我國(guó)電子政務(wù)中的安全問(wèn)題及對(duì)策

毛冬羽

摘 要 時(shí)代財(cái)富科技公司對(duì)中國(guó)電子政務(wù)研究報(bào)告表明，中國(guó)目前的電子政務(wù)度為22.6%（這個(gè)是2001年的數(shù)據(jù)）。這個(gè)報(bào)告說(shuō)明，在我國(guó)電子政務(wù)的建設(shè)中，我國(guó)還是處在初級(jí)階段，將要面臨很多的問(wèn)題，特別是電子政務(wù)中信息的安全問(wèn)題，將直接關(guān)系到我國(guó)的電子政務(wù)建設(shè)的成敗。本文從電子政務(wù)安全范疇的界定入手，從物理安全、系統(tǒng)安全、信息安全、管理安全4個(gè)方面闡述中國(guó)電子政務(wù)中的安全問(wèn)題及對(duì)策。

關(guān)鍵詞 電子政務(wù) 安全問(wèn)題 對(duì)策

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A

近年來(lái)，在黨中央、國(guó)務(wù)院的大力推動(dòng)下，我國(guó)電子政務(wù)開始進(jìn)入全面實(shí)施階段，電子政務(wù)建設(shè)成為一項(xiàng)覆蓋各級(jí)政府部門的、大型復(fù)雜的系統(tǒng)工程。與此同時(shí)，安全問(wèn)題給電子政務(wù)工程的規(guī)劃、設(shè)計(jì)、組織和實(shí)施帶來(lái)了巨大的挑戰(zhàn)。國(guó)家互聯(lián)網(wǎng)應(yīng)急中心CNCERT/CC權(quán)威發(fā)布的數(shù)據(jù)顯示，2008上半年與2007年同期相比，網(wǎng)絡(luò)安全事件數(shù)量有顯著增加，其中政府網(wǎng)頁(yè)信息被篡改的事件呈現(xiàn)大幅度上漲趨勢(shì)，與2007年同期相比增加41%。因此，電子政務(wù)信息系統(tǒng)的安全管理成為一個(gè)必須引起各部門高度重視的問(wèn)題。

1電子政務(wù)安全范疇

談到電子政務(wù)安全，人們立即就會(huì)聯(lián)想到病毒、黑客等熟悉的名詞，也很容易把它與網(wǎng)絡(luò)安全、電子商務(wù)安全混為一談。網(wǎng)絡(luò)安全通常是指計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的硬件、軟件和數(shù)據(jù)受到保護(hù)，不因偶然和惡意的原因而遭到破壞、更改和泄露。它更多地側(cè)重于技術(shù)層面上網(wǎng)絡(luò)系統(tǒng)安全問(wèn)題的分析和對(duì)策。而電子政務(wù)安全則是一個(gè)非常復(fù)雜的系統(tǒng)工程，它遍布在政府信息化的各個(gè)環(huán)節(jié)之中，其范疇已經(jīng)超越網(wǎng)絡(luò)安全所指的技術(shù)層面?？梢哉f(shuō)，網(wǎng)絡(luò)安全是電子政務(wù)安全中一個(gè)重要的組成部分。

電子政務(wù)安全的特殊需求實(shí)際上就是要合理地解決網(wǎng)絡(luò)開放性與安全性之間的矛盾，在電子政務(wù)系統(tǒng)信息暢通的基礎(chǔ)上，有效阻止非法訪問(wèn)和攻擊對(duì)系統(tǒng)的破壞。本文將電子政務(wù)安全的范疇界定為物理安全、系統(tǒng)安全、信息安全、管理安全4個(gè)部分。

2電子政務(wù)中的安全問(wèn)題及對(duì)策

2.1物理安全

保證計(jì)算機(jī)信息系統(tǒng)各種設(shè)備的物理安全是整個(gè)電子政務(wù)系統(tǒng)安全的前提。物理安全是指保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其他媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過(guò)程。電子政務(wù)系統(tǒng)采用的計(jì)算機(jī)硬件雖然在功能上有了很大的提高，但它畢竟屬于高度精密的儀器，任何開發(fā)時(shí)的疏忽以及實(shí)際運(yùn)行時(shí)的震蕩、靜電、潮濕、過(guò)熱等情形都可能使其受到嚴(yán)重的損傷。具體來(lái)說(shuō)，電子政務(wù)中的物理安全主要包括以下幾個(gè)方面：一是系統(tǒng)運(yùn)行中的安全隱患，主要包括電源問(wèn)題、水患與火災(zāi)、電磁干擾與泄露以及其他的環(huán)境威脅。二是物理訪問(wèn)風(fēng)險(xiǎn)與控制。物理安全威脅不單來(lái)自于環(huán)境，還來(lái)自于人為操作失誤及各種計(jì)算機(jī)犯罪行為。三是電子政務(wù)信息系統(tǒng)的場(chǎng)地與設(shè)施安全管理。是指中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)GB50173—93《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》、GB2887—89《計(jì)算站場(chǎng)地技術(shù)條件》、GB9361—88（計(jì)算站場(chǎng)地安全要求》對(duì)應(yīng)用信息系統(tǒng)的場(chǎng)地與設(shè)施進(jìn)行的安全管理。

2.2系統(tǒng)安全

2.2.1硬件系統(tǒng)安全的問(wèn)題及對(duì)策

電子政務(wù)系統(tǒng)的主要特征就是大量采用信息系統(tǒng)支持政務(wù)活動(dòng)，而信息系統(tǒng)首先表現(xiàn)為各種各樣的物理設(shè)備，比如計(jì)算機(jī)、磁盤、網(wǎng)絡(luò)設(shè)備等。如果這些物理設(shè)備遭到損毀，整個(gè)系統(tǒng)就不可避免地會(huì)受到嚴(yán)重的影響。因此，首先考察硬件系統(tǒng)的安全問(wèn)題。

2.2.2軟件系統(tǒng)的安全問(wèn)題及對(duì)策

建立起電子政務(wù)網(wǎng)絡(luò)信息系統(tǒng)安全防御體系。首先，是對(duì)電子政務(wù)安全防御體系解決方案的建立，通過(guò)電子政務(wù)的應(yīng)用規(guī)劃、主要技術(shù)路線和系統(tǒng)架構(gòu)進(jìn)行了比較完整分析，進(jìn)而明確構(gòu)建目標(biāo)。其次，根據(jù)政府體系的內(nèi)部和外部的威脅是政府電子政務(wù)信息所面臨的兩個(gè)主要安全威脅因素的介紹，為我國(guó)電子政府的信息系統(tǒng)安全防御建立進(jìn)行了清楚的劃分。再次，通過(guò)主要對(duì)美國(guó)政府長(zhǎng)期在公共部門信息安全防范管理方面的工作進(jìn)行借鑒，對(duì)他們的教訓(xùn)和豐富的經(jīng)驗(yàn)進(jìn)行總結(jié)并分析，深入思考信息保障問(wèn)題，以對(duì)比分析來(lái)確保，能夠建設(shè)一支可實(shí)施性強(qiáng)的具體的國(guó)家信息安全保障國(guó)家戰(zhàn)略體系。通過(guò)結(jié)合我國(guó)具體情況，設(shè)計(jì)了具有中國(guó)特色的電子政務(wù)信息安全防御系統(tǒng)。并對(duì)中國(guó)電子政務(wù)信息安全系統(tǒng)防御體系核心部分的程序進(jìn)行設(shè)計(jì)，主要包括登陸代碼、數(shù)據(jù)加密和解密的實(shí)現(xiàn)；通過(guò)信息安全防御體系的應(yīng)用及其實(shí)現(xiàn)標(biāo)準(zhǔn)和電子政務(wù)網(wǎng)絡(luò)安全防御體系的具體應(yīng)用，以此進(jìn)一步確保電子政務(wù)系統(tǒng)信息安全防御體系的應(yīng)用實(shí)現(xiàn)。

2.3信息安全

數(shù)據(jù)是電子政務(wù)的核心資源之一，因此其安全問(wèn)題也格外重要。軟件、硬件的損毀雖然可以使政府的正常業(yè)務(wù)中斷，但一般在重新購(gòu)置系統(tǒng)后仍能恢復(fù)，而政府核心數(shù)據(jù)的損毀卻是不可恢復(fù)的致命災(zāi)難。解決數(shù)據(jù)安全問(wèn)題的主要辦法就是建立完善的管理措施。

2.3.1數(shù)據(jù)保護(hù)制度

政府重要數(shù)據(jù)面臨的首要風(fēng)險(xiǎn)就是被他人竊取。為防止這類損失，首先就要健全數(shù)據(jù)保護(hù)制度。一是做好物理訪問(wèn)控制，防止外部人員接觸到存有重要數(shù)據(jù)的主機(jī)、存儲(chǔ)設(shè)備和打印機(jī)等輸出設(shè)備。二是做好數(shù)據(jù)的邏輯訪問(wèn)控制。三是做好數(shù)據(jù)備份和災(zāi)難恢復(fù)計(jì)劃。

2.3.2標(biāo)準(zhǔn)可信時(shí)間源的獲取

時(shí)間在電子政務(wù)安全應(yīng)用上具有其特定的重要意義。政務(wù)文件上的時(shí)間標(biāo)記是重要的政策執(zhí)行依據(jù)和憑證。

2.3.3信息傳遞過(guò)程中的加密

加密就是為了安全目的對(duì)信息進(jìn)行編碼和解碼。電子政務(wù)應(yīng)用涵蓋政府內(nèi)部辦公和面對(duì)公眾的信息服務(wù)兩大方面。就政府內(nèi)部辦公而言，電子政務(wù)系統(tǒng)涉及部門與部門之間、上下級(jí)之間、地區(qū)與地區(qū)間的公文流轉(zhuǎn)。這些公文的信息往往涉及機(jī)密等級(jí)的問(wèn)題，必須采取適當(dāng)?shù)募用芊椒▽?duì)信息予以保密。

2.4管理安全

2.4.1組織管理措施

對(duì)于電子政務(wù)系統(tǒng)來(lái)說(shuō)，要想做到合理分工，一個(gè)核心的原則就是在實(shí)際建設(shè)和應(yīng)用電子政務(wù)系統(tǒng)時(shí)把系統(tǒng)的設(shè)計(jì)者、管理者、操作者、利害關(guān)系者等角色分開，盡量避免一個(gè)人同時(shí)具備多個(gè)角色。除合理分工外，牽制也是必須考慮的問(wèn)題。比如在信息錄入環(huán)節(jié)增設(shè)人員監(jiān)督錄入，既可以減少錄人錯(cuò)誤，也可以防止舞弊。此外，對(duì)于重要業(yè)務(wù)，可以在系統(tǒng)的工作流程中增加審核環(huán)節(jié)，并為具體操作人員設(shè)定操作規(guī)模的上限，從而提高非法操作的難度，降低風(fēng)險(xiǎn)損失。

2.4.2人力資源管理

政府的人力資源管理情況也會(huì)在很大程度上影響電子政務(wù)的安全。一是對(duì)人員的安全教育和保護(hù)。從安全角度看，企業(yè)的員工不僅僅是潛在的威脅，也是安全制度的執(zhí)行者和保護(hù)對(duì)象。二是對(duì)內(nèi)部成員的安全防范。多項(xiàng)針對(duì)系統(tǒng)安全事件調(diào)查的結(jié)果表明，絕大多數(shù)安全事件是由受害組織的內(nèi)部員工實(shí)施的。一般說(shuō)來(lái)，針對(duì)內(nèi)部員工的安全管理措施包括以下幾個(gè)方面。①合理的崗位劃分和健全的牽制制度。②定期休假制度。給重要崗位的人員提供定期的休假，一方面可以讓員工得到休息，另一方面在其離崗期間內(nèi)，臨時(shí)管理員可以發(fā)現(xiàn)系統(tǒng)的不合理狀態(tài)并及時(shí)報(bào)告、調(diào)查。③員工離任處理。一般被辭退的員工往往會(huì)產(chǎn)生嚴(yán)重的不滿情緒和報(bào)復(fù)念頭，同時(shí)他們又非常熟悉企業(yè)的系統(tǒng)結(jié)構(gòu)和安全漏洞，因此很可能在離任后惡意破壞電子政務(wù)系統(tǒng)。為防止這種情況的發(fā)生，在員工離任時(shí)必須執(zhí)行嚴(yán)格的處理辦法。

3結(jié)語(yǔ)

電子政務(wù)系統(tǒng)是安全高度敏感的系統(tǒng)，任何時(shí)候都要切實(shí)保證電子政務(wù)系統(tǒng)的安全，要制定嚴(yán)格的管理制度，對(duì)于各種系統(tǒng)安全風(fēng)險(xiǎn)，必須分門別類，對(duì)癥下藥，確保數(shù)據(jù)完整性、信息保密性、信息真實(shí)性、數(shù)據(jù)可用性等。應(yīng)該站在系統(tǒng)的高度，綜合各方面要素，在投資許可的前提下，采用多種安全技術(shù)手段確保電子政務(wù)系統(tǒng)的安全。

參考文獻(xiàn)

[1] 佘珺.電子政務(wù)公共服務(wù)研究[D].中國(guó)優(yōu)秀碩士學(xué)位論文全文數(shù)據(jù)庫(kù)，2009（10）.

[2] 周璟.縣級(jí)政府電子政務(wù)建設(shè)探討[D].中國(guó)優(yōu)秀碩士學(xué)位論文全文數(shù)據(jù)庫(kù)，2009（04）.

[3] 趙磊.中國(guó)中小城市電子政務(wù)發(fā)展中存在的問(wèn)題及對(duì)策分析[D].中國(guó)優(yōu)秀碩士學(xué)位論文全文數(shù)據(jù)庫(kù)，2009（09）.

[4] 宋爽.關(guān)于我國(guó)縣級(jí)政府電子政務(wù)的研究[D].北京郵電大學(xué)，2008.

[5] 蔡盛平.番禺區(qū)電子政務(wù)建設(shè)的問(wèn)題與對(duì)策[D].中國(guó)優(yōu)秀碩士學(xué)位論文全文數(shù)據(jù)庫(kù)，2011（07）.

[6] 韓輝，秦竟芝.中國(guó)縣級(jí)政府電子政務(wù)實(shí)踐：現(xiàn)存問(wèn)題及應(yīng)對(duì)措施[J].特區(qū)經(jīng)濟(jì)，Special 2009（11）：219—220.