電子政務(wù)信息安全問(wèn)題及策略研究

王虹　陳朋偉　劉邦凡

摘要：如今公共部門站在一個(gè)十字路口，面臨著嚴(yán)峻的經(jīng)濟(jì)和社會(huì)環(huán)境以及制度變遷。電子政務(wù)作為政府在新時(shí)代信息技術(shù)運(yùn)用過(guò)程中政府服務(wù)方式的一種轉(zhuǎn)化，目的是通過(guò)政府機(jī)構(gòu)整合服務(wù)系統(tǒng)，通過(guò)信息和通信技術(shù)（ICT）的方式，向公民和企業(yè)提供公共服務(wù)，這就要求電子政務(wù)系統(tǒng)應(yīng)具有高于其他任何組織的安全保障。因此筆者通過(guò)研究發(fā)現(xiàn)我國(guó)電子政務(wù)安全方面存在安全技術(shù)漏洞、組織管理不當(dāng)、信息安全意識(shí)薄弱、法律規(guī)范尚不完善等問(wèn)題，并提出了提高電子政務(wù)系統(tǒng)的安全技術(shù)水平、完善安全管理機(jī)制、強(qiáng)化公共部門管理人員信息安全素養(yǎng)、建立和健全執(zhí)法監(jiān)督體系的建議。

關(guān)鍵詞：電子政務(wù)；信息安全；問(wèn)題；對(duì)策

引言

電子政務(wù)是指公共部門的職能部門應(yīng)用現(xiàn)代信息技術(shù)，在管理和服務(wù)中實(shí)現(xiàn)該部門的組織結(jié)構(gòu)和工作結(jié)構(gòu)的調(diào)整和優(yōu)化，并建立一個(gè)簡(jiǎn)潔、高效、廉潔、公平的政務(wù)新環(huán)境。因此，作為信息時(shí)代政務(wù)的新形式，對(duì)電子政務(wù)的安全性提出了很高的要求。不同于商業(yè)事務(wù)，政府事務(wù)涉及國(guó)家機(jī)密、敏感信息、公民隱私等等，安全問(wèn)題就成了電子政務(wù)系統(tǒng)建設(shè)的一個(gè)主要的問(wèn)題。公共部門今天站在一個(gè)十字路口，面臨著嚴(yán)峻的經(jīng)濟(jì)和社會(huì)環(huán)境以及制度環(huán)境變遷。現(xiàn)代信息和通信技術(shù)（1CT）在組織中發(fā)揮的作用是不可否認(rèn)的，在政府過(guò)程的轉(zhuǎn)化中其作用亦是如此。這種重要性是由于大多數(shù)業(yè)務(wù)流程依賴于ICT系統(tǒng)來(lái)傳輸、處理和存儲(chǔ)信息。此外，可以說(shuō)，組織的高效運(yùn)轉(zhuǎn)取決于信息是可用的、完整的、可靠的以及這些信息是保密的。這三個(gè)要素即：可用性；保密性；完整性；這其中最為重要的就是信息安全。因此，信息安全是任何組織運(yùn)行中至關(guān)重要的一部分。

1、概念的界定與問(wèn)題的提出

目前，電子政務(wù)的作用表現(xiàn)在利用信息系統(tǒng)精簡(jiǎn)或改進(jìn)政府服務(wù)流程。電子政務(wù)的目的是向公民和企業(yè)提供公共服務(wù)，即利用政府機(jī)構(gòu)內(nèi)部的生產(chǎn)力，并通過(guò)政府機(jī)構(gòu)整合服務(wù)系統(tǒng)的一種新方式。Lake，KarlWalkenTing（1992）認(rèn)為安全威脅反映了廣泛存在的能夠引起不良后果的力量，威脅作為外部刺激而存在并且能夠被個(gè)體感知。JaehunJoo和AnatHovav（2016）通過(guò)對(duì)109家臺(tái)灣公司進(jìn)行的實(shí)證研究發(fā)現(xiàn)，網(wǎng)絡(luò)安全問(wèn)題被認(rèn)為是最嚴(yán)重的危險(xiǎn)，但卻受到最低水平的保護(hù)。例如競(jìng)爭(zhēng)者可以中斷、截取、修改和制作數(shù)據(jù)信息來(lái)阻止對(duì)某系統(tǒng)的訪問(wèn)來(lái)獲得更多的利益。筆者認(rèn)為信息安全的基本含義是以正確的方式保護(hù)信息，并且只能是合法的人（授權(quán)）以正確的方式（識(shí)別/認(rèn)證）來(lái)訪問(wèn)系統(tǒng)。一般來(lái)說(shuō)，信息系統(tǒng)安全的重點(diǎn)是預(yù)防和保護(hù)。防止未經(jīng)授權(quán)的人訪問(wèn)和修改信息系統(tǒng)、防止對(duì)授權(quán)用戶拒絕服務(wù)，以及幫助信息系統(tǒng)在攻擊后恢復(fù)。一般來(lái)說(shuō)，對(duì)安全系統(tǒng)的威脅包括、監(jiān)視、干擾、接管、破壞系統(tǒng)、竊聽，修改、替換、銷毀、誤用、欺騙等等。經(jīng)常提到的系統(tǒng)及網(wǎng)絡(luò)安全基本要求包括可用性、機(jī)密性，完整性、可靠性、準(zhǔn)確性、認(rèn)證性、不可否認(rèn)性和隱私性。現(xiàn)有的電子政務(wù)安全相關(guān)報(bào)告顯示，國(guó)家和地方政府網(wǎng)站容易受到包括SQL在內(nèi)的各種攻擊，如病毒、間諜軟件以及其他入侵。不同于商業(yè)事務(wù)，政府事務(wù)涉及國(guó)家機(jī)密、敏感信息，公民的隱私等等，因此，安全問(wèn)題是電子政務(wù)系統(tǒng)建設(shè)的一個(gè)主要問(wèn)題。因此電子政務(wù)能夠安全的提供服務(wù)被認(rèn)為是完善現(xiàn)代電子政務(wù)建設(shè)的關(guān)鍵。

2、我國(guó)電子政務(wù)信息安全存在的問(wèn)題

近年來(lái)，隨著互聯(lián)網(wǎng)的迅速普及，網(wǎng)絡(luò)正變得越來(lái)越重要，已經(jīng)成為用戶完成相關(guān)業(yè)務(wù)不可或缺的手段。無(wú)論在國(guó)內(nèi)還是國(guó)外，已實(shí)現(xiàn)跨越式發(fā)展。另一方面，當(dāng)前電子政務(wù)面臨的安全狀況不容樂(lè)觀。網(wǎng)絡(luò)和信息系統(tǒng)有其固有的缺點(diǎn)和脆弱性，網(wǎng)絡(luò)安全已經(jīng)成為國(guó)家和國(guó)防安全的重要組成部分，也是制約網(wǎng)絡(luò)經(jīng)濟(jì)進(jìn)一步發(fā)展的重要瓶頸。本文從技術(shù)、組織管理、安全意識(shí)和法律規(guī)范四個(gè)方面論述我國(guó)電子政務(wù)信息安全存在的問(wèn)題。

2.1安全技術(shù)漏洞

首先，互聯(lián)網(wǎng)的安全漏洞。未經(jīng)授權(quán)的訪問(wèn)意味著外部人員在逃避電子政務(wù)訪問(wèn)限制的情況下，非法入侵電子政務(wù)系統(tǒng)內(nèi)部，或公共部門內(nèi)部人員在私下超過(guò)權(quán)利限制，非法接人公共部門數(shù)據(jù)庫(kù)，盜取和窺探敏感信息，導(dǎo)致公共部門暴露內(nèi)部機(jī)密和丟失公眾數(shù)據(jù)。與此同時(shí)，路由器密碼文件也有不同程度的安全問(wèn)題。其次，網(wǎng)絡(luò)技術(shù)的局限性。電子政務(wù)和大數(shù)據(jù)技術(shù)飛速發(fā)展。網(wǎng)絡(luò)工程師在設(shè)計(jì)程序時(shí)不能把信息安全的所有方面都考慮進(jìn)去，在很多情況下，都是先出現(xiàn)問(wèn)題而后解決問(wèn)題，很難做到提前預(yù)防突發(fā)的安全問(wèn)題。除此之外，公共部門的管理人員大多不具備網(wǎng)絡(luò)信息安全的知識(shí)背景，僅僅通過(guò)短期培訓(xùn)，他們很難將信息安全與管理工作有機(jī)結(jié)合。

再次，系統(tǒng)軟件依賴進(jìn)口。由于我國(guó)政府部門長(zhǎng)期使用國(guó)外開發(fā)的系統(tǒng)軟件和應(yīng)用軟件，導(dǎo)致國(guó)內(nèi)軟件開發(fā)進(jìn)程緩慢，且公共部門管理人員更習(xí)慣于使用這些操作簡(jiǎn)單、較成熟的軟件系統(tǒng)，系統(tǒng)的核心技術(shù)以及更新?lián)Q代等都受到國(guó)外控制，這對(duì)電子政務(wù)信息安全來(lái)說(shuō)十分不利。

2.2組織管理不當(dāng)

現(xiàn)有的電子政務(wù)系統(tǒng)的管理機(jī)構(gòu)對(duì)網(wǎng)絡(luò)安全的規(guī)定有待進(jìn)一步完善，如相關(guān)設(shè)備的管理、儲(chǔ)存，機(jī)密信息、秘鑰管理、數(shù)據(jù)備份、病毒預(yù)防等。同時(shí)，公共部門要制定崗位責(zé)任管理系統(tǒng)和內(nèi)部信息資源利用系統(tǒng)，嚴(yán)格內(nèi)部安全管理機(jī)制。最后，要保證互聯(lián)網(wǎng)安全制度的有效實(shí)施，把技術(shù)和管理組合起來(lái)。

2.3信息安全意識(shí)薄弱

我國(guó)的電子政務(wù)注重建設(shè)而輕發(fā)展，注重硬件開發(fā)而忽視軟件的維護(hù)，在電子政務(wù)系統(tǒng)的規(guī)劃和建設(shè)中，對(duì)安全問(wèn)題考慮較少，缺乏電子政務(wù)信息安全意識(shí)。目前，公共部門電子政務(wù)安全保護(hù)主要依靠殺毒軟件、防火墻等初級(jí)安全措施，難以抵御惡意破壞電子政務(wù)系統(tǒng)的非法行為。

2.4法律規(guī)范尚不完善

目前，我國(guó)直接涉及網(wǎng)絡(luò)信息安全的法規(guī)主要有《全國(guó)人大常委會(huì)關(guān)于維護(hù)在互聯(lián)網(wǎng)安全的決定》等3部法律，法律對(duì)電子政務(wù)信息安全方面的保護(hù)還遠(yuǎn)遠(yuǎn)不夠，對(duì)具體事項(xiàng)界定還不明確和詳細(xì)，以至于給了非法分子鉆法律空子的可乘之機(jī)。

3、我國(guó)電子政務(wù)信息安全問(wèn)題的應(yīng)對(duì)策略

3.1提高電子政務(wù)系統(tǒng)的安全技術(shù)水平

首先，加強(qiáng)電子政務(wù)系統(tǒng)的安全技術(shù)水平，也是電子政務(wù)系統(tǒng)的安全需求，要完善電子政務(wù)安全應(yīng)用技術(shù)結(jié)構(gòu)，根據(jù)公共部門互聯(lián)網(wǎng)用戶屬性的不同，設(shè)置不同的訪問(wèn)權(quán)限和級(jí)別。與此同時(shí)，要對(duì)公眾上傳到互聯(lián)網(wǎng)上的信息進(jìn)行嚴(yán)格審查和篩選。在信息采集、傳輸、存儲(chǔ)、處理和使用中，建立嚴(yán)格的安全預(yù)防措施。

其次，研發(fā)具有獨(dú)立知識(shí)產(chǎn)權(quán)的軟件系統(tǒng)產(chǎn)品。研發(fā)軟件系統(tǒng)的目標(biāo)是保證電子政務(wù)信息的安全，依賴其他國(guó)家的信息安全技術(shù)對(duì)本國(guó)來(lái)講是巨大的威脅。我國(guó)需要制定相關(guān)的產(chǎn)業(yè)扶持政策，提高核心技術(shù)的自主創(chuàng)新能力，確保公共部門的信息系統(tǒng)安全。

再次，提高軟件系統(tǒng)安全急救反應(yīng)速度，急救反應(yīng)是指當(dāng)計(jì)算機(jī)突發(fā)安全事件（如黑客攻擊、木馬病毒、惡意植入等）時(shí)，可以快速診斷病因、開展救援并恢復(fù)服務(wù)。因此，目前的任務(wù)是建立安全急救反應(yīng)系統(tǒng)，對(duì)安全事故進(jìn)行預(yù)警和急救，并進(jìn)一步提高安全事件的發(fā)現(xiàn)和分析能力。

3.2完善安全管理機(jī)制

成立專門的電子政務(wù)安全管理機(jī)構(gòu)，明確相關(guān)領(lǐng)導(dǎo)和工作人員責(zé)任，嚴(yán)格內(nèi)部安全管理機(jī)制，對(duì)破壞電子政務(wù)信息安全的事件進(jìn)行調(diào)查和處理，保證用戶正常使用網(wǎng)絡(luò)信息資源，防止非法活動(dòng)和外部非法用戶進(jìn)入。只有這樣，每一個(gè)公共部門、企業(yè)和個(gè)人可以對(duì)網(wǎng)絡(luò)信息活動(dòng)進(jìn)行有效的監(jiān)督，以確保信息的安全和可靠，有助于為政府決策以及保護(hù)用戶的切實(shí)利益。

3.3強(qiáng)化公共部門管理人員信息安全素養(yǎng)

從事電子政務(wù)信息安全工作的人員在電子政務(wù)安全管理中發(fā)揮重要作用。因此要做到以下兩點(diǎn)：

一方面：注重人才培育。電子政務(wù)的發(fā)展離不開相關(guān)人才的支持，尤其是精通電子信息技術(shù)和政府業(yè)務(wù)流程的復(fù)合型、應(yīng)用型人才。目前，我國(guó)電子政務(wù)專業(yè)人才儲(chǔ)備尚不充足，要加大培養(yǎng)投入力度，并引進(jìn)一批研發(fā)、應(yīng)用、管理方面的高級(jí)人才。

另一方面：對(duì)從業(yè)人員進(jìn)行專業(yè)培訓(xùn)。在對(duì)高級(jí)管理人才的培訓(xùn)方面，要以提高其業(yè)務(wù)水平和能力為核心，全面培養(yǎng)具有熟練業(yè)務(wù)水平和精通技術(shù)的高素質(zhì)人才，最終實(shí)現(xiàn)高層次人才對(duì)電子政務(wù)信息的安全管理；對(duì)于基層的操作人員，應(yīng)重點(diǎn)培養(yǎng)其實(shí)踐操作中的應(yīng)用技巧，通過(guò)實(shí)際訓(xùn)練掌握操作流程，能熟練進(jìn)行電子政務(wù)信息采集、發(fā)布和處理工作。總之，通過(guò)分層培訓(xùn)，努力提高其運(yùn)用電子政務(wù)系統(tǒng)的能力。

3.4建立和健全執(zhí)法監(jiān)督體系

法律是電子政務(wù)信息安全的制度保障，是電子政務(wù)有序開展的基礎(chǔ)力量。一方面，它是預(yù)防信息犯罪的手段，另一方面，法律的強(qiáng)制力是網(wǎng)絡(luò)信息安全的最后一道防線。在面臨信心安全事件時(shí)，用法律手段來(lái)調(diào)整、約束、規(guī)范非法網(wǎng)絡(luò)安全行為，是解決電子政務(wù)信息安全的重要途徑。雖然我國(guó)已經(jīng)建立了一些相關(guān)的法律規(guī)范，但涉及范圍不夠全面，應(yīng)盡快建立信息安全法律體系。