..
;..
电子 政务涉及对国家秘密信息和高敏感度核心政务的保护,设计维护公共秩序和行政监管的
准确实施,涉及到为 社会 提供公共服务的质量保证。电子政务是党委、政府、人大、政协
有效决策、管理、服务的重要手段,必然会遇到各种敌对势力、恐怖集团、捣乱分子的破坏
和攻击。尤其电子政务是搭建在基于互联网技术的 网络 平台上,包括政务内网、政务外网
和互联网,而互联网的安全先天不足,互联网是一个无行政主管的全球网络,自身缺少设防
和安全隐患很多,对互联网犯罪尚缺乏足够的 法律 威慑,大量的跨国网络犯罪给执法带来
很大的难度。所有上述分子利用互联网进行犯罪则有机可乘,使基于互联网开展的电子政务
应用 面临着严峻的挑战。
对电子政务的安全威胁,包括网上黑客入侵和犯罪、网上病毒泛滥和蔓延、信息间谍的潜入
和窃密、网络恐怖集团的攻击和破坏、内部人员的违规和违法操作、网络系统的脆弱和瘫痪、
信息产品的失控等,应引起足够警惕,采取安全措施,应对这种挑战。
电子政务的安全目标和安全策略
电子政务的安全目标是,保护政务信息资源价值不受侵犯,保证信息资产的拥有者面临
最小的风险和获取最大的安全利益,使政务的信息基础设施、信息应用服务和信息 内容 为
抵御上述威胁而具有保密性、完整性、真实性、可用性和可控性的能力。
为实现上述目标应采取积极的安全策略:
国家主导、社会参与。电子政务安全关系到政府的办公决策、行政监管和公共服务的高质量
和可信实施的大事,必须由国家统筹规划、社会积极参与,才能有效保障电子政务安全。全
局治理、积极防御。电子政务安全必须采用法律威慑、管理制约、技术保障和安全基础设施
支撑的全局治理措施,并且实施防护、检测、恢复和反制的积极防御手段,才能更为有效。
等级保护、保障 发展 。要根据信息的价值等级及所面临的威胁等级,选择适度的安全机制
强度等级和安全技术保障强壮性等级,寻求一个投入和风险可承受能力间的平衡点,保障电
子政务系统健康和积极的发展。
电子政务安全保障体系框架
电子政务安全采取“国家推动、社会参与、全局治理、积极防御、等级保护、保障发展”
的策略,鉴于电子政务的信息安全面临的是一场高技术的对抗,是一场综合性斗争,涉及法
律、管理、标准、技术、产品、服务和基础设施诸多领域,所以电子政务安全,还要从全局
来构建其安全保障的体系框架,以保障电子政务的健康发展。 电子政务安全保障体系由
六要素组成,即安全法规、安全管理、安全标准、安全服务、安全技术产品和安全基础设施
等安全要素。
要素一 安全法律与政策
电子政务的工作内容和工作流程涉及到国家秘密与核心政务,它的安全关系到国家的主
权、国家的安全和公众利益,所以电子政务的安全实施和保障,必须以国家法规形式将其固
化,形成全国共同遵守的规约,成为电子政务实施和运行的行为准则,成为电子政务国际交
往的重要依据,保护守法者和依法者的合法权益,为司法和执法者提供法律依据,对违法、
犯法者形成强大的威慑。
《中华人民共和国保护国家秘密法》已实施十多年,已不完全适应我国当前保密工作的
现状,特别是电子政务的发展,亟待修订。 政务信息公开是电子政务的重要原则,为了
拉近政府和公众的距离,使公众具有知情权、参与权、监督权和享用政府服务的权利,为公
众提供良好的信息服务,充分挖掘政务信息的最大效益,开放政务信息资源(非国家涉密和
适宜公开部分)服务于民是电子政务的重要特征。尽快制订政务信息公开法,适度的解密和
规范开放的规则,保护政府部门间信息的正常交流,保护社会公众对信息的合法享用,打破
对政务信息资源的垄断和封锁,提高政府行政透明度和民主进程是非常有利的和必需的。
电子政务亟待电子签章和电子文档的立法保护,国际已有近20多个国家对数字签名和电
..
;..
子文档进行了立法,使数字签名和电子文档在电子政务和电子商务运行中具有法律效力。这
将大大促进电子政务和电子商务的健康发展,使电子政务原来的双轨制走向单轨制,这有利
于简化程序、降低成本,充分显示电子政务效益是非常有利的。
个人数据保护(隐私法)的需求伴随电子政务的发展日显突出。电子政务在实施行政监
管和公众服务中有大量的个人信息( 自然 人和法人),如户籍、纳税、社保、信用等信息大
量进入了政府网络信息数据库,它对完成电子政务职能发挥巨大作用。但是这些个人信息如
果保护不力或无意被泄漏,而被非法滥用,就可能成为报复、盗窃、推销、讨债、盯梢的工
具。在国外已经出现将盗用的个人隐私信息作为非法商品出售,以牟取暴利的情况,这样直
接损害个人的利益,甚至危及个人的生命安危。因此加快个人数据保护法的制订,是必要的。
还有很多法规的制订都直接关系到电子政务的健康发展,加快制订这些法规,势在必行。
要素二 安全组织与管理
我国信息安全管理职能的格局已经形成,如国家安全部、国家保密局、国家密码管理委
员会、信息产业部、总参……分别执行各自的安全职能,维护国家信息安全。电子政务安全
管理涉及到上述众多的国家安全职能部门,其安全管理职能的协调需要由国家信息化领导机
构,如国家信息化领导小组及其办公室、国家电子政务协调小组、国家信息安全协调小组等
来进行。各地区和部委建立相应的信息安全管理机构,以完成和强化信息安全的管理,形成
自顶向下的信息安全管理组织体系,是电子政务安全实施的必要条件。
制订颁发电子政务安全相关的各项管理条例,及时指导电子政务建设的各种行为,从立
项、承包、采购、设计、实施、运行、操作、监理、服务等各阶段入手,保障电子政务系统
建设全程的安全和安全管理工作的程序化和制度化。
电子政务信息安全域的划分与管理是至关重要的。电子政务有办公决策、行政监管和公
共服务等三种类型业务,其业务信息内容涉及国家机密、部门工作秘密、内部敏感信息和开
放服务信息。既要保护国家秘密又要便于公开服务,因此对信息安全域的 科学 划分和管理,
将有益于电子政务网络平台的安全设计,有益于电子政务的健康和有效的实现。
制订电子政务工程集成商的资质认证管理办法、工程建设监理机构的管理办法、工程外
包商的管理机制和办法,以确保电子政务工程建设的质量和安全,特别是对于电子政务系统
的外包制更要有严格的制约和管理手段。对于电子政务中涉密系统工程的承建,还必须有国
家保密局颁发的涉密系统集成资质证书,其他部分应具有国家或省市相应的系统集成商的资
质证书。对于电子政务涉密部分,不允许托管和外包运行,电子政务其他部分将按相关管理
条例执行。
电子政务工程中使用的信息安全产品,国家将制订相应的采购管理政策,涉及密码的信
息安全产品需有国家密码主管部门的批准证书,信息安全产品应有通过国家测评主管机构的
安全测评的证书,维护信息安全产品的可信性。
电子政务系统信息内容根据管理需求,可以实施对信息内容的安全监控管理,以保护政
务信息安全,防止由于内部违规或外部入侵可能造成的网络泄密,同时也阻止有害信息内容
在政务网上传播。
制订电子政务系统的人员管理、机构管理、文档管理、操作管理、资产与配置管理、介
质管理、服务管理、应急事件管理、保密管理、故障管理、开发与维护管理、作业连续性保
障管理、标准与规范遵从性管理、物理环境管理等各种条例,确保电子政务系统的安全运行。
要素三 安全标准与规范
信息安全标准有利于安全产品的规范化,有利于保证产品安全可信性、实现产品的互联
和互操作性,以支持电子政务系统的互联、更新和可扩展性,支持系统安全的测评与评估,
保障电子政务系统的安全可靠。
还将制订下列标准:涉密电子文档密级划分和标记格式、内容健康性等级划分与标记、
..
;..
内容敏感性等级划分与标记、密码算法标准、密码模块标准、密钥管理标准、pki/ca标准、
pmi标准、信息系统安全评估和信息安全产品测评标准、应急响应等级、保护目标等级、应
急响应指标、电子证据恢复与提取、电子证据有效性界定、电子证据保护、身份标识与鉴别、
数据库安全等级、操作系统安全等级、中间件安全等级、信息安全产品接口规范、数字签
名……。