我國(guó)電子政務(wù)建設(shè)已經(jīng)步入了深化應(yīng)用階段。應(yīng)用與安全是一對(duì)矛盾，電子政務(wù)的深化應(yīng)用與安全管理必須并舉，不可偏重。如何在電子政務(wù)深化應(yīng)用的同時(shí)建立起相應(yīng)的信息安全管理體系，保證應(yīng)用與安全的協(xié)調(diào)發(fā)展？這些都是擺在目前中國(guó)電子政務(wù)工作者面前的重要課題。

　　電子政務(wù)中的信息安全保證是電子政務(wù)建設(shè)的當(dāng)務(wù)之急。之所以著力發(fā)展信息安全，是因?yàn)樵陔娮诱?wù)建設(shè)初期在很大程度上是“摸著石頭過(guò)河”，缺乏明確的策略對(duì)其進(jìn)行指導(dǎo)。系統(tǒng)大都是采用開(kāi)放式的操作系統(tǒng)和網(wǎng)絡(luò)協(xié)議，存在著先天的安全隱患。隨著電子政務(wù)建設(shè)的逐步推進(jìn)，政府門戶網(wǎng)站所承載業(yè)務(wù)的數(shù)量在逐步增加，網(wǎng)站被入侵或篡改所帶來(lái)的危害將不僅僅限于“政府形象”的損害，甚至能會(huì)造成巨大的經(jīng)濟(jì)損失，或者嚴(yán)重的社會(huì)問(wèn)題。

　　系統(tǒng)測(cè)評(píng) 制度保證

　　河北省工業(yè)和信息化廳副廳長(zhǎng)段潤(rùn)保談到，電子政務(wù)深化應(yīng)用在工作中得到了加強(qiáng)，網(wǎng)上審批可能達(dá)到了50%，重要的數(shù)據(jù)就不能上了，因?yàn)榇_保不了安全。今天達(dá)到100%，全社會(huì)的老百姓都來(lái)網(wǎng)上了，安全更不能保證。所以，各方面的強(qiáng)度肯定要增強(qiáng)，原來(lái)的軟件就沒(méi)有做軟件測(cè)評(píng)，現(xiàn)在不行，必須要做。隨著應(yīng)用面越來(lái)越廣，深度越來(lái)越深，使用頻率越來(lái)越高。我們很多電子政務(wù)領(lǐng)域都用上了，上班就得用這個(gè)東西，像海關(guān)一樣。

　　段潤(rùn)保還提到，河北的現(xiàn)狀應(yīng)該說(shuō)不容樂(lè)觀，到省級(jí)還比較好一些，到市勉強(qiáng)，到縣就不行了。最近查的800余個(gè)網(wǎng)站，非常高的比例存在安全隱患，漏洞、信息泄漏，這樣的問(wèn)題有很多，非常嚴(yán)峻。年年抓還是這個(gè)情況，內(nèi)網(wǎng)當(dāng)然要好一些。內(nèi)網(wǎng)有一個(gè)安全測(cè)評(píng)，有什么問(wèn)題可以整改。在這樣的問(wèn)題下我們?cè)趺礃油七M(jìn)電子政務(wù)深化，確實(shí)要從制度要求。出了問(wèn)題誰(shuí)負(fù)責(zé)？有的時(shí)候沒(méi)有制度，規(guī)范，所以說(shuō)第二個(gè)問(wèn)題是信息安全來(lái)保證電子政務(wù)的深化研究，基本的制度，比如說(shuō)風(fēng)險(xiǎn)評(píng)估，你建了這個(gè)系統(tǒng)以后效果怎么樣。等級(jí)保護(hù)制度，那是國(guó)家強(qiáng)制的，必須要這么做。

　　說(shuō)是安全，實(shí)際上也有很多制度。這個(gè)系統(tǒng)按時(shí)升級(jí)了，口令8位以上，做復(fù)雜了他也不好破。很多制度是有，但是不執(zhí)行，比如應(yīng)該是一個(gè)星期升級(jí)，結(jié)果一個(gè)月也不升級(jí)，漏洞就有了。要建立新的制度，舊的制度也要不斷完善，這樣才能發(fā)展。

　　明確責(zé)任 體系建設(shè)

　　國(guó)土資源部信息中心總工顧炳中指出，安全是一種責(zé)任，要明確安全的責(zé)任。劃分政治界限，規(guī)定政治紅線在哪兒。在不碰紅線的前提下，我們來(lái)做我們的事情，所以必須滿足紅線。政策的安全紅線是什么？國(guó)家的安全17859分級(jí)保護(hù)，強(qiáng)調(diào)的就是適度安全，安全不是絕對(duì)的。分級(jí)保護(hù)的原則指導(dǎo)下，23號(hào)文件，分級(jí)的改造，等級(jí)保護(hù)按43號(hào) 文進(jìn)行公安部的要求保護(hù)。這樣的事情做下來(lái)是有一個(gè)基本要求，再出事不承擔(dān)失職的責(zé)任。

　　這樣是不是就是安全了？絕對(duì)不夠。安全跟我們現(xiàn)在的規(guī)定，相關(guān)部門的規(guī)定還有一定的差距，安全應(yīng)該是一個(gè)理念，應(yīng)該貫穿到整個(gè)信息系統(tǒng)規(guī)劃、設(shè)計(jì)、實(shí)施、運(yùn)維全過(guò)程。政策紅線只是規(guī)避了常發(fā)生的信息安全問(wèn)題。包括現(xiàn)在的風(fēng)險(xiǎn)評(píng)估，風(fēng)險(xiǎn)評(píng)估有用嗎？基本沒(méi)太大的用。因?yàn)樗f(shuō)有漏洞，有漏洞不等于事實(shí)，不等于信息就不安全。漏洞多了，我們寫(xiě)代碼可能有8個(gè)漏洞在里面，沒(méi)有人檢查，漏洞是永恒的，病毒也是永恒的。我們必須把安全作為一個(gè)理念，從規(guī)劃和實(shí)施當(dāng)中貫徹，采取自己切實(shí)可行的手段來(lái)保證安全。重要的數(shù)據(jù)我有方法備份，重要的信息系統(tǒng)我有方法檢查，采用一系列的手段來(lái)進(jìn)行保護(hù)。

　　分級(jí)保護(hù) 風(fēng)險(xiǎn)評(píng)估

　　公安部第一研究所安全系統(tǒng)測(cè)評(píng)中心技術(shù)部主任秦超指出，電子政務(wù)與安全的直接關(guān)系，08年出臺(tái)了一個(gè)文件，08年起，國(guó)家發(fā)改委批準(zhǔn)的項(xiàng)目必須經(jīng)過(guò)風(fēng)險(xiǎn)評(píng)估和安全測(cè)評(píng)，這是與電子政務(wù)最直接相關(guān)的測(cè)評(píng)報(bào)告。

　　08年奧運(yùn)在一些單位檢查當(dāng)中發(fā)現(xiàn)很多領(lǐng)導(dǎo)都很重視。信息安全很重要，他們就會(huì)很謙虛的問(wèn)網(wǎng)站怎么弄？怕攻擊了，有什么辦法？外網(wǎng)系統(tǒng)固然很重要，他們怕產(chǎn)生社會(huì)影響，怕丟面子。但是內(nèi)網(wǎng)也很重要，內(nèi)部最容易是作為堡壘被攻破。我們要重視內(nèi)網(wǎng)的安全，一個(gè)是要加強(qiáng)審計(jì)。怎么處理好安全應(yīng)用的關(guān)系？等級(jí)保護(hù)就是最好的方法，最好的是適度安全。我們的電子政務(wù)信息系統(tǒng)很龐大，如果把有限的財(cái)力，人力集中到信息系統(tǒng)上就要定級(jí)。有些單位說(shuō)定了三級(jí)怎么實(shí)現(xiàn)？每個(gè)系統(tǒng)由一些小系統(tǒng)來(lái)組成，小系統(tǒng)劃成核心區(qū)域，非核心區(qū)域，根據(jù)你自己的需要來(lái)采取安全措施。分級(jí)保護(hù)是把復(fù)雜的系統(tǒng)簡(jiǎn)單化，我們是從兩個(gè)角度定義的，一個(gè)是按保密性，還有一個(gè)是可控性，兩個(gè)組合形成最后的安全等級(jí)高低。

　　在安全保護(hù)過(guò)程中強(qiáng)調(diào)的是安全管理。我們強(qiáng)調(diào)的是建立一大堆制度，但是沒(méi)有相應(yīng)的機(jī)構(gòu)，相應(yīng)的人員來(lái)落實(shí)。領(lǐng)導(dǎo)兼職會(huì)拿它當(dāng)工作做嗎？我已經(jīng)發(fā)現(xiàn)了一個(gè)規(guī)律，一個(gè)單位如果有相應(yīng)的實(shí)權(quán)機(jī)構(gòu)來(lái)負(fù)責(zé)這個(gè)事，一般這個(gè)單位的安全系統(tǒng)都是有秩序的。一些單位在技術(shù)方面確實(shí)不夠?qū)I(yè)，可以選擇外包，但是要選擇可靠的是要以運(yùn)營(yíng)單位來(lái)保證。

　　大家都普遍認(rèn)識(shí)一點(diǎn)，安全是一個(gè)周期性的工作，漏洞是不斷的被挖掘出來(lái)的，VISTA被發(fā)布之前，微軟說(shuō)VISTA很安全，沒(méi)有漏洞，但是發(fā)布之后他說(shuō)漏洞很小。所以要不斷的對(duì)信息系統(tǒng)進(jìn)行審計(jì)評(píng)估，對(duì)于三級(jí)系統(tǒng)一年要檢查測(cè)評(píng)一次，四級(jí)系統(tǒng)要半年檢查一次。

　　盡管電子政務(wù)代表了政務(wù)實(shí)施發(fā)展的趨勢(shì)和方向，但是，建立和完善電子政務(wù)系統(tǒng)不是一朝一夕能完成的工程。除了技術(shù)的提升，信息安全意識(shí)和制度尤為重要。信息安全是一個(gè)管理體系，不管是等級(jí)保護(hù)，風(fēng)險(xiǎn)評(píng)估還是邊界的管理，信息安全應(yīng)該在下一步的深化應(yīng)用當(dāng)中滲透到各個(gè)環(huán)節(jié)。