建设电子政务的一个重要宗旨,是重组优化政府资源,改善公共服务。它将地理位置不同、功能独立的单个计算机和计算机设备互联起来,建成政府部门之间基于政府业务系统的信息交流、处理、应用系统,实现资源共享。随着网络的广泛普及,电子政务系统及其传递的政府资源面临着安全威胁,保障信息安全的难度增大,正确认识并采取妥善措施切实保障信息安全从而促进政府信息资源长期有效共享,已成为极富现实意义的工作。
1 电子政务建设中保障信息安全的必要性
信息安全包含了两个方面的含义:一是信息系统的安全,二是信息内容的安全。政府信息资源本身具有开放性,电子政务则意味着更大更强的开放性,网络环境的存在促使这种开放性更具现实可能性,信息资源的利用对象更多,获取政府信息资源的渠道更广,获取资源的范围更大,获取手段更为便利。在德国,通过政府网站可以了解政府首脑的行踪,读到政府要员最新的公开言论,还可以查阅所有的公开文件,“连原来万分神秘的德国联邦情报局都上了网,介绍该部门的组织结构、历史、任务,甚至招聘特工的启事也上了网”[1]。显然,这种强开放性,客观上更加增强了信息安全的保障难度。
由于政务活动的特殊性,在网络环境中流动和存储的一些政务信息直接涉及政府的核心秘密,政府秘密中又有相当一部分涉及领导或职员的隐私权,关系到政府部门、各大系统甚至整个国家和政党的利益与安全,而在实施行政监管和用户服务中所形成的个人信息(自然人和法人),如户籍、纳税、社保、信用等信息,也关系着提供者的利益。
因此,在互通开放的电子政务环境下,政府信息资源往往是许多怀着种种目的的人或组织垂涎的对象,从而可能由于技术防范措施不力或内部管理不严而易遭黑客攻击或非法身份者的偷窃和更改,丧失保密性、完整性、可用性和不可否认性。早在1998年美国总统克林顿发布联邦记录时就提到,“联邦机构对个人信息记录的逐渐网络化将导致在使用分析信息的方式上个人隐私权的削弱。”[2]548根据中国国家计算机病毒应急处理中心与国家反计算机入侵和防病毒研究中心提供的《2007年全国信息网络安全状况与计算机病毒疫情调查分析报告》显示:2007年计算机病毒感染率为91.4%,为历年来最高;多次感染病毒的比率为54%,仍然维持在较高水平(注:数据来源:《2007年全国信息网络安全状况与计算机病毒疫情调查分析报告》,中国国家计算机病毒应急处理中心和国家反计算机入侵和防病毒研究中心2007年发布。)。另根据中国国家计算机网络应急技术处理协调中心提供的《2007年上半年网络安全工作报告》显示:2007年上半年,CNCERT/CC接收的网络仿冒事件和网页恶意代码事件,已分别超出2006年全年总数的14.6%和12.5%。我国大陆地区被植入木马的主机IP远远超过2006年全年,增幅达21倍(注:数据来源:《2007年上半年网络安全工作报告》,中国国家计算机网络应急技术处理协调中心2007年发布。)。因此,如何确保政府信息资源在开放的网络系统中安全地存储和传输,最大限度地消除其不安全性,将主要取决于信息安全的保障与否。
如何有效保障信息安全,是电子政务建设的难点、重点所在。有专家建议,信息系统安全建设投资应占信息系统建设投资的10%以上,金融、电信、交通、海关、税务、公检法等基础产业或国民经济要害部门网络安全信息系统的投资比率应在15%以上[3]6-8。目前,发达国家在网络安全方面的投资占整个网络投资的20%以上。正是基于信息安全保障的重要性的认识,2005年国务院副总理黄菊在全国信息安全保障工作会议上特别指出:“随着世界科学技术的迅猛发展和信息技术的广泛应用,迫切要求加强信息安全保障工作。要从促进经济发展、维护社会稳定、保障国家安全的高度,充分认识进一步加强信息安全保障工作的极端重要性,增强做好这项工作的紧迫感、责任感和自觉性。”
2 电子政务建设中信息安全问题的具体表现
临系统安全威胁 电子政务通过开放的网络为政府之间、政府与社会之间搭建起了互相交流、合作的平台,但网络愈开放愈普及,信息安全就愈难保障,加之网络系统本身的脆弱性,促使电子政务系统直接面临着严重威胁。电子政务面临系统安全威胁主要表现在三个方面:(1)电子政务系统本身存在一些漏洞或缺陷,为攻击者利用,如后门、逻辑炸弹、操作系统的漏洞、通信协议本身的安全漏洞等。尤其是我国电子政务系统所采用的芯片基本上依赖进口,即使是自己开发的芯片也需要到国外加工,一些技术的深度、产品的成熟度仍不如国外,关键技术仍严重依赖国外,许多网络安全方案都建立在国外技术和产品的基础上,这些都为电子政务的系统安全埋下了隐患。美国加州Perfecto Tehnologies公司的网络安全专家Eran Reshef在检查了美国50多家著名网站后发现,他们无一例外都存在安全漏洞。根据卡耐基梅隆大学的估计,每1 000行代码,一般有515个“臭虫”(bug)[4]124。据报道,目前流行的许多操作系统均存在网络安全漏洞,如UNIX服务器、NI服务器及WNDOWS的RPCDCOM漏洞等[5]18-25。比如,PentiumⅢ就留有自动传送计算机有关硬件方面的信息,微软的Windows也存在两套密钥。(2)网上病毒泛滥成灾,加之网络系统本身的脆弱性,导致电子政务系统随时面临病毒感染破坏的威胁。据金山毒霸反病毒监测中心公布的资料显示,2007年新增各类病毒4.5万种,累计感染的机器近3 600 万台,这一趋势仍在不断增长。另据报道,江民反病毒中心从2005年1月1日至2005年6月30日,共截获电脑病毒13 978个,比2004年同期增长了3倍,其中截获“木马”病毒5 391种、后门程序3 301种[6]70-72。2006年,CNCERT/CC对常见的木马程序活动状况进行了抽样监测,发现我国大陆地区44 717个IP地址的主机被植入了木马,与2006年同期相比增长一倍。(3)网络黑客频繁攻击,导致许多非法者入侵政府系统得逞,一些政府网站常常被恶意篡改甚至得不到及时处置,严重影响到政府的正常工作秩序。2005年6月,兰州某政府机关的公众信息网的服务器被黑客远程控制,造成该服务器主机系统管理失控达12小时[7]52-55。《2007年上半年网络安全工作报告》显示:2007年我国大陆被篡改网站数量比2006年同期增加了4倍,比2006年全年增加了16.9%。其中2007年2月1日至28日,大陆地区.gov.cn网站被篡改的数量为239个,约占大陆被篡改网站的7.46%。
2.2电子政务面临网络侵权威胁
借助网络系统,电子政务大大提高了信息资源的利用率,提高了用户对信息需求的满足程度,但同时也为信息所有者的权利保护带来了新的挑战,网络侵权现象相当严重。概括来看,电子政务所面临的网络侵权现象主要有两种:(1)对传统文学艺术作品的数字化所造成的侵权。网络上共享传统形式作品的前提就是将该作品进行数字化,并将数字化后的作品上载到网络传播。我国国家版权局1999年12月出台的《关于数字化制品的著作权规定》中将数字化界定为复制行为;2002年新修订的《著作权法》中规定文学艺术作品的作者拥有信息网络传播权;2006年7月1日实施的《信息网络传播权保护条例》规定了信息网络传播权的保护措施,并规定了合理使用和法定许可[8]。可见,将传统作品数字化并进行网络传播是属于作者的著作权。但是,一些信息生产者或提供者为吸引访问者而随意刊载文学艺术作品,尤其是还没出版的文学艺术作品,严重侵犯作者或出版社的权益。(2)网络链接所造成的侵权。网络链接可快速从一个网站或网页连通到其他网站或网页,拓宽了信息共享的地域,节省了用户的查寻时间。但是,由于链接是一种由词、词组或图像构成的特定标记,它往往指示着信息来源,因而链接也会成为假冒活动的对象,即无偿借用了他人的商业信誉(商标、标识等),后果是淡化了他人的商业信誉的价值,降低了他人的市场竞争能力。显然,信息的网络侵权已经影响到信息所有者或提供者的权益,若不加以妥善处理,必然影响到信息共建或信息提供,从而影响政府信息资源的充分共享。
2.3电子政务面临信息污染威胁
有专家称,互联网上的信息量,几乎是每一个月就翻一番。然而,信息技术的发展、网络的普及使政府信息资源量大大增加的同时,也使人们面临着一个新的困扰日趋严重的信息污染问题。大量不良信息的侵蚀和污染已经严重地干扰了政府信息资源的共享,主要表现为:(1)虚假有害信息有增无减。网络的自由开放性,为一些不法分子提供了机会。他们为了谋取自身利益或其他目的,故意编造一些虚假信息,例如假广告、假中介、假招牌等,或捏造出一些无从证实的传闻、谣言等欺骗信息用户。境外敌对势力利用网络散布有害信息,如民族分裂主义、法轮功邪教组织,利用网络散布反共、反华、反社会主义的言论和信息,蛊惑人心,制造混乱,危害社会稳定。(2)过时冗余信息喧宾夺主。信息资源具有很强的时效性,一份信息产生后只在一定的时期内具有使用价值,超过这个时期就会因过时而变成冗余无用的信息。网络的自由开放性也决定了网上作品很难得到有效保护,随意的转载、剽窃、抄袭造成了政府信息资源大量重复,这些过时冗余信息严重影响信息用户的正常使用。(3)色情暴力信息无处不在。网络的无国界性、网络管理的无组织性使大量的淫秽色情信息、暴力信息、低级趣味等不健康信息在网上任意传播。英国米德尔塞克斯大学的蒂姆莱贝教授通过研究发现,在互联网络的非学术信息中,47%是与色情内容有关的。信息资源污染的直接后果,是妨碍了人们对正确信息的及时获取和利用,信息判断能力减弱以及信息利用率降低。根据有关统计调查,科研人员要花费1/31/2的时间查阅和甄别信息资源,就连信息技术发达的美国和日本,近几年来的信息利用率也仅为10%左右。更为严重的是,信息资源污染造成了人们心理上的巨大压力,导致了各种各样的“信息病”,因找不到所需的有效信息而焦虑不安,出现信息饥渴、信息紧张、信息消化不良等状况。《信息饥渴信息选取、表达与透析》一书的作者沃尔曼认为:“对信息的焦虑感产生于我们能够真正理解的信息与我们认为应该理解的信息之间存在的持续增大的鸿沟,信息焦虑是数据和知识之间的一个黑洞,在信息不能告知人们需要了解的东西时,它就会出现。”[9]18 也诚如《大趋势》的作者奈斯比特所言:“失去控制和无组织的信息,在社会里不再构成资源,相反构成信息污染和成为信息工作者的敌人。”
2.4电子政务面临机密信息泄密威胁
电子政务要实现的资源共享,并不是简单的无限制的全范围共享,一般是根据行政系统、行政区域、行政级别的不同而有所区别,无论是微观层次、中观层次还是宏观层次上的电子政务,都有不同要求。根据政府信息资源可共享的程度不同,可以把它分为三类。第一类是公开信息,如政府网站所提供的政策、法律、办事指南及其他网站所发布的新闻、招聘信息等,这类信息资源所有的用户均可共享,而且其共享的范围越大、程度越高,其使用价值越能得到体现。第二类是半公开的信息,这一类信息资源的共享是有条件的,比如通过注册以后缴纳一定的费用才可以获得使用权。第三类是保密信息,如军事设施、国防部署、政府内部信息、商业秘密、个人隐私等,这一类信息资源关系到国家的安全、经济的稳定和个人的利益,只能在局部或专门的系统供少数人共享。据统计, 目前政府信息机构拥有信息资源总量的80%,其大部分列入保密范围, 仅供内部使用, 对外开放服务的信息资源仅占10% 左右。但是,目前半公开信息、保密信息面临着严重的安全威胁。主要表现为:(1)擅自进入受版权保护的某些数据库,随意使用需缴费的半公开信息资源,侵犯权利人的合法权益。(2)非法闯入国家内部共享的信息资源库,窃取、修改国家机密信息,威胁国家的安全和社会的稳定。近日传出“谷歌地球”涉嫌曝光我国军事机密,有关部门正在严查。据谷歌中国发言人称,“谷歌地球”的基础数据是从官方测绘资质单位获得的,这说明它是在我国有关部门的监管之中,可它的服务器在美国,我们没有管辖权,我们大量的党、政、军重要数据,在“谷歌地球”上一目了然[10]。(3)有些网站或个人掌握了或有意收集了用户的私人信息后,未经用户的授权而将个人隐私随意处理,造成隐私泄露而给用户的利益带来损失。据报道,2006年相继出现了针对银行的木马病毒、进行网络敲诈活动的“敲诈者”病毒、盗取网上用户密码账号的“熊猫烧香”、“仇英”、“艾妮”等病毒,就对电子政务系统产生了严重影响[11]56-57。总的来说,电子政务给不法享用者创造了机会,导致部分机密信息受到威胁,影响到正常的电子政务,这对电子政务的安全保障提出了更高的要求。
3电子政务建设保障信息安全的对策建议
3.1确立保障信息安全的整体策略,准确把握电子政务的建设全局
电子政务所面临的信息安全挑战是全方位的,因此,应采取保障信息安全的整体策略,其主要内容是:国家主导、社会参与、全局治理、积极防御、等级保护、保障发展。首先,电子政务是由政府部门、企业和广大社会用户构成的一项国家公共服务型事业,涉及的领域非常广泛,信息安全成为国家安全的重要部分,因此,必须由国家主导。各级电子政务的基础设施建设,应在国家的统一规划下进行,任何信息安全产品的开发与安全保障体系的建设,必须遵循国家制定的相关技 术标准和法律法规,通过国家权威机构的检测认证。同时,国家安全建立在全社会的安全意识基础上,安全技术的进步,离不开社会各方面科研机构和技术人才的参与,信息安全产业需要全社会广泛的投资推动和应用推广。其次,电子政务作为一项复杂的系统工程,保障其信息安全要从系统完整性、多层次性的角度来考虑,综合采用多种支撑,全局治理,保持“木桶”的边缘一样整齐,忽视任何一个方面的建设,都将形成信息安全缺口,导致其他方面的努力付诸东流。切忌采用“头疼医头,脚疼医脚”的方法,简单堆砌一些互相孤立的、被动防护的设备,很容易顾此失彼,无法应对日益发展的动态的安全威胁。如果综合采用动态的安全监控手段,把静止孤立的安全产品连成一个集预警、监控、保护、响应和恢复于一体的整体防御体系,就能够达到积极防御的效果。再次,电子政务存在信息安全隐患是绝对的,安全永远是相对的,盲目追求“最高”的安全性往往事与愿违。正确的方法是根据信息的价值等级、机密等级以及所面临的威胁等级,选择适度的安全机制强度等级和安全技术强度等级,寻求安全成本和风险之间的平衡点,优化信息资源的配置,对不同的政府信息资源进行共享。同时,还应正确处理信息安全与信息共享的关系,借口保障安全而拒绝提供信息共享或借口信息共享而不加区别对待的两种做法都是不对的。
3.2加强安全技术的研发,提高电子政务的系统防护能力
根据世界银行的统计,19921997年间,全球技术方面的基尼系数从0.67扩大到0.78,这表明全球技术分配的不平衡在迅速扩大,并远远超过了全球收入分配不平衡的水平[12]。从世界范围来看,信息核心技术的研发主要是被发达国家所垄断,尤其是美国居绝对领先地位,英特尔的芯片、微软的操作系统、思科的路由器,无论从市场份额还是从技术发展上看都在全球起主导作用。目前组成我国电子政务系统所用的硬件、软件、操作系统、网管软件、各类应用系统、数据库、防火墙、网络接入设备、路由器、服务器、调制解调器等基本上都是国外产品,绝大部分TCP/IP协议、微机芯片都是INTEL系列,软件基本上是WINDOWS和NT,完全自主知识产权的产品基本没有。据中国软件行业协会统计,尽管近年来我国软件产业在国内计算机市场的影响力不断加大,在全球范围进行比较,我国软件产业所占的比重也逐年递增,20012005年我国软件产业总额占世界软件产业总额的比重由1.50%递增到5.50%,但与美国、欧洲、日本等相比还是偏低,如20012005年美国软件产业总额占世界软件产业总额的比重一直在40%左右(见表1)。由上表可看出,中国要改变受制于人的局面,就必须加快发展自己的民族信息产业,拥有自己的核心技术。由于信息产业具有极其重要的经济、国防、安全战略地位,积极研究核心技术,尤其是计算机、通信和微电子技术领域的自主知识产权的技术,显得尤为迫切。就目前来说,我国作为技术相对落后的国家,应围绕电子政务在物理层、网络层、系统层等层次,加强自主信息技术的研发,尽快推动开发和生产我国自己的电脑核心硬件和电脑软件操作平台,特别是网络层与系统层,要尽快研制一些关键技术,如唯一性身份识别技术、信息的完整性检验检测技术、安全审计跟踪评测技术、电子信息泄露防护技术等,同时要大力发展基于自主技术的信息安全产业,为自主安全技术的研发创造良好的环境,以此构建起比较全面的电子政务防护体系。
3.3建立健全信息安全管理体制,加强电子政务的安全管理
首先,应加强电子政务的组织机构建设,明确责任划分。在国家层面上,应该建立掌握安全政策的核心管理机构,如信息安全专业委员会,负责统筹领导国家信息化安全事务,还应有配套的职能部门如安全审计部门、安全评测认证部门、安全标准部门、安全执法部门等。在各级地方政府层面上,建立类似于CSO(首席安全长官)制度的安全组织,明确安全领导责任人及安全组织的分工,以避免“政出多门”和“政策撞车”现象的发生。在具体的参与共享的各个主体层面上,要求各政府部门内部设立一个专门的安全责任管理机构,负责制定各自内部信息资源的使用制度,保证用户对政府信息资源的正常使用,防止内部用户利用网络进行各种非法活动及外部用户对本网站的非法访问。其次,应加强电子政务的信息安全制度建设,严格规定业务行为。基本内容包括:制定安全管理的方案,建立健全网络操作的各项制度;定期检查安全规章制度的执行情况,负责系统工作人员的安全教育和管理;收集安全记录,及时发现薄弱环节并提出改进措施;向安全监督机关和上一级主管部门报告本系统的安全情况;加强密码、口令和授权的管理,及时更换有关密码、口令;重 视软件和数据库的管理和维护工作,加强对磁盘文件和软盘的发放和保管,禁止在网上使用非法软件、软盘等。此外,还需要领导的高度重视和企业、个人的群防群治,尤其是对主管计算机应用工作的领导和计算机系统管理员、操作员要通过多种渠道进行计算机及网络安全法律法规和安全技术知识的培训与教育,使主管领导增强计算机安全意识,使计算机应用人员掌握计算机安全知识,知法、懂法、守法,加强对内部操作人员的安全教育和监督,严格网络工作人员的操作职责。
总之,通过从组织建设、制度建设和人员培训等方面来建立健全信息安全管理体制,有利于加强电子政务的安全管理,可以有效地指导和监督各政府部门的网络信息活动,防止各种污染信息、垃圾信息在网上传播,保证合法用户对政府信息资源的正常使用,促进各参与主体之间的信息资源共享。
3.4加强信息安全立法,提供电子政务的法律保障
利用法律的力量来调整电子政务中的各种社会关系,规范和约束网络主体的信息行为,是电子政务应对信息安全挑战的重要措施。首先,要确立科学的信息安全法律保护理念。将信息安全法制保障的重点从单纯的“规范”、“控制”转移到提前为信息化建设与发展“扫清障碍”上来,应将保障网络的健康发展与促进政府信息资源有效共享作为立法的总体目标和出发点。其次,要构建完备的信息安全法律体系。现行法律中与信息安全相关,而且仍然适用于调整相应法律关系的规则,可在网络环境下加以适用;那些已经不适用的行为规范,可借助信息安全立法的时机加以废除、修改、补充和完善。“信息安全立法”的制定,最好与完整的信息法的制定融为一体,以保证法律的一致性与严肃性,避免支离破碎、捉襟见肘的缺点。从长远的角度考虑,笔者不提倡制定过多的行政法规,更不提倡采用部门规章甚至地方政府规章来解决网络信息安全问题。此外,还要重点加强相关问题的立法力度。对于信息安全法,要明确各信息主体在政府信息资源建设中的责任和义务,界定政府信息资源可公开的范围、应保密的级别等;对于网络信息版权法,要严格规定网络信息权利人所享受的权利和应尽的义务,明确界定网络侵权的各种形式及侵权所承担的责任等;对于计算机犯罪法,应对计算机犯罪的种种罪行罪名予以界定,以加强对“网贼”的法律制裁。
3.5加强有关方面的合作,构建电子政务的良好环境
政府信息资源的共享是一个牵涉到各级政府部门与广大用户等多方面的复杂过程,仅靠一两个部门的努力是不可能解决问题的,必须加强有关方面的合作,为共享系统创造一个良好的运行环境。从当前来说,重点要为政府信息资源的共享系统营造一个良好的文化环境氛围,使人们通过网络技术“合理”、“善意”地使用信息资源而不是破坏资源。在此,首先要加强网络伦理建设[13]73-75,培育人们在进行网络活动时所持有的正确的网络意识和价值取向,增强责任感、义务感,促成正确的网络行为规范。2005年9月,中央文明办、中宣部宣教局等部门组织开展了“构建网络道德,树立网络新风”网上专题座谈会,一致认为,传播谣言、散布虚假信息,制作、传播网络病毒,传播垃圾邮件,聊天室谩骂,网络欺诈,网络色情聊天,传播他人隐私,盗用他人网络账号,强制广告、下载,炒作低俗内容等,是反映最强烈的“网络十大不文明行为” [14]。其次,要加强网络制度建设,建立和健全对网络行为的监督、管理机制,使整个网络活动有章可循。从安全管理方面看,中国国家层面上的信息系统安全环境基本形成,如公安部、国家安全部、国家保密局、国家密码管理委员会、信息产业部在安全技术、安全审查、安全评测、安全执法等方面都担负了一定的职能,各级政府纷纷建立了自己内部的安全管理组织机构和制度,各种各样的安全知识培训和技术人才培养工作也得到开展。总之,加强电子政务系统的环境建设,就是要充分调动各方面的积极性,互相监督,互相制约,使每个行为者都必须对自己的网络行为负责,为建设共享系统的良好环境而共同努力。
