浅析电子政务的安全管理
电子政务的最终目标是建立一个政府办公自动化、决策支持和公共服务的综合平台。作为信息网络的一个特殊应用领域,它不仅运行着大量的数据和信息,而且具有很高的保密性和敏感性。因此,电子政务系统一方面需要考虑政府内部网络的安全,另一方面也需要考虑面向公众的网络安全。因此,电子政务网络安全系统具有很高的安全要求。主要基于以下基本需求:1。维护政府形象的需要;2.信息保密需求;3.身份认证要求;4.访问控制要求;5.信息存储安全要求;6.信息传输安全要求。
2中国电子政务过程中的安全问题
(1)信息基础设施建设面临挑战。
电子商务和电子政务需要支付结算手段、优质高效的金融服务及其电子化。目前,我国金融服务的水平和电子化程度不高,网上支付问题极大地阻碍了我国电子商务和电子政务的发展。中国金融业迫切需要适应全球一体化进程,加快改革步伐,改变现有支付方式,保障网上支付安全。
(2)缺乏自主研发的电子政务软硬件产品,为电子政务的长远发展埋下了安全隐患。
我国电子政务建设中使用的软硬件产品很少是我国自主知识产权开发的产品,一些涉及国家机密的信息网络过于依赖国外的安全产品和技术。
(3)电子政务管理薄弱。
1993年,国务院成立全国经济信息化联席会议,正式启动国家经济信息化工程,开始实施“三金工程”,即金桥工程、金冠工程、金卡工程。按照政府部门办公自动化-管理部门电子工程(三金工程)-政府全能上网工程的模式,经过多年建设,已建成一定规模,但也给电子政务的安全管理带来一定困难。很多政府部门忽视了它的安全防范措施,放松了安全意识,会给中国的电子政务带来一定的损失。
(4)电子政务安全立法滞后。
由于我国电子政务发展较晚,目前只有行政机关出台了一些关于互联网管理的限制性行政法规,但对于如何促进电子交易、使用电子签名和电子支付等方面却没有详细的法律,这在一定程度上阻碍了我国电子政务安全的发展。尽快建立有关网络安全、政府信息加密和公众知情权的网络法律法规,是关系到“电子政府”能否从规划上真正实施的首要因素。没有法制的保障,电子政务的顺利发展是不可能的。
(5)缺乏安全风险评估机制。
由于我国地方政府在电子政务办公方面还不是很普及,很多已经建立的电子政务网络也没有遭遇过重大安全事故,缺乏制定电子政务安全策略的经验,在遇到各种安全问题时也缺乏对安全问题的科学全面的认识,因此我国电子政务的安全需要制定安全风险评估机制。
(6)缺乏全面的安全保障体系。
电子政务涉及国家机密、敏感信息和公民隐私,因此构建电子政务安全体系非常重要。必须从法律、标准、管理、技术产品和安全基础设施等方面采取措施,更好地保证电子政务的可靠性、可信性、可控性、可用性和可访问性。解决电子政务的安全问题,一方面需要政府机构加强立法和相关政策的制定和执行,另一方面需要先进的技术和应用手段。目前,中国的信息安全基础设施仍然薄弱,政府正在完善电子政务信息安全域的监管,包括机密信息域、内部信息域和开放信息域的管理。安全域的边界控制通过物理隔离或逻辑隔离来完成。
3电子政务安全管理对策
(1)确立信息安全的战略目标和任务。
充分认识电子政务安全的重要性和紧迫性,从战略上高度重视电子政务安全的发展。中国信息安全的国家战略目标是确保国家经济基础设施的信息安全,抵御有关国家、地区和集团可能实施的“信息战”以及国内外高科技犯罪的威胁和攻击,确保国家安全、社会稳定和经济发展。信息安全战略防御重点是国民经济中的国家关键基础设施,包括金融、银行、税收、能源生产储备、粮油生产储备、水、电、汽供应、交通运输、邮电通信、广播电视、商贸等。最重要的是支持这些设施运作的电子信息系统。
(2)电子政务的具体安全措施。
电子政务的具体安全措施包括三个方面:一是物理层的安全保护措施。主要通过配方
在合理水平上确保计算机网络设备、设施和数据信息免受自然灾害、人为错误或失误、计算机犯罪导致的物理实体破坏、服务中断和数据丢失的管理规范和措施。二是技术措施。是利用计算机网络产品和技术服务实现的,包括技术规范、技术方案、技术实现等。第三是管理措施。包括管理体制、管理制度和法律保障。其中,管理和技术的有效结合是保证电子政务系统安全的必要手段。
(3)强化国家信息安全机构和职能。
要成立具有高度权威性的国家信息安全委员会,研究决定国家信息安全重大决策,发布国家信息安全政策,批准国家信息安全规划,对国家面临的重大国家信息安全突发事件进行决策。在国家信息安全委员会领导下,成立国家信息安全技术委员会,在国家执法部门建立高科技刑侦队伍,提高防范和侦破高科技犯罪的能力。
(4)高度重视信息安全基础研究和人才培养。
国家有关部门要有机整合国内力量基本建立的我国信息安全研发机构,在国家信息安全技术委员会的统一协调和指导下,按照一定的进度要求,完成我国信息安全急需的关键技术和设备的研究和试制,形成高质量的批量生产。我们必须确保中国拥有自己独特有效的信息安全技术和装备体系,使我们有足够的能力防范和打击有关国家、地区、集团或其他敌对势力可能对中国发动的信息战和高科技犯罪活动。同时,要大力培养信息安全专业人才,为各部门输送信息基础设施安全运行的骨干力量。还要注意采取切实措施,吸引从事信息安全工作的海外人员和爱国华侨回国服务,通过他们了解国际高技术的新发展。
(5)促进信息安全产业发展。
要加强自主信息和网络技术的发展,尽快推进我国自主计算机核心硬件和计算机软件操作平台的研发和生产,并给予减免税优惠政策。迫切需要从安全体系的整体高度开展深入研究工作,为解决我国信息与网络安全提供整体理论指导和基础组件支撑,为信息网络安全的工程化实现奠定坚实基础,推动我国信息安全产业发展。当前,重点单位急需研发以下关键技术:唯一身份识别技术、数字签名技术、信息完整性检查与检测技术、信息加解密保护技术、密钥管理技术、安全审计跟踪技术、安全信息系统建设集成技术、系统安全评估技术、电子信息系统电磁信息泄漏防护技术。
(6)加快信息安全立法。
解决电子政务系统的安全问题,应制定相关法律,处理好技术先进性与自主性的关系。发展电子政务,立法先行。立法要有利于信息技术的发展和电子政务的发展,解决电子政务发展中迫切需要解决的问题,如电子签名、电子支付的合法性问题,制定电子政务的信息技术规范,及时修改传统法律中与信息技术规范不相适应的部分。