第一篇:关于电子政务信息安全管理体系建设的问题
关于电子政务信息安全管理体系建设的几点思考
一、概述
电子政务是政府管理方式的革命,它是运用信息以及通信技术打破行政机关的组织界限,构建一个电子化的虚拟机关,使公众摆脱传统的层层关卡以及书面审核的作业方式,并依据人们的需求、人们可以获取的方式、人们要求的时间及地点等,高效快捷地向人们提供各种不同的服务选择。政府机关之间以及政府与社会各界之间也经由各种电子化渠道进行相互沟通。
电子政务的建立将使政府社会服务职能得到最大程度的发挥,但也使政府敏感信息暴露在无孔不入的网络威胁面前。由于电子政务信息网络上有相当多的政府公文在流转,其中不乏重要信息,内部网络上有着大量高度机密的数据和信息,直接涉及政府的核心政务,它关系到政府部门、各大系统乃至整个国家的利益,有的甚至涉及国家安全。因此,电子政务信息安全是制约电子政务建设与发展的首要问题和核心问题,是电子政务的职能与优势得以实现的根本前提。如果电子政务信息安全得不到保障,不仅电子政务的便利与效率无从保证,更会给国家利益带来严重威胁。
二、电子政务信息系统面临的威胁
电子政务涉及对政府机密信息和敏感政务的保护、维护公共秩序和行政监管的准确实施以及为保障社会提供公共服务的质量。电子政务作为政府有效决策、管理、服务的重要手段,必然会遇到各种敌对势力、恐怖集团、捣乱分子的破坏和攻击。尤其是,电子政务在基于互联网的网络平台上,他包括政务内网、政务外网和互联网,而互联网是一个无行政主管的全球网络,自身缺少设防,安全隐患很多,使得不法分子利用互联网进行犯罪有机可乘,这就使得基于互联网开展的电子政务应用面临着严峻的挑战。
对电子政务的安全威胁包括网上黑客入侵和犯罪、病毒泛滥和蔓延,信息间谍的潜入和窃密,网络恐怖集团的攻击和破坏,内部人员的违规和违法操作,网络系统的脆弱和瘫痪,信息安全产品的失控等,对于这些威胁,电子政务的建设和应用应引起足够警惕,采取果断的安全措施,应对这种挑战。
三、电子政务信息安全管理体系的构建
要有效维护电子政务信息系统的安全,就需要构建电子政务安全管理体系,从而使政务的信息基础设施、信息应用服务能够具有保密性、完整性、真实性和可用性。电子政务安全管理体系包括安全技术体系、安全管理体系和安全服务体系,涉及从管理到组织,从网络到数据,从法规标准到基础设施等各个方面。加强安全技术力量是实现电子政务安全的基本方法
安全技术体系是利用技术手段实现技术层面的安全保护,是对电子政务安全防护体系的完善,包括网络安全体系、数据安全传输与存储体系,功能主要是通过各种技术手段实现技术层次的安全保护。
网络安全体系包括网闸、入侵检测、漏洞检测、外联和接入检测、补丁管理、防火墙、身份鉴别和认证、系统访问控制、网络审计等;数据安全与传输与存储体系包括数据备份恢复、PKI/CA、PMI等。整个电子政务的安全,涉及信息安全产品的全局配套和科学布置,产品选择应充分考虑产品的自主权和自控权。在关键技术、经营管理、生产规模、服务观念等方面,要集中人力、物力,制订相关政策,大力发展自主知识产权的计算机芯片、操作系统等信息安全技术产品,以确保关键政府部门的信息系统的网络安全。加强核心技术的自主研发,并尽快使之产品化和产业化,尤其是操作系统技术和计算机芯片技术。现阶段各地政府部门目前所选用的高端软硬件平台,很多都是国外公司的产品,这也对政务安全带来了许多隐患。因此,在构建电子政务系统的时候,在可能的情况下,我们应尽量选用国产化技术和国内公司的产品。构建安全管理体系是电子政务安全实施的重要基础
安全管理是解决电子政务的安全问题在技术以外的另一有力保障和途径。由于安全的防范技术与破坏技术总是“势均力敌”、“相互促进”的。作为防范者就更应该在安全防范的管理上下更大的工夫。安全管理主要涉及三个方面:法律法规、安全防护体系以及等级保护政策。
(1)法律政策、规章制度和标准规范
电子政务的工作内容和工作流程涉及到国家秘密与核心政务,它的安全关系到国家的主权、国家的安全和公众利益,所以电子政务的安全实施和保障,必须以国家法规形式将其固化,形成全国共同遵守的规约。目前,世界上很多国家制定了与网络安全相关的法律法规,如英国的《官方信息保护法》等。我国虽然颁发了一些与网络安全有关的法律法规,如《计算机信息系统安全保护条例》、《计算机信息系统保密管理暂行规定》等等,但显得很零散,还缺乏关于电子政务网络安全的专门法规。此外,在完善法律法规的同时,还应该加大执法力度,严格执法,这一目标的实现不仅需要政府组织的努力,更要国家立法机构的参与和支持。(.2)电子政务防护体系
贯穿整个电子政务的安全防护体系,对电子政务安全实施起全面的指导作用,具体包括三个方面的内容:安全组织机构、安全人事管理、以及安全责任制度。建立安全组织机构,其目的是统一规划各级网络系统的安全、制定完善的安全策略和措施、协调各方面的安全事宜,主要职责包括制定整体安全策略、明确规章制度、落实各项安全措施实施,以及制订安全应急方案和保密信息的安全策略;安全人事管理,其主要内容包括:人事审查与录用、岗位与责任范围的确定、工作评价、人事档案管理、提升、调动与免职、基础培训等;制定和落实安全责任制度,包括系统运行维护管理制度、计算机处理控制管理制度、文档资料管理制度、操作和管理人员管理制度、机房安全管理制度、定期检查与监督制度、网络通信安全管理制度、病毒防治管理制度、安全等级保护制度、对外交流安全维护制度,以及对外合作制度等。(3)等级保护制度
通过全面推行信息安全等级保护制度,逐步将信息安全等级保护制度落实到信息系统安全规划、建设、测评、运行维护和使用等各个环节,使信息安全保障状况得到基本改善。通过加强和规范信息安全等级保护管理,不断提高信息安全保障能力,为维护信息网络的安全稳定,促进信息化发展服务。
四、完善安全服务是维护电子政务安全实施的有力保障安全等级测评和风险评估管理
电子政务信息系统安全测评服务,其实质是通过科学、规范、公正的测试和评估向被测评单位证实其信息系统的安全性能符合等级保护的要求。
由于信息安全直接涉及国家利益、安全和主权,政府对信息产品、信息系统安全性的测评认证要更为严格。对信息系统和信息安全技术中的核心技术,由政府直接控制,在信息安全各主管部门的支持和指导下,依托专业的职能机构提供技术支持,形成政府的行政管理与技术支持相结合、相依赖的管理体制。风险管理是对项目风险的识别、分析和应对过程。它包括对正面事件效果的最大化及对负面事件影响的最小化。电子政务安全风险管理的主要任务是电子政务信息系统的风险评估并提出风险缓解措施,前者是识别并分析系统中的风险因素,估计可能造成的损失,后者是选择和实施安全控制,将风险降低到一个可接受的水平。2 安全培训服务
根据不同层次的人才需求,社会化的信息安全人才培养体系应分为专业型教育、应用型教育和安全素养教育三个层次。专业型教育主要是培养信息安全领域的专业研发、工程技术、战略管理等方面的人才。应用型(半专业)教育则是以从事现代信息管理工作的人作为对象,培养目标是要求学生具备信息安全的基本知识、网络和信息系统安全防范技能、组织机构或系统安全管理的能力等。这种应用型的信息安全教育要求受教育对象数量要多,覆盖面要广,基本信息技能要强。通过课程、讲座、宣传等多种形式,达到让每一个人都具备必要的安全意识和常规的信息安全自我防范技术的目的。要求单位领导应具备必要信息安全意识和安全知识;信息管理人员应具备一定的信息安全知识和基本技能;从事信息服务或信息安全服务的有关人员应具备必要的信息安全知识和技术基础等。
[1] 何玲,电子政务环境下政府电子文件管理新探索[D].成都:四川大学硕士学位论文,2008.[2] 电子政务:安全防护体系构建策略[EB/OL].http://www.xiexiebang.com,2009.[3] 金江军.电子政务信息安全体系建设[EB/OL].博客中国,2005.百度网 搜搜网
第二篇:电子政务信息安全和管理
电子政务信息安全和管理
一、电子政务顺利实施的核心问题
电子政务是一种全新的政府管理方式,是一个基于网络技术的综合性业务模式。建立电子政务系统参公众服务,必然要求这一系统必须是安全、可靠、抗灾难、可恢复的。计算机和计算机网络的共享、交互和快速为这种系统的建立提供了前提条件,互联网技术的迅速发展和广泛应用,又为电子政务系统不断走向开放互联提供了巨大推动力。随着电子政务信息化的不断发展,电子政务对于网络系统的依赖性越来越强,政务系统作为关系国计民生的重要部分,在安全方面尤为重要,而由于互联网的开放性和公共性带来的不安全因素,使信息安全问题成为保障电子政务顺利实施的核心问题。
二、电子政务信息安全面临的问题
电子政务网分为政务内网(涉密网)和政务外网(非涉密网),两网之间物理隔离,政务外网采取逻辑隔离与互联网联通。政府各部门大力推行的办公自动化、网络化、电子化、信息共享都以这些网络为支撑,以TCP/IPV4为传输协议,该协议为开放协议,从协议规划、服务模式、网络管理等方面均缺乏安全性设计,所以电子政务信息系统就存在着诸多的安全隐患。
1.网络安全规划的不到位,造成网络结构的不合理性。由于信息技术发展的历史原因和建设资金问题,我国电子政务网络的建设在规划上经常缺少前瞻性的安全规划,网络流量存在多个瓶颈, IP地址缺乏统一规划,广播流量可控性差,子网故障隔离性差,重要流量缺乏带宽管理和服务质量优先保证等一大堆问题。随着安全问题的不断出现,只能在运行过程中不停地修修补补。但是,这种修补只能解决暂时的问题,解决一个问题后,往往又有新问题出现。
2.关键核心技术还掌握,增加了我国基础信息网络和重要信息系统安全的隐患。我国对发达国家信息设备和信息技术存在很强的依赖性,信息化核心设备严重依赖国外,对引进技术和设备缺乏必要的信息管理和技术改造。尤其是在系统安全和安全协议的研究和应用方面与发达国家的差距很大。目前组成我国电子政务网络的计算机网络系统所用硬件、软件、操作系统、网管软件、各类应用系统、数据库、防火墙、网络接入设备、路由器、服务器基本上都是国外公司的产品,微机芯片都是INTEL系列,软件基本上是微软公司的产品,完全自主知识产权的产品基本没有。这些因素使我国的电子政务网络安全性能大大降低,我国的经济和社会发展面临着新的风险。
3.网络安全管理的混乱和规范化的管理制度相对滞后,造成很多管理安全漏洞。由于电子政务的网络是连接多个政务部门的广域网或城域网,需要各部门协调一致,共同维护整个网络平台的安全。但是,由于不同政府部门的信息技术人才和信息化水平的差异性,以及不同政府部门存在一些相关的利益和冲突,因此,很难做到安全管理的统一协调性,一旦发生安全事件,故障定位不准,追查事故源困难,责任问题牵扯不清,从而造成事件的破坏性后果更为严重。
4.安全意识淡薄。目前,在电子政务信息的安全问题上还存在不少认知盲区和制约因素。网络是新生事物,许多人一接触就忙着用于学习、工作和娱乐等,对网络信息的安全性无暇顾及,安全意识相当淡薄,对网络信息不安全的事实认识不足。与此同时,机关、事业单位注重的是网络效应,对安全领域的投入和管理远远不能满足安全防范的要求。总体上看,网络信息安全处于被动的封堵漏洞状态,从上到下普遍存在侥幸心理,没有形成主动防范、积极应对的全民意识,更无法从根本上提高网络监测、防护、响应、恢复和抗击能力。
三、电子政务信息安全措施
1.设备的物理安全。物理层的安全设计应从三个方面考虑:环境安全、设备安全、线路安全。采取的措施包括:机房屏蔽,电源接地,布线隐蔽,防雷。根据中央保密委有关文件规定,凡是计算机同时具有内网和外网的应用需求,必须采取网络安全隔离技术,在计算机终端安装隔离卡或安装安全网闸,使内网与外网之间从根本上实现物理隔离,防止涉密信息通过外网泄漏。
2.信息的加密。电子政务应用涵盖政府内部办公和面对公众的信息服务两大方面。就政府内部办公而言,电子政务系统涉及到部门与部门之间、上下级之间、地区与地区间的公文流转,这些公文的信息往往涉及不宜公开的和有密级的内容。因此,在信息传递过程中,必须采取适当的加密方法对信息进行加密。可采用多种加密方式:a.基于IPsec的加密方式正被广泛采用,其优点显而易见:IPsec对应用系统透明且具有极强的安全性,这一点对于要开发庞大应用的电子政务来说,就显得极有好处了,应用系统开发商不必为数据传输过程中的加密做过多的考虑,易于部署和维护。b.采用VPN技术在公共数据网上进行内部信息的安全传输。其优点是只增加端设备避免了重复建设。c.采用公钥基础设施技术(PKI)为基础,以数据机密性、完整性、身份认证和行为的不可否认为安全目的为电子政务提供安全支持。
3.操作系统的安全性。网络安全的重要基础之一是安全的操作系统,因为所有的政务应用和安全措施都依赖操作系统提供底层支持。操作系统的漏洞或配置不当将有可能导致整个安全体系的崩溃。更危险的是,我们无法保证国外厂家的操作系统产品不存在后门。在操作系统安全方面,有两点是值得考虑的:一是采用具有自主知识产权且源代码对政府公开的产品;二是利用漏洞扫描工具定期检查系统漏洞和配置更改情况,及时发现问题。
4.数据备份与容灾。任何的安全措施都无法保证数据万无一失,硬件故障、自然灾害以及未知病毒的感染都有可能导致政府重要数据的丢失。因此,在电子政务安全体系中必须包括数据的容灾与备份,并且最好是异地备份。
5.管理制度的完善。电子政务网络内部安全和外部安全一样重要,内部安全除了需要体系化的安全防御策略,还需要严格的、可操作性强的安全管理制度。制度的制订首先要规范,其次要强调制度的强制性、法规约束力和可操作性,同时进行安全宣传教育,增强安全意识的培养和信息安全知识的普及这样才能保证制度的真正贯彻和执行加强。
6.建立网络安全事件应急响应预案。网络安全事件应急响应预案是安全管理制度的一个重要部分,这里单独来讨论,主要是考虑到其重要性。事前有预案,一旦发生安全事件,就可以触发相应的预案处理程序,在最短的时间内恢复正常的网络服务和信息服务,力求把安全事件的破坏力降到最低。□(编辑/李舶)
第三篇:电子政务信息安全保障体系
电子政务安全面临威胁和挑战
电子政务涉及对国家秘密信息和高敏感度核心政务的保护,设计维护公共秩序和行政监管的准确实施,涉及到为社会提供公共服务的质量保证。电子政务是党委、政府、人大、政协有效决策、管理、服务的重要手段,必然会遇到各种敌对势力、恐怖集团、捣乱分子的破坏和攻击。尤其电子政务是搭建在基于互联网技术的网络平台上,包括政务内网、政务外网和互联网,而互联网的安全先天不足,互联网是一个无行政主管的全球网络,自身缺少设防和安全隐患很多,对互联网犯罪尚缺乏足够的法律威慑,大量的跨国网络犯罪给执法带来很大的难度。所有上述分子利用互联网进行犯罪则有机可乘,使基于互联网开展的电子政务应用面临着严峻的挑战。
对电子政务的安全威胁,包括网上黑客入侵和犯罪、网上病毒泛滥和蔓延、信息间谍的潜入和窃密、网络恐怖集团的攻击和破坏、内部人员的违规和违法操作、网络系统的脆弱和瘫痪、信息产品的失控等,应引起足够警惕,采取安全措施,应对这种挑战。
电子政务的安全目标和安全策略
电子政务的安全目标是,保护政务信息资源价值不受侵犯,保证信息资产的拥有者面临最小的风险和获取最大的安全利益,使政务的信息基础设施、信息应用服务和信息内容为抵御上述威胁而具有保密性、完整性、真实性、可用性和可控性的能力。
为实现上述目标应采取积极的安全策略:
·国家主导、社会参与。电子政务安全关系到政府的办公决策、行政监管和公共服务的高质量和可信实施的大事,必须由国家统筹规划、社会积极参与,才能有效保障电子政务安全。
·全局治理、积极防御。电子政务安全必须采用法律威慑、管理制约、技术保障和安全基础设施支撑的全局治理措施,并且实施防护、检测、恢复和反制的积极防御手段,才能更为有效。
·等级保护、保障发展。要根据信息的价值等级及所面临的威胁等级,选择适度的安全机制强度等级和安全技术保障强壮性等级,寻求一个投入和风险可承受能力间的平衡点,保障电子政务系统健康和积极的发展。
电子政务安全保障体系框架
电子政务安全采取“国家推动、社会参与、全局治理、积极防御、等级保护、保障发展”的策略,鉴于电子政务的信息安全面临的是一场高技术的对抗,是一场综合性斗争,涉及法律、管理、标准、技术、产品、服务和基础设施诸多领域,所以电子政务安全,还要从全局来构建其安全保障的体系框架,以保障电子政务的健康发展。
电子政务安全保障体系由六要素组成,即安全法规、安全管理、安全标准、安全服务、安全技术产品和安全基础设施等安全要素(见图1)。
要素一 安全法律与政策
电子政务的工作内容和工作流程涉及到国家秘密与核心政务,它的安全关系到国家的主权、国家的安全和公众利益,所以电子政务的安全实施和保障,必须以国家法规形式将其固化,形成全国共同遵守的规约,成为电子政务实施和运行的行为准则,成为电子政务国际交往的重要依据,保护守法者和依法者的合法权益,为司法和执法者提供法律依据,对违法、犯法者形成强大的威慑。
《中华人民共和国保护国家秘密法》已实施13年,已不完全适应我国当前保密工作的现状,特别是电子政务的发展,亟待修订。
政务信息公开是电子政务的重要原则,为了拉近政府和公众的距离,使公众具有知情权、参与权、监督权和享用政府服务的权利,为公众提供良好的信息服务,充分挖掘政务信息的最大效益,开放政务信息资源(非国家涉密和适宜公开部分)服务于民是电子政务的重要特征。尽快制订政务信息公开法,适度的解密和规范开放的规则,保护政府部门间信息的正常交流,保护社会公众对信息的合法享用,打破对政务信息资源的垄断和封锁,提高政府行政透明度和民主进程是非常有利的和必需的。
电子政务亟待电子签章和电子文档的立法保护,国际已有近20多个国家对数字签名和电子文档进行了立法,使数字签名和电子文档在电子政务和电子商务运行中具有法律效力。这将大大促进电子政务和电子商务的健康发展,使电子政务原来的双轨制走向单轨制,这有利于简化程序、降低成本,充分显示电子政务效益是非常有利的。
个人数据保护(隐私法)的需求伴随电子政务的发展日显突出。电子政务在实施行政监管和公众服务中有大量的个人信息(自然人和法人),如户籍、纳税、社保、信用等信息大量进入了政府网络信息数据库,它对完成电子政务职能发挥巨大作用。但是这些个人信息如果保护不力或无意被泄漏,而被非法滥用,就可能成为报复、盗窃、推销、讨债、盯梢的工具。在国外已经出现将盗用的个人隐私信息作为非法商品出售,以牟取暴利的情况,这样直 接损害个人的利益,甚至危及个人的生命安危。因此加快个人数据保护法的制订,是必要的。
还有很多法规的制订都直接关系到电子政务的健康发展,加快制订这些法规,势在必行。
要素二 安全组织与管理
我国信息安全管理职能的格局已经形成,如国家安全部、国家保密局、国家密码管理委员会、信息产业部、总参„„分别执行各自的安全职能,维护国家信息安全。电子政务安全管理涉及到上述众多的国家安全职能部门,其安全管理职能的协调需要由国家信息化领导机构,如国家信息化领导小组及其办公室、国家电子政务协调小组、国家信息安全协调小组等来进行。各地区和部委建立相应的信息安全管理机构,以完成和强化信息安全的管理,形成自顶向下的信息安全管理组织体系,是电子政务安全实施的必要条件。
制订颁发电子政务安全相关的各项管理条例,及时指导电子政务建设的各种行为,从立项、承包、采购、设计、实施、运行、操作、监理、服务等各阶段入手,保障电子政务系统建设全程的安全和安全管理工作的程序化和制度化。
电子政务信息安全域的划分与管理是至关重要的。电子政务有办公决策、行政监管和公共服务等三种类型业务,其业务信息内容涉及国家机密、部门工作秘密、内部敏感信息和开放服务信息。既要保护国家秘密又要便于公开服务,因此对信息安全域的科学划分和管理,将有益于电子政务网络平台的安全设计,有益于电子政务的健康和有效的实现。
制订电子政务工程集成商的资质认证管理办法、工程建设监理机构的管理办法、工程外包商的管理机制和办法,以确保电子政务工程建设的质量和安全,特别是对于电子政务系统的外包制更要有严格的制约和管理手段。对于电子政务中涉密系统工程的承建,还必须有国家保密局颁发的涉密系统集成资质证书,其他部分应具有国家或省市相应的系统集成商的资质证书。对于电子政务涉密部分,不允许托管和外包运行,电子政务其他部分将按相关管理条例执行。
电子政务工程中使用的信息安全产品,国家将制订相应的采购管理政策,涉及密码的信息安全产品需有国家密码主管部门的批准证书,信息安全产品应有通过国家测评主管机构的安全测评的证书,维护信息安全产品的可信性。
电子政务系统信息内容根据管理需求,可以实施对信息内容的安全监控管理,以保护政务信息安全,防止由于内部违规或外部入侵可能造成的网络泄密,同时也阻止有害信息内容在政务网上传播。
制订电子政务系统的人员管理、机构管理、文档管理、操作管理、资产与配置管理、介质管理、服务管理、应急事件管理、保密管理、故障管理、开发与维护管理、作业连续性保障管理、标准与规范遵从性管理、物理环境管理等各种条例,确保电子政务系统的安全运行。
要素三 安全标准与规范
信息安全标准有利于安全产品的规范化,有利于保证产品安全可信性、实现产品的互联和互操作性,以支持电子政务系统的互联、更新和可扩展性,支持系统安全的测评与评估,保障电子政务系统的安全可靠。
国家已正式成立“信息安全标准化委员会”,近期成立了信息安全标准体系与协调工作组(WG1)、内容安全分级及标识工作组(WG2)、密码算法与密码模块/KMI/VPN工作组(WG3)、PKI/PMI工作组(WG4)、信息安全评估工作组(WG5)、操作系统与数据库安全工作组(WG6)、身份标识与鉴别协议工作组(WG9)、操作系统与数据库安全工作组(WG10),以开展电子政务安全相关标准的研制工作,支撑电子政务安全对标准制订的需求。
还将制订下列标准:涉密电子文档密级划分和标记格式、内容健康性等级划分与标记、内容敏感性等级划分与标记、密码算法标准、密码模块标准、密钥管理标准、PKI/CA标准、PMI标准、信息系统安全评估和信息安全产品测评标准、应急响应等级、保护目标等级、应急响应指标、电子证据恢复与提取、电子证据有效性界定、电子证据保护、身份标识与鉴别、数据库安全等级、操作系统安全等级、中间件安全等级、信息安全产品接口规范、数字签名„„。
要素四 安全保障与服务
1.电子政务系统建设,要构建其技术安全保障架构,对大型电子政务系统要建立纵深防御体系。
·设置政务内网的安全与控制策略;
·设置政务外网的安全与控制策略;
·设置进入互联网的安全服务与控制策略;
·设置租用公网干线的安全服务与控制策略,包括有线通信、无线通信和卫星通信的安全服务与控制策略;
·设置政务计算环境的安全服务与机制。
采用纵深防御和多级设防,是电子政务安全保障的重要原则,通过全局性的安全防护、安全检测、快速响应、集成的安全管理与安全设施的联动控制,以达到系统具有防护、检测、反应与恢复能力。
2.推广电子政务信息系统安全工程(ISSE)的控制方法,全面实现安全服务要求。
电子政务安全系统的设计,首先要做好系统资产价值的分析,如物理资产的价值(系统环境、硬件、系统软件)、信息资产的价值、其数据与国家利益和部门利益的关联度;其业务系统(模型、流程、应用软件)正常运行后果所产生的效益,从而确定系统安全应保护的目标,在上述分析的基础上提出整个安全系统的安全需求,进一步定义达到这些安全需求所应具有的安全功能,然后探索系统可能面临的威胁类型,并找出系统自身的脆弱性,这些威胁和脆弱性有:
·网上黑客与计算机犯罪;
·网络病毒的蔓延与破坏;
·机要信息流失与信息间谍潜入;
·网上恐怖活动与信息战;
·内部人员违规与违法;
·网上安全产品的失控;
·网络与系统自身的漏洞与脆弱性。
在这些威胁面前,要分析哪些威胁是本系统主要面临的威胁,哪些是次要的,对系统和任务造成的影响程度如何。进行定性和定量的分析,提出系统安全对策,确定承受风险的能力,寻找投入和风险承受能力间的平衡点,然后确定系统所需要的安全服务及对应的安全机制(见表一),从而配置系统的安全要素。在工程的生命周期中要进行风险管理、风险决策流程(见图2),这种风险管理是要对电子政务全程进行的。
系统投入运行要对其安全性进行有效评估,即评估者给出的评估证据和建设者采用的技术保障设施,的确能使系统拥有者确信已选用技术对策,确实减少了系统的安全风险,满足必要的风险策略(风险策略可以是“零”风险策略、最小风险策略、最大可承受风险策略或不计风险策略),使其达到保护系统资产价值所必需的能力(见图3)。上述有效评估过程可用安全技术保障强壮性级别(IATRn)来描述:
IATRn=f(Vn,Tn,SMLn,EALn)
Tn:威胁等级
Vn:资产价值等级
SMLn:安全机制强度等级
EALn:评估保障等级
要素五 安全技术与产品
1. 加强安全技术和产品的自主研制和创新。
由于电子政务的国家涉密性,电子政务系统工程的安全保障需要各种有自主知识产权的信息安全技术和产品,全面推动自主研发和创新这些技术和产品是电子政务安全的需要。这些产品和技术可以分为六大类:
·基础类:风险控制、体系结构、协议工程、有效评估、工程方法;
·关键类:密码、安全基、内容安全、抗病毒、IDS、VPN、RBAC、强审计、边界安全隔离;
·系统类:PKI、PMI、DRI、网络预警、集成管理、KMI;
·应用类:EC、EG、NB、NS、NM、WF、XML、CSCW;
·物理与环境类:TEMPEX、物理识别;
·前瞻性:免疫技术、量子密码、漂移技术、语义理解识别。
2.电子政务安全产品的选择。
整个电子政务的安全,涉及信息安全产品的全局配套和科学布置,产品选择应充分考虑产品的自主权和自控权。
产品可涉及安全操作系统、安全硬件平台、安全数据库、PKI/CA、PMI、VPN、安全网关、防火墙、数据加密机、入侵检测(IDS)、漏洞扫描、计算机病毒防治工具、强审计工具、安全Web、安全邮件、安全设施集成管理平台、内容识别和过滤产品、安全备份、电磁泄漏防护、安全隔离客户机、安全网闸。
要素六 安全基础设施
信息安全基础设施是一种为信息系统应用主体和信息安全执法主体提供信息安全公共服务和支撑的社会基础设施,方便信息应用主体安全防护机制的快速配置,有利于促进信息应用业务的健康发展,有利于信息安全技术和产品的标准化和促进其可信度的提高,有利于信息安全职能部门的监督和执法,有利于增强全社会信息安全移师和防护技能,有利于国家信息安全保障体系的建设。因此,推动电子政务的发展,应重视相关信息安全基础设施的建设。
信息安全基础设施有两大类。
1.社会公共服务类
·基于PKI/PMI数字证书的信任和授权体系;
·基于CC/TCSEC的信息安全产品和系统的测评与评估体系;
·计算机病毒防治与服务体系;
·网络应急响应与支援体系;
·灾难恢复基础设施;
·基于KMI的密钥管理基础设施。
2.行政监管执法类
·网络信息内容安全监控体系;
·网络犯罪监察与防范体系;
·电子信息保密监管体系;
·网络侦控与反窃密体系;
·网络监控、预警与反击体系。
第四篇:我国电子政务信息安全管理问题研究
我国电子政务信息安全管理问题研究
作者: XXX 指导老师:XXX
内容摘要:电子政务是一种全新的政府管理方式,是一个基于网络技术的综合性业务模式。建立电子政务系统参与公众服务,必然要求这一系统必须是安全、可靠、抗灾难、可恢复的。随着电子政务信息化的不断发展,电子政务对于网络系统的依赖性越来越强,政务系统作为关系国计民生的重要部分,在安全方面尤为重要。本文就主要从我国电子政务的发展历程及面临的主要挑战,信息安全管理过程中出现的相关问题做一分析以及主要的管理措施加以论述。
关键词:电子政务 信息安全 电子政务信息安全
一、我国电子政务发展的历程,特点及主要趋势
1、我国电子政务的发展历程
电子政务的发展源于技术的进步和社会的演进,信息技术的突破性进展为政府信息化创造了条件,中国政府明确提出建设电子政务虽然只是近几年的事,但从历史沿革来看,80年代中期开始的办公自动化建设,就已经拉开了电子政务建设的帷幕。从这一时间段来划分,中国电子政务的发展大体可分为四个阶段:办公自动化阶段、“三金工程”实施阶段、“政府上网”阶段和电子政务阶段。
2、我国电子政务的特点
(1)我国电子政务整体尚处在初步发展阶段。表现为相关政策,法律法规的建设不完善,电子政务信息化建设物理硬件设施不够完善,相关技术整体上还有很大的发展空间。
(2)发展的多层次性和不平衡性。由于我国经济社会发展不平稳,中央部委、沿海发达地区和中西部地区电子政务的发展水平存在较大差距,呈现出多层次、不平衡性的特点。另外,近几年政府门户网站的发展较快,但网站内容与所能提供的服务却相对不足。
(3)电子政务领域各种“矛盾”突出。部门和地区对电子政务的投资热情与应用效果之间的反差强烈,电子政务管理沿用的固定资产投资方式已不能适应电子政务发展的需要,但相关的管理制度改革却处于相对缓慢的状态。
3、我国电子政府发展的主要趋势
(1)信息安全得到加强。从政府层面来看,电子政务安全体系框架正在研究制定,电子签名法
(1)
已经推出,信息公开等方面的法律法规的前期研究工作也在进行当中;从用户层面来看,电子政务建设的用户从规划、实施等方面都已对信息安全进行了充分考虑,并且信息安全方面的费用在整个信息化建设中所占的比例越来越大;从厂商层面来看,国内外安全厂商在整个IT行业中发展速度较快,厂商数量和厂商规模都在迅速增长。可以预计,未来几年信息安全市场将会有更进一步的发展,信息安全法律法规将会更加完善。
(2)信息中心转型步伐进一步加快。未来几年,多数信息中心将不再具体承担政府部门的信息化建设任务,而转向政府信息化规划、招投标、工程管理、工程验收等方面。因此,未来的电子政务建设市场将进一步的透明,并且由于信息中心的转型,使专门从事电子政务系统集成、方案开发的厂商有了更大的发展空间和市场。
(3)标准规范将不断完善。2002年5月,国家标准化管理委员会和国务院信息化工作办公室联合发布了《电子政务标准化指南》总则部分,与之相关的电子政务工程管理、网络建设、信息共享、支撑技术、信息安全等方面的技术要求、标准和管理规定在2003年已完成。2004年,从事系统集成、网络建设、信息安全等方面的厂商,在开发建设过程中已有法可依。
二、我国电子政务信息安全存在的问题
1、法律问题
尽管近年来我国已出台了一系列与网络信息安全相关的法律法规,并取得了一定的成绩,但这些法律法规尚未形成体系。随着信息技术的发展,信息安全问题越来越复杂,现有的信息安全法律框架已经难以适应电子政务信息化模式的发展需求。因此加快电子政务信息化的法律法规建设以成为一项非常急迫的任务。
2、技术问题
(1)网络安全规划与网络结构的不合理性。
由于信息技术发展尚不完善的众多原因,我国电子政务网络的建设在规划上经常缺少前瞻性的安全规划,如:IP 地址缺乏统一规划,广播流量可控性差,子网故障隔离性差,重要流量缺乏带宽管理和服务质量优先保证等问题显现明显。
(2)电子政务信息化建设技术人员相对缺乏,技术等素质不过硬。
我国信息化建设相对国对发达国家的信息设备和信息技术有很大的差异,技术人员培养力度也比发达国家相对来说不足,信息化核心设备严重依赖国外,对引进的技术和设备缺乏必要的信息管理和技术改造。尤其是在系统安全和安全协议的研究和应用方面与发达国家的差距很大。(3)网络技术与网络设置的不科学,造成了大量的网络安全隐患。
电子政务本身所具有的特点决定了它很容易招致来自外部或内部的各种攻击。同时,网络化政务办公导致了政府工作对网络依赖性的增强,而依赖性必然产生脆弱性,包括技术的脆弱性、社会
(2)的脆弱性、人的脆弱性等等。由于网络技术不够成熟,网络设置不够科学,目前大部分电子政务选用的系统本身存在着安全弱点或隐患,其中包括网络硬件设备的弱点、操作平台的弱点等各种安全问题。由于电子政务在很大程度上要依赖因特网,而因特网的全球性、开放性在为我们提供极大的便利的同时,也给信息安全带来了极大的威胁,这就需要我们努力的利用先进的网络技术来减少或消除这些威胁。
3、管理问题
(1)政府工作人员思想观念陈旧,安全意识淡薄。
我国电子政务建设起点低,时间短,至今仍未成熟。几十年来,政府工作人员已经习惯了手工作业,不容易适应信息化办公,对电子政务没有一个正确的认识,仍保留着陈旧的管理理念。另外,对于工作人员,在电子政务信息的安全问题上还存在不少认知盲区和制约因素。网络是新生事物,许多人一接触它就忙着用于学习、工作和娱乐等,对网络信息的安全性无暇顾及,安全意识相当淡薄,对网络信息不安全的事实认识不足。虽然政府已经采取了很多措施来提高工作人员的安全意识,但就其效果而言并不是很理想。
(2)管理体制问题突出,网络安全管理混乱,规范化的管理制度相对滞后,造成了很多管理安全漏洞。
一直以来,各级政府为了保证信息安全,只在技术上采取了相应的保障措施,却忽略了更重要的管理体制的建设,未把保障电子政务安全的“软措施”做细做实,未从管理体制上落实安全责任制,未建立完备的信息安全管理和认证机制等。这使电子政务系统存在很多管理安全漏洞,很难做到安全管理的统一协调性,一旦发生安全事件,故障定位不准,追查事故源困难,责任问题牵扯不清,从而造成事件的破坏性后果更为严重。
三、我国电子政务信息安全管理措施
1、完善管理体制,规范管理制度。
目前,我国电子政务领域并没有形成一个由上到下的统一的管理体制,这给信息安全的保障造成了很大的障碍。这就需要国家相关部门建立一个从中央到各级地方政府的统一的电子政务管理体制,上级部门主管或监督下级部门,面对问题,中央及各级下属部门协调步伐,统一解决,以防出现不同部门的各种差异和利益冲突。电子政务网络内部安全除了需要体系化的安全防御策略以外,还需要严格的、可操作性强的安全管理制度,以明确责任,增强员工对信息安全的重视程度。制度的制订要规范,要强调制度的强制性、法规约束力和可操作性。
2、提高工作人员的信息素养,强化信息安全意识。
对相关工作人员进行电子政务方面相关知识的培训,使其转变传统的思想观念,深入了解和认识电子政务,更好地融入政府的现代化办公。同时进行安全宣传教育,增强安全意识的培养和信息
(3)
安全知识的普及,提高工作人员的信息素养,保证安全管理制度的良好贯彻和执行。
3、加强电子政务的法治环境建设。
与电子政务快速发展的实践相比,我国的电子政务法制化进程明显滞后。对于我国电子政务发展中出现的各种问题,尤其是信息安全问题,国家立法机关及政府有必要以法律的形式加以解决和固化,以保证我国电子政务的健康发展。
4、加强网络核心技术研发,培养电子政务专业人才。
电子政务的发展已经成为我国现阶段社会发展的一个重要组成部分,为了减少在信息设备和信息技术方面对发达国家的依赖性,加强我国电子政务系统的安全性,可以成立专门的针对电子政务网络系统的技术研发机构,组成核心攻坚团队,及时解决我国电子政务发展过程中出现的相关问题。另外,为了保证电子政务系统的良好运行,我国还急需培养大批的电子政务专业人才,可以在高校中设立电子政务相关专业,专门培养针对政府电子政务系统使用的专业人才。
四、电子政务信息安全管理应用的主要技术
1、防火墙技术
防火墙技术在信息安全管理中显得尤为重要,是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。在当今政务公开,政府工作注重高效性情况下,将防火墙技术应用到电子政务中,对于信息安全的建设与发展都起到了不可忽视的作用。
2、VPN技术
VPN(Virtual Private Network)即虚拟专用网,是通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。通常,VPN 是对企业内部网的扩展,通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。VPN 可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。将VPN技术所涉及到数据安全连接及政府网站的扩展操作,在一定意义上起到了电子政务信息安全的管理问题。
3、PKI技术
PKI(Public Key Infrastucture)即公钥基础设施,广义上讲,它是一套安全服务的集合,运用密码学的基础理论,为网络应用提供认证、授权、加密、数字签证等安全服务。PKI技术是一个广阔的研究领域,在电子政务系统中的应用研究有着重要的实用意义,它在电子政务系统的安全性、公务员的素质、决策的科学性、行政效率等方面都有着积极的贡献。因此PKI技术在电子政务中得到人们的日益重视。许多PKI技术不断涌出,PKI对数据加密、数字签名、反否认、数字完整性以及分辨所需的密钥和认证实施了统一的集中化管理。基于PKI技术可构建安全性能很好的电子政务
(4)
应用系统。我国PKI理论的研究将走向成熟期,它的非常现实的应用前景和电子政务的发展要求完美结合,推进我国基于PKI的安全的电子政务发展。
五、结束语
随着信息化技术的日新月异,电子政务信息安全的保障显得尤为重要,同时也是一项关系多领域的综合工程,必须从技术和管理两方面入手,才能最大限度地保证电子政务信息安全。在电子政务中,要达到绝对的安全是不可能的,但是,当充分的认识到电子政务信息安全所涉及的各个方面后,从综合的角度出发,就可以找到较好的办法,尽可能的达到维护电子政务系统安全的最终目的。相信经过国家和地方各级政府部门的努力和紧密配合,在社会各方的大力帮助下,我国的电子政务信息安全隐患会降到最低,以保证电子政务实践健康快速的发展!
参考文献:
[1]赵国俊.电子政务教程[M].北京:中国人民大学出版社,2004.[2]韩文报.电子政务概论[M].北京:解放军出版社,2005.[3]刘越男,王立清.政府网站的构建与运作[M].北京:中国人民大学出版社,2004.[4]谢先江.电子政务外网安全平台建设基本问题初探[J].电子政务,2008.(5)
第五篇:电子政务信息门户建设方案
1.现状及需求
1.1 现状和需求
经过多年的政府上网工程和一批“金”字工程等电子政务建设,各级政府职能部门已经基本构建了办公管理系统和内、外网网站。但是由于技术、业务、需求、经费和管理等方面的问题,加上时间和历史等原因,造成了各系统的开发平台不同、操作系统不同,特别是数据库管理系统千差万别,从而形成了一个个信息孤岛。国务院信息化工作办公室明确指出 “当前电子政务的重点是解决‘信息孤岛’问题,有计划、有步骤地建设和整合统一的电子政务网络平台,为在网络环境下实现各主要业务系统的互联交换和资源共享,以及规范政府管理和服务创造必要条件,……”。
如何在保证信息安全的前提下,摆脱目前各部门、各系统的信息无法沟通、各自为政的局面,实现局域、广域、异构操作系统和数据库环境下的信息集成,将分散的信息资源更好地统一、整合、管理,并通过电子政务信息门户呈现出来,实现以政务公开、行政审批、政府采购及以综合数据仓库为基础的综合查询、统计分析、数据挖掘、政务协同系统开发和对政务办公的监察审计,已成为提高各类电子政务应用水平的关键考虑!
1.2 什么是电子政务信息门户的实施标准?
电子政务信息门户是指“政府部门在一定范围内的网络信息门户,整合政府部门需要提供给社会各方面的服务与信息资源,使用统一的安全认证管理,吸引用户(企业和居民)到访,实现所需服务的统一网络入口。” 一个完善的政府信息门户的设计和实现是要综合考虑各方面的因素,达到下列要求:
1)集成现有应用系统和信息,增加政府的透明度。
连接、整合现有政府内外网各种广域/局域、同异构软件平台、数据库和应用系统,将信息从各个分散的系统抽取出来,进行清洗、整理、加工,通过电子政务信息门户呈现出来。同时,信息在各个应用系统间的流动会进一步激活
2)统一信息平台,提高政府办事效率
集成了现有应用,实现了信息共享后,建立统一的政府信息平台就非常必要,包括:统一平台接入、统一身份认证和安全管理、统一资源调配等。在统一信息平台之上,对内可以各部门间协同办公,对外提供“一站式”、“一表式”服务,简化政府办事流程,提高办事效率,减轻公众负担,树立一个廉洁高效的服务型政府公众形象。
3)丰富各种办公应用,提供领导决策支持
统一开放的信息平台为工作流(oa)、办公助理、信息搜索引擎、以及个性化定制等各种应用提供了强大的支持。丰富办公应用则进一步帮助政府办公人员提高工作效率。
利用bi技术(包括数据挖掘、知识发现、推理等手段)把大量的无序数据转化为有价值的知识信息,在战略信息化的层次为领导决策、风险分析和预警提供服务,也成为衡量政府信息门户的重要标准。
2.解决方案
如前所述,x认为:完善的电子政务信息门户需要强大、安全统一的信息管理及灵活的数据交换的基础。
电子政务信息门户首先要解决信息孤岛,不同的信息分布在不同的业务系统之中,分布在不同的部门里面,甚至不同的网络中。如何将这些信息从不同的地方很方便和灵活的抽取出来,实现数据的集成、共享和交换,打造结实的集成平台,是电子政务首先要解决的重中之重。
在历经数年研究统一信息平台和综合国内外各种电子政务方案后,x提出了基于x xml intelligenceplatform的电子政务信息门户解决方案(x government information portal,i-gip)。
2.1.总体架构
x电子政务信息门户(i-gip)旨在将政府信息化建设息息相关的各种核心业务应用及多种结构化和非结构化信息,通过web方式整合在一起,对内、对外分别实现实现政府领导及公务员内部的协同办公、政府与其服务对象之间的交互服务能通过多种途径〔如pc、手机、pda等〕以唯一的接入点,访问与之相关应用,获取有针对性的信息,从而达到信息、数据与应用资源的共享及政府服务的便捷应用。
如下所示,x电子政务信息门户(i-gip)利用xml技术,将政府各职能部门的数据源整合(包括公检法信息库、工商税务信息库、社会保障信息库等),从中抽取数据并进行分析、挖掘,向政府人员、广大企业、公众等提供信息服务。整个方案具有如下特点:
● 数据中心建立在x xip之上,提供了数据集成、数据交换和数据同步的数据集成平台;
● x xip内置了异构数据集成、交换和同步机制,确保在异构数据源的整合过程提供方便的管理、高性能的支持。
● 备份中心采用集群技术,负责数据中心内的所有服务器数据的安全备份和恢复,以保证有意外发生时的业务连续性;
● 综合查询系统应用整合后的信息资源:为公众、政府工作人员提供经济、人口、科技、疫情等各方面信息的查询,提供协同工作的基础。
2.2.技术特色
x电子政务信息门户(i-gip)基于其自有产品x xip,遵循国家电子政务标准,以xml和web service标准技术整合现有多种系统和数据、信息源,同时又可以方便地集成第三方应用软件,为统一电子政务系统提供了强大平台。具体说来,其特色有以下几点:
● 可伸缩的企业级应用集成体系结构: x integration manager支持多种技术快速集成各种信息、数据和应用,如关系性数据库数据、数据仓库、soa、web services、message queues、非结构化/半结构化文档、blogs、xml等。系统提供开放式的api接口,可灵活集成现有应用系统,保证
以往投资得以重复利用,降低信息化成本。同时统一化的管理功能,提供方便的集成管理。
● 高性能的xml电子公文交换:《基于xml的电子公文格式》标志xml已经成为中国电子公文的标准数据格式。x xml database多次荣获“全球最佳xml数据库”,其强大的xml检索引擎(通过xmark专业测试)和active-edge专利索引技术、tb级的海量信息存储、完善的数据备份和故障恢复机制,为xml电子公文交换提供了一个安全可靠的高性能平台。
● “dual-core”强大支持:对于交换数据的检索支持,x提供了基于xml的xquery检索和基于relation的sql检索,这样x提供了多数据之间的多种检索方式,同时“dual-core”提供了强大的语法优化技术将能够帮助开发和使用人员更加方便和快速的从异构数据源获取数据,从而有利于集成的应用和开发。
● 个性化的快速信息发布:内容和风格的个性化定制、智能化的推送服务和快速信息发布是xml技术的先天优势。x assembly manager提供了强大的发布功能,无论将数据转化成用户要求的格式(xml/html/pdf/word/excel等),并发送到其所要求的接收终端(手提电脑、手机、pda等),还是信息web发布管理功能,都符合当今电子政务信息门户个性定制、移动服务等潮流。
● 提供协同办公的支持:通过x xip实现了异构数据的流通,提供了跨部门之间合作信息的支持,这样从信息化角度提高了协同办公的方便性。
3.总结
“万丈高楼平地起”——同样,电子政务的成功也离不开坚实的信息基础平台。x电子政务信息门户解决方案(i-gip)本着“治根、治本”的思想,借助国家电子政务标准对xml的有力支持,依靠其安全、开放、标准的信息平台x xml information hub,利用xml和web service集成政府内部的各种系统(办公自动化系统、业务系统、人事、财务、税务等),建立统一政务信息平台,实现了信息流通、资源共享。
x电子政务信息门户解决方案(i-gip)不仅着眼于为政府内的工作人员服务,更致力于通过政府信息门户向广大企业、公众提供信息发布、网上申报、办件查询、领导信箱、招商引资等手段,帮助政府树立“服务型政府”新形象。