电子政务信息安全

电子政务信息的安全与防范

电子政务系统中有众多的政府公文在流转，其中不乏重要情报，有的甚至涉及国家安全，这些信息通过网络传送时不能被窃听、泄密、篡改和伪造。如果电子政务网络安全得不到保障，电子政务的便利与效率便无从保证，对国家利益将带来严重威胁。而且电子政务是提升一个国家或地区特别是城市综合竞争力的重要因素之一。因此，信息安全技术及其在电子政务系统中的应用具有重要的现实意义。

一、电子政务信息存在的安全问题

随着政务公开和政府上网工程的开展，很多政府部门的对外业务服务必须通过互联网来完成，如申报数据的接收、建议或意见的采集、处理结果的反馈等，而数据的审核、处理则需要由内网的工作人员来完成。那么，电子政务系统信息安全方面的问题可以划分为两大类，一是网络安全方面的问题，二是信息安全管理方面的问题。

1、网络安全方面的问题

电子政务网在建网初期都是按照双网模式来进行规划与建设，即电子政务内网和外网，双网进行物理隔离。内网作为内部信息和公文传输平台，开通政府系统的一些日常业务，外网通过路由汇聚加防火墙过滤接入,主要向公众发布一些公共服务信息和政府互动平台。这种双网模式带来了便利与高效的同时，也存在网络安全问题。

网络安全问题主要涉及到以下几个方面：

(1)来自内部的恶意攻击。这种攻击往往带有恶作剧的形式，虽然不会给信息安全带来什么大的危害，但对本单位正常的数据业务和敏感数据还是会带来一定的威胁。

(2)移动存储介质的交叉使用。对于电子政务内网的计算机来讲，在上互联网的计算机上使用过的u盘，移动硬盘都不能在政务内网上使用。U盘病毒和间谍木马会把内网中的保密信息和敏感数据带到互联网上，回传给木马的制作者。并且，这种病毒还会在内网上传播，消耗系统资源，降低

平台的性能，影响政务内网各种业务的正常流转。

(3)内网的身份认证和权限管理问题。防止内网一般用户越权管理数据库，服务器，和高权限的数据平台。

(4)内网中使用的带存储芯片的打印复印设备离开现场返回公司维修问题。

(5)政务内网中所使用的各种已损坏移动存储介质的管理销毁问题。

以上各个环节都会给信息安全带来潜在的隐患，会造成国家重要机密的泄密。

2、信息安全管理问题

有些单位存在只重技术，不重管理的现象，没有认识到人是信息安全的关键，管理正是把人和技术结合起来，充分发挥安全技术保障能力的纽带。总体上说，我国网络安全管理与保卫工作是滞后的。许多部门内部没有从管理制度、人员和技术上建立相应的安全防范机制，缺乏行之有效的安全检查保护措施。内部人员拥有系统的一定的访问权限，可以轻易地绕过许多访问控制机制。不少网络维护使用人员缺乏必要的网络安全意识和知识，有的不遵守安全保密规定，将内网直接或间接地与因特网连接，有的安全设备配置不合理，访问控制不够严格，这些问题的存在直接带来了安全隐患。

电子政务信息安全管理工作的主要做法：

（1）政府机构内部的电子政务信息安全、保密工程项目的建设必须经国家有关保密主管部门的审批，并在保密主管部门的指导下实施并接受管理；重大的电子政务安全、保密项目，应由有关保密主管部门主持实施。

（2）电子政务系统中使用的所有密码，必须经国家有关密码管理主管部门的审批，严格按有关管理制度使用。

（3）涉及国家秘密的电子政务系统，在日常运行中需接受国家有关主管部门的保密检查和信息安全检查。发生重大问题，如泄密、遭到人侵、受到病毒攻击等，必须向有关主管部门报告。

（4）遵守国家有关信息安全的技术标准和管理规范，不得使用未经认

证或自选的信息安全技术与设备。

（5）在整体电子政务信息安全方案上必须遵守国家制定的总体方案和国家确定的技术标准。

（6）电子政务信息安全使用的应用系统、设备，都需要得到有关主管部门的测评认证。

（7）参加电子政务应用研发的单位，必须具有资质认证，对于开发涉及国家秘密的电子政务系统，还应具有国家保密主管部门颁发的特殊资质认证。

（8）在内部管理上，如对与电子政务信息、数据有关的网络、计算机设备的维护，必须符合国家有关主管部门的管理制度。电子政务信息处理设备的采购、运行、维修、报废、销毁等管理工作，必须按该设备所处理的电子政务信息的密级，并遵循最高密级的原则实施管理。对外托管等必须得到国家有关主管部门的审批，符合国家有关主管部门的安全、保密管理要求。

三、电子政务系统中的信息安全技术的有效手段

电子政务建设如果没有完备的安全保障体系，将举步维艰。把安全保障作为首要工作，才能成功构建“一站式”政务平台。在实际工作中，从网络构架、应用安全、数据安全、病毒防护、入侵检测、应急预案和数据灾备、管理制度等方面全方位建立并完善电子政务安全保障体系，并较好地把握以下几个方面：

（1）网络构架的安全。政务内网和外网建设都必须严格按照国务院文件要求，按内外网物理隔离的方式进行建设。同时，网络安全设备合理划分、限级访问、软硬件安全防范、信息安全传输策略等都是安全保障工作的基础。通过对安全等级和安全域的划分，对不同等级信息系统和安全域的安全保护采取管理与技术相结合的手段，实现适度的安全保障，提高信息系统的整体防御能力。

（2）信息分级管理与防护。在电子政务建设中，必须高度重视信息安全。但是一味地强调安全，从而忽视对政府信息资源的充分公开，必然对

电子政务的应用造成许多人为的障碍，电子政务的价值也会大打折扣。同样，不能因为片面强调安全，而把所有应用系统建设在内网上，使一些可以公开的公众数据封闭在内网，造成资源的严重浪费。实际上，不同的电子政务系统，对于信息安全的要求也有所不同。电子政务建设在风险分析的前提下合理定级，对信息进行分域防控和分级防护。在分域防控方面，将信息分为公开信息处理区和敏感信息处理区，根据其不同特点分别进行防护；在分级防护方面，将信息分为完全公开、内部公开和部分授权三类，采取不同的安全措施，合理有效地保障信息安全。

（3）完善网络安全基础设施。网络安全基础设施，是为信息系统应用主体和网络安全执法主体提供网络安全公共服务和支撑的一种社会基础设施。目前我国网络安全基础设施的建设还处于起步阶段，如网络监控中心、安全产品评测中心、网络安全应急响应中心、计算机病毒防治中心、系统灾难恢复中心、电子交易安全证书授权中心、密钥监管中心等网络安全基础设施尚未建设完全。电子政务应建立有效的身份认证、数字签名、授权管理、责任认定机制，保证系统使用的灵活性。同时，加强信息安全监察，健全电子政务应急响应和灾备建设，通过制度和技术手段，保证系统的正常运行。

（4）从管理体制上落实安全责任制。利用先进的技术手段，是电子政务安全建设的保障。但技术不是万能的，技术与管理的并重才能事半功倍。因此，必须健全网络安全的法律法规，强化电子政务信息安全的法制管理。电子政务应用系统的操作者都必须提高自身素质，因为内部人员是否对网络进行恶意操作和是否具有一定程度的网络安全意识，在很大程度上决定着网络的安全等级系数和防护能力。要落实各项安全保障制度，如所有信息的定密制度（为信息的公开提供可行性依据）、网络区域的有限划分制度（划分不同的网络区域，针对不同的安全级别制定不同的安全策略，采用不同的网络安全设备）、完善的内部监控与审核制度、公钥（私钥）管理体系、灾难响应及应急处理制度等等。此外，还应加大执法力度，严格执法。