电子政务信息安全现状

自20世纪90年代电子政务出现以来，关于电子政务的定义有很多，并且随着实践的发展不断更新。笔者认为，电子政务是指运用计算机、网络和通信等现代信息技术手段，实现政府组织结构和工作流程的优化重组，超越时间、空间和部门分隔的限制，建成一个精简、高效、廉洁、公平的政府运作模式，以便全方位地向社会提供优质、规范、透明、符合国际水准的管理与服务。电子政务是一个系统工程，应该符合3个基本条件：第一，电子政务是必须借助于电子信息化硬件系统、数字网络技术和相关软件技术的综合服务系统；第二，电子政务是处理与政府有关的公开事务、内部事务的综合系统；第三，电子政务是新型的、先进的、革命性的政务管理系统。　　
　　信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不会因偶然或者恶意的行为而遭到破坏、更改或泄露，系统能连续、可靠、正常地运行。信息安全保证主要包括五方面，即保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多学科的综合性学科。…[详细]

电子政务面临的安全性问题

目前，我国信息服务业及企业的竞争力与国外仍存在较大差距。以国产数据库为例，多年来，国内数据库市场超过90%的市场份额被Oracle等国际巨头占领。经过十年的努力，国产数据库虽然在电子政务领域取得了突破，但由于起步晚，在众多领域尤其是高端产品方面还无法与国际巨头相抗衡。为保障信息系统安全、可靠、稳定运行而开展的信息系统审计，其审计师资格的授予权也仍被国外控制，这种局面也对我国信息安全产生具有潜在威胁。 　
　　具体来说，目前我们面临的主要安全问题是： 　
　　第一，网络系统日益复杂，安全隐患急剧增加。随着我国信息化进程的推进，信息技术越来越普及，信息网络的复杂性也越来越高；网络攻击的重点无论是内部系统还是远程拨号、互联网，都在逐年增多。第二，应用环境快速变化，安全风险越来越大。随着商业需求、客户应用、网络环境、操作系统、协议、人员、物理环境等方面的变化，信息化的发展日新月异，这使得我们所面临的安全风险也不断增多。第三，网络联通更加广泛，恶意连接防不胜防。超大规模、巨型复杂的互联网络，使得大量不知名不知姓的用户连在网络上，所以难以预测的攻击也就越来越多。第四，网络用户快速增长，黑客攻击连年翻番。第五，网络匿名显露弊端，道德伦理面临挑战。互联网是一个虚拟的空间，电子政务网络也是虚拟的，很多网络攻击行为都和这个匿名的特性有关。另外，由于随着信息技术的发展，破坏性的、攻击性的软件和工具也越来越多，对攻击者知识水平的要求也越来越低，所以，入侵攻击能力的发展同样是电子政务所面临的威胁。…[详细]

六招构建安全的电子政务体系

我国的网络安全、信息安全无法得到保障的原因，主要是自主信息技术软硬件产品和服务还未形成体系，高端数据库、芯片、服务器和操作系统等都不能自给。但这不等于我们可以无所作为，听之任之。我们必须从多方面入手，全方位努力。　　
　　第一，制定安全策略。首先，国家要从政策法规层面有一个引导，并需要社会广泛参与。因为信息化是一个全社会共同参与的进程，电子政务也不例外。其次，信息网络是一个全网全程的概念，电子政务是把各级政府、各个部门通过信息技术联系在一起，是提高政府办事效率、增加政府管理透明度、更好地为社会服务的现代化手段。所以，它的安全保障不是局部的，必须进行全局的、综合的治理。而且也不能是被动的，要积极防御，既要有效控制现有的安全风险，又要有相应的手段防止可能出现的其他安全问题。最后，我们抓信息安全，不是要制约信息化的发展，不是要影响、阻止电子政务的发展，而是要有效的保障、促进电子政务的发展以及信息化的发展。信息安全工作最根本的目的是，要使我们国家的信息化建设和电子政务建设健康、可靠、安全。另外，安全策略的制定还要保证系统运行的安全、系统内信息的安全以及系统管理控制的安全。
　　第二，健全安全法规。现在，我们已经有了一些相应的法律和法规，但是还需要适应信息化和电子政务的发展制定新的法律、法规。国务院法制办公室和国务院信息化工作办公室会同有关部门正在积极就保密与公开以及电子文档的合法性、电子签名、隐私权的保护等制定相应的法律、法规，这是一个可喜的信息。…[详细]　　

发挥政府采购的政策功能

政府采购中采购资金主要来自于纳税人缴纳的税金，按照财政收入"取之于民、用之于民"的原则，政府采购的商业机会应该公平地给予每一个纳税人，不得采取歧视性措施剥夺他们应有的权利。实现这种权利的途经之一就是采购本国货物、工程和服务。政府采购作为非关税贸易壁垒的表现方式之一，能够封闭政府采购市场，保护民族工业，扶持国内中小企业发展。针对电子政务的安全问题，具体可采取的措施有以下几个方面。 　
　　第一，利用政府采购保护我们的信息安全。信息安全是一个关系到国家安危、人民生活、社会安定等诸多方面的重大现实问题。美国很早就认识到了信息安全与国家整体利益和国防的紧密联系，采取了一系列措施加强其信息产业在全球的垄断地位。同时，政府部门通过国家安全局对信息产业实行严格控制，NSA派出既懂密码、电子侦察业务，又懂半导体技术的专家驻在各大公司，其任务就是对销往全球的信息产品，特别是大规模集成电路芯片等关键部件安装NSA需要的后门。这些后门的作用是，一旦NSA感到需要搜集敏感或机密信息时，通过特殊手段启动后门发回芯片所处理的各种数据，或者一旦打起仗来，启动后门使该芯片失去工作能力等。经过中国国家信息安全测评认证中心的测试确认，美国ISS公司的产品存在后门，即ISS的产品在客户不知情的情况下，定期向美国回传200K字节的加密数据。最让人担心的是，在今天的技术条件下，将一块芯片中可能安放的所有后门都排除掉几乎是不可能的。…[详细]

构筑信息安全防线政采须出招

业内专家指出，不仅是互联网领域，长期以来，包括我国政府部门和重要领域、企业在内，对外国品牌的电子产品、信息技术产品都过分信任和依赖。在涉及政府、海关、邮政、金融、铁路、民航、医疗、军警等国家关键信息基础设施的建设中，频频出现美国"八大金刚"(思科、IBM、谷歌、高通、英特尔、苹果、甲骨文、微软)的影子，特别是美国思科参与了中国几乎所有大型网络项目的建设--这种情形，使我国的信息安全面临潜在威胁。
　　有专家建议，"对于涉及国家机密或国家安全的产品，要以国家利益至上的原则采取限定性的措施，要在提高全社会信息安全意识的同时，通过立法等手段，规定采购时向民族品牌倾斜，加大对国产安全产品的扶持，对国家信息安全进行全面保护。"…[详细]

信息安全是政采的核心要求

在IT类政府采购中，信息安全性是对产品的核心需求之一。近年来，随着国产设备在我国各行各业中所占比例的不断提升和应用范围的不断扩大，我国IT产业自主可控、自主创新产品发展的土壤也变得愈加肥沃。特别是对于众多国内IT企业来说，如何培育和提高自主创新能力以适应内外环境的变化和激烈的竞争，是目前面临的首要问题；从选择自主创新的国产设备对于企业乃至国家的安全角度来说，这一做法也有重大意义。
　　"自主可控是安全可信的前提。"倪光南认为，"选择国产设备可以先做到自主可控，这是一个基本的条件。虽然从目前来看，自主设备不一定能够做到百分之百的安全可信，但自主设备没有'后门'这类的安全隐患，这实际上要比'不可控设备'安全得多。这是因为'不可控'是非常致命的，而且很难通过某些措施或手段去完善。当然，国产化采购仅仅是保障我国经济、信息安全的途径之一，自主可控是安全的一个起点和基本保证，未来我们要加倍努力，争取在'安全可信'方面有更大的突破。"…[详细]

建立国家信息安全审查制度

近年来，美国以国家信息安全为由，一直在阻止中国企业的IT产品在美国本土参与竞标，同时阻挠中国企业并购美国高科技企业，防止中国企业获取核心技术。
　　孙丕恕建议，要进一步完善政府采购法，明确建立信息安全产品、信息安全相关产品实行安全审查制度，为依法开展信息安全审查提供保障。另外，要按照分类分级管理的原则，对于国防、政府、商业应用不同类别的信息产品实行不同的与之相应安全等级，对信息安全相关产品要根据产品的来源(是否我国自主知识产权)、可靠性(国家是否可控和生产单位是否可控)、可监督性(产品的源代码是否备案、是否经过检查)和安全性(是否具有漏洞、后门、远程控制等功能)，进行严格审查，规范其使用范围，进行监督管理。…[详细]

借信息安全事件"炼好钢"、立稳脚

"政策的支持归根到底还是外因，最重要的还是国产信息安全企业自己做出可靠的产品。我认为，近期的一系列事件以及整体的外部环境对于国产信息安全企业来说，只是一个契机，最关键的还是要看企业自身的实力，这才是取得市场认可的关键。"国产云服务器企业天地超云高级副总裁房玉震这样说。
　　这种观点也代表了大多数国内信息安全企业的想法，毕竟打铁还需自身硬。从目前我国飞速发展的信息安全产业的实际情况来看，先进的技术、过硬的质量才是企业发展的根本动力。…[详细]

信息安全应配"国产锁"

第一，以整机系统龙头企业为牵头单位，联合国产处理器、部件、操作系统、数据库、中间件、应用软件厂商和科研机构，组建联盟。将发展国产高端服务器的责任明确到有关部门，借鉴TD-SCDMA和北斗系统的模式，在相关部委管理和指导下，以国家意志引领产业发展。
　　第二，充分发挥高端服务器装备研制厂商的带头作用，构建产业技术创新链条和产业标准框架体系，鼓励和带动有能力的厂商和机构，参与技术研究和产品研制。
　　第三，重要信息系统主机装备要实施安全准入限制 。对于重要信息系统的高端服务器系统实行准入限制，通过对相应重要信息产品功能性、安全性、可控性的强制性检测、审查，据此建立政府采购、重要信息系统采购目录。政府采购、重要信息系统采购中在平衡安全价值、经济价值、发展价值中优先考虑安全性原则，要从供应链安全角度，优先使用自主高端服务器、操作系统、数据库等技术产品。对于违背安全性原则，造成重要信息系统安全事故的，要依据国家相关法律法规，追究相关组织、人员责任。
　　第四，通过示范引导、政策激励等措施，加大力度推广国产高端服务器系统。 …[详细]

信息安全巨大风险催生巨大市场

虽然"棱镜门"事件着实触动了公众的神经，但实际上关于网络安全的问题已不是第一次被提及。7月4日，据国家计算机网络应急技术处理协调中心发布的《2012年中国互联网网络安全报告》显示，2012年，境外约有7.3万个木马或僵尸网络控制服务器控制着我国境内的1419.7万余台主机，较2011年分别增长56.9%和59.6%。其中，针对我国网络基础设施的探测、渗透和攻击事件时有发生，虽尚未造成严重危害，但高水平、有组织的网络攻击给网络基础设施的安全带来了严峻的挑战。
　　与这个产业需要面对持续不断的安全挑战相匹配的是，巨大的风险催生了巨大的需求，同时也催生了巨大的市场。仅以网络安全为例，据相关行业分析机构的报告显示，到2017年，全球网络安全市场的价值会攀升至800亿美元（513亿英镑）。就中国而言，网络安全市场近年来也在持续快速增长，2010年达到111.74亿元，2011年增长至135.53亿元，2012年市场规模超过了166亿元，连续3年的增长幅度都超过了20%。这一数据使我们相信，未来这一市场仍将保持高速增长的态势。这也从侧面说明我国网络安全产业将迎来巨大的发展机遇。
　　国家信息技术安全研究中心总工程师李京春近日在接受媒体采访时说："在技术上，我们与发达国家相差5到10年，要迎头赶上还有许多工作要做。防火墙、防病毒、入侵监测等传统防护产品和技术，在云计算互联网、多网融合移动互联网的大数据时代，功能已显得力不从心。" …[详细]