論文摘要：從電子政務安全范疇的界定入手，從物理安全、系統安全、信息安全、管理安全4個方面闡述中國電子政務中的安全問題及對策。

　　近年來，在黨中央、國務院的大力推動下，我國電子政務開始進入全面實施階段，電子政務建設成為一項覆蓋各級政府部門的、大型復雜的系統工程。與此同時，安全問題給電子政務工程的規劃、設計、組織和實施帶來了巨大的挑戰。國家互聯網應急中心CNCERT／CC權威發布的數據顯示，2008上半年與2007年同期相比，網絡安全事件數量有顯著增加，其中政府網頁信息被篡改的事件呈現大幅度上漲趨勢，與2007年同期相比增加41％。因此，電子政務信息系統的安全管理成為一個必須引起各部門高度重視的問題。

　　一、電子政務安全范疇

　　談到電子政務安全，人們立即就會聯想到病毒、黑客等熟悉的名詞，也很容易把它與網絡安全、電子商務安全混為一談。網絡安全通常是指計算機網絡系統的硬件、軟件和數據受到保護，不因偶然和惡意的原因而遭到破壞、更改和泄露。它更多地側重于技術層面上網絡系統安全問題的分析和對策。而電子政務安全則是一個非常復雜的系統工程，它遍布在政府信息化的各個環節之中，其范疇已經超越網絡安全所指的技術層面。可以說，網絡安全是電子政務安全中一個重要的組成部分。

　　電子政務安全和電子商務安全都是非常復雜的系統工程，但是由于電子政務本身的開放性、虛擬性、網絡化的特點以及我國政府部門制定統一的電子政務建設標準和規范、全國上下可互聯互通的統一平臺和網絡，有關國家政治經濟的敏感信息和數據都對電子政務系統的安全性提出了更為嚴格的要求。從信息社會角度講，電子政務安全和電子商務安全也存在著本質共性的聯系，電子政務安全是實現電子商務安全的基礎和保障。

　　電子政務安全的特殊需求實際上就是要合理地解決網絡開放性與安全性之間的矛盾，在電子政務系統信息暢通的基礎上，有效阻止非法訪問和攻擊對系統的破壞。本文將電子政務安全的范疇界定為物理安全、系統安全、信息安全、管理安全4個部分。

　　二、電子政務中的安全問題及對策

　　1．物理安全

　　保證計算機信息系統各種設備的物理安全是整個電子政務系統安全的前提。物理安全是指保護計算機網絡設備、設施以及其他媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。電子政務系統采用的計算機硬件雖然在功能上有了很大的提高，但它畢竟屬于高度精密的儀器，任何開發時的疏忽以及實際運行時的震蕩、靜電、潮濕、過熱等情形都可能使其受到嚴重的損傷。具體來說，電子政務中的物理安全主要包括以下幾個方面。一是系統運行中的安全隱患，主要包括電源問題、水患與火災、電磁干擾與泄露以及其他的環境威脅。二是物理訪問風險與控制。物理安全威脅不單來自于環境，還來自于人為操作失誤及各種計算機犯罪行為。三是電子政務信息系統的場地與設施安全管理。是指中華人民共和【亙國家標準GB50173—93《電子計算機機房設計規范》、GB2887—89《計算站場地技術條件》、GB9361—88(計算站場地安全要求》對應用信息系統的場地與設施進行的安全管理。

　　2．系統安全

　　(1)硬件系統安全的問題及對策。電子政務系統的主要特征就是大量采用信息系統支持政務活動，而信息系統首先表現為各種各樣的物理設備，比如計算機、磁盤、網絡設備等。如果這些物理設備遭到損毀，整個系統就不可避免地會受到嚴重的影響。因此，首先考察硬件系統的安全問題。

　　并非只有軟件才有漏洞，硬件系統同樣可能存在各種各樣的缺陷。這些缺陷一旦逃過出廠測試，就可能在實際運行中造成系統崩潰。一般而言，硬件系統的漏洞主要包括設計疏忽、元件質量低劣、人為留下的“后門”等。對于這些問題，解決辦法就是做好電子政務系統硬件采購時的分析工作。在制訂采購計劃時要多搜集相關信息，到相關廠商處了解不同品牌、型號硬件的特點和使用，并在具體采購時仔細檢查，試運行一段時間后再投入實際應用。特別需要注意的是，對于關鍵的系統，在采購硬件時應盡量避免使用剛剛面世的新產品，而盡可能采用比較成熟、穩定的型號，以規避人們常說的“技術風險”。電子政務系統安全類產品采購時應注意的事項包括以下幾點。①產品必須具有公安部《計算機信息系統安全專用產品銷售許可證》和檢測報告。

　　②如果該產品涉及數據加密，根據《商用密碼管理條例》的規定，該產品的加密算法應具有國密辦的批準文號。③在選擇安全產品時，應盡量選擇具有我國自主知識產權的產品。這類產品具有自主知識產權的源代碼，安全性較高，而且有利于廠家對產品的升級與維護。④應盡量選擇具有更先進技術的安全產品。在安全領域同一種安全產品往往具有幾代技術，在選購之前應適當了解該產品的技術演變，選擇較先進的安全產品。⑤安全產品的系統處理速度值得考慮。安全類產品由于具有復雜的分析過濾功能，往往成為系統的瓶頸，其處理速度直接影響應用的效果。⑥注意察看安全產品在權威機構的檢測報告，其各項安全功能是否達到要求。

　　(2)軟件系統的安全問題及對策。軟件系統是電子政務系統的靈魂，因此保證軟件系統的安全運行、降低因軟件問題導致的系統風險對電子政務系統來說至關重要。首先是計算機病毒的防范措施。對于計算機病毒的防范，一般要采取以下措施。

　　一是定期進行數據備份，一旦遭到病毒破壞可以及時恢復主要數據。

　　二是合理使用殺毒軟件。沒有任何一種反病毒軟件能夠防治現有的和未來產生的所有病毒，因此，必須合理使用和部署防病毒軟件才能充分發揮其作用。

　　三是制定嚴格的病毒防治規章。

　　其次是軟件漏洞與后門。現在電子政務平臺使用的所有軟件都不可避免地存在各種各樣的安全漏洞，影響系統的穩定性和安全性。為了解決電子政務平臺軟件系統中的安全問題，本文針對操作系統、應用程序、數據庫等方面，總結了一套軟件系統安全防護措施。

　　①電子政務系統在操作系統安全方面的考慮。一是在電子政務系統的實際開發、構建過程中，應根據具體運行環境、安全級別，分別采用不同類別的操作系統。二是盡可能采用具有自主知識產權且源代碼對我國政府公開的產品。目前國產軟件在安全軟件、操作系統等方面，已經具備與國外軟件產品競爭的實力。因此，采用國產軟件來構建電子政務系統成為一項切實可行的措施。三是盡量避免在電子政務關鍵部門、要害環節使用外國的產品，以免受制于外國。對于核心應用系統和關鍵政務環節，必須確保實施方案的技術自主性。

　　②在應用程序安全方面的考慮。作為軟件系統的使用者應該做到：使用穩定版本的軟件；經常檢查操作系統和應用程序提供商的站點，一旦發現其提供的補丁程序，馬上下載并應用在系統上。

　　③在數據庫安全方面的考慮。防止SQL指令植人式攻擊的第一步是采用各種安全手段監控用戶輸入，以確保SQL指令的可靠性。第二步是清除客戶端錯誤信息文本中的所有技術資料。第三步是嚴格限制w eb應用程序所用數據庫訪問賬號權限。

　　(3)網絡系統安全。網絡系統雖然也是由硬件系統和軟件系統組成的，但是由于網絡安全在電子政務安全中的重要性，本文著重介紹其特有的幾個安全問題及防范措施。

　　①口令安全。隨著電子政務系統的應用，口令成為政務工作中的一部分。系統口令一般由用戶自行設置，如果安全意識不強，則會存在較高的風險。

　　②網絡監聽。因為網絡嗅探器可以檢測到網絡的流量、通信協議、信息來源、報文長短、通信周期，進而截獲通信數據，所以對網絡中的賬戶、口令等有較大的危害。

　　③拒絕服務(DoS)攻擊。oD S的目的就是拒絕用戶的正常訪問，破壞系統的正常運行，甚至使電子政務網絡系統失效。最基本的oD S攻擊就是利用合理的服務請求來占用過多的服務資源，從而使合法用戶無法得到服務。

　　④電子欺騙攻擊。電子欺騙指在網絡上通過偽造可信任地址的數據包，得到不該信任的信任關系。網絡通信中通信雙方通過認證和信任兩個前提進行。常見的電子欺騙有IP欺騙、DNS欺騙、ARP欺騙、WEB欺騙等。針對網絡系統安全問題的技術防范措施很多，如入侵檢測、漏洞掃描、安全審計、防火墻技術、VPN技術等，可以很好地解決上述網絡系統安全問題。

　　3．信息安全

　　數據是電子政務的核心資源之一，因此其安全問題也格外重要。軟件、硬件的損毀雖然可以使政府的正常業務中斷，但一般在重新購置系統后仍能恢復，而政府核心數據的損毀卻是不可恢復的致命災難。解決數據安全問題的主要辦法就是建立完善的管理措施。

　　(1)數據保護制度。政府重要數據面臨的首要風險就是被他人竊取。為防止這類損失，首先就要健全數據保護制度。一是做好物理訪問控制，防止外部人員接觸到存有重要數據的主機、存儲設備和打印機等輸出設備。二是做好數據的邏輯訪問控制。三是做好數據備份和災難恢復計劃。

　　(2)標準可信時間源的獲取。時間在電子政務安全應用上具有其特定的重要意義。政務文件上的時間標記是重要的政策執行依據和憑證。

　　(3)信息傳遞過程中的加密。加密就是為了安全目的對信息進行編碼和解碼。電子政務應用涵蓋政府內部辦公和面對公眾的信息服務兩大方面。就政府內部辦公而言，電子政務系統涉及部門與部門之間、上下級之間、地區與地區間的公文流轉。這些公文的信息往往涉及機密等級的問題，必須采取適當的加密方法對信息予以保密。

　　4．管理安全

　　(1)組織管理措施。對于電子政務系統來說，要想做到合理分工，一個核心的原則就是在實際建設和應用電子政務系統時把系統的設計者、管理者、操作者、利害關系者等角色分開，盡量避免一個人同時具備多個角色。除合理分工外，牽制也是必須考慮的問題。比如在信息錄入環節增設人員監督錄入，既可以減少錄人錯誤，也可以防止舞弊。此外，對于重要業務，可以在系統的工作流程中增加審核環節，并為具體操作人員設定操作規模的上限，從而提高非法操作的難度，降低風險損失。

　　(2)人力資源管理。政府的人力資源管理情況也會在很大程度上影響電子政務的安全。一是對人員的安全教育和保護。從安全角度看，企業的員工不僅僅是潛在的威脅，也是安全制度的執行者和保護對象。二是對內部成員的安全防范。多項針對系統安全事件調查的結果表明，絕大多數安全事件是由受害組織的內部員工實施的。一般說來，針對內部員工的安全管理措施包括以下幾個方面。①合理的崗位劃分和健全的牽制制度。②定期休假制度。給重要崗位的人員提供定期的休假，一方面可以讓員工得到休息，另一方面在其離崗期間內，臨時管理員可以發現系統的不合理狀態并及時報告、調查。

　　③員工離任處理。一般被辭退的員工往往會產生嚴重的不滿情緒和報復念頭，同時他們又非常熟悉企業的系統結構和安全漏洞，因此很可能在離任后惡意破壞電子政務系統。為防止這種情況的發生，在員工離任時必須執行嚴格的處理辦法。

　　三、結語

　　電子政務系統是安全高度敏感的系統，任何時候都要切實保證電子政務系統的安全，要制定嚴格的管理制度，對于各種系統安全風險，必須分門別類，對癥下藥，確保數據完整性、信息保密性、信息真實性、數據可用性等。應該站在系統的高度，綜合各方面要素，在投資許可的前提下，采用多種安全技術手段確保電子政務系統的安全。