概念
聯合國經濟社會理事會將電子政務定義為,政府通過信息通信技術手段的密集性和戰略性套用組織公共管理的方式,旨在提高效率、增強政府的透明度、改善財政約束、改進公共政策的質量和決策的科學性,建立良好的政府之間、政府與社會、社區以及政府與公民之間的關係,提高公共服務的質量,贏得廣泛的社會參與度。
電子政務安全防護體系構建策略全面解析電子政務使政府社會服務職能得到最大程度的發揮,但也使政府敏感信息暴露在無孔不入的網路威脅面前。要趨利避害,電子政務安全防護體系的構建至關重要。電子政務安全防護體系包括安全管理體系、安全技術體系、安全組織體系和安全基礎設施,涉及從管理到組織,從網路到數據,從法規標準到基礎設施等各個方面。
(一)安全管理貫穿整個電子政務安全防護體系,對電子政務安全實施起指導作用
安全管理體系包括:法律政策、規章制度和標準規範。安全管理體系的建立應符合組織使命,符合組織利益。
電子政務的工作內容和工作流程涉及到國家秘密與核心政務,它的安全關係到國家的主權、國家的安全和公眾利益,所以電子政務的安全實施和保障,必須以國家法規形式將其固化,形成全國共同遵守的規約。目前,世界上很多國家制定了與網路安全相關的法律法規,如英國的《官方信息保護法》等。我國雖然頒發了一些與網路安全有關的法律法規,如《計算機信息系統安全保護條例》、《計算機信息系統保密管理暫行規定》等等,但顯得很零散,還缺乏關於電子政務網路安全的專門法規。此外,在完善法律法規的同時,還應該加大執法力度,嚴格執法,這一目標的實現不僅需要政府組織的努力,更要國家立法機構的參與和支持。
信息安全標準有利於安全產品的規範化,有利於保證產品安全可信性、實現產品的互聯和互操作性,以支持電子政務系統的互聯、更新和可擴展性,支持系統安全的測評與評估,保障電子政務系統的安全可靠。電子政務網路安全標準規範包括電子文檔密級劃分和標記格式、內容健康性等級劃分與標記、內容敏感性等級劃分與標記、密碼算法標準、密碼模組標準、密鑰管理標準、PKI/CA標準、PMI標準、信息系統安全評估和網路安全產品測評標準等方面的內容。
省市或部門內部應通過全面推行信息安全等級保護制度,逐步將信息安全等級保護制度落實到信息系統安全規劃、建設、測評、運行維護和使用等各個環節,使省市信息安全保障狀況得到基本改善。通過加強和規範信息安全等級保護管理,不斷提高、省市信息安全保障能力,為維護信息網路的安全穩定,促進信息化發展服務。
電子政務信息系統存在著來自社會環境、技術環境和物理自然環境的安全風險,其安全威脅無時無處不在。對於電子政務信息系統的安全問題,不能企圖單憑利用一些集成了信息安全技術的安全產品來解決,而必須建立電子政務信息系統安全管理體系,考慮技術、管理和法律的因素,全方位地、綜合解決系統安全問題。
(二)安全技術體系是利用技術手段實現技術層面的安全保護,是對電子政務安全防護體系的完善
安全技術體系包括網路安全體系和數據安全傳輸與存儲體系,功能主要是通過各種技術手段實現技術層次的安全保護。
網路安全體系包括網閘、入侵檢測、漏洞檢測、外聯和接入檢測、補丁管理、防火牆、身份鑑別和認證、系統訪問控制、網路審計等;數據安全與傳輸與存儲體系包括數據備份恢復、PKI/CA、PMI等。整個電子政務的安全,涉及信息安全產品的全局配套和科學布置,產品選擇應充分考慮產品的自主權和自控權。
需要注意,目前中國無論是關鍵技術、經營管理還是生產規模、服務觀念,都不具備力量在短時間內使國產信息產品占領國內的信息安全產品主要市場。國家要集中人力、物力,制訂相關政策,大力發展自主智慧財產權的計算機晶片、作業系統等信息安全技術產品,以確保關鍵政府部門的信息系統的網路安全。在安全技術方面,應該加強核心技術的自主研發,並儘快使之產品化和產業化,尤其是作業系統技術和計算機晶片技術。現階段中國各級政府部門目前所選用的高端軟硬體平台,基本上都是國外公司的產品,這也對政務安全帶來了許多隱患。因此,在構建電子政務系統的時候,在可能的情況下,我們應儘量選用國產化技術和國內公司的產品。
(三)安全組織體系是安全管理的實施主體,是電子政務安全實施的必要條件
已開發國家一般都建立有網路安全管理機構,美國安全委員會下設了國家保密政策委員會和信息系統安全保密委員會;英法等國家建立了“國家網路安全委員會”。我國信息安全管理職能的格局已經形成,包括國家安全部、國家保密局、國家密碼管理委員會、信息產業部、信息化領導小組、國家電子政務協調小組和國家安全協調小組等,儘管能各司其責,責權明確,但在許多的具體實施過程中缺乏統一性。
應建立健全網路安全組織管理制度,明確負責安全管理的主要領導、主管部門、技術支持部門等等。安全管理職能的協調需要由國家信息化領導機構,各地區和部委建立相應的信息安全管理機構,以完成和強化信息安全的管理。只有建設一個國家到省市縱向和橫向各部委、廳局架構的安全管理組織,才能真正實現全面的安全等級保護。
(四)安全基礎設施為電子政務安全防護體系提供服務和支撐,為電子政務安全實施提供前提
信息安全基礎設施是一種為信息系統套用主體和信息安全執法主體提供信息安全公共服務和支撐的社會基礎設施,方便信息套用主體安全防護機制的快速配置,有利於促進信息套用業務的健康發展,有利於信息安全技術和產品的標準化和促進其可信度的提高,有利於信息安全職能部門的監督和執法,有利於增強全社會信息安全移師和防護技能,有利於國家信息安全保障體系的建設。因此,推動電子政務的發展,應重視相關信息安全基礎設施的建設。
目前中國的國際出入口監控中心和安全產品評測認證中心已經初步建成。安全產品評測認證中心由安全標準研究、產品安全測試、系統安全評估、認證註冊部門和網路安全專家委員會組成。同時,由國家密碼主管部門牽頭,將會同有關部門成立“國家PKI協調管理委員會”,指導電子政務PKI信任體系——國家電子政務根CA和橋CA建設。但總體上講,中國目前網路安全基礎設施的建設還處於初級階段,應該儘快建立網路監控中心、安全產品評測中心、計算機病毒防治中心、關鍵網路系統災難恢復中心、網路安全應急回響中心、電子交易安全證書授權中心、密鑰監管中心等國家網路安全基礎設施。