前言
随着全球政治经济一体化的日益明显,以电子政务为代表的政府管理服务职能的电子化、自动化、无纸化,目前正在一些国家尤其是发达国家中快速发展。在世界各国积极倡导的“信息高速公路”的五个应用领域中,“电子政务”被列为第一位,因此可以说政府信息化是社会信息化的先导,电子政务是信息化社会发展的必然。
电子政务是一国的各级政府机关或者是有关机构借助电子信息技术而进行的政务活动。其实质是通过应用信息技术,转变政府传统的集中管理,分层结构运行模式,以适应数字化社会的需求。电子政务主要由政府部门内部的数字化办公,政府部门之间通过计算机网络而进行的信息共享和适时通信。政府部门通过网络与公众进行的双向交流三部分组成。
由于电子政务依赖于计算机和网络技术而存在,这就意味着,电子政务的应用就不可避免的与
I N T E R N E T打交道。电子政务涉及对国家秘密信息和高敏感度核心政务的保护,设计维护公共秩序和行政监
管的准确实施,涉及到为社会提供公共服务的质量保证。电子政务是党委、政府、人大、政协有效决策、管理、服务的重要手段,必然会遇到各种敌对势力、恐怖集团、捣乱分子的破坏和攻击。尤其电子政务是搭建在基于互联网技术的网络平台上,包括政务内网、政务外网和互联网,而互联网的安全先天不足,互联网是一个无行政主管的全球网络,自身缺少设防和安全隐患很多,对互联网犯罪尚缺乏足够的法律威慑,大量的跨国网络犯罪给执法带来很大的难度。所有上述分子利用互联网进行犯罪则有机可乘,使基于互联网开展的电子政务应用面临着严峻的挑战。
对电子政务的安全威胁,包括网上黑客入侵和犯罪、网上病毒泛滥和蔓延、信息间谍的潜入和窃密、网络恐怖集团的攻击和破坏、内部人员的违规和违法操作、网络系统的脆弱和瘫痪、信息产品的失控等,应引起足够警惕,采取安全措施,应对这种挑战。
第一章电子政务中信息安全的几个基本问题
1.1电子政务
电子政务是政府在国民经济和社会信息化的背景下,以提高政府办公效率,改善决策和投资环境为目标,将政府的信息发布、管理、服务、沟通功能向互联网上迁移的系统解决方案。同时也提供了结合政府管理流程再造,构建和优化政府内部管理系统、决策支持系统、办公自动化系统,为政府信息管理、服务水平的提高提供强大的技术和咨询支持。
1.2信息安全
信息安全是指一个国家的社会信息化状态不受外来的威胁与侵害;一个国家的信息技术体系不受外来的威胁与侵害。电子政务中的信息安全包括了信息的机密性、完整性、可信性、可控性、不可否认性等。我国立法把信息安全界定为“保障计算机及其相关的和配套的设备、设施(网络)的安全,运行环境的安全,保障信息安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全”。从这一法律规定看,计算机
信息系统安全应当包括实体安全、信息安全、运行安全和人的安全。其中,人的安全主要是指计算机使用人员的安全意识、法律意识、安全技能等;实体安全是指保护计算机设备、设施(含网络)以及其他媒体免遭自然和人为破坏的措施、过程。实体安全包括环境安全、设备安全和媒体安全三个方面;计算机信息系统的运行安全包括:系统风险管理、审计跟踪、备份与恢复、应急四个方面的内容。所谓计算机信息系统的信息安全是指防止信息被故意的或偶然的非法授权泄漏、更改、破坏或使信息被非法系统辨识、控制,即确保信息的保密性、完整性、可用性、可控性。针对计算机信息系统中信息存在形式和运行特点,信息安全包括操作系统安全、数据库安全、网络安全、病毒保护、访问控制、加密与鉴别七个方面。
1.3电子政务中的信息安全
电子政务中的信息安全包括了信息的机密性、完整性、可信性、可控性、不可否认性等。我国立法把信息安全界定为“保障计算机及其相关的和配套的设备、设施(网络)的安全,运行环境的安全,保障信息
安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全”。从这一法律规定看,计算机信息系统安全应当包括实体安全、信息安全、运行安全和人的安全。其中,人的安全主要是指计算机使用人员的安全意识、法律意识、安全技能等;实体安全是指保护计算机设备、设施(含网络)以及其他媒体免遭自然和人为破坏的措施、过程。实体安全包括环境安全、设备安全和媒体安全三个方面;计算机信息系统的运行安全包括:系统风险管理、审计跟踪、备份与恢复、应急四个方面的内容。所谓计算机信息系统的信息安全是指防止信息被故意的或偶然的非法授权泄漏、更改、破坏或使信息被非法系统辨识、控制,即确保信息的保密性、完整性、可用性、可控性。针对计算机信息系统中信息存在形式和运行特点,信息安全包括操作系统安全、数据库安全、网络安全、病毒保护、访问控制、加密与鉴别七个方面。
1.4信息安全在国家安全中的地位
电子政务中政府信息安全实质是由于计算机信息系统作为国家政务的载体和工具,而引发的信息安全。
信息安全成为当前政府信息化中的关键问题。安全问题是电子政务建设中的重中之重。电子政务中的政府信息安全是国家安全的重要内容,是保障国家信息安全所不可忽缺的组成部分。
信息安全涉及到政治、经济、军事、文化等方方面面,由于互联网发展在地域上极不平衡,信息强国对于信息弱国已经形成了战略上的“信息位势差”,居于信息低位势的国家的政治安全、经济安全、军事安全乃至民族文化传统都将面临前所未有的冲击、挑战和威胁,互联网成为超级大国谋求跨世纪战略优势的工具。“信息疆域”不是以传统的地缘、领土、领空、领海来划分,而是以带有政治影响力的信息辐射空间来划分。“信息疆域”的大小、“信息边界”的安全,关系到一个民族、一个国家在信息时代的兴衰存亡。在知识经济时代,一个国家的信息获取能力以及在社会生产生活领域中的“信息制控权”,将成为这个国家在新世纪的生存与发展竞争中能否占据主动的关键。
1.5政府信息安全的保护
一个国家的信息安全,实际是由两方面构成的。其一,为一个国家在信息安全方面采取的一系列组织措施及有关政策、法规;其二,为强有力的、切实可行的技术手段及有关技术装备。前者反映了一个国家在信息安全方面的决心、意志和战略、策略;后者反映了一个国家在信息安全方面的实力。信息技术是信息安全的前提和基础,信息安全的国家发展战略(包括信息安全法律制度),早已从一个产业问题上升为一个事关国家的社会、文化、军事等各方面的核心问题。在信息安全中其地位举足轻重,尤其作为信息技术相对落后的我国如何调整信息安全战略,完善信息安全保障法律规范,不仅是提高信息安全保障能力的手段和方法,而且是提高信息安全技术的前提和保证。所以我国“计算机信息安全的保护主要包括两方面的内容,一是国家安全监督管理,二是计算机信息系统使用单位自身的保护措施。实施计算机信息系统保护的措施包括:安全法规、安全管理、安全技术三方面”。
信息安全是一项极其复杂的系统工程,在安全法规、安全管理、安全技术的保障措施中,安全技术是
信息安全的基础;安全管理是信息安全的关键;安全法规是信息安全的保证。
采用先进可靠的安全技术是维护信息安全的有力保障。事实上,大多数安全事件和安全隐患的发生与其说是技术上的原因,不如说是管理中的缘故。我国已发生的许多计算机安全事件(包括计算机犯罪行为),技术手段并不高明,仅仅是由于钻了管理上的漏洞。管理的关键在于管好人。因为一方面各种安全措施要靠人实施,另一方面有相当多的威胁网络的行为出自系统内部人员。因此必须提高安全管理人员的素质,加强对系统内部人员和网络用户的教育和管理。
采用安全技术,加强安全管理,可以大大提高网络的安全性。为了切实贯彻执行这些安全措施,并有实施的法律依据,制定保障网络安全的法律、法规就显得尤为必要。对于已经发生的违法行为,只能依靠法律进行惩处,当然也包括一些民事行为的法律调整,这是保护网络安全的最终手段。同时通过法律的威慑力,还可以使有犯罪意识者产生畏惧心理,达到惩一儆百的效果。法律还可以便公民了解在网络的管理和
应用中什么是违法行为,而自觉地不为,从而创造一个良好的社会环境,起到保护网络安全的重要作用。所以说法律又是网络安全的第一道防线。
综观各国信息安全法律政策,其主要特征有:1.以国家信息安全的组织保障为原则
各国在其信息安全法律政策中,无不明确规定了国家信息安全工作的管理机构以及各个机构的职责范围,在各个层次上都力求做到分工负责、各司其责。如美国的《计算机安全法》明确规定,由商务部所属的国家标准和技术局(N I S T)负责有关敏感信息的信息安全工作,具体负责主持制定和推广计算机安全标准和指导方针,为联邦政府解决各种信息安全问题,其中包括安全规划、风险管理、应急计划、安全教育培训、网络安全加密技术、身份认证、智能卡应用、计算机病毒检测与防治等等;由国防部所属的国家安全局(N S A)负责例如“国家安全系统”,即由政府及其合同单位或代理机构管理的信息系统中保密信息的信息安全工作,其中包括国家保密信息、美国宪法2315款第102项(W a r n e r修正案)规定的信息、涉及谍报
(I n t e l l i g e n c e)的信息、涉及与国家安全有关的秘密活动(C r y p t—l o g i c)的信息、涉及军队指挥和控制的佰息、涉及属于武器和武器系统设备的信息以及对于完成军事或情报任务至关重要的设备的信息等等。2.以国家信息安全的全面保障为基础
信息安全是个巨大的系统工程,需要各方面力量的综合协调,更需要涉及信息活动的人员、信息系统的实体、信息系统的运行和系统中的信息的安全。因此,信息安全保障应当以全面、严密为基础。如美国政府关于国家信息安全保障的行动策略主要有,制定信息资源安全管理的全面政策。实施风险评估、安全规划、运行安全和各种验证的方法;出版了《信息系统安全产品和服务自录》;对信息系统的各个环节以及各机构信息安全管理工作的效率加以评估;全力支持对安全措施的投入;协调各个机构的信息安全工作;监督政府信息安全管理原则、标准、指导方针的制定和推广工作;强化计算机信息系统人员的安全法律培训等等。
3.以国家信息安全的技术防范为核心
社会信息化的发展实质是计算机技术为核心的信息技术在人类社会生活中充分发挥其主导控制作用的过程。任何国家的信息安全保护都不能脱离信息技术本身,就信息安全的法律保护和技术保护的关系来说,技术保护是基础和前提,法律保护只是技术保护的手段。,因而各国信息安全立法都以国家信息安全的技术防范为核心。20世纪80年代,美国率先在计算机
保密模型的基础上,制定了《可估计算机系统安全评价准则》(T C S E C),随后又制定了关于网络系统、数据库等方面的系列安全解释,形成了安全信息系统体系结构的最早原则。20世纪90年代初,欧洲英、法、德、荷四国共同提出了包括保密性、完整性、可用性等性质的《信息技术安全评价准则》(I T S F C)。近年来,美国国家安全局、美国国家技术标准研究所和加、英、法、德、荷等六国七方共同提出了《信息技术安全评价通用准则》(C C f o r I T S E C),综合了国际上已有的评价准则和技术标准的精华,给出了信息安全保护的框架和原则要求。
4.以国家信息安全的技术标准为内容
将技术标准纳入国家信息安全保障的政策法律体
系范畴,赋予技术标准以国家意志的属性,使其具有
强制实施的法律效力,是世界各国的一致行动。美国
从20世纪70年代初就开始制定信息技术的安全标准,现在已经形成了由国家标准化协会制定的国家标准
(A N S I)、由国家标准局制定的联邦信息处理安全标准(F I P S)以及由国防部制定的信息安全指令和标准(D O D)三位一体的国家信息安全标准体系,从不同的角度规
范国家的信息安全。欧盟除了发布前已所述的《信息
技术安全性评测标准》(I T S E C)之外,还有由欧洲计算机厂商协会规定的被欧洲国家共同执行的计算机信息
安全标准。
第二章我国电子政务信息安全的目标及现状
2.1电子政务信息安全的目标
信息系统信息安全的宗旨是通过在实现信息系统时充分考虑到自身、伙伴和客户的信息风险,确保组织能够完成它的全部使命和目标。进而言之,电子政务系统信息安全的宗旨就是通过在实现信息系统时充分考虑信息风险,从而确保一个政府部门能够有效地完成法律所赋予的政府职能。电子政务信息安全必须实现以下目标:
2.1.1可用性目标
可用性目标是指确保电子政务系统有效率地运转并使授权用户得到所需信息服务。通常,可用性目标是电子政务系统的首要信息安全目标。
2.1.2完整性目标
完整性目标包括两个方面:数据完整性和系统完整性。通常,完整性目标是电子政务系统除了可用性目标之外最重要的信息安全目标。
2.1.3保密性目标
保密性目标是指不向非授权个人和部门暴露私有或者保密信息。通常,对于大多数电子政务系统而言,保密性目标在信息安全的重要程度排序中仅次于可用性目标和完整性目标。然而,对于某些特定的电子政务系统和数据,保密性目标是最重要的信息安全目标。
2.1.4可记账性目标
可记账性目标是指电子政务系统能够如实记录一个实体的全部行为。通常,可记账性目标是政府部门的一种策略需求。可记账性目标可以为拒绝否认、威慑违规、隔离故障、检测和防止入侵、事后恢复和法律诉讼提供支持。
2.1.5保障性目标
保障性是电子政务系统信息安全的信任基。保障性目标突出了这样的事实:对于希望做到安全的信息系统而言,不仅需要提供预期的功能,而且需要保证不会发生非预期的行为。具体而言,保障性目标是指:提供并正确实现需要的电子政务功能;在用户或者软件无意中出现差错时,提供充分保护;在遭受恶意的系统穿透或者旁路时,提供充足防护。
2.2我国电子政务中信息安全的现状及表现
目前我国电子政务中的政府信息安全问题突出表现在:一是我国政府信息网络安全存在严重隐患。网络非常脆弱,各种安全隐患普遍存在。掌握了一定技术的人可以轻易获取网络服务器上的用户账号信息和口令文件,并可进入系统修改、删除重要数据文件。一旦这些系统被非法侵入和破坏,将不能正常工作,甚至全部瘫痪,给国家带来重大损失。二是互联网上和针对计算机信息系统的违法犯罪活动日益增多。近年来,金融机构内部利用计算机犯罪案件大幅度上升;在互联网上泄露国家秘密的案件屡有发生;提供境外黄色站点的错接服务,向国内用户提供色情信息。三是境内外黑客攻击破坏网络的问题十分严重。他们通常采用非法侵入重要信息系统,修改或破坏系统功能或数据等手段,造成数据丢失或系统瘫痪,给国家造成重大政治影响和经济损失。四是境内外敌对势力、敌对分子和非法组织利用互联网进行煽动、渗透、组织、联络等非法活动日趋突出。他们通过建立针对境内的反动宣传、煽动的站点,利用电子公告栏、新闻