第一篇：電子政務(wù)及其信息安全

摘要

電子政務(wù)是全面提升政府機構(gòu)管理與服務(wù)水平的重要技術(shù)手段，電子政務(wù)的信息安全問題已成為各國政府普遍關(guān)注和研究的重要問題。電子政務(wù)作為信息網(wǎng)絡(luò)的一個特殊應(yīng)用領(lǐng)域，運行著大量需要保護的數(shù)據(jù)和信息，相對于企業(yè)信息化和電子商務(wù)，具有自身特殊性：一是信息內(nèi)容的高保密性、高敏感度；二是電子政務(wù)發(fā)揮行政監(jiān)督力度；三是利用網(wǎng)絡(luò)環(huán)境為社會提供公共服務(wù)。如果系統(tǒng)的安全性被破壞，造成敏感信息暴露、丟失或網(wǎng)絡(luò)被攻擊等安全事件，產(chǎn)生的后果將波及地區(qū)甚至整個國家，電子政務(wù)信息系統(tǒng)也必然會成為信息間諜、敵對勢力、恐怖集團、國家之間信息戰(zhàn)攻擊的目標。因此，電子政務(wù)信息安全事關(guān)國家政治、經(jīng)濟、國防安全和民族信息產(chǎn)業(yè)發(fā)展全局，缺乏安全保障的電子政務(wù)信息系統(tǒng)，不可能實現(xiàn)真正意義上的電子政務(wù)。

關(guān)鍵詞：電子政務(wù)；信息安全；保障；體系

英

文

摘要

E-government is the important technical means that comprehensively enhance the government institutions management and service level, the security question of e-government information has already become the general attention and research important problem of governments.E-government information network as a special application domain, operating with large need protection of data and information that relative to the enterprise information and electronic commerce, has its own particularity: First, it is the information content of high confidentiality, high sensitivity;Second, E-government display administration supervision, Third, it uses network environment for the society providing public services.If the security of the system is destroyed, sensitive information exposure, lost or network by attack security incident, the consequences will affected regions and even the whole country, e-government information system also will become the target of information spy, hostilities, terrorist group, or two hostile countries

.Therefore, e-government information security is a matter

of national political, economic and national defense security and national information industry development, so the lack of security of e-government information systems could not achieve real sense of e-government.Keywords: e-government, Information security;Safeguard;system.目錄

摘要

.........................................................I I 1

電子政務(wù)信息安全四大體系

...................................1 1.1

安全管理體系............................................1 1.2

預(yù)警檢測體系............................................2 1.3

安全防護體系............................................3 1.4

響應(yīng)恢復(fù)體系............................................4 2

電子政務(wù)信息安全的現(xiàn)狀及表現(xiàn)

...............................4 2.1

電子政務(wù)信息安全的現(xiàn)狀..................................4 2.2

電子政務(wù)信息安全的目標..................................5 2.2.1 可用性目標...........................................5 2.2.2 完整性目標...........................................6 2.2.3 保密性目標...........................................6 2.2.4 可記賬性目標.........................................6 2.2.5 保障性目標...........................................6 3

電子政務(wù)中信息安全的幾個基本問題

...........................7 3.1 電子政務(wù).................................................7 3.2

信息安全.................................................7 3.3

電子政務(wù)中的信息安全....................................7 3.4

信息安全在國家安全中的地位...............................8 3.5

網(wǎng)絡(luò)技術(shù)的問題..........................................9 3.5.1

網(wǎng)絡(luò)信息安全問題....................................9 3.5.2 網(wǎng)絡(luò)對人的情感問題...................................9 3.5.3 政府自身的問題......................................10 3.5.4 電子政務(wù)信息化建設(shè)應(yīng)用當(dāng)中的信息安全隱患............11

電子政務(wù)信息安全解決方案

...................................4.1 網(wǎng)絡(luò)安全問題的應(yīng)對方法..................................15 4.1.1 加強對公務(wù)員的安全技術(shù)教育，樹立網(wǎng)絡(luò)安全觀念.........15 4.1.2 改變信息安全管理依靠傳統(tǒng)的管理方法和手段的模式，實現(xiàn)現(xiàn)代的系統(tǒng)管理技術(shù)手段........................................16 4.1.3 鼓勵民族信息技術(shù)產(chǎn)業(yè)的發(fā)展，解決好技術(shù)的先進性與自主性的關(guān)系......................................................16 4.1.4 關(guān)于網(wǎng)絡(luò)對人的情感及價值忽略問題的應(yīng)對方法...........17 4.2 政府自身問題的應(yīng)對方法..................................18 4.2.1 提高公務(wù)員素質(zhì).......................................18 4.2.2 制定發(fā)展規(guī)劃，明確階段目標，避免重復(fù)建設(shè)作為政務(wù)活動和信息技術(shù)的結(jié)合點............................................18 5

我國電子政務(wù)中信息安全及相關(guān)法律保護

......................5.1 電子政務(wù)中信息安全的幾個基本問題........................19 5.2

政府信息安全的保護......................................22 5.3

我國電子政務(wù)中信息安全的保護對策........................24 5.3.1 盡快建立我國信息安全的保護體系.......................24 5.3.2 進一步完善我國信息安全保障的法律體系.................26 6

結(jié)束語

....................................................電子政務(wù)及其信息安全

前言

隨著全球政治經(jīng)濟一體化的日益明顯，以電子政務(wù)為代表的政府管理服務(wù)職能的電子化、自動化、無紙化，目前正在一些國家尤其是發(fā)達國家中快速發(fā)展。在世界各國積極倡導(dǎo)的“信息高速公路”的五個應(yīng)用領(lǐng)域中，“電子政務(wù)”被列為第一位，因此可以說政府信息化是社會信息化的先導(dǎo)，電子政務(wù)是信息化社會發(fā)展的必然。

電子政務(wù)信息安全四大體系

電子政務(wù)的信息安全建設(shè)是在適當(dāng)?shù)男畔踩Ｕ象w系和框架指導(dǎo)下進行的一項系統(tǒng)工程。這項工程包括密切關(guān)聯(lián)的四大體系：安全管理體系、預(yù)警檢測體系、安全防護體系和響應(yīng)恢復(fù)體系，其中，安全管理體系是整個信息安全保障體系中最核心的組成部分，是貫穿其他三個體系的主線。

1.1

安全管理體系

安全管理體系的建立要遵循以下原則：符合法律、法規(guī)、標準；符合組織使命；符合組織利益。

建立健全安全管理體系，最重要的是針對電子政務(wù)的現(xiàn)有情況制定統(tǒng)一的行政管理制度，在整個網(wǎng)絡(luò)系統(tǒng)中貫徹執(zhí)行。當(dāng)然，根據(jù)當(dāng)?shù)鼐W(wǎng)絡(luò)的實際情況和具體網(wǎng)絡(luò)應(yīng)用的不同，適當(dāng)作出調(diào)整，可以比較好地保證安全策略的統(tǒng)一性、一致性和可管理性。

1.2

預(yù)警檢測體系

預(yù)警檢測體系包括入侵檢測、漏洞檢測、外聯(lián)和接入檢測、補丁管理等。

入侵檢測系統(tǒng)是目前最為主要的一個廣泛應(yīng)用的技術(shù)和管理手段。利用網(wǎng)絡(luò)入侵檢測系統(tǒng)，可以了解網(wǎng)絡(luò)的運行狀況和發(fā)生的安全事件，并根據(jù)安全事件來調(diào)整安全策略和防護手段，同時改進實時響應(yīng)和事后恢復(fù)的有效性，為定期的安全評估和分析提供依據(jù)，從而提高網(wǎng)絡(luò)安全的整體水平。

電子政務(wù)信息網(wǎng)絡(luò)需要部署漏洞檢測系統(tǒng)。漏洞檢測系統(tǒng)一般包括漏洞掃描引擎、控制中心、報表和顯示中心及管理控制臺 4 個功能組件。

在電子政務(wù)的網(wǎng)絡(luò)系統(tǒng)內(nèi)，防火墻等安全手段往往被一些違反安全策略的行為所破壞，包括 MODEM 撥號、雙網(wǎng)卡或無線上網(wǎng)等各種方式接入互聯(lián)網(wǎng)。這些違反規(guī)定的非法外聯(lián)行為使電子政務(wù)網(wǎng)絡(luò)系統(tǒng)內(nèi)的個人計算機毫無防范地接入 Internet，在用戶無意識的情況下，一些機密信息（包括機器和網(wǎng)絡(luò)的所有配置信息以及數(shù)據(jù)文件）可能泄漏，由此危害整個電子政務(wù)網(wǎng)絡(luò)的安全。

非法外聯(lián)監(jiān)控技術(shù)就是為了防范上述兩類安全問題而設(shè)計的，它對內(nèi)部人員的非法外聯(lián)行為進行實時監(jiān)控，對物理隔離措施或安全限制規(guī)定進行有效性檢查。

補丁管理應(yīng)該納入組織的安全體系。補丁管理的意義已經(jīng)超出了傳統(tǒng)

的安全領(lǐng)域，成為維護企業(yè)信息系統(tǒng)正常操作所必須具備的措施。電子政務(wù)需要部署補丁管理系統(tǒng)，補丁可以被存儲在本地網(wǎng)絡(luò)以確保它們的更高可讀性和加速分發(fā)。

1.3

安全防護體系

安全防護體系包括防火墻、身份鑒別與認證、系統(tǒng)訪問控制、網(wǎng)絡(luò)審計等內(nèi)容。

防火墻就是運行于軟件和硬件上的、安裝在特定網(wǎng)絡(luò)邊界的、實施網(wǎng)間訪問控制的一組組件的集合。它在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間形成一道安全保護屏障，防止非法用戶訪問內(nèi)部網(wǎng)絡(luò)上的資源和非法向外傳遞內(nèi)部信息。

身份鑒別與認證是系統(tǒng)的第一道安全屏障，也是實施訪問控制的基礎(chǔ)，具有十分重要的作用。因此，身份鑒別與認證機制的強度如何，將直接關(guān)系到整個系統(tǒng)的安全度，口令與令牌相結(jié)合的身份驗證方式可以為大多數(shù)的場合提供足夠的安全性。

訪問控制包括自主訪問控制和強制訪問控制兩種，其中強制訪問控制具有更高的安全性，建議采用。強制訪問控制給每個客體和主體分配了不同的安全屬性，而且這些安全屬性不像 ACL 那樣容易被修改，系統(tǒng)通過比較主體和客體的安全屬性才決定主體對客體的操作可行性。強制訪問控制可以防范特洛伊木馬和用戶濫用權(quán)限，具有更高的安全性。

來自網(wǎng)絡(luò)的安全威脅日益增多，很多威脅并不是以網(wǎng)絡(luò)入侵的形式進

行的，這些威脅事件多數(shù)來自內(nèi)部合法用戶的誤操作或惡意操作，僅靠系統(tǒng)自身的日志功能并不能滿足對這些網(wǎng)絡(luò)安全事件的審計要求。使用網(wǎng)絡(luò)審計系統(tǒng)，記錄網(wǎng)絡(luò)中發(fā)生的違規(guī)行為，完整地記錄各種信息的起始地址和使用者，將有利于事后追蹤，為調(diào)查取證提供第一手資料。

1.4

響應(yīng)恢復(fù)體系

響應(yīng)恢復(fù)體系包括應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計劃兩個方面。

電子政務(wù)信息系統(tǒng)已經(jīng)成為電子政務(wù)業(yè)務(wù)的支撐平臺。安全策略中必須具備應(yīng)急響應(yīng)手段，保證電子政務(wù)發(fā)生安全事故后，能夠及時作出有效響應(yīng)，采取合適的應(yīng)急措施處理事故。

安全事件預(yù)警與應(yīng)急響應(yīng)體系主要針對危及電子政務(wù)信息系統(tǒng)安全的重大事件進行檢測、預(yù)警、抑制、根除，并從事件的影響中盡快恢復(fù)，以確保電子政務(wù)信息系統(tǒng)的業(yè)務(wù)連續(xù)性。

業(yè)務(wù)連續(xù)性計劃（BCP）是與信息安全相關(guān)、但與業(yè)務(wù)關(guān)系非常緊密的一項內(nèi)容。因此，電子政務(wù)的業(yè)務(wù)連續(xù)性計劃必須以電子政務(wù)的業(yè)務(wù)為中心，綜合考慮。

電子政務(wù)信息安全的現(xiàn)狀及表現(xiàn) 2.1

電子政務(wù)信息安全的現(xiàn)狀 電子政務(wù)中政府信息安全實質(zhì)是由于計算機信息系統(tǒng)作為國家政務(wù)的載體和工具，而引發(fā)的信息安全。信息安全成為當(dāng)前政府信息化中的關(guān)鍵

問題。安全問題是電子政務(wù)建設(shè)中的重中之重。電子政務(wù)中的政府信息安全是國家安全的重要內(nèi)容，是保障國家信息安全所不可忽缺的組成部分。

信息安全涉及到政治、經(jīng)濟、軍事、文化等方方面面，由于互聯(lián)網(wǎng)發(fā)展在地域上極不平衡，信息強國對于信息弱國已經(jīng)形成了戰(zhàn)略上的“信息位勢差”，居于信息低位勢的國家的政治安全、經(jīng)濟安全、軍事安全乃至民族文化傳統(tǒng)都將面臨前所未有的沖擊、挑戰(zhàn)和威脅，互聯(lián)網(wǎng)成為超級大國謀求跨世紀戰(zhàn)略優(yōu)勢的工具。“信息疆域”不是以傳統(tǒng)的地緣、領(lǐng)土、領(lǐng)空、領(lǐng)海來劃分，而是以帶有政治影響力的信息輻射空間來劃分?！靶畔⒔颉钡拇笮?、“信息邊界”的安全，關(guān)系到一個民族、一個國家在信息時代的興衰存亡。在知識經(jīng)濟時代，一個國家的信息獲取能力以及在社會生產(chǎn)生活領(lǐng)域中的“信息制控權(quán)”，將成為這個國家在新世紀的生存與發(fā)展競爭中能否占據(jù)主動的關(guān)鍵。

2.2

電子政務(wù)信息安全的目標 信息系統(tǒng)信息安全的宗旨是通過在實現(xiàn)信息系統(tǒng)時充分考慮到自身、伙伴和客戶的信息風(fēng)險，確保組織能夠完成它的全部使命和目標。進而言之，電子政務(wù)系統(tǒng)信息安全的宗旨就是通過在實現(xiàn)信息系統(tǒng)時充分考慮信息風(fēng)險，從而確保一個政府部門能夠有效地完成法律所賦予的政府職能。電子政務(wù)信息安全必須實現(xiàn)以下目標：

2.2.1 可用性目標

可用性目標是指確保電子政務(wù)系統(tǒng)有效率地運轉(zhuǎn)并使授權(quán)用戶得到所

需信息服務(wù)。通常，可用性目標是電子政務(wù)系統(tǒng)的首要信息安全目標。

2.2.2 完整性目標

完整性目標包括兩個方面：數(shù)據(jù)完整性和系統(tǒng)完整性。通常，完整性目標是電子政務(wù)系統(tǒng)除了可用性目標之外最重要的信息安全目標。

2.2.3 保密性目標

保密性目標是指不向非授權(quán)個人和部門暴露私有或者保密信息。通常，對于大多數(shù)電子政務(wù)系統(tǒng)而言，保密性目標在信息安全的重要程度排序中僅次于可用性目標和完整性目標。然而，對于某些特定的電子政務(wù)系統(tǒng)和數(shù)據(jù)，保密性目標是最重要的信息安全目標。

2.2.4 可記賬性目標

可記賬性目標是指電子政務(wù)系統(tǒng)能夠如實記錄一個實體的全部行為。通常，可記賬性目標是政府部門的一種策略需求?？捎涃~性目標可以為拒絕否認、威懾違規(guī)、隔離故障、檢測和防止入侵、事后恢復(fù)和法律訴訟提供支持。

2.2.5 保障性目標

保障性是電子政務(wù)系統(tǒng)信息安全的信任基。保障性目標突出了這樣的事實：對于希望做到安全的信息系統(tǒng)而言，不僅需要提供預(yù)期的功能，而且需要保證不會發(fā)生非預(yù)期的行為。具體而言，保障性目標是指：提供并正確實現(xiàn)需要的電子政務(wù)功能；在用戶或者軟件無意中出現(xiàn)差錯時，提供充分保護；在遭受惡意的系統(tǒng)穿透或者旁路時，提供充足防護。

電子政務(wù)中信息安全的幾個基本問題

3.1 電子政務(wù) 電子政務(wù)是政府在國民經(jīng)濟和社會信息化的背景下，以提高政府辦公效率，改善決策和投資環(huán)境為目標，將政府的信息發(fā)布、管理、服務(wù)、溝通功能向互聯(lián)網(wǎng)上遷移的系統(tǒng)解決方案。同時也提供了結(jié)合政府管理流程再造，構(gòu)建和優(yōu)化政府內(nèi)部管理系統(tǒng)、決策支持系統(tǒng)、辦公自動化系統(tǒng)，為政府信息管理、服務(wù)水平的提高提供強大的技術(shù)和咨詢支持。

3.2 信息安全 信息安全是指保證信息系統(tǒng)中的數(shù)據(jù)在存取、處理、傳輸和服務(wù)過程中的保密性、完整性和可用性，以及信息系統(tǒng)本身能連續(xù)、可靠、正常地運行，并且在遭到破壞后還能迅速恢復(fù)正常使用的安全。

3.3

電子政務(wù)中的信息安全 電子政務(wù)中的信息安全包括了信息的機密性、完整性、可信性、可控性、不可否認性等。我國立法把信息安全界定為“保障計算機及其相關(guān)的和配套的設(shè)備、設(shè)施(網(wǎng)絡(luò))的安全，運行環(huán)境的安全，保障信息安全，保障計算機功能的正常發(fā)揮，以維護計算機信息系統(tǒng)的安全”。從這一法律規(guī)定看，計算機信息系統(tǒng)安全應(yīng)當(dāng)包括實體安全、信息安全、運行安全和人的安全。其中，人的安全主要是指計算機使用人員的安全意識、法律意識、安全技能等；實體安全是指保護計算機設(shè)備、設(shè)施(含網(wǎng)絡(luò))以及其他媒體免遭自然和人為破壞的措施、過程。實體安全包括環(huán)境安全、設(shè)備安全和

媒體安全三個方面；計算機信息系統(tǒng)的運行安全包括：系統(tǒng)風(fēng)險管理、審計跟蹤、備份與恢復(fù)、應(yīng)急四個方面的內(nèi)容。所謂計算機信息系統(tǒng)的信息安全是指防止信息被故意的或偶然的非法授權(quán)泄漏、更改、破壞或使信息被非法系統(tǒng)辨識、控制，即確保信息的保密性、完整性、可用性、可控性。針對計算機信息系統(tǒng)中信息存在形式和運行特點，信息安全包括操作系統(tǒng)安全、數(shù)據(jù)庫安全、網(wǎng)絡(luò)安全、病毒保護、訪問控制、加密與鑒別七個方面。

3.4 信息安全在國家安全中的地位 電子政務(wù)中政府信息安全實質(zhì)是由于計算機信息系統(tǒng)作為國家政務(wù)的載體和工具，而引發(fā)的信息安全。信息安全成為當(dāng)前政府信息化中的關(guān)鍵問題。安全問題是電子政務(wù)建設(shè)中的重中之重。電子政務(wù)中的政府信息安全是國家安全的重要內(nèi)容，是保障國家信息安全所不可忽缺的組成部分。

信息安全涉及到政治、經(jīng)濟、軍事、文化等方方面面，由于互聯(lián)網(wǎng)發(fā)展在地域上極不平衡，信息強國對于信息弱國已經(jīng)形成了戰(zhàn)略上的“信息位勢差”，居于信息低位勢的國家的政治安全、經(jīng)濟安全、軍事安全乃至民族文化傳統(tǒng)都將面臨前所未有的沖擊、挑戰(zhàn)和威脅，互聯(lián)網(wǎng)成為超級大國謀求跨世紀戰(zhàn)略優(yōu)勢的工具?！靶畔⒔颉辈皇且詡鹘y(tǒng)的地緣、領(lǐng)土、領(lǐng)空、領(lǐng)海來劃分，而是以帶有政治影響力的信息輻射空間來劃分?！靶畔⒔颉钡拇笮　ⅰ靶畔⑦吔纭钡陌踩?，關(guān)系到一個民族、一個國家在信息時代的興衰存亡。在知識經(jīng)濟時代，一個國家的信息獲取能力以及在社會生產(chǎn)生活

領(lǐng)域中的“信息制控權(quán)”，將成為這個國家在新世紀的生存與發(fā)展競爭中能否占據(jù)主動的關(guān)鍵。

3.5

網(wǎng)絡(luò)技術(shù)的問題 3.5.1

網(wǎng)絡(luò)信息安全問題 目前對信息安全構(gòu)成威脅的既有自然因素也有人為因素，主要有火災(zāi)等自然災(zāi)害、硬件故障、嚴重誤操作、數(shù)據(jù)泄露、盜用、偽造、假冒、故意對數(shù)據(jù)或程序破壞、病毒、錯誤指向、黑客、特洛伊木馬、搭線竊聽等。掌握了一定技術(shù)的人可以輕易獲取網(wǎng)絡(luò)服務(wù)器上的用戶賬號信息和文件。并可進入系統(tǒng)修改刪除重要數(shù)據(jù)文件。一旦電子政務(wù)系統(tǒng)被非法侵入和破壞它將不能正常工作甚至全部癱瘓。如果系統(tǒng)的安全性被破壞。造成敏感信息暴露或丟失，或網(wǎng)絡(luò)被攻擊等安全事件。那么產(chǎn)生的后果必然波及地區(qū)和整個國家的安全，這種破壞將會給國家?guī)碇卮髶p失。一旦網(wǎng)絡(luò)受到攻擊，不能正常工作，甚至全部癱瘓時，整個社會將陷入危機。國家機密難保，致使某些部門不敢使用互聯(lián)網(wǎng)。

3.5.2 網(wǎng)絡(luò)對人的情感問題 電子政務(wù)的一大特點是虛擬性，這是由互聯(lián)網(wǎng)的特點所決定的。政府工作人員在進行電子政務(wù)的活動中，往往會使人際關(guān)系淡化，政府工作人員和公眾似乎面對的只是電腦，而常常忘記他們也是和人進行交往。例如時下興起的在城市公共場所安裝的“電子眼”監(jiān)控系統(tǒng)，雖然在一定程度上改善了城市交通，降低了犯罪率，但這種“倒洗腳水也將孩子一塊兒潑

出”的做法也對公民的隱私權(quán)和其他方面的權(quán)利造成了嚴重侵犯，其對人性化和人本管理的背離也是顯而易見的。

3.5.3 政府自身的問題（1）

公務(wù)員及官員素質(zhì)有待提高 大部分政府官員和公務(wù)員對信息技術(shù)、網(wǎng)絡(luò)技術(shù)和計算機技術(shù)還未接觸或接觸不多，所以對高新信息技術(shù)應(yīng)用方面的能力也比較欠缺，整體素質(zhì)與電子政務(wù)建設(shè)要求也還有很大的距離，對電子政務(wù)建設(shè)就缺乏應(yīng)有的積極態(tài)度。

從公務(wù)員的文化水平來看，經(jīng)過 1998 年的政府機構(gòu)改革，國務(wù)院近1.7萬名公務(wù)員中，大學(xué)本科畢業(yè)以上學(xué)歷的占 65%。但地方政府 500 萬公務(wù)員中，大學(xué)本科畢業(yè)以上學(xué)歷的僅有 10%，約有 20%的公務(wù)員不會操作計算機。面對電子政務(wù)的潮流，許多公務(wù)員在心理上必然會恐懼害怕，產(chǎn)生抵觸情緒，而不能從心理上積極學(xué)習(xí)，以適應(yīng)政府信息化的歷史潮流，結(jié)果使得很多昂貴的設(shè)置成為裝點門面的飾物。

（2）

電子政務(wù)的規(guī)劃和標準缺乏統(tǒng)一性 目前，我國電子政務(wù)的發(fā)展缺乏宏觀規(guī)劃，沒有提出明確的發(fā)展目標。同時，條塊分割的管理體制與電子政務(wù)的統(tǒng)一性、開放性、交互性和規(guī)模經(jīng)濟等自然特性產(chǎn)生嚴重沖突，各級地方政府和部門在電子政務(wù)的建設(shè)中往往各自為政，采用的標準也各不相同，業(yè)務(wù)內(nèi)容單調(diào)重復(fù)，造成新的重復(fù)建設(shè)。同時，缺乏規(guī)范和標準也使得信息流通不暢，資源無法共享和信

息孤島，影響了跨部門、跨區(qū)域共性業(yè)務(wù)的處理和政府的有效監(jiān)管。

3.5.4 電子政務(wù)信息化建設(shè)應(yīng)用當(dāng)中的信息安全隱患（1）

身份認證和訪問控制

登錄到系統(tǒng)的人必須是相關(guān)業(yè)務(wù)人員，凡是非相關(guān)人員，系統(tǒng)拒絕其訪問；如果系統(tǒng)不能識別用戶的真正身份，業(yè)務(wù)是無法開展的。身份認證是實現(xiàn)訪問控制的前提條件，通過身份認證結(jié)合應(yīng)用系統(tǒng)的授權(quán)機制，才能提供訪問控制功能；

（2）

信息傳輸機密性 在網(wǎng)絡(luò)上傳輸?shù)男畔⒉荒鼙桓`?。唬?）

信息傳輸完整性 在網(wǎng)絡(luò)上傳輸?shù)男畔⒉荒鼙粣阂獯鄹模?/p>

（4）

信息傳輸不可抵賴性 在網(wǎng)上提交的請求是不允許抵賴的，同時對涉及信息安全的事件，提供事后追蹤、審核及統(tǒng)計的手段。

2004 年 8 月 28 日 十屆全國人大常委會第十一次會議表決通過了《中華人民共和國電子簽名法》，將于 2005 年 4 月 1 日 起施行。該法首次賦予電子簽名與紙質(zhì)手寫簽名具有同等法律效力，并明確了電子認證服務(wù)市場的準入制度，同時保障了電子交易安全。《中華人民共和國電子簽名法》的施行意味著網(wǎng)上通行有了 “ 身份證 ”，對“電子簽名”、“數(shù)據(jù)電文”等電子文檔是否具有法律效力進行了明確的規(guī)定，同時對電子認

證機構(gòu)的法律地位和法律責(zé)任有了明確的界定，保證以后發(fā)生糾紛時的責(zé)任認定，并且使得電子簽名的安全性、可靠性有了法律保障，有效的保護了使用者的權(quán)益。

面對 G2B 電子政務(wù)的諸多隱患，北京天威誠信電子商務(wù)服務(wù)有限公司（iTruschina）推出了基于 PKI（Public Key Infrastructure，公鑰基礎(chǔ)設(shè)施）技術(shù)的、易于實施的、完善的 G2B 電子政務(wù)安全解決方案。采用天威誠信的產(chǎn)品和服務(wù)，構(gòu)架電子政務(wù)的 PKI/CA平臺（CA ：

Certification Authority，認證中心）或為客戶提供證書服務(wù)，為電子政務(wù)用戶發(fā)放數(shù)字證書，電子政務(wù)用戶使用數(shù)字證書完成涉及到 G2B 工作的各種操作，來保證電子政務(wù)的安全。

如圖所示：通過 G2B 電子政務(wù)安全解決方案，各企業(yè)、事業(yè)單位和政府機構(gòu)及其下屬機構(gòu)申請數(shù)字證書，在各自不同的電子政務(wù)應(yīng)用中使用數(shù)字證

書，可以解決 G2B 電子政務(wù)的安全需求，在不同應(yīng)用系統(tǒng)中，如網(wǎng)上申報審批、政務(wù)公文流轉(zhuǎn)、網(wǎng)上工商年檢等，用戶通過申請證書在進行相應(yīng)電子政務(wù)操作時使用數(shù)字證書來驗證進行電子政務(wù)工作的系統(tǒng)身份，然后提交各自證書讓系統(tǒng)驗證用戶證書來判斷用戶的真實身份，完成用戶和應(yīng)用系統(tǒng)的雙向認證；根據(jù)用戶身份給予相應(yīng)授權(quán)，實現(xiàn)訪問控制，并建立安全通道；用戶提交辦公數(shù)據(jù)和相應(yīng)保密信息時，使用用戶證書對數(shù)據(jù)進行數(shù)字簽名，并通過安全通道進行加密傳輸，達到傳輸數(shù)據(jù)時的機密性和完整性。

對于需要相關(guān)部門審批的數(shù)據(jù)，審批者使用代表其身份的數(shù)字證書，登陸電子政務(wù)系統(tǒng)，通過數(shù)字證書完成雙向身份認證和訪問控制，并建立安全通道；審批者通過驗證申報者的數(shù)字簽名，來驗證申報信息的真實性和完整性；審批者對申報信息進行審核后，并簽署審批意見時，也使用自己的數(shù)字證書對審批結(jié)果進行數(shù)字簽名；申報者通過驗證審批者的數(shù)字簽名，判斷審批結(jié)果的真實性和完整性。

這樣，隨時隨地更加安全快捷的使用電子政務(wù)提供的眾多服務(wù)，從而極大的提高工作效率和大大降低辦公成本。

天威誠信 G2B 電子政務(wù)安全解決方案為電子政務(wù)搭建安全工作平臺，加速電子政務(wù)建設(shè)發(fā)展的速度。

規(guī)范辦公流程，提高工作效率，為政府部門及時完成各項工作任務(wù)實現(xiàn)公文無紙化傳輸?shù)葢?yīng)用提供強有力的安全保護；

有效的保證政府各部門之間及上下級政府之間信息傳遞的安全性，為職能部門的決策提供及時、準確、全面、安全和不可抵賴的信息服務(wù)；

為政府外網(wǎng)的安全、穩(wěn)定運行提供有效的保障：保證政府通過外網(wǎng)獲得的大量決策信息和參考信息的真實性、可靠性；同時為推動政務(wù)公開、職能轉(zhuǎn)變、網(wǎng)上互動、增加透明，樹立政府“公開、廉政、高效”的良好形象提供安全可靠的網(wǎng)絡(luò)基礎(chǔ)；

防止公文數(shù)據(jù)泄漏，防止越權(quán)操作，提高電子政務(wù)的工作效率，滿足各辦公單位高效、快捷的進行政務(wù)活動的需求；

提高政務(wù)工作的透明度，提高政府部門的形象；為整個電子政務(wù)信息化建設(shè)提供安全的應(yīng)用環(huán)境和推廣的可靠保障。電子政務(wù)信息安全解決方案 隨著計算機技術(shù)和通信技術(shù)的飛速發(fā)展，信息化的浪潮席卷全球，無論是企事業(yè)單位還是政府機構(gòu)越來越多的傳統(tǒng)事務(wù)向自動化、網(wǎng)絡(luò)化轉(zhuǎn)變。在處于經(jīng)濟全球化和信息化時代的中國，電子政務(wù)是提高政府管理水平和服務(wù)水平、提高國家競爭力的有力工具，更是帶動全社會信息化的龍頭，具有重大的意義。電子政務(wù)工程將建立一個集資源和服務(wù)于一體的電子政府個體和群體網(wǎng)絡(luò)，其本質(zhì)是資源數(shù)字化和服務(wù)網(wǎng)絡(luò)化。隨著信息技術(shù)的發(fā)展，互聯(lián)網(wǎng)的普及，利用網(wǎng)絡(luò)為政府部門提供更優(yōu)質(zhì)的服務(wù)成為當(dāng)今社會的共識，借助電子政務(wù)系統(tǒng)的建設(shè)，達到提高政府工作效率、政府工作透明化，充分做到執(zhí)政為民的目的。

由于電子政務(wù)的許多應(yīng)用，如網(wǎng)上的申報審批、政務(wù)公文流轉(zhuǎn)、網(wǎng)上信息統(tǒng)計直報、網(wǎng)上報稅、各企業(yè)資質(zhì)的網(wǎng)上年檢等都是面向企業(yè)、政府下屬機構(gòu) / 部門或政府關(guān)聯(lián)機構(gòu) / 部門的應(yīng)用，如下圖所示：

電子 政務(wù)應(yīng)用系統(tǒng)涉及到許多保密信息，這些信息都在不同程度上關(guān)系到政府的正常運轉(zhuǎn)和在廣大民眾心中的地位，如果這些信息一旦失真或被內(nèi)部人員、不懷好意人士、黑客和政治間諜竊取將有可能導(dǎo)致嚴重的后果。因此，采取強有力的安全措施來保障電子政務(wù)的信息安全將變得尤為重要。

4.1 網(wǎng)絡(luò)安全問題的應(yīng)對方法 4.1.1 加強對公務(wù)員的安全技術(shù)教育，樹立網(wǎng)絡(luò)安全觀念。

網(wǎng)絡(luò)的開放性在給人類的生活帶來諸多方便的同時，也給社會生活的許多方面帶來了很多不穩(wěn)定的因素，尤其是作為社會管理者的政府，一旦其網(wǎng)絡(luò)遭到惡意攻擊，很可能給社會帶來災(zāi)難性的損失。因此，加強公務(wù)員的網(wǎng)絡(luò)安全教育和技術(shù)培訓(xùn)，使之樹立網(wǎng)絡(luò)安全意識，并掌握一定的網(wǎng)

絡(luò)安全技術(shù)和技能，不僅是對公務(wù)員自身素質(zhì)的一大要求，也是應(yīng)對網(wǎng)絡(luò)安全的關(guān)鍵。

4.1.2 改變信息安全管理依靠傳統(tǒng)的管理方法和手段的模式，實現(xiàn)現(xiàn)代的系統(tǒng)管理技術(shù)手段。

國際標準 BS7799 和 ISO／IEC17799 是流行的信息安全管理體系標準。其中的管理目標為數(shù)據(jù)的保密性、完整性和可用性要求。具有自組織、自學(xué)習(xí)、自適應(yīng)自修復(fù)、自生長的能力和功能。保證持續(xù)有效性。通過計劃、實施、檢查、措施四個階段周而復(fù)始的循環(huán)。應(yīng)用于其整體過程、其他過程及其子過程，例如信息安全風(fēng)險評估或者商務(wù)持續(xù)性計劃的安排等。為信息安全管理體系與質(zhì)量管理體系、環(huán)境管理體系等的整合運行提供了方便在模式和方法上都兼容，成為統(tǒng)一的內(nèi)部綜合管理體系包括按照可信網(wǎng)絡(luò)架構(gòu)方法。編制信息安全解決方案。多層防范多級防護，等級保護，風(fēng)險評估、重點保護。針對可能發(fā)生的事故或災(zāi)害。制定信息安全應(yīng)急預(yù)案，建立新機制、規(guī)避風(fēng)險、減少損失。根據(jù)相應(yīng)的政策法規(guī)在網(wǎng)絡(luò)工程數(shù)據(jù)設(shè)計、建設(shè)和驗收等階段實行同步審查，建立完善的數(shù)據(jù)備份、災(zāi)難恢復(fù)等應(yīng)用，確保實時、安全、高效、可靠的運行效果。

4.1.3 鼓勵民族信息技術(shù)產(chǎn)業(yè)的發(fā)展，解決好技術(shù)的先進性與自主性的關(guān)系。

作為一個先進復(fù)雜的系統(tǒng)，電子政務(wù)系統(tǒng)必須盡量采用先進技術(shù)和手段以提高政務(wù)運轉(zhuǎn)的效率，并增強整個系統(tǒng)的可靠性。從目前信息技術(shù)發(fā)

展的情況來看，絕大多數(shù)的關(guān)鍵技術(shù)掌握在以美國為首的少數(shù)發(fā)達國家手中，在實施電子政務(wù)過程中不可避免地要采用這些國家的技術(shù)和產(chǎn)品，而從我國的國家和民族利益來看，又要盡量避免在關(guān)鍵要害部門受制于人。鑒于安全問題，在構(gòu)建電子政務(wù)系統(tǒng)過程必須要處理好技術(shù)先進性與自主性的關(guān)系。首先，對于核心應(yīng)用系統(tǒng)和關(guān)鍵政務(wù)環(huán)節(jié)，必須確保在各類實施方案中的技術(shù)自主性。其次，對于核心層外部，但又與其他外部信息系統(tǒng)存在一定可監(jiān)控隔絕層的層次，可以盡量采用先進技術(shù)以提高系統(tǒng)的效率和可靠性。實際上在整個電子政務(wù)系統(tǒng)中，位于此層次的應(yīng)用系統(tǒng)也是承載信息最多，工作模型和處理流程最復(fù)雜的。由于此層應(yīng)用系統(tǒng)不直接與外部信息系統(tǒng)相接，并能在一定的安全監(jiān)控體系中運行，因此，不必單純從技術(shù)自主的角度考慮放棄某些先進的技術(shù)。最后，對于直接與外部信息系統(tǒng)相聯(lián)的部分，也要針對不同情況分別加以考慮。對于其中安全監(jiān)控系統(tǒng)，需要在其中的核心部分（如核心加密算法）確保技術(shù)自主，對于其余部分，由于所承載的信息基本都屬于非關(guān)鍵信息，可以考慮與其他信息系統(tǒng)接口保持通信協(xié)議、數(shù)據(jù)格式甚至軟件體系的一致性。

4.1.4 關(guān)于網(wǎng)絡(luò)對人的情感及價值忽略問題的應(yīng)對方法 解決這一問題，一是改進和普及多用途互聯(lián)網(wǎng)電子郵件系統(tǒng)（MIME），使政府公務(wù)員與公眾之間通過文字、聲音、圖象和影視進行交流與溝通，促其將信息溝通與情感交流融為一體；二是采用如專題調(diào)研、座談討論、聽證會、新聞發(fā)布會等形式，促使政府公務(wù)員與社會公眾之間進行面對面

的交流與溝通，從而消除相互之間的情感隔閡，建立政府與社會之間的相互信任機制。

4.2 政府自身問題的應(yīng)對方法 4.2.1 提高公務(wù)員素質(zhì) 推行任何改革，思想解放是關(guān)鍵。應(yīng)加強對公務(wù)員的思想政治教育，使之轉(zhuǎn)變觀念，從而在思想上接受這場變革，進而在行動上積極應(yīng)對這種變革。要加大對公務(wù)員的培訓(xùn)工作，使得他們掌握先進的信息技術(shù)，以適應(yīng)全新的信息社會工作環(huán)境，并且要把信息技術(shù)知識與技能的考核納入公務(wù)員綜合考核范圍之內(nèi)。

4.2.2 制定發(fā)展規(guī)劃，明確階段目標，避免重復(fù)建設(shè)作為政務(wù)活動和信息技術(shù)的結(jié)合點 電子政務(wù)建設(shè)不單單是一個技術(shù)問題，而且涉及到政黨部門的工作程序、組織結(jié)構(gòu)、人事制度等方面的調(diào)整和協(xié)調(diào)。因此，國家要制定相應(yīng)的發(fā)展規(guī)劃，建立相應(yīng)的領(lǐng)導(dǎo)機構(gòu)，加強對電子政務(wù)的研究、規(guī)劃和組織協(xié)調(diào)，并根據(jù)國情，制定切實可行的階段性目標.雖然可以在電子政務(wù)的其他方面（如硬件平臺應(yīng)用軟件的選擇上）可以搞市場經(jīng)濟，由各廠商自由開發(fā)、公平競爭，但是在技術(shù)標準的問題上必須搞“計劃經(jīng)濟”，由國家同一制定。技術(shù)標準確立的越早，我國的電子政務(wù)建設(shè)就越能盡早走上快車道，因此也就能盡早避免將來因標準混亂而導(dǎo)致的被動局面。

綜上所述：信息安全對于電子政務(wù)的成敗具有舉足輕重的作用。電子

政務(wù)是一個系統(tǒng)工程，信息安全問題貫穿了電子政務(wù)系統(tǒng)的整個系統(tǒng)生命周期，我認為：在電子政務(wù)信息安全中，信息安全，三分技術(shù)、七分管理。因此，技術(shù)安全手段應(yīng)當(dāng)服從于和服務(wù)于管理安全手段。具體而言，技術(shù)手段只有和規(guī)章制度的有效執(zhí)行相配合，才能產(chǎn)生信息安全效益。

我國電子政務(wù)中信息安全及相關(guān)法律保護 5.1

電子政務(wù)中信息安全的幾個基本問題 信息安全的內(nèi)涵：信息安全是指一個國家的社會信息化狀態(tài)不受外來的威脅與侵害；一個國家的信息技術(shù)體系不受外來的威脅與侵害。電子政務(wù)中的信息安全包括了信息的機密性、完整性、可信性、可控性、不可否認性等。我國立法把信息安全界定為“保障計算機及其相關(guān)的和配套的設(shè)備、設(shè)施(網(wǎng)絡(luò))的安全，運行環(huán)境的安全，保障信息安全，保障計算機功能的正常發(fā)揮，以維護計算機信息系統(tǒng)的安全”。從這一法律規(guī)定看，計算機信息系統(tǒng)安全應(yīng)當(dāng)包括實體安全、信息安全、運行安全和人的安全。其中，人的安全主要是指計算機使用人員的安全意識、法律意識、安全技能等；實體安全是指保護計算機設(shè)備、設(shè)施(含網(wǎng)絡(luò))以及其他媒體免遭自然和人為破壞的措施、過程。實體安全包括環(huán)境安全、設(shè)備安全和媒體安全三個方面；計算機信息系統(tǒng)的運行安全包括：系統(tǒng)風(fēng)險管理、審計跟蹤、備份與恢復(fù)、應(yīng)急四個方面的內(nèi)容。所謂計算機信息系統(tǒng)的信息安全是指防止信息被故意的或偶然的非法授權(quán)泄漏、更改、破壞或使信息被非法系統(tǒng)辨識、控制，即確保信息的保密性、完整性、可用性、可控性。針對計

算機信息系統(tǒng)中信息存在形式和運行特點，信息安全包括操作系統(tǒng)安全、數(shù)據(jù)庫安全、網(wǎng)絡(luò)安全、病毒保護、訪問控制、加密與鑒別七個方面。

信息安全在國家安全中的地位：電子政務(wù)中政府信息安全實質(zhì)是由于計算機信息系統(tǒng)作為國家政務(wù)的載體和工具，而引發(fā)的信息安全。信息安全成為當(dāng)前政府信息化中的關(guān)鍵問題。安全問題是電子政務(wù)建設(shè)中的重中之重。電子政務(wù)中的政府信息安全是國家安全的重要內(nèi)容，是保障國家信息安全所不可忽缺的組成部分。

信息安全涉及到政治、經(jīng)濟、軍事、文化等方方面面，由于互聯(lián)網(wǎng)發(fā)展在地域上極不平衡，信息強國對于信息弱國已經(jīng)形成了戰(zhàn)略上的“信息位勢差”，居于信息低位勢的國家的政治安全、經(jīng)濟安全、軍事安全乃至民族文化傳統(tǒng)都將面臨前所未有的沖擊、挑戰(zhàn)和威脅，互聯(lián)網(wǎng)成為超級大國謀求跨世紀戰(zhàn)略優(yōu)勢的工具?！靶畔⒔颉辈皇且詡鹘y(tǒng)的地緣、領(lǐng)土、領(lǐng)空、領(lǐng)海來劃分，而是以帶有政治影響力的信息輻射空間來劃分。“信息疆域”的大小、“信息邊界”的安全，關(guān)系到一個民族、一個國家在信息時代的興衰存亡。在知識經(jīng)濟時代，一個國家的信息獲取能力以及在社會生產(chǎn)生活領(lǐng)域中的“信息制控權(quán)”，將成為這個國家在新世紀的生存與發(fā)展競爭中能否占據(jù)主動的關(guān)鍵。

我國所面臨的信息安全威脅：我國信息技術(shù)和信息產(chǎn)業(yè)的發(fā)展與技術(shù)先進國家相比“西強我弱”是事實，西方敵對勢力利用一切機會威脅我國家安全也是事實。在意識形態(tài)領(lǐng)域，電子媒介成為國際意識形態(tài)斗爭的主

導(dǎo)工具；某些西方大國利用信息及信息傳輸技術(shù)優(yōu)勢，妨礙、限制、壓制和破壞其他國家對信息的自由運用，甚至利用信息把本國的價值觀念、意識形態(tài)強加于別國頭上，以謀求政治軍事手段難以得到的霸權(quán)利益。它們利用在信息領(lǐng)域的主宰地位，通過互聯(lián)網(wǎng)絡(luò)上的電子郵件、電子報刊及其他信息媒體展開宣傳戰(zhàn)、心理戰(zhàn)。政策滲透、“文化侵略”嚴重威脅著發(fā)展中國家的政治、科技、文化安全。在軍事領(lǐng)域，網(wǎng)絡(luò)泄密是軍事信息安全的重要表現(xiàn)；軍事泄密觸目驚心；黑客攻擊對軍事信息安全的危害極大；信息戰(zhàn)是影響軍事信息安全的極端表現(xiàn)形式。在信息產(chǎn)業(yè)和經(jīng)濟金融領(lǐng)域，電腦硬件面臨遏制和封鎖的威脅；軟件面臨市場壟斷和價格歧視的威脅。

同時國家為加快信息化建設(shè)的需要，大量引進國外的基礎(chǔ)設(shè)備，對引進的信息和技術(shù)缺乏相應(yīng)的有效管理和技術(shù)改造，尤其是對發(fā)達國家或跨國公司在提供關(guān)鍵設(shè)備中可能做手腳(如在電腦芯片中隱藏著特定的程序，有可能在某種指令下被激活，或使電腦無法啟動)缺乏有效的檢測和排除技術(shù)。就有可能造成花費寶貴的外匯買來安全隱患，買來不安全的后果。

我國電子政務(wù)中信息安全的現(xiàn)狀及表現(xiàn)：目前我國電子政務(wù)中的政府信息安全問題突出表現(xiàn)在：一是我國政府信息網(wǎng)絡(luò)安全存在嚴重隱患。網(wǎng)絡(luò)非常脆弱，各種安全隱患普遍存在。掌握了一定技術(shù)的人可以輕易獲取網(wǎng)絡(luò)服務(wù)器上的用戶賬號信息和口令文件，并可進入系統(tǒng)修改、刪除重要數(shù)據(jù)文件。一旦這些系統(tǒng)被非法侵入和破壞，將不能正常工作，甚至全部癱瘓，給國家?guī)碇卮髶p失。二是互聯(lián)網(wǎng)上和針對計算機信息系統(tǒng)的違法

犯罪活動日益增多。近年來，金融機構(gòu)內(nèi)部利用計算機犯罪案件大幅度上升；在互聯(lián)網(wǎng)上泄露國家秘密的案件屢有發(fā)生；提供境外黃色站點的錯接服務(wù)，向國內(nèi)用戶提供色情信息。三是境內(nèi)外黑客攻擊破壞網(wǎng)絡(luò)的問題十分嚴重。他們通常采用非法侵入重要信息系統(tǒng)，修改或破壞系統(tǒng)功能或數(shù)據(jù)等手段，造成數(shù)據(jù)丟失或系統(tǒng)癱瘓，給國家造成重大政治影響和經(jīng)濟損失。四是境內(nèi)外敵對勢力、敵對分子和非法組織利用互聯(lián)網(wǎng)進行煽動、滲透、組織、聯(lián)絡(luò)等非法活動日趨突出。他們通過建立針對境內(nèi)的反動宣傳、煽動的站點，利用電子公告欄、新聞討論等公共媒體，發(fā)表反動文章，散布反動言論，煽動反政府情緒；利用互聯(lián)網(wǎng)進行組黨結(jié)社，公開吸納成員；利用電子郵件直接向國內(nèi)用戶發(fā)送反動刊物；利用電子郵件進行聯(lián)絡(luò)。對電子政務(wù)中的政府信息安全受侵害的方式主要包括：偷竊、分析、冒充、篡改、抵賴等。

5.2 政府信息安全的保護

一個國家的信息安全，實際是由兩方面構(gòu)成的。其一，為一個國家在信息安全方面采取的一系列組織措施及有關(guān)政策、法規(guī)；其二，為強有力的、切實可行的技術(shù)手段及有關(guān)技術(shù)裝備。前者反映了一個國家在信息安全方面的決心、意志和戰(zhàn)略、策略；后者反映了一個國家在信息安全方面的實力。信息技術(shù)是信息安全的前提和基礎(chǔ)，信息安全的國家發(fā)展戰(zhàn)略(包括信息安全法律制度)，早已從一個產(chǎn)業(yè)問題上升為一個事關(guān)國家的社會、文化、軍事等各方面的核心問題。在信息安全中其地位舉足輕重，尤其作

為信息技術(shù)相對落后的我國如何調(diào)整信息安全戰(zhàn)略，完善信息安全保障法律規(guī)范，不僅是提高信息安全保障能力的手段和方法，而且是提高信息安全技術(shù)的前提和保證。所以我國“計算機信息安全的保護主要包括兩方面的內(nèi)容，一是國家安全監(jiān)督管理，二是計算機信息系統(tǒng)使用單位自身的保護措施。實施計算機信息系統(tǒng)保護的措施包括：安全法規(guī)、安全管理、安全技術(shù)三方面”。

信息安全是一項極其復(fù)雜的系統(tǒng)工程，在安全法規(guī)、安全管理、安全技術(shù)的保障措施中，安全技術(shù)是信息安全的基礎(chǔ)；安全管理是信息安全的關(guān)鍵；安全法規(guī)是信息安全的保證。

采用先進可靠的安全技術(shù)是維護信息安全的有力保障。事實上，大多數(shù)安全事件和安全隱患的發(fā)生與其說是技術(shù)上的原因，不如說是管理中的緣故。我國已發(fā)生的許多計算機安全事件(包括計算機犯罪行為)，技術(shù)手段并不高明，僅僅是由于鉆了管理上的漏洞。管理的關(guān)鍵在于管好人。因為一方面各種安全措施要靠人實施，另一方面有相當(dāng)多的威脅網(wǎng)絡(luò)的行為出自系統(tǒng)內(nèi)部人員。因此必須提高安全管理人員的素質(zhì)，加強對系統(tǒng)內(nèi)部人員和網(wǎng)絡(luò)用戶的教育和管理。

采用安全技術(shù)，加強安全管理，可以大大提高網(wǎng)絡(luò)的安全性。為了切實貫徹執(zhí)行這些安全措施，并有實施的法律依據(jù)，制定保障網(wǎng)絡(luò)安全的法律、法規(guī)就顯得尤為必要。對于已經(jīng)發(fā)生的違法行為，只能依靠法律進行懲處，當(dāng)然也包括一些民事行為的法律調(diào)整，這是保護網(wǎng)絡(luò)安全的最終手

段。同時通過法律的威懾力，還可以使有犯罪意識者產(chǎn)生畏懼心理，達到懲一儆百的效果。法律還可以便公民了解在網(wǎng)絡(luò)的管理和應(yīng)用中什么是違法行為，而自覺地不為，從而創(chuàng)造一個良好的社會環(huán)境，起到保護網(wǎng)絡(luò)安全的重要作用。所以說法律又是網(wǎng)絡(luò)安全的第一道防線。

5.3 我國電子政務(wù)中信息安全的保護對策

針對我國信息安全的現(xiàn)狀，結(jié)合我國電子政務(wù)的實際，當(dāng)前在政府信息安全的保護方面的當(dāng)務(wù)之急是：

5.3.1 盡快建立我國信息安全的保護體系(1)

迅速健全信息安全保護的組織機制 國家信息化工作領(lǐng)導(dǎo)小組是站在國家的高度，對網(wǎng)絡(luò)信息的國家發(fā)展總體戰(zhàn)略進行規(guī)劃、設(shè)計、研究，組織、協(xié)調(diào)、配合有關(guān)部門進行立法調(diào)研，使國家在網(wǎng)絡(luò)信息方面的立法成為一個有機的整體。但地方政府和重點保護的重要領(lǐng)域相應(yīng)的組織機構(gòu)還不健全；《中華人民共和國計算機信息系統(tǒng)安全保護條例》中確立了公安部主管全國計算機信息系統(tǒng)安全保護工作，但由于編制等原因許多地方公安機關(guān)沒有成立專門的機構(gòu)，警力尤其是適應(yīng)計算機信息技術(shù)高速發(fā)展的警力配備不足等。最好能組建國家信息安全委員會，組織和協(xié)調(diào)國家安全、公安、保密等職能部門，在信息化建設(shè)中信息安全的分工，對國家信息安全政策統(tǒng)一步調(diào)、統(tǒng)籌規(guī)劃。因此盡快健全相應(yīng)的信息安全保障的組織機構(gòu)是信息安全保護的組織保證。

(2)

盡快完善國家信息安全基礎(chǔ)設(shè)施建設(shè) 我國目前信息安全基礎(chǔ)設(shè)施的建設(shè)還處于初級階段，需要逐步完善。當(dāng)前迫切需要建立的國家信息安全基礎(chǔ)設(shè)施建設(shè)包括：國際出入口監(jiān)控中心、安全產(chǎn)品評測認怔中心、病毒檢測和防治中心。關(guān)鍵網(wǎng)絡(luò)系統(tǒng)災(zāi)難恢復(fù)中心、系統(tǒng)攻擊和反攻擊中心、電子保密標簽監(jiān)管中心、網(wǎng)絡(luò)安全緊急處置中心、電子交易證書授權(quán)中心、密鑰恢復(fù)監(jiān)管中心、密鑰基礎(chǔ)設(shè)施與監(jiān)管中心、信息戰(zhàn)防御研究中心等。其中，國際出入口監(jiān)控中心和安全產(chǎn)品評測認證中心已初步建成。安全產(chǎn)品評測認證中心由安全標準研究、產(chǎn)品安全測試、系統(tǒng)安全評估、認證注冊部門和信息安全專家委員會組成。國家信息安全基礎(chǔ)設(shè)施建設(shè)是信息安全技術(shù)保證。

(3)

堅定地確立信息安全產(chǎn)業(yè)的策略

目前就我國的信息產(chǎn)業(yè)無論是技術(shù)、管理還是生產(chǎn)規(guī)模、服務(wù)觀念，都不具備力量在短時間內(nèi)使國產(chǎn)信息產(chǎn)品占領(lǐng)國內(nèi)的主要市場。但是我國必須建立起獨立自主的信息安全產(chǎn)業(yè)。自主的信息產(chǎn)業(yè)或信息產(chǎn)品國產(chǎn)化是信息安全的根本。國產(chǎn)化不等于絕對安全，而絕對安全卻需要國產(chǎn)化。國家可集中人力、物力和給以政策，大力發(fā)展自主的專用芯片、自主嵌入式操作系統(tǒng)和自主的密碼技術(shù)產(chǎn)品等，以確保關(guān)鍵部門的信息系統(tǒng)的安全。信息安全產(chǎn)業(yè)的策略是信息安全的基本保證。

5.3.2 進一步完善我國信息安全保障的法律體系 雖然我國已頒布相當(dāng)數(shù)量的信息安全方面的法律規(guī)范如《關(guān)于維護互聯(lián)網(wǎng)安全的決定》、《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》、《商用密碼管理條例》、《金融機構(gòu)計算機信息系統(tǒng)安全保護工作暫行規(guī)定》、《計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》、《計算機信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法》、《計算機信息系統(tǒng)安全專用產(chǎn)品分類原則》等，但立法層次不高，現(xiàn)行的有關(guān)信息安全的法律規(guī)范大多只是國務(wù)院制定的行政法規(guī)或國務(wù)院部委制定的行政規(guī)章；法律規(guī)定之間不統(tǒng)一；立法理念和立法技術(shù)相對滯后等，因此要進一步完善我國信息安全的法律保障體系應(yīng)當(dāng)做到：

(1)

確立科學(xué)的信息安全法律保護理念 為了使國家的政策法律能夠適應(yīng)社會存在的現(xiàn)實和需求，需要確立起法制建設(shè)要保障和促進國家的信息化發(fā)展、法制建設(shè)為社會信息化發(fā)展提供全面服務(wù)的指導(dǎo)思想，修正傳統(tǒng)的立法理念，從徹底改革國家傳統(tǒng)的經(jīng)濟體制和保障機制入手，改變落后的調(diào)整方法，把信息安全法制保障的重點從單純的“規(guī)范”、“控制”轉(zhuǎn)移到首先為信息化的建設(shè)與發(fā)展“掃清障礙”上來，以規(guī)范發(fā)展達到保障發(fā)展，由保障發(fā)展實現(xiàn)促進發(fā)展，構(gòu)筑促進國家信息化發(fā)展的社會環(huán)境，形成適于信息網(wǎng)絡(luò)安全實際需要的法治文化。

(2)

構(gòu)建完備的信息安全法律體系 信息化的社會秩序主要由三個基礎(chǔ)層面的內(nèi)容所構(gòu)成，即信息社會活動的公共需求，信息社會生活的基本支柱和信息社會所特有的社會關(guān)系。信息社會活動的公共需求是往往以政府意志的形式代為表現(xiàn)的社會公眾的共同意愿，其主要包括國家信息化建設(shè)的基本目標、發(fā)展綱領(lǐng)、建設(shè)規(guī)劃、行動策略、工作計劃等等，是指導(dǎo)國家信息化發(fā)展的基本內(nèi)容，也是國家信息化建設(shè)的公共需求；信息社會生活的基本支柱是由信息化的技術(shù)屬性所決定的、國家信息化建設(shè)賴以萌芽、生成和發(fā)展的信息技術(shù)及其應(yīng)用，包括計算機技術(shù)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、安全技術(shù)、電子商務(wù)技術(shù)等等，它是信息社會生活必不可少的基本支柱；信息社會所特有的社會關(guān)系是指在國家信息化建設(shè)的過程中，參與其中的各個主體之間由于其信息化活動而產(chǎn)生的各種社會關(guān)系，具體將表現(xiàn)為相應(yīng)的法律關(guān)系，其中主要包括信息民事法律關(guān)系、信息刑事法律關(guān)系、信息經(jīng)濟法律關(guān)系、信息行政法律關(guān)系、信息科技法律關(guān)系以及信息社會所特有的各種法律關(guān)...

第二篇：電子政務(wù)信息安全保障體系

電子政務(wù)安全面臨威脅和挑戰(zhàn)

電子政務(wù)涉及對國家秘密信息和高敏感度核心政務(wù)的保護，設(shè)計維護公共秩序和行政監(jiān)管的準確實施，涉及到為社會提供公共服務(wù)的質(zhì)量保證。電子政務(wù)是黨委、政府、人大、政協(xié)有效決策、管理、服務(wù)的重要手段，必然會遇到各種敵對勢力、恐怖集團、搗亂分子的破壞和攻擊。尤其電子政務(wù)是搭建在基于互聯(lián)網(wǎng)技術(shù)的網(wǎng)絡(luò)平臺上，包括政務(wù)內(nèi)網(wǎng)、政務(wù)外網(wǎng)和互聯(lián)網(wǎng)，而互聯(lián)網(wǎng)的安全先天不足，互聯(lián)網(wǎng)是一個無行政主管的全球網(wǎng)絡(luò)，自身缺少設(shè)防和安全隱患很多，對互聯(lián)網(wǎng)犯罪尚缺乏足夠的法律威懾，大量的跨國網(wǎng)絡(luò)犯罪給執(zhí)法帶來很大的難度。所有上述分子利用互聯(lián)網(wǎng)進行犯罪則有機可乘，使基于互聯(lián)網(wǎng)開展的電子政務(wù)應(yīng)用面臨著嚴峻的挑戰(zhàn)。

對電子政務(wù)的安全威脅，包括網(wǎng)上黑客入侵和犯罪、網(wǎng)上病毒泛濫和蔓延、信息間諜的潛入和竊密、網(wǎng)絡(luò)恐怖集團的攻擊和破壞、內(nèi)部人員的違規(guī)和違法操作、網(wǎng)絡(luò)系統(tǒng)的脆弱和癱瘓、信息產(chǎn)品的失控等，應(yīng)引起足夠警惕，采取安全措施，應(yīng)對這種挑戰(zhàn)。

電子政務(wù)的安全目標和安全策略

電子政務(wù)的安全目標是，保護政務(wù)信息資源價值不受侵犯，保證信息資產(chǎn)的擁有者面臨最小的風(fēng)險和獲取最大的安全利益，使政務(wù)的信息基礎(chǔ)設(shè)施、信息應(yīng)用服務(wù)和信息內(nèi)容為抵御上述威脅而具有保密性、完整性、真實性、可用性和可控性的能力。

為實現(xiàn)上述目標應(yīng)采取積極的安全策略：

·國家主導(dǎo)、社會參與。電子政務(wù)安全關(guān)系到政府的辦公決策、行政監(jiān)管和公共服務(wù)的高質(zhì)量和可信實施的大事，必須由國家統(tǒng)籌規(guī)劃、社會積極參與，才能有效保障電子政務(wù)安全。

·全局治理、積極防御。電子政務(wù)安全必須采用法律威懾、管理制約、技術(shù)保障和安全基礎(chǔ)設(shè)施支撐的全局治理措施，并且實施防護、檢測、恢復(fù)和反制的積極防御手段，才能更為有效。

·等級保護、保障發(fā)展。要根據(jù)信息的價值等級及所面臨的威脅等級，選擇適度的安全機制強度等級和安全技術(shù)保障強壯性等級，尋求一個投入和風(fēng)險可承受能力間的平衡點，保障電子政務(wù)系統(tǒng)健康和積極的發(fā)展。

電子政務(wù)安全保障體系框架

電子政務(wù)安全采取“國家推動、社會參與、全局治理、積極防御、等級保護、保障發(fā)展”的策略，鑒于電子政務(wù)的信息安全面臨的是一場高技術(shù)的對抗，是一場綜合性斗爭，涉及法律、管理、標準、技術(shù)、產(chǎn)品、服務(wù)和基礎(chǔ)設(shè)施諸多領(lǐng)域，所以電子政務(wù)安全，還要從全局來構(gòu)建其安全保障的體系框架，以保障電子政務(wù)的健康發(fā)展。

電子政務(wù)安全保障體系由六要素組成，即安全法規(guī)、安全管理、安全標準、安全服務(wù)、安全技術(shù)產(chǎn)品和安全基礎(chǔ)設(shè)施等安全要素（見圖1）。

要素一 安全法律與政策

電子政務(wù)的工作內(nèi)容和工作流程涉及到國家秘密與核心政務(wù)，它的安全關(guān)系到國家的主權(quán)、國家的安全和公眾利益，所以電子政務(wù)的安全實施和保障，必須以國家法規(guī)形式將其固化，形成全國共同遵守的規(guī)約，成為電子政務(wù)實施和運行的行為準則，成為電子政務(wù)國際交往的重要依據(jù)，保護守法者和依法者的合法權(quán)益，為司法和執(zhí)法者提供法律依據(jù)，對違法、犯法者形成強大的威懾。

《中華人民共和國保護國家秘密法》已實施13年，已不完全適應(yīng)我國當(dāng)前保密工作的現(xiàn)狀，特別是電子政務(wù)的發(fā)展，亟待修訂。

政務(wù)信息公開是電子政務(wù)的重要原則，為了拉近政府和公眾的距離，使公眾具有知情權(quán)、參與權(quán)、監(jiān)督權(quán)和享用政府服務(wù)的權(quán)利，為公眾提供良好的信息服務(wù)，充分挖掘政務(wù)信息的最大效益，開放政務(wù)信息資源（非國家涉密和適宜公開部分）服務(wù)于民是電子政務(wù)的重要特征。盡快制訂政務(wù)信息公開法，適度的解密和規(guī)范開放的規(guī)則，保護政府部門間信息的正常交流，保護社會公眾對信息的合法享用，打破對政務(wù)信息資源的壟斷和封鎖，提高政府行政透明度和民主進程是非常有利的和必需的。

電子政務(wù)亟待電子簽章和電子文檔的立法保護，國際已有近20多個國家對數(shù)字簽名和電子文檔進行了立法，使數(shù)字簽名和電子文檔在電子政務(wù)和電子商務(wù)運行中具有法律效力。這將大大促進電子政務(wù)和電子商務(wù)的健康發(fā)展，使電子政務(wù)原來的雙軌制走向單軌制，這有利于簡化程序、降低成本，充分顯示電子政務(wù)效益是非常有利的。

個人數(shù)據(jù)保護（隱私法）的需求伴隨電子政務(wù)的發(fā)展日顯突出。電子政務(wù)在實施行政監(jiān)管和公眾服務(wù)中有大量的個人信息（自然人和法人），如戶籍、納稅、社保、信用等信息大量進入了政府網(wǎng)絡(luò)信息數(shù)據(jù)庫，它對完成電子政務(wù)職能發(fā)揮巨大作用。但是這些個人信息如果保護不力或無意被泄漏，而被非法濫用，就可能成為報復(fù)、盜竊、推銷、討債、盯梢的工具。在國外已經(jīng)出現(xiàn)將盜用的個人隱私信息作為非法商品出售，以牟取暴利的情況，這樣直 接損害個人的利益，甚至危及個人的生命安危。因此加快個人數(shù)據(jù)保護法的制訂，是必要的。

還有很多法規(guī)的制訂都直接關(guān)系到電子政務(wù)的健康發(fā)展，加快制訂這些法規(guī)，勢在必行。

要素二 安全組織與管理

我國信息安全管理職能的格局已經(jīng)形成，如國家安全部、國家保密局、國家密碼管理委員會、信息產(chǎn)業(yè)部、總參??分別執(zhí)行各自的安全職能，維護國家信息安全。電子政務(wù)安全管理涉及到上述眾多的國家安全職能部門，其安全管理職能的協(xié)調(diào)需要由國家信息化領(lǐng)導(dǎo)機構(gòu)，如國家信息化領(lǐng)導(dǎo)小組及其辦公室、國家電子政務(wù)協(xié)調(diào)小組、國家信息安全協(xié)調(diào)小組等來進行。各地區(qū)和部委建立相應(yīng)的信息安全管理機構(gòu)，以完成和強化信息安全的管理，形成自頂向下的信息安全管理組織體系，是電子政務(wù)安全實施的必要條件。

制訂頒發(fā)電子政務(wù)安全相關(guān)的各項管理條例，及時指導(dǎo)電子政務(wù)建設(shè)的各種行為，從立項、承包、采購、設(shè)計、實施、運行、操作、監(jiān)理、服務(wù)等各階段入手，保障電子政務(wù)系統(tǒng)建設(shè)全程的安全和安全管理工作的程序化和制度化。

電子政務(wù)信息安全域的劃分與管理是至關(guān)重要的。電子政務(wù)有辦公決策、行政監(jiān)管和公共服務(wù)等三種類型業(yè)務(wù)，其業(yè)務(wù)信息內(nèi)容涉及國家機密、部門工作秘密、內(nèi)部敏感信息和開放服務(wù)信息。既要保護國家秘密又要便于公開服務(wù)，因此對信息安全域的科學(xué)劃分和管理，將有益于電子政務(wù)網(wǎng)絡(luò)平臺的安全設(shè)計，有益于電子政務(wù)的健康和有效的實現(xiàn)。

制訂電子政務(wù)工程集成商的資質(zhì)認證管理辦法、工程建設(shè)監(jiān)理機構(gòu)的管理辦法、工程外包商的管理機制和辦法，以確保電子政務(wù)工程建設(shè)的質(zhì)量和安全，特別是對于電子政務(wù)系統(tǒng)的外包制更要有嚴格的制約和管理手段。對于電子政務(wù)中涉密系統(tǒng)工程的承建，還必須有國家保密局頒發(fā)的涉密系統(tǒng)集成資質(zhì)證書，其他部分應(yīng)具有國家或省市相應(yīng)的系統(tǒng)集成商的資質(zhì)證書。對于電子政務(wù)涉密部分，不允許托管和外包運行，電子政務(wù)其他部分將按相關(guān)管理條例執(zhí)行。

電子政務(wù)工程中使用的信息安全產(chǎn)品，國家將制訂相應(yīng)的采購管理政策，涉及密碼的信息安全產(chǎn)品需有國家密碼主管部門的批準證書，信息安全產(chǎn)品應(yīng)有通過國家測評主管機構(gòu)的安全測評的證書，維護信息安全產(chǎn)品的可信性。

電子政務(wù)系統(tǒng)信息內(nèi)容根據(jù)管理需求，可以實施對信息內(nèi)容的安全監(jiān)控管理，以保護政務(wù)信息安全，防止由于內(nèi)部違規(guī)或外部入侵可能造成的網(wǎng)絡(luò)泄密，同時也阻止有害信息內(nèi)容在政務(wù)網(wǎng)上傳播。

制訂電子政務(wù)系統(tǒng)的人員管理、機構(gòu)管理、文檔管理、操作管理、資產(chǎn)與配置管理、介質(zhì)管理、服務(wù)管理、應(yīng)急事件管理、保密管理、故障管理、開發(fā)與維護管理、作業(yè)連續(xù)性保障管理、標準與規(guī)范遵從性管理、物理環(huán)境管理等各種條例，確保電子政務(wù)系統(tǒng)的安全運行。

要素三 安全標準與規(guī)范

信息安全標準有利于安全產(chǎn)品的規(guī)范化，有利于保證產(chǎn)品安全可信性、實現(xiàn)產(chǎn)品的互聯(lián)和互操作性，以支持電子政務(wù)系統(tǒng)的互聯(lián)、更新和可擴展性，支持系統(tǒng)安全的測評與評估，保障電子政務(wù)系統(tǒng)的安全可靠。

國家已正式成立“信息安全標準化委員會”，近期成立了信息安全標準體系與協(xié)調(diào)工作組（WG1）、內(nèi)容安全分級及標識工作組（WG2）、密碼算法與密碼模塊/KMI/VPN工作組（WG3）、PKI/PMI工作組（WG4）、信息安全評估工作組（WG5）、操作系統(tǒng)與數(shù)據(jù)庫安全工作組（WG6）、身份標識與鑒別協(xié)議工作組（WG9）、操作系統(tǒng)與數(shù)據(jù)庫安全工作組（WG10），以開展電子政務(wù)安全相關(guān)標準的研制工作，支撐電子政務(wù)安全對標準制訂的需求。

還將制訂下列標準：涉密電子文檔密級劃分和標記格式、內(nèi)容健康性等級劃分與標記、內(nèi)容敏感性等級劃分與標記、密碼算法標準、密碼模塊標準、密鑰管理標準、PKI/CA標準、PMI標準、信息系統(tǒng)安全評估和信息安全產(chǎn)品測評標準、應(yīng)急響應(yīng)等級、保護目標等級、應(yīng)急響應(yīng)指標、電子證據(jù)恢復(fù)與提取、電子證據(jù)有效性界定、電子證據(jù)保護、身份標識與鑒別、數(shù)據(jù)庫安全等級、操作系統(tǒng)安全等級、中間件安全等級、信息安全產(chǎn)品接口規(guī)范、數(shù)字簽名??。

要素四 安全保障與服務(wù)

1.電子政務(wù)系統(tǒng)建設(shè)，要構(gòu)建其技術(shù)安全保障架構(gòu)，對大型電子政務(wù)系統(tǒng)要建立縱深防御體系。

·設(shè)置政務(wù)內(nèi)網(wǎng)的安全與控制策略；

·設(shè)置政務(wù)外網(wǎng)的安全與控制策略；

·設(shè)置進入互聯(lián)網(wǎng)的安全服務(wù)與控制策略；

·設(shè)置租用公網(wǎng)干線的安全服務(wù)與控制策略，包括有線通信、無線通信和衛(wèi)星通信的安全服務(wù)與控制策略；

·設(shè)置政務(wù)計算環(huán)境的安全服務(wù)與機制。

采用縱深防御和多級設(shè)防，是電子政務(wù)安全保障的重要原則，通過全局性的安全防護、安全檢測、快速響應(yīng)、集成的安全管理與安全設(shè)施的聯(lián)動控制，以達到系統(tǒng)具有防護、檢測、反應(yīng)與恢復(fù)能力。

2.推廣電子政務(wù)信息系統(tǒng)安全工程（ISSE）的控制方法，全面實現(xiàn)安全服務(wù)要求。

電子政務(wù)安全系統(tǒng)的設(shè)計，首先要做好系統(tǒng)資產(chǎn)價值的分析，如物理資產(chǎn)的價值（系統(tǒng)環(huán)境、硬件、系統(tǒng)軟件）、信息資產(chǎn)的價值、其數(shù)據(jù)與國家利益和部門利益的關(guān)聯(lián)度；其業(yè)務(wù)系統(tǒng)（模型、流程、應(yīng)用軟件）正常運行后果所產(chǎn)生的效益，從而確定系統(tǒng)安全應(yīng)保護的目標，在上述分析的基礎(chǔ)上提出整個安全系統(tǒng)的安全需求，進一步定義達到這些安全需求所應(yīng)具有的安全功能，然后探索系統(tǒng)可能面臨的威脅類型，并找出系統(tǒng)自身的脆弱性，這些威脅和脆弱性有：

·網(wǎng)上黑客與計算機犯罪；

·網(wǎng)絡(luò)病毒的蔓延與破壞；

·機要信息流失與信息間諜潛入；

·網(wǎng)上恐怖活動與信息戰(zhàn)；

·內(nèi)部人員違規(guī)與違法；

·網(wǎng)上安全產(chǎn)品的失控；

·網(wǎng)絡(luò)與系統(tǒng)自身的漏洞與脆弱性。

在這些威脅面前，要分析哪些威脅是本系統(tǒng)主要面臨的威脅，哪些是次要的，對系統(tǒng)和任務(wù)造成的影響程度如何。進行定性和定量的分析，提出系統(tǒng)安全對策，確定承受風(fēng)險的能力，尋找投入和風(fēng)險承受能力間的平衡點，然后確定系統(tǒng)所需要的安全服務(wù)及對應(yīng)的安全機制（見表一），從而配置系統(tǒng)的安全要素。在工程的生命周期中要進行風(fēng)險管理、風(fēng)險決策流程（見圖2），這種風(fēng)險管理是要對電子政務(wù)全程進行的。

系統(tǒng)投入運行要對其安全性進行有效評估，即評估者給出的評估證據(jù)和建設(shè)者采用的技術(shù)保障設(shè)施，的確能使系統(tǒng)擁有者確信已選用技術(shù)對策，確實減少了系統(tǒng)的安全風(fēng)險，滿足必要的風(fēng)險策略（風(fēng)險策略可以是“零”風(fēng)險策略、最小風(fēng)險策略、最大可承受風(fēng)險策略或不計風(fēng)險策略），使其達到保護系統(tǒng)資產(chǎn)價值所必需的能力（見圖3）。上述有效評估過程可用安全技術(shù)保障強壯性級別（IATRn）來描述：

IATRn=f(Vn,Tn,SMLn,EALn)

Tn：威脅等級

Vn：資產(chǎn)價值等級

SMLn：安全機制強度等級

EALn：評估保障等級

要素五 安全技術(shù)與產(chǎn)品

1． 加強安全技術(shù)和產(chǎn)品的自主研制和創(chuàng)新。

由于電子政務(wù)的國家涉密性，電子政務(wù)系統(tǒng)工程的安全保障需要各種有自主知識產(chǎn)權(quán)的信息安全技術(shù)和產(chǎn)品，全面推動自主研發(fā)和創(chuàng)新這些技術(shù)和產(chǎn)品是電子政務(wù)安全的需要。這些產(chǎn)品和技術(shù)可以分為六大類：

·基礎(chǔ)類：風(fēng)險控制、體系結(jié)構(gòu)、協(xié)議工程、有效評估、工程方法；

·關(guān)鍵類：密碼、安全基、內(nèi)容安全、抗病毒、IDS、VPN、RBAC、強審計、邊界安全隔離；

·系統(tǒng)類：PKI、PMI、DRI、網(wǎng)絡(luò)預(yù)警、集成管理、KMI；

·應(yīng)用類：EC、EG、NB、NS、NM、WF、XML、CSCW；

·物理與環(huán)境類：TEMPEX、物理識別；

·前瞻性：免疫技術(shù)、量子密碼、漂移技術(shù)、語義理解識別。

2．電子政務(wù)安全產(chǎn)品的選擇。

整個電子政務(wù)的安全，涉及信息安全產(chǎn)品的全局配套和科學(xué)布置，產(chǎn)品選擇應(yīng)充分考慮產(chǎn)品的自主權(quán)和自控權(quán)。

產(chǎn)品可涉及安全操作系統(tǒng)、安全硬件平臺、安全數(shù)據(jù)庫、PKI/CA、PMI、VPN、安全網(wǎng)關(guān)、防火墻、數(shù)據(jù)加密機、入侵檢測（IDS）、漏洞掃描、計算機病毒防治工具、強審計工具、安全Web、安全郵件、安全設(shè)施集成管理平臺、內(nèi)容識別和過濾產(chǎn)品、安全備份、電磁泄漏防護、安全隔離客戶機、安全網(wǎng)閘。

要素六 安全基礎(chǔ)設(shè)施

信息安全基礎(chǔ)設(shè)施是一種為信息系統(tǒng)應(yīng)用主體和信息安全執(zhí)法主體提供信息安全公共服務(wù)和支撐的社會基礎(chǔ)設(shè)施，方便信息應(yīng)用主體安全防護機制的快速配置，有利于促進信息應(yīng)用業(yè)務(wù)的健康發(fā)展，有利于信息安全技術(shù)和產(chǎn)品的標準化和促進其可信度的提高，有利于信息安全職能部門的監(jiān)督和執(zhí)法，有利于增強全社會信息安全移師和防護技能，有利于國家信息安全保障體系的建設(shè)。因此，推動電子政務(wù)的發(fā)展，應(yīng)重視相關(guān)信息安全基礎(chǔ)設(shè)施的建設(shè)。

信息安全基礎(chǔ)設(shè)施有兩大類。

1．社會公共服務(wù)類

·基于PKI/PMI數(shù)字證書的信任和授權(quán)體系；

·基于CC/TCSEC的信息安全產(chǎn)品和系統(tǒng)的測評與評估體系；

·計算機病毒防治與服務(wù)體系；

·網(wǎng)絡(luò)應(yīng)急響應(yīng)與支援體系；

·災(zāi)難恢復(fù)基礎(chǔ)設(shè)施；

·基于KMI的密鑰管理基礎(chǔ)設(shè)施。

2．行政監(jiān)管執(zhí)法類

·網(wǎng)絡(luò)信息內(nèi)容安全監(jiān)控體系；

·網(wǎng)絡(luò)犯罪監(jiān)察與防范體系；

·電子信息保密監(jiān)管體系；

·網(wǎng)絡(luò)偵控與反竊密體系；

·網(wǎng)絡(luò)監(jiān)控、預(yù)警與反擊體系。

第三篇：電子政務(wù)信息安全檢查自查報告

電子政務(wù)外網(wǎng)信息安全工作自查報告

我鎮(zhèn)在市委、市政府的領(lǐng)導(dǎo)下，認真按照四川省委省政府關(guān)于電子政務(wù)工作的總體部署和要求，對電子政務(wù)外網(wǎng)信息安全情況作了認真檢查，現(xiàn)將我鎮(zhèn)電子政務(wù)工作自查情況報告如下：

一、組織及制度建設(shè)情況

一是領(lǐng)導(dǎo)重視，機構(gòu)健全。我鎮(zhèn)高度重視電子政務(wù)工作，成立了以鎮(zhèn)長任組長、鎮(zhèn)相關(guān)部門負責(zé)人為成員的鎮(zhèn)電子政務(wù)工作領(lǐng)導(dǎo)小組，統(tǒng)一領(lǐng)導(dǎo)鎮(zhèn)電子政務(wù)工作，研究決定鎮(zhèn)電子政務(wù)建設(shè)中的重大問題。領(lǐng)導(dǎo)小組辦公室設(shè)在鎮(zhèn)黨政綜合辦公室，并指定懂電腦操作、保密意識強的黨政綜合辦公室成員具體負責(zé)信息更新及網(wǎng)絡(luò)維護等日常工作，形成了機構(gòu)健全、分工明確、責(zé)任到人的良好工作格局。二是制定制度，按章辦事。根據(jù)省、市文件要求，制定了辦公室自動化設(shè)備保密管理制度、電子政務(wù)工作各項管理制度及維護制度，包括專人維護、文件發(fā)布審核簽發(fā)等制度。三是開展不定期檢查。我鎮(zhèn)電子政務(wù)工作領(lǐng)導(dǎo)小組不定期對電子政務(wù)工作辦公室的環(huán)境安全、設(shè)備安全、信息安全、管理制度落實情況等內(nèi)容進行檢查，對存在的問題及時進行糾正，消除安全隱患。

二、網(wǎng)絡(luò)和信息安全情況。

加強網(wǎng)絡(luò)運行維護工作。加強網(wǎng)絡(luò)運行維護隊伍建設(shè)，進一步充實網(wǎng)絡(luò)運行維護人員，鎮(zhèn)黨政綜合辦公室確定兼職網(wǎng)絡(luò)信息管理員，負責(zé)及時提供和審核本部門信息內(nèi)容。同時按照縣安全管理要求，制定和完善了我鎮(zhèn)電子政務(wù)安全保密措施，落實安全保密工作責(zé)任制，未發(fā)現(xiàn)網(wǎng)絡(luò)異常。

三、技術(shù)防護手段建設(shè)

切實做好信息安全工作。安裝了專門的殺毒、殺木馬軟件，互聯(lián)網(wǎng)出口處部署了防火墻，并且定期進行漏洞掃描、病毒木馬檢測，有效防范了病毒、木馬、黑客等網(wǎng)絡(luò)攻擊，確保了信息和網(wǎng)絡(luò)運行安全。

四、存在的困難和不足

雖然我鎮(zhèn)電子政務(wù)工作在有序開展，但還存在一些困難和不足之處，主要體現(xiàn)在：一是辦公電腦設(shè)備陳舊老化，專門用于電子政務(wù)的電腦使用時間久，運行速度慢。二是機關(guān)工作人員年齡偏大，計算機知識程度不高，培訓(xùn)沒有完全跟上。三是信息未能完全做到及時更新，電子政務(wù)管理、使用有待于進一步加強。

五、改進措施

一是努力提高業(yè)務(wù)素質(zhì)。加強宣傳教育，提高全鎮(zhèn)人員對電子政務(wù)的認知水平和責(zé)任意識，積極組織人員參加全縣電子政務(wù)培訓(xùn)，為電子政務(wù)的有效實施奠定更加堅實的基礎(chǔ)。二是加強制度建設(shè)。完善電子政務(wù)的管理、使用等一系列規(guī)章制度，對存在的薄弱環(huán)節(jié)，制定針對性措施，并在實

際工作中狠抓落實，進一步提高電子政務(wù)應(yīng)用水平和使用效益。三是加強電子政務(wù)的日常管理。定期升級病毒庫、查殺病毒掃描系統(tǒng)漏洞，保證專門用于電子政務(wù)的電腦能時刻處于健康狀態(tài)。

第四篇：電子政務(wù)信息安全和管理

電子政務(wù)信息安全和管理

一、電子政務(wù)順利實施的核心問題

電子政務(wù)是一種全新的政府管理方式,是一個基于網(wǎng)絡(luò)技術(shù)的綜合性業(yè)務(wù)模式。建立電子政務(wù)系統(tǒng)參公眾服務(wù),必然要求這一系統(tǒng)必須是安全、可靠、抗災(zāi)難、可恢復(fù)的。計算機和計算機網(wǎng)絡(luò)的共享、交互和快速為這種系統(tǒng)的建立提供了前提條件,互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展和廣泛應(yīng)用,又為電子政務(wù)系統(tǒng)不斷走向開放互聯(lián)提供了巨大推動力。隨著電子政務(wù)信息化的不斷發(fā)展,電子政務(wù)對于網(wǎng)絡(luò)系統(tǒng)的依賴性越來越強,政務(wù)系統(tǒng)作為關(guān)系國計民生的重要部分,在安全方面尤為重要,而由于互聯(lián)網(wǎng)的開放性和公共性帶來的不安全因素,使信息安全問題成為保障電子政務(wù)順利實施的核心問題。

二、電子政務(wù)信息安全面臨的問題

電子政務(wù)網(wǎng)分為政務(wù)內(nèi)網(wǎng)(涉密網(wǎng))和政務(wù)外網(wǎng)(非涉密網(wǎng)),兩網(wǎng)之間物理隔離,政務(wù)外網(wǎng)采取邏輯隔離與互聯(lián)網(wǎng)聯(lián)通。政府各部門大力推行的辦公自動化、網(wǎng)絡(luò)化、電子化、信息共享都以這些網(wǎng)絡(luò)為支撐,以TCP/IPV4為傳輸協(xié)議,該協(xié)議為開放協(xié)議,從協(xié)議規(guī)劃、服務(wù)模式、網(wǎng)絡(luò)管理等方面均缺乏安全性設(shè)計,所以電子政務(wù)信息系統(tǒng)就存在著諸多的安全隱患。

1.網(wǎng)絡(luò)安全規(guī)劃的不到位,造成網(wǎng)絡(luò)結(jié)構(gòu)的不合理性。由于信息技術(shù)發(fā)展的歷史原因和建設(shè)資金問題,我國電子政務(wù)網(wǎng)絡(luò)的建設(shè)在規(guī)劃上經(jīng)常缺少前瞻性的安全規(guī)劃,網(wǎng)絡(luò)流量存在多個瓶頸, IP地址缺乏統(tǒng)一規(guī)劃,廣播流量可控性差,子網(wǎng)故障隔離性差,重要流量缺乏帶寬管理和服務(wù)質(zhì)量優(yōu)先保證等一大堆問題。隨著安全問題的不斷出現(xiàn),只能在運行過程中不停地修修補補。但是,這種修補只能解決暫時的問題,解決一個問題后,往往又有新問題出現(xiàn)。

2.關(guān)鍵核心技術(shù)還掌握,增加了我國基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全的隱患。我國對發(fā)達國家信息設(shè)備和信息技術(shù)存在很強的依賴性,信息化核心設(shè)備嚴重依賴國外,對引進技術(shù)和設(shè)備缺乏必要的信息管理和技術(shù)改造。尤其是在系統(tǒng)安全和安全協(xié)議的研究和應(yīng)用方面與發(fā)達國家的差距很大。目前組成我國電子政務(wù)網(wǎng)絡(luò)的計算機網(wǎng)絡(luò)系統(tǒng)所用硬件、軟件、操作系統(tǒng)、網(wǎng)管軟件、各類應(yīng)用系統(tǒng)、數(shù)據(jù)庫、防火墻、網(wǎng)絡(luò)接入設(shè)備、路由器、服務(wù)器基本上都是國外公司的產(chǎn)品,微機芯片都是INTEL系列,軟件基本上是微軟公司的產(chǎn)品,完全自主知識產(chǎn)權(quán)的產(chǎn)品基本沒有。這些因素使我國的電子政務(wù)網(wǎng)絡(luò)安全性能大大降低,我國的經(jīng)濟和社會發(fā)展面臨著新的風(fēng)險。

3.網(wǎng)絡(luò)安全管理的混亂和規(guī)范化的管理制度相對滯后,造成很多管理安全漏洞。由于電子政務(wù)的網(wǎng)絡(luò)是連接多個政務(wù)部門的廣域網(wǎng)或城域網(wǎng),需要各部門協(xié)調(diào)一致,共同維護整個網(wǎng)絡(luò)平臺的安全。但是,由于不同政府部門的信息技術(shù)人才和信息化水平的差異性,以及不同政府部門存在一些相關(guān)的利益和沖突,因此,很難做到安全管理的統(tǒng)一協(xié)調(diào)性,一旦發(fā)生安全事件,故障定位不準,追查事故源困難,責(zé)任問題牽扯不清,從而造成事件的破壞性后果更為嚴重。

4.安全意識淡薄。目前,在電子政務(wù)信息的安全問題上還存在不少認知盲區(qū)和制約因素。網(wǎng)絡(luò)是新生事物,許多人一接觸就忙著用于學(xué)習(xí)、工作和娛樂等,對網(wǎng)絡(luò)信息的安全性無暇顧及,安全意識相當(dāng)?shù)?對網(wǎng)絡(luò)信息不安全的事實認識不足。與此同時,機關(guān)、事業(yè)單位注重的是網(wǎng)絡(luò)效應(yīng),對安全領(lǐng)域的投入和管理遠遠不能滿足安全防范的要求?？傮w上看,網(wǎng)絡(luò)信息安全處于被動的封堵漏洞狀態(tài),從上到下普遍存在僥幸心理,沒有形成主動防范、積極應(yīng)對的全民意識,更無法從根本上提高網(wǎng)絡(luò)監(jiān)測、防護、響應(yīng)、恢復(fù)和抗擊能力。

三、電子政務(wù)信息安全措施

1.設(shè)備的物理安全。物理層的安全設(shè)計應(yīng)從三個方面考慮:環(huán)境安全、設(shè)備安全、線路安全。采取的措施包括:機房屏蔽,電源接地,布線隱蔽,防雷。根據(jù)中央保密委有關(guān)文件規(guī)定,凡是計算機同時具有內(nèi)網(wǎng)和外網(wǎng)的應(yīng)用需求,必須采取網(wǎng)絡(luò)安全隔離技術(shù),在計算機終端安裝隔離卡或安裝安全網(wǎng)閘,使內(nèi)網(wǎng)與外網(wǎng)之間從根本上實現(xiàn)物理隔離,防止涉密信息通過外網(wǎng)泄漏。

2.信息的加密。電子政務(wù)應(yīng)用涵蓋政府內(nèi)部辦公和面對公眾的信息服務(wù)兩大方面。就政府內(nèi)部辦公而言,電子政務(wù)系統(tǒng)涉及到部門與部門之間、上下級之間、地區(qū)與地區(qū)間的公文流轉(zhuǎn),這些公文的信息往往涉及不宜公開的和有密級的內(nèi)容。因此,在信息傳遞過程中,必須采取適當(dāng)?shù)募用芊椒▽π畔⑦M行加密?？刹捎枚喾N加密方式:a.基于IPsec的加密方式正被廣泛采用,其優(yōu)點顯而易見:IPsec對應(yīng)用系統(tǒng)透明且具有極強的安全性,這一點對于要開發(fā)龐大應(yīng)用的電子政務(wù)來說,就顯得極有好處了,應(yīng)用系統(tǒng)開發(fā)商不必為數(shù)據(jù)傳輸過程中的加密做過多的考慮,易于部署和維護。b.采用VPN技術(shù)在公共數(shù)據(jù)網(wǎng)上進行內(nèi)部信息的安全傳輸。其優(yōu)點是只增加端設(shè)備避免了重復(fù)建設(shè)。c.采用公鑰基礎(chǔ)設(shè)施技術(shù)(PKI)為基礎(chǔ),以數(shù)據(jù)機密性、完整性、身份認證和行為的不可否認為安全目的為電子政務(wù)提供安全支持。

3.操作系統(tǒng)的安全性。網(wǎng)絡(luò)安全的重要基礎(chǔ)之一是安全的操作系統(tǒng),因為所有的政務(wù)應(yīng)用和安全措施都依賴操作系統(tǒng)提供底層支持。操作系統(tǒng)的漏洞或配置不當(dāng)將有可能導(dǎo)致整個安全體系的崩潰。更危險的是,我們無法保證國外廠家的操作系統(tǒng)產(chǎn)品不存在后門。在操作系統(tǒng)安全方面,有兩點是值得考慮的:一是采用具有自主知識產(chǎn)權(quán)且源代碼對政府公開的產(chǎn)品;二是利用漏洞掃描工具定期檢查系統(tǒng)漏洞和配置更改情況,及時發(fā)現(xiàn)問題。

4.數(shù)據(jù)備份與容災(zāi)。任何的安全措施都無法保證數(shù)據(jù)萬無一失,硬件故障、自然災(zāi)害以及未知病毒的感染都有可能導(dǎo)致政府重要數(shù)據(jù)的丟失。因此,在電子政務(wù)安全體系中必須包括數(shù)據(jù)的容災(zāi)與備份,并且最好是異地備份。

5.管理制度的完善。電子政務(wù)網(wǎng)絡(luò)內(nèi)部安全和外部安全一樣重要,內(nèi)部安全除了需要體系化的安全防御策略,還需要嚴格的、可操作性強的安全管理制度。制度的制訂首先要規(guī)范,其次要強調(diào)制度的強制性、法規(guī)約束力和可操作性,同時進行安全宣傳教育,增強安全意識的培養(yǎng)和信息安全知識的普及這樣才能保證制度的真正貫徹和執(zhí)行加強。

6.建立網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)預(yù)案。網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)預(yù)案是安全管理制度的一個重要部分,這里單獨來討論,主要是考慮到其重要性。事前有預(yù)案,一旦發(fā)生安全事件,就可以觸發(fā)相應(yīng)的預(yù)案處理程序,在最短的時間內(nèi)恢復(fù)正常的網(wǎng)絡(luò)服務(wù)和信息服務(wù),力求把安全事件的破壞力降到最低?！?編輯/李舶)

第五篇：電子政務(wù)信息安全解決方案研究

電子政務(wù)信息安全解決方案研究

摘要：作為政府信息化工程的重要組成部分，電子政務(wù)在我國的發(fā)展已初具規(guī)模。由于政務(wù)信息的敏感性和保密性要求，以及網(wǎng)絡(luò)平臺的安全性影響，電子政務(wù)信息系統(tǒng)的安全保障是至關(guān)重要的。電子政務(wù)信息系統(tǒng)的安全保障涉及到網(wǎng)絡(luò)技術(shù)、系統(tǒng)功能、人員管理、法制法規(guī)等諸多因素，必須形成全面、規(guī)范、有執(zhí)行力的保障機制。

關(guān)鍵字：電子政務(wù)，信息安全，解決方案 引言

近年來，以互聯(lián)網(wǎng)技術(shù)為承載主體的信息技術(shù)的飛速發(fā)，引發(fā)了一場深刻的生產(chǎn)和生活方式變，極大地推動著經(jīng)濟和社會的發(fā)展。作為信息高速公路五個應(yīng)用領(lǐng)域中的首要應(yīng)用，電子政府/電子政務(wù)在全球范圍內(nèi)受到廣泛的重視，政府上網(wǎng)、政府工作電子化勢在必行，政府信息化已成為經(jīng)濟信息化和社會信息化的前提，電子政務(wù)將是未來國家核心競爭力的重要因素之一。所謂電子政務(wù)是指政府機構(gòu)運用現(xiàn)代信息技術(shù)，在組織機構(gòu)管理和服務(wù)職能實現(xiàn)上突破時間、空間和部門分隔的限制，形成精簡高效、廉潔公平的政府運作模式。電子政務(wù)模型可簡單分為兩方面：部門內(nèi)部的網(wǎng)絡(luò)辦公平臺和各部門與社會各界之間的網(wǎng)絡(luò)信息溝通平臺。因此，電子政務(wù)實施過程中的首要問題 便是如何保障信息安全。如果信息安全不能得以保障，輕則影響電子政務(wù)信息系統(tǒng)正常功能的運轉(zhuǎn)，重則破壞政府的公眾形象甚至對社會的團結(jié)穩(wěn)定產(chǎn)生危害。電子政務(wù)面臨的網(wǎng)絡(luò)安全戚脅

電子政務(wù)是黨委、政府、人大、政協(xié)及行政管理機構(gòu)有效決策、管理、服務(wù)的重要手段．電子政務(wù)信息系統(tǒng)也必然會成為信息間諜、敵對勢力、恐怖集團、國家之間信息戰(zhàn)攻擊的目標。因此．構(gòu)建電子政務(wù)信息安全保障體系，事關(guān)國家政治、經(jīng)濟、國防安全和民族信息產(chǎn)業(yè)發(fā)展的全局。電子政務(wù)面臨的網(wǎng)絡(luò)安全威脅因素有：

1．計算機系統(tǒng)的脆弱性

計算機系統(tǒng)本身無法抵御自然災(zāi)害的破壞，也難以避免偶然無意造成的危害。如水、火、地震的破壞及環(huán)境(溫度、振動、沖擊、污染)的影響以及硬件設(shè)備故障，突然斷電或電源波動以及各種誤操作等危害。這些危害有的會損害系統(tǒng)設(shè)備，有的則會丟失或破壞數(shù)據(jù)。甚至毀掉整個系統(tǒng)和數(shù)據(jù)。

2．網(wǎng)絡(luò)技術(shù)的缺陷性(1)先天的安全隱患

在物理通路上．網(wǎng)絡(luò)通信線路一般是電話線、專線、微波、光纜或無線系統(tǒng)，這些線路易遭受物理破壞．易被搭線竊聽，無線通信易遭截獲、監(jiān)聽等等。網(wǎng)絡(luò)規(guī)模越大，通信線路越長，這種弱點也隨之增加。

電子政務(wù)內(nèi)網(wǎng)，政務(wù)外網(wǎng)、公共服務(wù)網(wǎng)的網(wǎng)絡(luò)環(huán)境，都是采用TCP／IP協(xié)議而建立的。該協(xié)議以開放和自由為基礎(chǔ)，從協(xié)議規(guī)劃、服務(wù)模式、網(wǎng)絡(luò)管理等方面均缺乏安全性設(shè)計。計算機應(yīng)用系統(tǒng)自身的缺陷相當(dāng)多，如windows net和Netware就存在嚴重的安全漏洞，使入侵者有不少空子可鉆。另外數(shù)據(jù)庫服務(wù)器、電子郵件服務(wù)器、web服務(wù)器等應(yīng)用平臺也存在大量的安全隱患。

(2)網(wǎng)絡(luò)的外部威脅

系統(tǒng)外部非法用戶．如信息間諜的潛入竊密，網(wǎng)絡(luò)黑客的攻擊篡改．恐怖集團的銷毀破壞等．使數(shù)據(jù)遭到竊取、假冒、抵賴或銷毀，從而造成政府網(wǎng)絡(luò)無法工作。具體表現(xiàn)有下面三方面：

一是非法使用資源。入侵者濫用和盜用計算機資源、網(wǎng)絡(luò)連接服務(wù)等資源，并查閱數(shù)據(jù)、訪問機密文件等信息資源。

二是惡意破壞。非法進入者對系統(tǒng)或數(shù)據(jù)文件進行破壞，包括修改數(shù)據(jù)信息．破壞硬件．傳送附帶破壞性病毒的文件等，還可以設(shè)置”定時炸彈”進行要挾攻擊．敲詐勒索。這些惡意破壞造成系統(tǒng)癱瘓，文件無效或消失．使電子政府中斷對用戶提供的服務(wù)。

三是盜竊數(shù)據(jù)。黑客進入網(wǎng)絡(luò)，盜走任何有價值的東西，包括金融數(shù)據(jù)、機密文件以及其他敏感的數(shù)據(jù)信息等。

3．信息管理的可腐敗性

管理規(guī)范不到位：例如，微機或工作站管理人員在開機狀態(tài)下擅離崗位，敏感信息臨時存放在本地的磁盤上，而這些信息處于未保護狀態(tài)．這種管理上的不 2

嚴格極易給他人提供冒充的機會。另外內(nèi)部用戶隨意利用辦公終端與lnternet聯(lián)接，使網(wǎng)絡(luò)罪犯有機可乘。許多網(wǎng)絡(luò)犯罪行為尤其是非法操作都是利用聯(lián)網(wǎng)的電腦管理制度上的漏洞而得逞的。

組織管理不完善：如部分網(wǎng)絡(luò)管理者(內(nèi)部人員)很容易以某一用戶的身份登錄、查看和復(fù)制用戶的信息．甚至利用管理用戶的地址目錄之便，以用戶的名義發(fā)送報文．非法竊取、篡改、隱瞞、抵賴、銷毀權(quán)限之外的信息，造成系統(tǒng)無法正常工作甚至癱瘓。根據(jù)公安部門的報告，作案人員往往是利用管理上的漏洞．而且內(nèi)部人員居多。

4．技術(shù)性缺陷

1)基礎(chǔ)網(wǎng)絡(luò)：首先，無論是有線還是無線網(wǎng)絡(luò)，其通信線路如電纜、微波等，都易遭物理破壞，或易被搭線竊聽，或易遭截獲、監(jiān)聽等。其次，網(wǎng)絡(luò)拓撲結(jié)構(gòu)設(shè)計不合理或缺乏可擴展性，很可能一個結(jié)點遭破壞導(dǎo)致整個系統(tǒng)癱瘓。

2)操作系統(tǒng)和數(shù)據(jù)庫 ：目前所使用的計算機網(wǎng)絡(luò)操作系統(tǒng)，多偏重于考慮系統(tǒng)使用的方便性，其結(jié)構(gòu)和代碼設(shè)計相對在系統(tǒng)的安全機制上考慮還不夠精細 或多或少存在些安全漏洞，數(shù)據(jù)庫管理系統(tǒng)基于分級理念對數(shù)據(jù)庫進行管理，同時數(shù)據(jù)庫管理系統(tǒng)的安全必須與操作系統(tǒng)的安全相配套，這樣系統(tǒng)的安全又出現(xiàn)一些不穩(wěn)定因素。

3)應(yīng)用平臺：為便于在應(yīng)用層面進行定期維護或升級，在開發(fā)電子政務(wù)信息系統(tǒng)的應(yīng)用功能時，往往有可能留有所謂的“后門”一旦被非法人員發(fā)現(xiàn)，破壞性有可能波及整個系統(tǒng)。

5．法律法規(guī)的滯后性

雖然，我國針對電腦病毒、信息侵權(quán)和網(wǎng)絡(luò)犯罪等非法信息行為制定了一些網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)，但現(xiàn)行政策法規(guī)仍難以適應(yīng)網(wǎng)絡(luò)發(fā)展的需要，信息立法還存在相當(dāng)多的空白。諸如個人隱私保護法、數(shù)據(jù)庫保護法、數(shù)字媒體法、數(shù)字簽名認證法、計算機犯罪法以及計算機安全監(jiān)管法等數(shù)字經(jīng)濟正常運作所需的配套法規(guī)急需予以制定。由于法規(guī)不健全，信息市場交易秩序的維護、信息犯罪的懲處等無法可依，使信息犯罪有空子可鉆。另一方面，由于網(wǎng)絡(luò)作案手段新、時間短、不留痕跡等特點，給網(wǎng)上犯罪案件的偵破和審理帶來了極大的困難。

6．保障意識的非系統(tǒng)性

有的政府系統(tǒng)．在系統(tǒng)建設(shè)中沒有統(tǒng)一規(guī)范的安全構(gòu)想．更沒有建立完善的安全體系結(jié)構(gòu)：從硬件采購、網(wǎng)絡(luò)布線、采用的操作系統(tǒng)、應(yīng)用系統(tǒng)的開發(fā)、系統(tǒng)被非法訪問等方面都沒有把安全問題考慮進去或考慮得很少。因此這些政府系統(tǒng)難以抵御防范上述威脅。

3．電子政務(wù)信息安全解決策略

目前我國電子政務(wù)安全采取“國家推動、社會參與、全局治理、積極防御、等級保護、保障發(fā)展“的策略。鑒于電子政務(wù)的信息安全面臨的是一場高技術(shù)的對抗，是一場綜合性斗爭，涉及法律、管理、標準、技術(shù)、產(chǎn)品、服務(wù)和基礎(chǔ)設(shè)施諸多領(lǐng)域，所以電子政務(wù)安全．還要從全局來構(gòu)建其安全保障的體系框架，以保障電子政務(wù)的健康發(fā)展。

1．健全法律與政策，加強法律監(jiān)管

電子政務(wù)的工作內(nèi)容和工作流程涉及到國家秘密與核心政務(wù)．它的安全關(guān)系到國家的主權(quán)、國家的安全和公眾益，所以電子政務(wù)的安全實施和保障，必須以國家法規(guī)形式將其固化，形成全國共同遵守的規(guī)約．成為電子政務(wù)實施和運行的行為準則，成為電子政務(wù)國際交往的重要依據(jù)。其目的在于保護守法者和依法者的合法權(quán)益．為司法和執(zhí)法者提供法律依據(jù)．對違法、犯法者形成強大的威懾。因此，制訂相應(yīng)的法規(guī)，適度的解密和規(guī)范開放的規(guī)則，保護政府部門問信息的正常交流，保護社會公眾對信息的合法享用，打破對政務(wù)信息資源的壟斷和封鎖，提高政府行政透明度和民主進程，是非常有利的和必要的。再完美的電子政務(wù)信息系統(tǒng)也可能出現(xiàn)內(nèi)部使用的疏忽或遭受外來的惡意攻擊,只有將網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)法律法規(guī)結(jié)合起來并與國際立法規(guī)則相兼容,才能在發(fā)生問題后有法可依,建議制定專門的電子政務(wù)信息系統(tǒng)安全法。一是用以規(guī)范電子政務(wù)中的信息安全技術(shù)范疇，二是對破壞電子政務(wù)信息安全的行為如何處罰要從法律意義上制定專門的規(guī)定。

2．強化組織與管理

電子政務(wù)安全管理涉及到國家安全部、國家保密局、國家密碼管理委員會、信息產(chǎn)業(yè)部等許多國家安全職能部門．其安全管理職能的協(xié)調(diào)需要由國家信息化領(lǐng)導(dǎo)機構(gòu)來進行。各地區(qū)和部委建立相應(yīng)的信息安全管理機構(gòu)，以完成和強化信

息安全的管理，形成自上而下的信息安全管理組織體系，是電子政務(wù)安全實施的必要條件。同時，政府相關(guān)部門必須制訂頒發(fā)電子政務(wù)安全相關(guān)的各項管理條例，以及時指導(dǎo)電子政務(wù)建設(shè)的各種行為．保障電子政務(wù)系統(tǒng)建設(shè)全程的安全和安全管理工作的程序化和制度化。根據(jù)管理需求，可以對電子政務(wù)系統(tǒng)信息內(nèi)容實施安全監(jiān)控管理．以保護政務(wù)信息安全，防止由于內(nèi)部違規(guī)或外部入侵可能造成的網(wǎng)絡(luò)泄密，同時也阻止有害信息內(nèi)容在政務(wù)網(wǎng)上傳播。

3．制訂標準與規(guī)范

信息安全標準有利于安全產(chǎn)品的規(guī)范化，有利于保證產(chǎn)品安全可信性、實現(xiàn)產(chǎn)品的互聯(lián)和互操作性．以支持電子政務(wù)系統(tǒng)的互聯(lián)、更新和可擴展性，支持系統(tǒng)安全的測評與評估．保障電子政務(wù)系統(tǒng)的安全可靠。因此，制訂信息安全標準以及安全產(chǎn)品的規(guī)范便顯得尤為重要。

4．縱深保障與服務(wù)

在電子政務(wù)的系統(tǒng)建設(shè)中，要構(gòu)建其技術(shù)安全保障架構(gòu)．對大型電子政務(wù)系統(tǒng)要建立縱深防御體系：進而設(shè)置政務(wù)內(nèi)網(wǎng)的安全與控制策略、政務(wù)外網(wǎng)的安全與控制策略，進入互聯(lián)網(wǎng)的安全服務(wù)與控制策略、租用公網(wǎng)干線的安全服務(wù)與控制策略、政務(wù)計算環(huán)境的安全服務(wù)與機制。采用縱深防御和多級設(shè)防，是電子政務(wù)安全保障的重要原則，通過全局性的安全防護、安全檢測、快速響應(yīng)、集成的安全管理與安全設(shè)施的聯(lián)動控制，以達到系統(tǒng)具有防護、檢測、反應(yīng)與恢復(fù)能力。

5．創(chuàng)新技術(shù)與產(chǎn)品

由于電子政務(wù)的國家涉密性，電子政務(wù)系統(tǒng)工程的安全保障需要各種有自主知識產(chǎn)權(quán)的信息安全技術(shù)和產(chǎn)品．要不斷地加強安全技術(shù)和產(chǎn)品的自主研制和創(chuàng)新；它們涉及到安全操作系統(tǒng)、安全硬件平臺、安全數(shù)據(jù)庫、PKI／CA、PMI、VPN、安全網(wǎng)關(guān)、防火墻、數(shù)據(jù)加密機入侵檢測(1DS)、漏洞掃描、計算機病毒防治工具、強審計工具、安全Web、安全郵件、安全設(shè)施集成管理平臺、內(nèi)容識別和過濾產(chǎn)品、安全備份、電磁泄漏防護、安全隔離客戶機、安全網(wǎng)閘等。

6.用戶應(yīng)用安全

電子政務(wù)中，由于管理和使用不當(dāng)造成的安全問題愈七成，因此加強人員對系統(tǒng)使用的安全意識，尤為重要。首先在系統(tǒng)投入使用前，必須對所有人員進行技術(shù)培訓(xùn)。其次，在使用過程中，也應(yīng)有針對性的就系統(tǒng)變更等問題與工作人員 5

進行雙向交流 其它還需特別注意的地方有：

1)管理員職責(zé)：管理員賬戶本身最易受到黑客攻擊，定期更換賬戶及密碼，是提高安全性的有效措施。同時，盡量不開放 Guest賬戶，對其他用戶嚴格劃定訪問權(quán)限和資源使用權(quán)限；定期檢查用戶IP地址范圍，用戶使用系統(tǒng)的頻率和內(nèi)容，發(fā)現(xiàn)異常及時封鎖IP或相應(yīng)用戶賬號。

2)普通用戶：在內(nèi)部子網(wǎng)中不應(yīng)開放共享目錄。如有經(jīng)常交換信息需求的用戶，在共享時必須加上必要的口令認證機制?，F(xiàn)在更為常見的方式是給用戶配備 USB 安全密鑰或者經(jīng)第三方CA認證,可用來進行數(shù)字簽名和驗證簽名,確保通訊雙方的真實身份,兼具真實性和不可抵賴性,保障政務(wù)的安全傳送和處理。

7.系統(tǒng)運行環(huán)境安全

1)網(wǎng)絡(luò)分級隔離：外網(wǎng)與內(nèi)網(wǎng)和專網(wǎng)進行物理隔離，內(nèi)網(wǎng)與專網(wǎng)、外網(wǎng)與 Internet 之間則采用邏輯隔離。內(nèi)外網(wǎng)間必須安裝防火墻，根據(jù)各種過濾規(guī)則來判斷網(wǎng)絡(luò)數(shù)據(jù)是否能夠通過防火墻，用以加強網(wǎng)絡(luò)之間訪問控制、防止外網(wǎng)用戶以非法手段進入內(nèi)網(wǎng)、保護內(nèi)網(wǎng)中的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備，既防止外來的入侵，也阻止局域網(wǎng)內(nèi)部重要信息的泄露。內(nèi)外網(wǎng)之間的通信則采用異步高位加密機制，可以保證內(nèi)外網(wǎng)的通信安全

2)網(wǎng)絡(luò)設(shè)備和軟件：選用高帶寬網(wǎng)絡(luò)和高性能服務(wù)器。配備加密設(shè)備，使得數(shù)據(jù)以密文形式在網(wǎng)上傳送，保證數(shù)據(jù)的機密性與完整性。在安裝防火墻的基礎(chǔ)上，輔以入侵檢測系統(tǒng)，用于實時監(jiān)控和記錄具攻擊性的信息代碼在進出網(wǎng)段的所有操作行為，并按制定的策略實行響應(yīng)(阻斷、報警、發(fā)送電子郵件等)，從而防止網(wǎng)絡(luò)的攻擊與犯罪行為。安裝正版操作系統(tǒng)或源代碼對政府開放的操作系，統(tǒng)堅持日常維護和記錄，及時更新、升級病毒庫；使用安全掃描工具定期檢查系統(tǒng)漏洞和配置更改情況，及時安裝系統(tǒng)補丁堵塞系統(tǒng)漏洞。

4.結(jié)論

電子政務(wù)信息系統(tǒng)的安全保障不但要從實現(xiàn)技術(shù)入手，更要與系統(tǒng)在政府工作中的重要地位相呼應(yīng) 保證其先進性和可擴展性，要進行深入調(diào)研和長遠規(guī)劃 必須能夠適應(yīng)網(wǎng)絡(luò)的快速發(fā)展變化。根本上還需要國家的司法支持和參與人員管理意識的增強保障了電子政務(wù)的安全，才能保障政府信息化的順利推進。

5.參考文獻

1.王紹卜，《計算機網(wǎng)絡(luò)的安全隱患與策略》中外科技信息，2003(11)43～45 2謝希仁，《計算機網(wǎng)絡(luò)》．大連：大連理工大學(xué)出版社，2001：1 27～1 30 3.覃正.中美電子政務(wù)發(fā)展報告[M].北京: 科學(xué)出版社 2008(5).4.樊博.電子政務(wù)[M].上海交通大學(xué)出版社 2006(6)5.褚俊 蘇震.電子政務(wù)安全技術(shù)保障[M].北京中國人民大學(xué)出版社 2004(3).6.蘇玉召 趙妍.計算機網(wǎng)絡(luò)信息安全及其防護策略的研究[J] 計算機與信息技術(shù) 2006(5)7.王海濤.電子政務(wù)中的安全問題[J] 佳木斯大學(xué)學(xué)報:自然科學(xué)版 2005(2)8.羅茂斌.論電子政務(wù)與電子文件的保護[J].檔案管理 2001(4).9.鄧崧.電子政務(wù)價值評估研究[D].上海 同濟大學(xué) 2007.10.馬朝斌《大力加強電子政務(wù)內(nèi)網(wǎng)的安全保密建設(shè)和管理.信息安全與通信保密，2003(12)11.鄔賀銓 《電子政務(wù)安全體系 《信息安全與通信保密》，2003(4)12.譚興烈 《電子政務(wù)安全解決方案要解決的主要問題 《信息安全與通信保密》，2004(5)13.姜楠，王健《電子政務(wù)中基于PKI的角色授權(quán)管理策略》《通信技術(shù)》，2003(9)