我國電子政務(wù)存在問題和發(fā)展趨勢分析研究 財務(wù)管理專業(yè)

我國電子政務(wù)存在問題和發(fā)展趨勢摘要我國的電子政務(wù)初步形成了以政府內(nèi)外網(wǎng)為基礎(chǔ)架構(gòu)，以公眾為服務(wù)對象，以效率為核心價值目標(biāo)的電子政務(wù)服務(wù)體系。但是鑒于網(wǎng)絡(luò)本身的缺陷、系統(tǒng)漏洞的不斷出現(xiàn)和技術(shù)方面的不足等原因，電子政務(wù)信息安全面臨著巨大的威脅，只有發(fā)現(xiàn)安全管理中的漏洞并針對漏洞加強(qiáng)管理，電子政務(wù)信息的安全才能獲得保障。針對于電子政務(wù)信息安全管理的研究，本文運用管理學(xué)、信息學(xué)、網(wǎng)絡(luò)安全、項目管理、風(fēng)險分析等多學(xué)科的知識和方法，從當(dāng)前存在的問題出發(fā)，從整體上對所要著重考慮的方面進(jìn)行對策分析，以期為我國電子政務(wù)信息安全水平的提高提供一些參考建議。本文從對電子政務(wù)和電子政務(wù)信息安全的認(rèn)識入手，對電子政務(wù)和電子政務(wù)信息安全的概念進(jìn)行描述，明確電子政務(wù)信息安全管理的內(nèi)涵。通過資料分析和數(shù)據(jù)整理，分析出在我國當(dāng)前的信息安全管理中存在安全立法滯后、管理機(jī)構(gòu)不健全、安全基礎(chǔ)設(shè)施管理薄弱、項目建設(shè)質(zhì)量差等問題。最后，結(jié)合多學(xué)科的知識和方法，對信息安全管理中存在的不同問題進(jìn)行對策思考。分別從提高的電子政務(wù)信息安全觀，完善制度和組織保障，加強(qiáng)安全基礎(chǔ)設(shè)施建設(shè)和管理，提高項目安全建設(shè)質(zhì)量等方面來對我國的電子政務(wù)信息安全管理進(jìn)行對策分析。【關(guān)鍵詞】:電子政務(wù);信息安全；安全管理;AbstractChina'se-governmentistheinitialformationofe-governmentservicesinsideandoutsidethegovernmentnetworkinfrastructuretothepublicfortheservice,efficiencyofthecorevalues??ofthetargetsystem.Butinviewofthedefectsofthenetworkitself,thesystemvulnerabilityandtheinadequacyofthetechnicalaspectsofe-governmentinformationsecurityisfacingahugethreat,onlytofindloopholesinsafetymanagementandforloopholestostrengthenmanagement,e-governmentinformationsecurityinordertoobtainprotection.Managementscience,informationscience,networksecurity,projectmanagement,riskanalysis,multi-disciplinaryknowledgeandmethodscurrentlyexistfore-governmentsecuritymanagement,proceedfromtheoverallandmacrosecurityofelectronicgovernmentmanagementisimportanttoconsideraspectsofthecountermeasurestoprovidesomereferencetoproposalstoraisethelevelofe-governmentsecurity.Startfromtheunderstandingofthesecurityofe-governmentande-government,thesecurityofe-governmentande-governmentconceptisdescribedthenthemeaningofe-governmentsecuritymanagement,characteristicsandobjectivesdescribed,theconnotationofacleare-governmentsecuritymanagement.Dataanalysisanddatamanagement,analysisofthesecuritylegislationlagsbehindinourcurrente-governmentsecuritymanagement,regulatoryagenciesarenotperfect,securityinfrastructure,weakmanagement,poorqualityofconstructionprojects.Fromincreasede-governmentinformationsecurityconcept,andimprovetheinstitutionalandorganizationalsecurity,strengthentheconstructionandmanagementofsecurityinfrastructure,toimproveprojectsafetyandconstructionqualityofChina'se-governmentsecuritymanagementcountermeasures.Keywords：E-government;informationsecurity;safetymanagement;

目錄TOC\o"1-2"第一章緒論 1一、研究背景和研究意義 1二、研究現(xiàn)狀 2第二章電子政務(wù)信息安全管理的概念 5第三章我國電子政務(wù)信息安全管理的基本現(xiàn)狀分析 6一、我國電子政務(wù)信息安全環(huán)境分析 7二、我國電子政務(wù)信息安全管理的情況 9第四章我國電子政務(wù)信息安全管理中存在的問題 11一、電子政務(wù)安全立法滯后，尚存在大量的空白 11二、信息安全管理機(jī)構(gòu)建設(shè)不完善，統(tǒng)一協(xié)調(diào)能力較差 13三、信息安全基礎(chǔ)設(shè)施管理薄弱，應(yīng)急處理能力差 15四、電子政務(wù)安全項目建設(shè)存在盲目性 16第五章完善我國電子政務(wù)信息安全管理的對策思考 17一、樹立科學(xué)的安全觀，提高對電子政務(wù)信息安全管理的認(rèn)識 17二、完善制度和組織保障體系，提高信息安全管理“軟實力” 20三、加強(qiáng)各項安全基礎(chǔ)設(shè)施建設(shè)，確保信息安全基礎(chǔ)扎實 21四、做好電子政務(wù)項目信息安全管理，提高安全建設(shè)質(zhì)量 23結(jié)論 27第一章緒論 一、研究背景和研究意義目前在我國，一方面，電子政務(wù)信息系統(tǒng)中有許多的安全隱患和缺陷，安全管理不到位，信息系統(tǒng)面臨著巨大的安全威脅;另一方面，我國對于電子政務(wù)信息安全管理問題的研究尚處于初級階段，大多數(shù)側(cè)重于研究技術(shù)方案制定和完善，不能形成宏觀與微觀相結(jié)合的整體安全管理體系，從而造成了信息泄露、政務(wù)系統(tǒng)癱瘓等安全事件不斷出現(xiàn)，嚴(yán)重影響了我國電子政務(wù)的信息安全和公共服務(wù)水平的提高。對于電子政務(wù)信息安全管理問題的研究既有重要的理論和現(xiàn)實意義，又具有重大的政治意義二、研究現(xiàn)狀對電子政務(wù)信息安全管理的研究是伴隨著電子政務(wù)的發(fā)展而產(chǎn)生的，從20世紀(jì)九十年代開始逐步擴(kuò)大，涉及安全標(biāo)準(zhǔn)、安全框架、安全模型、安全認(rèn)證與測評等多個方面。國外關(guān)于電子政務(wù)信息安全管理標(biāo)準(zhǔn)的研究較早，在1995年英國首先提出(信息安全管理實施細(xì)則)。在這之后美國和歐洲等國也提出了有關(guān)于信息安全管理的標(biāo)準(zhǔn)規(guī)范。至2000年，逐步提出了完整的GMITS(IT安全管理方針)。信息保障技術(shù)框架(IATF)，是1998年由美國國家安全局提出的，目的是為美國政府的信息基礎(chǔ)設(shè)施提供安全防護(hù)框架和解決方案指南。它定義了一個系統(tǒng)進(jìn)行信息保障的過程，系統(tǒng)中硬件和軟件部件的安全需求，提供“深層次防御策略”的多層次防護(hù)。在IATF3.O中將縱深防御體系劃分為本地計算機(jī)環(huán)境、區(qū)域邊界和基礎(chǔ)設(shè)施。IATF強(qiáng)調(diào)技術(shù)并提供一個框架進(jìn)行多層保護(hù)，以此防護(hù)計算機(jī)威脅，該方法可以使能夠攻破一層或一類保護(hù)的攻擊行為無法破壞整個信息基礎(chǔ)設(shè)施。國外在電子政務(wù)信息安全管理和體系方面的研究較為深入。而在我國，電子政務(wù)的發(fā)展還是一個較為初級的階段，但近年來，隨著政府對它的關(guān)注，我國也取得了較大的進(jìn)展。從以上可以看出，我國學(xué)者對電子政務(wù)安全的研究也比較多，但主要集中在對電子政務(wù)安全問題的論述、安全技術(shù)的介紹、電子政務(wù)安全建設(shè)原則、電子政務(wù)安全安全策略、技術(shù)層面的安全體系建設(shè)等方面，缺乏更為深入的研究，尚處在初級階段。第二章電子政務(wù)信息安全管理的概念電子政務(wù)信息安全管理有狹義和廣義之分，從狹義上來講，電子政務(wù)信息安全管理是指對人員、組織和制度的管理，主要包括管理規(guī)章制度的制定，組織體系的建立，安全管理人員的培訓(xùn)和操作流程的管理;從廣義上講，電子政務(wù)信息安全管理是指政府運用各種安全策略和手段，對電子政務(wù)實施的各個階段進(jìn)行安全管理，包括系統(tǒng)建設(shè)項目安全管理、入網(wǎng)信息安全管理、安全技術(shù)支持管理、安全運行維護(hù)管理、安全制度環(huán)境保障管理、安全基礎(chǔ)設(shè)施平臺管理等各個方面，既涉及國家的宏觀層面，也涉及各個部門單位自身的微觀層面。筆者在本文中所指的電子政務(wù)信息安全管理均是廣義上的定義。第三章我國電子政務(wù)信息安全管理的基本現(xiàn)狀分析一、我國電子政務(wù)信息安全環(huán)境分析(一)網(wǎng)絡(luò)普及率有待提高從CNNIC公布的《第25次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r調(diào)查統(tǒng)計報告》來看，我國互聯(lián)網(wǎng)的普及率為28.9%，但網(wǎng)絡(luò)發(fā)展存在明顯的“東中西”現(xiàn)象和城鄉(xiāng)差距。由于在網(wǎng)絡(luò)普及上存在很大差距，因而，我們可以說如果無法縮小網(wǎng)絡(luò)發(fā)展差距，政府電子政務(wù)建設(shè)也就是“無源之水無本之木”，無論政府的電子政務(wù)搞的多么完善，最終都不會實現(xiàn)為廣大的人民服務(wù)的目的。(二)多種安全威脅并存1、外部安全威脅第一，病毒破壞。病毒威脅不單是電子政務(wù)系統(tǒng)所面臨的安全問題，也是讓每個互聯(lián)網(wǎng)用戶頭疼的問題。我國的電子政務(wù)網(wǎng)絡(luò)結(jié)構(gòu)大多是內(nèi)外網(wǎng)結(jié)構(gòu)，一旦內(nèi)網(wǎng)內(nèi)的一臺電腦感染病毒就可能危及整個網(wǎng)絡(luò)的安全。第二，黑客攻擊和信息間諜。黑客們處于各種目的，對系統(tǒng)進(jìn)行入侵、網(wǎng)絡(luò)竊聽、密文破譯、流量分析、密鑰破解等活動。第四，信息恐怖活動和信息戰(zhàn)爭。主要是國與國層面的信息戰(zhàn)爭，這種威脅雖然不是經(jīng)常出現(xiàn)，但它們常常以摧毀國家信息基礎(chǔ)設(shè)施、制造并散布恐怖信息、發(fā)布虛假信息、竊取軍事情報、攻擊指揮系統(tǒng)及破壞社會經(jīng)濟(jì)等為目的。第五，自然災(zāi)害。因溫度、濕度、灰塵、雷擊、靜電、地震等因素引起的設(shè)備損壞，一旦發(fā)生，后果往往是災(zāi)難性的。2、內(nèi)部安全威脅第一，安全意識不強(qiáng)。這主要體現(xiàn)在系統(tǒng)管理員和大多數(shù)的網(wǎng)絡(luò)用戶身上，因為思想麻痹、經(jīng)驗不足及對后果的估計不足等原因，導(dǎo)致感染病毒或系統(tǒng)缺陷。第二，惡意破壞。主要是內(nèi)部安全人員因為各種原因?qū)?nèi)部服務(wù)器和網(wǎng)絡(luò)設(shè)備所進(jìn)行的破壞數(shù)據(jù)、損壞設(shè)備等活動。第三，內(nèi)外勾結(jié)。主要是內(nèi)部人員為了金錢等利益，與外部敵對勢力合作，向其出賣情報、破壞數(shù)據(jù)、破壞系統(tǒng)等。第四，濫用職權(quán)。非職責(zé)查看內(nèi)部信息、非職權(quán)使用系統(tǒng)等第五，管理疏漏和操作不當(dāng)。體現(xiàn)在管理上制度不完善、人員組織不合理、缺乏監(jiān)控措施及權(quán)責(zé)不清等。第六，軟、硬件故障。電磁泄露、操作系統(tǒng)漏洞、數(shù)據(jù)庫故障、協(xié)議漏洞、設(shè)備老化等。從以上的分析，我們可以看出，我國的電子政務(wù)發(fā)展尚處在“單向信息發(fā)布”向“雙向交流”的轉(zhuǎn)變階段，各個業(yè)務(wù)內(nèi)容尚在初步建設(shè)之中。我國電子政務(wù)安全環(huán)境更是不容樂觀，各種針對政府部門的攻擊、病毒侵襲不斷。因而，我們必須對安全問題有足夠的重視。二、我國電子政務(wù)信息安全管理的情況經(jīng)過二十多年的發(fā)展，我國的電子政務(wù)安全問題雖然較為突出，但隨著我國政府對電子政務(wù)安全的重視和資金投入的增長，我國的電子政務(wù)信息安全管理水平有了比較大的進(jìn)步，在法律、管理機(jī)構(gòu)、安全標(biāo)準(zhǔn)、基礎(chǔ)設(shè)施等方面都有了較大的改進(jìn)。從安全法律法規(guī)方面來講，從上世紀(jì)90年代開始，國務(wù)院、公安部等有關(guān)部門就開始制定一系列信息系統(tǒng)安全方面的法規(guī)，如1992年發(fā)布的《計算機(jī)軟件保護(hù)條例》、1994年頒布的《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》等。在電子政務(wù)安全建設(shè)初期，這些法規(guī)是進(jìn)行信息安全工作的重要依據(jù)。進(jìn)入21世紀(jì)以后，隨著我國電子政務(wù)事業(yè)的不斷進(jìn)步，我國的電子政務(wù)安全法律也在不斷完善。從安全標(biāo)準(zhǔn)方面來講，近年來，我國的電子政務(wù)相關(guān)安全標(biāo)準(zhǔn)工作也有了較大的進(jìn)展，2002年組建了“國家電子政務(wù)標(biāo)準(zhǔn)化總體組”，總體組編寫了我國《電子政務(wù)標(biāo)準(zhǔn)化指南》，從六個方面對我國的電子政務(wù)的標(biāo)準(zhǔn)化建設(shè)指明了方向，同時參照國際標(biāo)準(zhǔn)，發(fā)表了《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》GB/T20270-2006、《信息安全技術(shù)信息系統(tǒng)安全管理要求》GB/T20269-2006等七十多個安全標(biāo)準(zhǔn)。通過以上的分析，我們可以看出，我國電子政務(wù)信息安全管理的各個方面都取得了較大的進(jìn)步，已經(jīng)有了較好的安全管理基礎(chǔ)。但我們也要看到，因為種種原因，中國的電子政務(wù)信息安全管理仍處于起步階段，我國的電子政務(wù)信息安全管理在理論和實踐上尚存在許多尚待解決的問題。第四章我國電子政務(wù)信息安全管理中存在的問題通過對電子政務(wù)信息安全管理的探討，我們知道電子政務(wù)信息安全管理是一個涉及多方面問題的概念，安全管理存在于電子政務(wù)建設(shè)和運行的各個階段，而如果在一個環(huán)節(jié)出現(xiàn)弱點，則可能會影響系統(tǒng)的整體安全，因而我們在探討電子政務(wù)信息安全管理時必須要從總體上去把握，這樣才能事半功倍。近幾年來，我國電子政務(wù)系統(tǒng)的安全管理得到了長足的發(fā)展，但在現(xiàn)有階段，我國電子政務(wù)信息安全管理仍存在許多的問題和不足。一、電子政務(wù)安全立法滯后電子政務(wù)系統(tǒng)內(nèi)部的流通文件、信息、指示等涉及國家核心政務(wù)，有些甚至涉及國家機(jī)密，電子政務(wù)的安全關(guān)系到國家的安全和整個社會的利益，因此電子政務(wù)安全的實施和管理必須以國家法律的形式將其固定化，規(guī)范各方面的行為，并為司法提供法律依據(jù)。在我國，電子政務(wù)發(fā)展經(jīng)歷了二十年的發(fā)展，雖然在網(wǎng)絡(luò)信息安全、電子政務(wù)方面頒布了一些信息安全法律法規(guī)，取得了一定的進(jìn)步，但與國際對比，立法仍較為落后，無法滿足技術(shù)和系統(tǒng)方面的應(yīng)用需求。二、信息安全管理機(jī)構(gòu)建設(shè)不完善當(dāng)前，我國電子政務(wù)信息安全管理的發(fā)展中，除了在管理立法方面存在著諸多的問題之外，在管理組織、機(jī)構(gòu)設(shè)置和職能分配上也存在著不少的問題。(一)安全管理職能分散，協(xié)調(diào)管理能力差電子政務(wù)我國的電子政務(wù)系統(tǒng)大多是各個部門牽頭組建，對于它的安全管理也大多存在于部門內(nèi)部，而在國家層面上，對電子政務(wù)安全的管理權(quán)限分布于國家安全局、國家保密局、公安部、工業(yè)和信息化部等部門【13】。電子政務(wù)信息安全管理職能尚處在條塊分割，各行其是，相互隔離的階段，在遇到職能交叉的問題時，多頭管理的現(xiàn)象時有發(fā)生，這樣極大的妨礙了國家有關(guān)法規(guī)的貫徹執(zhí)行，很難對我國的電子政務(wù)安全做統(tǒng)一而有效的管理。2001年成立的國家信息化領(lǐng)導(dǎo)小組雖然統(tǒng)領(lǐng)我國的電子政務(wù)工作，但在電子政務(wù)安全上缺乏一個具有最高權(quán)威的統(tǒng)一機(jī)構(gòu)，信息安全相關(guān)的管理機(jī)構(gòu)與國家信息化領(lǐng)域機(jī)構(gòu)之間還沒有充分溝通，缺乏統(tǒng)領(lǐng)全局又有具體職責(zé)和行動的國家級的安全管理機(jī)構(gòu)，各部門在應(yīng)急處理時，大都處于單兵作戰(zhàn)的狀態(tài)。(二)人員安全責(zé)任界定模糊電子政務(wù)信息安全管理工作是責(zé)任工程，任何參與其中的人員都必須有責(zé)任意識，在《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)[2003]27號)中，明確指出我國信息安全保障工作必須實行信息安全責(zé)任制，要按照誰管理誰負(fù)責(zé)、誰運營誰負(fù)責(zé)的原則，將安全責(zé)任落實到人。但在實際的工作中，我們經(jīng)常會發(fā)現(xiàn)許多部門的安全責(zé)任界定模糊，對于電子政務(wù)系統(tǒng)管理員、信息管理員等直接與系統(tǒng)接觸的人員的責(zé)任規(guī)定較為嚴(yán)格，而對于平常的公務(wù)員的安全責(zé)任的規(guī)定則較松懈;在有些部門的安全責(zé)任規(guī)定僅僅是一紙空文，并不能落到實處。三、信息安全基礎(chǔ)設(shè)施管理薄弱電子政務(wù)是建立在Internet之上的網(wǎng)絡(luò)系統(tǒng)，它需要規(guī)模巨大的基礎(chǔ)設(shè)施的支持，對于安全而言，統(tǒng)一、安全、順暢的安全基礎(chǔ)設(shè)施的運行更是電子政務(wù)安全運行的前提和保證。就一般而言，安全基礎(chǔ)設(shè)施主要包括統(tǒng)一的網(wǎng)絡(luò)安全平臺、數(shù)據(jù)容災(zāi)備份中心、安全認(rèn)證與測評中心、統(tǒng)一的安全認(rèn)證PKI體系、病毒防護(hù)和應(yīng)急響應(yīng)機(jī)構(gòu)等。安全基礎(chǔ)設(shè)施的建設(shè)和管理就如一座大樓的地基，它的好壞直接決定了整個電子政務(wù)安全的水平。我國的安全基礎(chǔ)設(shè)施建設(shè)和管理在最近十多年里有了巨大的進(jìn)步，但也存在許多的問題。(一)安全基礎(chǔ)設(shè)施重復(fù)建設(shè)問題突出自20世紀(jì)90年代中期以來，我國圍繞“三金工程”進(jìn)行了一系列的信息化基礎(chǔ)設(shè)施建設(shè)，這為整個國家的信息化發(fā)展做出了巨大的貢獻(xiàn)，當(dāng)一前基礎(chǔ)設(shè)施建設(shè)面臨將眾多的項目進(jìn)行整合，推進(jìn)其互聯(lián)互通的工作【15】。但目前，許多行業(yè)和部門在沒有對整個國家的信息化基礎(chǔ)設(shè)施有全面的了解的情況下，盲目上新的項目，這樣極易造成重復(fù)建設(shè)，資源浪費。以PKI/CA建設(shè)為例，在目前，幾乎所有的大型電子政務(wù)安全解決方案中都有這樣的規(guī)劃，這樣也造成了我國的各個CA呈現(xiàn)相互分割，形成了許多互不相連的孤立安全信任域，這樣也就無法形成完整的PKI體系，在己建成的CA運營機(jī)構(gòu)中，大多數(shù)規(guī)模偏小、利用率低，而且目前CA的建設(shè)缺乏國家法規(guī)的支持，安全標(biāo)準(zhǔn)規(guī)范在實施中問題不少，最終導(dǎo)致了對CA的管理問題突出。(二)應(yīng)急處理能力差就我國目前的情況來看，我國初步建立了以國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心為主的國家應(yīng)急協(xié)調(diào)體系，但在其它的安全基礎(chǔ)設(shè)施建設(shè)中，尚未建成統(tǒng)一的安全認(rèn)證平臺、完整的安全標(biāo)準(zhǔn)體系、國家級的病毒防護(hù)安全體系，這也使具體的電子政務(wù)安全項目建設(shè)陷入被動的局面，最終導(dǎo)致了覆蓋整個國家的安全防護(hù)體系未能完全建立，而這樣在出現(xiàn)緊急安全事件時，不能從國家層面上對整個安全體系進(jìn)行統(tǒng)一的指揮和調(diào)度管理，也就不能對問題進(jìn)行及時的處理，甚至?xí)驗閼?yīng)急處理不理導(dǎo)致同樣的安全問題一再發(fā)生。因而在總體上，我國的安全基礎(chǔ)設(shè)施在加大統(tǒng)一建設(shè)力度的同時，要加強(qiáng)應(yīng)急處理能力的建設(shè)，制定行之有效的應(yīng)急預(yù)案和處理規(guī)程，從基礎(chǔ)層面上提升我國的信息安全應(yīng)急處理能力。四、信息安全項目建設(shè)質(zhì)量不高在當(dāng)前，一些部門的電子政務(wù)安全項目設(shè)計中，沒有發(fā)展規(guī)劃，也不做安全風(fēng)險分析，沒有建設(shè)重點和先后順序，雖然已經(jīng)開始引入了安全風(fēng)險分析和評估機(jī)制，但總體而言，還是處在初級階段。許多部門的安全系統(tǒng)設(shè)計都是外包給IT公司，自己做起了“甩手掌柜”，而且政府在電子政務(wù)安全項目管理中的監(jiān)管意識不強(qiáng)，對外包公司的管理松懈。由于IT公司對政府運作流程的不了解，再加上與政府部門的溝通不暢，在系統(tǒng)設(shè)計和實施時往往會想當(dāng)然的進(jìn)行建設(shè)。這樣建設(shè)出來的安全系統(tǒng)，要么不符合政府的實際，無法保證電子政務(wù)的最大安全，要么與政府運作流程相抵觸，使安全系統(tǒng)的后續(xù)管理更加困難。第五章完善我國電子政務(wù)信息安全管理的對策思考隨著電子政務(wù)安全環(huán)境的惡化，電子政務(wù)信息安全管理問題會越來越多，但如果僅僅依靠單一的安全策略和管理措施是無法保證電子政務(wù)安全的最大化。筆者認(rèn)為，在當(dāng)前我國電子政務(wù)的安全管理要著眼于解決以下幾個方面的問題。一、提高對電子政務(wù)信息安全管理的認(rèn)識電子政務(wù)信息安全管理的參與者的安全意識和錯誤的安全觀念是電子政務(wù)安全的大敵，對于電子政務(wù)信息安全而言，只有政府部門對電子政務(wù)信息安全的現(xiàn)狀、管理目標(biāo)、重要性和建設(shè)原則有清醒的認(rèn)識才能提高我國的電子政務(wù)信息安全水平。因此在政府中樹立正確的電子政務(wù)信息安全觀是我們進(jìn)行電子政務(wù)信息安全管理的先決條件。二、完善制度和組織保障體系電子政務(wù)信息安全管理是在電子政務(wù)安全系統(tǒng)之中進(jìn)行的。從宏觀的角度來講，信息系統(tǒng)是政府工作的一部分，政府的法律、制度、組織安排會對管理的水平和效率產(chǎn)生極大的影響，因而，構(gòu)建完善的安全法律、制度和組織保障(一)改進(jìn)立法理念，完善我國電子政務(wù)安全法律體系安全法律建設(shè)是核心，沒有完善的安全法律體系就不能很好的規(guī)范電子政務(wù)建設(shè)中的相關(guān)問題，安全管理也就成了“無源之水，無本之木”【20】。目前我國已頒布相當(dāng)數(shù)量的信息安全方面的法律規(guī)范，但從總體上來講，這些法規(guī)的立法層次不高，立法理念相對滯后;電子政務(wù)安全的立法還處于一個綱領(lǐng)性規(guī)定的階段。對于以上問題，筆者認(rèn)為應(yīng)從以下幾點進(jìn)行規(guī)范:第一、由“堵”為“疏”的安全法律設(shè)計理念。要從徹底改革國家傳統(tǒng)的政務(wù)管理體制入手，將滯后的管理方法和管理策略進(jìn)行有選擇的使用，同時要從整個電子政務(wù)發(fā)展的高度，將立法的出發(fā)點放在掃清建設(shè)和管理的障礙上，放在規(guī)范化、標(biāo)準(zhǔn)化上。第二，將安全法律的建設(shè)與安全標(biāo)準(zhǔn)的制定結(jié)合起來。我國的安全標(biāo)準(zhǔn)的制定和安全法律體系存在“雙低”的情況，因而我國在電子政務(wù)安全法律建設(shè)中更應(yīng)當(dāng)應(yīng)將法律制定與標(biāo)準(zhǔn)的規(guī)范化結(jié)合起來。總而言之，及早建立并完善我國電子政務(wù)安全法律體系，只有這樣才能做到依法治網(wǎng)，依法建設(shè)，有法可依，有法必依。(二)加強(qiáng)政府人員的安全管理和培訓(xùn)，建設(shè)“人力防火墻”人員管理是安全管理的重要環(huán)節(jié)。多項針對電子政務(wù)安全事件調(diào)查的結(jié)果表明，絕大多數(shù)安全事件是由政府內(nèi)部人員的誤操作或故意行為造成的，而從安全角度來看，政府內(nèi)部人員既是潛在的威脅，也是安全制度的執(zhí)行者和保護(hù)對象。對于政府人員的安全管理必須堅持分類、分級、適度和責(zé)任追究的原則。從安全管理的角度來講，政府人員分為兩類，一類是電子政務(wù)信息安全管理人員，一類是政府公務(wù)員。對于這兩類人員要進(jìn)行不同的管理和培訓(xùn)。對于安全管理人員，包括安全審計員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、安全分析員等，要堅持“引進(jìn)人才，培養(yǎng)人才”的原則。其次，對于現(xiàn)有的安全管理人員要加強(qiáng)基本安全素養(yǎng)和技能的培訓(xùn)。第三，要完善安全人員管理制度。明確安全責(zé)任、清楚界定職責(zé)范圍，將安全績效考核與職位晉升聯(lián)系起來。對于平常的政府工作人員，要加強(qiáng)對他們的培訓(xùn)。三、加強(qiáng)各項安全基礎(chǔ)設(shè)施建設(shè)從根本上來講，所有的網(wǎng)絡(luò)應(yīng)用都是在國家網(wǎng)絡(luò)基礎(chǔ)設(shè)施的基礎(chǔ)上建立起來的。網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施作為其中重要的內(nèi)容，是當(dāng)前絕大多數(shù)網(wǎng)絡(luò)應(yīng)用的基礎(chǔ)和第一道安全屏障。經(jīng)過二十多年的發(fā)展，我國的網(wǎng)絡(luò)基礎(chǔ)設(shè)施趨于完善，初期的巨大投入開始有了回報，在今后的發(fā)展中，網(wǎng)絡(luò)基礎(chǔ)設(shè)施的重點也應(yīng)從建設(shè)逐步轉(zhuǎn)向?qū)A(chǔ)設(shè)施的管理和體系的完善上。(一)完善信息安全標(biāo)準(zhǔn)認(rèn)證管理在網(wǎng)絡(luò)安全中，制定統(tǒng)一的安全標(biāo)準(zhǔn)有利于安全產(chǎn)品的規(guī)范化，有利于保證產(chǎn)品安全可信性，實現(xiàn)對產(chǎn)品的統(tǒng)一部署，有利于電子政務(wù)系統(tǒng)的互聯(lián)、互信和互操作性，保障電子政務(wù)系統(tǒng)的安全可靠。在網(wǎng)絡(luò)基礎(chǔ)設(shè)施中，安全標(biāo)準(zhǔn)的制定是最基本的環(huán)節(jié)，雖然它輸出的僅僅是一些標(biāo)準(zhǔn)化的文檔，但這些標(biāo)準(zhǔn)化的安全文檔正是實現(xiàn)更高級的應(yīng)用的基礎(chǔ)，沒有這些標(biāo)準(zhǔn)化的安全文檔，更高級的安全應(yīng)用都只是“空中樓閣”。從總體上講，信息安全標(biāo)準(zhǔn)規(guī)范包括電子文檔密級劃分和標(biāo)一記格式、安全事件處理、應(yīng)急響應(yīng)規(guī)范、密碼算法標(biāo)準(zhǔn)、密鑰管理標(biāo)準(zhǔn)、PKI/CA標(biāo)準(zhǔn)、PMI標(biāo)準(zhǔn)、信息系統(tǒng)安全評估和網(wǎng)絡(luò)安全產(chǎn)品測評標(biāo)準(zhǔn)等內(nèi)容。為完善我國未來的信息安全標(biāo)準(zhǔn)化，要重點完善三個方面的安全標(biāo)準(zhǔn):首先，為配合PKI安全認(rèn)證平臺的建設(shè)，要盡快完善PKI/CA公鑰基礎(chǔ)設(shè)施相關(guān)標(biāo)準(zhǔn)的制定;其次，完善相關(guān)安全流程和要求的標(biāo)準(zhǔn)，對于工程質(zhì)量、安全操作、安全測評要求等;第三，盡快完善相關(guān)安全技術(shù)標(biāo)準(zhǔn)。(二)構(gòu)建國家級病毒防護(hù)安全平臺伴隨網(wǎng)絡(luò)的發(fā)展，病毒威脅也在不斷增強(qiáng)，而病毒的破壞不容小視，輕則造成軟件故障、系統(tǒng)崩潰，重則造成數(shù)據(jù)丟失、硬件故障。我國的網(wǎng)絡(luò)病毒防護(hù)體系建設(shè)尚處在初級階段，我國電子政務(wù)部門系統(tǒng)和信息的安全絕大多數(shù)還是要靠自身的安全保障體系的防護(hù)。建設(shè)覆蓋全國網(wǎng)絡(luò)的病毒防護(hù)安全平臺，統(tǒng)一國家基礎(chǔ)病毒防護(hù)平臺可以很好的提升我國抗擊計算機(jī)病毒的能力。在國家基礎(chǔ)病毒防護(hù)安全平臺的建設(shè)中，政府要加強(qiáng)與大的病毒防護(hù)軟件廠商的合作，充分利用它們的病毒檢測和防護(hù)能力，努力打造出覆蓋全國的基礎(chǔ)病毒防護(hù)平臺。四、提高安全建設(shè)質(zhì)量從總體上來講，電子政務(wù)安全系統(tǒng)的生命周期包括建設(shè)階段和運行維護(hù)階段，這兩個階段涉及到兩個不同的管理類型—項目管理和與運營管理。一個系統(tǒng)的建設(shè)的質(zhì)量的好壞既會影響到系統(tǒng)的健壯性和穩(wěn)定性，也會影響到系統(tǒng)上線后的運行和維護(hù)成本。電子政務(wù)安全項目的管理決定了整個電子政務(wù)安全系統(tǒng)的安全程度和管理難度。(一)改進(jìn)外包開發(fā)模式，提高信息安全建設(shè)的針對性電子政務(wù)安全項目開發(fā)有兩種方式:政府自行開發(fā)和外包開發(fā)。相比較而言，外包開發(fā)有更大的優(yōu)勢，專業(yè)開發(fā)商具有較強(qiáng)的技術(shù)實力和人才優(yōu)勢，外包模式有更高的經(jīng)濟(jì)效益。因而，在電子政務(wù)安全項目的建設(shè)中，最好采用外包開發(fā)的模式，但運用這個模式必須政府時刻掌握項目管理的主動權(quán)。在進(jìn)行電子政務(wù)安全建設(shè)之前，要選擇合適的IT外包企業(yè)，要對承包安全項目的廠商的安全資質(zhì)進(jìn)行嚴(yán)格的審查，從安全技術(shù)實施能力，安全理念、安全保密制度等多個方面進(jìn)行綜合評定，同時明確界定其責(zé)任和義務(wù)，加強(qiáng)對其工作范圍、工作進(jìn)度、項目質(zhì)量的監(jiān)管。(二)明確電子政務(wù)信息安全建設(shè)原則首先，要協(xié)調(diào)好質(zhì)量、進(jìn)度和成本之間的關(guān)系。在電子政務(wù)安全項目中，質(zhì)量、進(jìn)度和成本是必須要好好處理的三個方面?？偟膩碇v，在電子政務(wù)安全項目中，首先要保證項目目標(biāo)—政務(wù)系統(tǒng)安全性的實現(xiàn)，在這個基礎(chǔ)之上，要保證項目在計劃的時間內(nèi)完成，同時，必須將預(yù)算控制在既定的范圍內(nèi)。其次，做好電子政務(wù)項目的規(guī)劃。規(guī)劃是保證電子政務(wù)項目建設(shè)得以順利實施的基本條件，良好而具有前瞻性的項目管理規(guī)劃可以保證避免項目進(jìn)行中所遇到的問題。對于電子政務(wù)項目而言，規(guī)劃性要體現(xiàn)在對建設(shè)目標(biāo)的明確性、對項目風(fēng)險的預(yù)測性上。再次，以標(biāo)準(zhǔn)為管理準(zhǔn)則。項目管理是一種遵循已有的規(guī)定和標(biāo)準(zhǔn)的管理方式，而從安全管理的角度來講，良好的標(biāo)準(zhǔn)化是系統(tǒng)安全運行的重要保證。在電子政務(wù)安全項目管理中，要依據(jù)已有的各種實施標(biāo)準(zhǔn)，如GB/T9361—1988《計算機(jī)場地安全要求信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》、GB/T9385—1988《計算機(jī)軟件需求說明編制指南》、《電子政務(wù)綜合業(yè)務(wù)網(wǎng)建設(shè)規(guī)范》等標(biāo)準(zhǔn)來進(jìn)行管理，從而保證電子政務(wù)安全系統(tǒng)建設(shè)的質(zhì)量。第四，進(jìn)行充分的溝通。在項目管理中，最重要的是各層級、委托方與實施方之間的充分的溝通，對于電子政務(wù)安全項目來講，許多外部IT企業(yè)的項目經(jīng)理對政府內(nèi)部的業(yè)務(wù)流程不了解，對于政府安全保護(hù)的特點不明確，可能會造成項目的不適用，因而，堅持充分的溝通原則是電子政務(wù)安全項目成功的關(guān)鍵。(三)優(yōu)化電子政務(wù)項目信息安全管理流程1、安全需求分析在安全需求分析階段，從安全的角度來講，要著重處理三方面的問題：第一，分析安全現(xiàn)狀，明確安全需求。對現(xiàn)狀的認(rèn)識和分析是任何項目開始的基礎(chǔ)，只有對現(xiàn)狀有了充分的認(rèn)識。第二，做好項目安全風(fēng)險評估。對于安全風(fēng)險的提早評估不僅可以保證安全系統(tǒng)項目建設(shè)順利進(jìn)行，更可為安全系統(tǒng)所面對的各種威脅的消除提供事先的預(yù)案。從而提高整個系統(tǒng)的安全性。第三，完善的安全系統(tǒng)設(shè)計。安全系統(tǒng)的設(shè)計階段是將安全需求進(jìn)行細(xì)化的階段，但它不同于項目實施過程，這一階段更多的是對系統(tǒng)邏輯結(jié)構(gòu)和物理結(jié)構(gòu)的設(shè)計和分析。2、項目實施安全管理電子政務(wù)安全系統(tǒng)建設(shè)包括硬件和軟件兩個方面，包括硬件產(chǎn)品的購買和配置、軟件系統(tǒng)的開發(fā)和測試等。對于電子政務(wù)安全項目實施中，要著重從以下幾個方面進(jìn)行管理和控制【24】:第一，良好的進(jìn)度安排。進(jìn)度管理，要確保在合同約定的時限內(nèi)，完成各個時段的工程。第二，明確的費用管理。電子政務(wù)安全項目的費用管理是指在己經(jīng)批準(zhǔn)的預(yù)算條件下，確保項目保質(zhì)按期完成。對于電子政務(wù)安全項目必須建立較為完整的項目費用管理機(jī)制，這樣才能對項目的投入體現(xiàn)出計劃性、約束性和控制性。第三，完善的質(zhì)量管理。電子政務(wù)安全系統(tǒng)項目的質(zhì)量管理是圍繞項目而開展的規(guī)劃、實施、控制、監(jiān)督和審核等活動。包括質(zhì)量計劃、質(zhì)量保證和質(zhì)量控制三個方面。3、項目交付與評估運用于項目管理的理論，項目的交付是項目管理的一個很重要的里程碑，這一階段中，安全系統(tǒng)已經(jīng)完成了大體的測試，并進(jìn)入了試運行的階段，在這一階段中，要注意的問題主要有以下幾個方面:第一，項目開發(fā)文檔的整理與歸檔。安全系統(tǒng)開發(fā)廠商要提交系統(tǒng)開發(fā)過程中所用到的所有的開發(fā)文檔，包括:安全需求說明書，系統(tǒng)分析、系統(tǒng)設(shè)計、使用、維護(hù)說明書等文檔。第二，系統(tǒng)驗收。這是整個安全系統(tǒng)建設(shè)中最重要的環(huán)節(jié)，在這一環(huán)節(jié)中，項目監(jiān)理和項目業(yè)主共同對系統(tǒng)進(jìn)行全面的評估和測試，具體包括:安全系統(tǒng)的功能、質(zhì)量、可靠性、運行的穩(wěn)定性等方面。第三，系統(tǒng)的安全管理培訓(xùn)。在系統(tǒng)開發(fā)完成后，IT廠商要對電子政務(wù)安全系統(tǒng)的管理者進(jìn)行一定的培訓(xùn)，讓他們熟悉新系統(tǒng)的功能和操作流程。結(jié)論當(dāng)前對于電子政務(wù)信息安全問題的解決，在技術(shù)層面已經(jīng)有較多的安全技術(shù)解