侯亚杰

2014年5月16日，中央国家机关政府采购中心明确规定：“所有计算机类产品不允许安装Windows8操作系统”。2014年5月26日发表的《美国全球监听行动纪录》指出，美国国家安全局代号为“棱镜”的秘密项目针对中国的窃密行为的内容基本属实，微软、谷歌等众多美企成为窃密帮凶，网络安全、信息安全、国家安全再次成为社会广泛关注的热点话题。电子政务以互联网为基础，但鉴于互联网本身安全的不足，让电子政务面临严峻的威胁。因此，为了更好的保障国家利益和实现电子政务，必须高度重视信息化问题，探究信息安全规律。

一、电子政务信息安全的相关概念

电子政务是指各种公务机构通过广泛应用现代信息技术，推动政务活动方式的变革，提高行政效率，发展民主决策进程，向社会提供优质、规范、透明的管理与服务的过程与结果。电子政务已经成为社会信息化的一个重要组成部分，它是政府适应信息社会发展的客观选择。

信息安全提供信息和信息系统的保密性、完整性、可用性、可确认性和抗抵赖性，从而使信息和信息系统免遭未授权的访问、使用、泄露、干预、修改、重放和破坏，并保证使用和操作信息以及信息系统的任何实体的身份不被假冒或欺骗，实体的来源与行为可获取利用者的职位等身份信息，并且此行为具有不可抵赖性。在国际标准《ISO/IEC17799：2005信息安全管理实施细则》中对信息安全的定义是：“保护信息的机密性、完整性、可用性及其他属性，如：真实性、可核查性、可靠性、防抵赖性。”

电子政务信息安全是指政务数据信息在接收、处理等过程中不被窃取、篡改，即保证其准确性和及时性，其涵盖了信息环境、信息网络和通信基础设施、媒体、数据、信息内容、信息应用等诸多方面的安全需要。电子政务信息涵盖面广，往往涉及许多个人信息、部分政治信息、部分金融信息、法律信息等多个方面，其信息安全需要符合完整性、保密性、授权真实性、信息可控性、信息实时性等特征。

二、电子政务信息安全面临的问题分析

（一）信息安全保障体系

在电子政务立法方面，我国近年来已经出台了与网络信息安全有关的法律法规，取得了一定成绩，但我国的法律法规还存在缺陷。主要体现在结构单一、体系分散，尚未形成完善的法律法规体系；缺少网络信息安全基本法，对网络信息安全保障体系的构建缺乏整体考虑和规划；法律法规之间部分内容重复交叉，同一行为有多个行政处罚主体，法律法规之间相互抵触，处罚幅度不一；没有网络规划与建设、网络安全、数据的法律保护、信息跨境、隐私保护及IT供应链安全等相关方面的法律法规。

（二）信息安全管理体系

1.信息安全管理体制不完善

目前尚没有统一的电子政务管理机制，使同级部门之间交流困难，上下级部门之间的纵向政令不能及时传达，产生了“政出多门”和“政策拉车”的现象。面对这一情况，各级政府一般只从技术层面上采取措施，却忽略了建设规范的管理体制。目前，我国的电子政务系统在信息安全保密管理方面还没有统一的标准，对故障定位不够及时、不够准确，对安全事故无法应付，对安全责任的追查更是困难。

2.信息安全关于人的意识问题

（1）信息接受者对信息的传播问题

信息安全问题是伴随着人类信息活动的进行而产生的，信息由于网络和计算机技术的发展，得以快速传播。信息传播产生了相应的问题：制造与事实相反或完全不存在的信息；传播虚假、歪曲事实的信息；将正确的信息有意、无意地更改成错误的信息；通过不正当的途径获取信息；由于利益冲突销毁他人的有用信息。

（2）电子政务系统使用人员的安全意识不高

许多政府工作人员没有受过有关安全法律法规和防范安全风险的教育与培训，对电子政务又缺乏科学、正确的认识，信息素养总体水平不高，不适应信息化办公的要求。据统计，我国电子政务信息系统的安全问题有将近80%来自内部工作人员。很多工作人员只希望提高办公效率，却忽视安全保密问题，交叉使用移动存储介质等安全保密意识不强的行为常常给电子政务系统带来安全隐患。

（三）信息安全技术体系

目前，很多地区和部门在电子政务建设上都投入了大量财力和精力，但由于起步晚、技术落后，我国的电子政务总体建设水平仍然不高。主要的核心产品基本上都要从国外进口，即便是我们国家自己研制开发的产品，有时也需拿到国外市场去加工，而这些加工环节就有可能留下安全隐患。我国政府花钱引进了不少国外设备以加快电子政务的建设发展，但由于我们并没有掌握这些先进设备的技术，如果对这些引进的东西再缺乏有效的检测，不能排除安全隐患的话，就可能适得其反，花钱买隐患。

三、保障电子政务信息安全的对策

（一）加强电子政务信息安全保障体系的建设

笔者仔细阅读了美国、日本和加拿大这三个电子政务高速发展国家关于电子政务信息安全方面相关的立法，总结出以下三个观点：立法更新都相当迅速，根据最新的技术来进行相应的法律规范要求，同时又大力开发新的技术，使法律和技术共同发展；以一个立法为中心，其他法律围绕该立法，充分做到了各项事务有法可依；对于重点问题，有专门的法律法规依据。我国应当积极借鉴国外先进经验，从以下几方面着手，及早建立起电子政务信息安全的保障体系。首先，在国家层面制定总体性的法律法规，各个地区再根据自身情况，在不违反总体性的法律法规前提下，制定自己的电子政务信息安全法律法规。其次，要尽量做到立法与技术同步。最后，要加强信息安全的执法，培养并建立一支具有信息专业知识的专业队伍，保护企业和公民的合法权益，打击网络违法犯罪，做到依法决策、依法行政、依法管理。

（二）健全电子政务信息安全管理体系

1.建立完备的信息安全管理机制

信息安全管理的关键在于组织领导，只有建立制度化的管理体系，才能在各个环节实施中确保优质效果，以规避管理风险。一是国家建立能够维护各种信息安全利益的综合协调机构，来改变目前在维护信息安全时出现的职责不清、政出多门、多条管理等现状；二是各个职能部门要形成一个分工明确、责任落实的组织管理体系，共同履行信息安全管理的职责；三是建立省、市两级完善的信息安全领导体系，依据本省市电子政务发展实际情况来制定相应的信息安全管理要求；四是采取有效措施，积极推进信息安全等级保护工作，按照信息的敏感度和重要程度、信息的性质和部门重要程度，分级采取合理有效的措施。

2.增强信息安全意识

（1）加强人的信息安全素养

随着互联网的普及，信息安全时刻出现在人们的身边。首先，必须确保了解一些信息保护的基础知识。例如：了解移动介质（U盘、移动硬盘等）使用不当会泄密；了解各种病毒、木马的危害；了解下载特殊软件的推送服务和位置获取等信息。其次，定期做好电脑磁盘的清洁和定期扫描电脑漏洞，定时备份重要资料等。最重要的一点是，信息安全素养是要重点培养人们对信息安全行为进行批判性的认识，主动接受新的网络信息技术，树立对信息知识产权的保护意识，维护信息安全。

（2）加强信息安全的宣传

为了正确树立信息安全的价值观，加强信息安全宣传是一种有效的方法。在这当中，信息安全保密与保护隐私等宣传是十分重要的。向全体民众进行价值灌输和价值培养，让民众树立正确的信息安全价值观念，同时调动主观能动性向损坏他人信息安全利益的信息安全行为作斗争，营造和谐的信息安全环境。

（3）加强对信息人才的培养

电子政务信息安全保障工作的专业性、技术性都很强，需要一批政治素质高、政务能力强、具备网络知识、信息安全技术、法律知识和管理知识的复合型人才和专业人才。采取集中培训、分散学习、轮岗训练等多种方式培养管理人员和专业技术人员，最大限度地发挥人才效益。

（三）完善电子政务信息安全技术体系的建设

1.加强信息安全物理安全体系

（1）环境安全

环境安全是指对系统所处环境的安全保护，如设备的运行环境需要适当的温度、湿度，尽量少的烟尘，不间断电源保障等。计算机系统硬件的安全性与环境条件密切相关，如果环境条件不能满足设备的要求，会破坏数据和缩短机器寿命，严重时可能危害人员的安全。

（2）媒体安全

数据备份是保障媒体安全的主要技术，其目的是为了在设备发生故障时保护数据，将数据遭受破坏的程度减到最小。常用的数据备份方法是可移动存储备份、可移动硬盘备份、软盘备份、磁带备份、本机多硬盘备份和网络备份。

2.加强信息系统核心技术研发

如果能掌控自主核心技术的研发，就能全面增强国家信息基础设施、重点信息资源系统的安全保障及信息安全保密管理能力。以国家创新驱动发展为牵引，集中整合优势科研资源和力量，组织技术攻坚，做好高速加密通信芯片、操作系统、安全芯片、骨干网络核心交换设备安全操作系统、安全数据库及重要应用软件国产化等基础和核心信息安全技术的创新攻关。

3.加强电子政务信息安全技术机制

（1）云计算

云计算是很多技术混合演进的结果，包括网络计算、效用计算、虚拟化技术、Web Services、SOA等。云计算在电子政务信息安全中的益处表现为：由于云时代中数据的集中存储，使得数据泄密逐渐减少，并且更加容易实现数据的监测。我国电子政务云面临的问题有三：法律方面，没有相关法规管理，导致有许多隐患的存在；技术方面，云计算和传统I T有很多区别，我国在接口平台环境资源方面处在一个欠缺的状态；最后，云计算在将资源集中整合之后带来的风险也会对信息安全造成威胁。总之这几方面对电子政务云的管理、产品、技术都提出了更大的挑战。

（2）大数据

近年来，大数据正成为继云计算、物联网之后信息技术领域的又一热点。大数据是规模非常巨大和复杂的数据集，具有四个典型特征：数据量是持续快速增加的；高速度的数据I/O；多样化的数据类型和来源；数据价值大。大数据最主要的作用是服务，即对人、机、物的服务。大数据带来了很多机遇，同时又给信息安全带来了挑战。大数据正在为安全分析提供新的可能性，对海量数据的分析有助于信息安全服务提供商更好地刻画网络异常行为，从而找出数据中的风险点，防止诈骗和阻止黑客入侵。

（3）数字签名技术

所谓数字签名就是通过某种密码运算生成一系列符号及代码组成电子密码进行签名，来代替书写签名或印章，对于这种电子式的签名还可进行技术验证，其验证的准确度是一般手工签名和图章的验证所无法比拟的。数字签名是目前电子政务中应用最普遍、可操作性最强的一种电子签名方法。数字签名技术采用了规范化的程序，来鉴定签名人的身份以及对数据内容的认同。除此之外，它还能确切地验证出文件在传输过程中有无变动，确保传输电子文件的真实性和不可抵赖性。

（4）防火墙技术

防火墙是网络安全的屏障，是提供安全信息服务、实现网络信息安全的基础设施之一。防火墙能极大地提高一个内部网络的安全性，防止来自外部的攻击，并通过过滤不安全的服务降低风险。在电子政务信息安全运用中，能防止内部信息外泄和屏蔽有害信息，利用防火墙对内部网络的划分，可以实现内部网络对重点信息的隔离；当有可疑动作时，防火墙能自动进行报警，询问网络是否受到监测和攻击的详细信息；防火墙能严格监控和审计进出网络的信息，如果所有的访问都经过防火墙，那么防火墙就能记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数据。防火墙技术已经普遍应用，基本上每台电脑都会安装防火墙，是一个极其便民且重要的技术。

[1]周品.云时代的大数据[M].北京：电子工业出版社，2013.

[2]李园园.信息安全价值研究[M].上海：上海世界图书出版，2014.

[3]张健.电子文件信息安全管理研究[M].上海：上海世界图书出版，2012.

[4]张健.信息安全技术与应用[M].哈尔滨：东北林业大学出版社，2012.

[5]朱海波.信息安全与技术[M].北京：清华大学出版社，2014.

[6]赵先星，王茜.借鉴国际经验完善我国电子政务信息安全立法[J].海外资讯，2008，（9）.

[7]赵雪.我国电子政府建设中的信息安全问题与对策[J].湖北经济学院学报，2007，（8）.

[8]周昕.“云计算”时代的法律意义及网络信息安全法律对策研究[J].重庆邮电大学学报（社会科学版），2011，（7）.

[9]丁丽.电子政务信息安全保密管理研究[D].山东师范大学，2014.

[10]张淼.电子政府的信息安全问题与策略研究[D].东北财经大学，2007.