論文摘要：從電子政務(wù)安全范疇的界定入手，從物理安全、系統(tǒng)安全、信息安全、管理安全4個(gè)方面闡述中國(guó)電子政務(wù)中的安全問(wèn)題及對(duì)策。

　　近年來(lái)，在黨中央、國(guó)務(wù)院的大力推動(dòng)下，我國(guó)電子政務(wù)開(kāi)始進(jìn)入全面實(shí)施階段，電子政務(wù)建設(shè)成為一項(xiàng)覆蓋各級(jí)政府部門的、大型復(fù)雜的系統(tǒng)工程。與此同時(shí)，安全問(wèn)題給電子政務(wù)工程的規(guī)劃、設(shè)計(jì)、組織和實(shí)施帶來(lái)了巨大的挑戰(zhàn)。國(guó)家互聯(lián)網(wǎng)應(yīng)急中心CNCERT／CC權(quán)威發(fā)布的數(shù)據(jù)顯示，2008上半年與2007年同期相比，網(wǎng)絡(luò)安全事件數(shù)量有顯著增加，其中政府網(wǎng)頁(yè)信息被篡改的事件呈現(xiàn)大幅度上漲趨勢(shì)，與2007年同期相比增加41％。因此，電子政務(wù)信息系統(tǒng)的安全管理成為一個(gè)必須引起各部門高度重視的問(wèn)題。

　　一、電子政務(wù)安全范疇

　　談到電子政務(wù)安全，人們立即就會(huì)聯(lián)想到病毒、黑客等熟悉的名詞，也很容易把它與網(wǎng)絡(luò)安全、電子商務(wù)安全混為一談。網(wǎng)絡(luò)安全通常是指計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的硬件、軟件和數(shù)據(jù)受到保護(hù)，不因偶然和惡意的原因而遭到破壞、更改和泄露。它更多地側(cè)重于技術(shù)層面上網(wǎng)絡(luò)系統(tǒng)安全問(wèn)題的分析和對(duì)策。而電子政務(wù)安全則是一個(gè)非常復(fù)雜的系統(tǒng)工程，它遍布在政府信息化的各個(gè)環(huán)節(jié)之中，其范疇已經(jīng)超越網(wǎng)絡(luò)安全所指的技術(shù)層面?？梢哉f(shuō)，網(wǎng)絡(luò)安全是電子政務(wù)安全中一個(gè)重要的組成部分。

　　電子政務(wù)安全和電子商務(wù)安全都是非常復(fù)雜的系統(tǒng)工程，但是由于電子政務(wù)本身的開(kāi)放性、虛擬性、網(wǎng)絡(luò)化的特點(diǎn)以及我國(guó)政府部門制定統(tǒng)一的電子政務(wù)建設(shè)標(biāo)準(zhǔn)和規(guī)范、全國(guó)上下可互聯(lián)互通的統(tǒng)一平臺(tái)和網(wǎng)絡(luò)，有關(guān)國(guó)家政治經(jīng)濟(jì)的敏感信息和數(shù)據(jù)都對(duì)電子政務(wù)系統(tǒng)的安全性提出了更為嚴(yán)格的要求。從信息社會(huì)角度講，電子政務(wù)安全和電子商務(wù)安全也存在著本質(zhì)共性的聯(lián)系，電子政務(wù)安全是實(shí)現(xiàn)電子商務(wù)安全的基礎(chǔ)和保障。

　　電子政務(wù)安全的特殊需求實(shí)際上就是要合理地解決網(wǎng)絡(luò)開(kāi)放性與安全性之間的矛盾，在電子政務(wù)系統(tǒng)信息暢通的基礎(chǔ)上，有效阻止非法訪問(wèn)和攻擊對(duì)系統(tǒng)的破壞。本文將電子政務(wù)安全的范疇界定為物理安全、系統(tǒng)安全、信息安全、管理安全4個(gè)部分。

　　二、電子政務(wù)中的安全問(wèn)題及對(duì)策

　　1．物理安全

　　保證計(jì)算機(jī)信息系統(tǒng)各種設(shè)備的物理安全是整個(gè)電子政務(wù)系統(tǒng)安全的前提。物理安全是指保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其他媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過(guò)程。電子政務(wù)系統(tǒng)采用的計(jì)算機(jī)硬件雖然在功能上有了很大的提高，但它畢竟屬于高度精密的儀器，任何開(kāi)發(fā)時(shí)的疏忽以及實(shí)際運(yùn)行時(shí)的震蕩、靜電、潮濕、過(guò)熱等情形都可能使其受到嚴(yán)重的損傷。具體來(lái)說(shuō)，電子政務(wù)中的物理安全主要包括以下幾個(gè)方面。一是系統(tǒng)運(yùn)行中的安全隱患，主要包括電源問(wèn)題、水患與火災(zāi)、電磁干擾與泄露以及其他的環(huán)境威脅。二是物理訪問(wèn)風(fēng)險(xiǎn)與控制。物理安全威脅不單來(lái)自于環(huán)境，還來(lái)自于人為操作失誤及各種計(jì)算機(jī)犯罪行為。三是電子政務(wù)信息系統(tǒng)的場(chǎng)地與設(shè)施安全管理。是指中華人民共和【亙國(guó)家標(biāo)準(zhǔn)GB50173—93《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》、GB2887—89《計(jì)算站場(chǎng)地技術(shù)條件》、GB9361—88(計(jì)算站場(chǎng)地安全要求》對(duì)應(yīng)用信息系統(tǒng)的場(chǎng)地與設(shè)施進(jìn)行的安全管理。

　　2．系統(tǒng)安全

　　(1)硬件系統(tǒng)安全的問(wèn)題及對(duì)策。電子政務(wù)系統(tǒng)的主要特征就是大量采用信息系統(tǒng)支持政務(wù)活動(dòng)，而信息系統(tǒng)首先表現(xiàn)為各種各樣的物理設(shè)備，比如計(jì)算機(jī)、磁盤、網(wǎng)絡(luò)設(shè)備等。如果這些物理設(shè)備遭到損毀，整個(gè)系統(tǒng)就不可避免地會(huì)受到嚴(yán)重的影響。因此，首先考察硬件系統(tǒng)的安全問(wèn)題。

　　并非只有軟件才有漏洞，硬件系統(tǒng)同樣可能存在各種各樣的缺陷。這些缺陷一旦逃過(guò)出廠測(cè)試，就可能在實(shí)際運(yùn)行中造成系統(tǒng)崩潰。一般而言，硬件系統(tǒng)的漏洞主要包括設(shè)計(jì)疏忽、元件質(zhì)量低劣、人為留下的“后門”等。對(duì)于這些問(wèn)題，解決辦法就是做好電子政務(wù)系統(tǒng)硬件采購(gòu)時(shí)的分析工作。在制訂采購(gòu)計(jì)劃時(shí)要多搜集相關(guān)信息，到相關(guān)廠商處了解不同品牌、型號(hào)硬件的特點(diǎn)和使用，并在具體采購(gòu)時(shí)仔細(xì)檢查，試運(yùn)行一段時(shí)間后再投入實(shí)際應(yīng)用。特別需要注意的是，對(duì)于關(guān)鍵的系統(tǒng)，在采購(gòu)硬件時(shí)應(yīng)盡量避免使用剛剛面世的新產(chǎn)品，而盡可能采用比較成熟、穩(wěn)定的型號(hào)，以規(guī)避人們常說(shuō)的“技術(shù)風(fēng)險(xiǎn)”。電子政務(wù)系統(tǒng)安全類產(chǎn)品采購(gòu)時(shí)應(yīng)注意的事項(xiàng)包括以下幾點(diǎn)。①產(chǎn)品必須具有公安部《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證》和檢測(cè)報(bào)告。

　?、谌绻摦a(chǎn)品涉及數(shù)據(jù)加密，根據(jù)《商用密碼管理?xiàng)l例》的規(guī)定，該產(chǎn)品的加密算法應(yīng)具有國(guó)密辦的批準(zhǔn)文號(hào)。③在選擇安全產(chǎn)品時(shí)，應(yīng)盡量選擇具有我國(guó)自主知識(shí)產(chǎn)權(quán)的產(chǎn)品。這類產(chǎn)品具有自主知識(shí)產(chǎn)權(quán)的源代碼，安全性較高，而且有利于廠家對(duì)產(chǎn)品的升級(jí)與維護(hù)。④應(yīng)盡量選擇具有更先進(jìn)技術(shù)的安全產(chǎn)品。在安全領(lǐng)域同一種安全產(chǎn)品往往具有幾代技術(shù)，在選購(gòu)之前應(yīng)適當(dāng)了解該產(chǎn)品的技術(shù)演變，選擇較先進(jìn)的安全產(chǎn)品。⑤安全產(chǎn)品的系統(tǒng)處理速度值得考慮。安全類產(chǎn)品由于具有復(fù)雜的分析過(guò)濾功能，往往成為系統(tǒng)的瓶頸，其處理速度直接影響應(yīng)用的效果。⑥注意察看安全產(chǎn)品在權(quán)威機(jī)構(gòu)的檢測(cè)報(bào)告，其各項(xiàng)安全功能是否達(dá)到要求。

　　(2)軟件系統(tǒng)的安全問(wèn)題及對(duì)策。軟件系統(tǒng)是電子政務(wù)系統(tǒng)的靈魂，因此保證軟件系統(tǒng)的安全運(yùn)行、降低因軟件問(wèn)題導(dǎo)致的系統(tǒng)風(fēng)險(xiǎn)對(duì)電子政務(wù)系統(tǒng)來(lái)說(shuō)至關(guān)重要。首先是計(jì)算機(jī)病毒的防范措施。對(duì)于計(jì)算機(jī)病毒的防范，一般要采取以下措施。

　　一是定期進(jìn)行數(shù)據(jù)備份，一旦遭到病毒破壞可以及時(shí)恢復(fù)主要數(shù)據(jù)。

　　二是合理使用殺毒軟件。沒(méi)有任何一種反病毒軟件能夠防治現(xiàn)有的和未來(lái)產(chǎn)生的所有病毒，因此，必須合理使用和部署防病毒軟件才能充分發(fā)揮其作用。

　　三是制定嚴(yán)格的病毒防治規(guī)章。

　　其次是軟件漏洞與后門?，F(xiàn)在電子政務(wù)平臺(tái)使用的所有軟件都不可避免地存在各種各樣的安全漏洞，影響系統(tǒng)的穩(wěn)定性和安全性。為了解決電子政務(wù)平臺(tái)軟件系統(tǒng)中的安全問(wèn)題，本文針對(duì)操作系統(tǒng)、應(yīng)用程序、數(shù)據(jù)庫(kù)等方面，總結(jié)了一套軟件系統(tǒng)安全防護(hù)措施。

　?、匐娮诱?wù)系統(tǒng)在操作系統(tǒng)安全方面的考慮。一是在電子政務(wù)系統(tǒng)的實(shí)際開(kāi)發(fā)、構(gòu)建過(guò)程中，應(yīng)根據(jù)具體運(yùn)行環(huán)境、安全級(jí)別，分別采用不同類別的操作系統(tǒng)。二是盡可能采用具有自主知識(shí)產(chǎn)權(quán)且源代碼對(duì)我國(guó)政府公開(kāi)的產(chǎn)品。目前國(guó)產(chǎn)軟件在安全軟件、操作系統(tǒng)等方面，已經(jīng)具備與國(guó)外軟件產(chǎn)品競(jìng)爭(zhēng)的實(shí)力。因此，采用國(guó)產(chǎn)軟件來(lái)構(gòu)建電子政務(wù)系統(tǒng)成為一項(xiàng)切實(shí)可行的措施。三是盡量避免在電子政務(wù)關(guān)鍵部門、要害環(huán)節(jié)使用外國(guó)的產(chǎn)品，以免受制于外國(guó)。對(duì)于核心應(yīng)用系統(tǒng)和關(guān)鍵政務(wù)環(huán)節(jié)，必須確保實(shí)施方案的技術(shù)自主性。

　?、谠趹?yīng)用程序安全方面的考慮。作為軟件系統(tǒng)的使用者應(yīng)該做到：使用穩(wěn)定版本的軟件；經(jīng)常檢查操作系統(tǒng)和應(yīng)用程序提供商的站點(diǎn)，一旦發(fā)現(xiàn)其提供的補(bǔ)丁程序，馬上下載并應(yīng)用在系統(tǒng)上。

　?、墼跀?shù)據(jù)庫(kù)安全方面的考慮。防止SQL指令植人式攻擊的第一步是采用各種安全手段監(jiān)控用戶輸入，以確保SQL指令的可靠性。第二步是清除客戶端錯(cuò)誤信息文本中的所有技術(shù)資料。第三步是嚴(yán)格限制w eb應(yīng)用程序所用數(shù)據(jù)庫(kù)訪問(wèn)賬號(hào)權(quán)限。

　　(3)網(wǎng)絡(luò)系統(tǒng)安全。網(wǎng)絡(luò)系統(tǒng)雖然也是由硬件系統(tǒng)和軟件系統(tǒng)組成的，但是由于網(wǎng)絡(luò)安全在電子政務(wù)安全中的重要性，本文著重介紹其特有的幾個(gè)安全問(wèn)題及防范措施。

　?、倏诹畎踩?。隨著電子政務(wù)系統(tǒng)的應(yīng)用，口令成為政務(wù)工作中的一部分。系統(tǒng)口令一般由用戶自行設(shè)置，如果安全意識(shí)不強(qiáng)，則會(huì)存在較高的風(fēng)險(xiǎn)。

　?、诰W(wǎng)絡(luò)監(jiān)聽(tīng)。因?yàn)榫W(wǎng)絡(luò)嗅探器可以檢測(cè)到網(wǎng)絡(luò)的流量、通信協(xié)議、信息來(lái)源、報(bào)文長(zhǎng)短、通信周期，進(jìn)而截獲通信數(shù)據(jù)，所以對(duì)網(wǎng)絡(luò)中的賬戶、口令等有較大的危害。

　?、劬芙^服務(wù)(DoS)攻擊。oD S的目的就是拒絕用戶的正常訪問(wèn)，破壞系統(tǒng)的正常運(yùn)行，甚至使電子政務(wù)網(wǎng)絡(luò)系統(tǒng)失效。最基本的oD S攻擊就是利用合理的服務(wù)請(qǐng)求來(lái)占用過(guò)多的服務(wù)資源，從而使合法用戶無(wú)法得到服務(wù)。

　　④電子欺騙攻擊。電子欺騙指在網(wǎng)絡(luò)上通過(guò)偽造可信任地址的數(shù)據(jù)包，得到不該信任的信任關(guān)系。網(wǎng)絡(luò)通信中通信雙方通過(guò)認(rèn)證和信任兩個(gè)前提進(jìn)行。常見(jiàn)的電子欺騙有IP欺騙、DNS欺騙、ARP欺騙、WEB欺騙等。針對(duì)網(wǎng)絡(luò)系統(tǒng)安全問(wèn)題的技術(shù)防范措施很多，如入侵檢測(cè)、漏洞掃描、安全審計(jì)、防火墻技術(shù)、VPN技術(shù)等，可以很好地解決上述網(wǎng)絡(luò)系統(tǒng)安全問(wèn)題。

　　3．信息安全

　　數(shù)據(jù)是電子政務(wù)的核心資源之一，因此其安全問(wèn)題也格外重要。軟件、硬件的損毀雖然可以使政府的正常業(yè)務(wù)中斷，但一般在重新購(gòu)置系統(tǒng)后仍能恢復(fù)，而政府核心數(shù)據(jù)的損毀卻是不可恢復(fù)的致命災(zāi)難。解決數(shù)據(jù)安全問(wèn)題的主要辦法就是建立完善的管理措施。

　　(1)數(shù)據(jù)保護(hù)制度。政府重要數(shù)據(jù)面臨的首要風(fēng)險(xiǎn)就是被他人竊取。為防止這類損失，首先就要健全數(shù)據(jù)保護(hù)制度。一是做好物理訪問(wèn)控制，防止外部人員接觸到存有重要數(shù)據(jù)的主機(jī)、存儲(chǔ)設(shè)備和打印機(jī)等輸出設(shè)備。二是做好數(shù)據(jù)的邏輯訪問(wèn)控制。三是做好數(shù)據(jù)備份和災(zāi)難恢復(fù)計(jì)劃。

　　(2)標(biāo)準(zhǔn)可信時(shí)間源的獲取。時(shí)間在電子政務(wù)安全應(yīng)用上具有其特定的重要意義。政務(wù)文件上的時(shí)間標(biāo)記是重要的政策執(zhí)行依據(jù)和憑證。

　　(3)信息傳遞過(guò)程中的加密。加密就是為了安全目的對(duì)信息進(jìn)行編碼和解碼。電子政務(wù)應(yīng)用涵蓋政府內(nèi)部辦公和面對(duì)公眾的信息服務(wù)兩大方面。就政府內(nèi)部辦公而言，電子政務(wù)系統(tǒng)涉及部門與部門之間、上下級(jí)之間、地區(qū)與地區(qū)間的公文流轉(zhuǎn)。這些公文的信息往往涉及機(jī)密等級(jí)的問(wèn)題，必須采取適當(dāng)?shù)募用芊椒▽?duì)信息予以保密。

　　4．管理安全

　　(1)組織管理措施。對(duì)于電子政務(wù)系統(tǒng)來(lái)說(shuō)，要想做到合理分工，一個(gè)核心的原則就是在實(shí)際建設(shè)和應(yīng)用電子政務(wù)系統(tǒng)時(shí)把系統(tǒng)的設(shè)計(jì)者、管理者、操作者、利害關(guān)系者等角色分開(kāi)，盡量避免一個(gè)人同時(shí)具備多個(gè)角色。除合理分工外，牽制也是必須考慮的問(wèn)題。比如在信息錄入環(huán)節(jié)增設(shè)人員監(jiān)督錄入，既可以減少錄人錯(cuò)誤，也可以防止舞弊。此外，對(duì)于重要業(yè)務(wù)，可以在系統(tǒng)的工作流程中增加審核環(huán)節(jié)，并為具體操作人員設(shè)定操作規(guī)模的上限，從而提高非法操作的難度，降低風(fēng)險(xiǎn)損失。

　　(2)人力資源管理。政府的人力資源管理情況也會(huì)在很大程度上影響電子政務(wù)的安全。一是對(duì)人員的安全教育和保護(hù)。從安全角度看，企業(yè)的員工不僅僅是潛在的威脅，也是安全制度的執(zhí)行者和保護(hù)對(duì)象。二是對(duì)內(nèi)部成員的安全防范。多項(xiàng)針對(duì)系統(tǒng)安全事件調(diào)查的結(jié)果表明，絕大多數(shù)安全事件是由受害組織的內(nèi)部員工實(shí)施的。一般說(shuō)來(lái)，針對(duì)內(nèi)部員工的安全管理措施包括以下幾個(gè)方面。①合理的崗位劃分和健全的牽制制度。②定期休假制度。給重要崗位的人員提供定期的休假，一方面可以讓員工得到休息，另一方面在其離崗期間內(nèi)，臨時(shí)管理員可以發(fā)現(xiàn)系統(tǒng)的不合理狀態(tài)并及時(shí)報(bào)告、調(diào)查。

　?、蹎T工離任處理。一般被辭退的員工往往會(huì)產(chǎn)生嚴(yán)重的不滿情緒和報(bào)復(fù)念頭，同時(shí)他們又非常熟悉企業(yè)的系統(tǒng)結(jié)構(gòu)和安全漏洞，因此很可能在離任后惡意破壞電子政務(wù)系統(tǒng)。為防止這種情況的發(fā)生，在員工離任時(shí)必須執(zhí)行嚴(yán)格的處理辦法。

　　三、結(jié)語(yǔ)

　　電子政務(wù)系統(tǒng)是安全高度敏感的系統(tǒng)，任何時(shí)候都要切實(shí)保證電子政務(wù)系統(tǒng)的安全，要制定嚴(yán)格的管理制度，對(duì)于各種系統(tǒng)安全風(fēng)險(xiǎn)，必須分門別類，對(duì)癥下藥，確保數(shù)據(jù)完整性、信息保密性、信息真實(shí)性、數(shù)據(jù)可用性等。應(yīng)該站在系統(tǒng)的高度，綜合各方面要素，在投資許可的前提下，采用多種安全技術(shù)手段確保電子政務(wù)系統(tǒng)的安全。