电子政务安全策略的研究

0 引言

进入21世纪以来,电子政务系统逐渐在全世界得到越来越广泛的应用。电子政务已经成为政府提高工作效率的主要因素,电子政务安全策略的研究已经成为相关科研人员研究的重要课题。

1 电子政务的概念

关于电子政务的概念，当前各国学者的定义和理解不尽相同。有学者认为电子政务就是政府部门的计算机和网络化，也有学者认为电子政务就是对政府部门的信息资源进行统筹规划和管理，甚至还有学者把电子政务等同于政府机关办事的网络化和政务网络公开。但实际上，电子政务的内涵并不是一成不变的，它是随着IT技术的迅猛发展和政府部门信息化程度的不断加深而不断改变的。大家公认的电子政务的概念主要有三个主要内涵：首先，利用先进的 IT手段提高政府部门办公的透明度，使公众能够便捷地了解政府行为，公众可以通过不同渠道参与政府的决策工作。其次，电子政务改进了过去传统行政审批的政府工作模式，大大提高了政府部门工作的效率，实现了政府办公模式的改革与创新。第三，政府与外界通过网络渠道进行沟通，根据公众需求的不同来给予差异化的服务，通过提高政府工作的透明度来更好地实现公众、人大、政协和纪检监督部门对各级政府的有效监督，保证了政府工作的廉洁、高效和便捷，能够给民众提供更加满意的政府服务。

2 研究电子政务安全的必要性

十二五计划实施以来，我国政府信息平台建设和电子政务软件开发上取得了很大成绩，但这项工作当前仍处在较为基础的阶段，还存在着以下问题：

（1）各自为政、标准不一；

（2）结构混乱；

（3）各部门间政务信息相互隔绝；

（4）缺乏集中的安全保障体系，因而存在较大的安全风险。

习近平主席2014年在中央网络安全和信息化领导小组会议上讲话中指出：没有网络安全就没有国家安全，没有信息化就没有现代化。而我国当前电子政务全面实施存在着诸多挑战，其中最大挑战就是安全。电子政务系统的信息安全保障不仅仅是技术问题，也不是仅凭借身份认证、防火墙隔离、入侵检测、加密等技术手段就能够实现的。电子政务安全是一项完整的系统工程，需要从法律威慑、制度制约、安全技术手段支撑和有效整合各部门的系统资源等方面实行全局治理措施，并且需要从系统防护、漏洞检测、系统恢复和技术反制等方面实施的积极防御策略，才能够有效保障电子政务系统的安全。

3 安全保障体系结构描述

电子政务工程的安全体系包含政务网安全和政务信息安全两层。政务网安全包括政务网实体安全、网络通信系统安全和主机系统安全，是实现整个电子政务工程安全的前提和基础。政务信息安全建立在政务网安全的基础上，是整个电子政务工程安全的最终目标。

电子政务工程的安全保障体系是一个系统工程，它不仅涉及到信息技术体系，还包括信息安全相关的法律法规体系和组织管理体系。任何通过单一手段保障安全的企图都是片面的，安全保障需要从体系结构的角度加以研究，所谓电子政务安全保障体系结构是指能够保证电子政务安全运行的各种保障措施、技术和体制的有机综合体。通过对电子政务安全体系的层次分析,我们提出了一种新的电子政务工程的安全保障体系,它由政务网安全保障、政务信息安全保障、安全支撑基础设施、安全管理四部分构成。

4 电子政务安全管理对象模型

电子政务工程的安全体系包含政务网安全和政务信息安全两层。政务网安全是指政务信息通用载体的安全，包括政务网实体安全、网络通信系统安全、主机系统安全，是实现整个电子政务工程安全的前提和基础。政务信息安全建立在政务网安全的基础上，是指政务信息本身以及处理政务信息的专用载体的安全，包括政务信息本身的安全和相关信息处理系统的安全，是整个电子政务工程安全的最终目标。两个层次的侧重点是不同的，政务网安全注重政务信息通用载体的可用性保障，政务信息安全注重政务信息机密性、完整性、不可否认性的保障。通过对电子政务安全体系层次分析，我们将电子政务安全管理对象分为：政务网络为代表的政务信息通用载体和政务信息及专用载体（信息处理系统）。依据对象的不同，将电子政务安全管理分为：政务网安全管理和政务信息安全管理。

4.1 政务网络安全管理对象

政务网络安全管理对象为政务信息的通用载体（即政务内网、政务外网的通信实体、通信系统、主机系统等）和安全支撑基础设施。具体如下：网络信道实体；网络设备实体；网络通信软件；网络管理软件；主机实体（包括：服务端和客户端）；主机系统软件（如操作系统、数据库管理系统等）；安全支撑基础设施。

4.2 政务信息安全管理对象

政务信息安全管理对象为政务信息及专用载体，主要是：政务业务信息和处理业务的系统。具体如下：各类政务信息（如办公业务信息、人事管理信息等）；政务业务系统（如办公自动化系统、税务管理系统等）。

5 电子政务安全策略研究

一般网络安全体系模型由四部分组成：安全管理保障体系、安全服务基础设施、灾难响应及应急处理系统以及安全技术的支撑平台。对于电子政务系统来说，应该以该种安全模型作为基础，由于各种安全管理、安全技术以及安全法规的实施必须按安全策略的规定来进行实施，所以，其安全策略应该清楚并且明确。

5.1 网络安全基础服务设施安全策略

网络安全基础服务设施（FNSS）主要是起到为电子政务系统和网络信息安全执法主体（当前我国主要有公安、工信、工商等部门）提供给网络安全公共服务与电子政务信息系统作为支撑的一种非专有的公共网络安全基础设施，在我国主要由中国信息安全测评中心（CNITSEC）、网络信息监控中心（MIIC）、网络数据备份与灾难恢复中心（NDBDRC）、国家网络应急技术处理协调中心（CNCERT）、电子政务电子认证中心（政务 CA）、电子证书授权中心（CA）、密钥管理中心（KMC）等国家网络安全基础设施组成。

5.2 安全管理保障体系的安全策略

在安全管理保障体系中，除了一系列的最基础的安全措施外，还应该重视安全管理技术。俗话说“三分技术，七分管理”，就是说安全体系的保证不仅需要技术的支持，更离不开人的管理，再好的安全策略最终还是要靠人为的管理来实现。无论何种完善的安全技术都需要严格的管理作为其安全保证，因此安全管理体系是保证电子政务系统安全的极其重要的一部分。因此，政府在改善操作技术的同时，还应当重视工作人员的管理以及电子系统的安全管理技术。对政务系统进行必要的网络检测以及日记的管理，在很大程度上可以避免外来病毒感染、黑客入侵等问题而造成的系统损坏、信息泄漏与丢失等。

5.3 安全技术支撑平台的安全策略

安全技术支撑平台就是指通过利用各种技术和安全产品来建立的一个执行安全策略的平台。我们在解决网络的信任问题时能够利用现有的安全技术准确无误地进行安全策略的实施，其中包括：身份认证、通信完整性/机密性保护、严格的访问控制、入侵防范、防范病毒、漏洞扫描与修复、安全日志与审计等策略，这些策略能够有效地保护电子政务系统的信息安全。

5.4 灾难响应与应急处理安全策略

任何安全措施都无法确保数据绝对安全，由于电子政务系统中存储着大量的重要信息，自然灾害、硬件故障、黑客入侵以及病毒的感染都有可能导致政府重要数据的泄露与丢失。因此，在电子政务安全体系中必须包括数据的备份与容灾功能。

灾难响应及应急处理系统的存在可以保证在出现系统崩溃、自然灾害、操作不当以及硬件故障问题时重要的数据能得到恢复。灾难响应系统应该充分考虑电子政务系统的特点，恢复灾难系统需要具备以下五个条件：第一，系统必须能够支持大容量的存储；第二，支持恢复与异地备份；第三，跨平台的备份能力；第四，能够支持备份模式以及能够兼容多种存储介质；第五，积极响应自动恢复的机制。

6 结束语

电子政务安全是一个系统工程，有效的电子政务安全整体解决方案依赖于方方面面的共同努力，本文中给出的电子政务安全策略是对电子政务安全研究的一个有益探索。