【摘要】我国政府是信息的主要生产和使用者,信息内容涉及国家政治、军事、外交、经济、文化以及科技等众多领域,关系到国家安全。有些敏感信息一旦出现泄漏,甚至会危害国家和公众的利益,影响社会稳定。随着网络的普及和信息窃密的增多,政府信息在网络上的安全形势日趋严峻,应受到各级政府部门的高度重视。本文分析了网络环境下政府信息面临的安全问题,结合工作实际,提出了网络环境下政府信息安全的防范措施建议。
【关键词】网络环境 政府信息 安全管理
中图分类号:TP393.08 文献标识码:A 文章编号:1672-3791(2015)02(b)-0000-00
政府信息安全事关国家安全和社会稳定,也是网络攻击的重点。在科学技术飞速发展进步的当代,OA等信息技术在政府机关得到了广泛应用。但是,在网络环境下,政府信息存在许多安全隐患。政府信息系统自身漏洞、信息交流以及信息管理等因素,都会影响政府信息安全。对政府信息存在的安全隐患,政府要积极采取相应措施,保证信息安全。
1.网络信息安全概述
网络信息系统安全面临的威胁非常广泛,包括信息泄露、重传、篡改、拒绝服务、欺诈、非法使用、窃听、传播病毒和木马等。需要解决的相关问题包括:防范与响应、病毒与后门措施、实体保护与访问控制、保密与加密、攻击和检测、漏洞和监测、备份与恢复等。
网络信息安全主要包含了三层内容:一是系统安全,即系统实体和系统运行安全;二是系统中信息安全,即对计算机用户进行权限划分、控制,对信息数据进行加密等,确保数据不被非法获取或篡改;三是管理安全,即通过各种手段和约束对信息资源和系统安全运行进行有效管理。
2.网络环境下政府信息存在的安全问题
随着我国信息化进程不断加快,政府也积极加入到政府信息化的进程中来,以提高政府的工作效率。由于对网络信息安全技术机制认识和理解的不到位,致使网络信息系统的实体安全、运行安全和信息安全存在着巨大安全问题和隐患。
在实体安全方面的问题和隐患主要有:未对构成计算机网络物理环境的设施、设备或者区域进行应有的保护,使得计算机系统设备处于不稳定、不可靠、不安全的工作环境中。
在运行安全方面的问题和隐患主要有:未在计算机网络系统使用过程中采取行之有效的安全措施(如风险分析、审计跟踪、备份与恢复等),致使计算机网络系统无法保障系统功能安全实现。
在信息安全方面的问题和隐患主要有:未采用应有的信息安全防护技术机制(如漏洞扫描、访问控制、密码保护措施、身份鉴别、入侵检测、防火墙及VPN等),致使计算机网络系统容易受到网络攻击、数据信息易于被篡改、破坏等。
3.网络环境下政府信息应采取的措施
对于网络环境下政府信息存在的许多安全问题,政府机关要积极采取有效的防范措施,提高政府机关信息网络安全防护技术,保障政府的信息网络环境安全稳定。
3.1实体安全措施
计算机信息系统的实体安全是指系统设备及相关设施的安全,即保护设备、设施(含网络)以及其它储存媒体免遭地震、水灾、火灾、有害气体和其它环境事故(如电磁污染等)的破坏。实体安全具体内容和要求包括环境安全、设备安全、介质安全三个方面[1]。
(1)环境安全。环境安全主要包括机房及配套设安全以及相应的人员安全等。从机房外部环境方面,选址要避开高压高磁场、强震动和强声波地区。从机房内部设置和配套方面,应注意防雷接地、进行温湿度控制、机房承重、电源供给等。
(2)设备安全。设备安全主要包括设备防盗、防破坏、防止电磁泄漏和抗电磁干扰等。通常要在机房内外部安装部署安全防范系统,包括防盗门、防盗窗、红外报警系统等。需重点保护的机房还应建设成为屏蔽机房或采取屏蔽机柜等措施防止电磁干扰和泄漏。
(3)介质安全。主要防止对媒介数据进行非法窃取、篡改和破坏。目前常用的光盘、优盘是使用最为广泛的记录介质,由于其携带方便、操作简单,因而带来的安全隐患也最大。主要的管理要求有:介质集中专人管理、介质统一特定标识、介质行程完整的记录档案、介质使用涉及敏感信息应由专人使用等。
3.2运行安全措施
为了保障计算机网络信息系统安全运行,确保系统功能的实现,政府信息系统运行安全必须采用以下措施:
(1)加强组织和人员管理。组织和人员管理是计算机网络信息系统安全运行的根本保证,必须建立专业的信息安全管理机构。在单位内部机构设置多个专、兼职岗位,做好工作分工和责任落实。设置系统管理员、安全管理员和安全审计员岗位,实施专业化对口管理。同时,建立并完善制度,使得各种行为操作有章可循、职责明确。
(2)加强审计和监测。利用审计功能监视、记录和控制用户的活动。为系统管理员提供审计日志,从而及时发入侵行为和系统漏洞,震慑潜在的系统攻击者。根据功能划分主要有对系统终端的审计,对互联网计算机的审计,对数据库访问记录的审计,和对网络设备、流量的审计。
(3)应急响应和恢复。计算机网络信息系统在日常运行中经常遇到突发事故,导致系统不能正常运行,甚至系统瘫痪。因此,做好应急响应预案和灾难恢复是十分必要的。应急准备主要包括关键设备设施备份、电源备份、软件备份及数据备份等。事故发生后,应快速实施应急措施,尽快使系统恢复正常运行,减少损失。在灾难恢复方面,尤其应关注灾难恢复的优先次序、对各级角色明确责任和授权,确保系统被安全切断,形成灾难恢复文档。
3.3信息安全措施
从安全角度,组成信息系统各个部分的硬件和软件都应有相应的安全功能,确保在其所管辖范围内的信息安全和提供确定的服务。在政府信息安全措施方面主要有:漏洞扫描、身份鉴别、访问控制、入侵检测、防火墙、VPN、密码等。
(1)漏洞扫描。主要指对计算机网络系统进行检测,以发现黑客或潜在攻击者可以用来攻击的漏洞。主要包括:基于网络的漏洞扫描和基于主机的漏洞扫描。目前由于价格和市场的因素,政府部门主要采取基于网络的漏洞扫描。
(2)身份鉴别。广义的身份鉴别包括系统中所有实体的鉴别,如人、设备、计算机系统、应用和进程等。鉴别就是证明其是否是系统的合法成员或合法使用者。目前,身份鉴别技术,尤其指对于人或使用者的身份鉴别,主要应用于政府涉密网络系统,有个人识别码和电子密钥和生物认证技术三种类型。
(3)访问控制。信息系统的访问控制指系统对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的手段,通常用于控制用户对服务器、目录、文件等网络资源的访问。访问控制是系统保密性、完整性、可用性和合法使用性的重要基础,是网络安全防范和资源保护的关键策略之一。访问控制要达到的目的是拒绝不合法的来访者,根据预先设置的级别或策略限制访问主体对客体的访问,从而保障数据资源在合法范围内得以有效使用和管理。(4)入侵检测。入侵检测作是一种积极主动的安全防护技术和手段,也就是在系统受到危害之前拦截和响应入侵,提供对内部攻击、外部攻击和误操作的实时保护。主要是通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测采用的手段主要包括:监视、分析用户及系统活动;系统构造和弱点的审计;识别反映已知进攻的活动模式并向相关人士报警;异常行为模式的统计分析;评估重要系统和数据文件的完整性;操作系统的审计跟踪管理,并识别用户违反安全策略的行为等。
(5)防火墙和防病毒技术。对于黑客攻击政府信息网络的问题,可以采用最直接的网络防火墙技术对网络信息进行过滤[2]。在政府网站的内部局域网和外部网络设置一道防火墙,这能够使用户的局域网与外界网络产生隔离。信息进入和流出的网站都需要经过防火墙过滤筛选,黑客在攻击政府信息网络时,防火墙就能够在内部网络被破坏之前进行阻止,从而保障政府信息网络的内部网络安全。另外,网络防火墙也能够自动禁止网址不明的网站访问,阻断不明外来信息的入侵。
(6)VPN(虚拟专用网络)。VPN就是在公用网络上建立专用网络,利用远程访问加密通讯技术在公用网络上建立政府或企业的专用网络。社会基础网络已经无处不在,通过一定技术手段建立起符合自己安全要求的专用网络,具有广泛需求。VPN的实现方式很多。在大型局域网中,可以通过在网络中心搭建VPN服务器的方法实现VPN;通过专用的软件实现VPN;通过专用的硬件实现VPN;通过某些含有VPN功能的硬件设备(如路由器、防火墙等)集成自己的VPN等。
(7)密码。前文提到,密码仍然是广泛采用的、多数情况下简单而有效的安全手段。同时应注意到,密码使用的问题是使用的不规范、不重视,问题都是这样出现的,也就是主要是管理问题。
4.思考和建议
在现代社会,网络环境下政府信息安全是一个至关重要的问题,关系到政府部门能否正常有效运作。同时,它不但是一个技术问题,更是一个管理问题,是一个需要不断实践,不断总结和提炼,不断遇到和发现问题,不断提高和增强防护和安全手段的问题。作者结合自身信息安全管理工作实践,对于进一步做好政府信息安全管理有如下建议:
4.1完善信息安全组织机构
按照《国务院办公厅关于加强政府信息系统安全和保密管理工作的通知》要求,各部门应明确一名副职领导主管信息安全工作,指定一个专职机构承担信息安全管理工作,各内设机构应指定一名专职或兼职信息安全员。
4.2加强日常信息安全管理
(1)人员管理。落实信息安全和保密责任制,加强人员上离、在岗和岗离管理,定期组织有关人员参加信息安全教育培训、掌握信息安全常识和基本技能。
(2)系统管理。建立信息系统风险评估机制,规范信息系统定级、测评;加强信息系统运营和使用权限管理、重要变更审批备案、日常运维操作管理、安全日志定期备份和分析;
掌握总体网络架构、子系统分布、终端节点、区域划分及边界防护、网络互联网接入管理;
掌握防火墙、入侵检测、安全审计、病毒防护等信息安全产品部署及使用情况,以及信息安全产品策略配置有效性;加强服务器上应用、服务、端口、链接以及系统补丁等安全措施管理,关闭不必要的应用、服务、端口、链接,定期更换账号口令,定期更新病毒木马防护升级包等,定期进行漏洞扫描、病毒木马检测;采取集中安全管理措施,做到计算机账号口令强度按月更新,加强终端计算机接入互联网安全管理(如实名接入、对计算机IP和MAC地址进行绑定、指定固定上网IP地址等)加强安全边界防护、抗拒绝服务攻击、网页防篡改等安全防护设备的部署,以及安全配置策略的有效性。
(3)密码保护。采用密码技术对信息系统、终端计算机、电子文档等进行保护,采用数字证书方式实现身份认证和授权管理,使用的密码技术产品及含有密码技术的信息技术产品应符合国家密码管理规定。
(4)应急与灾备。落实《国家网络与信息安全事件应急预案》,制定本部门信息安全应急预案,建立应急技术支援队伍,对重要数据和信息系统进行灾难备份,必要时采用社会第三方灾难备份服务。
4.3加快国产信息技术产品的开发研究
目前我国信息安全管理系统和计算机设备许多还是采用国外的技术和产品。这会给我国政府信息安全带来较大安全隐患。国家要积极加大对国产基础软件开发研究扶持力度,掌握基础软件关键技术,为国家政府的信息安全提供一个安全可靠的网络运行基础。
4.4积极制定相关的政府信息安全保护法律法规
信息安全不仅是网络技术的问题,保护政府信息安全,还需要政府加强对信息安全保护的法律法规的制定。目前我国在性信息安全的认证和检测方面还存在一定的缺陷。比如,在信息安全的认定上,公安部、国家信息安全产品测评认证中心以及国家质量技术监督局都参与信息安全的认定,各个部门的标准难以达到统一,增加信息产品认证的程序,影响认证的效果。因此国家有关部门要积极制定相关的法律法规,统一信息的认证标准,保障政府信息的安全。
5.结语
随着我国信息化程度不断加深,政府也积极利用信息技术,提高政府管理工作效率。在网络环境下,由于计算机网络病毒、网络黑客攻击破坏以及对信息网络监管力度不够等因素,政府信息安全存在很大的隐患。因此政府机关要积极加强对政府信息安全的管理,从技术上、制度上以及信息管理上加强对政府信息的安全保护,维护政府信息安全,从而保障国家安全和公众利益。
【主要参考文献】
[1]赵战生,杜虹,吕述望.信息安全保密教程.合肥:中国科学技术大学出版社,2006、P523-P574 )
[2]胡艳春.网络环境下的政府信息安全保护策略[J].电子商务,2012,05(09):64-65
作者信息:
姓 名:张鹏
身份证号:230522197906231973
单 位:国家国防科技工业局核技术支持中心
地 址:北京市西城区车公庄大街12号核建设大厦638室
职 称:工程师
联系电话:88306808/18611992670
??
??
??
??
3 / 4