电子政务系统安全风险

摘 要：随着网络信息技术的迅速发展，电子政务已成为了当代政府部门信息化建设的重要领域之一。然而在给工作带来便利同时也存在技术和管理两个方面的风险。通过分析安全风险问题，采取相应积极措施，使其发挥最大效能。

关键词：电子政务；安全风险；措施

中图分类号：TP399-C2

当前，计算机网络技术迅猛发展，社会网络信息化进程基本得到普及。在世界各国逐渐实现电子政务系统的大背景下，我国政府机构各部门实现电子化、网络化和信息化后，有利于政府提高行政管理效率和办公效率，改善公共服务。然而，电子政务系统中的一部分信息涉及到国家安全和机密，另外系统本身对开展工作都有很重要的作用，在电子政务为政府工作带来高效和便利同时，信息化系统中所潜在安全风险也越来越高。

当前我国电子政务系统在整体管理机制、技术防范体系、全面集中安全管理策略平台定制等方面，都有很多不足之处，迫切需要进行系统风险评估来发现弱点弥补不足。

1 电子政务系统概述

一般而言，电子政务系统包括三个组成部分：第一政府部门内部办公职能的电子化和网络化：第二政府职能部门之间通过计算机网络实现有权限的实时互通的信息共享；第三政府部门通过网络与公众和企业间开展双向的信息交流与决策。目前各级政府部门所广泛使用的办公自动化系统，属于第一类电子政务的范畴。政府部门通过自己的互联网站政务信息，以及进行网上招标、网上招聘、接受网上投诉等，则属于第三类电子政务的范畴。一个完整的电子政务系统，应当是上述这三类系统的有机结合。

2 电子政务系统技术的安全风险

2.1 计算机系统硬软件物理局限性

计算机系统硬软件本身具有脆弱性的特点，在各种自然灾害、人为破坏下容易受到损害。比如计算机系统遭遇过高或过多的温湿度、磁场、碰撞、污染，或者硬件设备故障，或者被突然断电、电压不稳，或者遭遇火灾、地震、洪水的破坏，这些危害会不同程度地损害计算机操作系统的硬软件设备，严重时会使丢失或破坏计算机系统数据，甚至摧毁整个计算机系统硬软件设备。

2.2 网络本身存在难以弥补的缺陷问题

电子政务系统在网络运行过程中会存在以下几个方面的安全风险：一是黑客对电子政务系统进行伪装后，骗取用户账号、密码；二是电子政务系统用户提交业务信息后被黑客非法监听，修改；三是电子政务系统用户在成功提交业务后出现抵赖行为，有时没有凭证；四是黑客对电子政务系统进行非法访问；五是电子政务系统运行离不开网络，使得网络方面是一个重要风险点，主要存在于网络层、系统层、应用层等。

3 电子政务系统管理的安全风险

据有关对电子政务系统网络入侵、攻击事件的调查数据显示：欧美政府电子政务系统被入侵的安全风险指数达21%，其中政府内部不满职工入侵安全风险指数是89%、竞争对手入侵安全风险指数是72%、黑客入侵安全风险指数是48%。事实表明，电子政务系统的信息安全不只是单纯的技术安全问题，还应该从工作管理制度、职工管理上建立有效的安全防范机制。如果没有有效的安全保护机制做保障，再完善的技术和设备也很难保证电子政务系统正常运行。

3.1 用户安全意识薄弱

网络用户的安全意识属于非技术层面的、是隐性的，它比表面的技术难题更难克服。主要表现在人们对信息安全保密的认识不足，潜意识里对安全的理解和关注不足，单位领导层对安全基础设施的利用和资金投入不足等。

3.2 管理制度不完善

在电子政务系统管理过程中经常出现的不当情况有：机房重地没设没卡无人看守，非工作人员能随意进出；工作人员在机房开机状态下离开岗位，有关重要的敏感信息被临时存放在本地的磁盘上，且未设置保护状态。这些行为会导致机房或电子政务系统被外部入侵，更为系统内部破坏埋下长期隐患。一般来说，来自内部的安全威胁会更大些，原因在于内部工作人员更了解系统内部网络、主机、应用系统的结构功能；更了解内部管理员的工作漏洞和工作习惯，有时，甚至破坏者自身就是一名内部管理人员；内部工作人员一般都拥有系统的一定访问权限，能很顺利地规避正常的访问监控机制；内部工作人员对内部系统能有更多的机会进行网络侦查，容易进行有针对性地系统登录、密码破解行为。

3.3 缺乏应急机制

当网络出现攻击行为或网络受到其它一些安全威胁时（如内部人员的违规操作等），无法进行实时的检测、监控、报告与预警。同时，当事故发生后，也无法提供黑客攻击行为的追踪线索及破案依据，即缺乏对网络的可控性与可审查性。

4 针对电子政务系统风险的解决方案

4.1 加强硬软件建设，确保电子政务系统安全

要保障计算机电子政务网络系统的安全，前提是要确保计算机信息系统有关运行设备的物理安全。设备的物理安全主要包括线路安全、设备安全、环境安全三个方面。确保设备的物理安全是要保护计算机网络设备、设施远离火灾、水灾、地震等自然灾害事故，远离人为操作错误，远离各种损害计算机系统的行为。

为确保电子政务系统的安全，通常情况还应把不同密级的网络进行有效隔离，可以采用隔离技术将核心密级、普通密级在物理上进行有效隔离，同时要通过技术手段在逻辑上将两个网络进行有效连通。

电子政务网络系统是通常由省、市、县政府三级网络组成的体系结构，从网络安全角度层面上看，三级网络结构存在于不同的网络安全域，应该在各级的网络边界、政务网、Internet边界设置安装有效的防火墙，并进行相对应的安全策略控制。同时，根据满足对外信息查询等服务的要求，可把对外公开服务器集合起来划分出专门的服务器子网，设置防火墙策略来保护对客户的访问。网络边界安全的防范可采用防火墙等成熟产品和技术实现网络的访问控制，采用安全检测手段防范黑客入侵。

4.2 加强管理，保障电子政务系统安全运行

针对网络安全的脆弱性，我们可在网络设计上增加安全服务功能，完善系统的安全保密措施，同时，要制定有效的安全管理制度，加强网络的安全管理。实施安全管理做好以下几个原则：一是坚持职责分离原则。禁止工作人员了解、参与职责以外的任何安全操作行为；二是坚持多人负责原则。对每项与安全有关的操作都要求有多人在场，相互监督。这些人都应忠诚可靠。三是坚持任期有限原则。对涉及安全的工作人员不能长期兼任，要适当根据年限和表现进行调整。

5 总结

对电子政务系统的描述，让我们了解到电子政务系统给我们的生活带来的极大便利，同时分析出存在的风险，进而在技术上克服难关，确保系统的安全。另外，人在工作中的不确定性操作也会造成很大的安全威胁，所以也要求对工作人员进行严格管理，培养安全意识。这样我们做到了既从技术上解决各种威胁，又从人员管理上尽量减少意外事故发生的几率，从而保证了电子政务系统的安全，相信电子政务系统会给我们的生活带来巨大的改变，发挥出更大的作用。

参考文献：

[1]黄志澄.电子政务的内涵及发展[J].中国信息导报，2010（4）.

[2]杨义先，林晓东，邢育森.信息安全综论[J].电信科学，2009（12）.

[3]谢健全.信息系统安全防护技术[M].中国宇航出版社，2006，07.

[4]聂晓伟，张玉清，杨鼎才.基于BS7799标准风险评估方法的设计与应用[J].计算机工程，2005，31（19）：70-72.

[5]科飞管理咨询公司.信息安全管理概论――理解与实施[M].机械工业出版社，2002.

[6]崔宝江等.信息安全实验指导[M].国防工业出版社，2005，05.

作者单位：河南信息统计职业学院，郑州 450008