?????? (四)法制問題
??????? 網絡犯罪活動與網絡信息法制不完善和對罪犯的懲治不力密不可分。一方面, 盡管我國已經出臺了一些與網絡安全有關的法律法規(guī),但現行政策法規(guī)仍難以適應網絡發(fā)展的需要,信息立法還存在相當多的空白。個人隱私保護法、數據庫保護法、數字媒體法、數字簽名認證法、計算機犯罪法以及計算機安全監(jiān)管法等數字經濟正常運作所需的配套法規(guī)急需制定。由于法規(guī)不健全,信息市場交秩序的維護、信息犯罪的懲處等無法可依,使信息犯罪者有空子可鉆。另一方面,由于網絡作案手段新、時間短、不留痕跡等特點,給網上犯罪案件的偵破和審理帶來了極大的困難。雖然我國針對電腦病毒、信息侵權和網絡犯罪等非法信息行為制定了一些政策法規(guī),但由于執(zhí)行不力,效果不明顯。
??????? 三、保證電子政務安全運行的對策
??????? (一)加強電子政務安全運行的相關法律法規(guī)建設,提高執(zhí)法水平
??????? 我國的網絡安全的標準、法律,正逐步形成結構嚴謹、內在和諧的統一體系, 填補了傳統法律和標準體系的空白與不足。當然,我國網絡安全法規(guī)的建設并不是盡善盡美的,仍然存在著不少缺陷和不足。例如,我國還缺少有關電子政務安全保障的專門法規(guī)、政策以及地方性法規(guī)和政策,難免導致法規(guī)執(zhí)行的針對性不強。今后,我國應該在這方面下功夫。有了相關法律的保障,沒有相應的政策, 也無法使信息安全的保障具備可操作性。美國聯邦政府1996 年發(fā)布了A - 130 通告,在附錄"聯邦政府自動化信息資源安全"政策大綱中,具體闡述了計算機系統的安全對策,可操作性很強,其做法值得我們借鑒。所以,電子政務安全保護問題,不但要從政治和法律上著眼,還要從政策上著手。
??????? (二)強化計算機網絡安全管理,增加網絡安全意識
??????? 在網絡安全制度的建設與管理中,需要抓好的主要工作是建立和落實安全責任制度。計算機網絡系統運行管理部門必須設有安全組織或安全負責人。每個工作站和每個終端都要建立健全網絡操作的各項制度,加強對內部操作人員的安全教育和監(jiān)督,嚴格網絡工作人員的操作職責,加強密碼、口令和授權的管理,及時更換有關密碼、口令,重視軟件和數據庫的管理和維護工作,加強對磁盤文件和軟盤的發(fā)放和保管,禁止在網上使用非法軟件、軟盤。有了組織機構和相應的制度,還需要領導的高度重視和群防群治。這需要進行網絡信息安全意識的教育和培訓,提高全社會網絡安全意識和法律觀念,以及對信息安全問題的高度重視, 尤其是對主管計算機應用工作的領導和計算機系統管理員、操作員要通過多種渠道進行計算機及網絡安全法律法規(guī)和安全技術知識培訓與教育,使主管領導增強計算機安全意識,使計算機應用人員掌握計算機安全知識,知法、懂法、守法。
??????? (三)構建電子政務的安全保障體系
??????? 第一,物理安全。
??????? 保證計算機信息系統各種設備的物理安全是保障整個政府網絡系統安全的前提。它主要包括三個方面;一是環(huán)境安全。對系統所在環(huán)境的安全保護,如區(qū)域保護和災難保護;二是設備安全。設備安全主要包括設備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等;三是媒體安全。包括媒體數據的安全及媒體本身的安全。顯然,為保證信息網絡系統的物理安全, 除在網絡規(guī)劃和場地、環(huán)境等要求之外,還要防止系統信息在空間的擴散。為了防止系統中的信息在空間上的擴散,通常是在物理上采取一定的防護措施,來減少或干擾擴散出去的空間信號。
??????? 第二,系統安全。
??????? 它包括三個方面;一是網絡結構安全。主要指網絡拓撲結構是否合理;線路是否有冗余;路由是否冗余,防止單點失敗等。二是操作系統安全。對于操作系統的安全防范,應盡量采用安全性較高的網絡操作系統并進行必要的安全配置、關閉一些起不常用卻存在安全隱患的應用、對一些保存有用戶信息及其口令的關鍵文件使用權限進行嚴格限制。三是應用系統安全。在應用系統安全上,應用服務器盡量不要開放一些沒有經常用的協議及協議端口。
??????? 第三,網絡安全。
??????? 網絡安全是電子政務整個安全解決方案的關鍵。在訪問控制方面,要制定嚴格的管理制度,內部辦公自動化網絡要根據不同用戶安全級別或者根據不同部門的安全需求,利用三層交換機來劃分虛擬子網(VLAN ),在沒有配置路的情況下, 不同虛擬子網間不能夠互相訪問。在通信保密方面,主要是保障數據的機密性與完整性,保護在網上傳送的涉及政府機密的信息,經過配備加密設備,使得在網上傳送的數據是密文形式,而不是明文。入侵檢測,這是防火墻的必要補充。利用入侵檢測系統,可以根據已有的、最新的攻擊手段的信息代碼對進出網段的所有操作行為進行實時監(jiān)控、記錄,并按制定的策略實行響應,從而防止針對網絡的攻擊與犯罪行為;安全掃描系統,包括網絡掃描和系統掃描。網絡掃描可以對網絡中所有部件進行攻擊性掃描、分析和評估,發(fā)現并報告系統存在的弱點和漏洞,評估安全風險,建議補救措施。系統掃描可以對網絡系統中的所有操作系統進行安全性掃描,檢測操作系統存在的安全漏洞,并產生報表,以供分析;還會針對具體安全漏洞提出補救措施。
??????? 第四,應用安全。
??????? 一方面,要嚴格控制內部人員對網絡共享資源的使用。在內部子網中一般不要輕易開放共享目錄,否則,較容易因為疏忽而在與職工間交換信息時泄漏重要信息。對有經常交換信息需求的用戶,在共享時也必須加上必要的口令認證機制, 即只有通過口令的認證才允許訪問數據。另一方面,對涉及秘密信息的用戶主機, 使用者在應用過程中應該做到盡量少開放一些不常用的網絡服務。還要進行信息存儲,對數據庫服務器中的數據庫必須做安全備份。通過網絡備份系統,可以對數據庫進行遠程備份存儲。
??????? 參考文獻:
??????? [1] 曾華國,網絡世界; 我們怎樣設防--關于我國信息安全的報告,1998
??????? [2] 崔 麗, 沈昌祥. 國家安全新概念; 對信息系統安全應從"兩彈一星"的高度去認識? 中國青年報,1999
??????? [3] 趙 林, 斬斷伸向計算機的黑手? 中國科技信息,1998
??????? [4] 陳朝輝, Internet 網絡信息安全問題及其對策,圖書館,1997
???????