电子政务户安全问题(通用12篇)
电子政务户安全问题 篇1
1 电子政务存在的信息安全问题
具体而言, 电子政务存在的信息安全问题表现在以下几个方面:首先, 网络技术不够成熟, 电子政务系统的投入运行会增加政府工作对网络的依赖性, 而网络本身就存在一定的脆弱性问题, 包括技术、社会及人的因素等。网络技术的不成熟必然影响到电子政务系统网络设置的科学性与安全性, 常见的有网络硬件设缺陷, 操作系统漏洞等。其次, 缺少科学的网络安全规划, 影响到网络结构的合理性。随着信息技术的不断发展, 电子政务系统在建设、运行过程中需要投入大量资金, 但是在建设规划过程中对安全设计的重视度不够, 并且缺少一个具有前瞻性的系统规划, 最严重的表现即是子网故障隔离性差, 并且流量缺乏影响到重要政务信息的服务质量等。最后, 对关键核心技术的掌握程度不足, 现阶段我国电子政务系统中采用的信息设备、信息技术等很多引自于其它发达国家, 未对这些技术、设备进行必要的改造与管理, 特别是在系统安全、安全协议等领域的研究, 还落后于其它发达国家。这些均会降低我国电子政务系统的安全性。
2 电子政务信息安全防范技术
2.1 操作安全技术
(1) 升级防火墙软件
不同的网络区域会对防火墙的性能产生直接影响, 基于网络安全的角度来看, 要针对不同区域的网络设置防火墙保护措施, 并要兼顾网络各区域的相容性。防火墙可以设置在不同网络区域的相效区域, 并对其软件系统进行全面升级。对防火墙进行升级后, 特定的用户可以在不同区域的网站之间进行互相联系, 而没有该权限的用户则不能访问, 这种方法大大提高了软件系统的自我识别能力与自我保护能力, 实现保护子网、阻止攻击、限制入侵的防护目标。不过如果攻击来自于防火墙内部, 则防火墙系统就无法起到有效保护作用, 所以网络外延防护是保证系统安全的第一步。
(2) 改善内外网的隔离性能
一般情况下, 电子政务系统的基本架构不外三个部分, 即政务内部网络、政务专用网络以及政务外部网络, 其中内部网络主要是政务机关单位内部共享的网络平台, 不同的政府职能部门拥有对应的电子政务系统管理权限, 内部网络根据部门职能分工进行物理隔离划分;而专用网络主要是针对一些机密性信息所设置的管理系统, 由于该系统对信息保密性要求较高, 因此要遵循政务外网分级防护的原则进行专门的安全规划, 专用政务网络安全系统包括防护系统、安全管理平台、CA系统等, 为各职能部门信息服务提供可靠的技术保障;而政务外部网络则要与互联网进行逻辑隔离, 系统中针对不同的职能部门提供对应的网络服务及互联网出口服务, 一些部门需要特殊服务, 还可以开通虚拟专网服务与移动接入服务。
2.2 密码保护技术
从某种程度上讲, 密码技术是实现信息服务的基础性安全措施, 现阶段常用的密码技术包括数据加密、密钥交换以及数字签名等, 利用密码技术可以提高数据的机密性与完整性, 并可以进行用户身份信息的验证, 为网络信息交换与传输的安全性提供保障。具体而言, 密码技术包括三种, 即对称密码算法、非对称密码算法以及单向散列函数等, 其中对称密码算法技术是采用单一密钥进行数据的加密与解密, 常用的算法包括DES、IDEA、RC等, 对称密码算法具有计算量小、加密效率高的特点, 不过需要经常性的更换密钥才能保证密钥的安全性, 因此该算法的薄弱环节就是密钥的分发与管理。非对称密码算法中, 数据加密与解密的过程需要采用公钥与私钥两个密钥, 用户在信息交换过程中, 发送发利用接收方的公钥对数据进行加密传输, 接收方再利用私钥对数据进行解密, 在这种算法模式下, 较好的解决了密钥管理的问题, 因此分布式系统中常用非对称密码算法。至于第三种单向散列函数算法, 限于篇幅此处不再赘述。
2.3 对网络设备进行安全监测
在网络系统运行过程中, 及时处理网络垃圾可以改善网络的时效性, 因此有必要针对网络设备的具体配置进行安全检测, 对网络的健康状况进行检查。通过定期体检, 网络维护人员可以及时发现系统中的潜在危险, 比如计算机病毒、木马等, 及时采取防护措施保证信息不受侵扰。此外, 客观上网络技术本身存在一定的局限性, 因此在进行电子政务系统的规划与构建过程中, 在考虑技术先进性的前提下, 还要兼顾一定的自主性。
(3) 信息安全数据是电子政务的核心资源之一, 因此其安全问题也格外重要。软件、硬件的损毁虽然可以使政府的正常业务中断, 但一般在重新购置系统后仍能恢复, 而政府核心数据的损毁却是不可恢复的致命灾难。解决数据安全问题的主要办法就是建立完善的管理措施。 (1) 数据保护制度。政府重要数据面临的首要风险就是被他人窃取。为防止这类损失, 首先就要健全数据保护制度。一是做好物理访问控制, 防止外部人员接触到存有重要数据的主机、存储设备和打印机等输出设备。二是做好数据的逻辑访问控制。三是做好数据备份和灾难恢复计划。 (2) 标准可信时间源的获取。时间在电子政务安全应用上具有其特定的重要意义。政务文件上的时间标记是重要的政策执行依据和凭证。 (3) 信息传递过程中的加密。加密就是为了安全目的对信息进行编码和解码。电子政务应用涵盖政府内部办公和面对公众的信息服务两大方面。就政府内部办公而言, 电子政务系统涉及部门与部门之间、上下级之间、地区与地区间的公文流转。这些公文的信息往往涉及机密等级的问题, 必须采取适当的加密方法对信息予以保密。
3 结语
由于电子政务系统中所交换的信息数据通常保密性要求较高, 一旦电子政务信息系统的安全受到威胁会直接影响到政府信息服务的质量, 因此要通过科学、合理的手段保证电子政务信息的安全性。
参考文献
[1]茅晓红.探讨电子政务中的网络信息安全设计策略[J].计算机光盘软件与应用, 2012 (8)
[2]叶佩华.我国电子政务应用中的信息安全问题研究[J].中国管理信息化, 2012 (5)
电子政务户安全问题 篇2
为营造“安全平安家庭”创建活动的氛围,提高干部职工参与“安全平安家庭”创建活动积极性、主动性,扩大“安全平安家庭”创建工作的覆盖面,创新载体,提升创建水平,进一步发动广大家庭积极参与“安全平安家庭”创建活动,增强家庭成员的懂法守法意识、安全防范意识、健康文明意识、和睦相处意识、男女平等意识、爱心助困意识。使更多的家庭做到无家庭暴力、无吸食毒品、无非法宗教信仰活动、无赌博、无邻里纠纷、无家庭成员参与“黄”、“丑”行为、无违法乱纪且安全防范工作做好。特制定以下计划:
1、增强五个意识:增强家庭成员的懂法守法意识、安全防范意识、健康文明意识、和睦相处意识、男女平等意识
2、营造“五个环境”:安定有序的治安环境,优美文明的社区环境,公平正义的法治环境,诚信友爱的人际环境,安全健康的成长环境。
3、做到“四防”:防拐卖、防盗窃、防抢劫、防隐患。
4、实现“四无”:无涉毒、无赌博、无暴力、无犯罪。
5、达到“四个更加”:家庭成员更加充满活力,家庭关系更加和睦 美满,社区邻里更加文明融洽,社会环境更加和谐稳定。
电子政务户安全问题 篇3
关键词 电子政务建设 安全 对策
中图分类号: [T-9] 文献标识码:A
1 我国电子政务不安全现象
电子政务,政务是根本,应用是方面,实效是关键,战略是前提,安全是最大的保障。它的安全不仅来自于外部,也来自与内部。包括网上黑客入侵和犯罪、网上病毒泛滥和蔓延、信息间谍的潜入和窃密、网络系统的脆弱和瘫痪、信息产品的失控;还有各种技术人员,机构出于各自的目的也可能对电子政务进行系统进行攻击。与传统政务不同,电子政务对信息技术有很大的依赖性,因此,电子政务系统自身存在的漏洞和缺陷会对政务机关业务的开展和连续进行造成安全隐患,这些都应引起我们足够的警惕,有必要采取措施,应对这些挑战。
2 我国电子政务不安全的原因分析
2.1 我国电子政务面临信息安全问题
有调查表明,我国大部分的政务网站目前还没有设置防火墙。国家有关部门通过模拟攻击,对650个政务上网单位的信息安全工作进行了检查,发现其中80%的网站没有安全措施,有的甚至被黑客攻击之后也不向有关部门报告。我们不清楚这些网站后面有多少政府部门内部办公系统和存储秘密信息的数据库相连,所以无法准确判断多少政务信息面临被泄露、修改、删除的危险,在黑客技术十分发达的今天,这种现状对电子政务信息安全是个极大的威胁。总的来说,我国电子政务面临的信息安全问题主要表现在:
一是政府信息网络安全存在隐患。网络非常脆弱,各种安全隐患普遍存在。掌握了一定的技术的人可以轻易获取网络服务器上的用户帐号信息和口令文件,并可进入系统修改、删除重要数据文件。一旦这些系统被非法侵入和破坏,将不能正常工作,甚至全部瘫痪。
二是网络犯罪活动日益增多。近年来,金融机构内部利用计算机犯罪案件大幅度上升;在互联网上泄露国家秘密的案件屡有发生;另外,境内黑客攻击破坏网络的问题十分严重。他们通常采用非法侵入重要信息系统,修改或破坏系统功能或数据等手段,造成数据丢失或系统瘫有痪,给国家造成重大政治影响和经济损失。
三是管理体制不完善。管理问题主要体现在以下几个方面:(1)组织管理不完善,安全管理任务没有办法落实到人,没有明确责权;(2)管理规范未建立,制度不完善;(3)技术管理不到位,大多数只考虑防火墙、防病毒等基本技术安全措施,并没有提高到管理程度;(4)日常管理存在很多漏洞,计算机的日常使用,信息保存、流转、归档都存在不同程度的漏洞。
2.2 我国电子政务立法存在的问题
我国电子政务理发存在的问题主要有: 一是立法模式存在的问题在我国大多是部门立法,法律阶位低,缺少统一的原则和标准,冲突现象严重,导致电子政务的特征不明显,实施效果差。 二是电子政务标准立法亟待完善问题:虽然我国已制定了《电子政务标准》,但它只是一个标准框架,可操作性和检验性较差,全国各省市电子政务建设还处于各自为政的状态。 三是政府信息公开立法存在的问题,我国至今仍没有出台政府信息公开法,并且早在1988年就通过以“凡不宣布公开的事项皆推定为保密”为原则的《中华人民共和国保守国家秘密法》,这远远不能适应电子政务条件下政务公开的要求。四是公民隐私权保护立法存在的问题 :在电子政务环境下,政府收集、储存和利用信息时,容易侵犯公民个人利益。五是立法滞后制约电子政务发展问题。许多现有法律规范中的具体规定不适应电子政务发展需要,有的与电子政务发展相抵触,如对关乎电子政务根本性质定位的电子政府的法律地位问题,我国法律并没做出明确规定;对电子政务建设资金的来源、预算、使用以及监督等问题,也基本上没有法律的统一规定;涉及政府信息资源管理、政府信息公开及知识产权保护的法律都需要修订和完善;有关网络安全、政府信息认证、加密以及公众知情权等方面的网络法律法规几乎是空白。六是信息安全立法问题。电子政务直接涉及到各级政府的核心政务,关乎党政部门乃至整个国家的利益,因此,保障政务信息安全成为各国政府普遍关注的问题。我国虽已出台了一些与网络信息安全有关的法律法规,但是电子政务在信息技术催化下快速发展,对信息内容安全性不断提出更高标准,而保障电子政务安全的专门法规迄今尚未制定,导致现有的法律法规难以适应电子政务发展的需要。
3 我国电子政务安全对策及解决办法
3.1 加强超前技术防范
網络信息窃取和犯罪者中多数是精通计算机技术的专业人士,他们能够洞悉计算机网络的漏洞,从而利用高技术手段突破网络系统的防护壁垒,实现其盗窃和犯罪目的,因此技术防范应是计算机信息系统最根本的安全防范措施.政府应当增加软件技术防范的必要投入,确保政府信息网络万无一失。在短时间内难以彻底解决好软件技术防范的情况下,将网络信息实行物理隔离是完全可行的。
3.2 加快网络法制建设和增强执法力度
电子政务工作内容和工作流程及国家核心任务,其安全关系到国家主权、国家的安全和公众利益,所以电子政务安全实施保障,必须以国家法规形式将其固化,形成全国共同遵守的规约,成为电子政务实施和运行的行为准则,成为电子政务国际交往的重要依据,为司法和执法者提供法律依据,对违法犯罪者形成重大威慑。
3.3 依法正确划分保密信息和确定密级
政府的保密信息主要有工作秘密和国家秘密。工作秘密是机关、单位内部不能向外公开的事项。国家秘密是关系到国家的安全和利益,在一定时间内只限于一定范围的人员知悉的事项。各级政府部门应按照《保密法》和《保密法实施细则》等法律、法规和有关电子政务规章的规定,确定保密与非保密信息和划分保密信息的密级。然后按照保密制度的规定,不该上网的信息绝不上网,在信息输入关上解决保密问题。这是一项政治性、专业性和法治性很强的工作,必须由有关部门的高水平官员和文员来具体操作。
4 发达国家经验借鉴
4.1美国的电子政务
美国在推动跨部门的资源共享、实现无纸化办公的同时,把电子化政府的应用领域主要集中在六个方面:①建立全国性、整合性的电子福利支付系统;②发展全国整合性的网络接入和信息内容服务;③发展全国性的执法以及公共安全咨询网络,保证执法体系的快速反应; ④共跨各级政府的纳税申报及交税处理系统;⑤建立国际贸易资料系统;⑥推动整个政府部门电子邮件系统。
4.2 加拿大的电子政务
加拿大发展信息高速公路的目的是要建立高品质、低成本的信息网络,使每一个加拿大公民皆能公平享有就业、教育、投资、娱乐、医疗保健及社会福利信息的机会,并使加拿大成为全球信息高速公路的主要使用者及服务提供者,以促进加拿大经济、社会及文化建设方面的发展。政府已经推动的应用项目包括: 电子化的公共招投标系统;推动单一的商业注册登记号码;运用电子资料交换与扩大推动电子商务,进行政府采购、支付和税费的征收;实行以电子布告栏及国际互联网络传送政府的电子文件。
4.3 英国的电子政务
在推动电子政务的发展中,英国有如下措施:一、通过电子传输为公众提供服务,为民众提供接受服务的多种选择渠道;二、政府在收集信息的时候必须遵守资料保护的法律及相关程序又要尽量维护信息安全,并保护公众的相关权利;三、建立建立电子化单一窗口,提供24小时的快速服务,并为民众提供获取信息的便利;四、政府要通过信息技术增加行政效率,对公众迅速做出回应;五、通过电子信息手段,提供政府部门与机构间的资源共享,从而减少政府开支;六、除了受法律保护的机密资料,其他资料都要公开,供社会查询;七、切实保障政务信息安全。
参考文献\
[1] 刘邦凡.电子政务建设应遵循的法律制度.电子政务,2005(24)
[2] 李燕英.电子政务立法问题探析.行政论坛,2004,66(6)
[3] 蒋录全.电子政务中的政府信息公开.情报杂志,2004(2)
[4] 向立文.电子政务信息资源共建与共享的信息安全保障.情報杂志,2006(10).
[5] 王满船.国外电子政务相关立法及其对我国的启示.中国行政管理,
2004,231(9).
[6] 马海群,宗诚.电子政务的立法状况、法律框架及核心问题.中国图书馆学报,2006.
[7] 赵培云,郑淑荣.从国外立法看我国电子政务法制建设应注意的问题.中国信息导报,2006.
[8] 王长胜,《中国电子政务发展报告》,社会科学文献出版社,20003(12).
电子政务户安全问题 篇4
1.1 电子政务
在《现代汉语词典》中, 政务解释为“善于国家政治事件的处理, 同时也是政治管理工作的统称”。就我国实际的政治生态而言, 我们可以从广义与狭义两个层面对政务的定义与概念进行解读, 广义上的政务涉及到各类行政事务, 囊括了各级政府、政党事务、人民代表大会、政治协商会议、军队管理以及司法体系等多个领域的相关活动;狭义上的政务则专指各级政府在日常活动中, 所进行的各类管理与服务行为。在此基础上, 人们对电子政务的定义也有广义和狭义之分, 不过一致的共识是, 电子政务 (E-Government) 这一概念源自1993年美国总统办公室发布的《运用信息通信技术再造政府》, 该报告强调政府应用信息通信技术作为政府再造策略性措施, 以革新其行政效率。2001年12月, 国家信息化工作领导小组第一次会议在北京召开, 考虑到我国的政治体制, 会上确定把E-Government翻译成“电子政务”而不是“电子政府”[1]。总而言之, 电子政务是指政府部门在运作的过程中, 借助于计算机技术、信息通信技术以及互联网技术, 将各类管理活动与服务体系在网络平台上进行高度整合, 实现了政府组织架构与工作方式的调整与优化, 并最大程度突破了时间与空间的限制, 最大程度满足社会经济发展对电子政务活动的客观要求, 以电子政务为起点, 我国逐渐实现了政务活动的全方位、立体化与宽领域的格局。
1.2 信息安全
信息其本质上是消息的一种表现形式, 通过文字符号、声音、图像等形式进行展现, 具有实时性、有效性以及真伪性的特点。简单说, 信息通过不同的方式来进行相关内容的表达, 以传达出相关的消息, 满足人们相互交流的需要。信息安全则针对于信息展示过程中的不同方式, 采取针对性的手段与途径, 促进信息的安全传递。由于信息本身在表现形式与传递手段上具有一定的多样性与复杂性, 因此信息安全实际上是一个综合性的要求, 涵盖了计算机技术、网络系统、信息技术、加密技术、数据传输、数学模型等多个领域, 因此, 在构建信息安全体系的过程中, 需要从信息的保密性、准确性、真实性、复制授权等几个层面入手, 以相关技术为框架, 不断构建安全管理系统, 提升信息安全系统的硬件、软件及数据的安全属性, 降低其因受到攻击而引发数据丢失的几率, 同时在这一过程中, 增强信息安全的稳定性, 满足实际的使用需求。从信息安全自身的角度来分析, 其具有变化性、相对性、多样性以及完整性等特点。信息安全一直处于不断变化之中, 黑客技术的发展使得信息在传递过程中, 时刻面临着被获取与篡改的危险, 同时新的信息技术与系统的构建与使用, 也在一定程度上增加了信息泄露的发生几率。信息安全技术处于动态发展的过程中, 因此, 不可避免地存在一定的缺陷与不足, 这就使得信息安全有着相对性的特点, 其无法真正意义上的扭转现阶段相关技术存在的问题。信息需求的多样性, 各政府部门对于不同信息的取舍存在一定的偏向, 因而使得电子政务在发展的过程中, 也呈现出多样性的特性。信息安全自身涵盖了安全技术与管理系统等多个领域的内容, 因此, 在构建信息安全系统的过程中, 需要相关部门根据实际的使用需求, 进行科学合理的规划, 制定安全等级, 采取针对性的安全技术手段与管理方式, 以满足信息安全系统完整性的要求。
1.3 提升电子政务信息安全的现实意义
电子政务信息安全作为我国安全体系的重要构成, 在促进社会经济发展与政治体系建设方面发挥着关键性的作用。电子政务活动的开展是各级政府部门以网络平台为框架, 做出政治决策、履行自身的职责以及提供服务的重要方式。电子政务信息体系的科学构建是我国政治事务信息化与现代化的重要组成部分, 其在实践中的有序开展, 在很大程度上提升了党和国家依法治国的能力与水平, 推进了政府改革工作的深入进行, 大大提升了相关政府部门的办事能力, 真正意义上践行全心全意为人民服务的宗旨。电子政务作为一种全新的工作方式与管理体系, 各级政府以现代化的技术手段为媒介, 不断进行自身工作流程的调整与优化, 实现了工作方式的简化, 提升了自身的工作效率与服务水平[2]。电子政务的内容十分丰富, 包含了政府网络办公、服务自主化、信息的网络公布以及信息共享机制等多个方面。各级政府部门以电子政务为支撑, 大大提升了政府部门的工作效率, 充分发挥政府数据信息的资源优势, 使其更好为社会经济的发展提供服务。电子政务活动的开展使得政府工作内容得意透明化, 缩短了与公众之间的距离, 为人民群众提供更为全面更为多样化的服务, 极大便利了社会生活。同时电子政务作为我国信息化建设的核心, 其构建活动的深入进行, 扩大了电子政务体系的规模与范围, 使得政府各部门之间的联系性大大加强, 各级政府的联系性大大增强, 有效提升了政府工作的正确性。在这一过程中, 由于数据的共享, 增加了数据信息安全工作的复杂性与难度程度。
2 电子政务信息安全体系构建的情况分析
为了提升电子政务信息的安全性, 推动信息安全体系构建工作的有序进行, 需要以电子技术、信息技术以及加密技术为重点, 持续优化与调整管理体系, 并立足于信息安全工作的客观需要, 结合我国的实际制定相关法律、法规。将安全技术、管理机制以及法律法规三者有机的结合起来, 保证电子政务信息安全系统的有效建立。
2.1 国家信息安全组织保障体系初步形成
电子政务的前身是20世纪90年代开始, 为了顺应信息化的发展潮流, 我国开始进行办公自动化模式的初步探索, 不断进行办公自动化的尝试, 并取得了一定的建设经验, 从而为电子政务建设活动的开展奠定了良好的基础。我国电子政务建设活动的大规模开展, 是以1999年40多个部委信息管理部门联合进行的政府上网工程为起点, 以上网工程为基础, 我国将越来越多的政府行政单位纳入到这一体系中, 各部门根据自身的工作内容不断进行网站的设计与建设, 提升网站的服务能力与水平, 使其逐渐成为一种重要的服务手段与路径。政府上网工程的深入开展在一定程度上推进了我国政府信息化进程, 而我国正是以政府上网工程为切入点, 逐渐形成了电子政务的构建氛围, 形成独特的政治管理生态, 满足社会经济发展对于政府服务能力的客观要求。随着我国国民经济的发展与经济结构的战略性调整, 党和政府立足于经济发展的宏观趋势, 结合我国的基本国情, 在“十五”规划中前瞻性的提出了信息化带动工业化的发展理念与思路。这一观点的提出, 不仅推动了经济结构与运行模式的信息化, 也标志着电子政务在我国进入到实质性阶段, 电子政务的应用范围与规模将会不断扩张, 逐渐成现阶段为政务活动的主流。从电子政务发展的层面来看, 国电子政务已进入到全新的发展阶段, 在信息技术的推动下, 我在电子政务在发展过程中以旧有的构建成果为基础, 融合新的发展理念与管理思维, 形成新的电子政务格局。2001年8月我国成立信息化工作领导小组, 由朱镕基总理担任组长, 对全国范围内各级政府部门电子政务活动进行规范与引导, 2003年为了实现应急信息的合理把控, 实现对相关信息的科学处理、全面收集与何时, 中共中央成立计算机网络应急技术处理协调中心, 统一处理全国范围内各类应急信息, 以减少信息失真所带来的社会问题, 保证社会生活的稳定。2008年, 党和政府基于现阶段政府改革工作的客观需要, 调整原有的大部机制, 信息化办公室不再承担电子政务管理工作, 转而由工业信息化部负责相关主管工作, 从而大大简化了管理流程, 保证了电子政务工作的顺利开展。2014年2月, 中共中央成立网络安全与信息化领导小组, 领导小组以网络信息安全为宗旨, 着眼于社会经济发展与政治改革进程的实际, 协调政治、经济与文化等多个领域, 立足于我国的基本国情, 不断制定与调整网络安全与信息化建设策略。以此切实有效地推进我国信息化建设的质量与水平, 提升网络安全的级别水平, 充分满足国民经济发展与社会进步对网络安全与信息化建设的客观要求[3]。
2.2 电子政务信息管理的主客体清晰
我国电子政务的主体为各级政府部门, 其在广义上涵盖了党的组织、行政部门、立法机构、司法体系等多个层面。因此, 从广义层面来分析, 电子政务不单单是指政府部门依法履行自身的行政职责, 还包括司法系统以及其他公共部门的日常工作, 呈现出多样性与复杂性的特点。狭义的政府部门一般情况下指的是国家的权力机关的执行部门, 从目前来看其成为我国电子政务的主要实施对象。电子政务指向于各级企业事业单位以及社会公众等不同的社会团体, 在电子政务体系发展到成熟阶段, 参与电子政务体系的各主要组成部门 (即各级政府部门、企事业单位以及社会公众) 能够在进行信息数据的实时交互, 在交互过程中, 电子政务的主客体关系不断发生转变[4], 这就意味着, 行政单位在进行电子政务构建的过程中主客体关系会发生频繁的转化, 以满足信息交流的要求, 为公众提供更为全面的服务。
2.3 电子政务信息安全系统的开发和维护逐步专业化
电子政务信息安全系统的开发与维护是一个复杂的过程, 需要多个部门的协同配合与积极参与。在安全系统构建的过程中, 需要以现有的技术框架为基础, 实现计算机技术、互联网技术、信息技术以及数据传输技术的合理配置与优化, 使其成为一个高度协调的整体。以此来减少数据信息发送丢失与篡改的几率, 保证电子政务信息安全系统的科学高效构建。同时在这一过程中, 为了保证电子政务安全系统的稳定运行, 需要安排专业技术与管理人员进行系统的维护工作, 但是由于各级政府部门的编制有限, 其不可能设置专门的部门来进行维护与开发工作。因此需要各级政府部门加强与信息安全技术与网络维护公司的合作, 通过对其开发的系统软件与运行程序进行必要的审核与测试, 并交给相关资质部门进行实用性与安全性的评估, 由于电子政务系统中的应用开发、系统运行、日常维护、重要设备维护等大都涉及机密信息, 因此, 就需要电子政务信息系统在进行安全管理的过程中, 加强人才和技术队伍的建设。
3 电子政务信息安全存在的问题
3.1 法律法规和管理体制落后
从发达国家电子政务发展的经验来看, 健全的法律制度是政府电子政务快速发展的保障。如上文所述, 在电子政务的立法工作中, 近些年来我国虽然相继出台了各类法律法规, 对信息安全进行维护, 打击攻击网络, 泄露信息数据的行为, 但是从实际情况来看, 这些法律法规彼此之间缺乏必要的联系性, 结构较为单一, 无法形成完整的法律体系, 难以真正发挥法律法规在电子政务信息安全方面的作用。并且由于我国缺乏相关经验, 使得网络信息安全法规在信息跨境以及隐私保护方面存在漏洞及信息安全等相关方面的法律法规。无法真正意义上满足网络信息安全体系构建的要求, 无法为电子政务提供法律保障。由于网络信息安全法律法规体系建设的落后, 相关部门无法依法进行网络犯罪行为的打击, 这就在一定程度上增加了信息安全体系构建的压力与困难程度。信息技术的迅猛发展, 使得我国网络信息建设面临着日益严峻的挑战, 加之法律法规制度体系的不完善, 又在很大程度上增加了网络犯罪的发生几率, 给网络信息安全带来了极大地威胁, 因此, 立足于我国网络信息安全的实际, 不断完善法律法规, 就成为现阶段党和政府在电子政务构建活动中必须要解决的迫切问题。同时电子政务在发展的过程中也存在信息保密方面的问题。一方面电子政务信息管理机构在组织建设方面存在不足, 管理机制不健全, 使得自身的安全管理作用难以得到有效发挥, 从实际情况来看, 由于缺乏必要的组织协调, 同一级别的政府部门在进行电子政务信息管理的过程中, 存在着信息交互效率较低以及沟通障碍的若该问题, 政务信息很难在部门之间进行传递。另一方面电子政务信息安全机制的管理责任较为模糊, 制度建设存在误区, 现阶段虽然对电子政务信息安全管理体系的责任进行有效划分, 并逐渐进行安全管理与认证体系的构建, 但是由于各级政府部门在这一过程中, 更多的是从技术的角度上进行操作, 确保电子政务信息安全性的提高, 往往忽视了管理系统在提升电子政务信息安全性方面的重大作用。例如目前我国各级政府在进行电子政务系统安全保密管理系统构建的过程中, 对于管理的标准、工作的定位以及相关事故的处理流程缺乏准确定位, 使得管理责任无法落实到个人, 难以真正发挥信息安全管理制度的作用。
3.2 信息安全技术水平有待提升
3.2.1 基础建设和硬件的不足
电子政务的信息安全首先离不开基础建设和硬件设施。中国幅员辽阔, 地形各异, 在全国范围内推行电子政务化进程, 其必然对硬件设施建设提出了更高的要求。网络规模的进一步扩大, 不仅仅造成网络通信线路的大幅增加, 还在一定程度上了降低了通信线路的安全性与稳定性。现阶段通信技术可以分无线通信与有线通信两种, 无线通信技术由于自身技术的限制, 在一定情况下很容易被盗取以及窃听, 存在着一定的安全问题;有线通信技术由于其对基础设施依赖严重, 一旦相关通信设施收到损伤, 将无法正常工作。由于种种原因, 我国的信息化进程起步相对较晚, 很多硬件技术依赖于国外输入, 从而使得电子政务系统在建设的过程中, 绝大多数关键设备需要从国外引进, 网络信息系统硬件上的劣势, 使得我国电子政务信息系统的建设规模与安全性始终得不到有效保障, 极易发生信息泄露事件。例如Windows 98操作系统以及英特尔处理器在设计过程中, 留有后门, 这些后门的存在极易被黑客利用, 为网络攻击行为提供了极大地便捷。现阶段随着我国信息技术、计算机技术以及通信技术的迅猛发展, 逐渐形成具有中国自主知识产权的信息化产业体系, 以计算机制造为代表的信息产业获得了长足进步, 虽然这些成就在一定程度上能够满足电子政务建设过程中硬件建设的客观需求。但是中央处理这种高精间设备的研发水平依旧较低, 研发依旧依赖国外技术, 同时由于相关技术人员的素质与技能存在一定的不足, 使得自身对于外国技术的学习与改造能力存在缺陷, 无法真正的实现技术的优化与升级, 使得我国信息化进程的速度与质量受到一定的影响, 无法满足社会经济发展的客观要求。
3.2.2 软件的开发和创新能力有待提升
软件开发滞后, 安全和应用系统缺乏创新也是信息技术水平不够的一大表现。由于我国电子政务系统建设的时间较晚, 在开发过程中存在软件系统功能不够健全与更新速度较为缓慢的问题。系统架构技术的落后以及网络攻击防范措施单一化等众多原因, 使得电子政务信息安全性得不到有效保障, 在实际运行的过程中存在着高危风险。例如黑客在发动网络攻击之前, 可以利用电子政务系统内存在的漏洞, 轻而易举地攻破防火墙等防护设施, 造成系统瘫痪。系统的设计者为了方便系统的更新与维护, 通常会在系统内留有后门, 而这些后门代码一旦被其他人获取, 将会对电子政务系统的安全稳定运行带来极大危险, 大量机密信息可能被窃取, 公民个人信息可能被篡改。如熊猫烧香以及木马病毒都可以通过相关途径对电子政务系统直接发动攻击, 对系统造成破坏性作用, 这就要求在构建电子政务系统的过程中, 不断更新系统构建技术, 增强网络攻击防范能力。
3.3 电子政务系统使用人员的安全意识不高
上述客观的原因有时难以避免暂时不易解决, 但是电子政务信息安全因人为的原因出现问题则十分不应该。电子政务信息系统由于自身的工作环境与应用范围, 使得其具有流程多样、覆盖面广、用户数量多的特点, 为了保证电子政务信息系统的稳定运行, 通常需要几千台计算机进行同时工作, 来保证电子政务信息系统终端运行的流程。在这种运行模式下, 为了提升电子政务信息系统的安全性, 保证信息的稳定运行, 就需要从电子政务服务的范围、使用人员以及安全管理方式等多个层面入手, 不断提升电子政务信息系统安全性的广度与深度。将电子政务系统服务所覆盖的政府部门与工作人员均作为信息安全管理的客体, 对其日常操作行为与管理活动提出更为全面、更为严格的要求。我国电子政务建设活动起步较晚, 技术与经验积累十分有限, 因此, 使得很多政府部门的工作人员没有接受应有的电子政务系统操作与管理技能培训, 从而使大多数工作人员对于电子政务缺乏必要的、准确的认知, 无法真正发挥电子政务在实际工作中的作用, 政府工作人员电子政务专业素质与能力偏低, 在一定程度上增加了信息安全问题发生的几率, 据相关部门公布的统计数据来看, 82%左右的电子政务信息安全问题与内部工作人员的误操作或者违规操作有关。从实际情况来看, 绝大多数电子政务信息系统的工作人员希望自身能够接受更为专业化的技能培训, 以满足自动化办公的客观需要, 不断提升自身的工作效率, 这虽然说明政府工作人对于自身有着较为科学的定位, 希望能够更好地参与到工作之中, 积极推进电子政务系统的应用。但是这种想法也从侧面证明相关工作人员对于电子政务信息安全的认识不足, 没有充分认识到信息安全在开展电子政务工作中的重大意义。
一项针对美国400名科技专业人士和高级管理人员进行的调查发现, 人为错误是导致 (至少占52%) 网络安全事件的主要原因, 技术也是 (40%) 网络安全事件的主导因素。最常见的人为错误是“没能遵循政策和程序”和“粗心大意”, 42%的被调查的公司表示有过此类错误。这些公司对人为错误的担忧越来越强烈, 超过三分之一 (39%) 公司称在过去的两年里人为错误已经成为造成安全事件的一个更普遍的问题, 在大公司中这个比例还会更高。解决这个问题显而易见的方法是培训员工做好工作, 努力减少给黑客造成机会的愚蠢错误。但让人感到不可思议的是, 只有54%的被调查公司要求员工接受安全培训。当剩下的46%的公司被问到为何不提供培训时, 有三分之一说不出具体原因。
4 电子政务信息安全的完善对策
4.1 建立健全电子政务信息安全法律法规
电子政务作为我国政治经济与文化生活的重要构成, 其信息的安全性在维护社会稳定、促进国民经济发展方面发挥着十分重大的作用, 因此, 构建电子政务信息安全体系就成为现阶段党和政府必须要解决的重大问题。为了保证电子政务信息安全活动的有序开展, 需要从法律法规的角度发出, 不断构建信息安全法律体系, 形成一种法理上的规范性。由于现阶段我国没有电子政务信息安全的立法, 相关部门只能根据计算机信息系统安全保护法进行相关操作, 这就使得电子政务的法律地位较为模糊, 很难对破坏信息安全的行为进行处罚, 因此, 就需要在实际操作中不断进行立法尝试, 以为电子政务信息安全系统的构建以及相关行为进行必要的规范, 以期在完善相关法律制度的同时, 满足电子政务信息安全的客观要求。
4.2 进一步优化电子政务信息安全的管理机制
除了法律法规上的约束, 电子政务信息安全的管理机制也有待完善。首先要有计划、有步骤地提升电子政务信息系统操作以及相关管理人员的工作意识与能力, 通过加强组织领导机构的建设, 不断进行电子政务信息系统安全性与保密性的宣传工作, 培养工作人员的保密意识。为了达到这一目的, 相关部门可以采用诸如集中培训与知识竞赛等多种形式, 实现保密意识与能力培养的常态化, 通过各种形式提升电子政务工作人员的工作能力与安全意识, 从而推进电子政务信息安全系统的合理构建。
4.3 加强自主研发核心技术
子政务信息系统的运行以是计算机技术以及信息技术为主要的框架, 在提升信息安全性的工作中, 要从这两大技术入手, 不断升级优化相关硬件, 满足电子政务信息的安全性对于硬件的使用需求。为了进一步推动我国计算机技术以及信息技术的发展, 减少与发达国家之间的差距, 降低电子商务信息安全对外的依赖程度, 党和政府应立足信息技术发展的实际, 投入一定的人力与物力资源, 增加芯片密码技术等相关安全技术的研发力度, 同时建立其成熟高效的人才培养机制, 进行高科技人才的培养。在这一过程中, 为了保证相关技术的使用效果, 需要采取针对性的措施, 不断进行安全评估机制与监督审核模式的建设, 实现对电子政务信息安全系统的有效监管。一方面为了满足电子政务信息安全的现实要求, 采取应急手段, 制定一系列临时标准, 以保障信息安全工作的顺利开展。另一方面党和政府要立足于我国电子政务发展的实际情况, 对阶段性目标、建设方式以及长远目标进行理性化确认, 并以此为指导不断进行电子政务信息安全标准的制定与实施, 以全面提升信息安全的质量与水平。由于我国地域辽阔, 行政区域在数量、规模以及发展程度上存在较大差异, 因此, 在制定电子政务信息安全标准的过程中, 要充分考虑到不同地区之间的差异性, 有计划、有步骤地在不同的区域推行相关标准。为了保证电子政务信息安全标准的准确性, 需要根据实际的需要采取灵活多变的策略, 不断对其调整与优化, 使得电子政务信息安全标准能够满足实际的建设要求, 符合各个地区电子政务工作开展的实际需要, 从根本上切实有效的推进我国电子政务信息安全性的提高。
习近平总书记在中央网络安全和信息化领导小组第一次会议上指出:建设网络强国, 要有自己的技术, 有过硬的技术;要加强核心技术自主创新和基础设施建设。当前和今后一个时期, 基于云计算的电子政务公共平台正在成为新一代电子政务基础设施。进一步加强电子政务云平台核心技术设备应用, 有利于不断增强自主创新能力, 有利于全面提升电子政务技术服务水平, 有利于更好地支撑各级政务部门应用发展需求。
4.4 高效培养电子政务信息安全专业人才
伴随着我国计算机技术、信息技术的迅猛发展, 电子政务的可实践性大大提升, 加之电子政务在政治工作中的优越性, 使得其受到各级政府越来越多的重视。对技术人员的素质与工作能力提出了新的要求, 为了满足电子政务建设活动要求, 电子政务专业的以出现与发展。现阶段我国的电子政务专业虽然取得了突破性进展, 人才的数量与质量得到了有效提升, 但是其仍旧存在一系列问题, 教学方式上存在重理论轻实践的缺陷, 必将导致人才质量的实用性大大降低, 无法真正意义上满足电子政务信息安全构建活动的客观要求。基于此, 可以考虑从电子商务的发展吸取经验, 甚至是从电子商务领域聘请相关专家有针对性的对电子政务管理人员提供相应的培训。
比较西方国家而言, 电子政务在我国的发展较晚, 但是近年来在大城市蓬勃发展, 有赶超之势。当然, 从整理看, 我国电子政务的发展各个地区有别, 相应的电子政务安全也存在基础建设、硬件设备和相关主体素质的问题, 不过随着经济的发展, 电子政务的需求旺盛, 相应的电子政务信息安全会更加被重视, 专业技术人员也会增多, 假以时日, 通过各方的努力, 我国电子政务的信息安全一定会上一个新台阶。
5 结语
作为我国现代信息化体系的重要组成部分, 电子政务在信息化进程中扮演着十分重要的角色, 随着计算机技术与信息技术的日益进步, 电子政务本身也得到了蓬勃发展。初步形成了国家信息安全组织保障体系, 理清了电子政务信息管理的主体和客体, 相继出台了一系列有关信息安全的法律法规, 在电子政务信息安全系统的开发和维护的方面等取得了一定的成就。当然和欧美国家和其重要性比较而言, 仍有诸如法律法规和管理体制落后、轻视信息安全管理、信息安全技术水平不高、电子政务系统使用人员的安全意识淡薄等方面的问题, 需要进一步解决。
参考文献
[1]张翀斌, 锁延锋.信息安全技术在电子政务系统中的应用[J].信息网络安全, 2012, 15 (9) :45-46.
[2]李永忠.试论基于服务型政府的我国电子政务法律体系的构建[J].行政与法, 2011 (8) :24-27.
[3]侯卫真.电子政务的建设与发展[M].北京:中国人民大学出版社, 2006:2.
电子商务网络信息安全问题 篇5
1.防火墙技术。防火墙(Firewall)是近年来发展的最重要的安全技术,它的主要功能是加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络(被保护网络)。它对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略对其进行检查,来决定网络之间的通信是否被允许,并监视网络运行状态。简单防火墙技术可以在路由器上实现,而专用防火墙提供更加可靠的网络安全控制方法。
防火墙的安全策略有两条。一是“凡是未被准许的就是禁止的”。防火墙先是封闭所有信息流,然后审查要求通过的信息,符合条件的就让通过;二是“凡是未被禁止的就是允许的”,防火墙先是转发所有的信息,然后再逐项剔除有害的内容,被禁止的内容越多,防火墙的作用就越大。网络是动态发展的,安全策略的制定不应建立在静态的基础之上。在制定防火墙安全规则时,应符合“可适应性的安全管理”模型的原则,即:安全=风险分析+执行策略+系统实施+漏洞监测+实时响应。防火墙技术主要有以下三类:
●包过滤技术(PackctFiltering)。它一般用在网络层,主要根据防火墙系统所收到的每个数据包的源IP地址、目的IP地址、TCP/UDP源端口号、TCP/UDP目的端口号及数据包中的各种标志位来进行判定,根据系统设定的安全策略来决定是否让数据包通过,其核心就是安全策略,即过滤算法的设计。
●代理(Proxy)服务技术。它用来提供应用层服务的控制,起到外部网络向内部网络申请服务时的中间转接作用。内部网络只接受代理提出的服务请求,拒绝外部网络其它节点的直接请求。运行代理服务的主机被称为应用机关。代理服务还可以用于实施较强的数据流监控、过滤、记录等功能。
●状态监控(StatcInnspection)技术。它是一种新的防火墙技术。在网络层完成所有必要的防火墙功能――包过滤与网络服务代理。目前最有效的实现方法是采用CheckPoint)提出的虚拟机方式(InspectVirtualMachine)。
防火墙技术的优点很多,一是通过过滤不安全的服务,极大地提高网络安全和减少子网中主机的风险;二是可以提供对系统的访问控制;三是可以阻击攻击者获取攻击网络系统的有用信息;四是防火墙还可以记录与统计通过它的网络通信,提供关于网络使用的统计数据,根据统计数据来判断可能的攻击和探测;五是防火墙提供制定与执行网络安全策略的手段,它可以对企业内部网实现集中的安全管理。
防火墙技术的不足有三。一是防火墙不能防止绕过防火墙的攻击;二是防火墙经不起人为因素的攻击。由于防火墙对网络安全实施单点控制,因此可能受到黑客的攻击;三是防火墙不能保证数据的秘密性,不能对数据进行鉴别,也不能保证网络不受病毒的攻击。
2.加密技术。数据加密被认为是最可靠的安全保障形式,它可以从根本上满足信息完整性的要求,是一种主动安全防范策略。数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据。通过使用不同的密钥,可用同一加密算法,将同一明文加密成不同的密文。当需要时可使用密钥将密文数据还原成明文数据,称为解密。
密钥加密技术分为对称密钥加密和非对称密钥加密两类。对称加密技术是在加密与解密过程中使用相同的密钥加以控制,它的保密度主要取决于对密钥的保密。它的特点是数字运算量小,加密速度快,弱点是密钥管理困难,一旦密钥泄露,将直接影响到信息的安全。非对称密钥加密法是在加密和解密过程中使用不同的密钥加以控制,加密密钥是公开的,解密密钥是保密的。它的保密度依赖于从公开的加密密钥或密文与明文的对照推算解密密钥在计算上的不可能性。算法的核心是运用一种特殊的数学函数――单向陷门函数,即从一个方向求值是容易的,但其逆向计算却很困难,从而在实际上成为不可能。
除了密钥加密技术外,还有数据加密技术。一是链路加密技术。链路加密是对通信线路加密;二是节点加密技术。节点加密是指对存储在节点内的文件和数据库信息进行的加密保护。
3.数字签名技术。数字签名(DigitalSignature)技术是将摘要用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。在电子商务安全保密系统中,数字签名技术有着特别重要的地位,在电子商务安全服务中的源鉴别、完整性服务、不可否认服务中都要用到数字签名技术。
在书面文件上签名是确认文件的一种手段,其作用有两点,一是因为自己的签名难以否认,从而确认文件已签署这一事实;二是因为签名不易仿冒,从而确定了文件是真的这一事实。数字签名与书面签名有相同相通之处,也能确认两点,一是信息是由签名者发送的,二是信息自签发后到收到为止未曾做过任何修改。这样,数字签名就可用来防止:电子信息因易于修改而有人作伪;冒用别人名义发送信息;发出(收到)信件后又加以否认。
广泛应用的数字签名方法有RSA签名、DSS签名和Hash签名三种。RSA的最大方便是没有密钥分配问题。公开密钥加密使用两个不同的密钥,其中一个是公开的,另一个是保密的。公开密钥可以保存在系统目录内、未加密的电子邮件信息中、电话黄页上或公告牌里,网上的任何用户都可获得公开密钥。保密密钥是用户专用的,由用户本身持有,它可以对公开密钥加密的信息解密。DSS数字签名是由美国政府颁布实施的,主要用于
跟美国做生意的公司。它只是一个签名系统,而且美国不提倡使用任何削弱政府窃听能力的加密软件。Hash签名是最主要的数字签名方法,跟单独签名的RSA数字签名不同,它是将数字签名和要发送的信息捆在一起,所以更适合电子商务。
4.数字时间戳技术。在电子商务交易的文件中,时间是十分重要的信息,是证明文件有效性的主要内容。在签名时加上一个时间标记,即有数字时间戳(DigitaTimestamp)的数字签名方案:验证签名的人或以确认签名是来自该小组,却不知道是小组中的哪一个人签署的。指定批准人签名的真实性,其他任何人除了得到该指定人或签名者本人的帮助,否则不能验证签名。
时间戳(Time-Stamp)是一个经加密后形成的凭证文档,包括三个部分。一是需加时间戳的文件的摘要(Digest),二是DTS收到文件的日期与时间,三是DIS数字签名。
时间戳产生的过程是:用户首先将需要加时间的文件用HASH编码加密形成摘要,然后将该摘要发送到DTS,DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密(数字签名),然后送回用户。书面签署文件的时间是由签署人自己写上的,数字时间则不然,它是由认证单位DIS来加的,以DIS收到文件的时间为依据。
数字认证及数字认证授权机构
1.数字证书。数字证书也叫数字凭证、数字标识,它含有证书持有者的有关信息,以标识他的身份。数字证书克服了密码在安全性和方便性方面的局限性,可以控制哪些数据库能够被查看,因此提高了总体的保密性。
数字证书的内容格式是CCTTTX.509国际标准规定的,通常包括以下内容:证书所有者的姓名;证书所有者的公共密钥;公共密钥(证书)的有效期;颁发数字证书单位名称;数字证书的序列号;颁发数字证书单位的数字签名。
数字证书通常分为三种类型,即个人证书、企业证书、软件证书。个人证书(PersonalDigital)为某一个用户提供证书,帮助个人在网上安全操作电子交易。个人数字证书是向浏览器申请获得的,认证中心对申请者的电子邮件地址、个人身份及信用卡号等核实后,就发给个人数字证书,并安置在用户所用的浏览器或电子邮件的应用系统中,同时也给申请者发一个通知。企业证书,就是服务器证书(ServerID),是对网上服务器提供的一个证书,拥有Web服务器的企业可以用具有证书的Internet网站(WebSite)来做安全的电子交易。软件证书通常是为网上下载的软件提供证书,证明该软件的合法性。
2.电子商务数字认证授权机构。电子商务交易需要电子商务证书,而电子商务认证中心(CA)就承担着网上安全电子交易认证服务、签发数字证书并确认用户身份的功能。
CA主要提供下列服务:有效实行安全管理的设施;可靠的风险管理以及得到确认和充分理解。接受该系统服务的电子商务用户也应充分信任该系统的可信度。CA具有证书发放、证书更新、证书撤销、证书验证等四大职能。
电子政务户安全问题 篇6
关键词:电子政务信息安全
中图法分类号:TP309文献标识码:A
0引言
隨着电子政务不断推进,社会各阶层对电子政务的依赖程度越来越高,信息安全的重要性日益突出,在电子政务的信息安全管理问题中,基于现实特点的电子政务信息安全体系设计和风险评估模型是突出的热点和难点问题。本文试图就这两个问题给出分析和建议。
1电子政务信息安全的总体要求
随着电子政务应用的不断深入,信息安全问题日益凸显,为了高效安全的进行电子政务,迫切需要搞好信息安全保障工作。电子政务系统采取的网络安全措施不仅要保证业务与办公系统和网络的稳定运行,另一方面要保护运行在内部网上的敏感数据与信息的安全,因此应充分保证以下几点:
1.1基础设施的可用性:运行于内部专网的各主机、数据库、应用服务器系统的安全运行十分关键,网络安全体系必须保证这些系统不会遭受来自网络的非法访问、恶意入侵和破坏。
1.2数据机密性:对于内部网络,保密数据的泄密将直接带来政府机构以及国家利益的损失。网络安全系统应保证内网机密信息在存储与传输时的保密性。
1.3网络域的可控性:电子政务的网络应该处于严格的控制之下,只有经过认证的设备可以访问网络,并且能明确地限定其访问范围,这对于电子政务的网络安全十分重要。
1.4数据备份与容灾:任何的安全措施都无法保证数据万无一失,硬件故障、自然灾害以及未知病毒的感染都有可能导致政府重要数据的丢失。因此,在电子政务安全体系中必须包括数据的容灾与备份,并且最好是异地备份。
2电子政务信息安全体系模型设计
完整的电子政务安全保障体系从技术层面上来讲,必须建立在一个强大的技术支撑平台之上,同时具有完备的安全管理机制,并针对物理安全,数据存储安全,数据传输安全和应用安全制定完善的安全策略,其体系结构如图1所示。
在技术支撑平台方面,核心是要解决好权限控制问题。为了解决授权访问的问题,通常是将基于公钥证书(PKC)的PKI(Public Key infrastructure)与基于属性证书(AC)的PMI(Prlv-ilege Management Infrastructu re)结合起来进行安全性设计,然而由于一个终端用户可以有许多权限,许多用户也可能有相同的权限集,这些权限都必须写入属性证书的属性中,这样就增加了属性证书的复杂性和存储空间,从而也增加了属性证书的颁发和验证的复杂度。为了解决这个问题,作者建议根据×509标;隹建立基于角色PMI的电子政务安全模型。该模型由客户端、验证服务器、应用服务器、资源数据库和LDAP目录服务器等实体组成,在该模型中:
2.1终端用户:向验证服务器发送请求和证书,并与服务器双向验证。
2.2验证服务器
由身份认证模块和授权验证模块组成提供身份认证和访问控制,是安全模型的关键部分。
2.3应用服务器:与资源数据库连接,根据验证通过的用户请求,对资源数据库的数据进行处理,并把处理结果通过验证服务器返回给用户以响应用户请求。
2.4 LDAP目录服务器:该模型中采用两个LDAP目录服务器,一个存放公钥证书(PKC)和公钥证书吊销列表(CRL),另一个LDAP目录服务器存放角色指派和角色规范属性证书以及属性吊销列表ACR_o
安全管理策略也是电子政务安全体系的重要组成部分。安全的核心实际上是管理,安全技术实际上只是实现管理的一种手段,再好的技术手段都必须配合合理的制度才能发挥作用。需要制订的制度包括安全行政管理和安全技术管理。安全行政管理应包括组织机构和责任制度等的制定和落实;安全技术管理的内容包括对硬件实体和软件系统、密钥的管理。
3电子政务信息安全管理体系中的风险评估
电子政务信息安全等级保护是根据电子政务系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度。等级保护工作的要点是对电子政务系统进行风险分析,构建电子政务系统的风险因素集。
3.1信息系统的安全定级信息系统的安全等级从低到高依次包括自主保护级、指导保护级、监督保护级、强制保护级、专控保护级五个安全等级。对电子政务的五个安全等级定义,结合系统面临的风险、系统特定安全保护要求和成本开销等因素,采取相应的安全保护措施以保障信息和信息系统的安全。
3.2采用全面的风险评估办法风险评估具有不同的方法。在lS0/lEc TRl3335-3《信息按术IT安全管理指南:IT安全管理技术》中描述了风险评估方法的例子,其他文献,例如NlST SP800-30、AS/NZS 4360等也介绍了风险评估的步骤及方法,另外,一些组织还提出了自己的风险评估工具,例如0CTAVE、CRAMM等。
电子政务信息安全建设中采用的风险评估方法可以参考ISO17799、0CTAVE、CSE、《信息安全风险评估指南》等标准和指南,从资产评估、威胁评估、脆弱性评估、安全措施有效性评估四个方面建立风险评估模型。其中,资产的评估主要是对资产进行相对估价,其估价准则依赖于对其影响的分析,主要从保密性、完整性、可用性三方面进行影响分析:威胁评估是对资产所受威胁发生可能性的评估,主要从威胁的能力和动机两个方面进行分析:脆弱性评估是对资产脆弱程度的评估,主要从脆弱性被利用的难易程度、被成功利用后的严重性两方面进行分析:安全措施有效性评估是对保障措施的有效性进行的评估活动,主要对安全措施防范威胁、减少脆弱性的有效状况进行分析:安全风险评估就是通过综合分析评估后的资产信息、威胁信息、脆弱性信息、安全措施信息,最终生成风险信息。
在确定风险评估方法后,还应确定接受风险的准则,识别可接受的风险级别。
4结语
电子银行安全问题分析 篇7
根据巴塞尔银行监督委员会的定义,电子银行是通过电子手段(主要是因特网)建立的虚拟银行,它可以提供面对面的柜台服务和现金传递之外的所有传统银行功能。
电子银行网络系统可划分为三个部分:银行内部的电子银行服务体系、电子银行通信链路、电子银行客户端。为了保障整个电子银行体系的安全,需要从以上三个方面进行考虑。
多项调查表明安全已成为电子银行乃至其它形式的电子商务客户的最大顾虑。而最近几年来,层出不穷的网络犯罪事件,更是严重制约了电子银行的发展。
1 现阶段我国电子银行业存在的问题
1.1 电子银行面临的新风险
(1)技术选择风险。为了支撑网上业务的网站,银行必须选择一种技术解决方案,这样就产生了所选择的技术方案在设计上可能出现缺陷或被错误操作的风险。
(2)系统安全风险。网络经济环境下,银行需要利用网络优势发展网络金融,网络金融是基于全球电子信息系统运行的金融服务形式,硬件及软件等出现的故障或事故会引发新形式的风险。
(3)网络黑客攻击风险。人们称非法入侵电脑系统者为“黑客”。银行进行网络金融交易必须依靠计算机,依靠Internet,所有的交易资料都存储在计算机上,通过互联网传递的信息很容易成为众多网络黑客的攻击目标。黑客针对Internet自身的一些缺陷,利用高超的技术和工具破坏网上数据,给银行造成极大的危害。
(4)病毒破坏风险。现阶段计算机病毒越来越多,病毒的入侵往往造成网络主机系统崩溃,带来数据丢失等严重后果。计算机病毒普遍具有再生异化功能,可通过网络进行扩散、传播。如不能对病毒进行有效防范,将会毁坏数据,给银行网络系统带来致命威胁。
1.2 电子银行风险产生的原因
(1)银行自身的原因。银行运用现代通信、电子、软件技术发展网络金融,在很大程度上依赖于网络的稳定性。另外,我国银行运用网络开展金融业务,还缺乏经验,操作不当会引起客户对银行的网上服务不满。作为网上银行识别用户身份的一个重要手段,数字证书的作用、正确的使用方法首先应该清楚地向用户说明。在实际使用过程中,大多数网上银行已经提供了数字证书的使用,但事实上大多数用户很难了解具有相当技术含量的数字证书的完整含义。在大多数使用数字证书的网上银行网站上,只有在类似“热点问题解答”的网页中才有客户证书的介绍,而对其重要性、法律效力等却未充分说明。各家网上银行应当从为用户服务的角度出发,切实保障用户资金转移的安全性。
(2)客户方面的原因。电子银行具有传统银行经营过程中存在的信用风险,而信用风险源于社会信用体系不够健全。因此,应尽快建立我国的社会信用体系,以促进电子银行的发展。根据《电子签名法》第二十七条规定,电子签名的持有人应当妥善保管电子签名的数据。这就意味着传统意义上以IE浏览器作为介质存放数字证书的做法已经不能适应相关法规的要求。网上银行应尽量减少数字证书的下载而采用较为安全的以IC卡或USB-Key为介质的数字证书的存储方式。
(3)网络系统方面的原因。从技术角度来分析,如何通过网络真实表达交易双方的意愿,即如何确保数据的真实性、保密性和可靠性是网络金融面临的主要问题。
(4)法律方面的原因。电子银行在现在来说还是一个新事物,它的发展还需要国家的新商业法律法规的保护。它先进的信息技术也要一系列的法规相配套。但是我国的金融立法工作相对滞后,网络金融立法还处于酝酿和发展中。目前,电子银行采用的规则都是协议,出现争端时责任的认定、承担、仲裁结果执行等复杂的法律关系问题是现有条件下难以解决的。
2 当前电子银行业务的安全防范措施和解决方法
2.1 支付网关
支付网关是银行金融系统和Internet之间的接口,是由银行操作的将Internet上的传输数据转换为金融机构内部数据的设备,或由第三方处理商家的支付信息和顾客指令。支付网关可以确保交易在Internet用户与交易处理之间安全、无缝隙传递,并且无须对原有主机系统进行修改。离开支付网关,网上银行的电子支付功能也就无法实现,银行使用支付网关可以实现以下功能:(1)配置和安装Internet网络支付能力;(2)避免对现有主机系统的修改;(3)采用直观的用户图形接口进行系统管理;(4)适应诸如扣帐卡、电子支票、电子现金以及微电子支付等电子支付手段;(5)通过采用RSA公共密钥加密,可以确保网络交易的安全性;(6)提供完整的商户支付处理功能,包括授权、数据捕取和结算、对帐等;(7)通过对Internet网上交易的报告和跟踪,对网上活动进行监视;(8)使Internet网络的支付处理过程与当前支付处理上的业务模式相符,确保商户信息管理上的一致性,并为支付处理商进入互联网交易处理这一不断增长的新市场提供了机会。
有了支付网关,银行或交易处理商在面对网络市场高速增长和网络交易量不断膨胀的情况下仍可保持其应有的效率。
2.2 X银行网上银行的解决方案
2.2.1 系统结构
客户终端-->Internet-->防火墙-->WEB服务器-->银行主机
电子银行的Web服务器通过专线连入Internet,客户使用浏览器通过Internet访问Web服务器,主机接收通过Web服务器传送上来的交易请求及相关数据,进行联机事务处理并保存有关交易数据,有关信息通过Web服务器传送给浏览器端的客户。
2.2.2 软件结构
如图1所示,该电子银行系统由应用前端、应用网关和通讯接口三个部分组成,与客户端浏览器、主机业务服务器一起构成了电子银行的运行环境。客户端采用标准的WWW浏览器。应用前端接受浏览器的访问,是电子银行与客户的交互界面。应用前端接受浏览器的访问,是电子银行与客户的交互界面。通讯接口完成Web服务器与主机业务服务器的通讯处理。主机业务服务器接收服务器的交易请求,进行实时交易处理,然后将交易结果发给服务器。所有的帐户信息都存放在银行主机业务服务器上,Web服务器中不存放任何帐户信息。安全管理贯穿于整个电子银行系统的运行环境。
2.2.3 安全性
为了保障电子银行的安全运行,该系统从以下三方面进行了安全性设计:
(1)客户合法性检验。建立客户合法性检验机制,客户在操作其帐户时,必须提供客户号和相应的密码,密码只有客户知道,也只有客户能进行修改。对公客户的身份认证由IC卡实现。
(2)安全的数据传输。采用SSL协议实现重要信息在Interne上的传输安全控制,提供如下安全保证:(1)传输数据的保密性:在Internet上传输的客户资料和帐户信息是经过加密的;(2)传送数据的完整性:保证数据在传输过程中不被偶然或恶意更改;(3)交易双方的身份认证:客户和银行能够互相确认对方的身份;(4)交易的不可否认性:客户和银行都不能对达成的交易矢口否认。
(3)银行内部网络的安全。在Web服务器和Internet之间设置防火墙系统,将银行内部网和Internet进行有效隔离。
2.3 强化银行网络安全的措施
(1)采用相关的访问控制产品及控制技术来防范来自不安全网络或不信任域的非法访问或非授权访问。
(2)采用加密设备应用加密、认证技术防范信息在网络传输过程中被非法窃取,造成信息的泄露,并通过认证技术保证数据的完整性、真实性、可靠性。
(3)采用安全检测技术来实时检查进出网络的数据流,动态防范各种来自内外网络的恶意攻击。
(4)采用网络安全评估系统定期或不定期对网络系统或操作系统进行安全性扫描,评估网络系统及操作系统的安全等级,并分析提出补救措施。
(5)采用防病毒产品及技术实时监测进入网络或主机的数据,防范病毒对网络或主机的侵害。
(6)采用网络备份与恢复系统,实现数据库的安全存储。
(7)构建CA认证中心,来保证加密密钥的安全分发及安全管理。
(8)应用安全平台的开发,针对银行特殊的应用进行特定的应用开发。
(9)必须制定完善安全管理制度,并通过培训等手段来增强员工的安全防范技术及防范意识。
2.4 电子银行客户支付安全
电子银行安全隐患大,从各有关案例分析看来,安全还靠客户自己,客户需要有针对性地对电子银行安全有所掌握和了解。对广大电子银行客户来说,最值得关注的就是各种在线支付安全,我们在使用电子银行进行支付的时候需要采取以下的防范措施。
(1)不轻易运行不明真相的程序。如果你收到一封带有附件的电子邮件,且附件是扩展名为EXE一类的文件,这时千万不能贸然运行它,因为这个不明真相的程序,有可能是一个系统破坏程序或网银大盗等木马软件。攻击者常把系统破坏程序换一个名字用电子邮件发给你,并带有一些欺骗性主题。你一定要警惕了!对待这些表面上很友好、善意的邮件附件,我们应该做的是立即删除这些来历不明的文件。
(2)屏蔽小甜饼信息。小甜饼就是Cookie,它是Web服务器发送到电脑里的数据文件,它记录了诸如用户名、口令和关于用户兴趣取向的信息。实际上,它使你访问同一站点时感到方便,比如,不用重新输入口令。但Cookies收集到的个人信息可能会被一些喜欢搞“恶作剧”的人利用,它可能造成安全隐患。因此,我们可以在浏览器中做一些必要的设置,要求浏览器在接受Cookie之前提醒您,或者干脆拒绝它们。通常来说,Cookie会在浏览器被关闭时自动从计算机中删除,可是,有许多Cookie会一反常态,始终存储在硬盘中收集用户的相关信息。为了确保万无一失,对待这些已有的Cookie信息应该从硬盘中立即清除,并在浏览器中调整Cookie设置,让浏览器拒绝接受Cookie信息。
(3)不同的地方用不同的口令。对于经常上网的用户,可能会发现在网上需要设置密码的情况有很多。有很多用户图方便记忆,不论在什么地方,都使用同一个口令,殊不知他们已不知不觉地留下了一个安全隐患。因为攻击者一般在破获到用户的一个密码后,会用这个密码去尝试用户每一个需要口令的地方。建议各位用户,特别是网银用户在设置电子银行登陆、支付密码时,选择不容易猜到的密码,避免采用资料中相同的内容,比如生日、电话号码等资料中的前几位、后几位数字,最好是字母、数字混合的密码,并且应定期更换密码。
(4)定期查询交易记录。通过电子银行的交易查询功能定期查看电子银行当日、历史的交易明细记录,看看有无异常交易,如果发现,立刻注销电子银行,并及时和银行取得联系。
(5)妥善管理数字证书。严格保管好你的数字证书,不要在公共场所或公用计算机上使用电子银行,以防止数字证书等机密资料落入他人之手。只要保管好自己手中的数字证书及其密码,就可以高枕无忧。另外,对于数字证书还需要定期更新,以保证其安全性。
(6)保证计算机的安全。要保证网上交易的安全,首先你使用的计算机要安全。具体的措施包括安装防病毒软件(并定期更新病毒库)、安装个人防火墙、给系统和网页浏览器常更新安全补丁、不要随意接受QQ等聊天工具中传来的文件、不要轻易打开电子邮件中的附件等。
(7)其他安全保护措施。除以上介绍的安全保护措施以外,最好不要在公共场所使用电子银行。每次使用完电子银行后,应该单击页面中相应的“退出登陆”按钮正确退出。
3 结束语
电子银行安全无疑是一个系统工程,它与产业链上诸多环节密切相关,使电子银行风险降低是产业链中多种力量积极互动的结果。安全使用网上银行,关系到用户的合法权益不受侵害,更关系到各家商业银行的资质信誉。当前网上银行正步入一个快速发展时期,作为推广应用网上银行的金融部门,更要做好社会宣传,必要时可以举办实用推广学习班,使用户会管、会用,成为当家理财的好帮手。作为网上银行的客户,更要对自己负责。为了保证你的网上银行的运营安全,只有学得好,才能用得好,消除后顾之忧。
参考文献
[1]刘春红.中外电子银行业务之比较[J].金融与保险,2003(9).
[2]张成虎,邱天.电子签名法对我国网上银行的影响及对策[J].中国金融电脑,2004(12).
[3]吴亮,张迎春,程旺江.电子银行的资源整合与组织协调[J].中国金融电脑,2004(9).
[4]张卓其,史明坤.网上支付与网上金融服务[M].东北财经大学出版社,2004.
[5]崔援民.电子商务[M].北京:经济管理出版社,2004.
[6]薛伟,史达.网络安全[M].大连:东北财经大学出版社,2005.
电子商务安全问题 篇8
一、新时期计算机电子商务面临的安全问题
(一) 网络环境的基础设施保障性能低。
我国电子商务的发展时间较短, 因此在计算机电子商务的基础设施和安全意识上还存在一定的缺陷。随着各个行业领域的发展, 以及各行业内部网站的不断建设, 计算机电子商务频频爆发安全问题, 从而阻碍了电商活动的正常发展, 造成电商活动经营者的恐慌。并且一些网络病毒对网络系统的破坏, 造成企业用户信息的丢失和窃取。对时下的计算机电子商务安全问题单单采用行业内部的杀毒软件, 并不能达到根治的效果。
(二) 计算机电子商务信息存储性能低。
因为计算机电子商务信息的存储方式都是静态方式, 导致很多网络黑客用户对存储资源的篡改和查看, 造成企业内部网络信息数据保密性和安全性的丢失, 致使计算机电子商务人员难以在安全的网络环境下进行重要信息的存储。
(三) 计算机电子商务的网络环境缺乏规范性。
电子商务的发展对传统的产品交易模式产生了巨大的冲击, 时至今日, 一些实体店因为淘宝、天猫这些购物网络的发展, 客户流失量日益增高, 使得店铺的经营无法得以有效的维持。虽然计算机电子商务活动得到有效的发展, 但是计算机电子商务安全性问题仍然没有得到一个科学规范化管理, 安全问题仍影响着现今的电商活动的发展。
二、新时期计算机电子商务安全方法策略
(一) 完善电子支付的法律制度, 加强政府监管。
电子支付的安全性是现在电商活动经营人员最为关注的安全问题, 因为电子支付涉及到收款人、付款人和银行这三个方面的隐私信息, 因此需要对三者的法律关系进行明确的规范, 从而制定相应的法律政策, 为电子支付的安全性提供可靠的法律保障。
新时期的背景下, 随着计算机电子商务的发展, 人们对电子商务的安全性也提出了更高的要求, 要提升计算机电子商务安全性, 政府就要发挥其应有的监管职能, 对计算机电子商务交易安全进行监督和管理, 从而保证用户交易的安全。
(二) 提升企业用户的安全意识。
在新时期的计算机电子商务发展过程中要保障计算机电子商务的安全, 就需要可靠的技术支撑, 并且完善计算机电子商务相关的法律政策。这些措施可以在计算机电子商务外部保护企业用户的安全, 但是若要在内部进行计算机电子商务安全化管理, 还需要用户提升自身的安全意识, 如对电子商务交易中一些专业知识的学习和网络防火墙知识的学习和运用, 以及对电子商务交易流程的熟知。
(三) 计算机电子商务安全技术的完善。
要从根本上杜绝计算机电子商务安全隐患的发生, 除了规范网络交易环境和增强用户的安全意识外, 还应加强安全技术的完善。如积极推广身份识别技术, 保护计算机电子商务交易双方的信息有效、完整。现今的身份识别技术主要有两种识别方式:第一种是利用数字标志法进行验证, 此类方法一般是借助于当下的电子信息技术, 鉴别交易双方用户信息的真伪, 并对交易网络的安全性进行监测, 确保交易环境和交易双方身份信息的安全。在此过程中还需要利用数字证书对用户身份进行验证;第二种方式是计算机电子商务认证中心, 该认证中心的主要功能就是对网络交易和数字证书进行认证和管理, 从而保护用户信息的安全。
三、结语
综上所述, 随着科学技术的创新, 计算机电子商务得到了强有力的网络技术支持, 使得计算机电子商务得到飞速的发展。但是, 计算机电子商务安全问题却频频爆发, 使得企业用户对电子商务的安全产生恐慌, 一些用户为了保护个人信息的安全性甚至推出了电商活动。所以, 计算机电子商务安全性的提升就变得尤为重要, 因此就需要加强政府部门对网络环境的监管, 用户提升对网络安全性的认知, 最后还需要网络安全性技术的研究人员不断地完善和创新安全技术的应用功能, 从而在根本上解决计算机电子商务安全问题。
参考文献
[1]马伟.新时期计算机电子商务的安全策略分析[J].中国商贸, 2013.18.
[2]曹国庆, 赵雪.新时期计算机电子商务的安全策略分析[J].科技传播, 2014.14.
电子政务户安全问题 篇9
1.1 我国电子政务的发展状况
20世纪80年代末, 我国开始了政务办公自动化建设, 这是我国电子政务建设的准备阶段, 其正式发展始于20世纪90年代。到2004年, 我国电子政务在基础环境建设、业务系统应用和信息资源开发等方面取得了重要进展, 大大地促进了政府职能转变。电子政务增强了政府办公的透明度, 提高了政府的服务质量, 而且还提供了便捷的渠道使公众积极参与政府决策。
发展电子政务, 政务是根本, 安全保密是保障。在促进信息化建设、提高政务服务水平的同时, 电子政务的信息安全问题也越来越受到重视, 它关系到国家安全和政府工作的正常运转。目前我国电子政务建设总体上仍处于初级阶段, 标准不统一、业务水平不高等问题严重阻碍了我国电子政务的快速发展, 而且对发达国家的信息设备和技术有着很强的依赖性, 对引进设备的管理和技术改造方面还缺乏保障机制。我国电子政务的法律法规建设也还跟不上其发展步伐, 随着电子政务建设进程的加快, 在利用信息技术提高政府管理工作效率的同时, 各种信息安全问题给政府机关信息化建设带来很大影响。如何加强政府机关信息化安全建设, 提高信息安全防护能力, 成为电子政务与信息化建设中日益重要的任务。
1.2 电子政务应用中的信息安全
1.2.1 信息安全的内涵
信息安全是国际安全体系的重要组成部分, 政府机关的信息安全建设主要涉及网络安全、政府门户网站安全和重要信息系统安全等方面。信息安全是指信息网络的硬件、软件及其系统中的数据受到保护, 不因偶然的或者恶意的原因而遭到破坏, 系统连续可靠正常地运行, 信息服务不中断。它包含两个方面的含义, 即信息系统的安全和信息内容的安全。
信息安全问题主要发生在信息的存储、传输和使用等过程中。电子政务要求的网络信息安全主要是保证机密信息不被窃听, 防止信息被非法篡改, 确保数据的一致性, 防止由于计算机病毒等原因造成网络和系统无法正常运行而拒绝服务, 并且建立有效的责任机制, 使得个人行为具有可信度。简而言之, 信息应具有保密性、完整性、可用性、可控性、不可否认性。
1.2.2 保证信息安全的意义
政府的政务活动事关国家和人民的切身利益, 在信息时代, 要保证信息安全, 必须建立可靠的安全保障体系, 这是电子政务发展中的重要举措和必经之路。电子政务的安全目标是要保护政务信息及资源不受侵犯, 保证信息资产的所有者面临最小的风险。电子政务系统信息安全是根据政务系统的安全要求和信息技术的应用产生的, 电子政务系统作为政务机关运行的重要手段之一, 必须满足政务活动对信息的安全要求。电子政务系统把安全问题作为核心问题来重点关注, 因此, 建设一个安全可靠的电子政务系统是电子政务健康发展的一个主要目标。
2 当前我国电子政务在信息安全方面存在的问题
2.1 组织管理不完善
电子政务的信息安全, 除技术方面的安全措施以外, 健全管理机构和管理措施也显得十分重要。由于电子政务管理机构不统一, 上下机构不对口, 导致政令不畅通。要建立岗位责任制, 不断完善电子政务的安全管理体系, 在运行中不断调整安全策略, 完善安全设计, 使安全策略更符合实际, 安全设计更加合理。科学管理是防止网络入侵的必要措施, 责权不明、安全管理制度不健全及缺乏可操作性等问题都可能引起安全风险。目前有些政府部门还只关注信息技术的发展, 不重视管理, 没有完全认识到管理的重要性。只有加强管理才能把人和技术结合起来, 使安全技术能充分发挥效果。
随着政府全面上网工程的规模逐渐形成, 电子政务安全管理的难度也逐渐加大, 安全设施的配置不合理, 访问控制管理不严格, 这些问题的存在也给电子政务系统带来了安全隐患。很多机关管理部门忽视安全防范, 管理体制不健全或没有发挥作用, 甚至出现一个部门多个网站的现象。这些管理中存在的问题给不法分子提供了可乘之机, 他们会通过在网上发表不实言论等方式来损害国家利益。
2.2 安全技术不成熟
在加快电子政务发展的过程中, 我国引进了很多国外先进设备, 包括硬件方面的主要核心产品, 同时也带来了严重的安全缺陷, 在技术上显得非常被动。我们没有完全掌握这些引进设备的关键性技术, 对引进的软件和安全产品还缺乏有效的检测手段。政府部门内部的计算机系统本身也有弱点, 软件缺乏安全性, 造成电子政务信息系统存在先天的安全隐患。一旦发生重大情况, 病毒就有可能被激活, 这将对我国的经济发展、社会稳定造成灾难性的后果。虽然电子政务发展极为迅速, 但相配套的应用软件及信息安全系统的开发建设水平却停滞不前, 还存在很多薄弱环节。
2.3 保密机制不健全
在电子政务建设与应用中, 保密部门的主要职责是安全保密管理。整个网络的规范设计、审核和运行的有效管理关系着电子政务的安全保密成效, 保密部门应积极参与并协调各部门和单位, 在电子政务建设和应用中做好安全保密工作。由于我国电子政务发展较晚, 现行的各项法律法规无法适应其发展要求, 目前对电子政务系统中的数据信息管理还停留在传统的硬件环境等管理层面上, 而对应用系统的动态管理还缺乏保密机制, 使得目前政府半公开信息及保密信息面临着严重的威胁。所以保密部门目前的紧要任务是要制定有关行政法规, 明确政务内网、政务外网建设各环节的保密要求, 抓紧研究网络体制和安全保密策略, 切实履行保密管理职责, 真正发挥保密工作的作用。
3 我国电子政务应用中的信息安全问题解决对策
3.1 完善管理机制, 建立健全管理法规
电子政务是政务活动和信息技术的结合点, 因此设立专门的管理机构、制定相应的发展规划显得极为重要。解决信息安全问题, 首先要完善管理机制, 加强网络与信息安全规章制度建设。在学术上也要加强对电子政务的研究、规划和组织协调, 并根据国情, 制定切实可行的阶段性目标。地方政府应积极配合国家信息化领导机构, 在各地区建立相应的信息安全管理机构, 以强化信息安全管理, 形成系统的信息安全管理体系。同时, 根据管理需求, 可以对电子政务系统的信息内容实施安全监控, 防止由于内部违规或外部入侵造成的信息泄密, 从而保护政务信息的安全, 同时也有效阻止了有害信息在政务网上的传播。
强化管理制度就是要结合国家信息管理方面的法律法规, 制定一套规章制度, 用来规范政府部门中各级信息化管理部门的日常工作行为, 保证信息化部门的权利。相关制度包括计算机网络管理制度、机房安全管理制度、信息安全责任制度、信息安全事件应急处理机制、信息安全事故查处制度等。
3.2 做好规划, 整合信息资源
针对目前许多政府部门信息系统建设标准不统一, 导致资源不能共享的问题, 可考虑电子政务网络建设由国家统一规划。建立统一的电子政务平台, 确保各部门之间及上下级部门能协同办公, 避免重复建设, 降低电子政务成本。要通过电子政务科学化建设, 实现资源整合、共享和有效利用, 实现管理和服务的高效、规范、透明。除此之外, 还要构建电子政务的标准化体系, 尽快完善我国电子政务的各项标准化措施, 重点建立一套具有自主知识产权、适合我国政府办公特点的电子政务标准。现阶段要在充分整合现有资源的前提下, 建设标准统一、功能完善和安全可靠的信息网络基础设施, 优化业务流程, 建设一个高效、快捷、安全的电子政务应用系统。
3.3 科学运用信息安全技术
实现网络安全首先需要一个安全的操作系统, 最好要采用具有自主知识产权的操作系统, 如果政务操作系统配置不当或在应用中存在漏洞, 则可能导致整个安全体系的崩溃。在政务平台建设中, 强调政务与技术的有机结合十分重要, 政府机关在开展信息网络建设时, 在网络系统的最初规划中, 就要把安全防护系统建设考虑进去。从网络设计到机房安全布局, 从设备选型到硬件采购, 从防火墙到加密机制, 都要同步建设同步实施, 这样才能保证安全预算能够满足安全防护措施的需求。
在日常维护中要定期检查系统漏洞, 检查系统的配置是否有更改, 及时发现存在的问题, 确保电子政务系统的硬件设备及操作系统都能得到有效的安全保障。此外, 由于网络技术本身存在的局限性, 鉴于安全问题, 在构建电子政务系统过程中既要满足技术先进性又要保留一定的自主性。尤其是有关安全监控系统等, 必须在其核心部分确保技术自主, 研发具有自主知识产权的信息安全核心技术。
3.4 加快人才培养, 提高人员信息素养
电子政务的建设在不断深入和加强, 对工作人员的专业水平要求也将随之提高。我国现有的信息安全专业人才存在不足, 很多安全问题是由于管理人员缺乏安全知识造成的。提高网络管理技术人员的技术水平, 对机关工作人员进行安全教育, 增强政府机关工作人员的信息安全与防范意识已刻不容缓。在不断强化工作人员计算机应用能力的同时, 还应努力提高他们的保密意识, 注重培养精专型人才, 特别是应用复合型人才。要建立严格的岗位责任制, 在信息安全应用、管理等方面实行严格的制度, 定人定岗定责, 使其各司其职。
政府部门应保证以一定比例录取具有计算机专业水平的人员作为公务员, 对现有的在岗人员也要定期进行专业培训, 使他们具备处理常见问题的能力, 提高公务员整体的信息素养, 以提高整个队伍的技术水平。在对应用型人才的培养中, 还应促使公务员及时了解新的信息技术, 提高获取和利用信息的能力, 掌握整合、分析信息的方法, 从而在工作实践中很好地应用。重视公务员的信息技术培养, 提高公务员的信息素养, 强化他们运用信息技术的能力, 是带动电子政务建设健康有序发展的一项重要措施。
摘要:在推进政务信息化的过程中, 我国大规模建设电子政务系统, 信息技术在政务机关的正常运行中的作用越来越明显, 信息系统自身的安全性成为影响政务机关正常运行的关键要素之一。我国电子政务信息安全在组织管理、安全技术、保密机制等方面还存在一些问题, 影响和制约了电子政务的健康发展。本文对我国电子政务的发展现状、安全管理方面存在的问题及信息安全技术的应用, 进行了深入分析与探讨, 并从完善机制、做好规划、改进技术、培养人才等方面寻求积极的应对措施。
关键词:电子政务,信息安全,安全技术
参考文献
[1]高松林.对电子政务信息安全管理的思考[J].秘书之友, 2010 (10) .
[2]赵君香.国外电子政务发展对我国的启示[J].科技信息, 2010 (25) .
[3]金江军.电子政务理论与方法[M].北京:中国人民大学出版社, 2009.
[4]潘荣坤.电子政务系统的信息安全问题及其对策研究[J].决策咨询通讯, 2010 (4) .
[5]温正卫.信息安全技术在电子政务系统中的应用[J].软件导刊, 2010 (6) .
[6]沈红军.浅谈政府机关信息化安全建设[J].信息安全与技术, 2010 (8) .
电子商务安全问题研究 篇10
(一)电子商务的概念
电子商务出现于20世纪90年代,发展的时间并不长,但与传统商务相比,电子商务具有惊人的发展速度。CNN公布的资料表明,1999年度全球电子商务销售额突破1 400亿美元。但是,究竟什么是电子商务呢?实际上,迄今为止,电子商务还没有一个被广泛接受的概念。
世界贸易组织(WTO)给电子商务下的定义为:电子商务是指以电子方式进行的商品和服务之生产、分配、市场营销、销售或交付。
经济合作发展组织(OECD)认为:电子商务是指商业交易,它包括组织与个人在基于文字、声音、可视化图像等在内的数字化数据传输与处理方面的商业活动。
世界各国对电子商务的理解也不尽相同。尽管电子商务的定义在内容上各有侧重,但是我认为电子商务的内涵一般应至少包括下列三方面内容:
(1)使用电子工具,借助互联网传输信息。
(2)在公开环境下交易。
(3)依靠一定的技术规范和技术标准,利用数据化的信息来进行交易。
电子商务使用的网络类型主要有三种形式:EDI网络、INTRANET网络和INTERNET网络。由于EDI是专线网络,而INTRANET是企业内部网,其安全性较好,对传统法律规范体系的冲击相对于INTERNET要小的多,因而本文主要讨论的电子商务主要是指借助于INTERNET网络的电子商务。
(二)电子商务的安全的内容及要求
电子商务作为一种新的经济交易方式,它只是在表现形式上与传统商业不同,但是这并没有改变其商业属性,这就要求电子商务的运作必须遵循商业活动的一般规律,否则,电子商务是无法发展的。
安全与效率,是一切经济交易必须考虑的两个问题。电子商务的存在与发展也必须满足这两个要求。对于电子商务而言,其高效性已经得到了人们充分的认可。但是,安全性呢?电子商务作为一种新生事物,世界各国都尚未形成成熟的安全运营模式。如何在网络环境下,构建与传统法律价值接近的规则体系,已经越来越为人们所关注。
从传统商业与电子商务的不同特点来看,要满足电子商务的安全性要求,至少要有下面几个问题需要解决。
1. 交易前交易双方身份的认证问题。
电子商务是建立在互联网络平台上的虚拟空间中的商务活动,交易的当事人可能处在不同的国家,他们并不直接见面,双方只能通过数据、符号、信号等进行判断、选择,具体的商业行为也依靠电子信号和数据的交流,交易的当事人再也无法用传统商务中的方法来保障交易的安全。
2. 交易中电子合同的法律效力问题以及完整性保密性问题。
在传统国际贸易法中,合同形式要求为书面,而电子商务中的合同是电子合同,与传统的书面形式存在很大的不同,其法律效力如何取决于法律的有关规定。而且,由于电子商务所依赖的互联网平台本身具有开放性的特点,交易双方的数据如何避免被他人截取和篡改,以保证其完整性和保密性,这都是电子商务发展必须面对和解决的问题。
3. 交易后电子记录的证据力问题。
在英美法系,传闻证据规则限制了电子记录的证据力。在我国,诉讼法中并未对电子记录的证据力作出明确规定,甚至也没有将其单列出来作为证据的一种。
上述这些问题,已经对传统法律制度造成了冲击,也是实现电子商务安全所必须解决的问题。笔者将针对这些问题,从技术安全、组织安全、法律安全三个角度,对电子商务的安全运营问题进行解析。
二、电子商务安全性的现状及存在的问题
(一)电子商务安全的现状
1. 基础技术相对薄弱
国外有关电子商务的安全技术,其结构或加密算法等都不错,但由于受到本国密码政策的限制,公开的算法对于他们来说几乎不能保密了,潜在安全隐患极大。比较遗憾的是我国至今还没有自己研发成功的较为成熟的算法。
2. 体系结构不完整
电子商务安全以前大都担当着“救火队”的角色,头痛医头,脚痛医脚。这种“治标不治本”的做法下,问题总是层出不穷。近年来,人们已经开始着手从体系结构来解决问题,应当说在理论上已取得了明显的进展,但到实践运用还需要更大的努力。
3. 支持产品不过硬
目前,市场上有关电子商务安全的产品数量不少,但真正通过认证的相当少。主要是因为不少安全措施是从网上“移植”来的。另外,不少电子商务安全技术的厂商对网络技术很熟悉,但对安全技术普遍了解得不多,很难开发出真正实用的、足够的安全技术和产品。目前,构成我国信息基础设施的网络、硬件、软件等产品几乎完全建立在以美国为首的少数几个发达国家的核心信息技术之上。
4. 多种“威胁”纷杂交织、频频发生
电子商务面临的安全威胁主要来源于三个方面:一是非人为、自然力造成的数据丢失、设备失效、线路阻断;二是人为但属于操作人员无意的失误造成的数据丢失;三是来自外部和内部人员的恶意攻击和侵入。最后一种是当前电子商务所面临的最大威胁,极大地影响了电子商务的顺利发展。因此,它是电子商务安全对策最需要解决的问题。
“黑客”攻击电子商务系统的手段可以大致归纳为以下5种:
(1)中断:采取破坏硬件、线路或文件系统等,攻击系统的可用性。
(2)窃取:采取搭线、电磁窃取和分析业务流量等获取有用情报,攻击系统的机密性。
(3)篡改:结合其他手段修改秘密文件或核心内容,攻击内容完整性。
(4)伪造:采取伪造假身份注入系统、假冒合法人接入系统、破坏消息的接受和发送,攻击系统的真实性。
(5)轰炸:采取施放电子邮件炸弹等,攻击系统的健壮性。
(二)电子商务安全的问题
1. 网络的安全性问题
(1)利用IP欺骗进行攻击
黑客伪造LAN主机的IP地址,并根据这个伪造的地址进行不正当的存取。他先使被信任的主机丧失工作能力,同时采用目标主机发出的TCP序列号,猜测出他的数据序列号,然后伪装成被信任的主机,同时建立起与目标主机基于地址经验的应用连接。如果成功,黑客可以进行非授权操作,偷盗、篡改信息。
(2)捕获用户的姓名和口令
黑客通过软件程序跟踪检测软件,可检测到用户的登录名、密码,在获得用户账户的读写权之后,可以对其内容胡乱加以修改,毁坏数据,甚至输入病毒,使整个数据库陷于瘫痪。
(3)使用“拒绝服务”
黑客发送大量的“请求服务”指令,使得WEB服务器或路由器过载而停止服务,使网络处于瘫痪的状态。
(4)非法窃听
黑客通过搭线窃听,截收线路上传输的信息,或者彩电磁窃听,截收无线电传输的信息,以进行敲诈等非法活动。
(5)网络协议安全性问题
2. 交易中电子合同的法律效力问题以及完整性保密问题
在传统国际贸易法中,合同形式要求为书面形式,而电子商务中的合同是电子合同,与传统的书面形式存在很大的不同,其法律效力如何取决于法律的有关规定。而且,由于电子商务所依赖的互联网平台本身具有开放性的特点,交易双方的数据如何避免被他人截取和篡改,以保证其完整性和保密性,这都是电子商务发展必须面对和解决的问题。
3. 交易中的安全性问题
(1)网上诈骗
网上诈骗是世界上第二种最为常见的的投资诈骗形式,它有以下几种形式:
(1)亲和团体诈骗。利用团体内部成员对宗教、种族及专业性团体进行诈骗。
(2)不正当销售行为诈骗。向不适宜的投资者推销、欺骗性报价及市场操纵。
(3)电话推销行为诈骗。利用“电话交易所”,强行兜售非法或欺骗性的投资产品。
(4)高技术产品服务诈骗。利用不合法的优惠条件来误导高技术投资者,许诺高额利润,对高技术产品的风险轻描淡写。
(5)提供投资拍电影或其他娱乐产品行骗,欺骗投资者,对投资者隐瞒风险。
(2)冒名顶替
这是指盗用他人身份来谋取钱财。他们大多会使用一个假身份来向用户贩卖实际上并不存在的商品,借机获得用户的信用卡等信息,然后设法将用户的钱取光。
(3)抵赖
在进行网上交易时,交易双方不见面,互不知道对方的年龄、性别、住址、公司状况,当交易的一方不守信用时,他可能对已经实施的操作进行抵赖,或诬陷对方实施了其实没有实施的操作,这种抵赖往往都是恶意的。如“卖股票500股被改成5 000股,请赔偿损失”,其实,对方可能没改动任何数字。
三、改善电子商务安全性问题的技术措施及建议
(一)利用电子商务安全技术改善电子商务安全
1. 采用包过滤路由器
使用包过滤路由器(Router)除了可以完成不同网段间的寻址外,还可以滤除不受欢迎的一些主机的地址和服务。因为INTERNET/INTRANET的基础协议是TCP/IP协议。网络中的每台机器都有一个唯一的IP地址,通过该地址可以访问网络中的任何一台机器。除此之外,通信双方必须有一致的协议(如FTP、HTTP、Gopher、Telnet等)才能彼此理解所传送的数据包,这些协议是用机器的端口来标识的,而相应的服务也用端口来表示(如Gopher的端口为70、WWW的端口为80、FTP的端口为20或21),这样,包过滤路由器就通过IP地址和端口地址以及允许、禁止两种状态来控制网络对某个特定主机或服务的访问。
2. 防火墙技术
防火墙是近年来发展的最重要的安全技术,所谓防火墙就是在内部网与外部网之间的界面上构造一个保护层并强制所有的连接都必须进过此保护层在进行检查和连接。只有被授权的通信才能通过此保护层从而保护内部网资源免遭非法入侵。它的主要功能是加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络即被保护网络。电子商务中的防火墙主要是为了防止黑客利用不安全的服务对传输数据和信息进行攻击,阻止未授权的用户对信息资源的非法访问,甚至是对网络实施检查,决定网络之间的通信权限,监视网络的进行状态。
防火墙作为最成熟、最早产品化的网络安全机制,其最初的设计就是防范外部攻击,改进的防火墙技术更可有效地控制内部和病毒的破坏。在设计防火墙时必须考虑防火墙的姿态、机构的整体安全策略、费用、基本构件和拓扑结构以及维护和管理方案。所有的防火墙设计都要遵照两条基本原则:未被允许的必须禁止,未被禁止的均允许。另外,在选择防火墙的使用时,也要考虑诸多原则,包括网络结构、业务应用系统需求、用户及通信流量规模方面的需求以及可靠性、可用性和易用性等方面的需求。
3. 采用防火墙体系
该技术运行于OSI的应用层,因此具有应用层的全部信息。由于防火墙的地位十分重要,所以一般采用两级的安全机制,即第一级由包过滤路由器承担,第二级由防火墙承担。带有两级防线的防火墙主要有以下几种形式:
(1)单堡垒主机、单路由器、一层网络的隔离形式
这种配置的特点是堡垒主机配两个网络接口,外部网络接口接受来自包过滤路由器的数据,数据必须经过包过滤路由器的过滤规则才能转发给堡垒主机,由于堡垒主机与包过滤路由器之间还有一个网络,外界对堡垒主机的非法侵入将更加困难。
(2)分级管理的双堡垒主机形式
所谓分级管理,是指在第一个堡垒主机与包过滤路由器之间的网络中接入一部分机器,将常用的不需保密的低保密级的数据放在此层,而把保密级较高的数据放在第二级堡垒主机之后,这种配置除具有原单层主机的包过滤及时和堡垒主机的优势外,当包过滤机制和第一级堡垒主机均被攻破时,由于第二层堡垒主机采用不同的安全策略,不会造成对堡垒主机的连续突破,从而保证了内部网络的安全。目前,这种方案是较高级别的安全方案。
4. 采用虚拟专用网(VPN)技术
VPN是用于Internet交易的一种专用网络,它可以在两个系统之间建立安全的隧道。在VPN中,双方的数据通信量要大得多,而且通信的双方彼此都很熟悉。这就可以使用复杂的专用加密和认证技术,只要通信的双方默认即可。拨号VPN使用隧道技术使远程访问服务器把用户数据打包到IP信息包中,这些信息通过电信服务商的网络进行传递,在Internet中要穿过不同的网络,最后到达隧道终点。然后拆数据包,转换成最初的形式。隧道技术使用点对点通信协议代替了交换连接,通过路由网络来连接路由地址,这代替了电话交换网络使用的电话号码连接,允许授权移动用户或已授权的用户在任何时间任何地点访问内企业网络。
(二)网上交易中安全问题的解决方法
1. 数字认证
数字认证是一种新兴的安全性解决方法。随着现代网络技术的发展,基础设施的改善,多媒体技术运用的进一步普及,数字认证方法正被越来越多地用于网络信息的安全传输中。在发送文件时,或在交易信息处理的过程中,通过把影响、声音等各种证明发送者身份的数据传送给接收端,可大大加强信息的可靠性,这包括电子数字签名、电子信封、电子证书、以数字方式签署和电子付款表格等,这种接收方能确认发送者的真实身份和确保交易信息不被篡改。
2. 数据加密技术
数据加密技术是电子商务的最基本安全措施。目前技术条件下,通常加密技术分为对称加密和非对称加密两大类。
(1)对称密钥加密(Private Key)
采用相同的加密算法,并只交换共享的专用密钥(加密和解密都使用相同的密钥)。如果进行通信的交易各方能够确保专用密钥交换阶段未曾发生泄露,则可以通过对称加密方法加密信息,及随报文发送报文摘要和报文散列值,来保证报文的机密性和完整性。密钥安全交换是关系到对称加密有效性的核心环节。
(2)非对称密钥加密
不同于对称加密,非对称加密的密钥被分解为:公开密钥和私有密钥。密钥对生成后,公开密钥以非保密方式对外公开,只对应于生成该密钥的发布者,私有密钥则保存在密钥发布方手里。任何得到公开密钥的用户都可以使用该密钥加密信息发送给该公开密钥的发布者,而发布者得到加密信息后,使用与公开密钥相应对的私有密钥进行解密。目前,常用的非对称加密算法是有RSA算法。
3. 病毒防范技术
电子商务系统一方面提高交易效率,另一方面也为计算机病毒的传播创造了条件。病毒对网络交易的顺利进行和交易数据的妥善保存造成极大的威胁。计算机病毒是指隐藏在计算机数据源中,利用系统数据源进行繁殖并生成影响计算机正常运行且能通过系统数据共享途径进行传染的一组计算机指令或程序代码,主要通过软盘、硬盘、优盘和网络渠道传播,可能导致系统瘫痪甚至完全崩溃的严重后果。从事网上交易的企业和个人都应当注重病毒防范技术,排除病毒的干扰。因此,防范计算机病毒,避免计算机系统遭受病毒的侵袭,及时清除计算机病毒将病毒危害降低到最低程度是反病毒技术刻不容缓的任务。一般我们要给自己的计算机安装防病毒软件,认真执行病毒定期清理制度,并设置控制权限,通过建立系统保护机制,来预防、检测和消除病毒,谨慎打开陌生地址的电子邮件,还要高度警惕网络陷阱。
(三)电子商务安全技术的实现
1. IDEA数据加密算法
IDEA数据加密算法是由中国学者来学嘉博士和著名的密码专家James L.Massey于1990年联合提出的。它的明文和密文都是64比特,但密钥成为128比特。IDEA是作为迭代的分组密码实现的,使用128位的密钥和8个循环。这比DES提供了更多的安全性,但是在选择用于IDEA的密钥时,应该排除哪些称为“弱密钥”的密钥。DES只有四个弱密钥和12个次弱密钥,而IDEA中的弱密钥数相当可观,有2的51次方个。但是,如果密钥的总数非常大,达到2的128次方个,那么仍有2的77次方个密钥可供选择。IDEA被认为是极为安全的。使用128位的密钥,蛮力攻击中需要进行的测试次数与DES相比会明显增大,甚至允许对弱密钥测试。而且,它本身也显示了它尤其能抵抗专业形式的分析性攻击。
2. 用OPEN SSL实现CA认证
(1)SSL(Secure Socket Layer)协议及其主要技术
1996年由美国Netscape公司开发和倡导的SSL协议,它是目前安全电子商务交易中使用最多的协议之一,它被许多世界知名厂商的Intranet和Internet网络产品所支持。
SSL应用在Client和Server间安全的WebHTTP通信,UEL以开始替代http,并使用443端口进行通信。它主要使用加密机制、数字签名、数字摘要、身份认证、CA技术提供Client和Server之间的秘密性、完整性、认证性三种基本的安全服务。
(2)用Open SSL工具实现安全认证
目前,国外主流的电子商务安全协议在核心密码上都有出口限制,只允许40位或56位的RC4和512位的RSA算法出口等。这样的算法强度引进后无法满足我国电子商务实际应用当中的安全需求。但是,完全自主定义和开发一套安全标准体系不是一蹴而就的事情,需要人、财、物的长期投入。
在SSL未提供源代码的情况下,由澳大利亚软件工程师Eric Young与Tim Hudson联合开发的OPENSSL恰好解决了这一难题。它不仅能实现SSL的所有功能,支持目前所有基于SSL V2/V3和TSL V1的应用软件,而且由于源代码公开和提供了各种加密算法,完全可以满足国外安全协议引进后的本地化改造需求。
下面就用OPENSSL提供的强大功能在FreeBSD平台下进行手工签署证书的过程。
(1)先建立一个CA的证书,首先为CA创建一个RSA私用密钥:
#OpenSLL genrsa-des3-out ca.key 1024
该指令中genrsa表示生成RSA私有密钥文件。
-des3表示用DES3加密该文件。
-out ca.key表示生成文件ca.key。
1024是我们的RSA key的长度。
生成server.key的时候会要你输入一个密码,这个密钥用来保护你的ca.key文件,这样即使人家偷走你的ca.key文件,也打不开。拿不到你的私有密钥。
运行该指令后系统提示输入PEM pass phrase,也就是ca key文件的加密密码,我们设为12345678。
(2)用下列命令查看它的内容:
#OpenSSL.rsa-nout-text-in ca.key
该指令中rsa表示对RSA私有密钥的处理。
-nout表示不打印出key的编码版本信息。
-text表示打印出私有密钥的各个组成部分。
-in ca.key表示对ca.key文件的处理。
对RSA算法进行分析可以知道,RSA的私有密钥其实就是三个字,其中两个是质数prime numbers。产生RSA私有密钥的关键就是产生这两个质数。还有一些其他的参数,引导着整个私有密钥产生的过程。
(3)利用CA的RSA密钥创建一个自签署的CA证书
#OpenSSL req-new-x509-days 365-key ca.key-out ca.crt
该指令中req用来创建和处理CA证书,它还能够建立自签名证书,做Root CA。
-new产生一个新的CSR,他会要输入创建证书请求CSR的一些必须的信息。
-x509将产生自签名的证书,一般用来做测试用,或者自己做个Root CA用。
-days 365制定我们自己的CA给人家签证书的有效期为365天。
-key ca.key指明我们的私有密钥文件名为ca.key。
-out ca.crt指出输出的文件名为ca.crt。
执行该指令时系统要求用户输入一些用户信息,如下所示:(框内为输入的内容)
(4)用下列命令查看生成证书的内容:
#OpenSSL x509-noout-text-in ca.crt
该指令中x509表示证书处理工具。
-noout表示不打印毫key的编码版本信息。
-text表示以文本方式显示内容。
-in Ca.crt表示对ca.crt文件进行处理
系统显示证书内容为:
从上面的输出内容可以看出这个证书基本包含了X.509数字证书的内容,从发行者Issuer和接受者Subject的信息也可以看出是个自签署的证书。
下面创建服务器证书签署请求(使用指令和系统显示信息基本和以上类似):
(5)首先为Apache创建一个RSA私用密钥:
#OpenSSL genrsa-des3-out server.key 1024
这里也要设定口令pass phrase,生成server.key文件。
(6)用下列命令查看它昀内容:
#OpenSSL rsa-noout-text-in server.key
(7)用server.key生成证书签署请求CSR:
#OpenSSL req-new-key server.Key-out server.Csr
这里也要输入一些请求证书的信息,和上面的内容类似。
(8)生成证书请求后,下面可以签署证书了,需要用到Open SSL源代码中的一个脚本sign.sh,签署后就可以得到数字证书server.crt。
#sign.sh server.csr
(9)启动安全Web服务
最后在apache服务器中进行ca认证没置,拷贝server.crt和server.key到/usr/local/apache/conf
修改httpd.conf将下面的参数改为:
SSLCertificateFILE/usr/local/apache/conf/server.crt
SSLCertificateKeyFile/usr/local/apache/conf/server.key
可以启动带安全连接的Apache试一下了。
#/usr/local/apache/bin/apachectl startssl
提示输入pass phrase(就是前面为服务器设置的口令)
(10)进行安全连接
通过另一台电脑(IP地址为192.168.0.1)的IE浏览器与这台Apache服务器(IP地址为192.168.0.2)连接并且选择https协议,即:https://192.168.0.2:443。出现安全连接警告窗口,因为我的服务器证书是自己手工签署的,不是经过真正的CA颁发的证书,是个无效证书,所以按确定后如现安全证书无效的警告窗口。按“是”继续,注意这里浏览器地址栏内输入的是https而不是http,另外此时在状态栏内出现了一把小锁,这说明SSL协议超作用了,服务器和浏览器之间建立了一个安全连接,这样我们使用开放源代码的工具Open SSL来完成了电子商务的CA认证过程,同时这也只是使用现成的工具来完成的,在实际使用中还要分析它的源代码,修改源代码,来达到自己的安全需要。
(四)通过政府的效力加强我国电子商务的安全系数
1. 对电子商务进行专门立法
电子商务是一个新生事物,很多方面不同于传统商务,与传统的法律规范体系也存在着诸多不相容之处,而且,传统的法律规范体系中还有许多电子商务方面的空白。这一情况已经在实践中引起了不少的问题。
我国的电子商务是近年才发展起来的,目前规范电子商务相关的法律法规极为有限。在法律的层次上只有1997年《中华人民共和国刑法》和1999年《中华人民共和国合同法》对相关问题作了简单规定。例如,我国1997年修订的《刑法》中增加了关于计算机犯罪的条文,1999年通过的《合同法》对电子合同的书面形式、生效时间地点等作了规定。但是,这种规定太过简单,远远不能满足电子商务发展的需要。例如,对于电子认证的效力、虚假电子认证等重要的问题,我国法律还没有规定,这已经成为阻碍我国电子商务发展的重要问题。
因此,我国应大力加强电子商务法制化建设,制定专门的《电子商务法》,对电子商务当事人的权利义务、电子合同法律关系、电子签名、电子认证、网上知识产权的保护、电子支付等问题进行专门规定,使之适应电子商务发展的需要。在刑法中,对电子商务领域的犯罪进行规定。从而在法律上,为电子商务提供一个良好的发展环境。
2. 建设我国的电子商务认证机构体系
电子商务认证机构是电子商务中的重要部门,其担负着维护电子交易安全的责任。因此,要完善我国的电子商务安全运营,必须建立我国的电子商务认证体系。
在目前存在的三种电子商务认证机构模式中,当事人自由约定的电子商务认证体系不适合我国的实际情况。我国电子商务刚刚发展起来,不完善的地方很多,很多普通的消费者对电子商务还不很了解,根本无法在自由约定时,提出对自己有利的条件。而且,在交易双方的力量对比悬殊的情况下,弱势一方很难通过谈判来取得公平的结果。再进一步说,这种模式的认证结果通用性很差,不适合我国刚起步的电子商务的发展。
近年来,我国的电子商务认证机构的发展很快。1999年3月19日,中国人民银行组织12家商业银行共建金融认证中心系统;1999年8月,我国首套拥有自主知识产权的电子商务安全认证系统通过了国家密码管理委员会和信息产业部组织的技术鉴定。但另一方面,我国的电子商务认证系统还远不成熟,仍有许多需要完善的地方。我们必须对此给予充分的重视,以便为电子商务的安全发展提供组织保障。
3. 大力推进电子签名等技术的发展,从技术上为电子商务提供安全保障
电子商务的产生、发展是科技发展的结果,其安全运营也要依靠技术给予的保障。因此,为加强电子商务的安全性,我们必须大力推进科技的发展,使技术满足电子商务的安全运营要求。在电子商务中广泛使用的电子签名,就涉及许多复杂的技术问题。为使电子签名具有与传统签名相同的法律效力,我们必须使电子签名具有像手写签名那样的独特性。这一问题的解决,需要技术发展才能实现。
目前,解决电子签名效力的途径主要有:
(1)修改法律或者进行法律解释,使签名涵盖电子签名。但对于何种电子签名才具有法律效力,立法要兼顾技术中立、开放与安全,使之适应技术发展的需要。
(2)电子商务的当事人在合同中约定电子签名方法及效力。
(3)依靠技术进步,这是最根本的方法。技术安全、成本低廉的电子签名方式是电子商务安全的有力保障。
摘要:电子商务是利用计算机网络开展的商务活动。近年来,随着电子技术的发展,“网上购物”、“电子钱包”等已渐成时尚,但安全问题始终是影响电子商务发展的关键因素。安全问题威胁着交易中每一方的利益,客户由此产生的疑虑会影响到交易的成败,甚至会影响电子商务的进一步的发展。
关键词:电子商务,安全,网上交易
参考文献
[1]张小兵.我国电子商务发展现状及存在问题与对策[J].商业研究,2004,(2).
[2]徐伟.电子商务网上支付的安全保障问题[D].合肥:合肥联合大学,2008,3.
[3]高媛,欧阳志明,石晓军.电子商务[M].北京:企业管理出版社,2005.
[4]包晓闻,张海堂.电子商务——21世纪世界商务发展的潮流[M].北京:经济科学出版社,2008.
[5]韩宝明.电子商务安全与支付[M].北京:人民邮电出版社,2009.
[6]闫心丽.浅析电子商务安全[J].内蒙古电大学刊,2005,(5).
电子商务之安全问题探究 篇11
【关键词】电子商务;网络安全;安全策略
1.电子商务安全问题
1.1 电子商务安全问题产生的根源
电子商务的实现完全依赖于网络,但是,电子商务却是在网络之后才出现的,是网络发展过程中的产物。网络建立之初,没有考虑电子商务安全的问题,正因如此,网络全球性、共享性和开放性就使得电子商务活动中,信息传输的安全存在先天不足,让黑客们有机可乘。
1.2 网络安全问题
随着互联网技术的发展以及全面的普及,基于INTERNET的电子商务也得到了空前的发展,在当下已然成为了一种全新的商务模式,被许多企业、学者、经济学家认为是新的经济增长点。电子商务作为一种全新的商务模式,有着远大的发展前景,同时,这种新型的商务模式对信息技术又提出了更高的要求,其中网络安全成了新型商务模式发展的研究热点。如何架构一个安全、舒适、便捷的电子商务网络环境,对信息提供足够强大的安全保障措施,是商家和用户共同关注的话题。网络安全问题俨然已经成为电商发展的核心问题。网络安全问题俨然已经成为电商发展的核心问题。何为网络安全?网络安全从其本质上来说,就是网络上信息的安全,凡是涉及到网络上信息的完整性、保密性、真实性、可用性和可控性的相关技术理论都是网络安全的范畴。
1.3 目前电子商务面临的主要安全问题
(1)中央系统安全性被破坏。入侵者冒充合法用户来修改用户数据、删除合法用户原始数据,创建虚假订单信息与他人进行交易,并从中获取非法利益。
(2)客户资料被竞争者窃取。入侵者通过对数据进行非法的监听与截取,从而窃取客户资料等敏感信息(如信用卡、银行卡信息等),让客户蒙受损失。
(3)对信息的恶意篡改。入侵者可以通过对网络上截获的信息进行恶意篡改,如篡改信息的时间、先后顺序、注入伪造信息等,从而使信息丧失其真实性和完整性。
(4)拒绝服务。攻击者向销售商的服务器发送大量的虚假订单信息以达到占用其资源的目的,使合法的用户无法正常登陆到销售商的服务器,已达到拒绝服务的目的。
(5)计算机病毒的传播。随着计算机技术的不断发展,计算机病毒也更新换代层出不穷。INTERNET的出现,使得计算机病毒的传播速度达到了惊人的地步。例如蠕虫病毒,其利用系统自身漏洞进行复制传播,由于传播过程中,会产生巨大的攻击流量,从而,使网络流量急速上升,造成网络拥塞甚至瘫痪,对于依赖网络的电子商务是一个严重的威胁。
2.电子商务中的主要安全技术
2.1 电子商务的安全技术
从上述电子商务所面临的安全问题中我们不难看出,它不仅仅是个别的现象,只要有网络的存在,安全问题就不容忽视。网络安全不仅影响了网络业务的正常运行,扰乱了网络秩序,还会造成很多直接或者间接的经济损失。安全技术是电子商务安全体系中的基本策略,是伴随着安全问题的产生而出现的,安全技术的出现,在一定程度上加强了计算机网络的整体安全性。
2.2 网络安全技术
目前,常用的网络安全技术主要有病毒防范技术、防火墙技术和虚拟专用网VPN技术等。
(1)病毒是一种恶意的计算机指令或者计算机程序代码,一般可分为引导区病毒、可执行病毒、宏病毒和邮件病毒等,不同的病毒的危害性也不尽相同。为了防范病毒,可以采用以下的措施:
①安装防病毒软件,及时更新病毒库,认真执行病毒定期清理制度,严格设置文件控制权限,浏览网页时高度警惕网络陷阱,加强内部网络的整体防病毒措施;
②加强数据备份和恢复措施;
③对敏感的数据和重要的设备要建立必要的物理或逻辑隔离措施等。
(2)这里所说的防火墙并不是指物理意义上的防火墙,而是指隔离本地网络与外界网络之间的一道防御安全系统。它能有效的限制被保护的网络与互联网络之间、或者与其他网络之间进行的信息的通信,能根据企业的安全策略控制出入网络的信息流,并且本身具有较强的抗攻击能力,是电子商务安全防护的基础设施。
(3)虚拟专用网络(简称VPN)指的是在公用网络上建立专用网络的技术。整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台上,如异步传输模式、帧中继等逻辑网络,用户数据在逻辑链路中传输,非常适合于电子数据交换(EDI)。
2.3 信息安全技术
(1)数据加密技术是安全技术的重要组成部分之一
通过对敏感信息进行数据加密,以保证电子商务的保密性、完整性、真实性和非否认服务。数据加密的原理是通过一定的加密算法,将明文转换成为无法理解的密文,阻止非法用户理解原始数据,确保数据的保密性。
(2)安全认证技术
1)数字信封是将对称密钥通过非对称加密(即:有公钥和私钥两个)的结果分发对称密钥的方法。在数字信封中,信息发送方采用对称密钥来加密信息,然后将此对称密钥用接收方的公开密钥来加密(这部分称为数字信封)之后,将它和信息一起发送给信息的接收方,信息的接收方先用相应的私钥打开数字信封,得到对称密钥,然后使用对称密钥解开信息。这种技术的安全性相当高。
2)数字签名
数字签名技术以加密技术为基础,其核心是采用加密技术的加密、解密算法体制来实现对报文的数字签名。数字签名能实现以下功能:①接收方能够证实发送方的真实身份; ②发送方事后不能否认所发送过的报文;③接收方或非法者不能伪造、篡改报文。
3)数字摘要
数字摘要就是采用单项Hash函数将文件中需要加密的明文“摘要”成一串固定长度(128位)的密文,这一串密文又称为数字指纹,它有固定的长度,而且不同的明文摘要成密文,其结果总是不同的,而同样的明文其摘要必定一致。因此这个摘要便可以作为验证明文是否真身的指纹了。
3.电子商务安全策略
构建在各种安全技术基础上的企业网络体系可以保障一定程度的防攻击能力;保障数据在传输过程中的保密性;保障平台在系统级别操作的安全性;能够及时发现并制止来自网络或系统的恶意攻击。但真正的电子商务安全不是单纯的技术问题,而是一项复杂的系统工程,安全体系也不是简单的安全产品的叠加,它包含了多方面的要素,安全策略只是其中之一。
4.总结
要保证电子商务的正常运作,就必须关注电子商务的安全技术。电子商务安全不仅涉及信息加密和解密、网络安全协议、防火墙的构建、病毒的防治,也包括相关管理制度的建立,安全技术与管理制度双管齐下,才能更好的保护电子商务的健康发展。
参考文献
[1]梁永生.电子商务安全技术[M].大连:大连理工大学出版社,2010.
电子商务安全问题初探 篇12
电子商务 (Elecronic Commerce) 通常是指在全球各地广泛的商业贸易活动中, 在因特网开放的网络环境下, 基于Browser/Server模式 (浏览器/服务器模式) 应用方式, 买卖双方不谋面地进行各种商贸活动, 实现消费者的网上购物、商户之间的网上交易和在线电子支付以及各种商务活动、交易活动、金融活动和相关的综合服务活动的一种新型的商业运营模式[1]。随着互联网技术的快速发展, 基于网络平台的电子商务也得到了快速的发展。与此同时, 如何保障电子商务交易的安全性也越来越重要。如果在交易的过程中被病毒或者黑客攻击, 将会给用户带来巨大的损失。因此, 解决电子商务的安全问题刻不容缓。
2 电子商务存在的安全隐患
由于互联网的开放性和对资源的共享性, 致使电子商务交易活动中存在以下几个主要方面的安全隐患:
1) 身份识别
由于现在网络交易活动大多采用用户名和密码的方式进行身份认证, 黑客攻击者利用非法手段盗用用户的身份信息后, 与他人进行交易从中获取非法利益。
2) 信息监听与泄露
由于电子商务活动涉及商业机密, 当信息没有加密的情况下在网络进行传播的过程中, 有些心怀叵测的人利用特殊的工具, 就可以将传播的信息截获、监听, 获取关键信息, 导致信息泄露。就算数据信息进行了加密处理, 但是加密手段单一也会导致攻击者因容易破译密码而得到敏感信息, 导致信息泄露。
3) 信息破坏与篡改
电子商务交易过程中要保证信息的真实性和完整性。数据信息在网上传输的过种中, 可能被非法者恶意篡改、删除或重复使用, 从而使信息失去了真实性和完整性。另外, 网络本身也会受到病毒程序的破坏而使信息出错或丢失。
4) 抵赖
交易双方对本次交易进行恶意否认以获取不当利益。
5) 交易过程中所使用设备的安全性
当信息正在传输时, 由于互联网采用的是TCP/IP协议, 这个协议没有采用任何安全措施来保护网络中所传输的内容不被获取。它采用的是数据包交换原理, 每个数据包在网络上都可以经由不同的路由算法由路由器经不同的网络传输到目的机上去, 在传输的过程中数据包是透明的, 因此在这个过程中数据信息可能会出错或丢失。同时, 计算机网络硬件像交换机等有可能因出现故障也会导致信息出错或丢失。而我们所采用的操作系统如UNIX, 由于它是开源的, 所以也很容易被黑客利用漏洞而窃取用户信息。
6) 交易平台的内部安全性
所有员工的权限级别一样, 对一些商业机密信息都可以浏览, 做不到较高一级的保密性。
3 电子商务可采用的安全技术
根据以上对电子商务交易活动中存在的安全隐患的分析, 可以采用以下方法来提高交易平台的安全性:
1) 加强设备的安全性
认真选购符合要求的网络硬件设备。对一些关键的设备的管理如服务器、路由器等要落实到个人进行严格管理。对操作系统要定期更新, 不断增加安全补丁。
2) 电子商务的安全协议[2]
可以采用SSL和SET协议来保证电子商务交易的安全性。SSL协议又称“安全套接层协议”, 它是一种安全通信协议, 是指通信双方在通信前约定使用的一种协议方法。SET协议也称为“安全电子交易”, 是为了在互联网上进行在线交易时保证信用卡支付的安全而设立的一个开放的规范。SSL协议可以在交易双方建立一条秘密通道用来传输信息, 再对要传送的信息采用加密技术将会更加安全。但是它不能对交易双方的身份进行认证。而采用SET协议对软硬件的环境要求太高, 使交易成本增大。但是它却可以较大程度地避免交易双方的欺诈行为。
3) 对数据进行加密
对数据进行加密是电子商务采用的最主要的安全技术方法。加密技术是对数据信息按照某种算法进行重新编码, 隐藏起真实信息的内容将明文转化为无意义的密文, 使非法用户即使监听或截获到数据信息也无法获取正确信息的一种技术手段。把明文转化为密文的过程我们称之为加密, 反之为解密。加密和解密所要遵循的规则称之为密码算法。在这两个转换的过种中, 由加密者和解密者使用的加解密可变参数叫做密钥[3]。对于合法的交易方, 可以利用这个密钥对密文进行解密得到正确的数据信息。目前, 根据密钥不同可以将加密技术分为:对称密钥加密体制和非对称密钥加密体制。对称密钥加密体制, 加解密所使用的密钥相同或能从一个得到另一个, 这样一来就不需要交换加密算法, 只要知道密钥就可正常交易。对称密钥加密体制的主要优点就是加密解密速度很快, 当有大量的数据信息进行加密时可以采用, 但是密钥的安全保存是个问题。非对称密钥加密体制加解密所使用的密钥不同, 也不能从一个得到另一个, 因而安全性提高了但速度变慢了。
4) 身份认证技术
对数据进行加密并不能完全保证电子商务交易的安全, 身份认证技术是保障电子商务交易活动安全的一项关键技术, 主要有数字签名、数字证书、数字时间戳等。数字签名就是通过加密技术形成发送者的数字签名, 然后将其作为信息的一部分发给接收者, 接收者再通过解密技术对其进行解密。如果数字签名相同, 就认为是发送者发送的, 从而有效地避免了信息被伪造或篡改, 保证了信息的安全性。数字证书, 就是用电子手段来证明一个用户身份是否合法及确定其对网络资源的访问权限。数字时间戳可以提供信息的发送时间, 它和数字签名一样是为了防止信息被伪造或篡改。
5) 防火墙技术[4]
网络防火墙技术是一种用来加强网络之间访问控制和防止外部网络用户以非法手段进入内部网络、访问内部网络资源、保护内部网络操作环境的特殊网络互联设备。其最主要目的是防止外部网络与被保护的内部网络进行非法的通信。对于电子商务平台的管理都来说可以在路由器上进行设置或直接购买功能全面的防火墙设备, 对于后者来说交易平台的安全性将更有保证。
6) 入侵检测
入侵检测技术[5]就是在计算机网络系统中设置一些关键点来收集信息。将采集到的这些信息进行分析, 从分析的结果判断出网络中是否有不符合安全策略的行为或是否已经遭到了攻击, 如果发现有入侵, 会及时做出处理, 比如报警等, 最大限度地保护数据信息的安全。
7) 加强交易平台的安全管理
将一些牵涉到商业机密的关键数据设定密码保护。提高这些数据的访问权限。
4 结束语
电子商务将会随着互联网的快速发展而成为未来最重要的经营手段, 如何保障电子商务交易活动的安全是一个复杂的问题, 企业在使用电子商务平台时要采取一系列的安全技术进行防范, 只有这样才能保证电子商务交易的安全性, 也只有这样才能让电子商务更好更快的发展起来。
参考文献
[1][DB/OL].http://baike.baidu.com/view/757.htm.
[2]兰宜生.电子商务基础教程[M].2版.北京:清华大学出版社, 2007.
[3]韩基龙.电子商务安全问题浅析[J].经济视角, 2008.
[4]兰宜生.电子商务基础教程[M].北京:清华大学出版社, 2003.
【电子政务户安全问题】推荐阅读:
电子政务问题06-14
电子政务存在问题09-08
我国电子政务建设问题探讨09-16
电子政务安全策略06-24
电子政务信息安全策略07-03
电子政务的安全论文08-24
电子政务的安全之道05-17
网络安全体系电子政务07-10
论文:电子政务信息安全研究06-09
电子政务外网安全07-02