论文部分内容阅读
电子政务的应用越来越普及,其安全问题也引起越来越多的关注。当前我国电子政务信息安全存在的主要问题有:政务网络和安全保障的建设没有统一规划和标准,没有强有力的统一领导和主管部门;管理制度和技术标准不完善;信息安全保障的技术手段和防范措施赶不上形势的发展和需求;思想观念跟不上新形势的发展,涉密人员的保密意识尚需进一步提高;基础设施和核心技术方面受制于国外;涉密信息系统的技术标准可实施性尚待提高等。我国大多数重要信息系统尚未彻底消除来自传统的如计算机网络所使用的操作系统、数据库、芯片等威胁,关键技术受制于国外,网络上存在很多安全隐患,泛滥的网络间谍、远程计算机控制、拒绝服务、木马和恶意代码及人为因素等,都严重威胁到我国涉密信息的安全。从某种意义上讲,信息安全关系到国家安全,我们应该从国家安全战略的高度来对待信息安全。
安全问题区别对待
目前,政府、企事业和个人对网络的依赖程度越来越高,大到国家秘密,小到个人隐私,对网络安全的要求也会越来越高,不同层次对信息安全的要求也不一样。大多数的政务部门一般都将信息安全和网络安全等同来理解,事实上,网络安全和信息安全,在内容、技术和安全保障上都应该分开描述,分别提出要求。
以前,政务部门都是以纵向到底(中央、省、市县)的网络来开展本部门的业务,如金字工程等。在这种情况下,信息安全包括全国性的专用网络、数据和应用系统、身份认证等,这是一个系统。而如果是一个公共的政务网络来承载各政务部门的业务,按我们国家现在的分工负责制,政务网络(广域网络)的安全一般由信息化的主管部门负责或由政务网络的建设运维单位负责,包括网络信任体系等基础安全设施,而信息安全大多指本单位局域网络和应用系统的安全,由各单位自行负责。
目前政务部门传输涉密信息的网络与互联网及与互联网有连接的其他网络按要求都是物理隔离,中央级政务部门有一个内部局域网络处理涉密信息,而接入到一般的政务单位,可能是几台终端,而且不同部门的涉密网络均是相互不连通的。不同的涉密信息系统接入同一单位时,通过不同的专线接入到不同的终端上,其信息系统和网络都是不共享、相互独立的,如国办的二邮网系统、组织部门的组织工作系统等,这些信息系统均按机密定级,连接到31个省区市和新疆生产建设兵团及在京相关中央政务部门的业务对口厅室或办公室,这样的系统还有很多。
一般传输涉密信息系统的底层网络传输通道采用电信运营商的电路或光纤,两端采用端到端的加密设备,少数涉密系统的应用示范采用了身份认证。机密级和秘密级在网络传输上的要求基本上是一样的,但由于各信息系统之间在网络上不连通,无法实现网络信息资源和交换与共享,网络信任体系也无法共享,大多数的应用系统也没有采用分级保护。除了传输上加装普通密码设备外,在信息系统侧还需要安装防火墙、IDS、防病毒软件、安全审计等常规安全设备。
当前我国电子政务内网建设存在的主要问题有:
(1) 国家在信息安全方面没有明确的主管部门,缺乏总体的信息安全战略研究和统一的规划,各自为战,难以形成国家合力;
(2) 技术措施陈旧、以被动响应为主,无法对信息流的全过程实施有效的监控,IT设备的核心技术均来自国外,受制于人,大多数的问题存在于涉密终端,没有有效的技术措施和手段来控制信息不外泄;
(3) 涉密人员保密意识不强,管理制度执行检查不严,对移动存储介质不能全部做到强审计下载文件,网络信任体系尚未建立;
(4) 网络分开,意味着终端要分开,除投资增加外,相应的安全保障也要分别做;很多单位有的工作人员一个人有3台以上的终端,分别对应不同的应用系统,网络、线路和设备的使用效率低下,信息安全无法保障,管理分而治之,信息安全不可控,存在诸多隐患。
电子政务内网建设的五点建议
电子政务内网的信息安全关系到国家安全,能否针对当前我国涉密信息系统存在的问题,科学有效地制定国家的信息安全和保密方案,直接关系到能否真正保证信息的安全。因此,首先要有一个强有力的主管部门,根据业务的需要在全国建立一个统一的涉密内网,统一规划IP地址,分级负责,统一为各相关单位配备普通密码设备,建立统一的身份认证、授权管理和责任认定的机制,建立终端的按需要配置相关功能的标准规范和移动存贮介质强审计系统,在统一的电子政务基础网络平台上构建涉密内网。根据我国实际情况,现提出以下针对电子政务内网建设的具体建议:
一、 建设统一的单位涉密局域网。内网按国家保密局有关涉密计算机信息系统建设的要求进行建设,对不同涉密信息系统的不同密级进行分级保护,做好访问控制。在单位局域网的出口安装一台普通密码设备,不同业务进入一个单位时共用一台普密设备,以减少投资并对普密设备进行统一管理,而不是像现在这样一个系统配一台普密设备,系统之间的网络物理隔离。
二、 加强终端计算机的管理。在涉密網内,终端问题是最多的,因此要加强终端计算机的管理,对终端的行为进行审计,通过技术手段防止内网外联,加强移动存贮介质的管理,对终端按功能和要求进行配置,在现阶段对终端上没有用的功能进行删减,如删减无线网络连接、内置调制解调器、软件下载等功能,以减少网络和系统的脆弱性,而不是像现在这样用操作系统中提供的禁止方法来限制。
三、 加强网络信任体系的建设。通过统一的身份认证,做好信息系统的授权管理和责任认定,对每个应用系统进行访问控制和责任认定。
四、 实现信息资源的共享。党委、人大、政府、政协、法院、检察院之间需要资源共享时,统一建设数据共享与交换平台,通过网络信任体系和访问控制手段来实现政务资源信息的共享。基于中央城域网和全国的电子政务内网,传输涉密信息。其传输平台应该只有一个,便于进行管理和信息资源的共享与交换。
五、全国统一涉密内网的规划建设。在国家政务内网中的数据是加密传输的,应统一规划和管理,明确传输机密级(含)以下的涉密信息系统。
信息安全是一个在攻与防过程中不断完善提升的过程,无论从观念上,还是从技术上,都需要我们不断地研究。信息安全从现在的被动响应向主动防御的转变,还有很多工作要做。电子政务各部门从国家战略安全要求出发,结合国家各方面的力量,就一定能够把我国的信息安全工作做好。
作者简介:
邵国安,国家信息中心公共技术部综合处处长、高级工程师,全国公共安全基础标准化技术委员会委员。长期从事通信、计算机网络和安全的建设、运维和管理工作。
安全问题区别对待
目前,政府、企事业和个人对网络的依赖程度越来越高,大到国家秘密,小到个人隐私,对网络安全的要求也会越来越高,不同层次对信息安全的要求也不一样。大多数的政务部门一般都将信息安全和网络安全等同来理解,事实上,网络安全和信息安全,在内容、技术和安全保障上都应该分开描述,分别提出要求。
以前,政务部门都是以纵向到底(中央、省、市县)的网络来开展本部门的业务,如金字工程等。在这种情况下,信息安全包括全国性的专用网络、数据和应用系统、身份认证等,这是一个系统。而如果是一个公共的政务网络来承载各政务部门的业务,按我们国家现在的分工负责制,政务网络(广域网络)的安全一般由信息化的主管部门负责或由政务网络的建设运维单位负责,包括网络信任体系等基础安全设施,而信息安全大多指本单位局域网络和应用系统的安全,由各单位自行负责。
目前政务部门传输涉密信息的网络与互联网及与互联网有连接的其他网络按要求都是物理隔离,中央级政务部门有一个内部局域网络处理涉密信息,而接入到一般的政务单位,可能是几台终端,而且不同部门的涉密网络均是相互不连通的。不同的涉密信息系统接入同一单位时,通过不同的专线接入到不同的终端上,其信息系统和网络都是不共享、相互独立的,如国办的二邮网系统、组织部门的组织工作系统等,这些信息系统均按机密定级,连接到31个省区市和新疆生产建设兵团及在京相关中央政务部门的业务对口厅室或办公室,这样的系统还有很多。
一般传输涉密信息系统的底层网络传输通道采用电信运营商的电路或光纤,两端采用端到端的加密设备,少数涉密系统的应用示范采用了身份认证。机密级和秘密级在网络传输上的要求基本上是一样的,但由于各信息系统之间在网络上不连通,无法实现网络信息资源和交换与共享,网络信任体系也无法共享,大多数的应用系统也没有采用分级保护。除了传输上加装普通密码设备外,在信息系统侧还需要安装防火墙、IDS、防病毒软件、安全审计等常规安全设备。
当前我国电子政务内网建设存在的主要问题有:
(1) 国家在信息安全方面没有明确的主管部门,缺乏总体的信息安全战略研究和统一的规划,各自为战,难以形成国家合力;
(2) 技术措施陈旧、以被动响应为主,无法对信息流的全过程实施有效的监控,IT设备的核心技术均来自国外,受制于人,大多数的问题存在于涉密终端,没有有效的技术措施和手段来控制信息不外泄;
(3) 涉密人员保密意识不强,管理制度执行检查不严,对移动存储介质不能全部做到强审计下载文件,网络信任体系尚未建立;
(4) 网络分开,意味着终端要分开,除投资增加外,相应的安全保障也要分别做;很多单位有的工作人员一个人有3台以上的终端,分别对应不同的应用系统,网络、线路和设备的使用效率低下,信息安全无法保障,管理分而治之,信息安全不可控,存在诸多隐患。
电子政务内网建设的五点建议
电子政务内网的信息安全关系到国家安全,能否针对当前我国涉密信息系统存在的问题,科学有效地制定国家的信息安全和保密方案,直接关系到能否真正保证信息的安全。因此,首先要有一个强有力的主管部门,根据业务的需要在全国建立一个统一的涉密内网,统一规划IP地址,分级负责,统一为各相关单位配备普通密码设备,建立统一的身份认证、授权管理和责任认定的机制,建立终端的按需要配置相关功能的标准规范和移动存贮介质强审计系统,在统一的电子政务基础网络平台上构建涉密内网。根据我国实际情况,现提出以下针对电子政务内网建设的具体建议:
一、 建设统一的单位涉密局域网。内网按国家保密局有关涉密计算机信息系统建设的要求进行建设,对不同涉密信息系统的不同密级进行分级保护,做好访问控制。在单位局域网的出口安装一台普通密码设备,不同业务进入一个单位时共用一台普密设备,以减少投资并对普密设备进行统一管理,而不是像现在这样一个系统配一台普密设备,系统之间的网络物理隔离。
二、 加强终端计算机的管理。在涉密網内,终端问题是最多的,因此要加强终端计算机的管理,对终端的行为进行审计,通过技术手段防止内网外联,加强移动存贮介质的管理,对终端按功能和要求进行配置,在现阶段对终端上没有用的功能进行删减,如删减无线网络连接、内置调制解调器、软件下载等功能,以减少网络和系统的脆弱性,而不是像现在这样用操作系统中提供的禁止方法来限制。
三、 加强网络信任体系的建设。通过统一的身份认证,做好信息系统的授权管理和责任认定,对每个应用系统进行访问控制和责任认定。
四、 实现信息资源的共享。党委、人大、政府、政协、法院、检察院之间需要资源共享时,统一建设数据共享与交换平台,通过网络信任体系和访问控制手段来实现政务资源信息的共享。基于中央城域网和全国的电子政务内网,传输涉密信息。其传输平台应该只有一个,便于进行管理和信息资源的共享与交换。
五、全国统一涉密内网的规划建设。在国家政务内网中的数据是加密传输的,应统一规划和管理,明确传输机密级(含)以下的涉密信息系统。
信息安全是一个在攻与防过程中不断完善提升的过程,无论从观念上,还是从技术上,都需要我们不断地研究。信息安全从现在的被动响应向主动防御的转变,还有很多工作要做。电子政务各部门从国家战略安全要求出发,结合国家各方面的力量,就一定能够把我国的信息安全工作做好。
作者简介:
邵国安,国家信息中心公共技术部综合处处长、高级工程师,全国公共安全基础标准化技术委员会委员。长期从事通信、计算机网络和安全的建设、运维和管理工作。