潘思偉

摘要：電子政務(wù)系統(tǒng)是政府及其相關(guān)部門進(jìn)行社會(huì)管理以及為人民服務(wù)的重要信息平臺(tái)，其安全性不僅影響著政府的社會(huì)形象，同時(shí)涉及人民的財(cái)產(chǎn)安全和國家的政治安全?；诖?，該文對(duì)電子政務(wù)進(jìn)行了概述，分析了電子政務(wù)系統(tǒng)常見的安全性問題，并從管理層面和技術(shù)層面兩個(gè)角度對(duì)風(fēng)險(xiǎn)的成因進(jìn)行了分析，同時(shí)從這兩個(gè)角度提出了安全防護(hù)的策略，以期為實(shí)際的電子政務(wù)系統(tǒng)安全建設(shè)提供指導(dǎo)。

關(guān)鍵詞：電子政務(wù)系統(tǒng);安全風(fēng)險(xiǎn);防護(hù)策略

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2019）36-0268-02

1電子政務(wù)概述

隨著互聯(lián)網(wǎng)信息技術(shù)的不斷進(jìn)步，政務(wù)處理也在向著信息化的方向邁進(jìn)。目前，國外一些專家學(xué)者對(duì)于電子政務(wù)定義為：政府利用現(xiàn)代化計(jì)算機(jī)以及網(wǎng)絡(luò)技術(shù)來將企業(yè)、社會(huì)組織、公民有機(jī)連接，促進(jìn)信息交融提高政府工作效率同時(shí)，實(shí)現(xiàn)管理最大社會(huì)效益。從我國國情出發(fā)，我國政府及其相關(guān)部門的主要職能為經(jīng)濟(jì)管理、市場(chǎng)監(jiān)督、社會(huì)管理和公共服務(wù)，從本質(zhì)上講，電子政府即是將政府及其相關(guān)部門的四大職能進(jìn)行電子化、網(wǎng)絡(luò)化和信息化?；诖?，有學(xué)者指出，所謂電子政府，是利用現(xiàn)代信息技術(shù)以及互聯(lián)網(wǎng)技術(shù)，實(shí)現(xiàn)數(shù)字化服務(wù)的一種工作模式，其是管理型政府向服務(wù)型政府轉(zhuǎn)變的一個(gè)體現(xiàn)。一般意義上電子政府主要包括了：實(shí)時(shí)信息的公布、政府資源共享、網(wǎng)上民意調(diào)查、視頻會(huì)議等等。

從上述定義可以看出，電子政府實(shí)際上就是習(xí)近平總書記提出的“互聯(lián)網(wǎng)+”的一種政府工作互聯(lián)網(wǎng)思維，其利用了信息技術(shù)為代表的現(xiàn)代技術(shù)，將傳統(tǒng)受時(shí)間、空間影響的部門服務(wù)予以整合，使其轉(zhuǎn)變?yōu)榉?wù)各方主體的全新政府信息管理平臺(tái)，可以實(shí)現(xiàn)行政決策、工作動(dòng)態(tài)監(jiān)督以及提供公共服務(wù)的服務(wù)型政府，使得政府和公眾充分互動(dòng)。

2電子政務(wù)系統(tǒng)風(fēng)險(xiǎn)分析

電子政務(wù)系統(tǒng)是為提升政府等相關(guān)單位的工作效率和工作質(zhì)量而專門研發(fā)的辦公系統(tǒng)，因此，電子政務(wù)系統(tǒng)接觸到的都是有關(guān)國計(jì)民生的重要信息，提高其系統(tǒng)安全性是至關(guān)重要的。否則造成信息泄露，不僅給政府帶來危機(jī)，也會(huì)導(dǎo)致企業(yè)、組織以及公民信息泄露。在黑客活動(dòng)日益猖獗的今天，作為政府與民眾之間的交互平臺(tái)，其面臨的風(fēng)險(xiǎn)是多種多樣的，如網(wǎng)頁被篡改、系統(tǒng)內(nèi)部數(shù)據(jù)泄露、系統(tǒng)癱瘓等等。電子政府系統(tǒng)之所以會(huì)面臨眾多的風(fēng)險(xiǎn)，一方面，是由于信息技術(shù)的不斷進(jìn)步，網(wǎng)絡(luò)安全問題已成為信息社會(huì)普遍面臨的問題，加之電子政府系統(tǒng)信息的重要性，電子政務(wù)系統(tǒng)面臨的攻擊往往帶有很復(fù)雜的社會(huì)性。另一方面，從管理層面來講，地方政府或者相關(guān)部門對(duì)于網(wǎng)絡(luò)安全重視程度低，這也導(dǎo)致了很多非技術(shù)安全問題的產(chǎn)生。

2.1電子政務(wù)系統(tǒng)常見風(fēng)險(xiǎn)

電子政務(wù)系統(tǒng)常見的風(fēng)險(xiǎn)有網(wǎng)頁被篡改、系統(tǒng)內(nèi)部數(shù)據(jù)泄露、系統(tǒng)癱瘓等。

政府網(wǎng)站是政府發(fā)布重大信息、新聞動(dòng)態(tài)、法律法規(guī)的重要信息平臺(tái)，一旦網(wǎng)頁被篡改，不僅會(huì)對(duì)民眾產(chǎn)生錯(cuò)誤信息引導(dǎo)，而且還有損政府形象，甚至造成政治事件。信息技術(shù)的發(fā)展方便了民眾表達(dá)自己的想法及心意，但是一些缺乏理性的民眾很容易被一些不法組織利用，對(duì)政府網(wǎng)站發(fā)起攻擊。另外，一些境外的黑客或出于某些政治目的，也會(huì)對(duì)政府網(wǎng)站造成威脅。

系統(tǒng)內(nèi)部數(shù)據(jù)信息泄露對(duì)于電子政務(wù)系統(tǒng)來講是較為嚴(yán)重的一類風(fēng)險(xiǎn)。電子政務(wù)系統(tǒng)往往包括政府網(wǎng)站、辦公系統(tǒng)、內(nèi)網(wǎng)信息平臺(tái)等多個(gè)子系統(tǒng)，這些子系統(tǒng)中涉及的數(shù)據(jù)往往都是很重要的數(shù)據(jù)，如人口信息、企業(yè)信息等，這些數(shù)據(jù)不僅涉及公眾隱私，而且涉及商業(yè)、政治機(jī)密，一旦泄露，其對(duì)民眾、企業(yè)以及社會(huì)政治造成的危害是不可估量的。

電子政務(wù)系統(tǒng)癱瘓往往是由兩方面的原因引起的，一方面是內(nèi)部的原因，即系統(tǒng)的硬件或者軟件出現(xiàn)了問題，系統(tǒng)無法正常工作，這一類的風(fēng)險(xiǎn)對(duì)于電子政務(wù)辦公的影響較小，只要采取合適的預(yù)防和恢復(fù)措施，可以在很快的時(shí)間內(nèi)恢復(fù)系統(tǒng)的使用。另一方面則是由于外部的攻擊引起的，對(duì)于電子政務(wù)系統(tǒng)來講，其一般分為系統(tǒng)內(nèi)網(wǎng)和系統(tǒng)外網(wǎng)，內(nèi)網(wǎng)往往是與外網(wǎng)相對(duì)安全隔離的獨(dú)立網(wǎng)絡(luò)，而外網(wǎng)與互聯(lián)網(wǎng)則進(jìn)行邏輯隔離。當(dāng)系統(tǒng)受到外部攻擊時(shí)，若系統(tǒng)沒有安全有效地隔離措施或者訪問控制權(quán)限，則就有可能導(dǎo)致整個(gè)系統(tǒng)癱瘓。

2.2電子政務(wù)系統(tǒng)管理層面的風(fēng)險(xiǎn)成因

從本質(zhì)上講，電子政務(wù)系統(tǒng)是政府及其下屬機(jī)構(gòu)進(jìn)行辦公及提供服務(wù)的現(xiàn)代化工具，當(dāng)管理人員或者工作人員管理操作不當(dāng)時(shí)，就會(huì)使得政務(wù)系統(tǒng)處于危險(xiǎn)之中，或者當(dāng)政務(wù)系統(tǒng)遭受威脅警告時(shí)，若管理人員沒有采取合適的措施，則亦有可能造成危害的產(chǎn)生。從管理層面上來講，該系統(tǒng)風(fēng)險(xiǎn)主要因素如下：

第一，地方政府網(wǎng)絡(luò)安全意識(shí)淡薄。電子政務(wù)系統(tǒng)是在近些年隨著信息技術(shù)的不斷發(fā)展而逐步深入應(yīng)用的，雖然各個(gè)地區(qū)的應(yīng)用范圍逐步擴(kuò)大，但是人們對(duì)于信息安全的意識(shí)卻沒有得到太大的提升。因此，這導(dǎo)致很多地方的電子政務(wù)系統(tǒng)的軟硬件安全防護(hù)沒有做到位。普遍的安全意識(shí)低也導(dǎo)致了政府在電子政務(wù)系統(tǒng)安全方面的經(jīng)費(fèi)投入較少，很多信息安全的防護(hù)工作不能及時(shí)地開展。

缺乏專業(yè)的技術(shù)人員。在工作人員的配備方面，信息安全技術(shù)人員嚴(yán)重匱乏，導(dǎo)致在網(wǎng)絡(luò)建設(shè)過程中重視技術(shù)應(yīng)用而對(duì)于安全比較輕視，某些子系統(tǒng)在設(shè)計(jì)建設(shè)時(shí)，往往只注重工作的業(yè)務(wù)需要，而忽視系統(tǒng)安全保護(hù)措施，加之沒有專業(yè)的安全防護(hù)技術(shù)人員，這導(dǎo)致系統(tǒng)的運(yùn)行存在很大的風(fēng)險(xiǎn)。某些政府單位的網(wǎng)絡(luò)維護(hù)工作都是交給第三方單位，雖然其具有技術(shù)高的優(yōu)勢(shì)，不過相對(duì)來說缺乏管理經(jīng)驗(yàn)，而單位內(nèi)部的管理人員卻缺乏較強(qiáng)的專業(yè)技術(shù)和專業(yè)能力，這導(dǎo)致了政務(wù)系統(tǒng)安全防護(hù)的一對(duì)矛盾。

法律法規(guī)及制度建設(shè)缺乏。現(xiàn)階段，有關(guān)于計(jì)算機(jī)安全的法律法規(guī)不足，電子政務(wù)系統(tǒng)的安全標(biāo)準(zhǔn)體系也沒有統(tǒng)一的標(biāo)準(zhǔn)，對(duì)于一些經(jīng)濟(jì)欠發(fā)達(dá)的偏遠(yuǎn)地區(qū)，地方政府還沒有建立起合適的信息安全保密管理制度，這些問題都給電子政務(wù)系統(tǒng)安全管理工作設(shè)置了阻礙。

2.3電子政務(wù)系統(tǒng)技術(shù)層面的風(fēng)險(xiǎn)成因

拋開管理層面的風(fēng)險(xiǎn)問題不講，單從技術(shù)層面分析，電子政務(wù)系統(tǒng)面臨著眾多網(wǎng)絡(luò)系統(tǒng)共同面對(duì)的安全問題，其主要包括以下幾個(gè)方面。

第一，惡意軟件的威脅。當(dāng)今時(shí)代的網(wǎng)絡(luò)信息復(fù)雜多變，互聯(lián)網(wǎng)中的病毒、蠕蟲、木馬等惡意軟件無處不在。在日常的工作中，如果某一臺(tái)計(jì)算機(jī)感染了病毒，病毒則可以利用一些媒介進(jìn)行廣泛傳播，例如exe、com等進(jìn)行病毒復(fù)制，或者局域網(wǎng)侵襲其他電腦，甚至于通過優(yōu)盤病毒來實(shí)現(xiàn)供給。

第二，DDoS攻擊。該種攻擊十分常見，其中當(dāng)屬Synflood攻擊最為普遍，其對(duì)計(jì)算機(jī)連鎖資源進(jìn)行消耗，中斷使用者訪問網(wǎng)頁操作。再者還存在UDPFlood和PingFlood的攻擊方式，其通過占用網(wǎng)寬來達(dá)成影響正常訪問的目的。

第三，APT攻擊。APT攻擊技術(shù)是指高級(jí)持續(xù)性威脅攻擊技術(shù)，與其說是一種攻擊技術(shù)，不如說是一種攻擊模式。APT攻擊往往是由技術(shù)強(qiáng)大的團(tuán)隊(duì)進(jìn)行協(xié)作完成的，其攻擊持續(xù)時(shí)間長、貫穿眾多隱秘環(huán)節(jié)、危害性大，對(duì)于電子政務(wù)系統(tǒng)這種重要信息系統(tǒng)而言，其危害尤為嚴(yán)重。

3電子政務(wù)系統(tǒng)安全防護(hù)策略

前文介紹，電子政務(wù)系統(tǒng)的風(fēng)險(xiǎn)成因主要分為兩個(gè)層面，一是管理層面，二是技術(shù)層面。因此，要想較為完善的對(duì)電子政務(wù)系統(tǒng)進(jìn)行安全防護(hù)也應(yīng)從管理層面和技術(shù)層面兩個(gè)角度進(jìn)行展開。

3.1管理層面的安全防護(hù)策略

首先，各級(jí)政府應(yīng)該對(duì)于電子政務(wù)系統(tǒng)的安全問題給予高度重視，要根據(jù)本地區(qū)的系統(tǒng)建設(shè)情況制定系統(tǒng)運(yùn)維、系統(tǒng)應(yīng)急保障等安全管理制度，同時(shí)要嚴(yán)格確保制度地有效執(zhí)行。對(duì)于一些重要的單位或者部門，應(yīng)該大力引進(jìn)專業(yè)人才，或者從本單位中培養(yǎng)優(yōu)秀的懂管理和懂技術(shù)的人才。在實(shí)際的工作中，需要建設(shè)系統(tǒng)安全管理責(zé)任制，由第一負(fù)責(zé)人對(duì)安全負(fù)責(zé)，同時(shí)建立考核和獎(jiǎng)懲機(jī)制，提高工作人員的信息安全意識(shí)。其次，要對(duì)各級(jí)政府網(wǎng)站、各職能部門網(wǎng)站進(jìn)行備案，要求這些網(wǎng)站必須實(shí)名認(rèn)證，其中省市政府牽頭對(duì)所有單位以及部門的官網(wǎng)予以實(shí)名認(rèn)證并進(jìn)行防偽。要建立政府統(tǒng)一管理的網(wǎng)絡(luò)數(shù)字認(rèn)證部門，進(jìn)行證書發(fā)放，下屬政府網(wǎng)站需要緊密配合，確保相應(yīng)的網(wǎng)站都具有數(shù)字證書。最后在省市政府引領(lǐng)下對(duì)政務(wù)系統(tǒng)信息安全予以級(jí)別評(píng)定，并健全保護(hù)措施。筆者認(rèn)為，從安全等級(jí)來看，電子政務(wù)系統(tǒng)必須處在二級(jí)以上，這樣的系統(tǒng)兩年測(cè)評(píng)一次。若是三級(jí)電子政務(wù)系統(tǒng)則需要每年測(cè)評(píng)一次。

3.2技術(shù)層面的安全防護(hù)策略

從技術(shù)層面上講，電子政務(wù)系統(tǒng)在建設(shè)時(shí)應(yīng)建立起安全的架構(gòu)體系，將服務(wù)器以不同功能予以區(qū)別劃分，使其能夠匹配相應(yīng)的安全區(qū)域，能夠?qū)Σ《?、木馬等有效隔離。要遵循最小安裝原則來建立操作系統(tǒng)、信息系統(tǒng)平臺(tái)，需要建立動(dòng)態(tài)的漏洞修復(fù)工作機(jī)制，保障操作系統(tǒng)和信息系統(tǒng)的安全。目前，大部分的電子政務(wù)系統(tǒng)采用的是Windows操作系統(tǒng)，對(duì)于政務(wù)系統(tǒng)而言，應(yīng)加快研發(fā)國產(chǎn)系統(tǒng)和國產(chǎn)軟件的進(jìn)度，減輕對(duì)國外產(chǎn)品和服務(wù)的依賴性。常用的安全架構(gòu)如下圖l所示：

其次，政務(wù)系統(tǒng)要加強(qiáng)對(duì)入侵行為和惡意代碼的檢測(cè)、防護(hù)與報(bào)警。需要積極地在網(wǎng)絡(luò)邊界設(shè)置防火墻，而且在檢測(cè)上需要結(jié)合政務(wù)系統(tǒng)網(wǎng)絡(luò)架構(gòu)賦予不同檢測(cè)程序，確保病毒入侵時(shí)得到有效反映，予以病毒隔離。而從系統(tǒng)設(shè)置方面來說，要將防病毒軟件設(shè)置在服務(wù)器操作系統(tǒng)當(dāng)中，要確保其動(dòng)態(tài)更新提升防毒殺毒能力。從應(yīng)用層面來講，要及時(shí)對(duì)于應(yīng)用程序本身的漏洞進(jìn)行修改，同時(shí)也要對(duì)應(yīng)用程序的配置漏洞進(jìn)行修改。

最后，電子政務(wù)系統(tǒng)應(yīng)對(duì)數(shù)據(jù)信息做好及時(shí)地備份工作，提高政務(wù)系統(tǒng)的容災(zāi)性能。對(duì)于重要的數(shù)據(jù)信息，至少要每周備份一次，每日一次差異備份操作，備份硬盤需要專門存放，對(duì)于備份的數(shù)據(jù)需要每年進(jìn)行兩次以上的校驗(yàn)，要確保數(shù)據(jù)數(shù)據(jù)信息的可用性和完整性。另外，在實(shí)際的政務(wù)系統(tǒng)運(yùn)行過程中，網(wǎng)絡(luò)的安全維護(hù)也要加大力度，要加強(qiáng)安全監(jiān)控和安全監(jiān)測(cè)的力度，各地區(qū)各部門應(yīng)制定合適的應(yīng)急處理措施，同時(shí)對(duì)于系統(tǒng)的外包工作進(jìn)行嚴(yán)格的監(jiān)控管理。

4結(jié)束語

在信息化時(shí)代中，電子政務(wù)系統(tǒng)不僅僅是一套單純的政務(wù)辦公系統(tǒng)，它也是政府與民眾進(jìn)行信息交流的重要平臺(tái)。電子政務(wù)系統(tǒng)涉及的信息有關(guān)國計(jì)民生、有關(guān)政治安全國家安全和人民的生命財(cái)產(chǎn)安全，因此，政務(wù)系統(tǒng)的安全防護(hù)工作必須引起重視。政務(wù)系統(tǒng)的安全性威脅一般是由于管理層面和技術(shù)層面的不足引起的，對(duì)于管理層面的不足，政府及其相關(guān)部門要加大制度建設(shè)，同時(shí)加大資金投入，建立起安全的系統(tǒng)運(yùn)行環(huán)境，若這兩個(gè)方面的工作能做好，政務(wù)系統(tǒng)的安全性將大大提高。

參考文獻(xiàn)：

[1]王冬冬，吳珍珍，麻仁俊，等.電子政務(wù)系統(tǒng)網(wǎng)絡(luò)安全的防護(hù)策略[J].數(shù)字技術(shù)與應(yīng)用，2019（6）.

[2]王大鵬.電子政務(wù)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)及預(yù)防策略簡議[J].通訊世界，2019（4）.

[3]陳青民，方莉莉.構(gòu)建電子政務(wù)網(wǎng)絡(luò)安全運(yùn)營體系[J].中國信息安全，2019（3）.

【通聯(lián)編輯：謝媛媛】