一、前言
　　政务内网是指政府机关内部专门用于处理业务工作的办公网络，是政府部门内部工作联络、信息传递的现代化信息基础设施。其特点有二：一是与社会信息网络物理隔离、相对独立运行；二是涵盖政府部门用于执行政府职能的信息系统，所涉及的众多信息都带有保密性。
　　电子政务给传统的政府工作注入了全新活力，大大提高了行政管理效率，改善了政府工作环境，增强了政府行政能力。目前，信息技术已渗透并服务于政府工作的各个领域，正在发挥着越来越重要的作用。但是，信息技术也是一把 “ 双刃剑 ” ，它在提高政府工作效率的同时，也引入了众多安全隐患。特别是在政务内网的信息化建设过程中，从人、管理、技术三个方面衡量，还存在着内部公务人员信息安全意识不高、管理措施不到位、技术手段不足、信息化应用推进与信息安全建设不够同步等问题。在政府信息化推进过程中，这些问题产生的后果有可能给不法分子以可乘之机，而使政府造成损失；严重阻碍政府的行政工作，甚至还会造成政府工作系统的瘫痪，直接危害国家安全。
　　在信息时代 , 由网络信息安全问题引发的损失将会全方位地危及一个国家的政治、军事、经济、文化、社会生活的各个方面 , 使国家处于信息战和高度经济金融风险的威胁之中［ 2 ］。保证网络安全运行已提升到维护国家主权、保护国家安全的高度。因此，如何解决信息安全问题已经成为整个电子政务构建过程中所面临的重要课题。
　　二、政务内网安全风险分析
　　随着网络规模的不断扩大，网络及应用系统所受到的安全威胁就越严重。由于政府部门许多应用系统开发建设时间较早，早期的系统开发设计中对信息安全考虑较少，系统较脆弱，所面临的安全风险较大。为了达到信息安全的基本目的，必须积极预防可能出现的针对政务 内网信息及其应用系统的各种安全威胁。主要的安全风险包括以下６个方面。
　　⒈ 内部人员主动窃密和破坏
　　一是内部工作人员利用工作、职务之便，将其能接触到的文件、数据、内部工作信息等提供给敌对组织和个人。二是内部人员有意或无意泄密，更改记录信息，内部非授权人员有意或无意偷窃信息，更改网络配置和记录信息，内部人员破坏网络系统，等等。据统计，来自网络内部的攻击占整个安全攻击总量的 70% 以上。
　　⒉ 工作人员安全保密意识薄弱
　　少数工作人员缺乏基本的信息安全保密知识，不了解信息化过程中对应的安全风险，如内部口令互串；没有意识到信息安全问题不仅仅是职能部门的事，更是每个人必须遵守和维护的重要工作。在具体工作中，违规操作、有章不循、监管不力、 “ 制度如林，落实无人 ” 等现象大量存在。
　　⒊ 各种移动存储介质管理和使用混乱
　　对移动存储介质，移动计算机设备的使用上缺乏有效的监控手段，普遍存在随意处理各类密级文件、随意使用私人存储介质、随意拷贝文件的现象，如此造成知密面扩大，甚至移动设备丢失，直接造成泄密。
　　⒋ 对保密信息监管不力
　　各类电子文档在使用过程中有效的认证、授权使用和监管措施不够。电子文档不同于一般纸质文件，它的拷贝、复制和传递都具有特殊性。电子文档随意拷贝、复制，很有可能造成知密面扩大、文件丢失、文件被篡改甚至发生泄密事件。重要应用系统没有审计功能，或审计功能相对薄弱，对可能发生窃取行为、未经授权或越权使用资源的现象没有有效的记录和取证能力，无法满足事后追究责任的需要。
　　⒌ 技术措施不完善
　　一是在某些应用系统中安全性考虑不够，开发队伍缺乏保证应用安全的经验，应用系统配置和部署考虑安全性还不周到，对重要信息系统中数据的访问控制措施不够。二是内部网络系统由于文件交换等情况感染计算机病毒、网络蠕虫和其他恶意代码，直接造成系统破坏、网络瘫痪、数据丢失等。三是信息安全专职管理人员在数量上和技术上还不能满足政府高标准的安全保密工作需求，这就造成工作人员因人手问题而无法分权管理，因能力问题而不能提供有效保障。
　　⒍ 信息安全责任体系尚不健全
　　政务内网的信息安全责任体系尚不健全，存在各部门职责划分不清，多头指导、政出多门，建设和监督未能有效分离，检查督促不到位，出现问题难以落实到人等问题。这些问题造成内部管理混乱，责任不明确，技术措施不能到位，出现问题互相推诿等现象，严重影响政务内网整体的信息安全防范能力。
　　三、政务内网信息安全状况
　　基于以上安全风险分析，当前政务内网的信息安全综合保障能力与政府职能部门对信息安全保密整体要求仍有较大的差距，其突出表现在以下 5 个方面。
　　⒈ 内部工作人员的保密安全意识亟待加强
　　政府的工作性质决定了对工作人员有很高的保密要求，但是在日常工作中工作人员对信息安全问题还存在不少认知盲区，对网络信息不安全的事实认识不足，误认为政务内网实施了物理隔离就安全无忧了。不少工作人员的安全保密意识淡薄，这种有章不循、有禁不止的现象导致了很大的安全隐患。
　　⒉ 信息加密措施不能满足实际需要
　　加密是信息安全的核心，目前政务信息化建设正在不断深化，许多应用系统已应用于政务内网，越来越多的数据信息通过网络和计算机完成处理和交换任务。虽然目前已经对加密问题采取了一些措施，但加密仍是政务内网信息安全保密工作亟待解决的问题之一。
　　⒊ 信息安全组织管理、培训工作滞后
　　信息安全是一项管理工程，任何技术手段都需要管理来落实。目前政务内网的信息安全管理人员大多属于兼职，缺乏有力的组织保障以及系统和规范的教育培训。组织机构不健全严重影响了信息安全管理工作的落实，造成信息安全管理工作的滞后。
　　⒋ 信息安全整体防范工作薄弱
　　政务内网信息安全工作，仍停留在查缺补漏阶段，防范方式简单，对防范手段缺乏系统的梳理和体系化的规划建设，整体防范能力较低，普遍存在侥幸心理，没有形成主动防范、积极应对的全民意识 , 更无法从根本上提高网络监测、防护、响应、恢复和抗击能力。这种状况已不能适应政务工作信息化的需求。
　　⒌ 缺乏有针对性的信息安全防范技术措施
　　政府业务应用各类多样，其保密要求高，社会上通用的技术手段远远不能满足其安全需求；急需与之相适应的各类专用安全保密技术措施。
　　四、政务内网的安全需求
　　政务内网的安全需求主要包括以下一些方面：
　　⑴ 需要与外部社会公共信息网络实施严格的物理隔离或物理隔断；
　　⑵ 政务内网需要保护核心网络免遭非信任主体的外部干扰或篡改，或者其安全功能被非信任主体旁路；
　　⑶ 需要提供访问控制机制，确保对核心网络的不信任连接进行控制与防范，对各类共享信息的安全和有序访问；
　　⑷ 需要提供涉密信息在网络系统间的加密传输，保护其机密性和完整性的方法；
　　⑸ 需要提供产生证据的方法，该证据可用于抗抵赖服务；
　　⑹ 需要能唯一标识网络用户，在允许用户访问应用系统服务之前通过相应的身份鉴别；
　　⑺ 需要授权结果的有效性，确保授权数据源不能被非授权用户访问；
　　⑻ 需要提供集中的病毒检查和控制机制，确保所有内网主机系统和数据对病毒的侵扰具有预警和防范能力；
　　 ⑼ 需要提供与安全相关事件的记录和审计手段，并根据事件分析进行预警和防范的能力；
　　⑽ 需要提供管理和配置内部网络系统的安全措施，只有获得授权的管理员才能使用这些措施；
　　⑾ 需要提供相应的系统及数据备份机制。
　　五、政务内网信息安全防护对策
　　⒈ 强化安全教育
　　信息安全是电子政务开展各项工作的前提，更是维系工作的关键。信息化和信息安全的建设，需要带着安全保密意识来统一规划、规范指导、有效监管。信息安全是人、管理、技术的有机结合，其中人是根本，管理是关键，技术是保证。通过普及教育、专业培训等方式，对不同类型的人员进行相关的安全教育，要使所有公务人员都能充分认识到 “ 人是安全信息系统的重要组成部分 ” ，没有安全可靠的各级人员的参与，任何信息系统都是不安全的。越是对授予较高权限的人员，越要增强其安全意识。
　　⒉ 强化安全管理
　　建立信息安全责任体系，严格落实岗位责任制，建立全过程、全寿命的信息安全机制。通过加强组织保障、加强管理运行、加强针对措施、加强技术手段来减少人员违规操作和犯错误的机会。相关策略有：建立信息安全运行管理体系，以网络管理中心、审计与风险分析中心、检测与监控中心、 CA 中心、密钥管理中心、防病毒管理中心等为依托，分别对有关的安全机制进行统一配置和管理，汇集有关信息，并通过对汇集信息的分析做出行动决策；以严格的管理使技术措施发挥作用，以技术手段强化安全管理，使管理钢性化，形成威慑，不给不法分子以可乘之机，严防各类安全事件的发生。
　　⒊ 强化安全技术
　　⑴ 针对内部人员对网络信息系统的随意访问现象，可采取指纹、智能卡、网络身份认证（ PKI ／ CA ）等多种强认证方式实现身份认证和授权管理，保证内部信息的合法使用；
　　⑵ 针对内部人员随意拷贝、打印文件，安装、使用与工作无关软件等行为，可采用内部安全监控和审计技术，控制出入口，以保证信息的受控使用；
　　⑶ 针对涉密信息的传输加密问题，在链路层和网络层可使用国家密码管理局批准装备使用的密码设备；
　　⑷ 针对网络和重要数据库的访问审计薄弱，可采用网络与数据库审计系统，记录所有用户的使用行为，以保证事后追查；
　　⑸ 针对网络中的非法访问、攻击和病毒传播等问题，可采用防火墙、入侵检测、防病毒等多种技术手段，以保证基础网络系统的安全；
　　⑹ 针对移动介质的使用管理混乱问题，可采取标识和鉴别技术，保证工作用移动介质的授权使用，统一编码，统一管理，同时禁止私人移动存储介质在内部信息系统使用。
　　六、结束语
　　在政务信息化推进过程中，信息安全风险分析及信息安全防范工作，是一项长期而复杂的系统工程。各级公务人员必须时刻牢记和必须做到：将安全保密理念贯穿于整个涉密系统的生命周期，保证政务内网在规划、建设、测试、验收、运行、维护、升级以及废弃的全过程中都能处在一个符合规定要求、可接受的低风险状态。