侯亞杰

2014年5月16日，中央國家機關政府采購中心明確規(guī)定：“所有計算機類產品不允許安裝Windows8操作系統”。2014年5月26日發(fā)表的《美國全球監(jiān)聽行動紀錄》指出，美國國家安全局代號為“棱鏡”的秘密項目針對中國的竊密行為的內容基本屬實，微軟、谷歌等眾多美企成為竊密幫兇，網絡安全、信息安全、國家安全再次成為社會廣泛關注的熱點話題。電子政務以互聯網為基礎，但鑒于互聯網本身安全的不足，讓電子政務面臨嚴峻的威脅。因此，為了更好的保障國家利益和實現電子政務，必須高度重視信息化問題，探究信息安全規(guī)律。

一、電子政務信息安全的相關概念

電子政務是指各種公務機構通過廣泛應用現代信息技術，推動政務活動方式的變革，提高行政效率，發(fā)展民主決策進程，向社會提供優(yōu)質、規(guī)范、透明的管理與服務的過程與結果。電子政務已經成為社會信息化的一個重要組成部分，它是政府適應信息社會發(fā)展的客觀選擇。

信息安全提供信息和信息系統的保密性、完整性、可用性、可確認性和抗抵賴性，從而使信息和信息系統免遭未授權的訪問、使用、泄露、干預、修改、重放和破壞，并保證使用和操作信息以及信息系統的任何實體的身份不被假冒或欺騙，實體的來源與行為可獲取利用者的職位等身份信息，并且此行為具有不可抵賴性。在國際標準《ISO/IEC17799：2005信息安全管理實施細則》中對信息安全的定義是：“保護信息的機密性、完整性、可用性及其他屬性，如：真實性、可核查性、可靠性、防抵賴性?！?/p>

電子政務信息安全是指政務數據信息在接收、處理等過程中不被竊取、篡改，即保證其準確性和及時性，其涵蓋了信息環(huán)境、信息網絡和通信基礎設施、媒體、數據、信息內容、信息應用等諸多方面的安全需要。電子政務信息涵蓋面廣，往往涉及許多個人信息、部分政治信息、部分金融信息、法律信息等多個方面，其信息安全需要符合完整性、保密性、授權真實性、信息可控性、信息實時性等特征。

二、電子政務信息安全面臨的問題分析

（一）信息安全保障體系

在電子政務立法方面，我國近年來已經出臺了與網絡信息安全有關的法律法規(guī)，取得了一定成績，但我國的法律法規(guī)還存在缺陷。主要體現在結構單一、體系分散，尚未形成完善的法律法規(guī)體系；缺少網絡信息安全基本法，對網絡信息安全保障體系的構建缺乏整體考慮和規(guī)劃；法律法規(guī)之間部分內容重復交叉，同一行為有多個行政處罰主體，法律法規(guī)之間相互抵觸，處罰幅度不一；沒有網絡規(guī)劃與建設、網絡安全、數據的法律保護、信息跨境、隱私保護及IT供應鏈安全等相關方面的法律法規(guī)。

（二）信息安全管理體系

1.信息安全管理體制不完善

目前尚沒有統一的電子政務管理機制，使同級部門之間交流困難，上下級部門之間的縱向政令不能及時傳達，產生了“政出多門”和“政策拉車”的現象。面對這一情況，各級政府一般只從技術層面上采取措施，卻忽略了建設規(guī)范的管理體制。目前，我國的電子政務系統在信息安全保密管理方面還沒有統一的標準，對故障定位不夠及時、不夠準確，對安全事故無法應付，對安全責任的追查更是困難。

2.信息安全關于人的意識問題

（1）信息接受者對信息的傳播問題

信息安全問題是伴隨著人類信息活動的進行而產生的，信息由于網絡和計算機技術的發(fā)展，得以快速傳播。信息傳播產生了相應的問題：制造與事實相反或完全不存在的信息；傳播虛假、歪曲事實的信息；將正確的信息有意、無意地更改成錯誤的信息；通過不正當的途徑獲取信息；由于利益沖突銷毀他人的有用信息。

（2）電子政務系統使用人員的安全意識不高

許多政府工作人員沒有受過有關安全法律法規(guī)和防范安全風險的教育與培訓，對電子政務又缺乏科學、正確的認識，信息素養(yǎng)總體水平不高，不適應信息化辦公的要求。據統計，我國電子政務信息系統的安全問題有將近80%來自內部工作人員。很多工作人員只希望提高辦公效率，卻忽視安全保密問題，交叉使用移動存儲介質等安全保密意識不強的行為常常給電子政務系統帶來安全隱患。

（三）信息安全技術體系

目前，很多地區(qū)和部門在電子政務建設上都投入了大量財力和精力，但由于起步晚、技術落后，我國的電子政務總體建設水平仍然不高。主要的核心產品基本上都要從國外進口，即便是我們國家自己研制開發(fā)的產品，有時也需拿到國外市場去加工，而這些加工環(huán)節(jié)就有可能留下安全隱患。我國政府花錢引進了不少國外設備以加快電子政務的建設發(fā)展，但由于我們并沒有掌握這些先進設備的技術，如果對這些引進的東西再缺乏有效的檢測，不能排除安全隱患的話，就可能適得其反，花錢買隱患。

三、保障電子政務信息安全的對策

（一）加強電子政務信息安全保障體系的建設

筆者仔細閱讀了美國、日本和加拿大這三個電子政務高速發(fā)展國家關于電子政務信息安全方面相關的立法，總結出以下三個觀點：立法更新都相當迅速，根據最新的技術來進行相應的法律規(guī)范要求，同時又大力開發(fā)新的技術，使法律和技術共同發(fā)展；以一個立法為中心，其他法律圍繞該立法，充分做到了各項事務有法可依；對于重點問題，有專門的法律法規(guī)依據。我國應當積極借鑒國外先進經驗，從以下幾方面著手，及早建立起電子政務信息安全的保障體系。首先，在國家層面制定總體性的法律法規(guī)，各個地區(qū)再根據自身情況，在不違反總體性的法律法規(guī)前提下，制定自己的電子政務信息安全法律法規(guī)。其次，要盡量做到立法與技術同步。最后，要加強信息安全的執(zhí)法，培養(yǎng)并建立一支具有信息專業(yè)知識的專業(yè)隊伍，保護企業(yè)和公民的合法權益，打擊網絡違法犯罪，做到依法決策、依法行政、依法管理。

（二）健全電子政務信息安全管理體系

1.建立完備的信息安全管理機制

信息安全管理的關鍵在于組織領導，只有建立制度化的管理體系，才能在各個環(huán)節(jié)實施中確保優(yōu)質效果，以規(guī)避管理風險。一是國家建立能夠維護各種信息安全利益的綜合協調機構，來改變目前在維護信息安全時出現的職責不清、政出多門、多條管理等現狀；二是各個職能部門要形成一個分工明確、責任落實的組織管理體系，共同履行信息安全管理的職責；三是建立省、市兩級完善的信息安全領導體系，依據本省市電子政務發(fā)展實際情況來制定相應的信息安全管理要求；四是采取有效措施，積極推進信息安全等級保護工作，按照信息的敏感度和重要程度、信息的性質和部門重要程度，分級采取合理有效的措施。

2.增強信息安全意識

（1）加強人的信息安全素養(yǎng)

隨著互聯網的普及，信息安全時刻出現在人們的身邊。首先，必須確保了解一些信息保護的基礎知識。例如：了解移動介質（U盤、移動硬盤等）使用不當會泄密；了解各種病毒、木馬的危害；了解下載特殊軟件的推送服務和位置獲取等信息。其次，定期做好電腦磁盤的清潔和定期掃描電腦漏洞，定時備份重要資料等。最重要的一點是，信息安全素養(yǎng)是要重點培養(yǎng)人們對信息安全行為進行批判性的認識，主動接受新的網絡信息技術，樹立對信息知識產權的保護意識，維護信息安全。

（2）加強信息安全的宣傳

為了正確樹立信息安全的價值觀，加強信息安全宣傳是一種有效的方法。在這當中，信息安全保密與保護隱私等宣傳是十分重要的。向全體民眾進行價值灌輸和價值培養(yǎng)，讓民眾樹立正確的信息安全價值觀念，同時調動主觀能動性向損壞他人信息安全利益的信息安全行為作斗爭，營造和諧的信息安全環(huán)境。

（3）加強對信息人才的培養(yǎng)

電子政務信息安全保障工作的專業(yè)性、技術性都很強，需要一批政治素質高、政務能力強、具備網絡知識、信息安全技術、法律知識和管理知識的復合型人才和專業(yè)人才。采取集中培訓、分散學習、輪崗訓練等多種方式培養(yǎng)管理人員和專業(yè)技術人員，最大限度地發(fā)揮人才效益。

（三）完善電子政務信息安全技術體系的建設

1.加強信息安全物理安全體系

（1）環(huán)境安全

環(huán)境安全是指對系統所處環(huán)境的安全保護，如設備的運行環(huán)境需要適當的溫度、濕度，盡量少的煙塵，不間斷電源保障等。計算機系統硬件的安全性與環(huán)境條件密切相關，如果環(huán)境條件不能滿足設備的要求，會破壞數據和縮短機器壽命，嚴重時可能危害人員的安全。

（2）媒體安全

數據備份是保障媒體安全的主要技術，其目的是為了在設備發(fā)生故障時保護數據，將數據遭受破壞的程度減到最小。常用的數據備份方法是可移動存儲備份、可移動硬盤備份、軟盤備份、磁帶備份、本機多硬盤備份和網絡備份。

2.加強信息系統核心技術研發(fā)

如果能掌控自主核心技術的研發(fā)，就能全面增強國家信息基礎設施、重點信息資源系統的安全保障及信息安全保密管理能力。以國家創(chuàng)新驅動發(fā)展為牽引，集中整合優(yōu)勢科研資源和力量，組織技術攻堅，做好高速加密通信芯片、操作系統、安全芯片、骨干網絡核心交換設備安全操作系統、安全數據庫及重要應用軟件國產化等基礎和核心信息安全技術的創(chuàng)新攻關。

3.加強電子政務信息安全技術機制

（1）云計算

云計算是很多技術混合演進的結果，包括網絡計算、效用計算、虛擬化技術、Web Services、SOA等。云計算在電子政務信息安全中的益處表現為：由于云時代中數據的集中存儲，使得數據泄密逐漸減少，并且更加容易實現數據的監(jiān)測。我國電子政務云面臨的問題有三：法律方面，沒有相關法規(guī)管理，導致有許多隱患的存在；技術方面，云計算和傳統I T有很多區(qū)別，我國在接口平臺環(huán)境資源方面處在一個欠缺的狀態(tài)；最后，云計算在將資源集中整合之后帶來的風險也會對信息安全造成威脅。總之這幾方面對電子政務云的管理、產品、技術都提出了更大的挑戰(zhàn)。

（2）大數據

近年來，大數據正成為繼云計算、物聯網之后信息技術領域的又一熱點。大數據是規(guī)模非常巨大和復雜的數據集，具有四個典型特征：數據量是持續(xù)快速增加的；高速度的數據I/O；多樣化的數據類型和來源；數據價值大。大數據最主要的作用是服務，即對人、機、物的服務。大數據帶來了很多機遇，同時又給信息安全帶來了挑戰(zhàn)。大數據正在為安全分析提供新的可能性，對海量數據的分析有助于信息安全服務提供商更好地刻畫網絡異常行為，從而找出數據中的風險點，防止詐騙和阻止黑客入侵。

（3）數字簽名技術

所謂數字簽名就是通過某種密碼運算生成一系列符號及代碼組成電子密碼進行簽名，來代替書寫簽名或印章，對于這種電子式的簽名還可進行技術驗證，其驗證的準確度是一般手工簽名和圖章的驗證所無法比擬的。數字簽名是目前電子政務中應用最普遍、可操作性最強的一種電子簽名方法。數字簽名技術采用了規(guī)范化的程序，來鑒定簽名人的身份以及對數據內容的認同。除此之外，它還能確切地驗證出文件在傳輸過程中有無變動，確保傳輸電子文件的真實性和不可抵賴性。

（4）防火墻技術

防火墻是網絡安全的屏障，是提供安全信息服務、實現網絡信息安全的基礎設施之一。防火墻能極大地提高一個內部網絡的安全性，防止來自外部的攻擊，并通過過濾不安全的服務降低風險。在電子政務信息安全運用中，能防止內部信息外泄和屏蔽有害信息，利用防火墻對內部網絡的劃分，可以實現內部網絡對重點信息的隔離；當有可疑動作時，防火墻能自動進行報警，詢問網絡是否受到監(jiān)測和攻擊的詳細信息；防火墻能嚴格監(jiān)控和審計進出網絡的信息，如果所有的訪問都經過防火墻，那么防火墻就能記錄下這些訪問并做出日志記錄，同時也能提供網絡使用情況的統計數據。防火墻技術已經普遍應用，基本上每臺電腦都會安裝防火墻，是一個極其便民且重要的技術。

[1]周品.云時代的大數據[M].北京：電子工業(yè)出版社，2013.

[2]李園園.信息安全價值研究[M].上海：上海世界圖書出版，2014.

[3]張健.電子文件信息安全管理研究[M].上海：上海世界圖書出版，2012.

[4]張健.信息安全技術與應用[M].哈爾濱：東北林業(yè)大學出版社，2012.

[5]朱海波.信息安全與技術[M].北京：清華大學出版社，2014.

[6]趙先星，王茜.借鑒國際經驗完善我國電子政務信息安全立法[J].海外資訊，2008，（9）.

[7]趙雪.我國電子政府建設中的信息安全問題與對策[J].湖北經濟學院學報，2007，（8）.

[8]周昕.“云計算”時代的法律意義及網絡信息安全法律對策研究[J].重慶郵電大學學報（社會科學版），2011，（7）.

[9]丁麗.電子政務信息安全保密管理研究[D].山東師范大學，2014.

[10]張淼.電子政府的信息安全問題與策略研究[D].東北財經大學，2007.