◎ 住房和城乡建设部信息中心 舒晓东 谢跃文

电子政务中信息安全问题与对策推动电子政务的发展，是一种世界性潮流，也是现代信息和通信技术应用到政府管理领域的必然趋势。然而，各国在积极推行电子政务的过程中，毫无例外地被电子政务信息安全问题所困扰。电子政务信息安全直接关系到国家安全，关系到信息化能否健康发展。电子政务系统对信息安全的需求远远高于其他信息系统。

安全问题

电子政务中信息安全问题主要面临的问题如下。

一、重信息安全技术，轻信息安全管理。

工作中倾向于认为配备了一定的安全设备与软件，电子政务就是安全的，却忽视了安全管理与安全教育。许多单位只重视实体安全，即配备了各种信息安全防护设备和软件。但却忽视了信息安全、运行安全和人的安全。所谓信息安全技术是指：操作系统安全、数据库安全、网络安全、病毒防护、访问控制、入侵检测、加密和认证等技术。计算机信息系统运行安全指系统风险管理、审计跟踪、备份和恢复、应急四方面内容。人的安全主要指计算机使用人员的安全意识、法律意识以及安全技能等。

二、安全管理不规范。

电子政务的安全保密建设是一项系统工程，是国家行为。安全保密建设的需求与成效既不能自我发挥又不能自我评价，只能由国家相关主管部门依据业务需求与科学研究加以规定、予以确认。

三、法律法规不健全。

从日益增长的社会需求看，相关法律、法规的不健全对于电子政务的制约表现得越来越突出。例如，电子签名等其他电子证书是否具备法律效力、电子支付方式是否符合法律程序等，都迫切需要拿出合理的解决办法。

四、信息安全的矛盾性问题突出。

信息安全防护过度与不足的矛盾；安全成本与安全效益的矛盾；信息安全的攻防矛盾：随着攻击技术的不断进步，防御手段与产品需要及时升级、更新；安全性和易用性的矛盾：为了减小系统机密性被破坏的风险，当前电子政务系统都禁止用户使用移动存储设备，禁止终端接入公共网络，致使系统的易用性受到了严重影响。

五、不安全因素多种多样。

（一）电子政务面临的威胁有信息泄漏、完整性破坏、拒绝服务和非法使用等。破坏途径和方法主要有窃听、假冒、病毒、旁路控制、业务流分析、工作人员疏忽等。每一个环节可能面临的安全威胁包括主动攻击、被动攻击、病毒、社会工程、无线网络接入、特权用户以及火、洪水、电磁风暴等自然灾害；有些威胁是恶意的，如欺骗、黑客、病毒、逻辑炸弹、木马、偷窃信息/数据、蓄意破坏等。

（二）技术性安全威胁，主要包括非授权修改、功能性损坏等。

（三）非技术性安全威胁包括自然灾害；人为盗窃、破坏设备等行为；口令和密钥管理不善，造成泄漏；制度漏洞如安全贯彻制度不健全、责任不明确、操作流程不清晰等。

防范措施

电子政务涉及到许多党政机关重要的文件，甚至有些内容关系到国家利益与国家安全；政府作为社会管理机构，若因为电子政务系统瘫痪而造成业务流程停顿，带来的损失将会非常巨大。正因如此信息安全防范措施更不可忽视。信息安全防范措施如下。

一、物理安全。

（一）防止系统运行的安全隐患。电源问题、自然灾害、电磁干扰及其他环境威胁均可能带来系统运行的安全隐患，对此要加以防止。

（二）依照标准实行管理。需要按照国家标准建设电子政务信息系统的设施与场地安全管理。

（三）做好物理访问风险与控制。预防人为操作失误及各种计算机犯罪行为。

二、系统安全。

（一）操作系统。采用具有我国自主知识产权的操作系统以防敏感信息被泄露、应用程序遭受攻击。网络管理员需要定期或不定期地利用漏洞扫描工具，对本地网络设备或主机进行系统安全漏洞的扫描，及时发现网络安全隐患并督促相关人员适时检查系统的设置，安装安全补丁。

（二）硬件。

1、采购产品时讲求质量。特别对关键的系统，应当尽可能采用比较成熟、稳定的型号，尽量避免使用刚问世的新产品，规避 “技术风险”。

2、采用网络监控体系对各种未授权或非法活动适时报警和阻断。

（三）软件。防范病毒需要做到：

1、合理使用杀毒软件。

2、定期对数据进行备份，一旦遭到病毒的破坏可以及时恢复主要数据。

3、病毒防治不仅关乎技术问题，更关系到社会问题、教育问题和管理问题，对此应当加强和普及相应的知识与培训，建立健全相应的管理制度和规章。

4、出补丁修改软件漏洞、安全删除软件后门。

（四）应用系统。涉密信息网络必须与公共信息网实行物理隔离；在与公共信息网相连的信息设备上不得存储、处理和传递国家秘密信息。信息安全技术防范措施很多，包括密码技术、防病毒技术、防火墙、公钥基础设施（PKI）、PMI身份认证与授权管理、入侵检测、漏洞扫描技术、虚拟专用网和数据保护等。建立一套恢复与备份机制确保出现自然灾害、系统崩溃、网络攻击或硬件故障情况时重要数据能得以恢复。

（五）数据安全。

1、数据保护制度。一是防止外部人员接触存有重要数据的主机、存储设备及打印机等输出设备，切实做好物理访问控制。二是做好数据备份与灾难恢复计划。三是做好数据逻辑访问控制。

2、信息传递过程中加密。

（六）信息安全管理。

1、制订制度或相应的规范。

（1）根据工作的重要程度，确定该系统的安全需求；根据确定的安全需求，确定安全管理的范围。

（2）制订相应的机房出入管理制度。

（3）制订严格的操作规程。

（4）制订完备的系统维护制度。

（5）制订应急措施。

2、组织管理措施。

（1）要健全信息安全组织机构和管理制度。

（2）在实际建设和应用电子政务系统时，尽量避免一个人同时兼具多个角色，而是要把系统的设计、管理、操作、利害关系者等角色分别开来。对于重要的业务，可以在系统工作流程中增加一个环节——审核，并为具体操作人员设定操作规模上限。

3、员工管理。

（1）培养员工的安全意识、进行安全教育。

（2）对操作人员授权适当、分工合理、责任明确。

（3）防止员工离任因不满情绪和报复念头，恶意破坏电子政务系统。

4、安全保密管理。健全法规，用法律法规明确哪些政务、信息公开，哪些要保密，规范行为。

5、身份认证。用户名和口令认证、用户物品的安全令牌和智能卡认证、用户属性特征的DNA认证。

6、风险评估。电子政务系统的安全程度必须由信息安全风险评估部门根据风险评估标准客观地对系统的安全性进行评价，不能由提供该系统的系统集成商自行评定。电子政务系统使用部门必须要把信息安全风险评估作为一项制度，对系统的安全性进行检查与评价，并据此对存在的问题和安全隐患进行解决、排查和补救。

7、信息安全系统建设应超前思考，长期规划，不留基础隐患。

8、完善政务信息工程外包管理制度。电子政务对可靠性、安全性的要求较高，是一项复杂的系统性的服务工程。任何时候都要切实保证电子政务系统的安全。研究信息安全问题与对策对于确保数据完整性、信息保密性、信息真实性、数据可用性是十分必要的。