第一篇:關于電子政務信息安全管理體系建設的問題
關于電子政務信息安全管理體系建設的幾點思考
一、概述
電子政務是政府管理方式的革命,它是運用信息以及通信技術打破行政機關的組織界限,構建一個電子化的虛擬機關,使公眾擺脫傳統的層層關卡以及書面審核的作業方式,并依據人們的需求、人們可以獲取的方式、人們要求的時間及地點等,高效快捷地向人們提供各種不同的服務選擇。政府機關之間以及政府與社會各界之間也經由各種電子化渠道進行相互溝通。
電子政務的建立將使政府社會服務職能得到最大程度的發揮,但也使政府敏感信息暴露在無孔不入的網絡威脅面前。由于電子政務信息網絡上有相當多的政府公文在流轉,其中不乏重要信息,內部網絡上有著大量高度機密的數據和信息,直接涉及政府的核心政務,它關系到政府部門、各大系統乃至整個國家的利益,有的甚至涉及國家安全。因此,電子政務信息安全是制約電子政務建設與發展的首要問題和核心問題,是電子政務的職能與優勢得以實現的根本前提。如果電子政務信息安全得不到保障,不僅電子政務的便利與效率無從保證,更會給國家利益帶來嚴重威脅。
二、電子政務信息系統面臨的威脅
電子政務涉及對政府機密信息和敏感政務的保護、維護公共秩序和行政監管的準確實施以及為保障社會提供公共服務的質量。電子政務作為政府有效決策、管理、服務的重要手段,必然會遇到各種敵對勢力、恐怖集團、搗亂分子的破壞和攻擊。尤其是,電子政務在基于互聯網的網絡平臺上,他包括政務內網、政務外網和互聯網,而互聯網是一個無行政主管的全球網絡,自身缺少設防,安全隱患很多,使得不法分子利用互聯網進行犯罪有機可乘,這就使得基于互聯網開展的電子政務應用面臨著嚴峻的挑戰。
對電子政務的安全威脅包括網上黑客入侵和犯罪、病毒泛濫和蔓延,信息間諜的潛入和竊密,網絡恐怖集團的攻擊和破壞,內部人員的違規和違法操作,網絡系統的脆弱和癱瘓,信息安全產品的失控等,對于這些威脅,電子政務的建設和應用應引起足夠警惕,采取果斷的安全措施,應對這種挑戰。
三、電子政務信息安全管理體系的構建
要有效維護電子政務信息系統的安全,就需要構建電子政務安全管理體系,從而使政務的信息基礎設施、信息應用服務能夠具有保密性、完整性、真實性和可用性。電子政務安全管理體系包括安全技術體系、安全管理體系和安全服務體系,涉及從管理到組織,從網絡到數據,從法規標準到基礎設施等各個方面。加強安全技術力量是實現電子政務安全的基本方法
安全技術體系是利用技術手段實現技術層面的安全保護,是對電子政務安全防護體系的完善,包括網絡安全體系、數據安全傳輸與存儲體系,功能主要是通過各種技術手段實現技術層次的安全保護。
網絡安全體系包括網閘、入侵檢測、漏洞檢測、外聯和接入檢測、補丁管理、防火墻、身份鑒別和認證、系統訪問控制、網絡審計等;數據安全與傳輸與存儲體系包括數據備份恢復、PKI/CA、PMI等。整個電子政務的安全,涉及信息安全產品的全局配套和科學布置,產品選擇應充分考慮產品的自主權和自控權。在關鍵技術、經營管理、生產規模、服務觀念等方面,要集中人力、物力,制訂相關政策,大力發展自主知識產權的計算機芯片、操作系統等信息安全技術產品,以確保關鍵政府部門的信息系統的網絡安全。加強核心技術的自主研發,并盡快使之產品化和產業化,尤其是操作系統技術和計算機芯片技術。現階段各地政府部門目前所選用的高端軟硬件平臺,很多都是國外公司的產品,這也對政務安全帶來了許多隱患。因此,在構建電子政務系統的時候,在可能的情況下,我們應盡量選用國產化技術和國內公司的產品。構建安全管理體系是電子政務安全實施的重要基礎
安全管理是解決電子政務的安全問題在技術以外的另一有力保障和途徑。由于安全的防范技術與破壞技術總是“勢均力敵”、“相互促進”的。作為防范者就更應該在安全防范的管理上下更大的工夫。安全管理主要涉及三個方面:法律法規、安全防護體系以及等級保護政策。
(1)法律政策、規章制度和標準規范
電子政務的工作內容和工作流程涉及到國家秘密與核心政務,它的安全關系到國家的主權、國家的安全和公眾利益,所以電子政務的安全實施和保障,必須以國家法規形式將其固化,形成全國共同遵守的規約。目前,世界上很多國家制定了與網絡安全相關的法律法規,如英國的《官方信息保護法》等。我國雖然頒發了一些與網絡安全有關的法律法規,如《計算機信息系統安全保護條例》、《計算機信息系統保密管理暫行規定》等等,但顯得很零散,還缺乏關于電子政務網絡安全的專門法規。此外,在完善法律法規的同時,還應該加大執法力度,嚴格執法,這一目標的實現不僅需要政府組織的努力,更要國家立法機構的參與和支持。(.2)電子政務防護體系
貫穿整個電子政務的安全防護體系,對電子政務安全實施起全面的指導作用,具體包括三個方面的內容:安全組織機構、安全人事管理、以及安全責任制度。建立安全組織機構,其目的是統一規劃各級網絡系統的安全、制定完善的安全策略和措施、協調各方面的安全事宜,主要職責包括制定整體安全策略、明確規章制度、落實各項安全措施實施,以及制訂安全應急方案和保密信息的安全策略;安全人事管理,其主要內容包括:人事審查與錄用、崗位與責任范圍的確定、工作評價、人事檔案管理、提升、調動與免職、基礎培訓等;制定和落實安全責任制度,包括系統運行維護管理制度、計算機處理控制管理制度、文檔資料管理制度、操作和管理人員管理制度、機房安全管理制度、定期檢查與監督制度、網絡通信安全管理制度、病毒防治管理制度、安全等級保護制度、對外交流安全維護制度,以及對外合作制度等。(3)等級保護制度
通過全面推行信息安全等級保護制度,逐步將信息安全等級保護制度落實到信息系統安全規劃、建設、測評、運行維護和使用等各個環節,使信息安全保障狀況得到基本改善。通過加強和規范信息安全等級保護管理,不斷提高信息安全保障能力,為維護信息網絡的安全穩定,促進信息化發展服務。
四、完善安全服務是維護電子政務安全實施的有力保障安全等級測評和風險評估管理
電子政務信息系統安全測評服務,其實質是通過科學、規范、公正的測試和評估向被測評單位證實其信息系統的安全性能符合等級保護的要求。
由于信息安全直接涉及國家利益、安全和主權,政府對信息產品、信息系統安全性的測評認證要更為嚴格。對信息系統和信息安全技術中的核心技術,由政府直接控制,在信息安全各主管部門的支持和指導下,依托專業的職能機構提供技術支持,形成政府的行政管理與技術支持相結合、相依賴的管理體制。風險管理是對項目風險的識別、分析和應對過程。它包括對正面事件效果的最大化及對負面事件影響的最小化。電子政務安全風險管理的主要任務是電子政務信息系統的風險評估并提出風險緩解措施,前者是識別并分析系統中的風險因素,估計可能造成的損失,后者是選擇和實施安全控制,將風險降低到一個可接受的水平。2 安全培訓服務
根據不同層次的人才需求,社會化的信息安全人才培養體系應分為專業型教育、應用型教育和安全素養教育三個層次。專業型教育主要是培養信息安全領域的專業研發、工程技術、戰略管理等方面的人才。應用型(半專業)教育則是以從事現代信息管理工作的人作為對象,培養目標是要求學生具備信息安全的基本知識、網絡和信息系統安全防范技能、組織機構或系統安全管理的能力等。這種應用型的信息安全教育要求受教育對象數量要多,覆蓋面要廣,基本信息技能要強。通過課程、講座、宣傳等多種形式,達到讓每一個人都具備必要的安全意識和常規的信息安全自我防范技術的目的。要求單位領導應具備必要信息安全意識和安全知識;信息管理人員應具備一定的信息安全知識和基本技能;從事信息服務或信息安全服務的有關人員應具備必要的信息安全知識和技術基礎等。
[1] 何玲,電子政務環境下政府電子文件管理新探索[D].成都:四川大學碩士學位論文,2008.[2] 電子政務:安全防護體系構建策略[EB/OL].http://www.tmdps.cn,2009.[3] 金江軍.電子政務信息安全體系建設[EB/OL].博客中國,2005.百度網 搜搜網
第二篇:電子政務信息安全和管理
電子政務信息安全和管理
一、電子政務順利實施的核心問題
電子政務是一種全新的政府管理方式,是一個基于網絡技術的綜合性業務模式。建立電子政務系統參公眾服務,必然要求這一系統必須是安全、可靠、抗災難、可恢復的。計算機和計算機網絡的共享、交互和快速為這種系統的建立提供了前提條件,互聯網技術的迅速發展和廣泛應用,又為電子政務系統不斷走向開放互聯提供了巨大推動力。隨著電子政務信息化的不斷發展,電子政務對于網絡系統的依賴性越來越強,政務系統作為關系國計民生的重要部分,在安全方面尤為重要,而由于互聯網的開放性和公共性帶來的不安全因素,使信息安全問題成為保障電子政務順利實施的核心問題。
二、電子政務信息安全面臨的問題
電子政務網分為政務內網(涉密網)和政務外網(非涉密網),兩網之間物理隔離,政務外網采取邏輯隔離與互聯網聯通。政府各部門大力推行的辦公自動化、網絡化、電子化、信息共享都以這些網絡為支撐,以TCP/IPV4為傳輸協議,該協議為開放協議,從協議規劃、服務模式、網絡管理等方面均缺乏安全性設計,所以電子政務信息系統就存在著諸多的安全隱患。
1.網絡安全規劃的不到位,造成網絡結構的不合理性。由于信息技術發展的歷史原因和建設資金問題,我國電子政務網絡的建設在規劃上經常缺少前瞻性的安全規劃,網絡流量存在多個瓶頸, IP地址缺乏統一規劃,廣播流量可控性差,子網故障隔離性差,重要流量缺乏帶寬管理和服務質量優先保證等一大堆問題。隨著安全問題的不斷出現,只能在運行過程中不停地修修補補。但是,這種修補只能解決暫時的問題,解決一個問題后,往往又有新問題出現。
2.關鍵核心技術還掌握,增加了我國基礎信息網絡和重要信息系統安全的隱患。我國對發達國家信息設備和信息技術存在很強的依賴性,信息化核心設備嚴重依賴國外,對引進技術和設備缺乏必要的信息管理和技術改造。尤其是在系統安全和安全協議的研究和應用方面與發達國家的差距很大。目前組成我國電子政務網絡的計算機網絡系統所用硬件、軟件、操作系統、網管軟件、各類應用系統、數據庫、防火墻、網絡接入設備、路由器、服務器基本上都是國外公司的產品,微機芯片都是INTEL系列,軟件基本上是微軟公司的產品,完全自主知識產權的產品基本沒有。這些因素使我國的電子政務網絡安全性能大大降低,我國的經濟和社會發展面臨著新的風險。
3.網絡安全管理的混亂和規范化的管理制度相對滯后,造成很多管理安全漏洞。由于電子政務的網絡是連接多個政務部門的廣域網或城域網,需要各部門協調一致,共同維護整個網絡平臺的安全。但是,由于不同政府部門的信息技術人才和信息化水平的差異性,以及不同政府部門存在一些相關的利益和沖突,因此,很難做到安全管理的統一協調性,一旦發生安全事件,故障定位不準,追查事故源困難,責任問題牽扯不清,從而造成事件的破壞性后果更為嚴重。
4.安全意識淡薄。目前,在電子政務信息的安全問題上還存在不少認知盲區和制約因素。網絡是新生事物,許多人一接觸就忙著用于學習、工作和娛樂等,對網絡信息的安全性無暇顧及,安全意識相當淡薄,對網絡信息不安全的事實認識不足。與此同時,機關、事業單位注重的是網絡效應,對安全領域的投入和管理遠遠不能滿足安全防范的要求。總體上看,網絡信息安全處于被動的封堵漏洞狀態,從上到下普遍存在僥幸心理,沒有形成主動防范、積極應對的全民意識,更無法從根本上提高網絡監測、防護、響應、恢復和抗擊能力。
三、電子政務信息安全措施
1.設備的物理安全。物理層的安全設計應從三個方面考慮:環境安全、設備安全、線路安全。采取的措施包括:機房屏蔽,電源接地,布線隱蔽,防雷。根據中央保密委有關文件規定,凡是計算機同時具有內網和外網的應用需求,必須采取網絡安全隔離技術,在計算機終端安裝隔離卡或安裝安全網閘,使內網與外網之間從根本上實現物理隔離,防止涉密信息通過外網泄漏。
2.信息的加密。電子政務應用涵蓋政府內部辦公和面對公眾的信息服務兩大方面。就政府內部辦公而言,電子政務系統涉及到部門與部門之間、上下級之間、地區與地區間的公文流轉,這些公文的信息往往涉及不宜公開的和有密級的內容。因此,在信息傳遞過程中,必須采取適當的加密方法對信息進行加密。可采用多種加密方式:a.基于IPsec的加密方式正被廣泛采用,其優點顯而易見:IPsec對應用系統透明且具有極強的安全性,這一點對于要開發龐大應用的電子政務來說,就顯得極有好處了,應用系統開發商不必為數據傳輸過程中的加密做過多的考慮,易于部署和維護。b.采用VPN技術在公共數據網上進行內部信息的安全傳輸。其優點是只增加端設備避免了重復建設。c.采用公鑰基礎設施技術(PKI)為基礎,以數據機密性、完整性、身份認證和行為的不可否認為安全目的為電子政務提供安全支持。
3.操作系統的安全性。網絡安全的重要基礎之一是安全的操作系統,因為所有的政務應用和安全措施都依賴操作系統提供底層支持。操作系統的漏洞或配置不當將有可能導致整個安全體系的崩潰。更危險的是,我們無法保證國外廠家的操作系統產品不存在后門。在操作系統安全方面,有兩點是值得考慮的:一是采用具有自主知識產權且源代碼對政府公開的產品;二是利用漏洞掃描工具定期檢查系統漏洞和配置更改情況,及時發現問題。
4.數據備份與容災。任何的安全措施都無法保證數據萬無一失,硬件故障、自然災害以及未知病毒的感染都有可能導致政府重要數據的丟失。因此,在電子政務安全體系中必須包括數據的容災與備份,并且最好是異地備份。
5.管理制度的完善。電子政務網絡內部安全和外部安全一樣重要,內部安全除了需要體系化的安全防御策略,還需要嚴格的、可操作性強的安全管理制度。制度的制訂首先要規范,其次要強調制度的強制性、法規約束力和可操作性,同時進行安全宣傳教育,增強安全意識的培養和信息安全知識的普及這樣才能保證制度的真正貫徹和執行加強。
6.建立網絡安全事件應急響應預案。網絡安全事件應急響應預案是安全管理制度的一個重要部分,這里單獨來討論,主要是考慮到其重要性。事前有預案,一旦發生安全事件,就可以觸發相應的預案處理程序,在最短的時間內恢復正常的網絡服務和信息服務,力求把安全事件的破壞力降到最低。□(編輯/李舶)
第三篇:電子政務信息安全保障體系
電子政務安全面臨威脅和挑戰
電子政務涉及對國家秘密信息和高敏感度核心政務的保護,設計維護公共秩序和行政監管的準確實施,涉及到為社會提供公共服務的質量保證。電子政務是黨委、政府、人大、政協有效決策、管理、服務的重要手段,必然會遇到各種敵對勢力、恐怖集團、搗亂分子的破壞和攻擊。尤其電子政務是搭建在基于互聯網技術的網絡平臺上,包括政務內網、政務外網和互聯網,而互聯網的安全先天不足,互聯網是一個無行政主管的全球網絡,自身缺少設防和安全隱患很多,對互聯網犯罪尚缺乏足夠的法律威懾,大量的跨國網絡犯罪給執法帶來很大的難度。所有上述分子利用互聯網進行犯罪則有機可乘,使基于互聯網開展的電子政務應用面臨著嚴峻的挑戰。
對電子政務的安全威脅,包括網上黑客入侵和犯罪、網上病毒泛濫和蔓延、信息間諜的潛入和竊密、網絡恐怖集團的攻擊和破壞、內部人員的違規和違法操作、網絡系統的脆弱和癱瘓、信息產品的失控等,應引起足夠警惕,采取安全措施,應對這種挑戰。
電子政務的安全目標和安全策略
電子政務的安全目標是,保護政務信息資源價值不受侵犯,保證信息資產的擁有者面臨最小的風險和獲取最大的安全利益,使政務的信息基礎設施、信息應用服務和信息內容為抵御上述威脅而具有保密性、完整性、真實性、可用性和可控性的能力。
為實現上述目標應采取積極的安全策略:
·國家主導、社會參與。電子政務安全關系到政府的辦公決策、行政監管和公共服務的高質量和可信實施的大事,必須由國家統籌規劃、社會積極參與,才能有效保障電子政務安全。
·全局治理、積極防御。電子政務安全必須采用法律威懾、管理制約、技術保障和安全基礎設施支撐的全局治理措施,并且實施防護、檢測、恢復和反制的積極防御手段,才能更為有效。
·等級保護、保障發展。要根據信息的價值等級及所面臨的威脅等級,選擇適度的安全機制強度等級和安全技術保障強壯性等級,尋求一個投入和風險可承受能力間的平衡點,保障電子政務系統健康和積極的發展。
電子政務安全保障體系框架
電子政務安全采取“國家推動、社會參與、全局治理、積極防御、等級保護、保障發展”的策略,鑒于電子政務的信息安全面臨的是一場高技術的對抗,是一場綜合性斗爭,涉及法律、管理、標準、技術、產品、服務和基礎設施諸多領域,所以電子政務安全,還要從全局來構建其安全保障的體系框架,以保障電子政務的健康發展。
電子政務安全保障體系由六要素組成,即安全法規、安全管理、安全標準、安全服務、安全技術產品和安全基礎設施等安全要素(見圖1)。
要素一 安全法律與政策
電子政務的工作內容和工作流程涉及到國家秘密與核心政務,它的安全關系到國家的主權、國家的安全和公眾利益,所以電子政務的安全實施和保障,必須以國家法規形式將其固化,形成全國共同遵守的規約,成為電子政務實施和運行的行為準則,成為電子政務國際交往的重要依據,保護守法者和依法者的合法權益,為司法和執法者提供法律依據,對違法、犯法者形成強大的威懾。
《中華人民共和國保護國家秘密法》已實施13年,已不完全適應我國當前保密工作的現狀,特別是電子政務的發展,亟待修訂。
政務信息公開是電子政務的重要原則,為了拉近政府和公眾的距離,使公眾具有知情權、參與權、監督權和享用政府服務的權利,為公眾提供良好的信息服務,充分挖掘政務信息的最大效益,開放政務信息資源(非國家涉密和適宜公開部分)服務于民是電子政務的重要特征。盡快制訂政務信息公開法,適度的解密和規范開放的規則,保護政府部門間信息的正常交流,保護社會公眾對信息的合法享用,打破對政務信息資源的壟斷和封鎖,提高政府行政透明度和民主進程是非常有利的和必需的。
電子政務亟待電子簽章和電子文檔的立法保護,國際已有近20多個國家對數字簽名和電子文檔進行了立法,使數字簽名和電子文檔在電子政務和電子商務運行中具有法律效力。這將大大促進電子政務和電子商務的健康發展,使電子政務原來的雙軌制走向單軌制,這有利于簡化程序、降低成本,充分顯示電子政務效益是非常有利的。
個人數據保護(隱私法)的需求伴隨電子政務的發展日顯突出。電子政務在實施行政監管和公眾服務中有大量的個人信息(自然人和法人),如戶籍、納稅、社保、信用等信息大量進入了政府網絡信息數據庫,它對完成電子政務職能發揮巨大作用。但是這些個人信息如果保護不力或無意被泄漏,而被非法濫用,就可能成為報復、盜竊、推銷、討債、盯梢的工具。在國外已經出現將盜用的個人隱私信息作為非法商品出售,以牟取暴利的情況,這樣直 接損害個人的利益,甚至危及個人的生命安危。因此加快個人數據保護法的制訂,是必要的。
還有很多法規的制訂都直接關系到電子政務的健康發展,加快制訂這些法規,勢在必行。
要素二 安全組織與管理
我國信息安全管理職能的格局已經形成,如國家安全部、國家保密局、國家密碼管理委員會、信息產業部、總參??分別執行各自的安全職能,維護國家信息安全。電子政務安全管理涉及到上述眾多的國家安全職能部門,其安全管理職能的協調需要由國家信息化領導機構,如國家信息化領導小組及其辦公室、國家電子政務協調小組、國家信息安全協調小組等來進行。各地區和部委建立相應的信息安全管理機構,以完成和強化信息安全的管理,形成自頂向下的信息安全管理組織體系,是電子政務安全實施的必要條件。
制訂頒發電子政務安全相關的各項管理條例,及時指導電子政務建設的各種行為,從立項、承包、采購、設計、實施、運行、操作、監理、服務等各階段入手,保障電子政務系統建設全程的安全和安全管理工作的程序化和制度化。
電子政務信息安全域的劃分與管理是至關重要的。電子政務有辦公決策、行政監管和公共服務等三種類型業務,其業務信息內容涉及國家機密、部門工作秘密、內部敏感信息和開放服務信息。既要保護國家秘密又要便于公開服務,因此對信息安全域的科學劃分和管理,將有益于電子政務網絡平臺的安全設計,有益于電子政務的健康和有效的實現。
制訂電子政務工程集成商的資質認證管理辦法、工程建設監理機構的管理辦法、工程外包商的管理機制和辦法,以確保電子政務工程建設的質量和安全,特別是對于電子政務系統的外包制更要有嚴格的制約和管理手段。對于電子政務中涉密系統工程的承建,還必須有國家保密局頒發的涉密系統集成資質證書,其他部分應具有國家或省市相應的系統集成商的資質證書。對于電子政務涉密部分,不允許托管和外包運行,電子政務其他部分將按相關管理條例執行。
電子政務工程中使用的信息安全產品,國家將制訂相應的采購管理政策,涉及密碼的信息安全產品需有國家密碼主管部門的批準證書,信息安全產品應有通過國家測評主管機構的安全測評的證書,維護信息安全產品的可信性。
電子政務系統信息內容根據管理需求,可以實施對信息內容的安全監控管理,以保護政務信息安全,防止由于內部違規或外部入侵可能造成的網絡泄密,同時也阻止有害信息內容在政務網上傳播。
制訂電子政務系統的人員管理、機構管理、文檔管理、操作管理、資產與配置管理、介質管理、服務管理、應急事件管理、保密管理、故障管理、開發與維護管理、作業連續性保障管理、標準與規范遵從性管理、物理環境管理等各種條例,確保電子政務系統的安全運行。
要素三 安全標準與規范
信息安全標準有利于安全產品的規范化,有利于保證產品安全可信性、實現產品的互聯和互操作性,以支持電子政務系統的互聯、更新和可擴展性,支持系統安全的測評與評估,保障電子政務系統的安全可靠。
國家已正式成立“信息安全標準化委員會”,近期成立了信息安全標準體系與協調工作組(WG1)、內容安全分級及標識工作組(WG2)、密碼算法與密碼模塊/KMI/VPN工作組(WG3)、PKI/PMI工作組(WG4)、信息安全評估工作組(WG5)、操作系統與數據庫安全工作組(WG6)、身份標識與鑒別協議工作組(WG9)、操作系統與數據庫安全工作組(WG10),以開展電子政務安全相關標準的研制工作,支撐電子政務安全對標準制訂的需求。
還將制訂下列標準:涉密電子文檔密級劃分和標記格式、內容健康性等級劃分與標記、內容敏感性等級劃分與標記、密碼算法標準、密碼模塊標準、密鑰管理標準、PKI/CA標準、PMI標準、信息系統安全評估和信息安全產品測評標準、應急響應等級、保護目標等級、應急響應指標、電子證據恢復與提取、電子證據有效性界定、電子證據保護、身份標識與鑒別、數據庫安全等級、操作系統安全等級、中間件安全等級、信息安全產品接口規范、數字簽名??。
要素四 安全保障與服務
1.電子政務系統建設,要構建其技術安全保障架構,對大型電子政務系統要建立縱深防御體系。
·設置政務內網的安全與控制策略;
·設置政務外網的安全與控制策略;
·設置進入互聯網的安全服務與控制策略;
·設置租用公網干線的安全服務與控制策略,包括有線通信、無線通信和衛星通信的安全服務與控制策略;
·設置政務計算環境的安全服務與機制。
采用縱深防御和多級設防,是電子政務安全保障的重要原則,通過全局性的安全防護、安全檢測、快速響應、集成的安全管理與安全設施的聯動控制,以達到系統具有防護、檢測、反應與恢復能力。
2.推廣電子政務信息系統安全工程(ISSE)的控制方法,全面實現安全服務要求。
電子政務安全系統的設計,首先要做好系統資產價值的分析,如物理資產的價值(系統環境、硬件、系統軟件)、信息資產的價值、其數據與國家利益和部門利益的關聯度;其業務系統(模型、流程、應用軟件)正常運行后果所產生的效益,從而確定系統安全應保護的目標,在上述分析的基礎上提出整個安全系統的安全需求,進一步定義達到這些安全需求所應具有的安全功能,然后探索系統可能面臨的威脅類型,并找出系統自身的脆弱性,這些威脅和脆弱性有:
·網上黑客與計算機犯罪;
·網絡病毒的蔓延與破壞;
·機要信息流失與信息間諜潛入;
·網上恐怖活動與信息戰;
·內部人員違規與違法;
·網上安全產品的失控;
·網絡與系統自身的漏洞與脆弱性。
在這些威脅面前,要分析哪些威脅是本系統主要面臨的威脅,哪些是次要的,對系統和任務造成的影響程度如何。進行定性和定量的分析,提出系統安全對策,確定承受風險的能力,尋找投入和風險承受能力間的平衡點,然后確定系統所需要的安全服務及對應的安全機制(見表一),從而配置系統的安全要素。在工程的生命周期中要進行風險管理、風險決策流程(見圖2),這種風險管理是要對電子政務全程進行的。
系統投入運行要對其安全性進行有效評估,即評估者給出的評估證據和建設者采用的技術保障設施,的確能使系統擁有者確信已選用技術對策,確實減少了系統的安全風險,滿足必要的風險策略(風險策略可以是“零”風險策略、最小風險策略、最大可承受風險策略或不計風險策略),使其達到保護系統資產價值所必需的能力(見圖3)。上述有效評估過程可用安全技術保障強壯性級別(IATRn)來描述:
IATRn=f(Vn,Tn,SMLn,EALn)
Tn:威脅等級
Vn:資產價值等級
SMLn:安全機制強度等級
EALn:評估保障等級
要素五 安全技術與產品
1. 加強安全技術和產品的自主研制和創新。
由于電子政務的國家涉密性,電子政務系統工程的安全保障需要各種有自主知識產權的信息安全技術和產品,全面推動自主研發和創新這些技術和產品是電子政務安全的需要。這些產品和技術可以分為六大類:
·基礎類:風險控制、體系結構、協議工程、有效評估、工程方法;
·關鍵類:密碼、安全基、內容安全、抗病毒、IDS、VPN、RBAC、強審計、邊界安全隔離;
·系統類:PKI、PMI、DRI、網絡預警、集成管理、KMI;
·應用類:EC、EG、NB、NS、NM、WF、XML、CSCW;
·物理與環境類:TEMPEX、物理識別;
·前瞻性:免疫技術、量子密碼、漂移技術、語義理解識別。
2.電子政務安全產品的選擇。
整個電子政務的安全,涉及信息安全產品的全局配套和科學布置,產品選擇應充分考慮產品的自主權和自控權。
產品可涉及安全操作系統、安全硬件平臺、安全數據庫、PKI/CA、PMI、VPN、安全網關、防火墻、數據加密機、入侵檢測(IDS)、漏洞掃描、計算機病毒防治工具、強審計工具、安全Web、安全郵件、安全設施集成管理平臺、內容識別和過濾產品、安全備份、電磁泄漏防護、安全隔離客戶機、安全網閘。
要素六 安全基礎設施
信息安全基礎設施是一種為信息系統應用主體和信息安全執法主體提供信息安全公共服務和支撐的社會基礎設施,方便信息應用主體安全防護機制的快速配置,有利于促進信息應用業務的健康發展,有利于信息安全技術和產品的標準化和促進其可信度的提高,有利于信息安全職能部門的監督和執法,有利于增強全社會信息安全移師和防護技能,有利于國家信息安全保障體系的建設。因此,推動電子政務的發展,應重視相關信息安全基礎設施的建設。
信息安全基礎設施有兩大類。
1.社會公共服務類
·基于PKI/PMI數字證書的信任和授權體系;
·基于CC/TCSEC的信息安全產品和系統的測評與評估體系;
·計算機病毒防治與服務體系;
·網絡應急響應與支援體系;
·災難恢復基礎設施;
·基于KMI的密鑰管理基礎設施。
2.行政監管執法類
·網絡信息內容安全監控體系;
·網絡犯罪監察與防范體系;
·電子信息保密監管體系;
·網絡偵控與反竊密體系;
·網絡監控、預警與反擊體系。
第四篇:我國電子政務信息安全管理問題研究
我國電子政務信息安全管理問題研究
作者: XXX 指導老師:XXX
內容摘要:電子政務是一種全新的政府管理方式,是一個基于網絡技術的綜合性業務模式。建立電子政務系統參與公眾服務,必然要求這一系統必須是安全、可靠、抗災難、可恢復的。隨著電子政務信息化的不斷發展,電子政務對于網絡系統的依賴性越來越強,政務系統作為關系國計民生的重要部分,在安全方面尤為重要。本文就主要從我國電子政務的發展歷程及面臨的主要挑戰,信息安全管理過程中出現的相關問題做一分析以及主要的管理措施加以論述。
關鍵詞:電子政務 信息安全 電子政務信息安全
一、我國電子政務發展的歷程,特點及主要趨勢
1、我國電子政務的發展歷程
電子政務的發展源于技術的進步和社會的演進,信息技術的突破性進展為政府信息化創造了條件,中國政府明確提出建設電子政務雖然只是近幾年的事,但從歷史沿革來看,80年代中期開始的辦公自動化建設,就已經拉開了電子政務建設的帷幕。從這一時間段來劃分,中國電子政務的發展大體可分為四個階段:辦公自動化階段、“三金工程”實施階段、“政府上網”階段和電子政務階段。
2、我國電子政務的特點
(1)我國電子政務整體尚處在初步發展階段。表現為相關政策,法律法規的建設不完善,電子政務信息化建設物理硬件設施不夠完善,相關技術整體上還有很大的發展空間。
(2)發展的多層次性和不平衡性。由于我國經濟社會發展不平穩,中央部委、沿海發達地區和中西部地區電子政務的發展水平存在較大差距,呈現出多層次、不平衡性的特點。另外,近幾年政府門戶網站的發展較快,但網站內容與所能提供的服務卻相對不足。
(3)電子政務領域各種“矛盾”突出。部門和地區對電子政務的投資熱情與應用效果之間的反差強烈,電子政務管理沿用的固定資產投資方式已不能適應電子政務發展的需要,但相關的管理制度改革卻處于相對緩慢的狀態。
3、我國電子政府發展的主要趨勢
(1)信息安全得到加強。從政府層面來看,電子政務安全體系框架正在研究制定,電子簽名法
(1)
已經推出,信息公開等方面的法律法規的前期研究工作也在進行當中;從用戶層面來看,電子政務建設的用戶從規劃、實施等方面都已對信息安全進行了充分考慮,并且信息安全方面的費用在整個信息化建設中所占的比例越來越大;從廠商層面來看,國內外安全廠商在整個IT行業中發展速度較快,廠商數量和廠商規模都在迅速增長。可以預計,未來幾年信息安全市場將會有更進一步的發展,信息安全法律法規將會更加完善。
(2)信息中心轉型步伐進一步加快。未來幾年,多數信息中心將不再具體承擔政府部門的信息化建設任務,而轉向政府信息化規劃、招投標、工程管理、工程驗收等方面。因此,未來的電子政務建設市場將進一步的透明,并且由于信息中心的轉型,使專門從事電子政務系統集成、方案開發的廠商有了更大的發展空間和市場。
(3)標準規范將不斷完善。2002年5月,國家標準化管理委員會和國務院信息化工作辦公室聯合發布了《電子政務標準化指南》總則部分,與之相關的電子政務工程管理、網絡建設、信息共享、支撐技術、信息安全等方面的技術要求、標準和管理規定在2003年已完成。2004年,從事系統集成、網絡建設、信息安全等方面的廠商,在開發建設過程中已有法可依。
二、我國電子政務信息安全存在的問題
1、法律問題
盡管近年來我國已出臺了一系列與網絡信息安全相關的法律法規,并取得了一定的成績,但這些法律法規尚未形成體系。隨著信息技術的發展,信息安全問題越來越復雜,現有的信息安全法律框架已經難以適應電子政務信息化模式的發展需求。因此加快電子政務信息化的法律法規建設以成為一項非常急迫的任務。
2、技術問題
(1)網絡安全規劃與網絡結構的不合理性。
由于信息技術發展尚不完善的眾多原因,我國電子政務網絡的建設在規劃上經常缺少前瞻性的安全規劃,如:IP 地址缺乏統一規劃,廣播流量可控性差,子網故障隔離性差,重要流量缺乏帶寬管理和服務質量優先保證等問題顯現明顯。
(2)電子政務信息化建設技術人員相對缺乏,技術等素質不過硬。
我國信息化建設相對國對發達國家的信息設備和信息技術有很大的差異,技術人員培養力度也比發達國家相對來說不足,信息化核心設備嚴重依賴國外,對引進的技術和設備缺乏必要的信息管理和技術改造。尤其是在系統安全和安全協議的研究和應用方面與發達國家的差距很大。(3)網絡技術與網絡設置的不科學,造成了大量的網絡安全隱患。
電子政務本身所具有的特點決定了它很容易招致來自外部或內部的各種攻擊。同時,網絡化政務辦公導致了政府工作對網絡依賴性的增強,而依賴性必然產生脆弱性,包括技術的脆弱性、社會
(2)的脆弱性、人的脆弱性等等。由于網絡技術不夠成熟,網絡設置不夠科學,目前大部分電子政務選用的系統本身存在著安全弱點或隱患,其中包括網絡硬件設備的弱點、操作平臺的弱點等各種安全問題。由于電子政務在很大程度上要依賴因特網,而因特網的全球性、開放性在為我們提供極大的便利的同時,也給信息安全帶來了極大的威脅,這就需要我們努力的利用先進的網絡技術來減少或消除這些威脅。
3、管理問題
(1)政府工作人員思想觀念陳舊,安全意識淡薄。
我國電子政務建設起點低,時間短,至今仍未成熟。幾十年來,政府工作人員已經習慣了手工作業,不容易適應信息化辦公,對電子政務沒有一個正確的認識,仍保留著陳舊的管理理念。另外,對于工作人員,在電子政務信息的安全問題上還存在不少認知盲區和制約因素。網絡是新生事物,許多人一接觸它就忙著用于學習、工作和娛樂等,對網絡信息的安全性無暇顧及,安全意識相當淡薄,對網絡信息不安全的事實認識不足。雖然政府已經采取了很多措施來提高工作人員的安全意識,但就其效果而言并不是很理想。
(2)管理體制問題突出,網絡安全管理混亂,規范化的管理制度相對滯后,造成了很多管理安全漏洞。
一直以來,各級政府為了保證信息安全,只在技術上采取了相應的保障措施,卻忽略了更重要的管理體制的建設,未把保障電子政務安全的“軟措施”做細做實,未從管理體制上落實安全責任制,未建立完備的信息安全管理和認證機制等。這使電子政務系統存在很多管理安全漏洞,很難做到安全管理的統一協調性,一旦發生安全事件,故障定位不準,追查事故源困難,責任問題牽扯不清,從而造成事件的破壞性后果更為嚴重。
三、我國電子政務信息安全管理措施
1、完善管理體制,規范管理制度。
目前,我國電子政務領域并沒有形成一個由上到下的統一的管理體制,這給信息安全的保障造成了很大的障礙。這就需要國家相關部門建立一個從中央到各級地方政府的統一的電子政務管理體制,上級部門主管或監督下級部門,面對問題,中央及各級下屬部門協調步伐,統一解決,以防出現不同部門的各種差異和利益沖突。電子政務網絡內部安全除了需要體系化的安全防御策略以外,還需要嚴格的、可操作性強的安全管理制度,以明確責任,增強員工對信息安全的重視程度。制度的制訂要規范,要強調制度的強制性、法規約束力和可操作性。
2、提高工作人員的信息素養,強化信息安全意識。
對相關工作人員進行電子政務方面相關知識的培訓,使其轉變傳統的思想觀念,深入了解和認識電子政務,更好地融入政府的現代化辦公。同時進行安全宣傳教育,增強安全意識的培養和信息
(3)
安全知識的普及,提高工作人員的信息素養,保證安全管理制度的良好貫徹和執行。
3、加強電子政務的法治環境建設。
與電子政務快速發展的實踐相比,我國的電子政務法制化進程明顯滯后。對于我國電子政務發展中出現的各種問題,尤其是信息安全問題,國家立法機關及政府有必要以法律的形式加以解決和固化,以保證我國電子政務的健康發展。
4、加強網絡核心技術研發,培養電子政務專業人才。
電子政務的發展已經成為我國現階段社會發展的一個重要組成部分,為了減少在信息設備和信息技術方面對發達國家的依賴性,加強我國電子政務系統的安全性,可以成立專門的針對電子政務網絡系統的技術研發機構,組成核心攻堅團隊,及時解決我國電子政務發展過程中出現的相關問題。另外,為了保證電子政務系統的良好運行,我國還急需培養大批的電子政務專業人才,可以在高校中設立電子政務相關專業,專門培養針對政府電子政務系統使用的專業人才。
四、電子政務信息安全管理應用的主要技術
1、防火墻技術
防火墻技術在信息安全管理中顯得尤為重要,是一個有軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障。在當今政務公開,政府工作注重高效性情況下,將防火墻技術應用到電子政務中,對于信息安全的建設與發展都起到了不可忽視的作用。
2、VPN技術
VPN(Virtual Private Network)即虛擬專用網,是通過一個公用網絡(通常是因特網)建立一個臨時的、安全的連接,是一條穿過混亂的公用網絡的安全、穩定的隧道。通常,VPN 是對企業內部網的擴展,通過它可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接,并保證數據的安全傳輸。VPN 可用于不斷增長的移動用戶的全球因特網接入,以實現安全連接;可用于實現企業網站之間安全通信的虛擬專用線路,用于經濟有效地連接到商業伙伴和用戶的安全外聯網虛擬專用網。將VPN技術所涉及到數據安全連接及政府網站的擴展操作,在一定意義上起到了電子政務信息安全的管理問題。
3、PKI技術
PKI(Public Key Infrastucture)即公鑰基礎設施,廣義上講,它是一套安全服務的集合,運用密碼學的基礎理論,為網絡應用提供認證、授權、加密、數字簽證等安全服務。PKI技術是一個廣闊的研究領域,在電子政務系統中的應用研究有著重要的實用意義,它在電子政務系統的安全性、公務員的素質、決策的科學性、行政效率等方面都有著積極的貢獻。因此PKI技術在電子政務中得到人們的日益重視。許多PKI技術不斷涌出,PKI對數據加密、數字簽名、反否認、數字完整性以及分辨所需的密鑰和認證實施了統一的集中化管理。基于PKI技術可構建安全性能很好的電子政務
(4)
應用系統。我國PKI理論的研究將走向成熟期,它的非常現實的應用前景和電子政務的發展要求完美結合,推進我國基于PKI的安全的電子政務發展。
五、結束語
隨著信息化技術的日新月異,電子政務信息安全的保障顯得尤為重要,同時也是一項關系多領域的綜合工程,必須從技術和管理兩方面入手,才能最大限度地保證電子政務信息安全。在電子政務中,要達到絕對的安全是不可能的,但是,當充分的認識到電子政務信息安全所涉及的各個方面后,從綜合的角度出發,就可以找到較好的辦法,盡可能的達到維護電子政務系統安全的最終目的。相信經過國家和地方各級政府部門的努力和緊密配合,在社會各方的大力幫助下,我國的電子政務信息安全隱患會降到最低,以保證電子政務實踐健康快速的發展!
參考文獻:
[1]趙國俊.電子政務教程[M].北京:中國人民大學出版社,2004.[2]韓文報.電子政務概論[M].北京:解放軍出版社,2005.[3]劉越男,王立清.政府網站的構建與運作[M].北京:中國人民大學出版社,2004.[4]謝先江.電子政務外網安全平臺建設基本問題初探[J].電子政務,2008.(5)
第五篇:電子政務信息門戶建設方案
1.現狀及需求
1.1 現狀和需求
經過多年的政府上網工程和一批“金”字工程等電子政務建設,各級政府職能部門已經基本構建了辦公管理系統和內、外網網站。但是由于技術、業務、需求、經費和管理等方面的問題,加上時間和歷史等原因,造成了各系統的開發平臺不同、操作系統不同,特別是數據庫管理系統千差萬別,從而形成了一個個信息孤島。國務院信息化工作辦公室明確指出 “當前電子政務的重點是解決‘信息孤島’問題,有計劃、有步驟地建設和整合統一的電子政務網絡平臺,為在網絡環境下實現各主要業務系統的互聯交換和資源共享,以及規范政府管理和服務創造必要條件,……”。
如何在保證信息安全的前提下,擺脫目前各部門、各系統的信息無法溝通、各自為政的局面,實現局域、廣域、異構操作系統和數據庫環境下的信息集成,將分散的信息資源更好地統一、整合、管理,并通過電子政務信息門戶呈現出來,實現以政務公開、行政審批、政府采購及以綜合數據倉庫為基礎的綜合查詢、統計分析、數據挖掘、政務協同系統開發和對政務辦公的監察審計,已成為提高各類電子政務應用水平的關鍵考慮!
1.2 什么是電子政務信息門戶的實施標準?
電子政務信息門戶是指“政府部門在一定范圍內的網絡信息門戶,整合政府部門需要提供給社會各方面的服務與信息資源,使用統一的安全認證管理,吸引用戶(企業和居民)到訪,實現所需服務的統一網絡入口。” 一個完善的政府信息門戶的設計和實現是要綜合考慮各方面的因素,達到下列要求:
1)集成現有應用系統和信息,增加政府的透明度。
連接、整合現有政府內外網各種廣域/局域、同異構軟件平臺、數據庫和應用系統,將信息從各個分散的系統抽取出來,進行清洗、整理、加工,通過電子政務信息門戶呈現出來。同時,信息在各個應用系統間的流動會進一步激活
2)統一信息平臺,提高政府辦事效率
集成了現有應用,實現了信息共享后,建立統一的政府信息平臺就非常必要,包括:統一平臺接入、統一身份認證和安全管理、統一資源調配等。在統一信息平臺之上,對內可以各部門間協同辦公,對外提供“一站式”、“一表式”服務,簡化政府辦事流程,提高辦事效率,減輕公眾負擔,樹立一個廉潔高效的服務型政府公眾形象。
3)豐富各種辦公應用,提供領導決策支持
統一開放的信息平臺為工作流(oa)、辦公助理、信息搜索引擎、以及個性化定制等各種應用提供了強大的支持。豐富辦公應用則進一步幫助政府辦公人員提高工作效率。
利用bi技術(包括數據挖掘、知識發現、推理等手段)把大量的無序數據轉化為有價值的知識信息,在戰略信息化的層次為領導決策、風險分析和預警提供服務,也成為衡量政府信息門戶的重要標準。
2.解決方案
如前所述,x認為:完善的電子政務信息門戶需要強大、安全統一的信息管理及靈活的數據交換的基礎。
電子政務信息門戶首先要解決信息孤島,不同的信息分布在不同的業務系統之中,分布在不同的部門里面,甚至不同的網絡中。如何將這些信息從不同的地方很方便和靈活的抽取出來,實現數據的集成、共享和交換,打造結實的集成平臺,是電子政務首先要解決的重中之重。
在歷經數年研究統一信息平臺和綜合國內外各種電子政務方案后,x提出了基于x xml intelligenceplatform的電子政務信息門戶解決方案(x government information portal,i-gip)。
2.1.總體架構
x電子政務信息門戶(i-gip)旨在將政府信息化建設息息相關的各種核心業務應用及多種結構化和非結構化信息,通過web方式整合在一起,對內、對外分別實現實現政府領導及公務員內部的協同辦公、政府與其服務對象之間的交互服務能通過多種途徑〔如pc、手機、pda等〕以唯一的接入點,訪問與之相關應用,獲取有針對性的信息,從而達到信息、數據與應用資源的共享及政府服務的便捷應用。
如下所示,x電子政務信息門戶(i-gip)利用xml技術,將政府各職能部門的數據源整合(包括公檢法信息庫、工商稅務信息庫、社會保障信息庫等),從中抽取數據并進行分析、挖掘,向政府人員、廣大企業、公眾等提供信息服務。整個方案具有如下特點:
● 數據中心建立在x xip之上,提供了數據集成、數據交換和數據同步的數據集成平臺;
● x xip內置了異構數據集成、交換和同步機制,確保在異構數據源的整合過程提供方便的管理、高性能的支持。
● 備份中心采用集群技術,負責數據中心內的所有服務器數據的安全備份和恢復,以保證有意外發生時的業務連續性;
● 綜合查詢系統應用整合后的信息資源:為公眾、政府工作人員提供經濟、人口、科技、疫情等各方面信息的查詢,提供協同工作的基礎。
2.2.技術特色
x電子政務信息門戶(i-gip)基于其自有產品x xip,遵循國家電子政務標準,以xml和web service標準技術整合現有多種系統和數據、信息源,同時又可以方便地集成第三方應用軟件,為統一電子政務系統提供了強大平臺。具體說來,其特色有以下幾點:
● 可伸縮的企業級應用集成體系結構: x integration manager支持多種技術快速集成各種信息、數據和應用,如關系性數據庫數據、數據倉庫、soa、web services、message queues、非結構化/半結構化文檔、blogs、xml等。系統提供開放式的api接口,可靈活集成現有應用系統,保證
以往投資得以重復利用,降低信息化成本。同時統一化的管理功能,提供方便的集成管理。
● 高性能的xml電子公文交換:《基于xml的電子公文格式》標志xml已經成為中國電子公文的標準數據格式。x xml database多次榮獲“全球最佳xml數據庫”,其強大的xml檢索引擎(通過xmark專業測試)和active-edge專利索引技術、tb級的海量信息存儲、完善的數據備份和故障恢復機制,為xml電子公文交換提供了一個安全可靠的高性能平臺。
● “dual-core”強大支持:對于交換數據的檢索支持,x提供了基于xml的xquery檢索和基于relation的sql檢索,這樣x提供了多數據之間的多種檢索方式,同時“dual-core”提供了強大的語法優化技術將能夠幫助開發和使用人員更加方便和快速的從異構數據源獲取數據,從而有利于集成的應用和開發。
● 個性化的快速信息發布:內容和風格的個性化定制、智能化的推送服務和快速信息發布是xml技術的先天優勢。x assembly manager提供了強大的發布功能,無論將數據轉化成用戶要求的格式(xml/html/pdf/word/excel等),并發送到其所要求的接收終端(手提電腦、手機、pda等),還是信息web發布管理功能,都符合當今電子政務信息門戶個性定制、移動服務等潮流。
● 提供協同辦公的支持:通過x xip實現了異構數據的流通,提供了跨部門之間合作信息的支持,這樣從信息化角度提高了協同辦公的方便性。
3.總結
“萬丈高樓平地起”——同樣,電子政務的成功也離不開堅實的信息基礎平臺。x電子政務信息門戶解決方案(i-gip)本著“治根、治本”的思想,借助國家電子政務標準對xml的有力支持,依靠其安全、開放、標準的信息平臺x xml information hub,利用xml和web service集成政府內部的各種系統(辦公自動化系統、業務系統、人事、財務、稅務等),建立統一政務信息平臺,實現了信息流通、資源共享。
x電子政務信息門戶解決方案(i-gip)不僅著眼于為政府內的工作人員服務,更致力于通過政府信息門戶向廣大企業、公眾提供信息發布、網上申報、辦件查詢、領導信箱、招商引資等手段,幫助政府樹立“服務型政府”新形象。
點擊咨詢 