電子政務中信息安全研究

黃晶鳳

摘 要 我國電子政務在基礎環境建設、業務系統應用和信息資源開發等方面取得了重要進展，為帶動國民經濟和社會信息化、促進政府職能轉變起到了積極作用。電子政務涉及對國家秘密信息和高敏感度核心政務的保護，設計維護公共秩序和行政監管的準確實施，涉及到為社會提供公共服務的質量保證。

關鍵詞 電子政務 信息安全

中圖分類號：C931 文獻標識碼：A

1電子政務中的信息安全

電子政務中的信息安全包括了信息的機密性、完整性、可信性、可控性、不可否認性等。我國立法把信息安全界定為“保障計算機及其相關的和配套的設備、設施（網絡）的安全，運行環境的安全，保障信息安全，保障計算機功能的正常發揮，以維護計算機信息系統的安全”。從這一法律規定看，計算機信息系統安全應當包括實體安全、信息安全、運行安全和人的安全。

20世紀90年代以來，信息技術革命在世界范圍內加速推進，覆蓋全球的信息網絡系統逐步建立。信息網絡系統已成為社會各個領域不可或缺的基礎設施；然而，信息技術的發展和廣泛應用，在給世界各國帶來重大發展機遇的同時，也給國家安全帶來了新的威脅與挑戰——國家信息安全問題日漸突出。國家信息安全得不到保障，會使國家建設遭受毀滅性打擊，并引發其他領域的不安全，可見，在信息技術廣泛滲透于各個領域的條件下，信息安全在國家安全中占居戰略地位，已經成為國家安全的基石。

一個國家的信息安全，實際是由兩方面構成的。其一，為一個國家在信息安全方面采取的一系列組織措施及有關政策、法規；其二，為強有力的、切實可行的技術手段及有關技術裝備。在信息安全中其地位舉足輕重，尤其作為信息技術相對落后的我國如何調整信息安全戰略，完善信息安全保障法律規范，不僅是提高信息安全保障能力的手段和方法，而且是提高信息安全技術的前提和保證。

2我國電子政務信息安全的目標及現狀

2.1電子政務信息安全的目標

信息系統信息安全的宗旨是通過在實現信息系統時充分考慮到自身、伙伴和客戶的信息風險，確保組織能夠完成它的全部使命和目標。進而言之，電子政務系統信息安全的宗旨就是通過在實現信息系統時充分考慮信息風險，從而確保一個政府部門能夠有效地完成法律所賦予的政府職能。電子政務信息安全必須實現以下目標：可用性目標，完整性目標，保密性目標，可記賬性目標，保障性目標。

可用性目標是指確保電子政務系統有效率地運轉并使授權用戶得到所需信息服務。通常，可用性目標是電子政務系統的首要信息安全目標。完整性目標包括兩個方面：數據完整性和系統完整性。通常，完整性目標是電子政務系統除了可用性目標之外最重要的信息安全目標。保密性目標是指不向非授權個人和部門暴露私有或者保密信息。通常，對于大多數電子政務系統而言，保密性目標在信息安全的重要程度排序中僅次于可用性目標和完整性目標。然而，對于某些特定的電子政務系統和數據，保密性目標是最重要的信息安全目標。可記賬性目標是指電子政務系統能夠如實記錄一個實體的全部行為。通常，可記賬性目標是政府部門的一種策略需求。可記賬性目標可以為拒絕否認、威懾違規、隔離故障、檢測和防止入侵、事后恢復和法律訴訟提供支持。保障性是電子政務系統信息安全的信任基。保障性目標突出了這樣的事實：對于希望做到安全的信息系統而言，不僅需要提供預期的功能，而且需要保證不會發生非預期的行為。具體而言，保障性目標是指：提供并正確實現需要的電子政務功能；在用戶或者軟件無意中出現差錯時，提供充分保護；在遭受惡意的系統穿透或者旁路時，提供充足防護。

2.2 我國電子政務中信息安全的現狀

目前我國電子政務中的政府信息安全問題突出表現在：一是我國政府信息網絡安全存在嚴重隱患。網絡非常脆弱，各種安全隱患普遍存在。掌握了一定技術的人可以輕易獲取網絡服務器上的用戶賬號信息和口令文件，并可進入系統修改、刪除重要數據文件。二是互聯網上和針對計算機信息系統的違法犯罪活動日益增多。近年來，金融機構內部利用計算機犯罪案件大幅度上升；在互聯網上泄露國家秘密的案件屢有發生。三是境內外黑客攻擊破壞網絡的問題十分嚴重。他們通常采用非法侵入重要信息系統，修改或破壞系統功能或數據等手段，造成數據丟失或系統癱瘓，給國家造成重大政治影響和經濟損失。四是境內外敵對勢力、敵對分子和非法組織利用互聯網進行煽動、滲透、組織、聯絡等非法活動日趨突出。

3 我國電子政務中信息安全的保護對策

針對我國信息安全的現狀，結合我國電子政務的實際，當前在政府信息安全的保護方面的當務之急是：

3.1盡快建立我國信息安全的保護體系

國家應該組建國家信息安全委員會。該組織負責組織和協調國家安全、公安、保密等職能部門，在信息化建設中信息安全的分工，對國家信息安全政策統一步調、統籌規劃。

要建立我國信息安全的保護體系，必須盡快完善國家信息安全基礎設施建設。目前就我國的信息產業無論是技術、管理還是生產規模、服務觀念，都不具備力量在短時間內使國產信息產品占領國內的主要市場。自主的信息產業或信息產品國產化是信息安全的根本，國產化不等于絕對安全，而絕對安全卻需要國產化。國家可集中人力、物力和給以政策，大力發展自主的專用芯片、自主的密碼技術產品等，以確保關鍵部門的信息系統的安全。

3.2進一步完善我國信息安全保障的法律體系

雖然我國已頒布相當數量的信息安全方面的法律，但是目前我國立法層次不高，現行的有關信息安全的法律規范大多只是國務院制定的行政法規或國務院部委制定的行政規章；法律規定之間不統一；立法理念和立法技術相對滯后等，因此要進一步完善我國信息安全的法律保障體系。

第一、確立科學的信息安全法律保護理念。修正傳統的立法理念，改變落后的調整方法，把信息安全法制保障的重點轉移到信息化的建設與發展上來構筑適于信息網絡安全實際需要的法治文化。第二、構建完備的信息安全法律體系。信息化的社會秩序主要由三個基礎層面的內容所構成，即信息社會活動的公共需求，信息社會生活的基本支柱和信息社會所特有的社會關系。信息社會所特有的社會關系是指在國家信息化建設的過程中，參與其中的各個主體之間由于其信息化活動而產生的各種社會關系，具體將表現為相應的法律關系，國家信息化建設所應有的政策法律環境也就必然是由對應的指導政策、技術標準和法律規范等三項內容所共同構建的三位一體的且能夠發揮促進、激勵和規范作用的有機的體系。

3.3建立電子政務信息安全四大體系

電子政務的信息安全建設是在適當的信息安全保障體系和框架指導下進行的一項系統工程。這項工程包括密切關聯的四大體系：安全管理體系、預警檢測體系、安全防護體系和響應恢復體系，其中，安全管理體系是整個信息安全保障體系中最核心的組成部分，是貫穿其他三個體系的主線。建立健全安全管理體系，最重要的是針對電子政務的現有情況制定統一的行政管理制度，在整個網絡系統中貫徹執行。入侵檢測系統是目前最為主要的一個廣泛應用的技術和管理手段。利用網絡入侵檢測系統，可以了解網絡的運行狀況和發生的安全事件，并根據安全事件來調整安全策略和防護手段，同時改進實時響應和事后恢復的有效性，為定期的安全評估和分析提供依據，從而提高網絡安全的整體水平。安全防護體系包括防火墻、身份鑒別與認證、系統訪問控制、網絡審計等內容。響應恢復體系包括應急響應和業務連續性計劃兩個方面。電子政務信息系統已經成為電子政務業務的支撐平臺。安全策略中必須具備應急響應手段，保證電子政務發生安全事故后，能夠及時作出有效響應，采取合適的應急措施處理事故。

參考文獻

[1] 岳建偉，劉生權，鐘耳順，姚敏，方利，張建平.電子政務系統協同式開發平臺研究.《計算機工程》，2007.03.

[2] 常永新.我國電子政務中的信息安全休息安全問題分析.《人民論壇》，2011.14.

[3] 孔永紅.基于知識協同的電子政務問題與對策研究.《電子商務》，2007.07.