今年国内的电子政务项目将全面建成甚至启动，网络安全将占项目总投入的20%～30%，这意味着整个项目将以亿元计算，它为每个进入市场的安全厂商都提供了良好的发展契机。

　　电子政务系统都是以简洁、方便为目标，因此多使用B／S结构，大多是公开或半公开的系统，因此要经常与外部网络环境相接触，比较容易受到病毒侵扰或者是非法的、恶意的攻击。在电子政务过程中要经常发生公文的传递，其中一些公文是属于政府机密文件，涉及到国家机密甚至危及到国家安全，如何保障这些国家机密文件不被窃取和攻击，则是目前许多安全专家所研究的主题。

　　同时，政府是社会的协调管理机构，如果因为电子政务系统瘫痪而造成业务流程的停顿，带来的损失和影响的范围也会非常巨大。

　　那么，中国的电子政务究竟需要什么样的网络安全系统？一套切实有效的安全系统应该注意哪些问题？

安全与应用
信息安全要“适当”

　　分级而治 不必大而无当

　　安全总是相对的，世上不存在绝对的安全，因此不可能把有限的资源投入到不可能存在的绝对安全中去，只能达到符合现有条件的最大安全。“适用的才是最好的”，这是信息安全投入与产出之间的基本平衡。

　　对于电子政务而言，一般情况下，层级愈高的政府，其对信息安全的要求也愈高，因为这些信息的安全性直接关系到国家的政治经济利益，必须高度重视。

　　但是到了基层，特别是省级以下的政府或公共部门，他们的主要政务活动一般不涉及国家机密，并且承担着对企业、公众的管理与服务的大量职能。对于这类机构的信息化，就没必要把信息安全强调到不适当的地步，以致影响对社会的服务。

　　最新最贵  不一定最适合

　　信息安全的实现是以技术为基础，技术不是简单的组合和堆砌，而在于恰当地运用。因此并非新推出的技术就是最好的。

　　比如，防火墙按照其所用的技术不同可以分为包过滤型、网络地址转换型、代理型和监测型等4种类型。每种类型的防火墙技术都有自己的特点，管理的复杂程度和经济成本各有不同，如果是应用在与外界隔离、相对比较安全的内网上，那就可以采用成本较低的包过滤型防火墙，就不必使用成本较高的监测型防火墙。

      所以，只有根据需求分析，明确实际的安全需要，兼顾到经济承受能力，才能做出准确的选择。 

　　风险评估  信息安全的先招

　　对企业来说，在网络安全的建设中最容易忽略的就是评估及服务。一个桶能装多少水，这由最短的那根木条决定。只有通过专家的评估才可以知道网络系统中风险最大的地方在哪里，明确哪里是最需要保护的领域，从而才能合理地分配资金。

　　因此，合理的信息安全系统一定是经过安全风险评估的，只有对信息系统安全的当前状态、潜在威胁和未来发展等进行全面的评估，构架以风险管理为核心的全面信息保障体系，才能实现最大限度的安全。

　　数据恢复  亡羊补牢的后棋

　　一般来讲，信息安全中的问题大致可以分为信息的外泄、信息被恶意篡改、信息的丢失3种情况。

　　前两种情况可以通过软硬件的结合来进行防范，后一种则防不胜防，最好的手段是通过数据恢复软件来对其进行恢复。

　　由于信息安全很难做到万无一失，数据被破坏和丢失的情况很难完全避免。因此，信息安全仅仅防御是不够的，还必须具备有效的补救能力。从这个层面上来看，借助专业的数据恢复服务中心，使用数据恢复软件，也是当今信息安全战略中不可或缺的一环。

要将信息安全作为
一项系统工程

　信息系统的安全，如同一个密封的容器，任何一点薄弱，都影响其整体承压能力。应该认识到，信息安全应该是一个完整的体系，任何一个地方出现漏洞，都可能导致整个安全体系的崩溃。目前，信息安全管理所存在的问题恰恰在于缺乏系统性，没有将信息安全作为一项系统工程来实施。

　　随着电子政务的发展，用户的选择也应该更加理性，要认识到安全不等于产品。使用安全产品只能帮助他们降低风险，真正的安全是需要一整套的安全制度与产品、服务相结合的。动辄就花上万美元购买安全产品，而且买后不用的现象应该杜绝。在电子政务的信息安全建设过程当中，用户不应该急于购买产品，而是应该通过认真思考，再决定如何更好地搭建安全的网络。

　　操作系统安全不容忽视

　　由于电子政务在应用上的特殊性，在信息安全方面要求有特别的保障。因此，操作系统平台的安全问题也不容忽视。这在一定程度上能保证国家安全，它避免了操作系统内部的服务、传输协议和信息加密等各个环节中，涉及信息安全核心技术不透明的问题，不仅使用户对于软件本身是否有安全性的漏洞或缺陷有所了解，而且进行基于操作系统的二次开发也不会有所局限，这种透明性和安全性正是政府处理政务的需求。

　　　　　　　　　　　电子政务存在哪些安全问题

　　　　　　　　　　　　　　　　　●  韩雄飞

　　前段时间的SARS不啻为人类的一场灾难。而在网络世界里，有着比SARS更为可怕的“病毒”，一旦防守出现漏洞，将会带来不可估量的严重后果和巨大的经济损失。

　　在我国，电子政务工程是关系到国家安全和政府工作的重要工程，积极采用安全技术、认真研究防范措施、预防病毒感染和黑客入侵等安全问题，是电子政务建设中的关键。然而目前我国电子政务的安全状况却令人担忧。我国计算机安全防护能力处于发展的初级阶段，许多计算机基本上处于不设防状态，每年各种重要数据、文件的滥用、泄露、丢失、被盗，给国家、企业和个人造成的损失数以亿计。这还不包括那些没有暴露出来的深层次的问题。

　　与我国在信息化建设方面取得的巨大成就相比，电子政务的信息安全状况显得比较薄弱。在世界范围内，中国网络安全水平被排在等级最低的“第四类”，与某些非洲国家为伍。

　　目前我国电子政务的网络安全存在以下几方面的问题：

应用需求不明确
　　目前的电子政务网络安全集中针对于病毒、黑客和有害数据侵入3大危险目标，将安全产品高度集中在防火墙和加密机等有限的几类产品上，而对于实际的信息安全问题关注不够。

安全投入比较低
　　目前我国电子政务在安全方面的投资一般占网络总投资规模的5%左右，而国外则达到10%～20%。安全产品的投入严重不足，服务方面的投入则更是少之又少。

系统的安全性和坚固性不够
　　随着网络技术的发展，各种黑客攻击软件在网络上随手可得，攻击变得广泛并且趋向简单。以全国九运会为例，短短的15天内，负责信息发布的网站就经历了140万次攻击，这样，不仅对于系统的安全性提出了较高的要求，同时对其抗击打能力也是严峻的考验。

对安全服务不够重视
　　在电子政务的安全项目实施过程中，经常有用户在花了大量资金买了入侵检测系统后，就不再去管这套系统。用户认为，既然安全系统已经上了，系统就万事大吉，不用再费心了。

　　但是，黑客的入侵方法一直在变化，入侵检测库也要升级。不及时升级的入侵检测系统比没有入侵检测系统的网络安全好不了多少。

　　同时，人力投入不足现象非常严重。系统安全的管理和维护需要各种层次的系统和安全专家才能完成，如果没有专业人员的介入，没有根据实际情况对安全管理产品进行仔细地配置和维护，对系统的安全管理规范和策略进行设计，功能再强大的安全产品也达不到很好的安全防护作用。
 
重安全轻应用
　　安全与应用本应相互促进，但在目前中国的电子政务构建中却成为最容易引起争议的问题。高度重视信息安全无可厚非，但是如果把信息安全问题提升到不适当的地步，必然对电子政务的应用造成许多人为的障碍，电子政务的价值也会大打折扣。

　　总之，当前我国电子政务的信息安全状况不容乐观。因此，构建坚固的、适用的信息安全系统势在必行。