電子政務(wù)系統(tǒng)信息安全保障體系建設(shè)研究

黎丹

摘 要：我國的電子政務(wù)建設(shè)已覆蓋到金融、外貿(mào)、社會保障、稅務(wù)等多個領(lǐng)域，因電子政務(wù)系統(tǒng)的特殊性等因素，其穩(wěn)定性和數(shù)據(jù)安全都顯得至關(guān)重要。開展電子政務(wù)信息系統(tǒng)的安全保障工作就是保障電子政務(wù)的生命線。本文重點研究了如何建立電子政務(wù)信息系統(tǒng)的安全保障體系，并使其發(fā)揮應(yīng)用的作用。

關(guān)鍵詞：電子政務(wù)；信息安全；保障體系

說起電子政務(wù)，大家也許首先想到的就是各級政府門戶網(wǎng)站，認為電子政務(wù)就是通過政府門戶網(wǎng)站提供的便民公共查詢窗口查詢信息或是通過網(wǎng)上辦事通道辦理申請或?qū)徟鷺I(yè)務(wù)。這是狹隘的理解，門戶網(wǎng)站只是電子政務(wù)的一部分，并不是電子政務(wù)的全部。電子政務(wù)是“運用計算機、網(wǎng)絡(luò)和通信等現(xiàn)代信息技術(shù)手段，實現(xiàn)政務(wù)組織結(jié)構(gòu)和工作流程的優(yōu)化重組，超越時間、空間和部門分隔的限制，簡稱一個精簡、高效、廉潔、公平的政府運作模式，以便全方位地向社會提供優(yōu)質(zhì)、規(guī)范、透明、符合國際水準的管理與服務(wù)?！?/p>

簡單講，電子政務(wù)就是政府通過現(xiàn)代通信技術(shù)手段組建一個優(yōu)于傳統(tǒng)模式的政府運作模式，并向社會提供管理與服務(wù)。其實，電子政務(wù)離我們并不遙遠，它已經(jīng)深入到了我們的日常生活中。舉個例子，我國于1993年開始啟動“金卡工程”，它以計算機、通信等現(xiàn)代科技為基礎(chǔ)，以銀行卡等為介質(zhì)，通過計算機網(wǎng)絡(luò)系統(tǒng)，以電子信息轉(zhuǎn)帳形式實現(xiàn)貨幣流通。如今，我們使用帶有銀聯(lián)標志的金融卡可以在任意標有銀聯(lián)標志的商戶進行消費，我們可以通過銀行ATM機辦理同城或異地，同行或跨行轉(zhuǎn)賬匯款等業(yè)務(wù)，使用銀行卡進行消費、轉(zhuǎn)帳、結(jié)算正逐漸成為一種時尚，“金卡工程”實現(xiàn)了“一卡在手、走遍神州”，為企業(yè)和個人提供了方便、快捷、安全的支付和消費手段，與此同時，它使企業(yè)和個人的交易、轉(zhuǎn)帳、消費和稅收納入國家統(tǒng)計體系之內(nèi)，加強了國家的監(jiān)管。又如我國于2001年開始啟動的“金關(guān)工程”，它在實現(xiàn)海關(guān)內(nèi)部作業(yè)流電子化的同時，利用現(xiàn)代信息技術(shù)，依托國家電信公網(wǎng)，將進出口業(yè)務(wù)信息流、資金流、貨物流信息集中存放在一個公共數(shù)據(jù)中心，監(jiān)管部門可以進行跨部門、跨行業(yè)的聯(lián)網(wǎng)數(shù)據(jù)核查，企業(yè)可以上網(wǎng)辦理出口退稅、報關(guān)申報、轉(zhuǎn)關(guān)申報等多種進出口手續(xù)。

1 電子政務(wù)系統(tǒng)安全保障的重要性

電子政務(wù)已覆蓋到我國金融、進出口貿(mào)易、社會保障、稅務(wù)、公安、財政審計等多個領(lǐng)域，電子政務(wù)系統(tǒng)的穩(wěn)定和數(shù)據(jù)安全關(guān)系重大，我國對電子政務(wù)的信息安全工作非常重視，中央辦公廳于2003年下發(fā)了《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）、公安部于2004年9月發(fā)布了《關(guān)于信息安全等級保護工作的實施意見》（公通字[2004]66號）、國信辦于2005年9月發(fā)布了《電子政務(wù)信息安全等級保護實施指南（試行）》（國信辦[2005]25號），供各級黨政機關(guān)在新建電子政務(wù)系統(tǒng)和已建電子政務(wù)系統(tǒng)中開展信息安全等級保護工作參考。保證電子政務(wù)系統(tǒng)實現(xiàn)其功能和保證電子政務(wù)系統(tǒng)的數(shù)據(jù)安全是電子政務(wù)系統(tǒng)安全保障的兩項基本任務(wù)。

2 信息安全管理體系建設(shè)

電子政務(wù)的安全保障是依托對電子政務(wù)信息系統(tǒng)的安全保障實現(xiàn)的，信息安全管理應(yīng)該建立在一套完備的安全管理體系基礎(chǔ)之上的，由電子政務(wù)信息系統(tǒng)的建設(shè)維護單位自上而下的開展。

2.1 信息安全管理體系建設(shè)的內(nèi)容

安全管理體系應(yīng)該包括安全方針、信息安全組織、資產(chǎn)管理、人力資源安全、物理和環(huán)境安全、通信和操作管理、訪問控制、信息系統(tǒng)獲取開發(fā)和維護、信息安全事件管理、業(yè)務(wù)連續(xù)性管理和符合性等內(nèi)容。具體要求參見我國2008年發(fā)布的《信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》（GB/T 22080-2008）。

2.2 信息安全管理體系建設(shè)的意義

建立完善的信息安全管理體系，使得電子政務(wù)信息系統(tǒng)能夠有專門的組織或機構(gòu)負責(zé)其安全管理，有了明確的職責(zé)劃分和責(zé)任認定，有助于順利開展組織的信息安全管理工作。在信息系統(tǒng)全生命周期內(nèi)對構(gòu)成信息系統(tǒng)的各要素的安全管理進行規(guī)范化管理，形成制度體系，以便其落地實施，會使電子政務(wù)信息系統(tǒng)的安全管理更加科學(xué)化、規(guī)范化和標準化。

3 安全基礎(chǔ)設(shè)施建設(shè)

電子政務(wù)信息系統(tǒng)的建設(shè)和運行需要基礎(chǔ)設(shè)施的支撐，電子政務(wù)面向社會公眾或特定人群提供服務(wù)，首先要搭建與互聯(lián)網(wǎng)對接的網(wǎng)絡(luò)系統(tǒng)，再解決互聯(lián)網(wǎng)絡(luò)上的用戶身份鑒別問題，此外還要根據(jù)國家信息安全等級保護的有關(guān)要求，結(jié)合電子政務(wù)所在的行業(yè)以及提供服務(wù)的性質(zhì)，考慮系統(tǒng)和數(shù)據(jù)的容災(zāi)備份。

3.1 網(wǎng)絡(luò)建設(shè)與安全域劃分

電子政務(wù)往往需要建設(shè)專有網(wǎng)絡(luò)系統(tǒng)，以便將業(yè)務(wù)覆蓋到本行業(yè)的下一級乃至更下一級的業(yè)務(wù)部門，如“金保工程”將建立三級網(wǎng)絡(luò)納為其建設(shè)內(nèi)容，即搭建中央、省、市三級安全高效的網(wǎng)絡(luò)系統(tǒng)；“金關(guān)工程”中也包含主干網(wǎng)建設(shè)內(nèi)容。電子政務(wù)信息系統(tǒng)建設(shè)單位可以根據(jù)電子政務(wù)所處行業(yè)、服務(wù)和管理內(nèi)容等，制定網(wǎng)絡(luò)建設(shè)規(guī)劃，并根據(jù)電子政務(wù)信息系統(tǒng)的安全保護級別相對應(yīng)的要求劃分網(wǎng)絡(luò)安全域。

3.2 公鑰基礎(chǔ)設(shè)施（PKI）

公鑰基礎(chǔ)設(shè)施PKI利用數(shù)字證書標識密鑰持有人的身份，通過對密鑰的規(guī)范化管理，構(gòu)建和維護一個可信賴的系統(tǒng)環(huán)境，為應(yīng)用系統(tǒng)提供身份認證、數(shù)據(jù)保密性和完整性、抗抵賴等各種必要的安全保障。電子政務(wù)需要面向社會群眾或特定群體通過網(wǎng)絡(luò)提供服務(wù)，就需要解決網(wǎng)絡(luò)環(huán)境下的身份鑒別與抗抵賴性問題，即解決如何驗證用戶為合法用戶，以及如何防止用戶否認其行為的問題。公鑰基礎(chǔ)設(shè)施（PKI）就能夠很好的解決上述問題。稅務(wù)系統(tǒng)和電子口岸就采用了PKI技術(shù)，在電子政務(wù)信息系統(tǒng)中應(yīng)用PKI，在保證電子政務(wù)系統(tǒng)安全的前提下，解決了電子政務(wù)系統(tǒng)中的抗抵賴性問題。

3.3 系統(tǒng)與數(shù)據(jù)容災(zāi)備份

電子政務(wù)信息系統(tǒng)應(yīng)根據(jù)其信息安全保護等級和業(yè)務(wù)連續(xù)性要求選擇是否建設(shè)災(zāi)備系統(tǒng)，以防止因系統(tǒng)終止提供服務(wù)而對用戶的正常生產(chǎn)生活產(chǎn)生影響，甚至造成社會影響；電子政務(wù)信息系統(tǒng)應(yīng)根據(jù)其數(shù)據(jù)的重要程度制定數(shù)據(jù)備份策略，以防止因數(shù)據(jù)丟失而造成損失。

4 信息安全防護體系建設(shè)

電子政務(wù)信息系統(tǒng)依托現(xiàn)代技術(shù)建設(shè)，其安全防護體系應(yīng)圍繞著它的基礎(chǔ)設(shè)施、硬件設(shè)備（主機、存儲、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等）和人（建設(shè)人員、維護人員、使用人員等）構(gòu)建。

4.1 個體安全防護

硬件設(shè)備是構(gòu)成電子政務(wù)信息系統(tǒng)的最小單元，針對硬件本身進行的安全防護可看做是個體安全防護。個體安全防護的目標是提升個體的安全防護能力。針對不同類型的硬件設(shè)備，有不同的安全防護手段或技術(shù)。例如：應(yīng)針對不同操作系統(tǒng)和版本的主機設(shè)置安全加固配置基線，統(tǒng)一管理主機安全配置；部署Windows操作系統(tǒng)的服務(wù)器需要安裝防病毒軟件；及時更新系統(tǒng)補??；加強個體的賬號管理和訪問控制；部署第三方加固軟件等。

4.2 區(qū)域安全防護

電子政務(wù)信息系統(tǒng)的網(wǎng)絡(luò)依據(jù)其功能和互聯(lián)需求劃分為不同的安全區(qū)域，安全域是指同一環(huán)境內(nèi)有相同的安全保護需求、相互信任、并具有相同的安全訪問控制和邊界控制策略的網(wǎng)絡(luò)或系統(tǒng)。例如：有與互聯(lián)網(wǎng)聯(lián)通需求的網(wǎng)絡(luò)需要劃分專門區(qū)域用于接入互聯(lián)網(wǎng)。

區(qū)域安全防護包括邊界安全防護和區(qū)域安全管理兩部分。不同安全域之間以及內(nèi)部網(wǎng)與外部網(wǎng)之間形成的界限稱為邊界，邊界安全防護的目標是阻止未被允許的訪問，具體可通過防火墻、交換機、入侵防御、防病毒網(wǎng)關(guān)等實現(xiàn)；區(qū)域安全管理的目標是掌握區(qū)域內(nèi)的安全狀態(tài)，及時處置區(qū)域內(nèi)產(chǎn)生的安全事件，具體可通過漏洞掃描、安管中心、安全審計等實現(xiàn)。

4.3 基礎(chǔ)設(shè)施安全防護

電子政務(wù)信息系統(tǒng)最為關(guān)鍵的基礎(chǔ)設(shè)施是運行機房，機房內(nèi)運行著所有的硬件資產(chǎn)和軟件資產(chǎn)，其安全防護工作包括機房電磁屏蔽、消防、電氣、空調(diào)、防盜等等。

4.4 信息安全審計

將信息安全審計作為單獨一條是用來強調(diào)它的重要性，電子政務(wù)信息系統(tǒng)的建設(shè)和運維都離不開人，對人員的安全管理是保障安全方針策略得到有效執(zhí)行的關(guān)鍵?！氨咀钊菀讖膬?nèi)部攻破”，再安全的外部防御也無法抵擋由內(nèi)而外的攻擊。電子政務(wù)系統(tǒng)往往會因其特殊的應(yīng)用而產(chǎn)生許多敏感數(shù)據(jù)，這些數(shù)據(jù)大多涉及個人及企業(yè)團體的基本信息數(shù)據(jù)及其生產(chǎn)數(shù)據(jù)等，部分還會涉及商業(yè)秘密，一旦發(fā)生人為的泄密、數(shù)據(jù)盜取、后門等安全事件，其后果將不堪設(shè)想。因此需要電子政務(wù)信息系統(tǒng)建設(shè)維護單位建立完善的信息安全審計體系，對系統(tǒng)建設(shè)和維護的關(guān)鍵環(huán)節(jié)實施信息安全審計，通過制度宣貫和技術(shù)手段起到威懾的作用，讓人員有“伸手必備捉”的危機感。

5 明確第三方服務(wù)保障

電子政務(wù)信息系統(tǒng)的建設(shè)離不開第三方的支持，網(wǎng)絡(luò)線路需要向運營商申請并由其保障線路通信質(zhì)量，軟硬件設(shè)備需要向供應(yīng)商采購并由其提供維保服務(wù)和技術(shù)支持，部分單位的電子政務(wù)信息系統(tǒng)是委托第三方開發(fā)建設(shè)的或有委托第三方進行運行維護的，等等。第三方的服務(wù)保障質(zhì)量、對已掌握的資源是否嚴格管理等問題關(guān)系到電子政務(wù)信息系統(tǒng)的安全，因此有必要與第三方簽訂明確的服務(wù)保障合同，確定第三方的責(zé)任和義務(wù)、提出第三方的保障要求并簽訂相應(yīng)的保密協(xié)議。

6 結(jié)語

我國電子政務(wù)的建設(shè)還將不斷持續(xù)下去，已建的或正在籌建的電子政務(wù)都應(yīng)重視電子政務(wù)的信息安全保障問題，認真思考建立適合的信息安全防護體系，為電子政務(wù)提供安全可靠的支撐平臺。

參考文獻

[1] 侯衛(wèi)真 《電子政務(wù)的建設(shè)與發(fā)展》[M] 中國人民大學(xué)出版社 2006.3

[2] 程桯 《PKI技術(shù)在電子政務(wù)中的應(yīng)用研究》[D] 2004.10

[3] GB/T 22080-2008《信息技術(shù)安全技術(shù)信息安全管理體系要求》[S] 2008