第一篇:电子政务系统安全的重要性及其隐患研究
电子政务系统安全的重要性及其隐患研究
【摘要】电子政务的实施使得政府事务变得公开、高效、透明、廉洁和信息共享,与此同时,电子政务信息系统安全是制电子政务建设与发展的首要问题和核心问题,是电子政务的职能与优势得以实现的根本前提。这就使得电子政务信息系统安全问题更加突出并口严重,影响电子政务信息系统功能的发挥,甚至对政府部门和社会公众产生危害,严重的还将对国家信息安全乃至国家安全产生威胁。本文就从电子政务信息系统保护的安全重要性并口存在的隐患两大方面进行分析。
【关键词】电子政务;安全性;隐患
中图分类号:TP39 文献标识码:A 文章编号:1006-0278(2015)01-060-02
作者简介:黄耀华,武汉大学信息管理学院。
一、电子政务系统安全的重要性
电子政务是政府管理方式的革命,它是运用现代计算机、信息、通信等高新技术打破传统行政机关的组织界限,构建一个电子化的虚拟机关,高效快捷地为人们提供超越时空的服务与产品。电子政务的建立将更有利于政府建设成为一个更符合环保精神的、一个更开放透明更高效的、一个更廉洁勤政的政府。
电子政务系统涉及到很多政府机密、政府形象等敏感信息,它的安全性能极为重要。电子政务直接涉及到各级政府的重要核心政务,必须要求电子政务实施的过程具有极高的可靠性和安全性。电子政务系统中的信息安全还涉及到了公众权益、个人信息保密,甚至国家利益、社会稳定和国家安全等重要的问题。如何有效地防止重要信息的泄露、病毒破坏、黑客侵扰、信息窃密、网络资源的非法使用、和内部人员的违规违法操作等的危害,为电子政务系统提供全面的安全防护保障,为保护政务信息资源不受侵犯,使电子政务系统的基础设备设施、信息应用服务和信息内容能够抵御各种安全威胁而具有保密性、完整性、真实性、可用性和可控性的能力。是目前电子政务建设者们面临的一个重大的难题。
二、电子政务系统安全的隐患
电子政务系统安全性被破坏,造成敏感机密的信息暴露或丢失,或网络被攻击导致系统功能毁坏等安全事件,带来的后果必然极为严重,不堪设想,电子政务信息系统也必然成为信息间谍、黑客等各类违法犯罪分子攻击的目标。电子政务系统安全主要包括以下方面的隐患:物理安全、系统安全、网络安全、应用安全及管理安全。
(一)物理安全隐患
物理层面的安全是整个系统安全的前提基础。物理安全隐患是周边自然环境和物理特性的变化引起的系统的硬件设备和线路的不可用的问题,主要有:系统的硬件的基础设施设备的自身老化、损坏;强磁场、静电对系统的硬件设施的毁坏;电源故障、水灾、地震、火灾等自然灾害造成的毁坏。所以可以尽量为系统硬件设备设施提供一个安全可靠的自然环境,并做好相关硬件软件设备设施的数据的异地容灾备份工作。
(二)系统安全隐患
系统级的安全隐患包括电子政务专用网络采用的数据库软件、操作系统软件和一些应用软件,及与它们相关配套产品本身存在的安全漏洞和病毒的威胁。电子政务专用网络通常采用的操作系统(主要为Windows、UNIX系列的操作系统)本身在安全方面考虑得较少,服务器、数据库的安全级别都比较低,存在一些安全隐患。同时木马程序、病毒也是系统安全的主要威胁,所有的这些都造成了系统安全的隐患。因此必须加强登录过程的认证,确保用户的合法性,其次应该严格限制登录者的操作权限,最后还必须选用尽可能安全可靠的硬件平台、应用软件和操作系统。
(三)网络安全隐患
网络安全问题既包括在传输线路上安装窃听、偷盗信息的装置,偷听、窃取网上传输的重要数据信息的行为,造成信息泄密或者对数据信息做一些篡改来破坏数据的真实性、完整性,也包括入侵者对政府内网直接窃取、攻击或其他的破坏,同时数据信息在上下级局域网和同级网络的内部及它们之间的传输线路上,存在内部人员越权、攻击行为、窃听的隐患,可能被内部人员搭线窃取,偷听和篡改,造成信息的泄密。另外由于目前缺乏安全的数据库及个人终端安全保护措旌,还不能很好地抵御各种对数据库及个人终端的攻击。同时如果不法分子对网上传输数据作出删除、伪造、篡改等攻击,都将会造成十分严重的危害和损失。这些不安全因素对网络构成了严重的安全威胁,造成了对重要数据业务数据的泄漏与破坏。对电子政务网络中每一个节点来说,其它所有的网络节点都是不可信任域,这样就有了节点的内外部的安全风险,都可能对该系统造成一定的安全威胁。因此,对于电子政务系统重要信息的传输的网络,数据在网络链路上传输必须进行加密处理。并通过认证技术及数字签名技术来保证数据信息在网络上传输的真实性、机密性、可靠性及完整性。
(四)应用安全隐患
应用安全隐患是指主机系统中的应用软件层面的安全问题,如办公自动化应用软件、电子邮件系统、Web服务器、财务软件系统、数据库应用软件、防病毒木马软件等的应用的安全问题。木马、病毒、蠕虫程序可以通过应用层的服务应用而得到大量广泛的传播,使得电子政务系统内部文件资料被感染破坏,如通过收发电子邮件、使用盗版光盘或软件、网上下载、人为投放等传播途径潜入内部网,感染内部网络系统,它们就完全可能在极短的时间内迅速扩散,感染到网络上的所有主机,可能造成文件丢失破坏、信息泄漏毁坏、机器死机等不安全因素。另外DNS服务威胁、WWW服务漏洞等都会对电子政务系统造成巨大的危害。因此必须采用有效的防病毒、木马程序的软硬件设施,抵御并查杀病毒木马,并运用多层次的访问控制与权限监控手段,实现对数据的安全保护,同时采用加密技术,保证网上传输的信息的机密性与完整性。
(五)管理层面安全隐患
一个系统的功能要发挥最大的作用,就得“三分靠技术、七分靠管理”。再好的安全策略最终要靠人来执行实现,再安全的系统设备离不开人的管理操作,因此管理是系统安全的最重要因素,对于复杂的电子政务系统工程,好的管理更加不可缺少。
如果对系统的管理失当、失控,就必将会给系统带来极为严重的危害。责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理层面的安全风险。如系统未建立完善的管理、审计、监督制度机制,必会导致系统混乱崩溃的结局;对密码、权限口令、密钥的保管不妥当或管理不严格,就可能造成其泄露或直接遗失;安全岗位及职责设置的不合理不全面、及其它们间的对应关系的混乱,就可能造成某些环节大家都管理,出了问题大家都可以推卸责任扯皮的情况的出现,而某些环节又缺乏控制的局面;对信息安全的战略认识不足,就可能影响电子政务系统的快速更新升级的发展;缺乏必要奖惩机制,或者法律制度来约束内部工作人员或者外部用户的攻击破坏行为。当网络出现攻击行为或受到其它一些安全威胁时,就会使得系统无法进行实时的检测、预警、报告与监控。
据相关部门资料的统计,在已有的网络安全攻击事件中,约六成以上的是来自内部网络的攻击入侵,比如系统安全管理员有意透露或无意泄露其用户名及口令等等,这就给不法分子带来良机,这将对系统网络安全构成很大的威胁。即除了从技术上下功夫外,系统的安全还得依靠安全管理来实现。
参考文献:
[1]吴叶科,宋如顺,陈波.基于博弈论的综合赋权法的信息安全风险评估[J].计算机工程与科学,2011(5).[2]朱参世,安利.基于蜜罐的入侵检测系统模型研究[J].微计算机信息,2010(33).[3]王福,谭成翔,沈寒辉.一种面向PKI/PMI的电子政务边界数据防护系统[J].计算机应用与软件,2010(6).[4]姜志能.基于电子政务发展要求的政府信息安全问题研究[D].江西财经大学2012.
第二篇:系统安全的重要性
系统安全的重要性
导言:
随着虚拟世界蓬勃发展,如今的虚拟财产直接与人民币划上了等号,于是QQ帐号被盗、网上交易被黑司空见惯……另一方面,隐私照被窃、加密数据被破解,损失惨重。系统遭到破坏,浪费时间就等于损失金钱。系统安全的重要性不言而喻,我们都为它付出过沉重的代价。本文旨在引领普通用户,轻松驾驭好系统安全,将威胁最小化。这会是一趟其乐无穷的旅程……
一、系统安全“自滤术”
系统需要打安全补丁,是入门级用户都知道的事。作为微软的用户,你需要养成“每月一补”的好习惯。不能忽视的是,系统中仍存着“被遗忘的隐形杀手”。
1、更新或卸载 老版本/不常用软件
在互联网中,0day通常指外界还未获知的漏洞,而0day的发现者能轻易的利用它进行破坏,基于专业技术所开发的软件都可能存在0day,在国内外地下交易初具规模,0day让人防不胜防。通过0day,可引发动网络攻击,计算机控制,数据窃取等一系列的麻烦。
两大知名播放器——暴风影音与realplayer均有过0day“前科”,realplayer的0day入侵工具在百度中能轻易的下载到(图1)。
(图1)危险的“0day漏洞利用工具”泛滥
高危软件:
多媒体播放器类软件,娱乐平台、对战平台类软件。
解决方法:
无用软件,你可以考虑卸载或升级最新版本。
2、关闭系统自动播放
自动播放类病毒防不胜防,通常他们有着死灰复燃,自动运行与更新的本领。系统缺省设置下,默认开放自动播放,是此类病毒传播极快的主要原因,只要我们关闭此功能,就能有效的做到防范。关闭自动播放的方法有很多,可以通过软件法,如360安全卫士的系统防护设置,当然也可以不借助于任何软件噢!
小技巧:希望大家可以养成,鼠标右键打开“可移动媒介”的习惯。
方法:
XP下从开始菜单运行命令“gpedit.msc”,通过左侧菜单栏“计算机配置-管理模板-系统”内,如(图2)找到“自动播放”项,进行关闭操作。
(图2)
3、关闭远程控制与网络共享
关闭远程控制与网络共享,是保证计算机安全的重要手段,两者与关闭自动播放一样,能通过软件禁止,在这里为大家讲解一下如何关闭远程控制。
(图3)
通过鼠标右键“我的电脑-系统属性-远程”页面中(图3),勾除“远程协助、远程桌面”即可关闭。
4、关于“系统还原”功能
外界对于系统还原功能褒贬不一,但是我觉得开启C盘系统还原还是有用处的,一些系统小故障能通过还原进行快速修复,缺点是,系统还原能被病毒穿透。
“自滤术”综述:
操作系统是一个比较“孱弱的东西”,所谓的“系统安全特性”只能说是一些摆设而已,而我们能做的,只是让它的抵抗力稍稍强一些,你可不能报太大希望喽。
系统数据加密
二、偷看没门!系统数据加密>偷看没门!系统数据加密
我写在电脑中的日记被偷窥了怎么办?加密呗!什么木马盗窃呀,你身边的谁谁谁,要窥视你的隐私就让他(她)看咯!通常情况下,我们可以能通过软件加密来达到目的。
1、闪电“土加密”法
“土加密”方法就是修改加密对象的扩展名,并且隐藏文件,从而达到保护文件、数据的目的,特点是简单易学。
(图4)修改文件扩展名
(图5)隐藏已修改的文件
常规软件加密
2、文件夹加密超级大师——常规加密软件
文件夹加密超级大师是一款功能强大的加密软件,能通过5种加密方法来满足不同用户。用户操作起来相当简单,只需要“添加=》选定加密对象=>确定=>设置密码=>确定”(图6),然后输入加密密码,就OK了(图7)(图8)!
(图6)简单的加密过程
(图7)输入加密密码
(图8)已加密的文件夹
高安全的RAR加密
3、被忽略加密利器——WinRAR
没错,就是这款我们日常生活中运用的最多的解压缩软件——WinRAR!为何我要强烈推荐WinRAR呢?
1、WinRAR普及率非常高,你不需要去下载加密软件了。
2、绝大部分加密软件为共享软件,你要缴费后才能获得全功能,WinRAR免费使用不会有任何影响。
3、安全性绝对是WinRAR的强项,安全性极高!
(图9)
运用WinRAR加密非常简单,右键目标文件“添加到压缩文件—压缩文件名和参数—高级”(图9),设置密码后即可。当今最高明的密码破解工具,其运用原理均为“设定Encrypted File(目标文件)”的穷举算法,公认的RAR压缩加密算法,安全性极高,ZIP压缩方式则相对较差。出于绝对安全需要,如果你设置复杂的密码,配合双层压缩包加密,能让RAR天衣无缝,就连软件开发者都未必能解开,所以请务必牢记你的密码,不然后果自负……
数据加密综述:
假如你的计算机内不是藏着国家机密,隐私照,那么差别就不大。
系统崩溃我不怕
三、系统崩溃我不怕——最后的大招GHOST
系统使用也会有一定的寿命,千穿百孔是早晚的事,纵然你千万分小心,无意间伤害了脆弱的系统,导致系统崩溃了,你除了重新装系统,还能怎么办?备份你的系统与数据吧,它能让你告别漫长的系统安装等待时间,还原你误操作删除的数据。GHOST的本事,可比系统还原强大上百倍。
目前有3种软件被大家广泛采用:一键GHOST、雨过天晴、还原精灵。
首先,雨过天晴是一款共享软件,如果你有钱的话嘿嘿!其次,个人偏向于GHOST的另一个原因,去年流行的机器狗病毒,能穿透还原卡、还原精灵包括雨过天晴!这就好比,保险箱的锁扣坏了,一点安全感都没有。
1、简单设置,即可使用
(图13)
2、可设置密码,防止他人改动
(图14)
还原GHOST综述:
操作近似于全自动,点击后,进入DOS画面,用户按中文字幕提示操作,按方向键与回车即可,第一次安装的用户可要看清楚中文说明,一般5分钟内就可自学成功了。至少目前,仍未传出过GHOST被病毒穿透破解的消息,部分尝试穿透的黑客的满头雾水中„„
怀疑中毒后的常见步骤
四、怀疑计算机中毒后的常见步骤
一般计算机中毒以后,会呈现出一定的症状。最常见的有,开机速度明显变慢、开机后文件运行错误提示、计算机无故重启、杀毒软件不能使用、多出了许多陌生的文件、浏览器被篡改、QQ与游戏帐号被窃、电脑播放莫名其妙的音乐等等。如果我怀疑自己的计算机中毒了,因该如何下手呢?
以上症状你有5条以上,我劝你还是早日重装系统吧,杀干净毒以后你的系统也已经支离破碎,难保今后你使用中不出现系统问题。
通常步骤为:
1、断开互联网
当你怀疑是木马时候,必须先断开互联网,然后慢慢“修理”它,防止它通过漏洞,下载更多木马病毒对付你,同时也可以防止木马与外界通信。
2、关闭有害进程
关闭进程管理器中的陌生进程,必要时可以关闭除了系统必须的其他进程,并注意哪些“陌生人”很活跃,有时候还需要借助“内核级”工具,冰刃。
3、不能启动杀毒软件
导致杀毒软件不能启动的原因比较复杂,去年有大量“劫持杀毒软件”的病毒,导致不能启动杀毒软件。
方法1:官方杀毒软件通常都有修复工具
方法2:尝试用专业软件修复清理注册表
4、安全模式杀毒
当你解决了上面的问题后,启动杀毒软件更新到最新的病毒库,进入安全模式全面杀毒,否则未必能杀的干净。如果计算机有多款安全软件则再好不过,进行交叉杀毒,只是比较费时间罢了。
5、亡羊补牢
安全模式杀毒完成以后,如果你的系统“健康不倒”,那就要恭喜你了,但是你可别得意的太早,你需要马上安装一款防火墙,定义更高级别的防火墙规则。
中毒应急综述:
中毒后,通常是依靠个人经验来处理它,纵然系统被破坏,病毒杀不干净都没有关系,别忘了我们有“最后的大招”——GHOST。系统安全是一套完整的体系,如果你仅想依赖于某个方面来完善安全,那么你得到的可能只有失望。
安全杂谈与未来趋势
五、系统安全尽在掌握之杂谈
恭喜你看完本文,希望本文中的某个环节能为你带来一些启发。我觉得新手之所以容易中毒,是因为他们“被毒”的次数不够多,被黑的经历太少,吃一堑,长一智。也许我们永远成不了反病毒专业人员,去深度研究安全领域,但我们能对它有所了解,从而让我们受益。
安全界的未来趋势:HIPS
最近业界比较流行的HIPS技术,它是一种类似于行为分析拦截的体系,目前已有HIPS防火墙了,国内有魔法盾 国外有SSm,使用HIPS的用户需要有一定的知识作为台阶,才能发挥出理想效果。
小贴士:Host Intrusion Prevent System(主机入侵防御系统,简称HIPS),国内俗称系统防火墙。其不同于传统意义上的防火墙,是针对操作系统内部的存取管理。通过可定制的规则对本地的运行程序、注册表的读写操作、以及文件读写操作进行判断并允许或禁止。配合使用相关知识点,利用HIPS软件能有效防止木马或者病毒的入侵。目前,系统防火墙按功能分为应用程序防御,注册表防御,文件防御三类(摘自新浪 作者黄蔚)
第三篇:电子政务发展研究
电子政务发展研究
09信管2班03成雅婷
信息时代的国家竞争力最高评价标准已从过去的土地、原材料、技术、人才等变为以信息能力为最高参数的评价标准系统。对信息的把握和支配能力,是影响国家竞争力的重大要素之一。利用信息网络技术和其他相关技术构造更加适合时代要求的政府结构和运行方式,推行电子政务,深化行政体制改革显得尤为重要。十六大报告指出了我国政府下一步改革的方向:“深化行政管理体制改革。进一步转变政府职能,改进管理方式,推行电子政务,提高行政效率,降低行政成本,形成行为规范、运转协调、公正透明、廉洁高效的行政管理体制。”当前我国政府面临着重大的变革和挑战,但同时也更具备了进一步改革的思想基础、方向指南与技术准备。作为技术创新与体制创新相结合的典范,电子政务在推动我国行政体制改革方面将发挥巨大的作用,具有深远的历史意义和重要的现实意义。
电子政务是政府管理方式的革命,它是运用信息以及通信技术打破行政机关的组织界限,构建一个电子化的虚拟机关,使公众摆脱传统的层层关卡以及书面审核的作业方式,并依据人们的需求、人们可以获取的方式、人们要求的时间及地点等,高效快捷地向人们提供各种不同的服务选择。政府机关之间以及政府与社会各界之间也经由各种电子化渠道进行相互沟通。
电子政务的建立将使政府社会服务职能得到最大程度的发挥,但也使政府敏感信息暴露在无孔不入的网络威胁面前。由于电子政务信息网络上有相当多的政府公文在流转,其中不乏重要信息,内部网络上有着大量高度机密的数据和信息,直接涉及政府的核心政务,它关系到政府部门、各大系统乃至整个国家的利益,有的甚至涉及国家安全。因此,电子政务信息安全是制约电子政务建设与发展的首要问题和核心问题,是电子政务的职能与优势得以实现的根本前提。如果电子政务信息安全得不到保障,不仅电子政务的便利与效率无从保证,更会给国家利益带来严重威胁。
一、我国电子政务建设的现状
目前,我国电子政务建设的现状大致表现在以下五个方面;
(1)纵横成网、架构合理
电子政务的应用主体是各级政府及其职能部门,建设之初,我们都在遵循国务院办公厅制定的“以需求为导向,以应用促发展,统一规划,协同建设,资源共享,安全保密”的原则,结合省、市、区情况,按照国办提出的规划和技术指导书,紧紧贴近需求,由小到大,由浅人深,由单机到网络,递进发展,并已形成了一个“三网一库”的科学架构。
(2)电子政府、雏形已具
电子政务建设中组建的“三网一库,是一个有机结合的整体,各级政府机关与各级政府部门之间,通过“三网一库”,使物理的政府“升华”成了一个虚拟的电子政府体系,使办公效率提高、交换加快、决策走向科学、政令更加畅通。
(3)育有队伍、拥有数据
经过近十年的耕耘,政府机关的信息化建设已经引起政府部门各级领导的关注,井且人员的结构也日趋合理,突出的特点是,人员知识结构的“两栖化”,即这些同志既懂得机关行政管理业务,又熟悉计算机网络知识和操作技能,现已成为政府机关办公不可或缺的部门和力量。
(4)业内认可、应用有序
由于中国政务信息化建设走了一条贴近需求、便捷实用的务实之路,使广大公务员尝到甜头,既解放了生产力,又大大提高了办公效率和辅助领导决策的水平,同时还使个人素质一了一个档次,从而调动了机关干部参与信息化建设的积极性。
(5)先行一步、优势无比
中国政务信息化系统,相对于其它领域的信息化系统而言,启动较早,有连续性,应用扎实,系统可靠,安全性高,已成气候,起到了带头示范作用。由于政府部门上下左右间的可干预性、协调性互动性以及对于其他信息系统数据索取的高权限性,使得他的发展壮大具有很强的优势。
二、我国电子政务存在的问题
从目前的发展情况看,国内各政府职能部门的网络基础建设已经初具规模,不同部门的局域网已经基本搭建完成,有些地区已经形成了城域网的基本雏形。从具体应用效果看,政府内部通过网络化沟通和信息共享,办公效率大为提高。虽然近几年我国电子政务取得了长足的进展,但还存在着不少问题,制约着我国
电子政务的进一步发展。
(一)对电子政务的性质和地位认识不足在一些纲领性文件中,虽然也提出要加快政府行政管理信息化步伐,但是并没有明确提出“电子政务”或“电子政府”的概念,而且还将“政府行政管理信息化”与“金融、财税、贸易等领域的信息化”相区别。这表明,我们对电子政务的系统性及其在信息化建设当中的地位还缺乏足够的认识。
实际上,电子政务是经济与社会信息化的先决条件。一个国家的信息化需要来自多方面力量的推进。政府作为国家组成及信息流的“中心节点”,在社会信息化的进程中起着责无旁贷而又无可替代的作用。
首先,政府是信息资源的最大拥有者,从我国现阶段来看,政府的信息资源最多,占总信息资源的80%;同时政府也是信息通信技术的最大使用者。因此,信息化应该首先从政府开始,政府先要解决好自身的信息化问题。
其次,电子政务将带动企业、社会信息化。一方面,在政府实现信息化之后,企业如果不及时转变,便享受不到政府所提供的快捷、透明的信息化服务;而如果放弃政府所提供的各种信息资源,或者缺乏与信息化政府交往的有利手段和渠道,企业在市场中的竞争力自然就会受损。这就迫使企业也不得不信息化,与政府保持同步。另一方面,电子政务建设需要相应的网络商、技术开发商的支持,这就为信息产业开辟了极大的商业市场,使得电子商务和电子政务找到了结合点,而电子商务的发展也将促进全社会的信息化。
第三,由于自身的特殊地位,电子政务能够实现更大范围的示范效应,特别是在信息化意识不够主动的地方,政府更可以用相关的优惠政策刺激民间信息化的发展;或者藉由自身的特殊权力,强制推动信息化的进程。
(二)缺乏统一规划目前,电子政务的发展缺乏宏观规划,没有提出明确的电子政务发展目标,也没有制定相应的发展规划。同时,“条块分割”的管理体制与电子政务的统一性、开放性、交互性和规模经济等自然特性产生严重冲突,各级地方政府和部门在开展电子政务时往往各自为政,采用的标准也各不相同,业务内容单调重复,造成新的重复建设。例如,在某些省会城市,省工商局、市工商局甚至区工商局同时建立各自的网站,给工商行政管理带来混乱。即使是前面介绍的办得比较成功的“海淀园数字园区”,其职能范围也只仅限于中关村海
淀园区区内的企业,出了这个地域范围就不灵了。电子政务是一种新事物,涉及技术、产品、标准、管理等众多领域。由于缺乏整体规划,在宏观层面上对各级政府及部门电子政务的建设也就不能进行很好的协调。
(三)基础条件比较落后由于当前电信领域的改革尚未到位,计算机、有线电视和电信的“三网融合”迟迟实现不了,影响了我国电信基础设施的建设步伐。各地政府的计算机、电信网络设施的建设普及率不高,无线互联网、数字电视和呼叫中心等数据通信设施基本上还处于起步阶段,因此整体的物质和技术条件还远远不能适应建设电子政务的需要。
我国在电子政务的立法方面也严重滞后,目前只是由行政机关对互联网管理出台了一些限制性的行政法规,而对于如何促进电子交易、使用电子签名和电子支付还没有制定相关的法律,在一定程度上也制约了电子政务的发展。“政府上网工程”有待深入1999年开始的“政府上网工程”()取得了很大的成绩,政府网站数量在短时间里成倍增长,对电子政务的发展起了很大的推动作用。但是,在这过程当中也存在着许多问题(政府上网工程秘书处,2000年1月,《政府上网工程白皮书》。),从内容的组织、网页制作到服务应用等方面都有待改进和完善。由于缺乏预算来源和合理的经营机制,相当多的政府网站仅仅局限于把一些法律、法规、政策、条文从纸上搬到网上,公开的信息数量少,质量也不高,网上信息更新很不及时,网页与网页之间的连接渠道少,各级政府的电子政务还没有形成网络。有些政府网站只重视了网页介绍宣传的静态功能,而对于政府部门的信息未有动态的反映,也缺乏和用户的交流沟通手段。群众虽然从网上可以了解一些政务信息,但要办理一些事务却缺乏必要的渠道,政府与上网公民之间缺乏互动性、回应性
三、中国电子政务发展趋势
这两年来,尽管从市场发展速度来看,我国的电子政务发展较快,但是这并不表明我国的电子政务已经发展到了一个较高的水平了。恰恰相反,由于“数字鸿沟”以及各种体制的障碍,我国电子政务的发展水平仍然较低。根据联合国“2003年电子化政府完备程度”的调查,在173个成员国当中,我国排在第74位,只在中等水平。因此,我国的电子政务还面临着一个大发展的问题。
四、近期内应该采取的措施
为推动电子政务的发展,近期内应该采取下列措施:
(一)加强宣传,突破误区。电子政务是近些年来随着电子信息技术的发展和互联网的出现才兴起的一种新的政府管理方式,其概念、内涵和特点尚不为大多数公务员所理解。实际上,从我国的现实情况来看,许多人对电子商务还是一知半解,对电子政务就更是一无所知了。因此,当前必须就电子政务与传统的政府管理的差异、电子政务与办公自动化的区别、电子政务对信息产业的引导作用等加强宣传工作,破除各种错误认识,使各级领导树立正确观念。
(二)统一规划,加强领导。可以借鉴国外先进国家的经验,在国务院建立电子政务的领导机构,统一领导、组织中央政府和地方政府的电子政务建设。为此,可以推行“总体统筹、分工负责”制。“总体统筹”就是:国务院领导机构对全国政府信息化建设进行统一规划,制定统一标准、相关政策法规及管理办法,对重大工程的资金进行统筹安排。“分工负责”就是:各部委、各地方按照统一的规划、标准,负责具体项目的实施。
(三)以发展电子政务、实现“电子政府”为目标,以政府机构改革为契机,改革政府管理模式,优化业务工作流程。这是实现政务信息化的前提和基础。实施电子政务工程不能简单地将现有业务、办公、办事程序原封不动地搬上计算机,而是要对传统的工作模式、工作方法、工作手段进行革新。
(四)整合政务信息资源,建设和改造政务数据库。这是电子政务工程的关键和难点,必须打破各级政府和部门对信息的垄断和封闭,整合政务信息资源,重视对信息资源的不断开发、更新和维护;推动政府信息资源对社会的开放,使之发挥巨大的社会效益和经济效益。
(五)健全和完善政府专网,加快建设宽带高速政务网络系统。规划、引导国家骨干通信网络和社区宽带网建设,促进无线上网、数字电视与呼叫中心等技术与市场的发展,加快各地“数字城市”和政务网络系统建设,进一步改造各级政府与上级机关联通的专用通讯网络(政府专网)。
(六)吸引私人部门与非政府机构参与电子政务的建设,确保电子政务顺利发展。在确保政务安全的前提下,可以考虑通过合理方式授权企业参与筹资、建设、运营和管理。这样既可减轻政府部门的预算压力,确保维持政府网站运行的资金来源,企业也可通过产品开发、技术咨询与服务、数据的商业再开发而获得
利润。实际上,有些地方已经尝试过这种方式并获得成功。建立电子政务研究、咨询、统计和评估等方面的非政府机构,促进电子政务的改进与提高。
(七)加强电子政务的软环境建设,制定相应的政策法规,保护网络安全。发展电子政务,立法要先行。立法要从有利于信息技术发展、有利于电子政务开展的角度,解决电子政务发展中亟待解决的问题,如政务信息的公开、电子签名、电子支付的合法性等,制定电子政务信息技术规范,并及时修改现有政策法规中与信息技术发展不相适应的成份。
第四篇:信息系统安全防护的重要性
信息系统安全建设重要性
1.信息安全建设的必然性
随着信息技术日新月异的发展,近些年来,各企业在信息化应用和要求方面也在逐步提高,信息网络覆盖面也越来越大,网络的利用率稳步提高。利用计算机网络技术与各重要业务系统相结合,可以实现无纸办公。有效地提高了工作效率,如外部门户网站系统、内部网站系统、办公自动化系统、营销管理系统、配网管理系统、财务管理系统、生产管理系统等。然而信息化技术给我们带来便利的同事,各种网络与信息系统安全问题也主见暴露出来。信息安全是企业的保障,是企业信息系统运作的重要部分,是信息流和资金流的流动过程,其优势体现在信息资源的充分共享和运作方式的高效率上,其安全的重要性不言而喻,一旦出现安全问题,所有的工作等于零,2.重要信息系统的主要安全隐患及安全防范的突出问题
依据信息安全事件发生后对重要系统的业务数据安全性和系统服务连续性两个方面的不同后果,重要信息系统频发的信息安全事件按其事件产生的结果可分为如下四类:数据篡改、系统入侵与网络攻击、信息泄露、管理问题。
2.1数据篡改
导致数据篡改的安全事件主要有一下集中情况:
2.1.1管理措施不到位、防范技术措施落后等造成针对静态网页的数据篡改
据安全测试人员统计,许多网站的网页是静态页面,其网站的后台管理及页面发布界面对互联网开放,测试人员使用简单的口令暴力破解程序就破解了后台管理的管理员口令,以管理员身份登录到页面发布系统,在这里可以进行页面上传、删除等操作。如果该网站的后台管理系统被黑客入侵,整个网站的页面都可以被随意修改,后果十分严重。一般导致静态网页被篡改的几大问题为: 1)后台管理页面对互联网公开可见,没有启用加密措施对其实施隐藏保护,使其成为信息被入侵的重要入口;
2)后台管理页面没有安全验证机制,使得利用工具对登录页面进行管理员账户口令暴力破解成为可能;
3)后台管理页面登陆口令强度偏弱,使暴力软件在有限的时间内就猜解出了管理员账户口令;
4)没有使用网页防篡改产品,使得网页被篡改后不能及时发现问题并还原网页。
2.1.2 程序漏洞、配置文件不合理等造成针对动态网页、网站数据库的篡改
经过安全测试人员的统计,大部分网站存在SQL 注入。SQL注入并不是唯一的网页程序安全漏洞、配置文件不合理问题而导致的。由此,一般导致重要信息系统动态网页、网站数据库篡改的几大问题,分别是:
1)存在SQL注入点,使攻击者可以利用该漏洞得知网站数据库的基本信息; 2)使用第三方开源软件,未进行严格的代码审查,致使软件中存在的漏洞信息可以被攻击者轻易获得;
3)网站数据库配置文件的配置不合理,是攻击者可以遍历到整个网站文件目录,进而找到后台管理页面;
4)后台管理页面使用默认登录名和口令,使攻击者可以轻易上传后门程序,并最终利用后门程序控制整个网站、篡改网站数据。
2.1.3安全意识淡薄、管理层措施不到位等造成内部人员篡改数据
内部人员篡改数据往往是由于安全意识淡薄、管理层措施不到位等问题造成的。总结出重要信息系统中,导致内部人员篡改数据的几大问题:
1)数据库访问权限设置不合理,没有划分角色,没有根据不同角色分配不同权限,导致用户可越权访问数据库;
2)安全审计和监控不到位。内部人员实施犯罪的过程没有被安全审计系统捕捉,到时候无法追查。在犯罪实施过程中也没有很好的监控机制对犯罪行为进行监控,不能及时阻断进一步的犯罪行为,因此造成了更严重的后果; 3)人员离职后没有及时变更系统口令等相关设置,也没有删除与离职人员相关的账户等。
2.1.4 软件代码安全造成软件产品漏洞或后门安全隐患 软件产品漏洞或后门安全隐患往往是由于软件代码安全等问题造成的。一般在重要信息系统中导致软件产品漏洞或后门安全隐患的几大问题是: 1)软件设计阶段没有考虑来自互联网的安全威胁; 2)软件开发阶段缺少针对源代码安全质量的监控; 3)软件在交付使用前没有进行源代码安全分析。
2.2系统入侵与网络攻击
导致系统入侵与网络攻击的安全事件主要有以下几种情况:
2.2.1技术手段落后造成针对系统的远程节点的入侵
目前任然有重要系统服务器的管理员使用Telnet远程登录协议来维护系统,有的管理员甚至将服务器的Telnet远程登录协议端口映射到外网,以便自己在家中就能维护服务器和网络设备。而针对系统的远程节点入侵的几大问题,分别是: 1)使用明文传输的远程登录软件; 2)没有设置安全的远程登录控制策略。
2.2.2保护措施不到位造成针对公共网站的域名劫持
由于系统或网站保护措施不到位,导致域名被劫持。特别是政府网站、大型门户网站、搜索引擎成为了域名劫持的主要对象。针对公共网站的域名劫持往往是由于保护措施不到位等问题造成的。总结出重要信息系统中,针对大型公共网站的域名劫持的几大问题,它们是: 1)域名提供商的程序有漏洞;
2)域名注册信息可见,特别是用于域名更改的确认邮件可见。这也是重大安全问题。一旦这个邮件账户被劫持,就可以冒充合法用户修改网站域名。
2.2.3抗DOoS攻击的安全措施不到位造成针对公共服务网站被DDoS攻击
缺少专门针对DDoS攻击的技术段等现象在所测评的信息系统中普遍存在。有些系统甚至没有冗余带宽和服务器。其中发现,许多重要信息系统是单链路;20%的重要信息系统服务器没有冗余或集群;即便是在正常访问突发的情况下也会造成系统可用性的下降,更不要说承受来自黑客组织的DDoS攻击了。总结出重要信息系统中,针对公共服务网站被DDoS攻击的几大问题,它们是: 1)缺少专门的针对抗DDoS攻击的安全措施; 2)网络带宽及服务器冗余不足。
2.3信息泄漏
导致信息泄漏的安全事件主要有以下几种情况:
2.3.1软件漏洞和安全意识淡薄造成的内部邮件信息泄露
内部邮件信息泄露往往是由于软件漏洞和安全意识淡薄等问题造成的。总结出重要信息系统中,导致内部邮件信息泄露的几大问题: 1)没有及时删除测试用户账户,且测试账户的口令强度很弱; 2)使用存在已知安全漏洞的第三方邮件系统; 3)邮件系统没有做安全加固;
4)邮件系统使用者安全意识淡薄,对内部文件信息不加密。
2.3.2终端安全问题造成互联网终端用户个人或内部文件信息泄露
1)专机不专用,没有为专门任务配置专用终端;
2)网络划分不合理,重要管理终端所在分区不在专网内。跨网段管理存在巨大安全风险;
3)终端管理技术手段不完备,使终端操作系统安全风险较高; 4)安全意识淡薄,对内部信息保管不善。
2.4管理问题
在信息安全领域有句话叫“三分技术,七分管理”,如果没有科学完备的一整套管理体系支撑,技术也发挥不了它应有的作用。管理问题主要有以下几种情况:
1)管理制度不落实造成工作流程不规范; 2)管理措施不配套造成管理效能未达预期效果; 3)应急预案可操作性差造成安全事件处置不当。
综上所述,管理体系的建立健全,是一个系统而庞大的工程。这需要多方配合和努力。一个好的管理体系可以支撑甚至弥补技术措施的欠缺。
3.从信息安全等级保护方面加强信息安全 3.1 信息安全技术层面 3.1.1物理方面
物理安全保护的目的主要是使存放计算机、网络设备的机房以及信息系统的设备和存数数据的介质等免受物理环境、自然灾难,以及人为操作失误和恶意操作等各种威胁所产生的攻击。物理安全是防护信息系统安全的最底层,缺乏物理安全,其他任何安全措施都是毫无意义的。
根据自然灾害可能因对火、水、电等控制不当或因人为因素而导致的后果,物理安全要求包括了针对人员威胁的控制要求(如物理访问控制、防盗窃和防破坏、电磁防护等),以及针对自然环境威胁的控制要求(如防火、防水、防雷击等)。
3.1.2 网络方面
网络安全为信息系统在网络环境的安全运行提供支持。一方面,确保网络设备的安全运行,提供有效的网络服务;另一方面,确保在网上传输数据的保密性、完整性和可用性等。由于网络环境是抵御外部攻击的第一道防线,因此必须进行各方面的防护。对网络安全的保护,主要关注两个方面:共享和安全。开放的网络环境便利了各种资源之间的流动、共享,但同时也打开了“罪恶”的大门。因此,必须在二者之间寻找恰当的平衡点,是的在尽可能安全的情况下实现最大程度的资源共享,这是实现网络安全的理想目标。
由于网络具有开放等特点,相比其他方面的安全要求,网络安全更需要注重整体性,及要求从全局安全角度关注网络整体结构和网络边界(网络边界包括外部边界和内部边界),也需要从局部角度关注网络设备自身安全等方面。
网络安全要求中对广域网络、城域网络等通信网络的要求由构成通信网络的网络设别、安全设备等的网络管理机制提供的功能来满足。对局域网安全的要求主要通过采用防火墙、入侵检测系统、恶意代码防范系统、边界完整性检查系统及安全管理中心等安全产品提供的安全功能来满足。而结构安全是不能够由任何设备提供的,它是对网络安全结构设计的整体要求。
3.1.3主机安全
主机是由服务器、终端/工作站等引硬件设备与设备内运行的操作系统、数据库系统及其他系统级软件共同构成。主机安全要求通过操作系统、数据库管理系统及其他安全软件(包括防病毒、防入侵、木马检测等软件)实现了安全功能来满足。信息系统内的服务器按其功能划分,可分为应用服务器、数据库服务器、安全服务器、网络管理服务器、通信服务器、文件服务器等多种服务器。终端可分为管理终端、业务中断、办公终端等。
主机是网络上的单个节点,因此主机安全是分散在各个主机系统上的,不像网络安全需要考虑安全功能的整体效果。
3.1.4 应用安全
应用安全是继网络、主机系统的安全防护之后,信息系统整体防御的最后一道防线。但应用系统安全与网络、主机安全不同,应用系统一般需要根据业务流程、业务需求由用户定制开发。因此,应用系统安全的实现机制更具灵活性和复杂性。
应用系统是直接面向最终的用户,为用户提供所需的数据和处理相关信息、因此应用系统可以提供更多与信息保护相关的安全功能。
应用安全要求通过应用系统、应用平台系统等实现的安全功能来满足。如果应用系统是多层结构的,一般不同层的应用都需要实现同样强度的身份鉴别,访问控制、安全审计、剩余信息保护及资源控制等,但通信保密性、完整性一般在同一个层面实现。
3.1.5数据安全及备份恢复
信息系统处理的各种数据(用户数据、系统数据、业务数据等)在维持系统正常运行上起着至关重要的作用。一旦数据遭到破坏(泄露、修改、毁坏),都会在不同程度上造成影响,从而危害到系统的正常运行。由于信息系统的各个层面(网络、主机系统、应用等)都对各类数据进行传输、存储和处理,因此对数据的保护需要物理环境、网络、数据库和操作系统、应用程序等提供支持。
3.2信息安全管理方方面 3.2.1安全管理制度
在信息安全中,最活跃的因素是人,对人的管理包括法律、法规与政策的约束、安全指南的帮助、安全意识的提高、安全技能的培训、人力资源管理措施以及企业文化的熏陶,这些功能的实现都是以完备的安全管理政策和制度为前提。这里所说的安全管理制度包括信息安全工作的总体方针、政策和规范,各种安全管理活动的管理制度,以及管理人员或操作人员日常的操作规程。
安全管理制度的制定与正确实施西信息系统安全管理起着非常重要的作用,不仅促使全体员工参与到保证信息安全的行动中来,而且能有效降低由于管理实务所造成的对系统安全的损害。通过制定安全管理制度,能够使责权明确,保证工作的规范性和可操作性。
3.2.2安全管理机构
安全管理的重要事实条件就是要建立一个统一指挥、协调有序、组织有力的安全管理机构,这是信息安全管理得以实施、推广的基础。通过构建从单位信息安全决策层、到管理层及执行层或具体业务运营层的组织体系,明确各个岗位的安全职责,为安全管理提供组织上的保证。
3.2.3人员安全管理
人员是信息安全中最关键的因素,同时也是信息安全中最薄弱的环节。很多重要的信息系统安全问题都涉及用户、涉及人员、实施人员,以及管理人员。如果这些人员有关的安全问题没有得到很好的解决,任何一个信息系统都不可能达到真正的安全。只有对人员进行了正确、完善的管理,才有可能降低人为错误、盗窃、诈骗和误用设备而引发的风险,从而减小信息系统因人员错误而造成损失的概率。
3.2.4系统建设管理
信息系统的安全管理贯穿系统的整个生命周期,系统建设管理主要关注的是生命周期中的前三个阶段(即初始、采购、实施)中的各项安全管理活动。系统建设有其自身的规律性,需要经历信息系统工程的必要过程,《基本要求》对系统建设管理的要求就是以这些工程过程为主线,增加了按等级保护管理引入的系统定级、定级备案和等级测评等属于国家管理要求的环节,其他环节服从系统工程的一般规律。
信息系统在建设过程中,要经过系统定级、方案设计、产品采购、软件开发、工程实施、测试验收、系统交付等若干阶段,每个阶段都涉及很多活动,只有对这些活动实施科学和规范的管理,才能保证系统建设的进度和质量。3.2.5系统运维管理
当信息系统建设完成且投入运行之后,接下来的工作就是如何维护和管理信息系统了。系统运行设计很多管理方面,主要包括系统的环境和相关资源的管理、系统运行过程中个组件的维护和监控管理、网络和系统的安全管理、密码管理、系统变更的管理、恶意代码防护管理、安全世家处置以及应急响应管理等。同时,还要监控系统由于一些原因发生的重大变化,安全措施也要进行相应的修改,以维护系统始终处于相应安全保护等级的安全状态中。对系统实施有效、完善的维护管理是保证系统运行阶段安全的基础。
第五篇:医院信息系统安全的重要性
医院信息系统安全的重要性
来源:康巨瀛,张文丽 编辑:xiaoliang 时间:2010-3-1
【摘要】医院信息系统安全防护措施的制定和实施是保证医院信息系统的稳定性、可靠性、安全性、可用性的利器。医院信息系统的安全性直接关系到医院医疗工作的正常运行,一旦网络瘫痪或数据丢失,将会给医院和病人带来巨大的灾难和难以弥补的损失,因此,医院计算机网络系统的安全工作非常重要,我院制定了周密的网络安全维护措施,以确保医院计算机网络系统持久、稳定、高效、安全地运行。
【关键词】医院信息系统;安全;重要性
医院信息系统安全防护措施的制定和实施是保证医院信息系统的稳定性、可靠性、安全性、可用性的利器。我院是省属大型三级甲等医院,信息化建设从1988年开始,目前已经是基本成型的数字化医院,在医院信息管理系统(HIS)、临床信息系统(CIS)、医学影像存储与管理系统(PACS)、检验信息管理系统(LIS)……投入运行后,几大系统纵横交错,构成了庞大的计算机网络系统。我院网络系统覆盖全院的每个部门,涵盖病人来院就诊的各个环节,600多台计算机同时运行,支持各方面的管理,成为医院开展医疗服务的业务平台,医院信息系统的安全性直接关系到医院医疗工作的正常运行,一旦网络瘫痪或数据丢失,将会给医院和病人带来巨大的灾难和难以弥补的损失。因此,医院计算机网络系统的安全工作非常重要,我院制定了周密的网络安全维护措施,以确保医院计算机网络系统持久、稳定、高效、安全地运行。
1中心机房及网络设备的安全维护
1.1环境要求中心机房作为医院信息处理中心,其工作环境要求严格,我们将温度置于22℃左右,相对湿度为45%~65%,且机房内无人员流动、无尘、半封闭。机房安装了可靠的避雷设施、防雷设备。
1.2电源管理机房采用两路供电系统,保证了中心机房供电的稳定和连续,配有不间断电源可12小时延时,并安装有抗磁场干扰等装置。
1.3网络设备信息系统中的数据是靠网络来传输的,网络的正常运行是医院信息系统的基本条件,所以网络设备的维护至关重要。我科每天查看路由器、交换机、集线器、光纤收发器等设备的指示灯状态是否正常,各种插头是否松动,注意除垢、防水等。
2服务器的安全维护
服务器是医院信息系统的核心,它在医院信息系统安全运行中起着主导作用,如果服务器发生故障,要么数据丢失,要么系统瘫痪,为确保服务器的稳定、可靠、高效地运行,我院每个系统都采用双服务器,无论主服务器何时出问题,从服务器都可自动替代主服务器的所有服务功能,间隔时间不超过5分钟。3工作站的安全维护
由于工作站分布在医院的各个角落,工作站本地不保存数据,工作站一律不安装软驱、光驱,屏蔽USB口,有效地杜绝了病毒的侵入。工作站都安装远程监控系统,监控用户行为,能够做到在工作室可以看到客户机器屏幕显示,实现远程安装、管理、杀毒,达到与用户本地机器操作相同的效果。
4防病毒措施
安装瑞星网络版杀毒软件,使用杀毒软件在网络安全中起着重要的作用。它对网络系统进行实时监控,防止计算机病毒入侵破坏网络,保证医院信息系统在无病毒状态下安全运行。每周六全院统一升级。
5数据库的安全
备份数据安全是医院信息系统安全的核心部分。硬盘损坏、偶然或恶意的数据破坏、病毒入侵、自然灾害等都会引起数据丢失,因此需要实时对数据进行备份。我院采用异地容灾的方式进行数据的实时镜像,这样不但保证了系统的正常运转,同时也确保了数据的完整性,将数据的损失减少到最小量。
6网络访问控制的安全措施
在医院的计算机网络中,访问控制主要是主体访问客体的权限控制。根据MicrosotSQLServer特性,运用系统软件和应用软件的相应功能,合理设置系统的使用权限。医院网络用户的特点是分散处理、高度共享,用户涉及医生、护士、医疗技术、管理人员等,根据这个特点,通过设定权限控制用户对特定数据的使用,使每个用户在整个系统中只具有唯一的帐号,既方便灵活地操作自己的程序和调用数据,又禁止用户对无关目录进行读写。这样保证了数据的共享和数据的安全,防止了非法用户侵入网络,确保网络运行安全。
7合理的网络管理制度
7.1建立服务器管理制度服务器是整个信息系统的核心,必须对服务器进行有效的管理,每天记录服务器的各种操作,包括机房温度、湿度、设备的检查记录、服务器的启停记录、对数据库的日常维护记录、服务器运行情况和对用户的监控记录等。
7.2专人维护进入数据库的密码由专人掌握,并且定期更换,所有子系统的程序由专人修改、更新,以保证程序的统一性和完整性。
7.3建立严格的操作规程系统中的所有信息来源于工作站的操作人员,为使采集的数据真实有效,制定了工作站入网操作规程,以提高信息的准确性。总之,医院网络安全涉及的范围广,在实际工作中,网络管理人员只有不断更新知识、积累经验,才能未雨绸缪,扼杀网络瘫痪,把危害降到最低。因此医院的网络管理人员更要加强自身素质的培养,加强网络管理,确保医院网络安全运行。
点击咨询 