电子政务安全保障研究

中 文 摘 要从 20 世纪 90 年代初的 OA 系统开始，我国的电子政务经历了二十多年的发展，由简单的单机公文处理系统，发展为基于 Internet 的复杂的信息搜集和事件处理系统，初步形成了以政府内外网为基础架构，以公众为服务对象，以效率为核心价值目标的电子政务服务体系，为我国经济建设和社会发展提供了巨大的动力，也为公众生活提供了极大的便捷。但是鉴于网络本身的缺陷、系统漏洞的不断出现和技术方面的不足等原因，电子政务系统面临着巨大的威胁。电子政务涉及国家发展的方方面面，内部有大量政府信息流转，对它的破坏会直接影响到经济的发展，甚至是国家的安全。一直以来，国家投入大量资金，采用较为先进的技术方案来解决安全问题，但是电子政务系统遭受入侵或破坏的事件屡见不鲜，所造成的损失也越来越大，究其原因，往往是因为只重视技术的引进，而忽视了安全管理。电子政务安全的核心是管理，只有在加强管理、协调和合作的基础上才能保证我国电子政务系统的稳定和安全。针对于电子政务安全管理的研究，本文在借鉴已有的国内外研究成果的基础上，综合运用管理学、信息学、网络安全、项目管理、风险分析等多学科的知识和方法，从当前存在的问题出发，从整体和宏观上对我国电子政务安全管理所要着重考虑的方面进行对策分析，以期为我国电子政务安全水平的提高提供一些参考建议。关键词: 电子政务; 安全管理; 项目管理; ABSTRACTSince the OA system begun in the late 1980s. Chinese e-government has experienced more than 20 years development, simple single document processing system, developing into complex information gathering and event handling system based on Internet. The e-government and aims to service the public with its core value of efficiency, has begun to take shape. It provides a great power for our countrys economic construction and social development and great convenience for the public life. However, in view of the defects of the network itself, the emerging vulnerabilities in systems and insufficiency management and other reasons, e-government system is facing a huge threat. Besides, e-government involves all aspects of government information; its damage will directly affect the economic development, and even national security.Keywords: E-Government; Security Management; Project Management;目 录第一章 绪论 .一、研究背景 .2二、研究意义 .2第二章 研究综述 .3一、国外研究现状 .3二、国内研究现状 .4（一）关于电子政务安全问题的认识 .4（二）关于电子政务安全问题的技术解决措施 .4（三）关于电子政务信息安全风险控制 .5第三章我国电子政务安全管理的基本现状分析 .6一、我国电子政务安全环境分析 .6二、多种安全威胁并存 .7（一）外部安全威胁 .7（二）内部安全威胁 .8三、病毒产业、黑客产业逐渐发展 .8四、安全损害剧增 .9第四章 我国电子政务安全管理中存在的问题 .9一、电子政务安全立法滞后，尚存在大量的空白 .10二、安全管理机构建设不完善，统一协调能力较差 .10(一)安全管理职能分散，协调管理能力差 .10(二)人员安全责任界定模糊 .10(三)整体安全意识薄弱 .11三、安全基础设施管理薄弱，应急处理能力差 .11四、电子政务安全项目建设存在盲目性 .11(一)电子政务安全设计缺乏规划 .11(二)电子政务安全风险评估机制尚不健全 .12(三)电子政务安全项目管理水平较低，难保证项目质量 .12第五章 完善我国电子政务安全管理的对策思考 .13一、树立科学的安全观，提高对电子政务安全管理的认识 .13(一)分清主次，树立有所为、有所不为的安全观 .13(二)树立相对安全的观念，避免进入“绝对安全”的误区 .13二、完善制度和组织保障体系，提高安全管理“软实力” .13三、加强各项安全基础设施建设，确保安全基础扎实 .15(一)完善信息安全标准认证管理 .15(三)完善国家安全测评与认证体系 .15(四)构建国家级病毒防护安全平台 .16(五)加强应急响应机构的协作管理 .16四、做好电子政务项目安全管理，提高安全建设质量 .17结论 .17注释 .19参考文献 .21第一章 绪论一、研究背景未来的世界是网络和信息的世界，随着网络信息技术的不断发展，信息已经成为社会财富增长的源泉，为社会的进步提供的源源不断的动力;同时，随着网络经济、网络文化、网络社区等的不断发展壮大，网络也成为人们生活的重要方面，网络成为人们获取信息、进行交流和互动的重要载体，人类的每一代都会比上一代更加数字化，未来的世界是网络的世界，未来的生活将是有分散权力、全球化、追求和谐和赋予权力四个特征的数字化生存。对于各国政府而言，电子政务(E 一 Government)作为一种新的政府管理模式，也正在重塑政府自身及政府与公众的交流方式。电子政务(E 一 Government)是传统政府和现代网络技术相结合的产物，它的发展过程就是对工业时代的政府形态进行改造的过程，在当前全球化、信息化的背景下，电子政务可以为公众提供更好的公共服务，可以增强国家的国际竞争力。但不可否认网络是一把双刃剑，由于种种原因，网络欺诈、网络病毒木马、黑客攻击等安全问题不断出现，网络安全问题也成为继金融安全、环境安全、流行疾病安全问题之后的一个非常重要的非传统安全问题。对电子政务而言，电子政务系统是以政府为主体，在它的运行中涉及许多国家机密信息和高敏感度的核心流程，任何破坏和攻击，很有可能导致政务系统的瘫痪、政务信息的泄露和篡改，进而影响政府的威信和形象，甚至造成社会公众的恐慌，因而必须尽一切可能来确保它的安全。随着电子政务安全的不断发展，国内外已经形成了许多安全技术解决方案，政府也花大笔资金来引进各种安全防护技术，而现实中的情况是，许多部门采用相同的安全技术，却得到不同的安全结果，有的部门屡遭病毒和黑客的攻击，而有的部门却安然无恙，排除黑客攻击的特定目标性，我们可以说，技术都不是完美无缺的，电子政务安全问题也不能仅仅依靠技术的手段来解决，电子政务是“三分技术七分管理” ，因此，解决问题的关键在于对电子政务安全管理(E-Government Security Management)的研究。基于以上的认识，电子政务安全管理己经成为当前我国电子政务发展所要解决的重要课题之一。二、研究意义电子政务(E-Government)通过网络技术将政府管理职能和服务进行集成，打破了政府办事的空间和时间障碍，可以为公众提供全天候的公共服务，这大大满足了公众的需求;同时，通过互联网，政府可以实现组织结构的优化和工作流程的再造，塑造出网络时代的服务型政府。因而，稳定安全的电子政务系统应用不仅是政府的期望，更是整个社会的要求。根据网络安全理论中的“木桶效应” ，即系统的安全的水平取决于整个系统中最低的安全部分，因此，对于电子政务安全来讲，我们不能期望仅仅通过一种技术上的解决方案来实现电子政务的整体安全，而且经验也己经证明没有任何技术是完美无缺的，我们应当重视电子政务安全管理的研究，综合采用多种安全管理策略和手段，使各种安全技术成为一个有机协调的整体，这样才一能最大限度的保证我国电子政务的最大安全。从国际上来看，电子政务安全管理在各国的电子政务发展中己经受到了越来越多的重视，美国、英国、德国等国纷纷进行安全管理立法，并建立了相应的机构来对电子政务安全管理问题进行系统深入的研究和探讨，目前，对于电子政务安全管理，国外已经形成了一些较为成熟的管理模型和管理策略体系，电子政务安全问题也得到了较好的解决。而在我国，一方面，我国的电子政务系统中有许多的安全隐患和缺陷，安全管理不到位，应用系统本身面临着巨大的安全威胁;另一方面，我国对于电子政务安全管理问题的研究尚处于初级阶段，大多数侧重于研究技术方案制定和完善，不能形成宏观与微观相结合的整体安全管理体系，从而造成了信息泄露、政务系统瘫痪等安全事件不断出现，严重影响了我国电子政务的安全和公共服务水平的提高。从以上的分析可以看出，电子政务安全是“三分技术七分管理” ，对于电子政务安全管理问题的研究既有重要的理论和现实意义，又具有重大的政治意义。第二章 研究综述对电子政务安全管理的研究是伴随着电子政务的发展而产生的，从 20 世纪九十年代开始逐步扩大，涉及安全标准、安全框架、安全模型、安全认证与测评等多个方面。一、国外研究现状Seierrt，Jerrfeyw 和 Relyea 在你知道信息在国家安全中的地位吗? 一文中对“911 恐怖袭击”后的政府信息安全状况进行了整体的分析，其中对电子政务信息安全的讨论主要集中在:电子政务在国家安全中所扮演的角色、信息共享与信息安全、数据挖掘技术的成长和应用、新信息的区分归类方法等。在他们看来，在危机时刻电子政务安全的重要性更加凸显，因而政府应加强对信息安全的重视程度，提高电子政务系统的安全水平。Stibbe 和 Matthew 在电子政务安全 一文中叙述了英国内陆的电子政务应用情况以及国民的普遍反映，并与整个欧洲大陆的电子政务应用状况进行比较，认为对于电子政务信息系统公共服务功能的安全性问题与民众最为相关。在他们看来，电子政务已成为国家提供公共服务的重要渠道，认为公民的身份认证的真实性问题是电子政务安全的核心问题，并对电子政务安全认证方面问题提出了一些解决方法。N.Boudriga 在 电子政务安全中的技术问题 中概述了当前电子政务安全所面临的技术问题和安全挑战，以及面临的系统安全隐患和缺陷，提出了电子政务中用户身份认证问题、访问授权问题、业务处理保护问题和入侵监测问题的重要性，并强调了安全事件响应组的作用。S.Cohen 在电子政务的未来发展趋势和潜在的问题 中对于当前电子政务的发展趋势和存在的问题进行了深入的分析，将信息安全作为一项电子政务发展极需解决的重要内容，并建议将技术性的因素和非技术性的因素结合起来，尽快建立相关的法律和管理规定来惩处各类电子犯罪。二、国内研究现状总体而言，电子政务在我国的发展还是一个较为初级的阶段，但近年来，随着政府对它的关注，我国的电子政务取得了较大的进展。近年来，我国学者对于电子政务以及其安全管理问题也进行了一系列的研究。（一）关于电子政务安全问题的认识著名电子政务专家宁家俊认为电子政务信息安全必须受到足够的重视，它应包括信息状态安全和信息状态转移安全，是一个综合性的课题，因而，在政府网络建设中应从网络物理层、网络基础应用层和网络信息应用层三方面着手进行建设。纪建悦、王元月在试论我国电子政务现状、问题及发展策略中阐述了我国电子政务的发展状况，分析了我国电子政务发展中存在的安全问题和面临的安全威胁，并提出了相应的解决方法和防范策略。（二）关于电子政务安全问题的技术解决措施网络安全专家沈昌祥指出保护网络安全的技术措施主要有:严密的身份认证;实施访问控制;采取安全信息传输加密算法和电子签名 ;病毒和防火墙技术;入侵检测技术;安全扫描技术等。任锦华在电子政务网络和信息安全一文中从分析我国国内的网络安全问题现状入手，说明我国当前的软硬件技术水平严重妨碍了电子政务建设中的安全保障，在文献中，他对防火墙技术、入侵检测技术和安全审计技术等当前主流的网络安全技术进行了详细的优劣分析和比较 。郑晨阳和唐丹从电子政务安全中电子文档所面临的安全威胁出发，着重论述确保电子文档安全的技术策略、法律策略和管理策略，以及在电子文档安全策略实施需要注意的几个问题 。张维华在我国电子政务信息安全体系建设中的几个问题一文中比较全面的介绍了我国电子政务信息安全体系建设中存在的几个普遍的问题和需要注意的几个关系，以及必须解决的几个核心技术问题 。褚峻、苏震在电子政务安全技术保障一书中针对电子政务系统建设与运行过程中所遇到的安全问题，介绍了网络环境下的安全技术保障体系。阐述了数据加密技术、信息隐藏技术、安全认证技术、公钥基础设施 PKI 技术、物理隔离、虚拟专用网 VPN 等系统的安全原理与技术特征以及两种电子政务系统的安全解决方案 （三）关于电子政务信息安全风险控制孟祥宏在电子政务信息安全风险管理研究综述一文中从信息安全风险管理的视角对电子政务信息安全风险评估、风险管理的模型与方法以及电子政务信息安全管理实践等方面的相关文献进行了研究，对于电子政务信息安全风险进行了理论和实践上的比较分析。邵燕斐，王小斌在电子政务的安全风险及对策选择一文中主要讨论了电子政务信息安全中的物理风险，技术风险，管理风险、技术风险，着重于从技术和立法的角度对防范相关风险进行了较为深刻的论述。从以上可以看出，我国学者对电子政务安全的研究也比较多，但从总体上看，主要集中在对电子政务安全问题的论述、安全技术的介绍、电子政务安全建设原则、电子政务安全安全策略、技术层面的安全体系建设等方面，缺乏更为深入的研究，尚处在初级阶段。当前在电子政务安全管理的研究中主要存在以下几个问题:一是这些研究中大部分是从技术领域展开研究，就技术而谈技术，没有很好的把技术和管理、规划相结合。二是人们对电子政务安全的认识和把握大多还停留在感性的、局部的认识，未能充分认识到此问题对社会发展和社会稳定的严重危害性。三是对于应对电子政务安全管理的对策大多过于笼统化，可操作性欠佳，未能提出切实可行的有针对的对策，未有较为完整的关于我国安全管理问题的论述。第三章我国电子政务安全管理的基本现状分析电子政务安全是关系政府和社会稳定的重要问题，但如果仅仅寄希望于技术上的“完美解决方案” ，安全是很难得到保证的，因为任何技术都不是完美无缺的，随着安全环境、攻击技术、密码破译方法的发展，新的威胁又会产生，而且所有的技术都是由人来进行操作的，如果不能把管理和技术进行结合，再先进的技术也是没用的，因而，电子政务安全管理是贯穿于电子政务的整个发展过程中。就我国电子政务安全发展历程来看，我国的政务安全建设也是随着电子政务的不断深化而不断推进。最早开始于通信保密的管理，早期注重对通信环境和信息的安全加密管理，随着电脑在政府工作中发挥越来越多的作用，安全建设的重点也转向了对单机数据的保护，主要是对单机系统或局域网内少数服务器进行必要地安全防护。在进入 21 世纪后，随着我国电子政务的不断发展，政务系统面临的安全环境越来越复杂，我国的电子政务安全建设也逐渐转向了整个政务网、安全技术解决方案和安全策略等各个方面，逐渐形成具有整体性、战略性的政务安全管理框架，对安全技术、安全策略、安全战略等各个层面有了较好的发展。一、我国电子政务安全环境分析我国的互联网经过多年的发展，网络规模不断扩大，网络资源的丰富性、主干网络的带宽等基础性指标不断上升，网络的便捷性逐渐体现，网络带来了无限的商机，网络经济成为我国经济发展的重要推动力，但同时也将严峻的挑战摆在我们的面前，网络犯罪不断增加、病毒木马变种不断、安全问题不断出现，我国的网络安全状况有不断恶化的趋势，总体上讲，我国的电子政务安全环境呈现以下几个特点:21 世纪，网络成为人类