第一篇：我國電子政務(wù)信息安全管理問題研究

我國電子政務(wù)信息安全管理問題研究

作者： XXX 指導(dǎo)老師：XXX

內(nèi)容摘要：電子政務(wù)是一種全新的政府管理方式，是一個基于網(wǎng)絡(luò)技術(shù)的綜合性業(yè)務(wù)模式。建立電子政務(wù)系統(tǒng)參與公眾服務(wù)，必然要求這一系統(tǒng)必須是安全、可靠、抗災(zāi)難、可恢復(fù)的。隨著電子政務(wù)信息化的不斷發(fā)展，電子政務(wù)對于網(wǎng)絡(luò)系統(tǒng)的依賴性越來越強，政務(wù)系統(tǒng)作為關(guān)系國計民生的重要部分，在安全方面尤為重要。本文就主要從我國電子政務(wù)的發(fā)展歷程及面臨的主要挑戰(zhàn)，信息安全管理過程中出現(xiàn)的相關(guān)問題做一分析以及主要的管理措施加以論述。

關(guān)鍵詞：電子政務(wù) 信息安全 電子政務(wù)信息安全

一、我國電子政務(wù)發(fā)展的歷程，特點及主要趨勢

1、我國電子政務(wù)的發(fā)展歷程

電子政務(wù)的發(fā)展源于技術(shù)的進步和社會的演進，信息技術(shù)的突破性進展為政府信息化創(chuàng)造了條件，中國政府明確提出建設(shè)電子政務(wù)雖然只是近幾年的事，但從歷史沿革來看，80年代中期開始的辦公自動化建設(shè)，就已經(jīng)拉開了電子政務(wù)建設(shè)的帷幕。從這一時間段來劃分，中國電子政務(wù)的發(fā)展大體可分為四個階段：辦公自動化階段、“三金工程”實施階段、“政府上網(wǎng)”階段和電子政務(wù)階段。

2、我國電子政務(wù)的特點

（1）我國電子政務(wù)整體尚處在初步發(fā)展階段。表現(xiàn)為相關(guān)政策，法律法規(guī)的建設(shè)不完善，電子政務(wù)信息化建設(shè)物理硬件設(shè)施不夠完善，相關(guān)技術(shù)整體上還有很大的發(fā)展空間。

（2）發(fā)展的多層次性和不平衡性。由于我國經(jīng)濟社會發(fā)展不平穩(wěn)，中央部委、沿海發(fā)達地區(qū)和中西部地區(qū)電子政務(wù)的發(fā)展水平存在較大差距，呈現(xiàn)出多層次、不平衡性的特點。另外，近幾年政府門戶網(wǎng)站的發(fā)展較快，但網(wǎng)站內(nèi)容與所能提供的服務(wù)卻相對不足。

（3）電子政務(wù)領(lǐng)域各種“矛盾”突出。部門和地區(qū)對電子政務(wù)的投資熱情與應(yīng)用效果之間的反差強烈，電子政務(wù)管理沿用的固定資產(chǎn)投資方式已不能適應(yīng)電子政務(wù)發(fā)展的需要，但相關(guān)的管理制度改革卻處于相對緩慢的狀態(tài)。

3、我國電子政府發(fā)展的主要趨勢

（1）信息安全得到加強。從政府層面來看，電子政務(wù)安全體系框架正在研究制定，電子簽名法

(1)

已經(jīng)推出，信息公開等方面的法律法規(guī)的前期研究工作也在進行當(dāng)中；從用戶層面來看，電子政務(wù)建設(shè)的用戶從規(guī)劃、實施等方面都已對信息安全進行了充分考慮，并且信息安全方面的費用在整個信息化建設(shè)中所占的比例越來越大；從廠商層面來看，國內(nèi)外安全廠商在整個IT行業(yè)中發(fā)展速度較快，廠商數(shù)量和廠商規(guī)模都在迅速增長?？梢灶A(yù)計，未來幾年信息安全市場將會有更進一步的發(fā)展，信息安全法律法規(guī)將會更加完善。

（2）信息中心轉(zhuǎn)型步伐進一步加快。未來幾年，多數(shù)信息中心將不再具體承擔(dān)政府部門的信息化建設(shè)任務(wù)，而轉(zhuǎn)向政府信息化規(guī)劃、招投標(biāo)、工程管理、工程驗收等方面。因此，未來的電子政務(wù)建設(shè)市場將進一步的透明，并且由于信息中心的轉(zhuǎn)型，使專門從事電子政務(wù)系統(tǒng)集成、方案開發(fā)的廠商有了更大的發(fā)展空間和市場。

（3）標(biāo)準(zhǔn)規(guī)范將不斷完善。2002年5月，國家標(biāo)準(zhǔn)化管理委員會和國務(wù)院信息化工作辦公室聯(lián)合發(fā)布了《電子政務(wù)標(biāo)準(zhǔn)化指南》總則部分，與之相關(guān)的電子政務(wù)工程管理、網(wǎng)絡(luò)建設(shè)、信息共享、支撐技術(shù)、信息安全等方面的技術(shù)要求、標(biāo)準(zhǔn)和管理規(guī)定在2003年已完成。2004年，從事系統(tǒng)集成、網(wǎng)絡(luò)建設(shè)、信息安全等方面的廠商，在開發(fā)建設(shè)過程中已有法可依。

二、我國電子政務(wù)信息安全存在的問題

1、法律問題

盡管近年來我國已出臺了一系列與網(wǎng)絡(luò)信息安全相關(guān)的法律法規(guī)，并取得了一定的成績，但這些法律法規(guī)尚未形成體系。隨著信息技術(shù)的發(fā)展，信息安全問題越來越復(fù)雜，現(xiàn)有的信息安全法律框架已經(jīng)難以適應(yīng)電子政務(wù)信息化模式的發(fā)展需求。因此加快電子政務(wù)信息化的法律法規(guī)建設(shè)以成為一項非常急迫的任務(wù)。

2、技術(shù)問題

（1）網(wǎng)絡(luò)安全規(guī)劃與網(wǎng)絡(luò)結(jié)構(gòu)的不合理性。

由于信息技術(shù)發(fā)展尚不完善的眾多原因，我國電子政務(wù)網(wǎng)絡(luò)的建設(shè)在規(guī)劃上經(jīng)常缺少前瞻性的安全規(guī)劃，如：IP 地址缺乏統(tǒng)一規(guī)劃，廣播流量可控性差，子網(wǎng)故障隔離性差，重要流量缺乏帶寬管理和服務(wù)質(zhì)量優(yōu)先保證等問題顯現(xiàn)明顯。

（2）電子政務(wù)信息化建設(shè)技術(shù)人員相對缺乏，技術(shù)等素質(zhì)不過硬。

我國信息化建設(shè)相對國對發(fā)達國家的信息設(shè)備和信息技術(shù)有很大的差異，技術(shù)人員培養(yǎng)力度也比發(fā)達國家相對來說不足，信息化核心設(shè)備嚴重依賴國外，對引進的技術(shù)和設(shè)備缺乏必要的信息管理和技術(shù)改造。尤其是在系統(tǒng)安全和安全協(xié)議的研究和應(yīng)用方面與發(fā)達國家的差距很大。（3）網(wǎng)絡(luò)技術(shù)與網(wǎng)絡(luò)設(shè)置的不科學(xué)，造成了大量的網(wǎng)絡(luò)安全隱患。

電子政務(wù)本身所具有的特點決定了它很容易招致來自外部或內(nèi)部的各種攻擊。同時，網(wǎng)絡(luò)化政務(wù)辦公導(dǎo)致了政府工作對網(wǎng)絡(luò)依賴性的增強，而依賴性必然產(chǎn)生脆弱性，包括技術(shù)的脆弱性、社會

(2)的脆弱性、人的脆弱性等等。由于網(wǎng)絡(luò)技術(shù)不夠成熟，網(wǎng)絡(luò)設(shè)置不夠科學(xué)，目前大部分電子政務(wù)選用的系統(tǒng)本身存在著安全弱點或隱患，其中包括網(wǎng)絡(luò)硬件設(shè)備的弱點、操作平臺的弱點等各種安全問題。由于電子政務(wù)在很大程度上要依賴因特網(wǎng)，而因特網(wǎng)的全球性、開放性在為我們提供極大的便利的同時，也給信息安全帶來了極大的威脅，這就需要我們努力的利用先進的網(wǎng)絡(luò)技術(shù)來減少或消除這些威脅。

3、管理問題

（1）政府工作人員思想觀念陳舊，安全意識淡薄。

我國電子政務(wù)建設(shè)起點低，時間短，至今仍未成熟。幾十年來，政府工作人員已經(jīng)習(xí)慣了手工作業(yè)，不容易適應(yīng)信息化辦公，對電子政務(wù)沒有一個正確的認識，仍保留著陳舊的管理理念。另外，對于工作人員，在電子政務(wù)信息的安全問題上還存在不少認知盲區(qū)和制約因素。網(wǎng)絡(luò)是新生事物，許多人一接觸它就忙著用于學(xué)習(xí)、工作和娛樂等，對網(wǎng)絡(luò)信息的安全性無暇顧及，安全意識相當(dāng)?shù)?，對網(wǎng)絡(luò)信息不安全的事實認識不足。雖然政府已經(jīng)采取了很多措施來提高工作人員的安全意識，但就其效果而言并不是很理想。

（2）管理體制問題突出，網(wǎng)絡(luò)安全管理混亂，規(guī)范化的管理制度相對滯后，造成了很多管理安全漏洞。

一直以來，各級政府為了保證信息安全，只在技術(shù)上采取了相應(yīng)的保障措施，卻忽略了更重要的管理體制的建設(shè)，未把保障電子政務(wù)安全的“軟措施”做細做實，未從管理體制上落實安全責(zé)任制，未建立完備的信息安全管理和認證機制等。這使電子政務(wù)系統(tǒng)存在很多管理安全漏洞，很難做到安全管理的統(tǒng)一協(xié)調(diào)性，一旦發(fā)生安全事件，故障定位不準(zhǔn)，追查事故源困難，責(zé)任問題牽扯不清，從而造成事件的破壞性后果更為嚴重。

三、我國電子政務(wù)信息安全管理措施

1、完善管理體制，規(guī)范管理制度。

目前，我國電子政務(wù)領(lǐng)域并沒有形成一個由上到下的統(tǒng)一的管理體制，這給信息安全的保障造成了很大的障礙。這就需要國家相關(guān)部門建立一個從中央到各級地方政府的統(tǒng)一的電子政務(wù)管理體制，上級部門主管或監(jiān)督下級部門，面對問題，中央及各級下屬部門協(xié)調(diào)步伐，統(tǒng)一解決，以防出現(xiàn)不同部門的各種差異和利益沖突。電子政務(wù)網(wǎng)絡(luò)內(nèi)部安全除了需要體系化的安全防御策略以外，還需要嚴格的、可操作性強的安全管理制度，以明確責(zé)任，增強員工對信息安全的重視程度。制度的制訂要規(guī)范，要強調(diào)制度的強制性、法規(guī)約束力和可操作性。

2、提高工作人員的信息素養(yǎng)，強化信息安全意識。

對相關(guān)工作人員進行電子政務(wù)方面相關(guān)知識的培訓(xùn)，使其轉(zhuǎn)變傳統(tǒng)的思想觀念，深入了解和認識電子政務(wù)，更好地融入政府的現(xiàn)代化辦公。同時進行安全宣傳教育，增強安全意識的培養(yǎng)和信息

(3)

安全知識的普及，提高工作人員的信息素養(yǎng)，保證安全管理制度的良好貫徹和執(zhí)行。

3、加強電子政務(wù)的法治環(huán)境建設(shè)。

與電子政務(wù)快速發(fā)展的實踐相比，我國的電子政務(wù)法制化進程明顯滯后。對于我國電子政務(wù)發(fā)展中出現(xiàn)的各種問題，尤其是信息安全問題，國家立法機關(guān)及政府有必要以法律的形式加以解決和固化，以保證我國電子政務(wù)的健康發(fā)展。

4、加強網(wǎng)絡(luò)核心技術(shù)研發(fā)，培養(yǎng)電子政務(wù)專業(yè)人才。

電子政務(wù)的發(fā)展已經(jīng)成為我國現(xiàn)階段社會發(fā)展的一個重要組成部分，為了減少在信息設(shè)備和信息技術(shù)方面對發(fā)達國家的依賴性，加強我國電子政務(wù)系統(tǒng)的安全性，可以成立專門的針對電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的技術(shù)研發(fā)機構(gòu)，組成核心攻堅團隊，及時解決我國電子政務(wù)發(fā)展過程中出現(xiàn)的相關(guān)問題。另外，為了保證電子政務(wù)系統(tǒng)的良好運行，我國還急需培養(yǎng)大批的電子政務(wù)專業(yè)人才，可以在高校中設(shè)立電子政務(wù)相關(guān)專業(yè)，專門培養(yǎng)針對政府電子政務(wù)系統(tǒng)使用的專業(yè)人才。

四、電子政務(wù)信息安全管理應(yīng)用的主要技術(shù)

1、防火墻技術(shù)

防火墻技術(shù)在信息安全管理中顯得尤為重要，是一個有軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障。在當(dāng)今政務(wù)公開，政府工作注重高效性情況下，將防火墻技術(shù)應(yīng)用到電子政務(wù)中，對于信息安全的建設(shè)與發(fā)展都起到了不可忽視的作用。

2、VPN技術(shù)

VPN（Virtual Private Network）即虛擬專用網(wǎng)，是通過一個公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。通常，VPN 是對企業(yè)內(nèi)部網(wǎng)的擴展，通過它可以幫助遠程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。VPN 可用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實現(xiàn)安全連接；可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。將VPN技術(shù)所涉及到數(shù)據(jù)安全連接及政府網(wǎng)站的擴展操作，在一定意義上起到了電子政務(wù)信息安全的管理問題。

3、PKI技術(shù)

PKI（Public Key Infrastucture）即公鑰基礎(chǔ)設(shè)施，廣義上講，它是一套安全服務(wù)的集合，運用密碼學(xué)的基礎(chǔ)理論，為網(wǎng)絡(luò)應(yīng)用提供認證、授權(quán)、加密、數(shù)字簽證等安全服務(wù)。PKI技術(shù)是一個廣闊的研究領(lǐng)域，在電子政務(wù)系統(tǒng)中的應(yīng)用研究有著重要的實用意義，它在電子政務(wù)系統(tǒng)的安全性、公務(wù)員的素質(zhì)、決策的科學(xué)性、行政效率等方面都有著積極的貢獻。因此PKI技術(shù)在電子政務(wù)中得到人們的日益重視。許多PKI技術(shù)不斷涌出，PKI對數(shù)據(jù)加密、數(shù)字簽名、反否認、數(shù)字完整性以及分辨所需的密鑰和認證實施了統(tǒng)一的集中化管理?；赑KI技術(shù)可構(gòu)建安全性能很好的電子政務(wù)

(4)

應(yīng)用系統(tǒng)。我國PKI理論的研究將走向成熟期，它的非?，F(xiàn)實的應(yīng)用前景和電子政務(wù)的發(fā)展要求完美結(jié)合，推進我國基于PKI的安全的電子政務(wù)發(fā)展。

五、結(jié)束語

隨著信息化技術(shù)的日新月異，電子政務(wù)信息安全的保障顯得尤為重要，同時也是一項關(guān)系多領(lǐng)域的綜合工程，必須從技術(shù)和管理兩方面入手，才能最大限度地保證電子政務(wù)信息安全。在電子政務(wù)中，要達到絕對的安全是不可能的，但是，當(dāng)充分的認識到電子政務(wù)信息安全所涉及的各個方面后，從綜合的角度出發(fā)，就可以找到較好的辦法，盡可能的達到維護電子政務(wù)系統(tǒng)安全的最終目的。相信經(jīng)過國家和地方各級政府部門的努力和緊密配合，在社會各方的大力幫助下，我國的電子政務(wù)信息安全隱患會降到最低，以保證電子政務(wù)實踐健康快速的發(fā)展！

參考文獻：

[1]趙國俊.電子政務(wù)教程[M].北京：中國人民大學(xué)出版社，2004.[2]韓文報.電子政務(wù)概論[M].北京：解放軍出版社，2005.[3]劉越男，王立清.政府網(wǎng)站的構(gòu)建與運作[M].北京：中國人民大學(xué)出版社，2004.[4]謝先江.電子政務(wù)外網(wǎng)安全平臺建設(shè)基本問題初探[J].電子政務(wù)，2008.(5)

第二篇：電子政務(wù)信息安全和管理

電子政務(wù)信息安全和管理

一、電子政務(wù)順利實施的核心問題

電子政務(wù)是一種全新的政府管理方式,是一個基于網(wǎng)絡(luò)技術(shù)的綜合性業(yè)務(wù)模式。建立電子政務(wù)系統(tǒng)參公眾服務(wù),必然要求這一系統(tǒng)必須是安全、可靠、抗災(zāi)難、可恢復(fù)的。計算機和計算機網(wǎng)絡(luò)的共享、交互和快速為這種系統(tǒng)的建立提供了前提條件,互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展和廣泛應(yīng)用,又為電子政務(wù)系統(tǒng)不斷走向開放互聯(lián)提供了巨大推動力。隨著電子政務(wù)信息化的不斷發(fā)展,電子政務(wù)對于網(wǎng)絡(luò)系統(tǒng)的依賴性越來越強,政務(wù)系統(tǒng)作為關(guān)系國計民生的重要部分,在安全方面尤為重要,而由于互聯(lián)網(wǎng)的開放性和公共性帶來的不安全因素,使信息安全問題成為保障電子政務(wù)順利實施的核心問題。

二、電子政務(wù)信息安全面臨的問題

電子政務(wù)網(wǎng)分為政務(wù)內(nèi)網(wǎng)(涉密網(wǎng))和政務(wù)外網(wǎng)(非涉密網(wǎng)),兩網(wǎng)之間物理隔離,政務(wù)外網(wǎng)采取邏輯隔離與互聯(lián)網(wǎng)聯(lián)通。政府各部門大力推行的辦公自動化、網(wǎng)絡(luò)化、電子化、信息共享都以這些網(wǎng)絡(luò)為支撐,以TCP/IPV4為傳輸協(xié)議,該協(xié)議為開放協(xié)議,從協(xié)議規(guī)劃、服務(wù)模式、網(wǎng)絡(luò)管理等方面均缺乏安全性設(shè)計,所以電子政務(wù)信息系統(tǒng)就存在著諸多的安全隱患。

1.網(wǎng)絡(luò)安全規(guī)劃的不到位,造成網(wǎng)絡(luò)結(jié)構(gòu)的不合理性。由于信息技術(shù)發(fā)展的歷史原因和建設(shè)資金問題,我國電子政務(wù)網(wǎng)絡(luò)的建設(shè)在規(guī)劃上經(jīng)常缺少前瞻性的安全規(guī)劃,網(wǎng)絡(luò)流量存在多個瓶頸, IP地址缺乏統(tǒng)一規(guī)劃,廣播流量可控性差,子網(wǎng)故障隔離性差,重要流量缺乏帶寬管理和服務(wù)質(zhì)量優(yōu)先保證等一大堆問題。隨著安全問題的不斷出現(xiàn),只能在運行過程中不停地修修補補。但是,這種修補只能解決暫時的問題,解決一個問題后,往往又有新問題出現(xiàn)。

2.關(guān)鍵核心技術(shù)還掌握,增加了我國基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全的隱患。我國對發(fā)達國家信息設(shè)備和信息技術(shù)存在很強的依賴性,信息化核心設(shè)備嚴重依賴國外,對引進技術(shù)和設(shè)備缺乏必要的信息管理和技術(shù)改造。尤其是在系統(tǒng)安全和安全協(xié)議的研究和應(yīng)用方面與發(fā)達國家的差距很大。目前組成我國電子政務(wù)網(wǎng)絡(luò)的計算機網(wǎng)絡(luò)系統(tǒng)所用硬件、軟件、操作系統(tǒng)、網(wǎng)管軟件、各類應(yīng)用系統(tǒng)、數(shù)據(jù)庫、防火墻、網(wǎng)絡(luò)接入設(shè)備、路由器、服務(wù)器基本上都是國外公司的產(chǎn)品,微機芯片都是INTEL系列,軟件基本上是微軟公司的產(chǎn)品,完全自主知識產(chǎn)權(quán)的產(chǎn)品基本沒有。這些因素使我國的電子政務(wù)網(wǎng)絡(luò)安全性能大大降低,我國的經(jīng)濟和社會發(fā)展面臨著新的風(fēng)險。

3.網(wǎng)絡(luò)安全管理的混亂和規(guī)范化的管理制度相對滯后,造成很多管理安全漏洞。由于電子政務(wù)的網(wǎng)絡(luò)是連接多個政務(wù)部門的廣域網(wǎng)或城域網(wǎng),需要各部門協(xié)調(diào)一致,共同維護整個網(wǎng)絡(luò)平臺的安全。但是,由于不同政府部門的信息技術(shù)人才和信息化水平的差異性,以及不同政府部門存在一些相關(guān)的利益和沖突,因此,很難做到安全管理的統(tǒng)一協(xié)調(diào)性,一旦發(fā)生安全事件,故障定位不準(zhǔn),追查事故源困難,責(zé)任問題牽扯不清,從而造成事件的破壞性后果更為嚴重。

4.安全意識淡薄。目前,在電子政務(wù)信息的安全問題上還存在不少認知盲區(qū)和制約因素。網(wǎng)絡(luò)是新生事物,許多人一接觸就忙著用于學(xué)習(xí)、工作和娛樂等,對網(wǎng)絡(luò)信息的安全性無暇顧及,安全意識相當(dāng)?shù)?對網(wǎng)絡(luò)信息不安全的事實認識不足。與此同時,機關(guān)、事業(yè)單位注重的是網(wǎng)絡(luò)效應(yīng),對安全領(lǐng)域的投入和管理遠遠不能滿足安全防范的要求?？傮w上看,網(wǎng)絡(luò)信息安全處于被動的封堵漏洞狀態(tài),從上到下普遍存在僥幸心理,沒有形成主動防范、積極應(yīng)對的全民意識,更無法從根本上提高網(wǎng)絡(luò)監(jiān)測、防護、響應(yīng)、恢復(fù)和抗擊能力。

三、電子政務(wù)信息安全措施

1.設(shè)備的物理安全。物理層的安全設(shè)計應(yīng)從三個方面考慮:環(huán)境安全、設(shè)備安全、線路安全。采取的措施包括:機房屏蔽,電源接地,布線隱蔽,防雷。根據(jù)中央保密委有關(guān)文件規(guī)定,凡是計算機同時具有內(nèi)網(wǎng)和外網(wǎng)的應(yīng)用需求,必須采取網(wǎng)絡(luò)安全隔離技術(shù),在計算機終端安裝隔離卡或安裝安全網(wǎng)閘,使內(nèi)網(wǎng)與外網(wǎng)之間從根本上實現(xiàn)物理隔離,防止涉密信息通過外網(wǎng)泄漏。

2.信息的加密。電子政務(wù)應(yīng)用涵蓋政府內(nèi)部辦公和面對公眾的信息服務(wù)兩大方面。就政府內(nèi)部辦公而言,電子政務(wù)系統(tǒng)涉及到部門與部門之間、上下級之間、地區(qū)與地區(qū)間的公文流轉(zhuǎn),這些公文的信息往往涉及不宜公開的和有密級的內(nèi)容。因此,在信息傳遞過程中,必須采取適當(dāng)?shù)募用芊椒▽π畔⑦M行加密?？刹捎枚喾N加密方式:a.基于IPsec的加密方式正被廣泛采用,其優(yōu)點顯而易見:IPsec對應(yīng)用系統(tǒng)透明且具有極強的安全性,這一點對于要開發(fā)龐大應(yīng)用的電子政務(wù)來說,就顯得極有好處了,應(yīng)用系統(tǒng)開發(fā)商不必為數(shù)據(jù)傳輸過程中的加密做過多的考慮,易于部署和維護。b.采用VPN技術(shù)在公共數(shù)據(jù)網(wǎng)上進行內(nèi)部信息的安全傳輸。其優(yōu)點是只增加端設(shè)備避免了重復(fù)建設(shè)。c.采用公鑰基礎(chǔ)設(shè)施技術(shù)(PKI)為基礎(chǔ),以數(shù)據(jù)機密性、完整性、身份認證和行為的不可否認為安全目的為電子政務(wù)提供安全支持。

3.操作系統(tǒng)的安全性。網(wǎng)絡(luò)安全的重要基礎(chǔ)之一是安全的操作系統(tǒng),因為所有的政務(wù)應(yīng)用和安全措施都依賴操作系統(tǒng)提供底層支持。操作系統(tǒng)的漏洞或配置不當(dāng)將有可能導(dǎo)致整個安全體系的崩潰。更危險的是,我們無法保證國外廠家的操作系統(tǒng)產(chǎn)品不存在后門。在操作系統(tǒng)安全方面,有兩點是值得考慮的:一是采用具有自主知識產(chǎn)權(quán)且源代碼對政府公開的產(chǎn)品;二是利用漏洞掃描工具定期檢查系統(tǒng)漏洞和配置更改情況,及時發(fā)現(xiàn)問題。

4.數(shù)據(jù)備份與容災(zāi)。任何的安全措施都無法保證數(shù)據(jù)萬無一失,硬件故障、自然災(zāi)害以及未知病毒的感染都有可能導(dǎo)致政府重要數(shù)據(jù)的丟失。因此,在電子政務(wù)安全體系中必須包括數(shù)據(jù)的容災(zāi)與備份,并且最好是異地備份。

5.管理制度的完善。電子政務(wù)網(wǎng)絡(luò)內(nèi)部安全和外部安全一樣重要,內(nèi)部安全除了需要體系化的安全防御策略,還需要嚴格的、可操作性強的安全管理制度。制度的制訂首先要規(guī)范,其次要強調(diào)制度的強制性、法規(guī)約束力和可操作性,同時進行安全宣傳教育,增強安全意識的培養(yǎng)和信息安全知識的普及這樣才能保證制度的真正貫徹和執(zhí)行加強。

6.建立網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)預(yù)案。網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)預(yù)案是安全管理制度的一個重要部分,這里單獨來討論,主要是考慮到其重要性。事前有預(yù)案,一旦發(fā)生安全事件,就可以觸發(fā)相應(yīng)的預(yù)案處理程序,在最短的時間內(nèi)恢復(fù)正常的網(wǎng)絡(luò)服務(wù)和信息服務(wù),力求把安全事件的破壞力降到最低?！?編輯/李舶)

第三篇：電子政務(wù)信息安全解決方案研究

電子政務(wù)信息安全解決方案研究

摘要：作為政府信息化工程的重要組成部分，電子政務(wù)在我國的發(fā)展已初具規(guī)模。由于政務(wù)信息的敏感性和保密性要求，以及網(wǎng)絡(luò)平臺的安全性影響，電子政務(wù)信息系統(tǒng)的安全保障是至關(guān)重要的。電子政務(wù)信息系統(tǒng)的安全保障涉及到網(wǎng)絡(luò)技術(shù)、系統(tǒng)功能、人員管理、法制法規(guī)等諸多因素，必須形成全面、規(guī)范、有執(zhí)行力的保障機制。

關(guān)鍵字：電子政務(wù)，信息安全，解決方案 引言

近年來，以互聯(lián)網(wǎng)技術(shù)為承載主體的信息技術(shù)的飛速發(fā)，引發(fā)了一場深刻的生產(chǎn)和生活方式變，極大地推動著經(jīng)濟和社會的發(fā)展。作為信息高速公路五個應(yīng)用領(lǐng)域中的首要應(yīng)用，電子政府/電子政務(wù)在全球范圍內(nèi)受到廣泛的重視，政府上網(wǎng)、政府工作電子化勢在必行，政府信息化已成為經(jīng)濟信息化和社會信息化的前提，電子政務(wù)將是未來國家核心競爭力的重要因素之一。所謂電子政務(wù)是指政府機構(gòu)運用現(xiàn)代信息技術(shù)，在組織機構(gòu)管理和服務(wù)職能實現(xiàn)上突破時間、空間和部門分隔的限制，形成精簡高效、廉潔公平的政府運作模式。電子政務(wù)模型可簡單分為兩方面：部門內(nèi)部的網(wǎng)絡(luò)辦公平臺和各部門與社會各界之間的網(wǎng)絡(luò)信息溝通平臺。因此，電子政務(wù)實施過程中的首要問題 便是如何保障信息安全。如果信息安全不能得以保障，輕則影響電子政務(wù)信息系統(tǒng)正常功能的運轉(zhuǎn)，重則破壞政府的公眾形象甚至對社會的團結(jié)穩(wěn)定產(chǎn)生危害。電子政務(wù)面臨的網(wǎng)絡(luò)安全戚脅

電子政務(wù)是黨委、政府、人大、政協(xié)及行政管理機構(gòu)有效決策、管理、服務(wù)的重要手段．電子政務(wù)信息系統(tǒng)也必然會成為信息間諜、敵對勢力、恐怖集團、國家之間信息戰(zhàn)攻擊的目標(biāo)。因此．構(gòu)建電子政務(wù)信息安全保障體系，事關(guān)國家政治、經(jīng)濟、國防安全和民族信息產(chǎn)業(yè)發(fā)展的全局。電子政務(wù)面臨的網(wǎng)絡(luò)安全威脅因素有：

1．計算機系統(tǒng)的脆弱性

計算機系統(tǒng)本身無法抵御自然災(zāi)害的破壞，也難以避免偶然無意造成的危害。如水、火、地震的破壞及環(huán)境(溫度、振動、沖擊、污染)的影響以及硬件設(shè)備故障，突然斷電或電源波動以及各種誤操作等危害。這些危害有的會損害系統(tǒng)設(shè)備，有的則會丟失或破壞數(shù)據(jù)。甚至毀掉整個系統(tǒng)和數(shù)據(jù)。

2．網(wǎng)絡(luò)技術(shù)的缺陷性(1)先天的安全隱患

在物理通路上．網(wǎng)絡(luò)通信線路一般是電話線、專線、微波、光纜或無線系統(tǒng)，這些線路易遭受物理破壞．易被搭線竊聽，無線通信易遭截獲、監(jiān)聽等等。網(wǎng)絡(luò)規(guī)模越大，通信線路越長，這種弱點也隨之增加。

電子政務(wù)內(nèi)網(wǎng)，政務(wù)外網(wǎng)、公共服務(wù)網(wǎng)的網(wǎng)絡(luò)環(huán)境，都是采用TCP／IP協(xié)議而建立的。該協(xié)議以開放和自由為基礎(chǔ)，從協(xié)議規(guī)劃、服務(wù)模式、網(wǎng)絡(luò)管理等方面均缺乏安全性設(shè)計。計算機應(yīng)用系統(tǒng)自身的缺陷相當(dāng)多，如windows net和Netware就存在嚴重的安全漏洞，使入侵者有不少空子可鉆。另外數(shù)據(jù)庫服務(wù)器、電子郵件服務(wù)器、web服務(wù)器等應(yīng)用平臺也存在大量的安全隱患。

(2)網(wǎng)絡(luò)的外部威脅

系統(tǒng)外部非法用戶．如信息間諜的潛入竊密，網(wǎng)絡(luò)黑客的攻擊篡改．恐怖集團的銷毀破壞等．使數(shù)據(jù)遭到竊取、假冒、抵賴或銷毀，從而造成政府網(wǎng)絡(luò)無法工作。具體表現(xiàn)有下面三方面：

一是非法使用資源。入侵者濫用和盜用計算機資源、網(wǎng)絡(luò)連接服務(wù)等資源，并查閱數(shù)據(jù)、訪問機密文件等信息資源。

二是惡意破壞。非法進入者對系統(tǒng)或數(shù)據(jù)文件進行破壞，包括修改數(shù)據(jù)信息．破壞硬件．傳送附帶破壞性病毒的文件等，還可以設(shè)置”定時炸彈”進行要挾攻擊．敲詐勒索。這些惡意破壞造成系統(tǒng)癱瘓，文件無效或消失．使電子政府中斷對用戶提供的服務(wù)。

三是盜竊數(shù)據(jù)。黑客進入網(wǎng)絡(luò)，盜走任何有價值的東西，包括金融數(shù)據(jù)、機密文件以及其他敏感的數(shù)據(jù)信息等。

3．信息管理的可腐敗性

管理規(guī)范不到位：例如，微機或工作站管理人員在開機狀態(tài)下擅離崗位，敏感信息臨時存放在本地的磁盤上，而這些信息處于未保護狀態(tài)．這種管理上的不 2

嚴格極易給他人提供冒充的機會。另外內(nèi)部用戶隨意利用辦公終端與lnternet聯(lián)接，使網(wǎng)絡(luò)罪犯有機可乘。許多網(wǎng)絡(luò)犯罪行為尤其是非法操作都是利用聯(lián)網(wǎng)的電腦管理制度上的漏洞而得逞的。

組織管理不完善：如部分網(wǎng)絡(luò)管理者(內(nèi)部人員)很容易以某一用戶的身份登錄、查看和復(fù)制用戶的信息．甚至利用管理用戶的地址目錄之便，以用戶的名義發(fā)送報文．非法竊取、篡改、隱瞞、抵賴、銷毀權(quán)限之外的信息，造成系統(tǒng)無法正常工作甚至癱瘓。根據(jù)公安部門的報告，作案人員往往是利用管理上的漏洞．而且內(nèi)部人員居多。

4．技術(shù)性缺陷

1)基礎(chǔ)網(wǎng)絡(luò)：首先，無論是有線還是無線網(wǎng)絡(luò)，其通信線路如電纜、微波等，都易遭物理破壞，或易被搭線竊聽，或易遭截獲、監(jiān)聽等。其次，網(wǎng)絡(luò)拓撲結(jié)構(gòu)設(shè)計不合理或缺乏可擴展性，很可能一個結(jié)點遭破壞導(dǎo)致整個系統(tǒng)癱瘓。

2)操作系統(tǒng)和數(shù)據(jù)庫 ：目前所使用的計算機網(wǎng)絡(luò)操作系統(tǒng)，多偏重于考慮系統(tǒng)使用的方便性，其結(jié)構(gòu)和代碼設(shè)計相對在系統(tǒng)的安全機制上考慮還不夠精細 或多或少存在些安全漏洞，數(shù)據(jù)庫管理系統(tǒng)基于分級理念對數(shù)據(jù)庫進行管理，同時數(shù)據(jù)庫管理系統(tǒng)的安全必須與操作系統(tǒng)的安全相配套，這樣系統(tǒng)的安全又出現(xiàn)一些不穩(wěn)定因素。

3)應(yīng)用平臺：為便于在應(yīng)用層面進行定期維護或升級，在開發(fā)電子政務(wù)信息系統(tǒng)的應(yīng)用功能時，往往有可能留有所謂的“后門”一旦被非法人員發(fā)現(xiàn)，破壞性有可能波及整個系統(tǒng)。

5．法律法規(guī)的滯后性

雖然，我國針對電腦病毒、信息侵權(quán)和網(wǎng)絡(luò)犯罪等非法信息行為制定了一些網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)，但現(xiàn)行政策法規(guī)仍難以適應(yīng)網(wǎng)絡(luò)發(fā)展的需要，信息立法還存在相當(dāng)多的空白。諸如個人隱私保護法、數(shù)據(jù)庫保護法、數(shù)字媒體法、數(shù)字簽名認證法、計算機犯罪法以及計算機安全監(jiān)管法等數(shù)字經(jīng)濟正常運作所需的配套法規(guī)急需予以制定。由于法規(guī)不健全，信息市場交易秩序的維護、信息犯罪的懲處等無法可依，使信息犯罪有空子可鉆。另一方面，由于網(wǎng)絡(luò)作案手段新、時間短、不留痕跡等特點，給網(wǎng)上犯罪案件的偵破和審理帶來了極大的困難。

6．保障意識的非系統(tǒng)性

有的政府系統(tǒng)．在系統(tǒng)建設(shè)中沒有統(tǒng)一規(guī)范的安全構(gòu)想．更沒有建立完善的安全體系結(jié)構(gòu)：從硬件采購、網(wǎng)絡(luò)布線、采用的操作系統(tǒng)、應(yīng)用系統(tǒng)的開發(fā)、系統(tǒng)被非法訪問等方面都沒有把安全問題考慮進去或考慮得很少。因此這些政府系統(tǒng)難以抵御防范上述威脅。

3．電子政務(wù)信息安全解決策略

目前我國電子政務(wù)安全采取“國家推動、社會參與、全局治理、積極防御、等級保護、保障發(fā)展“的策略。鑒于電子政務(wù)的信息安全面臨的是一場高技術(shù)的對抗，是一場綜合性斗爭，涉及法律、管理、標(biāo)準(zhǔn)、技術(shù)、產(chǎn)品、服務(wù)和基礎(chǔ)設(shè)施諸多領(lǐng)域，所以電子政務(wù)安全．還要從全局來構(gòu)建其安全保障的體系框架，以保障電子政務(wù)的健康發(fā)展。

1．健全法律與政策，加強法律監(jiān)管

電子政務(wù)的工作內(nèi)容和工作流程涉及到國家秘密與核心政務(wù)．它的安全關(guān)系到國家的主權(quán)、國家的安全和公眾益，所以電子政務(wù)的安全實施和保障，必須以國家法規(guī)形式將其固化，形成全國共同遵守的規(guī)約．成為電子政務(wù)實施和運行的行為準(zhǔn)則，成為電子政務(wù)國際交往的重要依據(jù)。其目的在于保護守法者和依法者的合法權(quán)益．為司法和執(zhí)法者提供法律依據(jù)．對違法、犯法者形成強大的威懾。因此，制訂相應(yīng)的法規(guī)，適度的解密和規(guī)范開放的規(guī)則，保護政府部門問信息的正常交流，保護社會公眾對信息的合法享用，打破對政務(wù)信息資源的壟斷和封鎖，提高政府行政透明度和民主進程，是非常有利的和必要的。再完美的電子政務(wù)信息系統(tǒng)也可能出現(xiàn)內(nèi)部使用的疏忽或遭受外來的惡意攻擊,只有將網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)法律法規(guī)結(jié)合起來并與國際立法規(guī)則相兼容,才能在發(fā)生問題后有法可依,建議制定專門的電子政務(wù)信息系統(tǒng)安全法。一是用以規(guī)范電子政務(wù)中的信息安全技術(shù)范疇，二是對破壞電子政務(wù)信息安全的行為如何處罰要從法律意義上制定專門的規(guī)定。

2．強化組織與管理

電子政務(wù)安全管理涉及到國家安全部、國家保密局、國家密碼管理委員會、信息產(chǎn)業(yè)部等許多國家安全職能部門．其安全管理職能的協(xié)調(diào)需要由國家信息化領(lǐng)導(dǎo)機構(gòu)來進行。各地區(qū)和部委建立相應(yīng)的信息安全管理機構(gòu)，以完成和強化信

息安全的管理，形成自上而下的信息安全管理組織體系，是電子政務(wù)安全實施的必要條件。同時，政府相關(guān)部門必須制訂頒發(fā)電子政務(wù)安全相關(guān)的各項管理條例，以及時指導(dǎo)電子政務(wù)建設(shè)的各種行為．保障電子政務(wù)系統(tǒng)建設(shè)全程的安全和安全管理工作的程序化和制度化。根據(jù)管理需求，可以對電子政務(wù)系統(tǒng)信息內(nèi)容實施安全監(jiān)控管理．以保護政務(wù)信息安全，防止由于內(nèi)部違規(guī)或外部入侵可能造成的網(wǎng)絡(luò)泄密，同時也阻止有害信息內(nèi)容在政務(wù)網(wǎng)上傳播。

3．制訂標(biāo)準(zhǔn)與規(guī)范

信息安全標(biāo)準(zhǔn)有利于安全產(chǎn)品的規(guī)范化，有利于保證產(chǎn)品安全可信性、實現(xiàn)產(chǎn)品的互聯(lián)和互操作性．以支持電子政務(wù)系統(tǒng)的互聯(lián)、更新和可擴展性，支持系統(tǒng)安全的測評與評估．保障電子政務(wù)系統(tǒng)的安全可靠。因此，制訂信息安全標(biāo)準(zhǔn)以及安全產(chǎn)品的規(guī)范便顯得尤為重要。

4．縱深保障與服務(wù)

在電子政務(wù)的系統(tǒng)建設(shè)中，要構(gòu)建其技術(shù)安全保障架構(gòu)．對大型電子政務(wù)系統(tǒng)要建立縱深防御體系：進而設(shè)置政務(wù)內(nèi)網(wǎng)的安全與控制策略、政務(wù)外網(wǎng)的安全與控制策略，進入互聯(lián)網(wǎng)的安全服務(wù)與控制策略、租用公網(wǎng)干線的安全服務(wù)與控制策略、政務(wù)計算環(huán)境的安全服務(wù)與機制。采用縱深防御和多級設(shè)防，是電子政務(wù)安全保障的重要原則，通過全局性的安全防護、安全檢測、快速響應(yīng)、集成的安全管理與安全設(shè)施的聯(lián)動控制，以達到系統(tǒng)具有防護、檢測、反應(yīng)與恢復(fù)能力。

5．創(chuàng)新技術(shù)與產(chǎn)品

由于電子政務(wù)的國家涉密性，電子政務(wù)系統(tǒng)工程的安全保障需要各種有自主知識產(chǎn)權(quán)的信息安全技術(shù)和產(chǎn)品．要不斷地加強安全技術(shù)和產(chǎn)品的自主研制和創(chuàng)新；它們涉及到安全操作系統(tǒng)、安全硬件平臺、安全數(shù)據(jù)庫、PKI／CA、PMI、VPN、安全網(wǎng)關(guān)、防火墻、數(shù)據(jù)加密機入侵檢測(1DS)、漏洞掃描、計算機病毒防治工具、強審計工具、安全Web、安全郵件、安全設(shè)施集成管理平臺、內(nèi)容識別和過濾產(chǎn)品、安全備份、電磁泄漏防護、安全隔離客戶機、安全網(wǎng)閘等。

6.用戶應(yīng)用安全

電子政務(wù)中，由于管理和使用不當(dāng)造成的安全問題愈七成，因此加強人員對系統(tǒng)使用的安全意識，尤為重要。首先在系統(tǒng)投入使用前，必須對所有人員進行技術(shù)培訓(xùn)。其次，在使用過程中，也應(yīng)有針對性的就系統(tǒng)變更等問題與工作人員 5

進行雙向交流 其它還需特別注意的地方有：

1)管理員職責(zé)：管理員賬戶本身最易受到黑客攻擊，定期更換賬戶及密碼，是提高安全性的有效措施。同時，盡量不開放 Guest賬戶，對其他用戶嚴格劃定訪問權(quán)限和資源使用權(quán)限；定期檢查用戶IP地址范圍，用戶使用系統(tǒng)的頻率和內(nèi)容，發(fā)現(xiàn)異常及時封鎖IP或相應(yīng)用戶賬號。

2)普通用戶：在內(nèi)部子網(wǎng)中不應(yīng)開放共享目錄。如有經(jīng)常交換信息需求的用戶，在共享時必須加上必要的口令認證機制。現(xiàn)在更為常見的方式是給用戶配備 USB 安全密鑰或者經(jīng)第三方CA認證,可用來進行數(shù)字簽名和驗證簽名,確保通訊雙方的真實身份,兼具真實性和不可抵賴性,保障政務(wù)的安全傳送和處理。

7.系統(tǒng)運行環(huán)境安全

1)網(wǎng)絡(luò)分級隔離：外網(wǎng)與內(nèi)網(wǎng)和專網(wǎng)進行物理隔離，內(nèi)網(wǎng)與專網(wǎng)、外網(wǎng)與 Internet 之間則采用邏輯隔離。內(nèi)外網(wǎng)間必須安裝防火墻，根據(jù)各種過濾規(guī)則來判斷網(wǎng)絡(luò)數(shù)據(jù)是否能夠通過防火墻，用以加強網(wǎng)絡(luò)之間訪問控制、防止外網(wǎng)用戶以非法手段進入內(nèi)網(wǎng)、保護內(nèi)網(wǎng)中的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備，既防止外來的入侵，也阻止局域網(wǎng)內(nèi)部重要信息的泄露。內(nèi)外網(wǎng)之間的通信則采用異步高位加密機制，可以保證內(nèi)外網(wǎng)的通信安全

2)網(wǎng)絡(luò)設(shè)備和軟件：選用高帶寬網(wǎng)絡(luò)和高性能服務(wù)器。配備加密設(shè)備，使得數(shù)據(jù)以密文形式在網(wǎng)上傳送，保證數(shù)據(jù)的機密性與完整性。在安裝防火墻的基礎(chǔ)上，輔以入侵檢測系統(tǒng)，用于實時監(jiān)控和記錄具攻擊性的信息代碼在進出網(wǎng)段的所有操作行為，并按制定的策略實行響應(yīng)(阻斷、報警、發(fā)送電子郵件等)，從而防止網(wǎng)絡(luò)的攻擊與犯罪行為。安裝正版操作系統(tǒng)或源代碼對政府開放的操作系，統(tǒng)堅持日常維護和記錄，及時更新、升級病毒庫；使用安全掃描工具定期檢查系統(tǒng)漏洞和配置更改情況，及時安裝系統(tǒng)補丁堵塞系統(tǒng)漏洞。

4.結(jié)論

電子政務(wù)信息系統(tǒng)的安全保障不但要從實現(xiàn)技術(shù)入手，更要與系統(tǒng)在政府工作中的重要地位相呼應(yīng) 保證其先進性和可擴展性，要進行深入調(diào)研和長遠規(guī)劃 必須能夠適應(yīng)網(wǎng)絡(luò)的快速發(fā)展變化。根本上還需要國家的司法支持和參與人員管理意識的增強保障了電子政務(wù)的安全，才能保障政府信息化的順利推進。

5.參考文獻

1.王紹卜，《計算機網(wǎng)絡(luò)的安全隱患與策略》中外科技信息，2003(11)43～45 2謝希仁，《計算機網(wǎng)絡(luò)》．大連：大連理工大學(xué)出版社，2001：1 27～1 30 3.覃正.中美電子政務(wù)發(fā)展報告[M].北京: 科學(xué)出版社 2008(5).4.樊博.電子政務(wù)[M].上海交通大學(xué)出版社 2006(6)5.褚俊 蘇震.電子政務(wù)安全技術(shù)保障[M].北京中國人民大學(xué)出版社 2004(3).6.蘇玉召 趙妍.計算機網(wǎng)絡(luò)信息安全及其防護策略的研究[J] 計算機與信息技術(shù) 2006(5)7.王海濤.電子政務(wù)中的安全問題[J] 佳木斯大學(xué)學(xué)報:自然科學(xué)版 2005(2)8.羅茂斌.論電子政務(wù)與電子文件的保護[J].檔案管理 2001(4).9.鄧崧.電子政務(wù)價值評估研究[D].上海 同濟大學(xué) 2007.10.馬朝斌《大力加強電子政務(wù)內(nèi)網(wǎng)的安全保密建設(shè)和管理.信息安全與通信保密，2003(12)11.鄔賀銓 《電子政務(wù)安全體系 《信息安全與通信保密》，2003(4)12.譚興烈 《電子政務(wù)安全解決方案要解決的主要問題 《信息安全與通信保密》，2004(5)13.姜楠，王健《電子政務(wù)中基于PKI的角色授權(quán)管理策略》《通信技術(shù)》，2003(9)

第四篇：電子政務(wù)信息安全保障體系

電子政務(wù)安全面臨威脅和挑戰(zhàn)

電子政務(wù)涉及對國家秘密信息和高敏感度核心政務(wù)的保護，設(shè)計維護公共秩序和行政監(jiān)管的準(zhǔn)確實施，涉及到為社會提供公共服務(wù)的質(zhì)量保證。電子政務(wù)是黨委、政府、人大、政協(xié)有效決策、管理、服務(wù)的重要手段，必然會遇到各種敵對勢力、恐怖集團、搗亂分子的破壞和攻擊。尤其電子政務(wù)是搭建在基于互聯(lián)網(wǎng)技術(shù)的網(wǎng)絡(luò)平臺上，包括政務(wù)內(nèi)網(wǎng)、政務(wù)外網(wǎng)和互聯(lián)網(wǎng)，而互聯(lián)網(wǎng)的安全先天不足，互聯(lián)網(wǎng)是一個無行政主管的全球網(wǎng)絡(luò)，自身缺少設(shè)防和安全隱患很多，對互聯(lián)網(wǎng)犯罪尚缺乏足夠的法律威懾，大量的跨國網(wǎng)絡(luò)犯罪給執(zhí)法帶來很大的難度。所有上述分子利用互聯(lián)網(wǎng)進行犯罪則有機可乘，使基于互聯(lián)網(wǎng)開展的電子政務(wù)應(yīng)用面臨著嚴峻的挑戰(zhàn)。

對電子政務(wù)的安全威脅，包括網(wǎng)上黑客入侵和犯罪、網(wǎng)上病毒泛濫和蔓延、信息間諜的潛入和竊密、網(wǎng)絡(luò)恐怖集團的攻擊和破壞、內(nèi)部人員的違規(guī)和違法操作、網(wǎng)絡(luò)系統(tǒng)的脆弱和癱瘓、信息產(chǎn)品的失控等，應(yīng)引起足夠警惕，采取安全措施，應(yīng)對這種挑戰(zhàn)。

電子政務(wù)的安全目標(biāo)和安全策略

電子政務(wù)的安全目標(biāo)是，保護政務(wù)信息資源價值不受侵犯，保證信息資產(chǎn)的擁有者面臨最小的風(fēng)險和獲取最大的安全利益，使政務(wù)的信息基礎(chǔ)設(shè)施、信息應(yīng)用服務(wù)和信息內(nèi)容為抵御上述威脅而具有保密性、完整性、真實性、可用性和可控性的能力。

為實現(xiàn)上述目標(biāo)應(yīng)采取積極的安全策略：

·國家主導(dǎo)、社會參與。電子政務(wù)安全關(guān)系到政府的辦公決策、行政監(jiān)管和公共服務(wù)的高質(zhì)量和可信實施的大事，必須由國家統(tǒng)籌規(guī)劃、社會積極參與，才能有效保障電子政務(wù)安全。

·全局治理、積極防御。電子政務(wù)安全必須采用法律威懾、管理制約、技術(shù)保障和安全基礎(chǔ)設(shè)施支撐的全局治理措施，并且實施防護、檢測、恢復(fù)和反制的積極防御手段，才能更為有效。

·等級保護、保障發(fā)展。要根據(jù)信息的價值等級及所面臨的威脅等級，選擇適度的安全機制強度等級和安全技術(shù)保障強壯性等級，尋求一個投入和風(fēng)險可承受能力間的平衡點，保障電子政務(wù)系統(tǒng)健康和積極的發(fā)展。

電子政務(wù)安全保障體系框架

電子政務(wù)安全采取“國家推動、社會參與、全局治理、積極防御、等級保護、保障發(fā)展”的策略，鑒于電子政務(wù)的信息安全面臨的是一場高技術(shù)的對抗，是一場綜合性斗爭，涉及法律、管理、標(biāo)準(zhǔn)、技術(shù)、產(chǎn)品、服務(wù)和基礎(chǔ)設(shè)施諸多領(lǐng)域，所以電子政務(wù)安全，還要從全局來構(gòu)建其安全保障的體系框架，以保障電子政務(wù)的健康發(fā)展。

電子政務(wù)安全保障體系由六要素組成，即安全法規(guī)、安全管理、安全標(biāo)準(zhǔn)、安全服務(wù)、安全技術(shù)產(chǎn)品和安全基礎(chǔ)設(shè)施等安全要素（見圖1）。

要素一 安全法律與政策

電子政務(wù)的工作內(nèi)容和工作流程涉及到國家秘密與核心政務(wù)，它的安全關(guān)系到國家的主權(quán)、國家的安全和公眾利益，所以電子政務(wù)的安全實施和保障，必須以國家法規(guī)形式將其固化，形成全國共同遵守的規(guī)約，成為電子政務(wù)實施和運行的行為準(zhǔn)則，成為電子政務(wù)國際交往的重要依據(jù)，保護守法者和依法者的合法權(quán)益，為司法和執(zhí)法者提供法律依據(jù)，對違法、犯法者形成強大的威懾。

《中華人民共和國保護國家秘密法》已實施13年，已不完全適應(yīng)我國當(dāng)前保密工作的現(xiàn)狀，特別是電子政務(wù)的發(fā)展，亟待修訂。

政務(wù)信息公開是電子政務(wù)的重要原則，為了拉近政府和公眾的距離，使公眾具有知情權(quán)、參與權(quán)、監(jiān)督權(quán)和享用政府服務(wù)的權(quán)利，為公眾提供良好的信息服務(wù)，充分挖掘政務(wù)信息的最大效益，開放政務(wù)信息資源（非國家涉密和適宜公開部分）服務(wù)于民是電子政務(wù)的重要特征。盡快制訂政務(wù)信息公開法，適度的解密和規(guī)范開放的規(guī)則，保護政府部門間信息的正常交流，保護社會公眾對信息的合法享用，打破對政務(wù)信息資源的壟斷和封鎖，提高政府行政透明度和民主進程是非常有利的和必需的。

電子政務(wù)亟待電子簽章和電子文檔的立法保護，國際已有近20多個國家對數(shù)字簽名和電子文檔進行了立法，使數(shù)字簽名和電子文檔在電子政務(wù)和電子商務(wù)運行中具有法律效力。這將大大促進電子政務(wù)和電子商務(wù)的健康發(fā)展，使電子政務(wù)原來的雙軌制走向單軌制，這有利于簡化程序、降低成本，充分顯示電子政務(wù)效益是非常有利的。

個人數(shù)據(jù)保護（隱私法）的需求伴隨電子政務(wù)的發(fā)展日顯突出。電子政務(wù)在實施行政監(jiān)管和公眾服務(wù)中有大量的個人信息（自然人和法人），如戶籍、納稅、社保、信用等信息大量進入了政府網(wǎng)絡(luò)信息數(shù)據(jù)庫，它對完成電子政務(wù)職能發(fā)揮巨大作用。但是這些個人信息如果保護不力或無意被泄漏，而被非法濫用，就可能成為報復(fù)、盜竊、推銷、討債、盯梢的工具。在國外已經(jīng)出現(xiàn)將盜用的個人隱私信息作為非法商品出售，以牟取暴利的情況，這樣直 接損害個人的利益，甚至危及個人的生命安危。因此加快個人數(shù)據(jù)保護法的制訂，是必要的。

還有很多法規(guī)的制訂都直接關(guān)系到電子政務(wù)的健康發(fā)展，加快制訂這些法規(guī)，勢在必行。

要素二 安全組織與管理

我國信息安全管理職能的格局已經(jīng)形成，如國家安全部、國家保密局、國家密碼管理委員會、信息產(chǎn)業(yè)部、總參??分別執(zhí)行各自的安全職能，維護國家信息安全。電子政務(wù)安全管理涉及到上述眾多的國家安全職能部門，其安全管理職能的協(xié)調(diào)需要由國家信息化領(lǐng)導(dǎo)機構(gòu)，如國家信息化領(lǐng)導(dǎo)小組及其辦公室、國家電子政務(wù)協(xié)調(diào)小組、國家信息安全協(xié)調(diào)小組等來進行。各地區(qū)和部委建立相應(yīng)的信息安全管理機構(gòu)，以完成和強化信息安全的管理，形成自頂向下的信息安全管理組織體系，是電子政務(wù)安全實施的必要條件。

制訂頒發(fā)電子政務(wù)安全相關(guān)的各項管理條例，及時指導(dǎo)電子政務(wù)建設(shè)的各種行為，從立項、承包、采購、設(shè)計、實施、運行、操作、監(jiān)理、服務(wù)等各階段入手，保障電子政務(wù)系統(tǒng)建設(shè)全程的安全和安全管理工作的程序化和制度化。

電子政務(wù)信息安全域的劃分與管理是至關(guān)重要的。電子政務(wù)有辦公決策、行政監(jiān)管和公共服務(wù)等三種類型業(yè)務(wù)，其業(yè)務(wù)信息內(nèi)容涉及國家機密、部門工作秘密、內(nèi)部敏感信息和開放服務(wù)信息。既要保護國家秘密又要便于公開服務(wù)，因此對信息安全域的科學(xué)劃分和管理，將有益于電子政務(wù)網(wǎng)絡(luò)平臺的安全設(shè)計，有益于電子政務(wù)的健康和有效的實現(xiàn)。

制訂電子政務(wù)工程集成商的資質(zhì)認證管理辦法、工程建設(shè)監(jiān)理機構(gòu)的管理辦法、工程外包商的管理機制和辦法，以確保電子政務(wù)工程建設(shè)的質(zhì)量和安全，特別是對于電子政務(wù)系統(tǒng)的外包制更要有嚴格的制約和管理手段。對于電子政務(wù)中涉密系統(tǒng)工程的承建，還必須有國家保密局頒發(fā)的涉密系統(tǒng)集成資質(zhì)證書，其他部分應(yīng)具有國家或省市相應(yīng)的系統(tǒng)集成商的資質(zhì)證書。對于電子政務(wù)涉密部分，不允許托管和外包運行，電子政務(wù)其他部分將按相關(guān)管理條例執(zhí)行。

電子政務(wù)工程中使用的信息安全產(chǎn)品，國家將制訂相應(yīng)的采購管理政策，涉及密碼的信息安全產(chǎn)品需有國家密碼主管部門的批準(zhǔn)證書，信息安全產(chǎn)品應(yīng)有通過國家測評主管機構(gòu)的安全測評的證書，維護信息安全產(chǎn)品的可信性。

電子政務(wù)系統(tǒng)信息內(nèi)容根據(jù)管理需求，可以實施對信息內(nèi)容的安全監(jiān)控管理，以保護政務(wù)信息安全，防止由于內(nèi)部違規(guī)或外部入侵可能造成的網(wǎng)絡(luò)泄密，同時也阻止有害信息內(nèi)容在政務(wù)網(wǎng)上傳播。

制訂電子政務(wù)系統(tǒng)的人員管理、機構(gòu)管理、文檔管理、操作管理、資產(chǎn)與配置管理、介質(zhì)管理、服務(wù)管理、應(yīng)急事件管理、保密管理、故障管理、開發(fā)與維護管理、作業(yè)連續(xù)性保障管理、標(biāo)準(zhǔn)與規(guī)范遵從性管理、物理環(huán)境管理等各種條例，確保電子政務(wù)系統(tǒng)的安全運行。

要素三 安全標(biāo)準(zhǔn)與規(guī)范

信息安全標(biāo)準(zhǔn)有利于安全產(chǎn)品的規(guī)范化，有利于保證產(chǎn)品安全可信性、實現(xiàn)產(chǎn)品的互聯(lián)和互操作性，以支持電子政務(wù)系統(tǒng)的互聯(lián)、更新和可擴展性，支持系統(tǒng)安全的測評與評估，保障電子政務(wù)系統(tǒng)的安全可靠。

國家已正式成立“信息安全標(biāo)準(zhǔn)化委員會”，近期成立了信息安全標(biāo)準(zhǔn)體系與協(xié)調(diào)工作組（WG1）、內(nèi)容安全分級及標(biāo)識工作組（WG2）、密碼算法與密碼模塊/KMI/VPN工作組（WG3）、PKI/PMI工作組（WG4）、信息安全評估工作組（WG5）、操作系統(tǒng)與數(shù)據(jù)庫安全工作組（WG6）、身份標(biāo)識與鑒別協(xié)議工作組（WG9）、操作系統(tǒng)與數(shù)據(jù)庫安全工作組（WG10），以開展電子政務(wù)安全相關(guān)標(biāo)準(zhǔn)的研制工作，支撐電子政務(wù)安全對標(biāo)準(zhǔn)制訂的需求。

還將制訂下列標(biāo)準(zhǔn)：涉密電子文檔密級劃分和標(biāo)記格式、內(nèi)容健康性等級劃分與標(biāo)記、內(nèi)容敏感性等級劃分與標(biāo)記、密碼算法標(biāo)準(zhǔn)、密碼模塊標(biāo)準(zhǔn)、密鑰管理標(biāo)準(zhǔn)、PKI/CA標(biāo)準(zhǔn)、PMI標(biāo)準(zhǔn)、信息系統(tǒng)安全評估和信息安全產(chǎn)品測評標(biāo)準(zhǔn)、應(yīng)急響應(yīng)等級、保護目標(biāo)等級、應(yīng)急響應(yīng)指標(biāo)、電子證據(jù)恢復(fù)與提取、電子證據(jù)有效性界定、電子證據(jù)保護、身份標(biāo)識與鑒別、數(shù)據(jù)庫安全等級、操作系統(tǒng)安全等級、中間件安全等級、信息安全產(chǎn)品接口規(guī)范、數(shù)字簽名??。

要素四 安全保障與服務(wù)

1.電子政務(wù)系統(tǒng)建設(shè)，要構(gòu)建其技術(shù)安全保障架構(gòu)，對大型電子政務(wù)系統(tǒng)要建立縱深防御體系。

·設(shè)置政務(wù)內(nèi)網(wǎng)的安全與控制策略；

·設(shè)置政務(wù)外網(wǎng)的安全與控制策略；

·設(shè)置進入互聯(lián)網(wǎng)的安全服務(wù)與控制策略；

·設(shè)置租用公網(wǎng)干線的安全服務(wù)與控制策略，包括有線通信、無線通信和衛(wèi)星通信的安全服務(wù)與控制策略；

·設(shè)置政務(wù)計算環(huán)境的安全服務(wù)與機制。

采用縱深防御和多級設(shè)防，是電子政務(wù)安全保障的重要原則，通過全局性的安全防護、安全檢測、快速響應(yīng)、集成的安全管理與安全設(shè)施的聯(lián)動控制，以達到系統(tǒng)具有防護、檢測、反應(yīng)與恢復(fù)能力。

2.推廣電子政務(wù)信息系統(tǒng)安全工程（ISSE）的控制方法，全面實現(xiàn)安全服務(wù)要求。

電子政務(wù)安全系統(tǒng)的設(shè)計，首先要做好系統(tǒng)資產(chǎn)價值的分析，如物理資產(chǎn)的價值（系統(tǒng)環(huán)境、硬件、系統(tǒng)軟件）、信息資產(chǎn)的價值、其數(shù)據(jù)與國家利益和部門利益的關(guān)聯(lián)度；其業(yè)務(wù)系統(tǒng)（模型、流程、應(yīng)用軟件）正常運行后果所產(chǎn)生的效益，從而確定系統(tǒng)安全應(yīng)保護的目標(biāo)，在上述分析的基礎(chǔ)上提出整個安全系統(tǒng)的安全需求，進一步定義達到這些安全需求所應(yīng)具有的安全功能，然后探索系統(tǒng)可能面臨的威脅類型，并找出系統(tǒng)自身的脆弱性，這些威脅和脆弱性有：

·網(wǎng)上黑客與計算機犯罪；

·網(wǎng)絡(luò)病毒的蔓延與破壞；

·機要信息流失與信息間諜潛入；

·網(wǎng)上恐怖活動與信息戰(zhàn)；

·內(nèi)部人員違規(guī)與違法；

·網(wǎng)上安全產(chǎn)品的失控；

·網(wǎng)絡(luò)與系統(tǒng)自身的漏洞與脆弱性。

在這些威脅面前，要分析哪些威脅是本系統(tǒng)主要面臨的威脅，哪些是次要的，對系統(tǒng)和任務(wù)造成的影響程度如何。進行定性和定量的分析，提出系統(tǒng)安全對策，確定承受風(fēng)險的能力，尋找投入和風(fēng)險承受能力間的平衡點，然后確定系統(tǒng)所需要的安全服務(wù)及對應(yīng)的安全機制（見表一），從而配置系統(tǒng)的安全要素。在工程的生命周期中要進行風(fēng)險管理、風(fēng)險決策流程（見圖2），這種風(fēng)險管理是要對電子政務(wù)全程進行的。

系統(tǒng)投入運行要對其安全性進行有效評估，即評估者給出的評估證據(jù)和建設(shè)者采用的技術(shù)保障設(shè)施，的確能使系統(tǒng)擁有者確信已選用技術(shù)對策，確實減少了系統(tǒng)的安全風(fēng)險，滿足必要的風(fēng)險策略（風(fēng)險策略可以是“零”風(fēng)險策略、最小風(fēng)險策略、最大可承受風(fēng)險策略或不計風(fēng)險策略），使其達到保護系統(tǒng)資產(chǎn)價值所必需的能力（見圖3）。上述有效評估過程可用安全技術(shù)保障強壯性級別（IATRn）來描述：

IATRn=f(Vn,Tn,SMLn,EALn)

Tn：威脅等級

Vn：資產(chǎn)價值等級

SMLn：安全機制強度等級

EALn：評估保障等級

要素五 安全技術(shù)與產(chǎn)品

1． 加強安全技術(shù)和產(chǎn)品的自主研制和創(chuàng)新。

由于電子政務(wù)的國家涉密性，電子政務(wù)系統(tǒng)工程的安全保障需要各種有自主知識產(chǎn)權(quán)的信息安全技術(shù)和產(chǎn)品，全面推動自主研發(fā)和創(chuàng)新這些技術(shù)和產(chǎn)品是電子政務(wù)安全的需要。這些產(chǎn)品和技術(shù)可以分為六大類：

·基礎(chǔ)類：風(fēng)險控制、體系結(jié)構(gòu)、協(xié)議工程、有效評估、工程方法；

·關(guān)鍵類：密碼、安全基、內(nèi)容安全、抗病毒、IDS、VPN、RBAC、強審計、邊界安全隔離；

·系統(tǒng)類：PKI、PMI、DRI、網(wǎng)絡(luò)預(yù)警、集成管理、KMI；

·應(yīng)用類：EC、EG、NB、NS、NM、WF、XML、CSCW；

·物理與環(huán)境類：TEMPEX、物理識別；

·前瞻性：免疫技術(shù)、量子密碼、漂移技術(shù)、語義理解識別。

2．電子政務(wù)安全產(chǎn)品的選擇。

整個電子政務(wù)的安全，涉及信息安全產(chǎn)品的全局配套和科學(xué)布置，產(chǎn)品選擇應(yīng)充分考慮產(chǎn)品的自主權(quán)和自控權(quán)。

產(chǎn)品可涉及安全操作系統(tǒng)、安全硬件平臺、安全數(shù)據(jù)庫、PKI/CA、PMI、VPN、安全網(wǎng)關(guān)、防火墻、數(shù)據(jù)加密機、入侵檢測（IDS）、漏洞掃描、計算機病毒防治工具、強審計工具、安全Web、安全郵件、安全設(shè)施集成管理平臺、內(nèi)容識別和過濾產(chǎn)品、安全備份、電磁泄漏防護、安全隔離客戶機、安全網(wǎng)閘。

要素六 安全基礎(chǔ)設(shè)施

信息安全基礎(chǔ)設(shè)施是一種為信息系統(tǒng)應(yīng)用主體和信息安全執(zhí)法主體提供信息安全公共服務(wù)和支撐的社會基礎(chǔ)設(shè)施，方便信息應(yīng)用主體安全防護機制的快速配置，有利于促進信息應(yīng)用業(yè)務(wù)的健康發(fā)展，有利于信息安全技術(shù)和產(chǎn)品的標(biāo)準(zhǔn)化和促進其可信度的提高，有利于信息安全職能部門的監(jiān)督和執(zhí)法，有利于增強全社會信息安全移師和防護技能，有利于國家信息安全保障體系的建設(shè)。因此，推動電子政務(wù)的發(fā)展，應(yīng)重視相關(guān)信息安全基礎(chǔ)設(shè)施的建設(shè)。

信息安全基礎(chǔ)設(shè)施有兩大類。

1．社會公共服務(wù)類

·基于PKI/PMI數(shù)字證書的信任和授權(quán)體系；

·基于CC/TCSEC的信息安全產(chǎn)品和系統(tǒng)的測評與評估體系；

·計算機病毒防治與服務(wù)體系；

·網(wǎng)絡(luò)應(yīng)急響應(yīng)與支援體系；

·災(zāi)難恢復(fù)基礎(chǔ)設(shè)施；

·基于KMI的密鑰管理基礎(chǔ)設(shè)施。

2．行政監(jiān)管執(zhí)法類

·網(wǎng)絡(luò)信息內(nèi)容安全監(jiān)控體系；

·網(wǎng)絡(luò)犯罪監(jiān)察與防范體系；

·電子信息保密監(jiān)管體系；

·網(wǎng)絡(luò)偵控與反竊密體系；

·網(wǎng)絡(luò)監(jiān)控、預(yù)警與反擊體系。

第五篇：關(guān)于電子政務(wù)信息安全管理體系建設(shè)的問題

關(guān)于電子政務(wù)信息安全管理體系建設(shè)的幾點思考

一、概述

電子政務(wù)是政府管理方式的革命,它是運用信息以及通信技術(shù)打破行政機關(guān)的組織界限,構(gòu)建一個電子化的虛擬機關(guān),使公眾擺脫傳統(tǒng)的層層關(guān)卡以及書面審核的作業(yè)方式,并依據(jù)人們的需求、人們可以獲取的方式、人們要求的時間及地點等,高效快捷地向人們提供各種不同的服務(wù)選擇。政府機關(guān)之間以及政府與社會各界之間也經(jīng)由各種電子化渠道進行相互溝通。

電子政務(wù)的建立將使政府社會服務(wù)職能得到最大程度的發(fā)揮,但也使政府敏感信息暴露在無孔不入的網(wǎng)絡(luò)威脅面前。由于電子政務(wù)信息網(wǎng)絡(luò)上有相當(dāng)多的政府公文在流轉(zhuǎn),其中不乏重要信息,內(nèi)部網(wǎng)絡(luò)上有著大量高度機密的數(shù)據(jù)和信息,直接涉及政府的核心政務(wù),它關(guān)系到政府部門、各大系統(tǒng)乃至整個國家的利益,有的甚至涉及國家安全。因此,電子政務(wù)信息安全是制約電子政務(wù)建設(shè)與發(fā)展的首要問題和核心問題,是電子政務(wù)的職能與優(yōu)勢得以實現(xiàn)的根本前提。如果電子政務(wù)信息安全得不到保障,不僅電子政務(wù)的便利與效率無從保證,更會給國家利益帶來嚴重威脅。

二、電子政務(wù)信息系統(tǒng)面臨的威脅

電子政務(wù)涉及對政府機密信息和敏感政務(wù)的保護、維護公共秩序和行政監(jiān)管的準(zhǔn)確實施以及為保障社會提供公共服務(wù)的質(zhì)量。電子政務(wù)作為政府有效決策、管理、服務(wù)的重要手段,必然會遇到各種敵對勢力、恐怖集團、搗亂分子的破壞和攻擊。尤其是,電子政務(wù)在基于互聯(lián)網(wǎng)的網(wǎng)絡(luò)平臺上,他包括政務(wù)內(nèi)網(wǎng)、政務(wù)外網(wǎng)和互聯(lián)網(wǎng),而互聯(lián)網(wǎng)是一個無行政主管的全球網(wǎng)絡(luò),自身缺少設(shè)防,安全隱患很多,使得不法分子利用互聯(lián)網(wǎng)進行犯罪有機可乘,這就使得基于互聯(lián)網(wǎng)開展的電子政務(wù)應(yīng)用面臨著嚴峻的挑戰(zhàn)。

對電子政務(wù)的安全威脅包括網(wǎng)上黑客入侵和犯罪、病毒泛濫和蔓延,信息間諜的潛入和竊密,網(wǎng)絡(luò)恐怖集團的攻擊和破壞,內(nèi)部人員的違規(guī)和違法操作,網(wǎng)絡(luò)系統(tǒng)的脆弱和癱瘓,信息安全產(chǎn)品的失控等,對于這些威脅,電子政務(wù)的建設(shè)和應(yīng)用應(yīng)引起足夠警惕,采取果斷的安全措施,應(yīng)對這種挑戰(zhàn)。

三、電子政務(wù)信息安全管理體系的構(gòu)建

要有效維護電子政務(wù)信息系統(tǒng)的安全,就需要構(gòu)建電子政務(wù)安全管理體系,從而使政務(wù)的信息基礎(chǔ)設(shè)施、信息應(yīng)用服務(wù)能夠具有保密性、完整性、真實性和可用性。電子政務(wù)安全管理體系包括安全技術(shù)體系、安全管理體系和安全服務(wù)體系,涉及從管理到組織,從網(wǎng)絡(luò)到數(shù)據(jù),從法規(guī)標(biāo)準(zhǔn)到基礎(chǔ)設(shè)施等各個方面。加強安全技術(shù)力量是實現(xiàn)電子政務(wù)安全的基本方法

安全技術(shù)體系是利用技術(shù)手段實現(xiàn)技術(shù)層面的安全保護,是對電子政務(wù)安全防護體系的完善,包括網(wǎng)絡(luò)安全體系、數(shù)據(jù)安全傳輸與存儲體系,功能主要是通過各種技術(shù)手段實現(xiàn)技術(shù)層次的安全保護。

網(wǎng)絡(luò)安全體系包括網(wǎng)閘、入侵檢測、漏洞檢測、外聯(lián)和接入檢測、補丁管理、防火墻、身份鑒別和認證、系統(tǒng)訪問控制、網(wǎng)絡(luò)審計等;數(shù)據(jù)安全與傳輸與存儲體系包括數(shù)據(jù)備份恢復(fù)、PKI/CA、PMI等。整個電子政務(wù)的安全,涉及信息安全產(chǎn)品的全局配套和科學(xué)布置,產(chǎn)品選擇應(yīng)充分考慮產(chǎn)品的自主權(quán)和自控權(quán)。在關(guān)鍵技術(shù)、經(jīng)營管理、生產(chǎn)規(guī)模、服務(wù)觀念等方面,要集中人力、物力,制訂相關(guān)政策,大力發(fā)展自主知識產(chǎn)權(quán)的計算機芯片、操作系統(tǒng)等信息安全技術(shù)產(chǎn)品,以確保關(guān)鍵政府部門的信息系統(tǒng)的網(wǎng)絡(luò)安全。加強核心技術(shù)的自主研發(fā),并盡快使之產(chǎn)品化和產(chǎn)業(yè)化,尤其是操作系統(tǒng)技術(shù)和計算機芯片技術(shù)。現(xiàn)階段各地政府部門目前所選用的高端軟硬件平臺,很多都是國外公司的產(chǎn)品,這也對政務(wù)安全帶來了許多隱患。因此,在構(gòu)建電子政務(wù)系統(tǒng)的時候,在可能的情況下,我們應(yīng)盡量選用國產(chǎn)化技術(shù)和國內(nèi)公司的產(chǎn)品。構(gòu)建安全管理體系是電子政務(wù)安全實施的重要基礎(chǔ)

安全管理是解決電子政務(wù)的安全問題在技術(shù)以外的另一有力保障和途徑。由于安全的防范技術(shù)與破壞技術(shù)總是“勢均力敵”、“相互促進”的。作為防范者就更應(yīng)該在安全防范的管理上下更大的工夫。安全管理主要涉及三個方面:法律法規(guī)、安全防護體系以及等級保護政策。

（1）法律政策、規(guī)章制度和標(biāo)準(zhǔn)規(guī)范

電子政務(wù)的工作內(nèi)容和工作流程涉及到國家秘密與核心政務(wù),它的安全關(guān)系到國家的主權(quán)、國家的安全和公眾利益,所以電子政務(wù)的安全實施和保障,必須以國家法規(guī)形式將其固化,形成全國共同遵守的規(guī)約。目前,世界上很多國家制定了與網(wǎng)絡(luò)安全相關(guān)的法律法規(guī),如英國的《官方信息保護法》等。我國雖然頒發(fā)了一些與網(wǎng)絡(luò)安全有關(guān)的法律法規(guī),如《計算機信息系統(tǒng)安全保護條例》、《計算機信息系統(tǒng)保密管理暫行規(guī)定》等等,但顯得很零散,還缺乏關(guān)于電子政務(wù)網(wǎng)絡(luò)安全的專門法規(guī)。此外,在完善法律法規(guī)的同時,還應(yīng)該加大執(zhí)法力度,嚴格執(zhí)法,這一目標(biāo)的實現(xiàn)不僅需要政府組織的努力,更要國家立法機構(gòu)的參與和支持。（.2）電子政務(wù)防護體系

貫穿整個電子政務(wù)的安全防護體系,對電子政務(wù)安全實施起全面的指導(dǎo)作用,具體包括三個方面的內(nèi)容:安全組織機構(gòu)、安全人事管理、以及安全責(zé)任制度。建立安全組織機構(gòu),其目的是統(tǒng)一規(guī)劃各級網(wǎng)絡(luò)系統(tǒng)的安全、制定完善的安全策略和措施、協(xié)調(diào)各方面的安全事宜,主要職責(zé)包括制定整體安全策略、明確規(guī)章制度、落實各項安全措施實施,以及制訂安全應(yīng)急方案和保密信息的安全策略;安全人事管理,其主要內(nèi)容包括:人事審查與錄用、崗位與責(zé)任范圍的確定、工作評價、人事檔案管理、提升、調(diào)動與免職、基礎(chǔ)培訓(xùn)等;制定和落實安全責(zé)任制度,包括系統(tǒng)運行維護管理制度、計算機處理控制管理制度、文檔資料管理制度、操作和管理人員管理制度、機房安全管理制度、定期檢查與監(jiān)督制度、網(wǎng)絡(luò)通信安全管理制度、病毒防治管理制度、安全等級保護制度、對外交流安全維護制度,以及對外合作制度等。（3）等級保護制度

通過全面推行信息安全等級保護制度,逐步將信息安全等級保護制度落實到信息系統(tǒng)安全規(guī)劃、建設(shè)、測評、運行維護和使用等各個環(huán)節(jié),使信息安全保障狀況得到基本改善。通過加強和規(guī)范信息安全等級保護管理,不斷提高信息安全保障能力,為維護信息網(wǎng)絡(luò)的安全穩(wěn)定,促進信息化發(fā)展服務(wù)。

四、完善安全服務(wù)是維護電子政務(wù)安全實施的有力保障安全等級測評和風(fēng)險評估管理

電子政務(wù)信息系統(tǒng)安全測評服務(wù),其實質(zhì)是通過科學(xué)、規(guī)范、公正的測試和評估向被測評單位證實其信息系統(tǒng)的安全性能符合等級保護的要求。

由于信息安全直接涉及國家利益、安全和主權(quán),政府對信息產(chǎn)品、信息系統(tǒng)安全性的測評認證要更為嚴格。對信息系統(tǒng)和信息安全技術(shù)中的核心技術(shù),由政府直接控制,在信息安全各主管部門的支持和指導(dǎo)下,依托專業(yè)的職能機構(gòu)提供技術(shù)支持,形成政府的行政管理與技術(shù)支持相結(jié)合、相依賴的管理體制。風(fēng)險管理是對項目風(fēng)險的識別、分析和應(yīng)對過程。它包括對正面事件效果的最大化及對負面事件影響的最小化。電子政務(wù)安全風(fēng)險管理的主要任務(wù)是電子政務(wù)信息系統(tǒng)的風(fēng)險評估并提出風(fēng)險緩解措施,前者是識別并分析系統(tǒng)中的風(fēng)險因素,估計可能造成的損失,后者是選擇和實施安全控制,將風(fēng)險降低到一個可接受的水平。2 安全培訓(xùn)服務(wù)

根據(jù)不同層次的人才需求,社會化的信息安全人才培養(yǎng)體系應(yīng)分為專業(yè)型教育、應(yīng)用型教育和安全素養(yǎng)教育三個層次。專業(yè)型教育主要是培養(yǎng)信息安全領(lǐng)域的專業(yè)研發(fā)、工程技術(shù)、戰(zhàn)略管理等方面的人才。應(yīng)用型(半專業(yè))教育則是以從事現(xiàn)代信息管理工作的人作為對象,培養(yǎng)目標(biāo)是要求學(xué)生具備信息安全的基本知識、網(wǎng)絡(luò)和信息系統(tǒng)安全防范技能、組織機構(gòu)或系統(tǒng)安全管理的能力等。這種應(yīng)用型的信息安全教育要求受教育對象數(shù)量要多,覆蓋面要廣,基本信息技能要強。通過課程、講座、宣傳等多種形式,達到讓每一個人都具備必要的安全意識和常規(guī)的信息安全自我防范技術(shù)的目的。要求單位領(lǐng)導(dǎo)應(yīng)具備必要信息安全意識和安全知識;信息管理人員應(yīng)具備一定的信息安全知識和基本技能;從事信息服務(wù)或信息安全服務(wù)的有關(guān)人員應(yīng)具備必要的信息安全知識和技術(shù)基礎(chǔ)等。

[1] 何玲,電子政務(wù)環(huán)境下政府電子文件管理新探索[D].成都:四川大學(xué)碩士學(xué)位論文,2008.[2] 電子政務(wù):安全防護體系構(gòu)建策略[EB/OL].http://004km.cn,2009.[3] 金江軍.電子政務(wù)信息安全體系建設(shè)[EB/OL].博客中國,2005.百度網(wǎng) 搜搜網(wǎng)