侯亞杰

2014年5月16日，中央國家機(jī)關(guān)政府采購中心明確規(guī)定：“所有計(jì)算機(jī)類產(chǎn)品不允許安裝Windows8操作系統(tǒng)”。2014年5月26日發(fā)表的《美國全球監(jiān)聽行動紀(jì)錄》指出，美國國家安全局代號為“棱鏡”的秘密項(xiàng)目針對中國的竊密行為的內(nèi)容基本屬實(shí)，微軟、谷歌等眾多美企成為竊密幫兇，網(wǎng)絡(luò)安全、信息安全、國家安全再次成為社會廣泛關(guān)注的熱點(diǎn)話題。電子政務(wù)以互聯(lián)網(wǎng)為基礎(chǔ)，但鑒于互聯(lián)網(wǎng)本身安全的不足，讓電子政務(wù)面臨嚴(yán)峻的威脅。因此，為了更好的保障國家利益和實(shí)現(xiàn)電子政務(wù)，必須高度重視信息化問題，探究信息安全規(guī)律。

一、電子政務(wù)信息安全的相關(guān)概念

電子政務(wù)是指各種公務(wù)機(jī)構(gòu)通過廣泛應(yīng)用現(xiàn)代信息技術(shù)，推動政務(wù)活動方式的變革，提高行政效率，發(fā)展民主決策進(jìn)程，向社會提供優(yōu)質(zhì)、規(guī)范、透明的管理與服務(wù)的過程與結(jié)果。電子政務(wù)已經(jīng)成為社會信息化的一個重要組成部分，它是政府適應(yīng)信息社會發(fā)展的客觀選擇。

信息安全提供信息和信息系統(tǒng)的保密性、完整性、可用性、可確認(rèn)性和抗抵賴性，從而使信息和信息系統(tǒng)免遭未授權(quán)的訪問、使用、泄露、干預(yù)、修改、重放和破壞，并保證使用和操作信息以及信息系統(tǒng)的任何實(shí)體的身份不被假冒或欺騙，實(shí)體的來源與行為可獲取利用者的職位等身份信息，并且此行為具有不可抵賴性。在國際標(biāo)準(zhǔn)《ISO/IEC17799：2005信息安全管理實(shí)施細(xì)則》中對信息安全的定義是：“保護(hù)信息的機(jī)密性、完整性、可用性及其他屬性，如：真實(shí)性、可核查性、可靠性、防抵賴性。”

電子政務(wù)信息安全是指政務(wù)數(shù)據(jù)信息在接收、處理等過程中不被竊取、篡改，即保證其準(zhǔn)確性和及時性，其涵蓋了信息環(huán)境、信息網(wǎng)絡(luò)和通信基礎(chǔ)設(shè)施、媒體、數(shù)據(jù)、信息內(nèi)容、信息應(yīng)用等諸多方面的安全需要。電子政務(wù)信息涵蓋面廣，往往涉及許多個人信息、部分政治信息、部分金融信息、法律信息等多個方面，其信息安全需要符合完整性、保密性、授權(quán)真實(shí)性、信息可控性、信息實(shí)時性等特征。

二、電子政務(wù)信息安全面臨的問題分析

（一）信息安全保障體系

在電子政務(wù)立法方面，我國近年來已經(jīng)出臺了與網(wǎng)絡(luò)信息安全有關(guān)的法律法規(guī)，取得了一定成績，但我國的法律法規(guī)還存在缺陷。主要體現(xiàn)在結(jié)構(gòu)單一、體系分散，尚未形成完善的法律法規(guī)體系；缺少網(wǎng)絡(luò)信息安全基本法，對網(wǎng)絡(luò)信息安全保障體系的構(gòu)建缺乏整體考慮和規(guī)劃；法律法規(guī)之間部分內(nèi)容重復(fù)交叉，同一行為有多個行政處罰主體，法律法規(guī)之間相互抵觸，處罰幅度不一；沒有網(wǎng)絡(luò)規(guī)劃與建設(shè)、網(wǎng)絡(luò)安全、數(shù)據(jù)的法律保護(hù)、信息跨境、隱私保護(hù)及IT供應(yīng)鏈安全等相關(guān)方面的法律法規(guī)。

（二）信息安全管理體系

1.信息安全管理體制不完善

目前尚沒有統(tǒng)一的電子政務(wù)管理機(jī)制，使同級部門之間交流困難，上下級部門之間的縱向政令不能及時傳達(dá)，產(chǎn)生了“政出多門”和“政策拉車”的現(xiàn)象。面對這一情況，各級政府一般只從技術(shù)層面上采取措施，卻忽略了建設(shè)規(guī)范的管理體制。目前，我國的電子政務(wù)系統(tǒng)在信息安全保密管理方面還沒有統(tǒng)一的標(biāo)準(zhǔn)，對故障定位不夠及時、不夠準(zhǔn)確，對安全事故無法應(yīng)付，對安全責(zé)任的追查更是困難。

2.信息安全關(guān)于人的意識問題

（1）信息接受者對信息的傳播問題

信息安全問題是伴隨著人類信息活動的進(jìn)行而產(chǎn)生的，信息由于網(wǎng)絡(luò)和計(jì)算機(jī)技術(shù)的發(fā)展，得以快速傳播。信息傳播產(chǎn)生了相應(yīng)的問題：制造與事實(shí)相反或完全不存在的信息；傳播虛假、歪曲事實(shí)的信息；將正確的信息有意、無意地更改成錯誤的信息；通過不正當(dāng)?shù)耐緩将@取信息；由于利益沖突銷毀他人的有用信息。

（2）電子政務(wù)系統(tǒng)使用人員的安全意識不高

許多政府工作人員沒有受過有關(guān)安全法律法規(guī)和防范安全風(fēng)險(xiǎn)的教育與培訓(xùn)，對電子政務(wù)又缺乏科學(xué)、正確的認(rèn)識，信息素養(yǎng)總體水平不高，不適應(yīng)信息化辦公的要求。據(jù)統(tǒng)計(jì)，我國電子政務(wù)信息系統(tǒng)的安全問題有將近80%來自內(nèi)部工作人員。很多工作人員只希望提高辦公效率，卻忽視安全保密問題，交叉使用移動存儲介質(zhì)等安全保密意識不強(qiáng)的行為常常給電子政務(wù)系統(tǒng)帶來安全隱患。

（三）信息安全技術(shù)體系

目前，很多地區(qū)和部門在電子政務(wù)建設(shè)上都投入了大量財(cái)力和精力，但由于起步晚、技術(shù)落后，我國的電子政務(wù)總體建設(shè)水平仍然不高。主要的核心產(chǎn)品基本上都要從國外進(jìn)口，即便是我們國家自己研制開發(fā)的產(chǎn)品，有時也需拿到國外市場去加工，而這些加工環(huán)節(jié)就有可能留下安全隱患。我國政府花錢引進(jìn)了不少國外設(shè)備以加快電子政務(wù)的建設(shè)發(fā)展，但由于我們并沒有掌握這些先進(jìn)設(shè)備的技術(shù)，如果對這些引進(jìn)的東西再缺乏有效的檢測，不能排除安全隱患的話，就可能適得其反，花錢買隱患。

三、保障電子政務(wù)信息安全的對策

（一）加強(qiáng)電子政務(wù)信息安全保障體系的建設(shè)

筆者仔細(xì)閱讀了美國、日本和加拿大這三個電子政務(wù)高速發(fā)展國家關(guān)于電子政務(wù)信息安全方面相關(guān)的立法，總結(jié)出以下三個觀點(diǎn)：立法更新都相當(dāng)迅速，根據(jù)最新的技術(shù)來進(jìn)行相應(yīng)的法律規(guī)范要求，同時又大力開發(fā)新的技術(shù)，使法律和技術(shù)共同發(fā)展；以一個立法為中心，其他法律圍繞該立法，充分做到了各項(xiàng)事務(wù)有法可依；對于重點(diǎn)問題，有專門的法律法規(guī)依據(jù)。我國應(yīng)當(dāng)積極借鑒國外先進(jìn)經(jīng)驗(yàn)，從以下幾方面著手，及早建立起電子政務(wù)信息安全的保障體系。首先，在國家層面制定總體性的法律法規(guī)，各個地區(qū)再根據(jù)自身情況，在不違反總體性的法律法規(guī)前提下，制定自己的電子政務(wù)信息安全法律法規(guī)。其次，要盡量做到立法與技術(shù)同步。最后，要加強(qiáng)信息安全的執(zhí)法，培養(yǎng)并建立一支具有信息專業(yè)知識的專業(yè)隊(duì)伍，保護(hù)企業(yè)和公民的合法權(quán)益，打擊網(wǎng)絡(luò)違法犯罪，做到依法決策、依法行政、依法管理。

（二）健全電子政務(wù)信息安全管理體系

1.建立完備的信息安全管理機(jī)制

信息安全管理的關(guān)鍵在于組織領(lǐng)導(dǎo)，只有建立制度化的管理體系，才能在各個環(huán)節(jié)實(shí)施中確保優(yōu)質(zhì)效果，以規(guī)避管理風(fēng)險(xiǎn)。一是國家建立能夠維護(hù)各種信息安全利益的綜合協(xié)調(diào)機(jī)構(gòu)，來改變目前在維護(hù)信息安全時出現(xiàn)的職責(zé)不清、政出多門、多條管理等現(xiàn)狀；二是各個職能部門要形成一個分工明確、責(zé)任落實(shí)的組織管理體系，共同履行信息安全管理的職責(zé)；三是建立省、市兩級完善的信息安全領(lǐng)導(dǎo)體系，依據(jù)本省市電子政務(wù)發(fā)展實(shí)際情況來制定相應(yīng)的信息安全管理要求；四是采取有效措施，積極推進(jìn)信息安全等級保護(hù)工作，按照信息的敏感度和重要程度、信息的性質(zhì)和部門重要程度，分級采取合理有效的措施。

2.增強(qiáng)信息安全意識

（1）加強(qiáng)人的信息安全素養(yǎng)

隨著互聯(lián)網(wǎng)的普及，信息安全時刻出現(xiàn)在人們的身邊。首先，必須確保了解一些信息保護(hù)的基礎(chǔ)知識。例如：了解移動介質(zhì)（U盤、移動硬盤等）使用不當(dāng)會泄密；了解各種病毒、木馬的危害；了解下載特殊軟件的推送服務(wù)和位置獲取等信息。其次，定期做好電腦磁盤的清潔和定期掃描電腦漏洞，定時備份重要資料等。最重要的一點(diǎn)是，信息安全素養(yǎng)是要重點(diǎn)培養(yǎng)人們對信息安全行為進(jìn)行批判性的認(rèn)識，主動接受新的網(wǎng)絡(luò)信息技術(shù)，樹立對信息知識產(chǎn)權(quán)的保護(hù)意識，維護(hù)信息安全。

（2）加強(qiáng)信息安全的宣傳

為了正確樹立信息安全的價值觀，加強(qiáng)信息安全宣傳是一種有效的方法。在這當(dāng)中，信息安全保密與保護(hù)隱私等宣傳是十分重要的。向全體民眾進(jìn)行價值灌輸和價值培養(yǎng)，讓民眾樹立正確的信息安全價值觀念，同時調(diào)動主觀能動性向損壞他人信息安全利益的信息安全行為作斗爭，營造和諧的信息安全環(huán)境。

（3）加強(qiáng)對信息人才的培養(yǎng)

電子政務(wù)信息安全保障工作的專業(yè)性、技術(shù)性都很強(qiáng)，需要一批政治素質(zhì)高、政務(wù)能力強(qiáng)、具備網(wǎng)絡(luò)知識、信息安全技術(shù)、法律知識和管理知識的復(fù)合型人才和專業(yè)人才。采取集中培訓(xùn)、分散學(xué)習(xí)、輪崗訓(xùn)練等多種方式培養(yǎng)管理人員和專業(yè)技術(shù)人員，最大限度地發(fā)揮人才效益。

（三）完善電子政務(wù)信息安全技術(shù)體系的建設(shè)

1.加強(qiáng)信息安全物理安全體系

（1）環(huán)境安全

環(huán)境安全是指對系統(tǒng)所處環(huán)境的安全保護(hù)，如設(shè)備的運(yùn)行環(huán)境需要適當(dāng)?shù)臏囟?、濕度，盡量少的煙塵，不間斷電源保障等。計(jì)算機(jī)系統(tǒng)硬件的安全性與環(huán)境條件密切相關(guān)，如果環(huán)境條件不能滿足設(shè)備的要求，會破壞數(shù)據(jù)和縮短機(jī)器壽命，嚴(yán)重時可能危害人員的安全。

（2）媒體安全

數(shù)據(jù)備份是保障媒體安全的主要技術(shù)，其目的是為了在設(shè)備發(fā)生故障時保護(hù)數(shù)據(jù)，將數(shù)據(jù)遭受破壞的程度減到最小。常用的數(shù)據(jù)備份方法是可移動存儲備份、可移動硬盤備份、軟盤備份、磁帶備份、本機(jī)多硬盤備份和網(wǎng)絡(luò)備份。

2.加強(qiáng)信息系統(tǒng)核心技術(shù)研發(fā)

如果能掌控自主核心技術(shù)的研發(fā)，就能全面增強(qiáng)國家信息基礎(chǔ)設(shè)施、重點(diǎn)信息資源系統(tǒng)的安全保障及信息安全保密管理能力。以國家創(chuàng)新驅(qū)動發(fā)展為牽引，集中整合優(yōu)勢科研資源和力量，組織技術(shù)攻堅(jiān)，做好高速加密通信芯片、操作系統(tǒng)、安全芯片、骨干網(wǎng)絡(luò)核心交換設(shè)備安全操作系統(tǒng)、安全數(shù)據(jù)庫及重要應(yīng)用軟件國產(chǎn)化等基礎(chǔ)和核心信息安全技術(shù)的創(chuàng)新攻關(guān)。

3.加強(qiáng)電子政務(wù)信息安全技術(shù)機(jī)制

（1）云計(jì)算

云計(jì)算是很多技術(shù)混合演進(jìn)的結(jié)果，包括網(wǎng)絡(luò)計(jì)算、效用計(jì)算、虛擬化技術(shù)、Web Services、SOA等。云計(jì)算在電子政務(wù)信息安全中的益處表現(xiàn)為：由于云時代中數(shù)據(jù)的集中存儲，使得數(shù)據(jù)泄密逐漸減少，并且更加容易實(shí)現(xiàn)數(shù)據(jù)的監(jiān)測。我國電子政務(wù)云面臨的問題有三：法律方面，沒有相關(guān)法規(guī)管理，導(dǎo)致有許多隱患的存在；技術(shù)方面，云計(jì)算和傳統(tǒng)I T有很多區(qū)別，我國在接口平臺環(huán)境資源方面處在一個欠缺的狀態(tài)；最后，云計(jì)算在將資源集中整合之后帶來的風(fēng)險(xiǎn)也會對信息安全造成威脅?？傊@幾方面對電子政務(wù)云的管理、產(chǎn)品、技術(shù)都提出了更大的挑戰(zhàn)。

（2）大數(shù)據(jù)

近年來，大數(shù)據(jù)正成為繼云計(jì)算、物聯(lián)網(wǎng)之后信息技術(shù)領(lǐng)域的又一熱點(diǎn)。大數(shù)據(jù)是規(guī)模非常巨大和復(fù)雜的數(shù)據(jù)集，具有四個典型特征：數(shù)據(jù)量是持續(xù)快速增加的；高速度的數(shù)據(jù)I/O；多樣化的數(shù)據(jù)類型和來源；數(shù)據(jù)價值大。大數(shù)據(jù)最主要的作用是服務(wù)，即對人、機(jī)、物的服務(wù)。大數(shù)據(jù)帶來了很多機(jī)遇，同時又給信息安全帶來了挑戰(zhàn)。大數(shù)據(jù)正在為安全分析提供新的可能性，對海量數(shù)據(jù)的分析有助于信息安全服務(wù)提供商更好地刻畫網(wǎng)絡(luò)異常行為，從而找出數(shù)據(jù)中的風(fēng)險(xiǎn)點(diǎn)，防止詐騙和阻止黑客入侵。

（3）數(shù)字簽名技術(shù)

所謂數(shù)字簽名就是通過某種密碼運(yùn)算生成一系列符號及代碼組成電子密碼進(jìn)行簽名，來代替書寫簽名或印章，對于這種電子式的簽名還可進(jìn)行技術(shù)驗(yàn)證，其驗(yàn)證的準(zhǔn)確度是一般手工簽名和圖章的驗(yàn)證所無法比擬的。數(shù)字簽名是目前電子政務(wù)中應(yīng)用最普遍、可操作性最強(qiáng)的一種電子簽名方法。數(shù)字簽名技術(shù)采用了規(guī)范化的程序，來鑒定簽名人的身份以及對數(shù)據(jù)內(nèi)容的認(rèn)同。除此之外，它還能確切地驗(yàn)證出文件在傳輸過程中有無變動，確保傳輸電子文件的真實(shí)性和不可抵賴性。

（4）防火墻技術(shù)

防火墻是網(wǎng)絡(luò)安全的屏障，是提供安全信息服務(wù)、實(shí)現(xiàn)網(wǎng)絡(luò)信息安全的基礎(chǔ)設(shè)施之一。防火墻能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，防止來自外部的攻擊，并通過過濾不安全的服務(wù)降低風(fēng)險(xiǎn)。在電子政務(wù)信息安全運(yùn)用中，能防止內(nèi)部信息外泄和屏蔽有害信息，利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可以實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)對重點(diǎn)信息的隔離；當(dāng)有可疑動作時，防火墻能自動進(jìn)行報(bào)警，詢問網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息；防火墻能嚴(yán)格監(jiān)控和審計(jì)進(jìn)出網(wǎng)絡(luò)的信息，如果所有的訪問都經(jīng)過防火墻，那么防火墻就能記錄下這些訪問并做出日志記錄，同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。防火墻技術(shù)已經(jīng)普遍應(yīng)用，基本上每臺電腦都會安裝防火墻，是一個極其便民且重要的技術(shù)。

[1]周品.云時代的大數(shù)據(jù)[M].北京：電子工業(yè)出版社，2013.

[2]李園園.信息安全價值研究[M].上海：上海世界圖書出版，2014.

[3]張健.電子文件信息安全管理研究[M].上海：上海世界圖書出版，2012.

[4]張健.信息安全技術(shù)與應(yīng)用[M].哈爾濱：東北林業(yè)大學(xué)出版社，2012.

[5]朱海波.信息安全與技術(shù)[M].北京：清華大學(xué)出版社，2014.

[6]趙先星，王茜.借鑒國際經(jīng)驗(yàn)完善我國電子政務(wù)信息安全立法[J].海外資訊，2008，（9）.

[7]趙雪.我國電子政府建設(shè)中的信息安全問題與對策[J].湖北經(jīng)濟(jì)學(xué)院學(xué)報(bào)，2007，（8）.

[8]周昕.“云計(jì)算”時代的法律意義及網(wǎng)絡(luò)信息安全法律對策研究[J].重慶郵電大學(xué)學(xué)報(bào)（社會科學(xué)版），2011，（7）.

[9]丁麗.電子政務(wù)信息安全保密管理研究[D].山東師范大學(xué)，2014.

[10]張淼.電子政府的信息安全問題與策略研究[D].東北財(cái)經(jīng)大學(xué)，2007.