第一篇:我國電子政務信息安全管理問題研究
我國電子政務信息安全管理問題研究
作者: XXX 指導老師:XXX
內容摘要:電子政務是一種全新的政府管理方式,是一個基于網絡技術的綜合性業務模式。建立電子政務系統參與公眾服務,必然要求這一系統必須是安全、可靠、抗災難、可恢復的。隨著電子政務信息化的不斷發展,電子政務對于網絡系統的依賴性越來越強,政務系統作為關系國計民生的重要部分,在安全方面尤為重要。本文就主要從我國電子政務的發展歷程及面臨的主要挑戰,信息安全管理過程中出現的相關問題做一分析以及主要的管理措施加以論述。
關鍵詞:電子政務 信息安全 電子政務信息安全
一、我國電子政務發展的歷程,特點及主要趨勢
1、我國電子政務的發展歷程
電子政務的發展源于技術的進步和社會的演進,信息技術的突破性進展為政府信息化創造了條件,中國政府明確提出建設電子政務雖然只是近幾年的事,但從歷史沿革來看,80年代中期開始的辦公自動化建設,就已經拉開了電子政務建設的帷幕。從這一時間段來劃分,中國電子政務的發展大體可分為四個階段:辦公自動化階段、“三金工程”實施階段、“政府上網”階段和電子政務階段。
2、我國電子政務的特點
(1)我國電子政務整體尚處在初步發展階段。表現為相關政策,法律法規的建設不完善,電子政務信息化建設物理硬件設施不夠完善,相關技術整體上還有很大的發展空間。
(2)發展的多層次性和不平衡性。由于我國經濟社會發展不平穩,中央部委、沿海發達地區和中西部地區電子政務的發展水平存在較大差距,呈現出多層次、不平衡性的特點。另外,近幾年政府門戶網站的發展較快,但網站內容與所能提供的服務卻相對不足。
(3)電子政務領域各種“矛盾”突出。部門和地區對電子政務的投資熱情與應用效果之間的反差強烈,電子政務管理沿用的固定資產投資方式已不能適應電子政務發展的需要,但相關的管理制度改革卻處于相對緩慢的狀態。
3、我國電子政府發展的主要趨勢
(1)信息安全得到加強。從政府層面來看,電子政務安全體系框架正在研究制定,電子簽名法
(1)
已經推出,信息公開等方面的法律法規的前期研究工作也在進行當中;從用戶層面來看,電子政務建設的用戶從規劃、實施等方面都已對信息安全進行了充分考慮,并且信息安全方面的費用在整個信息化建設中所占的比例越來越大;從廠商層面來看,國內外安全廠商在整個IT行業中發展速度較快,廠商數量和廠商規模都在迅速增長。可以預計,未來幾年信息安全市場將會有更進一步的發展,信息安全法律法規將會更加完善。
(2)信息中心轉型步伐進一步加快。未來幾年,多數信息中心將不再具體承擔政府部門的信息化建設任務,而轉向政府信息化規劃、招投標、工程管理、工程驗收等方面。因此,未來的電子政務建設市場將進一步的透明,并且由于信息中心的轉型,使專門從事電子政務系統集成、方案開發的廠商有了更大的發展空間和市場。
(3)標準規范將不斷完善。2002年5月,國家標準化管理委員會和國務院信息化工作辦公室聯合發布了《電子政務標準化指南》總則部分,與之相關的電子政務工程管理、網絡建設、信息共享、支撐技術、信息安全等方面的技術要求、標準和管理規定在2003年已完成。2004年,從事系統集成、網絡建設、信息安全等方面的廠商,在開發建設過程中已有法可依。
二、我國電子政務信息安全存在的問題
1、法律問題
盡管近年來我國已出臺了一系列與網絡信息安全相關的法律法規,并取得了一定的成績,但這些法律法規尚未形成體系。隨著信息技術的發展,信息安全問題越來越復雜,現有的信息安全法律框架已經難以適應電子政務信息化模式的發展需求。因此加快電子政務信息化的法律法規建設以成為一項非常急迫的任務。
2、技術問題
(1)網絡安全規劃與網絡結構的不合理性。
由于信息技術發展尚不完善的眾多原因,我國電子政務網絡的建設在規劃上經常缺少前瞻性的安全規劃,如:IP 地址缺乏統一規劃,廣播流量可控性差,子網故障隔離性差,重要流量缺乏帶寬管理和服務質量優先保證等問題顯現明顯。
(2)電子政務信息化建設技術人員相對缺乏,技術等素質不過硬。
我國信息化建設相對國對發達國家的信息設備和信息技術有很大的差異,技術人員培養力度也比發達國家相對來說不足,信息化核心設備嚴重依賴國外,對引進的技術和設備缺乏必要的信息管理和技術改造。尤其是在系統安全和安全協議的研究和應用方面與發達國家的差距很大。(3)網絡技術與網絡設置的不科學,造成了大量的網絡安全隱患。
電子政務本身所具有的特點決定了它很容易招致來自外部或內部的各種攻擊。同時,網絡化政務辦公導致了政府工作對網絡依賴性的增強,而依賴性必然產生脆弱性,包括技術的脆弱性、社會
(2)的脆弱性、人的脆弱性等等。由于網絡技術不夠成熟,網絡設置不夠科學,目前大部分電子政務選用的系統本身存在著安全弱點或隱患,其中包括網絡硬件設備的弱點、操作平臺的弱點等各種安全問題。由于電子政務在很大程度上要依賴因特網,而因特網的全球性、開放性在為我們提供極大的便利的同時,也給信息安全帶來了極大的威脅,這就需要我們努力的利用先進的網絡技術來減少或消除這些威脅。
3、管理問題
(1)政府工作人員思想觀念陳舊,安全意識淡薄。
我國電子政務建設起點低,時間短,至今仍未成熟。幾十年來,政府工作人員已經習慣了手工作業,不容易適應信息化辦公,對電子政務沒有一個正確的認識,仍保留著陳舊的管理理念。另外,對于工作人員,在電子政務信息的安全問題上還存在不少認知盲區和制約因素。網絡是新生事物,許多人一接觸它就忙著用于學習、工作和娛樂等,對網絡信息的安全性無暇顧及,安全意識相當淡薄,對網絡信息不安全的事實認識不足。雖然政府已經采取了很多措施來提高工作人員的安全意識,但就其效果而言并不是很理想。
(2)管理體制問題突出,網絡安全管理混亂,規范化的管理制度相對滯后,造成了很多管理安全漏洞。
一直以來,各級政府為了保證信息安全,只在技術上采取了相應的保障措施,卻忽略了更重要的管理體制的建設,未把保障電子政務安全的“軟措施”做細做實,未從管理體制上落實安全責任制,未建立完備的信息安全管理和認證機制等。這使電子政務系統存在很多管理安全漏洞,很難做到安全管理的統一協調性,一旦發生安全事件,故障定位不準,追查事故源困難,責任問題牽扯不清,從而造成事件的破壞性后果更為嚴重。
三、我國電子政務信息安全管理措施
1、完善管理體制,規范管理制度。
目前,我國電子政務領域并沒有形成一個由上到下的統一的管理體制,這給信息安全的保障造成了很大的障礙。這就需要國家相關部門建立一個從中央到各級地方政府的統一的電子政務管理體制,上級部門主管或監督下級部門,面對問題,中央及各級下屬部門協調步伐,統一解決,以防出現不同部門的各種差異和利益沖突。電子政務網絡內部安全除了需要體系化的安全防御策略以外,還需要嚴格的、可操作性強的安全管理制度,以明確責任,增強員工對信息安全的重視程度。制度的制訂要規范,要強調制度的強制性、法規約束力和可操作性。
2、提高工作人員的信息素養,強化信息安全意識。
對相關工作人員進行電子政務方面相關知識的培訓,使其轉變傳統的思想觀念,深入了解和認識電子政務,更好地融入政府的現代化辦公。同時進行安全宣傳教育,增強安全意識的培養和信息
(3)
安全知識的普及,提高工作人員的信息素養,保證安全管理制度的良好貫徹和執行。
3、加強電子政務的法治環境建設。
與電子政務快速發展的實踐相比,我國的電子政務法制化進程明顯滯后。對于我國電子政務發展中出現的各種問題,尤其是信息安全問題,國家立法機關及政府有必要以法律的形式加以解決和固化,以保證我國電子政務的健康發展。
4、加強網絡核心技術研發,培養電子政務專業人才。
電子政務的發展已經成為我國現階段社會發展的一個重要組成部分,為了減少在信息設備和信息技術方面對發達國家的依賴性,加強我國電子政務系統的安全性,可以成立專門的針對電子政務網絡系統的技術研發機構,組成核心攻堅團隊,及時解決我國電子政務發展過程中出現的相關問題。另外,為了保證電子政務系統的良好運行,我國還急需培養大批的電子政務專業人才,可以在高校中設立電子政務相關專業,專門培養針對政府電子政務系統使用的專業人才。
四、電子政務信息安全管理應用的主要技術
1、防火墻技術
防火墻技術在信息安全管理中顯得尤為重要,是一個有軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障。在當今政務公開,政府工作注重高效性情況下,將防火墻技術應用到電子政務中,對于信息安全的建設與發展都起到了不可忽視的作用。
2、VPN技術
VPN(Virtual Private Network)即虛擬專用網,是通過一個公用網絡(通常是因特網)建立一個臨時的、安全的連接,是一條穿過混亂的公用網絡的安全、穩定的隧道。通常,VPN 是對企業內部網的擴展,通過它可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接,并保證數據的安全傳輸。VPN 可用于不斷增長的移動用戶的全球因特網接入,以實現安全連接;可用于實現企業網站之間安全通信的虛擬專用線路,用于經濟有效地連接到商業伙伴和用戶的安全外聯網虛擬專用網。將VPN技術所涉及到數據安全連接及政府網站的擴展操作,在一定意義上起到了電子政務信息安全的管理問題。
3、PKI技術
PKI(Public Key Infrastucture)即公鑰基礎設施,廣義上講,它是一套安全服務的集合,運用密碼學的基礎理論,為網絡應用提供認證、授權、加密、數字簽證等安全服務。PKI技術是一個廣闊的研究領域,在電子政務系統中的應用研究有著重要的實用意義,它在電子政務系統的安全性、公務員的素質、決策的科學性、行政效率等方面都有著積極的貢獻。因此PKI技術在電子政務中得到人們的日益重視。許多PKI技術不斷涌出,PKI對數據加密、數字簽名、反否認、數字完整性以及分辨所需的密鑰和認證實施了統一的集中化管理。基于PKI技術可構建安全性能很好的電子政務
(4)
應用系統。我國PKI理論的研究將走向成熟期,它的非常現實的應用前景和電子政務的發展要求完美結合,推進我國基于PKI的安全的電子政務發展。
五、結束語
隨著信息化技術的日新月異,電子政務信息安全的保障顯得尤為重要,同時也是一項關系多領域的綜合工程,必須從技術和管理兩方面入手,才能最大限度地保證電子政務信息安全。在電子政務中,要達到絕對的安全是不可能的,但是,當充分的認識到電子政務信息安全所涉及的各個方面后,從綜合的角度出發,就可以找到較好的辦法,盡可能的達到維護電子政務系統安全的最終目的。相信經過國家和地方各級政府部門的努力和緊密配合,在社會各方的大力幫助下,我國的電子政務信息安全隱患會降到最低,以保證電子政務實踐健康快速的發展!
參考文獻:
[1]趙國俊.電子政務教程[M].北京:中國人民大學出版社,2004.[2]韓文報.電子政務概論[M].北京:解放軍出版社,2005.[3]劉越男,王立清.政府網站的構建與運作[M].北京:中國人民大學出版社,2004.[4]謝先江.電子政務外網安全平臺建設基本問題初探[J].電子政務,2008.(5)
第二篇:電子政務信息安全和管理
電子政務信息安全和管理
一、電子政務順利實施的核心問題
電子政務是一種全新的政府管理方式,是一個基于網絡技術的綜合性業務模式。建立電子政務系統參公眾服務,必然要求這一系統必須是安全、可靠、抗災難、可恢復的。計算機和計算機網絡的共享、交互和快速為這種系統的建立提供了前提條件,互聯網技術的迅速發展和廣泛應用,又為電子政務系統不斷走向開放互聯提供了巨大推動力。隨著電子政務信息化的不斷發展,電子政務對于網絡系統的依賴性越來越強,政務系統作為關系國計民生的重要部分,在安全方面尤為重要,而由于互聯網的開放性和公共性帶來的不安全因素,使信息安全問題成為保障電子政務順利實施的核心問題。
二、電子政務信息安全面臨的問題
電子政務網分為政務內網(涉密網)和政務外網(非涉密網),兩網之間物理隔離,政務外網采取邏輯隔離與互聯網聯通。政府各部門大力推行的辦公自動化、網絡化、電子化、信息共享都以這些網絡為支撐,以TCP/IPV4為傳輸協議,該協議為開放協議,從協議規劃、服務模式、網絡管理等方面均缺乏安全性設計,所以電子政務信息系統就存在著諸多的安全隱患。
1.網絡安全規劃的不到位,造成網絡結構的不合理性。由于信息技術發展的歷史原因和建設資金問題,我國電子政務網絡的建設在規劃上經常缺少前瞻性的安全規劃,網絡流量存在多個瓶頸, IP地址缺乏統一規劃,廣播流量可控性差,子網故障隔離性差,重要流量缺乏帶寬管理和服務質量優先保證等一大堆問題。隨著安全問題的不斷出現,只能在運行過程中不停地修修補補。但是,這種修補只能解決暫時的問題,解決一個問題后,往往又有新問題出現。
2.關鍵核心技術還掌握,增加了我國基礎信息網絡和重要信息系統安全的隱患。我國對發達國家信息設備和信息技術存在很強的依賴性,信息化核心設備嚴重依賴國外,對引進技術和設備缺乏必要的信息管理和技術改造。尤其是在系統安全和安全協議的研究和應用方面與發達國家的差距很大。目前組成我國電子政務網絡的計算機網絡系統所用硬件、軟件、操作系統、網管軟件、各類應用系統、數據庫、防火墻、網絡接入設備、路由器、服務器基本上都是國外公司的產品,微機芯片都是INTEL系列,軟件基本上是微軟公司的產品,完全自主知識產權的產品基本沒有。這些因素使我國的電子政務網絡安全性能大大降低,我國的經濟和社會發展面臨著新的風險。
3.網絡安全管理的混亂和規范化的管理制度相對滯后,造成很多管理安全漏洞。由于電子政務的網絡是連接多個政務部門的廣域網或城域網,需要各部門協調一致,共同維護整個網絡平臺的安全。但是,由于不同政府部門的信息技術人才和信息化水平的差異性,以及不同政府部門存在一些相關的利益和沖突,因此,很難做到安全管理的統一協調性,一旦發生安全事件,故障定位不準,追查事故源困難,責任問題牽扯不清,從而造成事件的破壞性后果更為嚴重。
4.安全意識淡薄。目前,在電子政務信息的安全問題上還存在不少認知盲區和制約因素。網絡是新生事物,許多人一接觸就忙著用于學習、工作和娛樂等,對網絡信息的安全性無暇顧及,安全意識相當淡薄,對網絡信息不安全的事實認識不足。與此同時,機關、事業單位注重的是網絡效應,對安全領域的投入和管理遠遠不能滿足安全防范的要求。總體上看,網絡信息安全處于被動的封堵漏洞狀態,從上到下普遍存在僥幸心理,沒有形成主動防范、積極應對的全民意識,更無法從根本上提高網絡監測、防護、響應、恢復和抗擊能力。
三、電子政務信息安全措施
1.設備的物理安全。物理層的安全設計應從三個方面考慮:環境安全、設備安全、線路安全。采取的措施包括:機房屏蔽,電源接地,布線隱蔽,防雷。根據中央保密委有關文件規定,凡是計算機同時具有內網和外網的應用需求,必須采取網絡安全隔離技術,在計算機終端安裝隔離卡或安裝安全網閘,使內網與外網之間從根本上實現物理隔離,防止涉密信息通過外網泄漏。
2.信息的加密。電子政務應用涵蓋政府內部辦公和面對公眾的信息服務兩大方面。就政府內部辦公而言,電子政務系統涉及到部門與部門之間、上下級之間、地區與地區間的公文流轉,這些公文的信息往往涉及不宜公開的和有密級的內容。因此,在信息傳遞過程中,必須采取適當的加密方法對信息進行加密。可采用多種加密方式:a.基于IPsec的加密方式正被廣泛采用,其優點顯而易見:IPsec對應用系統透明且具有極強的安全性,這一點對于要開發龐大應用的電子政務來說,就顯得極有好處了,應用系統開發商不必為數據傳輸過程中的加密做過多的考慮,易于部署和維護。b.采用VPN技術在公共數據網上進行內部信息的安全傳輸。其優點是只增加端設備避免了重復建設。c.采用公鑰基礎設施技術(PKI)為基礎,以數據機密性、完整性、身份認證和行為的不可否認為安全目的為電子政務提供安全支持。
3.操作系統的安全性。網絡安全的重要基礎之一是安全的操作系統,因為所有的政務應用和安全措施都依賴操作系統提供底層支持。操作系統的漏洞或配置不當將有可能導致整個安全體系的崩潰。更危險的是,我們無法保證國外廠家的操作系統產品不存在后門。在操作系統安全方面,有兩點是值得考慮的:一是采用具有自主知識產權且源代碼對政府公開的產品;二是利用漏洞掃描工具定期檢查系統漏洞和配置更改情況,及時發現問題。
4.數據備份與容災。任何的安全措施都無法保證數據萬無一失,硬件故障、自然災害以及未知病毒的感染都有可能導致政府重要數據的丟失。因此,在電子政務安全體系中必須包括數據的容災與備份,并且最好是異地備份。
5.管理制度的完善。電子政務網絡內部安全和外部安全一樣重要,內部安全除了需要體系化的安全防御策略,還需要嚴格的、可操作性強的安全管理制度。制度的制訂首先要規范,其次要強調制度的強制性、法規約束力和可操作性,同時進行安全宣傳教育,增強安全意識的培養和信息安全知識的普及這樣才能保證制度的真正貫徹和執行加強。
6.建立網絡安全事件應急響應預案。網絡安全事件應急響應預案是安全管理制度的一個重要部分,這里單獨來討論,主要是考慮到其重要性。事前有預案,一旦發生安全事件,就可以觸發相應的預案處理程序,在最短的時間內恢復正常的網絡服務和信息服務,力求把安全事件的破壞力降到最低。□(編輯/李舶)
第三篇:電子政務信息安全解決方案研究
電子政務信息安全解決方案研究
摘要:作為政府信息化工程的重要組成部分,電子政務在我國的發展已初具規模。由于政務信息的敏感性和保密性要求,以及網絡平臺的安全性影響,電子政務信息系統的安全保障是至關重要的。電子政務信息系統的安全保障涉及到網絡技術、系統功能、人員管理、法制法規等諸多因素,必須形成全面、規范、有執行力的保障機制。
關鍵字:電子政務,信息安全,解決方案 引言
近年來,以互聯網技術為承載主體的信息技術的飛速發,引發了一場深刻的生產和生活方式變,極大地推動著經濟和社會的發展。作為信息高速公路五個應用領域中的首要應用,電子政府/電子政務在全球范圍內受到廣泛的重視,政府上網、政府工作電子化勢在必行,政府信息化已成為經濟信息化和社會信息化的前提,電子政務將是未來國家核心競爭力的重要因素之一。所謂電子政務是指政府機構運用現代信息技術,在組織機構管理和服務職能實現上突破時間、空間和部門分隔的限制,形成精簡高效、廉潔公平的政府運作模式。電子政務模型可簡單分為兩方面:部門內部的網絡辦公平臺和各部門與社會各界之間的網絡信息溝通平臺。因此,電子政務實施過程中的首要問題 便是如何保障信息安全。如果信息安全不能得以保障,輕則影響電子政務信息系統正常功能的運轉,重則破壞政府的公眾形象甚至對社會的團結穩定產生危害。電子政務面臨的網絡安全戚脅
電子政務是黨委、政府、人大、政協及行政管理機構有效決策、管理、服務的重要手段.電子政務信息系統也必然會成為信息間諜、敵對勢力、恐怖集團、國家之間信息戰攻擊的目標。因此.構建電子政務信息安全保障體系,事關國家政治、經濟、國防安全和民族信息產業發展的全局。電子政務面臨的網絡安全威脅因素有:
1.計算機系統的脆弱性
計算機系統本身無法抵御自然災害的破壞,也難以避免偶然無意造成的危害。如水、火、地震的破壞及環境(溫度、振動、沖擊、污染)的影響以及硬件設備故障,突然斷電或電源波動以及各種誤操作等危害。這些危害有的會損害系統設備,有的則會丟失或破壞數據。甚至毀掉整個系統和數據。
2.網絡技術的缺陷性(1)先天的安全隱患
在物理通路上.網絡通信線路一般是電話線、專線、微波、光纜或無線系統,這些線路易遭受物理破壞.易被搭線竊聽,無線通信易遭截獲、監聽等等。網絡規模越大,通信線路越長,這種弱點也隨之增加。
電子政務內網,政務外網、公共服務網的網絡環境,都是采用TCP/IP協議而建立的。該協議以開放和自由為基礎,從協議規劃、服務模式、網絡管理等方面均缺乏安全性設計。計算機應用系統自身的缺陷相當多,如windows net和Netware就存在嚴重的安全漏洞,使入侵者有不少空子可鉆。另外數據庫服務器、電子郵件服務器、web服務器等應用平臺也存在大量的安全隱患。
(2)網絡的外部威脅
系統外部非法用戶.如信息間諜的潛入竊密,網絡黑客的攻擊篡改.恐怖集團的銷毀破壞等.使數據遭到竊取、假冒、抵賴或銷毀,從而造成政府網絡無法工作。具體表現有下面三方面:
一是非法使用資源。入侵者濫用和盜用計算機資源、網絡連接服務等資源,并查閱數據、訪問機密文件等信息資源。
二是惡意破壞。非法進入者對系統或數據文件進行破壞,包括修改數據信息.破壞硬件.傳送附帶破壞性病毒的文件等,還可以設置”定時炸彈”進行要挾攻擊.敲詐勒索。這些惡意破壞造成系統癱瘓,文件無效或消失.使電子政府中斷對用戶提供的服務。
三是盜竊數據。黑客進入網絡,盜走任何有價值的東西,包括金融數據、機密文件以及其他敏感的數據信息等。
3.信息管理的可腐敗性
管理規范不到位:例如,微機或工作站管理人員在開機狀態下擅離崗位,敏感信息臨時存放在本地的磁盤上,而這些信息處于未保護狀態.這種管理上的不 2
嚴格極易給他人提供冒充的機會。另外內部用戶隨意利用辦公終端與lnternet聯接,使網絡罪犯有機可乘。許多網絡犯罪行為尤其是非法操作都是利用聯網的電腦管理制度上的漏洞而得逞的。
組織管理不完善:如部分網絡管理者(內部人員)很容易以某一用戶的身份登錄、查看和復制用戶的信息.甚至利用管理用戶的地址目錄之便,以用戶的名義發送報文.非法竊取、篡改、隱瞞、抵賴、銷毀權限之外的信息,造成系統無法正常工作甚至癱瘓。根據公安部門的報告,作案人員往往是利用管理上的漏洞.而且內部人員居多。
4.技術性缺陷
1)基礎網絡:首先,無論是有線還是無線網絡,其通信線路如電纜、微波等,都易遭物理破壞,或易被搭線竊聽,或易遭截獲、監聽等。其次,網絡拓撲結構設計不合理或缺乏可擴展性,很可能一個結點遭破壞導致整個系統癱瘓。
2)操作系統和數據庫 :目前所使用的計算機網絡操作系統,多偏重于考慮系統使用的方便性,其結構和代碼設計相對在系統的安全機制上考慮還不夠精細 或多或少存在些安全漏洞,數據庫管理系統基于分級理念對數據庫進行管理,同時數據庫管理系統的安全必須與操作系統的安全相配套,這樣系統的安全又出現一些不穩定因素。
3)應用平臺:為便于在應用層面進行定期維護或升級,在開發電子政務信息系統的應用功能時,往往有可能留有所謂的“后門”一旦被非法人員發現,破壞性有可能波及整個系統。
5.法律法規的滯后性
雖然,我國針對電腦病毒、信息侵權和網絡犯罪等非法信息行為制定了一些網絡安全相關的法律法規,但現行政策法規仍難以適應網絡發展的需要,信息立法還存在相當多的空白。諸如個人隱私保護法、數據庫保護法、數字媒體法、數字簽名認證法、計算機犯罪法以及計算機安全監管法等數字經濟正常運作所需的配套法規急需予以制定。由于法規不健全,信息市場交易秩序的維護、信息犯罪的懲處等無法可依,使信息犯罪有空子可鉆。另一方面,由于網絡作案手段新、時間短、不留痕跡等特點,給網上犯罪案件的偵破和審理帶來了極大的困難。
6.保障意識的非系統性
有的政府系統.在系統建設中沒有統一規范的安全構想.更沒有建立完善的安全體系結構:從硬件采購、網絡布線、采用的操作系統、應用系統的開發、系統被非法訪問等方面都沒有把安全問題考慮進去或考慮得很少。因此這些政府系統難以抵御防范上述威脅。
3.電子政務信息安全解決策略
目前我國電子政務安全采取“國家推動、社會參與、全局治理、積極防御、等級保護、保障發展“的策略。鑒于電子政務的信息安全面臨的是一場高技術的對抗,是一場綜合性斗爭,涉及法律、管理、標準、技術、產品、服務和基礎設施諸多領域,所以電子政務安全.還要從全局來構建其安全保障的體系框架,以保障電子政務的健康發展。
1.健全法律與政策,加強法律監管
電子政務的工作內容和工作流程涉及到國家秘密與核心政務.它的安全關系到國家的主權、國家的安全和公眾益,所以電子政務的安全實施和保障,必須以國家法規形式將其固化,形成全國共同遵守的規約.成為電子政務實施和運行的行為準則,成為電子政務國際交往的重要依據。其目的在于保護守法者和依法者的合法權益.為司法和執法者提供法律依據.對違法、犯法者形成強大的威懾。因此,制訂相應的法規,適度的解密和規范開放的規則,保護政府部門問信息的正常交流,保護社會公眾對信息的合法享用,打破對政務信息資源的壟斷和封鎖,提高政府行政透明度和民主進程,是非常有利的和必要的。再完美的電子政務信息系統也可能出現內部使用的疏忽或遭受外來的惡意攻擊,只有將網絡技術和網絡法律法規結合起來并與國際立法規則相兼容,才能在發生問題后有法可依,建議制定專門的電子政務信息系統安全法。一是用以規范電子政務中的信息安全技術范疇,二是對破壞電子政務信息安全的行為如何處罰要從法律意義上制定專門的規定。
2.強化組織與管理
電子政務安全管理涉及到國家安全部、國家保密局、國家密碼管理委員會、信息產業部等許多國家安全職能部門.其安全管理職能的協調需要由國家信息化領導機構來進行。各地區和部委建立相應的信息安全管理機構,以完成和強化信
息安全的管理,形成自上而下的信息安全管理組織體系,是電子政務安全實施的必要條件。同時,政府相關部門必須制訂頒發電子政務安全相關的各項管理條例,以及時指導電子政務建設的各種行為.保障電子政務系統建設全程的安全和安全管理工作的程序化和制度化。根據管理需求,可以對電子政務系統信息內容實施安全監控管理.以保護政務信息安全,防止由于內部違規或外部入侵可能造成的網絡泄密,同時也阻止有害信息內容在政務網上傳播。
3.制訂標準與規范
信息安全標準有利于安全產品的規范化,有利于保證產品安全可信性、實現產品的互聯和互操作性.以支持電子政務系統的互聯、更新和可擴展性,支持系統安全的測評與評估.保障電子政務系統的安全可靠。因此,制訂信息安全標準以及安全產品的規范便顯得尤為重要。
4.縱深保障與服務
在電子政務的系統建設中,要構建其技術安全保障架構.對大型電子政務系統要建立縱深防御體系:進而設置政務內網的安全與控制策略、政務外網的安全與控制策略,進入互聯網的安全服務與控制策略、租用公網干線的安全服務與控制策略、政務計算環境的安全服務與機制。采用縱深防御和多級設防,是電子政務安全保障的重要原則,通過全局性的安全防護、安全檢測、快速響應、集成的安全管理與安全設施的聯動控制,以達到系統具有防護、檢測、反應與恢復能力。
5.創新技術與產品
由于電子政務的國家涉密性,電子政務系統工程的安全保障需要各種有自主知識產權的信息安全技術和產品.要不斷地加強安全技術和產品的自主研制和創新;它們涉及到安全操作系統、安全硬件平臺、安全數據庫、PKI/CA、PMI、VPN、安全網關、防火墻、數據加密機入侵檢測(1DS)、漏洞掃描、計算機病毒防治工具、強審計工具、安全Web、安全郵件、安全設施集成管理平臺、內容識別和過濾產品、安全備份、電磁泄漏防護、安全隔離客戶機、安全網閘等。
6.用戶應用安全
電子政務中,由于管理和使用不當造成的安全問題愈七成,因此加強人員對系統使用的安全意識,尤為重要。首先在系統投入使用前,必須對所有人員進行技術培訓。其次,在使用過程中,也應有針對性的就系統變更等問題與工作人員 5
進行雙向交流 其它還需特別注意的地方有:
1)管理員職責:管理員賬戶本身最易受到黑客攻擊,定期更換賬戶及密碼,是提高安全性的有效措施。同時,盡量不開放 Guest賬戶,對其他用戶嚴格劃定訪問權限和資源使用權限;定期檢查用戶IP地址范圍,用戶使用系統的頻率和內容,發現異常及時封鎖IP或相應用戶賬號。
2)普通用戶:在內部子網中不應開放共享目錄。如有經常交換信息需求的用戶,在共享時必須加上必要的口令認證機制。現在更為常見的方式是給用戶配備 USB 安全密鑰或者經第三方CA認證,可用來進行數字簽名和驗證簽名,確保通訊雙方的真實身份,兼具真實性和不可抵賴性,保障政務的安全傳送和處理。
7.系統運行環境安全
1)網絡分級隔離:外網與內網和專網進行物理隔離,內網與專網、外網與 Internet 之間則采用邏輯隔離。內外網間必須安裝防火墻,根據各種過濾規則來判斷網絡數據是否能夠通過防火墻,用以加強網絡之間訪問控制、防止外網用戶以非法手段進入內網、保護內網中的特殊網絡互聯設備,既防止外來的入侵,也阻止局域網內部重要信息的泄露。內外網之間的通信則采用異步高位加密機制,可以保證內外網的通信安全
2)網絡設備和軟件:選用高帶寬網絡和高性能服務器。配備加密設備,使得數據以密文形式在網上傳送,保證數據的機密性與完整性。在安裝防火墻的基礎上,輔以入侵檢測系統,用于實時監控和記錄具攻擊性的信息代碼在進出網段的所有操作行為,并按制定的策略實行響應(阻斷、報警、發送電子郵件等),從而防止網絡的攻擊與犯罪行為。安裝正版操作系統或源代碼對政府開放的操作系,統堅持日常維護和記錄,及時更新、升級病毒庫;使用安全掃描工具定期檢查系統漏洞和配置更改情況,及時安裝系統補丁堵塞系統漏洞。
4.結論
電子政務信息系統的安全保障不但要從實現技術入手,更要與系統在政府工作中的重要地位相呼應 保證其先進性和可擴展性,要進行深入調研和長遠規劃 必須能夠適應網絡的快速發展變化。根本上還需要國家的司法支持和參與人員管理意識的增強保障了電子政務的安全,才能保障政府信息化的順利推進。
5.參考文獻
1.王紹卜,《計算機網絡的安全隱患與策略》中外科技信息,2003(11)43~45 2謝希仁,《計算機網絡》.大連:大連理工大學出版社,2001:1 27~1 30 3.覃正.中美電子政務發展報告[M].北京: 科學出版社 2008(5).4.樊博.電子政務[M].上海交通大學出版社 2006(6)5.褚俊 蘇震.電子政務安全技術保障[M].北京中國人民大學出版社 2004(3).6.蘇玉召 趙妍.計算機網絡信息安全及其防護策略的研究[J] 計算機與信息技術 2006(5)7.王海濤.電子政務中的安全問題[J] 佳木斯大學學報:自然科學版 2005(2)8.羅茂斌.論電子政務與電子文件的保護[J].檔案管理 2001(4).9.鄧崧.電子政務價值評估研究[D].上海 同濟大學 2007.10.馬朝斌《大力加強電子政務內網的安全保密建設和管理.信息安全與通信保密,2003(12)11.鄔賀銓 《電子政務安全體系 《信息安全與通信保密》,2003(4)12.譚興烈 《電子政務安全解決方案要解決的主要問題 《信息安全與通信保密》,2004(5)13.姜楠,王健《電子政務中基于PKI的角色授權管理策略》《通信技術》,2003(9)
第四篇:電子政務信息安全保障體系
電子政務安全面臨威脅和挑戰
電子政務涉及對國家秘密信息和高敏感度核心政務的保護,設計維護公共秩序和行政監管的準確實施,涉及到為社會提供公共服務的質量保證。電子政務是黨委、政府、人大、政協有效決策、管理、服務的重要手段,必然會遇到各種敵對勢力、恐怖集團、搗亂分子的破壞和攻擊。尤其電子政務是搭建在基于互聯網技術的網絡平臺上,包括政務內網、政務外網和互聯網,而互聯網的安全先天不足,互聯網是一個無行政主管的全球網絡,自身缺少設防和安全隱患很多,對互聯網犯罪尚缺乏足夠的法律威懾,大量的跨國網絡犯罪給執法帶來很大的難度。所有上述分子利用互聯網進行犯罪則有機可乘,使基于互聯網開展的電子政務應用面臨著嚴峻的挑戰。
對電子政務的安全威脅,包括網上黑客入侵和犯罪、網上病毒泛濫和蔓延、信息間諜的潛入和竊密、網絡恐怖集團的攻擊和破壞、內部人員的違規和違法操作、網絡系統的脆弱和癱瘓、信息產品的失控等,應引起足夠警惕,采取安全措施,應對這種挑戰。
電子政務的安全目標和安全策略
電子政務的安全目標是,保護政務信息資源價值不受侵犯,保證信息資產的擁有者面臨最小的風險和獲取最大的安全利益,使政務的信息基礎設施、信息應用服務和信息內容為抵御上述威脅而具有保密性、完整性、真實性、可用性和可控性的能力。
為實現上述目標應采取積極的安全策略:
·國家主導、社會參與。電子政務安全關系到政府的辦公決策、行政監管和公共服務的高質量和可信實施的大事,必須由國家統籌規劃、社會積極參與,才能有效保障電子政務安全。
·全局治理、積極防御。電子政務安全必須采用法律威懾、管理制約、技術保障和安全基礎設施支撐的全局治理措施,并且實施防護、檢測、恢復和反制的積極防御手段,才能更為有效。
·等級保護、保障發展。要根據信息的價值等級及所面臨的威脅等級,選擇適度的安全機制強度等級和安全技術保障強壯性等級,尋求一個投入和風險可承受能力間的平衡點,保障電子政務系統健康和積極的發展。
電子政務安全保障體系框架
電子政務安全采取“國家推動、社會參與、全局治理、積極防御、等級保護、保障發展”的策略,鑒于電子政務的信息安全面臨的是一場高技術的對抗,是一場綜合性斗爭,涉及法律、管理、標準、技術、產品、服務和基礎設施諸多領域,所以電子政務安全,還要從全局來構建其安全保障的體系框架,以保障電子政務的健康發展。
電子政務安全保障體系由六要素組成,即安全法規、安全管理、安全標準、安全服務、安全技術產品和安全基礎設施等安全要素(見圖1)。
要素一 安全法律與政策
電子政務的工作內容和工作流程涉及到國家秘密與核心政務,它的安全關系到國家的主權、國家的安全和公眾利益,所以電子政務的安全實施和保障,必須以國家法規形式將其固化,形成全國共同遵守的規約,成為電子政務實施和運行的行為準則,成為電子政務國際交往的重要依據,保護守法者和依法者的合法權益,為司法和執法者提供法律依據,對違法、犯法者形成強大的威懾。
《中華人民共和國保護國家秘密法》已實施13年,已不完全適應我國當前保密工作的現狀,特別是電子政務的發展,亟待修訂。
政務信息公開是電子政務的重要原則,為了拉近政府和公眾的距離,使公眾具有知情權、參與權、監督權和享用政府服務的權利,為公眾提供良好的信息服務,充分挖掘政務信息的最大效益,開放政務信息資源(非國家涉密和適宜公開部分)服務于民是電子政務的重要特征。盡快制訂政務信息公開法,適度的解密和規范開放的規則,保護政府部門間信息的正常交流,保護社會公眾對信息的合法享用,打破對政務信息資源的壟斷和封鎖,提高政府行政透明度和民主進程是非常有利的和必需的。
電子政務亟待電子簽章和電子文檔的立法保護,國際已有近20多個國家對數字簽名和電子文檔進行了立法,使數字簽名和電子文檔在電子政務和電子商務運行中具有法律效力。這將大大促進電子政務和電子商務的健康發展,使電子政務原來的雙軌制走向單軌制,這有利于簡化程序、降低成本,充分顯示電子政務效益是非常有利的。
個人數據保護(隱私法)的需求伴隨電子政務的發展日顯突出。電子政務在實施行政監管和公眾服務中有大量的個人信息(自然人和法人),如戶籍、納稅、社保、信用等信息大量進入了政府網絡信息數據庫,它對完成電子政務職能發揮巨大作用。但是這些個人信息如果保護不力或無意被泄漏,而被非法濫用,就可能成為報復、盜竊、推銷、討債、盯梢的工具。在國外已經出現將盜用的個人隱私信息作為非法商品出售,以牟取暴利的情況,這樣直 接損害個人的利益,甚至危及個人的生命安危。因此加快個人數據保護法的制訂,是必要的。
還有很多法規的制訂都直接關系到電子政務的健康發展,加快制訂這些法規,勢在必行。
要素二 安全組織與管理
我國信息安全管理職能的格局已經形成,如國家安全部、國家保密局、國家密碼管理委員會、信息產業部、總參??分別執行各自的安全職能,維護國家信息安全。電子政務安全管理涉及到上述眾多的國家安全職能部門,其安全管理職能的協調需要由國家信息化領導機構,如國家信息化領導小組及其辦公室、國家電子政務協調小組、國家信息安全協調小組等來進行。各地區和部委建立相應的信息安全管理機構,以完成和強化信息安全的管理,形成自頂向下的信息安全管理組織體系,是電子政務安全實施的必要條件。
制訂頒發電子政務安全相關的各項管理條例,及時指導電子政務建設的各種行為,從立項、承包、采購、設計、實施、運行、操作、監理、服務等各階段入手,保障電子政務系統建設全程的安全和安全管理工作的程序化和制度化。
電子政務信息安全域的劃分與管理是至關重要的。電子政務有辦公決策、行政監管和公共服務等三種類型業務,其業務信息內容涉及國家機密、部門工作秘密、內部敏感信息和開放服務信息。既要保護國家秘密又要便于公開服務,因此對信息安全域的科學劃分和管理,將有益于電子政務網絡平臺的安全設計,有益于電子政務的健康和有效的實現。
制訂電子政務工程集成商的資質認證管理辦法、工程建設監理機構的管理辦法、工程外包商的管理機制和辦法,以確保電子政務工程建設的質量和安全,特別是對于電子政務系統的外包制更要有嚴格的制約和管理手段。對于電子政務中涉密系統工程的承建,還必須有國家保密局頒發的涉密系統集成資質證書,其他部分應具有國家或省市相應的系統集成商的資質證書。對于電子政務涉密部分,不允許托管和外包運行,電子政務其他部分將按相關管理條例執行。
電子政務工程中使用的信息安全產品,國家將制訂相應的采購管理政策,涉及密碼的信息安全產品需有國家密碼主管部門的批準證書,信息安全產品應有通過國家測評主管機構的安全測評的證書,維護信息安全產品的可信性。
電子政務系統信息內容根據管理需求,可以實施對信息內容的安全監控管理,以保護政務信息安全,防止由于內部違規或外部入侵可能造成的網絡泄密,同時也阻止有害信息內容在政務網上傳播。
制訂電子政務系統的人員管理、機構管理、文檔管理、操作管理、資產與配置管理、介質管理、服務管理、應急事件管理、保密管理、故障管理、開發與維護管理、作業連續性保障管理、標準與規范遵從性管理、物理環境管理等各種條例,確保電子政務系統的安全運行。
要素三 安全標準與規范
信息安全標準有利于安全產品的規范化,有利于保證產品安全可信性、實現產品的互聯和互操作性,以支持電子政務系統的互聯、更新和可擴展性,支持系統安全的測評與評估,保障電子政務系統的安全可靠。
國家已正式成立“信息安全標準化委員會”,近期成立了信息安全標準體系與協調工作組(WG1)、內容安全分級及標識工作組(WG2)、密碼算法與密碼模塊/KMI/VPN工作組(WG3)、PKI/PMI工作組(WG4)、信息安全評估工作組(WG5)、操作系統與數據庫安全工作組(WG6)、身份標識與鑒別協議工作組(WG9)、操作系統與數據庫安全工作組(WG10),以開展電子政務安全相關標準的研制工作,支撐電子政務安全對標準制訂的需求。
還將制訂下列標準:涉密電子文檔密級劃分和標記格式、內容健康性等級劃分與標記、內容敏感性等級劃分與標記、密碼算法標準、密碼模塊標準、密鑰管理標準、PKI/CA標準、PMI標準、信息系統安全評估和信息安全產品測評標準、應急響應等級、保護目標等級、應急響應指標、電子證據恢復與提取、電子證據有效性界定、電子證據保護、身份標識與鑒別、數據庫安全等級、操作系統安全等級、中間件安全等級、信息安全產品接口規范、數字簽名??。
要素四 安全保障與服務
1.電子政務系統建設,要構建其技術安全保障架構,對大型電子政務系統要建立縱深防御體系。
·設置政務內網的安全與控制策略;
·設置政務外網的安全與控制策略;
·設置進入互聯網的安全服務與控制策略;
·設置租用公網干線的安全服務與控制策略,包括有線通信、無線通信和衛星通信的安全服務與控制策略;
·設置政務計算環境的安全服務與機制。
采用縱深防御和多級設防,是電子政務安全保障的重要原則,通過全局性的安全防護、安全檢測、快速響應、集成的安全管理與安全設施的聯動控制,以達到系統具有防護、檢測、反應與恢復能力。
2.推廣電子政務信息系統安全工程(ISSE)的控制方法,全面實現安全服務要求。
電子政務安全系統的設計,首先要做好系統資產價值的分析,如物理資產的價值(系統環境、硬件、系統軟件)、信息資產的價值、其數據與國家利益和部門利益的關聯度;其業務系統(模型、流程、應用軟件)正常運行后果所產生的效益,從而確定系統安全應保護的目標,在上述分析的基礎上提出整個安全系統的安全需求,進一步定義達到這些安全需求所應具有的安全功能,然后探索系統可能面臨的威脅類型,并找出系統自身的脆弱性,這些威脅和脆弱性有:
·網上黑客與計算機犯罪;
·網絡病毒的蔓延與破壞;
·機要信息流失與信息間諜潛入;
·網上恐怖活動與信息戰;
·內部人員違規與違法;
·網上安全產品的失控;
·網絡與系統自身的漏洞與脆弱性。
在這些威脅面前,要分析哪些威脅是本系統主要面臨的威脅,哪些是次要的,對系統和任務造成的影響程度如何。進行定性和定量的分析,提出系統安全對策,確定承受風險的能力,尋找投入和風險承受能力間的平衡點,然后確定系統所需要的安全服務及對應的安全機制(見表一),從而配置系統的安全要素。在工程的生命周期中要進行風險管理、風險決策流程(見圖2),這種風險管理是要對電子政務全程進行的。
系統投入運行要對其安全性進行有效評估,即評估者給出的評估證據和建設者采用的技術保障設施,的確能使系統擁有者確信已選用技術對策,確實減少了系統的安全風險,滿足必要的風險策略(風險策略可以是“零”風險策略、最小風險策略、最大可承受風險策略或不計風險策略),使其達到保護系統資產價值所必需的能力(見圖3)。上述有效評估過程可用安全技術保障強壯性級別(IATRn)來描述:
IATRn=f(Vn,Tn,SMLn,EALn)
Tn:威脅等級
Vn:資產價值等級
SMLn:安全機制強度等級
EALn:評估保障等級
要素五 安全技術與產品
1. 加強安全技術和產品的自主研制和創新。
由于電子政務的國家涉密性,電子政務系統工程的安全保障需要各種有自主知識產權的信息安全技術和產品,全面推動自主研發和創新這些技術和產品是電子政務安全的需要。這些產品和技術可以分為六大類:
·基礎類:風險控制、體系結構、協議工程、有效評估、工程方法;
·關鍵類:密碼、安全基、內容安全、抗病毒、IDS、VPN、RBAC、強審計、邊界安全隔離;
·系統類:PKI、PMI、DRI、網絡預警、集成管理、KMI;
·應用類:EC、EG、NB、NS、NM、WF、XML、CSCW;
·物理與環境類:TEMPEX、物理識別;
·前瞻性:免疫技術、量子密碼、漂移技術、語義理解識別。
2.電子政務安全產品的選擇。
整個電子政務的安全,涉及信息安全產品的全局配套和科學布置,產品選擇應充分考慮產品的自主權和自控權。
產品可涉及安全操作系統、安全硬件平臺、安全數據庫、PKI/CA、PMI、VPN、安全網關、防火墻、數據加密機、入侵檢測(IDS)、漏洞掃描、計算機病毒防治工具、強審計工具、安全Web、安全郵件、安全設施集成管理平臺、內容識別和過濾產品、安全備份、電磁泄漏防護、安全隔離客戶機、安全網閘。
要素六 安全基礎設施
信息安全基礎設施是一種為信息系統應用主體和信息安全執法主體提供信息安全公共服務和支撐的社會基礎設施,方便信息應用主體安全防護機制的快速配置,有利于促進信息應用業務的健康發展,有利于信息安全技術和產品的標準化和促進其可信度的提高,有利于信息安全職能部門的監督和執法,有利于增強全社會信息安全移師和防護技能,有利于國家信息安全保障體系的建設。因此,推動電子政務的發展,應重視相關信息安全基礎設施的建設。
信息安全基礎設施有兩大類。
1.社會公共服務類
·基于PKI/PMI數字證書的信任和授權體系;
·基于CC/TCSEC的信息安全產品和系統的測評與評估體系;
·計算機病毒防治與服務體系;
·網絡應急響應與支援體系;
·災難恢復基礎設施;
·基于KMI的密鑰管理基礎設施。
2.行政監管執法類
·網絡信息內容安全監控體系;
·網絡犯罪監察與防范體系;
·電子信息保密監管體系;
·網絡偵控與反竊密體系;
·網絡監控、預警與反擊體系。
第五篇:關于電子政務信息安全管理體系建設的問題
關于電子政務信息安全管理體系建設的幾點思考
一、概述
電子政務是政府管理方式的革命,它是運用信息以及通信技術打破行政機關的組織界限,構建一個電子化的虛擬機關,使公眾擺脫傳統的層層關卡以及書面審核的作業方式,并依據人們的需求、人們可以獲取的方式、人們要求的時間及地點等,高效快捷地向人們提供各種不同的服務選擇。政府機關之間以及政府與社會各界之間也經由各種電子化渠道進行相互溝通。
電子政務的建立將使政府社會服務職能得到最大程度的發揮,但也使政府敏感信息暴露在無孔不入的網絡威脅面前。由于電子政務信息網絡上有相當多的政府公文在流轉,其中不乏重要信息,內部網絡上有著大量高度機密的數據和信息,直接涉及政府的核心政務,它關系到政府部門、各大系統乃至整個國家的利益,有的甚至涉及國家安全。因此,電子政務信息安全是制約電子政務建設與發展的首要問題和核心問題,是電子政務的職能與優勢得以實現的根本前提。如果電子政務信息安全得不到保障,不僅電子政務的便利與效率無從保證,更會給國家利益帶來嚴重威脅。
二、電子政務信息系統面臨的威脅
電子政務涉及對政府機密信息和敏感政務的保護、維護公共秩序和行政監管的準確實施以及為保障社會提供公共服務的質量。電子政務作為政府有效決策、管理、服務的重要手段,必然會遇到各種敵對勢力、恐怖集團、搗亂分子的破壞和攻擊。尤其是,電子政務在基于互聯網的網絡平臺上,他包括政務內網、政務外網和互聯網,而互聯網是一個無行政主管的全球網絡,自身缺少設防,安全隱患很多,使得不法分子利用互聯網進行犯罪有機可乘,這就使得基于互聯網開展的電子政務應用面臨著嚴峻的挑戰。
對電子政務的安全威脅包括網上黑客入侵和犯罪、病毒泛濫和蔓延,信息間諜的潛入和竊密,網絡恐怖集團的攻擊和破壞,內部人員的違規和違法操作,網絡系統的脆弱和癱瘓,信息安全產品的失控等,對于這些威脅,電子政務的建設和應用應引起足夠警惕,采取果斷的安全措施,應對這種挑戰。
三、電子政務信息安全管理體系的構建
要有效維護電子政務信息系統的安全,就需要構建電子政務安全管理體系,從而使政務的信息基礎設施、信息應用服務能夠具有保密性、完整性、真實性和可用性。電子政務安全管理體系包括安全技術體系、安全管理體系和安全服務體系,涉及從管理到組織,從網絡到數據,從法規標準到基礎設施等各個方面。加強安全技術力量是實現電子政務安全的基本方法
安全技術體系是利用技術手段實現技術層面的安全保護,是對電子政務安全防護體系的完善,包括網絡安全體系、數據安全傳輸與存儲體系,功能主要是通過各種技術手段實現技術層次的安全保護。
網絡安全體系包括網閘、入侵檢測、漏洞檢測、外聯和接入檢測、補丁管理、防火墻、身份鑒別和認證、系統訪問控制、網絡審計等;數據安全與傳輸與存儲體系包括數據備份恢復、PKI/CA、PMI等。整個電子政務的安全,涉及信息安全產品的全局配套和科學布置,產品選擇應充分考慮產品的自主權和自控權。在關鍵技術、經營管理、生產規模、服務觀念等方面,要集中人力、物力,制訂相關政策,大力發展自主知識產權的計算機芯片、操作系統等信息安全技術產品,以確保關鍵政府部門的信息系統的網絡安全。加強核心技術的自主研發,并盡快使之產品化和產業化,尤其是操作系統技術和計算機芯片技術。現階段各地政府部門目前所選用的高端軟硬件平臺,很多都是國外公司的產品,這也對政務安全帶來了許多隱患。因此,在構建電子政務系統的時候,在可能的情況下,我們應盡量選用國產化技術和國內公司的產品。構建安全管理體系是電子政務安全實施的重要基礎
安全管理是解決電子政務的安全問題在技術以外的另一有力保障和途徑。由于安全的防范技術與破壞技術總是“勢均力敵”、“相互促進”的。作為防范者就更應該在安全防范的管理上下更大的工夫。安全管理主要涉及三個方面:法律法規、安全防護體系以及等級保護政策。
(1)法律政策、規章制度和標準規范
電子政務的工作內容和工作流程涉及到國家秘密與核心政務,它的安全關系到國家的主權、國家的安全和公眾利益,所以電子政務的安全實施和保障,必須以國家法規形式將其固化,形成全國共同遵守的規約。目前,世界上很多國家制定了與網絡安全相關的法律法規,如英國的《官方信息保護法》等。我國雖然頒發了一些與網絡安全有關的法律法規,如《計算機信息系統安全保護條例》、《計算機信息系統保密管理暫行規定》等等,但顯得很零散,還缺乏關于電子政務網絡安全的專門法規。此外,在完善法律法規的同時,還應該加大執法力度,嚴格執法,這一目標的實現不僅需要政府組織的努力,更要國家立法機構的參與和支持。(.2)電子政務防護體系
貫穿整個電子政務的安全防護體系,對電子政務安全實施起全面的指導作用,具體包括三個方面的內容:安全組織機構、安全人事管理、以及安全責任制度。建立安全組織機構,其目的是統一規劃各級網絡系統的安全、制定完善的安全策略和措施、協調各方面的安全事宜,主要職責包括制定整體安全策略、明確規章制度、落實各項安全措施實施,以及制訂安全應急方案和保密信息的安全策略;安全人事管理,其主要內容包括:人事審查與錄用、崗位與責任范圍的確定、工作評價、人事檔案管理、提升、調動與免職、基礎培訓等;制定和落實安全責任制度,包括系統運行維護管理制度、計算機處理控制管理制度、文檔資料管理制度、操作和管理人員管理制度、機房安全管理制度、定期檢查與監督制度、網絡通信安全管理制度、病毒防治管理制度、安全等級保護制度、對外交流安全維護制度,以及對外合作制度等。(3)等級保護制度
通過全面推行信息安全等級保護制度,逐步將信息安全等級保護制度落實到信息系統安全規劃、建設、測評、運行維護和使用等各個環節,使信息安全保障狀況得到基本改善。通過加強和規范信息安全等級保護管理,不斷提高信息安全保障能力,為維護信息網絡的安全穩定,促進信息化發展服務。
四、完善安全服務是維護電子政務安全實施的有力保障安全等級測評和風險評估管理
電子政務信息系統安全測評服務,其實質是通過科學、規范、公正的測試和評估向被測評單位證實其信息系統的安全性能符合等級保護的要求。
由于信息安全直接涉及國家利益、安全和主權,政府對信息產品、信息系統安全性的測評認證要更為嚴格。對信息系統和信息安全技術中的核心技術,由政府直接控制,在信息安全各主管部門的支持和指導下,依托專業的職能機構提供技術支持,形成政府的行政管理與技術支持相結合、相依賴的管理體制。風險管理是對項目風險的識別、分析和應對過程。它包括對正面事件效果的最大化及對負面事件影響的最小化。電子政務安全風險管理的主要任務是電子政務信息系統的風險評估并提出風險緩解措施,前者是識別并分析系統中的風險因素,估計可能造成的損失,后者是選擇和實施安全控制,將風險降低到一個可接受的水平。2 安全培訓服務
根據不同層次的人才需求,社會化的信息安全人才培養體系應分為專業型教育、應用型教育和安全素養教育三個層次。專業型教育主要是培養信息安全領域的專業研發、工程技術、戰略管理等方面的人才。應用型(半專業)教育則是以從事現代信息管理工作的人作為對象,培養目標是要求學生具備信息安全的基本知識、網絡和信息系統安全防范技能、組織機構或系統安全管理的能力等。這種應用型的信息安全教育要求受教育對象數量要多,覆蓋面要廣,基本信息技能要強。通過課程、講座、宣傳等多種形式,達到讓每一個人都具備必要的安全意識和常規的信息安全自我防范技術的目的。要求單位領導應具備必要信息安全意識和安全知識;信息管理人員應具備一定的信息安全知識和基本技能;從事信息服務或信息安全服務的有關人員應具備必要的信息安全知識和技術基礎等。
[1] 何玲,電子政務環境下政府電子文件管理新探索[D].成都:四川大學碩士學位論文,2008.[2] 電子政務:安全防護體系構建策略[EB/OL].http://www.tmdps.cn,2009.[3] 金江軍.電子政務信息安全體系建設[EB/OL].博客中國,2005.百度網 搜搜網
點擊咨詢 