息安全　高密度产品，出口到我国的信息产品中存在安全隐　造成信息失控。第九，陷阱门。在系统或某个部件中　故意设置“机关”，使得在特定的数据或指令输入时，　允许违反安全策略。第十，抵赖。对自己的行为故意　一隐瞒或不承认，这是一种来自内部用户的攻击。第十　重放。将某次合法的通信数据进行拷贝，而重新　，发送。第十二，人员不慎。一个授权的人为了某种利　患。如美国出口到我国的计算机系统的安全级别只　有Ｃ２级，在美国国防部规定的８个安全级别之中　处于倒数第３位。　（四）人们安全保护意识薄弱　在政府机关中，重设备、轻安全，重应用、轻管理　的思想普遍存在，加之网络信息使用者的水平参差　不齐，他们只图自己使用中的方便，而对网络安全问　题认识不到位，因而难免存在泄密的隐患。病毒、网　络攻击、非法入侵是影响网络信息安全的主要因素。　很多政府部门建立的技术防御措施相对简单‘，个别　单位的信息系统没有采取任何安全保护技术措施；　有的单位没有建立相应的计算机网络安全保护制　度，网络信息安全管理协调组织任务不明、职责不　清，缺乏对潜在威胁、薄弱环节和各类风险情况的处　置预案。　二、政府信息安全面临的威胁及其来源　随着互联网的发展，信息安全问题越发凸显，承　载政府信息的各类政府网站开始成为黑客获取非法　利益的一条捷径，事实上，部分政府网站已经成为木　马、钓鱼网站攻击的重灾区。　（一）政府信息安全面临的主要威胁　第一，信息泄露。信息被有意或无意地泄露或透　露给非授权的实体。第二，破坏信息的完整性。数据　被非授权地进行修改或破坏而受到损失。第三，拒绝　服务。合法访问信息或资源被无故阻止。第四，假冒、　非授权访问。非法用户冒充合法用户，特权小的用户　冒充特权大的用户以获取更多的信息，导致信息资　源被非授权的人或以非授权的方式使用。第五，窃　听、业务流分析。对通信线路中传输的信号和电磁泄　露进行监听，通过长期监听，利用统计分析方法进行　分析，从中发现有价值的信息和规律。第六，旁路控　制。任何系统都不可能是完美元缺的，攻击者利用系　统固有的安全缺陷获得非授权的权利或特权。第七，　授权侵犯。被授权以某一目的使用某一系统或资源　的某个人，却将此权限用于其他非授权的目的。第　八，木马、病毒。系统中被植入一个觉察不出的有害　程序，特定条件下该程序执行时，会将系统中所承载　的信息主动发送给对方或者对信息进行破坏，从而　益，或由于粗心，将信息泄露给一个非授权的人。第　十三，媒体废弃。信息被从废弃的磁碟或打印过的存　储介质中获得。第十四，物理侵入。侵入者绕过物理　（如防火墙）控制而获得对系统的访问。第十五，窃　取。重要的安全物品，如令牌或身份卡被盗。第十六，　恶意暗链。在无授权状态下，通过各类攻击手段，在　网站中植入无行为能力的恶意文本，然后将非法网　站链接到该网站。　（二）政府信息安全威胁的主要来源　第一，自然灾害、意外事故，如地震、泥石流爆发　造成机房被毁等。第二，计算机犯罪、外部泄密。这方　面的危害主要来自于外部人员，且主观目的和目标　明确。第三，人为错误、内部泄密，如使用不当、安全　意识差等，这方面的威胁主要来自于内部。第四，“黑　客”行为。网站或多或少总会存在一些漏洞，好奇盼　黑客有借助政府网站从事网络钓鱼活动的趋势。第　五，存储失效、信息丢失。任何一种存储设备都有其　寿命或不可预见的损坏，重复备份是防止此类威胁　的有效手段。第六，嗅探、信息战、电子谍报。嗅探器　可以窃听网络上流经的数据包，再经过信息流量分　析从而达到信息窃取的目的或者使对方服务器瘫　痪。第七，操作系统、网络协议的自身缺陷，￣ＩＩＴＣＰ／ＩＰ　协议的安全问题等等。　三、政府信息安全防范策略　信息安全是指信息网络的硬件、软件及其系统　中的数据受到保护，不因偶然的或者恶意的原因而　遭到破坏、更改、泄露，系统连续可靠正常地运行，信　息服务不中断。信息安全的实质就是要保护信息系　统或信息网络中的信息资源免受各种类型的威胁、　干扰和破坏，即保证信息的安全｝生。实践中，政府信　息安全一般按照“谁主管谁负责、谁运行谁负责、谁　使用谁负责”的原则，从以下几个层面加以保护。　（一）外部环境层面的保护　环境方面的保护指的是一些基础设施的安全保　护，只有基础设施安全了，设备才能安全，只有设备　安全了，设备上所承载的信息才能安全。　这方面的安全保护包括房间的安全，供电系统　的安全（加装净化电源、ＵＰＳ、电源接地等确保系统　１０３　正常供电），防静电地板的安装，机房温度、湿度的控　制，机房灰尘的控制等，环境方面的保护是基础，也　是基本的、起码的、必须的保护。　（二）技术、设备层面的保护　（三）法律、法规层面的保护　安全不仅是技术问题，同时还是社会和法律问　题。与美国相比，我国在信息安全标准的制定、认证、　检测等方面有待进一步加强。在信息安全标准方面，　我国有国家信息安全产品测评认证中心、公安部、国　家质量技术监督局等多个部门参与这方面的工作，　而美国则在法案中明确表示由美国国家标准技术研　这方面包括的内容比较多，也比较杂，大多数政　府单位在实践中也做了一些工作，但还不够，需要进　～步加强保护。　１．要使用必要的设备或软件对政府信息进行保　护，如使用防火墙、行为审计系统、使用可网管的交　究院一家来完成。所以，我们的产品一般都有好几个　部门的认证，这不仅增加了产品的成本，而且部门之　换机、使用杀毒软件等。　间相互推诿，影响认证，应该出台一部法律法规，使　２．要建立授权和身份认证系统，加强对账户和　认证有一个统一的标准。　口令的控制，实现授权访问控制、用户身份识别等，　另外值得注意的是，我国信息安全标准的培训、　用于自动发现网络上的安全漏洞。并给出分析报告。　认证和检测机构中，有些部门是营利机构，还有些是　３．要建立安全监测预警系统。用于实时监测网　没有收费权的政府部门，也在想方设法、变着法地给　上的数据流，寻找具有网络攻击特性和违反网络安　本单位或者本部门营利，这在某种程度上降低了信　全策略的数据流，当发现可疑数据流时按照系统安　息安全标准认证的公证性。这样的认证不仅影响其　全策略规定的响应策略进行响应，实时阻断非法的　公信力，而且证件面临在国际上有可能不被承认的　网络连接。　危险，因此，急需要有这方面的法律法规予以规范。　４．要建立数据应急保护系统。为了满足系统业　（四）人事管理层面的保护　务不问断的要求，避免由于自然灾难的损坏造成系　资料表明，七成以上的政府信息安全事故是由　统停止服务而采用系统备份和恢复技术。　ｔ　政府内部相关工作人员引发的。可见，在政府信息安　５．要建立有关系统安全方面有价值的系统日志　全事件中起决定作用的是人，人是信息安全保障中　审计。在系统运行时，通过网络管理员对系统日志进　最需要的因素。　行配置，达到尽可能多地保留有用信息的目的。　信息安全人事管理是指以现代人力资源管理理　６．要对敏感信息载体加以物理屏蔽。如对一些　论为基础，从招聘选拔、人员培训、人员使用、绩效考　政府保密的部门，使用屏蔽网线。还有一些国家机密　核、人员激励等主要职能人手，对组织中信息安全　场所，工作人员一旦进人后，随身携带的通信设备信　人员进行科学管理、合理配置和有效开发，制定适　号全无，那就是被屏蔽了，以防止信息外泄。　合的规章制度，借以实现组织信息安全管理目标的　７．要严格规范内外网络的连接。内网与外网应　活动。信息安全人事管理是信息安全管理的核心，作　该进行完全物理隔离，但有些单位受经济条件所限，　为信息安全保障的一个关键要素，信息安全人事管　达不到这个要求，从而使内外网混用。　台计算机既　理的强化实施可以为政府搭建起一道牢固的“人力　可以访问内网，也可以访问外网，那这台计算机就可　防火墙”。　能成为内外网的连通器，这就很可能泄露信息。　政府信息安全工作是一项全方位的工作，需要　８．软、硬件尽量不要使用国外的产品。中国的　从多方面进行有效管理以及合理运用技术、政策、法　信息安全要靠外国人来管理，岂不是中国信息安全　规、制度等，在计算机网络不断发展普及、政务信息　行业乃至信息行业的悲哀，所以，要扭转这一局面，　公开程度日益扩大的今天，加强管理为政府信息安　不仅需要我国企业练好内功，提供优秀的产品和解　全问题消除隐患显得尤为重要，最终使信息资源在　决方案，更重要的是必须让强势的采购人和采购代　政府的管理活动中发挥应有的作用，以最大限度地　理机构转变思路，为国内ＩＴ企业提供足够的市场　保护网络环境下的政府信息安全。　空间。　责任编辑雨文　１０４