電子政務系統信息安全保障體系建設研究

黎丹

摘 要：我國的電子政務建設已覆蓋到金融、外貿、社會保障、稅務等多個領域，因電子政務系統的特殊性等因素，其穩定性和數據安全都顯得至關重要。開展電子政務信息系統的安全保障工作就是保障電子政務的生命線。本文重點研究了如何建立電子政務信息系統的安全保障體系，并使其發揮應用的作用。

關鍵詞：電子政務；信息安全；保障體系

說起電子政務，大家也許首先想到的就是各級政府門戶網站，認為電子政務就是通過政府門戶網站提供的便民公共查詢窗口查詢信息或是通過網上辦事通道辦理申請或審批業務。這是狹隘的理解，門戶網站只是電子政務的一部分，并不是電子政務的全部。電子政務是“運用計算機、網絡和通信等現代信息技術手段，實現政務組織結構和工作流程的優化重組，超越時間、空間和部門分隔的限制，簡稱一個精簡、高效、廉潔、公平的政府運作模式，以便全方位地向社會提供優質、規范、透明、符合國際水準的管理與服務。”

簡單講，電子政務就是政府通過現代通信技術手段組建一個優于傳統模式的政府運作模式，并向社會提供管理與服務。其實，電子政務離我們并不遙遠，它已經深入到了我們的日常生活中。舉個例子，我國于1993年開始啟動“金卡工程”，它以計算機、通信等現代科技為基礎，以銀行卡等為介質，通過計算機網絡系統，以電子信息轉帳形式實現貨幣流通。如今，我們使用帶有銀聯標志的金融卡可以在任意標有銀聯標志的商戶進行消費，我們可以通過銀行ATM機辦理同城或異地，同行或跨行轉賬匯款等業務，使用銀行卡進行消費、轉帳、結算正逐漸成為一種時尚，“金卡工程”實現了“一卡在手、走遍神州”，為企業和個人提供了方便、快捷、安全的支付和消費手段，與此同時，它使企業和個人的交易、轉帳、消費和稅收納入國家統計體系之內，加強了國家的監管。又如我國于2001年開始啟動的“金關工程”，它在實現海關內部作業流電子化的同時，利用現代信息技術，依托國家電信公網，將進出口業務信息流、資金流、貨物流信息集中存放在一個公共數據中心，監管部門可以進行跨部門、跨行業的聯網數據核查，企業可以上網辦理出口退稅、報關申報、轉關申報等多種進出口手續。

1 電子政務系統安全保障的重要性

電子政務已覆蓋到我國金融、進出口貿易、社會保障、稅務、公安、財政審計等多個領域，電子政務系統的穩定和數據安全關系重大，我國對電子政務的信息安全工作非常重視，中央辦公廳于2003年下發了《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發[2003]27號）、公安部于2004年9月發布了《關于信息安全等級保護工作的實施意見》（公通字[2004]66號）、國信辦于2005年9月發布了《電子政務信息安全等級保護實施指南（試行）》（國信辦[2005]25號），供各級黨政機關在新建電子政務系統和已建電子政務系統中開展信息安全等級保護工作參考。保證電子政務系統實現其功能和保證電子政務系統的數據安全是電子政務系統安全保障的兩項基本任務。

2 信息安全管理體系建設

電子政務的安全保障是依托對電子政務信息系統的安全保障實現的，信息安全管理應該建立在一套完備的安全管理體系基礎之上的，由電子政務信息系統的建設維護單位自上而下的開展。

2.1 信息安全管理體系建設的內容

安全管理體系應該包括安全方針、信息安全組織、資產管理、人力資源安全、物理和環境安全、通信和操作管理、訪問控制、信息系統獲取開發和維護、信息安全事件管理、業務連續性管理和符合性等內容。具體要求參見我國2008年發布的《信息技術 安全技術 信息安全管理體系 要求》（GB/T 22080-2008）。

2.2 信息安全管理體系建設的意義

建立完善的信息安全管理體系，使得電子政務信息系統能夠有專門的組織或機構負責其安全管理，有了明確的職責劃分和責任認定，有助于順利開展組織的信息安全管理工作。在信息系統全生命周期內對構成信息系統的各要素的安全管理進行規范化管理，形成制度體系，以便其落地實施，會使電子政務信息系統的安全管理更加科學化、規范化和標準化。

3 安全基礎設施建設

電子政務信息系統的建設和運行需要基礎設施的支撐，電子政務面向社會公眾或特定人群提供服務，首先要搭建與互聯網對接的網絡系統，再解決互聯網絡上的用戶身份鑒別問題，此外還要根據國家信息安全等級保護的有關要求，結合電子政務所在的行業以及提供服務的性質，考慮系統和數據的容災備份。

3.1 網絡建設與安全域劃分

電子政務往往需要建設專有網絡系統，以便將業務覆蓋到本行業的下一級乃至更下一級的業務部門，如“金保工程”將建立三級網絡納為其建設內容，即搭建中央、省、市三級安全高效的網絡系統；“金關工程”中也包含主干網建設內容。電子政務信息系統建設單位可以根據電子政務所處行業、服務和管理內容等，制定網絡建設規劃，并根據電子政務信息系統的安全保護級別相對應的要求劃分網絡安全域。

3.2 公鑰基礎設施（PKI）

公鑰基礎設施PKI利用數字證書標識密鑰持有人的身份，通過對密鑰的規范化管理，構建和維護一個可信賴的系統環境，為應用系統提供身份認證、數據保密性和完整性、抗抵賴等各種必要的安全保障。電子政務需要面向社會群眾或特定群體通過網絡提供服務，就需要解決網絡環境下的身份鑒別與抗抵賴性問題，即解決如何驗證用戶為合法用戶，以及如何防止用戶否認其行為的問題。公鑰基礎設施（PKI）就能夠很好的解決上述問題。稅務系統和電子口岸就采用了PKI技術，在電子政務信息系統中應用PKI，在保證電子政務系統安全的前提下，解決了電子政務系統中的抗抵賴性問題。

3.3 系統與數據容災備份

電子政務信息系統應根據其信息安全保護等級和業務連續性要求選擇是否建設災備系統，以防止因系統終止提供服務而對用戶的正常生產生活產生影響，甚至造成社會影響；電子政務信息系統應根據其數據的重要程度制定數據備份策略，以防止因數據丟失而造成損失。

4 信息安全防護體系建設

電子政務信息系統依托現代技術建設，其安全防護體系應圍繞著它的基礎設施、硬件設備（主機、存儲、網絡設備、安全設備等）和人（建設人員、維護人員、使用人員等）構建。

4.1 個體安全防護

硬件設備是構成電子政務信息系統的最小單元，針對硬件本身進行的安全防護可看做是個體安全防護。個體安全防護的目標是提升個體的安全防護能力。針對不同類型的硬件設備，有不同的安全防護手段或技術。例如：應針對不同操作系統和版本的主機設置安全加固配置基線，統一管理主機安全配置；部署Windows操作系統的服務器需要安裝防病毒軟件；及時更新系統補丁；加強個體的賬號管理和訪問控制；部署第三方加固軟件等。

4.2 區域安全防護

電子政務信息系統的網絡依據其功能和互聯需求劃分為不同的安全區域，安全域是指同一環境內有相同的安全保護需求、相互信任、并具有相同的安全訪問控制和邊界控制策略的網絡或系統。例如：有與互聯網聯通需求的網絡需要劃分專門區域用于接入互聯網。

區域安全防護包括邊界安全防護和區域安全管理兩部分。不同安全域之間以及內部網與外部網之間形成的界限稱為邊界，邊界安全防護的目標是阻止未被允許的訪問，具體可通過防火墻、交換機、入侵防御、防病毒網關等實現；區域安全管理的目標是掌握區域內的安全狀態，及時處置區域內產生的安全事件，具體可通過漏洞掃描、安管中心、安全審計等實現。

4.3 基礎設施安全防護

電子政務信息系統最為關鍵的基礎設施是運行機房，機房內運行著所有的硬件資產和軟件資產，其安全防護工作包括機房電磁屏蔽、消防、電氣、空調、防盜等等。

4.4 信息安全審計

將信息安全審計作為單獨一條是用來強調它的重要性，電子政務信息系統的建設和運維都離不開人，對人員的安全管理是保障安全方針策略得到有效執行的關鍵。“堡壘最容易從內部攻破”，再安全的外部防御也無法抵擋由內而外的攻擊。電子政務系統往往會因其特殊的應用而產生許多敏感數據，這些數據大多涉及個人及企業團體的基本信息數據及其生產數據等，部分還會涉及商業秘密，一旦發生人為的泄密、數據盜取、后門等安全事件，其后果將不堪設想。因此需要電子政務信息系統建設維護單位建立完善的信息安全審計體系，對系統建設和維護的關鍵環節實施信息安全審計，通過制度宣貫和技術手段起到威懾的作用，讓人員有“伸手必備捉”的危機感。

5 明確第三方服務保障

電子政務信息系統的建設離不開第三方的支持，網絡線路需要向運營商申請并由其保障線路通信質量，軟硬件設備需要向供應商采購并由其提供維保服務和技術支持，部分單位的電子政務信息系統是委托第三方開發建設的或有委托第三方進行運行維護的，等等。第三方的服務保障質量、對已掌握的資源是否嚴格管理等問題關系到電子政務信息系統的安全，因此有必要與第三方簽訂明確的服務保障合同，確定第三方的責任和義務、提出第三方的保障要求并簽訂相應的保密協議。

6 結語

我國電子政務的建設還將不斷持續下去，已建的或正在籌建的電子政務都應重視電子政務的信息安全保障問題，認真思考建立適合的信息安全防護體系，為電子政務提供安全可靠的支撐平臺。

參考文獻

[1] 侯衛真 《電子政務的建設與發展》[M] 中國人民大學出版社 2006.3

[2] 程桯 《PKI技術在電子政務中的應用研究》[D] 2004.10

[3] GB/T 22080-2008《信息技術安全技術信息安全管理體系要求》[S] 2008