統(tǒng)計部門電子政務安全需求分析

馮巧娟　王傲勝

摘要：針對某統(tǒng)計部門做電子政務安全需求分析．為解決統(tǒng)計部門的電子政務安全問題提供依據(jù)和參考。

關鍵詞： 電子政務業(yè)務流程安全需求分析

中圖分類號TP393.08文獻標識碼A文章編號：1002-2422(2007)03-0027-02

解決電子政務的安全問題，首先要分析電子政務的安全需求。作為政府機構之一的統(tǒng)計部門也毫不例外，下面先分析統(tǒng)計部門的業(yè)務流程，從業(yè)務流程中分析其安全需求。

1統(tǒng)計部門的業(yè)務流程分析及內、外網(wǎng)絡劃分

以某市級統(tǒng)計局為研究主體，該統(tǒng)計局是統(tǒng)計部門政令、工作任務上傳下達的中間環(huán)節(jié)，處在重要的位置。其信息網(wǎng)絡系統(tǒng)是一個覆蓋全市的廣域網(wǎng)絡，它包括如下幾部分：(1)向上連接省統(tǒng)計局，向下連接各縣、區(qū)統(tǒng)計局的內聯(lián)網(wǎng)絡，稱為內聯(lián)網(wǎng)；(2)與內部網(wǎng)絡物理隔離的外部網(wǎng)絡，該網(wǎng)絡連接Internet，提供對外信息公開服務，稱為外部網(wǎng)：(3)該統(tǒng)計局內部的辦公自動化網(wǎng)絡，稱為內部網(wǎng)。從涉密程度上劃分安全層次，內聯(lián)網(wǎng)屬于涉密域，安全要求較高，并且由于內聯(lián)網(wǎng)實際上是要通過Internet連接的，是一種虛擬的專用網(wǎng)絡，所以其安全需求實現(xiàn)的難度也比較大：內部網(wǎng)屬于非涉密域，安全要求中等；外部網(wǎng)屬于公共服務域，安全要求較低。內聯(lián)網(wǎng)和內部網(wǎng)要與外部網(wǎng)實施物理隔離。

從網(wǎng)絡的主要作用上來看，內聯(lián)網(wǎng)是部門內部的關鍵業(yè)務管理系統(tǒng)和核心數(shù)據(jù)應用系統(tǒng)，一般情況下信息都是要防止數(shù)據(jù)在傳輸過程中被竊取、篡改、偽造、重發(fā)等惡意破壞，為此各科室都有專人負責(一般是科室領導)數(shù)據(jù)在網(wǎng)絡上的發(fā)送、接收工作，首先做到了管理上的安全責任到人，其次在網(wǎng)絡上需要包括安全認證、身份鑒別、訪問控制、數(shù)據(jù)保密、數(shù)據(jù)完整、防止否認、審計管理、可用性和可靠性等安全措施。內聯(lián)網(wǎng)要與外部網(wǎng)物理隔離，在實現(xiàn)隔離網(wǎng)絡間數(shù)據(jù)正常傳輸?shù)耐瑫r，對傳輸?shù)臄?shù)據(jù)進行校驗，過濾其中的非正常程序和破壞信息，只允許與系統(tǒng)相關的數(shù)據(jù)進入內網(wǎng)；指定的數(shù)據(jù)和文檔可以在內外網(wǎng)物理隔離的條件下單向或雙向地流動；保證內、外網(wǎng)傳輸?shù)男畔⑹前踩?，對內部網(wǎng)絡系統(tǒng)和數(shù)據(jù)不會造成破壞和不良影響。

內部網(wǎng)是部門內及部門間的各類非公開應用系統(tǒng)，是局內各科室使用最頻繁的，包括OA辦公自動化系統(tǒng)、數(shù)據(jù)庫、統(tǒng)計數(shù)據(jù)綜合采集平臺、IP電話、Web服務、電子郵件等功能。這部分網(wǎng)絡的主要功能是實現(xiàn)統(tǒng)計局內部的無紙化辦公，是電子政務在統(tǒng)計局內部的具體實現(xiàn)，是局內各科室傳統(tǒng)工作在網(wǎng)絡世界的體現(xiàn)。內部網(wǎng)須應用漏洞檢測、黑客監(jiān)測預警、防治病毒、自動備份恢復等安全技術。

外部網(wǎng)是與互聯(lián)網(wǎng)相聯(lián)的網(wǎng)絡，主要作用是公布統(tǒng)計信息、宣傳統(tǒng)計法規(guī)知識、各業(yè)務單位上報數(shù)據(jù)等。這部分網(wǎng)絡也要求有安全認證、非法程序檢測等安全技術來保證數(shù)據(jù)的真實性、完整性。

2電子政務系統(tǒng)所受的安全威脅

從安全威脅的來源來看，電子政務系統(tǒng)所受的安全威脅可以分為內、外兩部分。所謂“內”，是指政府機關內部，來自內部的威脅則包括內部人員惡意破壞、管理人員濫用職權、執(zhí)行人員操作不當、內部管理疏漏、軟硬件缺陷等；相應的“外”是指社會環(huán)境，來自于外部的威脅有病毒傳染、黑客攻擊、信息間諜、信息恐怖活動、信息戰(zhàn)爭、自然災害等。一般說來電子政務安全中普遍存在著以下幾種安全隱患：

(1)竊取信息：由于未采用加密措施，調制解調器之間的信息以明文形式傳送，入侵者使用相同的調制解調器就可以截獲傳送的信息。同時，政府機關內部人員更是可以十分輕松的將一些機要信息泄漏出去，此謂“監(jiān)守自盜”。在電子政務信息存儲、傳輸?shù)母鱾€環(huán)節(jié)都存在這樣的安全隱患，各個局域網(wǎng)的內部也存在信息被竊取的可能。

(2)篡改信息：當入侵者掌握了信息的格式和規(guī)律之后，通過各種方式，在原網(wǎng)絡的調制解調器之間增加兩個相同類型的調制解調器，將通過的數(shù)據(jù)在中間修改，然后發(fā)向另一端。這便嚴重的破壞了原信息的完整性與有效性。這種隱患主要存在于信息的傳輸過程中。

(3)冒名頂替：由于掌握了數(shù)據(jù)的格式，并可以篡改通過的信息，攻擊者可冒充合法用戶發(fā)送假冒的信息或者主動獲取信息，而遠端用戶通常很難分辨。同時，由于內部權限分配不明或者濫用他人名義實施違法活動，極有可能造成“栽贓嫁禍”。這樣的隱患同樣存在于網(wǎng)絡的各個環(huán)節(jié)。

(4)惡意破壞：攻擊者可以接入網(wǎng)絡，則可能對網(wǎng)絡中的信息進行修改，掌握網(wǎng)上的機要信息，甚至可以潛入兩邊的網(wǎng)絡內部，這樣的隱患難于防范，破壞者可以對硬件或是軟件實施各種形式的破壞，這種事情可能存在整個電子政務網(wǎng)絡的各個地方，區(qū)別只在于破壞被發(fā)現(xiàn)的難易。

(5)失誤操作：由于缺乏明確的操作規(guī)程和必要的備份措施，加之部分工作人員的安全意識不強和安全技術有限，一旦出現(xiàn)失誤操作，重要的信息將無法恢復。這樣的隱患主要決定于操作規(guī)程的制定和執(zhí)行，一般存在于系統(tǒng)內部，若要求有嚴格的規(guī)范的管理，可杜絕大部分的失誤。

3電子政務的安全需求

電子政務存在很多的安全問題，可說是危機四伏，因此從安全需求來說，一般的電子政務網(wǎng)絡在劃分內、外網(wǎng)絡的基礎上可細分為四層：第一層是核心決策層，就是國家涉密的、最核心、最機密的那一層。對這一層來說，高度的認證、高度的預審和用核心密碼加密非常必要和重要；第二層市政府業(yè)務處理層，這一層一般是有防火墻、訪問控制等安全措施組成。一、二層合起來就是機關內網(wǎng)(即局域網(wǎng))；第三層是與合作機構的信息交換層。第四層，即最外層，就是公共服務層。其中一、二、三層合起來稱政府內部網(wǎng)。內部網(wǎng)與第四層應根據(jù)國家保密局要求，實施物理隔離。電子政務系統(tǒng)上述四個層次的業(yè)務安全需求如表l所示。

4結束語

本文對統(tǒng)計部門電子政務業(yè)務流程進行了分析，針對業(yè)務流程的各個環(huán)節(jié)分析電子政務的安全隱患，提出安全要求，并由此詳細劃分了電子政務的安全框架結構。為解決統(tǒng)計部門電子政務安全問題做系統(tǒng)需求分析等前期工作。