◎ 住房和城鄉(xiāng)建設(shè)部信息中心 舒曉東 謝躍文

電子政務(wù)中信息安全問(wèn)題與對(duì)策推動(dòng)電子政務(wù)的發(fā)展，是一種世界性潮流，也是現(xiàn)代信息和通信技術(shù)應(yīng)用到政府管理領(lǐng)域的必然趨勢(shì)。然而，各國(guó)在積極推行電子政務(wù)的過(guò)程中，毫無(wú)例外地被電子政務(wù)信息安全問(wèn)題所困擾。電子政務(wù)信息安全直接關(guān)系到國(guó)家安全，關(guān)系到信息化能否健康發(fā)展。電子政務(wù)系統(tǒng)對(duì)信息安全的需求遠(yuǎn)遠(yuǎn)高于其他信息系統(tǒng)。

安全問(wèn)題

電子政務(wù)中信息安全問(wèn)題主要面臨的問(wèn)題如下。

一、重信息安全技術(shù)，輕信息安全管理。

工作中傾向于認(rèn)為配備了一定的安全設(shè)備與軟件，電子政務(wù)就是安全的，卻忽視了安全管理與安全教育。許多單位只重視實(shí)體安全，即配備了各種信息安全防護(hù)設(shè)備和軟件。但卻忽視了信息安全、運(yùn)行安全和人的安全。所謂信息安全技術(shù)是指：操作系統(tǒng)安全、數(shù)據(jù)庫(kù)安全、網(wǎng)絡(luò)安全、病毒防護(hù)、訪(fǎng)問(wèn)控制、入侵檢測(cè)、加密和認(rèn)證等技術(shù)。計(jì)算機(jī)信息系統(tǒng)運(yùn)行安全指系統(tǒng)風(fēng)險(xiǎn)管理、審計(jì)跟蹤、備份和恢復(fù)、應(yīng)急四方面內(nèi)容。人的安全主要指計(jì)算機(jī)使用人員的安全意識(shí)、法律意識(shí)以及安全技能等。

二、安全管理不規(guī)范。

電子政務(wù)的安全保密建設(shè)是一項(xiàng)系統(tǒng)工程，是國(guó)家行為。安全保密建設(shè)的需求與成效既不能自我發(fā)揮又不能自我評(píng)價(jià)，只能由國(guó)家相關(guān)主管部門(mén)依據(jù)業(yè)務(wù)需求與科學(xué)研究加以規(guī)定、予以確認(rèn)。

三、法律法規(guī)不健全。

從日益增長(zhǎng)的社會(huì)需求看，相關(guān)法律、法規(guī)的不健全對(duì)于電子政務(wù)的制約表現(xiàn)得越來(lái)越突出。例如，電子簽名等其他電子證書(shū)是否具備法律效力、電子支付方式是否符合法律程序等，都迫切需要拿出合理的解決辦法。

四、信息安全的矛盾性問(wèn)題突出。

信息安全防護(hù)過(guò)度與不足的矛盾；安全成本與安全效益的矛盾；信息安全的攻防矛盾：隨著攻擊技術(shù)的不斷進(jìn)步，防御手段與產(chǎn)品需要及時(shí)升級(jí)、更新；安全性和易用性的矛盾：為了減小系統(tǒng)機(jī)密性被破壞的風(fēng)險(xiǎn)，當(dāng)前電子政務(wù)系統(tǒng)都禁止用戶(hù)使用移動(dòng)存儲(chǔ)設(shè)備，禁止終端接入公共網(wǎng)絡(luò)，致使系統(tǒng)的易用性受到了嚴(yán)重影響。

五、不安全因素多種多樣。

（一）電子政務(wù)面臨的威脅有信息泄漏、完整性破壞、拒絕服務(wù)和非法使用等。破壞途徑和方法主要有竊聽(tīng)、假冒、病毒、旁路控制、業(yè)務(wù)流分析、工作人員疏忽等。每一個(gè)環(huán)節(jié)可能面臨的安全威脅包括主動(dòng)攻擊、被動(dòng)攻擊、病毒、社會(huì)工程、無(wú)線(xiàn)網(wǎng)絡(luò)接入、特權(quán)用戶(hù)以及火、洪水、電磁風(fēng)暴等自然災(zāi)害；有些威脅是惡意的，如欺騙、黑客、病毒、邏輯炸彈、木馬、偷竊信息/數(shù)據(jù)、蓄意破壞等。

（二）技術(shù)性安全威脅，主要包括非授權(quán)修改、功能性損壞等。

（三）非技術(shù)性安全威脅包括自然災(zāi)害；人為盜竊、破壞設(shè)備等行為；口令和密鑰管理不善，造成泄漏；制度漏洞如安全貫徹制度不健全、責(zé)任不明確、操作流程不清晰等。

防范措施

電子政務(wù)涉及到許多黨政機(jī)關(guān)重要的文件，甚至有些內(nèi)容關(guān)系到國(guó)家利益與國(guó)家安全；政府作為社會(huì)管理機(jī)構(gòu)，若因?yàn)殡娮诱?wù)系統(tǒng)癱瘓而造成業(yè)務(wù)流程停頓，帶來(lái)的損失將會(huì)非常巨大。正因如此信息安全防范措施更不可忽視。信息安全防范措施如下。

一、物理安全。

（一）防止系統(tǒng)運(yùn)行的安全隱患。電源問(wèn)題、自然災(zāi)害、電磁干擾及其他環(huán)境威脅均可能帶來(lái)系統(tǒng)運(yùn)行的安全隱患，對(duì)此要加以防止。

（二）依照標(biāo)準(zhǔn)實(shí)行管理。需要按照國(guó)家標(biāo)準(zhǔn)建設(shè)電子政務(wù)信息系統(tǒng)的設(shè)施與場(chǎng)地安全管理。

（三）做好物理訪(fǎng)問(wèn)風(fēng)險(xiǎn)與控制。預(yù)防人為操作失誤及各種計(jì)算機(jī)犯罪行為。

二、系統(tǒng)安全。

（一）操作系統(tǒng)。采用具有我國(guó)自主知識(shí)產(chǎn)權(quán)的操作系統(tǒng)以防敏感信息被泄露、應(yīng)用程序遭受攻擊。網(wǎng)絡(luò)管理員需要定期或不定期地利用漏洞掃描工具，對(duì)本地網(wǎng)絡(luò)設(shè)備或主機(jī)進(jìn)行系統(tǒng)安全漏洞的掃描，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)安全隱患并督促相關(guān)人員適時(shí)檢查系統(tǒng)的設(shè)置，安裝安全補(bǔ)丁。

（二）硬件。

1、采購(gòu)產(chǎn)品時(shí)講求質(zhì)量。特別對(duì)關(guān)鍵的系統(tǒng)，應(yīng)當(dāng)盡可能采用比較成熟、穩(wěn)定的型號(hào)，盡量避免使用剛問(wèn)世的新產(chǎn)品，規(guī)避 “技術(shù)風(fēng)險(xiǎn)”。

2、采用網(wǎng)絡(luò)監(jiān)控體系對(duì)各種未授權(quán)或非法活動(dòng)適時(shí)報(bào)警和阻斷。

（三）軟件。防范病毒需要做到：

1、合理使用殺毒軟件。

2、定期對(duì)數(shù)據(jù)進(jìn)行備份，一旦遭到病毒的破壞可以及時(shí)恢復(fù)主要數(shù)據(jù)。

3、病毒防治不僅關(guān)乎技術(shù)問(wèn)題，更關(guān)系到社會(huì)問(wèn)題、教育問(wèn)題和管理問(wèn)題，對(duì)此應(yīng)當(dāng)加強(qiáng)和普及相應(yīng)的知識(shí)與培訓(xùn)，建立健全相應(yīng)的管理制度和規(guī)章。

4、出補(bǔ)丁修改軟件漏洞、安全刪除軟件后門(mén)。

（四）應(yīng)用系統(tǒng)。涉密信息網(wǎng)絡(luò)必須與公共信息網(wǎng)實(shí)行物理隔離；在與公共信息網(wǎng)相連的信息設(shè)備上不得存儲(chǔ)、處理和傳遞國(guó)家秘密信息。信息安全技術(shù)防范措施很多，包括密碼技術(shù)、防病毒技術(shù)、防火墻、公鑰基礎(chǔ)設(shè)施（PKI）、PMI身份認(rèn)證與授權(quán)管理、入侵檢測(cè)、漏洞掃描技術(shù)、虛擬專(zhuān)用網(wǎng)和數(shù)據(jù)保護(hù)等。建立一套恢復(fù)與備份機(jī)制確保出現(xiàn)自然災(zāi)害、系統(tǒng)崩潰、網(wǎng)絡(luò)攻擊或硬件故障情況時(shí)重要數(shù)據(jù)能得以恢復(fù)。

（五）數(shù)據(jù)安全。

1、數(shù)據(jù)保護(hù)制度。一是防止外部人員接觸存有重要數(shù)據(jù)的主機(jī)、存儲(chǔ)設(shè)備及打印機(jī)等輸出設(shè)備，切實(shí)做好物理訪(fǎng)問(wèn)控制。二是做好數(shù)據(jù)備份與災(zāi)難恢復(fù)計(jì)劃。三是做好數(shù)據(jù)邏輯訪(fǎng)問(wèn)控制。

2、信息傳遞過(guò)程中加密。

（六）信息安全管理。

1、制訂制度或相應(yīng)的規(guī)范。

（1）根據(jù)工作的重要程度，確定該系統(tǒng)的安全需求；根據(jù)確定的安全需求，確定安全管理的范圍。

（2）制訂相應(yīng)的機(jī)房出入管理制度。

（3）制訂嚴(yán)格的操作規(guī)程。

（4）制訂完備的系統(tǒng)維護(hù)制度。

（5）制訂應(yīng)急措施。

2、組織管理措施。

（1）要健全信息安全組織機(jī)構(gòu)和管理制度。

（2）在實(shí)際建設(shè)和應(yīng)用電子政務(wù)系統(tǒng)時(shí)，盡量避免一個(gè)人同時(shí)兼具多個(gè)角色，而是要把系統(tǒng)的設(shè)計(jì)、管理、操作、利害關(guān)系者等角色分別開(kāi)來(lái)。對(duì)于重要的業(yè)務(wù)，可以在系統(tǒng)工作流程中增加一個(gè)環(huán)節(jié)——審核，并為具體操作人員設(shè)定操作規(guī)模上限。

3、員工管理。

（1）培養(yǎng)員工的安全意識(shí)、進(jìn)行安全教育。

（2）對(duì)操作人員授權(quán)適當(dāng)、分工合理、責(zé)任明確。

（3）防止員工離任因不滿(mǎn)情緒和報(bào)復(fù)念頭，惡意破壞電子政務(wù)系統(tǒng)。

4、安全保密管理。健全法規(guī)，用法律法規(guī)明確哪些政務(wù)、信息公開(kāi)，哪些要保密，規(guī)范行為。

5、身份認(rèn)證。用戶(hù)名和口令認(rèn)證、用戶(hù)物品的安全令牌和智能卡認(rèn)證、用戶(hù)屬性特征的DNA認(rèn)證。

6、風(fēng)險(xiǎn)評(píng)估。電子政務(wù)系統(tǒng)的安全程度必須由信息安全風(fēng)險(xiǎn)評(píng)估部門(mén)根據(jù)風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)客觀地對(duì)系統(tǒng)的安全性進(jìn)行評(píng)價(jià)，不能由提供該系統(tǒng)的系統(tǒng)集成商自行評(píng)定。電子政務(wù)系統(tǒng)使用部門(mén)必須要把信息安全風(fēng)險(xiǎn)評(píng)估作為一項(xiàng)制度，對(duì)系統(tǒng)的安全性進(jìn)行檢查與評(píng)價(jià)，并據(jù)此對(duì)存在的問(wèn)題和安全隱患進(jìn)行解決、排查和補(bǔ)救。

7、信息安全系統(tǒng)建設(shè)應(yīng)超前思考，長(zhǎng)期規(guī)劃，不留基礎(chǔ)隱患。

8、完善政務(wù)信息工程外包管理制度。電子政務(wù)對(duì)可靠性、安全性的要求較高，是一項(xiàng)復(fù)雜的系統(tǒng)性的服務(wù)工程。任何時(shí)候都要切實(shí)保證電子政務(wù)系統(tǒng)的安全。研究信息安全問(wèn)題與對(duì)策對(duì)于確保數(shù)據(jù)完整性、信息保密性、信息真實(shí)性、數(shù)據(jù)可用性是十分必要的。