2018电子政务安全亟待解决

5203324

信息化浪潮推动了我国电子政务汹涌澎湃的发展，一站式电子化的政务服务、政务公然、政务门户、网上办事等信息化手段，既进步了政府效率，又方便了群众。　　然而，电子政务在带来各种便利的同时，也带来很多新的安全题目，如黑客攻击、病毒爆发、非法用户进侵等。　　信息化浪潮推动了我国电子政务汹涌澎湃的发展，一站式电子化的政务服务、政务公然、政务门户、网上办事等信息化手段，既进步政府效率，又方便了群众。然而，电子政务在带来各种便利的同时，也带来很多新的安全题目。黑客攻击、病毒爆发、非法用户进侵、机密信息泄露、重要数据丢失等安全事件带来的破坏性后果也成为电子政务良性发展不可回避的话题。　　安全存在缺陷　　首先，网络安全规划的不到位，造成网络结构的不公道性。由于信息技术发展的历史原因和建设资金题目，我国电子政务网络的建设在规划上经常缺少前瞻性的安全规划，网络流量存在多个瓶颈，路由表庞大复杂，IP地址缺乏同一规划，广播流量可控性差，子网故障隔离性差，重要流量缺乏带宽治理和服务质量优先保证等一大堆题目。随着安全题目的不断出现，只能在运行过程中不停地修修补补，但是，这种修补只能解决暂时的题目，解决一个题目后，往往又有新题目出现。　　其次，网络安全治理的混乱和规范化的治理制度相对滞后，造成很多治理安全漏洞。由于电子政务的网络是连接多个政务部分的城域网，需要跨部分地协调一致，来共同维护整个网络平台的安全。但是，由于不同政府部分的信息技术人才和信息化水平的差异性，以及不同政府部分存在一些相关的利益和冲突，因此，很难做到安全治理的同一协调性。一旦发生安全事件，故障定位不准，追查事故源困难，责任题目牵扯不清，从而造成事件的破坏性后果更为严重。　　第三， 使用安全产品缺乏同一考虑，具有重硬件而轻软件的不公道倾向性。由于国内外网络安全产品五花八门，各种产品门类众多，技术水平也有很大差别，政府部分在选用安全产品的时候经常会难辨优劣。而且，在部署安全产品的时候，也缺乏全局性和产品互补性的考虑，某类型的产品重复设置，而另一类型的产品却没有考虑，各种安全产品的同一部署协调性就很难维持，因此，也很难让安全产品充分发挥其应有的功效。对于安全产品的部署还存在的一个题目是，以为把硬件产品买回来就安全了，而忽略安全的动态性，以至产品软件更新慢，配套的软件配置落后，造成安全产品的安全功能没有及时跟上安全威胁的变化。　　另外，一些涉及***的信息网络过度依靠和使用国外安全产品和技术，造成政治性质的安全后门和隐患；网络使用和维护职员安全意识较弱，轻易疏忽一些安全题目；同时，也缺乏规范的安全风险评估机制，安全策略的制订也就缺乏科学、全面的依据。　　出口安全非常关键　　电子政务网络平台的安全威胁从来源上，主要可分为互联网安全威胁和平台内部安全威胁两类。　　 来自国际互联网的安全威胁主要包括互联网黑客攻击、网络病毒、垃圾流量等类型，具有一个共同的特征就是，需要从互联网出口进进电子政务网络平台。因此，电子政务网络平台互联网出口的安全是非常关键的。　　互联网出口的安全可以从两种模式来考虑：集中安全控制和分布安全控制。集中安全控制就要求建立同一治理的安全出口。互联网出口并不一定夸大只有一个出口，根据实际需求，可以有多个互联网出口，但是一定要同一治理，由城市信息中心来同一治理和维护。　　集中控制的缺点主要是同一出口需要配置性能较高的设备，包括防火墙设备的处理能力要高，安全访问控制和进侵保护等性能要强大，一般需要配置多台设备实现负载均衡或集群来满足处理性能要求，增加可靠性，采用多层防护来增加安全性。但是，由于太多的层次和安全关卡，在出口轻易形成流量瓶颈，可用性会相对降低。一旦出口出现故障，可能导致全网不能对外提供服务。但是这些缺点可以通过提供足够的备份设备、备份网络连接线路来基本克服。　　分布式安全控制模式也设有公共的互联网出口，但是，各接进单位也可根据实际需要另有单独的互联网出口。电子政务交换平台在公共出口处只提供互联网公共接进服务，提供各个政府部分网络互连的平台接进服务，不做针对互联网同一出口的安全防御措施。各个接进单位在与交换平台的接进点配置各自的安全防御体系，负责各自的网络安全治理和维护。　　公共互联网出口不需要设立公共安全关卡，在公共出口处不易形成流量瓶颈。各接进单位在接进处都设有安全关卡，一个单位的安全题目对其它单位的影响较少。其缺点是，整个电子政务网络在安全防御体系的投进会较大，各个单位都需要配备较多的专业技术维护职员。各单位的安全治理和安全策略缺乏同一规划，电子政务网络平台的整体安全强度不能在各个单位保持局部平衡。　　解决之道　　首先，需要推行强有力的安全治理规范，建立严格的安全治理制度。电子政务网络内部安全和外部安全一样重要，内部安全除了需要体系化的安全防御策略，还需要严格的、可操纵性强的安全治理制度。制度的制订首先要规范，其次要夸大制度的强制性、法规约束力和可操纵性，这样才能保证制度的真正贯彻和执行。　　其次， 要建立网络安全事件应急响应预案。网络安全事件应急响应预案是安全治理制度的一个重要部分，这里单独来讨论，主要是考虑到其重要性。事前有预案，一旦发生安全事件，就可以触发相应的预案处理程序，在最短的时间内恢复正常的网络服务和信息服务，力求把安全事件的破坏力降到最低。