第一篇:電子政務(wù)信息安全解決方案研究
電子政務(wù)信息安全解決方案研究
摘要:作為政府信息化工程的重要組成部分,電子政務(wù)在我國(guó)的發(fā)展已初具規(guī)模。由于政務(wù)信息的敏感性和保密性要求,以及網(wǎng)絡(luò)平臺(tái)的安全性影響,電子政務(wù)信息系統(tǒng)的安全保障是至關(guān)重要的。電子政務(wù)信息系統(tǒng)的安全保障涉及到網(wǎng)絡(luò)技術(shù)、系統(tǒng)功能、人員管理、法制法規(guī)等諸多因素,必須形成全面、規(guī)范、有執(zhí)行力的保障機(jī)制。
關(guān)鍵字:電子政務(wù),信息安全,解決方案 引言
近年來(lái),以互聯(lián)網(wǎng)技術(shù)為承載主體的信息技術(shù)的飛速發(fā),引發(fā)了一場(chǎng)深刻的生產(chǎn)和生活方式變,極大地推動(dòng)著經(jīng)濟(jì)和社會(huì)的發(fā)展。作為信息高速公路五個(gè)應(yīng)用領(lǐng)域中的首要應(yīng)用,電子政府/電子政務(wù)在全球范圍內(nèi)受到廣泛的重視,政府上網(wǎng)、政府工作電子化勢(shì)在必行,政府信息化已成為經(jīng)濟(jì)信息化和社會(huì)信息化的前提,電子政務(wù)將是未來(lái)國(guó)家核心競(jìng)爭(zhēng)力的重要因素之一。所謂電子政務(wù)是指政府機(jī)構(gòu)運(yùn)用現(xiàn)代信息技術(shù),在組織機(jī)構(gòu)管理和服務(wù)職能實(shí)現(xiàn)上突破時(shí)間、空間和部門(mén)分隔的限制,形成精簡(jiǎn)高效、廉潔公平的政府運(yùn)作模式。電子政務(wù)模型可簡(jiǎn)單分為兩方面:部門(mén)內(nèi)部的網(wǎng)絡(luò)辦公平臺(tái)和各部門(mén)與社會(huì)各界之間的網(wǎng)絡(luò)信息溝通平臺(tái)。因此,電子政務(wù)實(shí)施過(guò)程中的首要問(wèn)題 便是如何保障信息安全。如果信息安全不能得以保障,輕則影響電子政務(wù)信息系統(tǒng)正常功能的運(yùn)轉(zhuǎn),重則破壞政府的公眾形象甚至對(duì)社會(huì)的團(tuán)結(jié)穩(wěn)定產(chǎn)生危害。電子政務(wù)面臨的網(wǎng)絡(luò)安全戚脅
電子政務(wù)是黨委、政府、人大、政協(xié)及行政管理機(jī)構(gòu)有效決策、管理、服務(wù)的重要手段.電子政務(wù)信息系統(tǒng)也必然會(huì)成為信息間諜、敵對(duì)勢(shì)力、恐怖集團(tuán)、國(guó)家之間信息戰(zhàn)攻擊的目標(biāo)。因此.構(gòu)建電子政務(wù)信息安全保障體系,事關(guān)國(guó)家政治、經(jīng)濟(jì)、國(guó)防安全和民族信息產(chǎn)業(yè)發(fā)展的全局。電子政務(wù)面臨的網(wǎng)絡(luò)安全威脅因素有:
1.計(jì)算機(jī)系統(tǒng)的脆弱性
計(jì)算機(jī)系統(tǒng)本身無(wú)法抵御自然災(zāi)害的破壞,也難以避免偶然無(wú)意造成的危害。如水、火、地震的破壞及環(huán)境(溫度、振動(dòng)、沖擊、污染)的影響以及硬件設(shè)備故障,突然斷電或電源波動(dòng)以及各種誤操作等危害。這些危害有的會(huì)損害系統(tǒng)設(shè)備,有的則會(huì)丟失或破壞數(shù)據(jù)。甚至毀掉整個(gè)系統(tǒng)和數(shù)據(jù)。
2.網(wǎng)絡(luò)技術(shù)的缺陷性(1)先天的安全隱患
在物理通路上.網(wǎng)絡(luò)通信線路一般是電話線、專(zhuān)線、微波、光纜或無(wú)線系統(tǒng),這些線路易遭受物理破壞.易被搭線竊聽(tīng),無(wú)線通信易遭截獲、監(jiān)聽(tīng)等等。網(wǎng)絡(luò)規(guī)模越大,通信線路越長(zhǎng),這種弱點(diǎn)也隨之增加。
電子政務(wù)內(nèi)網(wǎng),政務(wù)外網(wǎng)、公共服務(wù)網(wǎng)的網(wǎng)絡(luò)環(huán)境,都是采用TCP/IP協(xié)議而建立的。該協(xié)議以開(kāi)放和自由為基礎(chǔ),從協(xié)議規(guī)劃、服務(wù)模式、網(wǎng)絡(luò)管理等方面均缺乏安全性設(shè)計(jì)。計(jì)算機(jī)應(yīng)用系統(tǒng)自身的缺陷相當(dāng)多,如windows net和Netware就存在嚴(yán)重的安全漏洞,使入侵者有不少空子可鉆。另外數(shù)據(jù)庫(kù)服務(wù)器、電子郵件服務(wù)器、web服務(wù)器等應(yīng)用平臺(tái)也存在大量的安全隱患。
(2)網(wǎng)絡(luò)的外部威脅
系統(tǒng)外部非法用戶.如信息間諜的潛入竊密,網(wǎng)絡(luò)黑客的攻擊篡改.恐怖集團(tuán)的銷(xiāo)毀破壞等.使數(shù)據(jù)遭到竊取、假冒、抵賴或銷(xiāo)毀,從而造成政府網(wǎng)絡(luò)無(wú)法工作。具體表現(xiàn)有下面三方面:
一是非法使用資源。入侵者濫用和盜用計(jì)算機(jī)資源、網(wǎng)絡(luò)連接服務(wù)等資源,并查閱數(shù)據(jù)、訪問(wèn)機(jī)密文件等信息資源。
二是惡意破壞。非法進(jìn)入者對(duì)系統(tǒng)或數(shù)據(jù)文件進(jìn)行破壞,包括修改數(shù)據(jù)信息.破壞硬件.傳送附帶破壞性病毒的文件等,還可以設(shè)置”定時(shí)炸彈”進(jìn)行要挾攻擊.敲詐勒索。這些惡意破壞造成系統(tǒng)癱瘓,文件無(wú)效或消失.使電子政府中斷對(duì)用戶提供的服務(wù)。
三是盜竊數(shù)據(jù)。黑客進(jìn)入網(wǎng)絡(luò),盜走任何有價(jià)值的東西,包括金融數(shù)據(jù)、機(jī)密文件以及其他敏感的數(shù)據(jù)信息等。
3.信息管理的可腐敗性
管理規(guī)范不到位:例如,微機(jī)或工作站管理人員在開(kāi)機(jī)狀態(tài)下擅離崗位,敏感信息臨時(shí)存放在本地的磁盤(pán)上,而這些信息處于未保護(hù)狀態(tài).這種管理上的不 2
嚴(yán)格極易給他人提供冒充的機(jī)會(huì)。另外內(nèi)部用戶隨意利用辦公終端與lnternet聯(lián)接,使網(wǎng)絡(luò)罪犯有機(jī)可乘。許多網(wǎng)絡(luò)犯罪行為尤其是非法操作都是利用聯(lián)網(wǎng)的電腦管理制度上的漏洞而得逞的。
組織管理不完善:如部分網(wǎng)絡(luò)管理者(內(nèi)部人員)很容易以某一用戶的身份登錄、查看和復(fù)制用戶的信息.甚至利用管理用戶的地址目錄之便,以用戶的名義發(fā)送報(bào)文.非法竊取、篡改、隱瞞、抵賴、銷(xiāo)毀權(quán)限之外的信息,造成系統(tǒng)無(wú)法正常工作甚至癱瘓。根據(jù)公安部門(mén)的報(bào)告,作案人員往往是利用管理上的漏洞.而且內(nèi)部人員居多。
4.技術(shù)性缺陷
1)基礎(chǔ)網(wǎng)絡(luò):首先,無(wú)論是有線還是無(wú)線網(wǎng)絡(luò),其通信線路如電纜、微波等,都易遭物理破壞,或易被搭線竊聽(tīng),或易遭截獲、監(jiān)聽(tīng)等。其次,網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)不合理或缺乏可擴(kuò)展性,很可能一個(gè)結(jié)點(diǎn)遭破壞導(dǎo)致整個(gè)系統(tǒng)癱瘓。
2)操作系統(tǒng)和數(shù)據(jù)庫(kù) :目前所使用的計(jì)算機(jī)網(wǎng)絡(luò)操作系統(tǒng),多偏重于考慮系統(tǒng)使用的方便性,其結(jié)構(gòu)和代碼設(shè)計(jì)相對(duì)在系統(tǒng)的安全機(jī)制上考慮還不夠精細(xì) 或多或少存在些安全漏洞,數(shù)據(jù)庫(kù)管理系統(tǒng)基于分級(jí)理念對(duì)數(shù)據(jù)庫(kù)進(jìn)行管理,同時(shí)數(shù)據(jù)庫(kù)管理系統(tǒng)的安全必須與操作系統(tǒng)的安全相配套,這樣系統(tǒng)的安全又出現(xiàn)一些不穩(wěn)定因素。
3)應(yīng)用平臺(tái):為便于在應(yīng)用層面進(jìn)行定期維護(hù)或升級(jí),在開(kāi)發(fā)電子政務(wù)信息系統(tǒng)的應(yīng)用功能時(shí),往往有可能留有所謂的“后門(mén)”一旦被非法人員發(fā)現(xiàn),破壞性有可能波及整個(gè)系統(tǒng)。
5.法律法規(guī)的滯后性
雖然,我國(guó)針對(duì)電腦病毒、信息侵權(quán)和網(wǎng)絡(luò)犯罪等非法信息行為制定了一些網(wǎng)絡(luò)安全相關(guān)的法律法規(guī),但現(xiàn)行政策法規(guī)仍難以適應(yīng)網(wǎng)絡(luò)發(fā)展的需要,信息立法還存在相當(dāng)多的空白。諸如個(gè)人隱私保護(hù)法、數(shù)據(jù)庫(kù)保護(hù)法、數(shù)字媒體法、數(shù)字簽名認(rèn)證法、計(jì)算機(jī)犯罪法以及計(jì)算機(jī)安全監(jiān)管法等數(shù)字經(jīng)濟(jì)正常運(yùn)作所需的配套法規(guī)急需予以制定。由于法規(guī)不健全,信息市場(chǎng)交易秩序的維護(hù)、信息犯罪的懲處等無(wú)法可依,使信息犯罪有空子可鉆。另一方面,由于網(wǎng)絡(luò)作案手段新、時(shí)間短、不留痕跡等特點(diǎn),給網(wǎng)上犯罪案件的偵破和審理帶來(lái)了極大的困難。
6.保障意識(shí)的非系統(tǒng)性
有的政府系統(tǒng).在系統(tǒng)建設(shè)中沒(méi)有統(tǒng)一規(guī)范的安全構(gòu)想.更沒(méi)有建立完善的安全體系結(jié)構(gòu):從硬件采購(gòu)、網(wǎng)絡(luò)布線、采用的操作系統(tǒng)、應(yīng)用系統(tǒng)的開(kāi)發(fā)、系統(tǒng)被非法訪問(wèn)等方面都沒(méi)有把安全問(wèn)題考慮進(jìn)去或考慮得很少。因此這些政府系統(tǒng)難以抵御防范上述威脅。
3.電子政務(wù)信息安全解決策略
目前我國(guó)電子政務(wù)安全采取“國(guó)家推動(dòng)、社會(huì)參與、全局治理、積極防御、等級(jí)保護(hù)、保障發(fā)展“的策略。鑒于電子政務(wù)的信息安全面臨的是一場(chǎng)高技術(shù)的對(duì)抗,是一場(chǎng)綜合性斗爭(zhēng),涉及法律、管理、標(biāo)準(zhǔn)、技術(shù)、產(chǎn)品、服務(wù)和基礎(chǔ)設(shè)施諸多領(lǐng)域,所以電子政務(wù)安全.還要從全局來(lái)構(gòu)建其安全保障的體系框架,以保障電子政務(wù)的健康發(fā)展。
1.健全法律與政策,加強(qiáng)法律監(jiān)管
電子政務(wù)的工作內(nèi)容和工作流程涉及到國(guó)家秘密與核心政務(wù).它的安全關(guān)系到國(guó)家的主權(quán)、國(guó)家的安全和公眾益,所以電子政務(wù)的安全實(shí)施和保障,必須以國(guó)家法規(guī)形式將其固化,形成全國(guó)共同遵守的規(guī)約.成為電子政務(wù)實(shí)施和運(yùn)行的行為準(zhǔn)則,成為電子政務(wù)國(guó)際交往的重要依據(jù)。其目的在于保護(hù)守法者和依法者的合法權(quán)益.為司法和執(zhí)法者提供法律依據(jù).對(duì)違法、犯法者形成強(qiáng)大的威懾。因此,制訂相應(yīng)的法規(guī),適度的解密和規(guī)范開(kāi)放的規(guī)則,保護(hù)政府部門(mén)問(wèn)信息的正常交流,保護(hù)社會(huì)公眾對(duì)信息的合法享用,打破對(duì)政務(wù)信息資源的壟斷和封鎖,提高政府行政透明度和民主進(jìn)程,是非常有利的和必要的。再完美的電子政務(wù)信息系統(tǒng)也可能出現(xiàn)內(nèi)部使用的疏忽或遭受外來(lái)的惡意攻擊,只有將網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)法律法規(guī)結(jié)合起來(lái)并與國(guó)際立法規(guī)則相兼容,才能在發(fā)生問(wèn)題后有法可依,建議制定專(zhuān)門(mén)的電子政務(wù)信息系統(tǒng)安全法。一是用以規(guī)范電子政務(wù)中的信息安全技術(shù)范疇,二是對(duì)破壞電子政務(wù)信息安全的行為如何處罰要從法律意義上制定專(zhuān)門(mén)的規(guī)定。
2.強(qiáng)化組織與管理
電子政務(wù)安全管理涉及到國(guó)家安全部、國(guó)家保密局、國(guó)家密碼管理委員會(huì)、信息產(chǎn)業(yè)部等許多國(guó)家安全職能部門(mén).其安全管理職能的協(xié)調(diào)需要由國(guó)家信息化領(lǐng)導(dǎo)機(jī)構(gòu)來(lái)進(jìn)行。各地區(qū)和部委建立相應(yīng)的信息安全管理機(jī)構(gòu),以完成和強(qiáng)化信
息安全的管理,形成自上而下的信息安全管理組織體系,是電子政務(wù)安全實(shí)施的必要條件。同時(shí),政府相關(guān)部門(mén)必須制訂頒發(fā)電子政務(wù)安全相關(guān)的各項(xiàng)管理?xiàng)l例,以及時(shí)指導(dǎo)電子政務(wù)建設(shè)的各種行為.保障電子政務(wù)系統(tǒng)建設(shè)全程的安全和安全管理工作的程序化和制度化。根據(jù)管理需求,可以對(duì)電子政務(wù)系統(tǒng)信息內(nèi)容實(shí)施安全監(jiān)控管理.以保護(hù)政務(wù)信息安全,防止由于內(nèi)部違規(guī)或外部入侵可能造成的網(wǎng)絡(luò)泄密,同時(shí)也阻止有害信息內(nèi)容在政務(wù)網(wǎng)上傳播。
3.制訂標(biāo)準(zhǔn)與規(guī)范
信息安全標(biāo)準(zhǔn)有利于安全產(chǎn)品的規(guī)范化,有利于保證產(chǎn)品安全可信性、實(shí)現(xiàn)產(chǎn)品的互聯(lián)和互操作性.以支持電子政務(wù)系統(tǒng)的互聯(lián)、更新和可擴(kuò)展性,支持系統(tǒng)安全的測(cè)評(píng)與評(píng)估.保障電子政務(wù)系統(tǒng)的安全可靠。因此,制訂信息安全標(biāo)準(zhǔn)以及安全產(chǎn)品的規(guī)范便顯得尤為重要。
4.縱深保障與服務(wù)
在電子政務(wù)的系統(tǒng)建設(shè)中,要構(gòu)建其技術(shù)安全保障架構(gòu).對(duì)大型電子政務(wù)系統(tǒng)要建立縱深防御體系:進(jìn)而設(shè)置政務(wù)內(nèi)網(wǎng)的安全與控制策略、政務(wù)外網(wǎng)的安全與控制策略,進(jìn)入互聯(lián)網(wǎng)的安全服務(wù)與控制策略、租用公網(wǎng)干線的安全服務(wù)與控制策略、政務(wù)計(jì)算環(huán)境的安全服務(wù)與機(jī)制。采用縱深防御和多級(jí)設(shè)防,是電子政務(wù)安全保障的重要原則,通過(guò)全局性的安全防護(hù)、安全檢測(cè)、快速響應(yīng)、集成的安全管理與安全設(shè)施的聯(lián)動(dòng)控制,以達(dá)到系統(tǒng)具有防護(hù)、檢測(cè)、反應(yīng)與恢復(fù)能力。
5.創(chuàng)新技術(shù)與產(chǎn)品
由于電子政務(wù)的國(guó)家涉密性,電子政務(wù)系統(tǒng)工程的安全保障需要各種有自主知識(shí)產(chǎn)權(quán)的信息安全技術(shù)和產(chǎn)品.要不斷地加強(qiáng)安全技術(shù)和產(chǎn)品的自主研制和創(chuàng)新;它們涉及到安全操作系統(tǒng)、安全硬件平臺(tái)、安全數(shù)據(jù)庫(kù)、PKI/CA、PMI、VPN、安全網(wǎng)關(guān)、防火墻、數(shù)據(jù)加密機(jī)入侵檢測(cè)(1DS)、漏洞掃描、計(jì)算機(jī)病毒防治工具、強(qiáng)審計(jì)工具、安全Web、安全郵件、安全設(shè)施集成管理平臺(tái)、內(nèi)容識(shí)別和過(guò)濾產(chǎn)品、安全備份、電磁泄漏防護(hù)、安全隔離客戶機(jī)、安全網(wǎng)閘等。
6.用戶應(yīng)用安全
電子政務(wù)中,由于管理和使用不當(dāng)造成的安全問(wèn)題愈七成,因此加強(qiáng)人員對(duì)系統(tǒng)使用的安全意識(shí),尤為重要。首先在系統(tǒng)投入使用前,必須對(duì)所有人員進(jìn)行技術(shù)培訓(xùn)。其次,在使用過(guò)程中,也應(yīng)有針對(duì)性的就系統(tǒng)變更等問(wèn)題與工作人員 5
進(jìn)行雙向交流 其它還需特別注意的地方有:
1)管理員職責(zé):管理員賬戶本身最易受到黑客攻擊,定期更換賬戶及密碼,是提高安全性的有效措施。同時(shí),盡量不開(kāi)放 Guest賬戶,對(duì)其他用戶嚴(yán)格劃定訪問(wèn)權(quán)限和資源使用權(quán)限;定期檢查用戶IP地址范圍,用戶使用系統(tǒng)的頻率和內(nèi)容,發(fā)現(xiàn)異常及時(shí)封鎖IP或相應(yīng)用戶賬號(hào)。
2)普通用戶:在內(nèi)部子網(wǎng)中不應(yīng)開(kāi)放共享目錄。如有經(jīng)常交換信息需求的用戶,在共享時(shí)必須加上必要的口令認(rèn)證機(jī)制。現(xiàn)在更為常見(jiàn)的方式是給用戶配備 USB 安全密鑰或者經(jīng)第三方CA認(rèn)證,可用來(lái)進(jìn)行數(shù)字簽名和驗(yàn)證簽名,確保通訊雙方的真實(shí)身份,兼具真實(shí)性和不可抵賴性,保障政務(wù)的安全傳送和處理。
7.系統(tǒng)運(yùn)行環(huán)境安全
1)網(wǎng)絡(luò)分級(jí)隔離:外網(wǎng)與內(nèi)網(wǎng)和專(zhuān)網(wǎng)進(jìn)行物理隔離,內(nèi)網(wǎng)與專(zhuān)網(wǎng)、外網(wǎng)與 Internet 之間則采用邏輯隔離。內(nèi)外網(wǎng)間必須安裝防火墻,根據(jù)各種過(guò)濾規(guī)則來(lái)判斷網(wǎng)絡(luò)數(shù)據(jù)是否能夠通過(guò)防火墻,用以加強(qiáng)網(wǎng)絡(luò)之間訪問(wèn)控制、防止外網(wǎng)用戶以非法手段進(jìn)入內(nèi)網(wǎng)、保護(hù)內(nèi)網(wǎng)中的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備,既防止外來(lái)的入侵,也阻止局域網(wǎng)內(nèi)部重要信息的泄露。內(nèi)外網(wǎng)之間的通信則采用異步高位加密機(jī)制,可以保證內(nèi)外網(wǎng)的通信安全
2)網(wǎng)絡(luò)設(shè)備和軟件:選用高帶寬網(wǎng)絡(luò)和高性能服務(wù)器。配備加密設(shè)備,使得數(shù)據(jù)以密文形式在網(wǎng)上傳送,保證數(shù)據(jù)的機(jī)密性與完整性。在安裝防火墻的基礎(chǔ)上,輔以入侵檢測(cè)系統(tǒng),用于實(shí)時(shí)監(jiān)控和記錄具攻擊性的信息代碼在進(jìn)出網(wǎng)段的所有操作行為,并按制定的策略實(shí)行響應(yīng)(阻斷、報(bào)警、發(fā)送電子郵件等),從而防止網(wǎng)絡(luò)的攻擊與犯罪行為。安裝正版操作系統(tǒng)或源代碼對(duì)政府開(kāi)放的操作系,統(tǒng)堅(jiān)持日常維護(hù)和記錄,及時(shí)更新、升級(jí)病毒庫(kù);使用安全掃描工具定期檢查系統(tǒng)漏洞和配置更改情況,及時(shí)安裝系統(tǒng)補(bǔ)丁堵塞系統(tǒng)漏洞。
4.結(jié)論
電子政務(wù)信息系統(tǒng)的安全保障不但要從實(shí)現(xiàn)技術(shù)入手,更要與系統(tǒng)在政府工作中的重要地位相呼應(yīng) 保證其先進(jìn)性和可擴(kuò)展性,要進(jìn)行深入調(diào)研和長(zhǎng)遠(yuǎn)規(guī)劃 必須能夠適應(yīng)網(wǎng)絡(luò)的快速發(fā)展變化。根本上還需要國(guó)家的司法支持和參與人員管理意識(shí)的增強(qiáng)保障了電子政務(wù)的安全,才能保障政府信息化的順利推進(jìn)。
5.參考文獻(xiàn)
1.王紹卜,《計(jì)算機(jī)網(wǎng)絡(luò)的安全隱患與策略》中外科技信息,2003(11)43~45 2謝希仁,《計(jì)算機(jī)網(wǎng)絡(luò)》.大連:大連理工大學(xué)出版社,2001:1 27~1 30 3.覃正.中美電子政務(wù)發(fā)展報(bào)告[M].北京: 科學(xué)出版社 2008(5).4.樊博.電子政務(wù)[M].上海交通大學(xué)出版社 2006(6)5.褚俊 蘇震.電子政務(wù)安全技術(shù)保障[M].北京中國(guó)人民大學(xué)出版社 2004(3).6.蘇玉召 趙妍.計(jì)算機(jī)網(wǎng)絡(luò)信息安全及其防護(hù)策略的研究[J] 計(jì)算機(jī)與信息技術(shù) 2006(5)7.王海濤.電子政務(wù)中的安全問(wèn)題[J] 佳木斯大學(xué)學(xué)報(bào):自然科學(xué)版 2005(2)8.羅茂斌.論電子政務(wù)與電子文件的保護(hù)[J].檔案管理 2001(4).9.鄧崧.電子政務(wù)價(jià)值評(píng)估研究[D].上海 同濟(jì)大學(xué) 2007.10.馬朝斌《大力加強(qiáng)電子政務(wù)內(nèi)網(wǎng)的安全保密建設(shè)和管理.信息安全與通信保密,2003(12)11.鄔賀銓 《電子政務(wù)安全體系 《信息安全與通信保密》,2003(4)12.譚興烈 《電子政務(wù)安全解決方案要解決的主要問(wèn)題 《信息安全與通信保密》,2004(5)13.姜楠,王健《電子政務(wù)中基于PKI的角色授權(quán)管理策略》《通信技術(shù)》,2003(9)
第二篇:我國(guó)電子政務(wù)信息安全管理問(wèn)題研究
我國(guó)電子政務(wù)信息安全管理問(wèn)題研究
作者: XXX 指導(dǎo)老師:XXX
內(nèi)容摘要:電子政務(wù)是一種全新的政府管理方式,是一個(gè)基于網(wǎng)絡(luò)技術(shù)的綜合性業(yè)務(wù)模式。建立電子政務(wù)系統(tǒng)參與公眾服務(wù),必然要求這一系統(tǒng)必須是安全、可靠、抗災(zāi)難、可恢復(fù)的。隨著電子政務(wù)信息化的不斷發(fā)展,電子政務(wù)對(duì)于網(wǎng)絡(luò)系統(tǒng)的依賴性越來(lái)越強(qiáng),政務(wù)系統(tǒng)作為關(guān)系國(guó)計(jì)民生的重要部分,在安全方面尤為重要。本文就主要從我國(guó)電子政務(wù)的發(fā)展歷程及面臨的主要挑戰(zhàn),信息安全管理過(guò)程中出現(xiàn)的相關(guān)問(wèn)題做一分析以及主要的管理措施加以論述。
關(guān)鍵詞:電子政務(wù) 信息安全 電子政務(wù)信息安全
一、我國(guó)電子政務(wù)發(fā)展的歷程,特點(diǎn)及主要趨勢(shì)
1、我國(guó)電子政務(wù)的發(fā)展歷程
電子政務(wù)的發(fā)展源于技術(shù)的進(jìn)步和社會(huì)的演進(jìn),信息技術(shù)的突破性進(jìn)展為政府信息化創(chuàng)造了條件,中國(guó)政府明確提出建設(shè)電子政務(wù)雖然只是近幾年的事,但從歷史沿革來(lái)看,80年代中期開(kāi)始的辦公自動(dòng)化建設(shè),就已經(jīng)拉開(kāi)了電子政務(wù)建設(shè)的帷幕。從這一時(shí)間段來(lái)劃分,中國(guó)電子政務(wù)的發(fā)展大體可分為四個(gè)階段:辦公自動(dòng)化階段、“三金工程”實(shí)施階段、“政府上網(wǎng)”階段和電子政務(wù)階段。
2、我國(guó)電子政務(wù)的特點(diǎn)
(1)我國(guó)電子政務(wù)整體尚處在初步發(fā)展階段。表現(xiàn)為相關(guān)政策,法律法規(guī)的建設(shè)不完善,電子政務(wù)信息化建設(shè)物理硬件設(shè)施不夠完善,相關(guān)技術(shù)整體上還有很大的發(fā)展空間。
(2)發(fā)展的多層次性和不平衡性。由于我國(guó)經(jīng)濟(jì)社會(huì)發(fā)展不平穩(wěn),中央部委、沿海發(fā)達(dá)地區(qū)和中西部地區(qū)電子政務(wù)的發(fā)展水平存在較大差距,呈現(xiàn)出多層次、不平衡性的特點(diǎn)。另外,近幾年政府門(mén)戶網(wǎng)站的發(fā)展較快,但網(wǎng)站內(nèi)容與所能提供的服務(wù)卻相對(duì)不足。
(3)電子政務(wù)領(lǐng)域各種“矛盾”突出。部門(mén)和地區(qū)對(duì)電子政務(wù)的投資熱情與應(yīng)用效果之間的反差強(qiáng)烈,電子政務(wù)管理沿用的固定資產(chǎn)投資方式已不能適應(yīng)電子政務(wù)發(fā)展的需要,但相關(guān)的管理制度改革卻處于相對(duì)緩慢的狀態(tài)。
3、我國(guó)電子政府發(fā)展的主要趨勢(shì)
(1)信息安全得到加強(qiáng)。從政府層面來(lái)看,電子政務(wù)安全體系框架正在研究制定,電子簽名法
(1)
已經(jīng)推出,信息公開(kāi)等方面的法律法規(guī)的前期研究工作也在進(jìn)行當(dāng)中;從用戶層面來(lái)看,電子政務(wù)建設(shè)的用戶從規(guī)劃、實(shí)施等方面都已對(duì)信息安全進(jìn)行了充分考慮,并且信息安全方面的費(fèi)用在整個(gè)信息化建設(shè)中所占的比例越來(lái)越大;從廠商層面來(lái)看,國(guó)內(nèi)外安全廠商在整個(gè)IT行業(yè)中發(fā)展速度較快,廠商數(shù)量和廠商規(guī)模都在迅速增長(zhǎng)。可以預(yù)計(jì),未來(lái)幾年信息安全市場(chǎng)將會(huì)有更進(jìn)一步的發(fā)展,信息安全法律法規(guī)將會(huì)更加完善。
(2)信息中心轉(zhuǎn)型步伐進(jìn)一步加快。未來(lái)幾年,多數(shù)信息中心將不再具體承擔(dān)政府部門(mén)的信息化建設(shè)任務(wù),而轉(zhuǎn)向政府信息化規(guī)劃、招投標(biāo)、工程管理、工程驗(yàn)收等方面。因此,未來(lái)的電子政務(wù)建設(shè)市場(chǎng)將進(jìn)一步的透明,并且由于信息中心的轉(zhuǎn)型,使專(zhuān)門(mén)從事電子政務(wù)系統(tǒng)集成、方案開(kāi)發(fā)的廠商有了更大的發(fā)展空間和市場(chǎng)。
(3)標(biāo)準(zhǔn)規(guī)范將不斷完善。2002年5月,國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)和國(guó)務(wù)院信息化工作辦公室聯(lián)合發(fā)布了《電子政務(wù)標(biāo)準(zhǔn)化指南》總則部分,與之相關(guān)的電子政務(wù)工程管理、網(wǎng)絡(luò)建設(shè)、信息共享、支撐技術(shù)、信息安全等方面的技術(shù)要求、標(biāo)準(zhǔn)和管理規(guī)定在2003年已完成。2004年,從事系統(tǒng)集成、網(wǎng)絡(luò)建設(shè)、信息安全等方面的廠商,在開(kāi)發(fā)建設(shè)過(guò)程中已有法可依。
二、我國(guó)電子政務(wù)信息安全存在的問(wèn)題
1、法律問(wèn)題
盡管近年來(lái)我國(guó)已出臺(tái)了一系列與網(wǎng)絡(luò)信息安全相關(guān)的法律法規(guī),并取得了一定的成績(jī),但這些法律法規(guī)尚未形成體系。隨著信息技術(shù)的發(fā)展,信息安全問(wèn)題越來(lái)越復(fù)雜,現(xiàn)有的信息安全法律框架已經(jīng)難以適應(yīng)電子政務(wù)信息化模式的發(fā)展需求。因此加快電子政務(wù)信息化的法律法規(guī)建設(shè)以成為一項(xiàng)非常急迫的任務(wù)。
2、技術(shù)問(wèn)題
(1)網(wǎng)絡(luò)安全規(guī)劃與網(wǎng)絡(luò)結(jié)構(gòu)的不合理性。
由于信息技術(shù)發(fā)展尚不完善的眾多原因,我國(guó)電子政務(wù)網(wǎng)絡(luò)的建設(shè)在規(guī)劃上經(jīng)常缺少前瞻性的安全規(guī)劃,如:IP 地址缺乏統(tǒng)一規(guī)劃,廣播流量可控性差,子網(wǎng)故障隔離性差,重要流量缺乏帶寬管理和服務(wù)質(zhì)量?jī)?yōu)先保證等問(wèn)題顯現(xiàn)明顯。
(2)電子政務(wù)信息化建設(shè)技術(shù)人員相對(duì)缺乏,技術(shù)等素質(zhì)不過(guò)硬。
我國(guó)信息化建設(shè)相對(duì)國(guó)對(duì)發(fā)達(dá)國(guó)家的信息設(shè)備和信息技術(shù)有很大的差異,技術(shù)人員培養(yǎng)力度也比發(fā)達(dá)國(guó)家相對(duì)來(lái)說(shuō)不足,信息化核心設(shè)備嚴(yán)重依賴國(guó)外,對(duì)引進(jìn)的技術(shù)和設(shè)備缺乏必要的信息管理和技術(shù)改造。尤其是在系統(tǒng)安全和安全協(xié)議的研究和應(yīng)用方面與發(fā)達(dá)國(guó)家的差距很大。(3)網(wǎng)絡(luò)技術(shù)與網(wǎng)絡(luò)設(shè)置的不科學(xué),造成了大量的網(wǎng)絡(luò)安全隱患。
電子政務(wù)本身所具有的特點(diǎn)決定了它很容易招致來(lái)自外部或內(nèi)部的各種攻擊。同時(shí),網(wǎng)絡(luò)化政務(wù)辦公導(dǎo)致了政府工作對(duì)網(wǎng)絡(luò)依賴性的增強(qiáng),而依賴性必然產(chǎn)生脆弱性,包括技術(shù)的脆弱性、社會(huì)
(2)的脆弱性、人的脆弱性等等。由于網(wǎng)絡(luò)技術(shù)不夠成熟,網(wǎng)絡(luò)設(shè)置不夠科學(xué),目前大部分電子政務(wù)選用的系統(tǒng)本身存在著安全弱點(diǎn)或隱患,其中包括網(wǎng)絡(luò)硬件設(shè)備的弱點(diǎn)、操作平臺(tái)的弱點(diǎn)等各種安全問(wèn)題。由于電子政務(wù)在很大程度上要依賴因特網(wǎng),而因特網(wǎng)的全球性、開(kāi)放性在為我們提供極大的便利的同時(shí),也給信息安全帶來(lái)了極大的威脅,這就需要我們努力的利用先進(jìn)的網(wǎng)絡(luò)技術(shù)來(lái)減少或消除這些威脅。
3、管理問(wèn)題
(1)政府工作人員思想觀念陳舊,安全意識(shí)淡薄。
我國(guó)電子政務(wù)建設(shè)起點(diǎn)低,時(shí)間短,至今仍未成熟。幾十年來(lái),政府工作人員已經(jīng)習(xí)慣了手工作業(yè),不容易適應(yīng)信息化辦公,對(duì)電子政務(wù)沒(méi)有一個(gè)正確的認(rèn)識(shí),仍保留著陳舊的管理理念。另外,對(duì)于工作人員,在電子政務(wù)信息的安全問(wèn)題上還存在不少認(rèn)知盲區(qū)和制約因素。網(wǎng)絡(luò)是新生事物,許多人一接觸它就忙著用于學(xué)習(xí)、工作和娛樂(lè)等,對(duì)網(wǎng)絡(luò)信息的安全性無(wú)暇顧及,安全意識(shí)相當(dāng)?shù)。瑢?duì)網(wǎng)絡(luò)信息不安全的事實(shí)認(rèn)識(shí)不足。雖然政府已經(jīng)采取了很多措施來(lái)提高工作人員的安全意識(shí),但就其效果而言并不是很理想。
(2)管理體制問(wèn)題突出,網(wǎng)絡(luò)安全管理混亂,規(guī)范化的管理制度相對(duì)滯后,造成了很多管理安全漏洞。
一直以來(lái),各級(jí)政府為了保證信息安全,只在技術(shù)上采取了相應(yīng)的保障措施,卻忽略了更重要的管理體制的建設(shè),未把保障電子政務(wù)安全的“軟措施”做細(xì)做實(shí),未從管理體制上落實(shí)安全責(zé)任制,未建立完備的信息安全管理和認(rèn)證機(jī)制等。這使電子政務(wù)系統(tǒng)存在很多管理安全漏洞,很難做到安全管理的統(tǒng)一協(xié)調(diào)性,一旦發(fā)生安全事件,故障定位不準(zhǔn),追查事故源困難,責(zé)任問(wèn)題牽扯不清,從而造成事件的破壞性后果更為嚴(yán)重。
三、我國(guó)電子政務(wù)信息安全管理措施
1、完善管理體制,規(guī)范管理制度。
目前,我國(guó)電子政務(wù)領(lǐng)域并沒(méi)有形成一個(gè)由上到下的統(tǒng)一的管理體制,這給信息安全的保障造成了很大的障礙。這就需要國(guó)家相關(guān)部門(mén)建立一個(gè)從中央到各級(jí)地方政府的統(tǒng)一的電子政務(wù)管理體制,上級(jí)部門(mén)主管或監(jiān)督下級(jí)部門(mén),面對(duì)問(wèn)題,中央及各級(jí)下屬部門(mén)協(xié)調(diào)步伐,統(tǒng)一解決,以防出現(xiàn)不同部門(mén)的各種差異和利益沖突。電子政務(wù)網(wǎng)絡(luò)內(nèi)部安全除了需要體系化的安全防御策略以外,還需要嚴(yán)格的、可操作性強(qiáng)的安全管理制度,以明確責(zé)任,增強(qiáng)員工對(duì)信息安全的重視程度。制度的制訂要規(guī)范,要強(qiáng)調(diào)制度的強(qiáng)制性、法規(guī)約束力和可操作性。
2、提高工作人員的信息素養(yǎng),強(qiáng)化信息安全意識(shí)。
對(duì)相關(guān)工作人員進(jìn)行電子政務(wù)方面相關(guān)知識(shí)的培訓(xùn),使其轉(zhuǎn)變傳統(tǒng)的思想觀念,深入了解和認(rèn)識(shí)電子政務(wù),更好地融入政府的現(xiàn)代化辦公。同時(shí)進(jìn)行安全宣傳教育,增強(qiáng)安全意識(shí)的培養(yǎng)和信息
(3)
安全知識(shí)的普及,提高工作人員的信息素養(yǎng),保證安全管理制度的良好貫徹和執(zhí)行。
3、加強(qiáng)電子政務(wù)的法治環(huán)境建設(shè)。
與電子政務(wù)快速發(fā)展的實(shí)踐相比,我國(guó)的電子政務(wù)法制化進(jìn)程明顯滯后。對(duì)于我國(guó)電子政務(wù)發(fā)展中出現(xiàn)的各種問(wèn)題,尤其是信息安全問(wèn)題,國(guó)家立法機(jī)關(guān)及政府有必要以法律的形式加以解決和固化,以保證我國(guó)電子政務(wù)的健康發(fā)展。
4、加強(qiáng)網(wǎng)絡(luò)核心技術(shù)研發(fā),培養(yǎng)電子政務(wù)專(zhuān)業(yè)人才。
電子政務(wù)的發(fā)展已經(jīng)成為我國(guó)現(xiàn)階段社會(huì)發(fā)展的一個(gè)重要組成部分,為了減少在信息設(shè)備和信息技術(shù)方面對(duì)發(fā)達(dá)國(guó)家的依賴性,加強(qiáng)我國(guó)電子政務(wù)系統(tǒng)的安全性,可以成立專(zhuān)門(mén)的針對(duì)電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的技術(shù)研發(fā)機(jī)構(gòu),組成核心攻堅(jiān)團(tuán)隊(duì),及時(shí)解決我國(guó)電子政務(wù)發(fā)展過(guò)程中出現(xiàn)的相關(guān)問(wèn)題。另外,為了保證電子政務(wù)系統(tǒng)的良好運(yùn)行,我國(guó)還急需培養(yǎng)大批的電子政務(wù)專(zhuān)業(yè)人才,可以在高校中設(shè)立電子政務(wù)相關(guān)專(zhuān)業(yè),專(zhuān)門(mén)培養(yǎng)針對(duì)政府電子政務(wù)系統(tǒng)使用的專(zhuān)業(yè)人才。
四、電子政務(wù)信息安全管理應(yīng)用的主要技術(shù)
1、防火墻技術(shù)
防火墻技術(shù)在信息安全管理中顯得尤為重要,是一個(gè)有軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專(zhuān)用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障。在當(dāng)今政務(wù)公開(kāi),政府工作注重高效性情況下,將防火墻技術(shù)應(yīng)用到電子政務(wù)中,對(duì)于信息安全的建設(shè)與發(fā)展都起到了不可忽視的作用。
2、VPN技術(shù)
VPN(Virtual Private Network)即虛擬專(zhuān)用網(wǎng),是通過(guò)一個(gè)公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個(gè)臨時(shí)的、安全的連接,是一條穿過(guò)混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。通常,VPN 是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展,通過(guò)它可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸。VPN 可用于不斷增長(zhǎng)的移動(dòng)用戶的全球因特網(wǎng)接入,以實(shí)現(xiàn)安全連接;可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專(zhuān)用線路,用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專(zhuān)用網(wǎng)。將VPN技術(shù)所涉及到數(shù)據(jù)安全連接及政府網(wǎng)站的擴(kuò)展操作,在一定意義上起到了電子政務(wù)信息安全的管理問(wèn)題。
3、PKI技術(shù)
PKI(Public Key Infrastucture)即公鑰基礎(chǔ)設(shè)施,廣義上講,它是一套安全服務(wù)的集合,運(yùn)用密碼學(xué)的基礎(chǔ)理論,為網(wǎng)絡(luò)應(yīng)用提供認(rèn)證、授權(quán)、加密、數(shù)字簽證等安全服務(wù)。PKI技術(shù)是一個(gè)廣闊的研究領(lǐng)域,在電子政務(wù)系統(tǒng)中的應(yīng)用研究有著重要的實(shí)用意義,它在電子政務(wù)系統(tǒng)的安全性、公務(wù)員的素質(zhì)、決策的科學(xué)性、行政效率等方面都有著積極的貢獻(xiàn)。因此PKI技術(shù)在電子政務(wù)中得到人們的日益重視。許多PKI技術(shù)不斷涌出,PKI對(duì)數(shù)據(jù)加密、數(shù)字簽名、反否認(rèn)、數(shù)字完整性以及分辨所需的密鑰和認(rèn)證實(shí)施了統(tǒng)一的集中化管理。基于PKI技術(shù)可構(gòu)建安全性能很好的電子政務(wù)
(4)
應(yīng)用系統(tǒng)。我國(guó)PKI理論的研究將走向成熟期,它的非常現(xiàn)實(shí)的應(yīng)用前景和電子政務(wù)的發(fā)展要求完美結(jié)合,推進(jìn)我國(guó)基于PKI的安全的電子政務(wù)發(fā)展。
五、結(jié)束語(yǔ)
隨著信息化技術(shù)的日新月異,電子政務(wù)信息安全的保障顯得尤為重要,同時(shí)也是一項(xiàng)關(guān)系多領(lǐng)域的綜合工程,必須從技術(shù)和管理兩方面入手,才能最大限度地保證電子政務(wù)信息安全。在電子政務(wù)中,要達(dá)到絕對(duì)的安全是不可能的,但是,當(dāng)充分的認(rèn)識(shí)到電子政務(wù)信息安全所涉及的各個(gè)方面后,從綜合的角度出發(fā),就可以找到較好的辦法,盡可能的達(dá)到維護(hù)電子政務(wù)系統(tǒng)安全的最終目的。相信經(jīng)過(guò)國(guó)家和地方各級(jí)政府部門(mén)的努力和緊密配合,在社會(huì)各方的大力幫助下,我國(guó)的電子政務(wù)信息安全隱患會(huì)降到最低,以保證電子政務(wù)實(shí)踐健康快速的發(fā)展!
參考文獻(xiàn):
[1]趙國(guó)俊.電子政務(wù)教程[M].北京:中國(guó)人民大學(xué)出版社,2004.[2]韓文報(bào).電子政務(wù)概論[M].北京:解放軍出版社,2005.[3]劉越男,王立清.政府網(wǎng)站的構(gòu)建與運(yùn)作[M].北京:中國(guó)人民大學(xué)出版社,2004.[4]謝先江.電子政務(wù)外網(wǎng)安全平臺(tái)建設(shè)基本問(wèn)題初探[J].電子政務(wù),2008.(5)
第三篇:電子政務(wù)信息安全保障體系
電子政務(wù)安全面臨威脅和挑戰(zhàn)
電子政務(wù)涉及對(duì)國(guó)家秘密信息和高敏感度核心政務(wù)的保護(hù),設(shè)計(jì)維護(hù)公共秩序和行政監(jiān)管的準(zhǔn)確實(shí)施,涉及到為社會(huì)提供公共服務(wù)的質(zhì)量保證。電子政務(wù)是黨委、政府、人大、政協(xié)有效決策、管理、服務(wù)的重要手段,必然會(huì)遇到各種敵對(duì)勢(shì)力、恐怖集團(tuán)、搗亂分子的破壞和攻擊。尤其電子政務(wù)是搭建在基于互聯(lián)網(wǎng)技術(shù)的網(wǎng)絡(luò)平臺(tái)上,包括政務(wù)內(nèi)網(wǎng)、政務(wù)外網(wǎng)和互聯(lián)網(wǎng),而互聯(lián)網(wǎng)的安全先天不足,互聯(lián)網(wǎng)是一個(gè)無(wú)行政主管的全球網(wǎng)絡(luò),自身缺少設(shè)防和安全隱患很多,對(duì)互聯(lián)網(wǎng)犯罪尚缺乏足夠的法律威懾,大量的跨國(guó)網(wǎng)絡(luò)犯罪給執(zhí)法帶來(lái)很大的難度。所有上述分子利用互聯(lián)網(wǎng)進(jìn)行犯罪則有機(jī)可乘,使基于互聯(lián)網(wǎng)開(kāi)展的電子政務(wù)應(yīng)用面臨著嚴(yán)峻的挑戰(zhàn)。
對(duì)電子政務(wù)的安全威脅,包括網(wǎng)上黑客入侵和犯罪、網(wǎng)上病毒泛濫和蔓延、信息間諜的潛入和竊密、網(wǎng)絡(luò)恐怖集團(tuán)的攻擊和破壞、內(nèi)部人員的違規(guī)和違法操作、網(wǎng)絡(luò)系統(tǒng)的脆弱和癱瘓、信息產(chǎn)品的失控等,應(yīng)引起足夠警惕,采取安全措施,應(yīng)對(duì)這種挑戰(zhàn)。
電子政務(wù)的安全目標(biāo)和安全策略
電子政務(wù)的安全目標(biāo)是,保護(hù)政務(wù)信息資源價(jià)值不受侵犯,保證信息資產(chǎn)的擁有者面臨最小的風(fēng)險(xiǎn)和獲取最大的安全利益,使政務(wù)的信息基礎(chǔ)設(shè)施、信息應(yīng)用服務(wù)和信息內(nèi)容為抵御上述威脅而具有保密性、完整性、真實(shí)性、可用性和可控性的能力。
為實(shí)現(xiàn)上述目標(biāo)應(yīng)采取積極的安全策略:
·國(guó)家主導(dǎo)、社會(huì)參與。電子政務(wù)安全關(guān)系到政府的辦公決策、行政監(jiān)管和公共服務(wù)的高質(zhì)量和可信實(shí)施的大事,必須由國(guó)家統(tǒng)籌規(guī)劃、社會(huì)積極參與,才能有效保障電子政務(wù)安全。
·全局治理、積極防御。電子政務(wù)安全必須采用法律威懾、管理制約、技術(shù)保障和安全基礎(chǔ)設(shè)施支撐的全局治理措施,并且實(shí)施防護(hù)、檢測(cè)、恢復(fù)和反制的積極防御手段,才能更為有效。
·等級(jí)保護(hù)、保障發(fā)展。要根據(jù)信息的價(jià)值等級(jí)及所面臨的威脅等級(jí),選擇適度的安全機(jī)制強(qiáng)度等級(jí)和安全技術(shù)保障強(qiáng)壯性等級(jí),尋求一個(gè)投入和風(fēng)險(xiǎn)可承受能力間的平衡點(diǎn),保障電子政務(wù)系統(tǒng)健康和積極的發(fā)展。
電子政務(wù)安全保障體系框架
電子政務(wù)安全采取“國(guó)家推動(dòng)、社會(huì)參與、全局治理、積極防御、等級(jí)保護(hù)、保障發(fā)展”的策略,鑒于電子政務(wù)的信息安全面臨的是一場(chǎng)高技術(shù)的對(duì)抗,是一場(chǎng)綜合性斗爭(zhēng),涉及法律、管理、標(biāo)準(zhǔn)、技術(shù)、產(chǎn)品、服務(wù)和基礎(chǔ)設(shè)施諸多領(lǐng)域,所以電子政務(wù)安全,還要從全局來(lái)構(gòu)建其安全保障的體系框架,以保障電子政務(wù)的健康發(fā)展。
電子政務(wù)安全保障體系由六要素組成,即安全法規(guī)、安全管理、安全標(biāo)準(zhǔn)、安全服務(wù)、安全技術(shù)產(chǎn)品和安全基礎(chǔ)設(shè)施等安全要素(見(jiàn)圖1)。
要素一 安全法律與政策
電子政務(wù)的工作內(nèi)容和工作流程涉及到國(guó)家秘密與核心政務(wù),它的安全關(guān)系到國(guó)家的主權(quán)、國(guó)家的安全和公眾利益,所以電子政務(wù)的安全實(shí)施和保障,必須以國(guó)家法規(guī)形式將其固化,形成全國(guó)共同遵守的規(guī)約,成為電子政務(wù)實(shí)施和運(yùn)行的行為準(zhǔn)則,成為電子政務(wù)國(guó)際交往的重要依據(jù),保護(hù)守法者和依法者的合法權(quán)益,為司法和執(zhí)法者提供法律依據(jù),對(duì)違法、犯法者形成強(qiáng)大的威懾。
《中華人民共和國(guó)保護(hù)國(guó)家秘密法》已實(shí)施13年,已不完全適應(yīng)我國(guó)當(dāng)前保密工作的現(xiàn)狀,特別是電子政務(wù)的發(fā)展,亟待修訂。
政務(wù)信息公開(kāi)是電子政務(wù)的重要原則,為了拉近政府和公眾的距離,使公眾具有知情權(quán)、參與權(quán)、監(jiān)督權(quán)和享用政府服務(wù)的權(quán)利,為公眾提供良好的信息服務(wù),充分挖掘政務(wù)信息的最大效益,開(kāi)放政務(wù)信息資源(非國(guó)家涉密和適宜公開(kāi)部分)服務(wù)于民是電子政務(wù)的重要特征。盡快制訂政務(wù)信息公開(kāi)法,適度的解密和規(guī)范開(kāi)放的規(guī)則,保護(hù)政府部門(mén)間信息的正常交流,保護(hù)社會(huì)公眾對(duì)信息的合法享用,打破對(duì)政務(wù)信息資源的壟斷和封鎖,提高政府行政透明度和民主進(jìn)程是非常有利的和必需的。
電子政務(wù)亟待電子簽章和電子文檔的立法保護(hù),國(guó)際已有近20多個(gè)國(guó)家對(duì)數(shù)字簽名和電子文檔進(jìn)行了立法,使數(shù)字簽名和電子文檔在電子政務(wù)和電子商務(wù)運(yùn)行中具有法律效力。這將大大促進(jìn)電子政務(wù)和電子商務(wù)的健康發(fā)展,使電子政務(wù)原來(lái)的雙軌制走向單軌制,這有利于簡(jiǎn)化程序、降低成本,充分顯示電子政務(wù)效益是非常有利的。
個(gè)人數(shù)據(jù)保護(hù)(隱私法)的需求伴隨電子政務(wù)的發(fā)展日顯突出。電子政務(wù)在實(shí)施行政監(jiān)管和公眾服務(wù)中有大量的個(gè)人信息(自然人和法人),如戶籍、納稅、社保、信用等信息大量進(jìn)入了政府網(wǎng)絡(luò)信息數(shù)據(jù)庫(kù),它對(duì)完成電子政務(wù)職能發(fā)揮巨大作用。但是這些個(gè)人信息如果保護(hù)不力或無(wú)意被泄漏,而被非法濫用,就可能成為報(bào)復(fù)、盜竊、推銷(xiāo)、討債、盯梢的工具。在國(guó)外已經(jīng)出現(xiàn)將盜用的個(gè)人隱私信息作為非法商品出售,以牟取暴利的情況,這樣直 接損害個(gè)人的利益,甚至危及個(gè)人的生命安危。因此加快個(gè)人數(shù)據(jù)保護(hù)法的制訂,是必要的。
還有很多法規(guī)的制訂都直接關(guān)系到電子政務(wù)的健康發(fā)展,加快制訂這些法規(guī),勢(shì)在必行。
要素二 安全組織與管理
我國(guó)信息安全管理職能的格局已經(jīng)形成,如國(guó)家安全部、國(guó)家保密局、國(guó)家密碼管理委員會(huì)、信息產(chǎn)業(yè)部、總參??分別執(zhí)行各自的安全職能,維護(hù)國(guó)家信息安全。電子政務(wù)安全管理涉及到上述眾多的國(guó)家安全職能部門(mén),其安全管理職能的協(xié)調(diào)需要由國(guó)家信息化領(lǐng)導(dǎo)機(jī)構(gòu),如國(guó)家信息化領(lǐng)導(dǎo)小組及其辦公室、國(guó)家電子政務(wù)協(xié)調(diào)小組、國(guó)家信息安全協(xié)調(diào)小組等來(lái)進(jìn)行。各地區(qū)和部委建立相應(yīng)的信息安全管理機(jī)構(gòu),以完成和強(qiáng)化信息安全的管理,形成自頂向下的信息安全管理組織體系,是電子政務(wù)安全實(shí)施的必要條件。
制訂頒發(fā)電子政務(wù)安全相關(guān)的各項(xiàng)管理?xiàng)l例,及時(shí)指導(dǎo)電子政務(wù)建設(shè)的各種行為,從立項(xiàng)、承包、采購(gòu)、設(shè)計(jì)、實(shí)施、運(yùn)行、操作、監(jiān)理、服務(wù)等各階段入手,保障電子政務(wù)系統(tǒng)建設(shè)全程的安全和安全管理工作的程序化和制度化。
電子政務(wù)信息安全域的劃分與管理是至關(guān)重要的。電子政務(wù)有辦公決策、行政監(jiān)管和公共服務(wù)等三種類(lèi)型業(yè)務(wù),其業(yè)務(wù)信息內(nèi)容涉及國(guó)家機(jī)密、部門(mén)工作秘密、內(nèi)部敏感信息和開(kāi)放服務(wù)信息。既要保護(hù)國(guó)家秘密又要便于公開(kāi)服務(wù),因此對(duì)信息安全域的科學(xué)劃分和管理,將有益于電子政務(wù)網(wǎng)絡(luò)平臺(tái)的安全設(shè)計(jì),有益于電子政務(wù)的健康和有效的實(shí)現(xiàn)。
制訂電子政務(wù)工程集成商的資質(zhì)認(rèn)證管理辦法、工程建設(shè)監(jiān)理機(jī)構(gòu)的管理辦法、工程外包商的管理機(jī)制和辦法,以確保電子政務(wù)工程建設(shè)的質(zhì)量和安全,特別是對(duì)于電子政務(wù)系統(tǒng)的外包制更要有嚴(yán)格的制約和管理手段。對(duì)于電子政務(wù)中涉密系統(tǒng)工程的承建,還必須有國(guó)家保密局頒發(fā)的涉密系統(tǒng)集成資質(zhì)證書(shū),其他部分應(yīng)具有國(guó)家或省市相應(yīng)的系統(tǒng)集成商的資質(zhì)證書(shū)。對(duì)于電子政務(wù)涉密部分,不允許托管和外包運(yùn)行,電子政務(wù)其他部分將按相關(guān)管理?xiàng)l例執(zhí)行。
電子政務(wù)工程中使用的信息安全產(chǎn)品,國(guó)家將制訂相應(yīng)的采購(gòu)管理政策,涉及密碼的信息安全產(chǎn)品需有國(guó)家密碼主管部門(mén)的批準(zhǔn)證書(shū),信息安全產(chǎn)品應(yīng)有通過(guò)國(guó)家測(cè)評(píng)主管機(jī)構(gòu)的安全測(cè)評(píng)的證書(shū),維護(hù)信息安全產(chǎn)品的可信性。
電子政務(wù)系統(tǒng)信息內(nèi)容根據(jù)管理需求,可以實(shí)施對(duì)信息內(nèi)容的安全監(jiān)控管理,以保護(hù)政務(wù)信息安全,防止由于內(nèi)部違規(guī)或外部入侵可能造成的網(wǎng)絡(luò)泄密,同時(shí)也阻止有害信息內(nèi)容在政務(wù)網(wǎng)上傳播。
制訂電子政務(wù)系統(tǒng)的人員管理、機(jī)構(gòu)管理、文檔管理、操作管理、資產(chǎn)與配置管理、介質(zhì)管理、服務(wù)管理、應(yīng)急事件管理、保密管理、故障管理、開(kāi)發(fā)與維護(hù)管理、作業(yè)連續(xù)性保障管理、標(biāo)準(zhǔn)與規(guī)范遵從性管理、物理環(huán)境管理等各種條例,確保電子政務(wù)系統(tǒng)的安全運(yùn)行。
要素三 安全標(biāo)準(zhǔn)與規(guī)范
信息安全標(biāo)準(zhǔn)有利于安全產(chǎn)品的規(guī)范化,有利于保證產(chǎn)品安全可信性、實(shí)現(xiàn)產(chǎn)品的互聯(lián)和互操作性,以支持電子政務(wù)系統(tǒng)的互聯(lián)、更新和可擴(kuò)展性,支持系統(tǒng)安全的測(cè)評(píng)與評(píng)估,保障電子政務(wù)系統(tǒng)的安全可靠。
國(guó)家已正式成立“信息安全標(biāo)準(zhǔn)化委員會(huì)”,近期成立了信息安全標(biāo)準(zhǔn)體系與協(xié)調(diào)工作組(WG1)、內(nèi)容安全分級(jí)及標(biāo)識(shí)工作組(WG2)、密碼算法與密碼模塊/KMI/VPN工作組(WG3)、PKI/PMI工作組(WG4)、信息安全評(píng)估工作組(WG5)、操作系統(tǒng)與數(shù)據(jù)庫(kù)安全工作組(WG6)、身份標(biāo)識(shí)與鑒別協(xié)議工作組(WG9)、操作系統(tǒng)與數(shù)據(jù)庫(kù)安全工作組(WG10),以開(kāi)展電子政務(wù)安全相關(guān)標(biāo)準(zhǔn)的研制工作,支撐電子政務(wù)安全對(duì)標(biāo)準(zhǔn)制訂的需求。
還將制訂下列標(biāo)準(zhǔn):涉密電子文檔密級(jí)劃分和標(biāo)記格式、內(nèi)容健康性等級(jí)劃分與標(biāo)記、內(nèi)容敏感性等級(jí)劃分與標(biāo)記、密碼算法標(biāo)準(zhǔn)、密碼模塊標(biāo)準(zhǔn)、密鑰管理標(biāo)準(zhǔn)、PKI/CA標(biāo)準(zhǔn)、PMI標(biāo)準(zhǔn)、信息系統(tǒng)安全評(píng)估和信息安全產(chǎn)品測(cè)評(píng)標(biāo)準(zhǔn)、應(yīng)急響應(yīng)等級(jí)、保護(hù)目標(biāo)等級(jí)、應(yīng)急響應(yīng)指標(biāo)、電子證據(jù)恢復(fù)與提取、電子證據(jù)有效性界定、電子證據(jù)保護(hù)、身份標(biāo)識(shí)與鑒別、數(shù)據(jù)庫(kù)安全等級(jí)、操作系統(tǒng)安全等級(jí)、中間件安全等級(jí)、信息安全產(chǎn)品接口規(guī)范、數(shù)字簽名??。
要素四 安全保障與服務(wù)
1.電子政務(wù)系統(tǒng)建設(shè),要構(gòu)建其技術(shù)安全保障架構(gòu),對(duì)大型電子政務(wù)系統(tǒng)要建立縱深防御體系。
·設(shè)置政務(wù)內(nèi)網(wǎng)的安全與控制策略;
·設(shè)置政務(wù)外網(wǎng)的安全與控制策略;
·設(shè)置進(jìn)入互聯(lián)網(wǎng)的安全服務(wù)與控制策略;
·設(shè)置租用公網(wǎng)干線的安全服務(wù)與控制策略,包括有線通信、無(wú)線通信和衛(wèi)星通信的安全服務(wù)與控制策略;
·設(shè)置政務(wù)計(jì)算環(huán)境的安全服務(wù)與機(jī)制。
采用縱深防御和多級(jí)設(shè)防,是電子政務(wù)安全保障的重要原則,通過(guò)全局性的安全防護(hù)、安全檢測(cè)、快速響應(yīng)、集成的安全管理與安全設(shè)施的聯(lián)動(dòng)控制,以達(dá)到系統(tǒng)具有防護(hù)、檢測(cè)、反應(yīng)與恢復(fù)能力。
2.推廣電子政務(wù)信息系統(tǒng)安全工程(ISSE)的控制方法,全面實(shí)現(xiàn)安全服務(wù)要求。
電子政務(wù)安全系統(tǒng)的設(shè)計(jì),首先要做好系統(tǒng)資產(chǎn)價(jià)值的分析,如物理資產(chǎn)的價(jià)值(系統(tǒng)環(huán)境、硬件、系統(tǒng)軟件)、信息資產(chǎn)的價(jià)值、其數(shù)據(jù)與國(guó)家利益和部門(mén)利益的關(guān)聯(lián)度;其業(yè)務(wù)系統(tǒng)(模型、流程、應(yīng)用軟件)正常運(yùn)行后果所產(chǎn)生的效益,從而確定系統(tǒng)安全應(yīng)保護(hù)的目標(biāo),在上述分析的基礎(chǔ)上提出整個(gè)安全系統(tǒng)的安全需求,進(jìn)一步定義達(dá)到這些安全需求所應(yīng)具有的安全功能,然后探索系統(tǒng)可能面臨的威脅類(lèi)型,并找出系統(tǒng)自身的脆弱性,這些威脅和脆弱性有:
·網(wǎng)上黑客與計(jì)算機(jī)犯罪;
·網(wǎng)絡(luò)病毒的蔓延與破壞;
·機(jī)要信息流失與信息間諜潛入;
·網(wǎng)上恐怖活動(dòng)與信息戰(zhàn);
·內(nèi)部人員違規(guī)與違法;
·網(wǎng)上安全產(chǎn)品的失控;
·網(wǎng)絡(luò)與系統(tǒng)自身的漏洞與脆弱性。
在這些威脅面前,要分析哪些威脅是本系統(tǒng)主要面臨的威脅,哪些是次要的,對(duì)系統(tǒng)和任務(wù)造成的影響程度如何。進(jìn)行定性和定量的分析,提出系統(tǒng)安全對(duì)策,確定承受風(fēng)險(xiǎn)的能力,尋找投入和風(fēng)險(xiǎn)承受能力間的平衡點(diǎn),然后確定系統(tǒng)所需要的安全服務(wù)及對(duì)應(yīng)的安全機(jī)制(見(jiàn)表一),從而配置系統(tǒng)的安全要素。在工程的生命周期中要進(jìn)行風(fēng)險(xiǎn)管理、風(fēng)險(xiǎn)決策流程(見(jiàn)圖2),這種風(fēng)險(xiǎn)管理是要對(duì)電子政務(wù)全程進(jìn)行的。
系統(tǒng)投入運(yùn)行要對(duì)其安全性進(jìn)行有效評(píng)估,即評(píng)估者給出的評(píng)估證據(jù)和建設(shè)者采用的技術(shù)保障設(shè)施,的確能使系統(tǒng)擁有者確信已選用技術(shù)對(duì)策,確實(shí)減少了系統(tǒng)的安全風(fēng)險(xiǎn),滿足必要的風(fēng)險(xiǎn)策略(風(fēng)險(xiǎn)策略可以是“零”風(fēng)險(xiǎn)策略、最小風(fēng)險(xiǎn)策略、最大可承受風(fēng)險(xiǎn)策略或不計(jì)風(fēng)險(xiǎn)策略),使其達(dá)到保護(hù)系統(tǒng)資產(chǎn)價(jià)值所必需的能力(見(jiàn)圖3)。上述有效評(píng)估過(guò)程可用安全技術(shù)保障強(qiáng)壯性級(jí)別(IATRn)來(lái)描述:
IATRn=f(Vn,Tn,SMLn,EALn)
Tn:威脅等級(jí)
Vn:資產(chǎn)價(jià)值等級(jí)
SMLn:安全機(jī)制強(qiáng)度等級(jí)
EALn:評(píng)估保障等級(jí)
要素五 安全技術(shù)與產(chǎn)品
1. 加強(qiáng)安全技術(shù)和產(chǎn)品的自主研制和創(chuàng)新。
由于電子政務(wù)的國(guó)家涉密性,電子政務(wù)系統(tǒng)工程的安全保障需要各種有自主知識(shí)產(chǎn)權(quán)的信息安全技術(shù)和產(chǎn)品,全面推動(dòng)自主研發(fā)和創(chuàng)新這些技術(shù)和產(chǎn)品是電子政務(wù)安全的需要。這些產(chǎn)品和技術(shù)可以分為六大類(lèi):
·基礎(chǔ)類(lèi):風(fēng)險(xiǎn)控制、體系結(jié)構(gòu)、協(xié)議工程、有效評(píng)估、工程方法;
·關(guān)鍵類(lèi):密碼、安全基、內(nèi)容安全、抗病毒、IDS、VPN、RBAC、強(qiáng)審計(jì)、邊界安全隔離;
·系統(tǒng)類(lèi):PKI、PMI、DRI、網(wǎng)絡(luò)預(yù)警、集成管理、KMI;
·應(yīng)用類(lèi):EC、EG、NB、NS、NM、WF、XML、CSCW;
·物理與環(huán)境類(lèi):TEMPEX、物理識(shí)別;
·前瞻性:免疫技術(shù)、量子密碼、漂移技術(shù)、語(yǔ)義理解識(shí)別。
2.電子政務(wù)安全產(chǎn)品的選擇。
整個(gè)電子政務(wù)的安全,涉及信息安全產(chǎn)品的全局配套和科學(xué)布置,產(chǎn)品選擇應(yīng)充分考慮產(chǎn)品的自主權(quán)和自控權(quán)。
產(chǎn)品可涉及安全操作系統(tǒng)、安全硬件平臺(tái)、安全數(shù)據(jù)庫(kù)、PKI/CA、PMI、VPN、安全網(wǎng)關(guān)、防火墻、數(shù)據(jù)加密機(jī)、入侵檢測(cè)(IDS)、漏洞掃描、計(jì)算機(jī)病毒防治工具、強(qiáng)審計(jì)工具、安全Web、安全郵件、安全設(shè)施集成管理平臺(tái)、內(nèi)容識(shí)別和過(guò)濾產(chǎn)品、安全備份、電磁泄漏防護(hù)、安全隔離客戶機(jī)、安全網(wǎng)閘。
要素六 安全基礎(chǔ)設(shè)施
信息安全基礎(chǔ)設(shè)施是一種為信息系統(tǒng)應(yīng)用主體和信息安全執(zhí)法主體提供信息安全公共服務(wù)和支撐的社會(huì)基礎(chǔ)設(shè)施,方便信息應(yīng)用主體安全防護(hù)機(jī)制的快速配置,有利于促進(jìn)信息應(yīng)用業(yè)務(wù)的健康發(fā)展,有利于信息安全技術(shù)和產(chǎn)品的標(biāo)準(zhǔn)化和促進(jìn)其可信度的提高,有利于信息安全職能部門(mén)的監(jiān)督和執(zhí)法,有利于增強(qiáng)全社會(huì)信息安全移師和防護(hù)技能,有利于國(guó)家信息安全保障體系的建設(shè)。因此,推動(dòng)電子政務(wù)的發(fā)展,應(yīng)重視相關(guān)信息安全基礎(chǔ)設(shè)施的建設(shè)。
信息安全基礎(chǔ)設(shè)施有兩大類(lèi)。
1.社會(huì)公共服務(wù)類(lèi)
·基于PKI/PMI數(shù)字證書(shū)的信任和授權(quán)體系;
·基于CC/TCSEC的信息安全產(chǎn)品和系統(tǒng)的測(cè)評(píng)與評(píng)估體系;
·計(jì)算機(jī)病毒防治與服務(wù)體系;
·網(wǎng)絡(luò)應(yīng)急響應(yīng)與支援體系;
·災(zāi)難恢復(fù)基礎(chǔ)設(shè)施;
·基于KMI的密鑰管理基礎(chǔ)設(shè)施。
2.行政監(jiān)管執(zhí)法類(lèi)
·網(wǎng)絡(luò)信息內(nèi)容安全監(jiān)控體系;
·網(wǎng)絡(luò)犯罪監(jiān)察與防范體系;
·電子信息保密監(jiān)管體系;
·網(wǎng)絡(luò)偵控與反竊密體系;
·網(wǎng)絡(luò)監(jiān)控、預(yù)警與反擊體系。
第四篇:電子政務(wù)信息安全檢查自查報(bào)告
電子政務(wù)外網(wǎng)信息安全工作自查報(bào)告
我鎮(zhèn)在市委、市政府的領(lǐng)導(dǎo)下,認(rèn)真按照四川省委省政府關(guān)于電子政務(wù)工作的總體部署和要求,對(duì)電子政務(wù)外網(wǎng)信息安全情況作了認(rèn)真檢查,現(xiàn)將我鎮(zhèn)電子政務(wù)工作自查情況報(bào)告如下:
一、組織及制度建設(shè)情況
一是領(lǐng)導(dǎo)重視,機(jī)構(gòu)健全。我鎮(zhèn)高度重視電子政務(wù)工作,成立了以鎮(zhèn)長(zhǎng)任組長(zhǎng)、鎮(zhèn)相關(guān)部門(mén)負(fù)責(zé)人為成員的鎮(zhèn)電子政務(wù)工作領(lǐng)導(dǎo)小組,統(tǒng)一領(lǐng)導(dǎo)鎮(zhèn)電子政務(wù)工作,研究決定鎮(zhèn)電子政務(wù)建設(shè)中的重大問(wèn)題。領(lǐng)導(dǎo)小組辦公室設(shè)在鎮(zhèn)黨政綜合辦公室,并指定懂電腦操作、保密意識(shí)強(qiáng)的黨政綜合辦公室成員具體負(fù)責(zé)信息更新及網(wǎng)絡(luò)維護(hù)等日常工作,形成了機(jī)構(gòu)健全、分工明確、責(zé)任到人的良好工作格局。二是制定制度,按章辦事。根據(jù)省、市文件要求,制定了辦公室自動(dòng)化設(shè)備保密管理制度、電子政務(wù)工作各項(xiàng)管理制度及維護(hù)制度,包括專(zhuān)人維護(hù)、文件發(fā)布審核簽發(fā)等制度。三是開(kāi)展不定期檢查。我鎮(zhèn)電子政務(wù)工作領(lǐng)導(dǎo)小組不定期對(duì)電子政務(wù)工作辦公室的環(huán)境安全、設(shè)備安全、信息安全、管理制度落實(shí)情況等內(nèi)容進(jìn)行檢查,對(duì)存在的問(wèn)題及時(shí)進(jìn)行糾正,消除安全隱患。
二、網(wǎng)絡(luò)和信息安全情況。
加強(qiáng)網(wǎng)絡(luò)運(yùn)行維護(hù)工作。加強(qiáng)網(wǎng)絡(luò)運(yùn)行維護(hù)隊(duì)伍建設(shè),進(jìn)一步充實(shí)網(wǎng)絡(luò)運(yùn)行維護(hù)人員,鎮(zhèn)黨政綜合辦公室確定兼職網(wǎng)絡(luò)信息管理員,負(fù)責(zé)及時(shí)提供和審核本部門(mén)信息內(nèi)容。同時(shí)按照縣安全管理要求,制定和完善了我鎮(zhèn)電子政務(wù)安全保密措施,落實(shí)安全保密工作責(zé)任制,未發(fā)現(xiàn)網(wǎng)絡(luò)異常。
三、技術(shù)防護(hù)手段建設(shè)
切實(shí)做好信息安全工作。安裝了專(zhuān)門(mén)的殺毒、殺木馬軟件,互聯(lián)網(wǎng)出口處部署了防火墻,并且定期進(jìn)行漏洞掃描、病毒木馬檢測(cè),有效防范了病毒、木馬、黑客等網(wǎng)絡(luò)攻擊,確保了信息和網(wǎng)絡(luò)運(yùn)行安全。
四、存在的困難和不足
雖然我鎮(zhèn)電子政務(wù)工作在有序開(kāi)展,但還存在一些困難和不足之處,主要體現(xiàn)在:一是辦公電腦設(shè)備陳舊老化,專(zhuān)門(mén)用于電子政務(wù)的電腦使用時(shí)間久,運(yùn)行速度慢。二是機(jī)關(guān)工作人員年齡偏大,計(jì)算機(jī)知識(shí)程度不高,培訓(xùn)沒(méi)有完全跟上。三是信息未能完全做到及時(shí)更新,電子政務(wù)管理、使用有待于進(jìn)一步加強(qiáng)。
五、改進(jìn)措施
一是努力提高業(yè)務(wù)素質(zhì)。加強(qiáng)宣傳教育,提高全鎮(zhèn)人員對(duì)電子政務(wù)的認(rèn)知水平和責(zé)任意識(shí),積極組織人員參加全縣電子政務(wù)培訓(xùn),為電子政務(wù)的有效實(shí)施奠定更加堅(jiān)實(shí)的基礎(chǔ)。二是加強(qiáng)制度建設(shè)。完善電子政務(wù)的管理、使用等一系列規(guī)章制度,對(duì)存在的薄弱環(huán)節(jié),制定針對(duì)性措施,并在實(shí)
際工作中狠抓落實(shí),進(jìn)一步提高電子政務(wù)應(yīng)用水平和使用效益。三是加強(qiáng)電子政務(wù)的日常管理。定期升級(jí)病毒庫(kù)、查殺病毒掃描系統(tǒng)漏洞,保證專(zhuān)門(mén)用于電子政務(wù)的電腦能時(shí)刻處于健康狀態(tài)。
第五篇:電子政務(wù)信息安全和管理
電子政務(wù)信息安全和管理
一、電子政務(wù)順利實(shí)施的核心問(wèn)題
電子政務(wù)是一種全新的政府管理方式,是一個(gè)基于網(wǎng)絡(luò)技術(shù)的綜合性業(yè)務(wù)模式。建立電子政務(wù)系統(tǒng)參公眾服務(wù),必然要求這一系統(tǒng)必須是安全、可靠、抗災(zāi)難、可恢復(fù)的。計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)的共享、交互和快速為這種系統(tǒng)的建立提供了前提條件,互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展和廣泛應(yīng)用,又為電子政務(wù)系統(tǒng)不斷走向開(kāi)放互聯(lián)提供了巨大推動(dòng)力。隨著電子政務(wù)信息化的不斷發(fā)展,電子政務(wù)對(duì)于網(wǎng)絡(luò)系統(tǒng)的依賴性越來(lái)越強(qiáng),政務(wù)系統(tǒng)作為關(guān)系國(guó)計(jì)民生的重要部分,在安全方面尤為重要,而由于互聯(lián)網(wǎng)的開(kāi)放性和公共性帶來(lái)的不安全因素,使信息安全問(wèn)題成為保障電子政務(wù)順利實(shí)施的核心問(wèn)題。
二、電子政務(wù)信息安全面臨的問(wèn)題
電子政務(wù)網(wǎng)分為政務(wù)內(nèi)網(wǎng)(涉密網(wǎng))和政務(wù)外網(wǎng)(非涉密網(wǎng)),兩網(wǎng)之間物理隔離,政務(wù)外網(wǎng)采取邏輯隔離與互聯(lián)網(wǎng)聯(lián)通。政府各部門(mén)大力推行的辦公自動(dòng)化、網(wǎng)絡(luò)化、電子化、信息共享都以這些網(wǎng)絡(luò)為支撐,以TCP/IPV4為傳輸協(xié)議,該協(xié)議為開(kāi)放協(xié)議,從協(xié)議規(guī)劃、服務(wù)模式、網(wǎng)絡(luò)管理等方面均缺乏安全性設(shè)計(jì),所以電子政務(wù)信息系統(tǒng)就存在著諸多的安全隱患。
1.網(wǎng)絡(luò)安全規(guī)劃的不到位,造成網(wǎng)絡(luò)結(jié)構(gòu)的不合理性。由于信息技術(shù)發(fā)展的歷史原因和建設(shè)資金問(wèn)題,我國(guó)電子政務(wù)網(wǎng)絡(luò)的建設(shè)在規(guī)劃上經(jīng)常缺少前瞻性的安全規(guī)劃,網(wǎng)絡(luò)流量存在多個(gè)瓶頸, IP地址缺乏統(tǒng)一規(guī)劃,廣播流量可控性差,子網(wǎng)故障隔離性差,重要流量缺乏帶寬管理和服務(wù)質(zhì)量?jī)?yōu)先保證等一大堆問(wèn)題。隨著安全問(wèn)題的不斷出現(xiàn),只能在運(yùn)行過(guò)程中不停地修修補(bǔ)補(bǔ)。但是,這種修補(bǔ)只能解決暫時(shí)的問(wèn)題,解決一個(gè)問(wèn)題后,往往又有新問(wèn)題出現(xiàn)。
2.關(guān)鍵核心技術(shù)還掌握,增加了我國(guó)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全的隱患。我國(guó)對(duì)發(fā)達(dá)國(guó)家信息設(shè)備和信息技術(shù)存在很強(qiáng)的依賴性,信息化核心設(shè)備嚴(yán)重依賴國(guó)外,對(duì)引進(jìn)技術(shù)和設(shè)備缺乏必要的信息管理和技術(shù)改造。尤其是在系統(tǒng)安全和安全協(xié)議的研究和應(yīng)用方面與發(fā)達(dá)國(guó)家的差距很大。目前組成我國(guó)電子政務(wù)網(wǎng)絡(luò)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)所用硬件、軟件、操作系統(tǒng)、網(wǎng)管軟件、各類(lèi)應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)、防火墻、網(wǎng)絡(luò)接入設(shè)備、路由器、服務(wù)器基本上都是國(guó)外公司的產(chǎn)品,微機(jī)芯片都是INTEL系列,軟件基本上是微軟公司的產(chǎn)品,完全自主知識(shí)產(chǎn)權(quán)的產(chǎn)品基本沒(méi)有。這些因素使我國(guó)的電子政務(wù)網(wǎng)絡(luò)安全性能大大降低,我國(guó)的經(jīng)濟(jì)和社會(huì)發(fā)展面臨著新的風(fēng)險(xiǎn)。
3.網(wǎng)絡(luò)安全管理的混亂和規(guī)范化的管理制度相對(duì)滯后,造成很多管理安全漏洞。由于電子政務(wù)的網(wǎng)絡(luò)是連接多個(gè)政務(wù)部門(mén)的廣域網(wǎng)或城域網(wǎng),需要各部門(mén)協(xié)調(diào)一致,共同維護(hù)整個(gè)網(wǎng)絡(luò)平臺(tái)的安全。但是,由于不同政府部門(mén)的信息技術(shù)人才和信息化水平的差異性,以及不同政府部門(mén)存在一些相關(guān)的利益和沖突,因此,很難做到安全管理的統(tǒng)一協(xié)調(diào)性,一旦發(fā)生安全事件,故障定位不準(zhǔn),追查事故源困難,責(zé)任問(wèn)題牽扯不清,從而造成事件的破壞性后果更為嚴(yán)重。
4.安全意識(shí)淡薄。目前,在電子政務(wù)信息的安全問(wèn)題上還存在不少認(rèn)知盲區(qū)和制約因素。網(wǎng)絡(luò)是新生事物,許多人一接觸就忙著用于學(xué)習(xí)、工作和娛樂(lè)等,對(duì)網(wǎng)絡(luò)信息的安全性無(wú)暇顧及,安全意識(shí)相當(dāng)?shù)?對(duì)網(wǎng)絡(luò)信息不安全的事實(shí)認(rèn)識(shí)不足。與此同時(shí),機(jī)關(guān)、事業(yè)單位注重的是網(wǎng)絡(luò)效應(yīng),對(duì)安全領(lǐng)域的投入和管理遠(yuǎn)遠(yuǎn)不能滿足安全防范的要求。總體上看,網(wǎng)絡(luò)信息安全處于被動(dòng)的封堵漏洞狀態(tài),從上到下普遍存在僥幸心理,沒(méi)有形成主動(dòng)防范、積極應(yīng)對(duì)的全民意識(shí),更無(wú)法從根本上提高網(wǎng)絡(luò)監(jiān)測(cè)、防護(hù)、響應(yīng)、恢復(fù)和抗擊能力。
三、電子政務(wù)信息安全措施
1.設(shè)備的物理安全。物理層的安全設(shè)計(jì)應(yīng)從三個(gè)方面考慮:環(huán)境安全、設(shè)備安全、線路安全。采取的措施包括:機(jī)房屏蔽,電源接地,布線隱蔽,防雷。根據(jù)中央保密委有關(guān)文件規(guī)定,凡是計(jì)算機(jī)同時(shí)具有內(nèi)網(wǎng)和外網(wǎng)的應(yīng)用需求,必須采取網(wǎng)絡(luò)安全隔離技術(shù),在計(jì)算機(jī)終端安裝隔離卡或安裝安全網(wǎng)閘,使內(nèi)網(wǎng)與外網(wǎng)之間從根本上實(shí)現(xiàn)物理隔離,防止涉密信息通過(guò)外網(wǎng)泄漏。
2.信息的加密。電子政務(wù)應(yīng)用涵蓋政府內(nèi)部辦公和面對(duì)公眾的信息服務(wù)兩大方面。就政府內(nèi)部辦公而言,電子政務(wù)系統(tǒng)涉及到部門(mén)與部門(mén)之間、上下級(jí)之間、地區(qū)與地區(qū)間的公文流轉(zhuǎn),這些公文的信息往往涉及不宜公開(kāi)的和有密級(jí)的內(nèi)容。因此,在信息傳遞過(guò)程中,必須采取適當(dāng)?shù)募用芊椒▽?duì)信息進(jìn)行加密。可采用多種加密方式:a.基于IPsec的加密方式正被廣泛采用,其優(yōu)點(diǎn)顯而易見(jiàn):IPsec對(duì)應(yīng)用系統(tǒng)透明且具有極強(qiáng)的安全性,這一點(diǎn)對(duì)于要開(kāi)發(fā)龐大應(yīng)用的電子政務(wù)來(lái)說(shuō),就顯得極有好處了,應(yīng)用系統(tǒng)開(kāi)發(fā)商不必為數(shù)據(jù)傳輸過(guò)程中的加密做過(guò)多的考慮,易于部署和維護(hù)。b.采用VPN技術(shù)在公共數(shù)據(jù)網(wǎng)上進(jìn)行內(nèi)部信息的安全傳輸。其優(yōu)點(diǎn)是只增加端設(shè)備避免了重復(fù)建設(shè)。c.采用公鑰基礎(chǔ)設(shè)施技術(shù)(PKI)為基礎(chǔ),以數(shù)據(jù)機(jī)密性、完整性、身份認(rèn)證和行為的不可否認(rèn)為安全目的為電子政務(wù)提供安全支持。
3.操作系統(tǒng)的安全性。網(wǎng)絡(luò)安全的重要基礎(chǔ)之一是安全的操作系統(tǒng),因?yàn)樗械恼?wù)應(yīng)用和安全措施都依賴操作系統(tǒng)提供底層支持。操作系統(tǒng)的漏洞或配置不當(dāng)將有可能導(dǎo)致整個(gè)安全體系的崩潰。更危險(xiǎn)的是,我們無(wú)法保證國(guó)外廠家的操作系統(tǒng)產(chǎn)品不存在后門(mén)。在操作系統(tǒng)安全方面,有兩點(diǎn)是值得考慮的:一是采用具有自主知識(shí)產(chǎn)權(quán)且源代碼對(duì)政府公開(kāi)的產(chǎn)品;二是利用漏洞掃描工具定期檢查系統(tǒng)漏洞和配置更改情況,及時(shí)發(fā)現(xiàn)問(wèn)題。
4.數(shù)據(jù)備份與容災(zāi)。任何的安全措施都無(wú)法保證數(shù)據(jù)萬(wàn)無(wú)一失,硬件故障、自然災(zāi)害以及未知病毒的感染都有可能導(dǎo)致政府重要數(shù)據(jù)的丟失。因此,在電子政務(wù)安全體系中必須包括數(shù)據(jù)的容災(zāi)與備份,并且最好是異地備份。
5.管理制度的完善。電子政務(wù)網(wǎng)絡(luò)內(nèi)部安全和外部安全一樣重要,內(nèi)部安全除了需要體系化的安全防御策略,還需要嚴(yán)格的、可操作性強(qiáng)的安全管理制度。制度的制訂首先要規(guī)范,其次要強(qiáng)調(diào)制度的強(qiáng)制性、法規(guī)約束力和可操作性,同時(shí)進(jìn)行安全宣傳教育,增強(qiáng)安全意識(shí)的培養(yǎng)和信息安全知識(shí)的普及這樣才能保證制度的真正貫徹和執(zhí)行加強(qiáng)。
6.建立網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)預(yù)案。網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)預(yù)案是安全管理制度的一個(gè)重要部分,這里單獨(dú)來(lái)討論,主要是考慮到其重要性。事前有預(yù)案,一旦發(fā)生安全事件,就可以觸發(fā)相應(yīng)的預(yù)案處理程序,在最短的時(shí)間內(nèi)恢復(fù)正常的網(wǎng)絡(luò)服務(wù)和信息服務(wù),力求把安全事件的破壞力降到最低。□(編輯/李舶)
點(diǎn)擊咨詢 