任務(wù)書畢業(yè)設(shè)計(jì)(論文)題目：論電子政務(wù)中的信息安全一、畢業(yè)設(shè)計(jì)(論文)內(nèi)容我國的電子政務(wù)初步形成了以政府內(nèi)外網(wǎng)為基礎(chǔ)架構(gòu)，以公眾為服務(wù)對(duì)象，以效率為核心價(jià)值目標(biāo)的電子政務(wù)服務(wù)體系。但是鑒于網(wǎng)絡(luò)本身的缺陷、系統(tǒng)漏洞的不斷出現(xiàn)和技術(shù)方面的不足等原因，電子政務(wù)信息安全面臨著巨大的威脅，只有發(fā)現(xiàn)安全管理中的漏洞并針對(duì)漏洞加強(qiáng)管理，電子政務(wù)信息的安全才能獲得保障。針對(duì)于電子政務(wù)信息安全管理的研究，本文運(yùn)用管理學(xué)、信息學(xué)、網(wǎng)絡(luò)安全、項(xiàng)目管理、風(fēng)險(xiǎn)分析等多學(xué)科的知識(shí)和方法，從當(dāng)前存在的問題出發(fā)，從整體對(duì)我國電子政務(wù)信息安全管理所要著重考慮的方面進(jìn)行對(duì)策分析，以期為我國電子政務(wù)安全水平的提高提供一些參考建議。二、基本要求通過資料分析和數(shù)據(jù)整理，分析出在我國當(dāng)前的電子政務(wù)信息安全管理中存在安全立法滯后、管理機(jī)構(gòu)不健全、安全基礎(chǔ)設(shè)施管理薄弱、項(xiàng)目建設(shè)質(zhì)量差等問題。最后，結(jié)合多學(xué)科的知識(shí)和方法，對(duì)存在的不同問題進(jìn)行對(duì)策思考。分別從提高的電子政務(wù)信息安全觀，完善制度和組織保障，加強(qiáng)安全基礎(chǔ)設(shè)施建設(shè)和管理，提高項(xiàng)目安全建設(shè)質(zhì)量等方面來進(jìn)行對(duì)策分析。三、重點(diǎn)研究的問題1、探討我國電子政務(wù)信息安全的現(xiàn)狀及主要存在問題2、提出思考意見，針對(duì)我國電子政務(wù)信息安全存在的問題提出可行的建議方案四、主要技術(shù)指標(biāo)引用了國內(nèi)外相關(guān)期刊的觀點(diǎn)（詳見參考文獻(xiàn)），力求論述精辟，言簡意賅，在文章的整體結(jié)構(gòu)上渾然一體。五、其他需要說明的問題開題報(bào)告題目：論電子政務(wù)中的信息安全一、選題的目的和意義電子政務(wù)通過網(wǎng)絡(luò)信息技術(shù)打破了政府辦事的空間和時(shí)間障礙，可以為公眾提供全天候的公共服務(wù)，這大大滿足了公眾的需求;同時(shí)，通過互聯(lián)網(wǎng)技術(shù)，政府可以實(shí)現(xiàn)組織結(jié)構(gòu)的優(yōu)化和工作流程的再造，塑造出網(wǎng)絡(luò)時(shí)代的服務(wù)型政府。因而，穩(wěn)定安全的電子政務(wù)信息不僅是政府的期望，更是整個(gè)社會(huì)的要求。根據(jù)網(wǎng)絡(luò)安全理論中的“木桶效應(yīng)”，即信息安全的水平取決于整個(gè)信息系統(tǒng)中最低的安全部分，因此，對(duì)于電子政務(wù)信息安全來講，我們不能期望僅僅通過一種技術(shù)上的解決方案來實(shí)現(xiàn)電子政務(wù)的信息安全，而且經(jīng)驗(yàn)也己經(jīng)證明沒有任何技術(shù)是完美無缺的，我們應(yīng)當(dāng)重視電子政務(wù)信息安全管理的研究，綜合采用多種管理策略和手段，使各種信息安全成為一個(gè)有機(jī)協(xié)調(diào)的整體，這樣才一能最大限度的保證我國電子政務(wù)信息的最大安全，同時(shí)具有政治意義。二、研究的重點(diǎn)內(nèi)容1、我國電子政務(wù)信息安全的現(xiàn)狀2、我國電子政務(wù)信息安全存在的問題3、針對(duì)我國電子政務(wù)信息安全存在的問題提出可行的建議方案三、進(jìn)度計(jì)劃計(jì)劃利用2個(gè)月左右的時(shí)間閱讀國內(nèi)文獻(xiàn)，收集第一手材料；然后3個(gè)月左右的時(shí)間匯總分類并形成初稿并提交給指導(dǎo)教師；最后在指導(dǎo)教師的幫助下修改完善并進(jìn)行答辯。四、指導(dǎo)教師意見中文摘要我國的電子政務(wù)初步形成了以政府內(nèi)外網(wǎng)為基礎(chǔ)架構(gòu)，以公眾為服務(wù)對(duì)象，以效率為核心價(jià)值目標(biāo)的電子政務(wù)服務(wù)體系。但是鑒于網(wǎng)絡(luò)本身的缺陷、系統(tǒng)漏洞的不斷出現(xiàn)和技術(shù)方面的不足等原因，電子政務(wù)信息安全面臨著巨大的威脅，只有發(fā)現(xiàn)安全管理中的漏洞并針對(duì)漏洞加強(qiáng)管理，電子政務(wù)信息的安全才能獲得保障。針對(duì)于電子政務(wù)信息安全管理的研究，本文運(yùn)用管理學(xué)、信息學(xué)、網(wǎng)絡(luò)安全、項(xiàng)目管理、風(fēng)險(xiǎn)分析等多學(xué)科的知識(shí)和方法，從當(dāng)前存在的問題出發(fā)，從整體上對(duì)所要著重考慮的方面進(jìn)行對(duì)策分析，以期為我國電子政務(wù)信息安全水平的提高提供一些參考建議。本文從對(duì)電子政務(wù)和電子政務(wù)信息安全的認(rèn)識(shí)入手，對(duì)電子政務(wù)和電子政務(wù)信息安全的概念進(jìn)行描述，明確電子政務(wù)信息安全管理的內(nèi)涵。通過資料分析和數(shù)據(jù)整理，分析出在我國當(dāng)前的信息安全管理中存在安全立法滯后、管理機(jī)構(gòu)不健全、安全基礎(chǔ)設(shè)施管理薄弱、項(xiàng)目建設(shè)質(zhì)量差等問題。最后，結(jié)合多學(xué)科的知識(shí)和方法，對(duì)信息安全管理中存在的不同問題進(jìn)行對(duì)策思考。分別從提高的電子政務(wù)信息安全觀，完善制度和組織保障，加強(qiáng)安全基礎(chǔ)設(shè)施建設(shè)和管理，提高項(xiàng)目安全建設(shè)質(zhì)量等方面來對(duì)我國的電子政務(wù)信息安全管理進(jìn)行對(duì)策分析。【關(guān)鍵詞】:電子政務(wù);信息安全；安全管理;EnglishAbstractChina'se-governmentistheinitialformationofe-governmentservicesinsideandoutsidethegovernmentnetworkinfrastructuretothepublicfortheservice,efficiencyofthecorevalues??ofthetargetsystem.Butinviewofthedefectsofthenetworkitself,thesystemvulnerabilityandtheinadequacyofthetechnicalaspectsofe-governmentinformationsecurityisfacingahugethreat,onlytofindloopholesinsafetymanagementandforloopholestostrengthenmanagement,e-governmentinformationsecurityinordertoobtainprotection.Managementscience,informationscience,networksecurity,projectmanagement,riskanalysis,multi-disciplinaryknowledgeandmethodscurrentlyexistfore-governmentsecuritymanagement,proceedfromtheoverallandmacrosecurityofelectronicgovernmentmanagementisimportanttoconsideraspectsofthecountermeasurestoprovidesomereferencetoproposalstoraisethelevelofe-governmentsecurity.Startfromtheunderstandingofthesecurityofe-governmentande-government,thesecurityofe-governmentande-governmentconceptisdescribedthenthemeaningofe-governmentsecuritymanagement,characteristicsandobjectivesdescribed,theconnotationofacleare-governmentsecuritymanagement.Dataanalysisanddatamanagement,analysisofthesecuritylegislationlagsbehindinourcurrente-governmentsecuritymanagement,regulatoryagenciesarenotperfect,securityinfrastructure,weakmanagement,poorqualityofconstructionprojects.Fromincreasede-governmentinformationsecurityconcept,andimprovetheinstitutionalandorganizationalsecurity,strengthentheconstructionandmanagementofsecurityinfrastructure,toimproveprojectsafetyandconstructionqualityofChina'se-governmentsecuritymanagementcountermeasures.Keywords：E-government;informationsecurity;safetymanagement;

目錄TOC\o"1-2"第一章緒論 1一、研究背景和研究意義 1二、研究現(xiàn)狀 2第二章電子政務(wù)信息安全管理的概念 5第三章我國電子政務(wù)信息安全管理的基本現(xiàn)狀分析 6一、我國電子政務(wù)信息安全環(huán)境分析 7二、我國電子政務(wù)信息安全管理的情況 9第四章我國電子政務(wù)信息安全管理中存在的問題 11一、電子政務(wù)安全立法滯后，尚存在大量的空白 11二、信息安全管理機(jī)構(gòu)建設(shè)不完善，統(tǒng)一協(xié)調(diào)能力較差 13三、信息安全基礎(chǔ)設(shè)施管理薄弱，應(yīng)急處理能力差 15四、電子政務(wù)安全項(xiàng)目建設(shè)存在盲目性 16第五章完善我國電子政務(wù)信息安全管理的對(duì)策思考 17一、樹立科學(xué)的安全觀，提高對(duì)電子政務(wù)信息安全管理的認(rèn)識(shí) 17二、完善制度和組織保障體系，提高信息安全管理“軟實(shí)力” 20三、加強(qiáng)各項(xiàng)安全基礎(chǔ)設(shè)施建設(shè)，確保信息安全基礎(chǔ)扎實(shí) 21四、做好電子政務(wù)項(xiàng)目信息安全管理，提高安全建設(shè)質(zhì)量 23結(jié)論 27第一章緒論一、研究背景和研究意義未來的世界是網(wǎng)絡(luò)和信息的世界，隨著網(wǎng)絡(luò)信息技術(shù)的不斷發(fā)展，信息已經(jīng)成為社會(huì)財(cái)富增長的源泉，為社會(huì)的進(jìn)步提供的源源不斷的動(dòng)力;同時(shí)，隨著網(wǎng)絡(luò)經(jīng)濟(jì)、網(wǎng)絡(luò)文化、網(wǎng)絡(luò)社區(qū)等的不斷發(fā)展壯大，網(wǎng)絡(luò)也成為人們生活的重要方面，網(wǎng)絡(luò)成為人們獲取信息、進(jìn)行交流和互動(dòng)的重要載體【1】。對(duì)于各國政府而言，電子政務(wù)作為一種新的政府管理模式，也正在重塑政府自身及政府與公眾的交流方式。但不可否認(rèn)網(wǎng)絡(luò)是一把雙刃劍，由于種種原因，網(wǎng)絡(luò)欺詐、網(wǎng)絡(luò)病毒木馬、黑客攻擊等安全問題不斷出現(xiàn)，網(wǎng)絡(luò)安全問題也成為繼金融安全、環(huán)境安全、流行疾病安全問題之后的一個(gè)非常重要的非傳統(tǒng)安全問題。對(duì)電子政務(wù)而言，電子政務(wù)系統(tǒng)是以政府為主體，在它的運(yùn)行中涉及許多國家機(jī)密信息和高敏感度的核心流程，任何破壞和攻擊，很有可能導(dǎo)致政務(wù)系統(tǒng)的癱瘓、政務(wù)信息的泄露和篡改，進(jìn)而影響政府的威信和形象，甚至造成社會(huì)公眾的恐慌，因而必須盡一切可能來確保它的安全。電子政務(wù)通過網(wǎng)絡(luò)技術(shù)打破了政府辦事的空間和時(shí)間障礙，可以為公眾提供全天候的信息服務(wù)，這大大滿足了公眾的需求;同時(shí)，通過互聯(lián)網(wǎng)傳遞信息，政府可以實(shí)現(xiàn)組織結(jié)構(gòu)的優(yōu)化和工作流程的再造，塑造出網(wǎng)絡(luò)時(shí)代的服務(wù)型政府。因而，穩(wěn)定安全的電子政務(wù)信息系統(tǒng)不僅是政府的期望，更是整個(gè)社會(huì)的要求。根據(jù)網(wǎng)絡(luò)安全理論中的“木桶效應(yīng)”，即信息系統(tǒng)的安全的水平取決于整個(gè)系統(tǒng)中最低的安全部分，因此，對(duì)于電子政務(wù)信息安全來講，我們不能期望僅僅通過一種技術(shù)上的解決方案來實(shí)現(xiàn)電子政務(wù)的信息安全，而且經(jīng)驗(yàn)也己經(jīng)證明沒有任何技術(shù)是完美無缺的，我們應(yīng)當(dāng)重視電子政務(wù)信息安全管理的研究，綜合采用多種安全管理策略和手段，使各種安全技術(shù)成為一個(gè)有機(jī)協(xié)調(diào)的整體，這樣才一能最大限度的保證我國電子政務(wù)信息的最大安全。目前在我國，一方面，電子政務(wù)信息系統(tǒng)中有許多的安全隱患和缺陷，安全管理不到位，信息系統(tǒng)面臨著巨大的安全威脅;另一方面，我國對(duì)于電子政務(wù)信息安全管理問題的研究尚處于初級(jí)階段，大多數(shù)側(cè)重于研究技術(shù)方案制定和完善，不能形成宏觀與微觀相結(jié)合的整體安全管理體系，從而造成了信息泄露、政務(wù)系統(tǒng)癱瘓等安全事件不斷出現(xiàn)，嚴(yán)重影響了我國電子政務(wù)的信息安全和公共服務(wù)水平的提高。對(duì)于電子政務(wù)信息安全管理問題的研究既有重要的理論和現(xiàn)實(shí)意義，又具有重大的政治意義二、研究現(xiàn)狀對(duì)電子政務(wù)信息安全管理的研究是伴隨著電子政務(wù)的發(fā)展而產(chǎn)生的，從20世紀(jì)九十年代開始逐步擴(kuò)大，涉及安全標(biāo)準(zhǔn)、安全框架、安全模型、安全認(rèn)證與測評(píng)等多個(gè)方面。國外關(guān)于電子政務(wù)信息安全管理標(biāo)準(zhǔn)的研究較早，在1995年英國首先提出(信息安全管理實(shí)施細(xì)則)。在這之后美國和歐洲等國也提出了有關(guān)于信息安全管理的標(biāo)準(zhǔn)規(guī)范。至2000年，逐步提出了完整的GMITS(IT安全管理方針)。信息保障技術(shù)框架(IATF)，是1998年由美國國家安全局提出的，目的是為美國政府的信息基礎(chǔ)設(shè)施提供安全防護(hù)框架和解決方案指南。它定義了一個(gè)系統(tǒng)進(jìn)行信息保障的過程，系統(tǒng)中硬件和軟件部件的安全需求，提供“深層次防御策略”的多層次防護(hù)。在IATF3.O中將縱深防御體系劃分為本地計(jì)算機(jī)環(huán)境、區(qū)域邊界和基礎(chǔ)設(shè)施。IATF強(qiáng)調(diào)技術(shù)并提供一個(gè)框架進(jìn)行多層保護(hù)，以此防護(hù)計(jì)算機(jī)威脅，該方法可以使能夠攻破一層或一類保護(hù)的攻擊行為無法破壞整個(gè)信息基礎(chǔ)設(shè)施。國外在電子政務(wù)信息安全管理和體系方面的研究較為深入。而在我國，電子政務(wù)的發(fā)展還是一個(gè)較為初級(jí)的階段，但近年來，隨著政府對(duì)它的關(guān)注，我國也取得了較大的進(jìn)展。寧家俊認(rèn)為電子政務(wù)信息安全必須受到足夠的重視，它應(yīng)包括信息狀態(tài)安全和信息狀態(tài)轉(zhuǎn)移安全，是一個(gè)綜合性的課題，因而，在政府網(wǎng)絡(luò)建設(shè)中應(yīng)從網(wǎng)絡(luò)物理層、網(wǎng)絡(luò)基礎(chǔ)應(yīng)用層和網(wǎng)絡(luò)信息應(yīng)用層三方面著手進(jìn)行建設(shè)。紀(jì)建悅、王元月闡述了我國電子政務(wù)的發(fā)展?fàn)顩r，分析了我國電子政務(wù)發(fā)展中存在的安全問題和面臨的安全威脅，并提出了相應(yīng)的解決方法和防范策略【2】。沈昌祥指出保護(hù)網(wǎng)絡(luò)安全的技術(shù)措施主要有:嚴(yán)密的身份認(rèn)證;實(shí)施訪問控制;采取安全信息傳輸加密算法和電子簽名;病毒和防火墻技術(shù);入侵檢測技術(shù);安全掃描技術(shù)等。任錦華從分析我國國內(nèi)的網(wǎng)絡(luò)安全問題現(xiàn)狀入手，說明我國當(dāng)前的軟硬件技術(shù)水平嚴(yán)重妨礙了電子政務(wù)建設(shè)中的安全保障，在文獻(xiàn)中，他對(duì)防火墻技術(shù)、入侵檢測技術(shù)和安全審計(jì)技術(shù)等當(dāng)前主流的網(wǎng)絡(luò)安全技術(shù)進(jìn)行了詳細(xì)的優(yōu)劣分析和比較【3】。鄭晨陽和唐丹從電子政務(wù)安全中電子文檔所面臨的安全威脅出發(fā)，著重論述確保電子文檔安全的技術(shù)策略、法律策略和管理策略，以及在電子文檔安全策略實(shí)施需要注意的幾個(gè)問題【4】。張維華在《我國電子政務(wù)信息安全體系建設(shè)中的幾個(gè)問題》一文中比較全面的介紹了我國電子政務(wù)信息安全體系建設(shè)中存在的幾個(gè)普遍的問題和需要注意的幾個(gè)關(guān)系，以及必須解決的幾個(gè)核心技術(shù)問題【5】。褚峻、蘇震針對(duì)電子政務(wù)信息系統(tǒng)建設(shè)與運(yùn)行過程中所遇到的安全問題，介紹了網(wǎng)絡(luò)環(huán)境下的安全技術(shù)保障體系。闡述了數(shù)據(jù)加密技術(shù)、信息隱藏技術(shù)、安全認(rèn)證技術(shù)、公鑰基礎(chǔ)設(shè)施PKI技術(shù)、物理隔離、虛擬專用網(wǎng)VPN等系統(tǒng)的安全原理與技術(shù)特征以及兩種電子政務(wù)系統(tǒng)的安全解決方案【6】胡道元根據(jù)ISO七層網(wǎng)絡(luò)協(xié)議提出了網(wǎng)絡(luò)安全分層理論，認(rèn)為在不同層次上應(yīng)該有不同的安全著重點(diǎn)，而對(duì)于各層上的安全重點(diǎn)應(yīng)采取不同的安全措施，以此達(dá)到較好的安全目標(biāo)。余俊，王強(qiáng)從數(shù)據(jù)安全的角度出發(fā)，提出了具有安全技術(shù)支撐平臺(tái)、物理安全策略、數(shù)據(jù)安全策略、應(yīng)用安全策略組成的電子政務(wù)信息安全平合，提出綜合運(yùn)用相關(guān)技術(shù)和策略實(shí)現(xiàn)電子政務(wù)信息安全【7】國家信息安全重點(diǎn)實(shí)驗(yàn)室在沿用國際上的PDR(Protection、Detection、Response)網(wǎng)絡(luò)安全理論模型的基礎(chǔ)上提出了一個(gè)WPDRRC(預(yù)警W、保護(hù)P、檢測D、反應(yīng)R、恢復(fù)R和反擊C)模型，試圖從預(yù)警、保護(hù)、檢測、反應(yīng)、恢復(fù)、反擊這六個(gè)環(huán)節(jié)和人、政策(包括法律、法規(guī)、制度、管理)、技術(shù)三個(gè)維度來構(gòu)建信息網(wǎng)絡(luò)安全保障體系。偉思公司提出了電子政務(wù)安全體系模型，該模型將電子政務(wù)安全體系分為四部分:可信的基礎(chǔ)安全設(shè)施、安全技術(shù)支撐平臺(tái)、容災(zāi)與恢復(fù)系統(tǒng)和安全管理體系。從我國的實(shí)際出發(fā)，該模型將電子政務(wù)系統(tǒng)分為四個(gè)相對(duì)獨(dú)立的安全管理域:網(wǎng)間信息交換層、外網(wǎng)公眾服務(wù)層、內(nèi)網(wǎng)辦公業(yè)務(wù)層、內(nèi)網(wǎng)核心數(shù)據(jù)層。總體來講，該模型通過對(duì)安全資源的有區(qū)別的對(duì)待，對(duì)各種不同級(jí)別的安全資源進(jìn)行有區(qū)別的對(duì)待。從以上可以看出，我國學(xué)者對(duì)電子政務(wù)安全的研究也比較多，但主要集中在對(duì)電子政務(wù)安全問題的論述、安全技術(shù)的介紹、電子政務(wù)安全建設(shè)原則、電子政務(wù)安全安全策略、技術(shù)層面的安全體系建設(shè)等方面，缺乏更為深入的研究，尚處在初級(jí)階段。第二章電子政務(wù)信息安全管理的概念電子政務(wù)是信息社會(huì)發(fā)展的產(chǎn)物，它的產(chǎn)生有主觀和客觀兩個(gè)方面的原因，在客觀上，網(wǎng)絡(luò)的普及是電子政務(wù)發(fā)展的直接需求，信息技術(shù)和互聯(lián)網(wǎng)的高速發(fā)展為其提供了物資基礎(chǔ);在主觀上，知識(shí)和信息成為社會(huì)發(fā)展的關(guān)鍵性資源，美國未來學(xué)家托夫勒說過:“誰掌握了信息，誰控制了網(wǎng)絡(luò)，誰就將擁有整個(gè)世界”【8】。當(dāng)前人們?cè)絹碓街匾晫?duì)信息資源的利用，對(duì)政府的公正和效率的要求越來越高。電子政務(wù)可以理解為政府跨越部門和時(shí)間的限制，全天候的向公民提供各種公共服務(wù)。聯(lián)合國經(jīng)濟(jì)社會(huì)理事會(huì)將電子政務(wù)定義為，政府通過信息通信技術(shù)手段的密集性和戰(zhàn)略性應(yīng)用組織公共管理的方式，旨在提供效率、增強(qiáng)政府的透明度、改善財(cái)政約束、改進(jìn)公共政策的質(zhì)量和決策的科學(xué)性，建立良好的政府之間、政府與社會(huì)、社區(qū)以及政府與公民之間的關(guān)系，提供公共服務(wù)的質(zhì)量，贏得廣泛的社會(huì)參與度【9】。電子政務(wù)信息安全是關(guān)系政府和社會(huì)穩(wěn)定的重要問題，但如果僅僅寄希望于技術(shù)上的“完美解決方案”安全是很難得到保證的，隨著安全環(huán)境、攻擊技術(shù)、密碼破譯方法的發(fā)展，新的威脅又會(huì)產(chǎn)生，而且所有的技術(shù)都是由人來進(jìn)行操作的，如果不能把管理和技術(shù)進(jìn)行結(jié)合，再先進(jìn)的技術(shù)也是沒用的，因而，“三分技術(shù)七分管理”，電子政務(wù)信息安全管理是貫穿于電子政務(wù)的整個(gè)發(fā)展過程中。電子政務(wù)信息安全管理有狹義和廣義之分，從狹義上來講，電子政務(wù)信息安全管理是指對(duì)人員、組織和制度的管理，主要包括管理規(guī)章制度的制定，組織體系的建立，安全管理人員的培訓(xùn)和操作流程的管理;從廣義上講，電子政務(wù)信息安全管理是指政府運(yùn)用各種安全策略和手段，對(duì)電子政務(wù)實(shí)施的各個(gè)階段進(jìn)行安全管理，包括系統(tǒng)建設(shè)項(xiàng)目安全管理、入網(wǎng)信息安全管理、安全技術(shù)支持管理、安全運(yùn)行維護(hù)管理、安全制度環(huán)境保障管理、安全基礎(chǔ)設(shè)施平臺(tái)管理等各個(gè)方面，既涉及國家的宏觀層面，也涉及各個(gè)部門單位自身的微觀層面。筆者在本文中所指的電子政務(wù)信息安全管理均是廣義上的定義。第三章我國電子政務(wù)信息安全管理的基本現(xiàn)狀分析電子政務(wù)安全是關(guān)系政府和社會(huì)穩(wěn)定的重要問題，但如果僅僅寄希望于技術(shù)上的“完美解決方案”，安全是很難得到保證的，因?yàn)槿魏渭夹g(shù)都不是完美無缺的，隨著安全環(huán)境、攻擊技術(shù)、密碼破譯方法的發(fā)展，新的威脅又會(huì)產(chǎn)生，而且所有的技術(shù)都是由人來進(jìn)行操作的，如果不能把管理和技術(shù)進(jìn)行結(jié)合，再先進(jìn)的技術(shù)也是沒用的，因而，電子政務(wù)信息安全管理是貫穿于電子政務(wù)的整個(gè)發(fā)展過程中。就我國電子政務(wù)安全發(fā)展歷程來看，我國的政務(wù)安全建設(shè)也是隨著電子政務(wù)的不斷深化而不斷推進(jìn)。最早開始于通信保密的管理，早期注重對(duì)通信環(huán)境和信息的安全加密管理，隨著電腦在政府工作中發(fā)揮越來越多的作用，安全建設(shè)的重點(diǎn)也轉(zhuǎn)向了對(duì)單機(jī)數(shù)據(jù)的保護(hù)，主要是對(duì)單機(jī)系統(tǒng)或局域網(wǎng)內(nèi)少數(shù)服務(wù)器進(jìn)行必要地安全防護(hù)。在進(jìn)入21世紀(jì)后，隨著我國電子政務(wù)的不斷發(fā)展，政務(wù)系統(tǒng)面臨的安全環(huán)境越來越復(fù)雜，我國的電子政務(wù)安全建設(shè)也逐漸轉(zhuǎn)向了整個(gè)政務(wù)網(wǎng)、安全技術(shù)解決方案和安全策略等各個(gè)方面，逐漸形成具有整體性、戰(zhàn)略性的政務(wù)安全管理框架，對(duì)安全技術(shù)、安全策略、安全戰(zhàn)略等各個(gè)層面有了較好的發(fā)展。一、我國電子政務(wù)信息安全環(huán)境分析(一)網(wǎng)絡(luò)普及率有待提高從CNNIC公布的《第25次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r調(diào)查統(tǒng)計(jì)報(bào)告》來看，我國互聯(lián)網(wǎng)的普及率為28.9%，但網(wǎng)絡(luò)發(fā)展存在明顯的“東中西”現(xiàn)象和城鄉(xiāng)差距。由于在網(wǎng)絡(luò)普及上存在很大差距，因而，我們可以說如果無法縮小網(wǎng)絡(luò)發(fā)展差距，政府電子政務(wù)建設(shè)也就是“無源之水無本之木”，無論政府的電子政務(wù)搞的多么完善，最終都不會(huì)實(shí)現(xiàn)為廣大的人民服務(wù)的目的。(二)多種安全威脅并存1、外部安全威脅第一，病毒破壞。病毒威脅不單是電子政務(wù)系統(tǒng)所面臨的安全問題，也是讓每個(gè)互聯(lián)網(wǎng)用戶頭疼的問題。我國的電子政務(wù)網(wǎng)絡(luò)結(jié)構(gòu)大多是內(nèi)外網(wǎng)結(jié)構(gòu)，一旦內(nèi)網(wǎng)內(nèi)的一臺(tái)電腦感染病毒就可能危及整個(gè)網(wǎng)絡(luò)的安全。第二，黑客攻擊和信息間諜。黑客們處于各種目的，對(duì)系統(tǒng)進(jìn)行入侵、網(wǎng)絡(luò)竊聽、密文破譯、流量分析、密鑰破解等活動(dòng)。第四，信息恐怖活動(dòng)和信息戰(zhàn)爭。主要是國與國層面的信息戰(zhàn)爭，這種威脅雖然不是經(jīng)常出現(xiàn)，但它們常常以摧毀國家信息基礎(chǔ)設(shè)施、制造并散布恐怖信息、發(fā)布虛假信息、竊取軍事情報(bào)、攻擊指揮系統(tǒng)及破壞社會(huì)經(jīng)濟(jì)等為目的。第五，自然災(zāi)害。因溫度、濕度、灰塵、雷擊、靜電、地震等因素引起的設(shè)備損壞，一旦發(fā)生，后果往往是災(zāi)難性的。2、內(nèi)部安全威脅第一，安全意識(shí)不強(qiáng)。這主要體現(xiàn)在系統(tǒng)管理員和大多數(shù)的網(wǎng)絡(luò)用戶身上，因?yàn)樗枷肼楸浴⒔?jīng)驗(yàn)不足及對(duì)后果的估計(jì)不足等原因，導(dǎo)致感染病毒或系統(tǒng)缺陷。第二，惡意破壞。主要是內(nèi)部安全人員因?yàn)楦鞣N原因?qū)?nèi)部服務(wù)器和網(wǎng)絡(luò)設(shè)備所進(jìn)行的破壞數(shù)據(jù)、損壞設(shè)備等活動(dòng)。第三，內(nèi)外勾結(jié)。主要是內(nèi)部人員為了金錢等利益，與外部敵對(duì)勢(shì)力合作，向其出賣情報(bào)、破壞數(shù)據(jù)、破壞系統(tǒng)等。第四，濫用職權(quán)。非職責(zé)查看內(nèi)部信息、非職權(quán)使用系統(tǒng)等第五，管理疏漏和操作不當(dāng)。體現(xiàn)在管理上制度不完善、人員組織不合理、缺乏監(jiān)控措施及權(quán)責(zé)不清等。第六，軟、硬件故障。電磁泄露、操作系統(tǒng)漏洞、數(shù)據(jù)庫故障、協(xié)議漏洞、設(shè)備老化等。(三)安全損害劇增這幾年，網(wǎng)絡(luò)犯罪逐漸發(fā)展為有組織的行為，由過去的“黑網(wǎng)頁”、“改內(nèi)容”等損害形式發(fā)展為直接人為破壞、對(duì)機(jī)密商業(yè)信息和個(gè)人隱私的竊取。安全問題的影響也由一個(gè)部門和一個(gè)局部網(wǎng)絡(luò)發(fā)展為干擾國家管理和社會(huì)穩(wěn)定的程度。隨著網(wǎng)絡(luò)攻擊手段的加強(qiáng)，網(wǎng)絡(luò)損害的影響不斷加強(qiáng)，無論是人為破壞，還是技術(shù)故障，均需要我們付出相當(dāng)大的代價(jià)。從以上的分析，我們可以看出，我國的電子政務(wù)發(fā)展尚處在“單向信息發(fā)布”向“雙向交流”的轉(zhuǎn)變階段，各個(gè)業(yè)務(wù)內(nèi)容尚在初步建設(shè)之中。我國電子政務(wù)安全環(huán)境更是不容樂觀，各種針對(duì)政府部門的攻擊、病毒侵襲不斷。因而，我們必須對(duì)安全問題有足夠的重視。二、我國電子政務(wù)信息安全管理的情況經(jīng)過二十多年的發(fā)展，我國的電子政務(wù)安全問題雖然較為突出，但隨著我國政府對(duì)電子政務(wù)安全的重視和資金投入的增長，我國的電子政務(wù)信息安全管理水平有了比較大的進(jìn)步，在法律、管理機(jī)構(gòu)、安全標(biāo)準(zhǔn)、基礎(chǔ)設(shè)施等方面都有了較大的改進(jìn)。從安全法律法規(guī)方面來講，從上世紀(jì)90年代開始，國務(wù)院、公安部等有關(guān)部門就開始制定一系列信息系統(tǒng)安全方面的法規(guī)，如1992年發(fā)布的《計(jì)算機(jī)軟件保護(hù)條例》、1994年頒布的《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》等。在電子政務(wù)安全建設(shè)初期，這些法規(guī)是進(jìn)行信息安全工作的重要依據(jù)。進(jìn)入21世紀(jì)以后，隨著我國電子政務(wù)事業(yè)的不斷進(jìn)步，我國的電子政務(wù)安全法律也在不斷完善，從安全管理機(jī)構(gòu)的建設(shè)上來看，2001年8月成立的國家信息化領(lǐng)導(dǎo)小組作為最高級(jí)別的協(xié)調(diào)管理機(jī)構(gòu)，經(jīng)過這幾年的發(fā)展，我國國家安全管理職能的格局已經(jīng)形成，各地區(qū)和部委建立相應(yīng)的信息安全管理機(jī)構(gòu)，以完成和強(qiáng)化信息安全的管理，也已經(jīng)形成了自頂向下的信息安全管理組織體系，這是電子政務(wù)信息安全管理實(shí)施的必要條件。從安全標(biāo)準(zhǔn)方面來講，近年來，我國的電子政務(wù)相關(guān)安全標(biāo)準(zhǔn)工作也有了較大的進(jìn)展，2002年組建了“國家電子政務(wù)標(biāo)準(zhǔn)化總體組”，總體組編寫了我國《電子政務(wù)標(biāo)準(zhǔn)化指南》，從六個(gè)方面對(duì)我國的電子政務(wù)的標(biāo)準(zhǔn)化建設(shè)指明了方向，同時(shí)參照國際標(biāo)準(zhǔn)，發(fā)表了《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》GB/T20270-2006、《信息安全技術(shù)信息系統(tǒng)安全管理要求》GB/T20269-2006等七十多個(gè)安全標(biāo)準(zhǔn)。從安全技術(shù)方面來講，我國的信息安全產(chǎn)業(yè)不斷發(fā)展，由起初的購買外國技術(shù)到開發(fā)具有自主知識(shí)產(chǎn)權(quán)的安全軟件和設(shè)備，我國的網(wǎng)絡(luò)安全技術(shù)能力不斷提升，同時(shí)安全應(yīng)用理念和方法也得到了不斷的更新，安全產(chǎn)品種類也日益豐富，具備了一定的構(gòu)建全面信息安全技術(shù)解決方案的能力。通過以上的分析，我們可以看出，我國電子政務(wù)信息安全管理的各個(gè)方面都取得了較大的進(jìn)步，已經(jīng)有了較好的安全管理基礎(chǔ)。但我們也要看到，因?yàn)榉N種原因，中國的電子政務(wù)信息安全管理仍處于起步階段，我國的電子政務(wù)信息安全管理在理論和實(shí)踐上尚存在許多尚待解決的問題。第四章我國電子政務(wù)信息安全管理中存在的問題通過對(duì)電子政務(wù)信息安全管理的探討，我們知道電子政務(wù)信息安全管理是一個(gè)涉及多方面問題的概念，安全管理存在于電子政務(wù)建設(shè)和運(yùn)行的各個(gè)階段，而如果在一個(gè)環(huán)節(jié)出現(xiàn)弱點(diǎn)，則可能會(huì)影響系統(tǒng)的整體安全，因而我們?cè)谔接戨娮诱?wù)信息安全管理時(shí)必須要從總體上去把握，這樣才能事半功倍。近幾年來，我國電子政務(wù)系統(tǒng)的安全管理得到了長足的發(fā)展，但在現(xiàn)有階段，我國電子政務(wù)信息安全管理仍存在許多的問題和不足。一、電子政務(wù)安全立法滯后電子政務(wù)系統(tǒng)內(nèi)部的流通文件、信息、指示等涉及國家核心政務(wù)，有些甚至涉及國家機(jī)密，電子政務(wù)的安全關(guān)系到國家的安全和整個(gè)社會(huì)的利益，因此電子政務(wù)安全的實(shí)施和管理必須以國家法律的形式將其固定化，規(guī)范各方面的行為，并為司法提供法律依據(jù)。在我國，電子政務(wù)發(fā)展經(jīng)歷了二十年的發(fā)展，雖然在網(wǎng)絡(luò)信息安全、電子政務(wù)方面頒布了一些信息安全法律法規(guī)，取得了一定的進(jìn)步，但與國際對(duì)比，立法仍較為落后，無法滿足技術(shù)和系統(tǒng)方面的應(yīng)用需求。當(dāng)前我國電子政務(wù)安全法律方面主要存在以下幾方面的問題:(一)立法意識(shí)落后，不能適應(yīng)新的安全形勢(shì)在目前的有關(guān)電子政務(wù)安全方面的法規(guī)在立法時(shí)大多規(guī)定的過度原則化或籠統(tǒng)，在具體實(shí)施中就會(huì)缺乏可操作性，形成有法規(guī)而不知如何去實(shí)施的局面，最終法律在實(shí)際中沒有得到很好的執(zhí)行，也就不能發(fā)揮法律的真正效用。信息安全立法缺乏戰(zhàn)略規(guī)劃，立法步伐跟不上信息安全的發(fā)展需要，造成了部分安全立法在實(shí)施中自相矛盾，沒有充分預(yù)見到信息安全的發(fā)展情況，有些法律甚至?xí)璧K安全管理的實(shí)施和發(fā)展，不能很好的處理好安全與發(fā)展的關(guān)系。(二)有關(guān)安全管理立法稀少，立法層次低在我國現(xiàn)行政策法規(guī)難以適應(yīng)網(wǎng)絡(luò)發(fā)展的需要，信息立法還存在相當(dāng)多的空白【11】。我國的信息安全立法大體可分為兩類，一是部門規(guī)章，如《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》;一類是單行法律法規(guī)。如1994年2月發(fā)布的《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》。我國在電子政務(wù)信息安全管理方面并未有較高效力的專門的法律，而且在已經(jīng)頒布的關(guān)于電子政務(wù)安全方面的法規(guī)的立法層次不高，缺乏基礎(chǔ)性的立法，這樣不能保證較高的法律效力，很難對(duì)新發(fā)生的安全事件進(jìn)行有效的管理和協(xié)作。(三)現(xiàn)有安全法規(guī)混亂，部門各行其是我國有關(guān)電子政務(wù)的安全立法大多較為分散，沒有一個(gè)完整的體系，關(guān)于安全管理的規(guī)定大多零散的分布在《檔案法》、《政府信息公開條例》、《保守國家秘密法》等法律中。在已出臺(tái)的條例和規(guī)定之間的協(xié)調(diào)性和相通性不夠。而在這些部門法規(guī)中，存在內(nèi)容重復(fù)交叉，而又因?yàn)槭遣煌块T發(fā)布的，而有許多矛后和沖突，尚未形成統(tǒng)一的標(biāo)準(zhǔn)和鑒定體系【12】，造成了我國電子政務(wù)信息安全管理較為混亂。二、信息安全管理機(jī)構(gòu)建設(shè)不完善當(dāng)前，我國電子政務(wù)信息安全管理的發(fā)展中，除了在管理立法方面存在著諸多的問題之外，在管理組織、機(jī)構(gòu)設(shè)置和職能分配上也存在著不少的問題。(一)安全管理職能分散，協(xié)調(diào)管理能力差電子政務(wù)我國的電子政務(wù)系統(tǒng)大多是各個(gè)部門牽頭組建，對(duì)于它的安全管理也大多存在于部門內(nèi)部，而在國家層面上，對(duì)電子政務(wù)安全的管理權(quán)限分布于國家安全局、國家保密局、公安部、工業(yè)和信息化部等部門【13】。電子政務(wù)信息安全管理職能尚處在條塊分割，各行其是，相互隔離的階段，在遇到職能交叉的問題時(shí)，多頭管理的現(xiàn)象時(shí)有發(fā)生，這樣極大的妨礙了國家有關(guān)法規(guī)的貫徹執(zhí)行，很難對(duì)我國的電子政務(wù)安全做統(tǒng)一而有效的管理。2001年成立的國家信息化領(lǐng)導(dǎo)小組雖然統(tǒng)領(lǐng)我國的電子政務(wù)工作，但在電子政務(wù)安全上缺乏一個(gè)具有最高權(quán)威的統(tǒng)一機(jī)構(gòu)，信息安全相關(guān)的管理機(jī)構(gòu)與國家信息化領(lǐng)域機(jī)構(gòu)之間還沒有充分溝通，缺乏統(tǒng)領(lǐng)全局又有具體職責(zé)和行動(dòng)的國家級(jí)的安全管理機(jī)構(gòu)，各部門在應(yīng)急處理時(shí)，大都處于單兵作戰(zhàn)的狀態(tài)。(二)人員安全責(zé)任界定模糊電子政務(wù)信息安全管理工作是責(zé)任工程，任何參與其中的人員都必須有責(zé)任意識(shí)，在《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)[2003]27號(hào))中，明確指出我國信息安全保障工作必須實(shí)行信息安全責(zé)任制，要按照誰管理誰負(fù)責(zé)、誰運(yùn)營誰負(fù)責(zé)的原則，將安全責(zé)任落實(shí)到人。但在實(shí)際的工作中，我們經(jīng)常會(huì)發(fā)現(xiàn)許多部門的安全責(zé)任界定模糊，對(duì)于電子政務(wù)系統(tǒng)管理員、信息管理員等直接與系統(tǒng)接觸的人員的責(zé)任規(guī)定較為嚴(yán)格，而對(duì)于平常的公務(wù)員的安全責(zé)任的規(guī)定則較松懈;在有些部門的安全責(zé)任規(guī)定僅僅是一紙空文，并不能落到實(shí)處。(三)整體安全意識(shí)薄弱電子政務(wù)是“一把手”工程，這一理念已經(jīng)在世界范圍內(nèi)達(dá)成了共識(shí)，而對(duì)于電子政務(wù)信息安全管理來講，這一理念同樣適用于電子政務(wù)信息安全管理之中【14】。強(qiáng)調(diào)“一把手”工程僅僅是明確了安全管理需要領(lǐng)導(dǎo)的重視和支持，并不是否認(rèn)普通職員的作用，但在實(shí)際中，“安全是領(lǐng)導(dǎo)要考慮的事情”、“安全管理與我無關(guān)”的思想在公務(wù)員中流行，整體安全意識(shí)不強(qiáng)。而要確保電子政務(wù)的整體安全需要普通公務(wù)員、技術(shù)支持團(tuán)隊(duì)、安全管理團(tuán)隊(duì)的協(xié)同合作，因而這種“安全與我無關(guān)”的思想絕對(duì)要不得。(四)封閉建設(shè)，導(dǎo)致“安全孤島”大量存在任何電子政務(wù)安全項(xiàng)目都是國家電子政務(wù)安全建設(shè)的組成部分，都應(yīng)當(dāng)按照統(tǒng)一的標(biāo)準(zhǔn)和要求來進(jìn)行建設(shè)，這也是發(fā)展電子政務(wù)安全建設(shè)應(yīng)用的全局觀，但在實(shí)際中因?yàn)闃?biāo)準(zhǔn)、部門利益等多方面因素，一些地區(qū)和部門進(jìn)行封閉式的建設(shè)，在建設(shè)中不考慮與相關(guān)部門的協(xié)調(diào)和互操作，不能很好的兼顧電子政務(wù)安全建設(shè)的連續(xù)性和繼承性，制造了一個(gè)個(gè)“安全孤島”，這樣既不利于整體安全水平的提高，又會(huì)給安全管理帶來不必要的麻煩，而且在出現(xiàn)安全問題時(shí)，不能很好的進(jìn)行協(xié)調(diào)和解決。三、信息安全基礎(chǔ)設(shè)施管理薄弱電子政務(wù)是建立在Internet之上的網(wǎng)絡(luò)系統(tǒng)，它需要規(guī)模巨大的基礎(chǔ)設(shè)施的支持，對(duì)于安全而言，統(tǒng)一、安全、順暢的安全基礎(chǔ)設(shè)施的運(yùn)行更是電子政務(wù)安全運(yùn)行的前提和保證。就一般而言，安全基礎(chǔ)設(shè)施主要包括統(tǒng)一的網(wǎng)絡(luò)安全平臺(tái)、數(shù)據(jù)容災(zāi)備份中心、安全認(rèn)證與測評(píng)中心、統(tǒng)一的安全認(rèn)證PKI體系、病毒防護(hù)和應(yīng)急響應(yīng)機(jī)構(gòu)等。安全基礎(chǔ)設(shè)施的建設(shè)和管理就如一座大樓的地基，它的好壞直接決定了整個(gè)電子政務(wù)安全的水平。我國的安全基礎(chǔ)設(shè)施建設(shè)和管理在最近十多年里有了巨大的進(jìn)步，但也存在許多的問題。(一)安全基礎(chǔ)設(shè)施重復(fù)建設(shè)問題突出自20世紀(jì)90年代中期以來，我國圍繞“三金工程”進(jìn)行了一系列的信息化基礎(chǔ)設(shè)施建設(shè)，這為整個(gè)國家的信息化發(fā)展做出了巨大的貢獻(xiàn)，當(dāng)一前基礎(chǔ)設(shè)施建設(shè)面臨將眾多的項(xiàng)目進(jìn)行整合，推進(jìn)其互聯(lián)互通的工作【15】。但目前，許多行業(yè)和部門在沒有對(duì)整個(gè)國家的信息化基礎(chǔ)設(shè)施有全面的了解的情況下，盲目上新的項(xiàng)目，這樣極易造成重復(fù)建設(shè)，資源浪費(fèi)。以PKI/CA建設(shè)為例，在目前，幾乎所有的大型電子政務(wù)安全解決方案中都有這樣的規(guī)劃，這樣也造成了我國的各個(gè)CA呈現(xiàn)相互分割，形成了許多互不相連的孤立安全信任域，這樣也就無法形成完整的PKI體系，在己建成的CA運(yùn)營機(jī)構(gòu)中，大多數(shù)規(guī)模偏小、利用率低，而且目前CA的建設(shè)缺乏國家法規(guī)的支持，安全標(biāo)準(zhǔn)規(guī)范在實(shí)施中問題不少，最終導(dǎo)致了對(duì)CA的管理問題突出。(二)應(yīng)急處理能力差就我國目前的情況來看，我國初步建立了以國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心為主的國家應(yīng)急協(xié)調(diào)體系，但在其它的安全基礎(chǔ)設(shè)施建設(shè)中，尚未建成統(tǒng)一的安全認(rèn)證平臺(tái)、完整的安全標(biāo)準(zhǔn)體系、國家級(jí)的病毒防護(hù)安全體系，這也使具體的電子政務(wù)安全項(xiàng)目建設(shè)陷入被動(dòng)的局面，最終導(dǎo)致了覆蓋整個(gè)國家的安全防護(hù)體系未能完全建立，而這樣在出現(xiàn)緊急安全事件時(shí)，不能從國家層面上對(duì)整個(gè)安全體系進(jìn)行統(tǒng)一的指揮和調(diào)度管理，也就不能對(duì)問題進(jìn)行及時(shí)的處理，甚至?xí)驗(yàn)閼?yīng)急處理不理導(dǎo)致同樣的安全問題一再發(fā)生。因而在總體上，我國的安全基礎(chǔ)設(shè)施在加大統(tǒng)一建設(shè)力度的同時(shí)，要加強(qiáng)應(yīng)急處理能力的建設(shè)，制定行之有效的應(yīng)急預(yù)案和處理規(guī)程，從基礎(chǔ)層面上提升我國的信息安全應(yīng)急處理能力。四、信息安全項(xiàng)目建設(shè)質(zhì)量不高電子政務(wù)安全建設(shè)是一項(xiàng)系統(tǒng)工程，因而對(duì)電子政務(wù)安全做好整體規(guī)劃，進(jìn)行系統(tǒng)地安全風(fēng)險(xiǎn)分析，以項(xiàng)目化的運(yùn)作來保證項(xiàng)目進(jìn)度和質(zhì)量。電子政務(wù)安全項(xiàng)目遵循項(xiàng)目管理的流程，也必須有系統(tǒng)的需求分析、風(fēng)險(xiǎn)分析、系統(tǒng)設(shè)計(jì)、系統(tǒng)實(shí)施、系統(tǒng)測試、系統(tǒng)驗(yàn)收等多個(gè)環(huán)節(jié)，只有以嚴(yán)格的項(xiàng)目管理方法和手段為保障，才能建設(shè)出符合實(shí)際的高質(zhì)量的電子政務(wù)安全系統(tǒng)。但在當(dāng)前，一些部門的電子政務(wù)安全項(xiàng)目設(shè)計(jì)中，沒有發(fā)展規(guī)劃，也不做安全風(fēng)險(xiǎn)分析，沒有建設(shè)重點(diǎn)和先后順序，雖然已經(jīng)開始引入了安全風(fēng)險(xiǎn)分析和評(píng)估機(jī)制，但總體而言，還是處在初級(jí)階段。許多部門的安全系統(tǒng)設(shè)計(jì)都是外包給IT公司，自己做起了“甩手掌柜”，而且政府在電子政務(wù)安全項(xiàng)目管理中的監(jiān)管意識(shí)不強(qiáng)，對(duì)外包公司的管理松懈。由于IT公司對(duì)政府運(yùn)作流程的不了解，再加上與政府部門的溝通不暢，在系統(tǒng)設(shè)計(jì)和實(shí)施時(shí)往往會(huì)想當(dāng)然的進(jìn)行建設(shè)。這樣建設(shè)出來的安全系統(tǒng)，要么不符合政府的實(shí)際，無法保證電子政務(wù)的最大安全，要么與政府運(yùn)作流程相抵觸，使安全系統(tǒng)的后續(xù)管理更加困難。第五章完善我國電子政務(wù)信息安全管理的對(duì)策思考隨著電子政務(wù)安全環(huán)境的惡化，電子政務(wù)信息安全管理問題會(huì)越來越多，但如果僅僅依靠單一的安全策略和管理措施是無法保證電子政務(wù)安全的最大化。筆者認(rèn)為，在當(dāng)前我國電子政務(wù)的安全管理要著眼于解決以下幾個(gè)方面的問題。一、提高對(duì)電子政務(wù)信息安全管理的認(rèn)識(shí)電子政務(wù)信息安全管理的參與者的安全意識(shí)和錯(cuò)誤的安全觀念是電子政務(wù)安全的大敵，對(duì)于電子政務(wù)信息安全而言，只有政府部門對(duì)電子政務(wù)信息安全的現(xiàn)狀、管理目標(biāo)、重要性和建設(shè)原則有清醒的認(rèn)識(shí)才能提高我國的電子政務(wù)信息安全水平。因此在政府中樹立正確的電子政務(wù)信息安全觀是我們進(jìn)行電子政務(wù)信息安全管理的先決條件。(一)分清主次，樹立有所為、有所不為的安全觀一個(gè)電子政務(wù)系統(tǒng)安全保密性能超出安全保密的管理要求不但沒有必要，而且還會(huì)造成資金上的浪費(fèi)，因此，在電子政務(wù)建設(shè)中，我們應(yīng)奉行有所為、有所不為的安全觀。對(duì)于存有大量機(jī)密信息的政府部門、核心機(jī)構(gòu)可以暫時(shí)不進(jìn)行面向社會(huì)的電子政務(wù)建設(shè)，待技術(shù)和管理成熟時(shí)再進(jìn)行建設(shè)。而對(duì)一些社會(huì)部門、經(jīng)濟(jì)部門，可以加快電子政務(wù)安全建設(shè)。在技術(shù)和管理策略不是很完善的條件下，應(yīng)該以“過程”的角度去考慮安全問題，“邊發(fā)展邊安全”的做法不失為一個(gè)很好的解決方法。(二)樹立相對(duì)安全的觀念，避免進(jìn)入“絕對(duì)安全”的誤區(qū)就像任何事情都有兩面性一樣，安全也是相對(duì)的。沒有絕對(duì)安全的地方，但也不是所有的地方都不安全，這是安全問題的悖論，安全是一種平衡的游戲，安全的界定隨著時(shí)間、地點(diǎn)的不同而變化，信息安全是一種沒有底線的風(fēng)險(xiǎn)游戲【18】。對(duì)電子政務(wù)而言，系統(tǒng)的安全策略總不可能保證絕對(duì)的安全，因?yàn)閷?duì)任何技術(shù)或安全策略來講，給人足夠的時(shí)間都是可以攻破的。因而，我們?cè)谶M(jìn)行電子政務(wù)安全建設(shè)和管理中首先要樹立相對(duì)的安全觀，在現(xiàn)有條件下可以保證該保護(hù)的系統(tǒng)和信息資源的安全就是最好的安全。盲目追求“絕對(duì)的安全”，到頭來既會(huì)造成投資的浪費(fèi)，也會(huì)使該保護(hù)的沒有保護(hù)好，無法發(fā)揮安全系統(tǒng)的最好效用。(三)綜合權(quán)衡安全、成本、效率，確保適當(dāng)?shù)耐度氆@得最大的安全安全并沒有統(tǒng)一的尺度，對(duì)于各地區(qū)、各部門而言，安全的發(fā)展也是不平衡的，對(duì)安全的要求也隨之不同。絕對(duì)的安全是沒有的，電子政務(wù)系統(tǒng)也不是“越安全越好”【19】。必須根據(jù)電子政務(wù)系統(tǒng)的實(shí)際要求做到恰到好處。在進(jìn)行電子政務(wù)安全設(shè)計(jì)的時(shí)候，必須根據(jù)實(shí)際應(yīng)用情況，協(xié)調(diào)好安全、成本、效率三者的關(guān)系。從成本和效益的關(guān)系來分析，也是一個(gè)保持綜合平衡的問題，應(yīng)盡可能地降低安全投入成本，使有限的安全資金發(fā)揮最佳的使用效益。(四)統(tǒng)一規(guī)劃，標(biāo)準(zhǔn)管理，形成規(guī)范管理的習(xí)慣電子政務(wù)信息安全管理最重要的是形成整體的防御能力，因而，對(duì)于各個(gè)部門電子政務(wù)系統(tǒng)的安全接口、網(wǎng)絡(luò)邏輯結(jié)構(gòu)、數(shù)據(jù)結(jié)構(gòu)等有統(tǒng)一的標(biāo)準(zhǔn)，建設(shè)在國家基礎(chǔ)安全設(shè)施平臺(tái)基礎(chǔ)上的統(tǒng)一的電子政務(wù)安全標(biāo)準(zhǔn)，各部門在保證各部門電子政務(wù)安全運(yùn)行的基礎(chǔ)上，確保電子政務(wù)安全體系的無縫隙集成，從而在不斷的發(fā)展中提升我國的電子政務(wù)安全防御能力。(五)平衡安全與開放的關(guān)系，提升公共服務(wù)水平從安全本身來講，系統(tǒng)越安全，流程和確認(rèn)手續(xù)越多，可能會(huì)耽誤時(shí)間和資金，而且會(huì)造成一定的封閉性，但從電子政務(wù)的建設(shè)目標(biāo)來講，電子政務(wù)系統(tǒng)是面向公眾的，是為節(jié)省公眾的時(shí)間和資金，取得較高的辦事效率和滿意度。因此，在二者之間并不能偏袒哪一方。電子政務(wù)的安全性與平臺(tái)的開放性是電子政務(wù)信息安全管理中很難把握的一對(duì)矛盾。一方面要把握信息分級(jí)管理機(jī)制，另一方面要避免“絕對(duì)安全”的思維，科學(xué)、適度的安全既是最好的安全。在逐步提高電子政務(wù)信息安全管理水平的同時(shí)，提升政府的公共服務(wù)水平。二、完善制度和組織保障體系電子政務(wù)信息安全管理是在電子政務(wù)安全系統(tǒng)之中進(jìn)行的。從宏觀的角度來講，信息系統(tǒng)是政府工作的一部分，政府的法律、制度、組織安排會(huì)對(duì)管理的水平和效率產(chǎn)生極大的影響，因而，構(gòu)建完善的安全法律、制度和組織保障(一)改進(jìn)立法理念，完善我國電子政務(wù)安全法律體系安全法律建設(shè)是核心，沒有完善的安全法律體系就不能很好的規(guī)范電子政務(wù)建設(shè)中的相關(guān)問題，安全管理也就成了“無源之水，無本之木”【20】。目前我國已頒布相當(dāng)數(shù)量的信息安全方面的法律規(guī)范，但從總體上來講，這些法規(guī)的立法層次不高，立法理念相對(duì)滯后;電子政務(wù)安全的立法還處于一個(gè)綱領(lǐng)性規(guī)定的階段。對(duì)于以上問題，筆者認(rèn)為應(yīng)從以下幾點(diǎn)進(jìn)行規(guī)范:第一、由“堵”為“疏”的安全法律設(shè)計(jì)理念。要從徹底改革國家傳統(tǒng)的政務(wù)管理體制入手，將滯后的管理方法和管理策略進(jìn)行有選擇的使用，同時(shí)要從整個(gè)電子政務(wù)發(fā)展的高度，將立法的出發(fā)點(diǎn)放在掃清建設(shè)和管理的障礙上，放在規(guī)范化、標(biāo)準(zhǔn)化上。第二，將安全法律的建設(shè)與安全標(biāo)準(zhǔn)的制定結(jié)合起來。我國的安全標(biāo)準(zhǔn)的制定和安全法律體系存在“雙低”的情況，因而我國在電子政務(wù)安全法律建設(shè)中更應(yīng)當(dāng)應(yīng)將法律制定與標(biāo)準(zhǔn)的規(guī)范化結(jié)合起來。總而言之，及早建立并完善我國電子政務(wù)安全法律體系，只有這樣才能做到依法治網(wǎng)，依法建設(shè)，有法可依，有法必依。(二)加強(qiáng)政府人員的安全管理和培訓(xùn)，建設(shè)“人力防火墻”人員管理是安全管理的重要環(huán)節(jié)。多項(xiàng)針對(duì)電子政務(wù)安全事件調(diào)查的結(jié)果表明，絕大多數(shù)安全事件是由政府內(nèi)部人員的誤操作或故意行為造成的，而從安全角度來看，政府內(nèi)部人員既是潛在的威脅，也是安全制度的執(zhí)行者和保護(hù)對(duì)象。對(duì)于政府人員的安全管理必須堅(jiān)持分類、分級(jí)、適度和責(zé)任追究的原則。從安全管理的角度來講，政府人員分為兩類，一類是電子政務(wù)信息安全管理人員，一類是政府公務(wù)員。對(duì)于這兩類人員要進(jìn)行不同的管理和培訓(xùn)。對(duì)于安全管理人員，包括安全審計(jì)員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、安全分析員等，要堅(jiān)持“引進(jìn)人才，培養(yǎng)人才”的原則。其次，對(duì)于現(xiàn)有的安全管理人員要加強(qiáng)基本安全素養(yǎng)和技能的培訓(xùn)。第三，要完善安全人員管理制度。明確安全責(zé)任、清楚界定職責(zé)范圍，將安全績效考核與職位晉升聯(lián)系起來。對(duì)于平常的政府工作人員，要加強(qiáng)對(duì)他們的培訓(xùn)。三、加強(qiáng)各項(xiàng)安全基礎(chǔ)設(shè)施建設(shè)從根本上來講，所有的網(wǎng)絡(luò)應(yīng)用都是在國家網(wǎng)絡(luò)基礎(chǔ)設(shè)施的基礎(chǔ)上建立起來的。網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施作為其中重要的內(nèi)容，是當(dāng)前絕大多數(shù)網(wǎng)絡(luò)應(yīng)用的基礎(chǔ)和第一道安全屏障。經(jīng)過二十多年的發(fā)展，我國的網(wǎng)絡(luò)基礎(chǔ)設(shè)施趨于完善，初期的巨大投入開始有了回報(bào)，在今后的發(fā)展中，網(wǎng)絡(luò)基礎(chǔ)設(shè)施的重點(diǎn)也應(yīng)從建設(shè)逐步轉(zhuǎn)向?qū)A(chǔ)設(shè)施的管理和體系的完善上。(一)完善信息安全標(biāo)準(zhǔn)認(rèn)證管理在網(wǎng)絡(luò)安全中，制定統(tǒng)一的安全標(biāo)準(zhǔn)有利于安全產(chǎn)品的規(guī)范化，有利于保證產(chǎn)品安全可信性，實(shí)現(xiàn)對(duì)產(chǎn)品的統(tǒng)一部署，有利于電子政務(wù)系統(tǒng)的互聯(lián)、互信和互操作性，保障電子政務(wù)系統(tǒng)的安全可靠。在網(wǎng)絡(luò)基礎(chǔ)設(shè)施中，安全標(biāo)準(zhǔn)的制定是最基本的環(huán)節(jié)，雖然它輸出的僅僅是一些標(biāo)準(zhǔn)化的文檔，但這些標(biāo)準(zhǔn)化的安全文檔正是實(shí)現(xiàn)更高級(jí)的應(yīng)用的基礎(chǔ)，沒有這些標(biāo)準(zhǔn)化的安全文檔，更高級(jí)的安全應(yīng)用都只是“空中樓閣”。從總體上講，信息安全標(biāo)準(zhǔn)規(guī)范包括電子文檔密級(jí)劃分和標(biāo)一記格式、安全事件處理、應(yīng)急響應(yīng)規(guī)范、密碼算法標(biāo)準(zhǔn)、密鑰管理標(biāo)準(zhǔn)、PKI/CA標(biāo)準(zhǔn)、PMI標(biāo)準(zhǔn)、信息系統(tǒng)安全評(píng)估和網(wǎng)絡(luò)安全產(chǎn)品測評(píng)標(biāo)準(zhǔn)等內(nèi)容。為完善我國未來的信息安全標(biāo)準(zhǔn)化，要重點(diǎn)完善三個(gè)方面的安全標(biāo)準(zhǔn):首先，為配合PKI安全認(rèn)證平臺(tái)的建設(shè)，要盡快完善PKI/CA公鑰基礎(chǔ)設(shè)施相關(guān)標(biāo)準(zhǔn)的制定;其次，完善相關(guān)安全流程和要求的標(biāo)準(zhǔn)，對(duì)于工程質(zhì)量、安全操作、安全測評(píng)要求等;第三，盡快完善相關(guān)安全技術(shù)標(biāo)準(zhǔn)。(二)構(gòu)建國家級(jí)病毒防護(hù)安全平臺(tái)伴隨網(wǎng)絡(luò)的發(fā)展，病毒威脅也在不斷增強(qiáng)，而病毒的破壞不容小視，輕則造成軟件故障、系統(tǒng)崩潰，重則造成數(shù)據(jù)丟失、硬件故障。我國的網(wǎng)絡(luò)病毒防護(hù)體系建設(shè)尚處在初級(jí)階段，我國電子政務(wù)部門系統(tǒng)和信息的安全絕大多數(shù)還是要靠自身的安全保障體系的防護(hù)。建設(shè)覆蓋全國網(wǎng)絡(luò)的病毒防護(hù)安全平臺(tái)，統(tǒng)一國家基礎(chǔ)病毒防護(hù)平臺(tái)可以很好的提升我國抗擊計(jì)算機(jī)病毒的能力。在國家基礎(chǔ)病毒防護(hù)安全平臺(tái)的建設(shè)中，政府要加強(qiáng)與大的病毒防護(hù)軟件廠商的合作，充分利用它們的病毒檢測和防護(hù)能力，努力打造出覆蓋全國的基礎(chǔ)病毒防護(hù)平臺(tái)。(三)加強(qiáng)應(yīng)急響應(yīng)機(jī)構(gòu)的協(xié)作管理安全不是百分之百的，任何系統(tǒng)都有被入侵的危險(xiǎn)，因此，應(yīng)急響應(yīng)成為任何一個(gè)系統(tǒng)所必須考慮的問題。但如果僅僅從某個(gè)單位和部門的角度來考慮，應(yīng)急響應(yīng)明顯會(huì)有許多的局限性，每個(gè)系統(tǒng)都需要相互的協(xié)作和外部的支持。國家建設(shè)的綜合性的應(yīng)急響應(yīng)機(jī)構(gòu)就是為了更好的處理這個(gè)問題而出現(xiàn)的。當(dāng)前要逐步建立覆蓋全國的安全技術(shù)支持服務(wù)體系。在己經(jīng)成立的各國家信息中心技術(shù)支持分中心中要充分利用網(wǎng)絡(luò)、電話等技術(shù)手段，結(jié)合內(nèi)外部的技術(shù)力量，在應(yīng)用系統(tǒng)建設(shè)和運(yùn)行過程中，做好安全軟件研發(fā)、推廣、維護(hù)、升級(jí)等技術(shù)支持服務(wù)工作。同時(shí)規(guī)范技術(shù)支持體系的運(yùn)行，建立以省級(jí)運(yùn)行維護(hù)為單位的安全技術(shù)支持節(jié)點(diǎn)，建立起相應(yīng)的災(zāi)難恢復(fù)和數(shù)據(jù)備份中心，并與威脅預(yù)警體系、病毒防護(hù)體系相連接，各部門間實(shí)行協(xié)作運(yùn)行機(jī)制，切實(shí)處理好緊急電子政務(wù)安全事件.四、提高安全建設(shè)質(zhì)量從總體上來講，電子政務(wù)安全系統(tǒng)的生命周期包括建設(shè)階段和運(yùn)行維護(hù)階段，這兩個(gè)階段涉及到兩個(gè)不同的管理類型—項(xiàng)目管理和與運(yùn)營管理。一個(gè)系統(tǒng)的建設(shè)的質(zhì)量的好壞既會(huì)影響到系統(tǒng)的健壯性和穩(wěn)定性，也會(huì)影響到系統(tǒng)上線后的運(yùn)行和維護(hù)成本。電子政務(wù)安全項(xiàng)目的管理決定了整個(gè)電子政務(wù)安全系統(tǒng)的安全程度和管理難度。(一)改進(jìn)外包開發(fā)模式，提高信息安全建設(shè)的針對(duì)性電子政務(wù)安全項(xiàng)目開發(fā)有兩種方式:政府自行開發(fā)和外包開發(fā)。相比較而言，外包開發(fā)有更大的優(yōu)勢(shì)，專業(yè)開發(fā)商具有較強(qiáng)的技術(shù)實(shí)力和人才優(yōu)勢(shì)，外包模式有更高的經(jīng)濟(jì)效益。因而，在電子政務(wù)安全項(xiàng)目的建設(shè)中，最好采用外包開發(fā)的模式，但運(yùn)用這個(gè)模式必須政府時(shí)刻掌握項(xiàng)目管理的主動(dòng)權(quán)。在進(jìn)行電子政務(wù)安全建設(shè)之前，要選擇合適的IT外包企業(yè)，要對(duì)承包安全項(xiàng)目的廠商的安全資質(zhì)進(jìn)行嚴(yán)格的審查，從安全技術(shù)實(shí)施能力，安全理念、安全保密制度等多個(gè)方面進(jìn)行綜合評(píng)定，同時(shí)明確界定其責(zé)任和義務(wù)，加強(qiáng)對(duì)其工作范圍、工作進(jìn)度、項(xiàng)目質(zhì)量的監(jiān)管。(二)明確電子政務(wù)信息安全建設(shè)原則首先，要協(xié)調(diào)好質(zhì)量、進(jìn)度和成本之間的關(guān)系。在電子政務(wù)安全項(xiàng)目中，質(zhì)量、進(jìn)度和成本是必須要好好處理的三個(gè)方面。總的來講，在電子政務(wù)安全項(xiàng)目中，首先要保證項(xiàng)目目標(biāo)—政務(wù)系統(tǒng)安全性的實(shí)現(xiàn)，在這個(gè)基礎(chǔ)之上，要保證項(xiàng)目在計(jì)劃的時(shí)間內(nèi)完成，同時(shí)，必須將預(yù)算控制在既定的范圍內(nèi)。其次，做好電子政務(wù)項(xiàng)目的規(guī)劃。規(guī)劃是保證電子政務(wù)項(xiàng)目建設(shè)得以順利實(shí)施的基本條件，良好而具有前瞻性的項(xiàng)目管理規(guī)劃可以保證避免項(xiàng)目進(jìn)行中所遇到的問題。對(duì)于電子政務(wù)項(xiàng)目而言，規(guī)劃性要體現(xiàn)在對(duì)建設(shè)目標(biāo)的明確性、對(duì)項(xiàng)目風(fēng)險(xiǎn)的預(yù)測性上。再次，以標(biāo)準(zhǔn)為管理準(zhǔn)則。項(xiàng)目管理是一種遵循已有的規(guī)定和標(biāo)準(zhǔn)的管理方式，而從安全管理的角度來講，良好的標(biāo)準(zhǔn)化是系統(tǒng)安全運(yùn)行的重要保證。在電子政務(wù)安全項(xiàng)目管理中，要依據(jù)已有的各種實(shí)施標(biāo)準(zhǔn)，如GB/T9361—1988《計(jì)算機(jī)場地安全要求信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》、GB/T9385—1988《計(jì)算機(jī)軟件需求說明編制指南》、《電子政務(wù)綜合業(yè)務(wù)網(wǎng)建設(shè)規(guī)范》等標(biāo)準(zhǔn)來進(jìn)行管理，從而保證電子政務(wù)安全系統(tǒng)建設(shè)的質(zhì)量。第四，進(jìn)行充分的溝通。在項(xiàng)目管理中，最重要的是各層級(jí)、委托方與實(shí)施方之間的充分的溝通，對(duì)于電子政務(wù)安全項(xiàng)目來講，許多外部IT企業(yè)的項(xiàng)目經(jīng)理對(duì)政府內(nèi)部的業(yè)務(wù)流程不了解，對(duì)于政府安全保護(hù)的特點(diǎn)不明確，可能會(huì)造成項(xiàng)目的不適用，因而，堅(jiān)持充分的溝通原則是電子政務(wù)安全項(xiàng)目成功的關(guān)鍵。(三)優(yōu)化電子政務(wù)項(xiàng)目信息安全管理流程1、安全需求分析在安全需求分析階段，從安全的角度來講，要著重處理三方面的問題：第一，分析安全現(xiàn)狀，明確安全需求。對(duì)現(xiàn)狀的認(rèn)識(shí)和分析是任何項(xiàng)目開始的基礎(chǔ)，只有對(duì)現(xiàn)狀有了充分的認(rèn)識(shí)。第二，做好項(xiàng)目安全風(fēng)險(xiǎn)評(píng)估。對(duì)于安全風(fēng)險(xiǎn)的提早評(píng)估不僅可以保證安全系統(tǒng)項(xiàng)目建設(shè)順利進(jìn)行，更可為安全系統(tǒng)所面對(duì)的各種威脅的消除提供事先的預(yù)案。從而提高整個(gè)系統(tǒng)的安全性。第三，完善的安全系統(tǒng)設(shè)計(jì)。安全系統(tǒng)的設(shè)