摘 要：隨著網(wǎng)絡(luò)信息技術(shù)的迅速發(fā)展，電子政務(wù)已成為了當(dāng)代政府部門信息化建設(shè)的重要領(lǐng)域之一。然而在給工作帶來便利同時也存在技術(shù)和管理兩個方面的風(fēng)險。通過分析安全風(fēng)險問題，采取相應(yīng)積極措施，使其發(fā)揮最大效能。

關(guān)鍵詞：電子政務(wù)；安全風(fēng)險；措施

中圖分類號：TP399-C2

當(dāng)前，計算機網(wǎng)絡(luò)技術(shù)迅猛發(fā)展，社會網(wǎng)絡(luò)信息化進程基本得到普及。在世界各國逐漸實現(xiàn)電子政務(wù)系統(tǒng)的大背景下，我國政府機構(gòu)各部門實現(xiàn)電子化、網(wǎng)絡(luò)化和信息化后，有利于政府提高行政管理效率和辦公效率，改善公共服務(wù)。然而，電子政務(wù)系統(tǒng)中的一部分信息涉及到國家安全和機密，另外系統(tǒng)本身對開展工作都有很重要的作用，在電子政務(wù)為政府工作帶來高效和便利同時，信息化系統(tǒng)中所潛在安全風(fēng)險也越來越高。

當(dāng)前我國電子政務(wù)系統(tǒng)在整體管理機制、技術(shù)防范體系、全面集中安全管理策略平臺定制等方面，都有很多不足之處，迫切需要進行系統(tǒng)風(fēng)險評估來發(fā)現(xiàn)弱點彌補不足。

1 電子政務(wù)系統(tǒng)概述

一般而言，電子政務(wù)系統(tǒng)包括三個組成部分：第一政府部門內(nèi)部辦公職能的電子化和網(wǎng)絡(luò)化：第二政府職能部門之間通過計算機網(wǎng)絡(luò)實現(xiàn)有權(quán)限的實時互通的信息共享；第三政府部門通過網(wǎng)絡(luò)與公眾和企業(yè)間開展雙向的信息交流與決策。目前各級政府部門所廣泛使用的辦公自動化系統(tǒng)，屬于第一類電子政務(wù)的范疇。政府部門通過自己的互聯(lián)網(wǎng)站發(fā)布政務(wù)信息，以及進行網(wǎng)上招標(biāo)、網(wǎng)上招聘、接受網(wǎng)上投訴等，則屬于第三類電子政務(wù)的范疇。一個完整的電子政務(wù)系統(tǒng)，應(yīng)當(dāng)是上述這三類系統(tǒng)的有機結(jié)合。

2 電子政務(wù)系統(tǒng)技術(shù)的安全風(fēng)險

2.1 計算機系統(tǒng)硬軟件物理局限性

計算機系統(tǒng)硬軟件本身具有脆弱性的特點，在各種自然災(zāi)害、人為破壞下容易受到損害。比如計算機系統(tǒng)遭遇過高或過多的溫濕度、磁場、碰撞、污染，或者硬件設(shè)備故障，或者被突然斷電、電壓不穩(wěn)，或者遭遇火災(zāi)、地震、洪水的破壞，這些危害會不同程度地損害計算機操作系統(tǒng)的硬軟件設(shè)備，嚴(yán)重時會使丟失或破壞計算機系統(tǒng)數(shù)據(jù)，甚至摧毀整個計算機系統(tǒng)硬軟件設(shè)備。

2.2 網(wǎng)絡(luò)本身存在難以彌補的缺陷問題

電子政務(wù)系統(tǒng)在網(wǎng)絡(luò)運行過程中會存在以下幾個方面的安全風(fēng)險：一是黑客對電子政務(wù)系統(tǒng)進行偽裝后，騙取用戶賬號、密碼；二是電子政務(wù)系統(tǒng)用戶提交業(yè)務(wù)信息后被黑客非法監(jiān)聽，修改；三是電子政務(wù)系統(tǒng)用戶在成功提交業(yè)務(wù)后出現(xiàn)抵賴行為，有時沒有憑證；四是黑客對電子政務(wù)系統(tǒng)進行非法訪問；五是電子政務(wù)系統(tǒng)運行離不開網(wǎng)絡(luò)，使得網(wǎng)絡(luò)方面是一個重要風(fēng)險點，主要存在于網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等。

3 電子政務(wù)系統(tǒng)管理的安全風(fēng)險

據(jù)有關(guān)對電子政務(wù)系統(tǒng)網(wǎng)絡(luò)入侵、攻擊事件的調(diào)查數(shù)據(jù)顯示：歐美政府電子政務(wù)系統(tǒng)被入侵的安全風(fēng)險指數(shù)達21%，其中政府內(nèi)部不滿職工入侵安全風(fēng)險指數(shù)是89%、競爭對手入侵安全風(fēng)險指數(shù)是72%、黑客入侵安全風(fēng)險指數(shù)是48%。事實表明，電子政務(wù)系統(tǒng)的信息安全不只是單純的技術(shù)安全問題，還應(yīng)該從工作管理制度、職工管理上建立有效的安全防范機制。如果沒有有效的安全保護機制做保障，再完善的技術(shù)和設(shè)備也很難保證電子政務(wù)系統(tǒng)正常運行。

3.1 用戶安全意識薄弱

網(wǎng)絡(luò)用戶的安全意識屬于非技術(shù)層面的、是隱性的，它比表面的技術(shù)難題更難克服。主要表現(xiàn)在人們對信息安全保密的認識不足，潛意識里對安全的理解和關(guān)注不足，單位領(lǐng)導(dǎo)層對安全基礎(chǔ)設(shè)施的利用和資金投入不足等。

3.2 管理制度不完善

在電子政務(wù)系統(tǒng)管理過程中經(jīng)常出現(xiàn)的不當(dāng)情況有：機房重地沒設(shè)沒卡無人看守，非工作人員能隨意進出；工作人員在機房開機狀態(tài)下離開崗位，有關(guān)重要的敏感信息被臨時存放在本地的磁盤上，且未設(shè)置保護狀態(tài)。這些行為會導(dǎo)致機房或電子政務(wù)系統(tǒng)被外部入侵，更為系統(tǒng)內(nèi)部破壞埋下長期隱患。一般來說，來自內(nèi)部的安全威脅會更大些，原因在于內(nèi)部工作人員更了解系統(tǒng)內(nèi)部網(wǎng)絡(luò)、主機、應(yīng)用系統(tǒng)的結(jié)構(gòu)功能；更了解內(nèi)部管理員的工作漏洞和工作習(xí)慣，有時，甚至破壞者自身就是一名內(nèi)部管理人員；內(nèi)部工作人員一般都擁有系統(tǒng)的一定訪問權(quán)限，能很順利地規(guī)避正常的訪問監(jiān)控機制；內(nèi)部工作人員對內(nèi)部系統(tǒng)能有更多的機會進行網(wǎng)絡(luò)偵查，容易進行有針對性地系統(tǒng)登錄、密碼破解行為。

3.3 缺乏應(yīng)急機制

當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時（如內(nèi)部人員的違規(guī)操作等），無法進行實時的檢測、監(jiān)控、報告與預(yù)警。同時，當(dāng)事故發(fā)生后，也無法提供黑客攻擊行為的追蹤線索及破案依據(jù)，即缺乏對網(wǎng)絡(luò)的可控性與可審查性。

4 針對電子政務(wù)系統(tǒng)風(fēng)險的解決方案

4.1 加強硬軟件建設(shè)，確保電子政務(wù)系統(tǒng)安全

要保障計算機電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的安全，前提是要確保計算機信息系統(tǒng)有關(guān)運行設(shè)備的物理安全。設(shè)備的物理安全主要包括線路安全、設(shè)備安全、環(huán)境安全三個方面。確保設(shè)備的物理安全是要保護計算機網(wǎng)絡(luò)設(shè)備、設(shè)施遠離火災(zāi)、水災(zāi)、地震等自然災(zāi)害事故，遠離人為操作錯誤，遠離各種損害計算機系統(tǒng)的行為。

為確保電子政務(wù)系統(tǒng)的安全，通常情況還應(yīng)把不同密級的網(wǎng)絡(luò)進行有效隔離，可以采用隔離技術(shù)將核心密級、普通密級在物理上進行有效隔離，同時要通過技術(shù)手段在邏輯上將兩個網(wǎng)絡(luò)進行有效連通。

電子政務(wù)網(wǎng)絡(luò)系統(tǒng)是通常由省、市、縣政府三級網(wǎng)絡(luò)組成的體系結(jié)構(gòu)，從網(wǎng)絡(luò)安全角度層面上看，三級網(wǎng)絡(luò)結(jié)構(gòu)存在于不同的網(wǎng)絡(luò)安全域，應(yīng)該在各級的網(wǎng)絡(luò)邊界、政務(wù)網(wǎng)、Internet邊界設(shè)置安裝有效的防火墻，并進行相對應(yīng)的安全策略控制。同時，根據(jù)滿足對外信息查詢等服務(wù)的要求，可把對外公開服務(wù)器集合起來劃分出專門的服務(wù)器子網(wǎng)，設(shè)置防火墻策略來保護對客戶的訪問。網(wǎng)絡(luò)邊界安全的防范可采用防火墻等成熟產(chǎn)品和技術(shù)實現(xiàn)網(wǎng)絡(luò)的訪問控制，采用安全檢測手段防范黑客入侵。

4.2 加強管理，保障電子政務(wù)系統(tǒng)安全運行

針對網(wǎng)絡(luò)安全的脆弱性，我們可在網(wǎng)絡(luò)設(shè)計上增加安全服務(wù)功能，完善系統(tǒng)的安全保密措施，同時，要制定有效的安全管理制度，加強網(wǎng)絡(luò)的安全管理。實施安全管理做好以下幾個原則：一是堅持職責(zé)分離原則。禁止工作人員了解、參與職責(zé)以外的任何安全操作行為；二是堅持多人負責(zé)原則。對每項與安全有關(guān)的操作都要求有多人在場，相互監(jiān)督。這些人都應(yīng)忠誠可靠。三是堅持任期有限原則。對涉及安全的工作人員不能長期兼任，要適當(dāng)根據(jù)年限和表現(xiàn)進行調(diào)整。

5 總結(jié)

對電子政務(wù)系統(tǒng)的描述，讓我們了解到電子政務(wù)系統(tǒng)給我們的生活帶來的極大便利，同時分析出存在的風(fēng)險，進而在技術(shù)上克服難關(guān)，確保系統(tǒng)的安全。另外，人在工作中的不確定性操作也會造成很大的安全威脅，所以也要求對工作人員進行嚴(yán)格管理，培養(yǎng)安全意識。這樣我們做到了既從技術(shù)上解決各種威脅，又從人員管理上盡量減少意外事故發(fā)生的幾率，從而保證了電子政務(wù)系統(tǒng)的安全，相信電子政務(wù)系統(tǒng)會給我們的生活帶來巨大的改變，發(fā)揮出更大的作用。

參考文獻：

[1]黃志澄.電子政務(wù)的內(nèi)涵及發(fā)展[J].中國信息導(dǎo)報，2010（4）.

[2]楊義先，林曉東，邢育森.信息安全綜論[J].電信科學(xué)，2009（12）.

[3]謝健全.信息系統(tǒng)安全防護技術(shù)[M].中國宇航出版社，2006，07.

[4]聶曉偉，張玉清，楊鼎才.基于BS7799標(biāo)準(zhǔn)風(fēng)險評估方法的設(shè)計與應(yīng)用[J].計算機工程，2005，31（19）：70-72.

[5]科飛管理咨詢公司.信息安全管理概論——理解與實施[M].機械工業(yè)出版社，2002.

[6]崔寶江等.信息安全實驗指導(dǎo)[M].國防工業(yè)出版社，2005，05.

作者單位：河南信息統(tǒng)計職業(yè)學(xué)院，鄭州 450008