| 出版日期:2002-05-20 总期号:1118 本年期号:35 |
|
 |
加强软硬件上的安全性能
美国电子政府实践 邓侃 电子政府系统与普通企业信息系统有很多相同之处,所以电子政府系统的工程管理和技术构造基本上沿用了普通企业信息系统的惯例。如果某企业的信息系统没有搞好,受害者基本上是该企业和它的客户。但是,如果电子政府系统没有搞好,后果会严重得多,其中最令人关注的是如何防止机密的泄露。 前几期笔者介绍了美国几个州在电子政府实践中积累的一些经验,特别是如何把大型的电子政府工程化整为零,各个击破;如何在工期长、技术成分多、参与人数多、工作能力不同等等不利条件下,保障工程质量。这一期笔者将着重谈谈设计电子政府系统时,如何从硬件和软件两方面加强系统的安全性能。 要加强系统的安全,不妨首先想一想有哪些不安全因素。弗吉尼亚州临近首都华盛顿,该州电子政府工程班子有比较丰富的工作经验。他们列举了如下不安全因素: ● 电子政府系统被入侵,信息被盗,或系统遭破坏; ● 政府工作人员之间,政府工作人员与非政府工作人员之间的信息交换被窃听,甚至被篡改; ● 假冒政府官员,索取机密,或下达伪造指令; ● 政府工作人员泄露机密,譬如电子邮件中夹带机密信息。 为了消除或减少这些不安全因素,弗吉尼亚州电子政府工程设计人员采用了三类技术:电子防火墙(Firewall)与虚拟私用网(Virtual Private Network, VPN),公钥体制(Public Key Infrastructure, PKI)与登录控制(Access Control), 监控中心(Administration Center)。 防火墙筑起安全第一关 政府部门里有不少电脑,这些电脑内可能存有一些机密信息。我们通常不希望非政府工作人员直接使用这些电脑,以免他们调阅不该看的内容,同时防止他们损坏设备。但是由于电脑联网的缘故,非政府工作人员虽然不直接使用这些电脑,他们却有可能通过互联网实现间接使用。 最简单的办法是不让这些电脑联网,可是这样一来政府工作人员就没办法收发电子邮件和上网浏览等,给工作带来很多不便。如何既联网又防止他人通过互联网入侵呢? 办法是造一堵电子围墙把政府系统内部所有电脑圈在一个大院里,与外部公共互联网隔绝。这堵电子围墙被称做防火墙。围墙开几个门房,政府内部所有电脑与外部公共互联网上任何电脑的联系都必须经过这几个门房。每个门房通常由两种成分组成,一个是门洞(Gate),另一个是门卫(Choke)。防火墙内部与外界的信息交换都必须通过门洞。门洞附设一些服务器,如网站服务器和电子信箱。 全世界各地人士都可以随时随地访问美国白宫的网站,这个网站的服务器就连在白宫的防火墙的门洞边。虽然普通民众可以访问白宫网站并且可以给美国总统写电子邮件,但是除非是绝顶高手,一般无法知道白宫防火墙里面有哪些电脑,更不要说使用它们了。门卫的职责是盘查防火墙内部与外界的信息交换,比如检查白宫工作人员向外界发送的电子邮件是否包含敏感的词语,是否已经加密等。一旦违反预先设定的安全规则,门卫就阻断该信息的传递。 VPN在公网上建立专用通道 在下面提到的两种情况下,仅仅造一堵防火墙还不够,一种是政府内部系统还分不同部门及保安等级,比如教育部门的电脑没有必要与工商部门的电脑直接联系,又比如警察局的电脑的保安等级要比其它部门的高等。所以,防火墙内也许还有若干小墙,也许还可能墙中套墙。 第二种情况是不同政府部门分散在不同地点,比如同样隶属美国联邦政府的两个机构,其中一个位于华盛顿市中心,而另一个在维州乡下。这样,就至少需要两堵防火墙。它们之间的信息传递要通过公共互联网,这两堵防火墙可以采用虚拟私用网(VPN)相连。对于联邦调查局和中央情报局的电脑用户而言,就像是同在一堵防火墙里面一样。VPN的原理是把不同防火墙之间的信息先加密再传递,即便这些信息在穿越公共互联网时被别人截获,别人也无法解密。当然加密也有代价,代价是传递的速度降低,同时安装VPN及VPN的管理占用额外资金。 公钥体制为信息加密 防火墙与虚拟私用网技术并不能解决所有安全问题,比如虽然同在政府防火墙内部,高级官员之间的信息交换没有必要让不相关的秘书们知道,所以还需要使用公钥体制(Public Key Infrastructure, PKI)。公钥体制的核心是一对互相匹配的钥匙。每个用户自己设定一把特定的仅为本人所知的私用钥匙,同时设定一把公共钥匙,并公开发布让其他用户使用。当发送一份保密文件时,发送方使用接收方的公共钥匙对信息加密,而接收方则使用自己的私用钥匙解密。即便其他人截获了这份加密了的信息,他也无法解密,因为只有用私用钥匙才能解密。常用的一种公钥体制是RSA体制。其数学原理是将一个大数分解成两个质数的乘积,用这两个质数制成一对私用钥匙和公共钥匙。加密和解密用的是两个不同的钥匙。即使已知原文、密文和加密过程使用的公共钥匙,也几乎不可能推导出解密所需要的私用钥匙。确切来说,按现在的计算机处理速度,要破解目前通用的1024位RSA钥匙,需要上千年的计算时间。任何人都可以拿到美国各级政府各部门甚至各官员的公共钥匙,普通民众可以用这些公共钥匙对发送的信息进行加密,以确保信息只让接收方解密。 公钥体制有很多用途,包括大家熟悉的HTTPS网络协议。比如当用户通过政府网站申报个人所得税时,用户发出的有关信息不应该让别人窃听,在这种情况下,用户与某个网站的联系就可以使用HTTPS网络协议。HTTPS网络协议是在HTTP协议基础上附加SSL技术,而SSL技术分成两个步骤。第一步,用公钥体制相互确认身份,对用户而言,他要确认所访问的网站确实是政府的网站,对政府网站而言,它要确认保税人确实是他所自称的人,以防捣乱。 具体的做法是,用户先通过不保密的HTTP协议从政府网站得到政府网站的公共钥匙,然后用户把拿到的公共钥匙送交网上公证处确认其有效性,同时通过不保密的HTTP协议把用户自己的公共钥匙传给政府网站,政府网站也通过公证处确认用户的公共钥匙是否有效。双方对拿到的对方的公共钥匙都放心后,就可以对一些信息加密,然后通过不保密的HTTP协议传给对方,以保证这些信息只能让对方读解。不过,这些加密的信息并不是报税的数据,而是另一把钥匙。 用这把钥匙就可以开始第二步,传输报税数据。为什么要用第三把钥匙传输报税数据呢?原因是报税的数据可能很多,当然也可以用公共钥匙和私用钥匙来加密和解密,不过这样的话,加密和解密的计算量很大。如果用户和政府网站共同使用一样的钥匙,即第三把钥匙,可以节省很多计算量,大大提高效率。美国弗吉尼亚州州政府的网站包括很多服务,绝大多数服务使用不保密的HTTP协议,以提高运行效率,只有数据需要保密的服务才使用保密的HTTPS协议。 公钥体制还可以用来实现电子签名。为了保证权威性,以及防止被篡改,政府官员发出的指令一律附带电子签名。做法是官员在发出指令前,先对指令信息用私用钥匙加密。收件人用政府官员的公共钥匙解密。电子签名有两点好处,第一,保证指令是由该官员自己签名发送的,签名者不能否认或难以否认,第二,保证指令自签发后到收到为止未曾作过任何修改。 登录控制严防外部入侵 对政府系统内部一些重要设备,如数据库等,还要装配登录控制(Access Control)。目的是不仅严防外部入侵,而且防止政府内部工作人员未经特别授权擅自使用这些设备。 登录控制有两种方式,第一种是普通的登录用户名(Login Name)和登录密码(Password)。这种登录方式的问题是任何人都可以很方便地截获用户名和登录密码。所以第二种登录控制要求用户先使用私用钥匙对登录用户名和登录密码加密,然后把它们传给那些重要设备。重要设备事先储备了所有用户的公共钥匙。当重要设备接到某位用户传来的加密了的登录信息后,用这位用户的公共钥匙进行解密,最后再像第一种方式那样完成登录过程。同时任何登录不论成功与否,一律记录备案,以便追查。 监控中心实时监视可疑信息 有了电子防火墙、虚拟私用网、公钥体制和登录控制,弗吉尼亚州的电子政府系统还设有监控中心(Administration Center)。原因是即使防范措施很严,还是难以保证不会有功夫高强的黑客入侵,难以保证不会有形形色色的计算机病毒传染,更不用说会有政府内部工作人员操作失误或别有企图。监控中心的任务是,一来检测系统各部分是否工作正常,二来监视可疑的信息交换和计算机操作。近来不时有黑客偷换政府网站的网页,比如在白宫网页上贴上色情图片等等。监控中心的对策是经常核对各网页,包括投递预先设定的服务要求,然后检查服务的结果是否如期返回,并且核对反馈的结果是否与预先知道的正确答案相吻合等等。 以下两点值得注意,第一,监控中心的工作方式是被动的,换句话说,反常情况发生在先,之后监控中心才能采取对策。所以,监控中心只是补救措施,不能替代防火墙、虚拟私用网、公钥体制和登录控制。 第二,实践表明,电子邮件是系统各部分中最薄弱的环节。电子邮件容易携带病毒,轻则自动发送大量垃圾邮件阻塞网络交通,重则破坏收件人使用的计算机系统,甚至破坏政府系统内部其它设备。所以监控中心尤其要注意电子邮件系统是否工作正常。 通过这几期的介绍我们了解到美国几个州如何实施电子政府工程,并保障其工程质量,以及对于电子政府系统的安全和保密,他们采取了哪些措施。考虑到中国政府结构以及政务运行方式与美国不同,所以国内实施电子政府系统工程需要结合中国国情,走出具有中国特色的路子。中国特色到底体现在具体哪些方面,需要国内各级政府、学术机构和IT企业共同协商。前面介绍的美国几个州的经验,尤其是工程管理、体系结构和技术成分,或许可以当作国内实施电子政府工程的参考和设计出发点。 |
||||||||||||||||||||||||||
