電子政務(wù)論文論電子政務(wù)中的信息安全

1、前 言 隨著全球政治經(jīng)濟一體化的日益明顯，以電子政務(wù)為代表的政府管理服務(wù)職能的電子化、自動化、無紙化，目前正在一些國家尤其是發(fā)達國家中快速發(fā)展。在世界各國積極倡導(dǎo)的“信息高速公路”的五個應(yīng)用領(lǐng)域中，“電子政務(wù)”被列為第一位，因此可以說政府信息化是社會信息化的先導(dǎo)，電子政務(wù)是信息化社會發(fā)展的必然。電子政務(wù)是一國的各級政府機關(guān)或者是有關(guān)機構(gòu)借助電子信息技術(shù)而進行的政務(wù)活動。其實質(zhì)是通過應(yīng)用信息技術(shù)，轉(zhuǎn)變政府傳統(tǒng)的集中管理，分層結(jié)構(gòu)運行模式，以適應(yīng)數(shù)字化社會的需求。電子政務(wù)主要由政府部門內(nèi)部的數(shù)字化辦公，政府部門之間通過計算機網(wǎng)絡(luò)而進行的信息共享和適時通信。政府部門通過網(wǎng)絡(luò)與公眾進行的雙向交流三部分

2、組成。由于電子政務(wù)依賴于計算機和網(wǎng)絡(luò)技術(shù)而存在，這就意味著，電子政務(wù)的應(yīng)用就不可避免的與INTERNET打交道。電子政務(wù)涉及對國家秘密信息和高敏感度核心政務(wù)的保護，設(shè)計維護公共秩序和行政監(jiān)管的準確實施，涉及到為社會提供公共服務(wù)的質(zhì)量保證。電子政務(wù)是黨委、政府、人大、政協(xié)有效決策、管理、服務(wù)的重要手段，必然會遇到各種敵對勢力、恐怖集團、搗亂分子的破壞和攻擊。尤其電子政務(wù)是搭建在基于互聯(lián)網(wǎng)技術(shù)的網(wǎng)絡(luò)平臺上，包括政務(wù)內(nèi)網(wǎng)、政務(wù)外網(wǎng)和互聯(lián)網(wǎng)，而互聯(lián)網(wǎng)的安全先天不足，互聯(lián)網(wǎng)是一個無行政主管的全球網(wǎng)絡(luò)，自身缺少設(shè)防和安全隱患很多，對互聯(lián)網(wǎng)犯罪尚缺乏足夠的法律威懾，大量的跨國網(wǎng)絡(luò)犯罪給執(zhí)法帶來很大的難度。所

3、有上述分子利用互聯(lián)網(wǎng)進行犯罪則有機可乘，使基于互聯(lián)網(wǎng)開展的電子政務(wù)應(yīng)用面臨著嚴峻的挑戰(zhàn)。 對電子政務(wù)的安全威脅，包括網(wǎng)上黑客入侵和犯罪、網(wǎng)上病毒泛濫和蔓延、信息間諜的潛入和竊密、網(wǎng)絡(luò)恐怖集團的攻擊和破壞、內(nèi)部人員的違規(guī)和違法操作、網(wǎng)絡(luò)系統(tǒng)的脆弱和癱瘓、信息產(chǎn)品的失控等，應(yīng)引起足夠警惕，采取安全措施，應(yīng)對這種挑戰(zhàn)。第一章 電子政務(wù)中信息安全的幾個基本問題1.1 電子政務(wù)電子政務(wù)是政府在國民經(jīng)濟和社會信息化的背景下，以提高政府辦公效率，改善決策和投資環(huán)境為目標，將政府的信息發(fā)布、管理、服務(wù)、溝通功能向互聯(lián)網(wǎng)上遷移的系統(tǒng)解決方案。同時也提供了結(jié)合政府管理流程再造，構(gòu)建和優(yōu)化政府內(nèi)部管理系統(tǒng)、決策支持

4、系統(tǒng)、辦公自動化系統(tǒng)，為政府信息管理、服務(wù)水平的提高提供強大的技術(shù)和咨詢支持。1.2 信息安全信息安全是指一個國家的社會信息化狀態(tài)不受外來的威脅與侵害；一個國家的信息技術(shù)體系不受外來的威脅與侵害。電子政務(wù)中的信息安全包括了信息的機密性、完整性、可信性、可控性、不可否認性等。我國立法把信息安全界定為“保障計算機及其相關(guān)的和配套的設(shè)備、設(shè)施(網(wǎng)絡(luò))的安全，運行環(huán)境的安全，保障信息安全，保障計算機功能的正常發(fā)揮，以維護計算機信息系統(tǒng)的安全”。從這一法律規(guī)定看，計算機信息系統(tǒng)安全應(yīng)當(dāng)包括實體安全、信息安全、運行安全和人的安全。其中，人的安全主要是指計算機使用人員的安全意識、法律意識、安全技能等；實體安

5、全是指保護計算機設(shè)備、設(shè)施(含網(wǎng)絡(luò))以及其他媒體免遭自然和人為破壞的措施、過程。實體安全包括環(huán)境安全、設(shè)備安全和媒體安全三個方面；計算機信息系統(tǒng)的運行安全包括：系統(tǒng)風(fēng)險管理、審計跟蹤、備份與恢復(fù)、應(yīng)急四個方面的內(nèi)容。所謂計算機信息系統(tǒng)的信息安全是指防止信息被故意的或偶然的非法授權(quán)泄漏、更改、破壞或使信息被非法系統(tǒng)辨識、控制，即確保信息的保密性、完整性、可用性、可控性。針對計算機信息系統(tǒng)中信息存在形式和運行特點，信息安全包括操作系統(tǒng)安全、數(shù)據(jù)庫安全、網(wǎng)絡(luò)安全、病毒保護、訪問控制、加密與鑒別七個方面。1.3 電子政務(wù)中的信息安全電子政務(wù)中的信息安全包括了信息的機密性、完整性、可信性、可控性、不可否

6、認性等。我國立法把信息安全界定為“保障計算機及其相關(guān)的和配套的設(shè)備、設(shè)施(網(wǎng)絡(luò))的安全，運行環(huán)境的安全，保障信息安全，保障計算機功能的正常發(fā)揮，以維護計算機信息系統(tǒng)的安全”。從這一法律規(guī)定看，計算機信息系統(tǒng)安全應(yīng)當(dāng)包括實體安全、信息安全、運行安全和人的安全。其中，人的安全主要是指計算機使用人員的安全意識、法律意識、安全技能等；實體安全是指保護計算機設(shè)備、設(shè)施(含網(wǎng)絡(luò))以及其他媒體免遭自然和人為破壞的措施、過程。實體安全包括環(huán)境安全、設(shè)備安全和媒體安全三個方面；計算機信息系統(tǒng)的運行安全包括：系統(tǒng)風(fēng)險管理、審計跟蹤、備份與恢復(fù)、應(yīng)急四個方面的內(nèi)容。所謂計算機信息系統(tǒng)的信息安全是指防止信息被故意的或

7、偶然的非法授權(quán)泄漏、更改、破壞或使信息被非法系統(tǒng)辨識、控制，即確保信息的保密性、完整性、可用性、可控性。針對計算機信息系統(tǒng)中信息存在形式和運行特點，信息安全包括操作系統(tǒng)安全、數(shù)據(jù)庫安全、網(wǎng)絡(luò)安全、病毒保護、訪問控制、加密與鑒別七個方面。1.4 信息安全在國家安全中的地位電子政務(wù)中政府信息安全實質(zhì)是由于計算機信息系統(tǒng)作為國家政務(wù)的載體和工具，而引發(fā)的信息安全。信息安全成為當(dāng)前政府信息化中的關(guān)鍵問題。安全問題是電子政務(wù)建設(shè)中的重中之重。電子政務(wù)中的政府信息安全是國家安全的重要內(nèi)容，是保障國家信息安全所不可忽缺的組成部分。信息安全涉及到政治、經(jīng)濟、軍事、文化等方方面面，由于互聯(lián)網(wǎng)發(fā)展在地域上極不平衡

8、，信息強國對于信息弱國已經(jīng)形成了戰(zhàn)略上的“信息位勢差”，居于信息低位勢的國家的政治安全、經(jīng)濟安全、軍事安全乃至民族文化傳統(tǒng)都將面臨前所未有的沖擊、挑戰(zhàn)和威脅，互聯(lián)網(wǎng)成為超級大國謀求跨世紀戰(zhàn)略優(yōu)勢的工具?！靶畔⒔颉辈皇且詡鹘y(tǒng)的地緣、領(lǐng)土、領(lǐng)空、領(lǐng)海來劃分，而是以帶有政治影響力的信息輻射空間來劃分?！靶畔⒔颉钡拇笮?、“信息邊界”的安全，關(guān)系到一個民族、一個國家在信息時代的興衰存亡。在知識經(jīng)濟時代，一個國家的信息獲取能力以及在社會生產(chǎn)生活領(lǐng)域中的“信息制控權(quán)”，將成為這個國家在新世紀的生存與發(fā)展競爭中能否占據(jù)主動的關(guān)鍵。1.5 政府信息安全的保護一個國家的信息安全，實際是由兩方面構(gòu)成的。其一，為

9、一個國家在信息安全方面采取的一系列組織措施及有關(guān)政策、法規(guī)；其二，為強有力的、切實可行的技術(shù)手段及有關(guān)技術(shù)裝備。前者反映了一個國家在信息安全方面的決心、意志和戰(zhàn)略、策略；后者反映了一個國家在信息安全方面的實力。信息技術(shù)是信息安全的前提和基礎(chǔ)，信息安全的國家發(fā)展戰(zhàn)略(包括信息安全法律制度)，早已從一個產(chǎn)業(yè)問題上升為一個事關(guān)國家的社會、文化、軍事等各方面的核心問題。在信息安全中其地位舉足輕重，尤其作為信息技術(shù)相對落后的我國如何調(diào)整信息安全戰(zhàn)略，完善信息安全保障法律規(guī)范，不僅是提高信息安全保障能力的手段和方法，而且是提高信息安全技術(shù)的前提和保證。所以我國“計算機信息安全的保護主要包括兩方面的內(nèi)容，一

10、是國家安全監(jiān)督管理，二是計算機信息系統(tǒng)使用單位自身的保護措施。實施計算機信息系統(tǒng)保護的措施包括：安全法規(guī)、安全管理、安全技術(shù)三方面”。 信息安全是一項極其復(fù)雜的系統(tǒng)工程，在安全法規(guī)、安全管理、安全技術(shù)的保障措施中，安全技術(shù)是信息安全的基礎(chǔ)；安全管理是信息安全的關(guān)鍵；安全法規(guī)是信息安全的保證。采用先進可靠的安全技術(shù)是維護信息安全的有力保障。事實上，大多數(shù)安全事件和安全隱患的發(fā)生與其說是技術(shù)上的原因，不如說是管理中的緣故。我國已發(fā)生的許多計算機安全事件(包括計算機犯罪行為)，技術(shù)手段并不高明，僅僅是由于鉆了管理上的漏洞。管理的關(guān)鍵在于管好人。因為一方面各種安全措施要靠人實施，另一方面有相當(dāng)多的威脅

11、網(wǎng)絡(luò)的行為出自系統(tǒng)內(nèi)部人員。因此必須提高安全管理人員的素質(zhì)，加強對系統(tǒng)內(nèi)部人員和網(wǎng)絡(luò)用戶的教育和管理。采用安全技術(shù)，加強安全管理，可以大大提高網(wǎng)絡(luò)的安全性。為了切實貫徹執(zhí)行這些安全措施，并有實施的法律依據(jù)，制定保障網(wǎng)絡(luò)安全的法律、法規(guī)就顯得尤為必要。對于已經(jīng)發(fā)生的違法行為，只能依靠法律進行懲處，當(dāng)然也包括一些民事行為的法律調(diào)整，這是保護網(wǎng)絡(luò)安全的最終手段。同時通過法律的威懾力，還可以使有犯罪意識者產(chǎn)生畏懼心理，達到懲一儆百的效果。法律還可以便公民了解在網(wǎng)絡(luò)的管理和應(yīng)用中什么是違法行為，而自覺地不為，從而創(chuàng)造一個良好的社會環(huán)境，起到保護網(wǎng)絡(luò)安全的重要作用。所以說法律又是網(wǎng)絡(luò)安全的第一道防線。綜觀

12、各國信息安全法律政策，其主要特征有：1.以國家信息安全的組織保障為原則各國在其信息安全法律政策中，無不明確規(guī)定了國家信息安全工作的管理機構(gòu)以及各個機構(gòu)的職責(zé)范圍，在各個層次上都力求做到分工負責(zé)、各司其責(zé)。如美國的計算機安全法明確規(guī)定，由商務(wù)部所屬的國家標準和技術(shù)局(NIST)負責(zé)有關(guān)敏感信息的信息安全工作，具體負責(zé)主持制定和推廣計算機安全標準和指導(dǎo)方針，為聯(lián)邦政府解決各種信息安全問題，其中包括安全規(guī)劃、風(fēng)險管理、應(yīng)急計劃、安全教育培訓(xùn)、網(wǎng)絡(luò)安全加密技術(shù)、身份認證、智能卡應(yīng)用、計算機病毒檢測與防治等等；由國防部所屬的國家安全局(NSA)負責(zé)例如“國家安全系統(tǒng)”，即由政府及其合同單位或代理機構(gòu)管理

13、的信息系統(tǒng)中保密信息的信息安全工作，其中包括國家保密信息、美國憲法2315款第102項(Warner修正案)規(guī)定的信息、涉及諜報(Intelligence)的信息、涉及與國家安全有關(guān)的秘密活動(Cryptlogic)的信息、涉及軍隊指揮和控制的佰息、涉及屬于武器和武器系統(tǒng)設(shè)備的信息以及對于完成軍事或情報任務(wù)至關(guān)重要的設(shè)備的信息等等。2以國家信息安全的全面保障為基礎(chǔ)信息安全是個巨大的系統(tǒng)工程，需要各方面力量的綜合協(xié)調(diào)，更需要涉及信息活動的人員、信息系統(tǒng)的實體、信息系統(tǒng)的運行和系統(tǒng)中的信息的安全。因此，信息安全保障應(yīng)當(dāng)以全面、嚴密為基礎(chǔ)。如美國政府關(guān)于國家信息安全保障的行動策略主要有，制定信息資源

14、安全管理的全面政策。實施風(fēng)險評估、安全規(guī)劃、運行安全和各種驗證的方法；出版了信息系統(tǒng)安全產(chǎn)品和服務(wù)自錄；對信息系統(tǒng)的各個環(huán)節(jié)以及各機構(gòu)信息安全管理工作的效率加以評估；全力支持對安全措施的投入；協(xié)調(diào)各個機構(gòu)的信息安全工作；監(jiān)督政府信息安全管理原則、標準、指導(dǎo)方針的制定和推廣工作；強化計算機信息系統(tǒng)人員的安全法律培訓(xùn)等等。3以國家信息安全的技術(shù)防范為核心 社會信息化的發(fā)展實質(zhì)是計算機技術(shù)為核心的信息技術(shù)在人類社會生活中充分發(fā)揮其主導(dǎo)控制作用的過程。任何國家的信息安全保護都不能脫離信息技術(shù)本身，就信息安全的法律保護和技術(shù)保護的關(guān)系來說，技術(shù)保護是基礎(chǔ)和前提，法律保護只是技術(shù)保護的手段。，因而各國信息

15、安全立法都以國家信息安全的技術(shù)防范為核心。20世紀80年代，美國率先在計算機保密模型的基礎(chǔ)上，制定了可估計算機系統(tǒng)安全評價準則(TCSEC)，隨后又制定了關(guān)于網(wǎng)絡(luò)系統(tǒng)、數(shù)據(jù)庫等方面的系列安全解釋，形成了安全信息系統(tǒng)體系結(jié)構(gòu)的最早原則。20世紀90年代初，歐洲英、法、德、荷四國共同提出了包括保密性、完整性、可用性等性質(zhì)的信息技術(shù)安全評價準則(ITSFC)。近年來，美國國家安全局、美國國家技術(shù)標準研究所和加、英、法、德、荷等六國七方共同提出了信息技術(shù)安全評價通用準則(CCforITSEC)，綜合了國際上已有的評價準則和技術(shù)標準的精華，給出了信息安全保護的框架和原則要求。4以國家信息安全的技術(shù)標準為

16、內(nèi)容將技術(shù)標準納入國家信息安全保障的政策法律體系范疇，賦予技術(shù)標準以國家意志的屬性，使其具有強制實施的法律效力，是世界各國的一致行動。美國從20世紀70年代初就開始制定信息技術(shù)的安全標準，現(xiàn)在已經(jīng)形成了由國家標準化協(xié)會制定的國家標準(ANSI)、由國家標準局制定的聯(lián)邦信息處理安全標準(FIPS)以及由國防部制定的信息安全指令和標準(DOD)三位一體的國家信息安全標準體系，從不同的角度規(guī)范國家的信息安全。歐盟除了發(fā)布前已所述的信息技術(shù)安全性評測標準(ITSEC)之外，還有由歐洲計算機廠商協(xié)會規(guī)定的被歐洲國家共同執(zhí)行的計算機信息安全標準。第二章 我國電子政務(wù)信息安全的目標及現(xiàn)狀2.1 電子政務(wù)信息

17、安全的目標信息系統(tǒng)信息安全的宗旨是通過在實現(xiàn)信息系統(tǒng)時充分考慮到自身、伙伴和客戶的信息風(fēng)險，確保組織能夠完成它的全部使命和目標。進而言之，電子政務(wù)系統(tǒng)信息安全的宗旨就是通過在實現(xiàn)信息系統(tǒng)時充分考慮信息風(fēng)險，從而確保一個政府部門能夠有效地完成法律所賦予的政府職能。電子政務(wù)信息安全必須實現(xiàn)以下目標：2.1.1 可用性目標 可用性目標是指確保電子政務(wù)系統(tǒng)有效率地運轉(zhuǎn)并使授權(quán)用戶得到所需信息服務(wù)。通常，可用性目標是電子政務(wù)系統(tǒng)的首要信息安全目標。2.1.2 完整性目標 完整性目標包括兩個方面：數(shù)據(jù)完整性和系統(tǒng)完整性。通常，完整性目標是電子政務(wù)系統(tǒng)除了可用性目標之外最重要的信息安全目標。 2.1.3 保

18、密性目標 保密性目標是指不向非授權(quán)個人和部門暴露私有或者保密信息。通常，對于大多數(shù)電子政務(wù)系統(tǒng)而言，保密性目標在信息安全的重要程度排序中僅次于可用性目標和完整性目標。然而，對于某些特定的電子政務(wù)系統(tǒng)和數(shù)據(jù)，保密性目標是最重要的信息安全目標。 2.1.4 可記賬性目標 可記賬性目標是指電子政務(wù)系統(tǒng)能夠如實記錄一個實體的全部行為。通常，可記賬性目標是政府部門的一種策略需求?？捎涃~性目標可以為拒絕否認、威懾違規(guī)、隔離故障、檢測和防止入侵、事后恢復(fù)和法律訴訟提供支持。2.1.5 保障性目標 保障性是電子政務(wù)系統(tǒng)信息安全的信任基。保障性目標突出了這樣的事實：對于希望做到安全的信息系統(tǒng)而言，不僅需要提供預(yù)

19、期的功能，而且需要保證不會發(fā)生非預(yù)期的行為。具體而言，保障性目標是指：提供并正確實現(xiàn)需要的電子政務(wù)功能；在用戶或者軟件無意中出現(xiàn)差錯時，提供充分保護；在遭受惡意的系統(tǒng)穿透或者旁路時，提供充足防護。2.2 我國電子政務(wù)中信息安全的現(xiàn)狀及表現(xiàn)目前我國電子政務(wù)中的政府信息安全問題突出表現(xiàn)在：一是我國政府信息網(wǎng)絡(luò)安全存在嚴重隱患。網(wǎng)絡(luò)非常脆弱，各種安全隱患普遍存在。掌握了一定技術(shù)的人可以輕易獲取網(wǎng)絡(luò)服務(wù)器上的用戶賬號信息和口令文件，并可進入系統(tǒng)修改、刪除重要數(shù)據(jù)文件。一旦這些系統(tǒng)被非法侵入和破壞，將不能正常工作，甚至全部癱瘓，給國家?guī)碇卮髶p失。二是互聯(lián)網(wǎng)上和針對計算機信息系統(tǒng)的違法犯罪活動日益增多。

20、近年來，金融機構(gòu)內(nèi)部利用計算機犯罪案件大幅度上升；在互聯(lián)網(wǎng)上泄露國家秘密的案件屢有發(fā)生；提供境外黃色站點的錯接服務(wù)，向國內(nèi)用戶提供色情信息。三是境內(nèi)外黑客攻擊破壞網(wǎng)絡(luò)的問題十分嚴重。他們通常采用非法侵入重要信息系統(tǒng)，修改或破壞系統(tǒng)功能或數(shù)據(jù)等手段，造成數(shù)據(jù)丟失或系統(tǒng)癱瘓，給國家造成重大政治影響和經(jīng)濟損失。四是境內(nèi)外敵對勢力、敵對分子和非法組織利用互聯(lián)網(wǎng)進行煽動、滲透、組織、聯(lián)絡(luò)等非法活動日趨突出。他們通過建立針對境內(nèi)的反動宣傳、煽動的站點，利用電子公告欄、新聞討論等公共媒體，發(fā)表反動文章，散布反動言論，煽動反政府情緒；利用互聯(lián)網(wǎng)進行組黨結(jié)社，公開吸納成員；利用電子郵件直接向國內(nèi)用戶發(fā)送反動刊物

21、；利用電子郵件進行聯(lián)絡(luò)。對電子政務(wù)中的政府信息安全受侵害的方式主要包括：偷竊、分析、冒充、篡改、抵賴等。目前我國電子政務(wù)中的政府信息安全問題突出表現(xiàn)在：(1)網(wǎng)絡(luò)非常脆弱，各種安全隱患普遍存在。掌握了一定技術(shù)的人可以輕易獲取網(wǎng)絡(luò)服務(wù)器上的用戶賬號信息和文件并可進入系統(tǒng)修改刪除重要數(shù)據(jù)文件。一旦電子政務(wù)系統(tǒng)被非法侵入和破壞它將不能正常工作甚至全部癱瘓。如果系統(tǒng)的安全性被破壞造成敏感信息暴露或丟失，或網(wǎng)絡(luò)被攻擊等安全事件那么產(chǎn)生的后果必然波及地區(qū)和整個國家的安全，這種破壞將會給國家?guī)碇卮髶p失。由此看來，電子政務(wù)信息系統(tǒng)也必然成為信息間諜、敵對勢力，恐怖集團、國家之間信息戰(zhàn)攻擊的目標。（2）病毒破

22、壞黑客入侵、重要信息泄漏等危害越來越大。國家規(guī)定涉及國家秘密的計算機信息系統(tǒng)，不得直接或間接與國際互聯(lián)網(wǎng)或其它公共網(wǎng)絡(luò)聯(lián)接。（3）我國大部分政府官員和公務(wù)員對信息技術(shù)、網(wǎng)絡(luò)技術(shù)和計算機技術(shù)還未接觸或接觸不多,所以對高新信息技術(shù)應(yīng)用方面的能力也比較欠缺,整體素質(zhì)與電子政務(wù)建設(shè)要求也還有很大的距離,對電子政務(wù)建設(shè)就缺乏應(yīng)有的積極態(tài)度。（4）一些信息技術(shù)廠商夸張地炫耀信息技術(shù)產(chǎn)品的性能和先進性,錯誤的提供了信息技術(shù)、網(wǎng)絡(luò)技術(shù)和計算機技術(shù)應(yīng)用范圍的信息,使我國部分政府官員和公務(wù)員認為只有專業(yè)人士才能很好的使用,人為地擴大了信息技術(shù)提供者和應(yīng)用者之間的“數(shù)字鴻溝”，加大了信息安全的隱患。（5）隨著電子政

23、務(wù)向縱深發(fā)展，業(yè)務(wù)的敏感性和業(yè)務(wù)系統(tǒng)之間的相互操作越來越多，因業(yè)務(wù)系統(tǒng)敏感性導(dǎo)致的網(wǎng)上真實的有效確認、業(yè)務(wù)數(shù)據(jù)的安全、業(yè)務(wù)系統(tǒng)之間的相互責(zé)任等信息安全問題成為電子政務(wù)建設(shè)中必需要解決的問題。第三章 我國電子政務(wù)中信息安全的保護對策針對我國信息安全的現(xiàn)狀，結(jié)合我國電子政務(wù)的實際，當(dāng)前在政府信息安全的保護方面的當(dāng)務(wù)之急是：3.1 盡快建立我國信息安全的保護體系3.1.1 迅速健全信息安全保護的組織機制國家信息化工作領(lǐng)導(dǎo)小組是站在國家的高度，對網(wǎng)絡(luò)信息的國家發(fā)展總體戰(zhàn)略進行規(guī)劃、設(shè)計、研究，組織、協(xié)調(diào)、配合有關(guān)部門進行立法調(diào)研，使國家在網(wǎng)絡(luò)信息方面的立法成為一個有機的整體。但地方政府和重點保護的重要

24、領(lǐng)域相應(yīng)的組織機構(gòu)還不健全；中華人民共和國計算機信息系統(tǒng)安全保護條例中確立了公安部主管全國計算機信息系統(tǒng)安全保護工作，但由于編制等原因許多地方公安機關(guān)沒有成立專門的機構(gòu)，警力尤其是適應(yīng)計算機信息技術(shù)高速發(fā)展的警力配備不足等。最好能組建國家信息安全委員會，組織和協(xié)調(diào)國家安全、公安、保密等職能部門，在信息化建設(shè)中信息安全的分工，對國家信息安全政策統(tǒng)一步調(diào)、統(tǒng)籌規(guī)劃。因此盡快健全相應(yīng)的信息安全保障的組織機構(gòu)是信息安全保護的組織保證。3.1.2 盡快完善國家信息安全基礎(chǔ)設(shè)施建設(shè)我國目前信息安全基礎(chǔ)設(shè)施的建設(shè)還處于初級階段，需要逐步完善。當(dāng)前迫切需要建立的國家信息安全基礎(chǔ)設(shè)施建設(shè)包括：國際出入口監(jiān)控中心

25、、安全產(chǎn)品評測認怔中心、病毒檢測和防治中心。關(guān)鍵網(wǎng)絡(luò)系統(tǒng)災(zāi)難恢復(fù)中心、系統(tǒng)攻擊和反攻擊中心、電子保密標簽監(jiān)管中心、網(wǎng)絡(luò)安全緊急處置中心、電子交易證書授權(quán)中心、密鑰恢復(fù)監(jiān)管中心、密鑰基礎(chǔ)設(shè)施與監(jiān)管中心、信息戰(zhàn)防御研究中心等。其中，國際出入口監(jiān)控中心和安全產(chǎn)品評測認證中心已初步建成。安全產(chǎn)品評測認證中心由安全標準研究、產(chǎn)品安全測試、系統(tǒng)安全評估、認證注冊部門和信息安全專家委員會組成。國家信息安全基礎(chǔ)設(shè)施建設(shè)是信息安全技術(shù)保證。3.1.3 堅定地確立信息安全產(chǎn)業(yè)的策略目前就我國的信息產(chǎn)業(yè)無論是技術(shù)、管理還是生產(chǎn)規(guī)模、服務(wù)觀念，都不具備力量在短時間內(nèi)使國產(chǎn)信息產(chǎn)品占領(lǐng)國內(nèi)的主要市場。但是我國必須建立起

26、獨立自主的信息安全產(chǎn)業(yè)。自主的信息產(chǎn)業(yè)或信息產(chǎn)品國產(chǎn)化是信息安全的根本。國產(chǎn)化不等于絕對安全，而絕對安全卻需要國產(chǎn)化。國家可集中人力、物力和給以政策，大力發(fā)展自主的專用芯片、自主嵌入式操作系統(tǒng)和自主的密碼技術(shù)產(chǎn)品等，以確保關(guān)鍵部門的信息系統(tǒng)的安全。信息安全產(chǎn)業(yè)的策略是信息安全的基本保證。3.2 進一步完善我國信息安全保障的法律體系雖然我國已頒布相當(dāng)數(shù)量的信息安全方面的法律規(guī)范如關(guān)于維護互聯(lián)網(wǎng)安全的決定、中華人民共和國計算機信息系統(tǒng)安全保護條例、計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法、商用密碼管理條例、金融機構(gòu)計算機信息系統(tǒng)安全保護工作暫行規(guī)定、計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定、計算機信息系統(tǒng)

27、安全專用產(chǎn)品檢測和銷售許可證管理辦法、計算機信息系統(tǒng)安全專用產(chǎn)品分類原則等，但立法層次不高，現(xiàn)行的有關(guān)信息安全的法律規(guī)范大多只是國務(wù)院制定的行政法規(guī)或國務(wù)院部委制定的行政規(guī)章；法律規(guī)定之間不統(tǒng)一；立法理念和立法技術(shù)相對滯后等，因此要進一步完善我國信息安全的法律保障體系應(yīng)當(dāng)做到：3.2.1 確立科學(xué)的信息安全法律保護理念為了使國家的政策法律能夠適應(yīng)社會存在的現(xiàn)實和需求，需要確立起法制建設(shè)要保障和促進國家的信息化發(fā)展、法制建設(shè)為社會信息化發(fā)展提供全面服務(wù)的指導(dǎo)思想，修正傳統(tǒng)的立法理念，從徹底改革國家傳統(tǒng)的經(jīng)濟體制和保障機制入手，改變落后的調(diào)整方法，把信息安全法制保障的重點從單純的“規(guī)范”、“控制”

28、轉(zhuǎn)移到首先為信息化的建設(shè)與發(fā)展“掃清障礙”上來，以規(guī)范發(fā)展達到保障發(fā)展，由保障發(fā)展實現(xiàn)促進發(fā)展，構(gòu)筑促進國家信息化發(fā)展的社會環(huán)境，形成適于信息網(wǎng)絡(luò)安全實際需要的法治文化。3.2.2 構(gòu)建完備的信息安全法律體系信息化的社會秩序主要由三個基礎(chǔ)層面的內(nèi)容所構(gòu)成，即信息社會活動的公共需求，信息社會生活的基本支柱和信息社會所特有的社會關(guān)系。信息社會活動的公共需求是往往以政府意志的形式代為表現(xiàn)的社會公眾的共同意愿，其主要包括國家信息化建設(shè)的基本目標、發(fā)展綱領(lǐng)、建設(shè)規(guī)劃、行動策略、工作計劃等等，是指導(dǎo)國家信息化發(fā)展的基本內(nèi)容，也是國家信息化建設(shè)的公共需求；信息社會生活的基本支柱是由信息化的技術(shù)屬性所決定的、

29、國家信息化建設(shè)賴以萌芽、生成和發(fā)展的信息技術(shù)及其應(yīng)用，包括計算機技術(shù)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、安全技術(shù)、電子商務(wù)技術(shù)等等，它是信息社會生活必不可少的基本支柱；信息社會所特有的社會關(guān)系是指在國家信息化建設(shè)的過程中，參與其中的各個主體之間由于其信息化活動而產(chǎn)生的各種社會關(guān)系，具體將表現(xiàn)為相應(yīng)的法律關(guān)系，其中主要包括信息民事法律關(guān)系、信息刑事法律關(guān)系、信息經(jīng)濟法律關(guān)系、信息行政法律關(guān)系、信息科技法律關(guān)系以及信息社會所特有的各種法律關(guān)系。與之相適應(yīng)，國家信息化建設(shè)所應(yīng)有的政策法律環(huán)境也就必然是由對應(yīng)的指導(dǎo)政策、技術(shù)標準和法律規(guī)范等三項內(nèi)容所共同構(gòu)建的三位一體的且能夠發(fā)揮促進、激勵和規(guī)范作用的有機的體系。3

30、.2.3 強化超前的信息安全法律效率信息技術(shù)突飛猛進，信息安全政策、法律的促進作用不應(yīng)僅僅是被動適應(yīng)和滯后，在國家信息化建設(shè)中，更多地還應(yīng)表現(xiàn)為對技術(shù)的主動規(guī)范性和前瞻性。信息安全政策法律必須促進信息技術(shù)的進步，因此要強化超前的信息安全政策法律的效率。在制訂政策和創(chuàng)設(shè)法律時應(yīng)當(dāng)借鑒國際社會關(guān)于“技術(shù)中立”的主流思想，注意政策和法律符合技術(shù)的特殊要求，同時為技術(shù)的發(fā)展和完善預(yù)留空間，排除可能窒息技術(shù)發(fā)展的可能性，提高法律自身對信息社會的適應(yīng)性。在具體做法上，則可以吸取外國的“明示式”和“開放式”立法模式中有益的成分，參照“準則式”的立法模式解決技術(shù)和法律之間的矛盾，鼓勵技術(shù)創(chuàng)新，開發(fā)自主的知識產(chǎn)

31、權(quán)，加強技術(shù)標準體系的建立和完善，提高國家信息法律規(guī)范的效率。3.2.4 主動融入國際信息安全的法律體系世界經(jīng)濟一體化，使得“法律全球化不僅有條件，有可能，而且有必要，更是一種發(fā)展趨勢”。由于信息化是建筑在例如因特網(wǎng)的國際互聯(lián)基礎(chǔ)之上，人類信息社會是全球范圍內(nèi)的各國一體的信息化。因此，信息的政策和法律就必然具有國際化的屬性，具體表現(xiàn)為有關(guān)的“國際游戲規(guī)則”。我們在制訂政策和法律的時候，要特別注意和現(xiàn)有的國際規(guī)則的兼容包括在立法思想、方式方法上和具體法律規(guī)定等各方面的相互兼容；要積極主動地參與國際規(guī)則的創(chuàng)設(shè)，以維護我國的實際利益。在主動參與和合作、促進、創(chuàng)設(shè)的過程中，真正地主動融人國際大環(huán)境。3

32、.2.5 建立電子政務(wù)信息安全四大體系    電子政務(wù)安全采取"國家推動、社會參與、全局治理、積極防御、等級保護、保障發(fā)展"的策略，鑒于電子政務(wù)的信息安全面臨的是一場高技術(shù)的對抗，是一場綜合性斗爭，涉及法律、管理、標準、技術(shù)、產(chǎn)品、服務(wù)和基礎(chǔ)設(shè)施諸多領(lǐng)域，所以電子政務(wù)安全，還要從全局來構(gòu)建其安全保障的體系框架，以保障電子政務(wù)的健康發(fā)展。電子政務(wù)安全保障體系由六要素組成，即安全法規(guī)、安全管理、安全標準、安全服務(wù)、安全技術(shù)產(chǎn)品和安全基礎(chǔ)設(shè)施等安全要素。     要素一 安全法律與政策    

33、; 電子政務(wù)的工作內(nèi)容和工作流程涉及到國家秘密與核心政務(wù)，它的安全關(guān)系到國家的主權(quán)、國家的安全和公眾利益，所以電子政務(wù)的安全實施和保障，必須以國家法規(guī)形式將其固化，形成全國共同遵守的規(guī)約，成為電子政務(wù)實施和運行的行為準則，成為電子政務(wù)國際交往的重要依據(jù)，保護守法者和依法者的合法權(quán)益，為司法和執(zhí)法者提供法律依據(jù)，對違法、犯法者形成強大的威懾。     要素二 安全組織與管理     我國信息安全管理職能的格局已經(jīng)形成，如國家安全部、國家保密局、國家密碼管理委員會、信息產(chǎn)業(yè)部、總參.分別執(zhí)行各自的安全職能，維護國家信息安全。電子政務(wù)安全管

34、理涉及到上述眾多的國家安全職能部門，其安全管理職能的協(xié)調(diào)需要由國家信息化領(lǐng)導(dǎo)機構(gòu)，如國家信息化領(lǐng)導(dǎo)小組及其辦公室、國家電子政務(wù)協(xié)調(diào)小組、國家信息安全協(xié)調(diào)小組等來進行。各地區(qū)和部委建立相應(yīng)的信息安全管理機構(gòu)，以完成和強化信息安全的管理，形成自頂向下的信息安全管理組織體系，是電子政務(wù)安全實施的必要條件。     要素三 安全標準與規(guī)范     信息安全標準有利于安全產(chǎn)品的規(guī)范化，有利于保證產(chǎn)品安全可信性、實現(xiàn)產(chǎn)品的互聯(lián)和互操作性，以支持電子政務(wù)系統(tǒng)的互聯(lián)、更新和可擴展性，支持系統(tǒng)安全的測評與評估，保障電子政務(wù)系統(tǒng)的安全可靠。  

35、   要素四 安全保障與服務(wù)     1.電子政務(wù)系統(tǒng)建設(shè)，要構(gòu)建其技術(shù)安全保障架構(gòu)，對大型電子政務(wù)系統(tǒng)要建立縱深防御體系。     2.推廣電子政務(wù)信息系統(tǒng)安全工程（ISSE）的控制方法，全面實現(xiàn)安全服務(wù)要求。     要素五 安全技術(shù)與產(chǎn)品     1.加強安全技術(shù)和產(chǎn)品的自主研制和創(chuàng)新。     由于電子政務(wù)的國家涉密性，電子政務(wù)系統(tǒng)工程的安全保障需要各種有自主知識產(chǎn)權(quán)的信息安全技術(shù)和產(chǎn)品，全面推動自主研發(fā)和創(chuàng)新這些技術(shù)

36、和產(chǎn)品是電子政務(wù)安全的需要。     2.電子政務(wù)安全產(chǎn)品的選擇。     整個電子政務(wù)的安全，涉及信息安全產(chǎn)品的全局配套和科學(xué)布置，產(chǎn)品選擇應(yīng)充分考慮產(chǎn)品的自主權(quán)和自控權(quán)。 產(chǎn)品可涉及安全操作系統(tǒng)、安全硬件平臺、安全數(shù)據(jù)庫、PKI/CA、PMI、VPN、安全網(wǎng)關(guān)、防火墻、數(shù)據(jù)加密機、入侵檢測（IDS）、漏洞掃描、計算機病毒防治工具、強審計工具、安全Web、安全郵件、安全設(shè)施集成管理平臺、內(nèi)容識別和過濾產(chǎn)品、安全備份、電磁泄漏防護、安全隔離客戶機、安全網(wǎng)閘。     要素六 安全基礎(chǔ)設(shè)施  &#

37、160;  信息安全基礎(chǔ)設(shè)施是一種為信息系統(tǒng)應(yīng)用主體和信息安全執(zhí)法主體提供信息安全公共服務(wù)和支撐的社會基礎(chǔ)設(shè)施，方便信息應(yīng)用主體安全防護機制的快速配置，有利于促進信息應(yīng)用業(yè)務(wù)的健康發(fā)展，有利于信息安全技術(shù)和產(chǎn)品的標準化和促進其可信度的提高，有利于信息安全職能部門的監(jiān)督和執(zhí)法，有利于增強全社會信息安全移師和防護技能，有利于國家信息安全保障體系的建設(shè)。因此，推動電子政務(wù)的發(fā)展，應(yīng)重視相關(guān)信息安全基礎(chǔ)設(shè)施的建設(shè)。電子政務(wù)的信息安全建設(shè)是在適當(dāng)?shù)男畔踩Ｕ象w系和框架指導(dǎo)下進行的一項系統(tǒng)工程。這項工程包括密切關(guān)聯(lián)的四大體系：安全管理體系、預(yù)警檢測體系、安全防護體系和響應(yīng)恢復(fù)體系，其中，安全管

38、理體系是整個信息安全保障體系中最核心的組成部分，是貫穿其他三個體系的主線。1.安全管理體系安全管理體系的建立要遵循以下原則：符合法律、法規(guī)、標準；符合組織使命；符合組織利益。建立健全安全管理體系，最重要的是針對電子政務(wù)的現(xiàn)有情況制定統(tǒng)一的行政管理制度，在整個網(wǎng)絡(luò)系統(tǒng)中貫徹執(zhí)行。當(dāng)然，根據(jù)當(dāng)?shù)鼐W(wǎng)絡(luò)的實際情況和具體網(wǎng)絡(luò)應(yīng)用的不同，適當(dāng)作出調(diào)整，可以比較好地保證安全策略的統(tǒng)一性、一致性和可管理性。2.預(yù)警檢測體系預(yù)警檢測體系包括入侵檢測、漏洞檢測、外聯(lián)和接入檢測、補丁管理等。入侵檢測系統(tǒng)是目前最為主要的一個廣泛應(yīng)用的技術(shù)和管理手段。利用網(wǎng)絡(luò)入侵檢測系統(tǒng)，可以了解網(wǎng)絡(luò)的運行狀況和發(fā)生的安全事件，并根據(jù)

39、安全事件來調(diào)整安全策略和防護手段，同時改進實時響應(yīng)和事后恢復(fù)的有效性，為定期的安全評估和分析提供依據(jù)，從而提高網(wǎng)絡(luò)安全的整體水平。電子政務(wù)信息網(wǎng)絡(luò)需要部署漏洞檢測系統(tǒng)。漏洞檢測系統(tǒng)一般包括漏洞掃描引擎、控制中心、報表和顯示中心及管理控制臺4個功能組件。在電子政務(wù)的網(wǎng)絡(luò)系統(tǒng)內(nèi)，防火墻等安全手段往往被一些違反安全策略的行為所破壞，包括MODEM撥號、雙網(wǎng)卡或無線上網(wǎng)等各種方式接入互聯(lián)網(wǎng)。這些違反規(guī)定的非法外聯(lián)行為使電子政務(wù)網(wǎng)絡(luò)系統(tǒng)內(nèi)的個人計算機毫無防范地接入Internet，在用戶無意識的情況下，一些機密信息（包括機器和網(wǎng)絡(luò)的所有配置信息以及數(shù)據(jù)文件）可能泄漏，由此危害整個電子政務(wù)網(wǎng)絡(luò)的安全。非法

40、外聯(lián)監(jiān)控技術(shù)就是為了防范上述兩類安全問題而設(shè)計的，它對內(nèi)部人員的非法外聯(lián)行為進行實時監(jiān)控，對物理隔離措施或安全限制規(guī)定進行有效性檢查。補丁管理應(yīng)該納入組織的安全體系。補丁管理的意義已經(jīng)超出了傳統(tǒng)的安全領(lǐng)域，成為維護企業(yè)信息系統(tǒng)正常操作所必須具備的措施。電子政務(wù)需要部署補丁管理系統(tǒng)，補丁可以被存儲在本地網(wǎng)絡(luò)以確保它們的更高可讀性和加速分發(fā)。3.安全防護體系安全防護體系包括防火墻、身份鑒別與認證、系統(tǒng)訪問控制、網(wǎng)絡(luò)審計等內(nèi)容。防火墻就是運行于軟件和硬件上的、安裝在特定網(wǎng)絡(luò)邊界的、實施網(wǎng)間訪問控制的一組組件的集合。它在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間形成一道安全保護屏障，防止非法用戶訪問內(nèi)部網(wǎng)絡(luò)上的資源和非法

41、向外傳遞內(nèi)部信息。身份鑒別與認證是系統(tǒng)的第一道安全屏障，也是實施訪問控制的基礎(chǔ)，具有十分重要的作用。因此，身份鑒別與認證機制的強度如何，將直接關(guān)系到整個系統(tǒng)的安全度，口令與令牌相結(jié)合的身份驗證方式可以為大多數(shù)的場合提供足夠的安全性。訪問控制包括自主訪問控制和強制訪問控制兩種，其中強制訪問控制具有更高的安全性，建議采用。強制訪問控制給每個客體和主體分配了不同的安全屬性，而且這些安全屬性不像ACL那樣容易被修改，系統(tǒng)通過比較主體和客體的安全屬性才決定主體對客體的操作可行性。強制訪問控制可以防范特洛伊木馬和用戶濫用權(quán)限，具有更高的安全性。來自網(wǎng)絡(luò)的安全威脅日益增多，很多威脅并不是以網(wǎng)絡(luò)入侵的形式進行

42、的，這些威脅事件多數(shù)來自內(nèi)部合法用戶的誤操作或惡意操作，僅靠系統(tǒng)自身的日志功能并不能滿足對這些網(wǎng)絡(luò)安全事件的審計要求。使用網(wǎng)絡(luò)審計系統(tǒng)，記錄網(wǎng)絡(luò)中發(fā)生的違規(guī)行為，完整地記錄各種信息的起始地址和使用者，將有利于事后追蹤，為調(diào)查取證提供第一手資料。4.響應(yīng)恢復(fù)體系響應(yīng)恢復(fù)體系包括應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計劃兩個方面。電子政務(wù)信息系統(tǒng)已經(jīng)成為電子政務(wù)業(yè)務(wù)的支撐平臺。安全策略中必須具備應(yīng)急響應(yīng)手段，保證電子政務(wù)發(fā)生安全事故后，能夠及時作出有效響應(yīng)，采取合適的應(yīng)急措施處理事故。安全事件預(yù)警與應(yīng)急響應(yīng)體系主要針對危及電子政務(wù)信息系統(tǒng)安全的重大事件進行檢測、預(yù)警、抑制、根除，并從事件的影響中盡快恢復(fù)，以確保電子

43、政務(wù)信息系統(tǒng)的業(yè)務(wù)連續(xù)性。業(yè)務(wù)連續(xù)性計劃（BCP）是與信息安全相關(guān)、但與業(yè)務(wù)關(guān)系非常緊密的一項內(nèi)容。因此，電子政務(wù)的業(yè)務(wù)連續(xù)性計劃必須以電子政務(wù)的業(yè)務(wù)為中心，綜合考慮。第四章 我國電子政務(wù)信息安全的兩個主要問題4.1 網(wǎng)絡(luò)技術(shù)的問題4.1.1 網(wǎng)絡(luò)信息安全問題目前對信息安全構(gòu)成威脅的既有自然因素也有人為因素，主要有火災(zāi)等自然災(zāi)害、硬件故障、嚴重誤操作、數(shù)據(jù)泄露、盜用、偽造、假冒、故意對數(shù)據(jù)或程序破壞、病毒、錯誤指向、黑客、特洛伊木馬、搭線竊聽等。掌握了一定技術(shù)的人可以輕易獲取網(wǎng)絡(luò)服務(wù)器上的用戶賬號信息和文件。并可進入系統(tǒng)修改刪除重要數(shù)據(jù)文件。一旦電子政務(wù)系統(tǒng)被非法侵入和破壞它將不能正常工作甚至

44、全部癱瘓。如果系統(tǒng)的安全性被破壞。造成敏感信息暴露或丟失，或網(wǎng)絡(luò)被攻擊等安全事件。那么產(chǎn)生的后果必然波及地區(qū)和整個國家的安全，這種破壞將會給國家?guī)碇卮髶p失。一旦網(wǎng)絡(luò)受到攻擊，不能正常工作，甚至全部癱瘓時，整個社會將陷入危機。國家機密難保，致使某些部門不敢使用互聯(lián)網(wǎng)。4.1.2 網(wǎng)絡(luò)對人的情感問題電子政務(wù)的一大特點是虛擬性，這是由互聯(lián)網(wǎng)的特點所決定的。政府工作人員在進行電子政務(wù)的活動中，往往會使人際關(guān)系淡化，政府工作人員和公眾似乎面對的只是電腦，而常常忘記他們也是和人進行交往。例如時下興起的在城市公共場所安裝的“電子眼”監(jiān)控系統(tǒng)，雖然在一定程度上改善了城市交通，降低了犯罪率，但這種“倒洗腳水也

45、將孩子一塊兒潑出”的做法也對公民的隱私權(quán)和其他方面的權(quán)利造成了嚴重侵犯，其對人性化和人本管理的背離也是顯而易見的。4.2 政府自身的問題4.2.1 公務(wù)員及官員素質(zhì)有待提高大部分政府官員和公務(wù)員對信息技術(shù)、網(wǎng)絡(luò)技術(shù)和計算機技術(shù)還未接觸或接觸不多，所以對高新信息技術(shù)應(yīng)用方面的能力也比較欠缺，整體素質(zhì)與電子政務(wù)建設(shè)要求也還有很大的距離，對電子政務(wù)建設(shè)就缺乏應(yīng)有的積極態(tài)度。從公務(wù)員的文化水平來看，經(jīng)過1998年的政府機構(gòu)改革，國務(wù)院近1.7萬名公務(wù)員中，大學(xué)本科畢業(yè)以上學(xué)歷的占65%。但地方政府500萬公務(wù)員中，大學(xué)本科畢業(yè)以上學(xué)歷的僅有10%，約有20%的公務(wù)員不會操作計算機。面對電子政務(wù)的潮流，

46、許多公務(wù)員在心理上必然會恐懼害怕，產(chǎn)生抵觸情緒，而不能從心理上積極學(xué)習(xí)，以適應(yīng)政府信息化的歷史潮流，結(jié)果使得很多昂貴的設(shè)置成為裝點門面的飾物。4.2.2 電子政務(wù)的規(guī)劃和標準缺乏統(tǒng)一性目前，我國電子政務(wù)的發(fā)展缺乏宏觀規(guī)劃，沒有提出明確的發(fā)展目標。同時，條塊分割的管理體制與電子政務(wù)的統(tǒng)一性、開放性、交互性和規(guī)模經(jīng)濟等自然特性產(chǎn)生嚴重沖突，各級地方政府和部門在電子政務(wù)的建設(shè)中往往各自為政，采用的標準也各不相同，業(yè)務(wù)內(nèi)容單調(diào)重復(fù)，造成新的重復(fù)建設(shè)。同時，缺乏規(guī)范和標準也使得信息流通不暢，資源無法共享和信息孤島，影響了跨部門、跨區(qū)域共性業(yè)務(wù)的處理和政府的有效監(jiān)管。第五章 我國電子政務(wù)信息安全的主要問題

47、的解決5.1 網(wǎng)絡(luò)安全問題的應(yīng)對方法5.1.1 加強對公務(wù)員的安全技術(shù)教育，樹立網(wǎng)絡(luò)安全觀念網(wǎng)絡(luò)的開放性在給人類的生活帶來諸多方便的同時，也給社會生活的許多方面帶來了很多不穩(wěn)定的因素，尤其是作為社會管理者的政府，一旦其網(wǎng)絡(luò)遭到惡意攻擊，很可能給社會帶來災(zāi)難性的損失。因此，加強公務(wù)員的網(wǎng)絡(luò)安全教育和技術(shù)培訓(xùn)，使之樹立網(wǎng)絡(luò)安全意識，并掌握一定的網(wǎng)絡(luò)安全技術(shù)和技能，不僅是對公務(wù)員自身素質(zhì)的一大要求，也是應(yīng)對網(wǎng)絡(luò)安全的關(guān)鍵。5.1.2 改變信息安全管理依靠傳統(tǒng)的管理方法和手段的模式，實現(xiàn)現(xiàn)代的系統(tǒng)管理技術(shù)手段國際標準BS7799和ISOIEC17799是流行的信息安全管理體系標準。其中的管理目標為數(shù)據(jù)

48、的保密性、完整性和可用性要求。具有自組織、自學(xué)習(xí)、自適應(yīng)自修復(fù)、自生長的能力和功能。保證持續(xù)有效性。通過計劃、實施、檢查、措施四個階段周而復(fù)始的循環(huán)。應(yīng)用于其整體過程、其他過程及其子過程，例如信息安全風(fēng)險評估或者商務(wù)持續(xù)性計劃的安排等。為信息安全管理體系與質(zhì)量管理體系、環(huán)境管理體系等的整合運行提供了方便在模式和方法上都兼容，成為統(tǒng)一的內(nèi)部綜合管理體系包括按照可信網(wǎng)絡(luò)架構(gòu)方法。編制信息安全解決方案。多層防范多級防護，等級保護，風(fēng)險評估、重點保護。針對可能發(fā)生的事故或災(zāi)害。制定信息安全應(yīng)急預(yù)案，建立新機制、規(guī)避風(fēng)險、減少損失。根據(jù)相應(yīng)的政策法規(guī)在網(wǎng)絡(luò)工程數(shù)據(jù)設(shè)計、建設(shè)和驗收等階段實行同步審查，建立完善的數(shù)據(jù)備份、災(zāi)難恢復(fù)等應(yīng)用，確保實時、安全、高效、可靠的運行效果。5.1.3 鼓勵民族信息技術(shù)產(chǎn)業(yè)的發(fā)展，解決好技術(shù)的先進性與自主性的關(guān)系作為一個