電子政務(wù)中信息安全研究

黃晶鳳

摘 要 我國(guó)電子政務(wù)在基礎(chǔ)環(huán)境建設(shè)、業(yè)務(wù)系統(tǒng)應(yīng)用和信息資源開(kāi)發(fā)等方面取得了重要進(jìn)展，為帶動(dòng)國(guó)民經(jīng)濟(jì)和社會(huì)信息化、促進(jìn)政府職能轉(zhuǎn)變起到了積極作用。電子政務(wù)涉及對(duì)國(guó)家秘密信息和高敏感度核心政務(wù)的保護(hù)，設(shè)計(jì)維護(hù)公共秩序和行政監(jiān)管的準(zhǔn)確實(shí)施，涉及到為社會(huì)提供公共服務(wù)的質(zhì)量保證。

關(guān)鍵詞 電子政務(wù) 信息安全

中圖分類號(hào)：C931 文獻(xiàn)標(biāo)識(shí)碼：A

1電子政務(wù)中的信息安全

電子政務(wù)中的信息安全包括了信息的機(jī)密性、完整性、可信性、可控性、不可否認(rèn)性等。我國(guó)立法把信息安全界定為“保障計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（網(wǎng)絡(luò)）的安全，運(yùn)行環(huán)境的安全，保障信息安全，保障計(jì)算機(jī)功能的正常發(fā)揮，以維護(hù)計(jì)算機(jī)信息系統(tǒng)的安全”。從這一法律規(guī)定看，計(jì)算機(jī)信息系統(tǒng)安全應(yīng)當(dāng)包括實(shí)體安全、信息安全、運(yùn)行安全和人的安全。

20世紀(jì)90年代以來(lái)，信息技術(shù)革命在世界范圍內(nèi)加速推進(jìn)，覆蓋全球的信息網(wǎng)絡(luò)系統(tǒng)逐步建立。信息網(wǎng)絡(luò)系統(tǒng)已成為社會(huì)各個(gè)領(lǐng)域不可或缺的基礎(chǔ)設(shè)施；然而，信息技術(shù)的發(fā)展和廣泛應(yīng)用，在給世界各國(guó)帶來(lái)重大發(fā)展機(jī)遇的同時(shí)，也給國(guó)家安全帶來(lái)了新的威脅與挑戰(zhàn)——國(guó)家信息安全問(wèn)題日漸突出。國(guó)家信息安全得不到保障，會(huì)使國(guó)家建設(shè)遭受毀滅性打擊，并引發(fā)其他領(lǐng)域的不安全，可見(jiàn)，在信息技術(shù)廣泛滲透于各個(gè)領(lǐng)域的條件下，信息安全在國(guó)家安全中占居戰(zhàn)略地位，已經(jīng)成為國(guó)家安全的基石。

一個(gè)國(guó)家的信息安全，實(shí)際是由兩方面構(gòu)成的。其一，為一個(gè)國(guó)家在信息安全方面采取的一系列組織措施及有關(guān)政策、法規(guī)；其二，為強(qiáng)有力的、切實(shí)可行的技術(shù)手段及有關(guān)技術(shù)裝備。在信息安全中其地位舉足輕重，尤其作為信息技術(shù)相對(duì)落后的我國(guó)如何調(diào)整信息安全戰(zhàn)略，完善信息安全保障法律規(guī)范，不僅是提高信息安全保障能力的手段和方法，而且是提高信息安全技術(shù)的前提和保證。

2我國(guó)電子政務(wù)信息安全的目標(biāo)及現(xiàn)狀

2.1電子政務(wù)信息安全的目標(biāo)

信息系統(tǒng)信息安全的宗旨是通過(guò)在實(shí)現(xiàn)信息系統(tǒng)時(shí)充分考慮到自身、伙伴和客戶的信息風(fēng)險(xiǎn)，確保組織能夠完成它的全部使命和目標(biāo)。進(jìn)而言之，電子政務(wù)系統(tǒng)信息安全的宗旨就是通過(guò)在實(shí)現(xiàn)信息系統(tǒng)時(shí)充分考慮信息風(fēng)險(xiǎn)，從而確保一個(gè)政府部門能夠有效地完成法律所賦予的政府職能。電子政務(wù)信息安全必須實(shí)現(xiàn)以下目標(biāo)：可用性目標(biāo)，完整性目標(biāo)，保密性目標(biāo)，可記賬性目標(biāo)，保障性目標(biāo)。

可用性目標(biāo)是指確保電子政務(wù)系統(tǒng)有效率地運(yùn)轉(zhuǎn)并使授權(quán)用戶得到所需信息服務(wù)。通常，可用性目標(biāo)是電子政務(wù)系統(tǒng)的首要信息安全目標(biāo)。完整性目標(biāo)包括兩個(gè)方面：數(shù)據(jù)完整性和系統(tǒng)完整性。通常，完整性目標(biāo)是電子政務(wù)系統(tǒng)除了可用性目標(biāo)之外最重要的信息安全目標(biāo)。保密性目標(biāo)是指不向非授權(quán)個(gè)人和部門暴露私有或者保密信息。通常，對(duì)于大多數(shù)電子政務(wù)系統(tǒng)而言，保密性目標(biāo)在信息安全的重要程度排序中僅次于可用性目標(biāo)和完整性目標(biāo)。然而，對(duì)于某些特定的電子政務(wù)系統(tǒng)和數(shù)據(jù)，保密性目標(biāo)是最重要的信息安全目標(biāo)?？捎涃~性目標(biāo)是指電子政務(wù)系統(tǒng)能夠如實(shí)記錄一個(gè)實(shí)體的全部行為。通常，可記賬性目標(biāo)是政府部門的一種策略需求。可記賬性目標(biāo)可以為拒絕否認(rèn)、威懾違規(guī)、隔離故障、檢測(cè)和防止入侵、事后恢復(fù)和法律訴訟提供支持。保障性是電子政務(wù)系統(tǒng)信息安全的信任基。保障性目標(biāo)突出了這樣的事實(shí)：對(duì)于希望做到安全的信息系統(tǒng)而言，不僅需要提供預(yù)期的功能，而且需要保證不會(huì)發(fā)生非預(yù)期的行為。具體而言，保障性目標(biāo)是指：提供并正確實(shí)現(xiàn)需要的電子政務(wù)功能；在用戶或者軟件無(wú)意中出現(xiàn)差錯(cuò)時(shí)，提供充分保護(hù)；在遭受惡意的系統(tǒng)穿透或者旁路時(shí)，提供充足防護(hù)。

2.2 我國(guó)電子政務(wù)中信息安全的現(xiàn)狀

目前我國(guó)電子政務(wù)中的政府信息安全問(wèn)題突出表現(xiàn)在：一是我國(guó)政府信息網(wǎng)絡(luò)安全存在嚴(yán)重隱患。網(wǎng)絡(luò)非常脆弱，各種安全隱患普遍存在。掌握了一定技術(shù)的人可以輕易獲取網(wǎng)絡(luò)服務(wù)器上的用戶賬號(hào)信息和口令文件，并可進(jìn)入系統(tǒng)修改、刪除重要數(shù)據(jù)文件。二是互聯(lián)網(wǎng)上和針對(duì)計(jì)算機(jī)信息系統(tǒng)的違法犯罪活動(dòng)日益增多。近年來(lái)，金融機(jī)構(gòu)內(nèi)部利用計(jì)算機(jī)犯罪案件大幅度上升；在互聯(lián)網(wǎng)上泄露國(guó)家秘密的案件屢有發(fā)生。三是境內(nèi)外黑客攻擊破壞網(wǎng)絡(luò)的問(wèn)題十分嚴(yán)重。他們通常采用非法侵入重要信息系統(tǒng)，修改或破壞系統(tǒng)功能或數(shù)據(jù)等手段，造成數(shù)據(jù)丟失或系統(tǒng)癱瘓，給國(guó)家造成重大政治影響和經(jīng)濟(jì)損失。四是境內(nèi)外敵對(duì)勢(shì)力、敵對(duì)分子和非法組織利用互聯(lián)網(wǎng)進(jìn)行煽動(dòng)、滲透、組織、聯(lián)絡(luò)等非法活動(dòng)日趨突出。

3 我國(guó)電子政務(wù)中信息安全的保護(hù)對(duì)策

針對(duì)我國(guó)信息安全的現(xiàn)狀，結(jié)合我國(guó)電子政務(wù)的實(shí)際，當(dāng)前在政府信息安全的保護(hù)方面的當(dāng)務(wù)之急是：

3.1盡快建立我國(guó)信息安全的保護(hù)體系

國(guó)家應(yīng)該組建國(guó)家信息安全委員會(huì)。該組織負(fù)責(zé)組織和協(xié)調(diào)國(guó)家安全、公安、保密等職能部門，在信息化建設(shè)中信息安全的分工，對(duì)國(guó)家信息安全政策統(tǒng)一步調(diào)、統(tǒng)籌規(guī)劃。

要建立我國(guó)信息安全的保護(hù)體系，必須盡快完善國(guó)家信息安全基礎(chǔ)設(shè)施建設(shè)。目前就我國(guó)的信息產(chǎn)業(yè)無(wú)論是技術(shù)、管理還是生產(chǎn)規(guī)模、服務(wù)觀念，都不具備力量在短時(shí)間內(nèi)使國(guó)產(chǎn)信息產(chǎn)品占領(lǐng)國(guó)內(nèi)的主要市場(chǎng)。自主的信息產(chǎn)業(yè)或信息產(chǎn)品國(guó)產(chǎn)化是信息安全的根本，國(guó)產(chǎn)化不等于絕對(duì)安全，而絕對(duì)安全卻需要國(guó)產(chǎn)化。國(guó)家可集中人力、物力和給以政策，大力發(fā)展自主的專用芯片、自主的密碼技術(shù)產(chǎn)品等，以確保關(guān)鍵部門的信息系統(tǒng)的安全。

3.2進(jìn)一步完善我國(guó)信息安全保障的法律體系

雖然我國(guó)已頒布相當(dāng)數(shù)量的信息安全方面的法律，但是目前我國(guó)立法層次不高，現(xiàn)行的有關(guān)信息安全的法律規(guī)范大多只是國(guó)務(wù)院制定的行政法規(guī)或國(guó)務(wù)院部委制定的行政規(guī)章；法律規(guī)定之間不統(tǒng)一；立法理念和立法技術(shù)相對(duì)滯后等，因此要進(jìn)一步完善我國(guó)信息安全的法律保障體系。

第一、確立科學(xué)的信息安全法律保護(hù)理念。修正傳統(tǒng)的立法理念，改變落后的調(diào)整方法，把信息安全法制保障的重點(diǎn)轉(zhuǎn)移到信息化的建設(shè)與發(fā)展上來(lái)構(gòu)筑適于信息網(wǎng)絡(luò)安全實(shí)際需要的法治文化。第二、構(gòu)建完備的信息安全法律體系。信息化的社會(huì)秩序主要由三個(gè)基礎(chǔ)層面的內(nèi)容所構(gòu)成，即信息社會(huì)活動(dòng)的公共需求，信息社會(huì)生活的基本支柱和信息社會(huì)所特有的社會(huì)關(guān)系。信息社會(huì)所特有的社會(huì)關(guān)系是指在國(guó)家信息化建設(shè)的過(guò)程中，參與其中的各個(gè)主體之間由于其信息化活動(dòng)而產(chǎn)生的各種社會(huì)關(guān)系，具體將表現(xiàn)為相應(yīng)的法律關(guān)系，國(guó)家信息化建設(shè)所應(yīng)有的政策法律環(huán)境也就必然是由對(duì)應(yīng)的指導(dǎo)政策、技術(shù)標(biāo)準(zhǔn)和法律規(guī)范等三項(xiàng)內(nèi)容所共同構(gòu)建的三位一體的且能夠發(fā)揮促進(jìn)、激勵(lì)和規(guī)范作用的有機(jī)的體系。

3.3建立電子政務(wù)信息安全四大體系

電子政務(wù)的信息安全建設(shè)是在適當(dāng)?shù)男畔踩Ｕ象w系和框架指導(dǎo)下進(jìn)行的一項(xiàng)系統(tǒng)工程。這項(xiàng)工程包括密切關(guān)聯(lián)的四大體系：安全管理體系、預(yù)警檢測(cè)體系、安全防護(hù)體系和響應(yīng)恢復(fù)體系，其中，安全管理體系是整個(gè)信息安全保障體系中最核心的組成部分，是貫穿其他三個(gè)體系的主線。建立健全安全管理體系，最重要的是針對(duì)電子政務(wù)的現(xiàn)有情況制定統(tǒng)一的行政管理制度，在整個(gè)網(wǎng)絡(luò)系統(tǒng)中貫徹執(zhí)行。入侵檢測(cè)系統(tǒng)是目前最為主要的一個(gè)廣泛應(yīng)用的技術(shù)和管理手段。利用網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，可以了解網(wǎng)絡(luò)的運(yùn)行狀況和發(fā)生的安全事件，并根據(jù)安全事件來(lái)調(diào)整安全策略和防護(hù)手段，同時(shí)改進(jìn)實(shí)時(shí)響應(yīng)和事后恢復(fù)的有效性，為定期的安全評(píng)估和分析提供依據(jù)，從而提高網(wǎng)絡(luò)安全的整體水平。安全防護(hù)體系包括防火墻、身份鑒別與認(rèn)證、系統(tǒng)訪問(wèn)控制、網(wǎng)絡(luò)審計(jì)等內(nèi)容。響應(yīng)恢復(fù)體系包括應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計(jì)劃兩個(gè)方面。電子政務(wù)信息系統(tǒng)已經(jīng)成為電子政務(wù)業(yè)務(wù)的支撐平臺(tái)。安全策略中必須具備應(yīng)急響應(yīng)手段，保證電子政務(wù)發(fā)生安全事故后，能夠及時(shí)作出有效響應(yīng)，采取合適的應(yīng)急措施處理事故。

參考文獻(xiàn)

[1] 岳建偉，劉生權(quán)，鐘耳順，姚敏，方利，張建平.電子政務(wù)系統(tǒng)協(xié)同式開(kāi)發(fā)平臺(tái)研究.《計(jì)算機(jī)工程》，2007.03.

[2] 常永新.我國(guó)電子政務(wù)中的信息安全休息安全問(wèn)題分析.《人民論壇》，2011.14.

[3] 孔永紅.基于知識(shí)協(xié)同的電子政務(wù)問(wèn)題與對(duì)策研究.《電子商務(wù)》，2007.07.