電子政務的最終目標是建設政府辦公自動化、面向決策支持、面向公眾服務的綜合平臺。它作為信息網絡的壹個特殊的應用領域,不但運行著大量數據和信息,同時信息內容又具有高保密性、高敏感度。因此電子政務系統壹方面要求考慮政府內部網絡的安全,另壹方面要求考慮面向公眾服務的網絡安全。所以,電子政務網絡安全保障體系有很高的安全需求。主要是基於如下幾點基本需求:1.維護政府形象需求;2.信息機密需求;3.身份認證需求;4.權限控制需求;5.信息存儲安全需求;6.信息傳輸安全需求。
2我國電子政務進程中存在的安全問題
(1)信息基礎設施建設面臨挑戰。
電子商務和電子政務的進行需要支付與結算的手段,需要有高質、高效的金融服務及其電子化的配合,目前我國金融服務的水平和電子化程度不高,網上支付問題很大程度上阻礙了我國電子商務和電子政務發展的進程,中國金融業亟需適應全球壹體化進程並加快變革步伐,改變現有的支付方式,並保證網上支付的安全。
(2)缺乏自主開發的電子政務軟硬件產品,給電子政務長期發展埋下安全隱患。
我國對於電子政務建設所使用的軟硬件產品很少是我國自主知識產權開發的產品,壹些涉及國家機密的信息網絡過度依賴外國的安全產品和技術。
(3)電子政務管理上薄弱。
1993年,國務院成立了國家經濟信息化聯席會議,正式啟動國民經濟信息化工程,開始實施“三金工程”,即金橋工程、金關工程和金卡工程。按照機關部門的辦公自動化——管理部門的電子化工程(三金工程)——政府全面上網工程模式展開,經過這些年的建設,建成了壹定的規模,但是也給電子政務的安全管理帶來壹定的難度,很多機關管理部門忽略其安全防範,放松安全意識,將給我國電子政務帶來壹定的損失。
(4)有關電子政務安全的立法滯後。
由於我國電子政務的發展較晚,目前只是由行政機關對互聯網管理出臺了壹些限制性的行政法規,而對於如何促進電子交易、使用電子簽名和電子支付還沒有制定相關的詳細的法律,在壹定程度上阻礙了我國電子政務安全的發展。而盡快建立有關網絡安全、政府信息的加密以及公眾知情權等方面的網絡法規,是關系到“電子政務”能否真正從計劃落到實處的首要因素。沒有法制的保障是不可能順利發展電子政務的。
(5)缺乏安全風險評估機制。
由於我國地方政府進行電子政務辦公還不是很普及,很多已經建成的電子政務網絡還未經受重大的安全事故,所以就缺乏電子政務安全策略制定的經驗,在遇到各類安全問題時候缺乏對安全問題科學性和全面性認識,所以我國電子政務的安全還需要制定安全風險評估機制。
(6)缺乏綜合的安全體系。
電子政務涉及國家秘密,涉及敏感信息和公民隱私,構建電子政務安全保障體系至關重要。必須從法律、標準、管理、技術產品和安全基礎設施多個方面采取措施,才能更好地保證電子政務的可靠性、可信性、可控性、可用性和可查性。要解決電子政務的安全問題,壹方面需要政府機構加強立法和相關政策的制定實施,另壹方面需要先進的技術和應用的手段。當前我國的信息安全基礎設施還較弱,政府正在完善電子政務信息安全域的監管和控制,包括涉密信息域、內部信息域、開放信息域等的管理。通過物理隔離或者邏輯隔離完成安全域的邊界控制。
3電子政務的安全管理的對策
(1)確立信息安全的戰略目標和任務。
充分認識電子政務安全的重要性和緊迫性,從戰略上高度重視電子政務安全的發展,我國信息安全的國家戰略目標是,保證國民經濟基礎設施的信息安全,抵禦有關國家、地區、集團可能對我實施“信息戰”的威脅和打擊,以及國內外的.高技術犯罪,保障國家安全、社會穩定和經濟發展。信息安全戰略防禦的重點是國民經濟中的國家關鍵基礎設施,包括金融、銀行、稅收、能源生產儲備、糧油生產儲備、水電汽供應、交通運輸、郵電通信、廣播電視、商業貿易等。重中之重是支持這些設施運作的電子信息系統。
(2)電子政務的具體安全措施。
電子政務的具體安全措施包括三個方面:壹是物理層的安全防護措施。主要通過制定物
理層面的管理規範和措施來保證計算機網絡設備、設施及數據信息免遭自然災害、人為操作失誤或錯誤、計算機犯罪行為導致的物理實體被破壞、服務中斷、數據遺失。二是技術措施。它是利用計算機網絡產品和技術服務實現的,包括技術規範、技術方案、技術實施等內容。三是管理措施。包括管理體系,管理制度和法律保障。其中,管理和技術的有效結合是保證電子政務系統的安全的必備手段。
(3)加強國家信息安全機構及職能。
有必要成立具有高度權威的國家信息安全委員會,研究確定國家信息安全的重大決策,發布國家信息安全政策,批準國家信息安全規劃,對國家面臨的重大國家信息安全緊急事件做出決斷。在國家信息安全委員會領導下,設立國家信息安全技術委員會,在國家執法部門建立高技術刑事偵察隊伍,提高對高技術犯罪的預防和偵破能力。
(4)高度重視信息安全基礎研究和人才培養。
國家有關部門要對基本依靠國內力量建立起來的我國信息安全研究開發機構進行有機整合,在國家信息安全技術委員會統壹協調指導下,按照壹定的進度要求完成我國信息安全所急需的關鍵技術和設備的研制和試制,形成高質量的批量生產。切實保證我國擁有自己獨特的、有效的信息安全技術和裝備體系,使我們有足夠的能力預防和抗擊有關國家、地區、集團或其他敵對勢力可能對我國發動的信息戰爭和高技術犯罪活動。同時,要大力培養信息安全的專業人才,為各部門輸送信息基礎設施安全運行的骨幹力量。我們還要註意采取切實措施吸引從事信息安全工作的出國人員和愛國華僑為祖國服務或來中國服務,通過他們了解國際高新技術的新發展。
(5)推動信息安全產業的發展。
要加強自主的信息和網絡技術的開發,盡快推動開發和生產我國自己的電腦核心硬件和電腦軟件操作平臺,並予以減稅或免稅的優惠政策。急需從安全體系整體的高度開展強力度的研究工作,從而能夠為解決我國的信息與網絡安全提供壹個整體的理論指導和基礎構件的支撐,並為信息網絡安全的工程實現奠定堅實基礎,推動我國信息安全產業的發展。當前,急需重點組織研究開發以下關鍵技術:惟壹性身份識別技術、數字簽名技術、信息的完整性校驗檢測技術、信息的加解密保護技術、密鑰管理技術、安全審計跟蹤技術、安全信息系統的構造集成技術、系統的安全評測技術、電子信息系統電磁信息泄露防護技術。
(6)加快信息安全立法。
從制定相關的法律和處理好技術先進性與自主性的關系兩個方面,解決電子政務系統的安全問題。發展電子政務,立法要先行。立法要從有利於信息技術發展、有利於電子政務開展的角度,解決電子政務發展中亟待解決的問題,如電子簽名、電子支付的合法性,制定電子政務信息技術規範,並及時修改傳統法律中與信息技術規範不相適應的部分。