【电子政务】我国电子政务中信息安全及相关法律保护

信息安全的内涵

信息安全是指一个国家的社会信息化状态不受外来的威胁与侵害;一个国家的信息技术体系不受外来的威胁与侵害。电子政务中的信息安全包括了信息的机密性、完整性、可信性、可控性、不可否认性等。我国立法把信息安全界定为“保障计算机及其相关的和配套的设备、设施的安全，运行环境的安全，保障信息安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全”。从这一法律规定看，计算机信息系统安全应当包括实体安全、信息安全、运行安全和人的安全。其中，人的安全主要是指计算机使用人员的安全意识、法律意识、安全技能等;实体安全是指保护计算机设备、设施以及其他媒体免遭自然和人为破坏的措施、过程。实体安全包括环境安全、设备安全和媒体安全三个方面;计算机信息系统的运行安全包括：系统风险管理、审计跟踪、备份与恢复、应急四个方面的内容。所谓计算机信息系统的信息安全是指防止信息被故意的或偶然的非法授权泄漏、更改、破坏或使信息被非法系统辨识、控制，即确保信息的保密性、完整性、可用性、可控性。针对计算机信息系统中信息存在形式和运行特点，信息安全包括操作系统安全、数据库安全、网络安全、病毒保护、访问控制、加密与鉴别七个方面。

信息安全在国家安全中的地位

电子政务中政府信息安全实质是由于计算机信息系统作为国家政务的载体和工具，而引发的信息安全。信息安全成为当前政府信息化中的关键问题。安全问题是电子政务建设中的重中之重。电子政务中的政府信息安全是国家安全的重要内容，是保障国家信息安全所不可忽缺的组成部分。

信息安全涉及到政治、经济、军事、文化等方方面面，由于互联网发展在地域上极不平衡，信息强国对于信息弱国已经形成了战略上的“信息位势差”，居于信息低位势的国家的政治安全、经济安全、军事安全乃至民族文化传统都将面临前所未有的冲击、挑战和威胁，互联网成为超级大国谋求跨世纪战略优势的工具。“信息疆域”不是以传统的地缘、领土、领空、领海来划分，而是以带有政治影响力的信息辐射空间来划分。“信息疆域”的大小、“信息边界”的安全，关系到一个民族、一个国家在信息时代的兴衰存亡。在知识经济时代，一个国家的信息获取能力以及在社会生产生活领域中的“信息制控权”，将成为这个国家在新世纪的生存与发展竞争中能否占据主动的关键。

我国所面临的信息安全威胁

我国信息技术和信息产业的发展与技术先进国家相比“西强我弱”是事实，西方敌对势力利用一切机会威胁我国家安全也是事实。在意识形态领域，电子媒介成为国际意识形态斗争的主导工具;某些西方大国利用信息及信息传输技术优势，妨碍、限制、压制和破坏其他国家对信息的自由运用，甚至利用信息把本国的价值观念、意识形态强加于别国头上，以谋求政治军事手段难以得到的霸权利益。它们利用在信息领域的主宰地位，通过互联网络上的电子邮件、电子报刊及其他信息媒体展开宣传战、心理战。政策渗透、“文化侵略”严重威胁着发展中国家的政治、科技、文化安全。在军事领域，网络泄密是军事信息安全的重要表现;军事泄密触目惊心;黑客攻击对军事信息安全的危害极大;信息战是影响军事信息安全的极端表现形式。在信息产业和经济金融领域，电脑硬件面临遏制和封锁的威胁;软件面临市场垄断和价格歧视的威胁。

同时国家为加快信息化建设的需要，大量引进国外的基础设备，对引进的信息和技术缺乏相应的有效管理和技术改造，尤其是对发达国家或跨国公司在提供关键设备中可能做手脚缺乏有效的检测和排除技术。就有可能造成花费宝贵的外汇买来安全隐患，买来不安全的后果。

我国电子政务中信息安全的现状及表现

目前我国电子政务中的政府信息安全问题突出表现在：一是我国政府信息网络安全存在严重隐患。网络非常脆弱，各种安全隐患普遍存在。掌握了一定技术的人可以轻易获取网络服务器上的用户账号信息和口令文件，并可进入系统修改、删除重要数据文件。一旦这些系统被非法侵入和破坏，将不能正常工作，甚至全部瘫痪，给国家带来重大损失。二是互联网上和针对计算机信息系统的违法犯罪活动日益增多。近年来，金融机构内部利用计算机犯罪案件大幅度上升;在互联网上泄露国家秘密的案件屡有发生;提供境外黄色站点的错接服务，向国内用户提供色情信息。三是境内外黑客攻击破坏网络的问题十分严重。他们通常采用非法侵入重要信息系统，修改或破坏系统功能或数据等手段，造成数据丢失或系统瘫痪，给国家造成重大政治影响和经济损失。四是境内外

敌对势力、敌对分子和非法组织利用互联网进行煽动、渗透、组织、联络等非法活动日趋突出。他们通过建立针对境内的反动宣传、煽动的站点，利用电子公告栏、新闻讨论等公共媒体，发表反动文章，散布反动言论，煽动反政府情绪;利用互联网进行组党结社，公开吸纳成员;利用电子邮件直接向国内用户发送反动刊物;利用电子邮件进行联络。对电子政务中的政府信息安全受侵害的方式主要包括：偷窃、分析、冒充、篡改、抵赖等。

二、政府信息安全的保护

一个国家的信息安全，实际是由两方面构成的。其一，为一个国家在信息安全方面采取的一系列组织措施及有关政策、法规;其二，为强有力的、切实可行的技术手段及有关技术装备。前者反映了一个国家在信息安全方面的决心、意志和战略、策略;后者反映了一个国家在信息安全方面的实力。信息技术是信息安全的前提和基础，信息安全的国家发展战略，早已从一个产业问题上升为一个事关国家的社会、文化、军事等各方面的核心问题。在信息安全中其地位举足轻重，尤其作为信息技术相对落后的我国如何调整信息安全战略，完善信息安全保障法律规范，不仅是提高信息安全保障能力的手段和方法，而且是提高信息安全技术的前提和保证。所以我国“计算机信息安全的保护主要包括两方面的内容，一是国家安全监督管理，二是计算机信息系统使用单位自身的保护措施。实施计算机信息系统保护的措施包括：安全法规、安全管理、安全技术三方面”。

信息安全是一项极其复杂的系统工程，在安全法规、安全管理、安全技术的保障措施中，安全技术是信息安全的基础;安全管理是信息安全的关键;安全法规是信息安全的保证。

采用先进可靠的安全技术是维护信息安全的有力保障。事实上，大多数安全事件和安全隐患的发生与其说是技术上的原因，不如说是管理中的缘故。我国已发生的许多计算机安全事件，技术手段并不高明，仅仅是由于钻了管理上的漏洞。管理的关键在于管好人。因为一方面各种安全措施要靠人实施，另一方面有相当多的威胁网络的行为出自系统内部人员。因此必须提高安全管理人员的素质，加强对系统内部人员和网络用户的教育和管理。

采用安全技术，加强安全管理，可以大大提高网络的安全性。为了切实贯彻执行这些安全措施，并有实施的法律依据，制定保障网络安全的法律、法规就显得尤为必要。对于已经发生的违法行为，只能依靠法律进行惩处，当然也包括一些民事行为的法律调整，这是保护网络安全的最终手段。同时通过法律的威慑力，还可以使有犯罪意识者产生畏惧心理，达到惩一儆百的效果。法律还可以便公民了解在网络的管理和应用中什么是违法行为，而自觉地不为，从而创造一个良好的社会环境，起到保护网络安全的重要作用。所以说法律又是网络安全的第一道防线。

综观各国信息安全法律政策，其主要特征有：

1.以国家信息安全的组织保障为原则

各国在其信息安全法律政策中，无不明确规定了国家信息安全工作的管理机构以及各个机构的职责范围，在各个层次上都力求做到分工负责、各司其责。如美国的《计算机安全法》明确规定，由商务部所属的国家标准和技术局负责有关敏感信息的信息安全工作，具体负责主持制定和推广计算机安全标准和指导方针，为联邦政府解决各种信息安全问题，其中包括安全规划、风险管理、应急计划、安全教育培训、网络安全加密技术、身份认证、智能卡应用、计算机病毒检测与防治等等;由国防部所属的国家安全局负责例如“国家安全系统”，即由政府及其合同单位或代理机构管理的信息系统中保密信息的信息安全工作，其中包括国家保密信息、美国宪法2315款第102项规定的信息、涉及谍报的信息、涉及与国家安全有关的秘密活动的信息、涉及军队指挥和控制的佰息、涉及属于武器和武器系统设备的信息以及对于完成军事或情报任务至关重要的设备的信息等等。

2.以国家信息安全的全面保障为基础

信息安全是个巨大的系统工程，需要各方面力量的综合协调，更需要涉及信息活动的人员、信息系统的实体、信息系统的运行和系统中的信息的安全。因此，信息安全保障应当以全面、严密为基础。如美国政府关于国家信息安全保障的行动策略主要有，制定信息资源安全管理的全面政策。实施风险评估、安全规划、运行安全和各种验证的方法;出版了《信息系统安全产品和服务自录》;对信息系统的各个环节以及各机构信息安全管理工作的效率加以评估;全力支持对安全措施的投入;协调各个机构的信息安全工作;监督政府信息安全管理原则、标准、指导方针的制定和推广工作;强化计算机信

息系统人员的安全法律培训等等。

3.以国家信息安全的技术防范为核心社会信息化的发展实质是计算机技术为核心的信息技术在人类社会生活中充分发挥其主导控制作用的过程。任何国家的信息安全保护都不能脱离信息技术本身，就信息安全的法律保护和技术保护的关系来说，技术保护是基础和前提，法律保护只是技术保护的手段。，因而各国信息安全立法都以国家信息安全的技术防范为核心。20世纪80年代，美国率先在计算机保密模型的基础上，制定了《可估计算机系统安全评价准则》，随后又制定了关于网络系统、数据库等方面的系列安全解释，形成了安全信息系统体系结构的最早原则。20世纪90年代初，欧洲英、法、德、荷四国共同提出了包括保密性、完整性、可用性等性质的《信息技术安全评价准则》。近年来，美国国家安全局、美国国家技术标准研究所和加、英、法、德、荷等六国七方共同提出了《信息技术安全评价通用准则》，综合了国际上已有的评价准则和技术标准的精华，给出了信息安全保护的框架和原则要求。

4.以国家信息安全的技术标准为内容

将技术标准纳入国家信息安全保障的政策法律体系范畴，赋予技术标准以国家意志的属性，使其具有强制实施的法律效力，是世界各国的一致行动。美国从20世纪70年代初就开始制定信息技术的安全标准，现在已经形成了由国家标准化协会制定的国家标准、由国家标准局制定的联邦信息处理安全标准以及由国防部制定的信息安全指令和标准三位一体的国家信息安全标准体系，从不同的角度规范国家的信息安全。欧盟除了发布前已所述的《信息技术安全性评测标准》之外，还有由欧洲计算机厂商协会规定的被欧洲国家共同执行的计算机信息安全标准。

更多精彩内容请进入专题