信息化离不开信息安全，电子政务尤其如此。没有安全保障的电子政务，就不能发挥它应有的效力。目前的信息安全态势，可以用三句话来概括：

　　一是网络无处不在，安全不可或缺。这是全球性共识，也是各国政府在互联网快速发展十几年中推进电子政务实践的经验总结；二是漏洞隐患显现，安全风险须调整。电子政务已进入日益普及和广泛应用时期，需要从关注外部环境影响转向考虑自身的安全问题；三是优化顶层设计，注重结构保障。这是当务之急，电子政务的安全保障已进入结构调整的新时期。

　　国外政府信息安全形势

　　国外的信息安全形势也可大致从三个方面来把握：一是全球进入物联网发展的新时期。“智慧地球”把人、物和信息资源整合在一起，它将引导未来网络发展的方向；二是美国进入奥巴马时代。美国一直扮演着信息安全世界领头羊的角色，奥巴马、希拉里政府施政伊始，动作鲜亮，一方面继续推进国家网络空间安全战略，另一方面提出了实施“曼哈顿计划”，引起世界各国的关注；三是信息安全进入转折阶段，即在全面回顾前期以防范和保护为主流的信息保障实践的基础上，探索“攻防兼备”的结构性防御。

　　从“曼哈顿计划”可以看出美国信息安全顶层设计的新动向：它首先用可信网络、被动检测、主动防御和科研攻关支撑起第一道防线；其次用态势感知、网络反间、内网安全、教育培训建立起保障网络空间安全的长效机制；第三是通过技术装备、网络威慑、采购安全、公私联合等措施确保美国在全球的国家安全利益。

　　与上述设计相适应，美国还强化了政府的安全领导机制，在白宫设立网络安全办公室，任命网络安全协调官，负责统筹国家网络安全事务，协调美国网络安全力量，为总统提供决策建议。同时，重点保护联邦政府的网络和国家重要的信息系统，即关键信息基础设施（CIIP），具体包括联邦政府机构和电力、电信、交通、金融、应急服务、农业、食品、水、邮政、化工和公共卫生等15个公共管理部门。安全保护的方法已经超越传统的局部应对、兵来将挡的“威胁响应”模式，转入全面的系统安全评估和深入的技术漏洞分析，然后进行风险管理。近年，美国加大了漏洞分析方面的技术和管理工作，推进各个行业的风险评估，并把每年的制度化风险评估作为政府绩效考核的一部分。

　　值得关注的是，美国的上述动向还引起西方各国的跟进和效仿，俄罗斯等国家也在积极应对。

　　我国电子政务安全环境

　　总体而言，信息安全经过十几年的发展，整体环境已大为改观。但在核心技术、高端设备和主流应用方面我们都受制于人，技术漏洞和安全隐患日益突出，使得我国的信息安全工作面临复杂的系统性风险。

　　所以，目前我国信息安全领域的突出特点是技术安全和内容安全相互交织，信息安全和社会稳定相互交织，国内安全与国际安全问题相互交织。

　　根据中国信息安全评测中心对我国信息安全的风险评估，从整体来看，现阶段主要的安全隐患表现在：政治社会稳定是重大威胁，网络窃密是突出威胁，技术漏洞和隐患是现实威胁，网络欺诈和犯罪是长期威胁。

　　第一，网络群体性突发事件越来越多。据报道，2009年影响全国的77件重大突发事件中，有23件源于网络论坛。网络的放大效应、开放性和复杂性，加之缺乏爆发的预兆、公众参与度高等特点，都使得维护稳定的工作面临巨大压力。

　　第二，窃密、泄密事件触目惊心，其中政府部门是网络窃密的重点目标和泄密的要害部位，特、重大网络窃、泄密案件近年来有增无减，造成的损失巨大，触目惊心。

　　第三，安全漏洞在电子政务系统中普遍存在，危害和威胁风险不断升高。在最近被测评的10多个电子政务系统中，高危漏洞平均在10个以上；80%的电子政务网站受到过木马攻击；在应用漏洞中又尤以SQL注入、跨站脚本和弱口令最为突出；而有效执行制度化的补丁管理机制的政府部门不到30%，漏洞消控工作尚未进入安全保障的日程。

　　此外，网络欺诈和犯罪案件高发。木马、域名劫持、访问假网址已经在电子政务服务中出现，并呈现高增长态势。要进一步优化电子政务的顶层设计，就必须考虑到目前我们面临的信息安全环境的变化。

　　电子政务安全顶层设计建议

　　电子政务安全的目标是什么？不能简单回答就是技术安全，而是应该树立一种系统的、综合的安全管理理念。要做到政府电子政务的安全，至少要做到四个方面的目的：一是人员的安全，这是重中之重，人不可靠，再好的技术手段都没有作用；二是信息的安全，政府的工作数据和大量信息内容必须既要防窃密，又要防泄密；三是数据安全，电子系统中的数据必须确保完整，防止被篡改或删除；四是政府管理的网络必须可控，网络经常出现事故，将无法执行有效的政府业务。

　　针对现在的情况，如何从安全的角度优化电子政务的顶层设计，我们有五点建议：

　　首先，要建立一个结构化的安全体系。我们目前面临的是系统性的安全风险，就必须以一个结构化的安全体系来应对。简单来说就是“3+2”。所谓“3”，是指要达到确保信息的保密、网络的安全以及业务的持续这三大核心目标；所谓“2”，就是要有一个可行的安全保障方案，以及一支可靠的专业技术队伍。

　　其次，要实施两条线的安全保障。为了履行政府的职责，需要将安全保障体系和风险管理体系放在并重的位置。过去我们重点放在安全保障体系的建设方面，现在必须将对风险体系与性状况和效能的评估也列上日程。

　　再次，要把好三个重要的管理关口。一是严把涉密计算机和存储介质的管理关，这是当前风险最高的环节；二是严把内部网络对外接入点线的管理关，当前我国政府部门的互联网基本上随时随地可以接入，这是当前最易忽略的环节；三是严把技术设备采购及服务外包的管理关，政府的网络管理和信息安全服务不能外包给跨国企业、不得不依赖进口的高端、大型管理软件必须要有安全保障措施，这是目前安全隐患最大的环节。

　　再次，要控制四个现实的安全风险。一是门户网站防范能力不强，主要是软件漏洞、网站被挂马等；二是邮件系统安全措施不够，政府部门和相关领导的邮件系统最易受到间谍软件的攻击；三是保密管理机制执行不严，对于U盘、笔记本计算机、PDA等设备的使用，以及上网行为的管理制度，还需要进行更严格的执行；四是服务外包、产品采购、运营维护等方面的选择需要更慎重，虽然目前我们的安全意识已经增强，但很少有政府部门对买回来的计算机进行使用前的安全检查。

　　最后，要落实五个长效机制。一是要做好与信息网络相适应的安全保障体系建设；二是要做实人防和技防相结合的各项规章制度；三是要做到全面及时的漏洞分析和风险评估；四是要做细制度化、专业化的信息安全检查；五是要做勤日常信息安全保密意识的教育和培训。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。