论文：电子政务信息安全研究

论文：电子政务信息安全研究（精选8篇）

论文：电子政务信息安全研究 篇1

随着电子政务应用的不断深入，信息安全问题日益凸显，为了高效安全的进行电子政务，迫切需要搞好信息安全保障工作。电子政务系统采取的网络安全措施[2][3]不仅要保证业务与办公系统和网络的稳定运行，另一方面要保护运行在内部网上的敏感数据与信息的安全，因此应充分保证以下几点：

1.1基础设施的可用性：运行于内部专网的各主机、数据库、应用服务器系统的安全运行十分关键，网络安全体系必须保证这些系统不会遭受来自网络的非法访问、恶意入侵和破坏。

1.2数据机密性：对于内部网络，保密数据的泄密将直接带来政府机构以及国家利益的损失。网络安全系统应保证内网机密信息在存储与传输时的保密性。

1.3网络域的可控性:电子政务的网络应该处于严格的控制之下，只有经过认证的设备可以访问网络，并且能明确地限定其访问范围，这对于电子政务的网络安全十分重要。

1.4数据备份与容灾:任何的安全措施都无法保证数据万无一失，硬件故障、自然灾害以及未知病毒的感染都有可能导致政府重要数据的丢失。因此，在电子政务安全体系中必须包括数据的容灾与备份，并且最好是异地备份。

2电子政务信息安全体系模型设计

完整的电子政务安全保障体系从技术层面上来讲，必须建立在一个强大的技术支撑平台之上，同时具有完备的安全管理机制，并针对物理安全，数据存储安全，数据传输安全和应用安全制定完善的安全策略

在技术支撑平台方面，核心是要解决好权限控制问题。为了解决授权访问的问题，通常是将基于公钥证书（PKC）的PKI（PublicKeyInfrastructure）与基于属性证书（AC）的PMI（PrivilegeManagementInfrastructure)结合起来进行安全性设计，然而由于一个终端用户可以有许多权限，许多用户也可能有相同的权限集，这些权限都必须写入属性证书的属性中，这样就增加了属性证书的复杂性和存储空间，从而也增加了属性证书的颁发和验证的复杂度。为了解决这个问题，作者建议根据X.509标准建立基于角色PMI的电子政务安全模型。该模型由客户端、验证服务器、应用服务器、资源数据库和LDAP目录服务器等实体组成，在该模型中：

2.1终端用户：向验证服务器发送请求和证书，并与服务器双向验证。

2.2验证服务器：由身份认证模块和授权验证模块组成提供身份认证和访问控制，是安全模型的关键部分。

2.3应用服务器：与资源数据库连接，根据验证通过的用户请求，对资源数据库的数据进行处理，并把处理结果通过验证服务器返回给用户以响应用户请求。

2.4LDAP目录服务器：该模型中采用两个LDAP目录服务器，一个存放公钥证书（PKC）和公钥证书吊销列表（CRL），另一个LDAP目录服务器存放角色指派和角色规范属性证书以及属性吊销列表ACRL。

安全管理策略也是电子政务安全体系的重要组成部分。安全的核心实际上是管理，安全技术实际上只是实现管理的一种手段，再好的技术手段都必须配合合理的制度才能发挥作用。需要制订的制度包括安全行政管理和安全技术管理。安全行政管理应包括组织机构和责任制度等的制定和落实；安全技术管理的内容包括对硬件实体和软件系统、密钥的管理。

3电子政务信息安全管理体系中的风险评估

电子政务信息安全等级保护是根据电子政务系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度。等级保护工作的要点是对电子政务系统进行风险分析，构建电子政务系统的风险因素集。

3.1信息系统的安全定级信息系统的安全等级从低到高依次包括自主保护级、指导保护级、监督保护级、强制保护级、专控保护级五个安全等级。对电子政务的五个安全等级定义，结合系统面临的风险、系统特定安全保护要求和成本开销等因素，采取相应的安全保护措施以保障信息和信息系统的安全。

3.2采用全面的风险评估办法风险评估具有不同的方法。在ISO/IECTR13335-3《信息技术IT安全管理指南:IT安全管理技术》中描述了风险评估方法的例子，其他文献，例如NISTSP800-30、AS/NZS4360等也介绍了风险评估的步骤及方法，另外，一些组织还提出了自己的`风险评估工具，例如OCTAVE、CRAMM等。

电子政务信息安全建设中采用的风险评估方法可以参考ISO17799、OCTAVE、CSE、《信息安全风险评估指南》等标准和指南，从资产评估、威胁评估、脆弱性评估、安全措施有效性评估四个方面建立风险评估模型。其中，资产的评估主要是对资产进行相对估价，其估价准则依赖于对其影响的分析，主要从保密性、完整性、可用性三方面进行影响分析;威胁评估是对资产所受威胁发生可能性的评估，主要从威胁的能力和动机两个方面进行分析;脆弱性评估是对资产脆弱程度的评估，主要从脆弱性被利用的难易程度、被成功利用后的严重性两方面进行分析;安全措施有效性评估是对保障措施的有效性进行的评估活动，主要对安全措施防范威胁、减少脆弱性的有效状况进行分析;安全风险评估就是通过综合分析评估后的资产信息、威胁信息、脆弱性信息、安全措施信息，最终生成风险信息。

在确定风险评估方法后，还应确定接受风险的准则，识别可接受的风险级别。

4结语

电子政务与传统政务相比有显著区别，包括:办公手段不同，信息资源的数字化和信息交换的网络化是电子政务与传统政务的最显著区别;行政业务流程不同，实现行政业务流程的集约化、标准化和高效化是电子政务的核心;与公众沟通方式不同，直接与公众沟通是实施电子政务的目的之一，也是与传统政务的重要区别。在电子政务的信息安全管理中，要抓住其特点，从技术、管理、策略角度设计完整的信息安全模型并通过科学量化的风险评估方法识别风险和制定风险应急预案，这样才能达到全方位实施信息安全管理的目的。

参考文献：

[1]范红，冯国登，吴亚非.信息安全风险评估方法与应用.清华大学出版社..

[2]李波杰，张绪国，张世永.一种多层取证的电子商务安全审计系统微型电脑应用.05期.

[3]赵晖.网络安全中的安全审计技术.集团经济研究.23期.摘要:长期以来，在电子政务信息安全建设方面，存在着重技术轻管理的问题。信息安全并不是技术过程，而是一个综合防范的过程，安全技术应由适当的安全管理体系来支持。在信息安全保障工作中必须管理与技术并重，进行综合防范，才能有效保障安全。本文旨在提出了一种电子政务安全解决方案。首先，分析了电子政务面临的威胁和挑战;其次，对电子政务安全保障体系进行探讨;再次，讨论了电子政务安全等级保护思想和风险评估方法。

 

论文：电子政务信息安全研究 篇2

网络信息安全的技术特征

从技术角度来看,网络信息的安全性主要体现在信息和网络两个层面。

1信息层面的安全性

信息层面的安全性主要由以下几个指标来评价:(1)保密性:指信息

只能为授权用户使用,不能被非授权的用户或实体利用;(2)完整性:指信息在传输过程中不能被非授权用户进行添加、修改、删除等改变信息特性的操作;(3)不可否认性:指在信息的传输过程中,保证所有的参与者都不能否认自己曾经完成的操作。

2网络层面的安全性

网络层面的安全性主要由以下几个指标来评价:(1)可靠性:指系统能在期望的时间内完成指定的功能;(2)可用性:是指信息服务在需要时,能够允许授权用户使用;(3)可控性:指系统对信息的内容及传播具有控制能力,并不允许不良信息通过公共的网络进行传输。

电子政务的网络信息安全面临的威胁

影响电子政务的网络信息安全的因素有很多,除了技术因素外,还包括管理制度和立法等因素。

1技术和设备存在缺陷

我国多数电子政务系统都是按照分别建设公共网、外网和内网设计的,但这三种网络的网络环境都是采用TCP/I P协议建立的,该协议在服务模式、协议规划和网络管理等方面均缺乏安全性的设计,所以基于其建立的政务信息系统先天就存在着安全隐患。我国具有自主知识产权的设备较少,如微机主板、骨干路由器和计算机芯片等基本都要从国外进口,且对引进的技术和设备缺乏必要的改造,这些设备本身就可能是安全隐患。这些技术的隐患直接导致非法和敌对分子有机可乘,对系统进行攻击,主要包括监听消息内容或业务流程的被动攻击和中断、篡改和伪造信息的主动攻击。

2安全管理薄弱

我国电子政务系统自身对内部人员的操作基本没有进行实时的记录和监控,更没有阻断相应的非法操作,这都是安全管理薄弱的表现。总的来说,安全管理薄弱表现在三个方面:(1)管理制度不完善:政务系统的建设偏重技术上的安全保障措施,却忽略了管理制度的建设,主要表现为管理制度欠完备和管理权限不清,导致出现安全事故时,责任牵扯不清,故障定位不准;(2)工作人员安全意识薄弱:目前,内部人员行为造成的泄密事故占全部泄密事故的70%以上,这都是工作人员安全防范意识缺乏导致的,比如,将涉密信息在内网中进行共享、人离开后没有及时关闭信息系统等;(3)网络管理人员业务素质不高:管理政务系统的公务人员的计算机和网络的相关知识水平较低,知识面较窄,没有技术上的危机意识,导致信息系统轻易就会遭受攻击。

3相关立法有欠缺

虽然近年来国家出台了一些有关网络信息相关的法律,但没有形成体系,立法方面仍然存在欠缺,主要表现在以下三个方面:(1)相关法律空白:电子政务的立法可以分为三个层面,即维护网络安全的法规、个人信息保护的法规和数字签名的法规,现行的大部分法规都是针对电子政务网络安全的,没有一部完整保护电子政务网络信息安全的纲领性法规;(2)相关法律相互抵触:由于电子政务系统的特殊性,多部从技术或管理等方面维护信息安全的法律对其都适用,这些法规中有一部分是相互抵触的;(3)相关立法滞后:互联网技术飞速发展,但电子政务立法却不能同步跟进,地方政府构建自身电子政务系统的纲领性文件还是现有的法规,使得其具有巨大的安全隐患。

提高电子政务中的网络信息安全的解决方案

1建立健全预警防护体系

建立预警防护体系主要可以从两个方面入手::((11))建全安全检测体系,即发现潜在的或正在发生的安全问题,比如监控政府内部人员非法法外外联联的的行行为为、、自自动动检检测测政政务务信信息息网网络络部部署署的的漏漏洞洞、、自自动动检检测测非非法法入入侵行为并根据最新的安全事故的案例对防护手段进行更新调整;(2)建全网络信息安全防护体系,其是网络信息最直接的保护伞,是电子政务系统技术设计的重点之一,包括身份认证、防火墙、系统访问控制等。

2完善电子政务法律体系

建立健全电子政务法律体系可以从以下几个方面入手:(1)发展科学的网络信息安全保护理念:立法应该站在保护电子政务网络健康稳定发展的角度进行;(2)法律的制定应具有前瞻性:由于信息技术的快速发展,涉及电子政务网络信息安全的法规应为技术的发展预留足够的空间,而不能将其现定于现有认识范围的框架中;(3)加强法律的可执行性:需要建立对电子政务网络信息安全事故的快速反应的机制和执法队伍,并明确执法队伍的职责,以便依法管理和决策。

3提高信息安全管理水平

安全保障体系的高效运转依赖于安全管理体系的支撑,提高信息安全管理可以从体制建设和具体实施两个方面入手。体制建设方面,应应根根据据当当前前电电子子政政务务的的具具体体情情况况制制定定贯贯彻彻于于整整个个网网络络系系统统的的统统一一管管理理制制度度,,分分为为统统一一的的部部署署规规划划、、规规章章制制度度的的建建立立、、安安全全管管理理组组织织的的建建设设和工作人员安全意识的强化四个方面的内容;具体实施方面,主要包括风险评估、策略的制定、标准的执行、安全审计、应急响应和安全培训等方面的工作,其贯穿于信息系统的整个生命周期。

结语

本文首先分析了电子政务网络信息安全的技术特征,然后分别从技术、立法和管理三个方面对网络信息安全进行了深入的探讨,对电子政务网络信息安全管理有一定的参考意义。

电子政务中信息安全研究 篇3

关键词 电子政务 信息安全

中图分类号：C931 文献标识码：A

1电子政务中的信息安全

电子政务中的信息安全包括了信息的机密性、完整性、可信性、可控性、不可否认性等。我国立法把信息安全界定为“保障计算机及其相关的和配套的设备、设施（网络）的安全，运行环境的安全，保障信息安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全”。从这一法律规定看，计算机信息系统安全应当包括实体安全、信息安全、运行安全和人的安全。

20世纪90年代以来，信息技术革命在世界范围内加速推进，覆盖全球的信息网络系统逐步建立。信息网络系统已成为社会各个领域不可或缺的基础设施；然而，信息技术的发展和广泛应用，在给世界各国带来重大发展机遇的同时，也给国家安全带来了新的威胁与挑战——国家信息安全问题日渐突出。国家信息安全得不到保障，会使国家建设遭受毁灭性打击，并引发其他领域的不安全，可见，在信息技术广泛渗透于各个领域的条件下，信息安全在国家安全中占居战略地位，已经成为国家安全的基石。

一个国家的信息安全，实际是由两方面构成的。其一，为一个国家在信息安全方面采取的一系列组织措施及有关政策、法规；其二，为强有力的、切实可行的技术手段及有关技术装备。在信息安全中其地位举足轻重，尤其作为信息技术相对落后的我国如何调整信息安全战略，完善信息安全保障法律规范，不仅是提高信息安全保障能力的手段和方法，而且是提高信息安全技术的前提和保证。

2我国电子政务信息安全的目标及现状

2.1电子政务信息安全的目标

信息系统信息安全的宗旨是通过在实现信息系统时充分考虑到自身、伙伴和客户的信息风险，确保组织能够完成它的全部使命和目标。进而言之，电子政务系统信息安全的宗旨就是通过在实现信息系统时充分考虑信息风险，从而确保一个政府部门能够有效地完成法律所赋予的政府职能。电子政务信息安全必须实现以下目标：可用性目标，完整性目标，保密性目标，可记账性目标，保障性目标。

可用性目标是指确保电子政务系统有效率地运转并使授权用户得到所需信息服务。通常，可用性目标是电子政务系统的首要信息安全目标。完整性目标包括两个方面：数据完整性和系统完整性。通常，完整性目标是电子政务系统除了可用性目标之外最重要的信息安全目标。保密性目标是指不向非授权个人和部门暴露私有或者保密信息。通常，对于大多数电子政务系统而言，保密性目标在信息安全的重要程度排序中仅次于可用性目標和完整性目标。然而，对于某些特定的电子政务系统和数据，保密性目标是最重要的信息安全目标。可记账性目标是指电子政务系统能够如实记录一个实体的全部行为。通常，可记账性目标是政府部门的一种策略需求。可记账性目标可以为拒绝否认、威慑违规、隔离故障、检测和防止入侵、事后恢复和法律诉讼提供支持。保障性是电子政务系统信息安全的信任基。保障性目标突出了这样的事实：对于希望做到安全的信息系统而言，不仅需要提供预期的功能，而且需要保证不会发生非预期的行为。具体而言，保障性目标是指：提供并正确实现需要的电子政务功能；在用户或者软件无意中出现差错时，提供充分保护；在遭受恶意的系统穿透或者旁路时，提供充足防护。

2.2 我国电子政务中信息安全的现状

目前我国电子政务中的政府信息安全问题突出表现在：一是我国政府信息网络安全存在严重隐患。网络非常脆弱，各种安全隐患普遍存在。掌握了一定技术的人可以轻易获取网络服务器上的用户账号信息和口令文件，并可进入系统修改、删除重要数据文件。二是互联网上和针对计算机信息系统的违法犯罪活动日益增多。近年来，金融机构内部利用计算机犯罪案件大幅度上升；在互联网上泄露国家秘密的案件屡有发生。三是境内外黑客攻击破坏网络的问题十分严重。他们通常采用非法侵入重要信息系统，修改或破坏系统功能或数据等手段，造成数据丢失或系统瘫痪，给国家造成重大政治影响和经济损失。四是境内外敌对势力、敌对分子和非法组织利用互联网进行煽动、渗透、组织、联络等非法活动日趋突出。

3 我国电子政务中信息安全的保护对策

针对我国信息安全的现状，结合我国电子政务的实际，当前在政府信息安全的保护方面的当务之急是：

3.1尽快建立我国信息安全的保护体系

国家应该组建国家信息安全委员会。该组织负责组织和协调国家安全、公安、保密等职能部门，在信息化建设中信息安全的分工，对国家信息安全政策统一步调、统筹规划。

要建立我国信息安全的保护体系，必须尽快完善国家信息安全基础设施建设。目前就我国的信息产业无论是技术、管理还是生产规模、服务观念，都不具备力量在短时间内使国产信息产品占领国内的主要市场。自主的信息产业或信息产品国产化是信息安全的根本，国产化不等于绝对安全，而绝对安全却需要国产化。国家可集中人力、物力和给以政策，大力发展自主的专用芯片、自主的密码技术产品等，以确保关键部门的信息系统的安全。

3.2进一步完善我国信息安全保障的法律体系

虽然我国已颁布相当数量的信息安全方面的法律，但是目前我国立法层次不高，现行的有关信息安全的法律规范大多只是国务院制定的行政法规或国务院部委制定的行政规章；法律规定之间不统一；立法理念和立法技术相对滞后等，因此要进一步完善我国信息安全的法律保障体系。

第一、确立科学的信息安全法律保护理念。修正传统的立法理念，改变落后的调整方法，把信息安全法制保障的重点转移到信息化的建设与发展上来构筑适于信息网络安全实际需要的法治文化。第二、构建完备的信息安全法律体系。信息化的社会秩序主要由三个基础层面的内容所构成，即信息社会活动的公共需求，信息社会生活的基本支柱和信息社会所特有的社会关系。信息社会所特有的社会关系是指在国家信息化建设的过程中，参与其中的各个主体之间由于其信息化活动而产生的各种社会关系，具体将表现为相应的法律关系，国家信息化建设所应有的政策法律环境也就必然是由对应的指导政策、技术标准和法律规范等三项内容所共同构建的三位一体的且能够发挥促进、激励和规范作用的有机的体系。

3.3建立电子政务信息安全四大体系

电子政务的信息安全建设是在适当的信息安全保障体系和框架指导下进行的一项系统工程。这项工程包括密切关联的四大体系：安全管理体系、预警检测体系、安全防护体系和响应恢复体系，其中，安全管理体系是整个信息安全保障体系中最核心的组成部分，是贯穿其他三个体系的主线。建立健全安全管理体系，最重要的是针对电子政务的现有情况制定统一的行政管理制度，在整个网络系统中贯彻执行。入侵检测系统是目前最为主要的一个广泛应用的技术和管理手段。利用网络入侵检测系统，可以了解网络的运行状况和发生的安全事件，并根据安全事件来调整安全策略和防护手段，同时改进实时响应和事后恢复的有效性，为定期的安全评估和分析提供依据，从而提高网络安全的整体水平。安全防护体系包括防火墙、身份鉴别与认证、系统访问控制、网络审计等内容。响应恢复体系包括应急响应和业务连续性计划两个方面。电子政务信息系统已经成为电子政务业务的支撑平台。安全策略中必须具备应急响应手段，保证电子政务发生安全事故后，能够及时作出有效响应，采取合适的应急措施处理事故。

参考文献

[1] 岳建伟，刘生权，钟耳顺，姚敏，方利，张建平.电子政务系统协同式开发平台研究.《计算机工程》，2007.03.

[2] 常永新.我国电子政务中的信息安全休息安全问题分析.《人民论坛》，2011.14.

[3] 孔永红.基于知识协同的电子政务问题与对策研究.《电子商务》，2007.07.

电子政务信息安全和管理 篇4

一、电子政务顺利实施的核心问题

电子政务是一种全新的政府管理方式,是一个基于网络技术的综合性业务模式。建立电子政务系统参公众服务,必然要求这一系统必须是安全、可靠、抗灾难、可恢复的。计算机和计算机网络的共享、交互和快速为这种系统的建立提供了前提条件,互联网技术的迅速发展和广泛应用,又为电子政务系统不断走向开放互联提供了巨大推动力。随着电子政务信息化的不断发展,电子政务对于网络系统的依赖性越来越强,政务系统作为关系国计民生的重要部分,在安全方面尤为重要,而由于互联网的开放性和公共性带来的不安全因素,使信息安全问题成为保障电子政务顺利实施的核心问题。

二、电子政务信息安全面临的问题

电子政务网分为政务内网(涉密网)和政务外网(非涉密网),两网之间物理隔离,政务外网采取逻辑隔离与互联网联通。政府各部门大力推行的办公自动化、网络化、电子化、信息共享都以这些网络为支撑,以TCP/IPV4为传输协议,该协议为开放协议,从协议规划、服务模式、网络管理等方面均缺乏安全性设计,所以电子政务信息系统就存在着诸多的安全隐患。

1.网络安全规划的不到位,造成网络结构的不合理性。由于信息技术发展的历史原因和建设资金问题,我国电子政务网络的建设在规划上经常缺少前瞻性的安全规划,网络流量存在多个瓶颈, IP地址缺乏统一规划,广播流量可控性差,子网故障隔离性差,重要流量缺乏带宽管理和服务质量优先保证等一大堆问题。随着安全问题的不断出现,只能在运行过程中不停地修修补补。但是,这种修补只能解决暂时的问题,解决一个问题后,往往又有新问题出现。

2.关键核心技术还掌握,增加了我国基础信息网络和重要信息系统安全的隐患。我国对发达国家信息设备和信息技术存在很强的依赖性,信息化核心设备严重依赖国外,对引进技术和设备缺乏必要的信息管理和技术改造。尤其是在系统安全和安全协议的研究和应用方面与发达国家的差距很大。目前组成我国电子政务网络的计算机网络系统所用硬件、软件、操作系统、网管软件、各类应用系统、数据库、防火墙、网络接入设备、路由器、服务器基本上都是国外公司的产品,微机芯片都是INTEL系列,软件基本上是微软公司的产品,完全自主知识产权的产品基本没有。这些因素使我国的电子政务网络安全性能大大降低,我国的经济和社会发展面临着新的风险。

3.网络安全管理的混乱和规范化的管理制度相对滞后,造成很多管理安全漏洞。由于电子政务的网络是连接多个政务部门的广域网或城域网,需要各部门协调一致,共同维护整个网络平台的安全。但是,由于不同政府部门的信息技术人才和信息化水平的差异性,以及不同政府部门存在一些相关的利益和冲突,因此,很难做到安全管理的统一协调性,一旦发生安全事件,故障定位不准,追查事故源困难,责任问题牵扯不清,从而造成事件的破坏性后果更为严重。

4.安全意识淡薄。目前,在电子政务信息的安全问题上还存在不少认知盲区和制约因素。网络是新生事物,许多人一接触就忙着用于学习、工作和娱乐等,对网络信息的安全性无暇顾及,安全意识相当淡薄,对网络信息不安全的事实认识不足。与此同时,机关、事业单位注重的是网络效应,对安全领域的投入和管理远远不能满足安全防范的要求。总体上看,网络信息安全处于被动的封堵漏洞状态,从上到下普遍存在侥幸心理,没有形成主动防范、积极应对的全民意识,更无法从根本上提高网络监测、防护、响应、恢复和抗击能力。

三、电子政务信息安全措施

1.设备的物理安全。物理层的安全设计应从三个方面考虑:环境安全、设备安全、线路安全。采取的措施包括:机房屏蔽,电源接地,布线隐蔽,防雷。根据中央保密委有关文件规定,凡是计算机同时具有内网和外网的应用需求,必须采取网络安全隔离技术,在计算机终端安装隔离卡或安装安全网闸,使内网与外网之间从根本上实现物理隔离,防止涉密信息通过外网泄漏。

2.信息的加密。电子政务应用涵盖政府内部办公和面对公众的信息服务两大方面。就政府内部办公而言,电子政务系统涉及到部门与部门之间、上下级之间、地区与地区间的公文流转,这些公文的信息往往涉及不宜公开的和有密级的内容。因此,在信息传递过程中,必须采取适当的加密方法对信息进行加密。可采用多种加密方式:a.基于IPsec的加密方式正被广泛采用,其优点显而易见:IPsec对应用系统透明且具有极强的安全性,这一点对于要开发庞大应用的电子政务来说,就显得极有好处了,应用系统开发商不必为数据传输过程中的加密做过多的考虑,易于部署和维护。b.采用VPN技术在公共数据网上进行内部信息的安全传输。其优点是只增加端设备避免了重复建设。c.采用公钥基础设施技术(PKI)为基础,以数据机密性、完整性、身份认证和行为的不可否认为安全目的为电子政务提供安全支持。

3.操作系统的安全性。网络安全的重要基础之一是安全的操作系统,因为所有的政务应用和安全措施都依赖操作系统提供底层支持。操作系统的漏洞或配置不当将有可能导致整个安全体系的崩溃。更危险的是,我们无法保证国外厂家的操作系统产品不存在后门。在操作系统安全方面,有两点是值得考虑的:一是采用具有自主知识产权且源代码对政府公开的产品;二是利用漏洞扫描工具定期检查系统漏洞和配置更改情况,及时发现问题。

4.数据备份与容灾。任何的安全措施都无法保证数据万无一失,硬件故障、自然灾害以及未知病毒的感染都有可能导致政府重要数据的丢失。因此,在电子政务安全体系中必须包括数据的容灾与备份,并且最好是异地备份。

5.管理制度的完善。电子政务网络内部安全和外部安全一样重要,内部安全除了需要体系化的安全防御策略,还需要严格的、可操作性强的安全管理制度。制度的制订首先要规范,其次要强调制度的强制性、法规约束力和可操作性,同时进行安全宣传教育,增强安全意识的培养和信息安全知识的普及这样才能保证制度的真正贯彻和执行加强。

论文：电子政务信息安全研究 篇5

2003-11-17 15:05

摘要

我国电子政务信息安全风险主要存在于观念、技术、管理和法律方面。要强化电子政务环境下公务员的信息安全意识，建立电子政务信息安全管理机构，完善信息安全基础设施和扶持国有信息安全产业的发展。

1电子政务信息安全的内涵

电子政务是政府管理方式的革命，它是运用信息以及通信技术打破行政机关的组织界限，构建一个电子化的虚拟机关，使公众摆脱传统的层层关卡以及书面审核的作业方式，并依据人们的需求、人们可以获取的方式、人们要求的时间及地点等，高效快捷地向人们提供各种不同的服务选择。政府机关之间以及政府与社会各界之间也经由各种电子化渠道进行相互沟通。电子政务的建立将使政府成为一个更符合环保精神的政府，一个更开放透明的政府，一个更有效率的政府，一个更廉洁勤政的政府。然而，电子政务的职能与优势得以实现的一个根本前提是信息安全的有效保障。因为电子政务信息网络上有相当多的政府公文在流转，其中不乏重要信息，内部网络上有着大量高度机密的数据和信息，直接涉及政府的核心政务，它关系到政府部门、各大系统乃至整个国家的利益，有的甚至涉及国家安全。如果电子政务信息安全得不到保障，电子政务的便利与效率便无从保证，对国家利益将带来严重威胁。电子政务信息安全是制约电子政务建设与发展的首要问题和核心问题。

电子政务的信息安全可以理解为：

(1)从信息的层次看，包括信息的完整性(保证信息的来源、去向、内容真实无误)、保密性(保证信息不会被非法泄露扩散)、不可否认性(保证信息的发送和接收者无法否认自己所做过的操作行为)等。

(2)从网络层次看，包括可靠性(保证网络和信息系统随时可用，运行过程中不出现故障，遇意外事故能够尽量减少损失并尽早恢复正常)、可控性(保证营运者对网络和信息系统有足够的控制和管理能力)、互操作性(保证协议和系统能够互相联接)、可计算性(保证准确跟踪实体运行达到审计和识别的目的)等。

(3)从设备层次看，包括质量保证、设备备份、物理安全等。

(4)从管理层次看，包括人员可靠、规章制度完整等。

2电子政务信息安全风险分析

现阶段，我国电子政务信息安全系数比较低。公安部1998年8月在江苏、上海、广东等省(市)对169信息网进行检测，发现其设防能力十分脆弱，难以抵御任何方式的电子攻击。电子政务信息安全风险主要存在4个方面。

2．1观念方面

著名信息安全专家、中国工程院院士沈昌祥从国家安全利益出发，提出应把信息系统安全建设提高到研制“两弹一星”的高度去认识。1999年政府上网工程启动以来，政府部门越来越重视网络系统建设，看重网络带来的便利与高效，但是有些地方对信息安全工作未引起足够重视。据估计，我国在网络工程中网络安全的投入费用不到2％，同国外的10％相比有较大差距。现阶段，电子政务网络的开放程度不高，一些机密信息目前还没有上网，再加之公众对计算机犯罪的态度较为“宽容”，认为并没有造成直接的人员财产损失，这都使得公务员和普通大众对信息安全问题关注不够，信息安全意识淡薄。

2.2技术方面

(1)计算机系统本身的脆弱性，使得它无法抵御自然灾害的破坏，也难以避免偶然无意造成的危害。如：洪水、火灾、地震的破坏，系统所处环境的影响(温湿度、磁场、碰撞、污染等)，硬件设备故障，突然断电或电压不稳定及各种误操作等。这些危害会损害操作系统设备，有时会丢失或破坏数据，甚至毁掉整个系统。

(2)网络本身存在缺陷。首先，软件本身缺乏安全性。操作系统的设计一般着重于提高信息处理的能力和效率，对于安全只是作为一项附带的条件加以考虑。因此，操作系统中的安全缺陷相当多。其次，通信与网络设备本身有弱点。绝大多数电子政务信息网络运行的是TCP／IP，NetBEUI，IPX／SPX等网络协议，而这些网络协议并非专为安全通讯而设计。利用这些网络进行服务，本身就可能存在多方面的威胁，加之使用者信息安全意识淡薄，管理者管理措施不力等原因，会造成一些常见的安全问题：对物理通路的干扰；网络链路传送的数据被窃听；非授权用户非法使用，信息被拦截或监听；操作系统存在的网络安全漏洞；应用平台的安全，如数据库服务器、电子邮件服务器等均存在大量的安全隐患，很容易受到病毒、黑客攻击；直接面向用户的应用系统存在的信息泄露、信息篡改、信息抵赖、信息假冒等。再次，目前世界上还缺乏统一的操作系统、计算机网络系统和数据库管理系统，缺乏统一的信息安全标准、密码算法和协议，因而无法进行严格的安全确认。

(3)我国具有自主知识产权的信息设备、技术、产品较少，如计算机芯片、骨干路由器和微机主板等基本上从国外进口，且对引进技术和设备缺乏必要的技术改造，尤其是在系统安全和安全协议的研究和应用方面。而美欧等发达国家对我国限制和封锁信息安全高密度产品，出口到我国的信息产品中留有安全隐患。例如，美国出口我国的计算机系统的安全系统只有C2级，是美国国防部规定的8个安全级别之中的倒数第三；在操作系统、数据库管理系统或应用程序中预先安置从事情报收集、受控激发破坏的“特洛伊木马”程序，一旦发生重大情况，那些隐藏在软件中的“特洛伊木马”就能够在某种秘密指令下激活，造成我国电子政务关键软件系统的瘫痪。

2．3管理方面

对现有的网络攻击和入侵事件的一项统计报告显示：国外政府入侵的安全风险指数为21％，黑客入侵的安全风险指数为48％，竞争对手入侵的安全风险指数为72％，组织内部不满雇员入侵的安全风险指数为89％。这说明，电子政务信息安全不是单纯的技术问题。如果没有从管理制度、人员和技术上建立相应的电子化业务安全防范机制，缺乏行之有效的安全检查保护措施，再好的技术和设备都无法确保其信息安全。管理上的漏洞，例如，机房重地随意进出，微机或工作站管理人员在开机状态下擅离岗位，敏感信息临时存放在本地的磁盘上，这些信息处于未保护状态，都会为外部入侵，更为内部破坏埋下隐患。其中，来自内部的安全威胁可能会更大，因为内部人员了解内部的网络、主机和应用系统的结构；能够知道内部网络和系统管理员的工作规律，甚至自己就是管理员；拥有系统的一定的访问权限，可以轻易地绕过许多访问控制机制；在内部系统进行网络刺探、尝试登录、破解密码等都相对容易。如果内部人员为了报复或销毁某些记录而突然发难，在系统中植入病毒或改变某些程序设置，就有可能造成损失。内部人员的破坏活动也并不局限于破坏计算机系统，还包括越权处理公务、窃取国家机密数据等。

2．4法律方面

黑客攻击、病毒入侵等网络犯罪的日益增多与网络信息安全法制不健全和对网络犯罪的惩治不力密不可分。一方面，我国已经出台了一系列与网络信息安全有关的法律法规，例如：《计算机软件保护条例》(1992年)、《中华人民共和国计算机信息系统安全保护条例》(1994年)、《警察法》(1995年)、《公安部关于对国际联网的计算机信息系统进行备案工作的通知》(1996年)、《中华人民共和国信息网络国际联网管理暂行规定》(1997年)、《计算机信息网络国际联网安全保护管理办法》(1997年)，《商用密码管理条例》(1999年)、《计算机信息系统国际联网保密管理规定》(2002年)等。此外，1997年3月颁布的新《刑法》第285条、第286条、第287条，对非法侵入计算机信息系统罪、破坏计算机信息系统罪，以及利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家机密等犯罪行为，作出了规定。尽管这些法律法规的出台和实施对于我国网络信息的安全起到相当积极的作用，但仍难以适应网络发展的需要，信息安全立法还存在相当多的盲区。

另一方面，已颁布实施的法律法规不仅规定了出入口制度和市场准入制度，确定了网络信息安全管理机构，阐明了安全责任，而且明确了法律责任，对于危害网络信息安全的个人和单位，规定了经济处罚、行政处罚和刑事处罚等三大类型。但是由于网络犯罪的隐蔽性和高科技性，给侦破和审理带来了极大困难，再加上其他原因，导致执法部门的打击力度有限，在法律的执行上还有不到位之处，一些违法情况及当事人还未得到及时处理和制裁。

3电子政务信息安全的防范策略

3．1强化电子政务环境下公务员的信息安全意识

所谓的信息安全意识，是指公务员对电子政务中信息安全问题主要表现与危害以及保证政府信息安全的意义的正确认识，发现电子政务中影响信息安全的现象和行为的敏锐性，维护电子政务信息安全的主动性。强化公务员的信息安全意识就是要让公务员认识到电子政务信息安全是电子政务正常而高效运转的基础，是保障国家信息安全甚至国家安全的重要前提，从而牢固树立信息安全第一的思想。我国各级政府部门要利用多种途径对公务员进行电子政务信息安全方面的教育。一是通过大众传播媒介，增强公务员信息安全意识，普及信息安全知识。二是积极组织各种专题讲座和培训班，培养信息安全人才，并确保防范手段和技术措施的先进性和主动性。三是要积极开展安全策略研究，明确安全责任，增强公务员的责任心。

3.2建立电子政务信息安全管理机构

首先，政府部门要严格按照《中华人民共和国计算机信息系统安全保护条例》和《计算机信息网络安全保护管理办法》的规定，在国家安全部，国家保密局，国务院有关部门及各省、市、自治区公安厅(局)，地(市)、县(市)公安局负责计算机网络信息系统安全保护的行政管理下，建立本单位、本部门、本系统的组织领导管理机构，明确领导及工作人员责任，制定管理岗位责任制及有关措施，严格内部安全管理机制，并对破坏电子政务信息安全的事件进行调查和处理，确保网络信息的安全。

其次，要完善“网上警察”队伍建设，加大监视和打击网络犯罪活动的力度。我国于1983年成立了公安部计算机管理和监察局，1985年全国人大通过了《警察法》，其目的就是“监督计算机信息系统安全保护工作”。1998年又成立了公安部公共信息网络安全监察局，并逐步形成了一支“网上警察”。当前，公安部门的首要任务是吸纳高级信息安全人才充实到网上警察队伍，提高网上警察的快速反应能力、侦察与追踪水平等。

3．3完善我国信息安全基础设施

当前迫切需要建立的国家信息安全基础设施包括：国际出入口监控中心、安全产品评测认证中心、病毒检测和防治中心、关键网络系统灾难恢复中心、系统攻击和反攻击中心、电子保密标签监管中心、网络安全紧急处置中心、电子交易证书授权中心、密钥恢复监管中心、公钥基础设施与监管中心、信息战防御研究中心等。

3．4倾力扶持国有信息安全产业的发展

自主的信息产业或信息产品国产化是保证电子政务信息安全的根本。信息安全技术、产品受制于他国是对国家安全利益的极大威胁。国家应对国有信息安全产业的发展予以充分的政策和财政支持。当前，应在以下3种技术上求得突破：一是能逐步改善信息安全状况、带有普遍性的关键技术，如密码技术、鉴别技术、病毒防御技术、入侵检测技术等；二是创新性强、可发挥杠杆作用的突破性技术，如网络侦察技术、信息监测技术、风险管理技术、测试评估技术和TEMPEST技术等；三是能形成“撒手锏”的战略性技术，如操作系统、密码专用芯片和安全处理器等。还要狠抓技术及系统的综合集成，以确保电子政务信息系统的安全可靠。令人可喜的是，2002年8月19日由我国自主开发的高性能通用芯片“龙芯1”运行成功，这是我国信息安全产业发展史上具有里程碑意义的事件。

3．5健全法律，严格执法

法律是保障电子政务信息安全的最有力手段，发达国家已经在政府信息安全立法方面积累了成功经验，如美国的《情报自由法》和《阳光下的政府法》、英国的《官方信息保护法》、俄罗斯的《联邦信息、信息化和信息保护法》等。我国立法部门应加快立法进程，吸取和借鉴国外网络信息安全立法的先进经验，尽快制定和颁布个人隐私保护法、数据库振兴法、信息网络安全性法规、预防和打击计算机犯罪法规、数字签名认证法、电子凭证(票据)法、网上知识产权法等，以完善我国的网络信息安全法律体系，使电子政务信息安全管理走上法制化轨道。另外，执法部门还要进一步严格执法，提高执法水平，确保各项法律法规落到实处。对于各种违法犯罪情况要严加追究，绝不姑息，对于各种隐患要及时加以预防和制止。

参考文献

黄志澄．电子政务的内涵及发展．中国信息导报，2002(4)

杨义先，林晓东，邢育森．信息安全综论．电信科学，1997(12)

3，5，7，冯杰，李会欣．我国电子政府安全运行分析．新视野，2002(5)

4，8

崔丽，沈昌祥．国家安全概念：对信息系统的安全应从“两弹一星”的高度去认识．中国青年报，1999-06-18

尹秀莲，于跃武．电子政务与网络信息安全．内蒙古科技与经济，2002(2)

9，10

汤志伟．电子政府的信息网络安全及防范对策．电子科技大学学报(社科版)，2002(1)

娄策群．保障电子政府信息安全的政策选择．情报科学，2002(5)

杨海平．网络信息安全研究．情报科学，2000(10)

蒋坡．国际信息政策法律比较．北京：法律出版社，2001

作者：武汉大学信息管理学院2001级硕士研究生

论文：电子政务信息安全研究 篇6

福建林业电子政务信息网络构建及安全保障体系探析

从福建林业信息现状出发,围绕信息化核心工程--电子政务信息网络的构建,提出了以层次化为结构的信息网络建设和具体实现的思路,并对林业网络系统安全保障的体系进行探析.

作 者：李欣 Li Xin  作者单位：福建省林业信息中心,福建,福州,350003 刊 名：林业勘察设计 英文刊名：FORESTRY PROSPECT AND DESIGN 年，卷(期)：2009 “”(1) 分类号：S7 关键词：林业电子政务   信息网络   安全保障  

电子政务的信息安全管理研究 篇7

电子政务, 是指政府机构应用现代信息技术, 将管理和服务通过网络进行集成应用, 在网络上实现政府机构的工作流程, 全方位地向社会提供优质、规范、透明的管理和服务。电子政务的出现, 对传统政府管理方式的变革产生了重要影响。但随着我国电子政务的发展, 信息安全问题已表现得越来越突出, 甚至危及到国家的政治和经济安全。我们必须正视这一问题, 采取切实可行的措施, 促使我国政府管理方式朝着优化的方向健康顺利地发展。

二、信息安全是电子政务运行的重要基础

(一) 电子政务安全分析。

电子政务的物质基础是计算机和网络技术。在实施电子政务之后, 意味着政府信息将对外公开。政务活动不同于其他活动, 电子政务网络上有相当多的政府公文在流转, 其中不乏重要情报, 内部网络上有着大量高度机密的数据和信息, 直接涉及各级政府以及部委的核心政务, 有的甚至涉及国家安全, 如果电子政府信息网络的安全得不到保证, 那么将会给国家、社会带来严重威胁, 可能造成政治、经济等各方面巨大的损失。目前电子政务系统面对的主要安全问题包括: (1) 外部非法侵入; (2) 外部黑客攻击破坏; (3) 内部非法侵入, 包括非法窃取信息、破坏数据、植入病毒、破坏软件程序等; (4) 内外勾结进行非法活动, 包括越权操作窃取机密数据或恶意破坏等。

(二) 电子政务信息安全体系框架。

政府机关必须保证数据和资料的完整性。电子政务需要先进而可靠的安全保障, 这是所有电子政务系统都必须妥善解决的一个关键问题。电子政务安全作为一个完整的安全体系通常应包括技术、管理、组织三方面的内容。它包括以下几个方面的安全防范:访问控制、安全漏洞检查、攻击监控、加密通讯、认证体制、备份和恢复体制及多层防御体系等并设立安全监控中心, 为信息系统提供安全体系的管理、监控、维护及紧急服务。

三、电子政务信息安全存在的问题

目前, 国内电子政务建设信息安全存在的问题主要是: (1) 国内外客户和安全产品公司面临着具有新趋势、新的入侵方式和扩散方式的攻击, 综合性的攻击, 或者是攻击中的攻击; (2) 安全产品公司只提供一个或两、三个安全产品; (3) 大多数客户信息安全方面仅依赖于一个或两、三个安全产品或安全大门; (4) 客户的安全防范既不能防止外部的非法入侵者, 又不能监控内部的破坏者; (5) 客户的安全只防黑客不防病毒, 或者是只防病毒不防黑客; (6) 客户防病毒防护只在客户端上, 而不在文件服务器上或邮件服务器上; (7) 客户防病毒只在一些客户端上, 而不能防止病毒在全企业范围内爆发; (8) 客户只能消极的发现黑客攻击的后果, 而不能主动的、智能的对黑客进行反攻击; (9) 客户只能采用分散的、不可集中管理的安全产品, 而不能采用全面的、集中的安全管理平台。

四、我国电子政务信息安全问题的成因

(一) 客观原因。

长期以来, 我国的信息技术和信息产业一直处于相对落后的状态, 电子政务建设需要的大量基础设备一直需要从国外引进, 而引进设备中的核心芯片和系统、内核逻辑编程都掌握在他人之手。从网络安全技术上讲, 进口的网络安全产品距真正的安全还很远。由于发达国家对网络安全技术和产品的出口有着严格的限制, 因此我们所获得的进口技术, 难以真正保障安全。如美国微软的Windows操作系统留有可供美国国家安全局随意出入的“后门”, 英特尔奔腾三代处理器上的序列号也被发现是网上信息安全的隐患。这样一来, 用户一旦上网, 他的行踪将被一览无余。由于信息技术的核心秘密掌握在少数发达国家手中, 这就为他们牟取私利或侵害他国利益提供了便利条件。这种状况若不能彻底改变, 将无法保证我们对网络的安全利用和有效监控。因此, 后发展国家如何适应新形势, 维护自身主权和安全不受侵犯, 将是其在网络时代亟待解决的重要课题。对于我国来说, 要彻底解决信息安全问题必须走自主发展的道路。

(二) 主观原因。

大部分网络安全问题是因信息安全人才匮乏、管理人员的素质低下、缺乏必要的安全知识造成的。一方面, 我国现有的信息安全专业人才储备不足, 除了军队、公安等部门对高级网络安全人才的需要外, 政府、企业也需要大量的信息安全方面的人才。显然, 这样少的人数与我国互联网产业特别是电子政务的健康发展是不相适应的。另一方面, 网络时代要求人们必须拥有较高的网络素质, 去应用网络和建设网络, 但目前我们公务员中的绝大部分仍然不具备这种素质。据测试, 国内很大一部分网站都能被黑掉, 有些站点可以说是轻而易举就能被黑掉。为此, 提高网络管理技术人员的技术水平, 增强政府机关工作人员的信息安全与防范意识, 就成了当务之急。同时, 也需要建立一套信息资源管理制度, 加强网络安全管理, 特别是要将政府内部网和因特网从物理上隔绝开来。

五、电子政务信息安全的对策措施

电子政务的信息安全主要涉及到政策法律问题、技术问题和管理问题。当前应从以下几个方面采取对策措施。

(一) 通过立法, 制订明确而详尽的信息发布的法律法规。

为了促进本国电子政务建设, 世界主要发达国家都先后出台了一系列旨在促进电子政务发展的法律法规。在美国有《政府纸张消除法案》, 要求联邦和各州政府部门呈交的表格必须使用电子方式;在德国有《数据保护法》和《电子签名法》;在韩国, 已经形成了较为完善的电子政务法律体系。我国已经制定了《政务信息公开条例 (草案) 》和《电子签章条例 (草案) 》。《政务信息公开条例 (草案) 》规定了信息可以公开的范围、程序、公众了解政务信息的权利以及违反该条例应当承担的法律责任等内容。《电子签章条例 (草案) 》则首次确立了电子文件和电子签章的法律效力, 为政府文件和重要政务信息的网络传输提供了法律依据。今后还应当进行政府信息共享法律、政务信息安全法规、电子政务项目管理制度、政府信息维护制度的研究制定工作。特别是要尽快用法律条文明确规定:公务员不得在政府的网站或者在政府的“喉舌”网站上发布那些涉及党和国家的政治、军事、外交、经济、文化的核心秘密。科学技术、国防工业中独创性的尖端秘密, 具有重大经济利益的种植、地质资源、医药卫生、传统工艺、技术诀窍、原料配方以及其他属于保密范围的核心秘密, 一定时间内需要绝对保密的事项等也不得发布。对于擅自在网上发布上述事项, 并且对国家安全和利益造成严重损害的公务员, 要视其情节轻重, 给予具体的行政法律处罚或刑事法律处罚, 以此来约束公务员网上发布信息的行为, 使之懂得政府的哪些信息可以向社会公众公布, 哪些信息是要保密或者暂时需要保密的。

(二) 加强培训, 使公务员适应网络时代“电子政府”的要求。

提高公务员网络素质, 对保障信息安全极为重要。培养和提高政府工作人员的网络素质可从三个层次上着手进行。一是决策层的培养。电子政务不是现有政务活动及工作流程的简单翻版, 而是利用、依托现代信息技术, 对政府工作方式和运作模式进行的创新和再造, 是一场变革, 主要是知识的更新、观念的转化和决策能力的提升。二是业务主管层的培养。这是一个承上启下的重要枢纽。这类人才应当是复合型人才, 一方面他们是行政管理的政务“行家”;另一方面又是信息技术的电子“里手”, 不仅熟悉机关的运作, 而且熟知IT界的路数。三是应用层的培养。这包括国家机关公务员的信息化意识和具体实用技能的培训以及企业、公民的信息化素质的提高。现在许多地方都已经开展了这方面的工作。另外, 使用电子邮箱传递政务资料时的信息保密技术, 在培训过程中需要充分强调。公务员要注意使用专门的电子政务邮箱, 电子政务邮箱要求有极高的信息私密性和政治安全性, 对网站运营方面的要求较高。

六、结语

网络安全最重要的还是要在思想上高度重视, 电子政务的网络安全还需要用完备的安全制度来保障。建立和实施严密的计算机网络安全制度与策略是真正实现网络安全的基础。电子政务是一项复杂的系统工程, 其安全建设要综合考虑, 长远规划, 保证技术的先进性和可扩展性。在技术上要适应网络动态变化, 建立自适应的安全保障体系。同时要求有相关法律来保障和加强安全管理。特别是增强人的安全防范意识, 要求从国家安全、社会稳定的高度认识电子政务的重要性, 以适应我国政府信息化事业的发展。

参考文献

[1].冯登国.公开密钥基础设施-概念、标准和实施[M].北京:清华大学出版社, 2001:145~160

[2].陈运, 龚雄裹.信息战与信息安全[J].数据通信, 2000, 3;34~36

[3].杨义先.网络信息安全与保密[M].北京:邮电大学出版社, 1999

[4].杨波.网络安全理论与应用[M].北京:电子工业出版社, 2004:145~160

电子档案信息安全管理研究 篇8

关键词：电子档案；信息安全；保障措施

1.问题的提出

当前，很多单位缺乏对电子档案信息安全管理的知识和技术，难以保证电子档案的安全、可靠的状态。因此，电子档案迫切需要解决信息安全的问题。电子档案源自电子文件，它是在计算机中产生的文字、图形、声音、影像等多种信息，将其进行数字化集合，使其具有归档保存、备查、凭证作用。各单位应保障电子档案原始性、真实性、可靠性,构建完善的信息安全保障体系[1]。

2.电子档案信息管理存在的安全问题

2.1 物理安全问题

电子档案的存放环境影响着电子档案信息管理存在的安全。例如：存在环境的温度、湿度、以及防盗、防毁、防磁能力。要保证电子档案的计算机系统不受自然灾害和人为破坏。电子档案的信息安全首先要解决物理安全，通常可以采取对传导发射的防护和对辐射的防护两种措施，来保证电子档案的物理安全。

2.2 软件安全问题

电子档案信息安全需要软件安全，才能使电子档案正常运行流转。电子档案的运行软件应满足技术要求，能够实现严格的权限控制，保障合法用户可以对电子档案进行创建、归档、利用，避免非法用户的访问和非法拷贝的问题。

2.3 数据安全问题

电子档案信息安全最重要的就是数据安全，这样才能保证电子档案信息的完整、有效，避免被修改、泄露等。为此，应对电子数据进行备份，确保数据的安全。通过在线备份管理的方式，并根据实际情况采取近线存储与离线存储结合的方式进行数据备份。而电子档案在变化的软硬件环境中，会出现电子文件不能被识别读取的安全隐患，这就需要对软硬件环境进行备份，或者对备份的数据进行“数据转换”操作。对电子档案进行备份介质的选择上，可以选择光盘、磁带、闪存盘和缩微胶片[2]。电子档案的备份可以按时间段、项目等进行分类备份。与此同时，还应根据档案数据的安全管理级别设置权限的安全管理，以对应不同类型的访问用户。

2.4 网络安全问题

电子档案的计算机网络及其节点可能受到威胁和网络的脆弱性的安全问题。因此，有必要保证计算机网络的安全，这样才能为用户的异地使用电子档案信息保障网络的畅通安全，实现有效地利用电子档案信息。网络安全问题的解决一般采取物理隔离、应用防火墙以及身份认证等安全技术，而防火墙技术成为最佳的同外网隔离与访问控制的措施。

3.电子档案信息安全管理的保障措施

3.1 增强安全意识

电子档案的使用单位和操作人员应创新服务形式，提高安全意识。各单位应积极进行电子档案的资源共享，建立电子档案的共享联盟，通过计算机网络技术，为各类用户提供安全、优质的信息服务，包括网上档案信息查阅，咨询服务。单位应对电子档案管理者进行培训，提高档案信息服务的质量和效率；增强他们的安全意识、保密意识，以及工作责任心。

3.2 基础设施和应用系统建设

各单位应加强电子档案的基础设施和应用系统建设，为社会用户的电子档案使用创造广阔的交流渠道和途径。这些基础设施应是智能化、综合性的电子档案馆，能够对盗窃、水灾、火灾实现控制的安防系统；电子档案信息管理平台优化电子档案信息管理系统。推行电子档案的管理标准，各单位还应推行电子档案的管理标准，完善电子档案操作的规范体系，使电子档案管理实现权责分明、集中管理、定期检测、定期维护、以及技术风险评估制度[3]。

3.3 技术的不断升级

电子档案信息安全管理技术应不断进行升级，目前最通行的几种升级手段包括[4]：第一， 签署技术。电子档案的签署能够保证该份文件的原创性。电子档案的签署技术一般包括证书式数字签名和手写式数字签名。第二，加密技术。这样可以确保电子档案内容的非公开性。这种技术采用的是双密钥码进行加密，防止第三者解密原文件。第三，身份验证。通过对用户进行身份验证,可将非法用户拒之系统之外。第四，防火墙。它是一种访问控制技术, 控制进、出两个方向的通信，使被保护网络的信息和结构不受侵犯。第五，防写措施。用户只能从计算机上读取信息,不能追加或擦除信息,保持电子档案的原始性和真实性。通过以上措施，可以加强计算机网络的安全性，防止病毒和黑客的攻击，确保电子档案信息不被非法访问，以及篡改、和毁坏，从而有效保障电子档案信息的安全。

3.4 营造良好的电子档案存放环境

首先，要保证电子档案载体的物理安全。通常情况下，电子档案存储在磁、光介质上, 这样就必须创造一个适合于磁、光介质保存的温湿度环境。电子档案存放环境要求温度在14 ~24摄氏度之间。这样的温度可以防止电子档案的介质变脆,避免老化。电子档案的环境湿度应在40%~60%之间。这样的湿度可以防止磁带、磁盘的膨胀与变形,避免变脆易碎。电子档案存放的载体应直立排放,避光、防尘、防变形, 同时要远离强磁场和有害气体。其次，确保电子档案内容具有严谨的逻辑。电子档案采用最新技术与方法，尽量保持内容格式编排上的一致。电子档案所依赖的技术及数据结构和相关定义参数进行保存, 并可以采用先进技术加以转换。再次，要保证电子档案的原始性。电子档案以原始形成的格式进行还原显示。要求保存电子档案的相关支持软件和整个应用系统进行妥善保管，这样就能够使电子档案按原始的面目进行显示；或者保存原始档案的电子图像；或者保存电子档案的打印输出件或制成缩微品。保存的电子档案应容易理解。保存电子档案的内容应尽量避免被人不完全理解。因此，为了使电子档案便于理解，在保存电子档案时，应保存与档案内容相关的信息，例如: 元数据、物理结构与逻辑结构的关系，电子档案名称、存储位置；与电子档案内容相关的背景信息等。最后，单位应对电子档案载体定期进行有效的检测与维护。电子档案载体受到环境的不良影响,应定期检测保存的电子档案载体，及时处理存在的问题，保证电子档案的安全性。在对电子档案定期检测,应考虑时间和成本的问题，应采用随机抽样的检测方式，保证样品数量高于10%，检测的过程应注意电子档案载体的外观, 查看其是否有损坏或变形,有无霉斑等；在对其进行逻辑检测, 应使用专业检测软件进行读写校验，在遇到出错的载体,应及时进行修正。要保证检测的操作规范，不能出现人为损坏。

3.5 构建电子档案安全体系

各单位应构建电子档案安全体系，促进电子档案的高效和安全使用，安全体系提供的保障包括系统安全性和信息安全性。这些防范措施可以防止非法用户的侵入，保证用户的权限操作，促进电子档案长期稳定的状态。构建电子档案安全体系应从以下几方面着手：

第一，应确保网络传输安全。这能够保证电子文件在网络上传输的安全性，确保用户在线阅读电子文件的安全。

第二，加强电子档案的信息存储安全。采用电子文件的加解密、电子文件的防篡改技术保证电子文件的原始真实性。

第三，加强操作系统的安全性。单位建立服务器操作系统的安全维护、升级、服务器系统打补丁的工作。

第四，建立安全检测系统，包括安装杀毒软件、防火墙、升级。

第五，加强应用系统安全建设。其内容应包括安全登陆、资源访问安全，确保电子档案应用系统的安全。

第六，加强电子档案系统安全审计。单位应建立电子档案系统的安全审计功能，建立电子档案使用和操作的审计日志，并定期进行审计，及时发现系统安全隐患。单位构建电子档案安全体系，不但应用先进的技术保护措施，而且还应执行科学规范的管理制度，确保电子档案的安全。

参考文献

[1] 杨安莲.论电子文件信息安全保障体系的构建[J]. 上海档案, 2010, 7

[2] 王秀华，霍东方.电子档案信息安全管理和技术措施[J]. 河北大学学报(哲学社会科学版), 2002, 2

[3] 胡雪飞.电子档案信息安全管理初探[J]. 机电兵船档案, 2010,4