电子政务信息安全问题研究

一、电子政务信息安全的相关概念

信息安全提供信息和信息系统的保密性、完整性、可用性、可确认性和抗抵赖性，从而使信息和信息系统免遭未授权的访问、使用、泄露、干预、修改、重放和破坏，并保证使用和操作信息以及信息系统的任何实体的身份不被假冒或欺骗，实体的来源与行为可被唯一跟踪和不可抵赖。在国际标准《ISO/IEC17799：2005信息安全管理实施细则》中对信息安全的定义是：“保护信息的机密性、完整性、可用性及其他属性，如：真实性、可核查性、可靠性、防抵赖性。”电子政务信息安全是指政务数据信息在接收、处理等过程中不被窃取、篡改，即保证其准确性和及时性，其涵盖了信息环境、信息网络和通信基础设施、媒体、数据、信息内容、信息应用等诸多方面的安全需要。电子政务信息涵盖面广，往往涉及到许多个人信息、部分政治信息、部分金融信息、法律信息等多个方面，其信息安全需要符合完整性、保密性、授权真实性、信息可控性、信息实时性等特征。

二、电子政务信息安全面临的问题分析

1、信息安全保障体系

在电子政务立法方面，我国近年来已经出台了与网络信息安全有关的法律法规，取得了一定成绩，但我国的法律法规还存在缺陷。主要体现在结构单一、体系分散，尚未形成完善的法律法规体系；缺少网络信息安全基本法，对网络信息安全保障体系的构建缺乏整体考虑和规划；法律法规之间有的内容重复交叉，同一行为有多个行政处罚主体，法律法规之间相互抵触，处罚幅度不一；没有网络规划与建设、网络安全、数据的法律保护、信息跨境、隐私保护及IT供应链安全等相关方面的法律法规。

2、信息安全管理体系

（1）信息安全管理体制不完善目前尚没有统一的电子政务管理机制，使同级部门间的交流困难，上下级部门间的纵向政令不能及时传达，产生了“政出多门”和“政策拉车”的现象。面对这一情况，各级政府一般只从技术层面上采取措施，却忽略了建设规范的管理体制。目前，我国的电子政务系统在信息安全保密管理方面还没有统一的标准，对故障定位不够及时、不够准确，对安全事故无法应付，对安全责任的追查更是困难。（2）信息安全关于人的意识问题①信息接受者对信息的传播问题信息安全问题是伴随着人类信息活动的进行而产生的，信息由于网络和计算机技术的发展，开始快速传播。产生了相应的问题：制造与事实相反或完全不存在的信息；传播虚假、歪曲事实的信息；将正确的信息有意、无意的更改成错误的信息；通过不正当的途径获取信息；由于利益冲突销毁他人的有用信息。②电子政务系统使用人员的安全意识不高许多政府工作人员没有受到过有关安全法律法规和防范安全风险的教育与培训，对电子政务又缺乏科学、正确的认识，信息素养总体水平不高，不适应信息化办公的要求。据统计，我国电子政务信息系统的安全问题有将近80%来自内部工作人员。很多工作人员只希望提高办公效率，却忽视安全保密的问题，交叉使用移动存储介质等安全保密意识不强的行为常常为电子政务系统带来安全隐患。

3、信息安全技术体系

目前，很多地区和部门在电子政务建设上都投入了大量财力和精力，但由于起步晚、技术落后，我国的电子政务总体建设水平仍然不高。主要的核心产品基本上都要从国外进口，即便是我们国家自己研制开发的产品，有时也需拿到国外市场去加工，而这些加工环节就有可能留下安全隐患。我国政府花钱引进了不少国外设备，以加快电子政务的建设发展，但由于我们并没有掌握这些先进设备的技术，如果对这些引进的东西再缺乏有效的检测，不能排除安全隐患的话，就可能适得其反，花钱买隐患。

三、保障电子政务信息安全的对策

1、加强电子政务信息安全保障体系的建设

笔者仔细阅读了关于美国、日本和加拿大这三个电子政务高速发展国家，电子政务信息安全方面相关的立法，总结出以下三个观点：立法更新都相当迅速，根据最新的技术来进行相应的法律规范要求，同时又大力开发新的技术，使法律和技术共同发展；以一个立法为中心，其他法律围绕该律法，充分做到了各项事务有法可依；对于重点问题，有专门的法律法规依靠。我国应当积极借鉴国外先进经验，从以下几方面着手，及早建立起电子政务信息安全的保障体系：首先，在国家层面制定总体性的法律法规，各个地区再根据自身情况，在不违反总体性的法律法规前提下，制定自己的电子政务信息安全法律法规。其次，要尽量做到立法应技术同步，由于信息技术发展快速，立法却不能及时确保其不受到危害。最后，要加强信息安全的执法，培养并建立一支具有信息专业知识的专业队伍，保护企业和公民的合法权益，打击网络违法犯罪，做到依法决策、依法行政、依法管理。

2、健全电子政务信息安全管理体系的建设

（1）建立完备的信息安全管理机制

信息安全管理的关键在于组织领导，只有建立制度化的管理体系，才能各个环节实施中确保优质效果，以规避管理风险。一是国家建立能够维护各种信息安全利益的综合协调机构，来改变目前在维护信息安全时出现的职责不清、政出多门、多条管理等现状；二是各个职能部门要形成一个分工明确、责任落实的组织管理体系，共同履行信息安全管理的职责；三是建立省、市两级完善的信息安全领导体系，依据自己省市电子政务发展实际情况来制定相应的信息安全管理要求；四是采取有效措施，积极推进信息安全等级保护工作，按照信息的敏感和重要程度、信息的性质和部门重要程度，分级采取合理有效的措施。

（2）增强信息安全意识

①加强人的信息安全素养随着互联网的普及，信息安全时刻出现在人们的身边。首先，必须确保了解一些信息保护的基础知识。例如：了解移动介质（优盘、移动硬盘等）使用不当会泄密；了解各种病毒、木马的危害；了解下载特殊软件的推送服务和位置获取等信息。其次，定期做好电脑磁盘的清洁和定期扫描电脑漏洞，定时备份重要资料等。最重要的一点是，信息安全素养是要重点培养人们对信息安全行为进行批判性的认识，主动接受新的网络信息技术，树立对信息知识产权的敬重之意，用正确的视角思考、维护信息安全。②加强信息安全价值观的宣传为了提高信息安全的价值观，加强信息安全宣传是一种有效的方法。在这当中，信息安全保密与保护隐私等宣传是十分重要的。向全体民众进行价值灌输和价值培养，让民众树立正确的信息安全价值观念，同时调动主观能动性向损坏他人信息安全利益的信息安全行为做斗争，营造和谐的信息安全环境。③加强对信息人才的培养电子政务信息安全保障工作的专业性、技术性都很强，需要一批政治素质高、政务能力强、具备网络知识、信息安全技术、法律知识和管理知识的复合人才和专业人才。采取集中培训、分散学习、轮岗训练等多种方式培养管理人员和专业技术人员，最大限度的发挥人才效益。

3、完善电子政务信息安全技术体系的建设

（1）加强信息安全物理安全体系

①环境安全环境安全是指对系统所处环境的安全保护，如设备的运行环境需要适当的温度、湿度，尽量少的烟尘，不间断电源保障等。计算机系统硬件的安全性与环境条件密切相关，如果环境条件不能满足设备的要求，会破坏数据和缩短机器寿命，严重时可能危害人员的安全。②媒体安全数据备份是保障媒体安全的主要技术，其目的是为了在设备发生故障时保护数据，将数据遭受破坏的程度减到最小。常用的数据备份方法是可移动存储备份、可移动硬盘备份、软盘备份、磁带备份、本机多硬盘备份和网络备份。

（2）加强信息系统核心技术研发

如果能掌控自主核心技术的研发，就能全面增强国家信息基础设施、重点信息资源系统的安全保障及信息安全保密管理能力。以国家创新驱动发展为牵引，集中整合优势科研资源和力量，组织技术攻坚，做好高速加密通信芯片、操作系统、安全芯片、骨干网络核心交换设备安全操作系统、安全数据库及重要应用软件国产化等基础和核心信息安全技术的创新攻关。

（3）加强电子政务信息安全技术机制

①云计算云计算是很多技术混合演进的结果，包括网络计算、效用计算、虚拟化技术、WebServices、SOA等。云计算在电子政务信息安全中的益处表现为：由于云时代中数据的集中存储，使得数据泄密逐渐减少，并且更加容易实现了数据的监测。我国现在电子政务云面临的问题有三：法律方面，没有相关法规管理，导致有许多隐患的存在；技术方面，云计算和传统IT有很多区别，我国在接口平台环境资源方面处在一个欠缺的状态；最后，云计算在将资源集中整合之后带来的风险也会对信息安全造成威胁。总之这几方面对电子政务云的管理、产品、技术都提出了更大的挑战。②大数据近年来，大数据正成为继云计算、物联网之后信息技术领域的又一热点。大数据是规模非常巨大和复杂的数据集，具有四个典型特征：数据量是持续快速增加的；高速度的数据I/O；多样化的数据类型和来源；数据价值大。大数据最主要的作用是服务，即对人、机、物的服务。大数据带来了很多机遇，同时又给信息安全带来了挑战。大数据正在为安全分析提供新的可能性，对于海量数据的分析有助于信息安全服务提供商更好的刻画网络异常行为，从而找出数据中的风险点，防止诈骗和阻止黑客入侵。③数字签名技术所谓数字签名就是通过某种密码运算生成一系列符号及代码组成电子密码进行签名，来代替书写签名或印章，对于这种电子式的签名还可进行技术验证，其验证的准确度是一般手工签名和图章的验证而无法比拟的。数字签名是目前电子政务中应用最普遍、可操作性最强的一种电子签名方法。数字签名技术采用了规范化的程序，来鉴定签名人的身份以及对数据内容的认同。除此之外，它还能确切的验证出文件在传输过程中有无变动，确保传输电子文件的真实性和不可抵赖性。④防火墙技术防火墙是网络安全的屏障，是提供安全信息服务、实现网络信息安全的基础设施之一。防火墙能极大地提高一个内部网络的安全性，防止来自外部的攻击，并通过过滤不安全的服务降低风险。在电子政务信息安全运用中，能防止内部信息外泄和屏蔽有害信息，利用防火墙对内部网络的划分，可以实现内部网络对重点信息的隔离；当有可疑动作时，防火墙能自动进行报警，询问网络是否受到监测和攻击的详细信息；防火墙能严格监控和审计进出网络的信息，如果所有的访问都经过防火墙，那么防火墙就能记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数据。防火墙技术已经普遍应用，基本上每台电脑都会安装防火墙，是一个极其便民且重要的技术。

作者：侯亚杰 单位：广西民族大学