搜索
电子政务信息安全的法律问题一.电子政务信息安全的内涵和现状1、我国立法对信息安全的界定信息安全是指一个国家的社会信息化状态、信息技术体系不受威胁与侵害。在电子政务中,信息安全实质是由于计算机信息系统作为国家政务的载体和工具而引发的安全问题,它成为当前电子政务建设中的重中之重。电子政务中的信息安全也是国家安全的重要内容,是保障国家信息安全所不可或缺的组成部分。我国立法把信息安全界定为“保障计算机及其相关的和配套的设备、设施的安全,运行环境的安全,保障信息安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行”。从这一法律规定看,电子政务环境下,信息安全主要体现为计算机信息系统安全,它大致包括:(1)实体安全。设施安全是指计算机设备、设施以及其他媒体免遭自然或人为破坏。(2)数据安全。数据安全是指防止信息被故意的或偶然的非法授权泄漏、更改、破坏或使信息被非法系统辨识、控制,即确保信息的保密性、完整性、可用性、可控性。针对计算机信息系统中信息存在形式和运行特点,数据安全包括输入/输出数据安全、进入识别、控制、加密、审计跟踪、备份与恢复等方面。(3)运行安全。运行安全包括电源、机房管理、出入控制、数据与介质管理、运行管理等方面。(4)软件安全。软件安全包括软件开发规程、软件安全测试、软件的修改与复制等方面。(5)人的安全。人的安全主要是指计算机使用人员的安全意识、法律意识、安全技能等。2、电子政务中信息安全的特性电子政务中的信息安全包括了信息的以下几个特性:(1)保密性保密性是指网络信息不被泄露给未授权的人,即信息只为授权用户使用。(2)真实性真实性是指用户的身份是真实的。在电子政务系统中,如何防范冒充、伪造用户身份的不法行为,是真实性需要解决的问题。(3)完整性完整性是指信息在存储或传输过程中保持不被偶然或者蓄意地添加、删除、修改、乱序、重放等破坏和丢失的特性。完整性要求信息保持原样,确保信息的正确生成、正确存储、正确传输。影响信息完整性的主要因素有:设备故障、误码、人为攻击、计算机病毒等。(4)可靠性可靠性是指系统能在规定的条件和规定的时间内完成规定的功能的特性。它包括三方面:一是抗毁性,即系统在人为破坏下的可靠性。增强抗毁性可以有效地避免因各种灾害(如战争、地震)造成的大面积瘫痪事件。二是生存性,即系统在随机破坏下的可靠性。随机性破坏是指系统部件因为自然老化等造成的自然失效。三是有效性,它主要反映在网络信息系统的部件失效情况下,满足业务性能的可靠性。(5)可用性可用性是指网络信息可被授权用户并按需求使用的特性,它是网络信息系统面向用户的安全性能。(6)不可否认性不可否认性是指在网络信息系统的信息交互过程中,确信参与者的真实同一性,所有参与者都不可能否认或抵赖曾经完成的操作和承诺。数字签名技术是解决不可否认性的手段之一。(7)可控性可控性是对网络信息的传播及内容具有控制能力的特性。对于电子政务系统而言,可控性是十分重要的特点,所有需要公开发布的信息必须通过审核后才能发布。3、电子政务中信息安全面临的威胁威胁不仅来自于外部,也来自于内部。不仅间谍、罪犯可能对电子政务系统进行攻击,各种人员、机构出于各自的目的也可能对电子政务系统进行攻击。与传统政务不同,电子政务对信息技术有很大的依赖性,因此,信息系统自身存在的漏洞和缺陷会对政务机关业务的开展和连续运行造成安全隐患。电子政务面临的安全威胁可以分成两大类:(1)非人为的安全威胁。非人为的安全威胁分为两种:①自然灾害,如地震、水灾等。电子政务系统都是在一定的地理环境下运行的,自然灾害可能对电子政务系统造成毁灭性的破坏。②技术上的局限性。信息技术可能存在的漏洞和缺陷,如系统、硬件、软件的设计漏洞,配置漏洞等。信息系统的高度复杂性和技术的高速发展变化,使得信息系统的技术漏洞问题越来越被重视。(2)人为的安全威胁。人为的安全威胁根据行为人的主观意思不同,分为两种:①非恶意威胁,指行为人没有破坏政务信息系统的故意,但其行为对政务信息系统实际造成了威胁,如内部人员因经验不足、培训不足而进行的错误操作。错误操作的后果可能将敏感数据、文件泄露,也可能造成数据的严重损坏,破坏系统的正常运行。②恶意威胁,指出于各种目的对政务系统实施的攻击。人为的恶意威胁根据行为的方式不同,可以分为:①主动攻击。典型的例子如:A.恶意修改数据和安全配置参数。B.恶意建立未授权的网络连接,如拨号连接。非法的网络连接除了会造成信息泄露外,还可能被人用来攻击政务信息系统。C.恶意的物理损坏。D.越权。这是对政令发布执行、权限管理、责任认定、流程管理最大的威胁之一。E.利用软件、系统的故障和后门,等等。②被动攻击。这类攻击主要包括监视、接收、记录开放的通信信道上的信息传递,行为人主要是了解所传递的信息,一般不易被发现。典型的例子如:A.监视通信数据。B.通信流量分析。C.口令截获。口令一旦被截获,很容易被攻击者用来破坏政务信息系统。③接近攻击。在政务信息系统中,接近攻击容易发生在保安措施不到位的地方,攻击者在地理上尽量接近被攻击的网络、系统和设备,目的是收集、修改信息,或者破坏系统。接近可以是秘密的,也可以是公开的。接近攻击的典型例子如:A.偷取磁盘后又放回。B.偷窥屏幕信息。C.收集作废的打印纸。D.物理毁坏通信线路。E.利用电磁辐射和泄露接收信息。④分发攻击。是指攻击者在政务系统软件、硬件的开发、生产、运输和安装阶段,恶意修改设计、配置的行为。4、我国电子政务面临的信息安全问题有调查表明,我国大部分的政府网站目前还没有设置防火墙。国家有关部门通过模拟攻击,对650个政府上网单位的信息安全工作进行了检查,发现其中80%的网站没有安全措施,有的甚至被黑客攻击之后也不向有关部门报告。我们不清楚这些网站后面有多少政府部门内部的办公系统和存储秘密信息的数据库相连,所以无法准确判断多少政务信息面临被泄露、修改、删除的危险。在黑客技术十分发达的,这种现状对电子政务信息安全是个极大的威胁。总的说来,我国电子政务面临的信息安全问题主要表现在:一是政府信息网络安全存在隐患。网络非常脆弱,各种安全隐患普遍存在。掌握了一定技术的人可以轻易获取网络服务器上的用户账号信息和口令文件,并可进入系统修改、删除重要数据文件。一旦这些系统被非法侵入和破坏,将不能正常工作,甚至全部瘫痪。二是网络犯罪活动日益增多。近年来,金融机构内部利用计算机犯罪案件大幅度上升;在互联网上泄露国家秘密的案件屡有发生;另外,境内外黑客攻击破坏网络的问题十分严重。他们通常采用非法侵入重要信息系统,修改或破坏系统功能或数据等手段,造成数据丢失或系统瘫痪,给国家造成重大政治影响和经济损失。三是管理体制不完善。管理问题主要体现在以下几个方面:组织管理不完善,安全管理任务没有办法落实到人,没有明确责权;管理规范未建立,制度不完善;技术管理不到位,大多数只考虑防火墙、防病毒等基本技术安全措施,并没有提高到管理程度;日常管理存在很多漏洞,计算机的日常使用,信息保存、流转、归档都存在不同程度的漏洞。由此可见,我国电子政务信息安全不仅是技术的问题,还有人员意识问题、管理问题等。为了保证电子政务的安全性,政府必须从不同方面做好防范措施。首先,在电子政务投入使用之前,必须设立电子认证机构,由认证机构通过密码技术来确认本人的身份以及电子邮件是否来自本人或政府机关;第二,必须大力开发计算机防病毒技术和计算机安全技术,防止不法分子篡改数据等犯罪行为;第三,必须在法律上逐步建立和完善相关的法案,给予电子签名与手写签名、盖章相同的法律保障,制定出规范电子政务安全性的法规,例如“禁止非法入侵网络法”、“电子银行法”、“网络信息保护法”等等;第四,必须在政府各部门建立安全管理体系,包括安全检测、运行安全、信息安全、计算机安全、人员管理、计算机网络管理以及网络公共秩序安全等等;第五,必须不断完善密码技术,充分利用与电子政务相适应的电子安全技术,(包括用户身份的验证、网络的安全、主机的安全、内容的安全、系统的安全、通讯线路的安全等等),以便对系统的安全运行提供保障。二、网络犯罪与电子政务信息安全二十世纪七十年代以来,随着计算机在政府机关的广泛运用,大量重要机密的信息通过计算机处理,计算机系统也因此成为犯罪行为侵犯的目标。我国电子政务起步较晚,但面临的问题却是与世界同步。当计算机由单机应用发展到计算机网络,信息尚须通过线路传输,这使网络受到攻击的部位增多。为此,针对网络安全保护,出现了强制性控制机制、完善的鉴别机制和可靠的数据加密传输措施。除了上述技术防范机制外,从法律上对危害信息安全的行为进行立法规范,其威慑力可使有犯罪企图的人产生畏惧心理,从而减少犯罪的可能。1978年出现了世界上第一部计算机犯罪法——佛罗里达计算机犯罪法,而在此之前,对偷取信息、篡改信息是否有罪尚无法律依据。维护电子政务的信息安全,很重要的一项工作就是要打击针对政务信息系统的网络犯罪。网络犯罪,在这里特指通过网络侵犯计算机信息系统安全的犯罪。它受到两个方面的限制,第一,并不是所有通过网络进行的危害社会的行为都是网络犯罪;第二,法律没有明确规定为网络犯罪的,就不能追究其法律责任。关于网络犯罪的刑事立法,我国刑法典有三个条文的规定。1、刑法典关于网络犯罪的三个条文(1)第285条:非法侵入计算机信息系统罪条文:“违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。”(2)第286条:破坏计算机信息系统罪条文第1款:“违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。”第2款:“违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。”第3款:“故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。”(3)第287条:利用计算机实施的传统犯罪条文:“利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。”以上三个条文均适用于电子政务领域,其中第285条、第286条是针对信息安全所作的规定,而第287条并不是完全针对信息安全的,只有当行为人利用计算机实施的犯罪危及信息安全时,才是本文要探讨的内容。2、需要明确的几个问题(1)“违反国家规定”的含义《刑法》第96条规定:“本法所称违反国家规定,是指违反全国人民代表大会及其常务委员会制定的法律和决定,国务院制定的行政法规、规定的行政措施、发布的决定和命令。”具体而言,包括:《全国人民代表大会常务委员会关于维护互联网安全的决定》、《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《中华人民共和国保守国家秘密法》等法律、法规。国务院相关部委以及各级地方政府颁布实施的网络管理、信息安全的规章制度,如公安部发布的《计算机信息网络国际联网安全保护管理办法》,不包含在规定之中。(2)单位能否构成《刑法》第285、286条规定的犯罪的主体在此,主要是讨论单位能否构成非法侵入计算机信息系统罪和破坏计算机信息系统罪的主体。至于单位能否构成利用计算机网络进行的其他犯罪的主体,则根据刑法有关各罪的规定来确定。单位能否构成上述两罪的主体,理论界有两种不同的观点。①一种观点认为可以构成两罪的主体。依据是:根据《中华人民共和国计算机信息系统保护条例》第七条规定,“任何组织或者个人,不得利用计算机系统从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机系统的安全。”在这里,“任何组织”包括单位,因此,单位可以构成犯罪主体。②另一种观点认为,两罪的主体只能是自然人。依据是:《刑法》第30条规定,“公司、企业、事业单位、机关、团体实施的危害社会的行为,法律规定为单位犯罪的,应当负刑事责任。”根据这条规定,只有法律明文规定单位可以构成犯罪的,单位