统计部门电子政务安全需求分析

冯巧娟　王傲胜

摘要：针对某统计部门做电子政务安全需求分析．为解决统计部门的电子政务安全问题提供依据和参考。

关键词： 电子政务业务流程安全需求分析

中图分类号TP393.08文献标识码A文章编号：1002-2422(2007)03-0027-02

解决电子政务的安全问题，首先要分析电子政务的安全需求。作为政府机构之一的统计部门也毫不例外，下面先分析统计部门的业务流程，从业务流程中分析其安全需求。

1统计部门的业务流程分析及内、外网络划分

以某市级统计局为研究主体，该统计局是统计部门政令、工作任务上传下达的中间环节，处在重要的位置。其信息网络系统是一个覆盖全市的广域网络，它包括如下几部分：(1)向上连接省统计局，向下连接各县、区统计局的内联网络，称为内联网；(2)与内部网络物理隔离的外部网络，该网络连接Internet，提供对外信息公开服务，称为外部网：(3)该统计局内部的办公自动化网络，称为内部网。从涉密程度上划分安全层次，内联网属于涉密域，安全要求较高，并且由于内联网实际上是要通过Internet连接的，是一种虚拟的专用网络，所以其安全需求实现的难度也比较大：内部网属于非涉密域，安全要求中等；外部网属于公共服务域，安全要求较低。内联网和内部网要与外部网实施物理隔离。

从网络的主要作用上来看，内联网是部门内部的关键业务管理系统和核心数据应用系统，一般情况下信息都是要防止数据在传输过程中被窃取、篡改、伪造、重发等恶意破坏，为此各科室都有专人负责(一般是科室领导)数据在网络上的发送、接收工作，首先做到了管理上的安全责任到人，其次在网络上需要包括安全认证、身份鉴别、访问控制、数据保密、数据完整、防止否认、审计管理、可用性和可靠性等安全措施。内联网要与外部网物理隔离，在实现隔离网络间数据正常传输的同时，对传输的数据进行校验，过滤其中的非正常程序和破坏信息，只允许与系统相关的数据进入内网；指定的数据和文档可以在内外网物理隔离的条件下单向或双向地流动；保证内、外网传输的信息是安全的，对内部网络系统和数据不会造成破坏和不良影响。

内部网是部门内及部门间的各类非公开应用系统，是局内各科室使用最频繁的，包括OA办公自动化系统、数据库、统计数据综合采集平台、IP电话、Web服务、电子邮件等功能。这部分网络的主要功能是实现统计局内部的无纸化办公，是电子政务在统计局内部的具体实现，是局内各科室传统工作在网络世界的体现。内部网须应用漏洞检测、黑客监测预警、防治病毒、自动备份恢复等安全技术。

外部网是与互联网相联的网络，主要作用是公布统计信息、宣传统计法规知识、各业务单位上报数据等。这部分网络也要求有安全认证、非法程序检测等安全技术来保证数据的真实性、完整性。

2电子政务系统所受的安全威胁

从安全威胁的来源来看，电子政务系统所受的安全威胁可以分为内、外两部分。所谓“内”，是指政府机关内部，来自内部的威胁则包括内部人员恶意破坏、管理人员滥用职权、执行人员操作不当、内部管理疏漏、软硬件缺陷等；相应的“外”是指社会环境，来自于外部的威胁有病毒传染、黑客攻击、信息间谍、信息恐怖活动、信息战争、自然灾害等。一般说来电子政务安全中普遍存在着以下几种安全隐患：

(1)窃取信息：由于未采用加密措施，调制解调器之间的信息以明文形式传送，入侵者使用相同的调制解调器就可以截获传送的信息。同时，政府机关内部人员更是可以十分轻松的将一些机要信息泄漏出去，此谓“监守自盗”。在电子政务信息存储、传输的各个环节都存在这样的安全隐患，各个局域网的内部也存在信息被窃取的可能。

(2)篡改信息：当入侵者掌握了信息的格式和规律之后，通过各种方式，在原网络的调制解调器之间增加两个相同类型的调制解调器，将通过的数据在中间修改，然后发向另一端。这便严重的破坏了原信息的完整性与有效性。这种隐患主要存在于信息的传输过程中。

(3)冒名顶替：由于掌握了数据的格式，并可以篡改通过的信息，攻击者可冒充合法用户发送假冒的信息或者主动获取信息，而远端用户通常很难分辨。同时，由于内部权限分配不明或者滥用他人名义实施违法活动，极有可能造成“栽赃嫁祸”。这样的隐患同样存在于网络的各个环节。

(4)恶意破坏：攻击者可以接入网络，则可能对网络中的信息进行修改，掌握网上的机要信息，甚至可以潜入两边的网络内部，这样的隐患难于防范，破坏者可以对硬件或是软件实施各种形式的破坏，这种事情可能存在整个电子政务网络的各个地方，区别只在于破坏被发现的难易。

(5)失误操作：由于缺乏明确的操作规程和必要的备份措施，加之部分工作人员的安全意识不强和安全技术有限，一旦出现失误操作，重要的信息将无法恢复。这样的隐患主要决定于操作规程的制定和执行，一般存在于系统内部，若要求有严格的规范的管理，可杜绝大部分的失误。

3电子政务的安全需求

电子政务存在很多的安全问题，可说是危机四伏，因此从安全需求来说，一般的电子政务网络在划分内、外网络的基础上可细分为四层：第一层是核心决策层，就是国家涉密的、最核心、最机密的那一层。对这一层来说，高度的认证、高度的预审和用核心密码加密非常必要和重要；第二层市政府业务处理层，这一层一般是有防火墙、访问控制等安全措施组成。一、二层合起来就是机关内网(即局域网)；第三层是与合作机构的信息交换层。第四层，即最外层，就是公共服务层。其中一、二、三层合起来称政府内部网。内部网与第四层应根据国家保密局要求，实施物理隔离。电子政务系统上述四个层次的业务安全需求如表l所示。

4结束语

本文对统计部门电子政务业务流程进行了分析，针对业务流程的各个环节分析电子政务的安全隐患，提出安全要求，并由此详细划分了电子政务的安全框架结构。为解决统计部门电子政务安全问题做系统需求分析等前期工作。