1 电子政务的安全需求电子政务的安全既受到外部环境的威胁,也受到内部环境的威胁。例如网上黑客与计算机犯罪、网络病毒的蔓延和破坏、机要信息的流失与信息间谍的潜入、网上恐怖活动与信息战争、内部人员的违法和违规、临近式的恶意破坏、安全产品软硬件的缺陷、网络的脆弱性和系统的漏洞等。按照国家安全与保密的要求,信息系统必须提供以下几种安全性控制服务:
(1)权限控制。权限控制即只允许经过授权和经过验证的用户存取某一信息资源。对资源存取控制可以由资源拥有者赋予,或者是由信息系统根据某种规则赋予。
(2)身份识别与验证。身份识别与验证目的是确认访问者的身份。访问者可能是人或者程序,识别与验证就是验证他们提交的身份识别标志。身份验证是权限控制的基础和必要条件。
(3)保密性。保密性目的是保护敏感信息。
(4)数据完整性。其目的是保证信息未经非授权的修改。
(5)不可篡改性。这个可以看成是身份识别与验证的延伸。
2 电子政务中的安全风险分析2.1 观念方面着名信息安全专家、中国工程院院士沈昌祥从国家安全利益出发,提出应把信息系统安全建设提高到研制“两弹一星”的高度去认识.1999年政府上网工程启动以来,政府部门越来越重视网络系统建设,看重网络带来的便利与高效,但是有些地方对信息安全工作未引起足够重视,加之公众对计算机犯罪的态度较为“宽容”,认为并没有造成直接的人员财产损失,这都使得部分公务员对信息安全意识淡薄。
2.2 技术方面(1)计算机系统本身的脆弱性。计算机自身无法抵御自然灾害的破坏,也难以避免偶然无意造成的危害。如:系统所处环境的影响(温湿度、磁场、碰撞、污染等),硬件设备故障,突然断电或电压不稳定及各种误操作等。这些危害会损害操作系统设备,有时会丢失或破坏数据,甚至毁掉整个系统。
(2)网络本身存在缺陷。首先,软件本身缺乏安全性。操作系统的设计一般着重于提高信息处理的能力和效率,对于安全只是作为一项附带的条件加以考虑。因此,操作系统中的安全缺陷相当多。其次,通信与网络设备本身有弱点。常见的安全问题有:对物理通路的干扰;网络链路传送的数据被窃听;非授权用户非法使用,信息被拦截或监听;操作系统存在的网络安全漏洞;直接面向用户的应用系统存在的信息泄露、信息篡改、信息抵赖、信息假冒等。再次,目前各部门之间缺乏统一的操作系统、计算机网络系统和数据库管理系统,缺乏统一的信息安全标准、密码算法和协议,因而无法进行严格的安全确认。
2.3 管理方面对现有的网络攻击和入侵事件的一项统计报告显示:国外政府入侵的安全风险指数为21%,黑客入侵的安全风险指数为48%,竞争对手入侵的安全风险指数为72%,组织内部不满雇员入侵的安全风险指数为89%。这说明,电子政务信息安全不是单纯的技术问题。如果没有从管理制度、人员和技术上建立相应的电子化业务安全防范机制,缺乏行之有效的安全检查保护措施,再好的技术和设备都无法确保其信息安全。其中,来自内部的安全威胁可能会更大,因为内部人员了解内部的网络、主机和应用系统的结构;能够知道内部网络和系统管理员的工作规律,甚至自己就是管理员。如果内部人员为了报复或销毁某些记录而突然发难,在系统中植入病毒或改变某些程序设置,就有可能造成损失。