电子政务信息安全问题分析

时间:2022-05-17 10:07:05

电子政务信息安全问题分析

摘要:快速发展的大数据技术和网络技术,为电子政务的发展带来了机遇与挑战,对电子政务的信息安全环境提出了更高的要求.在分析当前电子政务信息安全面临风险的基础上,提出了从安全管理、安全技术和安全意识三个方面全面构建电子政务信息安全防护体系,切实保障电子政务在大数据环境下健康地稳中求进.

关键词:大数据时代;电子政务;信息安全;对策

1大数据与电子政务

大数据是IT业界继云计算之后的又一次颠覆性技术革新[1],这一概念是在2011年麦肯锡公司的研究报告《大数据:创新、竞争和生产力的下一个新领域中》被首次提出[2].市场研究公司IDC研究报告早在2014年就预言,大数据技术和服务市场的规模到2017年达到324亿美元,年复合增长率预计为27%,增长速度是整个信息和通讯技术市场增长速度的6倍[3].与传统的“小”数据[4]相比,“大”数据不仅是数据量的线性增长,而且是海量数据汇集之后带来的质变(不可估量的潜在价值)[5].大数据这一概念的出现,是人们更新认知、创造价值的源泉,是使用数学方法进行海量数据的信息挖掘以及预测事务发生和发展的科学方法[6].目前,大数据并无标准化的定义,归纳来说它既是自带4V(高容量、多样性、速度以及价值)光环的数据本身,又是处理4V数据的方法论和技术策略[6-8].电子政务的发展大致经历了四个阶段[2]:第一阶段是政府各部门建立专门的门户网站,对政务信息及政府所提供的公共服务予以公开,即“政务信息公开”阶段;第二阶段是在管理信息系统的支持下,政府部门实现管理事务与公众服务的在线处理,即“业务办理信息化”阶段;第三阶段是使用网络和数据库技术,实现上下级政府机构的信息资源整合,构建统一的政务信息平台,即“纵向信息系统整合”阶段;第四阶段是在第三阶段的基础上进一步实现跨部门的政务信息资源的协同共享,即“水平政务信息系统整合”阶段.从单向政务信息传播到高效互作的“成熟智慧”的政务办公,欧美发达国家的四阶段电子政务发展始终关注政府本身的电子政务建设.与欧美发达国家相比,我国电子政务起步较晚,早期发展较为缓慢,从上世纪八十年展至今,它大致历经了办公自动化、“三金工程”、政府上网和电子政务等四个阶段,它的发展与我国社会的政治、经济发展息息相关[9].近年来,随着云计算、物联网、移动互联、BYOD等技术的迅猛发展[2],电子政务的应用也愈加广泛深入.电子政务信息公开水平、公众参与程度、在线服务水平等日益提高,随之而来电子政务信息资源规模总量、数据种类的激增,电子政务与生俱来具备大数据的特征[8].海量电子政务数据的收集、存储、分析、处理亟需大数据应用的加入.大数据的发展,悄然改变着政府的管理模式,它使得传统政务模式运作过程中所产生的信息孤岛、数据鸿沟等大幅消减[1],有效节约政府投资、增强政府监管力度,政府机构间的协同办公效率得以提高,政府决策能力和公共服务能力得以提升,在政府管理决策、社会热点感知与民众需求分析等方面遇到的瓶颈皆能得以有效解决[10].

2大数据时代电子政务信息安全的机遇

大数据的核心是信息技术.随着大数据在电子政务包括公共服务、金融服务、医疗卫生等领域得以积极探索和广泛应用,它的发展已然对政府部门的服务产生深刻的影响[11].在大数据的环境中,政府的决策更加科学和精准;大数据的包容性有助于提高政府部门间的共享协同以及为民服务的效率;政务大数据的有效管理,帮助政府及时监测舆情动态,提高政府危机应急响应能力;大数据的开放性,使得政府的管理更加优化和透明[11,12].电子政务涉及到政府部门的机密,肩负政府的门户形象,实施过程要求极高的安全性能.电子政务的信息安全包括个人隐私、公众权益、国家利益、事关国家安全、社会安定等重要问题.如何有效地为电子政务提供安全屏障,保护政务信息不受非法、违规操作使用,防御信息应用内容和服务可能受到的安全威胁,是当前电子政务建设面临的重大课题[13].在当前这个大数据的背景之下,电子政务有其时代特征[14],如数据信息海量化、数据类型多样化、数据信息传播速度快等.只有在保证海量数据信息安全的基础上,才能充分利用数据信息技术,为公众生产和生活提供政府服务保障.大数据的时代背景,为电子政务信息安全发展带来机遇.海量数据信息的挖掘技术,通过搜索网络非法攻击、搜索不法分子入侵等行为留下的相关数据信息,找到数据中隐藏的攻击行为,及时制定针对性应对方案,从而迅速准确地解决信息安全问题[15,16].

3大数据时代电子政务信息安全的挑战

任何事物都有其两面性.与电子政务如影随形的安全问题,同样也是电子政务发展过程中的一个重要制约因素.海量的电子政务数据涉及国家、政府、公众隐私,这些内容一旦被不正当使用,危害不可小嘘[17].2017年5月,新型“蠕虫式”勒索软件肆虐全球,该病毒利用美国情报部门首先发现的微软“视窗”操作系统中的漏洞,导致包括英国医疗系统、俄罗斯电信巨头Megafon在内的全球99个国家政府、学校等政务网站遭到了“广泛的破坏”[18,19].受害人被要求在3d内支付300美元同等比特币的赎金,否则电脑上所有资料将被删除[18].据报道,我国众多行业网站被攻击,受损最严重的当属教育系统网站,一时间大量高校网站瘫痪.另有调查显示,我国每年都有上千个电子政府网页被恶意篡改,同时也有相当数量的政府主页被植入暗链,点击进入之后就会感染木马病毒[20].近年来,政府网站被“黑”了还“不知道”事件,在全国各地轮番上演,屡见不鲜,暴露了高速发展的电子政务背后值得关注的信息安全问题[21,22].3.1自然环境隐患环境、自然灾害、气候异常的影响,是不可忽视的影响电子政务信息安全的因素.比如,2001年美国发生触目惊心的911事件之后,世贸大厦里海量的金融数据瞬间化为乌有.摩根士丹利集团半小时内在几十公里外的灾备中心恢复数据,第二天实现全部业务的正常运营.与之相反,世贸大楼里其他的金融机构,几乎全线崩塌、被迫清盘.这些极具破坏性的灾难几乎都具有突发性、破坏强度高、影响范围广等特点.造成这些灾害的自然因素主要有:火灾、水灾、地震、风、雷、电、人为误操作等.据不完全统计,在造成数据灾难的各种原因中,电故障(主要有断电/电源)等的影响占50%;火灾、地震、风、雷、爆炸等的影响占18%;17%是人为误操作造成的影响;其他因素的影响占15%[23].目前为止,所采用的保护措施并没有很好地预防、避免灾害带来的不良影响.3.2硬、软件隐患近几年,国家虽然每年在电子政务的建设上投入大量的资金,但由于计算机核心技术的相对落后,建设电子政务所需的核心软硬件设备如:芯片、路由器、操作系统等设备多数仍依靠国外进口技术[24].这些设备从生产到进口投入使用的过程缺乏有效监测,对于存在的安全漏洞无法及时排除[22].系统漏洞给了非法监听者可乘之机,数字链路非法窃听、通讯信道非法干扰、信息非法拦截等安全问题频频发生[22].大数据的出现,海量的数据传输又给传输信道的安全性提出了新的更高要求[25,26].同时大数据的出现,也给云计算带来了新的压力.通常,云计算的数据和服务都是外包、共享的,这些虚拟化的数据租用相同的物理资源,管理和维护已然不易,服务、访问权限更是难以控制,云共享无疑给恶意用户带来方便[26].这些都说明政府部门受攻击的不可预测性极大.3.3组织、管理、人为隐患我国电子政务系统的管理机构权责不清,比如信息化办公室、政府信息中心、政府办公厅等众多部门协调管理,势必造成管理不统一、政令不通畅[23].当前的机制是国家信息化领导小组对电子政务的信息安全有直接决策权,但其应用管理建设却归属中央保密委员会,这样的机构设置,难以保障电子政务安全检查的到位[22].在信息安全的建设中,专业的安全管制人员的主观能动性也是不容忽视的因素[21].电子政务系统对于计算机的维护和管理都有极高的要求.相关的管理人员若没有相匹配的安全管理意识和安全防范意识,没有细致和规范的操作,不遵守相关的规章制度,不及时更新和维护包括防火墙、数据库在内的软硬件设备等都将危及信息系统的安全[22].3.4法律法规及制度隐患电子政务发展时间较短,公众对于电子政务的认知水平和应用水平均偏低,信息安全法律法规相对模糊笼统.曾有调查显示,我国有超三分之二的网民希望加强个人信息保护相关的立法[29].当前,亟需相关的法律法规来约束电子政务相关操作人员的管理行为,以避免网络安全无意识给电子政务系统带来的安全隐患[21].

4大数据时代电子政务信息安全保障体系建设

电子政务的信息安全是国家安全的重要组成部分.纵观各国电子政务信息安全建设经验,其完整体系主要包括信息安全法律、信息安全技术、信息安全管理三个方面[20].如美国推出《计算机安全法》,为联邦政府解决包括安全规划、安全风险管控、安全教育培训等各种信息安全问题.美国掌握着互联网运行规则最核心的技术,同时拥有最为严格的信息安全预警系统,要求负责信息安全的工作人员,将预警演练列为日常常态化工作.美国是世界上最早发展电子政务的国家,也是最早关注信息安全策略的国家,英国、新加坡、日本等发达国家紧随其后,迅速制定符合本国国情的信息安全建设策略.借鉴现有的国际经验,结合上述我国电子政务信息安全建设领域的机遇与挑战,当前构筑完整的信息安全防护体系应当从如下几方面进行.4.1建立健全电子政务信息安全的法律保障体系立足大数据技术和互联网业务发展现状,加强法律规范治理体系建设力度[23].第一,在当前相关行业保护措施的基础上,积极推进大数据以及互联网使用规范的相关立法,制定严格的个人信息使用规范,明确数据生命各周期中的安全主体责任和违法界线.第二,做到违法必究,执法必严,增强相关执法能力,彰显法律的监管权威,对侵害隐私和盗用数据等行为予以坚决打击,做到绝不手软,逐步营造诚实守信的良好社会氛围.第三,政府加大相关普法宣传,多渠道监管,逐步完善相关法律法规.4.2强化电子政务信息安全技术保障体系电子政务信息安全的保障体系既包括安全防护技术手段,又包括应急处置、预警体系.电子政务的发展有赖于信息技术的迅猛发展,因此,电子政务的信息安全须保证网络环境安全和计算机软硬件安全[24].为了应对日新月异的网络时代的步伐,网络安全防护技术也出现了很多与时俱进的方法,从防护策略上应采用非法入侵检测技术与防火墙技术的相结合[25],提供全面的安全保障.非法入侵检测技术与防火墙技术是不同的防护策略,前者防范内部攻击,后者抵御外部侵害.前者侦测系统中出现的所有未经许可的异常操作,即使防火墙被意外攻破,入侵检测技术也能将非法访问消除在萌芽状态.非法入侵检测技术与防火墙共筑安全屏障,极大提升电子政务系统本身的安全.而计算机软硬件的安全防护,主要有数据加密、病毒查杀、用户身份认证几种措施[24].由于我国尚未摆脱软硬件大部分需从国外购入的局面,对数据本身的加密技术提出了很高的要求,唯有数据本身受到良好的保护,才能有效降低信息安全被侵犯的风险.大数据环境下飞速发展的电子政务为计算机病毒提供了滋生的环境.病毒一般是通过U盘、移动硬盘和邮件等方式传输,无论是电脑系统瘫痪、信息被破坏都将是政务系统的重大损失.因此提高防毒软件的查杀能力,对数据来源进行病毒查杀侦测,定期更新杀毒软件等方法都能有效保障计算机网络体系的安全.用户身份认证则是通过验证对象的预留参数的一致性,来确认需要验证对象身份的真伪.这种技术可以防止入侵者恶意假冒信息等.随着技术的发展,用户身份认证技术的实现成本也越来越高.系统化保护措施,在确保数据的安全可靠性的基础上,还应当兼顾在发生不可抗力因素产生的破坏之后(如地震、火灾等)能恢复数据及其系统处理功能[23].针对这种情况,电子政务必须具有系统容灾及数据备份与恢复技术[24].4.3加强电子政务信息安全教育和管理机制电子政务信息安全管理体系建设,不是一蹴而就的,需要不断地调整和完善[26].一是需要设立专门的信息安全管理机构,建立统一的安全管理规章制度,对电子政务信息进行统筹管理,而不是监管机构众多,权责不明.二是配置合理的管理和操作人员.由于相关工作人员的操作失误,导致电子政务信息外泄的案例在国内外时有发生,提高相关工作人员的风险管控意识和技术势在必行.三是加大宣传力度,拓宽宣传渠道,增强公众关于信息安全的自我保护意识,努力构建社会信息安全文化环境.四是落实信息安全相关工作人员的责任制度,与从业人员签订保密协议,对工作人员进行周期性考评,全方位提升工作人员安全责任意识.

5结束语

借力大数据与计算机相关技术的飞速发展,电子政务成长迅速,政府服务质量、工作效率、公众形象得到大幅提高.然而大数据等技术同时也是一把双刃剑,它生而裹挟着信息安全问题,长期制约着电子政务的健康发展.本文在分析电子政务信息安全存在的问题、面临的风险的基础上,提出了建立健全电子政务信息安全防护体系的策略.体系是一个系统化的概念,电子政务信息安全体系,包括安全法律法规的制定与落实、从业人员与公众的安全普及教育、从业人员的考评标准提出、信息安全技术体系的改进与完善等.电子政务的信息安全关乎国计民生,只有筑牢大数据环境下的信息安全治理防线,才能使电子政务真正意义上服务于社会.

作者:郑薇玮 陈燊 单位:福建江夏学院