田函靈

摘要：近年來伴隨著經(jīng)濟(jì)的快速發(fā)展，計(jì)算機(jī)技術(shù)日漸普及到社會(huì)生活的各個(gè)領(lǐng)域中，我國政府也實(shí)現(xiàn)了電子化辦公。但是在使用計(jì)算機(jī)辦公的時(shí)候，很多弊端也逐漸暴露出來了，其中最主要的就是電子政務(wù)的信息安全問題。政府在辦公中會(huì)收發(fā)許多具有重要意義的文件，涉及到核心項(xiàng)目的這些文件一旦泄露出去就會(huì)給政府乃至國家?guī)頍o法挽回的后果。因此，電子政務(wù)安全的保障是保護(hù)國家利益的重要環(huán)節(jié)。本文對(duì)電子政務(wù)作了簡要概述，結(jié)合實(shí)例進(jìn)行分析，找出了現(xiàn)存的威脅并給出了一系列切實(shí)可行的應(yīng)對(duì)措施。

關(guān)鍵詞：電子政務(wù);信息安全;政府網(wǎng)站

文章編號(hào)：978 -7 - 80736 - 771 -0（2019） 01 -127 - 03

一、引言

我國服務(wù)性的政府理念不斷推行，電子政務(wù)獲得了飛速發(fā)展，另外，電子政務(wù)系統(tǒng)可以有效實(shí)現(xiàn)行政的透明化，切實(shí)提高有關(guān)部門的辦事效率，減少相應(yīng)的行政成本，改善人們對(duì)政府及有關(guān)單位的態(tài)度。但現(xiàn)階段我國電子政務(wù)內(nèi)部系統(tǒng)相對(duì)較為落后，內(nèi)部人員的信息安全意識(shí)不強(qiáng)，致使非法入侵容易，且信息管理的法制尚不完善，給政務(wù)系統(tǒng)的全面管理帶來了較大的挑戰(zhàn)，因此，我國必須根據(jù)現(xiàn)階段電子政務(wù)信息安全管理現(xiàn)狀，提出有效的改進(jìn)意見。

一、電子政務(wù)及信息安全概述

（一）貼合我國實(shí)際的電子政務(wù)定義

我們理解的“電子政務(wù)”，指運(yùn)用信息和通信技術(shù)，打破行政機(jī)關(guān)的組織界限，改進(jìn)行政組織，重組公共管理，實(shí)現(xiàn)政府辦公自動(dòng)化、政務(wù)業(yè)務(wù)流程信息化，為公眾和企業(yè)提供廣泛、高效和個(gè)性化服務(wù)的一個(gè)過程。其核心內(nèi)容在于，將政府的管理和服務(wù)借助于信息手段進(jìn)行集成，以實(shí)現(xiàn)更高效、更廉潔務(wù)實(shí)的政府監(jiān)管和服務(wù)。準(zhǔn)確地講，我國的“電子政務(wù)”應(yīng)理解為“E - Governing”。

這個(gè)定義包括三個(gè)方面的信息：第一，電子政務(wù)必須借助于電子信息和數(shù)字網(wǎng)絡(luò)技術(shù)，離不開信息基礎(chǔ)設(shè)施和相關(guān)軟件技術(shù)的發(fā)展：第二，電子政務(wù)處理的是與政權(quán)有關(guān)的公開事務(wù)，除了包括政府機(jī)關(guān)的行政事務(wù)以外，還包括立法、司法部門以及其他一些公共組織的管理事務(wù)，如檢務(wù)、審務(wù)、社區(qū)事務(wù)等;第三，電子政務(wù)并不是簡單地將傳統(tǒng)的政府管理事務(wù)原封不動(dòng)地搬到互聯(lián)網(wǎng)上，而是要對(duì)其進(jìn)行組織結(jié)構(gòu)的重組和業(yè)務(wù)流程的再造。[1]

（二）電子政務(wù)信息安全的定義

電子政務(wù)信息安全主要是指在網(wǎng)絡(luò)背景下，有關(guān)政府和單位的各種信息和機(jī)密文件不會(huì)受到外來入侵者的損害，信息的安全不僅僅包括信息本身的安全，還包括信息儲(chǔ)存過程的技術(shù)安全與信息載體的安全，如網(wǎng)絡(luò)的安全、U盤等設(shè)備的安全。

（三）電子政務(wù)信息安全的重要意義

電子政務(wù)信息的內(nèi)容往往是國家或相關(guān)企業(yè)的基礎(chǔ)信息，如果受到外界的強(qiáng)制干預(yù)，往往表現(xiàn)出相關(guān)部門的信息保護(hù)能力相對(duì)較差，在一定程度上縱容了入侵者的行為，且相應(yīng)的行為很難受到法律的懲罰。另外，對(duì)于公民來說，有關(guān)部門的信息安全保障能力較弱，人們往往對(duì)其失失去了信任，最終導(dǎo)致有關(guān)部門甚至國家的不穩(wěn)定，因此，必須有效提高電子政務(wù)的信息安全質(zhì)量。人們往往通過對(duì)電子政務(wù)信息的獲取，正確了解實(shí)事，并根據(jù)相關(guān)信息，解決自身問題，政府也可以通過政務(wù)信息系統(tǒng)了解人們的訴求，解決公民的問題，但如果電子政務(wù)系統(tǒng)受到了外界的侵襲，嚴(yán)重時(shí)侵害者會(huì)肆意改變政務(wù)信息的內(nèi)容，甚至造謠生事，最終影響電子政務(wù)工程的建設(shè)。[2]

二、電子政務(wù)信息安全案例及分析

（一）案例一：公開信息安全問題

2008年奧運(yùn)會(huì)舉辦前，因?yàn)閲翌I(lǐng)導(dǎo)萬無一失的要求，北京進(jìn)行了大規(guī)模的信息系統(tǒng)安全性檢查，北京某區(qū)政府門戶網(wǎng)站上，通過搜索網(wǎng)站，找到了一個(gè)郵箱使用說明，該網(wǎng)頁說明了如何使用區(qū)政府公務(wù)員郵件系統(tǒng)。例如，選擇公務(wù)員郵箱，在用戶名處輸入xxx，密碼輸入111111，單擊登陸即可進(jìn)入統(tǒng)計(jì)局辦公室的郵箱。那么對(duì)于攻擊者來說，只要在網(wǎng)上找找，就能找到區(qū)重要領(lǐng)導(dǎo)名字、重要部門的名稱，再據(jù)此進(jìn)行攻擊。對(duì)這些公布的郵件進(jìn)行了簡單的口令測(cè)試，有重要領(lǐng)導(dǎo)的郵箱密碼尚未改變，有兩位領(lǐng)導(dǎo)已經(jīng)改變，但也改得有些過于簡單。登錄進(jìn)去，看到了給領(lǐng)導(dǎo)發(fā)的匯報(bào)材料、請(qǐng)示之類的。試想，若攻擊者以此領(lǐng)導(dǎo)的郵箱群發(fā)個(gè)惡性郵件，在當(dāng)時(shí)奧運(yùn)會(huì)嚴(yán)格的要求形勢(shì)下，一定會(huì)對(duì)內(nèi)部人員乃至群眾造成不好的影響，而其后果也是不堪設(shè)想的。

（二）案例二：不安全的“安全密碼”

事情起因非常簡單：管理員發(fā)現(xiàn)一臺(tái)服務(wù)器被入侵，但是不知道如何被入侵的，簡單了解了一下情況，服務(wù)器前有防火墻，只開放了80、3389端口，服務(wù)器補(bǔ)丁打全了。按照老習(xí)慣懷疑可能SQL注入，但是看web日志前，習(xí)慣性的先簡單看了看服務(wù)器日志，發(fā)現(xiàn)服務(wù)器安全日志中存在多個(gè)互聯(lián)網(wǎng)IP地址從遠(yuǎn)程終端登錄的記錄，甚至有在夜間的。于是問了一下開發(fā)商人員，在記錄的時(shí)間段內(nèi)是否進(jìn)行過登錄，回答均沒有在那個(gè)時(shí)間登錄過，初步判斷可能是密碼被猜出來，攻擊者直接從終端服務(wù)進(jìn)行了遠(yuǎn)程登錄，到系統(tǒng)上進(jìn)行了操作。

（三）兩起案例分析

根據(jù)上述案例，可以發(fā)現(xiàn)現(xiàn)今政府內(nèi)部人員的密碼保護(hù)和信息安全意識(shí)不強(qiáng)，政府網(wǎng)站中的個(gè)人用戶密碼一猜即中，也從側(cè)面反映出網(wǎng)站系統(tǒng)本身的漏洞較多，攻擊者要非法入侵非常簡單。而被入侵之后，即使修復(fù)了網(wǎng)站系統(tǒng)漏洞也沒有后續(xù)的追蹤措施，可見有關(guān)信息安全的法律法規(guī)滯后，未能起到規(guī)范及保護(hù)的作用，從而導(dǎo)致政府部門的內(nèi)部網(wǎng)站成了入侵者的“隨意進(jìn)出之地”。

三、當(dāng)前影響電子政務(wù)信息安全的主要因素

（一）內(nèi)網(wǎng)系統(tǒng)本身漏洞

電子信息技術(shù)的迅速發(fā)展在不斷強(qiáng)化著信息安全技術(shù)，保密的方式也是五花八門，當(dāng)然所起到的信息保密功能也日趨完善，但是還是難以避免先天的系統(tǒng)安全漏洞，軟件漏洞、網(wǎng)絡(luò)數(shù)據(jù)系統(tǒng)漏洞等等各個(gè)方面的漏洞還是給電子政務(wù)安全帶來了很多難以根除的安全缺陷。舉個(gè)例子：比如風(fēng)靡全球的Windows系列操作系統(tǒng)，雖然在不斷改進(jìn)著，但是固有的系統(tǒng)漏洞還是有很多;來自應(yīng)用軟件的漏洞更是難以避免，各種軟件的開發(fā)均是具有顯著抄襲特征的，功能等方面的系統(tǒng)漏洞甚至?xí)?dǎo)致數(shù)據(jù)庫存儲(chǔ)的數(shù)據(jù)丟失：在構(gòu)建電子政務(wù)信息官方網(wǎng)絡(luò)的時(shí)候，數(shù)據(jù)庫系統(tǒng)的編程難免會(huì)出現(xiàn)一些瑕疵和漏洞等。以上這些不起眼的系統(tǒng)漏洞都會(huì)給不法分子以可乘之機(jī)，便于他們利用這些漏洞和缺陷大做文章，給我國的電子政務(wù)安全帶來很大的威脅。

（二）內(nèi)部人員泄密

內(nèi)部人員試圖泄露政府機(jī)密信息的原因有很多，大致有如下幾個(gè)方面：第一，可能是一時(shí)的操作失誤引起的信息泄露;第二，可能是好奇心作祟;第三，可能在受到某種不公平待遇時(shí)，為了發(fā)泄心中不滿而故意泄露。無論是上述哪種情況，內(nèi)部人員有意或無意的操作都會(huì)導(dǎo)致機(jī)密信息外泄，除此之外，不排除有人通過竊取內(nèi)部人員的賬號(hào)信息來進(jìn)行信息竊取，無論是誰，都會(huì)給我國電子政務(wù)信息的安全性帶來難以預(yù)計(jì)的威脅和損害。[3]

（三）非法入侵

非法人侵簡要來說就是一些具備較為高端的計(jì)算機(jī)操作能力的人試圖通過一些不被法律允許的手段來侵人到電子政務(wù)局域網(wǎng)并做出一些破壞性的舉動(dòng)或者是竊取機(jī)密文件來獲取經(jīng)濟(jì)報(bào)酬。具體的破壞性手段可以是把病毒植人到電子政務(wù)網(wǎng)絡(luò)，使得下載指定文件的用戶感染某種特定的提前設(shè)置好的病毒，這些通過惡意插件傳播的病毒具有極強(qiáng)的破壞性，還可以通過網(wǎng)絡(luò)無限制的傳播下去，帶來大規(guī)模的病毒感染，這不僅僅會(huì)破壞政府電子政務(wù)的程序，還會(huì)使得電子政務(wù)的辦理陷人癱瘓狀態(tài)，給廣大人民帶來很多不便。

（四）配套法律法規(guī)內(nèi)容滯后

在信息時(shí)代背景下，現(xiàn)代化技術(shù)不斷更新和完善，政府門戶網(wǎng)站卻并未得到同步更新和完善，導(dǎo)致其中漏洞愈加鮮明。尤其是現(xiàn)行配套的法律法規(guī)不健全，在政府網(wǎng)站安全方面缺乏明確的規(guī)定，在政府網(wǎng)站信息安全維護(hù)中缺乏配套法律支持，很容易受到外界因素影響加劇突發(fā)事件出現(xiàn)。即便是發(fā)現(xiàn)突發(fā)事件，仍然缺乏有效依據(jù)來判定罪犯身份，在很大程度上威脅著政府網(wǎng)站信息安全。

四、加強(qiáng)我國電子政務(wù)信息安全的措施

（一）建立政府網(wǎng)站信息安全的技術(shù)治理體系

為了可以維護(hù)政府網(wǎng)站信息安全，應(yīng)該明確電子政務(wù)發(fā)展要求和方向，立足于實(shí)際情況建立完善的政府網(wǎng)站信息安全技術(shù)治理體系。加強(qiáng)信息安全核心技術(shù)研發(fā)，尤其是系統(tǒng)芯片技術(shù)和操作系統(tǒng)的研發(fā)，擺脫國外進(jìn)口依賴。只有具備核心安全技術(shù)，才能從根本上維護(hù)政府網(wǎng)站信息安全。結(jié)合政府網(wǎng)站信息安全相關(guān)要求和特點(diǎn)，針對(duì)性選擇技術(shù)，具體包括以下幾點(diǎn)：其一，網(wǎng)站防火墻和入侵檢測(cè)技術(shù)。在傳統(tǒng)網(wǎng)站防火墻基礎(chǔ)上，通過入侵檢測(cè)系統(tǒng)來識(shí)別非法入侵、攻擊行為，一旦發(fā)現(xiàn)異常問題可以通過調(diào)整和配置網(wǎng)站防火墻來阻隔外界非法攻擊行為。其二，加強(qiáng)網(wǎng)站平臺(tái)安全管理。合理配置網(wǎng)絡(luò)資源，優(yōu)化網(wǎng)站結(jié)構(gòu)的同時(shí)，推行入侵檢測(cè)、邊界防護(hù)以及木馬防護(hù)等多種安全措施，全方位維護(hù)數(shù)據(jù)信息安全，通過檢測(cè)后方可進(jìn)入政府網(wǎng)站，以此來保證政府網(wǎng)站平臺(tái)穩(wěn)定運(yùn)行。其三，維護(hù)網(wǎng)站代碼安全。在系統(tǒng)開發(fā)時(shí)盡可能規(guī)避來歷不明的程序代碼，網(wǎng)站代碼編寫完成后需要及時(shí)檢測(cè)，建立對(duì)應(yīng)的代碼檢測(cè)機(jī)制，以便于及時(shí)更新和完善系統(tǒng)漏洞。其四，強(qiáng)化數(shù)據(jù)安全防護(hù)力度。定期更新和完善數(shù)據(jù)庫，根據(jù)技術(shù)要求合理劃分網(wǎng)絡(luò)安全域，為數(shù)據(jù)庫安全提供堅(jiān)實(shí)保障。其五，建立數(shù)據(jù)災(zāi)備系統(tǒng)。營造安全的設(shè)備運(yùn)行環(huán)境，并對(duì)重要數(shù)據(jù)及時(shí)備份存儲(chǔ)，即便遭受重大損害仍然可以保證數(shù)據(jù)安全。

（二）建立電子政務(wù)信息安全管理機(jī)構(gòu)

一方面，政府部門要嚴(yán)格根據(jù)有關(guān)法律條文的相關(guān)規(guī)定給在網(wǎng)絡(luò)信息保護(hù)部門下設(shè)置專門的電子政務(wù)信息安全管理部門，并選定有相關(guān)電子信息安全經(jīng)歷的人來擔(dān)任領(lǐng)導(dǎo)工作，制定完善的責(zé)任追究制和其他詳細(xì)條例，并在日常工作中嚴(yán)格執(zhí)行規(guī)章制度，追查并嚴(yán)厲打擊破壞電子政務(wù)信息安全的不良行為，維護(hù)電子政務(wù)的安全;明確領(lǐng)導(dǎo)及工作人員責(zé)任，制定管理崗位責(zé)任制及有關(guān)措施，嚴(yán)格內(nèi)部安全管理機(jī)制，并對(duì)破壞電子政務(wù)信息安全的事件進(jìn)行調(diào)查和處理，確保網(wǎng)絡(luò)信息的安全。另一方面，要構(gòu)建起網(wǎng)絡(luò)警察隊(duì)伍，在電子政務(wù)網(wǎng)絡(luò)中加大檢查力度，對(duì)于試圖通過不正當(dāng)手段竊取重要機(jī)密的行為嚴(yán)懲不貸：從公安部門吸收高水平的復(fù)合型人才，完善警察隊(duì)伍，促進(jìn)隊(duì)伍綜合能力的提高。

（三）建立政府網(wǎng)站信息安全法律體系

法律作為最有效的制度保障，可以為電子政務(wù)的安全搭建起最有效的屏障，在這個(gè)方面世界很多國家已經(jīng)有了很多成功的借鑒，我國的立法部門可以參考并借鑒現(xiàn)有的案例，盡快把我國的信息安全法律完善起來。其一，確立科學(xué)的信息安全法律保護(hù)理念。為了使國家的政策法律能夠適應(yīng)社會(huì)存在的現(xiàn)實(shí)和需求，需要確立起法制建設(shè)要保障和促進(jìn)國家的信息化發(fā)展、法制建設(shè)為社會(huì)信息化發(fā)展提供全面服務(wù)的指導(dǎo)思想。其二，構(gòu)建完備的信息安全法律體系。要制定詳細(xì)的犯罪行為處罰辦法，將迄今為止出現(xiàn)的信息竊取手段都列人到法律之中并進(jìn)行嚴(yán)格的處罰，盡快完善我國的網(wǎng)絡(luò)信息安全體系，使得電子政務(wù)安全維權(quán)有法可依，促進(jìn)其法律化、制度化的轉(zhuǎn)變;執(zhí)法部門要嚴(yán)格按照立法執(zhí)行，保證法律法規(guī)條文的有效性，絕不放過一個(gè)違法犯罪分子，維護(hù)好我國的電子政務(wù)安全。4其三，強(qiáng)化超前的信息安全法律效率。信息技術(shù)突飛猛進(jìn)，信息安全政策、法律的促進(jìn)作用不應(yīng)僅僅是被動(dòng)適應(yīng)和滯后的，在國家信息化建設(shè)中，更多地還應(yīng)表現(xiàn)為對(duì)技術(shù)的主動(dòng)規(guī)范性和前瞻性。

（四）培養(yǎng)及強(qiáng)化電子政務(wù)環(huán)境下公務(wù)員信息安全意識(shí)

信息安全意識(shí)從字面上理解就是公務(wù)員可以對(duì)電子政務(wù)中出現(xiàn)的信息泄露所造成的危害有著深刻的認(rèn)識(shí)和了解，并且擁有在日常辦公中時(shí)刻維護(hù)電子政務(wù)信息安全的意識(shí)，最好還可以擁有敏銳的洞察能力，可以發(fā)現(xiàn)并檢舉身邊的信息泄露行為。促進(jìn)公務(wù)員信息安全意識(shí)的提高是讓其能夠主動(dòng)關(guān)心電子政務(wù)安全的首要措施，只有公務(wù)員心中樹立起這種安全意識(shí)，才能夠在工作中時(shí)時(shí)刻刻注意維護(hù)信息的安全，這也是做好維護(hù)國家信息安全的第一步。我國政府部門要在平時(shí)做好公務(wù)員電子政務(wù)安全信息意識(shí)的培養(yǎng)工作，這樣才可以盡量減少安全信息泄漏事件的發(fā)生，具體的方式如下：首先，政府可以在工作之余舉辦講座和宣講會(huì)，鼓勵(lì)公務(wù)員積極參加并上交觀看心得，這樣可以加深其對(duì)信息安全的理解和認(rèn)識(shí)：其次，可以開辦專門的信息安全培訓(xùn)班，給參加的公務(wù)員一定的鼓勵(lì)，培養(yǎng)信息安全人才，增加信息安全意識(shí);最后，可以舉辦一些知識(shí)競賽還有辯論賽，在全政府上下營造出一種維護(hù)信息安全的氛圍來。

五、對(duì)未來電子政務(wù)信息安全展望

綜上所述，電子政務(wù)系統(tǒng)中保存的機(jī)密文件的安全性必須得到最嚴(yán)密的防護(hù)，一旦外泄就會(huì)影響到國家的經(jīng)濟(jì)政治利益。電子政務(wù)安全的防護(hù)必須受到國家的重視，只有保護(hù)好我國的電子政務(wù)安全，才可以更好地促進(jìn)我國的政務(wù)建設(shè)和發(fā)展，才能盡量避免機(jī)密文件的外泄，保證信息安全，促進(jìn)行政工作的順利開展。而加強(qiáng)我國電子政務(wù)信息安全力度，是現(xiàn)階段政務(wù)管理中亟待解決的問題。因此，政府必須建立電子政務(wù)信息安全的法律法規(guī)，加強(qiáng)電子政務(wù)信息安全核心技術(shù)的研發(fā)工作，建立安全管理的機(jī)構(gòu)，對(duì)保證電子政務(wù)的安全有效運(yùn)行具有重要意義。

參考文獻(xiàn)：

[1]趙毫邁.電子政務(wù)中政府模型與建模方法研究[M].北京人民出版社.2009.

[2]姜壯.基于電子政務(wù)發(fā)展要求的政府網(wǎng)站信息安全問題思考[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018.

[3]謝芳.我國電子政務(wù)信息安全對(duì)策分析.[J].信息化建設(shè)，2016.

[4]韓雙喜.電子政務(wù)信息安全管理的改進(jìn)建議[J].中南管理信息化，2017.

[5]林磊，事業(yè)單位電子政務(wù)信息安全管理的改進(jìn)建議[J].電子技術(shù)與軟件工程，2016（16）.

[6]林樂堅(jiān)，林向民，許哲君.關(guān)于電子政務(wù)信息安全管理體系建設(shè)的幾點(diǎn)思考[J].海峽科學(xué)，2010 （11）.

[7]黃健，黑龍江省電子政務(wù)信息安全問題分析與管理對(duì)策[D].哈爾濱：哈爾濱工業(yè)大學(xué)，2012.