电子政务的安全风险
电子政府面临的安全风险主要来自以下几个方面:
(一)物理风险
网络物理安全是整个网络系统安全的前提。人为的破坏和物理自然环境的恶化导致电子政府在运行中存在着一定的物理风险。常见的物理风险包括对信息化基础设施的直接破坏,如地震、水灾、火灾等环境事故造成整个系统毁灭,设备被盗、被毁造成数据丢失或信息泄漏等;对电力供应设施的破坏,如电源故障造成设备断电以至操作系统引导失败或数据库信息丢失;电磁辐射可能造成数据信息被窃取或偷阅;计算机设备、网络设备、存储介质自身的老化和损坏等。
(二)技术风险
电子政府行使政府职能的特点会导致来自外部或内部的各种攻击,包括黑客组织、犯罪集团或某些国家行为的攻击。实施攻击主要依靠技术手段,包括基于监听、截获、窃取、破译、业务流量分析、电磁信息提取等技术的被动攻击和基于修改、伪造、破坏、冒充、病毒扩散等技术的主动攻击。技术风险来自于两个方面,一方面是技术本身缺陷,另一方面是技术的人为缺陷。
1、来自技术自身缺陷的风险。技术本身即是一把双刃剑,任何技术手段都不可能完美无缺,技术的新功
国外网站源码能总是伴随着这样或那样的缺陷,而这些缺陷一旦被人为地加以利用,就会给系统的运行带来极大的风险。单是计算机程序里的BUG就层出不穷,杀之不尽。由各种各样计算机组成的互联网作为一个极其广泛而复杂的多元化系统,其可靠性就更值得怀疑。例如PentiumⅢ中设置了序列码功能,该功能留有自动传送计算机有关硬件方面信息的后门,带来了泄露隐私的危险。Windows98操作系统会根据用户的计算机硬件配置情况生成一串与用户名字、地址相关的代码——全球唯一识别码,这个识别码会通过Windows98的电子注册程序,在用户不知情的情况下传送到微软的网站上去,用以追踪一些电子文件作者身
份。那些对计算机控制始终怀有敌意的天才的程序设计员总能轻易突破网络安全保障,实施各种侵入乃至打击。人们对网络的巨大依赖性和网络本身的技术缺陷形成了尖锐的矛盾,其中的空间就是“数字化犯罪”的天堂。2000年2月,全世界黑客们联手发动了一场“黑客战争”,把整个网络搅了个天翻地覆。神通广大的神秘黑客,接连袭击了因特网最热门的八大网站,包括亚马逊、Yahoo和微软,造成这些网站瘫痪长达数小
时。FBI仅发现一个名为“黑手党男孩”的黑客参与了袭击事件,对他提出的56项指控只与其中几个被“黑”网站有关,估计造成了达17亿美元的损失。2003年2月,在全美大面积的停电期间,一名黑客利用加利福尼亚独立系统调度中心电力交换处的一台正在安装调试的计算机服务器有11天时间一直连接在因特网上的机会,悄悄进入并试图侵入系统的深层,只是由于被及时发现才没有造成太大的损失。尽管
加利福尼亚独立系统调度中心认为此事无足轻重,但是美国联邦调查局却认为这一攻击行动已经严重到足以展开调查的程度。
2、来自技术人为缺陷的风险。英国一位科学家在描绘信息战时使用了一个形象的比喻,“每块芯片都是一块武器,就像插入敌人心脏的匕首。”这并非危言耸听,来自人为技术缺陷的威胁客观存在。首次把这一手段引入到战争中并发挥作用的,是1991年的海湾战争。开战前,美国中央情报局获悉,伊拉克从法国采购了供防空系统使用的新型打印机,准备通过约旦首都安曼偷运到巴格达,随即派特工在安曼机场偷偷用一块固化病毒芯片与打印机中的同类芯片调了包。美军在战略空袭发起前,以遥控手段激活病毒,使其从打印机窜入主机,造成伊拉克防空指挥中心主计算机系统程序发生错乱,工作失灵,致使防空体系中的预警和C3I系统瘫痪,为美军顺利实施空袭创造了有利条件。
美国是CPU生产大国,全球销售的约90%的计算机使用了美制芯片。这为美国将带有病毒的计算机系统直接或间接卖给目标国家,创造了有利条件。当这些国家与美国为敌时,便可激活隐藏在计算机内部的具有特殊功能的“芯片”,将直接或间接地对敌方国家和军队的计算机系统造成许多麻烦。有消息报道,美国向中国出口的密匙芯片上秘密留下了一个可供其随时出入的口。也就是说,用来保证安全的手段恰恰是最危险的。只有他们才能生产高质量的芯片,美国允许出口中国的计算机系统安全等级只有C2级,排名倒数第三!在网络的安全性方面美国遥遥领先,不但将中国,还将其他若干国家抛在了世纪末的尘埃中。
长期以来,中国广泛应用的主流操作系统都是从国外引进直接使用的产品,其安全性难以令人放心。在信息系统安全涉及的众多内容中,操作系统、网络系统与数据库管理系统的安全问题是核心,没有系统的安全就没有信息的安全。作为系统软件中最基础部分的操作系统,其安全问题的解决又是关键中之关键。各国政府,特别是某些重要部门,在采用某外国公司的操作系统之前,都会反复论证:“这个软件有没有信息泄漏的危险,有没有危险的后门。在非常时期,我们会不会因为这个软件为人所制。”当微软刚推出Windows5时,曾在澳大利亚闹出了很大的风波,当时澳大利亚海军发现,该软件会悄悄地向微软发送
机器中的信息。因此,政府部门往往会要求软件公司开放源代码,做一个公开的备案。然而,微软却坚决反对这样的要求。它宣称,开放源代码会使软件变成一种“病毒性”软件。微软拒绝开放源代码,使德国、法国、英国、韩国、秘鲁等国,甚至美国的某些政府部门都选择了非Windows操作系统。
(三)管理风险
除了技术原因带来的风险,管理上的风险同样不容忽视。管理是网络中安全得到保证的重要组成部分,是防止来自内部网络入侵必须的部分。网络系统的安全问题绝大部分都是人为因素造成的,内部存在的安全管理漏洞,如政府部门安全意识淡薄、安全管理组织不健全、管理制度不规范、日常管理松懈、管理人员素质低等因素是攻击者频频得手的主要原因。根据美国FBI调查的结果,65%的攻击来自网络系统内部,如来自内部的非法窃取或非授权访问,管理问题成为影响整个网络安全的关键。
1、管理组织不健全。中国信息安全管理在组织上仍处于单兵把守、分散作业的模式,由于不同政府部门的信息技术人才和信息化水平的差异性,以及不同政府部门存在一些相关的利益和冲突,很难做到安全管理的统一协调性。没有统一的安全管理机构,客观上导致了各部门在电子政府的建设过程的安全管理责任不清、主体不明,一旦发生安全事件,责任问题牵扯不清,故障定位不准,追查事故源困难,从而造成事件的破坏性后果更为严重。
2、管理制度不规范。由于在安全问题上缺乏权威的领导机构,在制定安全管理制度时自然是各自为政、五花八门,没有统一的安全管理规范,造成了信息系统的无序运行。不同的政府部门凭各自的理解建立了一些并不完整的制度,个别部门甚至把安全管理完全依赖于防火墙、防病毒、密码防护等基本技术安全措施,没有从管理的角度全面考虑安全防卫问题。诸如对引进技术和设备的安全检测、核心资料的接触权限、对密码和登录口令的管理等都没有比较规范的制度保证,存在着直接丢失、泄露给未授权者和易被猜测的安全隐患。电子政府的安全作为一个整体工程,不完整的管理几乎等于不管。
3、管理人员素质低。高素质的信息管理人才和技术队伍是实现安全管理的最基本保障。电子政务的普及和推广,必然导致系统维护工作量的大大增加,但是目前的公务员队伍只有极少数的人具有一定的计算机技术知识,有相当多的人不懂计算机,这是目前政府实现电子政务中极为突出的矛盾。然而,由于中国公务员管理体制的特殊性,政府缺乏灵活的机制来吸引和容纳高素质的信息管理人才,政府部门在信息人才
的市场竞争中处于劣势,信息技术人才多集中在高校、企业、科研院所,很少进入国家机关,有些进入机关后又很快流向了市场。这就使得当前实际从事政府网站管理和维护的人,大部分素质不高,对于真正的安全威胁缺乏抵御能力,中国网络安全管理员被美国黑客嘲笑为“只有12岁儿童的水平”。
4、日常管理松懈。电子政务系统的日常使用是泄密的主要渠道。当前政府部门内部在日常管理上可谓漏洞百出,异常松懈。对各级政府网络系统安全的监督检查近乎空白,管理部门不少但真正出了问题却没有人管,大部分政府网站几乎运行在一种不设防的状态下。从信息的保存、流转、归档材料的处理,到密码口令的保护、用户权限的变更以及资料的查询等,既没有严格的规范加以限制,也没有有效的监督体制进行约束。有时信息泄漏的发生就是源于内部管理人员或员工把内部网络结构、管理员用户名及口令以及系统的一些重要信息随意传播给外人。很多政府部门内部的计算机不经任何审批,随意地连接到互联网上,甚至连最基本的防火墙、防病毒软件都不装,很容易成为黑客们自由进出的渠道,严重威胁着
政府网络系统的安全。
(四)政治风险
政治风险才是电子政府所面临的最大风险。随着电子政府的服务范围和服务领域的扩展,越来越多的政府业务将在网上进行办理,大量的政务信息将通过互联网进行传递。电子政府能否安全运行,能否对各
种风险进行有效的防范,不仅涉及到政府为社会提供公共服务的质量,也是对国家维护公共秩序的能力以及行政监管能力的考验。可以说“在信息时代,没有信息网络的安全,就没有网络空间的国家主权和国家安全。”从某种意义上讲,电子政府是一种新的政治统治工具,它所面临的政治风险远远大于其他风险,政府网站是“黑客”的主要攻击对象,而且这种攻击行为真正的威胁黑客不再是过去那种单兵作战,小打小闹,现在网上的黑客行为常常是有组织的、带有一定的政治目的。在伊拉克战争爆发期间,全世界范围内的反战人士用黑客手段攻击了美英数以万计的网站,除了篡改网页内容,黑客们还大量地采用了“拒绝访问”攻击手段。他们向一些网站的服务器发送大量请求信息,使这些服务器因为数据堵塞而陷入瘫痪。英国首相的官方站点也未能幸免,布莱尔的官方主页“唐宁街10号”3月23日遭受这种攻击,出现短时间瘫痪。
当今世界冲突已经蔓延到了因特网上,因特网已经成为各国“信息战”的主战场。有些国家为了本国的政治、经济、军事的需要,千方百计从网上窃取别国的机密信息,散布影响别国社会稳定的言论,甚至破
坏对方的信息系统。美国学者首先提出了“战略信息战”的新概念,专指通过破坏和操纵计算机网络上的信息流的办法,对国家国防和基础设施实施破坏,以达到战略目的的一种作战手段。并将它与核战争、生化武器战并列为对国家安全最具威胁的三大挑战之一。
中国首起国内“黑客”案发生在1993年3月,中国科学院高能物理所开通了一条64kbps国际数据信道,标
志着中国首次与Internet连通。几乎在这同时,中国一些接入Internet的系统就被国外的“黑客”光顾了,同时这些接入单位的技术人员也成功地闯进了国外的一些计算机系统,从某种意义上说,这些人是中国的第一批“黑客”。1997年4月,中国互联网络信息中心站点遭到“黑客”攻击,CNNIC的主页被换成骷髅头像。CNNIC技术人员最终追查出攻击是从美国西南贝尔互联网络服务公司的一个拨号网络用户发出的。这是内地第一例公开报道的网站遭国外“黑客”攻击案。仅2001年“五一”期间,中国就有1100多家网站遭受美国黑客不同程度的破坏,其中政府、军方和教育等网站约占60%。
震惊世界的911事件发生后,美国人纷纷置疑为什么能如此轻易地进入美国,而受到诘问最多的就是美国政府迟迟没有更新其计算机系统。而著名的美国黑客组织“地狱世界”则立即宣称,将针对“敌对国家”的互联网基础设施和信息系统发动一场大规模的电子攻击战。电子政务信息中所承载的涉及国家秘密和高敏感度的内容,必然会遇到各种敌对势力、恐怖集团、捣乱分子的破坏和攻击,成为政治颠覆活动的重要目标。另一方面,由于网络具有传达信息快捷,表达意见自由的特点。互联网的开放性,使任何人都可以低廉的代价在广大的范围发布信息,在某种意义上“每个人都成为全球范围的媒体制造商。”这不但对一般的人际交往和信息传递模式产生了巨大的影响,同时,也由于技术的实现而很快地在对社会各种问题的讨论中得到了应用。
从最近一些重大国际事件的报道和反应来看,网络无论是在传播的速度和规模、影响的地域范围还是媒体的表现形式等诸多方面都远远超出了以往的大众传播媒体,在社会和政治动员发挥巨大的作用。当某
种有影响的事件出现以后,在网络上各个电子公告栏(BBS)、新闻组(News-group)以及邮递列表(Mailing-list)等地方会迅速做出反应,在电子空间里掀起波澜,进而将其影响扩展到现实空间,从而干预到具体的社会、商业以及政治等事件的决策和进程。仅在2003年中国发生的一系列著名事件,如孙志刚案、黄静案、高院提审刘涌案中,网络媒体都起到了巨大的推动作用,网络传播力之快捷、影响力之广泛,令人刮目相看。从中可以看到通过网络进行的虚拟政治动员的巨大
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论