一、電子政務中信息安全的幾個基本問題

　　（一）信息安全的內(nèi)涵

　　信息安全是指一個國家的社會信息化狀態(tài)不受外來的威脅與侵害；一個國家的信息技術體系不受外來的威脅與侵害。電子政務中的信息安全包括了信息的機密性、完整性、可信性、可控性、不可否認性等。我國立法把信息安全界定為“保障計算機及其相關的和配套的設備、設施（網(wǎng)絡）的安全，運行環(huán)境的安全，保障信息安全，保障計算機功能的正常發(fā)揮，以維護計算機信息系統(tǒng)的安全”。從這一法律規(guī)定看，計算機信息系統(tǒng)安全應當包括實體安全、信息安全、運行安全和人的安全。其中，人的安全主要是指計算機使用人員的安全意識、法律意識、安全技能等；實體安全是指保護計算機設備、設施（含網(wǎng)絡）以及其他媒體免遭自然和人為破壞的措施、過程。實體安全包括環(huán)境安全、設備安全和媒體安全三個方面；計算機信息系統(tǒng)的運行安全包括：系統(tǒng)風險管理、審計跟蹤、備份與恢復、應急四個方面的內(nèi)容。所謂計算機信息系統(tǒng)的信息安全是指防止信息被故意的或偶然的非法授權(quán)泄漏、更改、破壞或使信息被非法系統(tǒng)辨識、控制，即確保信息的保密性、完整性、可用性、可控性。針對計算機信息系統(tǒng)中信息存在形式和運行特點，信息安全包括操作系統(tǒng)安全、數(shù)據(jù)庫安全、網(wǎng)絡安全、病毒保護、訪問控制、加密與鑒別七個方面。

　?。ǘ┬畔踩趪野踩械牡匚?/p>

　　電子政務中政府信息安全實質(zhì)是由于計算機信息系統(tǒng)作為國家政務的載體和工具，而引發(fā)的信息安全。信息安全成為當前政府信息化中的關鍵問題。安全問題是電子政務建設中的重中之重。電子政務中的政府信息安全是國家安全的重要內(nèi)容，是保障國家信息安全所不可忽缺的組成部分。

　　信息安全涉及到政治、經(jīng)濟、軍事、文化等方方面面，由于互聯(lián)網(wǎng)發(fā)展在地域上極不平衡，信息強國對于信息弱國已經(jīng)形成了戰(zhàn)略上的“信息位勢差”，居于信息低位勢的國家的政治安全、經(jīng)濟安全、軍事安全乃至民族文化傳統(tǒng)都將面臨前所未有的沖擊、挑戰(zhàn)和威脅，互聯(lián)網(wǎng)成為超級大國謀求跨世紀戰(zhàn)略優(yōu)勢的工具?！靶畔⒔颉辈皇且詡鹘y(tǒng)的地緣、領土、領空、領海來劃分，而是以帶有政治影響力的信息輻射空間來劃分?！靶畔⒔颉钡拇笮?、“信息邊界”的安全，關系到一個民族、一個國家在信息時代的興衰存亡。在知識經(jīng)濟時代，一個國家的信息獲取能力以及在社會生產(chǎn)生活領域中的“信息制控權(quán)”，將成為這個國家在新世紀的生存與發(fā)展競爭中能否占據(jù)主動的關鍵。

　　（三）我國所面臨的信息安全威脅

　　我國信息技術和信息產(chǎn)業(yè)的發(fā)展與技術先進國家相比“西強我弱”是事實，西方敵對勢力利用一切機會威脅我國家安全也是事實。在意識形態(tài)領域，電子媒介成為國際意識形態(tài)斗爭的主導工具；某些西方大國利用信息及信息傳輸技術優(yōu)勢，妨礙、限制、壓制和破壞其他國家對信息的自由運用，甚至利用信息把本國的價值觀念、意識形態(tài)強加于別國頭上，以謀求政治軍事手段難以得到的霸權(quán)利益。它們利用在信息領域的主宰地位，通過互聯(lián)網(wǎng)絡上的電子郵件、電子報刊及其他信息媒體展開宣傳戰(zhàn)、心理戰(zhàn)。政策滲透、“文化侵略”嚴重威脅著發(fā)展中國家的政治、科技、文化安全。在軍事領域，網(wǎng)絡泄密是軍事信息安全的重要表現(xiàn)；軍事泄密觸目驚心；黑客攻擊對軍事信息安全的危害極大；信息戰(zhàn)是影響軍事信息安全的極端表現(xiàn)形式。在信息產(chǎn)業(yè)和經(jīng)濟金融領域，電腦硬件面臨遏制和封鎖的威脅；軟件面臨市場壟斷和價格歧視的威脅。

　　同時國家為加快信息化建設的需要，大量引進國外的基礎設備，對引進的信息和技術缺乏相應的有效管理和技術改造，尤其是對發(fā)達國家或跨國公司在提供關鍵設備中可能做手腳（如在電腦芯片中隱藏著特定的程序，有可能在某種指令下被激活，或使電腦無法啟動）缺乏有效的檢測和排除技術。就有可能造成花費寶貴的外匯買來安全隱患，買來不安全的后果。

　　（四）我國電子政務中信息安全的現(xiàn)狀及表現(xiàn)

　　目前我國電子政務中的政府信息安全問題突出表現(xiàn)在：一是我國政府信息網(wǎng)絡安全存在嚴重隱患。網(wǎng)絡非常脆弱，各種安全隱患普遍存在。掌握了一定技術的人可以輕易獲取網(wǎng)絡服務器上的用戶賬號信息和口令文件，并可進入系統(tǒng)修改、刪除重要數(shù)據(jù)文件。一旦這些系統(tǒng)被非法侵入和破壞，將不能正常工作，甚至全部癱瘓，給國家?guī)碇卮髶p失。二是互聯(lián)網(wǎng)上和針對計算機信息系統(tǒng)的違法犯罪活動日益增多。近年來，金融機構(gòu)內(nèi)部利用計算機犯罪案件大幅度上升；在互聯(lián)網(wǎng)上泄露國家秘密的案件屢有發(fā)生；提供境外黃色站點的錯接服務，向國內(nèi)用戶提供色情信息。三是境內(nèi)外黑客攻擊破壞網(wǎng)絡的問題十分嚴重。他們通常采用非法侵入重要信息系統(tǒng)，修改或破壞系統(tǒng)功能或數(shù)據(jù)等手段，造成數(shù)據(jù)丟失或系統(tǒng)癱瘓，給國家造成重大政治影響和經(jīng)濟損失。四是境內(nèi)外敵對勢力、敵對分子和非法組織利用互聯(lián)網(wǎng)進行煽動、滲透、組織、聯(lián)絡等非法活動日趨突出。他們通過建立針對境內(nèi)的反動宣傳、煽動的站點，利用電子公告欄、新聞討論等公共媒體，發(fā)表反動文章，散布反動言論，煽動反政府情緒；利用互聯(lián)網(wǎng)進行組黨結(jié)社，公開吸納成員；利用電子郵件直接向國內(nèi)用戶發(fā)送反動刊物；利用電子郵件進行聯(lián)絡。對電子政務中的政府信息安全受侵害的方式主要包括：偷竊、分析、冒充、篡改、抵賴等。

　　二、政府信息安全的保護

　　一個國家的信息安全，實際是由兩方面構(gòu)成的。其一，為一個國家在信息安全方面采取的一系列組織措施及有關政策、法規(guī)；其二，為強有力的、切實可行的技術手段及有關技術裝備。前者反映了一個國家在信息安全方面的決心、意志和戰(zhàn)略、策略；后者反映了一個國家在信息安全方面的實力。信息技術是信息安全的前提和基礎，信息安全的國家發(fā)展戰(zhàn)略（包括信息安全法律制度），早已從一個產(chǎn)業(yè)問題上升為一個事關國家的社會、文化、軍事等各方面的核心問題。在信息安全中其地位舉足輕重，尤其作為信息技術相對落后的我國如何調(diào)整信息安全戰(zhàn)略，完善信息安全保障法律規(guī)范，不僅是提高信息安全保障能力的手段和方法，而且是提高信息安全技術的前提和保證。所以我國“計算機信息安全的保護主要包括兩方面的內(nèi)容，一是國家安全監(jiān)督管理，二是計算機信息系統(tǒng)使用單位自身的保護措施。實施計算機信息系統(tǒng)保護的措施包括：安全法規(guī)、安全管理、安全技術三方面”。

　　信息安全是一項極其復雜的系統(tǒng)工程，在安全法規(guī)、安全管理、安全技術的保障措施中，安全技術是信息安全的基礎；安全管理是信息安全的關鍵；安全法規(guī)是信息安全的保證。

　　采用先進可靠的安全技術是維護信息安全的有力保障。事實上，大多數(shù)安全事件和安全隱患的發(fā)生與其說是技術上的原因，不如說是管理中的緣故。我國已發(fā)生的許多計算機安全事件（包括計算機犯罪行為），技術手段并不高明，僅僅是由于鉆了管理上的漏洞。管理的關鍵在于管好人。因為一方面各種安全措施要靠人實施，另一方面有相當多的威脅網(wǎng)絡的行為出自系統(tǒng)內(nèi)部人員。因此必須提高安全管理人員的素質(zhì)，加強對系統(tǒng)內(nèi)部人員和網(wǎng)絡用戶的教育和管理。

　　采用安全技術，加強安全管理，可以大大提高網(wǎng)絡的安全性。為了切實貫徹執(zhí)行這些安全措施，并有實施的法律依據(jù)，制定保障網(wǎng)絡安全的法律、法規(guī)就顯得尤為必要。對于已經(jīng)發(fā)生的違法行為，只能依靠法律進行懲處，當然也包括一些民事行為的法律調(diào)整，這是保護網(wǎng)絡安全的最終手段。同時通過法律的威懾力，還可以使有犯罪意識者產(chǎn)生畏懼心理，達到懲一儆百的效果。法律還可以便公民了解在網(wǎng)絡的管理和應用中什么是違法行為，而自覺地不為，從而創(chuàng)造一個良好的社會環(huán)境，起到保護網(wǎng)絡安全的重要作用。所以說法律又是網(wǎng)絡安全的第一道防線。

　　綜觀各國信息安全法律政策，其主要特征有：

　　1.以國家信息安全的組織保障為原則

　　各國在其信息安全法律政策中，無不明確規(guī)定了國家信息安全工作的管理機構(gòu)以及各個機構(gòu)的職責范圍，在各個層次上都力求做到分工負責、各司其責。如美國的《計算機安全法》明確規(guī)定，由商務部所屬的國家標準和技術局（NIST）負責有關敏感信息的信息安全工作，具體負責主持制定和推廣計算機安全標準和指導方針，為聯(lián)邦政府解決各種信息安全問題，其中包括安全規(guī)劃、風險管理、應急計劃、安全教育培訓、網(wǎng)絡安全加密技術、身份認證、智能卡應用、計算機病毒檢測與防治等等；由國防部所屬的國家安全局（NSA）負責例如“國家安全系統(tǒng)”，即由政府及其合同單位或代理機構(gòu)管理的信息系統(tǒng)中保密信息的信息安全工作，其中包括國家保密信息、美國憲法2315款第102項（Warner修正案）規(guī)定的信息、涉及諜報（Intelligence）的信息、涉及與國家安全有關的秘密活動（Crypt—logic）的信息、涉及軍隊指揮和控制的佰息、涉及屬于武器和武器系統(tǒng)設備的信息以及對于完成軍事或情報任務至關重要的設備的信息等等。

　　2．以國家信息安全的全面保障為基礎

　　信息安全是個巨大的系統(tǒng)工程，需要各方面力量的綜合協(xié)調(diào)，更需要涉及信息活動的人員、信息系統(tǒng)的實體、信息系統(tǒng)的運行和系統(tǒng)中的信息的安全。因此，信息安全保障應當以全面、嚴密為基礎。如美國政府關于國家信息安全保障的行動策略主要有，制定信息資源安全管理的全面政策。實施風險評估、安全規(guī)劃、運行安全和各種驗證的方法；出版了《信息系統(tǒng)安全產(chǎn)品和服務自錄》；對信息系統(tǒng)的各個環(huán)節(jié)以及各機構(gòu)信息安全管理工作的效率加以評估；全力支持對安全措施的投入；協(xié)調(diào)各個機構(gòu)的信息安全工作；監(jiān)督政府信息安全管理原則、標準、指導方針的制定和推廣工作；強化計算機信息系統(tǒng)人員的安全法律培訓等等。

　　3．以國家信息安全的技術防范為核心社會信息化的發(fā)展實質(zhì)是計算機技術為核心的信息技術在人類社會生活中充分發(fā)揮其主導控制作用的過程。任何國家的信息安全保護都不能脫離信息技術本身，就信息安全的法律保護和技術保護的關系來說，技術保護是基礎和前提，法律保護只是技術保護的手段。，因而各國信息安全立法都以國家信息安全的技術防范為核心。20世紀80年代，美國率先在計算機保密模型（Bel&　　La　　padula模型）的基礎上，制定了《可估計算機系統(tǒng)安全評價準則》（TCSEC），隨后又制定了關于網(wǎng)絡系統(tǒng)、數(shù)據(jù)庫等方面的系列安全解釋，形成了安全信息系統(tǒng)體系結(jié)構(gòu)的最早原則。20世紀90年代初，歐洲英、法、德、荷四國共同提出了包括保密性、完整性、可用性等性質(zhì)的《信息技術安全評價準則》（ITSFC）。近年來，美國國家安全局、美國國家技術標準研究所和加、英、法、德、荷等六國七方共同提出了《信息技術安全評價通用準則》（CC　for　ITSEC），綜合了國際上已有的評價準則和技術標準的精華，給出了信息安全保護的框架和原則要求。

　　4．以國家信息安全的技術標準為內(nèi)容

　　將技術標準納入國家信息安全保障的政策法律體系范疇，賦予技術標準以國家意志的屬性，使其具有強制實施的法律效力，是世界各國的一致行動。美國從20世紀70年代初就開始制定信息技術的安全標準，現(xiàn)在已經(jīng)形成了由國家標準化協(xié)會制定的國家標準（ANSI）、由國家標準局制定的聯(lián)邦信息處理安全標準（FIPS）以及由國防部制定的信息安全指令和標準（DOD）三位一體的國家信息安全標準體系，從不同的角度規(guī)范國家的信息安全。歐盟除了發(fā)布前已所述的《信息技術安全性評測標準》（ITSEC）之外，還有由歐洲計算機廠商協(xié)會規(guī)定的被歐洲國家共同執(zhí)行的計算機信息安全標準。

　　三、我國電子政務中信息安全的保護對策

　　針對我國信息安全的現(xiàn)狀，結(jié)合我國電子政務的實際，當前在政府信息安全的保護方面的當務之急是：

　?。ㄒ唬?盡快建立我國信息安全的保護體系

　　1． 迅速健全信息安全保護的組織機制

　　國家信息化工作領導小組是站在國家的高度，對網(wǎng)絡信息的國家發(fā)展總體戰(zhàn)略進行規(guī)劃、設計、研究，組織、協(xié)調(diào)、配合有關部門進行立法調(diào)研，使國家在網(wǎng)絡信息方面的立法成為一個有機的整體。但地方政府和重點保護的重要領域相應的組織機構(gòu)還不健全；《中華人民共和國計算機信息系統(tǒng)安全保護條例》中確立了公安部主管全國計算機信息系統(tǒng)安全保護工作，但由于編制等原因許多地方公安機關沒有成立專門的機構(gòu)，警力尤其是適應計算機信息技術高速發(fā)展的警力配備不足等。最好能組建國家信息安全委員會，組織和協(xié)調(diào)國家安全、公安、保密等職能部門，在信息化建設中信息安全的分工，對國家信息安全政策統(tǒng)一步調(diào)、統(tǒng)籌規(guī)劃。因此盡快健全相應的信息安全保障的組織機構(gòu)是信息安全保護的組織保證。

　　2． 盡快完善國家信息安全基礎設施建設

　　我國目前信息安全基礎設施的建設還處于初級階段，需要逐步完善。當前迫切需要建立的國家信息安全基礎設施建設包括：國際出入口監(jiān)控中心、安全產(chǎn)品評測認怔中心、病毒檢測和防治中心。關鍵網(wǎng)絡系統(tǒng)災難恢復中心、系統(tǒng)攻擊和反攻擊中心、電子保密標簽監(jiān)管中心、網(wǎng)絡安全緊急處置中心、電子交易證書授權(quán)中心、密鑰恢復監(jiān)管中心、密鑰基礎設施與監(jiān)管中心、信息戰(zhàn)防御研究中心等。其中，國際出入口監(jiān)控中心和安全產(chǎn)品評測認證中心已初步建成。安全產(chǎn)品評測認證中心由安全標準研究、產(chǎn)品安全測試、系統(tǒng)安全評估、認證注冊部門和信息安全專家委員會組成。國家信息安全基礎設施建設是信息安全技術保證。

　　3． 堅定地確立信息安全產(chǎn)業(yè)的策略

　　目前就我國的信息產(chǎn)業(yè)無論是技術、管理還是生產(chǎn)規(guī)模、服務觀念，都不具備力量在短時間內(nèi)使國產(chǎn)信息產(chǎn)品占領國內(nèi)的主要市場。但是我國必須建立起獨立自主的信息安全產(chǎn)業(yè)。自主的信息產(chǎn)業(yè)或信息產(chǎn)品國產(chǎn)化是信息安全的根本。國產(chǎn)化不等于絕對安全，而絕對安全卻需要國產(chǎn)化。國家可集中人力、物力和給以政策，大力發(fā)展自主的專用芯片、自主嵌入式操作系統(tǒng)和自主的密碼技術產(chǎn)品等，以確保關鍵部門的信息系統(tǒng)的安全。信息安全產(chǎn)業(yè)的策略是信息安全的基本保證。

　?。ǘ?進一步完善我國信息安全保障的法律體系

　　雖然我國已頒布相當數(shù)量的信息安全方面的法律規(guī)范如《關于維護互聯(lián)網(wǎng)安全的決定》、《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法》、《商用密碼管理條例》、《金融機構(gòu)計算機信息系統(tǒng)安全保護工作暫行規(guī)定》、《計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》、《計算機信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法》、《計算機信息系統(tǒng)安全專用產(chǎn)品分類原則》等，但立法層次不高，現(xiàn)行的有關信息安全的法律規(guī)范大多只是國務院制定的行政法規(guī)或國務院部委制定的行政規(guī)章；法律規(guī)定之間不統(tǒng)一；立法理念和立法技術相對滯后等，因此要進一步完善我國信息安全的法律保障體系應當做到：

　　1． 確立科學的信息安全法律保護理念

　　為了使國家的政策法律能夠適應社會存在的現(xiàn)實和需求，需要確立起法制建設要保障和促進國家的信息化發(fā)展、法制建設為社會信息化發(fā)展提供全面服務的指導思想，修正傳統(tǒng)的立法理念，從徹底改革國家傳統(tǒng)的經(jīng)濟體制和保障機制入手，改變落后的調(diào)整方法，把信息安全法制保障的重點從單純的“規(guī)范”、“控制”轉(zhuǎn)移到首先為信息化的建設與發(fā)展“掃清障礙”上來，以規(guī)范發(fā)展達到保障發(fā)展，由保障發(fā)展實現(xiàn)促進發(fā)展，構(gòu)筑促進國家信息化發(fā)展的社會環(huán)境，形成適于信息網(wǎng)絡安全實際需要的法治文化。

　　2． 構(gòu)建完備的信息安全法律體系

　　信息化的社會秩序主要由三個基礎層面的內(nèi)容所構(gòu)成，即信息社會活動的公共需求，信息社會生活的基本支柱和信息社會所特有的社會關系。信息社會活動的公共需求是往往以政府意志的形式代為表現(xiàn)的社會公眾的共同意愿，其主要包括國家信息化建設的基本目標、發(fā)展綱領、建設規(guī)劃、行動策略、工作計劃等等，是指導國家信息化發(fā)展的基本內(nèi)容，也是國家信息化建設的公共需求；信息社會生活的基本支柱是由信息化的技術屬性所決定的、國家信息化建設賴以萌芽、生成和發(fā)展的信息技術及其應用，包括計算機技術、網(wǎng)絡技術、通信技術、安全技術、電子商務技術等等，它是信息社會生活必不可少的基本支柱；信息社會所特有的社會關系是指在國家信息化建設的過程中，參與其中的各個主體之間由于其信息化活動而產(chǎn)生的各種社會關系，具體將表現(xiàn)為相應的法律關系，其中主要包括信息民事法律關系、信息刑事法律關系、信息經(jīng)濟法律關系、信息行政法律關系、信息科技法律關系以及信息社會所特有的各種法律關系。與之相適應，國家信息化建設所應有的政策法律環(huán)境也就必然是由對應的指導政策、技術標準和法律規(guī)范等三項內(nèi)容所共同構(gòu)建的三位一體的且能夠發(fā)揮促進、激勵和規(guī)范作用的有機的體系。

　　3． 強化超前的信息安全法律效率

　　信息技術突飛猛進，信息安全政策、法律的促進作用不應僅僅是被動適應和滯后，在國家信息化建設中，更多地還應表現(xiàn)為對技術的主動規(guī)范性和前瞻性。信息安全政策法律必須促進信息技術的進步，因此要強化超前的信息安全政策法律的效率。在制訂政策和創(chuàng)設法律時應當借鑒國際社會關于“技術中立”的主流思想，注意政策和法律符合技術的特殊要求，同時為技術的發(fā)展和完善預留空間，排除可能窒息技術發(fā)展的可能性，提高法律自身對信息社會的適應性。在具體做法上，則可以吸取外國的“明示式”和“開放式”立法模式中有益的成分，參照“準則式”的立法模式解決技術和法律之間的矛盾，鼓勵技術創(chuàng)新，開發(fā)自主的知識產(chǎn)權(quán)，加強技術標準體系的建立和完善，提高國家信息法律規(guī)范的效率。

　　4． 主動融入國際信息安全的法律體系

　　世界經(jīng)濟一體化，使得“法律全球化不僅有條件，有可能，而且有必要，更是一種發(fā)展趨勢”。由于信息化是建筑在例如因特網(wǎng)的國際互聯(lián)基礎之上，人類信息社會是全球范圍內(nèi)的各國一體的信息化。因此，信息的政策和法律就必然具有國際化的屬性，具體表現(xiàn)為有關的“國際游戲規(guī)則”。我們在制訂政策和法律的時候，要特別注意和現(xiàn)有的國際規(guī)則的兼容包括在立法思想、方式方法上和具體法律規(guī)定等各方面的相互兼容；要積極主動地參與國際規(guī)則的創(chuàng)設，以維護我國的實際利益。在主動參與和合作、促進、創(chuàng)設的過程中，真正地主動融人國際大環(huán)境。