電子政務系統信息安全問題研究

趙云棟

摘 要：電子政務的前提是互聯網技術的網絡平臺，是基于全球性的、缺乏規范性的網絡所開展的政務行為，在這個網絡中，信息安全存在著一些隱患，對于電子政務系統更是提出了嚴峻的挑戰。一旦信息安全受到威脅，政務系統便會面臨莫大的危機。因此，該文著眼于電子政務與信息安全的概念，從三個方面就我國電子政務信息安全問題進行了分析，并就電子政務系統信息安全問題的應對策略進行了探討，希望可以藉此更好地建立健全電子政務系統，關注信息安全問題，凈化電子政務系統環境，更好地促進電子政務的發展。

關鍵詞：電子政務系統 信息安全 軟件技術 組織管理

中圖分類號：TP309 文獻標識碼：A 文章編號：1674-098X（2015）09（b）-0048-02

在信息化不斷推進的今天，社會各行各業比以往任何時候都更依賴于信息網絡，需要借助信息網絡實現快速發展，然而互聯網缺乏有效的監管，導致信息安全面臨著巨大的挑戰。尤其是政務部門信息系統涉及政治、國防、公共服務、國家機密等內容，一旦泄露或者被破壞，那么地方政府、甚至國家安全將面臨嚴重威脅。因此，在當前的電子政務信息系統中，應特別關注安全問題，做好安全保障工作，提升電子政務信息安全整體水平。

1 概念定義

1.1 電子政務

在此引用聯合國的一個明確定義：“電子政務是指政府通過信息技術手段的密集性和戰略性應用組織公共管理的方式，旨在提高政府的工作效率，增強政府的透明度，改善財政的約束力，提高公眾參與度的行政方式。”

伴隨著互聯網的出現與發展，我國電子政務于20世紀80年代出現，于90年代至今取得了長足的進步。我國電子政務主要有兩種類型——政務內網和政務外網。政務部門的核心信息存儲在政務內網中，包括涉密和敏感信息，其安全性要求高，與外界網絡是物理隔離的，處于一種真空狀態，安全系數高。而政務外網不同于政務內網，它是政務部門對外服務的窗口，為了方便信息公開和公眾查詢，必須連接互聯網，安全風險較大，因此政務外網是信息安全的重災區，需要我們特別關注。

1.2 信息安全

所謂信息安全，是指信息系統中用戶信息的保密性與安全性。在互聯網環境中，普通用戶信息時刻面臨著安全威脅，由于政務部門業務特殊性，電子政務系統更受矚目，更易遭受各類攻擊。

2 我國電子政務信息安全問題

當前我國電子政務信息安全問題主要包括網絡安全技術、軟件技術、組織管理問題三個方面，這些信息安全問題長期困擾著電子政務運維管理人員。

2.1 網絡安全技術問題

相比歐美等西方國家，我國互聯網產業起步較晚，網絡安全技術特別是一些前沿技術相對落后。雖然我國網絡安全廠商近年取得了長足的進步，但是部分核心技術仍然受制于國外廠商。國內系統安全工作和安全協議研究方面與國際先進水平相比差距也很大，沒有完善安全理論與系列算法。國內相關部門借鑒國外技術自主研制多種安全設備（如防火墻、安全網關、入侵檢測等），但這些安全技術手段普遍依賴開源的通用算法，并在完善度與規范化方面存在欠缺，仍然需要不斷改進。

2.2 軟件技術問題

我國的電子政務系統不僅在硬件方面存在著隱患，軟件方面也存在問題：主要操作系統的核心技術掌握在別人手中，因此無法從根本上保證電子政務信息系統的安全性。操作系統、中間件、數據庫軟件均受制于人，無法做到完全自主可控，這些關鍵軟件的主動權始終掌握在外人手里，對我國電子政務發展威脅巨大。這些底層系統軟件的風險，電子政務的管理主體不易察覺，使安全隱患更進一步加大。

2.3 組織管理問題

電子政務系統的組織管理不到位是我國電子政務系統信息安全存在的另一大隱患。電子政務系統管理過程中組織不清晰，管理主體責任不明確，管理主體分散，這樣的組織管理會導致在電子政務信息系統運行中的出現各種安全問題：有的方面無人管，有的方面管理方過多，每個管理方都有各自的上級組織，且相互之間的管理關系又不明確，從而導致電子政務信息系統在管理過程中變得錯綜復雜。我國在對電子政務系統的安全進行管理時，通常是由一個管理方來制定相關的策略，而整個建設過程是由另一個管理方完成的；其安全策略的是由數個管理方共同來落實的，因此難以做到集中、全面的管理。

3 解決電子政務系統信息安全問題的措施

電子政務系統信息安全問題直接影響到政務部門的正常工作，因此必須積極想辦法進行處理。針對上面所提到的電子政務系統中的信息安全問題，可從以下三個方面著手進行解決。

3.1 改進以往的信息安全管理體制，使之適合目前的電子政務安全管理

從上面所講的內容中能夠看出，現在我國在電子政務系統信息安全方面存在不足主要是由于該系統組織管理層面的原因所造成的。所以若要確保信息安全，就一定要先從改進信息安全管理體制著手，以從組織層面消除對電子政務安全管理的不利影響。

3.1.1 設立管理的中心部門，明確責任

應設立管理的中心部門（如信息安全控制總部），由其制定總體信息安全政策，對各有關機構的信息化安全進行全面的管理，而且還應組建安全執行組織、安全監督組織、安全評價組織等，各級地方政府也應增設相應安全組織，劃分好具體的責任，由他們來給出各自內部信息資源的使用規定，使各個部門的信息資源都能夠被合理安全的使用。

3.1.2 完善信息安全規定，控制業務行為

應完善信息安全規定，做到對網絡安全操作進行全面的約束。主要含有以下幾點內容：口令、密碼每次使用的時間不能過長，要按時進行更換；給出安全管理計劃，從各方面完善網絡操作的要求，且要經常對安全計劃的落實情況進行檢查；在操作前對操作人員進行安全講解；要定期對數據庫的工作情況進行檢查，妥善保存好有關的信息文件；在操作中隨時注意出現的問題，做好記錄，并及時進行處理；將安全操作的有關情況及時報告給主管安全的管理部門。

3.1.3 進行信息技術培訓

對于政府部門的工作人員，應加強信息技術培訓，使其掌握必備的信息技術知識與技能。尤其是主管政務外網的運維人員，更要增強安全技術知識的培訓，使其掌握更多的信息網絡安全內容，嚴守操作規則，最大程度地降低信息安全威脅。

3.2 確立保障信息安全的整體策略

電子政務面對的信息安全方面威脅是多方面的，所以，要實施能讓其安全性獲得保障的整體措施。這包含以下幾方面—— 政府牽頭、社會參加，全局治理、積極防御、等級保護以及保障發展。

第一，電子政務這項公共服務事業是由政府、有關企業還有千千萬萬普通用戶一起構架的，牽涉的范圍很寬泛，是構成國家安全的一個核心要素。因此，需要由國家牽頭。有關這方面的基建需要由政府統一籌劃，跟這方面有關的產品的研發還有安全保障系統的架設，都要在政府的技術標準還有法治框架下運行，必須通過國家權威機構的檢驗和認證。相關安全產品、協議的研制與開發離不開社會組織、企業、個人的參與，國家指引發展方向，社會力量才是發展的源動力。

第二，電子政務是一個浩大的體系，保證其安全應該從整個體系的完整性、多層次性來進行考量，利用盡可能多的手段來進行全局治理。這樣才能不放過系統的每一個弱項。按照木桶理論，任何方面的短板都可能讓整個體系出現缺陷，最后只是做無用功。不能只治標、不治本，把相互間缺乏聯系，沒主動防護功能的設施簡單疊加起來，這樣很難統籌兼顧，缺乏對逐漸深入的動態安全威脅的防范能力。只有實施動態的監測手法，才能將原來缺乏互聯互通的相關產品有機組合成一個整體防護系統。全局安全系統應具有預先警告、動態監測、防護、反饋以及恢復等功能，這樣的有機整體系才能發揮積極防護的作用。

第三，電子政務永遠會有信息安全方面的風險，不可能保持絕對的安全。任何細節都要達到最高級別安全性是不可取的。應當依照信息不同的價值、保密程度等安全風險來進行等級劃分，不同級別應用不同的防護手段，實現風險和成本的平衡。

3.3 進行技術研發

我國當前電子政務系統中軟硬件都同發達國家存在著差距，因此提高電子政務系統的信息安全水平最主要的途徑便是進行自主技術研發。

3.3.1 安全部件要進行安全測試

目前，全球包括中國都擁有自身的安全測試組織。因為在這個領域要用到的網絡軟硬件都應該去相關組織進行對應的檢測。并且這些產品在被用于電子政務系統之前，應取得測試證書。

3.3.2 設立密鑰分配中心

建立密匙的管理中心、訪問的控制中心、安全鑒別服務器及授權服務器等。基于非對稱算法的身份認證系統，是電子政務重要的安全基礎設施。電子政務相關業務的所有參與者都應通過合法途徑獲得身份證書，利用證書可實現通訊加密、信息加密、電子簽名、身份確認的功能，從而實現電子政務基礎信任鏈。建立密鑰分配中心可有效管理各級電子政務身份證書，提供身份密鑰的注冊、簽發、吊銷等管理功能。

3.3.3 完善信息傳遞系統

信息傳遞系統應具有抗偵聽、抗截獲的能力，能對抗傳輸信息的篡改、刪除、插入、重放、密碼破譯等主動攻擊和被動攻擊，保護信息的機密性，保證信息和系統的完整性。電子政務系統中的大部分信息都要在網絡中進行傳輸，為保障信息在網絡傳輸的安全，必須采取有效措施來加以防范。

4 結語

綜上所述，我們從電子政務與信息安全的定義入手，分三個方面對當前電子政務系統存在的信息安全隱患進行分析，并有針對性地提出三個方面的應對策略。電子政務是政府辦公的趨向，是政務部門電子化、無紙化辦公的必經途徑，為政務部門的日常辦公提供了便利條件的同時，也使政務信息面臨著一些安全威脅與挑戰。在今后的電子政務系統構建中，應注重信息安全問題，最大限度地保障電子政務系統的安全，發揮信息技術在政務工作的最大作用。

參考文獻

[1] 徐曉日.國外電子政務的發展及其啟示[J].中共長春市委黨校學報，2006（3）：

66-68.

[2] 宋宇波，胡愛群.電子政務安全體系結構的探析[J].計算機工程，2003（10）：11-13.

[3] 孔慶元，殷肖川，吳傳枝.數字證書實現身份認證在電子政務中的應用[J].計算機時代，2003（1）：16-17.

[4] 尹申明.電子政務信息系統的安全策略[J].計算機時代，2003（9）：11-13.

[5] 楊慶.淺談工商電子政務網絡信息安全[J].計算機時代，2005（8）：20-21.

[6] 于超，張虹.VPN技術及其應用[J].能源技術與管理，2006（4）.

[7] 豐洪才，吳煜煌，汪軍.電子政務中的網絡信息安全設計[J].計算機與數字工程，2004（3）：52-55.

[8] 趙紅梅，王明波.我國電子政務的現狀與對策[J].東北大學學報：社會科學版，2003（5）：343-345.

[9] 孔均仁.用整體性觀點建設電子政務—— 訪電子政務試點工程總體專家組成員王延章教授[J].中國創業投資與高科技，2003（6）：41-42.

[10] 陳兵，錢紅燕，馮愛民，等.電子政務的整體安全解決方案[J].電子政務，2005（Z5）：87-111.

[11] 盧秋瑜.電子政務中網絡信息安全現狀分析與研究[J].中國商界：上半月，2010（9）：348-349.

[12] 黃劍云.信息融合技術在電子政務中的應用分析[J].電子技術與軟件工程，2014（6）：46.