一、电子政务中信息安全的几个基本问题

　　（一）信息安全的内涵

　　信息安全是指一个国家的社会信息化状态不受外来的威胁与侵害；一个国家的信息技术体系不受外来的威胁与侵害。电子政务中的信息安全包括了信息的机密性、完整性、可信性、可控性、不可否认性等。我国立法把信息安全界定为“保障计算机及其相关的和配套的设备、设施（网络）的安全，运行环境的安全，保障信息安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全”。从这一法律规定看，计算机信息系统安全应当包括实体安全、信息安全、运行安全和人的安全。其中，人的安全主要是指计算机使用人员的安全意识、法律意识、安全技能等；实体安全是指保护计算机设备、设施（含网络）以及其他媒体免遭自然和人为破坏的措施、过程。实体安全包括环境安全、设备安全和媒体安全三个方面；计算机信息系统的运行安全包括：系统风险管理、审计跟踪、备份与恢复、应急四个方面的内容。所谓计算机信息系统的信息安全是指防止信息被故意的或偶然的非法授权泄漏、更改、破坏或使信息被非法系统辨识、控制，即确保信息的保密性、完整性、可用性、可控性。针对计算机信息系统中信息存在形式和运行特点，信息安全包括操作系统安全、数据库安全、网络安全、病毒保护、访问控制、加密与鉴别七个方面。

　　（二）信息安全在国家安全中的地位

　　电子政务中政府信息安全实质是由于计算机信息系统作为国家政务的载体和工具，而引发的信息安全。信息安全成为当前政府信息化中的关键问题。安全问题是电子政务建设中的重中之重。电子政务中的政府信息安全是国家安全的重要内容，是保障国家信息安全所不可忽缺的组成部分。

　　信息安全涉及到政治、经济、军事、文化等方方面面，由于互联网发展在地域上极不平衡，信息强国对于信息弱国已经形成了战略上的“信息位势差”，居于信息低位势的国家的政治安全、经济安全、军事安全乃至民族文化传统都将面临前所未有的冲击、挑战和威胁，互联网成为超级大国谋求跨世纪战略优势的工具。“信息疆域”不是以传统的地缘、领土、领空、领海来划分，而是以带有政治影响力的信息辐射空间来划分。“信息疆域”的大小、“信息边界”的安全，关系到一个民族、一个国家在信息时代的兴衰存亡。在知识经济时代，一个国家的信息获取能力以及在社会生产生活领域中的“信息制控权”，将成为这个国家在新世纪的生存与发展竞争中能否占据主动的关键。

　　（三）我国所面临的信息安全威胁

　　我国信息技术和信息产业的发展与技术先进国家相比“西强我弱”是事实，西方敌对势力利用一切机会威胁我国家安全也是事实。在意识形态领域，电子媒介成为国际意识形态斗争的主导工具；某些西方大国利用信息及信息传输技术优势，妨碍、限制、压制和破坏其他国家对信息的自由运用，甚至利用信息把本国的价值观念、意识形态强加于别国头上，以谋求政治军事手段难以得到的霸权利益。它们利用在信息领域的主宰地位，通过互联网络上的电子邮件、电子报刊及其他信息媒体展开宣传战、心理战。政策渗透、“文化侵略”严重威胁着发展中国家的政治、科技、文化安全。在军事领域，网络泄密是军事信息安全的重要表现；军事泄密触目惊心；黑客攻击对军事信息安全的危害极大；信息战是影响军事信息安全的极端表现形式。在信息产业和经济金融领域，电脑硬件面临遏制和封锁的威胁；软件面临市场垄断和价格歧视的威胁。

　　同时国家为加快信息化建设的需要，大量引进国外的基础设备，对引进的信息和技术缺乏相应的有效管理和技术改造，尤其是对发达国家或跨国公司在提供关键设备中可能做手脚（如在电脑芯片中隐藏着特定的程序，有可能在某种指令下被激活，或使电脑无法启动）缺乏有效的检测和排除技术。就有可能造成花费宝贵的外汇买来安全隐患，买来不安全的后果。

　　（四）我国电子政务中信息安全的现状及表现

　　目前我国电子政务中的政府信息安全问题突出表现在：一是我国政府信息网络安全存在严重隐患。网络非常脆弱，各种安全隐患普遍存在。掌握了一定技术的人可以轻易获取网络服务器上的用户账号信息和口令文件，并可进入系统修改、删除重要数据文件。一旦这些系统被非法侵入和破坏，将不能正常工作，甚至全部瘫痪，给国家带来重大损失。二是互联网上和针对计算机信息系统的违法犯罪活动日益增多。近年来，金融机构内部利用计算机犯罪案件大幅度上升；在互联网上泄露国家秘密的案件屡有发生；提供境外黄色站点的错接服务，向国内用户提供色情信息。三是境内外黑客攻击破坏网络的问题十分严重。他们通常采用非法侵入重要信息系统，修改或破坏系统功能或数据等手段，造成数据丢失或系统瘫痪，给国家造成重大政治影响和经济损失。四是境内外敌对势力、敌对分子和非法组织利用互联网进行煽动、渗透、组织、联络等非法活动日趋突出。他们通过建立针对境内的反动宣传、煽动的站点，利用电子公告栏、新闻讨论等公共媒体，发表反动文章，散布反动言论，煽动反政府情绪；利用互联网进行组党结社，公开吸纳成员；利用电子邮件直接向国内用户发送反动刊物；利用电子邮件进行联络。对电子政务中的政府信息安全受侵害的方式主要包括：偷窃、分析、冒充、篡改、抵赖等。

　　二、政府信息安全的保护

　　一个国家的信息安全，实际是由两方面构成的。其一，为一个国家在信息安全方面采取的一系列组织措施及有关政策、法规；其二，为强有力的、切实可行的技术手段及有关技术装备。前者反映了一个国家在信息安全方面的决心、意志和战略、策略；后者反映了一个国家在信息安全方面的实力。信息技术是信息安全的前提和基础，信息安全的国家发展战略（包括信息安全法律制度），早已从一个产业问题上升为一个事关国家的社会、文化、军事等各方面的核心问题。在信息安全中其地位举足轻重，尤其作为信息技术相对落后的我国如何调整信息安全战略，完善信息安全保障法律规范，不仅是提高信息安全保障能力的手段和方法，而且是提高信息安全技术的前提和保证。所以我国“计算机信息安全的保护主要包括两方面的内容，一是国家安全监督管理，二是计算机信息系统使用单位自身的保护措施。实施计算机信息系统保护的措施包括：安全法规、安全管理、安全技术三方面”。

　　信息安全是一项极其复杂的系统工程，在安全法规、安全管理、安全技术的保障措施中，安全技术是信息安全的基础；安全管理是信息安全的关键；安全法规是信息安全的保证。

　　采用先进可靠的安全技术是维护信息安全的有力保障。事实上，大多数安全事件和安全隐患的发生与其说是技术上的原因，不如说是管理中的缘故。我国已发生的许多计算机安全事件（包括计算机犯罪行为），技术手段并不高明，仅仅是由于钻了管理上的漏洞。管理的关键在于管好人。因为一方面各种安全措施要靠人实施，另一方面有相当多的威胁网络的行为出自系统内部人员。因此必须提高安全管理人员的素质，加强对系统内部人员和网络用户的教育和管理。

　　采用安全技术，加强安全管理，可以大大提高网络的安全性。为了切实贯彻执行这些安全措施，并有实施的法律依据，制定保障网络安全的法律、法规就显得尤为必要。对于已经发生的违法行为，只能依靠法律进行惩处，当然也包括一些民事行为的法律调整，这是保护网络安全的最终手段。同时通过法律的威慑力，还可以使有犯罪意识者产生畏惧心理，达到惩一儆百的效果。法律还可以便公民了解在网络的管理和应用中什么是违法行为，而自觉地不为，从而创造一个良好的社会环境，起到保护网络安全的重要作用。所以说法律又是网络安全的第一道防线。

　　综观各国信息安全法律政策，其主要特征有：

　　1.以国家信息安全的组织保障为原则

　　各国在其信息安全法律政策中，无不明确规定了国家信息安全工作的管理机构以及各个机构的职责范围，在各个层次上都力求做到分工负责、各司其责。如美国的《计算机安全法》明确规定，由商务部所属的国家标准和技术局（NIST）负责有关敏感信息的信息安全工作，具体负责主持制定和推广计算机安全标准和指导方针，为联邦政府解决各种信息安全问题，其中包括安全规划、风险管理、应急计划、安全教育培训、网络安全加密技术、身份认证、智能卡应用、计算机病毒检测与防治等等；由国防部所属的国家安全局（NSA）负责例如“国家安全系统”，即由政府及其合同单位或代理机构管理的信息系统中保密信息的信息安全工作，其中包括国家保密信息、美国宪法2315款第102项（Warner修正案）规定的信息、涉及谍报（Intelligence）的信息、涉及与国家安全有关的秘密活动（Crypt—logic）的信息、涉及军队指挥和控制的佰息、涉及属于武器和武器系统设备的信息以及对于完成军事或情报任务至关重要的设备的信息等等。

　　2．以国家信息安全的全面保障为基础

　　信息安全是个巨大的系统工程，需要各方面力量的综合协调，更需要涉及信息活动的人员、信息系统的实体、信息系统的运行和系统中的信息的安全。因此，信息安全保障应当以全面、严密为基础。如美国政府关于国家信息安全保障的行动策略主要有，制定信息资源安全管理的全面政策。实施风险评估、安全规划、运行安全和各种验证的方法；出版了《信息系统安全产品和服务自录》；对信息系统的各个环节以及各机构信息安全管理工作的效率加以评估；全力支持对安全措施的投入；协调各个机构的信息安全工作；监督政府信息安全管理原则、标准、指导方针的制定和推广工作；强化计算机信息系统人员的安全法律培训等等。

　　3．以国家信息安全的技术防范为核心社会信息化的发展实质是计算机技术为核心的信息技术在人类社会生活中充分发挥其主导控制作用的过程。任何国家的信息安全保护都不能脱离信息技术本身，就信息安全的法律保护和技术保护的关系来说，技术保护是基础和前提，法律保护只是技术保护的手段。，因而各国信息安全立法都以国家信息安全的技术防范为核心。20世纪80年代，美国率先在计算机保密模型（Bel&　　La　　padula模型）的基础上，制定了《可估计算机系统安全评价准则》（TCSEC），随后又制定了关于网络系统、数据库等方面的系列安全解释，形成了安全信息系统体系结构的最早原则。20世纪90年代初，欧洲英、法、德、荷四国共同提出了包括保密性、完整性、可用性等性质的《信息技术安全评价准则》（ITSFC）。近年来，美国国家安全局、美国国家技术标准研究所和加、英、法、德、荷等六国七方共同提出了《信息技术安全评价通用准则》（CC　for　ITSEC），综合了国际上已有的评价准则和技术标准的精华，给出了信息安全保护的框架和原则要求。

　　4．以国家信息安全的技术标准为内容

　　将技术标准纳入国家信息安全保障的政策法律体系范畴，赋予技术标准以国家意志的属性，使其具有强制实施的法律效力，是世界各国的一致行动。美国从20世纪70年代初就开始制定信息技术的安全标准，现在已经形成了由国家标准化协会制定的国家标准（ANSI）、由国家标准局制定的联邦信息处理安全标准（FIPS）以及由国防部制定的信息安全指令和标准（DOD）三位一体的国家信息安全标准体系，从不同的角度规范国家的信息安全。欧盟除了发布前已所述的《信息技术安全性评测标准》（ITSEC）之外，还有由欧洲计算机厂商协会规定的被欧洲国家共同执行的计算机信息安全标准。

　　三、我国电子政务中信息安全的保护对策

　　针对我国信息安全的现状，结合我国电子政务的实际，当前在政府信息安全的保护方面的当务之急是：

　　（一） 尽快建立我国信息安全的保护体系

　　1． 迅速健全信息安全保护的组织机制

　　国家信息化工作领导小组是站在国家的高度，对网络信息的国家发展总体战略进行规划、设计、研究，组织、协调、配合有关部门进行立法调研，使国家在网络信息方面的立法成为一个有机的整体。但地方政府和重点保护的重要领域相应的组织机构还不健全；《中华人民共和国计算机信息系统安全保护条例》中确立了公安部主管全国计算机信息系统安全保护工作，但由于编制等原因许多地方公安机关没有成立专门的机构，警力尤其是适应计算机信息技术高速发展的警力配备不足等。最好能组建国家信息安全委员会，组织和协调国家安全、公安、保密等职能部门，在信息化建设中信息安全的分工，对国家信息安全政策统一步调、统筹规划。因此尽快健全相应的信息安全保障的组织机构是信息安全保护的组织保证。

　　2． 尽快完善国家信息安全基础设施建设

　　我国目前信息安全基础设施的建设还处于初级阶段，需要逐步完善。当前迫切需要建立的国家信息安全基础设施建设包括：国际出入口监控中心、安全产品评测认怔中心、病毒检测和防治中心。关键网络系统灾难恢复中心、系统攻击和反攻击中心、电子保密标签监管中心、网络安全紧急处置中心、电子交易证书授权中心、密钥恢复监管中心、密钥基础设施与监管中心、信息战防御研究中心等。其中，国际出入口监控中心和安全产品评测认证中心已初步建成。安全产品评测认证中心由安全标准研究、产品安全测试、系统安全评估、认证注册部门和信息安全专家委员会组成。国家信息安全基础设施建设是信息安全技术保证。

　　3． 坚定地确立信息安全产业的策略

　　目前就我国的信息产业无论是技术、管理还是生产规模、服务观念，都不具备力量在短时间内使国产信息产品占领国内的主要市场。但是我国必须建立起独立自主的信息安全产业。自主的信息产业或信息产品国产化是信息安全的根本。国产化不等于绝对安全，而绝对安全却需要国产化。国家可集中人力、物力和给以政策，大力发展自主的专用芯片、自主嵌入式操作系统和自主的密码技术产品等，以确保关键部门的信息系统的安全。信息安全产业的策略是信息安全的基本保证。

　　（二） 进一步完善我国信息安全保障的法律体系

　　虽然我国已颁布相当数量的信息安全方面的法律规范如《关于维护互联网安全的决定》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》、《商用密码管理条例》、《金融机构计算机信息系统安全保护工作暂行规定》、《计算机信息系统国际联网保密管理规定》、《计算机信息系统安全专用产品检测和销售许可证管理办法》、《计算机信息系统安全专用产品分类原则》等，但立法层次不高，现行的有关信息安全的法律规范大多只是国务院制定的行政法规或国务院部委制定的行政规章；法律规定之间不统一；立法理念和立法技术相对滞后等，因此要进一步完善我国信息安全的法律保障体系应当做到：

　　1． 确立科学的信息安全法律保护理念

　　为了使国家的政策法律能够适应社会存在的现实和需求，需要确立起法制建设要保障和促进国家的信息化发展、法制建设为社会信息化发展提供全面服务的指导思想，修正传统的立法理念，从彻底改革国家传统的经济体制和保障机制入手，改变落后的调整方法，把信息安全法制保障的重点从单纯的“规范”、“控制”转移到首先为信息化的建设与发展“扫清障碍”上来，以规范发展达到保障发展，由保障发展实现促进发展，构筑促进国家信息化发展的社会环境，形成适于信息网络安全实际需要的法治文化。

　　2． 构建完备的信息安全法律体系

　　信息化的社会秩序主要由三个基础层面的内容所构成，即信息社会活动的公共需求，信息社会生活的基本支柱和信息社会所特有的社会关系。信息社会活动的公共需求是往往以政府意志的形式代为表现的社会公众的共同意愿，其主要包括国家信息化建设的基本目标、发展纲领、建设规划、行动策略、工作计划等等，是指导国家信息化发展的基本内容，也是国家信息化建设的公共需求；信息社会生活的基本支柱是由信息化的技术属性所决定的、国家信息化建设赖以萌芽、生成和发展的信息技术及其应用，包括计算机技术、网络技术、通信技术、安全技术、电子商务技术等等，它是信息社会生活必不可少的基本支柱；信息社会所特有的社会关系是指在国家信息化建设的过程中，参与其中的各个主体之间由于其信息化活动而产生的各种社会关系，具体将表现为相应的法律关系，其中主要包括信息民事法律关系、信息刑事法律关系、信息经济法律关系、信息行政法律关系、信息科技法律关系以及信息社会所特有的各种法律关系。与之相适应，国家信息化建设所应有的政策法律环境也就必然是由对应的指导政策、技术标准和法律规范等三项内容所共同构建的三位一体的且能够发挥促进、激励和规范作用的有机的体系。

　　3． 强化超前的信息安全法律效率

　　信息技术突飞猛进，信息安全政策、法律的促进作用不应仅仅是被动适应和滞后，在国家信息化建设中，更多地还应表现为对技术的主动规范性和前瞻性。信息安全政策法律必须促进信息技术的进步，因此要强化超前的信息安全政策法律的效率。在制订政策和创设法律时应当借鉴国际社会关于“技术中立”的主流思想，注意政策和法律符合技术的特殊要求，同时为技术的发展和完善预留空间，排除可能窒息技术发展的可能性，提高法律自身对信息社会的适应性。在具体做法上，则可以吸取外国的“明示式”和“开放式”立法模式中有益的成分，参照“准则式”的立法模式解决技术和法律之间的矛盾，鼓励技术创新，开发自主的知识产权，加强技术标准体系的建立和完善，提高国家信息法律规范的效率。

　　4． 主动融入国际信息安全的法律体系

　　世界经济一体化，使得“法律全球化不仅有条件，有可能，而且有必要，更是一种发展趋势”。由于信息化是建筑在例如因特网的国际互联基础之上，人类信息社会是全球范围内的各国一体的信息化。因此，信息的政策和法律就必然具有国际化的属性，具体表现为有关的“国际游戏规则”。我们在制订政策和法律的时候，要特别注意和现有的国际规则的兼容包括在立法思想、方式方法上和具体法律规定等各方面的相互兼容；要积极主动地参与国际规则的创设，以维护我国的实际利益。在主动参与和合作、促进、创设的过程中，真正地主动融人国际大环境。