第一篇:電子政務信息安全及防范對策 馬淑英
淺析我國電子政務信息安全的防范對策
摘要:信息安全關系到經濟發展,國家安全和社會穩定,關系到政府工作的正常運轉。電子政務信息安全防范是電子政府建設的關鍵。加強電子政務建設是建設服務型政府的組成部分。在電子政務建設與體系發展整體駛入快車道,以服務為導向的電子政府建設工作不斷推進的同時,信息安全意識、網絡漏洞、信息安全法律體系方面都凸現了現階段我國電子政務信息安全存在風險。要著重從人才培養、安全技術和產品的選擇使用、法律保障體系建設的呢過環節加以防范,切實保障電子政務信息安全。本文從電子政務信息安全的視覺,淺析仙子政務信息安全存在的風險問題,提出一些防范對策和建議。關鍵詞:電子政務信息安全;網絡安全;安茜技術;防范對策 電子政務的實施使得政府提高了辦公效率,提升了政府形象,但同時,也會受到來自外部或內部的各種攻擊,包括黑雞組織、犯罪集團或信息戰時起信息對抗等國家行為的攻擊,這就使得政府信息系統的安全問題更加突出和嚴重。因此,分析當前電子政府信息安全存在的問題,采取有效措施進行綜合性安全防范,對建設和發展電子政務具有重要的意義。
1、信息安全的含義及其內容要求
一、電子政務信息安全目標
電子政務信息安全涵蓋了信息環境、信息網絡和通信基礎設施、每題、數據、信息內容和信息應用等對多個方面的安全需要,包括信息不收威脅,信息系統、信息數據的安全以及信息內容的安全等。電子政務的安全目標就是保護政務信息資源價值不受侵犯,保證信息資產的擁有者面臨最小風險和獲取最大安全利益,使電子政務的信息基礎設施,具有保密性、完整性、真實性、可用性、不可抵賴性和可靠性的能力。
二、電子政務信息安全存在的風險
1、信息安全意識薄弱
一是工作人員安全意識不高。目前,在電子政務系統建設過程中還普遍存在“重技術輕管理,重業務、輕安全”的思想,很多工作人員認為安裝了殺毒軟件和防火墻就可以抵御所有的外來侵襲。二是安全制度和安全流程的執行力不強。電子政務系統自啟動運用以來,開放程度還不是很高,重要的、機密文件還沒有通過網絡來處理,使得公務員和普通大眾對信息安全問題關注不夠,信息安全意識淡薄,一些安全制度和安全流程也只是流于形式。三是領導重視程度有待進一步提高。部門領導重視工作流程的暢通性,忽略了信息安全的防范措施,在加強信息安全的重要環節上思想意識有待加強。
2、IT產品及通信網絡漏洞導致風險
一方面,IT產品單一性帶來安全隱患。由于政府統一采購IT產品,造成信息系統中軟硬件產品單一性,如同一版本的操作系統、數據庫軟件等攻擊過程的自動化,從而導致大規模網絡安全時間的發生。另一方面,通信網絡存在多方面的威脅。電子政務網絡絕大多數是基于TCP/IP、NetBEUI,IPX/SPX等網絡協議的通信網絡,并非專為安全通訊而設計,本身就可能存在多方面的威脅,因而會造成物理通道被干擾,數據信息被攔截和竊聽,數據庫服務器和電子郵件服務器等很容易受到病毒和黑客的攻擊,以及信息被泄露,篡改、抵賴、假冒等問題。
3、信息安全法律體系不健全。要發展電子政務,安全技術是基礎平臺,法律保障和創新管理則是必備的后臺支撐。雖然我國電子政務從2000年開始正逐步走向法制化,但相比電子政務本身的發展要要求,法制法規明顯滯后與技術發展。如電子政務的法律地位不明確、現有的相關法律規范立法層次不高、立法理念和技術相對滯后、很多需要法律去規范的事項沒有響應的法律出臺、己出臺的法律法規很多不迎合電子政務發展要求等。
三、電子政務信息安全防范對策及建議
通過對電子政務安全風險的分析,結合電子政務現狀與特點,應該采取多層次、多方面的安全管理方法來保障電子政務系統安全。
(一)增強信息安全意思,加快信息安全人才的培養
在諸多的安全環節中,人是最重要的因素,安全提高工作人員的信息安全意思是網絡信息安全與保密的重要保證。應該進一步加強信息安全的培訓工作,舉辦不同類型的培訓班,對政府領導、一般工資人員、網絡管理人員等,進行分層次有針對性的培訓,從而提高管理人員的信息安全意識
第二篇:電子政務信息安全風險分析與防范策略
電子政務信息安全風險分析與防范策略
2003-11-17 15:05
摘要
我國電子政務信息安全風險主要存在于觀念、技術、管理和法律方面。要強化電子政務環境下公務員的信息安全意識,建立電子政務信息安全管理機構,完善信息安全基礎設施和扶持國有信息安全產業的發展。
1電子政務信息安全的內涵
電子政務是政府管理方式的革命,它是運用信息以及通信技術打破行政機關的組織界限,構建一個電子化的虛擬機關,使公眾擺脫傳統的層層關卡以及書面審核的作業方式,并依據人們的需求、人們可以獲取的方式、人們要求的時間及地點等,高效快捷地向人們提供各種不同的服務選擇。政府機關之間以及政府與社會各界之間也經由各種電子化渠道進行相互溝通。電子政務的建立將使政府成為一個更符合環保精神的政府,一個更開放透明的政府,一個更有效率的政府,一個更廉潔勤政的政府。然而,電子政務的職能與優勢得以實現的一個根本前提是信息安全的有效保障。因為電子政務信息網絡上有相當多的政府公文在流轉,其中不乏重要信息,內部網絡上有著大量高度機密的數據和信息,直接涉及政府的核心政務,它關系到政府部門、各大系統乃至整個國家的利益,有的甚至涉及國家安全。如果電子政務信息安全得不到保障,電子政務的便利與效率便無從保證,對國家利益將帶來嚴重威脅。電子政務信息安全是制約電子政務建設與發展的首要問題和核心問題。
電子政務的信息安全可以理解為:
(1)從信息的層次看,包括信息的完整性(保證信息的來源、去向、內容真實無誤)、保密性(保證信息不會被非法泄露擴散)、不可否認性(保證信息的發送和接收者無法否認自己所做過的操作行為)等。
(2)從網絡層次看,包括可靠性(保證網絡和信息系統隨時可用,運行過程中不出現故障,遇意外事故能夠盡量減少損失并盡早恢復正常)、可控性(保證營運者對網絡和信息系統有足夠的控制和管理能力)、互操作性(保證協議和系統能夠互相聯接)、可計算性(保證準確跟蹤實體運行達到審計和識別的目的)等。
(3)從設備層次看,包括質量保證、設備備份、物理安全等。
(4)從管理層次看,包括人員可靠、規章制度完整等。
2電子政務信息安全風險分析
現階段,我國電子政務信息安全系數比較低。公安部1998年8月在江蘇、上海、廣東等省(市)對169信息網進行檢測,發現其設防能力十分脆弱,難以抵御任何方式的電子攻擊。電子政務信息安全風險主要存在4個方面。
2.1觀念方面
著名信息安全專家、中國工程院院士沈昌祥從國家安全利益出發,提出應把信息系統安全建設提高到研制“兩彈一星”的高度去認識。1999年政府上網工程啟動以來,政府部門越來越重視網絡系統建設,看重網絡帶來的便利與高效,但是有些地方對信息安全工作未引起足夠重視。據估計,我國在網絡工程中網絡安全的投入費用不到2%,同國外的10%相比有較大差距。現階段,電子政務網絡的開放程度不高,一些機密信息目前還沒有上網,再加之公眾對計算機犯罪的態度較為“寬容”,認為并沒有造成直接的人員財產損失,這都使得公務員和普通大眾對信息安全問題關注不夠,信息安全意識淡薄。
2.2技術方面
(1)計算機系統本身的脆弱性,使得它無法抵御自然災害的破壞,也難以避免偶然無意造成的危害。如:洪水、火災、地震的破壞,系統所處環境的影響(溫濕度、磁場、碰撞、污染等),硬件設備故障,突然斷電或電壓不穩定及各種誤操作等。這些危害會損害操作系統設備,有時會丟失或破壞數據,甚至毀掉整個系統。
(2)網絡本身存在缺陷。首先,軟件本身缺乏安全性。操作系統的設計一般著重于提高信息處理的能力和效率,對于安全只是作為一項附帶的條件加以考慮。因此,操作系統中的安全缺陷相當多。其次,通信與網絡設備本身有弱點。絕大多數電子政務信息網絡運行的是TCP/IP,NetBEUI,IPX/SPX等網絡協議,而這些網絡協議并非專為安全通訊而設計。利用這些網絡進行服務,本身就可能存在多方面的威脅,加之使用者信息安全意識淡薄,管理者管理措施不力等原因,會造成一些常見的安全問題:對物理通路的干擾;網絡鏈路傳送的數據被竊聽;非授權用戶非法使用,信息被攔截或監聽;操作系統存在的網絡安全漏洞;應用平臺的安全,如數據庫服務器、電子郵件服務器等均存在大量的安全隱患,很容易受到病毒、黑客攻擊;直接面向用戶的應用系統存在的信息泄露、信息篡改、信息抵賴、信息假冒等。再次,目前世界上還缺乏統一的操作系統、計算機網絡系統和數據庫管理系統,缺乏統一的信息安全標準、密碼算法和協議,因而無法進行嚴格的安全確認。
(3)我國具有自主知識產權的信息設備、技術、產品較少,如計算機芯片、骨干路由器和微機主板等基本上從國外進口,且對引進技術和設備缺乏必要的技術改造,尤其是在系統安全和安全協議的研究和應用方面。而美歐等發達國家對我國限制和封鎖信息安全高密度產品,出口到我國的信息產品中留有安全隱患。例如,美國出口我國的計算機系統的安全系統只有C2級,是美國國防部規定的8個安全級別之中的倒數第三;在操作系統、數據庫管理系統或應用程序中預先安置從事情報收集、受控激發破壞的“特洛伊木馬”程序,一旦發生重大情況,那些隱藏在軟件中的“特洛伊木馬”就能夠在某種秘密指令下激活,造成我國電子政務關鍵軟件系統的癱瘓。
2.3管理方面
對現有的網絡攻擊和入侵事件的一項統計報告顯示:國外政府入侵的安全風險指數為21%,黑客入侵的安全風險指數為48%,競爭對手入侵的安全風險指數為72%,組織內部不滿雇員入侵的安全風險指數為89%。這說明,電子政務信息安全不是單純的技術問題。如果沒有從管理制度、人員和技術上建立相應的電子化業務安全防范機制,缺乏行之有效的安全檢查保護措施,再好的技術和設備都無法確保其信息安全。管理上的漏洞,例如,機房重地隨意進出,微機或工作站管理人員在開機狀態下擅離崗位,敏感信息臨時存放在本地的磁盤上,這些信息處于未保護狀態,都會為外部入侵,更為內部破壞埋下隱患。其中,來自內部的安全威脅可能會更大,因為內部人員了解內部的網絡、主機和應用系統的結構;能夠知道內部網絡和系統管理員的工作規律,甚至自己就是管理員;擁有系統的一定的訪問權限,可以輕易地繞過許多訪問控制機制;在內部系統進行網絡刺探、嘗試登錄、破解密碼等都相對容易。如果內部人員為了報復或銷毀某些記錄而突然發難,在系統中植入病毒或改變某些程序設置,就有可能造成損失。內部人員的破壞活動也并不局限于破壞計算機系統,還包括越權處理公務、竊取國家機密數據等。
2.4法律方面
黑客攻擊、病毒入侵等網絡犯罪的日益增多與網絡信息安全法制不健全和對網絡犯罪的懲治不力密不可分。一方面,我國已經出臺了一系列與網絡信息安全有關的法律法規,例如:《計算機軟件保護條例》(1992年)、《中華人民共和國計算機信息系統安全保護條例》(1994年)、《警察法》(1995年)、《公安部關于對國際聯網的計算機信息系統進行備案工作的通知》(1996年)、《中華人民共和國信息網絡國際聯網管理暫行規定》(1997年)、《計算機信息網絡國際聯網安全保護管理辦法》(1997年),《商用密碼管理條例》(1999年)、《計算機信息系統國際聯網保密管理規定》(2002年)等。此外,1997年3月頒布的新《刑法》第285條、第286條、第287條,對非法侵入計算機信息系統罪、破壞計算機信息系統罪,以及利用計算機實施金融詐騙、盜竊、貪污、挪用公款、竊取國家機密等犯罪行為,作出了規定。盡管這些法律法規的出臺和實施對于我國網絡信息的安全起到相當積極的作用,但仍難以適應網絡發展的需要,信息安全立法還存在相當多的盲區。
另一方面,已頒布實施的法律法規不僅規定了出入口制度和市場準入制度,確定了網絡信息安全管理機構,闡明了安全責任,而且明確了法律責任,對于危害網絡信息安全的個人和單位,規定了經濟處罰、行政處罰和刑事處罰等三大類型。但是由于網絡犯罪的隱蔽性和高科技性,給偵破和審理帶來了極大困難,再加上其他原因,導致執法部門的打擊力度有限,在法律的執行上還有不到位之處,一些違法情況及當事人還未得到及時處理和制裁。
3電子政務信息安全的防范策略
3.1強化電子政務環境下公務員的信息安全意識
所謂的信息安全意識,是指公務員對電子政務中信息安全問題主要表現與危害以及保證政府信息安全的意義的正確認識,發現電子政務中影響信息安全的現象和行為的敏銳性,維護電子政務信息安全的主動性。強化公務員的信息安全意識就是要讓公務員認識到電子政務信息安全是電子政務正常而高效運轉的基礎,是保障國家信息安全甚至國家安全的重要前提,從而牢固樹立信息安全第一的思想。我國各級政府部門要利用多種途徑對公務員進行電子政務信息安全方面的教育。一是通過大眾傳播媒介,增強公務員信息安全意識,普及信息安全知識。二是積極組織各種專題講座和培訓班,培養信息安全人才,并確保防范手段和技術措施的先進性和主動性。三是要積極開展安全策略研究,明確安全責任,增強公務員的責任心。
3.2建立電子政務信息安全管理機構
首先,政府部門要嚴格按照《中華人民共和國計算機信息系統安全保護條例》和《計算機信息網絡安全保護管理辦法》的規定,在國家安全部,國家保密局,國務院有關部門及各省、市、自治區公安廳(局),地(市)、縣(市)公安局負責計算機網絡信息系統安全保護的行政管理下,建立本單位、本部門、本系統的組織領導管理機構,明確領導及工作人員責任,制定管理崗位責任制及有關措施,嚴格內部安全管理機制,并對破壞電子政務信息安全的事件進行調查和處理,確保網絡信息的安全。
其次,要完善“網上警察”隊伍建設,加大監視和打擊網絡犯罪活動的力度。我國于1983年成立了公安部計算機管理和監察局,1985年全國人大通過了《警察法》,其目的就是“監督計算機信息系統安全保護工作”。1998年又成立了公安部公共信息網絡安全監察局,并逐步形成了一支“網上警察”。當前,公安部門的首要任務是吸納高級信息安全人才充實到網上警察隊伍,提高網上警察的快速反應能力、偵察與追蹤水平等。
3.3完善我國信息安全基礎設施
當前迫切需要建立的國家信息安全基礎設施包括:國際出入口監控中心、安全產品評測認證中心、病毒檢測和防治中心、關鍵網絡系統災難恢復中心、系統攻擊和反攻擊中心、電子保密標簽監管中心、網絡安全緊急處置中心、電子交易證書授權中心、密鑰恢復監管中心、公鑰基礎設施與監管中心、信息戰防御研究中心等。
3.4傾力扶持國有信息安全產業的發展
自主的信息產業或信息產品國產化是保證電子政務信息安全的根本。信息安全技術、產品受制于他國是對國家安全利益的極大威脅。國家應對國有信息安全產業的發展予以充分的政策和財政支持。當前,應在以下3種技術上求得突破:一是能逐步改善信息安全狀況、帶有普遍性的關鍵技術,如密碼技術、鑒別技術、病毒防御技術、入侵檢測技術等;二是創新性強、可發揮杠桿作用的突破性技術,如網絡偵察技術、信息監測技術、風險管理技術、測試評估技術和TEMPEST技術等;三是能形成“撒手锏”的戰略性技術,如操作系統、密碼專用芯片和安全處理器等。還要狠抓技術及系統的綜合集成,以確保電子政務信息系統的安全可靠。令人可喜的是,2002年8月19日由我國自主開發的高性能通用芯片“龍芯1”運行成功,這是我國信息安全產業發展史上具有里程碑意義的事件。
3.5健全法律,嚴格執法
法律是保障電子政務信息安全的最有力手段,發達國家已經在政府信息安全立法方面積累了成功經驗,如美國的《情報自由法》和《陽光下的政府法》、英國的《官方信息保護法》、俄羅斯的《聯邦信息、信息化和信息保護法》等。我國立法部門應加快立法進程,吸取和借鑒國外網絡信息安全立法的先進經驗,盡快制定和頒布個人隱私保護法、數據庫振興法、信息網絡安全性法規、預防和打擊計算機犯罪法規、數字簽名認證法、電子憑證(票據)法、網上知識產權法等,以完善我國的網絡信息安全法律體系,使電子政務信息安全管理走上法制化軌道。另外,執法部門還要進一步嚴格執法,提高執法水平,確保各項法律法規落到實處。對于各種違法犯罪情況要嚴加追究,絕不姑息,對于各種隱患要及時加以預防和制止。
參考文獻
黃志澄.電子政務的內涵及發展.中國信息導報,2002(4)
楊義先,林曉東,邢育森.信息安全綜論.電信科學,1997(12)
3,5,7,馮杰,李會欣.我國電子政府安全運行分析.新視野,2002(5)
4,8
崔麗,沈昌祥.國家安全概念:對信息系統的安全應從“兩彈一星”的高度去認識.中國青年報,1999-06-18
尹秀蓮,于躍武.電子政務與網絡信息安全.內蒙古科技與經濟,2002(2)
9,10
湯志偉.電子政府的信息網絡安全及防范對策.電子科技大學學報(社科版),2002(1)
婁策群.保障電子政府信息安全的政策選擇.情報科學,2002(5)
楊海平.網絡信息安全研究.情報科學,2000(10)
蔣坡.國際信息政策法律比較.北京:法律出版社,2001
作者:武漢大學信息管理學院2001級碩士研究生
王歡喜
第三篇:電子政務信息安全保障體系
電子政務安全面臨威脅和挑戰
電子政務涉及對國家秘密信息和高敏感度核心政務的保護,設計維護公共秩序和行政監管的準確實施,涉及到為社會提供公共服務的質量保證。電子政務是黨委、政府、人大、政協有效決策、管理、服務的重要手段,必然會遇到各種敵對勢力、恐怖集團、搗亂分子的破壞和攻擊。尤其電子政務是搭建在基于互聯網技術的網絡平臺上,包括政務內網、政務外網和互聯網,而互聯網的安全先天不足,互聯網是一個無行政主管的全球網絡,自身缺少設防和安全隱患很多,對互聯網犯罪尚缺乏足夠的法律威懾,大量的跨國網絡犯罪給執法帶來很大的難度。所有上述分子利用互聯網進行犯罪則有機可乘,使基于互聯網開展的電子政務應用面臨著嚴峻的挑戰。
對電子政務的安全威脅,包括網上黑客入侵和犯罪、網上病毒泛濫和蔓延、信息間諜的潛入和竊密、網絡恐怖集團的攻擊和破壞、內部人員的違規和違法操作、網絡系統的脆弱和癱瘓、信息產品的失控等,應引起足夠警惕,采取安全措施,應對這種挑戰。
電子政務的安全目標和安全策略
電子政務的安全目標是,保護政務信息資源價值不受侵犯,保證信息資產的擁有者面臨最小的風險和獲取最大的安全利益,使政務的信息基礎設施、信息應用服務和信息內容為抵御上述威脅而具有保密性、完整性、真實性、可用性和可控性的能力。
為實現上述目標應采取積極的安全策略:
·國家主導、社會參與。電子政務安全關系到政府的辦公決策、行政監管和公共服務的高質量和可信實施的大事,必須由國家統籌規劃、社會積極參與,才能有效保障電子政務安全。
·全局治理、積極防御。電子政務安全必須采用法律威懾、管理制約、技術保障和安全基礎設施支撐的全局治理措施,并且實施防護、檢測、恢復和反制的積極防御手段,才能更為有效。
·等級保護、保障發展。要根據信息的價值等級及所面臨的威脅等級,選擇適度的安全機制強度等級和安全技術保障強壯性等級,尋求一個投入和風險可承受能力間的平衡點,保障電子政務系統健康和積極的發展。
電子政務安全保障體系框架
電子政務安全采取“國家推動、社會參與、全局治理、積極防御、等級保護、保障發展”的策略,鑒于電子政務的信息安全面臨的是一場高技術的對抗,是一場綜合性斗爭,涉及法律、管理、標準、技術、產品、服務和基礎設施諸多領域,所以電子政務安全,還要從全局來構建其安全保障的體系框架,以保障電子政務的健康發展。
電子政務安全保障體系由六要素組成,即安全法規、安全管理、安全標準、安全服務、安全技術產品和安全基礎設施等安全要素(見圖1)。
要素一 安全法律與政策
電子政務的工作內容和工作流程涉及到國家秘密與核心政務,它的安全關系到國家的主權、國家的安全和公眾利益,所以電子政務的安全實施和保障,必須以國家法規形式將其固化,形成全國共同遵守的規約,成為電子政務實施和運行的行為準則,成為電子政務國際交往的重要依據,保護守法者和依法者的合法權益,為司法和執法者提供法律依據,對違法、犯法者形成強大的威懾。
《中華人民共和國保護國家秘密法》已實施13年,已不完全適應我國當前保密工作的現狀,特別是電子政務的發展,亟待修訂。
政務信息公開是電子政務的重要原則,為了拉近政府和公眾的距離,使公眾具有知情權、參與權、監督權和享用政府服務的權利,為公眾提供良好的信息服務,充分挖掘政務信息的最大效益,開放政務信息資源(非國家涉密和適宜公開部分)服務于民是電子政務的重要特征。盡快制訂政務信息公開法,適度的解密和規范開放的規則,保護政府部門間信息的正常交流,保護社會公眾對信息的合法享用,打破對政務信息資源的壟斷和封鎖,提高政府行政透明度和民主進程是非常有利的和必需的。
電子政務亟待電子簽章和電子文檔的立法保護,國際已有近20多個國家對數字簽名和電子文檔進行了立法,使數字簽名和電子文檔在電子政務和電子商務運行中具有法律效力。這將大大促進電子政務和電子商務的健康發展,使電子政務原來的雙軌制走向單軌制,這有利于簡化程序、降低成本,充分顯示電子政務效益是非常有利的。
個人數據保護(隱私法)的需求伴隨電子政務的發展日顯突出。電子政務在實施行政監管和公眾服務中有大量的個人信息(自然人和法人),如戶籍、納稅、社保、信用等信息大量進入了政府網絡信息數據庫,它對完成電子政務職能發揮巨大作用。但是這些個人信息如果保護不力或無意被泄漏,而被非法濫用,就可能成為報復、盜竊、推銷、討債、盯梢的工具。在國外已經出現將盜用的個人隱私信息作為非法商品出售,以牟取暴利的情況,這樣直 接損害個人的利益,甚至危及個人的生命安危。因此加快個人數據保護法的制訂,是必要的。
還有很多法規的制訂都直接關系到電子政務的健康發展,加快制訂這些法規,勢在必行。
要素二 安全組織與管理
我國信息安全管理職能的格局已經形成,如國家安全部、國家保密局、國家密碼管理委員會、信息產業部、總參??分別執行各自的安全職能,維護國家信息安全。電子政務安全管理涉及到上述眾多的國家安全職能部門,其安全管理職能的協調需要由國家信息化領導機構,如國家信息化領導小組及其辦公室、國家電子政務協調小組、國家信息安全協調小組等來進行。各地區和部委建立相應的信息安全管理機構,以完成和強化信息安全的管理,形成自頂向下的信息安全管理組織體系,是電子政務安全實施的必要條件。
制訂頒發電子政務安全相關的各項管理條例,及時指導電子政務建設的各種行為,從立項、承包、采購、設計、實施、運行、操作、監理、服務等各階段入手,保障電子政務系統建設全程的安全和安全管理工作的程序化和制度化。
電子政務信息安全域的劃分與管理是至關重要的。電子政務有辦公決策、行政監管和公共服務等三種類型業務,其業務信息內容涉及國家機密、部門工作秘密、內部敏感信息和開放服務信息。既要保護國家秘密又要便于公開服務,因此對信息安全域的科學劃分和管理,將有益于電子政務網絡平臺的安全設計,有益于電子政務的健康和有效的實現。
制訂電子政務工程集成商的資質認證管理辦法、工程建設監理機構的管理辦法、工程外包商的管理機制和辦法,以確保電子政務工程建設的質量和安全,特別是對于電子政務系統的外包制更要有嚴格的制約和管理手段。對于電子政務中涉密系統工程的承建,還必須有國家保密局頒發的涉密系統集成資質證書,其他部分應具有國家或省市相應的系統集成商的資質證書。對于電子政務涉密部分,不允許托管和外包運行,電子政務其他部分將按相關管理條例執行。
電子政務工程中使用的信息安全產品,國家將制訂相應的采購管理政策,涉及密碼的信息安全產品需有國家密碼主管部門的批準證書,信息安全產品應有通過國家測評主管機構的安全測評的證書,維護信息安全產品的可信性。
電子政務系統信息內容根據管理需求,可以實施對信息內容的安全監控管理,以保護政務信息安全,防止由于內部違規或外部入侵可能造成的網絡泄密,同時也阻止有害信息內容在政務網上傳播。
制訂電子政務系統的人員管理、機構管理、文檔管理、操作管理、資產與配置管理、介質管理、服務管理、應急事件管理、保密管理、故障管理、開發與維護管理、作業連續性保障管理、標準與規范遵從性管理、物理環境管理等各種條例,確保電子政務系統的安全運行。
要素三 安全標準與規范
信息安全標準有利于安全產品的規范化,有利于保證產品安全可信性、實現產品的互聯和互操作性,以支持電子政務系統的互聯、更新和可擴展性,支持系統安全的測評與評估,保障電子政務系統的安全可靠。
國家已正式成立“信息安全標準化委員會”,近期成立了信息安全標準體系與協調工作組(WG1)、內容安全分級及標識工作組(WG2)、密碼算法與密碼模塊/KMI/VPN工作組(WG3)、PKI/PMI工作組(WG4)、信息安全評估工作組(WG5)、操作系統與數據庫安全工作組(WG6)、身份標識與鑒別協議工作組(WG9)、操作系統與數據庫安全工作組(WG10),以開展電子政務安全相關標準的研制工作,支撐電子政務安全對標準制訂的需求。
還將制訂下列標準:涉密電子文檔密級劃分和標記格式、內容健康性等級劃分與標記、內容敏感性等級劃分與標記、密碼算法標準、密碼模塊標準、密鑰管理標準、PKI/CA標準、PMI標準、信息系統安全評估和信息安全產品測評標準、應急響應等級、保護目標等級、應急響應指標、電子證據恢復與提取、電子證據有效性界定、電子證據保護、身份標識與鑒別、數據庫安全等級、操作系統安全等級、中間件安全等級、信息安全產品接口規范、數字簽名??。
要素四 安全保障與服務
1.電子政務系統建設,要構建其技術安全保障架構,對大型電子政務系統要建立縱深防御體系。
·設置政務內網的安全與控制策略;
·設置政務外網的安全與控制策略;
·設置進入互聯網的安全服務與控制策略;
·設置租用公網干線的安全服務與控制策略,包括有線通信、無線通信和衛星通信的安全服務與控制策略;
·設置政務計算環境的安全服務與機制。
采用縱深防御和多級設防,是電子政務安全保障的重要原則,通過全局性的安全防護、安全檢測、快速響應、集成的安全管理與安全設施的聯動控制,以達到系統具有防護、檢測、反應與恢復能力。
2.推廣電子政務信息系統安全工程(ISSE)的控制方法,全面實現安全服務要求。
電子政務安全系統的設計,首先要做好系統資產價值的分析,如物理資產的價值(系統環境、硬件、系統軟件)、信息資產的價值、其數據與國家利益和部門利益的關聯度;其業務系統(模型、流程、應用軟件)正常運行后果所產生的效益,從而確定系統安全應保護的目標,在上述分析的基礎上提出整個安全系統的安全需求,進一步定義達到這些安全需求所應具有的安全功能,然后探索系統可能面臨的威脅類型,并找出系統自身的脆弱性,這些威脅和脆弱性有:
·網上黑客與計算機犯罪;
·網絡病毒的蔓延與破壞;
·機要信息流失與信息間諜潛入;
·網上恐怖活動與信息戰;
·內部人員違規與違法;
·網上安全產品的失控;
·網絡與系統自身的漏洞與脆弱性。
在這些威脅面前,要分析哪些威脅是本系統主要面臨的威脅,哪些是次要的,對系統和任務造成的影響程度如何。進行定性和定量的分析,提出系統安全對策,確定承受風險的能力,尋找投入和風險承受能力間的平衡點,然后確定系統所需要的安全服務及對應的安全機制(見表一),從而配置系統的安全要素。在工程的生命周期中要進行風險管理、風險決策流程(見圖2),這種風險管理是要對電子政務全程進行的。
系統投入運行要對其安全性進行有效評估,即評估者給出的評估證據和建設者采用的技術保障設施,的確能使系統擁有者確信已選用技術對策,確實減少了系統的安全風險,滿足必要的風險策略(風險策略可以是“零”風險策略、最小風險策略、最大可承受風險策略或不計風險策略),使其達到保護系統資產價值所必需的能力(見圖3)。上述有效評估過程可用安全技術保障強壯性級別(IATRn)來描述:
IATRn=f(Vn,Tn,SMLn,EALn)
Tn:威脅等級
Vn:資產價值等級
SMLn:安全機制強度等級
EALn:評估保障等級
要素五 安全技術與產品
1. 加強安全技術和產品的自主研制和創新。
由于電子政務的國家涉密性,電子政務系統工程的安全保障需要各種有自主知識產權的信息安全技術和產品,全面推動自主研發和創新這些技術和產品是電子政務安全的需要。這些產品和技術可以分為六大類:
·基礎類:風險控制、體系結構、協議工程、有效評估、工程方法;
·關鍵類:密碼、安全基、內容安全、抗病毒、IDS、VPN、RBAC、強審計、邊界安全隔離;
·系統類:PKI、PMI、DRI、網絡預警、集成管理、KMI;
·應用類:EC、EG、NB、NS、NM、WF、XML、CSCW;
·物理與環境類:TEMPEX、物理識別;
·前瞻性:免疫技術、量子密碼、漂移技術、語義理解識別。
2.電子政務安全產品的選擇。
整個電子政務的安全,涉及信息安全產品的全局配套和科學布置,產品選擇應充分考慮產品的自主權和自控權。
產品可涉及安全操作系統、安全硬件平臺、安全數據庫、PKI/CA、PMI、VPN、安全網關、防火墻、數據加密機、入侵檢測(IDS)、漏洞掃描、計算機病毒防治工具、強審計工具、安全Web、安全郵件、安全設施集成管理平臺、內容識別和過濾產品、安全備份、電磁泄漏防護、安全隔離客戶機、安全網閘。
要素六 安全基礎設施
信息安全基礎設施是一種為信息系統應用主體和信息安全執法主體提供信息安全公共服務和支撐的社會基礎設施,方便信息應用主體安全防護機制的快速配置,有利于促進信息應用業務的健康發展,有利于信息安全技術和產品的標準化和促進其可信度的提高,有利于信息安全職能部門的監督和執法,有利于增強全社會信息安全移師和防護技能,有利于國家信息安全保障體系的建設。因此,推動電子政務的發展,應重視相關信息安全基礎設施的建設。
信息安全基礎設施有兩大類。
1.社會公共服務類
·基于PKI/PMI數字證書的信任和授權體系;
·基于CC/TCSEC的信息安全產品和系統的測評與評估體系;
·計算機病毒防治與服務體系;
·網絡應急響應與支援體系;
·災難恢復基礎設施;
·基于KMI的密鑰管理基礎設施。
2.行政監管執法類
·網絡信息內容安全監控體系;
·網絡犯罪監察與防范體系;
·電子信息保密監管體系;
·網絡偵控與反竊密體系;
·網絡監控、預警與反擊體系。
第四篇:電子政務信息安全檢查自查報告
電子政務外網信息安全工作自查報告
我鎮在市委、市政府的領導下,認真按照四川省委省政府關于電子政務工作的總體部署和要求,對電子政務外網信息安全情況作了認真檢查,現將我鎮電子政務工作自查情況報告如下:
一、組織及制度建設情況
一是領導重視,機構健全。我鎮高度重視電子政務工作,成立了以鎮長任組長、鎮相關部門負責人為成員的鎮電子政務工作領導小組,統一領導鎮電子政務工作,研究決定鎮電子政務建設中的重大問題。領導小組辦公室設在鎮黨政綜合辦公室,并指定懂電腦操作、保密意識強的黨政綜合辦公室成員具體負責信息更新及網絡維護等日常工作,形成了機構健全、分工明確、責任到人的良好工作格局。二是制定制度,按章辦事。根據省、市文件要求,制定了辦公室自動化設備保密管理制度、電子政務工作各項管理制度及維護制度,包括專人維護、文件發布審核簽發等制度。三是開展不定期檢查。我鎮電子政務工作領導小組不定期對電子政務工作辦公室的環境安全、設備安全、信息安全、管理制度落實情況等內容進行檢查,對存在的問題及時進行糾正,消除安全隱患。
二、網絡和信息安全情況。
加強網絡運行維護工作。加強網絡運行維護隊伍建設,進一步充實網絡運行維護人員,鎮黨政綜合辦公室確定兼職網絡信息管理員,負責及時提供和審核本部門信息內容。同時按照縣安全管理要求,制定和完善了我鎮電子政務安全保密措施,落實安全保密工作責任制,未發現網絡異常。
三、技術防護手段建設
切實做好信息安全工作。安裝了專門的殺毒、殺木馬軟件,互聯網出口處部署了防火墻,并且定期進行漏洞掃描、病毒木馬檢測,有效防范了病毒、木馬、黑客等網絡攻擊,確保了信息和網絡運行安全。
四、存在的困難和不足
雖然我鎮電子政務工作在有序開展,但還存在一些困難和不足之處,主要體現在:一是辦公電腦設備陳舊老化,專門用于電子政務的電腦使用時間久,運行速度慢。二是機關工作人員年齡偏大,計算機知識程度不高,培訓沒有完全跟上。三是信息未能完全做到及時更新,電子政務管理、使用有待于進一步加強。
五、改進措施
一是努力提高業務素質。加強宣傳教育,提高全鎮人員對電子政務的認知水平和責任意識,積極組織人員參加全縣電子政務培訓,為電子政務的有效實施奠定更加堅實的基礎。二是加強制度建設。完善電子政務的管理、使用等一系列規章制度,對存在的薄弱環節,制定針對性措施,并在實
際工作中狠抓落實,進一步提高電子政務應用水平和使用效益。三是加強電子政務的日常管理。定期升級病毒庫、查殺病毒掃描系統漏洞,保證專門用于電子政務的電腦能時刻處于健康狀態。
第五篇:電子政務信息安全和管理
電子政務信息安全和管理
一、電子政務順利實施的核心問題
電子政務是一種全新的政府管理方式,是一個基于網絡技術的綜合性業務模式。建立電子政務系統參公眾服務,必然要求這一系統必須是安全、可靠、抗災難、可恢復的。計算機和計算機網絡的共享、交互和快速為這種系統的建立提供了前提條件,互聯網技術的迅速發展和廣泛應用,又為電子政務系統不斷走向開放互聯提供了巨大推動力。隨著電子政務信息化的不斷發展,電子政務對于網絡系統的依賴性越來越強,政務系統作為關系國計民生的重要部分,在安全方面尤為重要,而由于互聯網的開放性和公共性帶來的不安全因素,使信息安全問題成為保障電子政務順利實施的核心問題。
二、電子政務信息安全面臨的問題
電子政務網分為政務內網(涉密網)和政務外網(非涉密網),兩網之間物理隔離,政務外網采取邏輯隔離與互聯網聯通。政府各部門大力推行的辦公自動化、網絡化、電子化、信息共享都以這些網絡為支撐,以TCP/IPV4為傳輸協議,該協議為開放協議,從協議規劃、服務模式、網絡管理等方面均缺乏安全性設計,所以電子政務信息系統就存在著諸多的安全隱患。
1.網絡安全規劃的不到位,造成網絡結構的不合理性。由于信息技術發展的歷史原因和建設資金問題,我國電子政務網絡的建設在規劃上經常缺少前瞻性的安全規劃,網絡流量存在多個瓶頸, IP地址缺乏統一規劃,廣播流量可控性差,子網故障隔離性差,重要流量缺乏帶寬管理和服務質量優先保證等一大堆問題。隨著安全問題的不斷出現,只能在運行過程中不停地修修補補。但是,這種修補只能解決暫時的問題,解決一個問題后,往往又有新問題出現。
2.關鍵核心技術還掌握,增加了我國基礎信息網絡和重要信息系統安全的隱患。我國對發達國家信息設備和信息技術存在很強的依賴性,信息化核心設備嚴重依賴國外,對引進技術和設備缺乏必要的信息管理和技術改造。尤其是在系統安全和安全協議的研究和應用方面與發達國家的差距很大。目前組成我國電子政務網絡的計算機網絡系統所用硬件、軟件、操作系統、網管軟件、各類應用系統、數據庫、防火墻、網絡接入設備、路由器、服務器基本上都是國外公司的產品,微機芯片都是INTEL系列,軟件基本上是微軟公司的產品,完全自主知識產權的產品基本沒有。這些因素使我國的電子政務網絡安全性能大大降低,我國的經濟和社會發展面臨著新的風險。
3.網絡安全管理的混亂和規范化的管理制度相對滯后,造成很多管理安全漏洞。由于電子政務的網絡是連接多個政務部門的廣域網或城域網,需要各部門協調一致,共同維護整個網絡平臺的安全。但是,由于不同政府部門的信息技術人才和信息化水平的差異性,以及不同政府部門存在一些相關的利益和沖突,因此,很難做到安全管理的統一協調性,一旦發生安全事件,故障定位不準,追查事故源困難,責任問題牽扯不清,從而造成事件的破壞性后果更為嚴重。
4.安全意識淡薄。目前,在電子政務信息的安全問題上還存在不少認知盲區和制約因素。網絡是新生事物,許多人一接觸就忙著用于學習、工作和娛樂等,對網絡信息的安全性無暇顧及,安全意識相當淡薄,對網絡信息不安全的事實認識不足。與此同時,機關、事業單位注重的是網絡效應,對安全領域的投入和管理遠遠不能滿足安全防范的要求。總體上看,網絡信息安全處于被動的封堵漏洞狀態,從上到下普遍存在僥幸心理,沒有形成主動防范、積極應對的全民意識,更無法從根本上提高網絡監測、防護、響應、恢復和抗擊能力。
三、電子政務信息安全措施
1.設備的物理安全。物理層的安全設計應從三個方面考慮:環境安全、設備安全、線路安全。采取的措施包括:機房屏蔽,電源接地,布線隱蔽,防雷。根據中央保密委有關文件規定,凡是計算機同時具有內網和外網的應用需求,必須采取網絡安全隔離技術,在計算機終端安裝隔離卡或安裝安全網閘,使內網與外網之間從根本上實現物理隔離,防止涉密信息通過外網泄漏。
2.信息的加密。電子政務應用涵蓋政府內部辦公和面對公眾的信息服務兩大方面。就政府內部辦公而言,電子政務系統涉及到部門與部門之間、上下級之間、地區與地區間的公文流轉,這些公文的信息往往涉及不宜公開的和有密級的內容。因此,在信息傳遞過程中,必須采取適當的加密方法對信息進行加密。可采用多種加密方式:a.基于IPsec的加密方式正被廣泛采用,其優點顯而易見:IPsec對應用系統透明且具有極強的安全性,這一點對于要開發龐大應用的電子政務來說,就顯得極有好處了,應用系統開發商不必為數據傳輸過程中的加密做過多的考慮,易于部署和維護。b.采用VPN技術在公共數據網上進行內部信息的安全傳輸。其優點是只增加端設備避免了重復建設。c.采用公鑰基礎設施技術(PKI)為基礎,以數據機密性、完整性、身份認證和行為的不可否認為安全目的為電子政務提供安全支持。
3.操作系統的安全性。網絡安全的重要基礎之一是安全的操作系統,因為所有的政務應用和安全措施都依賴操作系統提供底層支持。操作系統的漏洞或配置不當將有可能導致整個安全體系的崩潰。更危險的是,我們無法保證國外廠家的操作系統產品不存在后門。在操作系統安全方面,有兩點是值得考慮的:一是采用具有自主知識產權且源代碼對政府公開的產品;二是利用漏洞掃描工具定期檢查系統漏洞和配置更改情況,及時發現問題。
4.數據備份與容災。任何的安全措施都無法保證數據萬無一失,硬件故障、自然災害以及未知病毒的感染都有可能導致政府重要數據的丟失。因此,在電子政務安全體系中必須包括數據的容災與備份,并且最好是異地備份。
5.管理制度的完善。電子政務網絡內部安全和外部安全一樣重要,內部安全除了需要體系化的安全防御策略,還需要嚴格的、可操作性強的安全管理制度。制度的制訂首先要規范,其次要強調制度的強制性、法規約束力和可操作性,同時進行安全宣傳教育,增強安全意識的培養和信息安全知識的普及這樣才能保證制度的真正貫徹和執行加強。
6.建立網絡安全事件應急響應預案。網絡安全事件應急響應預案是安全管理制度的一個重要部分,這里單獨來討論,主要是考慮到其重要性。事前有預案,一旦發生安全事件,就可以觸發相應的預案處理程序,在最短的時間內恢復正常的網絡服務和信息服務,力求把安全事件的破壞力降到最低。□(編輯/李舶)
點擊咨詢 