簡介
電子政務安全是指保護電子政務網路及其服務不受未經授權的修改、破壞或泄漏,防止電子政務系統資源和信息資源受自然和人為有害因素的威脅和危害,電子政務安全就是電子政務的系統安全和信息安全。由於電子政務的工作內容和工作流程涉及到國家秘密與核心政務,它的安全關係到國家的主權、安全和公眾利益,所以電子政務安全的實施和保障是非常重要的。
電子政務安全的目標是滿足政務業務的安全需要—電子政務系統的功能性安全要求和應對信息技術帶來的信息安全威肋、—電子政務系統的自身安全要求。也就是保護政務信息資源價值不受侵犯,保證信息資產的擁有者面臨最小的風險和獲取最大的安全利益,使政務的信息基礎設施、信息套用服務和信息內容為抵禦上述威肋、而具有保密性、完整性、真實性、可用性和可控性的能力。
電子政務的安全威脅
目前大部分的網路都遭受過來自內部和外部的雙重攻擊,包括對網路中數據信息的危害和對網路設備的危害。威肋、電子政務安全的因素有非人為和人為的兩個方面。非人為的威肋、主要是如地震、火災等的自然災難和由於技術的局限性造成的破壞,如作業系統的安全隱患、硬體設備的設計漏洞等。人為的威肋、主要有內部人員安全威肋、、被動攻擊、主動攻擊、鄰近攻擊和分發攻擊等5類。據統計,75%以上的安全問題是由內部人員引起的,已成為最大的安全隱患。內部人員安全威肋、分為惡意和非惡意兩種。惡意攻擊是指內部人員出於某種目的對所使用的政務系統實施的攻擊。無意的攻擊是指操作者由於誤操作,對重要數據、檔案等傳送或存儲到不安全的設備上,以及對數據造成嚴重的損害。
被動攻擊,主要包括被動攻擊者監視、接收、記錄開放的通信信道上的信息傳送。
主動攻擊,指攻擊者主動對信息系統所實施的攻擊,包括企圖避開安全保護、引入惡意代碼,及破壞數據和系統的完整性。如破壞數據的完整性、越權訪問、冒充合法用戶、插入和利用惡意代碼、拒絕服務攻擊等。
鄰近攻擊,指攻擊者試圖在地理上儘可能接近被攻擊的網路、系統和設備,目的是修改、收集信息,或者破壞系統。
分發攻擊,是指攻擊者在電子政務軟體和硬體的開發、生產、運輸和安裝階段,惡意修改設計、配置的行為。
這些安全隱患不可能依靠某種單一的安全技術就能得到解決,必須在綜合分析電子政務整體安全需求的基礎上構築一個完整的安全保障體系。
關鍵技術
防火牆技術
防火牆技術是在網路入口處檢查網路通訊,根據客戶設定的安全規則,在保護內部網路安全的前提下,保障內外網路通訊。在網路出口處安裝防火牆後,內部網路與外部網路進行了有效的隔離,所有來自外部網路的訪問請求都要通過防火牆的檢查,內部網路的安全有了很大的提高。防火牆的具體任務是:
1、通過源地址過濾,拒絕外部非法IP位址,有效的避免了外部網路上與業務無關的主機的越權訪問。
2、防火牆可只保留有用的服務,將其他不需要的服務關閉,使系統受攻擊的可能性降低到最小限度,使黑客無機可乘。
3、防火牆可以制定訪問策略,只有被授權的外部主機可以訪問內部網路的有限IP位址,保證外部網路只能訪問內部網路中的必要資源,與業務無關的操作將被拒絕。
4、由於外部網路對內部網路的所有訪問都要經過防火牆,所以防火牆可以全面監視外部網路對內部網路的訪問活動,並進行詳細的記錄,通過分析可以得出可疑的攻擊行為。
5、安裝防火牆後,網路的安全策略由防火牆集中管理,因此,黑客無法通過更改某一台主機的安全策略來達到控制其他資源訪問許可權的目的,而直接攻擊防火牆幾乎是不可能的。
6、防火牆可以進行地址轉換工作,使外部網路用戶不能看到內部網路的結構,使黑客攻擊失去目標。但是,僅僅使用防火牆,還不能確保網路安全。因為入侵者可能尋找到防火牆背後敞開的後門,另外入侵者也可能在防火牆之內。由於性能的限制,防火牆不能提供實時的入侵檢測能力。
入侵檢測技術
入侵檢測技術是通過網路監控軟體或硬體對網路上的數據流進行實時檢查,並與系統中的入侵特徵資料庫進行比較,一旦發現有被攻擊的跡象,立刻根據用戶所定義的動作做出反應,如切斷網路連線,或通知防火牆系統對訪問控制策略進行調整,將入侵的數據包過濾掉等。實時入侵檢測能力之所以重要,首先是它能夠作為防火牆技術的補充,彌補防火牆技術的不足,能對付來自網路內部的攻擊,其次是它能夠大大縮短‘黑客”可利用的入侵時間。 利用網路入侵檢測技術可以實現網路安全檢測和實時攻擊識別,但由於其側重點在於發現網路攻擊,因此,不能代替防火牆系統執行整個網路的訪問控制策略。防火牆系統能夠將一些預期的網路攻擊阻擋於網路外面,而網路入侵檢測技術除了減小網路系統的安全風險之外,還能對一些非預期的攻擊進行識別並做出反應,切斷攻擊連線或通知防火牆系統修改控制準則,將下一次的類似攻擊阻擋於網路外部。因此通過網路安全檢測技術和防火牆系統結合,可以實現了一個完整的網路安全解決方案。
安全掃描技術
安全掃描技術通過範圍寬廣的穿透測試檢測潛在的網路漏洞,評估系統安全配置,以提前主動地控制安全危險,是整個安全系統不可缺少的組成部分。安全掃描技術是又一類重要的網路安全技術。安全掃描技術與防火牆、入侵檢測系統互相配合,能夠有效提高網路的安全性。
網路防病毒技術
網路病毒歷來對電子政務系統安全威肋、最大。由於網路的廣泛互聯,病毒的傳播途徑和速度大大加快。病毒往往通過軟碟、光碟、磁帶和Ftp, E-mail,web瀏覽等傳播。網路防病毒技術主要通過病毒防火牆,阻止病毒的傳播,檢查和清除病毒。
加密技術
加密技術通過變換和置換等各種方法將被保護信息置換成密文,然後再進行信息的存儲或傳輸,即使加密信息在存儲或者傳輸過程為非授權人員所獲得,也可以保證這些信息不為其認知,從而達到保護信息的目的。該方法的保密性直接取決於所採用的密碼算法和密鑰長度。
訪問控制技術
訪問控制技術是保證網路資源不被非法使用和非法訪問重要技術。主要由入網訪問控制、網路的許可權控制和客戶端安全防護策略三部分組成。
1、入網訪問控制。通過用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的預設限制檢查,控制用戶登錄伺服器並獲取網路資源,控制準許用戶入網的時間和地點。
2、網路的許可權控制。網路許可權控制是針對網路非法操作提出的一種安全保護措施。
3、客戶端安全防護策略。要切斷病毒的傳播途徑,儘可能地降低感染病毒的風險。