我國電子政務(wù)建設(shè)已經(jīng)步入了深化應(yīng)用階段。應(yīng)用與安全是一對矛盾，電子政務(wù)的深化應(yīng)用與安全管理必須并舉，不可偏重。如何在電子政務(wù)深化應(yīng)用的同時(shí)建立起相應(yīng)的信息安全管理體系，保證應(yīng)用與安全的協(xié)調(diào)發(fā)展？這些都是擺在目前中國電子政務(wù)工作者面前的重要課題。

　　電子政務(wù)中的信息安全保證是電子政務(wù)建設(shè)的當(dāng)務(wù)之急。之所以著力發(fā)展信息安全，是因?yàn)樵陔娮诱?wù)建設(shè)初期在很大程度上是“摸著石頭過河”，缺乏明確的策略對其進(jìn)行指導(dǎo)。系統(tǒng)大都是采用開放式的操作系統(tǒng)和網(wǎng)絡(luò)協(xié)議，存在著先天的安全隱患。隨著電子政務(wù)建設(shè)的逐步推進(jìn)，政府門戶網(wǎng)站所承載業(yè)務(wù)的數(shù)量在逐步增加，網(wǎng)站被入侵或篡改所帶來的危害將不僅僅限于“政府形象”的損害，甚至能會造成巨大的經(jīng)濟(jì)損失，或者嚴(yán)重的社會問題。

　　系統(tǒng)測評 制度保證

　　河北省工業(yè)和信息化廳副廳長段潤保談到，電子政務(wù)深化應(yīng)用在工作中得到了加強(qiáng)，網(wǎng)上審批可能達(dá)到了50%，重要的數(shù)據(jù)就不能上了，因?yàn)榇_保不了安全。今天達(dá)到100%，全社會的老百姓都來網(wǎng)上了，安全更不能保證。所以，各方面的強(qiáng)度肯定要增強(qiáng)，原來的軟件就沒有做軟件測評，現(xiàn)在不行，必須要做。隨著應(yīng)用面越來越廣，深度越來越深，使用頻率越來越高。我們很多電子政務(wù)領(lǐng)域都用上了，上班就得用這個(gè)東西，像海關(guān)一樣。

　　段潤保還提到，河北的現(xiàn)狀應(yīng)該說不容樂觀，到省級還比較好一些，到市勉強(qiáng)，到縣就不行了。最近查的800余個(gè)網(wǎng)站，非常高的比例存在安全隱患，漏洞、信息泄漏，這樣的問題有很多，非常嚴(yán)峻。年年抓還是這個(gè)情況，內(nèi)網(wǎng)當(dāng)然要好一些。內(nèi)網(wǎng)有一個(gè)安全測評，有什么問題可以整改。在這樣的問題下我們怎么樣推進(jìn)電子政務(wù)深化，確實(shí)要從制度要求。出了問題誰負(fù)責(zé)？有的時(shí)候沒有制度，規(guī)范，所以說第二個(gè)問題是信息安全來保證電子政務(wù)的深化研究，基本的制度，比如說風(fēng)險(xiǎn)評估，你建了這個(gè)系統(tǒng)以后效果怎么樣。等級保護(hù)制度，那是國家強(qiáng)制的，必須要這么做。

　　說是安全，實(shí)際上也有很多制度。這個(gè)系統(tǒng)按時(shí)升級了，口令8位以上，做復(fù)雜了他也不好破。很多制度是有，但是不執(zhí)行，比如應(yīng)該是一個(gè)星期升級，結(jié)果一個(gè)月也不升級，漏洞就有了。要建立新的制度，舊的制度也要不斷完善，這樣才能發(fā)展。

　　明確責(zé)任 體系建設(shè)

　　國土資源部信息中心總工顧炳中指出，安全是一種責(zé)任，要明確安全的責(zé)任。劃分政治界限，規(guī)定政治紅線在哪兒。在不碰紅線的前提下，我們來做我們的事情，所以必須滿足紅線。政策的安全紅線是什么？國家的安全17859分級保護(hù)，強(qiáng)調(diào)的就是適度安全，安全不是絕對的。分級保護(hù)的原則指導(dǎo)下，23號文件，分級的改造，等級保護(hù)按43號 文進(jìn)行公安部的要求保護(hù)。這樣的事情做下來是有一個(gè)基本要求，再出事不承擔(dān)失職的責(zé)任。

　　這樣是不是就是安全了？絕對不夠。安全跟我們現(xiàn)在的規(guī)定，相關(guān)部門的規(guī)定還有一定的差距，安全應(yīng)該是一個(gè)理念，應(yīng)該貫穿到整個(gè)信息系統(tǒng)規(guī)劃、設(shè)計(jì)、實(shí)施、運(yùn)維全過程。政策紅線只是規(guī)避了常發(fā)生的信息安全問題。包括現(xiàn)在的風(fēng)險(xiǎn)評估，風(fēng)險(xiǎn)評估有用嗎？基本沒太大的用。因?yàn)樗f有漏洞，有漏洞不等于事實(shí)，不等于信息就不安全。漏洞多了，我們寫代碼可能有8個(gè)漏洞在里面，沒有人檢查，漏洞是永恒的，病毒也是永恒的。我們必須把安全作為一個(gè)理念，從規(guī)劃和實(shí)施當(dāng)中貫徹，采取自己切實(shí)可行的手段來保證安全。重要的數(shù)據(jù)我有方法備份，重要的信息系統(tǒng)我有方法檢查，采用一系列的手段來進(jìn)行保護(hù)。

　　分級保護(hù) 風(fēng)險(xiǎn)評估

　　公安部第一研究所安全系統(tǒng)測評中心技術(shù)部主任秦超指出，電子政務(wù)與安全的直接關(guān)系，08年出臺了一個(gè)文件，08年起，國家發(fā)改委批準(zhǔn)的項(xiàng)目必須經(jīng)過風(fēng)險(xiǎn)評估和安全測評，這是與電子政務(wù)最直接相關(guān)的測評報(bào)告。

　　08年奧運(yùn)在一些單位檢查當(dāng)中發(fā)現(xiàn)很多領(lǐng)導(dǎo)都很重視。信息安全很重要，他們就會很謙虛的問網(wǎng)站怎么弄？怕攻擊了，有什么辦法？外網(wǎng)系統(tǒng)固然很重要，他們怕產(chǎn)生社會影響，怕丟面子。但是內(nèi)網(wǎng)也很重要，內(nèi)部最容易是作為堡壘被攻破。我們要重視內(nèi)網(wǎng)的安全，一個(gè)是要加強(qiáng)審計(jì)。怎么處理好安全應(yīng)用的關(guān)系？等級保護(hù)就是最好的方法，最好的是適度安全。我們的電子政務(wù)信息系統(tǒng)很龐大，如果把有限的財(cái)力，人力集中到信息系統(tǒng)上就要定級。有些單位說定了三級怎么實(shí)現(xiàn)？每個(gè)系統(tǒng)由一些小系統(tǒng)來組成，小系統(tǒng)劃成核心區(qū)域，非核心區(qū)域，根據(jù)你自己的需要來采取安全措施。分級保護(hù)是把復(fù)雜的系統(tǒng)簡單化，我們是從兩個(gè)角度定義的，一個(gè)是按保密性，還有一個(gè)是可控性，兩個(gè)組合形成最后的安全等級高低。

　　在安全保護(hù)過程中強(qiáng)調(diào)的是安全管理。我們強(qiáng)調(diào)的是建立一大堆制度，但是沒有相應(yīng)的機(jī)構(gòu)，相應(yīng)的人員來落實(shí)。領(lǐng)導(dǎo)兼職會拿它當(dāng)工作做嗎？我已經(jīng)發(fā)現(xiàn)了一個(gè)規(guī)律，一個(gè)單位如果有相應(yīng)的實(shí)權(quán)機(jī)構(gòu)來負(fù)責(zé)這個(gè)事，一般這個(gè)單位的安全系統(tǒng)都是有秩序的。一些單位在技術(shù)方面確實(shí)不夠?qū)I(yè)，可以選擇外包，但是要選擇可靠的是要以運(yùn)營單位來保證。

　　大家都普遍認(rèn)識一點(diǎn)，安全是一個(gè)周期性的工作，漏洞是不斷的被挖掘出來的，VISTA被發(fā)布之前，微軟說VISTA很安全，沒有漏洞，但是發(fā)布之后他說漏洞很小。所以要不斷的對信息系統(tǒng)進(jìn)行審計(jì)評估，對于三級系統(tǒng)一年要檢查測評一次，四級系統(tǒng)要半年檢查一次。

　　盡管電子政務(wù)代表了政務(wù)實(shí)施發(fā)展的趨勢和方向，但是，建立和完善電子政務(wù)系統(tǒng)不是一朝一夕能完成的工程。除了技術(shù)的提升，信息安全意識和制度尤為重要。信息安全是一個(gè)管理體系，不管是等級保護(hù)，風(fēng)險(xiǎn)評估還是邊界的管理，信息安全應(yīng)該在下一步的深化應(yīng)用當(dāng)中滲透到各個(gè)環(huán)節(jié)。