如此复杂的应用环境给系统带来了大量潜在的安全隐患。这些信息安全隐患主要有:
身份认证
由于非法用户可以伪造、假冒政府网站、社会团体、企业和个人身份,因此登录到网上政务站点的政府内部人员、社会团体、企业、个人无法知道他们所登录的网站是否是可信的政府网站,政府网站也无法验证登录到网站上的客户是否是经过政府部门认证的合法用户,非法用户可以借机进行破坏。"用户名+口令"的传统认证方式安全性较弱,用户口令易被窃取而导致损失。
信息的机密性
传输在各政府部门间、政府与企业间、外出的领导与办公室之间的敏感、机密信息和数据有可能在传输过程中被非法用户截取。
信息的完整性
敏感、机密信息和数据在传输过程中有可能被恶意篡改。
信息的不可抵赖性。
基础安全服务设施
基础安全服务设施的作用就是为电子政务系统建立一个可相互信任的网络环境,为其它安全技术的实施提供正确决策的基础。这其中必须解决的信任问题包括:
① 可信的身份,即你是谁的问题。系统中的安全措施经常会根据用户的身份决定是否执行其提出的访问要求,这里用户身份是否可信就成为了该安全策略的核心问题。可信的身份服务就是为验证提供准确的用户身份确认信息。没有可信的身份验证服务,防火墙就可能根据伪造的合法用户身份做出错误的判断。
② 网络信任域,即你来自哪里的问题。网络设备的可管理性对于网络安全来说同样十分重要。网络信任域就是通过赋予网络设备可信的识别码建立起一个可管理的网络,从而准确了解和控制访问设备的访问位置及访问权限。
③ 可信的数据,即数据是否完整、机密。用户从系统中获得的数据应该被相信是完整未被篡改的,同时数据在传输过程中应该是安全机密的。
④ 可信的时间服务。对于电子政务这类涉及大政方针执行、审批的应用来说,系统中的文件都应该具有可信的时间戳,因为,时间是政府工作中一个重要的工作和责任认定依据。
安全管理保障体系
在网络安全体系中,管理占有相当大的比重,任何完善的安全技术如果没有完善的管理制度做保障都无安全可言,所以定期的安全检测、口令管理、人员管理、策略管理、备份管理、日志管理等一系列管理方法和制度是非常必要的。
安全技术支撑平台
解决了网络中的信任问题,我们就可以在这样一个可信任的环境下利用现有的安全产品和技术无偏差地实施既定的安全策略,包括:访问控制、通讯加密、防病毒、日志与审计、漏洞扫描、入侵检测、物理安全等。这些策略的执行为整个网络构筑起了一个真实的安全环境可以抵御网络攻击,防止信息泄密,预防信息破坏,控制用户访问范围和权限。安全技术支撑平台就是指利用各类安全产品和技术建立的这样一个执行安全策略的环境。
响应与恢复机制
电子政务系统中保存这大量的信息,必须建立一套响应与恢复机制确保出现自然灾害、系统崩溃、网络攻击或硬件故障情况时能得以恢复。根据电子政务系统的特点,恢复系统应该具备以下条件:支持大容量存储,支持异地备份与恢复,跨平台的备份能力,支持多种存储介质和备份模式,支持自动恢复机制。
电子政务的网络安全是个复杂的系统工程,它是整个电子政务应用得以实现的前提保证。仅靠安全技术不能解决安全问题,只有在建立和执行完善的管理制度的前提下安全技术才能发挥其应有的作用。
