關(guān)于電子政務(wù)信息安全體系結(jié)構(gòu)分析

李軍偉

（河北民族師范學(xué)院，河北承德，067000）

關(guān)于電子政務(wù)信息安全體系結(jié)構(gòu)分析

李軍偉

（河北民族師范學(xué)院，河北承德，067000）

本文通過闡述電子政務(wù)系統(tǒng)的概念，從電子政務(wù)系統(tǒng)目前的信息安全現(xiàn)狀出發(fā)，分析了面臨的風(fēng)險與威脅，給出了電子政務(wù)系統(tǒng)信息安全體系架構(gòu)所必須具備的保障體系，提高電子政務(wù)系統(tǒng)數(shù)據(jù)的準(zhǔn)確性、完整性、可用性，為政府機關(guān)部門的工作做好保障。

電子政務(wù)；安全體系結(jié)構(gòu)

0 引言

隨著信息時代的到來，社會各行各界的工作都在互聯(lián)網(wǎng)的高新信息技術(shù)下變得便利與快捷，政府機關(guān)部門也同樣如此，原有的層層審批、紙質(zhì)備案耗時長、效率低，電子政務(wù)系統(tǒng)的出現(xiàn)基于互聯(lián)網(wǎng)來接收、發(fā)布以及處理政府機關(guān)的涉密信息，使得政府機關(guān)部門的辦事效率大幅提高。

1 電子政務(wù)安全體系概述

電子政務(wù)是一個電子化的虛擬的政府機關(guān)，基于互聯(lián)網(wǎng)，面向政府機關(guān)以及社會公眾，脫離了原有的層層關(guān)卡、書面審核的方式，更為高效的給人們提供服務(wù)，是一個綜合的信息服務(wù)與信息處理系統(tǒng)。并且在另一個層面上，政府機關(guān)之間以及政府機關(guān)與社會各界之間的溝通也可以通過電子渠道來實現(xiàn)，可以說電子政務(wù)是政府管理方式的一次革命，可以在最大程度上發(fā)揮政府的職能。安全體系結(jié)構(gòu)是對電子政務(wù)系統(tǒng)安全功能的一個抽象的描述，是安全服務(wù)、安全管理、以及安全機制、安全策略的一個概括性的概念。它為政府機關(guān)受理各種申請、投訴以及意見建議提供了方便快捷的快速通道。

2 電子政務(wù)系統(tǒng)的信息安全現(xiàn)狀以及面臨的威脅

電子政務(wù)系統(tǒng)因為涉及政府機密以及一些敏感信息，雖然為政府機關(guān)接受、發(fā)布以及處理信息提供了便利，但是其自身特點也決定了它容易受到內(nèi)部的破壞以及外部的入侵，包括修改、偽造、病毒等主動的攻擊以及竊取、截獲、破譯等被動的攻擊。尤其是電子政務(wù)系統(tǒng)是基于互聯(lián)網(wǎng)那個的網(wǎng)絡(luò)平臺，這是一個無行政無主管的全球性的網(wǎng)絡(luò)，這也就使得其自身安全隱患眾多，自身設(shè)防薄弱，使得犯罪分子有機可乘，因此可以說電子政務(wù)系統(tǒng)的安全問題面臨著嚴(yán)峻的考驗。電子政務(wù)系統(tǒng)面臨的安全威脅可以分為以下幾個大類。

2.1 安全風(fēng)險

電子政務(wù)系統(tǒng)基于互聯(lián)網(wǎng)，因此，其搭建所用的物理設(shè)施即面對相應(yīng)的物理風(fēng)險，諸如火災(zāi)、地震等不可抗拒的因素將直接破壞電子政務(wù)系統(tǒng)的各類基礎(chǔ)設(shè)施，導(dǎo)致數(shù)據(jù)損壞、數(shù)據(jù)缺失，甚至可以導(dǎo)致整體存儲數(shù)據(jù)以及備份數(shù)據(jù)全部丟失，造成不可估量、不可挽救的后果。另外，存儲設(shè)備、計算機設(shè)備、傳輸設(shè)備等所需介質(zhì)的老化以及損壞同樣對電子政務(wù)系統(tǒng)的數(shù)據(jù)會造成破壞。其次，在信息的存儲、傳輸、處理以及維護(hù)過程中，由于人為的因素影響到所存儲的信息的準(zhǔn)確性、完整性以及可用性。比如，工作人員操作失誤的同時軟件自身缺乏合理性的驗證將直接導(dǎo)致處理結(jié)果錯誤。傳輸過程中地址被修改直接破壞數(shù)據(jù)準(zhǔn)確性。安裝維護(hù)處理不當(dāng)直接引發(fā)系統(tǒng)錯誤等等由于使用者及維護(hù)者的操作不當(dāng)引起的人為損壞。再次，內(nèi)部、外部人員有意損壞系統(tǒng)組件、蓄意備份、更改及銷毀信息數(shù)據(jù)、植入病毒木馬等等也將直接影響信息的完整與準(zhǔn)確，并且后果嚴(yán)重，損失巨大。最后，是來自管理上的風(fēng)險，即便有再好的安全防護(hù)措施，如果管理不當(dāng)依舊會影響其性能，例如對密碼口令的管理不當(dāng)可能導(dǎo)致數(shù)據(jù)丟失、密碼泄露等隱患的存在。管理制度的不完善也將造成電子政務(wù)系統(tǒng)的無秩序運行，影響辦公效率。安全崗位與職責(zé)規(guī)定不明確也會導(dǎo)致不能及時發(fā)現(xiàn)安全故障及隱患。甚至于設(shè)備采購人員如未按照規(guī)定采購配備有認(rèn)證以及許可的產(chǎn)品，也會容易引發(fā)系統(tǒng)數(shù)據(jù)安全問題。

2.2 安全威脅

首先，由于每個用戶的水平不一致，一些使用者的誤操作會使得電子政務(wù)系統(tǒng)存在安全隱患。其次，單個個體的惡意破壞會使電子政務(wù)系統(tǒng)數(shù)據(jù)遭到破壞，進(jìn)而影響日后的工作。再次，是來自黑客組織的威脅，由于黑客擁有很強的計算能力以及攻擊能力，會對電子政務(wù)系統(tǒng)構(gòu)成強有力的威脅，這些犯罪集團(tuán)甚至可能是與政府機關(guān)的軟硬件提供商或者相關(guān)的合作伙伴，這就使得電子政務(wù)系統(tǒng)更容易遭受破壞。最后，是國家層面的，攻擊者的資源非常充沛，技術(shù)也非常精湛，很有可能不計較任何經(jīng)濟(jì)代價的調(diào)動自身的國家資源來獲取以及破壞我國使用的電子政務(wù)系統(tǒng)，這種毀壞的代價是非常巨大而且可能無法挽回的。

2.3 系統(tǒng)建設(shè)面臨的安全問題

首先，當(dāng)前有很多電子政務(wù)系統(tǒng)的建設(shè)結(jié)構(gòu)以及標(biāo)準(zhǔn)均不統(tǒng)一，互相之間缺乏溝通，沒有統(tǒng)一的規(guī)劃，因此在建設(shè)層面缺乏信息安全的保障體系。其次，系統(tǒng)軟件本身就缺乏安全性，設(shè)計的漏洞以及安全功能的缺失都會給危害因素留下隱患。而且計算機系統(tǒng)本身也存在著脆弱性，包括易被監(jiān)聽竊聽，無法抵御自然災(zāi)害，突然斷電的容災(zāi)策略差等等。再次，由于我國的安全信息設(shè)備以及技術(shù)大多依賴進(jìn)口產(chǎn)品，缺少自控權(quán)，也是存在了安全隱患。最后，安全問題不只是技術(shù)層面，還包括管理層面，管理制度等防范機制的缺乏同樣給違規(guī)犯罪人員留下了可乘之機。

3 電子政務(wù)信息安全體系架構(gòu)

3.1 信息技術(shù)保障體系

電子政務(wù)系統(tǒng)的信息技術(shù)保障體系需要在不同的系統(tǒng)單元上配置與其相對應(yīng)的安全服務(wù)防范措施，每一種服務(wù)防范措施可以由一種或者多種的安全機制和手段來完成。不同的安全防范單元從不同的角度來做安全配置。

表1 可能采取的技術(shù)措施

3.2 組織管理保障體系

電子政務(wù)系統(tǒng)的組織管理保障體系包括了決策層、管理層和執(zhí)行層，如表2所示。決策層的責(zé)任人為決策重大安全事宜的領(lǐng)導(dǎo)小組，為最高決策人。管理層的主要責(zé)任人為信息安全管理辦公室，主要負(fù)責(zé)根據(jù)決策層的決定來規(guī)劃與協(xié)調(diào)安全方案、設(shè)置安全崗位。執(zhí)行層則是負(fù)責(zé)具體安全防護(hù)措施的工作小組，是信息安全工作的具體執(zhí)行人。

表2 電子政務(wù)系統(tǒng)的組織管理保障體系

3.3 規(guī)章制度保障體系

電子政務(wù)系統(tǒng)的規(guī)章制度保障體系主要包括與信息安全相關(guān)的標(biāo)準(zhǔn)保障體系、國家制定的法律法規(guī)以及各個政府機關(guān)自身制定的日常保障制度。安全保障體系包括應(yīng)用與工程安全標(biāo)準(zhǔn)、安全產(chǎn)品標(biāo)準(zhǔn)、安全評估標(biāo)準(zhǔn)等等。國家制定的法律法規(guī)包括《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《商用密碼管理條例》等等，這一系列的行業(yè)標(biāo)準(zhǔn)體系以及國家政策法規(guī)是政府機關(guān)日常信息安全工作的依據(jù)與保障。

4 結(jié)束語

電子政務(wù)系統(tǒng)在為政府機關(guān)提供方便快捷的信息發(fā)布、處理的同時，因其基于互聯(lián)網(wǎng)的特性決定了其必然存在各種安全漏洞與隱患。因此，電子政務(wù)系統(tǒng)的信息安全防范措施必須完善，涵蓋從決策層、管理層、執(zhí)行層逐級完善的安全體系結(jié)構(gòu)，以行業(yè)標(biāo)準(zhǔn)安全保障體系以及國家法律法規(guī)政策為依據(jù)，通過信息技術(shù)保障體系、組織管理保障體系、規(guī)章制度保障體系多個方面來確保電子政務(wù)系統(tǒng)的信息安全。

[1]秦天保.電子政務(wù)信息安全體系結(jié)構(gòu)研究[J].計算機系統(tǒng)應(yīng)用.2006-01-30.

[2]劉艷.關(guān)于電子政務(wù)信息安全管理體系建設(shè)的思考[J].電子世界. 2014-07-30.

[3]林樂堅，林向民，許哲君.關(guān)于電子政務(wù)信息安全管理體系建設(shè)的幾點思考[J].海峽科學(xué).2010-11-15.

The analysis of e-government information security architecture

Li Junwei
(Minzu Normal College of Hebei,Chengde Hebei, 067000)

This paper describes the concept of e-government system, starting from the current situation of information security of e-government system, analyzes the risks and threats, must have given the framework of e-government system information security system of the E-government security system, improve system accuracy, the integrity and availability of data, which guarantee the government department work.

e-government; security architecture

李軍偉，女，1982年11月，河北唐山，本科，講師，研究方向：計算機教學(xué)、電子政務(wù)。

教育部人文社會科學(xué)研究青年基金項目：《政府信息資源共建共享的主體、模式與績效研究－－以河北省電子政務(wù)建設(shè)為例》，項目編號：12YJC630094。