建设应用篇
从互联网环境看中国电子政务安全性挑战
张薇
北京工业大学软件学院 北京 100124
摘 要:阐述了电子政务安全问题的重要性,从近期世界各国政府网站遭受黑客攻击的情况着眼,反观中国电子政务所面临的安
全性挑战,在论述世界发达国家重视网络安全建设的同时,从政府和内部网络安全管理人员两个层面,就如何切实提升中国电子政务的安全性提出了建议。
关键词:电子政务;政府网站;网络攻击;网络安全;信息安全
随着中国电子政务的高速发展,伴随网络时代而来的安全性威胁越发不可小视。中国电子政务发展处在酝酿提升阶段,近年来伴随着云计算、物联网及智慧城市概念的兴起及其在电子政务中的融入,电子政务安全在人员、管理以及意识方面都存在着更大的挑战。
电子政务的安全隐患主要来自两个方面:一是黑客攻击,他们通过破坏服务和通信的提供使政府服务中断甚至错乱;二是不法之徒的信息入侵活动,这些人设法通过侵入公用门户网站来窃取或窜改敏感信息,进而影响政府信息的权威性。事实上,对电子政务系统的攻击已成为不法分子反抗政府、表达不满的一种途径。
一、电子政务安全性不可小视
电子政务系统涉及人口、法人、宏观经济以及地理信息数据库等,数据信息安全保密问题是电子政务建设运维过程中不容忽视的一个重要问题。电子政务通过网络连接大量的群众服务事务,例如医疗、保险、交通等,使广大公众享受到便利快捷的网上服务;电子政务还有助于实现公众监督,增加政府工作的透明性,电子政务在为公众带来的便利的同时,其安全问题不容乐观。
电子政务关系到政府的形象,不论是信息的安全性、对外门户网站的稳定性以及电子政务公众服务的可靠性都是政府对外形象的表现。电子政务要保证为公众提供及时准确的信息和服务,如果作为政府门户的网站时常因遭受攻击而中断服务,那么政府的权威性和公信力就会受损。因此,电子政务在快速发展的同时,对安全防护工作绝不可掉以轻心。
(一)各国网站被攻击助长不法分子气焰
纵观时下全球政治格局,暴乱、战争、反政府等事件不断升级,当有人亢奋之时,网络攻击便开始登上了政治舞台,成为网络黑客们宣扬自己主张、表达对政府不满的最直接的手段。
2011年7月,巴基斯坦政府网站(http://multan.gov.pk/)遭受攻击,攻击者在被攻击网站上明确指出攻击是对“2011年7月23日孟买爆炸案”的复仇。在印度孟买发生的三起爆炸事件中,无数的无辜者身受重伤甚至死亡,于是黑客团体被此事激怒并发动了网站攻击活动。
2011年8月6日,互联网黑客团体“匿名者”(Anonymous)宣称,其已侵入到70多家美国中部和南部地区执法机构的网站,并扬言其支持者前不久遭逮捕,所以他们要实施报复。“匿名者”称,已经从这些执法部门网站窃取100亿字节的数据,包括电子邮件、
电子政务 E-GOVERNMENT 2012年第02-03期(总第110-111期)141
张薇·从互联网环境看中国电子政务安全性挑战
信用卡信息等。虽然“匿名者”的说法尚未得到官方证实,但阿肯色州、堪萨斯州、路易斯安那州、密西西比州、密苏里州不少治安办公室的网站要么无法登录,要么网站内容被删除一空。同月,叙利亚政府网站遭受“匿名者”攻击,网站内容被替换为反政府的信息。该组织成功入侵叙利亚国防部网站(mod.gov.sy),将国防部的标志更换成了前复兴党政权时期的旗帜,并在旗帜的中间位置打上了“匿名者”组织的标志。2011年早些时候,该组织还曾袭击过叙利亚、埃及、突尼斯的政府网站和驻外使馆的网站,以报复上述三国政府对反对派实施的网络监控。
(二)中国政府网站难逃被攻击命运
世界各国政府网站频遭黑客攻击,反映了他们各自最近的政态。中国政府网站也曾被严重攻击,但是相对于其他国家而言,攻击并未造成严重危害。
2011年5月2日至9日,中国124家政府网站被篡改。国家互联网应急中心监测到,xorg.pl恶意域名组在此期间在互联网上异常活跃,该组的恶意域名数量高达100余个,侵害了中国较多的网站和网站用户。2011年5月10日至16日,中国境内有81个政府网站被篡改。根据监测,截至5月17日12时,仍有29个被篡改的政府网站没有恢复,其中包括4个省部级网站,它们分别位于华东和西南,另外还有25个地市级政府网站被篡改。
2011年6月,国内多家政府网站被黑,疑似越南黑客故意挑衅,该黑客自称“Mr.N-Cubi11”,在入侵中国地方政府网站后,在入侵网站上都标识有“越南黑客是第一”、“越南人民愿意牺牲生命来保护海洋、天空和国家”等挑衅性言论。
有给各级政府带来严重损失,但是它使我们看到了政府网站每年受到上千次的攻击,更使我们意识到政府内部系统的安全性也绝非安全堡垒不可侵入。而现实中,政府网站、内部涉密服务器、内部网络等被不法黑客从内外侵入的事实也不胜枚举,因而,各级政府部门应高度重视各自的安全问题,在电子政务飞速发展的同时,也能切实保护内部以及国家重要涉密内容的安全。
(一)反动性攻击不容小视
黑客攻击中国政府网站的恐怖性行为还没有发生,究其原因,一是我们处在发展阶段,国家还在成长中,仍以和平发展为主,恐怖袭击等事件在中国尚不猖獗;二是就中国现在政府网站的内容与影响力来看,被攻击的价值相对不大;三是中国大部分政府业务系统还处在闭环阶段,例如水电、交通管理等还没有完全与互联网连接,因而我们的水电机构、交通设施等还没有被恶意攻击过,也没有承受过较重大的基础设施破坏。
但伴随着物联网、智慧城市阶段的到来,中国电子政务的发展必须高度正视互联网安全问题并严格防范网络安全,以避免发生重大网络安全事故。
(二)政府电子政务意识薄弱
相对而言,中国大部分政府部门对于电子政务的重视程度尚未上升到一定高度,有些电子政务系统形同虚设,即使遭受攻击也于民生无碍,政府工作人员未完全脱离线下办公的观念束缚,少了电子政务也仅仅是少了一条办公途径,对工作不会产生多大影响,反倒是回到了原来熟悉的纸上办公路径。究其根源还在于电子政务的理念还没有渗入到公务人员的日常工作中,部分公务人员还只是停留在使用互联网来浏览网页、看新闻、搜寻工作所需资料的阶段。
二、中国电子政务安全问题需要正视和重视
在中国电子政务的发展过程中,安全性问题虽然没
虽然中国的电子政务发展快速,但是仍旧没有将电子政务与当今网络发展现状切实结合起来,这反映出电
142电子政务 E-GOVERNMENT 2012年第02-03期(总第110-111期)
张薇·从互联网环境看中国电子政务安全性挑战
子政务对内对外部分建设还不完善。基于中国国情,我们的政府对外彰显了积极面,对于国民隐私敏感的消息数据政府切实保证了它们的安全性,当然人们得到的也只是政府可以公开的、过滤后的信息。必须意识到,连接互联网是电子政务不可或缺的一部分,如何防范黑客的攻击是重中之重。虽然我们大部分的电子政务系统存在于政府内局域网闭环,但是外接移动设备带来的安全性威胁也不可小视。
(三)电子政务系统开发与维护不当
电子政务系统建设开支不菲,所以不排除有些机关为了省钱,把站点交给服务器供应商进行托管,却不了解供应商维护人员的安全维护水平,更不知这些服务器提供商维护人员的身份,这难免会带来旁道上入侵的隐患,致使政府的服务器处在近似裸露的状态。当然也不排除政府站点使用开源代码,简单修改后上线,这样虽然节省了人力物力财力,又可以不更改官方公布的密码,不进行设防下载设置原样上线,但安全隐患不容小觑。
当政府开始大力投入系统建设时,一个项目投入上千万,配备最顶尖的硬件设备——小型机、几十台的公文流转服务器、文件服务器及打印服务器,之后就一成不变地安置下来,并日复一日地使用着。然而管理人员管理不足、不及时打补丁、维护失力、专业知识缺乏等因素都使电子政务系统的安全性大打折扣。当然也有自身问题导致的安全隐患,前期大笔花费,到了后期却没有了经费,无人来维护设备,久而久之,现今的设备也就成了虚设的铜铁。当然这和中国电子政务的现状有一定关系,中国政府机构的信息化部门还在不断地完善工作流程,对于电子政务的建设还在摸索阶段,电子政务建设确实需要大量资金,政府内部维护又需要高技术的专业人员,这些在中国的电子政务建设中还需不断完
善。
(四)网管人员安全防范意识薄弱
中国政府网站被轻易攻陷,不是攻击者强大,而是我们的政府网站过于脆弱。政府网站投入运营后,要么网站推出而无人问津,要么靠着杀毒软件屏蔽,缺乏安全人员的值守,这些无疑使得我们的政府网站被一攻而破,如入无人之境。
网管人员自身的安全意识是关乎电子政务安全的重要因素,源于网管人员的机密泄露、身份暴露现象屡见不鲜。随着网络时代的高速发展,“地球村”随之形成,社交网站、聊天工具等也层出不穷。闲暇时间聊个天、发个状态、请教陌生人,都显得越发平常起来,但是网管人员在服务器上结交五湖四海的人,确实让人担忧,试想若电子政务得以全面应用时,机密就不知道要被这些“手足兄弟”套走多少了。
网管人员的网页浏览,电影、资料的下载等行为,都不知不觉成了木马进入的绝好介质。当前挂马的网站、下载资料等也十分猖獗,网管人员非圣人,中招难免。网管人员自身的安全意识薄弱,可以引来“间谍”,可以招进木马,这种从内部开始的侵入难以避免,所以加强网管人员的管理,增强其自身的安全防范意识至关重要。为了使电子政务内网做到真正物理隔离,无论是网管人员还是公务人员,都需要重点加强对移动存储设备的安全使用,对于涉密服务器、涉密邮箱等涉密部分需进行行为规范管理。当然,起决定性作用的还是自我意识,提高相关安全管理人员的自我防范意识至关重要。
三、世界各国加强网络软实力建设
美国政府高度重视网络安全,奥巴马政府上台后,美军于2009年6月23日成立了网络司令部,以统一协调
电子政务 E-GOVERNMENT 2012年第02-03期(总第110-111期)143
张薇·从互联网环境看中国电子政务安全性挑战
保障美军网络安全和开展网络战等军事行动;2010年9月27日,美军开展了“网络风暴Ⅲ”演习,来自英国、日本等12个盟国的技术人员应邀参加。美军率先建立了专门的实验室,由灰网、黄网、黑网、绿网4个子网络组成,通过把各种攻防工具运用于虚拟实战环境,使官兵灵活掌握了网络实战能力。2011年3月,美军网络司令部出台了新版的《国防网络安全战略》,并以五大战略支柱提升美军的网络战斗能力,即将网络空间看作与陆海空一样重要的作战领域;采用主动的网络防御措施和其他新型防御方法;在国家网络安全战略上,与政府机构和私营部门进行协作;加强与国际伙伴的联系;招募一支网络安全队伍。2011年5月16日,美国发布首份《网络空间国际战略》,列出网络世界着力推进的七大政策重点并将全力推进这些政策。
2010年11月4日,欧盟27个成员国和冰岛、挪威、瑞士3个非成员国共同启动了名为“欧洲2010网络”的网络战联合演练,演练持续了7个小时,这是欧盟首次举行全欧范围内的网络战演习。2010年11月25日,英国正式启动本国第一个相当于“网络战靶场”的国家级网络实验场。英国副国防大臣杰拉尔德·豪沃斯表示,网络安全已经成为英国面临的重大挑战,“网络战靶场”将在研究网络威胁、保护基础设施安全方面发挥重要作用。
日本的主要作战指导思想是通过掌握“制网权”达到使敌人作战系统瘫痪的目的。日本防卫省决定,在2011年度建立一支专门的“网络空间防卫队”,以防备黑客攻击及加强保护机密信息的能力。
1999年,韩国提出了未来信息建设的总体设想;2009年,宣布组建“网络司令部”,并于2010年正式启动。韩国军方计划在未来3年内将网络司令部的兵力再翻一至两番,而他们的长远计划是要打造出一支由高级
将领指挥、兵力数万的网络战部队。
四、切实提升电子政务的安全性
电子政务的发展离不开网络建设,为确保电子政务建设有条不紊地开展,政府必须加强国家网络安全建设,大幅提升网络安全度,为电子政务发展保驾护航,以此来更好地推动时下的物联网以及智慧城市建设。
(一)国家和各级政府层面
应将电子政务建设的安全性保障以国家法规形式固化,让电子政务实施和运行时有章可循、有法可依。在《政府信息公开条例》基础上,制定适度的政府信息加密解密和规范开放规则,保障政府部门之间正常的交流。通过运用法律手段增强电子政务的安全意识,摒除因为网站没有攻击价值而暂保安全的现状,做到电子政务内容重点化和安全化,以便真正地为公众提供电子化便捷服务。
此外,各级政府在建设电子政务时,要把安全放在第一位。专业架设电子政务系统包括政务对外网站建设,重视设备、系统的安全性维护,摒除那种为了响应号召而去搭建电子政务系统,最后却不使用、不维护而致使荒废的情况。为有效加强网络安全建设,注重提高网络安全维护能力,只有从整体上提高互联网空间的安全性,才能切实保证电子政务的网络安全,这不仅是维护电子政务安全的需要,更是维护国家安全的需要。
政府相关部门应该意识到,在世界大国竞相发展网络空间攻防的时代,中国的网络安全性尚存不足,电子政务发展与发达国家相比差距明显,需要下大力气积极推进;此外,我们还应看到,各地政务系统遭受不法性攻击及信息盗取给国家和人民带来的损害。所以我们要吸取世界各国网络空间安全建设的经验,在大力推进电子政务系统诸如云政务、物联网、智慧城市、移动政务
144电子政务 E-GOVERNMENT 2012年第02-03期(总第110-111期)
张薇·从互联网环境看中国电子政务安全性挑战
等应用的同时,也要高度重视电子政务的安全性建设,通过立法等为其安全实施提供强有力的保障。
(二)内部网络安全管理人员层面
内部网络安全管理人员是保证电子政务安全性的重要人员。对网络安全管理人员的培训是不可忽视的重要环节,可对其进行技术培训,须经过技术考核才能上岗,还需进行岗前安全培训。同时要严格规范网络安全管理人员的行为,如在服务器上不得擅自进行下载和上传操作,不得在服务器上聊天和安装未经验证和检查的第三方软件和控件等,政府相关部门要切实通过选拔、培训以及行为规范规则对管理人员进行规范管理,避免网站以及下载等植入木马的侵入。此外,政府还要重视基层工作人员,对其采取激励措施,避免因网络安全管理人员不满情绪招致的内部侵入。
安全管理人员要树立安全责任防范意识,时刻保持头脑清醒,不在工作之外谈及自己的身份和相关工作内容;不在工作设备上进行个人交际活动,以避免聊天或交际网站带来的信息泄露;要经常性地更换政务系统设备密码,避免简单口令,保证密码记录册的安全,避免密码被盗。不论是政府单位的管理人员还是网络安全管理人员都需要加强安全防范意识,以减少不自主的信息泄露,杜绝网络安全管理人员“引狼入室”的威胁。
中国电子政务的发展还不完善,电子政务系统还存在虽上线而利用不足的情况,我们还没有把重要工作切实应用于电子政务上,因为政务系统发展不成熟,所以尚未遭受严重攻击与反动性迫害。目前中国仍处在发展的前沿,电子政务与互联网的使用必不可少,这也是我们向世界展示的最便捷、最具影响力的方式。所以,为了树立中国的安全性形象,为了提升中国的网络软实力,我们必须把电子政务的安全性保障问题提升到一个新的高度,在大力普及电子政务的同时,更要增强领导和公务人员的电子政务安全防范意识,从而为电子政务的发展提供一个从内至外的安全环境。
参考文献:
[1]吴胜. 论电子政务在中国的发展现状及对策[J]. 合肥工业大学学报:社会科学版, 2003,17(5).
[2]赵磊. 中国中小城市电子政务发展中存在的问题及政策分析[D]. 长春:吉林大学, 2009.
[3]彭鲜红. 我国电子政务发展综述[J]. 科技情报开发与经济, 2003,13(2).
[4]郭莉,严波,沈延. 物联网安全系统架构研究[J]. 信息安全与通信保密, 2010(12).
[5]李大光. 中国网络安全面临挑战[N/OL].中国国防报,2011-06-07.
五、结语
中国电子政务发展的安全性问题还有很多。如电子政务建设的硬件设备维护、网络安全管理员的管理、公务人员对电子政务的日常使用、领导对电子政务概念的渗入、国家对电子政务开展以及安全的重视程度等都还存有不足。纵观世界格局,多国政府网站、政务系统被攻击事件层出不穷,其各自相关政府部门也都在为保障网络安全进行着不懈的努力。
作者简介:
张薇,女,北京工业大学软件学院硕士研究生。
因篇幅问题不能全部显示,请点此查看更多更全内容