（企业管理专业论文）电子政府的信息安全问题与策略研究.pdf

摘要 建设电子政府是信息时代各国政府的必然选择，电子政府的信息安全是电 子政府构建的前提和基础。目前，随着我国政府上网步伐的加快和范围的日益 扩展，信息安全问题已经成为电子政府发展的“瓶颈”之一，保障我国电子政 府信息安全的重要性和迫切性日益突出。 本文从分析电子政府信息安全的重要性和电子政府的安全威胁入手，剖析 了我国电子政府出现的信息安全方面的阿题及原因，最后从四个方面提出保障 电子政府信息安全的策略。围绕着信息安全，将技术、管理、法律、人的意识 协调起来共同发展，构筑一个相对安全的电子政府安全体系。 全文共分三个部分。 第一部分简述了电子政府的定义和内容，介绍了信息安全的概念和特点， 电子政府信息安全的重要性及面临的安全威胁。电子政府是运用信息技术建立 起来的、旨在为公众提供实体性政府服务的虚拟政府。电子政府系统中存放着 大量的信息资源，而且大部分都关系着国家和公民的保密数据，信息安全就尤 显重要。电子政府面临的威胁来自系统内部和系统外部，而最主要的威胁是来 自系统外部的人为威胁。 第二部分着重分析了我国电子政府的信息安全风险，主要来自四个方面： 技术、管理、法律、人的意识。几乎没有具备自主知识产权的核心技术，网络 安全技术也比较落后，再加上网络技术本身的缺陷和计算机系统本身的脆弱性 是导致我国电子政府信息安全技术水平低的重要原因。安全管理体制风险主要 体现在安全责任制度不明确、管理职能分散、管理政策不到位、信息安全管理 标准不完善以及缺乏安全风险评估机制等。信息安全法律法规问题主要体现在 立法层次不高、体系不完善、法规之间不统一、执行力不强等方面。人的安全 意识问题主要从国家和个人两个层次来分析，如果国家对信息安全的认识不足， 那么这个国家将付出惨痛的代价；民众的信息安全意识淡漠，也会使某些居心 叵测的犯罪分子有机可乘。 第三部分分别针对第二部分四个方面的风险分析提出了一些应对策略。首 先国家要加强信息安全法律法规建设，尽快制定专门的电子政府信息安全法， 以完善我国的网络信息安全法律体系。其次保障电子政府安全的技术机制方面 主要分三个部分阐述：计算机系统硬件安全、信息安全技术、技术安全框架。 接着，又介绍了信息安全管理体系的完善需要从安全政策、安全标准、安全评 估和安全审计等四个环节来加以规范并进而实现有效的管理。所谓“三分技术、 七分管理”，在技术完善的基础上，电子政府的安全与否，信息安全管理体系起 着决定性的作用。最后提出了如何增强政府工作人员及企业和群众的信息安全 意识，主要是通过培训和宣传的方式来加强信息安全部门与其他部门和个人的 沟通。 关键字：电子政府，信息安全，问题，策略 a b s t r a c t b u i l d i n gt h ee g o v e r n m e n ti st h en e c e s s a r yc h a n c et oa l ls t a t eg o v e r n m e n ti nt h e i n f o r m a t i o n a le r a , h o w e v e r , t h es e c u r i t yo fe g o v e r n m e n ti n f o r m a t i o ni se s s e n t i a l a n db a s i cf o rb u i l d i n gt h ee - g o v e r n m e n t a tp r e s e n tt h es a f ep r o b l e mh a sa l r e a d y b e c o m et h eo n eo f b o t t l e n e c k ”蠲t h ep a c et h a t0 1 1 1 e n u n t r yb u i l d st h e e - g o v e r n m e n ts p e e du pa n dt h er a n g eu n c e a s i n g l ye n l a r g e d i ti st h em o r ei m p o r t a n t a n du r g e n tt oe n s u r et h ei n f o r m a t i o n a ls e c u r i t yo f e g o v e r n m e n t t l l i st h e s i ss e t so u tf r o mt h ei m p o r t a n c eo fe - g o v e r n m e n t i n f o r m a t i o ns e c u r i t y a n dt h et h r e a t e n i n gf a c t o ro f t h ei n f o r m a t i o ns e c u r i t yo f e g o v e r n m e n t ，a n da n a l y z e s d e e p l yt h ep r o b l e ma n dc a u s e s ，a tl a s tp r o p o s i n gt h et a c t i c so fp r o t e c t i n gs e c u r i t yo f e g o v e r n m e n tf r o mf o u ra s p e c t s n l ef u l lp a p e ri sd i v i d e di n t ot h r e ep a r t s n ef i r s tp a r to f t h ea r t i c l ei n t r o d u c e st h ed e f i n i t i o na n dc o n t e n to f e g o v e r n m e n t t h ec o n c e p ta n dc h a r a c t e ro fi n f o r m a t i o ns e c u r i t y , t h ei m p o r t a n c eo fi n f o r m a t i o n s e c u r i t ya n dt h et h r e a t e no fi n f o r m a t i o ns e c u r i t yt oe g o v e r n m e n t e g o v e r n m e n ti s ak i n do fv i r t u eg o v e r n m e n tt h a tu s i n gi n f o r m a t i o nt e c h n o l o g yt ob u i l du pa n da i m t op r o v i d et h er e a lg o v e r n m e n ts e r v i c e sf o rp u b l i c t h e r ea r eag r e a tm a n y i n f o r m a t i o nr e s o u r c e s ，a n dm o s to ft h e ma r es e c r e td a t ar e l a t e dt os t a t eo rc i t i z e n s ， s ot h a ti n f o r m a t i o ns e c u r i t yi sp a r t i c u l a r l yi m p o r t a n t t h r e a t e nf a c t o ri sa l lf r o m i n t e r n a la n de x t e r n a lo ft h ee - g o v e r n m e n ts y s t e m ，h o w e v e r , t h em o s ti m p o r t a n to f t h e mi sf r o mh u m a nb e i n g sr e f e r st oe x t e r n a ls y s t e m n l cs e c o n dp a r to ft h ea r t i c l ea n a l y z e st h er i s ko fi n f o r m a t i o ns e c u r i t yo f e g o v e r n m e n t t h er i s ka r em a i n l yf r o mt h ef o u ra s p e c t s t e c h n o l o g y , m a n a g e m e n l l a w , a w a r e n e s so f h u m a nb e i n g s t h ei m p o r t a n tr e a s o n s t h a tl e a d i n gt ot h el o wl e v e l o fi n f o r m a t i o ns e c u r i t yo fc h i n e s ee - g o v e r n m e n ti sv e r yl o wt h a tn e a r l yn o i n d e p e n d e n ti n t e l l e c t u a lp r o p e r t yr i g h t so fc o r et e c h n o l o g y ，b a c k w a r di n t e r n e t i n f o r m a t i o ns e c u r i t y , d e f e c t so f n e tt e c h n o l o g ya n dv u l n e r a b i l i t yo f c o m p u t e rs y s t e m 1 1 比r i s ko fs e c u r i t ym a n a g e m e n ts y s t e mm o s tr e f l e c t e di nu n c l e a rr e s p o n s i b i l i t yo f m s e c u r i t ys y s t e m , d e c e n t r a l i z e dm a n a g e m e n tf u n c t i o n s ，i m p e r f e c tm a n a g e m e n t p o l i c i e s ，i m p e r f e c ti n f o r m a t i o ns e c u r i t ym a n a g e m e n ts t a n d a r d sa n dl a c ko fs e c u r i t y r i s ka s s e s s m e n tm e c h a n i s m t h ei s s u eo fi n f o r m a t i o ns e c u r i t yl a w sa n dr e g u l a t i o n s a r em a i n l ye m b o d i e di nt h el o wl e g i s l a t i v el e v e l ，i m p e r f e c tl a ws y s t e m , n o tu n i f o r m r e g u l m i o n s ，n o ts t r o n ge x e c u t i v ep o w e r , a n d s oo i lt h em a i n s a f e t ya w a r e n e s si s s u e s a r ea n a l y z e df r o mt h en a t i o n a la n di n d i v i d u a ll e v e l s i f t h es t a t ei sl a c ko f a w a r e n e s s o fi n f o r m a t i o ns e c u r i t y , t h i sc o u n t r yw i l lh a v et op a yap a i n f u lp r i c e ；t h ep u b l i ci s l a c ko fa w a r e n e s so fi n f o r m a t i o ns e c u r i t y , i tw i ua l s oc a l k s es o m eo ft h ec r i m i n a l s t a k ea d v a n t a g eo f t h ew e e k n e s s t h et h i r dp a r to ft h ea r t i c l ep r o p o s e sm a n ys t r a t e g yt h a ta i mt os o l v et h er i s k s a n a l y z e di nt h es e c o n dp a r t f i r s t l y , i no r d e rt oi m p r o v eo n tl a ws y s t e mo fi n t e m e t s e c u r i t y , t h eg o v e r n m e n tn e e d st oe n h a n c et h el a ws y s t e mo fi n f o r m a t i o ns e c u r i t y , a n dm a k eu pi n f o r m a t i o ns e c u r i t yl a wo fe - g o v e r n m e n ta ss o o na s p o s s i b l e s e c o n d l y , t h et e c h n o l o g yf o rp r o t e c t i n ge g o v e r n m e n ts e c u r i t yc o n c l u d e st h r e ep a r t s ： h a r d w a r es e c u r i t yo fc o m p u t e rs y s t e m , t e c h n o l o g yo fi n f o r m a t i o ns e c u r i t y , s t r u c t u r e o ft e c h n o l o g ys e c u r i t y t h em a n a g e m e n t s y s t e mo fi n f o r m a t i o ns e c u r i t yn e e d st ob e i m p r o v e di nf o u rs e c t i o n s ，s e c u r i t yp o l i c y , s e c u r i t ys t a n d a r d ，s e c u r i t ya s s e s s m e n ta n d s e c u r i t ya u d i t 1 t ss a i dt h a t 廿1 i r 哆p e r c e n td e t e r m i n e dt ot e c h n o l o g ya n ds e v e n t y p e r c e n td e t e r m i n e dm a n a g e m e n t i nt h eb a s i co fi m p r o v e dt e c h n o l o g y , w h e t h e rt h e e - g o v e r n m e n ti ss a f eo rn o t , t h em a n a g e m e n ts y s t e mo fi n f o r m a t i o ns e c u r i t y # a ya d e c i s i v er o l e a tl a s t ，t h i sa r t i c l ep r o p o s e sh o wt oe n h a n c et h ei n f o r m a t i o ns e c u r i t y a w a r e n e s so fw o r k e r si ng o v e r n m e n t , e n t r e p r e n e u r , p u b l i c ，i tc a nb es o l v e db y t r a i n i n ga n dp u b l i c i t y , i n c r e a s e t h ec o m m u n i c a t i o na m o n gt h ei n f o r m a t i o n d e p a r t m e n t , o t h e rd e p a r t m e n t sa n dp e r s o n a l i t y k e yw o r d s ：e - g o v e r n m e n t , i n f o r m a t i o ns e c u r i t y , p r o b l e m , s t r a t e g y 东北财经大学研究生学位论文原创性声明 本人郑重声明：此处所提交的博士硕士学位论文 东北财经大学攻读博士硕士学位期间独立进行研究所取得的成 果。据本人所知，论文中除已注明部分外不包含他人已发表或撰 写过的研究成果，对本文的研究工作做出重要贡献的个人和集体 均已注明。本声明的法律结果将完全由本人承担。 作者签名：纵蒂k日期：孵f d 月罗。日 东北财经大学研究生学位论文使用授权书 船政府鞠髓每是珂艇蛑碗；例系本人在东北财经 大学攻读博士硕士学位期间在导师指导下完成的博士硕士学位 论文。本论文的研究成果归东北财经大学所有，本论文的研究内 容不得以其他单位的名义发表。本人完全了解东北财经大学关于 保存、使用学位论文的规定，同意学校保留并向有关部门送交论 文的复印件和电子版本，允许论文被查阅和借阅。本人授权东北 财经大学，可以采用影印、缩印或其他复制手段保存论文，可以 公布论文的全部或部分内容。 作者签名：萄l 藤 日期：2 0 0 7 年扣月和日 导师签名： 函苏沙一一，日期：幼。7 年f 。月弓0 日 电子政府的构建是信息社会政府改革的必然选择。在2 0 世纪9 0 年代发达国 家倡导的“信息高速公路”五个应用领域中，电子政府位居第一。由于发达国 家的信息基础环境较好，电子政府的发展步伐也相对较快。 我国各级政府也在朝着实现电子政府的目标跨步前行，在学习和借鉴国外 成功案例的同对，也在寻找适合自己的发展道路。由于我国的信息化建设基础 薄弱，起步较晚，电子政府建设的各种问题都会渐渐凸显出来，首先就是安全 问题。电子政府的信息安全问题是建设的重中之重，电子政府的安全不仅保障 了政府的利益，更是保障了企业和群众的利益，因此，保障电子政府的信息安 全是维护社会各阶层利益的前提，也是政府各部门正常运行的前提。 如何保障电子政府的信息安全，已经成为全世界都在积极研究的课题之一。 主要从两个方面双重推进：一个是与计算机网络有关的技术体系，一个是与政 务有关的管理体系。其次，从大环境来说，国家的法律法规体系和公民的安全 意识也是影响电子政府构建的重要因素。本文将针对电子政府建设和运行中的 信息安全问题与对策进行研究，希望能有利于推进中国电子政府的信息安全建 设与安全运行。 电子政府的信息安全问题与策略研究 第一章电子政府与信息安全 一、电子政府概述 ( 一) 电子政府的概念和内容 电子政府( e g o v e r n m e n t ) 是世界各国推进政府部门办公自动化、网络化、 电子化的结果，其最重要的内涵就是运用信息及通信技术打破行政机关的组织 界限，使人们可以从不同的渠道取得政府信息并享受其服务，而不再像过去那 样，必须经过层层关卡式的书面审核作业方式。电子政府概念的发展，是伴随 着信息技术进步和政府职能改革的双重轨迹。 目前，国内外各界人士站在不同的角度对电子政府的定义有着各自不同的 理解。但随着电子政府建设的深入，人们对电子政府的认识逐渐清晰。电子政 府，从未来的国际性发展形势来看，是指实体政府借助信息技术构建的，旨在 为其提供实质性政府服务的“虚拟政府”，使现有的政府机构在开展电子政务 的过程中，对现有的政府组织结构和工作流程进行流程优化重组之后所重新构 造成的新的政府管理形态。 电子政府最重要的内涵及定位是构建一个“虚拟政府”，即跨时间、地点、 部门的全天候的政府服务体系，从而实现政府的网络信息化、政务公开以及电 子政务。电子政府不是传统政府管理方式的电子化，而是信息时代下政府模式 的重塑，是信息技术进步带来的政府管理方式的深刻变革。 电子政府主要包括两个方面，一个是政府机构内部运作的数字化和网络化， 另一是政府机构与外部( 公众、企业、其他政府机构) 的互动。具体体现为以 下四个方面。 1 政府业务电子化 业务电子化是电子政府应用的切入点，也是最基本的应用。在政府办公业 务网络化的基础上，改善政府机构内部的行政管理，推动政府与政府( g i g ) 之间办公系统的电子化，自动处理政府各种业务。同时，促进办公自动化部门 之间的信息共享以及资源整合，改善对信息系统的应用，为政府行为提供更好 2 第一章电子政府与信息安全 的信息服务。此外，还要运用互联网和信息技术重组政府部门，更好地建设电 子商务、公文电子化、电子资料库、数据电子化、电子采购招标、电子支付、 社会保障电子系统服务、电子邮递、电子税务、电子身份认证，从而方便、快 捷、高效地处理各种政府业务，提高行政效率。o 2 电子公共服务 电子政府是以公众需求为导向，2 4 - j , 时随时为公众服务的政府。通过建成 一站式在线服务，改善了提供服务的质量和效率，公民可以得到高质量的政府 服务。政府建设的骨干网络就是电子政府的主要信息渠道，应扩大政府网络宽 带，整合网络和信息资源。电子政府的“整合性入口网站”，即门户网站，就 是公众与政府之间互动的桥梁，是政府服务民众的网络窗口。公众能通过互联 网直接与政府联系，立即从网络上获取所需的信息和政府的服务。不仅如此， 人们还可以很清楚地看到政府的工作和活动，深刻地认识到政府的职能由管理 型向服务型发展，政府工作的透明度也是显而易见的。与此同时，政府及其工 作人员也能从网络上获取信息，包括机构内部的工作流程信息和从机构外部获 取的反馈信息，以便更好的改善服务质量，提高公共服务水平。 3 电子经济服务 网络技术发展带来的信息资源共享为政府的职能转变提供了条件，政府可 以将社会性、公益性、自我服务性的管理从政府职能中剥离出去，交给社会中 介组织和事业性单位承担，政府集中精力致力于市场培育，实现公共权力的本 质。市场经济的快速发展，要求政府为商界提供及时的宏观调控和服务。政府 应通过大量削减数据收集的冗余度减轻商界的负担，对商界提供顺畅的一站式 支持服务，不仅要尽早地介入电子商务，参与实践，而且还要主动营造安全、 有序、合理的电子商务环境，以信息化带动经济发展，实现电子政府的经济延 伸职能。 4 民主电子化 随着经济的发展、生活水平的提高、互联网的普及、公民参与成本减小和 越来越多的个体化需求，大量的政治参与将成为必然。所谓民主电子化就是指 民主过程及方式的电子化，即通过信息技术实现价值观念、政治立场、个人意 见等的在线交流、反映和集中。主要形式有在线竞选、在线选举、在线民意调 查、候选人与选民在线交流、在线立法、在线政治意愿表述、在线政务公开以 3 电子政府的信息安全问题与策略研究 及在线公众参与等。可以说，电子民主是由代议制民主向直接参与民主发展的 新动向。公众可以在“整合性入口网站”直接参与并监督公共决策，不仅保证 了政府的勤政和信任度，而且也能反映电子政府的公众需求导向，这对电子政 府的良性实施是非常重要的。 ( 二) 电子政府的发展趋势 目前，国际上电子政府建设较好的国家是加拿大、新加坡和美国。纵观这 些国家都是社会信息化水平较高的发达国家。他们的信息基础设施完善，信息 技术普及程度更高，实施电子政府的时间也较长，而且电子政府的治理方式多 种多样。 从各国电子政府的开展现状看，目前电子政府的建设主要是集中在政府的 办公自动化信息和一些网上服务。如在线教育、在线健康咨询、电子申办、电 子报税、电子采购、电子支付、电子数据库及在线出版、公共信息站等的应用。 近年来，世界各国以调整政策法规和促进政府服务电子化为突破口，加快电子 政府的建设步伐。把“电子服务供给( e s d ) ”作为电子政府的核心，纷纷制定 本国的e s d 目标，有些国家( 如英国等) 还对服务电子化过程做定期的监测和 评估。o 当前“电子政府”在世界范围内的发展主要集中在两个方面。 第一，以互联网为基础设施，积极拓展“电子政务”范围。这主要是因为 近年来互联网的迅速普及和发展，使人们看到了互联网的巨大潜力，及其在帮 助政府实现与企业和居民的互动方面所具有的不可替代的优越性。互联网本身 所具有的开放性、全球性、低成本、高效率的特点成为电子政务的内在特征， 并使得电子政务大大超过了作为一种政务平台所具有的价值，它不仅会改变政 府本身的业务活动过程，促进政府业务流程的重组，而且对整个社会及其相关 的运行模式都会产生积极的影响。因此，以互联网为基础的“电子政务”受到 了世界各国普遍的重视，成为继“电子商务”之后信息化发展最为重要的一个 领域。 第二，就“电子政府”的内涵而言，更强调政府服务功能的发挥和完善， 包括政府对企业和对居民的服务以及政府各部门之间的相互服务。几乎所有国 4 第一章电子政府与信息安全 家在“电子政府”的发展战略中都明确要求：“向公众提供另一种高效便捷的 服务”，促进政府与公众之问的互动。所有政府公共服务的项目都可以分为三 类：信息性的、互动性的及事务处理性的。之所以会出现这样一个特点，一方 面是因为许多发达国家基本上完成了政府内部业务过程的计算机化；另一方面， 也是因为互联网为重新构建政府和构建政府、企业、居民三者之间的互动关系 提供了一个全新的前景。 二、信息安全的概念和特点 ( 一) 信息安全的概念 广义上讲，信息安全是指在一定范围内的社会环境下，由信息和网络技术 与国家安全因素的相关性所构成的国家安全的一种态势，这种态势描述了国家 免受国外信息威胁的能力和以信息手段维护国家综合安全的能力。 狭义的信息安全是指信息不受威胁或危害、信息系统的安全、信息数据的 安全、信息内容的安全。 国家标准化组织( i s o ) 对信息安全的定义为：为数据处理系统建立和采 取的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的 原因而遭到破坏、更改和泄露。 目前，世界各国都在致力于计算机网络信息安全的研究工作，概括来说， 认为信息安全的目标是要达到信息的完整性、可用性、保密性和可靠性。这四 个方面既相互区别、各有侧重，又相互联系、彼此制约，它们是辩证统一、互 益互损的关系。 现代的信息安全主要包含两层含义。第一层是运行安全，包括：严格而科 学的管理，如对信息网络系统的组织管理、监督检查，规章制度的建立、落实 与完善，管理人员的责任心、预见性、警惕性、使命感等；法律、政策的保护； 物理控制安全，如机房加锁、线路安全、环境适宜等；硬件运行安全；操作系 统安全：灾害的避免和解除等。第二层是信息的安全，包括：用户口令鉴别； 用户存取权限控制；数据存取权限、方式控制；审计跟踪；数据加密等。从要 素来看，信息安全是政策、标准、管理、指导、监控、法规、培训和工具技术 的有机总和。 电子政府的信息安全问题与策略研究 ( 二) 信息安全的特点 信息安全有着有别与其他工作的特别之处。 1 信息安全涉及面非常广 电子政府的系统庞大而复杂，无论从社会领域、技术层面、信息资源，还 是从地理分布、使用人员等方面来看，其涉及面都很广，管理和控制非常困难。 在运行期间，网上信息在处理、传输和存储过程中还有诸多安全问题，所需要 的保护措施比一般信息管理系统和数据库应用系统所涉及的技术层面更深、更 广。 2 信息安全是一个系统的概念 信息安全不仅是技术问题，更重要的还要有相关的法律法规和安全管理。 此外还与社会道德、行业管理以及人们的行为模式都有紧密的联系。因此，信 息安全是涉及社会方方面面的系统工程。 3 信息安全是发展的、动态的 因为网络攻防是此消彼长的事情，尤其是安全技术，它的敏感性、竞争性 和对抗性都是很强的，这就需要不断地检查、评估和调整相应的安全策略。计 算机网络没有一劳永逸的安全，也没有一蹴而就的安全。 4 信息安全是相对的 信息安全一定是相对的，而不是绝对的，在信息安全这个技术对抗的领域 里，到处都存在着失败的可能性。 三、电子政府信息安全的重要性 政府在国家和社会生活中有着不可替代的地位和作用，应用现代信息技术 来提高政府的运行效率和服务质量、建设电子化政府是信息时代政府建设和发 展的必然选择。电子政府是信息化社会政府治理的核心模式，它要求政府运用 现代化的计算机和网络技术，将其管理和服务职能转移到网络上去完成，充分 利用政务信息与政府业务的共享与集成，同时实现政府组织结构和工作流程的 重组和优化，从而极大地提高政府运行效率和服务质量，对提高整个国家的综 合国力和国际竞争力具有十分重要的意义。 电子政府是一个在一定程度上可替代政府各方面职能的非常复杂的系统， 6 第一罩电子政府与信息安全 是国家实行电子政务的一个根本目标，涉及对国家秘密信息和高敏感度核心政 务的保护，涉及维护公共秩序和行政监管的准确实施，涉及到为社会提供公共 服务的质量保证。作为政府的另一个非常重要的对外交流渠道，必然会遇到各 种敌对势力、恐怖集团、捣乱分子的破坏和攻击。因此，电子政府的建设要求 比其它系统具有更高的可靠性和安全性。保障国家机器的正常运转，保障中央 和各级领导机关职能的正常履行，确保信息的保密性是最基本的要求，也是电 子政府网络平台建设和应用的关键。 一个不安全的系统是没有意义的系统，也是不敢用的系统。如果网络不能 确保信息安全，其结果只能是两种：一种是谁也不敢把敏感信息、涉密信息上 网，那么网络就没有实际意义；一种是管理不严，涉密信息上了网，会给国家 的安全和利益造成损失。因此，在电子政府的规划建设中，必须统一规划，同 步建设系统的信息安全保密设施。 四、电子政府面临的安全威胁 对政府信息安全构成威胁的因素分别来自于政府体系的内部和外部。无论 是传统政府还是电子政府都面临着来自这两方面的威胁。内部威胁主要是来自 体系内部的人为因素，外部威胁主要是来自体系外部的物理环境因素和人为因 素。传统政府内部的安全工作主要是保密工作，泄密事件的发生主要是由于内 部工作人员有意或无意的泄漏。传统政府外部的物理威胁主要是自然灾害( 地 震、火灾、洪水等) 。外部的人为威胁主要来自于外部人员的窃密，窃密事件 的发生往往是因为政府内部管理的漏洞或者是内外部人员的相互勾结。 电子政府需要解决的安全问题不仅包括传统政府所面对的全部安全问题， 而且基于其自身的特点，还要面对新的情况和问题。 ( 一) 内部威胁 来自内部的安全威胁，主要是人为因素。电子政府的内部安全工作除了要 防止泄密事件发生外，还要防止工作人员从内部对计算机网络系统迸行攻击、 泄漏信息系统的安全设置等。为了保障电子政府信息系统的内部安全，一方面， 要针对电子政府的特点加强对其内部人员管理和完善安全规章制度；另一方面， 7 电子政府的信息安全问题与策略研究 要强化安全技术审计、安全检测和评估等技术性监管手段和措施。 ( 二) 外部威胁 来自外部安全的威胁，可以分为物理环境因素和人为因素两个方面。威胁 电子政府安全的物理环境主要包括：自然灾害、物理损坏( 硬盘损坏、设备使 用寿命到期、外力破坏等) 、设备故障( 如停电断电、电磁干扰等) 等。物理环 境对任何政府的安全都会产生影响，所以任何政府都应考虑相应的安全防范措 施，对于电子政府来说中心机房的安全防范措施更应该重点注意。如物理损坏、 设备故障等都是需要通过技术和管理共同努力才能解决的问题。威胁电子政府 安全的人为因素根据其行为特征又可以分为主动攻击和被动攻击。主动攻击包 括破坏基础设施、电磁干扰、蓄意备份未授权信息、删除或修改政府网站上的 信息、在网上扩散病毒等行为。被动攻击包括对政府网站上的信息进行监听、 截获、窃取、破译、业务流量分析、电磁信息提取等。 从威胁政府安全的外部 人员构成来看，在电子政府中除了恐怖分子和间谍之外，还包括带有不同目的 的黑客和信息战士。可见威胁电子政府安全的人为因素比以往更复杂，技术性 更突出。 传统政府安全防范的重点是来自系统内部的人为威胁，而电子政府安全防 范的难点是来自系统外部的人为因素。 本章注释 。孙汇慧，电子政府政府“服务”模式的新取向，重庆邮电学院学报( 社会科学版) ，2 0 0 3 年0 2 期 9 孙国锋、苏竣，国外“电子政府”发展及对中国的启示，科学学与科学技术管理，2 0 0 1 年1 2 期 。焦宝文，政府c i o 战略管理与技术实施，清华大学出版社，2 0 0 4 年5 月版，第1 4 7 页 由卢新德，论信息战和信息安全战略，东岳论丛，2 0 0 2 年0 2 期 8 第二章我国电子政府的信息安全风险分析 第二章我国电子政府的信息安全风险分析 政府信息不仅是国家财产，而且是需要精心管理的重要资产，信息安全在 一定程度上是电子政府的生命所在。电子政府的支撑数据库中储存着大量的个 人信息，有的涉及公民个人隐私。如果这些信息被非法窃取或泄露，不仅侵犯 了公民的权利，而且有可能造成严重后果。正如罪犯可以从网上银行窃取现金 一样，罪犯也可以从网上窃取政府权力。网上政府只认数据不认人，如果安全 失去保障，罪犯获得相应的政府权力，后果不堪设想。因此，信息安全是信息 服务能否健康发展的先决条件。目前我国电子政府的信息安全问题主要体现在 四个方面：信息安全技术、信息安全管理、信息安全法律法规、信息安全意识。 一、安全保障技术风险分析 我国电子政府的信息安全技术水平较低主要有以下四个原因。 ( 一) 尚未掌握核心技术 技术是电子政府建设的基础。是否掌握核心技术，是一国电子政府是否安 全的关键。而在这方面，我们面临的形势十分严峻，政府信息网络中的核心操 作系统和一些软件关键技术并没有被我们自己所掌握。被广泛应用的操作系统 w i n d o w s 虽然具有使用简单、配置简单等优点，但它的安全漏洞很多。虽然微 软公司为此出版了许多的安全补丁，但仍然不断有新安全漏洞被发现。一旦发 生安全事件可使我国政府中关键软件系统瘫痪，造成灾难性的经济、社会和军 事后果。没有掌握设备和芯片的核心技术对我国政府的信息安全将是一个很大 的威胁。 ( 二) 网络安全技术落后 从总体上来讲，在网络安全技术方面，我国与技术发达国家差距很大，具 体表现在：( 1 ) 我国的信息安全研究经历了通信保密、计算机数据保护两个发 展阶段，目前才进入网络信息安全的研究阶段；( 2 ) 国内一些部门在学习借鉴 9 电子政府的信息安全问题与策略研究 国外技术的基础上，也开发研制了一些防火墙、安全路由器、安全网关、黑客 入侵检测、系统脆弱性扫描软件等，但是这些产品安全技术的完善性、规范化、 实用性还存在很多不足，特别是在多平台的兼容性、多协议的适应性、多接口 的满足性方面存在很大差距；( 3 ) 在系统安全工作和安全协议的研究方面差距 更大：( 4 ) 研究与建立创新性安全理论和系列算法，对我国而言仍是一项艰巨 的任务。 ( 三) 网络技术本身存在缺陷 网络技术本身的缺陷主要表现在：( 1 ) 电磁泄漏。由于计算机硬件是由各 种电子线路、电子器件设备构成的，凡是电子设备都具有电磁辐射，电磁辐射 会带来两方面的缺点，一方面电磁泄露会让窃听者在一定距离内使用先进的接 收设备，可以盗取到正在传送的信息和数据；另一方面电磁辐射可以破坏另外 一些设备中的通信数据。( 2 ) 通信与网络的弱点。通信线路一般是电话线、专 线、微波、光缆或无线系统，这些线路易遭受物理破坏，易被搭线窃听，无线 通信易遭截获、监听等等。网络规模越大，通信线路越长，这种弱点也随之增 加。( 3 ) 软件本身缺乏安全性。操作系统的设计一般着重于提高信息处理的能 力和效率，对于安全只是作为一项附带的条件加以考虑。因此，操作系统中的 安全缺陷相当多，使入侵者有不少空子可钻。( 4 ) 安全技术标准不统一。目前， 世界上还缺乏统一的操作系统、计算机网络系统和数据库管理系统，缺乏统一 的信息安全标准、密码算法和协议。在安全性与网络性能和效率之间难以两全。 而且，从根本上说，信息加密等安全技术跟不上信息应用技术的发展，信息系 统的绝对安全是不可能的。 ( 四) 计算机系统本身的脆弱性 计算机系统本身无法抵御自然灾害的破坏，也难以避免偶然无意造成的危 害。如水、火、地震的破坏及环境( 温度、振动、冲击、污染) 的影响以及硬 件设备故障，突然断电或电源波动大及各种误操作等危害。这些危害有的会损 害系统设备，有的则会丢失或破坏数据，甚至毁掉整个系统和数据。 i o 第二章我国电子政府的信息安全风险分析 二、安全管理体制风险 总体上说，我国网络安全管理与保卫工作是滞后的。不少单位还停滞在传 统上的“看家护院”式的工作模式上，没有从管理制度、人员和技术上建立相 应的电子化安全防范机制，缺乏行之有效的安全检查保护措施。管理上的漏洞， 使网络罪犯有机可乘。许多网络犯罪行为尤其是非法操作都是利用联网的电脑 管理制度上的漏洞而得逞的。比如，微机或工作站管理人员在开机状态下擅离 岗位，敏感信息临时存放在本地的磁盘上，而这些信息处于未保护状态，这种 管理上的不严格极易给他人提供冒充的机会。另外，网络管理者利用管理用户 地址目录之便，很容易就以某一用户的身份登录、查看和复制用户的信息，甚 至以用户的名义发送报文。根据公安部门的报告，作案人员往往是利用管理上 的漏洞，而且内部人员居多。 ( 一) 安全责任制度不明确 国家信息化领导小组关于加强信息安全保障工作的意见( 中发办 2 0 0 3 1 2 7 号) 中明确指出，要建立和落实信息安全管理责任制，各重要信息系 统的安全建设和管理，按照谁主管谁负责、谁运营谁负责的原则，由各主管部 门和运营单位负责。中国目前还未形成有效的安全管理责任制，如何落实这一 原则是当务之急。信息安全策略是电子政府实施安全工作的出发点，是电子政 府安全的基础，规定电子政府系统中各种信息资产( 如设备、软件、数据等) 所允许的操作行为和不允许的操作行为。 ( 二) 安全管理职能分散 电子政府的网络安全是整体的、动态的，其中管理占有相当大的比重，任 何完善的安全技术如果没有完善的管理制度保障，都无法达到安全要求。我国 国家层面上的信息安全管理格局已经形成，如国家安全部、国家保密局、信息 产业部等分别执行各自的安全职能，维护国家信息安全。但也存在着多头管理， 职能不清的问题。 电子政府的信息安全问题与策略研究 ( 三) 安全管理政策不到位 在电子政府的建设中，同时建立一整套通报协调和应急响应机制就成为应 对紧急情况和保障电子政府信息安全的最为有效和直接的手段。目前，我国已 经成立了信息产业部互联网应急处理协调办公室和国家计算机网络应急技术处 理协调中心。但是，相应的通报协调和应急响应机制并没有建立起来或并不完 善。 ( 四) 安全标准体系不完善 近年来，我国信息安全保障体系建设，以信息安全技术、机制、服务、管 理和评估为重点，共发布信息安全国家标准5 4 项。 与需求相比，这还远远不够。 现在我国使用的大部分标准还停留在翻译国际标准的阶段。 国家标准委员会于2 0 0 7 年2 月1 日开始实施了公钥基础设施三项信息安全国 家标准，i i p g b t 2 0 5 1 8 - 2 0 0 6 信息安全技术公钥基础设施数字证书格式、 g b t 2 0 5 1 9 2 0 0 6 信息安全技术公钥基础设施特定权限管理中心技术规范 和g b t 2 0 5 2 0 2 0 0 6 信息安全技术公钥基础设施时间戳规范。三者分别对 网络通行证数字证书、网络权限管理以及加密时间的格式、内容进行了明 确规定，对互联网个人邮件、网上购物和网上支付等实施加密，提供了统一的 标准化安全保障手段，目前仍有3 4 项信息安全国家标准正在制定之中。但是还 没有专门制定针对电子政府的安全标准体系。 而且，尽管我国已经开始研究制订了自己的信息安全标准，但在实施的过 程中，仍有很多问题：有些标准的制定与标准的使用严重脱节，出现了有了标 准没人用，订了标准不好用的情况；使用单位对执行标准的重要性认识不足， 有的单位信息系统已初具规模，或有了自己的标准，就不愿意遵照国家标准进 行相应改造。 ( 五) 缺乏安全风险评估机制 保障信息安全的目的是确保信息资产免受威胁，但是绝对的安全是不可能 的，只能通过一定的控制措施将信息资产免受威胁的可能性、遭受损失的程度 降到一个可以接受的限度，即将组织机构信息安全风险降低至可以接受的范围 1 2 第二章我国电子政府的信息安全风险分析 内。 风险评估是对信息及信息处理设施的威胁、影响、脆弱性及三者发生的可 能性的评估。 它是确认安全风险及其大小的过程，即利用适当的风险评估工具， 包括定性和定量的方法，确定信息资产的风险等级和优先风险控制顺序。风险 评估是信息安全管理体系的基础，是对现有网络的安全性进行分析的第一手资 料，也是网络安全领域内最重要的内容之一，它为降低网络风险、实施风险管 理及风险控制提供了直接依据。在进行网络安全设备选型、网络安全需求分析、 网络改造、应用系统试运行、内网与外网互联、与第三方业务伙伴进行网上数 据传输等业务之前，都应该进行风险评估。 三、信息安全法律法规问题 信息时代的法律需要解决的一个主要问题是，在虚拟空间内个人权力和他 人、集体、公共权力之间的关系，尤其是作为国家公共权力代表的政府上网后 这类问题显得更加突出，在我国目前的法理学界对此类问题的讨论还远远不够。 改革开放以来，特别是1 9 9 0 年以来，我国已颁布相当数量的信息安全方面 的法律规范。1 9 9 4 年2 月1 8 日