在电子政务系统中,政府机关的公文往来、资料存储、服务提供都以电子化的形式来实现,但在提高办公效率、扩大政府服务内容的同时,也为某些居心不良者提供了通过技术手段窃取重要信息的可能。此外,电子政务系统是基于互联网平台的,从技术角度来说,互联网是存在许多不安全因素的全球性网络,打击跨国网络犯罪难度很大。因此,电子政务建设中的网络安全问题急待解决,而建立包括网络安全政策法规、网络安全组织管理体系、网络安全标准规范、网络安全服务产业、网络安全产品体系和网络安全基础设施6个部分的电子政务网络安全体系成为可行之路。
(1)法律做保障、管理增效率
在电子政务网络安全体系中,首先要健全网络安全的法律法规,强化电子政务信息安全的法制管理。目前,世界上很多国家制定了与网络安全相关的法律法规,如英国的《官方信息保护法》等。我国虽然颁发了一些与网络安全有关的法律法规,如《计算机信息系统安全保护条例》、《计算机信息系统保密管理暂行规定》等等,但显得很零散,还缺乏关于电子政务网络安全的专门法规。此外,在完善法律法规的同时,还应该加大执法力度,严格执法,这一目标的实现不仅需要政府组织的努力,更要国家立法机构的参与和支持。
第二个环节是建立健全网络安全组织管理制度,明确负责安全管理的主要领导、主管部门、技术支持部门等等。发达国家一般都建立有网络安全管理机构,美国安全委员会下设了国家保密政策委员会和信息系统安全保密委员会;英法等国家建立了“国家网络安全委员会”。在我国,安全职能涉及多个部门,虽然能各司其责,责权明确,但在许多的具体实施过程中缺乏统一性。建议组建国家网络安全委员会,组织和协调国家安全、公安、保密等职能部门,对国家网络安全政策统一步调、统筹规划。同时,需要建立政府上网信息保密审查制度,坚持“谁上网谁负责”;涉密信息网络必须与公共信息网实行物理隔离;规定在与公共信息网相连的信息设备上不得存储、处理和传递国家秘密信息。
(2)标准为指导、服务产业做支持
电子政务网络安全标准规范包括电子文档密级划分和标记格式、内容健康性等级划分与标记、内容敏感性等级划分与标记、密码算法标准、密码模块标准、密钥管理标准、PKI/CA标准、PMI标准、信息系统安全评估和网络安全产品测评标准等方面的内容。目前,国家已经正式成立“网络安全标准化委员会”,近期建立了网络安全标准体系与协调工作组(WG1)、内容安全分级及标识工作组(WG2)、密码算法与密码模块/KMI/VPN工作组(WG3)、PKI/PMI工作组(WG4)、网络安全评估工作组(WG5)、应急处理工作组(WG6)、身份标识与鉴别协议工作组(WG9)、操作系统与数据库安全工作组(WG10),开展电子政务安全相关标准的研制工作。
安全服务主要是通过各种技术手段实现技术层次的安全保护,主要技术包括主机监控、网络监控、身份验证、数字签名、访问控制、攻击监测、审计跟踪等。要想把安全服务做好,需要各个安全企业联合起来,取长补短,像构筑一个大坝一样尽可能地堵住每一个安全漏洞。网络安全是一个动态的过程,安全最理想化的状态是客户能买到合适的产品,能够合理地部署并进行规范的配制,能够配备有经验的管理人员,并且和现有的IT系统无缝连接起来,这就需要靠各个厂商间彼此互相支持,为政府部门用户量身定制网络安全解决方案。安全咨询服务能够帮助客户评估现有网络的安全风险,时刻紧密跟踪最新黑客技术,对最新的安全公告和攻击程序进行分析处理;为客户提供前瞻性的风险监测,帮助客户预知潜在危机,保证客户的安全规划先行一步。其服务内容包括安全策略咨询服务、信息安全水平评估服务、安全解决方案设计服务、安全产品评测服务等几个方面。