電子政務論文論電子政務中的信息安全

1、前 言 隨著全球政治經(jīng)濟一體化的日益明顯，以電子政務為代表的政府管理服務職能的電子化、自動化、無紙化，目前正在一些國家尤其是發(fā)達國家中快速發(fā)展。在世界各國積極倡導的“信息高速公路”的五個應用領域中，“電子政務”被列為第一位，因此可以說政府信息化是社會信息化的先導，電子政務是信息化社會發(fā)展的必然。電子政務是一國的各級政府機關或者是有關機構借助電子信息技術而進行的政務活動。其實質(zhì)是通過應用信息技術，轉變政府傳統(tǒng)的集中管理，分層結構運行模式，以適應數(shù)字化社會的需求。電子政務主要由政府部門內(nèi)部的數(shù)字化辦公，政府部門之間通過計算機網(wǎng)絡而進行的信息共享和適時通信。政府部門通過網(wǎng)絡與公眾進行的雙向交流三部分

2、組成。由于電子政務依賴于計算機和網(wǎng)絡技術而存在，這就意味著，電子政務的應用就不可避免的與INTERNET打交道。電子政務涉及對國家秘密信息和高敏感度核心政務的保護，設計維護公共秩序和行政監(jiān)管的準確實施，涉及到為社會提供公共服務的質(zhì)量保證。電子政務是黨委、政府、人大、政協(xié)有效決策、管理、服務的重要手段，必然會遇到各種敵對勢力、恐怖集團、搗亂分子的破壞和攻擊。尤其電子政務是搭建在基于互聯(lián)網(wǎng)技術的網(wǎng)絡平臺上，包括政務內(nèi)網(wǎng)、政務外網(wǎng)和互聯(lián)網(wǎng)，而互聯(lián)網(wǎng)的安全先天不足，互聯(lián)網(wǎng)是一個無行政主管的全球網(wǎng)絡，自身缺少設防和安全隱患很多，對互聯(lián)網(wǎng)犯罪尚缺乏足夠的法律威懾，大量的跨國網(wǎng)絡犯罪給執(zhí)法帶來很大的難度。所

3、有上述分子利用互聯(lián)網(wǎng)進行犯罪則有機可乘，使基于互聯(lián)網(wǎng)開展的電子政務應用面臨著嚴峻的挑戰(zhàn)。 對電子政務的安全威脅，包括網(wǎng)上黑客入侵和犯罪、網(wǎng)上病毒泛濫和蔓延、信息間諜的潛入和竊密、網(wǎng)絡恐怖集團的攻擊和破壞、內(nèi)部人員的違規(guī)和違法操作、網(wǎng)絡系統(tǒng)的脆弱和癱瘓、信息產(chǎn)品的失控等，應引起足夠警惕，采取安全措施，應對這種挑戰(zhàn)。第一章 電子政務中信息安全的幾個基本問題1.1 電子政務電子政務是政府在國民經(jīng)濟和社會信息化的背景下，以提高政府辦公效率，改善決策和投資環(huán)境為目標，將政府的信息發(fā)布、管理、服務、溝通功能向互聯(lián)網(wǎng)上遷移的系統(tǒng)解決方案。同時也提供了結合政府管理流程再造，構建和優(yōu)化政府內(nèi)部管理系統(tǒng)、決策支持

4、系統(tǒng)、辦公自動化系統(tǒng)，為政府信息管理、服務水平的提高提供強大的技術和咨詢支持。1.2 信息安全信息安全是指一個國家的社會信息化狀態(tài)不受外來的威脅與侵害；一個國家的信息技術體系不受外來的威脅與侵害。電子政務中的信息安全包括了信息的機密性、完整性、可信性、可控性、不可否認性等。我國立法把信息安全界定為“保障計算機及其相關的和配套的設備、設施(網(wǎng)絡)的安全，運行環(huán)境的安全，保障信息安全，保障計算機功能的正常發(fā)揮，以維護計算機信息系統(tǒng)的安全”。從這一法律規(guī)定看，計算機信息系統(tǒng)安全應當包括實體安全、信息安全、運行安全和人的安全。其中，人的安全主要是指計算機使用人員的安全意識、法律意識、安全技能等；實體安

5、全是指保護計算機設備、設施(含網(wǎng)絡)以及其他媒體免遭自然和人為破壞的措施、過程。實體安全包括環(huán)境安全、設備安全和媒體安全三個方面；計算機信息系統(tǒng)的運行安全包括：系統(tǒng)風險管理、審計跟蹤、備份與恢復、應急四個方面的內(nèi)容。所謂計算機信息系統(tǒng)的信息安全是指防止信息被故意的或偶然的非法授權泄漏、更改、破壞或使信息被非法系統(tǒng)辨識、控制，即確保信息的保密性、完整性、可用性、可控性。針對計算機信息系統(tǒng)中信息存在形式和運行特點，信息安全包括操作系統(tǒng)安全、數(shù)據(jù)庫安全、網(wǎng)絡安全、病毒保護、訪問控制、加密與鑒別七個方面。1.3 電子政務中的信息安全電子政務中的信息安全包括了信息的機密性、完整性、可信性、可控性、不可否

6、認性等。我國立法把信息安全界定為“保障計算機及其相關的和配套的設備、設施(網(wǎng)絡)的安全，運行環(huán)境的安全，保障信息安全，保障計算機功能的正常發(fā)揮，以維護計算機信息系統(tǒng)的安全”。從這一法律規(guī)定看，計算機信息系統(tǒng)安全應當包括實體安全、信息安全、運行安全和人的安全。其中，人的安全主要是指計算機使用人員的安全意識、法律意識、安全技能等；實體安全是指保護計算機設備、設施(含網(wǎng)絡)以及其他媒體免遭自然和人為破壞的措施、過程。實體安全包括環(huán)境安全、設備安全和媒體安全三個方面；計算機信息系統(tǒng)的運行安全包括：系統(tǒng)風險管理、審計跟蹤、備份與恢復、應急四個方面的內(nèi)容。所謂計算機信息系統(tǒng)的信息安全是指防止信息被故意的或

7、偶然的非法授權泄漏、更改、破壞或使信息被非法系統(tǒng)辨識、控制，即確保信息的保密性、完整性、可用性、可控性。針對計算機信息系統(tǒng)中信息存在形式和運行特點，信息安全包括操作系統(tǒng)安全、數(shù)據(jù)庫安全、網(wǎng)絡安全、病毒保護、訪問控制、加密與鑒別七個方面。1.4 信息安全在國家安全中的地位電子政務中政府信息安全實質(zhì)是由于計算機信息系統(tǒng)作為國家政務的載體和工具，而引發(fā)的信息安全。信息安全成為當前政府信息化中的關鍵問題。安全問題是電子政務建設中的重中之重。電子政務中的政府信息安全是國家安全的重要內(nèi)容，是保障國家信息安全所不可忽缺的組成部分。信息安全涉及到政治、經(jīng)濟、軍事、文化等方方面面，由于互聯(lián)網(wǎng)發(fā)展在地域上極不平衡

8、，信息強國對于信息弱國已經(jīng)形成了戰(zhàn)略上的“信息位勢差”，居于信息低位勢的國家的政治安全、經(jīng)濟安全、軍事安全乃至民族文化傳統(tǒng)都將面臨前所未有的沖擊、挑戰(zhàn)和威脅，互聯(lián)網(wǎng)成為超級大國謀求跨世紀戰(zhàn)略優(yōu)勢的工具。“信息疆域”不是以傳統(tǒng)的地緣、領土、領空、領海來劃分，而是以帶有政治影響力的信息輻射空間來劃分。“信息疆域”的大小、“信息邊界”的安全，關系到一個民族、一個國家在信息時代的興衰存亡。在知識經(jīng)濟時代，一個國家的信息獲取能力以及在社會生產(chǎn)生活領域中的“信息制控權”，將成為這個國家在新世紀的生存與發(fā)展競爭中能否占據(jù)主動的關鍵。1.5 政府信息安全的保護一個國家的信息安全，實際是由兩方面構成的。其一，為

9、一個國家在信息安全方面采取的一系列組織措施及有關政策、法規(guī)；其二，為強有力的、切實可行的技術手段及有關技術裝備。前者反映了一個國家在信息安全方面的決心、意志和戰(zhàn)略、策略；后者反映了一個國家在信息安全方面的實力。信息技術是信息安全的前提和基礎，信息安全的國家發(fā)展戰(zhàn)略(包括信息安全法律制度)，早已從一個產(chǎn)業(yè)問題上升為一個事關國家的社會、文化、軍事等各方面的核心問題。在信息安全中其地位舉足輕重，尤其作為信息技術相對落后的我國如何調(diào)整信息安全戰(zhàn)略，完善信息安全保障法律規(guī)范，不僅是提高信息安全保障能力的手段和方法，而且是提高信息安全技術的前提和保證。所以我國“計算機信息安全的保護主要包括兩方面的內(nèi)容，一

10、是國家安全監(jiān)督管理，二是計算機信息系統(tǒng)使用單位自身的保護措施。實施計算機信息系統(tǒng)保護的措施包括：安全法規(guī)、安全管理、安全技術三方面”。 信息安全是一項極其復雜的系統(tǒng)工程，在安全法規(guī)、安全管理、安全技術的保障措施中，安全技術是信息安全的基礎；安全管理是信息安全的關鍵；安全法規(guī)是信息安全的保證。采用先進可靠的安全技術是維護信息安全的有力保障。事實上，大多數(shù)安全事件和安全隱患的發(fā)生與其說是技術上的原因，不如說是管理中的緣故。我國已發(fā)生的許多計算機安全事件(包括計算機犯罪行為)，技術手段并不高明，僅僅是由于鉆了管理上的漏洞。管理的關鍵在于管好人。因為一方面各種安全措施要靠人實施，另一方面有相當多的威脅

11、網(wǎng)絡的行為出自系統(tǒng)內(nèi)部人員。因此必須提高安全管理人員的素質(zhì)，加強對系統(tǒng)內(nèi)部人員和網(wǎng)絡用戶的教育和管理。采用安全技術，加強安全管理，可以大大提高網(wǎng)絡的安全性。為了切實貫徹執(zhí)行這些安全措施，并有實施的法律依據(jù)，制定保障網(wǎng)絡安全的法律、法規(guī)就顯得尤為必要。對于已經(jīng)發(fā)生的違法行為，只能依靠法律進行懲處，當然也包括一些民事行為的法律調(diào)整，這是保護網(wǎng)絡安全的最終手段。同時通過法律的威懾力，還可以使有犯罪意識者產(chǎn)生畏懼心理，達到懲一儆百的效果。法律還可以便公民了解在網(wǎng)絡的管理和應用中什么是違法行為，而自覺地不為，從而創(chuàng)造一個良好的社會環(huán)境，起到保護網(wǎng)絡安全的重要作用。所以說法律又是網(wǎng)絡安全的第一道防線。綜觀

12、各國信息安全法律政策，其主要特征有：1.以國家信息安全的組織保障為原則各國在其信息安全法律政策中，無不明確規(guī)定了國家信息安全工作的管理機構以及各個機構的職責范圍，在各個層次上都力求做到分工負責、各司其責。如美國的計算機安全法明確規(guī)定，由商務部所屬的國家標準和技術局(NIST)負責有關敏感信息的信息安全工作，具體負責主持制定和推廣計算機安全標準和指導方針，為聯(lián)邦政府解決各種信息安全問題，其中包括安全規(guī)劃、風險管理、應急計劃、安全教育培訓、網(wǎng)絡安全加密技術、身份認證、智能卡應用、計算機病毒檢測與防治等等；由國防部所屬的國家安全局(NSA)負責例如“國家安全系統(tǒng)”，即由政府及其合同單位或代理機構管理

13、的信息系統(tǒng)中保密信息的信息安全工作，其中包括國家保密信息、美國憲法2315款第102項(Warner修正案)規(guī)定的信息、涉及諜報(Intelligence)的信息、涉及與國家安全有關的秘密活動(Cryptlogic)的信息、涉及軍隊指揮和控制的佰息、涉及屬于武器和武器系統(tǒng)設備的信息以及對于完成軍事或情報任務至關重要的設備的信息等等。2以國家信息安全的全面保障為基礎信息安全是個巨大的系統(tǒng)工程，需要各方面力量的綜合協(xié)調(diào)，更需要涉及信息活動的人員、信息系統(tǒng)的實體、信息系統(tǒng)的運行和系統(tǒng)中的信息的安全。因此，信息安全保障應當以全面、嚴密為基礎。如美國政府關于國家信息安全保障的行動策略主要有，制定信息資源

14、安全管理的全面政策。實施風險評估、安全規(guī)劃、運行安全和各種驗證的方法；出版了信息系統(tǒng)安全產(chǎn)品和服務自錄；對信息系統(tǒng)的各個環(huán)節(jié)以及各機構信息安全管理工作的效率加以評估；全力支持對安全措施的投入；協(xié)調(diào)各個機構的信息安全工作；監(jiān)督政府信息安全管理原則、標準、指導方針的制定和推廣工作；強化計算機信息系統(tǒng)人員的安全法律培訓等等。3以國家信息安全的技術防范為核心 社會信息化的發(fā)展實質(zhì)是計算機技術為核心的信息技術在人類社會生活中充分發(fā)揮其主導控制作用的過程。任何國家的信息安全保護都不能脫離信息技術本身，就信息安全的法律保護和技術保護的關系來說，技術保護是基礎和前提，法律保護只是技術保護的手段。，因而各國信息

15、安全立法都以國家信息安全的技術防范為核心。20世紀80年代，美國率先在計算機保密模型的基礎上，制定了可估計算機系統(tǒng)安全評價準則(TCSEC)，隨后又制定了關于網(wǎng)絡系統(tǒng)、數(shù)據(jù)庫等方面的系列安全解釋，形成了安全信息系統(tǒng)體系結構的最早原則。20世紀90年代初，歐洲英、法、德、荷四國共同提出了包括保密性、完整性、可用性等性質(zhì)的信息技術安全評價準則(ITSFC)。近年來，美國國家安全局、美國國家技術標準研究所和加、英、法、德、荷等六國七方共同提出了信息技術安全評價通用準則(CCforITSEC)，綜合了國際上已有的評價準則和技術標準的精華，給出了信息安全保護的框架和原則要求。4以國家信息安全的技術標準為

16、內(nèi)容將技術標準納入國家信息安全保障的政策法律體系范疇，賦予技術標準以國家意志的屬性，使其具有強制實施的法律效力，是世界各國的一致行動。美國從20世紀70年代初就開始制定信息技術的安全標準，現(xiàn)在已經(jīng)形成了由國家標準化協(xié)會制定的國家標準(ANSI)、由國家標準局制定的聯(lián)邦信息處理安全標準(FIPS)以及由國防部制定的信息安全指令和標準(DOD)三位一體的國家信息安全標準體系，從不同的角度規(guī)范國家的信息安全。歐盟除了發(fā)布前已所述的信息技術安全性評測標準(ITSEC)之外，還有由歐洲計算機廠商協(xié)會規(guī)定的被歐洲國家共同執(zhí)行的計算機信息安全標準。第二章 我國電子政務信息安全的目標及現(xiàn)狀2.1 電子政務信息

17、安全的目標信息系統(tǒng)信息安全的宗旨是通過在實現(xiàn)信息系統(tǒng)時充分考慮到自身、伙伴和客戶的信息風險，確保組織能夠完成它的全部使命和目標。進而言之，電子政務系統(tǒng)信息安全的宗旨就是通過在實現(xiàn)信息系統(tǒng)時充分考慮信息風險，從而確保一個政府部門能夠有效地完成法律所賦予的政府職能。電子政務信息安全必須實現(xiàn)以下目標：2.1.1 可用性目標 可用性目標是指確保電子政務系統(tǒng)有效率地運轉并使授權用戶得到所需信息服務。通常，可用性目標是電子政務系統(tǒng)的首要信息安全目標。2.1.2 完整性目標 完整性目標包括兩個方面：數(shù)據(jù)完整性和系統(tǒng)完整性。通常，完整性目標是電子政務系統(tǒng)除了可用性目標之外最重要的信息安全目標。 2.1.3 保

18、密性目標 保密性目標是指不向非授權個人和部門暴露私有或者保密信息。通常，對于大多數(shù)電子政務系統(tǒng)而言，保密性目標在信息安全的重要程度排序中僅次于可用性目標和完整性目標。然而，對于某些特定的電子政務系統(tǒng)和數(shù)據(jù)，保密性目標是最重要的信息安全目標。 2.1.4 可記賬性目標 可記賬性目標是指電子政務系統(tǒng)能夠如實記錄一個實體的全部行為。通常，可記賬性目標是政府部門的一種策略需求。可記賬性目標可以為拒絕否認、威懾違規(guī)、隔離故障、檢測和防止入侵、事后恢復和法律訴訟提供支持。2.1.5 保障性目標 保障性是電子政務系統(tǒng)信息安全的信任基。保障性目標突出了這樣的事實：對于希望做到安全的信息系統(tǒng)而言，不僅需要提供預

19、期的功能，而且需要保證不會發(fā)生非預期的行為。具體而言，保障性目標是指：提供并正確實現(xiàn)需要的電子政務功能；在用戶或者軟件無意中出現(xiàn)差錯時，提供充分保護；在遭受惡意的系統(tǒng)穿透或者旁路時，提供充足防護。2.2 我國電子政務中信息安全的現(xiàn)狀及表現(xiàn)目前我國電子政務中的政府信息安全問題突出表現(xiàn)在：一是我國政府信息網(wǎng)絡安全存在嚴重隱患。網(wǎng)絡非常脆弱，各種安全隱患普遍存在。掌握了一定技術的人可以輕易獲取網(wǎng)絡服務器上的用戶賬號信息和口令文件，并可進入系統(tǒng)修改、刪除重要數(shù)據(jù)文件。一旦這些系統(tǒng)被非法侵入和破壞，將不能正常工作，甚至全部癱瘓，給國家?guī)碇卮髶p失。二是互聯(lián)網(wǎng)上和針對計算機信息系統(tǒng)的違法犯罪活動日益增多。

20、近年來，金融機構內(nèi)部利用計算機犯罪案件大幅度上升；在互聯(lián)網(wǎng)上泄露國家秘密的案件屢有發(fā)生；提供境外黃色站點的錯接服務，向國內(nèi)用戶提供色情信息。三是境內(nèi)外黑客攻擊破壞網(wǎng)絡的問題十分嚴重。他們通常采用非法侵入重要信息系統(tǒng)，修改或破壞系統(tǒng)功能或數(shù)據(jù)等手段，造成數(shù)據(jù)丟失或系統(tǒng)癱瘓，給國家造成重大政治影響和經(jīng)濟損失。四是境內(nèi)外敵對勢力、敵對分子和非法組織利用互聯(lián)網(wǎng)進行煽動、滲透、組織、聯(lián)絡等非法活動日趨突出。他們通過建立針對境內(nèi)的反動宣傳、煽動的站點，利用電子公告欄、新聞討論等公共媒體，發(fā)表反動文章，散布反動言論，煽動反政府情緒；利用互聯(lián)網(wǎng)進行組黨結社，公開吸納成員；利用電子郵件直接向國內(nèi)用戶發(fā)送反動刊物

21、；利用電子郵件進行聯(lián)絡。對電子政務中的政府信息安全受侵害的方式主要包括：偷竊、分析、冒充、篡改、抵賴等。目前我國電子政務中的政府信息安全問題突出表現(xiàn)在：(1)網(wǎng)絡非常脆弱，各種安全隱患普遍存在。掌握了一定技術的人可以輕易獲取網(wǎng)絡服務器上的用戶賬號信息和文件并可進入系統(tǒng)修改刪除重要數(shù)據(jù)文件。一旦電子政務系統(tǒng)被非法侵入和破壞它將不能正常工作甚至全部癱瘓。如果系統(tǒng)的安全性被破壞造成敏感信息暴露或丟失，或網(wǎng)絡被攻擊等安全事件那么產(chǎn)生的后果必然波及地區(qū)和整個國家的安全，這種破壞將會給國家?guī)碇卮髶p失。由此看來，電子政務信息系統(tǒng)也必然成為信息間諜、敵對勢力，恐怖集團、國家之間信息戰(zhàn)攻擊的目標。（2）病毒破

22、壞黑客入侵、重要信息泄漏等危害越來越大。國家規(guī)定涉及國家秘密的計算機信息系統(tǒng)，不得直接或間接與國際互聯(lián)網(wǎng)或其它公共網(wǎng)絡聯(lián)接。（3）我國大部分政府官員和公務員對信息技術、網(wǎng)絡技術和計算機技術還未接觸或接觸不多,所以對高新信息技術應用方面的能力也比較欠缺,整體素質(zhì)與電子政務建設要求也還有很大的距離,對電子政務建設就缺乏應有的積極態(tài)度。（4）一些信息技術廠商夸張地炫耀信息技術產(chǎn)品的性能和先進性,錯誤的提供了信息技術、網(wǎng)絡技術和計算機技術應用范圍的信息,使我國部分政府官員和公務員認為只有專業(yè)人士才能很好的使用,人為地擴大了信息技術提供者和應用者之間的“數(shù)字鴻溝”，加大了信息安全的隱患。（5）隨著電子政

23、務向縱深發(fā)展，業(yè)務的敏感性和業(yè)務系統(tǒng)之間的相互操作越來越多，因業(yè)務系統(tǒng)敏感性導致的網(wǎng)上真實的有效確認、業(yè)務數(shù)據(jù)的安全、業(yè)務系統(tǒng)之間的相互責任等信息安全問題成為電子政務建設中必需要解決的問題。第三章 我國電子政務中信息安全的保護對策針對我國信息安全的現(xiàn)狀，結合我國電子政務的實際，當前在政府信息安全的保護方面的當務之急是：3.1 盡快建立我國信息安全的保護體系3.1.1 迅速健全信息安全保護的組織機制國家信息化工作領導小組是站在國家的高度，對網(wǎng)絡信息的國家發(fā)展總體戰(zhàn)略進行規(guī)劃、設計、研究，組織、協(xié)調(diào)、配合有關部門進行立法調(diào)研，使國家在網(wǎng)絡信息方面的立法成為一個有機的整體。但地方政府和重點保護的重要

24、領域相應的組織機構還不健全；中華人民共和國計算機信息系統(tǒng)安全保護條例中確立了公安部主管全國計算機信息系統(tǒng)安全保護工作，但由于編制等原因許多地方公安機關沒有成立專門的機構，警力尤其是適應計算機信息技術高速發(fā)展的警力配備不足等。最好能組建國家信息安全委員會，組織和協(xié)調(diào)國家安全、公安、保密等職能部門，在信息化建設中信息安全的分工，對國家信息安全政策統(tǒng)一步調(diào)、統(tǒng)籌規(guī)劃。因此盡快健全相應的信息安全保障的組織機構是信息安全保護的組織保證。3.1.2 盡快完善國家信息安全基礎設施建設我國目前信息安全基礎設施的建設還處于初級階段，需要逐步完善。當前迫切需要建立的國家信息安全基礎設施建設包括：國際出入口監(jiān)控中心

25、、安全產(chǎn)品評測認怔中心、病毒檢測和防治中心。關鍵網(wǎng)絡系統(tǒng)災難恢復中心、系統(tǒng)攻擊和反攻擊中心、電子保密標簽監(jiān)管中心、網(wǎng)絡安全緊急處置中心、電子交易證書授權中心、密鑰恢復監(jiān)管中心、密鑰基礎設施與監(jiān)管中心、信息戰(zhàn)防御研究中心等。其中，國際出入口監(jiān)控中心和安全產(chǎn)品評測認證中心已初步建成。安全產(chǎn)品評測認證中心由安全標準研究、產(chǎn)品安全測試、系統(tǒng)安全評估、認證注冊部門和信息安全專家委員會組成。國家信息安全基礎設施建設是信息安全技術保證。3.1.3 堅定地確立信息安全產(chǎn)業(yè)的策略目前就我國的信息產(chǎn)業(yè)無論是技術、管理還是生產(chǎn)規(guī)模、服務觀念，都不具備力量在短時間內(nèi)使國產(chǎn)信息產(chǎn)品占領國內(nèi)的主要市場。但是我國必須建立起

26、獨立自主的信息安全產(chǎn)業(yè)。自主的信息產(chǎn)業(yè)或信息產(chǎn)品國產(chǎn)化是信息安全的根本。國產(chǎn)化不等于絕對安全，而絕對安全卻需要國產(chǎn)化。國家可集中人力、物力和給以政策，大力發(fā)展自主的專用芯片、自主嵌入式操作系統(tǒng)和自主的密碼技術產(chǎn)品等，以確保關鍵部門的信息系統(tǒng)的安全。信息安全產(chǎn)業(yè)的策略是信息安全的基本保證。3.2 進一步完善我國信息安全保障的法律體系雖然我國已頒布相當數(shù)量的信息安全方面的法律規(guī)范如關于維護互聯(lián)網(wǎng)安全的決定、中華人民共和國計算機信息系統(tǒng)安全保護條例、計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法、商用密碼管理條例、金融機構計算機信息系統(tǒng)安全保護工作暫行規(guī)定、計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定、計算機信息系統(tǒng)

27、安全專用產(chǎn)品檢測和銷售許可證管理辦法、計算機信息系統(tǒng)安全專用產(chǎn)品分類原則等，但立法層次不高，現(xiàn)行的有關信息安全的法律規(guī)范大多只是國務院制定的行政法規(guī)或國務院部委制定的行政規(guī)章；法律規(guī)定之間不統(tǒng)一；立法理念和立法技術相對滯后等，因此要進一步完善我國信息安全的法律保障體系應當做到：3.2.1 確立科學的信息安全法律保護理念為了使國家的政策法律能夠適應社會存在的現(xiàn)實和需求，需要確立起法制建設要保障和促進國家的信息化發(fā)展、法制建設為社會信息化發(fā)展提供全面服務的指導思想，修正傳統(tǒng)的立法理念，從徹底改革國家傳統(tǒng)的經(jīng)濟體制和保障機制入手，改變落后的調(diào)整方法，把信息安全法制保障的重點從單純的“規(guī)范”、“控制”

28、轉移到首先為信息化的建設與發(fā)展“掃清障礙”上來，以規(guī)范發(fā)展達到保障發(fā)展，由保障發(fā)展實現(xiàn)促進發(fā)展，構筑促進國家信息化發(fā)展的社會環(huán)境，形成適于信息網(wǎng)絡安全實際需要的法治文化。3.2.2 構建完備的信息安全法律體系信息化的社會秩序主要由三個基礎層面的內(nèi)容所構成，即信息社會活動的公共需求，信息社會生活的基本支柱和信息社會所特有的社會關系。信息社會活動的公共需求是往往以政府意志的形式代為表現(xiàn)的社會公眾的共同意愿，其主要包括國家信息化建設的基本目標、發(fā)展綱領、建設規(guī)劃、行動策略、工作計劃等等，是指導國家信息化發(fā)展的基本內(nèi)容，也是國家信息化建設的公共需求；信息社會生活的基本支柱是由信息化的技術屬性所決定的、

29、國家信息化建設賴以萌芽、生成和發(fā)展的信息技術及其應用，包括計算機技術、網(wǎng)絡技術、通信技術、安全技術、電子商務技術等等，它是信息社會生活必不可少的基本支柱；信息社會所特有的社會關系是指在國家信息化建設的過程中，參與其中的各個主體之間由于其信息化活動而產(chǎn)生的各種社會關系，具體將表現(xiàn)為相應的法律關系，其中主要包括信息民事法律關系、信息刑事法律關系、信息經(jīng)濟法律關系、信息行政法律關系、信息科技法律關系以及信息社會所特有的各種法律關系。與之相適應，國家信息化建設所應有的政策法律環(huán)境也就必然是由對應的指導政策、技術標準和法律規(guī)范等三項內(nèi)容所共同構建的三位一體的且能夠發(fā)揮促進、激勵和規(guī)范作用的有機的體系。3

30、.2.3 強化超前的信息安全法律效率信息技術突飛猛進，信息安全政策、法律的促進作用不應僅僅是被動適應和滯后，在國家信息化建設中，更多地還應表現(xiàn)為對技術的主動規(guī)范性和前瞻性。信息安全政策法律必須促進信息技術的進步，因此要強化超前的信息安全政策法律的效率。在制訂政策和創(chuàng)設法律時應當借鑒國際社會關于“技術中立”的主流思想，注意政策和法律符合技術的特殊要求，同時為技術的發(fā)展和完善預留空間，排除可能窒息技術發(fā)展的可能性，提高法律自身對信息社會的適應性。在具體做法上，則可以吸取外國的“明示式”和“開放式”立法模式中有益的成分，參照“準則式”的立法模式解決技術和法律之間的矛盾，鼓勵技術創(chuàng)新，開發(fā)自主的知識產(chǎn)

31、權，加強技術標準體系的建立和完善，提高國家信息法律規(guī)范的效率。3.2.4 主動融入國際信息安全的法律體系世界經(jīng)濟一體化，使得“法律全球化不僅有條件，有可能，而且有必要，更是一種發(fā)展趨勢”。由于信息化是建筑在例如因特網(wǎng)的國際互聯(lián)基礎之上，人類信息社會是全球范圍內(nèi)的各國一體的信息化。因此，信息的政策和法律就必然具有國際化的屬性，具體表現(xiàn)為有關的“國際游戲規(guī)則”。我們在制訂政策和法律的時候，要特別注意和現(xiàn)有的國際規(guī)則的兼容包括在立法思想、方式方法上和具體法律規(guī)定等各方面的相互兼容；要積極主動地參與國際規(guī)則的創(chuàng)設，以維護我國的實際利益。在主動參與和合作、促進、創(chuàng)設的過程中，真正地主動融人國際大環(huán)境。3

32、.2.5 建立電子政務信息安全四大體系    電子政務安全采取"國家推動、社會參與、全局治理、積極防御、等級保護、保障發(fā)展"的策略，鑒于電子政務的信息安全面臨的是一場高技術的對抗，是一場綜合性斗爭，涉及法律、管理、標準、技術、產(chǎn)品、服務和基礎設施諸多領域，所以電子政務安全，還要從全局來構建其安全保障的體系框架，以保障電子政務的健康發(fā)展。電子政務安全保障體系由六要素組成，即安全法規(guī)、安全管理、安全標準、安全服務、安全技術產(chǎn)品和安全基礎設施等安全要素。     要素一 安全法律與政策    

33、; 電子政務的工作內(nèi)容和工作流程涉及到國家秘密與核心政務，它的安全關系到國家的主權、國家的安全和公眾利益，所以電子政務的安全實施和保障，必須以國家法規(guī)形式將其固化，形成全國共同遵守的規(guī)約，成為電子政務實施和運行的行為準則，成為電子政務國際交往的重要依據(jù)，保護守法者和依法者的合法權益，為司法和執(zhí)法者提供法律依據(jù)，對違法、犯法者形成強大的威懾。     要素二 安全組織與管理     我國信息安全管理職能的格局已經(jīng)形成，如國家安全部、國家保密局、國家密碼管理委員會、信息產(chǎn)業(yè)部、總參.分別執(zhí)行各自的安全職能，維護國家信息安全。電子政務安全管

34、理涉及到上述眾多的國家安全職能部門，其安全管理職能的協(xié)調(diào)需要由國家信息化領導機構，如國家信息化領導小組及其辦公室、國家電子政務協(xié)調(diào)小組、國家信息安全協(xié)調(diào)小組等來進行。各地區(qū)和部委建立相應的信息安全管理機構，以完成和強化信息安全的管理，形成自頂向下的信息安全管理組織體系，是電子政務安全實施的必要條件。     要素三 安全標準與規(guī)范     信息安全標準有利于安全產(chǎn)品的規(guī)范化，有利于保證產(chǎn)品安全可信性、實現(xiàn)產(chǎn)品的互聯(lián)和互操作性，以支持電子政務系統(tǒng)的互聯(lián)、更新和可擴展性，支持系統(tǒng)安全的測評與評估，保障電子政務系統(tǒng)的安全可靠。  

35、   要素四 安全保障與服務     1.電子政務系統(tǒng)建設，要構建其技術安全保障架構，對大型電子政務系統(tǒng)要建立縱深防御體系。     2.推廣電子政務信息系統(tǒng)安全工程（ISSE）的控制方法，全面實現(xiàn)安全服務要求。     要素五 安全技術與產(chǎn)品     1.加強安全技術和產(chǎn)品的自主研制和創(chuàng)新。     由于電子政務的國家涉密性，電子政務系統(tǒng)工程的安全保障需要各種有自主知識產(chǎn)權的信息安全技術和產(chǎn)品，全面推動自主研發(fā)和創(chuàng)新這些技術

36、和產(chǎn)品是電子政務安全的需要。     2.電子政務安全產(chǎn)品的選擇。     整個電子政務的安全，涉及信息安全產(chǎn)品的全局配套和科學布置，產(chǎn)品選擇應充分考慮產(chǎn)品的自主權和自控權。 產(chǎn)品可涉及安全操作系統(tǒng)、安全硬件平臺、安全數(shù)據(jù)庫、PKI/CA、PMI、VPN、安全網(wǎng)關、防火墻、數(shù)據(jù)加密機、入侵檢測（IDS）、漏洞掃描、計算機病毒防治工具、強審計工具、安全Web、安全郵件、安全設施集成管理平臺、內(nèi)容識別和過濾產(chǎn)品、安全備份、電磁泄漏防護、安全隔離客戶機、安全網(wǎng)閘。     要素六 安全基礎設施  &#

37、160;  信息安全基礎設施是一種為信息系統(tǒng)應用主體和信息安全執(zhí)法主體提供信息安全公共服務和支撐的社會基礎設施，方便信息應用主體安全防護機制的快速配置，有利于促進信息應用業(yè)務的健康發(fā)展，有利于信息安全技術和產(chǎn)品的標準化和促進其可信度的提高，有利于信息安全職能部門的監(jiān)督和執(zhí)法，有利于增強全社會信息安全移師和防護技能，有利于國家信息安全保障體系的建設。因此，推動電子政務的發(fā)展，應重視相關信息安全基礎設施的建設。電子政務的信息安全建設是在適當?shù)男畔踩Ｕ象w系和框架指導下進行的一項系統(tǒng)工程。這項工程包括密切關聯(lián)的四大體系：安全管理體系、預警檢測體系、安全防護體系和響應恢復體系，其中，安全管

38、理體系是整個信息安全保障體系中最核心的組成部分，是貫穿其他三個體系的主線。1.安全管理體系安全管理體系的建立要遵循以下原則：符合法律、法規(guī)、標準；符合組織使命；符合組織利益。建立健全安全管理體系，最重要的是針對電子政務的現(xiàn)有情況制定統(tǒng)一的行政管理制度，在整個網(wǎng)絡系統(tǒng)中貫徹執(zhí)行。當然，根據(jù)當?shù)鼐W(wǎng)絡的實際情況和具體網(wǎng)絡應用的不同，適當作出調(diào)整，可以比較好地保證安全策略的統(tǒng)一性、一致性和可管理性。2.預警檢測體系預警檢測體系包括入侵檢測、漏洞檢測、外聯(lián)和接入檢測、補丁管理等。入侵檢測系統(tǒng)是目前最為主要的一個廣泛應用的技術和管理手段。利用網(wǎng)絡入侵檢測系統(tǒng)，可以了解網(wǎng)絡的運行狀況和發(fā)生的安全事件，并根據(jù)

39、安全事件來調(diào)整安全策略和防護手段，同時改進實時響應和事后恢復的有效性，為定期的安全評估和分析提供依據(jù)，從而提高網(wǎng)絡安全的整體水平。電子政務信息網(wǎng)絡需要部署漏洞檢測系統(tǒng)。漏洞檢測系統(tǒng)一般包括漏洞掃描引擎、控制中心、報表和顯示中心及管理控制臺4個功能組件。在電子政務的網(wǎng)絡系統(tǒng)內(nèi)，防火墻等安全手段往往被一些違反安全策略的行為所破壞，包括MODEM撥號、雙網(wǎng)卡或無線上網(wǎng)等各種方式接入互聯(lián)網(wǎng)。這些違反規(guī)定的非法外聯(lián)行為使電子政務網(wǎng)絡系統(tǒng)內(nèi)的個人計算機毫無防范地接入Internet，在用戶無意識的情況下，一些機密信息（包括機器和網(wǎng)絡的所有配置信息以及數(shù)據(jù)文件）可能泄漏，由此危害整個電子政務網(wǎng)絡的安全。非法

40、外聯(lián)監(jiān)控技術就是為了防范上述兩類安全問題而設計的，它對內(nèi)部人員的非法外聯(lián)行為進行實時監(jiān)控，對物理隔離措施或安全限制規(guī)定進行有效性檢查。補丁管理應該納入組織的安全體系。補丁管理的意義已經(jīng)超出了傳統(tǒng)的安全領域，成為維護企業(yè)信息系統(tǒng)正常操作所必須具備的措施。電子政務需要部署補丁管理系統(tǒng)，補丁可以被存儲在本地網(wǎng)絡以確保它們的更高可讀性和加速分發(fā)。3.安全防護體系安全防護體系包括防火墻、身份鑒別與認證、系統(tǒng)訪問控制、網(wǎng)絡審計等內(nèi)容。防火墻就是運行于軟件和硬件上的、安裝在特定網(wǎng)絡邊界的、實施網(wǎng)間訪問控制的一組組件的集合。它在內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間形成一道安全保護屏障，防止非法用戶訪問內(nèi)部網(wǎng)絡上的資源和非法

41、向外傳遞內(nèi)部信息。身份鑒別與認證是系統(tǒng)的第一道安全屏障，也是實施訪問控制的基礎，具有十分重要的作用。因此，身份鑒別與認證機制的強度如何，將直接關系到整個系統(tǒng)的安全度，口令與令牌相結合的身份驗證方式可以為大多數(shù)的場合提供足夠的安全性。訪問控制包括自主訪問控制和強制訪問控制兩種，其中強制訪問控制具有更高的安全性，建議采用。強制訪問控制給每個客體和主體分配了不同的安全屬性，而且這些安全屬性不像ACL那樣容易被修改，系統(tǒng)通過比較主體和客體的安全屬性才決定主體對客體的操作可行性。強制訪問控制可以防范特洛伊木馬和用戶濫用權限，具有更高的安全性。來自網(wǎng)絡的安全威脅日益增多，很多威脅并不是以網(wǎng)絡入侵的形式進行

42、的，這些威脅事件多數(shù)來自內(nèi)部合法用戶的誤操作或惡意操作，僅靠系統(tǒng)自身的日志功能并不能滿足對這些網(wǎng)絡安全事件的審計要求。使用網(wǎng)絡審計系統(tǒng)，記錄網(wǎng)絡中發(fā)生的違規(guī)行為，完整地記錄各種信息的起始地址和使用者，將有利于事后追蹤，為調(diào)查取證提供第一手資料。4.響應恢復體系響應恢復體系包括應急響應和業(yè)務連續(xù)性計劃兩個方面。電子政務信息系統(tǒng)已經(jīng)成為電子政務業(yè)務的支撐平臺。安全策略中必須具備應急響應手段，保證電子政務發(fā)生安全事故后，能夠及時作出有效響應，采取合適的應急措施處理事故。安全事件預警與應急響應體系主要針對危及電子政務信息系統(tǒng)安全的重大事件進行檢測、預警、抑制、根除，并從事件的影響中盡快恢復，以確保電子

43、政務信息系統(tǒng)的業(yè)務連續(xù)性。業(yè)務連續(xù)性計劃（BCP）是與信息安全相關、但與業(yè)務關系非常緊密的一項內(nèi)容。因此，電子政務的業(yè)務連續(xù)性計劃必須以電子政務的業(yè)務為中心，綜合考慮。第四章 我國電子政務信息安全的兩個主要問題4.1 網(wǎng)絡技術的問題4.1.1 網(wǎng)絡信息安全問題目前對信息安全構成威脅的既有自然因素也有人為因素，主要有火災等自然災害、硬件故障、嚴重誤操作、數(shù)據(jù)泄露、盜用、偽造、假冒、故意對數(shù)據(jù)或程序破壞、病毒、錯誤指向、黑客、特洛伊木馬、搭線竊聽等。掌握了一定技術的人可以輕易獲取網(wǎng)絡服務器上的用戶賬號信息和文件。并可進入系統(tǒng)修改刪除重要數(shù)據(jù)文件。一旦電子政務系統(tǒng)被非法侵入和破壞它將不能正常工作甚至

44、全部癱瘓。如果系統(tǒng)的安全性被破壞。造成敏感信息暴露或丟失，或網(wǎng)絡被攻擊等安全事件。那么產(chǎn)生的后果必然波及地區(qū)和整個國家的安全，這種破壞將會給國家?guī)碇卮髶p失。一旦網(wǎng)絡受到攻擊，不能正常工作，甚至全部癱瘓時，整個社會將陷入危機。國家機密難保，致使某些部門不敢使用互聯(lián)網(wǎng)。4.1.2 網(wǎng)絡對人的情感問題電子政務的一大特點是虛擬性，這是由互聯(lián)網(wǎng)的特點所決定的。政府工作人員在進行電子政務的活動中，往往會使人際關系淡化，政府工作人員和公眾似乎面對的只是電腦，而常常忘記他們也是和人進行交往。例如時下興起的在城市公共場所安裝的“電子眼”監(jiān)控系統(tǒng)，雖然在一定程度上改善了城市交通，降低了犯罪率，但這種“倒洗腳水也

45、將孩子一塊兒潑出”的做法也對公民的隱私權和其他方面的權利造成了嚴重侵犯，其對人性化和人本管理的背離也是顯而易見的。4.2 政府自身的問題4.2.1 公務員及官員素質(zhì)有待提高大部分政府官員和公務員對信息技術、網(wǎng)絡技術和計算機技術還未接觸或接觸不多，所以對高新信息技術應用方面的能力也比較欠缺，整體素質(zhì)與電子政務建設要求也還有很大的距離，對電子政務建設就缺乏應有的積極態(tài)度。從公務員的文化水平來看，經(jīng)過1998年的政府機構改革，國務院近1.7萬名公務員中，大學本科畢業(yè)以上學歷的占65%。但地方政府500萬公務員中，大學本科畢業(yè)以上學歷的僅有10%，約有20%的公務員不會操作計算機。面對電子政務的潮流，

46、許多公務員在心理上必然會恐懼害怕，產(chǎn)生抵觸情緒，而不能從心理上積極學習，以適應政府信息化的歷史潮流，結果使得很多昂貴的設置成為裝點門面的飾物。4.2.2 電子政務的規(guī)劃和標準缺乏統(tǒng)一性目前，我國電子政務的發(fā)展缺乏宏觀規(guī)劃，沒有提出明確的發(fā)展目標。同時，條塊分割的管理體制與電子政務的統(tǒng)一性、開放性、交互性和規(guī)模經(jīng)濟等自然特性產(chǎn)生嚴重沖突，各級地方政府和部門在電子政務的建設中往往各自為政，采用的標準也各不相同，業(yè)務內(nèi)容單調(diào)重復，造成新的重復建設。同時，缺乏規(guī)范和標準也使得信息流通不暢，資源無法共享和信息孤島，影響了跨部門、跨區(qū)域共性業(yè)務的處理和政府的有效監(jiān)管。第五章 我國電子政務信息安全的主要問題

47、的解決5.1 網(wǎng)絡安全問題的應對方法5.1.1 加強對公務員的安全技術教育，樹立網(wǎng)絡安全觀念網(wǎng)絡的開放性在給人類的生活帶來諸多方便的同時，也給社會生活的許多方面帶來了很多不穩(wěn)定的因素，尤其是作為社會管理者的政府，一旦其網(wǎng)絡遭到惡意攻擊，很可能給社會帶來災難性的損失。因此，加強公務員的網(wǎng)絡安全教育和技術培訓，使之樹立網(wǎng)絡安全意識，并掌握一定的網(wǎng)絡安全技術和技能，不僅是對公務員自身素質(zhì)的一大要求，也是應對網(wǎng)絡安全的關鍵。5.1.2 改變信息安全管理依靠傳統(tǒng)的管理方法和手段的模式，實現(xiàn)現(xiàn)代的系統(tǒng)管理技術手段國際標準BS7799和ISOIEC17799是流行的信息安全管理體系標準。其中的管理目標為數(shù)據(jù)

48、的保密性、完整性和可用性要求。具有自組織、自學習、自適應自修復、自生長的能力和功能。保證持續(xù)有效性。通過計劃、實施、檢查、措施四個階段周而復始的循環(huán)。應用于其整體過程、其他過程及其子過程，例如信息安全風險評估或者商務持續(xù)性計劃的安排等。為信息安全管理體系與質(zhì)量管理體系、環(huán)境管理體系等的整合運行提供了方便在模式和方法上都兼容，成為統(tǒng)一的內(nèi)部綜合管理體系包括按照可信網(wǎng)絡架構方法。編制信息安全解決方案。多層防范多級防護，等級保護，風險評估、重點保護。針對可能發(fā)生的事故或災害。制定信息安全應急預案，建立新機制、規(guī)避風險、減少損失。根據(jù)相應的政策法規(guī)在網(wǎng)絡工程數(shù)據(jù)設計、建設和驗收等階段實行同步審查，建立完善的數(shù)據(jù)備份、災難恢復等應用，確保實時、安全、高效、可靠的運行效果。5.1.3 鼓勵民族信息技術產(chǎn)業(yè)的發(fā)展，解決好技術的先進性與自主性的關系作為一個