电子政务不同于电子商务电子政务网也不同于企业内部网,它所面临防安全风险除了常规的大家都知道的各种威胁之外,内部人员的违法违反相关规定的行为占有很宽的份量。依照国家有关规定,电子政务网中涉密的核心网络与互联网是断开的,这就排除了一个广大的黑客群,从而使内部的违法违规活动和相应的管理难题凸显出来。目前有关方面正在制定我国电子政务的总体框架,包括与之配套的电子政务安全体系框架,只有从策略、法规、管理、标准、服务、基础设施、技术与产品等方面综合治理,才能保障电子政务的健康发展和安全运行。本文扼要介绍相关各项,然后谈谈需要注意的几方面问题。
关于策略,重要的是如何处理发展与安全的关系,发展是主体,安全扮演保驾护航的角色,不能倒过来,一定要在成本与目标之间找到科学的平衡点。安全应当是适度的,并不是钱花得越多越安全。在信息安全诸要素中,人既是信息安全的保护者,也是麻烦的最大制造者,怎样实现以人为本,是安全策略需考虑的问题。
法律方面,目前国家正在讨论信息公开法和保密法问题,公开和保密的问题不解决好,我们大量的政务要想服务于社会和公众,会有很多困难。另外是电子文档的法律效力问题,如果电子文档不能作为合法证据,电子政务的开展就缺乏必须的法律依据,因此要尽快制定相关的法律法规。 安全管理,保证电子政务从立项、采购一直到系统的建设和运行,在一个相对安全的环境下运行,国家正在起草有关法律法规,准备制定十项规则。 电子政务平台搭建以后,肯定会继续扩展,而且要跟别人连接,这就需要制定一系列的标准,使大家在选用产品,采用技术的时候有所遵循。标准的制定既要参照国际体系,更要考虑我国实情。 基础设施及相应服务应由国家承担。准备建国家级的电子政务中心,一些范围内建分中心,不需要每个单位都建自己的中心,然后花几百万上千万去支撑它的运行和安全。 构建一个安全系统,首先要做的,是需求分析,然后才是确定安全策略。选择体系结构、服务模式和机制。维护电子政务安全,以下方面需要认真考虑:
第一点,网络安全域的划分与控制。这样的一个问题在电子政务中很重要,原因是电子政务涉及到国家秘密,关系国家安全,同时又要承担社会管理任务,要为公众提供服务,两者间存在一定的冲突。因此,在电子政务建设过程中,你怎么样来划分安全域,划小了,有泄密危险,划大了,影响社会管理和公共服务。怎样把电子政务的安全域划得很科学,对实施至关重要。核心涉密网与外网一定是物理隔离的,在安全网闸产品没有经过国家审批之前,只能一刀切开。
第二个较为重要的是在电子政务领域中建立一个高可信度的信任体系,现在比较可行的,仍然是基于PKI的信任体系。但电子政务又有很多特别的条件,不能照搬源于电子商务的PKI应用。 第三点就是前面提到的内部审计。经过强化的内部审计,是电子政务中很重要的因素。以前的系统也有审计,但电子政务需要的是一种立体的、全局、全过程的审计,不单包括系统层,还包括应用层、网络层等等,许多方面一般的传统审计做不到。 秘密文件从传统的物理载体过渡到电子载体,需要形成一套标准的电子密文和密级标记及相应控制手段,有关方面正在制定标准。此外,灾难恢复和备份、密码产品和密码保护等,在电子政务建设中也应引起关注。
主办:海南省工业与信息化厅琼ICP 05000041 号技术上的支持:开普云