0 引言

進(jìn)入21世紀(jì)以來,電子政務(wù)系統(tǒng)逐漸在全世界得到越來越廣泛的應(yīng)用。電子政務(wù)已經(jīng)成為政府提高工作效率的主要因素,電子政務(wù)安全策略的研究已經(jīng)成為相關(guān)科研人員研究的重要課題。

1 電子政務(wù)的概念

關(guān)于電子政務(wù)的概念，當(dāng)前各國學(xué)者的定義和理解不盡相同。有學(xué)者認(rèn)為電子政務(wù)就是政府部門的計(jì)算機(jī)和網(wǎng)絡(luò)化，也有學(xué)者認(rèn)為電子政務(wù)就是對政府部門的信息資源進(jìn)行統(tǒng)籌規(guī)劃和管理，甚至還有學(xué)者把電子政務(wù)等同于政府機(jī)關(guān)辦事的網(wǎng)絡(luò)化和政務(wù)網(wǎng)絡(luò)公開。但實(shí)際上，電子政務(wù)的內(nèi)涵并不是一成不變的，它是隨著IT技術(shù)的迅猛發(fā)展和政府部門信息化程度的不斷加深而不斷改變的。大家公認(rèn)的電子政務(wù)的概念主要有三個(gè)主要內(nèi)涵：首先，利用先進(jìn)的 IT手段提高政府部門辦公的透明度，使公眾能夠便捷地了解政府行為，公眾可以通過不同渠道參與政府的決策工作。其次，電子政務(wù)改進(jìn)了過去傳統(tǒng)行政審批的政府工作模式，大大提高了政府部門工作的效率，實(shí)現(xiàn)了政府辦公模式的改革與創(chuàng)新。第三，政府與外界通過網(wǎng)絡(luò)渠道進(jìn)行溝通，根據(jù)公眾需求的不同來給予差異化的服務(wù)，通過提高政府工作的透明度來更好地實(shí)現(xiàn)公眾、人大、政協(xié)和紀(jì)檢監(jiān)督部門對各級政府的有效監(jiān)督，保證了政府工作的廉潔、高效和便捷，能夠給民眾提供更加滿意的政府服務(wù)。

2 研究電子政務(wù)安全的必要性

十二五計(jì)劃實(shí)施以來，我國政府信息平臺建設(shè)和電子政務(wù)軟件開發(fā)上取得了很大成績，但這項(xiàng)工作當(dāng)前仍處在較為基礎(chǔ)的階段，還存在著以下問題：

（1）各自為政、標(biāo)準(zhǔn)不一；

（2）結(jié)構(gòu)混亂；

（3）各部門間政務(wù)信息相互隔絕；

（4）缺乏集中的安全保障體系，因而存在較大的安全風(fēng)險(xiǎn)。

習(xí)近平主席2014年在中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組會議上講話中指出：沒有網(wǎng)絡(luò)安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化。而我國當(dāng)前電子政務(wù)全面實(shí)施存在著諸多挑戰(zhàn)，其中最大挑戰(zhàn)就是安全。電子政務(wù)系統(tǒng)的信息安全保障不僅僅是技術(shù)問題，也不是僅憑借身份認(rèn)證、防火墻隔離、入侵檢測、加密等技術(shù)手段就能夠?qū)崿F(xiàn)的。電子政務(wù)安全是一項(xiàng)完整的系統(tǒng)工程，需要從法律威懾、制度制約、安全技術(shù)手段支撐和有效整合各部門的系統(tǒng)資源等方面實(shí)行全局治理措施，并且需要從系統(tǒng)防護(hù)、漏洞檢測、系統(tǒng)恢復(fù)和技術(shù)反制等方面實(shí)施的積極防御策略，才能夠有效保障電子政務(wù)系統(tǒng)的安全。

3 安全保障體系結(jié)構(gòu)描述

電子政務(wù)工程的安全體系包含政務(wù)網(wǎng)安全和政務(wù)信息安全兩層。政務(wù)網(wǎng)安全包括政務(wù)網(wǎng)實(shí)體安全、網(wǎng)絡(luò)通信系統(tǒng)安全和主機(jī)系統(tǒng)安全，是實(shí)現(xiàn)整個(gè)電子政務(wù)工程安全的前提和基礎(chǔ)。政務(wù)信息安全建立在政務(wù)網(wǎng)安全的基礎(chǔ)上，是整個(gè)電子政務(wù)工程安全的最終目標(biāo)。

電子政務(wù)工程的安全保障體系是一個(gè)系統(tǒng)工程，它不僅涉及到信息技術(shù)體系，還包括信息安全相關(guān)的法律法規(guī)體系和組織管理體系。任何通過單一手段保障安全的企圖都是片面的，安全保障需要從體系結(jié)構(gòu)的角度加以研究，所謂電子政務(wù)安全保障體系結(jié)構(gòu)是指能夠保證電子政務(wù)安全運(yùn)行的各種保障措施、技術(shù)和體制的有機(jī)綜合體。通過對電子政務(wù)安全體系的層次分析,我們提出了一種新的電子政務(wù)工程的安全保障體系,它由政務(wù)網(wǎng)安全保障、政務(wù)信息安全保障、安全支撐基礎(chǔ)設(shè)施、安全管理四部分構(gòu)成。

4 電子政務(wù)安全管理對象模型

電子政務(wù)工程的安全體系包含政務(wù)網(wǎng)安全和政務(wù)信息安全兩層。政務(wù)網(wǎng)安全是指政務(wù)信息通用載體的安全，包括政務(wù)網(wǎng)實(shí)體安全、網(wǎng)絡(luò)通信系統(tǒng)安全、主機(jī)系統(tǒng)安全，是實(shí)現(xiàn)整個(gè)電子政務(wù)工程安全的前提和基礎(chǔ)。政務(wù)信息安全建立在政務(wù)網(wǎng)安全的基礎(chǔ)上，是指政務(wù)信息本身以及處理政務(wù)信息的專用載體的安全，包括政務(wù)信息本身的安全和相關(guān)信息處理系統(tǒng)的安全，是整個(gè)電子政務(wù)工程安全的最終目標(biāo)。兩個(gè)層次的側(cè)重點(diǎn)是不同的，政務(wù)網(wǎng)安全注重政務(wù)信息通用載體的可用性保障，政務(wù)信息安全注重政務(wù)信息機(jī)密性、完整性、不可否認(rèn)性的保障。通過對電子政務(wù)安全體系層次分析，我們將電子政務(wù)安全管理對象分為：政務(wù)網(wǎng)絡(luò)為代表的政務(wù)信息通用載體和政務(wù)信息及專用載體（信息處理系統(tǒng)）。依據(jù)對象的不同，將電子政務(wù)安全管理分為：政務(wù)網(wǎng)安全管理和政務(wù)信息安全管理。

4.1 政務(wù)網(wǎng)絡(luò)安全管理對象

政務(wù)網(wǎng)絡(luò)安全管理對象為政務(wù)信息的通用載體（即政務(wù)內(nèi)網(wǎng)、政務(wù)外網(wǎng)的通信實(shí)體、通信系統(tǒng)、主機(jī)系統(tǒng)等）和安全支撐基礎(chǔ)設(shè)施。具體如下：網(wǎng)絡(luò)信道實(shí)體；網(wǎng)絡(luò)設(shè)備實(shí)體；網(wǎng)絡(luò)通信軟件；網(wǎng)絡(luò)管理軟件；主機(jī)實(shí)體（包括：服務(wù)端和客戶端）；主機(jī)系統(tǒng)軟件（如操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)等）；安全支撐基礎(chǔ)設(shè)施。

4.2 政務(wù)信息安全管理對象

政務(wù)信息安全管理對象為政務(wù)信息及專用載體，主要是：政務(wù)業(yè)務(wù)信息和處理業(yè)務(wù)的系統(tǒng)。具體如下：各類政務(wù)信息（如辦公業(yè)務(wù)信息、人事管理信息等）；政務(wù)業(yè)務(wù)系統(tǒng)（如辦公自動化系統(tǒng)、稅務(wù)管理系統(tǒng)等）。

5 電子政務(wù)安全策略研究

一般網(wǎng)絡(luò)安全體系模型由四部分組成：安全管理保障體系、安全服務(wù)基礎(chǔ)設(shè)施、災(zāi)難響應(yīng)及應(yīng)急處理系統(tǒng)以及安全技術(shù)的支撐平臺。對于電子政務(wù)系統(tǒng)來說，應(yīng)該以該種安全模型作為基礎(chǔ)，由于各種安全管理、安全技術(shù)以及安全法規(guī)的實(shí)施必須按安全策略的規(guī)定來進(jìn)行實(shí)施，所以，其安全策略應(yīng)該清楚并且明確。

5.1 網(wǎng)絡(luò)安全基礎(chǔ)服務(wù)設(shè)施安全策略

網(wǎng)絡(luò)安全基礎(chǔ)服務(wù)設(shè)施（FNSS）主要是起到為電子政務(wù)系統(tǒng)和網(wǎng)絡(luò)信息安全執(zhí)法主體（當(dāng)前我國主要有公安、工信、工商等部門）提供給網(wǎng)絡(luò)安全公共服務(wù)與電子政務(wù)信息系統(tǒng)作為支撐的一種非專有的公共網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施，在我國主要由中國信息安全測評中心（CNITSEC）、網(wǎng)絡(luò)信息監(jiān)控中心（MIIC）、網(wǎng)絡(luò)數(shù)據(jù)備份與災(zāi)難恢復(fù)中心（NDBDRC）、國家網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（CNCERT）、電子政務(wù)電子認(rèn)證中心（政務(wù) CA）、電子證書授權(quán)中心（CA）、密鑰管理中心（KMC）等國家網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施組成。

5.2 安全管理保障體系的安全策略

在安全管理保障體系中，除了一系列的最基礎(chǔ)的安全措施外，還應(yīng)該重視安全管理技術(shù)。俗話說“三分技術(shù)，七分管理”，就是說安全體系的保證不僅需要技術(shù)的支持，更離不開人的管理，再好的安全策略最終還是要靠人為的管理來實(shí)現(xiàn)。無論何種完善的安全技術(shù)都需要嚴(yán)格的管理作為其安全保證，因此安全管理體系是保證電子政務(wù)系統(tǒng)安全的極其重要的一部分。因此，政府在改善操作技術(shù)的同時(shí)，還應(yīng)當(dāng)重視工作人員的管理以及電子系統(tǒng)的安全管理技術(shù)。對政務(wù)系統(tǒng)進(jìn)行必要的網(wǎng)絡(luò)檢測以及日記的管理，在很大程度上可以避免外來病毒感染、黑客入侵等問題而造成的系統(tǒng)損壞、信息泄漏與丟失等。

5.3 安全技術(shù)支撐平臺的安全策略

安全技術(shù)支撐平臺就是指通過利用各種技術(shù)和安全產(chǎn)品來建立的一個(gè)執(zhí)行安全策略的平臺。我們在解決網(wǎng)絡(luò)的信任問題時(shí)能夠利用現(xiàn)有的安全技術(shù)準(zhǔn)確無誤地進(jìn)行安全策略的實(shí)施，其中包括：身份認(rèn)證、通信完整性/機(jī)密性保護(hù)、嚴(yán)格的訪問控制、入侵防范、防范病毒、漏洞掃描與修復(fù)、安全日志與審計(jì)等策略，這些策略能夠有效地保護(hù)電子政務(wù)系統(tǒng)的信息安全。

5.4 災(zāi)難響應(yīng)與應(yīng)急處理安全策略

任何安全措施都無法確保數(shù)據(jù)絕對安全，由于電子政務(wù)系統(tǒng)中存儲著大量的重要信息，自然災(zāi)害、硬件故障、黑客入侵以及病毒的感染都有可能導(dǎo)致政府重要數(shù)據(jù)的泄露與丟失。因此，在電子政務(wù)安全體系中必須包括數(shù)據(jù)的備份與容災(zāi)功能。

災(zāi)難響應(yīng)及應(yīng)急處理系統(tǒng)的存在可以保證在出現(xiàn)系統(tǒng)崩潰、自然災(zāi)害、操作不當(dāng)以及硬件故障問題時(shí)重要的數(shù)據(jù)能得到恢復(fù)。災(zāi)難響應(yīng)系統(tǒng)應(yīng)該充分考慮電子政務(wù)系統(tǒng)的特點(diǎn)，恢復(fù)災(zāi)難系統(tǒng)需要具備以下五個(gè)條件：第一，系統(tǒng)必須能夠支持大容量的存儲；第二，支持恢復(fù)與異地備份；第三，跨平臺的備份能力；第四，能夠支持備份模式以及能夠兼容多種存儲介質(zhì)；第五，積極響應(yīng)自動恢復(fù)的機(jī)制。

6 結(jié)束語

電子政務(wù)安全是一個(gè)系統(tǒng)工程，有效的電子政務(wù)安全整體解決方案依賴于方方面面的共同努力，本文中給出的電子政務(wù)安全策略是對電子政務(wù)安全研究的一個(gè)有益探索。