“互联网+政务”信息安全评价探究

◆刘高明 罗京亚

(长沙职业技术学院 湖南 410217)

“互联网+政务”信息安全评价探究

◆刘高明 罗京亚

(长沙职业技术学院 湖南 410217)

本文从“互联网+政务”信息安全的内涵、面临的风险、安全需求等方面入手，对“互联网+政务”信息安全的评价指标进行筛选，从信息安全评价这一角度对“互联网+政务”信息安全进行探究，为加强“互联网+政务”的信息安全提供参考，从而保障“互联网+政务”系统的正常运行。

互联网+；电子政务；信息安全评价

0 引言

从2015年李克强总理在两会工作报告中提出“互联网+”这一概念开始，“互联网+”在不少领域都得到应用。从第十二届全国人民代表大会上正式提出“互联网+政务服务”概念，到2016年4月26日《推进“互联网＋政务服务”开展信息惠民试点的实施方案》（下称《实施方案》）正式发文，明确提出要加快推进“互联网＋政务服务”[1]，“互联网+政务”已经成为电子政务发展的新阶段，为政务服务带来新变革。

我国“互联网+政务服务”起步时间较短，目前仍有许多问题有待解决，例如信息安全问题。《实施方案》中也指出，推进过程中要采取必要的管理和技术手段，落实国家信息安全等级保护制度要求，完善身份认证和授权管理机制，加强数据安全管理，强化安全保障体系建设，切实保护国家信息安全及公民个人隐私。

对“互联网+政务”系统来说，解决信息安全的首要问题是要识别所面临的风险，明确安全需求，然后进行充分的分析与评价。只有采用正确的方法对“互联网+政务”信息安全进行全面评价，才能掌握“互联网+政务”系统的整体安全状况，有针对性的采取有效的安全措施，健全信息安全保障体系，保证“互联网+政务”系统的正常运行。

1 “互联网+政务”的信息安全

1.1 “互联网+政务”信息安全的内涵

只有对“互联网+政务”信息安全的内涵进行充分了解，才能更好地对其进行评价研究。目前学术界对信息安全尚无统一和公认的定义，具有代表性的定义主要是从两个角度出发：一是信息安全的层面，例如国内学者普遍认同的信息安全的层次模型——数据（信息）安全、运行（系统）安全、物理（实体）安全；二是信息安全的属性，例如国外学者认同“信息安全金三角”（CIA，Confidentiality-Integrity-Availability)——机密性、完整性、可用性[2]。

通过文献分析法对前人研究进行综合分析可以得出，“互联网+政务”信息安全包括物理（实体）安全、网络安全、应用安全、数据安全、运行安全、管理安全等方面，涉及到信息的机密性、完整性、可用性、可控性、真实性、不可抵赖性等属性。

1.2 “互联网+政务”面临的安全威胁

基于互联网的“互联网+政务”系统面临着来自互联网的各种威胁，相对于过去电子政务的专网模式风险更大[3]。对“互联网+政务”所面临的安全威胁进行分析，有助于构建合理有效的信息安全保障体系和评价机制。

“互联网+政务”面临的信息安全威胁来自各个方面，具体包括：①自然灾害（雷击、火灾、地震、洪水等）；②环境干扰（温度不适宜、电压异常波动、电磁辐射干扰等）；③系统故障（设备老化、零部件磨损等）；④技术缺陷（因技术水平和能力的限制而造成的威胁，如操作系统漏洞等）；⑤内部疏忽（内部管理制度不完善或工作人员操作失误、安全意识薄弱等导致的威胁）；⑥内部攻击（“互联网+政务”内部人员对系统进行蓄意攻击，窃取信息或非法越权访问）；⑦外部攻击（“互联网+政务”外部攻击者通过各种手段对系统发动攻击，破坏系统、窃取或篡改信息等）。

1.3 “互联网+政务”的信息安全需求

由于“互联网+政务”系统的主要目的是政府机构执行政府公职，涉及政府机密信息，“互联网+政务”对信息安全有着更高的要求。在“互联网+政务”系统建设和运行的过程中，除了需要应对来自互联网的攻击，还要考虑内部安全隐患。

具体来说，“互联网+政务”的安全需求包括：①政务信息的保密性（明确信息公开的范围和密级，确保信息在传输和使用过程中不被非授权获取或使用、非法泄露或扩散[4]）；②政务信息的完整性（确保信息在存储和传输的过程中不被修改、破坏或丢失）；③政务信息的真实性（保证接收方获得的信息是真实的，未被篡改）；④政务信息的不可否认性（要求信息交换过程中所有参与者都不能否认所做过的操作和承诺）；⑤政务信息的可用性（保证经过授权的用户可以顺利正常地访问和使用信息[5]）；⑥政务信息的可控性（确保对政务信息的传播路径、范围及其内容有足够的管理和控制能力）；⑦系统的可靠性（确保网络和信息系统随时可用，运行过程中不出现故障[6]）；⑧设备安全（保证系统和网络设备实施的质量和安全以及设备备份等）；⑨管理安全（包括健全的法律法规，完善的规章制度，专业可靠、具有安全意识的管理团队和操作人员等）。

2 “互联网+政务”信息安全评价指标

对“互联网+政务”的信息安全进行评价要从实际出发综合考虑所涉的多个方面。本文遵循评价指标的选取原则，在充分的文献调研和分析的基础上，从管理安全、物理安全、网络安全、数据安全、系统安全、应用安全这六个方面对“互联网+政务”的信息安全进行评价。

2.1 管理安全

管理安全是指“互联网+政务”信息安全相关的组织管理、人员管理、制度管理等管理举措，在整个信息安全保障过程中起到指导、规范的作用。具体指标包括：①有无专门的组织机构；②有无安全责任体系；③有无监督与检查措施；④有无负责安全的专职人员；⑤人员安全意识；⑥有无人员安全教育与培训；⑦决策人员素质；⑧人员技术保障能力；⑨有无应急响应预案；⑩有无安全管理规章制度。

2.2 物理安全

物理安全是指“互联网+政务”系统的机房、计算机设备及管理人员工作场所内外的环境条件必须满足安全要求。具体指标包括：①有无恒温恒湿设备；②有无不间断电源保障；③有无灾难保护设施；④有无设备防盗、防毁措施；⑤有无防电磁信息辐射泄露措施；⑥有无抗电磁干扰设备；⑦是否采用门禁控制系统；⑧有无摄像头在线监控；⑨有无电源保护；⑩有无应急灾难备份恢复。

2.3 网络安全

网络安全是指“互联网+政务”网络系统的硬件、软件、数据等安全，确保网络系统、服务正常运行。主要指标包括：①有无网络安全设计；②有无网络安全检测；③有无计算机病毒防范措施；④有无入侵检测与防御措施；⑤有无网络访问控制措施，⑥有无防火墙系统；⑦有无VPN技术及其应用；⑧有无应急灾难备份恢复；⑨有无网络审计与监控；⑩有无路由安全措施。

2.4 数据安全

数据安全是指要保证“互联网+政务”系统中的数据是安全的，不被截获、篡改、盗用，免遭破坏、丢失、泄露，包括数据传输安全和数据存储安全。主要指标包括：①有无数据加密措施；②有无数据完整性鉴别措施；③有无防抵赖措施；④有无身份认证措施；⑤有无数据存取控制措施；⑥有无数据库安全防护措施；⑦有无异地容灾措施；⑧有无数据存储备份恢复系统；⑨有无数据审计与监控。

2.5 系统安全

系统安全是指“互联网+政务”操作系统、数据库系统和主机系统的安全。主要指标包括：①有无病毒防范体系；②有无口令设置和权限配置；③系统安全检测；④系统实时入侵探测技术；⑤有无漏洞扫描和补丁分发系统；⑥有无系统审计与分析。

2.6 应用安全

应用安全是指“互联网+政务”应用系统和应用程序的安全。①有无应用系统安全设计；②有无网页防篡改系统；③有无访问控制措施；④有无追溯审计措施；⑤是否对应用代码进行安全管理；⑥有无电子邮件系统安全措施；⑦有无网络攻击防护措施；⑧有无应用系统容错容灾措施。

3 结语

“互联网+政务”涉及的是政府机密信息，对信息安全有着更高的要求。因此，全方位杜绝对“互联网+政务”的信息安全威胁，不仅要提高系统、网络的防范能力，加强数据存储和传输的安全性，还要从管理角度入手，建立健全规章制度，提高管理人员安全意识和能力。

本文从“互联网+政务”信息安全的内涵、面临的风险、安全需求等方面入手，对“互联网+政务”信息安全的评价指标进行筛选，从信息安全评价这一角度对“互联网+政务”信息安全进行探究，为加强“互联网+政务”的信息安全提供参考，从而保障“互联网+政务”系统的正常运行。

[1]周民，贾一苇.推进“互联网+政务服务”，创新政府服务与管理模式[J].电子政务，2016.

[2]雷万云.信息安全保卫战:企业信息安全建设策略与实践[M].北京:清华大学出版社，2013.

[3]信息安全技术基于互联网电子政务信息安全实施指南(GB/Z 24294-2009) [S].国家质量监督检验检疫总局, 2009.

[4]柏晶.我国电子政务信息安全体系研究[D].吉林大学，2007.

[5]唐一冰.电子政务信息安全的评价体系探究[J].电子测试，2015.

[6]任秀萍.信息安全中消息层次的讨论[J].科技情报开发与经济，2003.

2017 年度（上半年）长沙市哲学社会科学规划项目《长沙“互联网+政务服务”信息安全管理的问题与对策研究》，项目编号：2017csskkt33。