4.1.1 信息安全的内涵
1.信息安全的定义
狭义的信息安全是指信息不受威胁和危害,包括信息系统的安全、信息数据的安全和信息内容的安全。
广义的信息安全是指在一定范围内的社会环境下,由信息和网络技术与国家安全因素的相关性所构成的国家安全的一种态势,这种态势描述了国家免受国外信息威胁的能力和以信息手段维护国家综合安全的能力。
欧盟(European Union,EU)对信息安全的定义是:信息安全可被理解为在既定的密级条件下,网络到达的数据以及经由这些网络和系统所提供的服务的可用性、真实性、完整性和秘密性。[1]
国际标准化组织(International Organization for Standardization,ISO)对信息安全的定义是:为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露。
《新世纪领导干部百科全书·第三卷》将信息安全定义为针对偶然的或有意的向非授权人员透露或非授权的修改、破坏的信息保护。
综合以上信息安全的含义,我们认为信息安全就是包含了信息环境、信息网络和通信基础设施、数据、信息内容、媒体、信息应用等多个方面的安全。
2.信息安全基本特征
信息安全基本特征主要表现在真实性、可靠性、完整性、保密性、可用性、不可篡改性等方面。
(1)真实性。真实性是指信息对政务活动内容准确、客观反映的确定性,即保障电子政务系统中的信息能够客观、准确地反映现实。它反映的是主体身份、行为及相关信息的真实有效。
(2)可靠性。可靠性是指系统能够在规定的条件和规定的时间内完成规定的功能特性。它主要表现在硬件的可靠性、软件的可靠性、人员的可靠性、环境的可靠性等方面。
(3)完整性。完整性是指用户未经授权时,程序在被使用或者数据在网络上传输保持不被偶然地或蓄意地添加、删除、伪造、修改、乱序、重放等破坏和丢失的特性。
(4)保密性。保密性是指网络信息不被泄露给非授权的用户、实体或过程的特性,即信息只供授权用户使用。它确保信息不泄露给未经授权的人,或者即便数据被截获,其所表达的信息也不被非授权者所理解。
(5)可用性。可用性是指保障电子政务系统正常、有效地运行,并使授权用户得到所需服务的特性。它确保信息及信息系统能够为授权使用者所正常使用。
(6)不可篡改性。不可篡改性是指确认信息传送双方是否收到信息的特性。它可以看成是身份识别与验证的延伸,保护信息的接收方防止发送人否认已发出信息,保护信息的发送方防止接收方否认已收到信息。
3.信息安全内容
信息安全内容主要表现在物理安全、网络安全、信息存储安全、信息传输安全、信息访问安全、人员安全、制度安全、防病毒方面的安全、身份认证安全等方面。
(1)物理安全
物理安全主要是指对网络与信息系统的物理装备的保护。即保证电子政务系统不因各种自然灾害或物理的设备老化等原因而影响到系统的正常运行或造成数据的错误,同时要从技术上采取一定的措施来使得发生不可避免的灾害时电子政务系统受到的损害最小。采取的措施主要有加扰处理、电磁屏蔽、数据校验、容错、冗余、系统备份等。
(2)网络安全
网络安全主要是指保护电子政务系统不因网络操作系统、应用软件等方面存在安全漏洞而造成非法入侵、病毒传播、信息被窃取而采取的安全保护。采取的措施主要有安装正版防火墙、正版杀毒软件、网络入侵检测系统、系统实时监控等。
(3)信息存储安全
信息存储安全主要是指信息访问可控性的保护。即只有被授权的、安全级别与数据机密性要求一致的用户才被允许访问相应的数据,而所有未经授权的用户不能对信息有任何的操作,包括读取、删除、复制等。另外,存储安全还包含信息存储不被破坏的意思,如设备损坏、数据丢失等。
(4)信息传输安全
信息传输安全主要是指电子政务信息在传输过程中不会被窃取以及在信息传输中为确保数据完整性和抗抵赖性所采取的必要保护措施。采取的措施主要有数据加密技术等。
(5)信息访问安全
信息访问安全主要是指电子政务的信息以安全的方式被访问,建立统一的身份认证数据资源访问控制机制等的保护。采取的措施主要有安全访问控制技术、安全认证技术等。
(6)人员安全
人员安全主要是指对电子政务系统中管理人员的安全规范措施的保护。采取的措施主要有人员审查、人员培训、人员考核、人员管理等。
(7)制度安全
制度安全主要是指从管理制度和管理机制上对电子政务信息安全的保护。即规范安全管理人员的行为,降低人为因素造成的安全隐患,使电子政务系统安全正常运行。采取的措施主要有机房安全管理制度、系统运行维护管理制度、操作和管理人员管理制度、定期检查与监督制度、文档资料管理制度等。
(8)防病毒安全
防病毒安全主要是指安装正版杀毒软件以防止病毒给电子政务系统带来数据损失风险的保护。采取的措施主要有安装正版防病毒软件系统、使用漏洞扫描技术等。
(9)身份认证安全
身份认证安全主要是指防止信息被篡改、伪造,或信息接收方事后否认的安全技术保护。为电子政务业务的实体定义唯一的电子身份标志,并通过该标志进行身份认证,保证身份的真实性。采取的措施主要有安全身份认证技术等。
4.电子政务信息安全影响因素
电子政务信息安全影响因素有很多,归纳起来主要是外部环境的威胁和内部环境的威胁(如图4-1所示)。外部环境的威胁主要有逻辑炸弹、病毒入侵、黑客攻击、信息泄密、信息恐怖活动、拒绝服务攻击等。而来自内部环境的威胁因素主要包括:内部人员恶意破坏及信息丢失、管理人员滥用职权、执行人员操作不当、安全意识不强、内部管理出现疏漏、软硬件本身存在缺陷以及不可抗力的自然灾害等。
电子政务信息安全威胁原因是多方面的,其主要原因可归纳为以下几种:
(1)来自电子政务网络外部和内部的攻击
电子政务系统极易受到来自外部和内部的各种攻击。相当一部分来自电子政务网络外部的攻击会被防火墙等安全措施所阻挡,但在电子政务内部网络中,除来自黑客的恶意攻击之外,来自内部工作人员对系统的攻击威胁也很大。事实上,绝大部分攻击主要来自内部,有资料表明,对于系统的威胁有80%来自于系统内部。这些威胁包括网络窃听,对内部各种服务器、系统硬件、操作系统等进行攻击。由于内部工作人员处于防火墙内部,而防火墙无法防范内部的各种攻击行为,与外部攻击不同,他们更了解网络内部安全的漏洞和薄弱环节,因此,来自内部的攻击已经成为电子政务系统面临的最大威胁之一。
图4-1 电子政务信息安全威胁
(资料来源:根据赵国俊:《电子政务》,电子工业出版社2003年版,第180页的资料改编。)
(2)核心技术的失控和软硬件缺陷
我国缺乏先进的具有自主知识产权的硬件和软件,目前我国各级政府部门在电子政务系统的建设中大多选用国外公司高端的软件、硬件及平台产品。比如电子政务操作系统,大多是采用微软公司的Windows系列产品,这种依赖于发达国家的技术被动性,使我国的电子政务系统的安全性能大大降低。此外,电子政务系统建设的应用软件也存在很多的漏洞,为黑客留下了入侵的后门,这也是不可轻视的安全缺陷。
(3)信息管理与组织管理不完善
随着电子政务的不断发展,在网上开展的业务也不断增加,使电子政务受到网上攻击的风险也在日益增大,这对电子政务系统的安全管理提出了更高的要求。但现阶段电子政务的应用中,信息管理和组织管理还处于比较薄弱的环节。电子政务系统的网络即使采用先进的技术、安全的策略配置和产品,但如果管理人员的信息素养不高,制度不完善,电子政务安全还是不能真正得到保障。
(4)安全意识不强
很多单位安全意识不强,认为安全问题全部是来自外部的。殊不知在统计资料中,75%以上的安全问题是由组织内部人员引起的,所以加强安全意识也是非常重要的。
(5)法律、法规的滞后性
我国电子政务安全的相关立法比较滞后。我国虽然已先后发布了《中华人民共和国计算机信息系统安全保护条例》、《计算机信息系统国际互联网保密管理规定》、《商用密码管理条例》、《电子签名法》等一批法规,但是这些法规还不够完善,电子合同的法律效力还不够明确;对伪造、篡改政府电子文件还缺乏有力的法律制裁措施;对威胁电子政务安全的行为还缺乏有效的法律震慑力;对恶意攻击的监察还缺乏法律援助的机制等,这在某种程度上严重影响了我国电子政务的安全。
上一篇:与地球演化同步的协同演化
