我國(guó)電子政務(wù)存在問(wèn)題和發(fā)展趨勢(shì)分析研究 財(cái)務(wù)管理專業(yè)

我國(guó)電子政務(wù)存在問(wèn)題和發(fā)展趨勢(shì)摘要我國(guó)的電子政務(wù)初步形成了以政府內(nèi)外網(wǎng)為基礎(chǔ)架構(gòu)，以公眾為服務(wù)對(duì)象，以效率為核心價(jià)值目標(biāo)的電子政務(wù)服務(wù)體系。但是鑒于網(wǎng)絡(luò)本身的缺陷、系統(tǒng)漏洞的不斷出現(xiàn)和技術(shù)方面的不足等原因，電子政務(wù)信息安全面臨著巨大的威脅，只有發(fā)現(xiàn)安全管理中的漏洞并針對(duì)漏洞加強(qiáng)管理，電子政務(wù)信息的安全才能獲得保障。針對(duì)于電子政務(wù)信息安全管理的研究，本文運(yùn)用管理學(xué)、信息學(xué)、網(wǎng)絡(luò)安全、項(xiàng)目管理、風(fēng)險(xiǎn)分析等多學(xué)科的知識(shí)和方法，從當(dāng)前存在的問(wèn)題出發(fā)，從整體上對(duì)所要著重考慮的方面進(jìn)行對(duì)策分析，以期為我國(guó)電子政務(wù)信息安全水平的提高提供一些參考建議。本文從對(duì)電子政務(wù)和電子政務(wù)信息安全的認(rèn)識(shí)入手，對(duì)電子政務(wù)和電子政務(wù)信息安全的概念進(jìn)行描述，明確電子政務(wù)信息安全管理的內(nèi)涵。通過(guò)資料分析和數(shù)據(jù)整理，分析出在我國(guó)當(dāng)前的信息安全管理中存在安全立法滯后、管理機(jī)構(gòu)不健全、安全基礎(chǔ)設(shè)施管理薄弱、項(xiàng)目建設(shè)質(zhì)量差等問(wèn)題。最后，結(jié)合多學(xué)科的知識(shí)和方法，對(duì)信息安全管理中存在的不同問(wèn)題進(jìn)行對(duì)策思考。分別從提高的電子政務(wù)信息安全觀，完善制度和組織保障，加強(qiáng)安全基礎(chǔ)設(shè)施建設(shè)和管理，提高項(xiàng)目安全建設(shè)質(zhì)量等方面來(lái)對(duì)我國(guó)的電子政務(wù)信息安全管理進(jìn)行對(duì)策分析?！娟P(guān)鍵詞】:電子政務(wù);信息安全；安全管理;AbstractChina'se-governmentistheinitialformationofe-governmentservicesinsideandoutsidethegovernmentnetworkinfrastructuretothepublicfortheservice,efficiencyofthecorevalues??ofthetargetsystem.Butinviewofthedefectsofthenetworkitself,thesystemvulnerabilityandtheinadequacyofthetechnicalaspectsofe-governmentinformationsecurityisfacingahugethreat,onlytofindloopholesinsafetymanagementandforloopholestostrengthenmanagement,e-governmentinformationsecurityinordertoobtainprotection.Managementscience,informationscience,networksecurity,projectmanagement,riskanalysis,multi-disciplinaryknowledgeandmethodscurrentlyexistfore-governmentsecuritymanagement,proceedfromtheoverallandmacrosecurityofelectronicgovernmentmanagementisimportanttoconsideraspectsofthecountermeasurestoprovidesomereferencetoproposalstoraisethelevelofe-governmentsecurity.Startfromtheunderstandingofthesecurityofe-governmentande-government,thesecurityofe-governmentande-governmentconceptisdescribedthenthemeaningofe-governmentsecuritymanagement,characteristicsandobjectivesdescribed,theconnotationofacleare-governmentsecuritymanagement.Dataanalysisanddatamanagement,analysisofthesecuritylegislationlagsbehindinourcurrente-governmentsecuritymanagement,regulatoryagenciesarenotperfect,securityinfrastructure,weakmanagement,poorqualityofconstructionprojects.Fromincreasede-governmentinformationsecurityconcept,andimprovetheinstitutionalandorganizationalsecurity,strengthentheconstructionandmanagementofsecurityinfrastructure,toimproveprojectsafetyandconstructionqualityofChina'se-governmentsecuritymanagementcountermeasures.Keywords：E-government;informationsecurity;safetymanagement;

目錄TOC\o"1-2"第一章緒論 1一、研究背景和研究意義 1二、研究現(xiàn)狀 2第二章電子政務(wù)信息安全管理的概念 5第三章我國(guó)電子政務(wù)信息安全管理的基本現(xiàn)狀分析 6一、我國(guó)電子政務(wù)信息安全環(huán)境分析 7二、我國(guó)電子政務(wù)信息安全管理的情況 9第四章我國(guó)電子政務(wù)信息安全管理中存在的問(wèn)題 11一、電子政務(wù)安全立法滯后，尚存在大量的空白 11二、信息安全管理機(jī)構(gòu)建設(shè)不完善，統(tǒng)一協(xié)調(diào)能力較差 13三、信息安全基礎(chǔ)設(shè)施管理薄弱，應(yīng)急處理能力差 15四、電子政務(wù)安全項(xiàng)目建設(shè)存在盲目性 16第五章完善我國(guó)電子政務(wù)信息安全管理的對(duì)策思考 17一、樹(shù)立科學(xué)的安全觀，提高對(duì)電子政務(wù)信息安全管理的認(rèn)識(shí) 17二、完善制度和組織保障體系，提高信息安全管理“軟實(shí)力” 20三、加強(qiáng)各項(xiàng)安全基礎(chǔ)設(shè)施建設(shè)，確保信息安全基礎(chǔ)扎實(shí) 21四、做好電子政務(wù)項(xiàng)目信息安全管理，提高安全建設(shè)質(zhì)量 23結(jié)論 27第一章緒論 一、研究背景和研究意義目前在我國(guó)，一方面，電子政務(wù)信息系統(tǒng)中有許多的安全隱患和缺陷，安全管理不到位，信息系統(tǒng)面臨著巨大的安全威脅;另一方面，我國(guó)對(duì)于電子政務(wù)信息安全管理問(wèn)題的研究尚處于初級(jí)階段，大多數(shù)側(cè)重于研究技術(shù)方案制定和完善，不能形成宏觀與微觀相結(jié)合的整體安全管理體系，從而造成了信息泄露、政務(wù)系統(tǒng)癱瘓等安全事件不斷出現(xiàn)，嚴(yán)重影響了我國(guó)電子政務(wù)的信息安全和公共服務(wù)水平的提高。對(duì)于電子政務(wù)信息安全管理問(wèn)題的研究既有重要的理論和現(xiàn)實(shí)意義，又具有重大的政治意義二、研究現(xiàn)狀對(duì)電子政務(wù)信息安全管理的研究是伴隨著電子政務(wù)的發(fā)展而產(chǎn)生的，從20世紀(jì)九十年代開(kāi)始逐步擴(kuò)大，涉及安全標(biāo)準(zhǔn)、安全框架、安全模型、安全認(rèn)證與測(cè)評(píng)等多個(gè)方面。國(guó)外關(guān)于電子政務(wù)信息安全管理標(biāo)準(zhǔn)的研究較早，在1995年英國(guó)首先提出(信息安全管理實(shí)施細(xì)則)。在這之后美國(guó)和歐洲等國(guó)也提出了有關(guān)于信息安全管理的標(biāo)準(zhǔn)規(guī)范。至2000年，逐步提出了完整的GMITS(IT安全管理方針)。信息保障技術(shù)框架(IATF)，是1998年由美國(guó)國(guó)家安全局提出的，目的是為美國(guó)政府的信息基礎(chǔ)設(shè)施提供安全防護(hù)框架和解決方案指南。它定義了一個(gè)系統(tǒng)進(jìn)行信息保障的過(guò)程，系統(tǒng)中硬件和軟件部件的安全需求，提供“深層次防御策略”的多層次防護(hù)。在IATF3.O中將縱深防御體系劃分為本地計(jì)算機(jī)環(huán)境、區(qū)域邊界和基礎(chǔ)設(shè)施。IATF強(qiáng)調(diào)技術(shù)并提供一個(gè)框架進(jìn)行多層保護(hù)，以此防護(hù)計(jì)算機(jī)威脅，該方法可以使能夠攻破一層或一類(lèi)保護(hù)的攻擊行為無(wú)法破壞整個(gè)信息基礎(chǔ)設(shè)施。國(guó)外在電子政務(wù)信息安全管理和體系方面的研究較為深入。而在我國(guó)，電子政務(wù)的發(fā)展還是一個(gè)較為初級(jí)的階段，但近年來(lái)，隨著政府對(duì)它的關(guān)注，我國(guó)也取得了較大的進(jìn)展。從以上可以看出，我國(guó)學(xué)者對(duì)電子政務(wù)安全的研究也比較多，但主要集中在對(duì)電子政務(wù)安全問(wèn)題的論述、安全技術(shù)的介紹、電子政務(wù)安全建設(shè)原則、電子政務(wù)安全安全策略、技術(shù)層面的安全體系建設(shè)等方面，缺乏更為深入的研究，尚處在初級(jí)階段。第二章電子政務(wù)信息安全管理的概念電子政務(wù)信息安全管理有狹義和廣義之分，從狹義上來(lái)講，電子政務(wù)信息安全管理是指對(duì)人員、組織和制度的管理，主要包括管理規(guī)章制度的制定，組織體系的建立，安全管理人員的培訓(xùn)和操作流程的管理;從廣義上講，電子政務(wù)信息安全管理是指政府運(yùn)用各種安全策略和手段，對(duì)電子政務(wù)實(shí)施的各個(gè)階段進(jìn)行安全管理，包括系統(tǒng)建設(shè)項(xiàng)目安全管理、入網(wǎng)信息安全管理、安全技術(shù)支持管理、安全運(yùn)行維護(hù)管理、安全制度環(huán)境保障管理、安全基礎(chǔ)設(shè)施平臺(tái)管理等各個(gè)方面，既涉及國(guó)家的宏觀層面，也涉及各個(gè)部門(mén)單位自身的微觀層面。筆者在本文中所指的電子政務(wù)信息安全管理均是廣義上的定義。第三章我國(guó)電子政務(wù)信息安全管理的基本現(xiàn)狀分析一、我國(guó)電子政務(wù)信息安全環(huán)境分析(一)網(wǎng)絡(luò)普及率有待提高從CNNIC公布的《第25次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r調(diào)查統(tǒng)計(jì)報(bào)告》來(lái)看，我國(guó)互聯(lián)網(wǎng)的普及率為28.9%，但網(wǎng)絡(luò)發(fā)展存在明顯的“東中西”現(xiàn)象和城鄉(xiāng)差距。由于在網(wǎng)絡(luò)普及上存在很大差距，因而，我們可以說(shuō)如果無(wú)法縮小網(wǎng)絡(luò)發(fā)展差距，政府電子政務(wù)建設(shè)也就是“無(wú)源之水無(wú)本之木”，無(wú)論政府的電子政務(wù)搞的多么完善，最終都不會(huì)實(shí)現(xiàn)為廣大的人民服務(wù)的目的。(二)多種安全威脅并存1、外部安全威脅第一，病毒破壞。病毒威脅不單是電子政務(wù)系統(tǒng)所面臨的安全問(wèn)題，也是讓每個(gè)互聯(lián)網(wǎng)用戶頭疼的問(wèn)題。我國(guó)的電子政務(wù)網(wǎng)絡(luò)結(jié)構(gòu)大多是內(nèi)外網(wǎng)結(jié)構(gòu)，一旦內(nèi)網(wǎng)內(nèi)的一臺(tái)電腦感染病毒就可能危及整個(gè)網(wǎng)絡(luò)的安全。第二，黑客攻擊和信息間諜。黑客們處于各種目的，對(duì)系統(tǒng)進(jìn)行入侵、網(wǎng)絡(luò)竊聽(tīng)、密文破譯、流量分析、密鑰破解等活動(dòng)。第四，信息恐怖活動(dòng)和信息戰(zhàn)爭(zhēng)。主要是國(guó)與國(guó)層面的信息戰(zhàn)爭(zhēng)，這種威脅雖然不是經(jīng)常出現(xiàn)，但它們常常以摧毀國(guó)家信息基礎(chǔ)設(shè)施、制造并散布恐怖信息、發(fā)布虛假信息、竊取軍事情報(bào)、攻擊指揮系統(tǒng)及破壞社會(huì)經(jīng)濟(jì)等為目的。第五，自然災(zāi)害。因溫度、濕度、灰塵、雷擊、靜電、地震等因素引起的設(shè)備損壞，一旦發(fā)生，后果往往是災(zāi)難性的。2、內(nèi)部安全威脅第一，安全意識(shí)不強(qiáng)。這主要體現(xiàn)在系統(tǒng)管理員和大多數(shù)的網(wǎng)絡(luò)用戶身上，因?yàn)樗枷肼楸?、?jīng)驗(yàn)不足及對(duì)后果的估計(jì)不足等原因，導(dǎo)致感染病毒或系統(tǒng)缺陷。第二，惡意破壞。主要是內(nèi)部安全人員因?yàn)楦鞣N原因?qū)?nèi)部服務(wù)器和網(wǎng)絡(luò)設(shè)備所進(jìn)行的破壞數(shù)據(jù)、損壞設(shè)備等活動(dòng)。第三，內(nèi)外勾結(jié)。主要是內(nèi)部人員為了金錢(qián)等利益，與外部敵對(duì)勢(shì)力合作，向其出賣(mài)情報(bào)、破壞數(shù)據(jù)、破壞系統(tǒng)等。第四，濫用職權(quán)。非職責(zé)查看內(nèi)部信息、非職權(quán)使用系統(tǒng)等第五，管理疏漏和操作不當(dāng)。體現(xiàn)在管理上制度不完善、人員組織不合理、缺乏監(jiān)控措施及權(quán)責(zé)不清等。第六，軟、硬件故障。電磁泄露、操作系統(tǒng)漏洞、數(shù)據(jù)庫(kù)故障、協(xié)議漏洞、設(shè)備老化等。從以上的分析，我們可以看出，我國(guó)的電子政務(wù)發(fā)展尚處在“單向信息發(fā)布”向“雙向交流”的轉(zhuǎn)變階段，各個(gè)業(yè)務(wù)內(nèi)容尚在初步建設(shè)之中。我國(guó)電子政務(wù)安全環(huán)境更是不容樂(lè)觀，各種針對(duì)政府部門(mén)的攻擊、病毒侵襲不斷。因而，我們必須對(duì)安全問(wèn)題有足夠的重視。二、我國(guó)電子政務(wù)信息安全管理的情況經(jīng)過(guò)二十多年的發(fā)展，我國(guó)的電子政務(wù)安全問(wèn)題雖然較為突出，但隨著我國(guó)政府對(duì)電子政務(wù)安全的重視和資金投入的增長(zhǎng)，我國(guó)的電子政務(wù)信息安全管理水平有了比較大的進(jìn)步，在法律、管理機(jī)構(gòu)、安全標(biāo)準(zhǔn)、基礎(chǔ)設(shè)施等方面都有了較大的改進(jìn)。從安全法律法規(guī)方面來(lái)講，從上世紀(jì)90年代開(kāi)始，國(guó)務(wù)院、公安部等有關(guān)部門(mén)就開(kāi)始制定一系列信息系統(tǒng)安全方面的法規(guī)，如1992年發(fā)布的《計(jì)算機(jī)軟件保護(hù)條例》、1994年頒布的《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》等。在電子政務(wù)安全建設(shè)初期，這些法規(guī)是進(jìn)行信息安全工作的重要依據(jù)。進(jìn)入21世紀(jì)以后，隨著我國(guó)電子政務(wù)事業(yè)的不斷進(jìn)步，我國(guó)的電子政務(wù)安全法律也在不斷完善。從安全標(biāo)準(zhǔn)方面來(lái)講，近年來(lái)，我國(guó)的電子政務(wù)相關(guān)安全標(biāo)準(zhǔn)工作也有了較大的進(jìn)展，2002年組建了“國(guó)家電子政務(wù)標(biāo)準(zhǔn)化總體組”，總體組編寫(xiě)了我國(guó)《電子政務(wù)標(biāo)準(zhǔn)化指南》，從六個(gè)方面對(duì)我國(guó)的電子政務(wù)的標(biāo)準(zhǔn)化建設(shè)指明了方向，同時(shí)參照國(guó)際標(biāo)準(zhǔn)，發(fā)表了《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》GB/T20270-2006、《信息安全技術(shù)信息系統(tǒng)安全管理要求》GB/T20269-2006等七十多個(gè)安全標(biāo)準(zhǔn)。通過(guò)以上的分析，我們可以看出，我國(guó)電子政務(wù)信息安全管理的各個(gè)方面都取得了較大的進(jìn)步，已經(jīng)有了較好的安全管理基礎(chǔ)。但我們也要看到，因?yàn)榉N種原因，中國(guó)的電子政務(wù)信息安全管理仍處于起步階段，我國(guó)的電子政務(wù)信息安全管理在理論和實(shí)踐上尚存在許多尚待解決的問(wèn)題。第四章我國(guó)電子政務(wù)信息安全管理中存在的問(wèn)題通過(guò)對(duì)電子政務(wù)信息安全管理的探討，我們知道電子政務(wù)信息安全管理是一個(gè)涉及多方面問(wèn)題的概念，安全管理存在于電子政務(wù)建設(shè)和運(yùn)行的各個(gè)階段，而如果在一個(gè)環(huán)節(jié)出現(xiàn)弱點(diǎn)，則可能會(huì)影響系統(tǒng)的整體安全，因而我們?cè)谔接戨娮诱?wù)信息安全管理時(shí)必須要從總體上去把握，這樣才能事半功倍。近幾年來(lái)，我國(guó)電子政務(wù)系統(tǒng)的安全管理得到了長(zhǎng)足的發(fā)展，但在現(xiàn)有階段，我國(guó)電子政務(wù)信息安全管理仍存在許多的問(wèn)題和不足。一、電子政務(wù)安全立法滯后電子政務(wù)系統(tǒng)內(nèi)部的流通文件、信息、指示等涉及國(guó)家核心政務(wù)，有些甚至涉及國(guó)家機(jī)密，電子政務(wù)的安全關(guān)系到國(guó)家的安全和整個(gè)社會(huì)的利益，因此電子政務(wù)安全的實(shí)施和管理必須以國(guó)家法律的形式將其固定化，規(guī)范各方面的行為，并為司法提供法律依據(jù)。在我國(guó)，電子政務(wù)發(fā)展經(jīng)歷了二十年的發(fā)展，雖然在網(wǎng)絡(luò)信息安全、電子政務(wù)方面頒布了一些信息安全法律法規(guī)，取得了一定的進(jìn)步，但與國(guó)際對(duì)比，立法仍較為落后，無(wú)法滿足技術(shù)和系統(tǒng)方面的應(yīng)用需求。二、信息安全管理機(jī)構(gòu)建設(shè)不完善當(dāng)前，我國(guó)電子政務(wù)信息安全管理的發(fā)展中，除了在管理立法方面存在著諸多的問(wèn)題之外，在管理組織、機(jī)構(gòu)設(shè)置和職能分配上也存在著不少的問(wèn)題。(一)安全管理職能分散，協(xié)調(diào)管理能力差電子政務(wù)我國(guó)的電子政務(wù)系統(tǒng)大多是各個(gè)部門(mén)牽頭組建，對(duì)于它的安全管理也大多存在于部門(mén)內(nèi)部，而在國(guó)家層面上，對(duì)電子政務(wù)安全的管理權(quán)限分布于國(guó)家安全局、國(guó)家保密局、公安部、工業(yè)和信息化部等部門(mén)【13】。電子政務(wù)信息安全管理職能尚處在條塊分割，各行其是，相互隔離的階段，在遇到職能交叉的問(wèn)題時(shí)，多頭管理的現(xiàn)象時(shí)有發(fā)生，這樣極大的妨礙了國(guó)家有關(guān)法規(guī)的貫徹執(zhí)行，很難對(duì)我國(guó)的電子政務(wù)安全做統(tǒng)一而有效的管理。2001年成立的國(guó)家信息化領(lǐng)導(dǎo)小組雖然統(tǒng)領(lǐng)我國(guó)的電子政務(wù)工作，但在電子政務(wù)安全上缺乏一個(gè)具有最高權(quán)威的統(tǒng)一機(jī)構(gòu)，信息安全相關(guān)的管理機(jī)構(gòu)與國(guó)家信息化領(lǐng)域機(jī)構(gòu)之間還沒(méi)有充分溝通，缺乏統(tǒng)領(lǐng)全局又有具體職責(zé)和行動(dòng)的國(guó)家級(jí)的安全管理機(jī)構(gòu)，各部門(mén)在應(yīng)急處理時(shí)，大都處于單兵作戰(zhàn)的狀態(tài)。(二)人員安全責(zé)任界定模糊電子政務(wù)信息安全管理工作是責(zé)任工程，任何參與其中的人員都必須有責(zé)任意識(shí)，在《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》(中辦發(fā)[2003]27號(hào))中，明確指出我國(guó)信息安全保障工作必須實(shí)行信息安全責(zé)任制，要按照誰(shuí)管理誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)的原則，將安全責(zé)任落實(shí)到人。但在實(shí)際的工作中，我們經(jīng)常會(huì)發(fā)現(xiàn)許多部門(mén)的安全責(zé)任界定模糊，對(duì)于電子政務(wù)系統(tǒng)管理員、信息管理員等直接與系統(tǒng)接觸的人員的責(zé)任規(guī)定較為嚴(yán)格，而對(duì)于平常的公務(wù)員的安全責(zé)任的規(guī)定則較松懈;在有些部門(mén)的安全責(zé)任規(guī)定僅僅是一紙空文，并不能落到實(shí)處。三、信息安全基礎(chǔ)設(shè)施管理薄弱電子政務(wù)是建立在Internet之上的網(wǎng)絡(luò)系統(tǒng)，它需要規(guī)模巨大的基礎(chǔ)設(shè)施的支持，對(duì)于安全而言，統(tǒng)一、安全、順暢的安全基礎(chǔ)設(shè)施的運(yùn)行更是電子政務(wù)安全運(yùn)行的前提和保證。就一般而言，安全基礎(chǔ)設(shè)施主要包括統(tǒng)一的網(wǎng)絡(luò)安全平臺(tái)、數(shù)據(jù)容災(zāi)備份中心、安全認(rèn)證與測(cè)評(píng)中心、統(tǒng)一的安全認(rèn)證PKI體系、病毒防護(hù)和應(yīng)急響應(yīng)機(jī)構(gòu)等。安全基礎(chǔ)設(shè)施的建設(shè)和管理就如一座大樓的地基，它的好壞直接決定了整個(gè)電子政務(wù)安全的水平。我國(guó)的安全基礎(chǔ)設(shè)施建設(shè)和管理在最近十多年里有了巨大的進(jìn)步，但也存在許多的問(wèn)題。(一)安全基礎(chǔ)設(shè)施重復(fù)建設(shè)問(wèn)題突出自20世紀(jì)90年代中期以來(lái)，我國(guó)圍繞“三金工程”進(jìn)行了一系列的信息化基礎(chǔ)設(shè)施建設(shè)，這為整個(gè)國(guó)家的信息化發(fā)展做出了巨大的貢獻(xiàn)，當(dāng)一前基礎(chǔ)設(shè)施建設(shè)面臨將眾多的項(xiàng)目進(jìn)行整合，推進(jìn)其互聯(lián)互通的工作【15】。但目前，許多行業(yè)和部門(mén)在沒(méi)有對(duì)整個(gè)國(guó)家的信息化基礎(chǔ)設(shè)施有全面的了解的情況下，盲目上新的項(xiàng)目，這樣極易造成重復(fù)建設(shè)，資源浪費(fèi)。以PKI/CA建設(shè)為例，在目前，幾乎所有的大型電子政務(wù)安全解決方案中都有這樣的規(guī)劃，這樣也造成了我國(guó)的各個(gè)CA呈現(xiàn)相互分割，形成了許多互不相連的孤立安全信任域，這樣也就無(wú)法形成完整的PKI體系，在己建成的CA運(yùn)營(yíng)機(jī)構(gòu)中，大多數(shù)規(guī)模偏小、利用率低，而且目前CA的建設(shè)缺乏國(guó)家法規(guī)的支持，安全標(biāo)準(zhǔn)規(guī)范在實(shí)施中問(wèn)題不少，最終導(dǎo)致了對(duì)CA的管理問(wèn)題突出。(二)應(yīng)急處理能力差就我國(guó)目前的情況來(lái)看，我國(guó)初步建立了以國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心為主的國(guó)家應(yīng)急協(xié)調(diào)體系，但在其它的安全基礎(chǔ)設(shè)施建設(shè)中，尚未建成統(tǒng)一的安全認(rèn)證平臺(tái)、完整的安全標(biāo)準(zhǔn)體系、國(guó)家級(jí)的病毒防護(hù)安全體系，這也使具體的電子政務(wù)安全項(xiàng)目建設(shè)陷入被動(dòng)的局面，最終導(dǎo)致了覆蓋整個(gè)國(guó)家的安全防護(hù)體系未能完全建立，而這樣在出現(xiàn)緊急安全事件時(shí)，不能從國(guó)家層面上對(duì)整個(gè)安全體系進(jìn)行統(tǒng)一的指揮和調(diào)度管理，也就不能對(duì)問(wèn)題進(jìn)行及時(shí)的處理，甚至?xí)驗(yàn)閼?yīng)急處理不理導(dǎo)致同樣的安全問(wèn)題一再發(fā)生。因而在總體上，我國(guó)的安全基礎(chǔ)設(shè)施在加大統(tǒng)一建設(shè)力度的同時(shí)，要加強(qiáng)應(yīng)急處理能力的建設(shè)，制定行之有效的應(yīng)急預(yù)案和處理規(guī)程，從基礎(chǔ)層面上提升我國(guó)的信息安全應(yīng)急處理能力。四、信息安全項(xiàng)目建設(shè)質(zhì)量不高在當(dāng)前，一些部門(mén)的電子政務(wù)安全項(xiàng)目設(shè)計(jì)中，沒(méi)有發(fā)展規(guī)劃，也不做安全風(fēng)險(xiǎn)分析，沒(méi)有建設(shè)重點(diǎn)和先后順序，雖然已經(jīng)開(kāi)始引入了安全風(fēng)險(xiǎn)分析和評(píng)估機(jī)制，但總體而言，還是處在初級(jí)階段。許多部門(mén)的安全系統(tǒng)設(shè)計(jì)都是外包給IT公司，自己做起了“甩手掌柜”，而且政府在電子政務(wù)安全項(xiàng)目管理中的監(jiān)管意識(shí)不強(qiáng)，對(duì)外包公司的管理松懈。由于IT公司對(duì)政府運(yùn)作流程的不了解，再加上與政府部門(mén)的溝通不暢，在系統(tǒng)設(shè)計(jì)和實(shí)施時(shí)往往會(huì)想當(dāng)然的進(jìn)行建設(shè)。這樣建設(shè)出來(lái)的安全系統(tǒng)，要么不符合政府的實(shí)際，無(wú)法保證電子政務(wù)的最大安全，要么與政府運(yùn)作流程相抵觸，使安全系統(tǒng)的后續(xù)管理更加困難。第五章完善我國(guó)電子政務(wù)信息安全管理的對(duì)策思考隨著電子政務(wù)安全環(huán)境的惡化，電子政務(wù)信息安全管理問(wèn)題會(huì)越來(lái)越多，但如果僅僅依靠單一的安全策略和管理措施是無(wú)法保證電子政務(wù)安全的最大化。筆者認(rèn)為，在當(dāng)前我國(guó)電子政務(wù)的安全管理要著眼于解決以下幾個(gè)方面的問(wèn)題。一、提高對(duì)電子政務(wù)信息安全管理的認(rèn)識(shí)電子政務(wù)信息安全管理的參與者的安全意識(shí)和錯(cuò)誤的安全觀念是電子政務(wù)安全的大敵，對(duì)于電子政務(wù)信息安全而言，只有政府部門(mén)對(duì)電子政務(wù)信息安全的現(xiàn)狀、管理目標(biāo)、重要性和建設(shè)原則有清醒的認(rèn)識(shí)才能提高我國(guó)的電子政務(wù)信息安全水平。因此在政府中樹(shù)立正確的電子政務(wù)信息安全觀是我們進(jìn)行電子政務(wù)信息安全管理的先決條件。二、完善制度和組織保障體系電子政務(wù)信息安全管理是在電子政務(wù)安全系統(tǒng)之中進(jìn)行的。從宏觀的角度來(lái)講，信息系統(tǒng)是政府工作的一部分，政府的法律、制度、組織安排會(huì)對(duì)管理的水平和效率產(chǎn)生極大的影響，因而，構(gòu)建完善的安全法律、制度和組織保障(一)改進(jìn)立法理念，完善我國(guó)電子政務(wù)安全法律體系安全法律建設(shè)是核心，沒(méi)有完善的安全法律體系就不能很好的規(guī)范電子政務(wù)建設(shè)中的相關(guān)問(wèn)題，安全管理也就成了“無(wú)源之水，無(wú)本之木”【20】。目前我國(guó)已頒布相當(dāng)數(shù)量的信息安全方面的法律規(guī)范，但從總體上來(lái)講，這些法規(guī)的立法層次不高，立法理念相對(duì)滯后;電子政務(wù)安全的立法還處于一個(gè)綱領(lǐng)性規(guī)定的階段。對(duì)于以上問(wèn)題，筆者認(rèn)為應(yīng)從以下幾點(diǎn)進(jìn)行規(guī)范:第一、由“堵”為“疏”的安全法律設(shè)計(jì)理念。要從徹底改革國(guó)家傳統(tǒng)的政務(wù)管理體制入手，將滯后的管理方法和管理策略進(jìn)行有選擇的使用，同時(shí)要從整個(gè)電子政務(wù)發(fā)展的高度，將立法的出發(fā)點(diǎn)放在掃清建設(shè)和管理的障礙上，放在規(guī)范化、標(biāo)準(zhǔn)化上。第二，將安全法律的建設(shè)與安全標(biāo)準(zhǔn)的制定結(jié)合起來(lái)。我國(guó)的安全標(biāo)準(zhǔn)的制定和安全法律體系存在“雙低”的情況，因而我國(guó)在電子政務(wù)安全法律建設(shè)中更應(yīng)當(dāng)應(yīng)將法律制定與標(biāo)準(zhǔn)的規(guī)范化結(jié)合起來(lái)?？偠灾?，及早建立并完善我國(guó)電子政務(wù)安全法律體系，只有這樣才能做到依法治網(wǎng)，依法建設(shè)，有法可依，有法必依。(二)加強(qiáng)政府人員的安全管理和培訓(xùn)，建設(shè)“人力防火墻”人員管理是安全管理的重要環(huán)節(jié)。多項(xiàng)針對(duì)電子政務(wù)安全事件調(diào)查的結(jié)果表明，絕大多數(shù)安全事件是由政府內(nèi)部人員的誤操作或故意行為造成的，而從安全角度來(lái)看，政府內(nèi)部人員既是潛在的威脅，也是安全制度的執(zhí)行者和保護(hù)對(duì)象。對(duì)于政府人員的安全管理必須堅(jiān)持分類(lèi)、分級(jí)、適度和責(zé)任追究的原則。從安全管理的角度來(lái)講，政府人員分為兩類(lèi)，一類(lèi)是電子政務(wù)信息安全管理人員，一類(lèi)是政府公務(wù)員。對(duì)于這兩類(lèi)人員要進(jìn)行不同的管理和培訓(xùn)。對(duì)于安全管理人員，包括安全審計(jì)員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員、安全分析員等，要堅(jiān)持“引進(jìn)人才，培養(yǎng)人才”的原則。其次，對(duì)于現(xiàn)有的安全管理人員要加強(qiáng)基本安全素養(yǎng)和技能的培訓(xùn)。第三，要完善安全人員管理制度。明確安全責(zé)任、清楚界定職責(zé)范圍，將安全績(jī)效考核與職位晉升聯(lián)系起來(lái)。對(duì)于平常的政府工作人員，要加強(qiáng)對(duì)他們的培訓(xùn)。三、加強(qiáng)各項(xiàng)安全基礎(chǔ)設(shè)施建設(shè)從根本上來(lái)講，所有的網(wǎng)絡(luò)應(yīng)用都是在國(guó)家網(wǎng)絡(luò)基礎(chǔ)設(shè)施的基礎(chǔ)上建立起來(lái)的。網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施作為其中重要的內(nèi)容，是當(dāng)前絕大多數(shù)網(wǎng)絡(luò)應(yīng)用的基礎(chǔ)和第一道安全屏障。經(jīng)過(guò)二十多年的發(fā)展，我國(guó)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施趨于完善，初期的巨大投入開(kāi)始有了回報(bào)，在今后的發(fā)展中，網(wǎng)絡(luò)基礎(chǔ)設(shè)施的重點(diǎn)也應(yīng)從建設(shè)逐步轉(zhuǎn)向?qū)A(chǔ)設(shè)施的管理和體系的完善上。(一)完善信息安全標(biāo)準(zhǔn)認(rèn)證管理在網(wǎng)絡(luò)安全中，制定統(tǒng)一的安全標(biāo)準(zhǔn)有利于安全產(chǎn)品的規(guī)范化，有利于保證產(chǎn)品安全可信性，實(shí)現(xiàn)對(duì)產(chǎn)品的統(tǒng)一部署，有利于電子政務(wù)系統(tǒng)的互聯(lián)、互信和互操作性，保障電子政務(wù)系統(tǒng)的安全可靠。在網(wǎng)絡(luò)基礎(chǔ)設(shè)施中，安全標(biāo)準(zhǔn)的制定是最基本的環(huán)節(jié)，雖然它輸出的僅僅是一些標(biāo)準(zhǔn)化的文檔，但這些標(biāo)準(zhǔn)化的安全文檔正是實(shí)現(xiàn)更高級(jí)的應(yīng)用的基礎(chǔ)，沒(méi)有這些標(biāo)準(zhǔn)化的安全文檔，更高級(jí)的安全應(yīng)用都只是“空中樓閣”。從總體上講，信息安全標(biāo)準(zhǔn)規(guī)范包括電子文檔密級(jí)劃分和標(biāo)一記格式、安全事件處理、應(yīng)急響應(yīng)規(guī)范、密碼算法標(biāo)準(zhǔn)、密鑰管理標(biāo)準(zhǔn)、PKI/CA標(biāo)準(zhǔn)、PMI標(biāo)準(zhǔn)、信息系統(tǒng)安全評(píng)估和網(wǎng)絡(luò)安全產(chǎn)品測(cè)評(píng)標(biāo)準(zhǔn)等內(nèi)容。為完善我國(guó)未來(lái)的信息安全標(biāo)準(zhǔn)化，要重點(diǎn)完善三個(gè)方面的安全標(biāo)準(zhǔn):首先，為配合PKI安全認(rèn)證平臺(tái)的建設(shè)，要盡快完善PKI/CA公鑰基礎(chǔ)設(shè)施相關(guān)標(biāo)準(zhǔn)的制定;其次，完善相關(guān)安全流程和要求的標(biāo)準(zhǔn)，對(duì)于工程質(zhì)量、安全操作、安全測(cè)評(píng)要求等;第三，盡快完善相關(guān)安全技術(shù)標(biāo)準(zhǔn)。(二)構(gòu)建國(guó)家級(jí)病毒防護(hù)安全平臺(tái)伴隨網(wǎng)絡(luò)的發(fā)展，病毒威脅也在不斷增強(qiáng)，而病毒的破壞不容小視，輕則造成軟件故障、系統(tǒng)崩潰，重則造成數(shù)據(jù)丟失、硬件故障。我國(guó)的網(wǎng)絡(luò)病毒防護(hù)體系建設(shè)尚處在初級(jí)階段，我國(guó)電子政務(wù)部門(mén)系統(tǒng)和信息的安全絕大多數(shù)還是要靠自身的安全保障體系的防護(hù)。建設(shè)覆蓋全國(guó)網(wǎng)絡(luò)的病毒防護(hù)安全平臺(tái)，統(tǒng)一國(guó)家基礎(chǔ)病毒防護(hù)平臺(tái)可以很好的提升我國(guó)抗擊計(jì)算機(jī)病毒的能力。在國(guó)家基礎(chǔ)病毒防護(hù)安全平臺(tái)的建設(shè)中，政府要加強(qiáng)與大的病毒防護(hù)軟件廠商的合作，充分利用它們的病毒檢測(cè)和防護(hù)能力，努力打造出覆蓋全國(guó)的基礎(chǔ)病毒防護(hù)平臺(tái)。四、提高安全建設(shè)質(zhì)量從總體上來(lái)講，電子政務(wù)安全系統(tǒng)的生命周期包括建設(shè)階段和運(yùn)行維護(hù)階段，這兩個(gè)階段涉及到兩個(gè)不同的管理類(lèi)型—項(xiàng)目管理和與運(yùn)營(yíng)管理。一個(gè)系統(tǒng)的建設(shè)的質(zhì)量的好壞既會(huì)影響到系統(tǒng)的健壯性和穩(wěn)定性，也會(huì)影響到系統(tǒng)上線后的運(yùn)行和維護(hù)成本。電子政務(wù)安全項(xiàng)目的管理決定了整個(gè)電子政務(wù)安全系統(tǒng)的安全程度和管理難度。(一)改進(jìn)外包開(kāi)發(fā)模式，提高信息安全建設(shè)的針對(duì)性電子政務(wù)安全項(xiàng)目開(kāi)發(fā)有兩種方式:政府自行開(kāi)發(fā)和外包開(kāi)發(fā)。相比較而言，外包開(kāi)發(fā)有更大的優(yōu)勢(shì)，專業(yè)開(kāi)發(fā)商具有較強(qiáng)的技術(shù)實(shí)力和人才優(yōu)勢(shì)，外包模式有更高的經(jīng)濟(jì)效益。因而，在電子政務(wù)安全項(xiàng)目的建設(shè)中，最好采用外包開(kāi)發(fā)的模式，但運(yùn)用這個(gè)模式必須政府時(shí)刻掌握項(xiàng)目管理的主動(dòng)權(quán)。在進(jìn)行電子政務(wù)安全建設(shè)之前，要選擇合適的IT外包企業(yè)，要對(duì)承包安全項(xiàng)目的廠商的安全資質(zhì)進(jìn)行嚴(yán)格的審查，從安全技術(shù)實(shí)施能力，安全理念、安全保密制度等多個(gè)方面進(jìn)行綜合評(píng)定，同時(shí)明確界定其責(zé)任和義務(wù)，加強(qiáng)對(duì)其工作范圍、工作進(jìn)度、項(xiàng)目質(zhì)量的監(jiān)管。(二)明確電子政務(wù)信息安全建設(shè)原則首先，要協(xié)調(diào)好質(zhì)量、進(jìn)度和成本之間的關(guān)系。在電子政務(wù)安全項(xiàng)目中，質(zhì)量、進(jìn)度和成本是必須要好好處理的三個(gè)方面?？偟膩?lái)講，在電子政務(wù)安全項(xiàng)目中，首先要保證項(xiàng)目目標(biāo)—政務(wù)系統(tǒng)安全性的實(shí)現(xiàn)，在這個(gè)基礎(chǔ)之上，要保證項(xiàng)目在計(jì)劃的時(shí)間內(nèi)完成，同時(shí)，必須將預(yù)算控制在既定的范圍內(nèi)。其次，做好電子政務(wù)項(xiàng)目的規(guī)劃。規(guī)劃是保證電子政務(wù)項(xiàng)目建設(shè)得以順利實(shí)施的基本條件，良好而具有前瞻性的項(xiàng)目管理規(guī)劃可以保證避免項(xiàng)目進(jìn)行中所遇到的問(wèn)題。對(duì)于電子政務(wù)項(xiàng)目而言，規(guī)劃性要體現(xiàn)在對(duì)建設(shè)目標(biāo)的明確性、對(duì)項(xiàng)目風(fēng)險(xiǎn)的預(yù)測(cè)性上。再次，以標(biāo)準(zhǔn)為管理準(zhǔn)則。項(xiàng)目管理是一種遵循已有的規(guī)定和標(biāo)準(zhǔn)的管理方式，而從安全管理的角度來(lái)講，良好的標(biāo)準(zhǔn)化是系統(tǒng)安全運(yùn)行的重要保證。在電子政務(wù)安全項(xiàng)目管理中，要依據(jù)已有的各種實(shí)施標(biāo)準(zhǔn)，如GB/T9361—1988《計(jì)算機(jī)場(chǎng)地安全要求信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》、GB/T9385—1988《計(jì)算機(jī)軟件需求說(shuō)明編制指南》、《電子政務(wù)綜合業(yè)務(wù)網(wǎng)建設(shè)規(guī)范》等標(biāo)準(zhǔn)來(lái)進(jìn)行管理，從而保證電子政務(wù)安全系統(tǒng)建設(shè)的質(zhì)量。第四，進(jìn)行充分的溝通。在項(xiàng)目管理中，最重要的是各層級(jí)、委托方與實(shí)施方之間的充分的溝通，對(duì)于電子政務(wù)安全項(xiàng)目來(lái)講，許多外部IT企業(yè)的項(xiàng)目經(jīng)理對(duì)政府內(nèi)部的業(yè)務(wù)流程不了解，對(duì)于政府安全保護(hù)的特點(diǎn)不明確，可能會(huì)造成項(xiàng)目的不適用，因而，堅(jiān)持充分的溝通原則是電子政務(wù)安全項(xiàng)目成功的關(guān)鍵。(三)優(yōu)化電子政務(wù)項(xiàng)目信息安全管理流程1、安全需求分析在安全需求分析階段，從安全的角度來(lái)講，要著重處理三方面的問(wèn)題：第一，分析安全現(xiàn)狀，明確安全需求。對(duì)現(xiàn)狀的認(rèn)識(shí)和分析是任何項(xiàng)目開(kāi)始的基礎(chǔ)，只有對(duì)現(xiàn)狀有了充分的認(rèn)識(shí)。第二，做好項(xiàng)目安全風(fēng)險(xiǎn)評(píng)估。對(duì)于安全風(fēng)險(xiǎn)的提早評(píng)估不僅可以保證安全系統(tǒng)項(xiàng)目建設(shè)順利進(jìn)行，更可為安全系統(tǒng)所面對(duì)的各種威脅的消除提供事先的預(yù)案。從而提高整個(gè)系統(tǒng)的安全性。第三，完善的安全系統(tǒng)設(shè)計(jì)。安全系統(tǒng)的設(shè)計(jì)階段是將安全需求進(jìn)行細(xì)化的階段，但它不同于項(xiàng)目實(shí)施過(guò)程，這一階段更多的是對(duì)系統(tǒng)邏輯結(jié)構(gòu)和物理結(jié)構(gòu)的設(shè)計(jì)和分析。2、項(xiàng)目實(shí)施安全管理電子政務(wù)安全系統(tǒng)建設(shè)包括硬件和軟件兩個(gè)方面，包括硬件產(chǎn)品的購(gòu)買(mǎi)和配置、軟件系統(tǒng)的開(kāi)發(fā)和測(cè)試等。對(duì)于電子政務(wù)安全項(xiàng)目實(shí)施中，要著重從以下幾個(gè)方面進(jìn)行管理和控制【24】:第一，良好的進(jìn)度安排。進(jìn)度管理，要確保在合同約定的時(shí)限內(nèi)，完成各個(gè)時(shí)段的工程。第二，明確的費(fèi)用管理。電子政務(wù)安全項(xiàng)目的費(fèi)用管理是指在己經(jīng)批準(zhǔn)的預(yù)算條件下，確保項(xiàng)目保質(zhì)按期完成。對(duì)于電子政務(wù)安全項(xiàng)目必須建立較為完整的項(xiàng)目費(fèi)用管理機(jī)制，這樣才能對(duì)項(xiàng)目的投入體現(xiàn)出計(jì)劃性、約束性和控制性。第三，完善的質(zhì)量管理。電子政務(wù)安全系統(tǒng)項(xiàng)目的質(zhì)量管理是圍繞項(xiàng)目而開(kāi)展的規(guī)劃、實(shí)施、控制、監(jiān)督和審核等活動(dòng)。包括質(zhì)量計(jì)劃、質(zhì)量保證和質(zhì)量控制三個(gè)方面。3、項(xiàng)目交付與評(píng)估運(yùn)用于項(xiàng)目管理的理論，項(xiàng)目的交付是項(xiàng)目管理的一個(gè)很重要的里程碑，這一階段中，安全系統(tǒng)已經(jīng)完成了大體的測(cè)試，并進(jìn)入了試運(yùn)行的階段，在這一階段中，要注意的問(wèn)題主要有以下幾個(gè)方面:第一，項(xiàng)目開(kāi)發(fā)文檔的整理與歸檔。安全系統(tǒng)開(kāi)發(fā)廠商要提交系統(tǒng)開(kāi)發(fā)過(guò)程中所用到的所有的開(kāi)發(fā)文檔，包括:安全需求說(shuō)明書(shū)，系統(tǒng)分析、系統(tǒng)設(shè)計(jì)、使用、維護(hù)說(shuō)明書(shū)等文檔。第二，系統(tǒng)驗(yàn)收。這是整個(gè)安全系統(tǒng)建設(shè)中最重要的環(huán)節(jié)，在這一環(huán)節(jié)中，項(xiàng)目監(jiān)理和項(xiàng)目業(yè)主共同對(duì)系統(tǒng)進(jìn)行全面的評(píng)估和測(cè)試，具體包括:安全系統(tǒng)的功能、質(zhì)量、可靠性、運(yùn)行的穩(wěn)定性等方面。第三，系統(tǒng)的安全管理培訓(xùn)。在系統(tǒng)開(kāi)發(fā)完成后，IT廠商要對(duì)電子政務(wù)安全系統(tǒng)的管理者進(jìn)行一定的培訓(xùn)，讓他們熟悉新系統(tǒng)的功能和操作流程。結(jié)論當(dāng)前對(duì)于電子政務(wù)信息安全問(wèn)題的解決，在技術(shù)層面已經(jīng)有較多的安全技術(shù)解