1.使 用 物 理 隔 离技 术 ,建 立 两 套 网络 系 统 ,造
成重复投入 。国内 目前存在着为保证系统安全 。
建 一个 系 统就 搞 一 个 独 立于 互 联 网 的 专 网 的趋
向。实际上 ,专 网太 多 ,不 但使 电 子政务 的投 资急
剧 增 加 ,还 给政 府信 息 系 统 的 资源 共 享 造成 壁
垒 ,降低 了作 为一 个 整体 的政府 信息 系统 的效 率
2.采 用 国外技 术和 产 品 ,构 成安 全 隐患 。设 想
如 果一 个 电子 政 务 网络 可 以提 供 强 大 的功 能 。可
以解决 大部 分 电子政 府信 息 交互 的 问题 ,但 使 用
的不是本 国的软件、硬件,并且这些软件、硬件使
用的技术不是我们所掌握的,那么,就谈不上电子
政务的稳定性,安全性。实际情况是 ,中国 目前应
用最 广泛 的系统 架构 就是 Wintel即 Windows操
作 系统 加 Intel的微 处 理 器 ,我们 没 有 掌握 电子
政务 系统 的核心 操 作 系统 和 一 些关 键技 术
,有 可
能使 得潜 在 的威 胁 变 为现实 。
3.电子 政务 安 全的技 术 标 准还 有待 完善 。各
∞年第4期40 r
准 ,可 以节 约 大 量 的 资源 ,系统 的先 进 性 、质 量 、
以及升级更新等都有可靠的保证 。规范化和标准
化 是 发展 电 子政 务 的关 键 措施 之 一 ,信 息安 全 标
准委员会近期的工作重点是研究制定数字签名、
PKI/PMI技 术 、信 息安 全 评估 、信 息 安全 管理 、应
急响应 等 关键 性标 准。
4.有 关 电子 政务 安 全 的法律 法规 还 不健 全 。
虽 然从 中央 到 地 方 的各 级 人 大 和 政 府 已经 制 定
了一 些相 关 的 法律 和 法规 ,但 是 还 未形 成 统 一 的
体系。考虑到电子政务 的实现离不开互联网的发
展 ,而 “网络无 国界”,所 以在立法 上 ,还要参考
世界各国的做法 ,考虑到有关立法的可实践性和
开放 性 。
电 子 政 务 的 实 质 是 用 互 联 网 技 术 实 现 政 务
管理 ,但仅 靠技 术 上 的安 全 措施 是 不 可 完全 实现
的,政策 、法律及制度上的保障也尤为重要。与电
子 政 务 相 关 的 法律 可 以就 此 划分 为 与信 息 安全
维普资讯
相关 的法 律和 与政 务管 理相 关 的法律 。具体 到 电
子政 务 安全 ,相 关法律 主要 涉及 到三 个 方面 。
1,规 范 提 供 电 子 政 务 服 务 的 网 站 安 全 的 法
律 。为确 保 提供 电子 政 务服 务 的 网站 的安全 ,应
当保 证 相 关 软 件 和 硬 件 的安 全 ,此 外 ,这 一 部 分
还 涉 及到 核心 技术 的保 密和 成本 及 效 应 的分 析 。
《中华 人 民共 和 国刑 法 》,《中华人 民共 和 国电信
条例 》和《计算机病毒防治管理办法 》等法律 、法
规 分 别 就 破 坏 公 用 电信 设 施 和 计 算 机 信 息 系统
(硬 件 ),计 算机 信 息 系统 中存 储 、处 理 或者 传 输
的数 据 和应 用程 序 (软件 )做 出 了规 定 。
电子 政 务 关 系 到 国 家 安 全 和 政 府 工作 正 常
运 转 ,必 须 要确 保 相 关核心 技 术 的 自主性 。一 旦
电子政务广泛实施 ,如果黑客攻击作为一种 国家
间 的战 争 行 为发 生 ,而且 该 国 政 府 要 求相 关公 司
把源 代 码 向本 国黑 客公 开 ,后 果 将 不堪 设 想 。不
同于 电子 商 务 ,电子政 务 的安 全 性 比国 际性 更 为
重 要 ,可 以 以法律 或 政策 性 条 文 的形 式来 要 求 电
子政务 安 全技 术产 品实行 自主开 发 。IT企 业 在 关
注 电子政 务 的 巨大 商机 的 同时 ,也 要 遵 守有 关 的
法律 规定 。
此 外 ,成 本 和效 益 的考虑 也 应 当在立 法 中体
现 出来 。不 同的 电子 政务 应 用 系统 ,有 不 同的 安
全 的要 求 。因此 ,不能 将安 全 问题绝 对化 。必须 根
据实际的系统 要求 ,实现 ”恰到好处 。的安全 。
1999年 发 布 的 《计 算机 信 息 系统 安全 保 护等 级
划分 准 则 》,将全 国计 算 机信 息 系统 的 安全保 护
等级划分为用户 自主保护级 、系统审计保护级
安 全 标 记 保 护 级 、结 构 化 保 护 级 、访 问验 证 保 护
级 等 五级 ,提 供 电子政 务 服 务 的单 位 应 当根 据 其
信息系统所处理信息的敏感程度 、业务应用性质
和部 门重要 程 度 ,确定 其 信 息 系统 的安 全保 护 等
级 ,做 好相 关 的 工作 。
2.规 范 电子 政 务信 息安 全 的法律 。电子 政务
系 统平 台上 既有 政 府公 文 也 有 重要 情报 ,这 些信
息比商业信息更为敏感 ,对安全性的要求也特别
高 ,确 保 这 些信 息 的 安全 尤 为重 要 。 配合 电子 政
务 的 普 及 ,对 涉及 信 息 保 密 ,信 息 利 用 和 文 件 管
理等 内容 的法律应 做 出相 应 的修 改 。
G 0VERNM ENT
曩—邑,昂曩E勇
《计算机信息系统国际联网保密管理规定 》
和 《计 算 机信 息 系统 保 密 管 理暂 行 规 定 》中对 上
述问题作了详细规定 ,包括技术上采用物理隔离
措 施 ,管 理 上 对 涉 密 信 息 密 级 划 定 ,对 相 关 场 N-
进行 的控制 ,同时强调了对涉密人 员加强培训等
问题 。 .
有关专家认 为物理 隔离措施 的采 用 。造成
电子政务 的信息壁 垒并且浪 费了资源。但是我
们 同 时也 应 该 认 识 到 对 于 电 子 政 务 ,安 全 性 是
第 一 位 的 。电子 政 务 的 安 全 问题 不 可 一 概 而 论 ,
应 当通过安全 评估 、安全 政策 、安全标准 、安全
审计 四个 环 节 来 加 以规 范 和管 理 。 安 全 评 估 将
从政治、经济 、技术等方面确定什么情况下需要
设 立 专 网 。 具 体 需 要 分 析 系 统 中 的信 息 的重 要
度 ,在 安 全 上 受 到 哪 些 潜 在 的威 胁 ,这 些 威 胁 有
多么严重 ,如 果信息或 系统 受到侵 害将造成什
么 后果 等 。
3.制 定 电 子 政 务 涉 及 的 用 户 信 息 安 全 的 法
律 。发达国家在电子政务 的发展中面临的比较大
的制约 因素 之一 就是个 人 隐私 问题 。2001年 在 美
国进行 的一次 民意 测验 中 ,有 65%的居 民希 望 电
子政务发展 的步伐放慢一点 ,主要的顾虑就是担
心 隐私 无法得 到妥 善 的保护 。随着 我 国电子 政务
的 进 一 步 发 展 ,这 一 问题 也 日益 凸显 ,如 果 不 尽
快 设 立法 律 来进 行规 范 ,必 将 制 约我 国 电子 政务
的发展 。
网络 隐 私 权 这 一 概 念 是 随着 电子 商务 的 发
展 而 发展 起 来 的 ,是指 公 民在 网上 享 有 私人 生 活
安宁和私人信息依法受到保护 ,不被他人非法侵
犯 、知悉、搜集、复制 、利 用和公开的一种人格权 :
也指禁止在网上泄露某些个人相关的敏感信息 ,
包括事实 、图像以及诽谤的信息等 。政府作为公
权者 ,手 中掌握着更为详细和确切 的个人信息 ,
有 庞 大 的数 据 库 ,在保 护 公 民 的 网络 隐私 权 方 面
有 着 不可推 卸 的责任 。
与 电 子 商 务 不 同 ,在 电 子 政 务 中 .网 络 隐 私
权和政府的公权需要调和。为保障政府行政工作
的进行 ,政府 必须掌握部分 的个人 资料 ,这些 资
料 不但 包 括 其姓 名 、身份 证号 码 、(下转 第 35页 )
_ _41
£ 菇 菇 纛 穗 鬟交 、
●
维普资讯
攻 击 。例 如黑 客 破 坏 、拒绝 服 务攻 击 、电子 ar~,l~-与
数据文件携带的病毒等。但是 。最终用户行为或
通过电子邮件传播的恶意脚本 ,都可能破坏软件
防火墙 ,甚至运行于主计算机的应用程序也可能
为 了消 除 驱 动 程 序 冲 突 ,在 无 意 间关 闭 安全 软
件 。 一 旦这 些软 件 解 决 方案 失 效 。系 统就 容 易 受
到攻 击 。
第 二类 是边 缘防 火墙 。这些设 备 或 网关 的安
全 功 能是 通 过硬 件 处 理器 执 行 的 。而 不是 软件 。
与基 于 软件 的防 火墙 相 比 。这 些设 备 可 以增 强安
全 性 。但 它们 只保护 网络 的边 缘 ,就 好 像 只 是在
办 公 大楼 的 主要 出入 口加 了一把 锁 ,但 大楼 里 边
的各个 房 间并 未加 锁 。
第 三类是 最 新一 代 的嵌 入式 防 火墙 。是 网络
接 口卡 (NIC )。 它可 以通过 网络 ,把 防火 墙 安全
功 能 分 布 给 每 个 台式 系统 、笔 记 本 电 脑和 服 务
器 。把 ,/-j,公 大楼 内 的各个 ”房 间 “都牢 牢锁住 。
如 果 网络 中有移 动 或 远程 工 作 终 端 ,可 以考
虑采用虚拟专用网 (VPN)。它允许 用户相互之间
通过 因特 网收发信息 。并且保证信息不会在传送
途 中被 拦截。VPN还有利于保障无线网络安全 。
无线 局 域 网 的 内在 安全 性 将来 还 会进 一步 加 强 。
如 果 网 管 员能 够 正 确 使 用 当前 可 用 的 安全 特 性
和 方 法 ,无线 网络就 可 以和 大 多数 有线 网络 一 样
NET SECURITY
固I舄E —图
安全 。
另一 种 具 有 广 泛 影 响 的 重 要 解 决 方 案是 认
证。它要求所有的用户首先证明他们 的身份 (使
用 用户 名和 口令 )。然后 才能 登录 网络 。认 证允许
公司限制非重要 用户 。禁止他们访 问网络的某些
重要领域 ,从而监控广大用户群。认证有望成为
安全 领 域 的一种 关键武 器 。
任 何 对 网 络 的 攻 击 都 可 能 酿 成 重 大 灾 难 性
的 后果 。无论 是偷 盗 行 为 。关键 数 据 丢失 。还是 业
务 运营 中断 。网络 安全 管理 人 员如 做好 以下 四个
方面工作 。就可以化险为夷。消除后顾之忧 :
1.把安全作 为公 司运营的一个重要组成部
分 。如 果 把 安全 视 为 附加 品或 无 关 紧要 。就 不能
正确应对各种威胁。因此 。安全应该落实到公司
的各个 部 门 。
2.应 制定 严 格 的 安全 规 章 制 度 。并定 期 进 行
修 改 。以适应 网 络 的 发展 。防 范 可 能 出现 的新 的
威 胁 。
3.随时掌握入侵者动向。要严密注视网络安
全防范技术的最新发展 。采取相应的防范措施。
4.要始 终关 注 网络 安全 。 无论 公 司 规模 有 多
大 。网络安全都是一个举足轻 重的问题 。容不得
有丝毫疏忽。公司负责人也应对网络安全给予极
大 的关注 。
(上接 第 41页)通信地址、联系电话 、电子邮件地
址 。还 包 括 性 别 、年龄 、住 址 、出 生 日期 、工作 单
位 、个 人 职 业 、受 教 育 情 况 、收 入 状 况 、婚 姻 家 庭
状况 、宗教 信 仰 ,甚 至还 有一 些人 的犯 罪信 息 。也
就 是说 。电子 政 务 系统 内储 存 着 更 为敏 感 的个 人
信息。不正当的利用 。将严重侵犯个人隐私。用户
对其个人资料被 采集时的选择权相应降低 。但应
当保 障用户的知情权 。保 障其个人信息 的安全
性 、完 整性和恰 当的被使 用。
我 国 目前 还 没 有 制 定 有 关 网络 隐私 权 的 法
律 。在 电子 政 务 的开 展 中 。网 络 隐 私保 护应 当 参
照 以下 原 则 。并 加快 制定 相 关法律 :
1.限制收集的原则:收集个人资f--.1-时 。在明确
收集 目的的同时 。还应当把收集资料 的内容限定
在 为完 成收 集 目的所 必 要 的范 围 内 。而 且收 集 资
料必须采取公正合法的手段 ;
2.限制利 用的原则 :个人资料的利用 。原则上
应 当限 定在 收集 目的的范 围 内:
3.个人参与的原则 :应采取措施保障个人能
够知道关于个人资料的存在及其内容 。并在必要
时要 求订 正 :
4.正确管理的原则 :收集、储存 的个 人资f--.1-应
当采 取科 学 的 方法 加 以管 理 。防止 资 料 的遗 失 、
损坏 、涂 改 、不 正 当 的流通 等 危 险 。还应 当采 取 合
理 的安全保 障 措施 ;
5.责任 明确 的原 则 :关 于保 护 网络 隐私 权 。对
管理 人 员 的责任应 有 明确 规定 。
I_年囊4—35’-:
●
维普资讯