电子政务安全是一个值得高度关注的问题，也是容易引起争议的焦点。如果信息安全失去保障，其后果不堪设想，因此，高度重视信息安全无可厚非。但是如果一味地强调安全，而忽视对政府信息资源的充分公开，必然对电子政务的应用造成许多人为的障碍，电子政务的价值也会大打折扣。面对诸多电子政务安全相关要素，我们需要运用系统工程的思想和方法，从多角度、多层次思考和把握电子政务安全问题，以一份成熟的理性，更有效率地做好电子政务安全工作。
政策法规——电子政务安全的法规依据
    电子政务就是要实现政府决策、社会化管理、为公众服务这三个业务过程的信息化。考虑到国家秘密的安全，在电子政务中涉密网络规划和建设显得尤为重要。以下是电子政务安全的相关政策法规依据：
    2010年4月29日，第十一届全国人大常委会第十四次会议审议通过了新修订的《中华人民共和国保守国家秘密法》，自2010年10月1日起实施。新保密法的突出亮点就是要做到依法保密、依法公开、保放适度，充分体现了我国民主政治的进步。依法保守秘密是电子政务工作要恪守的。
    2000年1月1日起颁布实施的《计算机信息系统国际联网保密管理规定》第二章保密制度第六条规定，“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其它公共信息网络相连接，必须实行物理隔离”。
    2002年7月，国家信息化领导小组针对当时电子政务网络建设各自为政、重复建设、结构不合理等问题，在《关于我国电子政务建设的指导意见》（以下简称17号文件）中提出建设政务内网和政务外网。电子政务网络由政务内网和政务外网构成，两网之间物理隔离，政务外网与互联网之间逻辑隔离。政务内网主要是副省级以上政务部门的办公网，与副省级以下政务部门的办公网物理隔离。政务外网是政府的业务专网，主要运行政务部门面向社会的专业性服务业务和不需在内网上运行的业务。
    2006年5月，国办又下发了《关于推进国家电子政务网络建设的意见》（18号文）。专家认为，18号文是对17号文的完善和发展，不仅进一步细化了电子政务网络建设的原则和目标，而且明确了统一网络建设的责任主体等，增强了各级政府建设统一网络的可操作性。首先，18号文扩充了电子政务内网的内涵，将党委、人大、政府、政协、法院、检察院等部门开展内部办公、管理、协调、监督和决策时对有关专网的需求纳入进来。此外，18号文所定义的政务外网进行了具体描述，即满足各级政务部门、社会管理、公共服务等面向社会服务的需求。并新增了建设从中央到地方统一的国家电子政务传输骨干网的内容，明确了传输网的建设方法和建设主体以及建设原则等。还明确了副省级以上和副省级以下单位的网络建设方式。
    按照安全域的划分，政府的内网就是涉密域，政府的外网就是非涉密域，互联网就是公共服务域。根据以上电子政务相关的政策法规，可以得出以下电子政务网络安全规范：（1）核心政务内网分别与地方政务内网和政务外网物理隔离；（2）地方政务内网与政务外网可以选用物理隔离或逻辑隔离；（3）政务外网与基于互联网的公共服务平台逻辑隔离；（4）通过安全网闸，把政务内网和政务外网联系起来。
网络架构——是“三网”还是“二网”
    目前，对电子政务网络架构的认识比较混乱。有人说是“三网”，有人说是“两网”；即使是同一个名词，实际指的往往不是同一个网络，讨论时常你东我西。
    (一)基本概念
    2000年，国务院办公厅在阐述政务信息化建设目标时，提出了“三网一库”的概念。“三网”的概念秉承了传统的网络划分方法，其中，“内网”是处理各单位内部办公业务的网络，“专网”是各单位之间交换和共享信息的网络，“外网”是各单位向社会发布信息和提供服务的网络。
    2003年，国家又提出了“两网一站四库十二金”电子政务建设框架，将电子政务网络架构确定为“两网”，即“政务内网”和“政务外网”。“政务内网”包括“三网”中的“内网”和“专网”，其主要特点是：内部专用，即仅供政府内部使用，所有用户都是政府公职人员；高度涉密，即这个网上运行的政务信息在没有标明密级之前，按保密对待；物理隔离，即不仅要与互联网隔离，而且要与所有非政府网隔离；全面覆盖，即必须覆盖各级政府部门，确保政令畅通，不留死角。
    “政府外网”指的是部门业务专业网，在“三网”中没有对应概念，运行的是社会监管和公共服务信息，一般和非政府网互联，甚至和互联网互联。其主要特点是：
    （1）可有可无。具体到一个政府部门来讲，可能不需要外网。如不承担社会监管和公共服务职能的部门，没有独立的组织机构体系的部门等。
    （2）可大可小。根据社会监管和公共服务相对人的数量以及部门组织机构体系的大小，“政府外网”的规模可大可小。
    （3）可通可断。各部门“政府外网”不要求互联互通，是通是断完全根据实际工作需要来定。
    (二)实践案例
    “两网”的概念适合于网络建设的部署。以宁波为例，宁波市电子政务网络包括政务内网和政务外网。政务内网由核心政务内网和地方政务内网构成，核心政务内网是副省级以上政务部门的涉密办公业务网络，由中办和国办提出要求；地方政务内网是宁波市与各县（市）、区政务部门的涉密办公业务网络，由宁波市政府提出要求。核心政务内网分别与地方政务内网和政务外网物理隔离；地方政务内网与政务外网可以选用物理隔离或逻辑隔离；政务外网与基于互联网的公共服务平台逻辑隔离。由此可见，尽管按“两网”概念建设，但其政务内网却由核心政务内网和地方政务内网构成，而地方政务内网与政务外网可以选用逻辑隔离。
    “三网”的概念适合于应用建设的部署。以青岛市为例，青岛市电子政务网络建设从2006年开始探讨在国家规定的两个网络架构的基础上，增加了政务专网，从而构筑了以“三网”为基本架构的电子政务网络平台：即政务内网、政务专网和政务外网，分别对应党政涉密网、非涉密网和公共服务网。本文认为青岛模式将电子政务网络架构分为“政务内网”、“政务专网”和“政务外网”可操作性强，更便于应用部署。
    目前，山东省滨州市正在参照青岛模式进行全市电子政务网络建设，其网络架构遵循的是“小内网、大专网、小外网”的思路，政务内网、政务专网分别与其他网络物理隔离，政务外网与互联网逻辑隔离。
隔离技术——电子政务安全的基础防御措施
    网络隔离技术的目标是确保把有害的攻击隔离，在保证可信网络内部信息不外泄的前提下，和可信网络外部完成网间数据的安全交换。网络隔离技术一般可分为物理隔离技术、逻辑隔离技术。
(一)物理隔离技术
    物理隔离技术所连接的两个独立主机系统之间，不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议，不存在依据协议的信息包转发，只有数据文件的无协议“摆渡”，且对固态存储介质只有“读”和“写”两个命令。所以，物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接，使“黑客”无法入侵、无法攻击、无法破坏，实现了真正的安全。
    目前常用的物理隔离技术有：采用两台电脑、分别联接内外两个网络的线路隔离技术；在原有机器上增加一块硬盘和一个隔离卡来实现物理隔离的隔离卡技术；以及通过专用硬件使两个或者两个以上的网络在不连通的情况下实现安全数据传输和资源共享的隔离网闸技术。前两种方式存在投资成本或增加或浪费的缺点，相比之下，隔离网闸技术的安全性要高于防火墙，在数据交换方面远优于物理隔离卡。
    (二)逻辑隔离技术
    逻辑隔离技术即不是通过物理设备或从物理层上将两个网络隔离开来，而是要通过TCP/IP协议、操作系统等高层的单元的设置和隔离将网络通信和信息传输根据需要灵活地进行有效的隔离，有时也称为“网络隔离”。常用的技术有防火墙技术、虚拟专用网技术VPN等。
    防火墙技术。防火墙是内外网之间的第一道安全屏障，可以防止非法用户的访问和非法IP数据包的通过。到目前为止，防火墙技术基本上分为六大类，即静态包过滤技术、网络地址转换技术、状态检测包过滤技术、电路代理技术、应用代理技术和智能过滤技术。防火墙侧重于网络层至应用层的策略隔离，往往还会存在一些安全问题，如本身操作系统、内部系统的漏洞、通用协议的缺陷等会造成被攻击。
    虚拟专用网技术VPN。虚拟专用网（VPN）可让政府利用Internet来建立自己的内部网。VPN提供了安全、廉价和高性能的网络解决方案，将分散在不同办公地点的网络通过公共网络连接起来。VPN的实现是采用隧道技术（数据包封装、发送和拆封过程称为“隧道”）。隧道将原始数据包隐藏（或称封装）在新的数据包内部。新的数据包可能包含新的寻址和路由信息，这使新的数据包得以在网络上传输。当隧道与保密性结合时，在网络上窃听通信的人将无法获取原始数据包数据（以及原始的源和目的）。封装的数据包到达目的地后，封装报头被删除，原始数据包报头被用来将数据包路由到最终目的地。政府网的数据依靠隧道协议封装在隧道中进行传输，保证数据在公共网络上流动的安全。
安全体系——电子政务安全的纵深防御措施
    无论是政务内网还是政务外网，都具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征，致使网络易受黑客、病毒、蠕虫、恶意软件和其他恶意的攻击，所以为了确保网上信息的安全和保密，必须建设电子政务安全纵深防御体系。
    (一)安全手段
    电子政务安全防护的主要手段包括以下8种，需全面了解，才能根据需要进行灵活选择或组合。
    一是防火墙系统。对内部网和外部网进行隔离保护，以防止互联网恶意攻击。　
    二是VPN系统。对远程办公人员及分支机构提供方便的IPSec VPN接入，保护数据传输过程中的安全，实现用户对服务器系统的受控访问。对内部笔记本电脑在外出后，接入内部网进行安全控制，有效防止病毒或黑客程序被携带进内网。　
    三是入侵检测系统。作为防火墙的功能互补，侵检测设备提供对监控网段的攻击的实时报警和积极响应，扩展系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。
    四是隐患扫描。对网络设备、操作系统和数据库三个方面进行扫描，指出有关网络的安全漏洞及被测系统的薄弱环节，给出详细的检测报告，并针对检测到的网络安全隐患给出相应的修补措施和安全建议。
    五是网络行为监控系统。对网络内的上网行为进行规范，并监控上网行为，过滤网页访问，过滤邮件，限制上网聊天行为，阻止不正当文件的下载。
    六是病毒防护系统。电子政务在建设局域网的同时应该考虑客户端网络版防病毒的配置，但是部署了网络版防病毒仍不能保证网络的真正安全，这是因为网络中的服务器和工作站没有得到足够的保护。为此，服务器和工作站还应该配备专门防病毒软件。
    七是带宽控制系统。使网管人员对网络中的实时数据流量情况能够清晰了解，掌握整个网络使用流量的平均标准，定位网络流量的基线，及时发现网络是否出现异常流量并控制带宽。比如，网络中经常出现一台电脑感染“流量”病毒，整个网络瘫痪的情况。通过带宽分配管理，对这种症状可以进行一定程度的控制。
    八是认证机构。采用公开密钥基础技术，专门提供网络身份认证服务，负责签发和管理数字证书，且具有权威性和公正性的第三方信任机构。目前，金融等领域已经采用CA认证系统，以确保交易安全。
    (二)安全体系建设
    随着信息安全环境的不断恶化，信息安全已经不再是单一安全产品逞英雄的时候，而是一个系统化的工程。对于各种安全事件，无论是入侵、蠕虫还是病毒，我们都可以把整个爆发的过程分为三个阶段：发作前、发作中、发作后。安全保障体系的建立就是要分别针对这三个阶段采取相应的控制手段，有效地使用正确的处理方法，保障信息系统的安全性。
    在安全事件发生之前，安全保障体系的作用主要是做出安全防护，避免各种安全隐患的发生。主要是根据安全等级的不同，把整个网络划分成不同的安全区域，在不同区域出口处部署访问控制设备，对进出区域的数据包进行IP、TCP、应用层的检查，鉴别和访问控制。同时，在网络出口处部署病毒过滤网关，在重要服务器或主机系统上部署防病毒软件，建立全网病毒监控和防护体系。
    在安全事件发作中，主要是对安全事件及时地监测出来，并根据预先设置的响应方式积极地做出反应，及时中断安全事件的发生，确保系统不会受到损害。具体地说，就是在网络内部部署入侵检测和漏洞扫描系统，实时对网络监控，定期对网络进行扫描，采用和防火墙联动的方式或其他积极响应方式，中断入侵连接，保护信息系统。
    安全事件发作后，即一旦安全防护设备被突破，能够通过入侵者留下的蛛丝马迹发现攻击的过程，分析造成的损失，并追究攻击者的责任。此时，安全保障体系的作用主要是对安全信息进行审计，及时发现曾经发生的安全威胁，对安全事件过程进行追踪，并评估对信息系统造成的损失。通过事件追踪，可以及时地发现保障体系中存在的防护和检测漏洞，及时的进行修补，使整个防护体系处于动态的安全平衡之中。
实施策略——电子政务安全的理性思维与科学推进
    (一)理性思维
    多年的信息化实践，使我们充分认识到了电子政务安全的重要性，但如何塑造安全的电子政务，用户很多时候都会感到茫然不知所措或者一味求全或者只是针对某个侧面展开安全建设。更多情况下安全方案任由集成商牵引，其中用户概念不清、存在认识误区、缺乏建设理念是主要原因。
    安全认识要突破片面性。在电子政务安全建设中，需要权衡安全、成本、效率三者的关系。绝对的安全是没有的，电子政务系统也不是“越安全越好”。不同的电子政务系统，对于信息安全的要求是不同的。因此，必须根据电子政务系统的实际要求做到恰到好处。用户在进行电子政务安全设计的时候，必须根据实际应用情况，协调好安全、成本、效率三者的关系。一个电子政务系统的安全保密性能超出安全保密的管理要求不但没有必要，而且还会造成资金上的浪费。
    安全规划要拥有前瞻性。由于受信息技术水平和建设资金等因素制约，许多政府尤其是基层政府的电子政务建设在规划上经常缺少前瞻性的安全规划，网络流量存在多个瓶颈，路由表庞大复杂，IP地址缺乏统一规划，广播流量可控性差，子网故障隔离性差，重要流量缺乏带宽管理和服务质量优先保证等一大堆问题。随着安全问题的不断出现，只能在运行过程中不停地修修补补，但是，这种修补只能解决暂时的问题，解决一个问题后，往往又有新问题出现。因此，用户在开始着手安全建设时，一定要有个总框架、一个大设计，然后逐步完善。如果开始建网时就考虑安全问题，在以后就可以节省很多人力物力。若缺乏资金，可采用跟进策略，先部署最基本的安全设施，让网络先用起来，随着应用的增加再逐步完善。
    安全产品要强调协调性。现有的信息安全产品中主要包括以下五大件：防火墙、入侵检测、安全评估（漏洞扫描或者脆弱性分析）、身份认证、数据备份。由于国内外网络安全产品五花八门，各种产品门类众多，技术水平也有很大差别，政府部门在选用安全产品的时候经常会难辨优劣。而且，在部署安全产品的时候，也缺乏全局性和产品互补性的考虑，某类型的产品重复设置，而另一类型的产品却没有考虑，各种安全产品的统一部署协调性就很难维持，因此，也很难让安全产品充分发挥其应有的功效。
    安全体系要讲究动态性。电子政务实质上是对当前工业时代政府形态的一种改造，即利用信息技术，超越时间、空间和部门分隔的制约，实现政府组织结构和工作流程的重组优化，构造出精简、高效、廉洁、开放的政府运作模式。电子政务的建立是一个动态过程，即使在发达国家也不可能一蹴而就，必须分步实施。今后，随着电子信息技术的不断发展，以及政府机构、运行体制和机制的改革，新的电子政务应用形式还将被不断地创造出来，所面临的安全形势也会不断变化，这就要求安全体系要随之调整。目前，对于安全产品的部署存在一个问题，很多用户认为把硬件产品买回来就安全了，而忽略安全的动态性，以至产品软件更新慢，配套的软件配置落后，造成安全产品的安全功能没有及时跟上安全威胁的变化。因此，根据安全需求的变化，动态调整安全策略和防护体系是必要的。
    安全管理要追求一致性。安全管理的混乱和规范化的管理制度相对滞后，造成很多管理安全漏洞。由于电子政务的网络是连接多个政务部门的城域网，需要跨部门地协调一致，来共同维护整个电子政务平台的安全。但是，由于不同政府部门的信息技术人才和信息化水平的差异性，以及不同政府部门存在一些相关的利益和冲突，因此，很难做到安全管理的统一协调性。一旦发生安全事件，故障定位不准，追查事故源困难，责任问题牵扯不清，从而造成事件的破坏性后果更为严重。因此，在安全建设之初就要制定规范化的管理制度和运行机制，追求安全管理的一致性。
    (二)科学实施
    对于电子政务安全，我们应当有这样一个基本理念，即信息安全问题要重视，不能低估，低估会给我们带来直接的经济和政治的损失。但是，信息安全问题也不能高估，高估它会给我们带来间接的损失,就可能防卫过当，就可能制约甚至阻挠电子政务的发展。
    确立安全体系。在电子政务安全技术不断发展的今天，全面加强安全技术的应用是电子政务发展的一个重要内容。但网络安全不仅仅是防火墙，也不是防病毒、入侵监测、防火墙、身份认证、加密等产品的简单堆砌，而是包括从系统到应用、从设备到服务的完整体系。电子政务信息安全保障是一个综合的复杂的问题。
    明确安全要点。在制定安全方案时，通常是从安全的基础设施着手，比如防火墙和防病毒软件。但有一些项目在关键的地方已经开始对入侵监测和安全审计做一些相应的解决方案，另外还要考虑加密技术和认证平台，这方面既要考虑国家的有关政策和规划，又要结合具体的业务特点，不能脱离部门的工作，脱离部门对安全的需求。比如，基层政府或公共部门主要政务活动一般不涉及国家机密，并且承担着大量的对企业、公众的面对面服务职能。因此，建立逻辑隔离的电子政务网络是在当前的技术条件下保证网络安全并提供电子政务服务比较好的解决方案。
    电子政务安全方案要点应包括以下四方面：
    一是电子政务要建立功能强大的网络管理中心。这个中心要对内容检查、系统管理、网络管理、网络安全管理、行为监控、代理（Agent）管理、网络远程服务监控和标准化执行实施统一分级监管。二是安全检测、监控、审计、追踪与定位系统的建设。对于所有的网络行为和物理接触设备行为，要求采用安全日志或记录进行审计、配备必要的信息安全检测、网络配置检测、计算机行为安全检测、网络行为检测、信息源追踪、定位技术产品等。三是大规模入侵检测和防护建设。配置对抗分布式拒绝服务攻击（DDOS）设备与系统，有对抗大规模陌生代理入侵的能力。四是制定安全应急规范和安全应急培训。参照国家信息基础设施应急体系建设指南和国内的相关标准，建立电子政务系统的应急规范，并进行应急演练。
    (三)认清形势，动态跟进
    一是要适时调整安全方案。信息系统、网络系统中可能存在大量的安全漏洞或不安全配置，同时，安全是一个动态变化的体系，应随着攻击技术的发展而实时调整，应该及时检测系统中的安全隐患，做到未雨绸缪。
    一劳永逸地解决网络安全问题是不现实的，一个完整的网络安全解决方案不可能在很短的时间全部实施完成，需要对整个安全建设过程进行合理的规划。根据电子政务网络安全现状，有步骤地分步实施。
    由于网络安全是动态的，虽然现在的方案解决了目前安全，但是随着时间的变化，原有的网络安全解决方案可能满足不了其需求，这时就需要对原有的网络解方案进行升级，所以现有的网络解决方案应该具有可扩展性。
    二是要优化组合安全产品。随着信息安全环境的不断恶化，信息安全已经不再是单一安全产品逞英雄的时候，而是一个系统化的工程。信息安全从单一的重视安全建设逐步发展到安全建设和安全运维并重，越来越多的组织意识到如何确保系统长期、动态的安全显得更为重要，因此对安全运维解决方案的需求变得日趋迫切。
    安全产品的重叠和简单堆砌已经让越来越多的客户感到厌倦，如何量化系统的安全程度？如何动态掌握系统地安全状况？如何系统地解决安全问题？已经成为客户目前最为迫切的需求。采用当今国内、国际上最先进和成熟的计算机软硬件平台、软件设计编程方法、开放式的体系结构和信息安全保障体系，使新建立的系统能够最大限度地适应今后的业务发展变化需要。
    以滨州市滨城区为例，由于目前滨城区信息化建设还处于刚刚起步阶段，在政务外网安全方面，采用了如下措施：采用防火墙/VPN，限制用户的访问，以实现基本安全；病毒防护方面，采用网络版和单机版相结合的方式，并做到即时升级，基本遏止了网络病毒的传播，确保了政府网络的基本安全；在流量控制方面，购置rouseOS软件进行流量控制管理，根据网络上各政府单位分布情况进行分组，对不同的组分配不同的网段，并限制流量（每个网段2兆），杜绝了“流量”病毒“一个感染全网瘫痪”的现象。随着应用向深度发展，逐步增加其他安全产品，完善安全体系。
    三是有效管理，保安全。“信息安全系统是三分技术，七分管理。”有数据显示，超过85%的安全威胁来自内部，内部人员或者内外勾结造成的泄密损失是黑客所造成损失的16倍，病毒所造成损失的12倍，而且呈不断上升的趋势。首先，需要推行强有力的安全管理规范，建立严格的安全管理制度。电子政务网络内部安全和外部安全一样重要，内部安全除了需要体系化的安全防御策略，还需要严格的、可操作性强的安全管理制度。制度的制订首先要规范，其次要强调制度的强制性、法规约束力和可操作性，这样才能保证制度的真正贯彻和执行。其次，要建立网络安全事件应急响应预案。网络安全事件应急响应预案是安全管理制度的一个重要部分。事前有预案，一旦发生安全事件，就可以触发相应的预案处理程序，在最短的时间内恢复正常的网络服务和信息服务，力求把安全事件的破坏力降到最低。
    (四)处理好发展与安全的关系
    电子政务安全策略就是“国家推动，社会参与，全局治理，积极防御，保障发展，适度安全”。一定要处理好发展和安全的关系。发展是第一位的，安全是为发展提供保障和支持。
    电子政务中安全保密和公共服务的关系是正三角和倒三角的关系，是相互各有侧重和相互弥补的关系。从中央权力机构到省级权力机构，到地级，到县区，安全保密的范围要求是逐步缩小。不同的保密等级要求不同的防护标准，我们有待探求不同的安全模式，以恰如其分地处理好保密和公开的关系，安全和发展的关系。
    （作者系山东省滨州市滨城区信息中心主任，国家系统分析师）