中國電子政務發展現狀研究白皮書之“電子政務發展的安全瓶頸”

中國電子政務技術與應用大會（eGovChina2004）

中國電子政務發展現狀研究

白皮書

電子政務發展的安全瓶頸

隨着計算機信息技術的飛速發展，電子政務在政府實際工作中已經發揮了越來越重要的作用。可以毫不誇張地説，現在如果缺少了電子信息技術這個手段，或者説如果因為安全問題導致電子政務系統無法正常運行，大量的政府部門將完全無法進行正常的工作，將直接給地方的經濟發展帶來巨大的負面影響。

通過實地的調查研究，尤其是針對部分地區政府部門在電子政務應用中發現的問題進行總結，發現當前主要存在五方面的問題，應該引起各有關方面的高度重視

1.網絡安全域的劃分和控制問題

很顯然，安全與開放是矛盾的，這個在電子政務的應用中也同樣存在且顯得尤為重要。電子政務中的信息涉及到國家祕密、國家安全，因此它需要絕對的安全。但是同時電子政務現在很重要的發展方向，一是要為社會提供行政監管的渠道，二是要為社會提供公共服務，如社保醫保、大量的公眾諮詢、投訴等等，它同時又需要一定程度的開放。因此如何合理地劃分安全域，通俗地講，能讓老百姓看什麼，不能讓老百姓看什麼，在這兩者之間尋求一個平衡點就顯得非常重要。如一些單位採用VPN的形式進行某些業務操作，但是操作中WEB方式給公眾瀏覽，這時就存在在網絡拓撲中WEB應該擺在什麼位置、業務數據中心庫應該擺在什麼位置、如何利用防火牆等網絡安全設備合理劃分這些域等等問題。

而同時前一階段正是由於政府公開的信息中過分強調了“安全”這個問題，弱化了“開放”，導致了很多政府部門在電子政務的實際應用中發揮不了多大的正面作用，甚至有負面作用的存在，如製作了一個網頁以後無人定期進行維護導致與實際內容有所偏差，甚至有的是明顯的錯誤等。在全社會廣泛關注的情況下，一些部門為了迅速扭轉在社會公眾面前的形象，盲目地將一些信息公開化，導致了一些泄密事件的發生。

2.內部監控、審核問題

電子政務與電子商務的不同點在很大程度上是體現在對公網的利用率上。就像前面提到的電子政務模型中的政府部門內部利用先進的網絡信息技術實現辦公自動化、管理信息化、決策科學化這一塊，就基本是利用VPN等技術實現的專網。拋開公網的龐大黑客羣體不談，內部人員是否對網絡進行惡意的操作和是否具有一定程度的網絡安全意識，在很大程度上決定該單位網絡本身的安全等級係數和防護能力。目前絕大部分單位都沒有系統可以實時地對內部人員除個人隱私以外的各項具體操作進行監控和記錄，更不用談對一些非法操作進行屏蔽和阻斷了。

3.電子政務的信任體系問題

電子政務要做到比較完善的安全保障體系，第三方認證是必不可少的。只有通過一定級別的第三方認證，才能説建立了一套完善的信任體系。

目前比較流行的或者説使用比較廣泛的就是PKI信任體系。它包括了密碼算法的選擇、CPS的制定、捆綁的安全強度等等，但是不能忽視的一點是，這些都是基於電子商務的基礎之上建立起來的。電子商務與電子政務畢竟是有很大的不同，如果我們只是簡單地把PKI的電子商務應用模式應用到電子政務中來的話，雖然不能説是一團糟，但是它肯定會“水土不服”，出現問題將在所難免。

4.數字簽名（簽發）問題

在電子政務中，要真正實行無紙化辦公，很重要的一點是實現電子公文的流轉，而在這之中，數字簽名（簽發）問題又是重中之重。原因在於這是使公文有效的必要條件。一旦在這個環節上出了問題，可能就會出現很多假文件、錯文件，嚴重的將直接影響政府部門的正常運作。但是，從目前的情況看，數字簽名系統不但在實際操作中存在能不能接受的問題，而且系統本身也都不是很完善。

5.電子政務的災難響應和應急處理問題

在2000年來臨前夕，各個單位都對Y2K問題進行了全面準備，當中很重要的一項就是災難響應和應急處理措施。兩年多過去了，這類的措施已經部分或全部失去了作用，原因之一是政府部門在制定這些災難響應和應急處理措施時，目標都比較侷限於Y2K問題。在計算機技術飛速發展的現在，已經無法應付層出不窮的各類問題了。況且由於資金等因素的存在，建立全社會的響應中心、支援網絡和數據災難備份的基礎設施等方面都存在着很大的隱患，一旦出現問題，後果不可想象。很多單位在進行網絡規劃的時候，根本就沒有考慮到作為系統核心部分——數據庫本身的安全問題，完全依賴於整個網絡的防護能力，一旦網絡的安全體系被穿破或者直接由內部人員利用內網用户的優勢進行破壞，“數據”可以説無任何招架之力。（有改動！）