電子政務信息安全的評價體系探究

唐一冰

（長安大學，經濟與管理學院，行政管理專業，陜西西安710064）

1 我國電子政務網絡之基本結構

從當今國際形勢下的電子政務的發展經驗以及實踐經驗來看，電子政務的形式主要有四種，包括政府對政府，政府對企業，政府對公眾，政府對公務員的電子政務。由這四種基本模式構成的電子政務網絡可以稱為“三網一庫”。這主要是指內部的辦公業務網、業務的資源網、政府對公眾信息網以及數據資源庫。

（1）我們通常所說的″內網″就是內部的辦公業務網，它指的是政府以及包括行政管理部門在內的內部的辦公網絡。

（2）而我們通常所說的“專網”也就是政府辦公業務資源網，它是一個專門服務于政務辦公業務的網絡系統，這個網絡系統以本地政府為中心，主要是用來連接上級與下級政府、本地政府直屬行政機關與辦事機構的。

（3）我們所說的“外網”即政府公眾信息網，它是一種綜合性門戶網站，它面向公眾開放，是一種服務型且由政府機關管理維護的網絡。

（4）“一庫”即數據資源庫，是通過準確的數據統計服務于各級領導以及管理部門進而進行科學管理規劃、最終做出決策的重要依據和手段。

2 電子政務信息安全目標

電子政務信息安全的本質是要保證政府部門能夠順利高效地履行職能，這就要求它發揮信息維護系統作用的同時還要考慮到侵襲的風險。這一方面要求政務信息的基本設備以及服務應用可以抵御病毒攻擊、黑客入侵、間諜盜取甚至遭到恐怖組織的惡意侵害。另一方面還應防止政府內部人員的違規和非法操作，系統在網絡中出現的故障，信息產品的失調等諸多威脅。同時還應具備以下五種能力。

（1）可用性目標

可用性目標是信息安全目標的重中之重，它是首要目標，是政務系統正常運作的基礎且保障經授權用戶得到所需信息的服務。

（2）完整性目標

完整性也是電子政務系統中信息安全當中最重要的目標，它能夠預防數據在傳輸的過程當中不被篡改以及系統功能不遭到破壞。

（3）保密性目標

保密性目標的重要性相對于可用性和完整性較弱。它表示只有經授權的用戶才有權瀏覽帶有密級或者私有的信息。

（4）保障性目標

電子政務信息安全系統的信任基礎即為保障性。保障性目標是指能夠提供電子政務的基本功能之外并且實現其子政務系統功能，與此同時，在用戶或軟件出現故障時，它可以提供一定的保護；在系統遭受惡意攻擊時，它也可以提供充分的保護。

（5）可記賬性目標

可記賬性目標即能夠如實記錄一個部門的全部行為的電子政務系統。包括事后恢復、法律訴訟、隔離故障、檢測和防止入侵、懲罰違規、拒絕否認等不同情況提供相應的支持。

3 電子政務信息安全任務

由于電子政務所包含的系統是政府機構用來執行政府公職的系統，政府機構行業性質往往與國家緊密相關，由此可見，與其他網絡系統不同，電子政務網絡的信息安全需具備更高的要求。第一，信息的真實性。這要求電子政務確保信息在傳輸過程中涉及用戶的身份是真實的；第二，信息的完整性。它要求傳遞與存儲信息的過程中要避免遭受惡意的破壞，從而保證信息的安全；第三，可用性。即保證經過授權的用戶可以順利正常地使用信息系統；第四，可控性。要求根據用戶身份的權限來管理其訪問信息的范圍；第五，確認性。即建立一個責任機制，從而使用戶承擔起其對信息操作的責任感；第六，不可否認性。即要求發送以及接受信息的雙方不能否認自己正當與不當的行為；第七，機密性。是指信息在傳輸和使用的過程當中，要確保信息未經授權而導致泄露。

4 電子政務信息安全評價體系研究

在經過分析電子政務信息安全的要求和任務之后，通過信息安全的4個層次為基礎，可以建立一套相關的有效的信息安全評價體系。

（1）信息安全

信息安全主要包含五個方面的特性，即保密性、真實性、完整性、未授權拷貝和所寄生系統的安全性。單一的信息保密措施還遠遠不夠，還要求我們通過多種保密措施來確保信息的安全。

信息安全存在著來自于多方面的威脅，根據不同的性質可歸納為：

a.破壞信息的完整性：非授權用戶違反規定對數據進行修改、刪除或著破壞，從而導致數據損壞。

b.信息泄露：即把受保護的信息泄露給未經授權的用戶。

c.非授權訪問：非授權用戶非法訪問以及使用信息。

d.拒絕服務：授權用戶正當訪問信息或其他資源時受到非法阻止。

e.業務流分析：它是通過對系統的長期監聽，利用統計分析方法，不光對通信頻率、通信的信息流向、以及對通信總量變化的參數進行分析，由此發現有價值的信息。

f.竊聽：即利用非法的手段竊取系統中重要的信息資源。

g.旁路控制：即攻擊者利用系統的安全漏洞獲得非授權的權利。

h.假冒：即攻擊者假冒成為合法者，這一般都是通過非法手段欺詐通信系統或用戶來實現的。

i.計算機病毒：即在計算機運行時對系統文件或信息進行侵害傳染的一種程序，達到非法的目的。

（2）數據應用安全

要保證電子政務的數據和應用安全，則需要更可靠的硬件環境。我國的電子政務體系通常指通過互聯網技術來實現的運作架構，它主要包含所需的″軟件″結構和″硬件″結構。

要逐步實現國產化就要求電子政務應用軟件產品具備良好的平臺無關性和可移植性。其評價也應當把握以下幾個指標：

a.產品必須具有公安部核發的《計算機信息系統安全專用產品銷售許可證》和相應的檢測報告。

b.產品必須具有國密辦對產品加密算法出示的批文。

c.選擇產品的知識產權必須為我國自主所有。

d.選擇具有更先進技術的安全產品。

e.嚴密檢查安全產品在權威機構的檢測報告，其各項安全功能是否達到安全要求。

（3）網絡安全

網絡安全是指向公眾提供一種方便、快捷、透明的電子政務系統。對于電子政務的信息安全來說，主要包括下面幾點：

a.使不同業務、部門、行業在統一的網絡平臺中實現受控互訪和隔離的功能。

b.使認證和管理合法用戶的功能得以實現。

c.使全網實現統一管理。

d.使網絡平臺能夠平滑過度以及更多業務的實現。

e.使移動辦公業務得以實現并且提供有效地數據安全保障。

（4）有效管理

目前，系統信息安全管理中存在的漏洞往往是受到外部入侵和內部的破壞。有效管理的意義則主要包括在工作過程中工作人員擅自離開崗位，機房重地的隨意出入以及在本地磁盤臨時存放一些敏感信息等。由于內部人員熟練地了解系統及網絡，而且又對系統管理員的工作規律方便掌握或者作為管理員本身職位特殊等因素，從而相對容易進行破解密碼、網絡的刺探、嘗試登錄系統及輕易的繞過訪問控制機制等非法操作從而對信息造成威脅，因此機構內部也許出現更大的威脅。

管理有效是影響電子政府信息安全最重要的因素之一，安全系統的核心為政府工作人員的安全策略。政府機構通常可以依照制度管理、人員管理、機構管理等三個方面進行規范管理，從而確保電子政務信息安全。

5 總結

由于電子政務網絡因涉及政府機密信息，對于網絡信息的安全要求很高，不僅需要通過提高系統防范能力來抵御外來非法攻擊，同時要確保數據遠程傳輸的保密性。因此，要從制度建設和管理機制入手，建立一套安全、高效的規范制度和安全法則，是電子政務的網絡安全有法可循，杜絕因為人員的因素導致對網絡安全威脅的事件發生。

本文借鑒國外電子政務發展經驗，從影響電子政務信息安全的因素出發，從信息安全的層次入手，參照信息安全的四個層次制定了以上評價指標，構建起一套評價體系為電子政務的信息安全進行自我評價體系。并以此在網絡建設過程中，引入風險評估策略，則將進一步對于電子政務信息安全在管理方面有著更進一步的提高。

[1]蒲曉曄.中國電子政務安全管理問題研究[D]：西北大學.2007

[2]姜志能.基于電子政務發展要求的政府信息安全問題研究[D]：江西財經大學.2012

[3]樊西峰.我國電子政務發展的在提升與整合[J].政治與社會.2012.9

[4]方振邦，葛蕾蕾.韓國政府績效管理的發展及對我國的啟示[J].煙臺大學學報.2012（7）：90-91