第一篇:电子政务系统信息安全建设方案
概述
电子政务作为国家信息化建设的重点工程,按敏感级别和业务类型,可划分为:涉密机要专网、电子政务专网和电子政务外网。电子政务外网是为市民提供政务公开信息和网上服务场所的媒体,直接同因特网连接;政务专网上运行关键的政务应用,是为公务员提供协同办公、信息传输交互和业务数据处理的网络平台;涉密机要专网与电子政务专网实行物理隔离、与政府外网实行物理隔离。
2安全建设内容
为了保障政府的管理和服务职能的有效实现,需要为电子政务网络建立完善的信息安全体系,选择符合国家信息安全主管部门认证的安全技术和产品,在电子政务系统的建设中实施信息安全工程,保证电子政务三大网络的安全。电子政务安全保障体系包括:建立信息系统安全管理体系、网络安全技术和运行体系、系统安全服务体系、安全风险管理体系。
3安全管理体系
安全不是一个目标,而应该作为一个过程去考虑、设计、实现、执行。只有通过建立科学、严密的安全管理体系,不断完善管理行为,形成一个动态的安全过程,才能为电子政务网络提供制度上的保证,它包括:安全方针、安全组织、资产分类与控制、人员安全、物理与环境的安全、通信与运行的管理操作过程与职责、访问控制、系统开发与维护、业务连续性管理、遵循性与法律要求的一致性。
4技术和运行
一个信息系统的信息安全保障体系包括人、技术和运行三部分,其中技术体系包括保卫主机与应用系统、保卫边界、保卫网络和基础设施以及支持性基础设施等部分。
4.1局域网主机与应用系统安全
局域网主机与应用系统的安全性比较复杂,数据的计算、交换、存储和调用都是在局域网中进行的,黑客和不法分子常使用的破坏行为就是攻击局域网。局域网环境保护所关注的问题是:在用户进入、离开或驻留于用户终端与服务器的情况下,采用信息保障技术保护其信息的可用性、完整性与机密性。
4.1.1主机防护
主机保护与监控系统用于保护电子政务内部局域网用户的主机,针对连接到Internet上的个人主机易受外部黑客和内部成员攻击的特性,提供对个人主机操作(文件、注册表、网络通讯、拨号网络等方面)的实时监测,有效保障个人主机数据的完整性和真实性。
4.1.2非法外联监控
物理隔离网内经常出现私自拨号等非法上网行为,导致物理隔离措施形同虚设,泄密、非法入侵事件时有发生。就需要拨号监控系统可以实时地对这些行为进行监控与报警,并记录操作者的主机名、主机Ip以及拨号时间。
4.2边界安全
保卫边界的目的就是要对流入、流出边界的数据流进行有效的控制和监督,包括基于网络的入侵检测系统、脆弱性扫描器、局域网上的病毒检测器等。综合应用以构成完整的动态防御体系,从而对边界内的各类系统提供保护。
4.2.1入侵检测
网络入侵检测系统位于有敏感数据需要保护的网络上,通过实时侦听网络数据流,寻找网络违规模式和未授权的网络访问。当发现网络违规行为和未授权的网络访问时,网络监控系统能够根据系统安全策略做出反应,包括实时报警、事件登录,或执行用户自定义的安全策略等。网络监控系统可以部署在网络中存在安全风险的地方。天阗黑客入侵检测与预警系统是启明星辰信息技术公司自行研制开发的入侵检测系统,通过了公安部、人民解放军、国家保密局、中国信息安全产品测评认证中心的权威评测。产品包括基本型、多级分布型、大规模高速千兆型、主机(ForSolairs,ForWIN,ForAIX)六种适用于不同网络环境的系统。
4.2.2脆弱性检查
网络漏洞扫描系统能够测试和评价系统的安全性,并及时发现安全漏洞,包括网络模拟攻击,漏洞检测,报告服务进程,提取对象信息,以及评测风险,提供安全建议和改进措施等功能,帮助用户控制可能发生的安全事件,发现安全隐患。
4.2.3网络防毒
网络防病毒系统加强对服务器进行保护,提供对病毒的检测、清除、免疫和对抗能力。在客户端的主机也安装防病毒软件,将病毒在本地清除而不至于扩散到其他主机或服务器。再加上防病毒制度与措施,就构成了一套完整的防病毒体系。
4.3网络与网络基础设施安全
电子政务系统,广域网络以及为其提供支撑的相关基础设施必须受到更深层次的保护。保卫电子政务系统和基础设施的总的策略是,使用安全性较高的专线和密码技术来传输系统网络节点之间的机密数据,加密方式采用国家相关部门批准的算法。
4.4支撑基础设施
4.4.1应急响应
设立安全应急小组目的在于:对于网络中的突发事件能够及时地响应;减少业务停顿的时间;避免非法入侵对数据破坏;避免主页被黑造成影响;对于已经破坏的数据采取相应的技术手段进行恢复;通过培训提高人员对突发事件的处理能力;追踪非法入侵人员。
4.4.2灾难恢复
灾难恢复是在发生计算机系统灾难后,可利用在本地或远离灾难现场的地方的备份系统重新组织系统运行和恢复业务的过程。灾难恢复的目标是:保护数据的完整性,使电子政务数据损失最少、甚至没有数据损失;快速恢复工作,使业务停顿时间最短,甚至不中断业务。
4.4.3系统备份
建立备份系统的主要目标:避免由于各种情况造成的网络、数据、系统的不可用给网络中运行的业务造成影响,一旦灾难发生,可以通过该系统为网络的恢复提供有力的保证。备份措施要保证主要线路、关键设备、重要数据、重要系统等
第二篇:电子政务系统建设方案
为加快我县电子政务建设进程,促进政府转变职能,提高工作效率,增强政府监管和服务能力,结合我县实际,制定本方案。
一、电子政务建设的指导思想和建设原则、目标
(一)指导思想。
以邓小平理论和“三个代表”重要思想为指导,全面贯彻落实科学发展观,加快推进电子政务建设,发挥电子政务在促进政府效能建设、改进为民服务、建设和谐社会中的积极作用。通过推进电子政务,推行网上为民办事和普及党政机关文档电子化,通过推进电子政务,提高政府及部门的办事效率和管理水平,提高服务社会能力,促进政务公开和廉政建设;改善招商环境,扩大吸引外资,促进我县经济社会又好又快发展。
(二)建设原则。
以实用为主,以应用促发展;统一规划,政府主导;统一平台,联合建设;互联互通,资源共享;统一标准,保障安全;突出重点,分步实施。
(三)工作目标。
以《安徽省“十一五”电子政务建设发展规划》为指导,到20xx年,全县电子政务系统框架基本形成。通过统一的电子政务网络交换平台,推进政府机关内部办公自动化、公文交换无纸化、管理决策网络化、公共服务电子化,实现政务工作全面信息化。建成连接各乡镇及县直各部门、各单位的信息网络系统;建立政府电子信息资源库,实现信息充分共享和广泛使用;建立政府辅助决策和指挥调度系统,提高政府决策和应变能力;初步建立信息安全保障体系,在网上提供方便、快捷、透明的“一站式”政务服务。
二、电子政务系统建设规划
电子政务网络包括对外服务的政务外网、党政内部办公的政务内网,在政务内网之间进行数据交换、信息共享和业务协同(网络拓扑图见附件)。
政务外网:在互联网上建立公共行政部门统一的门户网站,为各公共行政部门政务公开、网上办事、对外宣传交流提供平台。政务内网:建立党政职能部门内部办公自动化系统,运用先进的数据交换、共享、采集、发布手段,使得各部门在同一平台上开展业务。通过政务内网为党政机关日常电子化办公提供服务,实现包括公文收发、会议管理、人员管理、项目管理、资产管理、档案管理等政务活动电子化。
政务内网与政务外网之间进行隔离,保证政务数据资源及应用的安全性。
三、电子政务建设的重点任务
(一)完善电子政务网络平台,提升电子政务基础设施水平。
根据《国家电子政务网络建设意见》及《国家电子政务总体框架》的要求,充分利用现有资源,用2年的时间建立基本满足政府机关业务应用需要的电子政务网络,为对接国家、省、市政务骨干网络以及其它电子政务网络提供条件。
20xx年5月底,完成光纤线路铺设、硬件安装调试,各乡镇及县直各单位通过专线与县政府网络中心连通,各信息终端通过网络中心防火墙联接国际互联网,各单位通过省电子政务专网与上级实现业务联系;建立全县电子邮件系统。
20xx年下半年,启动党政办公自动化系统,年底前实现网上公文收发、会议管理、信息发布、视频会议等功能。
20xx年上半年,实现各乡镇站所通过专网与上级业务联系。20xx年底,在全县各村委会建立信息收集和发布点,通过专线或拨号方式与本镇内网相连,初步建立起县、镇(乡)、村三级信息网络。
(二)加强政府门户网站服务体系建设,大力提高政府行政效能。
1、县政府公众网站。对政府门户网站进行完善和改进,使政府门户网站内容丰富、更新及时、富有特色。根据企业、居民办事的特点和需求,设立简便明了的办事指南和服务栏目,建立表格处理数据服务中心,开发网上联合审批办事系统。逐步增设在线受理,在线服务功能。
适应建设社会主义新农村的要求,做好农村信息化工作,办好为“三农”服务的特色栏目,为农民提供涉农政策、科技知识、气象、农产品市场信息等方面的服务。
2、各乡镇政府,县政府各部门、各单位要逐步在县政府网站上建立二级网站,介绍本单位行政服务职能、办公业务流程等政务公开内容。积极推行网上审批、网上办事等,切实提高办事效率。要确定专人负责,制定网站的日常管理制度和责任目标,建立网站的内容保障工作机制。20xx上半年,建设完善好招商引资网、农业信息网、太和信息港等推介太和的特色网站。具体工作由县信息化领导小组办公室会同有关职能部门共同承担。
(三)推进党政机关办公业务上网,促进应用系统建设。积极推进各单位业务办理在网上运行,加大信息系统开发应用力度。逐步建立党政主要管理部门的纵向业务网络系统。党政部门要利用县电子政务网络平台,建设各系统的纵向业务网。对各单位已建立的纵向业务系统进行梳理、完善,逐步统一到县电子政务网络上来。建立党政部门视频会议资源共享系统和服务平台。利用县电子政务网资源,建设党政部门专网视频会议服务系统,逐步实现各类工作会议用网络视频会议方式召开。
建立全县党政部门专用短信服务系统,逐步实现会议通知、情况通报、突发事件指挥等信息通过短信平台快捷、方便发布。
(四)建设“三库一中心”,实现政务信息资源共享。按照国家电子政务总体框架中信息资源采集、更新、共享的要求,从信息资源开发的现有基础出发,逐步建设完善“三库一中心”,全面推进信息资源开发和共享。“三库”是基础数据资料库、党政办公业务文档库、共享信息资源库;“一中心”是公益性信息资源交换服务中心。
(五)建立安全可靠、经济实用的电子政务安全体系。
以安全可靠、经济实用为原则,逐步建立起全县电子政务安全保障体系,重点做好政府门户网站、电子政务内外网络、数据库等三个方面的安全保障,保护政务信息资源不受侵犯。
1、保障政府门户网站安全。一是应用安全技术,确保政府网站网页的不可更改性。二是确保政府网站上公开的政务信息准确性。对发布的信息进行程序限定,限制带有某些不良词汇的信息发布,建立信息发布和审核制度,对在政府网站发布信息的单位及个人进行登记注册。三是各政府门户网站与互联网等要采取逻辑隔离。四是政府门户网站的业务处理和服务内容,采用身份认证技术来解决应用安全性。
2、数据资料安全维护。对全县电子政务网络的数据备份容灾系统统一规划、集中建设、资源共享。要根据实际需要配备备份服务器,实现本地同步备份。
3、逐步建立电子政务安全防护体系。建立网络病毒防治服务体系。全县电子政务网络采用网络防病毒系统,并与单机防病毒软件相结合,构建完整的防病毒体系。建立数据备份和容灾体系。党政各部门对本单位的关键数据必须备份。
四、电子政务建设保障措施
(一)提高认识,加强领导,做好规划。
电子政务建设,要在县信息化领导小组的指导下,统一部署,稳步推进。各乡镇、县直各单位要根据本方案的要求,制订好本部门、本单位的电子政务网络建设实施方案,明确责任,狠抓落实。
(二)统一平台,统一软件,稳步推进我县电子政务建设。
电子政务建设要从实际出发,逐步规范业务流程。各乡镇、县直各单位已建成内网的,要主动与县政府网络中心衔接,做好与县电子政务网络平台互联互通。实行全县统一的办公自动化系统,各单位除业务系统外,不得自行开发办公软件,避免重复浪费。各党政部门凡构建跨单位和本系统的网络,都要尽可能依托县电子政务网络,不得自行铺设独立线路和组成传输骨干网。对业务量大,行业和部门管理系统要求高的单位采用虚拟专网技术在县电子政务网上建立专用通道和虚拟专网。
(三)统一技术标准,加强信息安全。
为共享信息资源,实现互联互通,各乡镇、各部门和县直各单位在进行网络建设时遵循国家制定的电子政务相关技术规范;网络建设要注意统一标准,充分考虑网络安全,加强日常安全管理和监控工作。
(四)加强人才队伍建设,增强电子政务建设的核心能力。按电子政务技术和管理的特点,建立多层次的人才队伍。要按照国家有关公务员信息技术和电子政务培训要求,加强对公务员信息管理、信息使用能力的培训,提高公务员队伍的信息化和电子政务技能。
(五)多渠道筹措资金,保障电子政务的建设和运行。
电子政务建设资金采取以政府投入为主,多渠道筹措资金的办法,确保建设资金投入。本期县电子政务专网建设新增设施由电信公司太和分公司投资购置,然后由县政府办公室负责统一租用。财政拨款单位电路租用费由县财政按月打包支付;条管单位电路租用费按电信部门规定的标准按月缴纳。
各乡镇、县直各单位网络接入设备的购置资金由各单位自行负责(指光纤转换设备以外的设备,如交换机、电脑及其他设备等)
第三篇:电子政务系统运行方案
关于市级电子政务系统运行工作的实施方案
为进一步加快全市国土资源信息化建设步伐,推进电子政务工作的有序运行,改善机关政务工作环境,不断提高行政工作效率和服务质量,特制定本实施方案。
一、指导思想
全面推行电子政务工作,是贯彻落实省厅、市政府关于提高行政效率,优化发展环境要求的具体体现,目的是规范国土资源行政职责的行使,建立良好的公文批阅运行机制,建立公平、公开、公正、透明的行政审批事项运行机制,实现行政审批事项的网上审批、统计、查询、汇总,并逐步实现网上申报网上交互式办公,全面提高公文办理质量和行政审批效率,建设“高效、阳光、廉政”的行政管理机关。
二、基本原则
(一)依规运行。严格按照工作岗位职责、工作制度、廉政建设制度及相关的法律法规实施。
(二)有序推进。从实际出发,区分不同部门、不同业务、不同人员的特点,坚持全系统培训与个别培训相结合,并分步实施,积极稳妥有序推进。
(三)勇于创新。坚持解放思想、实事求是,从工作实际出发,认真研究和改革现有工作流程,提高工作效率,实现行政办公的科学化、人性化。
三、实施步骤
运行电子政务系统,按照统筹协调,分步实施,稳步推进的原则实施,即先在市局运行,运行成熟后推广到县区局实施;运行电子政务又按先公文,后业务的顺序实施;每部分工作又分为调试运行、双轨制运行和正式运行三个阶段进行。
(一)调试运行阶段
主要任务是认真检查测试,优化环境,做好每个阶段运行前的准备工作。一是对涉及电子政务系统使用的硬软件设备进行认真全面检查调试。二是接入政务内网的电脑安装杀毒软件,进行全面杀毒,确保系统运行安全。三是印制各项业务审批流程图和“操作手册”,满足试运行工作的需要。四是由信息中心统一安排,负责对电子政务系统进行培训,在运行每个子系统前做好培训工作,使各岗人员基本掌握电子政务各项功能的使用方法。五是典型业务流程测试。对网上运行各个环节进行测试,进一步检查系统运行的可靠性,及时处理存在的问题。通过安全测试,精心准备,最后达到设备配备齐全、岗位职责明确、管理关系清楚、操作电脑熟练的系统运行要求。
时间要求:
(二)双轨制运行阶段
主要任务是在完成第一阶段工作的基础上,对所有网上办公业务审批实行网上和纸质两种方式操作运行。纸质申请按照原审批方式操作运行,网上审批按照电子政务网上运行的要求操作,局领导在网上签批的同时,再在纸质件上签批,最后使网上和纸质两种审批同时完成,并对运行过程中发现的新问题及时研究解决。
时间要求:
1、公文及综合办公
2、业务审批
(三)正式运行阶段
主要任务是在结束第二阶段工作,所有工作人员基本掌握了电子政务系统的操作流程后,转入正式运行阶段,所有公文、审批业务的办理一律实行网上签批,实现无纸化办公。
同时把以前和需要更新的各类数据导入到电子政务数据库中,并将此项工作作为日常工作,变动一项更新一项,最终实现政务系统的“成乡一体化”和“一张图”工作成果,形成秦皇岛市“一张图”国土资源数据中心,结合土地利用“批、供、用、补、查”,为政务审批、宏观决策、批后监管、综合执法等提供数据共享和信息服务。
时间要求:
1、公文及综合办公
2、业务审批
3、以前数据库录入及更新工作
四、保障措施
(一)加强领导,落实责任。市局成立信息化工作领导小组,由局长任组长,其他班子成员任副组长,各科室和局属事业单位负责人为成员,负责组织领导工作。领导小组下设办公室,负责组织协调与指导工作。
(二)统一思想,提高认识。全面推进电子政务运行是推进信息化建设过程中的重要工作,通过电子政务的运行,能够提高全系统干部职工的信息化工作水平,打造国土系统“阳光政务”的工作形象。全局干部职工要把电子政务系统运行作为当前的重要工作任务,熟练掌握电子政务的功能操作,尽快适应网上办公的管理模式。
(三)完善制度,规范管理。建立健全电子政务系统运行管理、督办等工作制度,明确职责,使各个工作节点紧密衔接,真正提高办公效率。
第四篇:电子政务及其信息安全
摘要
电子政务是全面提升政府机构管理与服务水平的重要技术手段,电子政务的信息安全问题已成为各国政府普遍关注和研究的重要问题。电子政务作为信息网络的一个特殊应用领域,运行着大量需要保护的数据和信息,相对于企业信息化和电子商务,具有自身特殊性:一是信息内容的高保密性、高敏感度;二是电子政务发挥行政监督力度;三是利用网络环境为社会提供公共服务。如果系统的安全性被破坏,造成敏感信息暴露、丢失或网络被攻击等安全事件,产生的后果将波及地区甚至整个国家,电子政务信息系统也必然会成为信息间谍、敌对势力、恐怖集团、国家之间信息战攻击的目标。因此,电子政务信息安全事关国家政治、经济、国防安全和民族信息产业发展全局,缺乏安全保障的电子政务信息系统,不可能实现真正意义上的电子政务。
关键词:电子政务;信息安全;保障;体系
英
文
摘要
E-government is the important technical means that comprehensively enhance the government institutions management and service level, the security question of e-government information has already become the general attention and research important problem of governments.E-government information network as a special application domain, operating with large need protection of data and information that relative to the enterprise information and electronic commerce, has its own particularity: First, it is the information content of high confidentiality, high sensitivity;Second, E-government display administration supervision, Third, it uses network environment for the society providing public services.If the security of the system is destroyed, sensitive information exposure, lost or network by attack security incident, the consequences will affected regions and even the whole country, e-government information system also will become the target of information spy, hostilities, terrorist group, or two hostile countries
.Therefore, e-government information security is a matter
of national political, economic and national defense security and national information industry development, so the lack of security of e-government information systems could not achieve real sense of e-government.Keywords: e-government, Information security;Safeguard;system.目录
摘要
.........................................................I I 1
电子政务信息安全四大体系
...................................1 1.1
安全管理体系............................................1 1.2
预警检测体系............................................2 1.3
安全防护体系............................................3 1.4
响应恢复体系............................................4 2
电子政务信息安全的现状及表现
...............................4 2.1
电子政务信息安全的现状..................................4 2.2
电子政务信息安全的目标..................................5 2.2.1 可用性目标...........................................5 2.2.2 完整性目标...........................................6 2.2.3 保密性目标...........................................6 2.2.4 可记账性目标.........................................6 2.2.5 保障性目标...........................................6 3
电子政务中信息安全的几个基本问题
...........................7 3.1 电子政务.................................................7 3.2
信息安全.................................................7 3.3
电子政务中的信息安全....................................7 3.4
信息安全在国家安全中的地位...............................8 3.5
网络技术的问题..........................................9 3.5.1
网络信息安全问题....................................9 3.5.2 网络对人的情感问题...................................9 3.5.3 政府自身的问题......................................10 3.5.4 电子政务信息化建设应用当中的信息安全隐患............11
电子政务信息安全解决方案
...................................4.1 网络安全问题的应对方法..................................15 4.1.1 加强对公务员的安全技术教育,树立网络安全观念.........15 4.1.2 改变信息安全管理依靠传统的管理方法和手段的模式,实现现代的系统管理技术手段........................................16 4.1.3 鼓励民族信息技术产业的发展,解决好技术的先进性与自主性的关系......................................................16 4.1.4 关于网络对人的情感及价值忽略问题的应对方法...........17 4.2 政府自身问题的应对方法..................................18 4.2.1 提高公务员素质.......................................18 4.2.2 制定发展规划,明确阶段目标,避免重复建设作为政务活动和信息技术的结合点............................................18 5
我国电子政务中信息安全及相关法律保护
......................5.1 电子政务中信息安全的几个基本问题........................19 5.2
政府信息安全的保护......................................22 5.3
我国电子政务中信息安全的保护对策........................24 5.3.1 尽快建立我国信息安全的保护体系.......................24 5.3.2 进一步完善我国信息安全保障的法律体系.................26 6
结束语
....................................................电子政务及其信息安全
前言
随着全球政治经济一体化的日益明显,以电子政务为代表的政府管理服务职能的电子化、自动化、无纸化,目前正在一些国家尤其是发达国家中快速发展。在世界各国积极倡导的“信息高速公路”的五个应用领域中,“电子政务”被列为第一位,因此可以说政府信息化是社会信息化的先导,电子政务是信息化社会发展的必然。
电子政务信息安全四大体系
电子政务的信息安全建设是在适当的信息安全保障体系和框架指导下进行的一项系统工程。这项工程包括密切关联的四大体系:安全管理体系、预警检测体系、安全防护体系和响应恢复体系,其中,安全管理体系是整个信息安全保障体系中最核心的组成部分,是贯穿其他三个体系的主线。
1.1
安全管理体系
安全管理体系的建立要遵循以下原则:符合法律、法规、标准;符合组织使命;符合组织利益。
建立健全安全管理体系,最重要的是针对电子政务的现有情况制定统一的行政管理制度,在整个网络系统中贯彻执行。当然,根据当地网络的实际情况和具体网络应用的不同,适当作出调整,可以比较好地保证安全策略的统一性、一致性和可管理性。
1.2
预警检测体系
预警检测体系包括入侵检测、漏洞检测、外联和接入检测、补丁管理等。
入侵检测系统是目前最为主要的一个广泛应用的技术和管理手段。利用网络入侵检测系统,可以了解网络的运行状况和发生的安全事件,并根据安全事件来调整安全策略和防护手段,同时改进实时响应和事后恢复的有效性,为定期的安全评估和分析提供依据,从而提高网络安全的整体水平。
电子政务信息网络需要部署漏洞检测系统。漏洞检测系统一般包括漏洞扫描引擎、控制中心、报表和显示中心及管理控制台 4 个功能组件。
在电子政务的网络系统内,防火墙等安全手段往往被一些违反安全策略的行为所破坏,包括 MODEM 拨号、双网卡或无线上网等各种方式接入互联网。这些违反规定的非法外联行为使电子政务网络系统内的个人计算机毫无防范地接入 Internet,在用户无意识的情况下,一些机密信息(包括机器和网络的所有配置信息以及数据文件)可能泄漏,由此危害整个电子政务网络的安全。
非法外联监控技术就是为了防范上述两类安全问题而设计的,它对内部人员的非法外联行为进行实时监控,对物理隔离措施或安全限制规定进行有效性检查。
补丁管理应该纳入组织的安全体系。补丁管理的意义已经超出了传统
的安全领域,成为维护企业信息系统正常操作所必须具备的措施。电子政务需要部署补丁管理系统,补丁可以被存储在本地网络以确保它们的更高可读性和加速分发。
1.3
安全防护体系
安全防护体系包括防火墙、身份鉴别与认证、系统访问控制、网络审计等内容。
防火墙就是运行于软件和硬件上的、安装在特定网络边界的、实施网间访问控制的一组组件的集合。它在内部网络与外部网络之间形成一道安全保护屏障,防止非法用户访问内部网络上的资源和非法向外传递内部信息。
身份鉴别与认证是系统的第一道安全屏障,也是实施访问控制的基础,具有十分重要的作用。因此,身份鉴别与认证机制的强度如何,将直接关系到整个系统的安全度,口令与令牌相结合的身份验证方式可以为大多数的场合提供足够的安全性。
访问控制包括自主访问控制和强制访问控制两种,其中强制访问控制具有更高的安全性,建议采用。强制访问控制给每个客体和主体分配了不同的安全属性,而且这些安全属性不像 ACL 那样容易被修改,系统通过比较主体和客体的安全属性才决定主体对客体的操作可行性。强制访问控制可以防范特洛伊木马和用户滥用权限,具有更高的安全性。
来自网络的安全威胁日益增多,很多威胁并不是以网络入侵的形式进
行的,这些威胁事件多数来自内部合法用户的误操作或恶意操作,仅靠系统自身的日志功能并不能满足对这些网络安全事件的审计要求。使用网络审计系统,记录网络中发生的违规行为,完整地记录各种信息的起始地址和使用者,将有利于事后追踪,为调查取证提供第一手资料。
1.4
响应恢复体系
响应恢复体系包括应急响应和业务连续性计划两个方面。
电子政务信息系统已经成为电子政务业务的支撑平台。安全策略中必须具备应急响应手段,保证电子政务发生安全事故后,能够及时作出有效响应,采取合适的应急措施处理事故。
安全事件预警与应急响应体系主要针对危及电子政务信息系统安全的重大事件进行检测、预警、抑制、根除,并从事件的影响中尽快恢复,以确保电子政务信息系统的业务连续性。
业务连续性计划(BCP)是与信息安全相关、但与业务关系非常紧密的一项内容。因此,电子政务的业务连续性计划必须以电子政务的业务为中心,综合考虑。
电子政务信息安全的现状及表现 2.1
电子政务信息安全的现状 电子政务中政府信息安全实质是由于计算机信息系统作为国家政务的载体和工具,而引发的信息安全。信息安全成为当前政府信息化中的关键
问题。安全问题是电子政务建设中的重中之重。电子政务中的政府信息安全是国家安全的重要内容,是保障国家信息安全所不可忽缺的组成部分。
信息安全涉及到政治、经济、军事、文化等方方面面,由于互联网发展在地域上极不平衡,信息强国对于信息弱国已经形成了战略上的“信息位势差”,居于信息低位势的国家的政治安全、经济安全、军事安全乃至民族文化传统都将面临前所未有的冲击、挑战和威胁,互联网成为超级大国谋求跨世纪战略优势的工具。“信息疆域”不是以传统的地缘、领土、领空、领海来划分,而是以带有政治影响力的信息辐射空间来划分。“信息疆域”的大小、“信息边界”的安全,关系到一个民族、一个国家在信息时代的兴衰存亡。在知识经济时代,一个国家的信息获取能力以及在社会生产生活领域中的“信息制控权”,将成为这个国家在新世纪的生存与发展竞争中能否占据主动的关键。
2.2
电子政务信息安全的目标 信息系统信息安全的宗旨是通过在实现信息系统时充分考虑到自身、伙伴和客户的信息风险,确保组织能够完成它的全部使命和目标。进而言之,电子政务系统信息安全的宗旨就是通过在实现信息系统时充分考虑信息风险,从而确保一个政府部门能够有效地完成法律所赋予的政府职能。电子政务信息安全必须实现以下目标:
2.2.1 可用性目标
可用性目标是指确保电子政务系统有效率地运转并使授权用户得到所
需信息服务。通常,可用性目标是电子政务系统的首要信息安全目标。
2.2.2 完整性目标
完整性目标包括两个方面:数据完整性和系统完整性。通常,完整性目标是电子政务系统除了可用性目标之外最重要的信息安全目标。
2.2.3 保密性目标
保密性目标是指不向非授权个人和部门暴露私有或者保密信息。通常,对于大多数电子政务系统而言,保密性目标在信息安全的重要程度排序中仅次于可用性目标和完整性目标。然而,对于某些特定的电子政务系统和数据,保密性目标是最重要的信息安全目标。
2.2.4 可记账性目标
可记账性目标是指电子政务系统能够如实记录一个实体的全部行为。通常,可记账性目标是政府部门的一种策略需求。可记账性目标可以为拒绝否认、威慑违规、隔离故障、检测和防止入侵、事后恢复和法律诉讼提供支持。
2.2.5 保障性目标
保障性是电子政务系统信息安全的信任基。保障性目标突出了这样的事实:对于希望做到安全的信息系统而言,不仅需要提供预期的功能,而且需要保证不会发生非预期的行为。具体而言,保障性目标是指:提供并正确实现需要的电子政务功能;在用户或者软件无意中出现差错时,提供充分保护;在遭受恶意的系统穿透或者旁路时,提供充足防护。
电子政务中信息安全的几个基本问题
3.1 电子政务 电子政务是政府在国民经济和社会信息化的背景下,以提高政府办公效率,改善决策和投资环境为目标,将政府的信息发布、管理、服务、沟通功能向互联网上迁移的系统解决方案。同时也提供了结合政府管理流程再造,构建和优化政府内部管理系统、决策支持系统、办公自动化系统,为政府信息管理、服务水平的提高提供强大的技术和咨询支持。
3.2 信息安全 信息安全是指保证信息系统中的数据在存取、处理、传输和服务过程中的保密性、完整性和可用性,以及信息系统本身能连续、可靠、正常地运行,并且在遭到破坏后还能迅速恢复正常使用的安全。
3.3
电子政务中的信息安全 电子政务中的信息安全包括了信息的机密性、完整性、可信性、可控性、不可否认性等。我国立法把信息安全界定为“保障计算机及其相关的和配套的设备、设施(网络)的安全,运行环境的安全,保障信息安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全”。从这一法律规定看,计算机信息系统安全应当包括实体安全、信息安全、运行安全和人的安全。其中,人的安全主要是指计算机使用人员的安全意识、法律意识、安全技能等;实体安全是指保护计算机设备、设施(含网络)以及其他媒体免遭自然和人为破坏的措施、过程。实体安全包括环境安全、设备安全和
媒体安全三个方面;计算机信息系统的运行安全包括:系统风险管理、审计跟踪、备份与恢复、应急四个方面的内容。所谓计算机信息系统的信息安全是指防止信息被故意的或偶然的非法授权泄漏、更改、破坏或使信息被非法系统辨识、控制,即确保信息的保密性、完整性、可用性、可控性。针对计算机信息系统中信息存在形式和运行特点,信息安全包括操作系统安全、数据库安全、网络安全、病毒保护、访问控制、加密与鉴别七个方面。
3.4 信息安全在国家安全中的地位 电子政务中政府信息安全实质是由于计算机信息系统作为国家政务的载体和工具,而引发的信息安全。信息安全成为当前政府信息化中的关键问题。安全问题是电子政务建设中的重中之重。电子政务中的政府信息安全是国家安全的重要内容,是保障国家信息安全所不可忽缺的组成部分。
信息安全涉及到政治、经济、军事、文化等方方面面,由于互联网发展在地域上极不平衡,信息强国对于信息弱国已经形成了战略上的“信息位势差”,居于信息低位势的国家的政治安全、经济安全、军事安全乃至民族文化传统都将面临前所未有的冲击、挑战和威胁,互联网成为超级大国谋求跨世纪战略优势的工具。“信息疆域”不是以传统的地缘、领土、领空、领海来划分,而是以带有政治影响力的信息辐射空间来划分。“信息疆域”的大小、“信息边界”的安全,关系到一个民族、一个国家在信息时代的兴衰存亡。在知识经济时代,一个国家的信息获取能力以及在社会生产生活
领域中的“信息制控权”,将成为这个国家在新世纪的生存与发展竞争中能否占据主动的关键。
3.5
网络技术的问题 3.5.1
网络信息安全问题 目前对信息安全构成威胁的既有自然因素也有人为因素,主要有火灾等自然灾害、硬件故障、严重误操作、数据泄露、盗用、伪造、假冒、故意对数据或程序破坏、病毒、错误指向、黑客、特洛伊木马、搭线窃听等。掌握了一定技术的人可以轻易获取网络服务器上的用户账号信息和文件。并可进入系统修改删除重要数据文件。一旦电子政务系统被非法侵入和破坏它将不能正常工作甚至全部瘫痪。如果系统的安全性被破坏。造成敏感信息暴露或丢失,或网络被攻击等安全事件。那么产生的后果必然波及地区和整个国家的安全,这种破坏将会给国家带来重大损失。一旦网络受到攻击,不能正常工作,甚至全部瘫痪时,整个社会将陷入危机。国家机密难保,致使某些部门不敢使用互联网。
3.5.2 网络对人的情感问题 电子政务的一大特点是虚拟性,这是由互联网的特点所决定的。政府工作人员在进行电子政务的活动中,往往会使人际关系淡化,政府工作人员和公众似乎面对的只是电脑,而常常忘记他们也是和人进行交往。例如时下兴起的在城市公共场所安装的“电子眼”监控系统,虽然在一定程度上改善了城市交通,降低了犯罪率,但这种“倒洗脚水也将孩子一块儿泼
出”的做法也对公民的隐私权和其他方面的权利造成了严重侵犯,其对人性化和人本管理的背离也是显而易见的。
3.5.3 政府自身的问题(1)
公务员及官员素质有待提高 大部分政府官员和公务员对信息技术、网络技术和计算机技术还未接触或接触不多,所以对高新信息技术应用方面的能力也比较欠缺,整体素质与电子政务建设要求也还有很大的距离,对电子政务建设就缺乏应有的积极态度。
从公务员的文化水平来看,经过 1998 年的政府机构改革,国务院近1.7万名公务员中,大学本科毕业以上学历的占 65%。但地方政府 500 万公务员中,大学本科毕业以上学历的仅有 10%,约有 20%的公务员不会操作计算机。面对电子政务的潮流,许多公务员在心理上必然会恐惧害怕,产生抵触情绪,而不能从心理上积极学习,以适应政府信息化的历史潮流,结果使得很多昂贵的设置成为装点门面的饰物。
(2)
电子政务的规划和标准缺乏统一性 目前,我国电子政务的发展缺乏宏观规划,没有提出明确的发展目标。同时,条块分割的管理体制与电子政务的统一性、开放性、交互性和规模经济等自然特性产生严重冲突,各级地方政府和部门在电子政务的建设中往往各自为政,采用的标准也各不相同,业务内容单调重复,造成新的重复建设。同时,缺乏规范和标准也使得信息流通不畅,资源无法共享和信
息孤岛,影响了跨部门、跨区域共性业务的处理和政府的有效监管。
3.5.4 电子政务信息化建设应用当中的信息安全隐患(1)
身份认证和访问控制
登录到系统的人必须是相关业务人员,凡是非相关人员,系统拒绝其访问;如果系统不能识别用户的真正身份,业务是无法开展的。身份认证是实现访问控制的前提条件,通过身份认证结合应用系统的授权机制,才能提供访问控制功能;
(2)
信息传输机密性 在网络上传输的信息不能被窃取;(3)
信息传输完整性 在网络上传输的信息不能被恶意篡改;
(4)
信息传输不可抵赖性 在网上提交的请求是不允许抵赖的,同时对涉及信息安全的事件,提供事后追踪、审核及统计的手段。
2004 年 8 月 28 日 十届全国人大常委会第十一次会议表决通过了《中华人民共和国电子签名法》,将于 2005 年 4 月 1 日 起施行。该法首次赋予电子签名与纸质手写签名具有同等法律效力,并明确了电子认证服务市场的准入制度,同时保障了电子交易安全。《中华人民共和国电子签名法》的施行意味着网上通行有了 “ 身份证 ”,对“电子签名”、“数据电文”等电子文档是否具有法律效力进行了明确的规定,同时对电子认
证机构的法律地位和法律责任有了明确的界定,保证以后发生纠纷时的责任认定,并且使得电子签名的安全性、可靠性有了法律保障,有效的保护了使用者的权益。
面对 G2B 电子政务的诸多隐患,北京天威诚信电子商务服务有限公司(iTruschina)推出了基于 PKI(Public Key Infrastructure,公钥基础设施)技术的、易于实施的、完善的 G2B 电子政务安全解决方案。采用天威诚信的产品和服务,构架电子政务的 PKI/CA平台(CA :
Certification Authority,认证中心)或为客户提供证书服务,为电子政务用户发放数字证书,电子政务用户使用数字证书完成涉及到 G2B 工作的各种操作,来保证电子政务的安全。
如图所示:通过 G2B 电子政务安全解决方案,各企业、事业单位和政府机构及其下属机构申请数字证书,在各自不同的电子政务应用中使用数字证
书,可以解决 G2B 电子政务的安全需求,在不同应用系统中,如网上申报审批、政务公文流转、网上工商年检等,用户通过申请证书在进行相应电子政务操作时使用数字证书来验证进行电子政务工作的系统身份,然后提交各自证书让系统验证用户证书来判断用户的真实身份,完成用户和应用系统的双向认证;根据用户身份给予相应授权,实现访问控制,并建立安全通道;用户提交办公数据和相应保密信息时,使用用户证书对数据进行数字签名,并通过安全通道进行加密传输,达到传输数据时的机密性和完整性。
对于需要相关部门审批的数据,审批者使用代表其身份的数字证书,登陆电子政务系统,通过数字证书完成双向身份认证和访问控制,并建立安全通道;审批者通过验证申报者的数字签名,来验证申报信息的真实性和完整性;审批者对申报信息进行审核后,并签署审批意见时,也使用自己的数字证书对审批结果进行数字签名;申报者通过验证审批者的数字签名,判断审批结果的真实性和完整性。
这样,随时随地更加安全快捷的使用电子政务提供的众多服务,从而极大的提高工作效率和大大降低办公成本。
天威诚信 G2B 电子政务安全解决方案为电子政务搭建安全工作平台,加速电子政务建设发展的速度。
规范办公流程,提高工作效率,为政府部门及时完成各项工作任务实现公文无纸化传输等应用提供强有力的安全保护;
有效的保证政府各部门之间及上下级政府之间信息传递的安全性,为职能部门的决策提供及时、准确、全面、安全和不可抵赖的信息服务;
为政府外网的安全、稳定运行提供有效的保障:保证政府通过外网获得的大量决策信息和参考信息的真实性、可靠性;同时为推动政务公开、职能转变、网上互动、增加透明,树立政府“公开、廉政、高效”的良好形象提供安全可靠的网络基础;
防止公文数据泄漏,防止越权操作,提高电子政务的工作效率,满足各办公单位高效、快捷的进行政务活动的需求;
提高政务工作的透明度,提高政府部门的形象;为整个电子政务信息化建设提供安全的应用环境和推广的可靠保障。电子政务信息安全解决方案 随着计算机技术和通信技术的飞速发展,信息化的浪潮席卷全球,无论是企事业单位还是政府机构越来越多的传统事务向自动化、网络化转变。在处于经济全球化和信息化时代的中国,电子政务是提高政府管理水平和服务水平、提高国家竞争力的有力工具,更是带动全社会信息化的龙头,具有重大的意义。电子政务工程将建立一个集资源和服务于一体的电子政府个体和群体网络,其本质是资源数字化和服务网络化。随着信息技术的发展,互联网的普及,利用网络为政府部门提供更优质的服务成为当今社会的共识,借助电子政务系统的建设,达到提高政府工作效率、政府工作透明化,充分做到执政为民的目的。
由于电子政务的许多应用,如网上的申报审批、政务公文流转、网上信息统计直报、网上报税、各企业资质的网上年检等都是面向企业、政府下属机构 / 部门或政府关联机构 / 部门的应用,如下图所示:
电子 政务应用系统涉及到许多保密信息,这些信息都在不同程度上关系到政府的正常运转和在广大民众心中的地位,如果这些信息一旦失真或被内部人员、不怀好意人士、黑客和政治间谍窃取将有可能导致严重的后果。因此,采取强有力的安全措施来保障电子政务的信息安全将变得尤为重要。
4.1 网络安全问题的应对方法 4.1.1 加强对公务员的安全技术教育,树立网络安全观念。
网络的开放性在给人类的生活带来诸多方便的同时,也给社会生活的许多方面带来了很多不稳定的因素,尤其是作为社会管理者的政府,一旦其网络遭到恶意攻击,很可能给社会带来灾难性的损失。因此,加强公务员的网络安全教育和技术培训,使之树立网络安全意识,并掌握一定的网
络安全技术和技能,不仅是对公务员自身素质的一大要求,也是应对网络安全的关键。
4.1.2 改变信息安全管理依靠传统的管理方法和手段的模式,实现现代的系统管理技术手段。
国际标准 BS7799 和 ISO/IEC17799 是流行的信息安全管理体系标准。其中的管理目标为数据的保密性、完整性和可用性要求。具有自组织、自学习、自适应自修复、自生长的能力和功能。保证持续有效性。通过计划、实施、检查、措施四个阶段周而复始的循环。应用于其整体过程、其他过程及其子过程,例如信息安全风险评估或者商务持续性计划的安排等。为信息安全管理体系与质量管理体系、环境管理体系等的整合运行提供了方便在模式和方法上都兼容,成为统一的内部综合管理体系包括按照可信网络架构方法。编制信息安全解决方案。多层防范多级防护,等级保护,风险评估、重点保护。针对可能发生的事故或灾害。制定信息安全应急预案,建立新机制、规避风险、减少损失。根据相应的政策法规在网络工程数据设计、建设和验收等阶段实行同步审查,建立完善的数据备份、灾难恢复等应用,确保实时、安全、高效、可靠的运行效果。
4.1.3 鼓励民族信息技术产业的发展,解决好技术的先进性与自主性的关系。
作为一个先进复杂的系统,电子政务系统必须尽量采用先进技术和手段以提高政务运转的效率,并增强整个系统的可靠性。从目前信息技术发
展的情况来看,绝大多数的关键技术掌握在以美国为首的少数发达国家手中,在实施电子政务过程中不可避免地要采用这些国家的技术和产品,而从我国的国家和民族利益来看,又要尽量避免在关键要害部门受制于人。鉴于安全问题,在构建电子政务系统过程必须要处理好技术先进性与自主性的关系。首先,对于核心应用系统和关键政务环节,必须确保在各类实施方案中的技术自主性。其次,对于核心层外部,但又与其他外部信息系统存在一定可监控隔绝层的层次,可以尽量采用先进技术以提高系统的效率和可靠性。实际上在整个电子政务系统中,位于此层次的应用系统也是承载信息最多,工作模型和处理流程最复杂的。由于此层应用系统不直接与外部信息系统相接,并能在一定的安全监控体系中运行,因此,不必单纯从技术自主的角度考虑放弃某些先进的技术。最后,对于直接与外部信息系统相联的部分,也要针对不同情况分别加以考虑。对于其中安全监控系统,需要在其中的核心部分(如核心加密算法)确保技术自主,对于其余部分,由于所承载的信息基本都属于非关键信息,可以考虑与其他信息系统接口保持通信协议、数据格式甚至软件体系的一致性。
4.1.4 关于网络对人的情感及价值忽略问题的应对方法 解决这一问题,一是改进和普及多用途互联网电子邮件系统(MIME),使政府公务员与公众之间通过文字、声音、图象和影视进行交流与沟通,促其将信息沟通与情感交流融为一体;二是采用如专题调研、座谈讨论、听证会、新闻发布会等形式,促使政府公务员与社会公众之间进行面对面
的交流与沟通,从而消除相互之间的情感隔阂,建立政府与社会之间的相互信任机制。
4.2 政府自身问题的应对方法 4.2.1 提高公务员素质 推行任何改革,思想解放是关键。应加强对公务员的思想政治教育,使之转变观念,从而在思想上接受这场变革,进而在行动上积极应对这种变革。要加大对公务员的培训工作,使得他们掌握先进的信息技术,以适应全新的信息社会工作环境,并且要把信息技术知识与技能的考核纳入公务员综合考核范围之内。
4.2.2 制定发展规划,明确阶段目标,避免重复建设作为政务活动和信息技术的结合点 电子政务建设不单单是一个技术问题,而且涉及到政党部门的工作程序、组织结构、人事制度等方面的调整和协调。因此,国家要制定相应的发展规划,建立相应的领导机构,加强对电子政务的研究、规划和组织协调,并根据国情,制定切实可行的阶段性目标.虽然可以在电子政务的其他方面(如硬件平台应用软件的选择上)可以搞市场经济,由各厂商自由开发、公平竞争,但是在技术标准的问题上必须搞“计划经济”,由国家同一制定。技术标准确立的越早,我国的电子政务建设就越能尽早走上快车道,因此也就能尽早避免将来因标准混乱而导致的被动局面。
综上所述:信息安全对于电子政务的成败具有举足轻重的作用。电子
政务是一个系统工程,信息安全问题贯穿了电子政务系统的整个系统生命周期,我认为:在电子政务信息安全中,信息安全,三分技术、七分管理。因此,技术安全手段应当服从于和服务于管理安全手段。具体而言,技术手段只有和规章制度的有效执行相配合,才能产生信息安全效益。
我国电子政务中信息安全及相关法律保护 5.1
电子政务中信息安全的几个基本问题 信息安全的内涵:信息安全是指一个国家的社会信息化状态不受外来的威胁与侵害;一个国家的信息技术体系不受外来的威胁与侵害。电子政务中的信息安全包括了信息的机密性、完整性、可信性、可控性、不可否认性等。我国立法把信息安全界定为“保障计算机及其相关的和配套的设备、设施(网络)的安全,运行环境的安全,保障信息安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全”。从这一法律规定看,计算机信息系统安全应当包括实体安全、信息安全、运行安全和人的安全。其中,人的安全主要是指计算机使用人员的安全意识、法律意识、安全技能等;实体安全是指保护计算机设备、设施(含网络)以及其他媒体免遭自然和人为破坏的措施、过程。实体安全包括环境安全、设备安全和媒体安全三个方面;计算机信息系统的运行安全包括:系统风险管理、审计跟踪、备份与恢复、应急四个方面的内容。所谓计算机信息系统的信息安全是指防止信息被故意的或偶然的非法授权泄漏、更改、破坏或使信息被非法系统辨识、控制,即确保信息的保密性、完整性、可用性、可控性。针对计
算机信息系统中信息存在形式和运行特点,信息安全包括操作系统安全、数据库安全、网络安全、病毒保护、访问控制、加密与鉴别七个方面。
信息安全在国家安全中的地位:电子政务中政府信息安全实质是由于计算机信息系统作为国家政务的载体和工具,而引发的信息安全。信息安全成为当前政府信息化中的关键问题。安全问题是电子政务建设中的重中之重。电子政务中的政府信息安全是国家安全的重要内容,是保障国家信息安全所不可忽缺的组成部分。
信息安全涉及到政治、经济、军事、文化等方方面面,由于互联网发展在地域上极不平衡,信息强国对于信息弱国已经形成了战略上的“信息位势差”,居于信息低位势的国家的政治安全、经济安全、军事安全乃至民族文化传统都将面临前所未有的冲击、挑战和威胁,互联网成为超级大国谋求跨世纪战略优势的工具。“信息疆域”不是以传统的地缘、领土、领空、领海来划分,而是以带有政治影响力的信息辐射空间来划分。“信息疆域”的大小、“信息边界”的安全,关系到一个民族、一个国家在信息时代的兴衰存亡。在知识经济时代,一个国家的信息获取能力以及在社会生产生活领域中的“信息制控权”,将成为这个国家在新世纪的生存与发展竞争中能否占据主动的关键。
我国所面临的信息安全威胁:我国信息技术和信息产业的发展与技术先进国家相比“西强我弱”是事实,西方敌对势力利用一切机会威胁我国家安全也是事实。在意识形态领域,电子媒介成为国际意识形态斗争的主
导工具;某些西方大国利用信息及信息传输技术优势,妨碍、限制、压制和破坏其他国家对信息的自由运用,甚至利用信息把本国的价值观念、意识形态强加于别国头上,以谋求政治军事手段难以得到的霸权利益。它们利用在信息领域的主宰地位,通过互联网络上的电子邮件、电子报刊及其他信息媒体展开宣传战、心理战。政策渗透、“文化侵略”严重威胁着发展中国家的政治、科技、文化安全。在军事领域,网络泄密是军事信息安全的重要表现;军事泄密触目惊心;黑客攻击对军事信息安全的危害极大;信息战是影响军事信息安全的极端表现形式。在信息产业和经济金融领域,电脑硬件面临遏制和封锁的威胁;软件面临市场垄断和价格歧视的威胁。
同时国家为加快信息化建设的需要,大量引进国外的基础设备,对引进的信息和技术缺乏相应的有效管理和技术改造,尤其是对发达国家或跨国公司在提供关键设备中可能做手脚(如在电脑芯片中隐藏着特定的程序,有可能在某种指令下被激活,或使电脑无法启动)缺乏有效的检测和排除技术。就有可能造成花费宝贵的外汇买来安全隐患,买来不安全的后果。
我国电子政务中信息安全的现状及表现:目前我国电子政务中的政府信息安全问题突出表现在:一是我国政府信息网络安全存在严重隐患。网络非常脆弱,各种安全隐患普遍存在。掌握了一定技术的人可以轻易获取网络服务器上的用户账号信息和口令文件,并可进入系统修改、删除重要数据文件。一旦这些系统被非法侵入和破坏,将不能正常工作,甚至全部瘫痪,给国家带来重大损失。二是互联网上和针对计算机信息系统的违法
犯罪活动日益增多。近年来,金融机构内部利用计算机犯罪案件大幅度上升;在互联网上泄露国家秘密的案件屡有发生;提供境外黄色站点的错接服务,向国内用户提供色情信息。三是境内外黑客攻击破坏网络的问题十分严重。他们通常采用非法侵入重要信息系统,修改或破坏系统功能或数据等手段,造成数据丢失或系统瘫痪,给国家造成重大政治影响和经济损失。四是境内外敌对势力、敌对分子和非法组织利用互联网进行煽动、渗透、组织、联络等非法活动日趋突出。他们通过建立针对境内的反动宣传、煽动的站点,利用电子公告栏、新闻讨论等公共媒体,发表反动文章,散布反动言论,煽动反政府情绪;利用互联网进行组党结社,公开吸纳成员;利用电子邮件直接向国内用户发送反动刊物;利用电子邮件进行联络。对电子政务中的政府信息安全受侵害的方式主要包括:偷窃、分析、冒充、篡改、抵赖等。
5.2 政府信息安全的保护
一个国家的信息安全,实际是由两方面构成的。其一,为一个国家在信息安全方面采取的一系列组织措施及有关政策、法规;其二,为强有力的、切实可行的技术手段及有关技术装备。前者反映了一个国家在信息安全方面的决心、意志和战略、策略;后者反映了一个国家在信息安全方面的实力。信息技术是信息安全的前提和基础,信息安全的国家发展战略(包括信息安全法律制度),早已从一个产业问题上升为一个事关国家的社会、文化、军事等各方面的核心问题。在信息安全中其地位举足轻重,尤其作
为信息技术相对落后的我国如何调整信息安全战略,完善信息安全保障法律规范,不仅是提高信息安全保障能力的手段和方法,而且是提高信息安全技术的前提和保证。所以我国“计算机信息安全的保护主要包括两方面的内容,一是国家安全监督管理,二是计算机信息系统使用单位自身的保护措施。实施计算机信息系统保护的措施包括:安全法规、安全管理、安全技术三方面”。
信息安全是一项极其复杂的系统工程,在安全法规、安全管理、安全技术的保障措施中,安全技术是信息安全的基础;安全管理是信息安全的关键;安全法规是信息安全的保证。
采用先进可靠的安全技术是维护信息安全的有力保障。事实上,大多数安全事件和安全隐患的发生与其说是技术上的原因,不如说是管理中的缘故。我国已发生的许多计算机安全事件(包括计算机犯罪行为),技术手段并不高明,仅仅是由于钻了管理上的漏洞。管理的关键在于管好人。因为一方面各种安全措施要靠人实施,另一方面有相当多的威胁网络的行为出自系统内部人员。因此必须提高安全管理人员的素质,加强对系统内部人员和网络用户的教育和管理。
采用安全技术,加强安全管理,可以大大提高网络的安全性。为了切实贯彻执行这些安全措施,并有实施的法律依据,制定保障网络安全的法律、法规就显得尤为必要。对于已经发生的违法行为,只能依靠法律进行惩处,当然也包括一些民事行为的法律调整,这是保护网络安全的最终手
段。同时通过法律的威慑力,还可以使有犯罪意识者产生畏惧心理,达到惩一儆百的效果。法律还可以便公民了解在网络的管理和应用中什么是违法行为,而自觉地不为,从而创造一个良好的社会环境,起到保护网络安全的重要作用。所以说法律又是网络安全的第一道防线。
5.3 我国电子政务中信息安全的保护对策
针对我国信息安全的现状,结合我国电子政务的实际,当前在政府信息安全的保护方面的当务之急是:
5.3.1 尽快建立我国信息安全的保护体系(1)
迅速健全信息安全保护的组织机制 国家信息化工作领导小组是站在国家的高度,对网络信息的国家发展总体战略进行规划、设计、研究,组织、协调、配合有关部门进行立法调研,使国家在网络信息方面的立法成为一个有机的整体。但地方政府和重点保护的重要领域相应的组织机构还不健全;《中华人民共和国计算机信息系统安全保护条例》中确立了公安部主管全国计算机信息系统安全保护工作,但由于编制等原因许多地方公安机关没有成立专门的机构,警力尤其是适应计算机信息技术高速发展的警力配备不足等。最好能组建国家信息安全委员会,组织和协调国家安全、公安、保密等职能部门,在信息化建设中信息安全的分工,对国家信息安全政策统一步调、统筹规划。因此尽快健全相应的信息安全保障的组织机构是信息安全保护的组织保证。
(2)
尽快完善国家信息安全基础设施建设 我国目前信息安全基础设施的建设还处于初级阶段,需要逐步完善。当前迫切需要建立的国家信息安全基础设施建设包括:国际出入口监控中心、安全产品评测认怔中心、病毒检测和防治中心。关键网络系统灾难恢复中心、系统攻击和反攻击中心、电子保密标签监管中心、网络安全紧急处置中心、电子交易证书授权中心、密钥恢复监管中心、密钥基础设施与监管中心、信息战防御研究中心等。其中,国际出入口监控中心和安全产品评测认证中心已初步建成。安全产品评测认证中心由安全标准研究、产品安全测试、系统安全评估、认证注册部门和信息安全专家委员会组成。国家信息安全基础设施建设是信息安全技术保证。
(3)
坚定地确立信息安全产业的策略
目前就我国的信息产业无论是技术、管理还是生产规模、服务观念,都不具备力量在短时间内使国产信息产品占领国内的主要市场。但是我国必须建立起独立自主的信息安全产业。自主的信息产业或信息产品国产化是信息安全的根本。国产化不等于绝对安全,而绝对安全却需要国产化。国家可集中人力、物力和给以政策,大力发展自主的专用芯片、自主嵌入式操作系统和自主的密码技术产品等,以确保关键部门的信息系统的安全。信息安全产业的策略是信息安全的基本保证。
5.3.2 进一步完善我国信息安全保障的法律体系 虽然我国已颁布相当数量的信息安全方面的法律规范如《关于维护互联网安全的决定》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》、《商用密码管理条例》、《金融机构计算机信息系统安全保护工作暂行规定》、《计算机信息系统国际联网保密管理规定》、《计算机信息系统安全专用产品检测和销售许可证管理办法》、《计算机信息系统安全专用产品分类原则》等,但立法层次不高,现行的有关信息安全的法律规范大多只是国务院制定的行政法规或国务院部委制定的行政规章;法律规定之间不统一;立法理念和立法技术相对滞后等,因此要进一步完善我国信息安全的法律保障体系应当做到:
(1)
确立科学的信息安全法律保护理念 为了使国家的政策法律能够适应社会存在的现实和需求,需要确立起法制建设要保障和促进国家的信息化发展、法制建设为社会信息化发展提供全面服务的指导思想,修正传统的立法理念,从彻底改革国家传统的经济体制和保障机制入手,改变落后的调整方法,把信息安全法制保障的重点从单纯的“规范”、“控制”转移到首先为信息化的建设与发展“扫清障碍”上来,以规范发展达到保障发展,由保障发展实现促进发展,构筑促进国家信息化发展的社会环境,形成适于信息网络安全实际需要的法治文化。
(2)
构建完备的信息安全法律体系 信息化的社会秩序主要由三个基础层面的内容所构成,即信息社会活动的公共需求,信息社会生活的基本支柱和信息社会所特有的社会关系。信息社会活动的公共需求是往往以政府意志的形式代为表现的社会公众的共同意愿,其主要包括国家信息化建设的基本目标、发展纲领、建设规划、行动策略、工作计划等等,是指导国家信息化发展的基本内容,也是国家信息化建设的公共需求;信息社会生活的基本支柱是由信息化的技术属性所决定的、国家信息化建设赖以萌芽、生成和发展的信息技术及其应用,包括计算机技术、网络技术、通信技术、安全技术、电子商务技术等等,它是信息社会生活必不可少的基本支柱;信息社会所特有的社会关系是指在国家信息化建设的过程中,参与其中的各个主体之间由于其信息化活动而产生的各种社会关系,具体将表现为相应的法律关系,其中主要包括信息民事法律关系、信息刑事法律关系、信息经济法律关系、信息行政法律关系、信息科技法律关系以及信息社会所特有的各种法律关...
第五篇:电子政务监察系统建设工作意见
为进一步加强电子政务和电子监察系统建设,转变政府职能,提高行政效能,优化发展环境,推动科学发展,依据《市电子政务和电子监察系统建设工作实施方案》和《市人民政府关于加强和规范全市行政审批服务中心建设的实施意见》要求,结合我市电子政务电子监察系统建设情况实际,制定如下实施意见:
一、长远规划,整合资源,完善行政服务中心建设
电子政务电子监察系统的建设重点是行政审批电子监察,行政审批服务中心是整个系统建设的基础和运行的载体,起到了承接系统运行的关键作用。随着政府职能不断向服务型、法治型政府的转变,要求将更多的行政权力进行网上公开透明运行和实时监察,二期工程建设行政处罚、行政给予、行政复议等功能的拓展,审批服务中心的职能不断扩大,在原有行政审批服务中心的基础上建设综合行政服务中心成为大势所趋,因此各县区要长远规划,尽快完善行政服务中心的建设。
(一)一步到位,制定长远建设规划
各县区行政审批服务中心统一更名为行政服务中心,负责各县区电子政务和电子监察工作的建设、组织、管理工作。目前没有建设新中心的县区在原有行政审批服务中心的基础上进行升级改造,以保证电子政务电子监察系统的使用。同时制定长远规划,参照平泉县行政服务中心的建设规模,将全部行政审批、行政处罚、行政给付事项和公开招投标、政府采购、土地产权出让等需要公开透明运行的行政事项纳入行政服务中心公开运行、统一管理。
(二)完善机构设置,充分发挥监察监管作用
电子政务系统建设和电子监察系统建设与各级行政服务中心建设密不可分,当前我市电子政务电子监察系统和行政服务中心仍处于建设期间,组织协调任务很重。县级服务中心应该设立正科级机构,在领导体制上可借鉴兴隆县作法,由行政服务中心主任挂任监察局副职,加大行政服务中心及电子政务电子监察系统的建设、运行和监察监管力度。
(三)完善制度建设,确保工作顺畅运行
加强制度建设,保障行政服务中心规范运行。继续执行以下几项制度:首问首办负责制,对咨询和办事的企业、群众,要认真履行告知、领办、导办、承办、回复办理结果、跟踪负责等义务。一次告知制,一次告知申请人申请事项的办理依据、时限、程序、所需材料、相关手续等。并联审批制,对需多环节审批的事项,推行一门受理、抄报相关、信息共享、同步审查的并联审批模式,进一步提高审批效率。限时办结制,压缩审批时限,提高即时办结率,对不能当场办结的事项,必须在规定时限内办结并送达,严禁超时限许可和审批。超时默认制,对超过规定时限而没有出具办理意见的审批事项,按照超时默认的方式予以准予许可认定,法律责任由办理方承担。统一收费制,行政服务中心设立专门收费窗口,按照公布的法定项目和标准使用财政统一机打票据,由收费窗口统一代收,各窗口不得直接收取费用。同时制定电子政务和电子监察系统管理制度,电子监察绩效考核制度,行政服务网站管理制度等系统建设相关制度,规范系统管理。
二、借鉴经验,科学谋划,推进系统建设
各县区要充分借鉴兴隆县的经验,科学谋划,结合本县区实际,制定适合本县区的系统建设规划方案,在市电子政务电子监察系统建设领导小组的统一指导下,加快实施,破解系统运行中的难题,保证系统的顺畅运行。
(一)拓展大厅使用空间,设立综合受理窗口,实现审批项目应尽必进
各县区审批中心大厅使用面积大小不一,基本都高于兴隆县的大厅面积,在窗口设置上要科学编排,统一调剂,必要时可以改变原来的空间隔断,重新安排台位。对相对审批事项较少的单位,向审批中心大厅充分授权,设立综合受理窗口,指派大厅工作人员统一受理多个单位的审批事项,将受理材料统一电子化上传,经系统自动流转到本局办理,根据批准结果由大厅统一办结。
(二)增设登记验证窗口,保证流程闭环流转,杜绝体外循环现象发生
在大厅设立登记验证窗口,由大厅工作人员对每一项入厅办理的行政审批事项进行统一登记,登记后自动流转到相应委办局受理,由委办局受理窗口负责将审批材料初审后电子化上传,进入本局审批流程,局领导批准后由受理窗口负责收费和证照打印,全部办结后再由登记验证窗口统一验证,实现全部流程闭环流转,结合电子签章和统一加密证照打印技术,完全杜绝体外循环现象发生。
(三)实施统一收费管理,方便群众缴费
大厅内设立统一收费窗口,对入厅办理的全部审批事项的收费采用全市统一的机打票据,实施统一管理,使用刷卡机缴费,方便办事群众,实现票款分离。有条件的县区可以设立银行窗口,实行即时收费。
(四)采用ca认证电子签章和加密证照打印技术,实现统一证照打印管理
采用ca认证技术,为每一个审批工作人员配置用户名和专用密码,明确每个人的职责和权限,严格电子签章管理,实现真正意义的网上审批。大厅设置统一证照打印窗口,由专用打印设备对全部出证事项实现统一证照打印管理。
(五)全部审批材料电子化上传并存档,保证流程网上流转
由大厅受理窗口对全部审批原始材料通过扫描、拍照等形式实行电子存档并上传系统,保证流程网上流转,实现网上审批。各部门可根据需要增加高速扫描仪、高拍仪等相关设备,以保证网上审批。
(六)采用“一厅双网”、部分监控模式,解决垂管部门进入系统平台问题
针对垂管部门具有比较严格的本部门系统,且多数具有本部门窗口大厅,在联网技术还不成熟的情况下,采用“一厅双网”模式,在垂管部门大厅设立登记验证窗口,原则上由中心派人负责对入厅办理的全部审批事项进行统一的登记验证,将审批事项的基本信息录入系统,中间环节仍由本部门使用部门自有系统进行审批,既不影响本部门系统运行,又可对部门审批事项进行部分监控。其它分中心和本部门系统相对比较成熟的部门可参照此方法管理。
三、提高认识,加强领导,为系统建设顺利实施提供保证
各级政府要切实加强对电子政务电子监察系统建设的领导,定期听取工作汇报,指导协调各项工作,及时研究和解决行政服务中心建设与发展中遇到的困难和问题,确保系统建设工作顺利实施。
(一)加快建设速度,联通政务外网
政务外网工程是全市政务信息化的基础平台,也是电子政务电子监察系统和数字城管系统等多套政务系统的运行基础,网络不畅通严重影响系统的正常运行。联通公司是市政府通过公开招投标选定的政务外网承建单位,各县区要尽快与联通公司协商签订政务外网建设协议,加快施工进度,尽快联通政务外网,以保证审批事项的网上办理,保证系统建设的正常进行。
(二)加强队伍建设,提供人员保证
行政服务中心是实施行政权力的重要机构,随着中心建设的推进和系统功能的逐步完善,将使更多的行政权力入驻中心运行,各县区要结合实际,统筹规划,为中心建设提供人员保证。
入驻中心的各部门工作人员要选派各部门的业务骨干,熟悉本部门业务流程,具有较高的政治素质和业务素质。中心要制定完善的管理制度,建设一支强有力的行政服务队伍,参照外地经验,对入驻工作人员可优先考虑提拔重用并适当提高待遇。
各县区要对电子政务电子监察系统建设工作拟定详细规划,确定工作时间表,明确主要负责人员,将需要办理的所有工作分配到日,责任到人,限期完成,由市县纪委监察局督导此项工作,强化责任追究。
(三)筹措专项资金,提供财政保证
各县区要制定行政服务中心整体规划,确定建设方案,安排专项资金,列入财政预算,对当前审批服务中心改造提供财政支持。各部门也要对本部门的相应设备配备提供保证。
(四)精简审批流程,提高行政效率
根据市政府消减及下放后保留审批事项目录,以及体制改革涉及到的行政职能的调整,市直各部门重新审核本部门审批事项,进一步精简流程、压缩时限,对不适应网上运行的审批事项进行调整,各县区将本单位上报件与市保留事项对照,达到一一对应,差异部分与本单位上级主管部门协商解决。结合县区机构改革,于9月1日前将全部审批事项重新清理后统一上报到市监控中心。
四、创新监察,强化督导,推进电子政务工作跨越发展
电子政务系统和电子监察系统建设是运用现代科技手段从根本上创新监察方式,改革监察手段,提高监察效率,促进政务公开,源头治理腐败的重要手段,纪检监察部门要强化督查力度,保证系统功能,发挥监管作用。
(一)完善系统功能,充分发挥系统作用
通过系统试运行,结合各部门实际,通过充分的走访调研,不断发现和总结系统运行中存在的问题,进一步完善系统功能,逐步取代部门自有系统,解决二次录入的难题。逐步将电子政务电子监察系统建设成功能最全、效果最优、应用最广的办公系统和监察平台。
(二)加大监察力度,充分发挥监管作用
监察局要强化监察作用,充分发挥系统功能,变原来单独“事后监察”为“事前预警监察、事中实时监察、事后整改监察”的全方位监察,要指派专人,对全部网上审批事项进行抽查,对异常及预警事项进行重点监察,及时督办,通过电话回访、实际调查等方式直接询问办事人,核实办件实际和工作人员的态度表现,发现线索及时处理,对音视频监控系统发现的违规违纪事件,核实后在政务外网上予以公开曝光,责令相关单位限期整改,对办事人通过网上投诉和电话投诉的违规事件及时核实处理并在政务外网上通报。通过系统定期对各部门的行政行为实行绩效考核,责令考核不合格的单位限期整改,考核结果列入市委、市政府对各单位工作目标考核和党风廉政建设责任制考核的重要内容。
(三)强化宣传反馈,增强群众监督意识
系统正式运行后,要通过电视专题,报纸报道,短信平台,电视字幕广告,散发宣传单等形式进行广泛宣传,增强群众认知度,提高群众参与意识,并公开投诉举报电话,制定投诉举报奖励办法,鼓励群众勇于投诉、敢于举报,严肃处理行政服务过程中出现的违规违纪行为,充分发挥群众的监督作用。
点击咨询 