“互聯網+政務”信息安全評價探究

◆劉高明 羅京亞

(長沙職業技術學院 湖南 410217)

“互聯網+政務”信息安全評價探究

◆劉高明 羅京亞

(長沙職業技術學院 湖南 410217)

本文從“互聯網+政務”信息安全的內涵、面臨的風險、安全需求等方面入手，對“互聯網+政務”信息安全的評價指標進行篩選，從信息安全評價這一角度對“互聯網+政務”信息安全進行探究，為加強“互聯網+政務”的信息安全提供參考，從而保障“互聯網+政務”系統的正常運行。

互聯網+；電子政務；信息安全評價

0 引言

從2015年李克強總理在兩會工作報告中提出“互聯網+”這一概念開始，“互聯網+”在不少領域都得到應用。從第十二屆全國人民代表大會上正式提出“互聯網+政務服務”概念，到2016年4月26日《推進“互聯網＋政務服務”開展信息惠民試點的實施方案》（下稱《實施方案》）正式發文，明確提出要加快推進“互聯網＋政務服務”[1]，“互聯網+政務”已經成為電子政務發展的新階段，為政務服務帶來新變革。

我國“互聯網+政務服務”起步時間較短，目前仍有許多問題有待解決，例如信息安全問題。《實施方案》中也指出，推進過程中要采取必要的管理和技術手段，落實國家信息安全等級保護制度要求，完善身份認證和授權管理機制，加強數據安全管理，強化安全保障體系建設，切實保護國家信息安全及公民個人隱私。

對“互聯網+政務”系統來說，解決信息安全的首要問題是要識別所面臨的風險，明確安全需求，然后進行充分的分析與評價。只有采用正確的方法對“互聯網+政務”信息安全進行全面評價，才能掌握“互聯網+政務”系統的整體安全狀況，有針對性的采取有效的安全措施，健全信息安全保障體系，保證“互聯網+政務”系統的正常運行。

1 “互聯網+政務”的信息安全

1.1 “互聯網+政務”信息安全的內涵

只有對“互聯網+政務”信息安全的內涵進行充分了解，才能更好地對其進行評價研究。目前學術界對信息安全尚無統一和公認的定義，具有代表性的定義主要是從兩個角度出發：一是信息安全的層面，例如國內學者普遍認同的信息安全的層次模型——數據（信息）安全、運行（系統）安全、物理（實體）安全；二是信息安全的屬性，例如國外學者認同“信息安全金三角”（CIA，Confidentiality-Integrity-Availability)——機密性、完整性、可用性[2]。

通過文獻分析法對前人研究進行綜合分析可以得出，“互聯網+政務”信息安全包括物理（實體）安全、網絡安全、應用安全、數據安全、運行安全、管理安全等方面，涉及到信息的機密性、完整性、可用性、可控性、真實性、不可抵賴性等屬性。

1.2 “互聯網+政務”面臨的安全威脅

基于互聯網的“互聯網+政務”系統面臨著來自互聯網的各種威脅，相對于過去電子政務的專網模式風險更大[3]。對“互聯網+政務”所面臨的安全威脅進行分析，有助于構建合理有效的信息安全保障體系和評價機制。

“互聯網+政務”面臨的信息安全威脅來自各個方面，具體包括：①自然災害（雷擊、火災、地震、洪水等）；②環境干擾（溫度不適宜、電壓異常波動、電磁輻射干擾等）；③系統故障（設備老化、零部件磨損等）；④技術缺陷（因技術水平和能力的限制而造成的威脅，如操作系統漏洞等）；⑤內部疏忽（內部管理制度不完善或工作人員操作失誤、安全意識薄弱等導致的威脅）；⑥內部攻擊（“互聯網+政務”內部人員對系統進行蓄意攻擊，竊取信息或非法越權訪問）；⑦外部攻擊（“互聯網+政務”外部攻擊者通過各種手段對系統發動攻擊，破壞系統、竊取或篡改信息等）。

1.3 “互聯網+政務”的信息安全需求

由于“互聯網+政務”系統的主要目的是政府機構執行政府公職，涉及政府機密信息，“互聯網+政務”對信息安全有著更高的要求。在“互聯網+政務”系統建設和運行的過程中，除了需要應對來自互聯網的攻擊，還要考慮內部安全隱患。

具體來說，“互聯網+政務”的安全需求包括：①政務信息的保密性（明確信息公開的范圍和密級，確保信息在傳輸和使用過程中不被非授權獲取或使用、非法泄露或擴散[4]）；②政務信息的完整性（確保信息在存儲和傳輸的過程中不被修改、破壞或丟失）；③政務信息的真實性（保證接收方獲得的信息是真實的，未被篡改）；④政務信息的不可否認性（要求信息交換過程中所有參與者都不能否認所做過的操作和承諾）；⑤政務信息的可用性（保證經過授權的用戶可以順利正常地訪問和使用信息[5]）；⑥政務信息的可控性（確保對政務信息的傳播路徑、范圍及其內容有足夠的管理和控制能力）；⑦系統的可靠性（確保網絡和信息系統隨時可用，運行過程中不出現故障[6]）；⑧設備安全（保證系統和網絡設備實施的質量和安全以及設備備份等）；⑨管理安全（包括健全的法律法規，完善的規章制度，專業可靠、具有安全意識的管理團隊和操作人員等）。

2 “互聯網+政務”信息安全評價指標

對“互聯網+政務”的信息安全進行評價要從實際出發綜合考慮所涉的多個方面。本文遵循評價指標的選取原則，在充分的文獻調研和分析的基礎上，從管理安全、物理安全、網絡安全、數據安全、系統安全、應用安全這六個方面對“互聯網+政務”的信息安全進行評價。

2.1 管理安全

管理安全是指“互聯網+政務”信息安全相關的組織管理、人員管理、制度管理等管理舉措，在整個信息安全保障過程中起到指導、規范的作用。具體指標包括：①有無專門的組織機構；②有無安全責任體系；③有無監督與檢查措施；④有無負責安全的專職人員；⑤人員安全意識；⑥有無人員安全教育與培訓；⑦決策人員素質；⑧人員技術保障能力；⑨有無應急響應預案；⑩有無安全管理規章制度。

2.2 物理安全

物理安全是指“互聯網+政務”系統的機房、計算機設備及管理人員工作場所內外的環境條件必須滿足安全要求。具體指標包括：①有無恒溫恒濕設備；②有無不間斷電源保障；③有無災難保護設施；④有無設備防盜、防毀措施；⑤有無防電磁信息輻射泄露措施；⑥有無抗電磁干擾設備；⑦是否采用門禁控制系統；⑧有無攝像頭在線監控；⑨有無電源保護；⑩有無應急災難備份恢復。

2.3 網絡安全

網絡安全是指“互聯網+政務”網絡系統的硬件、軟件、數據等安全，確保網絡系統、服務正常運行。主要指標包括：①有無網絡安全設計；②有無網絡安全檢測；③有無計算機病毒防范措施；④有無入侵檢測與防御措施；⑤有無網絡訪問控制措施，⑥有無防火墻系統；⑦有無VPN技術及其應用；⑧有無應急災難備份恢復；⑨有無網絡審計與監控；⑩有無路由安全措施。

2.4 數據安全

數據安全是指要保證“互聯網+政務”系統中的數據是安全的，不被截獲、篡改、盜用，免遭破壞、丟失、泄露，包括數據傳輸安全和數據存儲安全。主要指標包括：①有無數據加密措施；②有無數據完整性鑒別措施；③有無防抵賴措施；④有無身份認證措施；⑤有無數據存取控制措施；⑥有無數據庫安全防護措施；⑦有無異地容災措施；⑧有無數據存儲備份恢復系統；⑨有無數據審計與監控。

2.5 系統安全

系統安全是指“互聯網+政務”操作系統、數據庫系統和主機系統的安全。主要指標包括：①有無病毒防范體系；②有無口令設置和權限配置；③系統安全檢測；④系統實時入侵探測技術；⑤有無漏洞掃描和補丁分發系統；⑥有無系統審計與分析。

2.6 應用安全

應用安全是指“互聯網+政務”應用系統和應用程序的安全。①有無應用系統安全設計；②有無網頁防篡改系統；③有無訪問控制措施；④有無追溯審計措施；⑤是否對應用代碼進行安全管理；⑥有無電子郵件系統安全措施；⑦有無網絡攻擊防護措施；⑧有無應用系統容錯容災措施。

3 結語

“互聯網+政務”涉及的是政府機密信息，對信息安全有著更高的要求。因此，全方位杜絕對“互聯網+政務”的信息安全威脅，不僅要提高系統、網絡的防范能力，加強數據存儲和傳輸的安全性，還要從管理角度入手，建立健全規章制度，提高管理人員安全意識和能力。

本文從“互聯網+政務”信息安全的內涵、面臨的風險、安全需求等方面入手，對“互聯網+政務”信息安全的評價指標進行篩選，從信息安全評價這一角度對“互聯網+政務”信息安全進行探究，為加強“互聯網+政務”的信息安全提供參考，從而保障“互聯網+政務”系統的正常運行。

[1]周民，賈一葦.推進“互聯網+政務服務”，創新政府服務與管理模式[J].電子政務，2016.

[2]雷萬云.信息安全保衛戰:企業信息安全建設策略與實踐[M].北京:清華大學出版社，2013.

[3]信息安全技術基于互聯網電子政務信息安全實施指南(GB/Z 24294-2009) [S].國家質量監督檢驗檢疫總局, 2009.

[4]柏晶.我國電子政務信息安全體系研究[D].吉林大學，2007.

[5]唐一冰.電子政務信息安全的評價體系探究[J].電子測試，2015.

[6]任秀萍.信息安全中消息層次的討論[J].科技情報開發與經濟，2003.

2017 年度（上半年）長沙市哲學社會科學規劃項目《長沙“互聯網+政務服務”信息安全管理的問題與對策研究》，項目編號：2017csskkt33。