關于電子政務信息安全管理體系建設的幾點思考

林樂堅 林向民 許哲君

?

關于電子政務信息安全管理體系建設的幾點思考

林樂堅 林向民 許哲君

福建省網絡與信息安全測評中心

電子政務作為國家信息化戰略的重要組成部分，其信息安全保障事關經濟發展、國家安全、社會穩定、公眾利益和社會主義精神文明建設，其自身的安全問題也隨著科技的進步變得更加突出、嚴重。認識電子政務信息系統安全的威脅，把握系統安全的影響因素和要求，對保證電子政務的有效運行具有重要意義。該文就建設電子政務信息安全管理體系從技術、管理、服務等方面提出建議。

電子政務 信息安全 等級保護 風險評估

1 概述

電子政務是政府管理方式的革命，它是運用信息以及通信技術打破行政機關的組織界限，構建一個電子化的虛擬機關，使公眾擺脫傳統的層層關卡以及書面審核的作業方式，并依據人們的需求、人們可以獲取的方式、人們要求的時間及地點等，高效快捷地向人們提供各種不同的服務選擇。政府機關之間以及政府與社會各界之間也經由各種電子化渠道進行相互溝通。

電子政務的建立將使政府社會服務職能得到最大程度的發揮，但也使政府敏感信息暴露在無孔不入的網絡威脅面前。由于電子政務信息網絡上有相當多的政府公文在流轉，其中不乏重要信息，內部網絡上有著大量高度機密的數據和信息，直接涉及政府的核心政務，它關系到政府部門、各大系統乃至整個國家的利益，有的甚至涉及國家安全。因此，電子政務信息安全是制約電子政務建設與發展的首要問題和核心問題，是電子政務的職能與優勢得以實現的根本前提。如果電子政務信息安全得不到保障，不僅電子政務的便利與效率無從保證，更會給國家利益帶來嚴重威脅。

2 電子政務信息系統面臨的威脅

電子政務涉及對政府機密信息和敏感政務的保護、維護公共秩序和行政監管的準確實施以及為保障社會提供公共服務的質量。電子政務作為政府有效決策、管理、服務的重要手段，必然會遇到各種敵對勢力、恐怖集團、搗亂分子的破壞和攻擊。尤其是，電子政務在基于互聯網的網絡平臺上，他包括政務內網、政務外網和互聯網，而互聯網是一個無行政主管的全球網絡，自身缺少設防，安全隱患很多，使得不法分子利用互聯網進行犯罪有機可乘，這就使得基于互聯網開展的電子政務應用面臨著嚴峻的挑戰。

對電子政務的安全威脅包括網上黑客入侵和犯罪、病毒泛濫和蔓延，信息間諜的潛入和竊密，網絡恐怖集團的攻擊和破壞，內部人員的違規和違法操作，網絡系統的脆弱和癱瘓，信息安全產品的失控等，對于這些威脅，電子政務的建設和應用應引起足夠警惕，采取果斷的安全措施，應對這種挑戰。

3 電子政務信息安全管理體系的構建

要有效維護電子政務信息系統的安全，就需要構建電子政務安全管理體系，從而使政務的信息基礎設施、信息應用服務能夠具有保密性、完整性、真實性和可用性。電子政務安全管理體系包括安全技術體系、安全管理體系和安全服務體系，涉及從管理到組織，從網絡到數據，從法規標準到基礎設施等各個方面。

3.1 加強安全技術力量是實現電子政務安全的基本方法

安全技術體系是利用技術手段實現技術層面的安全保護，是對電子政務安全防護體系的完善，包括網絡安全體系、數據安全傳輸與存儲體系，功能主要是通過各種技術手段實現技術層次的安全保護。

網絡安全體系包括網閘、入侵檢測、漏洞檢測、外聯和接入檢測、補丁管理、防火墻、身份鑒別和認證、系統訪問控制、網絡審計等;數據安全與傳輸與存儲體系包括數據備份恢復、PKI/CA、PMI等。整個電子政務的安全，涉及信息安全產品的全局配套和科學布置，產品選擇應充分考慮產品的自主權和自控權。在關鍵技術、經營管理、生產規模、服務觀念等方面，要集中人力、物力，制訂相關政策，大力發展自主知識產權的計算機芯片、操作系統等信息安全技術產品，以確保關鍵政府部門的信息系統的網絡安全。加強核心技術的自主研發，并盡快使之產品化和產業化，尤其是操作系統技術和計算機芯片技術。現階段各地政府部門目前所選用的高端軟硬件平臺，很多都是國外公司的產品，這也對政務安全帶來了許多隱患。因此，在構建電子政務系統的時候，在可能的情況下，我們應盡量選用國產化技術和國內公司的產品。

3.2 構建安全管理體系是電子政務安全實施的重要基礎

安全管理是解決電子政務的安全問題在技術以外的另一有力保障和途徑。由于安全的防范技術與破壞技術總是“勢均力敵”、“相互促進”的。作為防范者就更應該在安全防范的管理上下更大的工夫。安全管理主要涉及三個方面：法律法規、安全防護體系以及等級保護政策。

3.2.1法律政策、規章制度和標準規范

電子政務的工作內容和工作流程涉及到國家秘密與核心政務，它的安全關系到國家的主權、國家的安全和公眾利益，所以電子政務的安全實施和保障，必須以國家法規形式將其固化，形成全國共同遵守的規約。目前，世界上很多國家制定了與網絡安全相關的法律法規，如英國的《官方信息保護法》等。我國雖然頒發了一些與網絡安全有關的法律法規，如《計算機信息系統安全保護條例》、《計算機信息系統保密管理暫行規定》等等，但顯得很零散，還缺乏關于電子政務網絡安全的專門法規。此外，在完善法律法規的同時，還應該加大執法力度，嚴格執法，這一目標的實現不僅需要政府組織的努力，更要國家立法機構的參與和支持。

3.2.2電子政務防護體系

貫穿整個電子政務的安全防護體系，對電子政務安全實施起全面的指導作用，具體包括三個方面的內容：安全組織機構、安全人事管理、以及安全責任制度。建立安全組織機構，其目的是統一規劃各級網絡系統的安全、制定完善的安全策略和措施、協調各方面的安全事宜，主要職責包括制定整體安全策略、明確規章制度、落實各項安全措施實施，以及制訂安全應急方案和保密信息的安全策略；安全人事管理，其主要內容包括：人事審查與錄用、崗位與責任范圍的確定、工作評價、人事檔案管理、提升、調動與免職、基礎培訓等；制定和落實安全責任制度，包括系統運行維護管理制度、計算機處理控制管理制度、文檔資料管理制度、操作和管理人員管理制度、機房安全管理制度、定期檢查與監督制度、網絡通信安全管理制度、病毒防治管理制度、安全等級保護制度、對外交流安全維護制度，以及對外合作制度等。

3.2.3等級保護制度

通過全面推行信息安全等級保護制度，逐步將信息安全等級保護制度落實到信息系統安全規劃、建設、測評、運行維護和使用等各個環節，使信息安全保障狀況得到基本改善。通過加強和規范信息安全等級保護管理，不斷提高信息安全保障能力，為維護信息網絡的安全穩定，促進信息化發展服務。

4 完善安全服務是維護電子政務安全實施的有力保障

4.1 安全等級測評和風險評估管理

電子政務信息系統安全測評服務，其實質是通過科學、規范、公正的測試和評估向被測評單位證實其信息系統的安全性能符合等級保護的要求。

由于信息安全直接涉及國家利益、安全和主權，政府對信息產品、信息系統安全性的測評認證要更為嚴格。對信息系統和信息安全技術中的核心技術，由政府直接控制，在信息安全各主管部門的支持和指導下，依托專業的職能機構提供技術支持，形成政府的行政管理與技術支持相結合、相依賴的管理體制。風險管理是對項目風險的識別、分析和應對過程。它包括對正面事件效果的最大化及對負面事件影響的最小化。電子政務安全風險管理的主要任務是電子政務信息系統的風險評估并提出風險緩解措施，前者是識別并分析系統中的風險因素，估計可能造成的損失，后者是選擇和實施安全控制，將風險降低到一個可接受的水平。

4.2 安全培訓服務

根據不同層次的人才需求，社會化的信息安全人才培養體系應分為專業型教育、應用型教育和安全素養教育三個層次。專業型教育主要是培養信息安全領域的專業研發、工程技術、戰略管理等方面的人才。應用型(半專業)教育則是以從事現代信息管理工作的人作為對象，培養目標是要求學生具備信息安全的基本知識、網絡和信息系統安全防范技能、組織機構或系統安全管理的能力等。這種應用型的信息安全教育要求受教育對象數量要多，覆蓋面要廣，基本信息技能要強。通過課程、講座、宣傳等多種形式，達到讓每一個人都具備必要的安全意識和常規的信息安全自我防范技術的目的。要求單位領導應具備必要信息安全意識和安全知識；信息管理人員應具備一定的信息安全知識和基本技能；從事信息服務或信息安全服務的有關人員應具備必要的信息安全知識和技術基礎等。

構建安全穩定的政務信息系統，技術、管理、服務作為支撐體系的三大要素，缺一不可。只有這三方面都做好了，才能實現海西政務信息管理體系的全面提升。

[1] 何玲,電子政務環境下政府電子文件管理新探索[D].成都:四川大學碩士學位論文,2008.

[2] 電子政務：安全防護體系構建策略[EB/OL].http://www.enet.com.cn,2009.

[3] 金江軍.電子政務信息安全體系建設[EB/OL].博客中國,2005.