关于电子政务信息安全管理体系建设的几点思考

林乐坚 林向民 许哲君



关于电子政务信息安全管理体系建设的几点思考

林乐坚 林向民 许哲君

福建省网络与信息安全测评中心

电子政务作为国家信息化战略的重要组成部分，其信息安全保障事关经济发展、国家安全、社会稳定、公众利益和社会主义精神文明建设，其自身的安全问题也随着科技的进步变得更加突出、严重。认识电子政务信息系统安全的威胁，把握系统安全的影响因素和要求，对保证电子政务的有效运行具有重要意义。该文就建设电子政务信息安全管理体系从技术、管理、服务等方面提出建议。

电子政务 信息安全 等级保护 风险评估

1 概述

电子政务是政府管理方式的革命，它是运用信息以及通信技术打破行政机关的组织界限，构建一个电子化的虚拟机关，使公众摆脱传统的层层关卡以及书面审核的作业方式，并依据人们的需求、人们可以获取的方式、人们要求的时间及地点等，高效快捷地向人们提供各种不同的服务选择。政府机关之间以及政府与社会各界之间也经由各种电子化渠道进行相互沟通。

电子政务的建立将使政府社会服务职能得到最大程度的发挥，但也使政府敏感信息暴露在无孔不入的网络威胁面前。由于电子政务信息网络上有相当多的政府公文在流转，其中不乏重要信息，内部网络上有着大量高度机密的数据和信息，直接涉及政府的核心政务，它关系到政府部门、各大系统乃至整个国家的利益，有的甚至涉及国家安全。因此，电子政务信息安全是制约电子政务建设与发展的首要问题和核心问题，是电子政务的职能与优势得以实现的根本前提。如果电子政务信息安全得不到保障，不仅电子政务的便利与效率无从保证，更会给国家利益带来严重威胁。

2 电子政务信息系统面临的威胁

电子政务涉及对政府机密信息和敏感政务的保护、维护公共秩序和行政监管的准确实施以及为保障社会提供公共服务的质量。电子政务作为政府有效决策、管理、服务的重要手段，必然会遇到各种敌对势力、恐怖集团、捣乱分子的破坏和攻击。尤其是，电子政务在基于互联网的网络平台上，他包括政务内网、政务外网和互联网，而互联网是一个无行政主管的全球网络，自身缺少设防，安全隐患很多，使得不法分子利用互联网进行犯罪有机可乘，这就使得基于互联网开展的电子政务应用面临着严峻的挑战。

对电子政务的安全威胁包括网上黑客入侵和犯罪、病毒泛滥和蔓延，信息间谍的潜入和窃密，网络恐怖集团的攻击和破坏，内部人员的违规和违法操作，网络系统的脆弱和瘫痪，信息安全产品的失控等，对于这些威胁，电子政务的建设和应用应引起足够警惕，采取果断的安全措施，应对这种挑战。

3 电子政务信息安全管理体系的构建

要有效维护电子政务信息系统的安全，就需要构建电子政务安全管理体系，从而使政务的信息基础设施、信息应用服务能够具有保密性、完整性、真实性和可用性。电子政务安全管理体系包括安全技术体系、安全管理体系和安全服务体系，涉及从管理到组织，从网络到数据，从法规标准到基础设施等各个方面。

3.1 加强安全技术力量是实现电子政务安全的基本方法

安全技术体系是利用技术手段实现技术层面的安全保护，是对电子政务安全防护体系的完善，包括网络安全体系、数据安全传输与存储体系，功能主要是通过各种技术手段实现技术层次的安全保护。

网络安全体系包括网闸、入侵检测、漏洞检测、外联和接入检测、补丁管理、防火墙、身份鉴别和认证、系统访问控制、网络审计等;数据安全与传输与存储体系包括数据备份恢复、PKI/CA、PMI等。整个电子政务的安全，涉及信息安全产品的全局配套和科学布置，产品选择应充分考虑产品的自主权和自控权。在关键技术、经营管理、生产规模、服务观念等方面，要集中人力、物力，制订相关政策，大力发展自主知识产权的计算机芯片、操作系统等信息安全技术产品，以确保关键政府部门的信息系统的网络安全。加强核心技术的自主研发，并尽快使之产品化和产业化，尤其是操作系统技术和计算机芯片技术。现阶段各地政府部门目前所选用的高端软硬件平台，很多都是国外公司的产品，这也对政务安全带来了许多隐患。因此，在构建电子政务系统的时候，在可能的情况下，我们应尽量选用国产化技术和国内公司的产品。

3.2 构建安全管理体系是电子政务安全实施的重要基础

安全管理是解决电子政务的安全问题在技术以外的另一有力保障和途径。由于安全的防范技术与破坏技术总是“势均力敌”、“相互促进”的。作为防范者就更应该在安全防范的管理上下更大的工夫。安全管理主要涉及三个方面：法律法规、安全防护体系以及等级保护政策。

3.2.1法律政策、规章制度和标准规范

电子政务的工作内容和工作流程涉及到国家秘密与核心政务，它的安全关系到国家的主权、国家的安全和公众利益，所以电子政务的安全实施和保障，必须以国家法规形式将其固化，形成全国共同遵守的规约。目前，世界上很多国家制定了与网络安全相关的法律法规，如英国的《官方信息保护法》等。我国虽然颁发了一些与网络安全有关的法律法规，如《计算机信息系统安全保护条例》、《计算机信息系统保密管理暂行规定》等等，但显得很零散，还缺乏关于电子政务网络安全的专门法规。此外，在完善法律法规的同时，还应该加大执法力度，严格执法，这一目标的实现不仅需要政府组织的努力，更要国家立法机构的参与和支持。

3.2.2电子政务防护体系

贯穿整个电子政务的安全防护体系，对电子政务安全实施起全面的指导作用，具体包括三个方面的内容：安全组织机构、安全人事管理、以及安全责任制度。建立安全组织机构，其目的是统一规划各级网络系统的安全、制定完善的安全策略和措施、协调各方面的安全事宜，主要职责包括制定整体安全策略、明确规章制度、落实各项安全措施实施，以及制订安全应急方案和保密信息的安全策略；安全人事管理，其主要内容包括：人事审查与录用、岗位与责任范围的确定、工作评价、人事档案管理、提升、调动与免职、基础培训等；制定和落实安全责任制度，包括系统运行维护管理制度、计算机处理控制管理制度、文档资料管理制度、操作和管理人员管理制度、机房安全管理制度、定期检查与监督制度、网络通信安全管理制度、病毒防治管理制度、安全等级保护制度、对外交流安全维护制度，以及对外合作制度等。

3.2.3等级保护制度

通过全面推行信息安全等级保护制度，逐步将信息安全等级保护制度落实到信息系统安全规划、建设、测评、运行维护和使用等各个环节，使信息安全保障状况得到基本改善。通过加强和规范信息安全等级保护管理，不断提高信息安全保障能力，为维护信息网络的安全稳定，促进信息化发展服务。

4 完善安全服务是维护电子政务安全实施的有力保障

4.1 安全等级测评和风险评估管理

电子政务信息系统安全测评服务，其实质是通过科学、规范、公正的测试和评估向被测评单位证实其信息系统的安全性能符合等级保护的要求。

由于信息安全直接涉及国家利益、安全和主权，政府对信息产品、信息系统安全性的测评认证要更为严格。对信息系统和信息安全技术中的核心技术，由政府直接控制，在信息安全各主管部门的支持和指导下，依托专业的职能机构提供技术支持，形成政府的行政管理与技术支持相结合、相依赖的管理体制。风险管理是对项目风险的识别、分析和应对过程。它包括对正面事件效果的最大化及对负面事件影响的最小化。电子政务安全风险管理的主要任务是电子政务信息系统的风险评估并提出风险缓解措施，前者是识别并分析系统中的风险因素，估计可能造成的损失，后者是选择和实施安全控制，将风险降低到一个可接受的水平。

4.2 安全培训服务

根据不同层次的人才需求，社会化的信息安全人才培养体系应分为专业型教育、应用型教育和安全素养教育三个层次。专业型教育主要是培养信息安全领域的专业研发、工程技术、战略管理等方面的人才。应用型(半专业)教育则是以从事现代信息管理工作的人作为对象，培养目标是要求学生具备信息安全的基本知识、网络和信息系统安全防范技能、组织机构或系统安全管理的能力等。这种应用型的信息安全教育要求受教育对象数量要多，覆盖面要广，基本信息技能要强。通过课程、讲座、宣传等多种形式，达到让每一个人都具备必要的安全意识和常规的信息安全自我防范技术的目的。要求单位领导应具备必要信息安全意识和安全知识；信息管理人员应具备一定的信息安全知识和基本技能；从事信息服务或信息安全服务的有关人员应具备必要的信息安全知识和技术基础等。

构建安全稳定的政务信息系统，技术、管理、服务作为支撑体系的三大要素，缺一不可。只有这三方面都做好了，才能实现海西政务信息管理体系的全面提升。

[1] 何玲,电子政务环境下政府电子文件管理新探索[D].成都:四川大学硕士学位论文,2008.

[2] 电子政务：安全防护体系构建策略[EB/OL].http://www.enet.com.cn,2009.

[3] 金江军.电子政务信息安全体系建设[EB/OL].博客中国,2005.