“互聯(lián)網(wǎng)+政務(wù)”信息安全評(píng)價(jià)探究

◆劉高明 羅京亞

(長(zhǎng)沙職業(yè)技術(shù)學(xué)院 湖南 410217)

“互聯(lián)網(wǎng)+政務(wù)”信息安全評(píng)價(jià)探究

◆劉高明 羅京亞

(長(zhǎng)沙職業(yè)技術(shù)學(xué)院 湖南 410217)

本文從“互聯(lián)網(wǎng)+政務(wù)”信息安全的內(nèi)涵、面臨的風(fēng)險(xiǎn)、安全需求等方面入手，對(duì)“互聯(lián)網(wǎng)+政務(wù)”信息安全的評(píng)價(jià)指標(biāo)進(jìn)行篩選，從信息安全評(píng)價(jià)這一角度對(duì)“互聯(lián)網(wǎng)+政務(wù)”信息安全進(jìn)行探究，為加強(qiáng)“互聯(lián)網(wǎng)+政務(wù)”的信息安全提供參考，從而保障“互聯(lián)網(wǎng)+政務(wù)”系統(tǒng)的正常運(yùn)行。

互聯(lián)網(wǎng)+；電子政務(wù)；信息安全評(píng)價(jià)

0 引言

從2015年李克強(qiáng)總理在兩會(huì)工作報(bào)告中提出“互聯(lián)網(wǎng)+”這一概念開始，“互聯(lián)網(wǎng)+”在不少領(lǐng)域都得到應(yīng)用。從第十二屆全國(guó)人民代表大會(huì)上正式提出“互聯(lián)網(wǎng)+政務(wù)服務(wù)”概念，到2016年4月26日《推進(jìn)“互聯(lián)網(wǎng)＋政務(wù)服務(wù)”開展信息惠民試點(diǎn)的實(shí)施方案》（下稱《實(shí)施方案》）正式發(fā)文，明確提出要加快推進(jìn)“互聯(lián)網(wǎng)＋政務(wù)服務(wù)”[1]，“互聯(lián)網(wǎng)+政務(wù)”已經(jīng)成為電子政務(wù)發(fā)展的新階段，為政務(wù)服務(wù)帶來新變革。

我國(guó)“互聯(lián)網(wǎng)+政務(wù)服務(wù)”起步時(shí)間較短，目前仍有許多問題有待解決，例如信息安全問題?！秾?shí)施方案》中也指出，推進(jìn)過程中要采取必要的管理和技術(shù)手段，落實(shí)國(guó)家信息安全等級(jí)保護(hù)制度要求，完善身份認(rèn)證和授權(quán)管理機(jī)制，加強(qiáng)數(shù)據(jù)安全管理，強(qiáng)化安全保障體系建設(shè)，切實(shí)保護(hù)國(guó)家信息安全及公民個(gè)人隱私。

對(duì)“互聯(lián)網(wǎng)+政務(wù)”系統(tǒng)來說，解決信息安全的首要問題是要識(shí)別所面臨的風(fēng)險(xiǎn)，明確安全需求，然后進(jìn)行充分的分析與評(píng)價(jià)。只有采用正確的方法對(duì)“互聯(lián)網(wǎng)+政務(wù)”信息安全進(jìn)行全面評(píng)價(jià)，才能掌握“互聯(lián)網(wǎng)+政務(wù)”系統(tǒng)的整體安全狀況，有針對(duì)性的采取有效的安全措施，健全信息安全保障體系，保證“互聯(lián)網(wǎng)+政務(wù)”系統(tǒng)的正常運(yùn)行。

1 “互聯(lián)網(wǎng)+政務(wù)”的信息安全

1.1 “互聯(lián)網(wǎng)+政務(wù)”信息安全的內(nèi)涵

只有對(duì)“互聯(lián)網(wǎng)+政務(wù)”信息安全的內(nèi)涵進(jìn)行充分了解，才能更好地對(duì)其進(jìn)行評(píng)價(jià)研究。目前學(xué)術(shù)界對(duì)信息安全尚無統(tǒng)一和公認(rèn)的定義，具有代表性的定義主要是從兩個(gè)角度出發(fā)：一是信息安全的層面，例如國(guó)內(nèi)學(xué)者普遍認(rèn)同的信息安全的層次模型——數(shù)據(jù)（信息）安全、運(yùn)行（系統(tǒng)）安全、物理（實(shí)體）安全；二是信息安全的屬性，例如國(guó)外學(xué)者認(rèn)同“信息安全金三角”（CIA，Confidentiality-Integrity-Availability)——機(jī)密性、完整性、可用性[2]。

通過文獻(xiàn)分析法對(duì)前人研究進(jìn)行綜合分析可以得出，“互聯(lián)網(wǎng)+政務(wù)”信息安全包括物理（實(shí)體）安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全、運(yùn)行安全、管理安全等方面，涉及到信息的機(jī)密性、完整性、可用性、可控性、真實(shí)性、不可抵賴性等屬性。

1.2 “互聯(lián)網(wǎng)+政務(wù)”面臨的安全威脅

基于互聯(lián)網(wǎng)的“互聯(lián)網(wǎng)+政務(wù)”系統(tǒng)面臨著來自互聯(lián)網(wǎng)的各種威脅，相對(duì)于過去電子政務(wù)的專網(wǎng)模式風(fēng)險(xiǎn)更大[3]。對(duì)“互聯(lián)網(wǎng)+政務(wù)”所面臨的安全威脅進(jìn)行分析，有助于構(gòu)建合理有效的信息安全保障體系和評(píng)價(jià)機(jī)制。

“互聯(lián)網(wǎng)+政務(wù)”面臨的信息安全威脅來自各個(gè)方面，具體包括：①自然災(zāi)害（雷擊、火災(zāi)、地震、洪水等）；②環(huán)境干擾（溫度不適宜、電壓異常波動(dòng)、電磁輻射干擾等）；③系統(tǒng)故障（設(shè)備老化、零部件磨損等）；④技術(shù)缺陷（因技術(shù)水平和能力的限制而造成的威脅，如操作系統(tǒng)漏洞等）；⑤內(nèi)部疏忽（內(nèi)部管理制度不完善或工作人員操作失誤、安全意識(shí)薄弱等導(dǎo)致的威脅）；⑥內(nèi)部攻擊（“互聯(lián)網(wǎng)+政務(wù)”內(nèi)部人員對(duì)系統(tǒng)進(jìn)行蓄意攻擊，竊取信息或非法越權(quán)訪問）；⑦外部攻擊（“互聯(lián)網(wǎng)+政務(wù)”外部攻擊者通過各種手段對(duì)系統(tǒng)發(fā)動(dòng)攻擊，破壞系統(tǒng)、竊取或篡改信息等）。

1.3 “互聯(lián)網(wǎng)+政務(wù)”的信息安全需求

由于“互聯(lián)網(wǎng)+政務(wù)”系統(tǒng)的主要目的是政府機(jī)構(gòu)執(zhí)行政府公職，涉及政府機(jī)密信息，“互聯(lián)網(wǎng)+政務(wù)”對(duì)信息安全有著更高的要求。在“互聯(lián)網(wǎng)+政務(wù)”系統(tǒng)建設(shè)和運(yùn)行的過程中，除了需要應(yīng)對(duì)來自互聯(lián)網(wǎng)的攻擊，還要考慮內(nèi)部安全隱患。

具體來說，“互聯(lián)網(wǎng)+政務(wù)”的安全需求包括：①政務(wù)信息的保密性（明確信息公開的范圍和密級(jí)，確保信息在傳輸和使用過程中不被非授權(quán)獲取或使用、非法泄露或擴(kuò)散[4]）；②政務(wù)信息的完整性（確保信息在存儲(chǔ)和傳輸?shù)倪^程中不被修改、破壞或丟失）；③政務(wù)信息的真實(shí)性（保證接收方獲得的信息是真實(shí)的，未被篡改）；④政務(wù)信息的不可否認(rèn)性（要求信息交換過程中所有參與者都不能否認(rèn)所做過的操作和承諾）；⑤政務(wù)信息的可用性（保證經(jīng)過授權(quán)的用戶可以順利正常地訪問和使用信息[5]）；⑥政務(wù)信息的可控性（確保對(duì)政務(wù)信息的傳播路徑、范圍及其內(nèi)容有足夠的管理和控制能力）；⑦系統(tǒng)的可靠性（確保網(wǎng)絡(luò)和信息系統(tǒng)隨時(shí)可用，運(yùn)行過程中不出現(xiàn)故障[6]）；⑧設(shè)備安全（保證系統(tǒng)和網(wǎng)絡(luò)設(shè)備實(shí)施的質(zhì)量和安全以及設(shè)備備份等）；⑨管理安全（包括健全的法律法規(guī)，完善的規(guī)章制度，專業(yè)可靠、具有安全意識(shí)的管理團(tuán)隊(duì)和操作人員等）。

2 “互聯(lián)網(wǎng)+政務(wù)”信息安全評(píng)價(jià)指標(biāo)

對(duì)“互聯(lián)網(wǎng)+政務(wù)”的信息安全進(jìn)行評(píng)價(jià)要從實(shí)際出發(fā)綜合考慮所涉的多個(gè)方面。本文遵循評(píng)價(jià)指標(biāo)的選取原則，在充分的文獻(xiàn)調(diào)研和分析的基礎(chǔ)上，從管理安全、物理安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、系統(tǒng)安全、應(yīng)用安全這六個(gè)方面對(duì)“互聯(lián)網(wǎng)+政務(wù)”的信息安全進(jìn)行評(píng)價(jià)。

2.1 管理安全

管理安全是指“互聯(lián)網(wǎng)+政務(wù)”信息安全相關(guān)的組織管理、人員管理、制度管理等管理舉措，在整個(gè)信息安全保障過程中起到指導(dǎo)、規(guī)范的作用。具體指標(biāo)包括：①有無專門的組織機(jī)構(gòu)；②有無安全責(zé)任體系；③有無監(jiān)督與檢查措施；④有無負(fù)責(zé)安全的專職人員；⑤人員安全意識(shí)；⑥有無人員安全教育與培訓(xùn)；⑦決策人員素質(zhì)；⑧人員技術(shù)保障能力；⑨有無應(yīng)急響應(yīng)預(yù)案；⑩有無安全管理規(guī)章制度。

2.2 物理安全

物理安全是指“互聯(lián)網(wǎng)+政務(wù)”系統(tǒng)的機(jī)房、計(jì)算機(jī)設(shè)備及管理人員工作場(chǎng)所內(nèi)外的環(huán)境條件必須滿足安全要求。具體指標(biāo)包括：①有無恒溫恒濕設(shè)備；②有無不間斷電源保障；③有無災(zāi)難保護(hù)設(shè)施；④有無設(shè)備防盜、防毀措施；⑤有無防電磁信息輻射泄露措施；⑥有無抗電磁干擾設(shè)備；⑦是否采用門禁控制系統(tǒng)；⑧有無攝像頭在線監(jiān)控；⑨有無電源保護(hù)；⑩有無應(yīng)急災(zāi)難備份恢復(fù)。

2.3 網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全是指“互聯(lián)網(wǎng)+政務(wù)”網(wǎng)絡(luò)系統(tǒng)的硬件、軟件、數(shù)據(jù)等安全，確保網(wǎng)絡(luò)系統(tǒng)、服務(wù)正常運(yùn)行。主要指標(biāo)包括：①有無網(wǎng)絡(luò)安全設(shè)計(jì)；②有無網(wǎng)絡(luò)安全檢測(cè)；③有無計(jì)算機(jī)病毒防范措施；④有無入侵檢測(cè)與防御措施；⑤有無網(wǎng)絡(luò)訪問控制措施，⑥有無防火墻系統(tǒng)；⑦有無VPN技術(shù)及其應(yīng)用；⑧有無應(yīng)急災(zāi)難備份恢復(fù)；⑨有無網(wǎng)絡(luò)審計(jì)與監(jiān)控；⑩有無路由安全措施。

2.4 數(shù)據(jù)安全

數(shù)據(jù)安全是指要保證“互聯(lián)網(wǎng)+政務(wù)”系統(tǒng)中的數(shù)據(jù)是安全的，不被截獲、篡改、盜用，免遭破壞、丟失、泄露，包括數(shù)據(jù)傳輸安全和數(shù)據(jù)存儲(chǔ)安全。主要指標(biāo)包括：①有無數(shù)據(jù)加密措施；②有無數(shù)據(jù)完整性鑒別措施；③有無防抵賴措施；④有無身份認(rèn)證措施；⑤有無數(shù)據(jù)存取控制措施；⑥有無數(shù)據(jù)庫安全防護(hù)措施；⑦有無異地容災(zāi)措施；⑧有無數(shù)據(jù)存儲(chǔ)備份恢復(fù)系統(tǒng)；⑨有無數(shù)據(jù)審計(jì)與監(jiān)控。

2.5 系統(tǒng)安全

系統(tǒng)安全是指“互聯(lián)網(wǎng)+政務(wù)”操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和主機(jī)系統(tǒng)的安全。主要指標(biāo)包括：①有無病毒防范體系；②有無口令設(shè)置和權(quán)限配置；③系統(tǒng)安全檢測(cè)；④系統(tǒng)實(shí)時(shí)入侵探測(cè)技術(shù)；⑤有無漏洞掃描和補(bǔ)丁分發(fā)系統(tǒng)；⑥有無系統(tǒng)審計(jì)與分析。

2.6 應(yīng)用安全

應(yīng)用安全是指“互聯(lián)網(wǎng)+政務(wù)”應(yīng)用系統(tǒng)和應(yīng)用程序的安全。①有無應(yīng)用系統(tǒng)安全設(shè)計(jì)；②有無網(wǎng)頁防篡改系統(tǒng)；③有無訪問控制措施；④有無追溯審計(jì)措施；⑤是否對(duì)應(yīng)用代碼進(jìn)行安全管理；⑥有無電子郵件系統(tǒng)安全措施；⑦有無網(wǎng)絡(luò)攻擊防護(hù)措施；⑧有無應(yīng)用系統(tǒng)容錯(cuò)容災(zāi)措施。

3 結(jié)語

“互聯(lián)網(wǎng)+政務(wù)”涉及的是政府機(jī)密信息，對(duì)信息安全有著更高的要求。因此，全方位杜絕對(duì)“互聯(lián)網(wǎng)+政務(wù)”的信息安全威脅，不僅要提高系統(tǒng)、網(wǎng)絡(luò)的防范能力，加強(qiáng)數(shù)據(jù)存儲(chǔ)和傳輸?shù)陌踩裕€要從管理角度入手，建立健全規(guī)章制度，提高管理人員安全意識(shí)和能力。

本文從“互聯(lián)網(wǎng)+政務(wù)”信息安全的內(nèi)涵、面臨的風(fēng)險(xiǎn)、安全需求等方面入手，對(duì)“互聯(lián)網(wǎng)+政務(wù)”信息安全的評(píng)價(jià)指標(biāo)進(jìn)行篩選，從信息安全評(píng)價(jià)這一角度對(duì)“互聯(lián)網(wǎng)+政務(wù)”信息安全進(jìn)行探究，為加強(qiáng)“互聯(lián)網(wǎng)+政務(wù)”的信息安全提供參考，從而保障“互聯(lián)網(wǎng)+政務(wù)”系統(tǒng)的正常運(yùn)行。

[1]周民，賈一葦.推進(jìn)“互聯(lián)網(wǎng)+政務(wù)服務(wù)”，創(chuàng)新政府服務(wù)與管理模式[J].電子政務(wù)，2016.

[2]雷萬云.信息安全保衛(wèi)戰(zhàn):企業(yè)信息安全建設(shè)策略與實(shí)踐[M].北京:清華大學(xué)出版社，2013.

[3]信息安全技術(shù)基于互聯(lián)網(wǎng)電子政務(wù)信息安全實(shí)施指南(GB/Z 24294-2009) [S].國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局, 2009.

[4]柏晶.我國(guó)電子政務(wù)信息安全體系研究[D].吉林大學(xué)，2007.

[5]唐一冰.電子政務(wù)信息安全的評(píng)價(jià)體系探究[J].電子測(cè)試，2015.

[6]任秀萍.信息安全中消息層次的討論[J].科技情報(bào)開發(fā)與經(jīng)濟(jì)，2003.

2017 年度（上半年）長(zhǎng)沙市哲學(xué)社會(huì)科學(xué)規(guī)劃項(xiàng)目《長(zhǎng)沙“互聯(lián)網(wǎng)+政務(wù)服務(wù)”信息安全管理的問題與對(duì)策研究》，項(xiàng)目編號(hào)：2017csskkt33。