试论电子政务安全管理体系建设.docVIP

试论电子政务安全管理体系建设 引 言 电子政务作为一种新型的政务管理技术，正在我国蓬勃发展，可以毫不夸张地说，现在如果缺少了电子信息技术这个手段，或者说如果因为安全问题导致电子政务系统无法正常运行，大量的政府部门将完全无法开展正常的工作，将直接给地方的经济发展带来巨大的负面影响。因此，对电子政务安全问题进行研讨是十分及时和必要的。 一、电子政务概念和安全问题现状 电子政务是指政府机构在其管理和服务职能中运用现代信息技术，实现政府组织结构和工作流程的重组优化，超越时间、空间和部门分隔的制约，建成一个精简、高效、廉洁、公平的政府运作模式，是一国的各级政府机关或者是有关机构借助电子信息技术而进行的政务活动，是全面提高政府社会管理能力与公共服务水平的重要技术手段。其实质是通过应用现代信息技术，转变政府传统的集中管理，分层结构运行模式，以适应数字化社会的需求。 电子政务模型可简单概括为三方面：政府部门内部利用先进的网络信息技术实现办公自动化、管理信息化、决策科学化；政府部门之间通过计算机网络而进行的信息共享和适时通信；政府部门与社会各界利用网络信息平台充分进行信息共享与服务、加强群众监督、提高办事效率及促进政务公开等等。因此“政府上网工程”与“电子政务”可谓互为因果，相辅相成，“政府上网工程”的最终目标正是推动电子政务的实现。 通过实地的调查研究，尤其是针对某些政府部门在电子政务应用中发现的问题进行总结，发现当前主要存在五方面的问题，应该引起各有关方面的高度重视。 1、网络安全域的划分和控制问题 很显然，安全与开放是矛盾的，这个在电子政务的应用中也同样存在且显得尤为重要。电子政务中的信息涉及到国家秘密、国家安全，因此它需要绝对的安全。但是同时电子政务现在很重要的发展方向，一是要为社会提供行政监管的渠道，二是要为社会提供公共服务，如社保医保、大量的公众咨询、投诉等等，它同时又需要一定程度的开放。因此如何合理地划分安全域，通俗地讲，能让老百姓看什么，不能让老百姓看什么，在这两者之间寻求一个平衡点就显得非常重要。如一些单位采用VPN的形式进行某些业务操作，但是操作中的部分数据又想通过WEB方式给公众浏览，这时就存在在网络拓扑中WEB应该摆在什么位置、业务数据中心库应该摆在什么位置、如何利用防火墙等网络安全设备合理划分这些域等等问题。 而同时前一阶段正是由于政府公开的信息中过分强调了“安全”这个问题，弱化了“开放”，导致了很多政府部门在电子政务的实际应用中发挥不了多大的正面作用，甚至有负面作用的存在，如制作了一个网页以后无人定期进行维护导致与实际内容有所偏差，甚至有的是明显的错误等。在全社会广泛关注的情况下，一些部门为了迅速扭转在社会公众面前的形象，盲目地将一些信息公开化，导致了一些泄密事件的发生。 2、内部监控、审核问题 电子政务与电子商务的不同点在很大程度上是体现在对公网的利用率上。就像前面提到的电子政务模型中的政府部门内部利用先进的网络信息技术实现办公自动化、管理信息化、决策科学化这一块，就基本是利用VPN等技术实现的专网。抛开公网的庞大黑客群体不谈，内部人员是否对网络进行恶意的操作和是否具有一定程度的网络安全意识，在很大程度上决定该单位网络本身的安全等级系数和防护能力。目前绝大部分单位都没有系统可以实时对内部人员除个人隐私以外的各项具体操作进行监控和记录，更不用谈对一些非法操作进行屏蔽和阻断了。 3、电子政务的信任体系问题 电子政务要做到比较完善的安全保障体系，第三方认证是必不可少的。只有通过一定级别的第三方认证，才能说建立了一套完善的信任体系。 目前比较流行的或者说使用比较广泛的就是P KI信任体系。它包括了密码算法的选择、CPS的制定、捆绑的安全强度等等，但是不能忽视的一点是，这些都是基于电子商务的基础之上建立起来的。电子商务与电子政务毕竟是有很大的不同，如果我们只是简单地把P KI的电子商务应用模式应用到电子政务中来的话，虽然不能说是一团糟，但是它肯定会“水土不服”，出现问题将在所难免。 4、数字签名(签发)问题 在电子政务中，要真正实行无纸化办公，很重要的一点是实现电子公文的流转，而在这之中，数字签名(签发)问题又是重中之重。原因在于这是使公文有效的必要条件。一旦在这个环节上出了问题，可能就会出现很多假文件、错文件，严重的将直接影响政府部门的正常运作。但是，从目前的情况看，数字签名系统不但在实际操作中存在能不能接受的问题，而且系统本身也都不是很完善。 5、电子政务的灾难响应和应急处理问题 在2000年来临前夕，各个单位都对Y2K问题进行了全面准备，当中很重要的一项就是灾难响应和应急处理措施。五年多过去了，这类的措施已经部分或全部失去了作用，原因之一是政府部门在制定这些灾难响应和应急处理措施时，目标都比较局限于Y