第一篇:我国电子政务信息安全管理问题研究
我国电子政务信息安全管理问题研究
作者: XXX 指导老师:XXX
内容摘要:电子政务是一种全新的政府管理方式,是一个基于网络技术的综合性业务模式。建立电子政务系统参与公众服务,必然要求这一系统必须是安全、可靠、抗灾难、可恢复的。随着电子政务信息化的不断发展,电子政务对于网络系统的依赖性越来越强,政务系统作为关系国计民生的重要部分,在安全方面尤为重要。本文就主要从我国电子政务的发展历程及面临的主要挑战,信息安全管理过程中出现的相关问题做一分析以及主要的管理措施加以论述。
关键词:电子政务 信息安全 电子政务信息安全
一、我国电子政务发展的历程,特点及主要趋势
1、我国电子政务的发展历程
电子政务的发展源于技术的进步和社会的演进,信息技术的突破性进展为政府信息化创造了条件,中国政府明确提出建设电子政务虽然只是近几年的事,但从历史沿革来看,80年代中期开始的办公自动化建设,就已经拉开了电子政务建设的帷幕。从这一时间段来划分,中国电子政务的发展大体可分为四个阶段:办公自动化阶段、“三金工程”实施阶段、“政府上网”阶段和电子政务阶段。
2、我国电子政务的特点
(1)我国电子政务整体尚处在初步发展阶段。表现为相关政策,法律法规的建设不完善,电子政务信息化建设物理硬件设施不够完善,相关技术整体上还有很大的发展空间。
(2)发展的多层次性和不平衡性。由于我国经济社会发展不平稳,中央部委、沿海发达地区和中西部地区电子政务的发展水平存在较大差距,呈现出多层次、不平衡性的特点。另外,近几年政府门户网站的发展较快,但网站内容与所能提供的服务却相对不足。
(3)电子政务领域各种“矛盾”突出。部门和地区对电子政务的投资热情与应用效果之间的反差强烈,电子政务管理沿用的固定资产投资方式已不能适应电子政务发展的需要,但相关的管理制度改革却处于相对缓慢的状态。
3、我国电子政府发展的主要趋势
(1)信息安全得到加强。从政府层面来看,电子政务安全体系框架正在研究制定,电子签名法
(1)
已经推出,信息公开等方面的法律法规的前期研究工作也在进行当中;从用户层面来看,电子政务建设的用户从规划、实施等方面都已对信息安全进行了充分考虑,并且信息安全方面的费用在整个信息化建设中所占的比例越来越大;从厂商层面来看,国内外安全厂商在整个IT行业中发展速度较快,厂商数量和厂商规模都在迅速增长。可以预计,未来几年信息安全市场将会有更进一步的发展,信息安全法律法规将会更加完善。
(2)信息中心转型步伐进一步加快。未来几年,多数信息中心将不再具体承担政府部门的信息化建设任务,而转向政府信息化规划、招投标、工程管理、工程验收等方面。因此,未来的电子政务建设市场将进一步的透明,并且由于信息中心的转型,使专门从事电子政务系统集成、方案开发的厂商有了更大的发展空间和市场。
(3)标准规范将不断完善。2002年5月,国家标准化管理委员会和国务院信息化工作办公室联合发布了《电子政务标准化指南》总则部分,与之相关的电子政务工程管理、网络建设、信息共享、支撑技术、信息安全等方面的技术要求、标准和管理规定在2003年已完成。2004年,从事系统集成、网络建设、信息安全等方面的厂商,在开发建设过程中已有法可依。
二、我国电子政务信息安全存在的问题
1、法律问题
尽管近年来我国已出台了一系列与网络信息安全相关的法律法规,并取得了一定的成绩,但这些法律法规尚未形成体系。随着信息技术的发展,信息安全问题越来越复杂,现有的信息安全法律框架已经难以适应电子政务信息化模式的发展需求。因此加快电子政务信息化的法律法规建设以成为一项非常急迫的任务。
2、技术问题
(1)网络安全规划与网络结构的不合理性。
由于信息技术发展尚不完善的众多原因,我国电子政务网络的建设在规划上经常缺少前瞻性的安全规划,如:IP 地址缺乏统一规划,广播流量可控性差,子网故障隔离性差,重要流量缺乏带宽管理和服务质量优先保证等问题显现明显。
(2)电子政务信息化建设技术人员相对缺乏,技术等素质不过硬。
我国信息化建设相对国对发达国家的信息设备和信息技术有很大的差异,技术人员培养力度也比发达国家相对来说不足,信息化核心设备严重依赖国外,对引进的技术和设备缺乏必要的信息管理和技术改造。尤其是在系统安全和安全协议的研究和应用方面与发达国家的差距很大。(3)网络技术与网络设置的不科学,造成了大量的网络安全隐患。
电子政务本身所具有的特点决定了它很容易招致来自外部或内部的各种攻击。同时,网络化政务办公导致了政府工作对网络依赖性的增强,而依赖性必然产生脆弱性,包括技术的脆弱性、社会
(2)的脆弱性、人的脆弱性等等。由于网络技术不够成熟,网络设置不够科学,目前大部分电子政务选用的系统本身存在着安全弱点或隐患,其中包括网络硬件设备的弱点、操作平台的弱点等各种安全问题。由于电子政务在很大程度上要依赖因特网,而因特网的全球性、开放性在为我们提供极大的便利的同时,也给信息安全带来了极大的威胁,这就需要我们努力的利用先进的网络技术来减少或消除这些威胁。
3、管理问题
(1)政府工作人员思想观念陈旧,安全意识淡薄。
我国电子政务建设起点低,时间短,至今仍未成熟。几十年来,政府工作人员已经习惯了手工作业,不容易适应信息化办公,对电子政务没有一个正确的认识,仍保留着陈旧的管理理念。另外,对于工作人员,在电子政务信息的安全问题上还存在不少认知盲区和制约因素。网络是新生事物,许多人一接触它就忙着用于学习、工作和娱乐等,对网络信息的安全性无暇顾及,安全意识相当淡薄,对网络信息不安全的事实认识不足。虽然政府已经采取了很多措施来提高工作人员的安全意识,但就其效果而言并不是很理想。
(2)管理体制问题突出,网络安全管理混乱,规范化的管理制度相对滞后,造成了很多管理安全漏洞。
一直以来,各级政府为了保证信息安全,只在技术上采取了相应的保障措施,却忽略了更重要的管理体制的建设,未把保障电子政务安全的“软措施”做细做实,未从管理体制上落实安全责任制,未建立完备的信息安全管理和认证机制等。这使电子政务系统存在很多管理安全漏洞,很难做到安全管理的统一协调性,一旦发生安全事件,故障定位不准,追查事故源困难,责任问题牵扯不清,从而造成事件的破坏性后果更为严重。
三、我国电子政务信息安全管理措施
1、完善管理体制,规范管理制度。
目前,我国电子政务领域并没有形成一个由上到下的统一的管理体制,这给信息安全的保障造成了很大的障碍。这就需要国家相关部门建立一个从中央到各级地方政府的统一的电子政务管理体制,上级部门主管或监督下级部门,面对问题,中央及各级下属部门协调步伐,统一解决,以防出现不同部门的各种差异和利益冲突。电子政务网络内部安全除了需要体系化的安全防御策略以外,还需要严格的、可操作性强的安全管理制度,以明确责任,增强员工对信息安全的重视程度。制度的制订要规范,要强调制度的强制性、法规约束力和可操作性。
2、提高工作人员的信息素养,强化信息安全意识。
对相关工作人员进行电子政务方面相关知识的培训,使其转变传统的思想观念,深入了解和认识电子政务,更好地融入政府的现代化办公。同时进行安全宣传教育,增强安全意识的培养和信息
(3)
安全知识的普及,提高工作人员的信息素养,保证安全管理制度的良好贯彻和执行。
3、加强电子政务的法治环境建设。
与电子政务快速发展的实践相比,我国的电子政务法制化进程明显滞后。对于我国电子政务发展中出现的各种问题,尤其是信息安全问题,国家立法机关及政府有必要以法律的形式加以解决和固化,以保证我国电子政务的健康发展。
4、加强网络核心技术研发,培养电子政务专业人才。
电子政务的发展已经成为我国现阶段社会发展的一个重要组成部分,为了减少在信息设备和信息技术方面对发达国家的依赖性,加强我国电子政务系统的安全性,可以成立专门的针对电子政务网络系统的技术研发机构,组成核心攻坚团队,及时解决我国电子政务发展过程中出现的相关问题。另外,为了保证电子政务系统的良好运行,我国还急需培养大批的电子政务专业人才,可以在高校中设立电子政务相关专业,专门培养针对政府电子政务系统使用的专业人才。
四、电子政务信息安全管理应用的主要技术
1、防火墙技术
防火墙技术在信息安全管理中显得尤为重要,是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。在当今政务公开,政府工作注重高效性情况下,将防火墙技术应用到电子政务中,对于信息安全的建设与发展都起到了不可忽视的作用。
2、VPN技术
VPN(Virtual Private Network)即虚拟专用网,是通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。通常,VPN 是对企业内部网的扩展,通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。VPN 可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。将VPN技术所涉及到数据安全连接及政府网站的扩展操作,在一定意义上起到了电子政务信息安全的管理问题。
3、PKI技术
PKI(Public Key Infrastucture)即公钥基础设施,广义上讲,它是一套安全服务的集合,运用密码学的基础理论,为网络应用提供认证、授权、加密、数字签证等安全服务。PKI技术是一个广阔的研究领域,在电子政务系统中的应用研究有着重要的实用意义,它在电子政务系统的安全性、公务员的素质、决策的科学性、行政效率等方面都有着积极的贡献。因此PKI技术在电子政务中得到人们的日益重视。许多PKI技术不断涌出,PKI对数据加密、数字签名、反否认、数字完整性以及分辨所需的密钥和认证实施了统一的集中化管理。基于PKI技术可构建安全性能很好的电子政务
(4)
应用系统。我国PKI理论的研究将走向成熟期,它的非常现实的应用前景和电子政务的发展要求完美结合,推进我国基于PKI的安全的电子政务发展。
五、结束语
随着信息化技术的日新月异,电子政务信息安全的保障显得尤为重要,同时也是一项关系多领域的综合工程,必须从技术和管理两方面入手,才能最大限度地保证电子政务信息安全。在电子政务中,要达到绝对的安全是不可能的,但是,当充分的认识到电子政务信息安全所涉及的各个方面后,从综合的角度出发,就可以找到较好的办法,尽可能的达到维护电子政务系统安全的最终目的。相信经过国家和地方各级政府部门的努力和紧密配合,在社会各方的大力帮助下,我国的电子政务信息安全隐患会降到最低,以保证电子政务实践健康快速的发展!
参考文献:
[1]赵国俊.电子政务教程[M].北京:中国人民大学出版社,2004.[2]韩文报.电子政务概论[M].北京:解放军出版社,2005.[3]刘越男,王立清.政府网站的构建与运作[M].北京:中国人民大学出版社,2004.[4]谢先江.电子政务外网安全平台建设基本问题初探[J].电子政务,2008.(5)
第二篇:电子政务信息安全和管理
电子政务信息安全和管理
一、电子政务顺利实施的核心问题
电子政务是一种全新的政府管理方式,是一个基于网络技术的综合性业务模式。建立电子政务系统参公众服务,必然要求这一系统必须是安全、可靠、抗灾难、可恢复的。计算机和计算机网络的共享、交互和快速为这种系统的建立提供了前提条件,互联网技术的迅速发展和广泛应用,又为电子政务系统不断走向开放互联提供了巨大推动力。随着电子政务信息化的不断发展,电子政务对于网络系统的依赖性越来越强,政务系统作为关系国计民生的重要部分,在安全方面尤为重要,而由于互联网的开放性和公共性带来的不安全因素,使信息安全问题成为保障电子政务顺利实施的核心问题。
二、电子政务信息安全面临的问题
电子政务网分为政务内网(涉密网)和政务外网(非涉密网),两网之间物理隔离,政务外网采取逻辑隔离与互联网联通。政府各部门大力推行的办公自动化、网络化、电子化、信息共享都以这些网络为支撑,以TCP/IPV4为传输协议,该协议为开放协议,从协议规划、服务模式、网络管理等方面均缺乏安全性设计,所以电子政务信息系统就存在着诸多的安全隐患。
1.网络安全规划的不到位,造成网络结构的不合理性。由于信息技术发展的历史原因和建设资金问题,我国电子政务网络的建设在规划上经常缺少前瞻性的安全规划,网络流量存在多个瓶颈, IP地址缺乏统一规划,广播流量可控性差,子网故障隔离性差,重要流量缺乏带宽管理和服务质量优先保证等一大堆问题。随着安全问题的不断出现,只能在运行过程中不停地修修补补。但是,这种修补只能解决暂时的问题,解决一个问题后,往往又有新问题出现。
2.关键核心技术还掌握,增加了我国基础信息网络和重要信息系统安全的隐患。我国对发达国家信息设备和信息技术存在很强的依赖性,信息化核心设备严重依赖国外,对引进技术和设备缺乏必要的信息管理和技术改造。尤其是在系统安全和安全协议的研究和应用方面与发达国家的差距很大。目前组成我国电子政务网络的计算机网络系统所用硬件、软件、操作系统、网管软件、各类应用系统、数据库、防火墙、网络接入设备、路由器、服务器基本上都是国外公司的产品,微机芯片都是INTEL系列,软件基本上是微软公司的产品,完全自主知识产权的产品基本没有。这些因素使我国的电子政务网络安全性能大大降低,我国的经济和社会发展面临着新的风险。
3.网络安全管理的混乱和规范化的管理制度相对滞后,造成很多管理安全漏洞。由于电子政务的网络是连接多个政务部门的广域网或城域网,需要各部门协调一致,共同维护整个网络平台的安全。但是,由于不同政府部门的信息技术人才和信息化水平的差异性,以及不同政府部门存在一些相关的利益和冲突,因此,很难做到安全管理的统一协调性,一旦发生安全事件,故障定位不准,追查事故源困难,责任问题牵扯不清,从而造成事件的破坏性后果更为严重。
4.安全意识淡薄。目前,在电子政务信息的安全问题上还存在不少认知盲区和制约因素。网络是新生事物,许多人一接触就忙着用于学习、工作和娱乐等,对网络信息的安全性无暇顾及,安全意识相当淡薄,对网络信息不安全的事实认识不足。与此同时,机关、事业单位注重的是网络效应,对安全领域的投入和管理远远不能满足安全防范的要求。总体上看,网络信息安全处于被动的封堵漏洞状态,从上到下普遍存在侥幸心理,没有形成主动防范、积极应对的全民意识,更无法从根本上提高网络监测、防护、响应、恢复和抗击能力。
三、电子政务信息安全措施
1.设备的物理安全。物理层的安全设计应从三个方面考虑:环境安全、设备安全、线路安全。采取的措施包括:机房屏蔽,电源接地,布线隐蔽,防雷。根据中央保密委有关文件规定,凡是计算机同时具有内网和外网的应用需求,必须采取网络安全隔离技术,在计算机终端安装隔离卡或安装安全网闸,使内网与外网之间从根本上实现物理隔离,防止涉密信息通过外网泄漏。
2.信息的加密。电子政务应用涵盖政府内部办公和面对公众的信息服务两大方面。就政府内部办公而言,电子政务系统涉及到部门与部门之间、上下级之间、地区与地区间的公文流转,这些公文的信息往往涉及不宜公开的和有密级的内容。因此,在信息传递过程中,必须采取适当的加密方法对信息进行加密。可采用多种加密方式:a.基于IPsec的加密方式正被广泛采用,其优点显而易见:IPsec对应用系统透明且具有极强的安全性,这一点对于要开发庞大应用的电子政务来说,就显得极有好处了,应用系统开发商不必为数据传输过程中的加密做过多的考虑,易于部署和维护。b.采用VPN技术在公共数据网上进行内部信息的安全传输。其优点是只增加端设备避免了重复建设。c.采用公钥基础设施技术(PKI)为基础,以数据机密性、完整性、身份认证和行为的不可否认为安全目的为电子政务提供安全支持。
3.操作系统的安全性。网络安全的重要基础之一是安全的操作系统,因为所有的政务应用和安全措施都依赖操作系统提供底层支持。操作系统的漏洞或配置不当将有可能导致整个安全体系的崩溃。更危险的是,我们无法保证国外厂家的操作系统产品不存在后门。在操作系统安全方面,有两点是值得考虑的:一是采用具有自主知识产权且源代码对政府公开的产品;二是利用漏洞扫描工具定期检查系统漏洞和配置更改情况,及时发现问题。
4.数据备份与容灾。任何的安全措施都无法保证数据万无一失,硬件故障、自然灾害以及未知病毒的感染都有可能导致政府重要数据的丢失。因此,在电子政务安全体系中必须包括数据的容灾与备份,并且最好是异地备份。
5.管理制度的完善。电子政务网络内部安全和外部安全一样重要,内部安全除了需要体系化的安全防御策略,还需要严格的、可操作性强的安全管理制度。制度的制订首先要规范,其次要强调制度的强制性、法规约束力和可操作性,同时进行安全宣传教育,增强安全意识的培养和信息安全知识的普及这样才能保证制度的真正贯彻和执行加强。
6.建立网络安全事件应急响应预案。网络安全事件应急响应预案是安全管理制度的一个重要部分,这里单独来讨论,主要是考虑到其重要性。事前有预案,一旦发生安全事件,就可以触发相应的预案处理程序,在最短的时间内恢复正常的网络服务和信息服务,力求把安全事件的破坏力降到最低。□(编辑/李舶)
第三篇:电子政务信息安全解决方案研究
电子政务信息安全解决方案研究
摘要:作为政府信息化工程的重要组成部分,电子政务在我国的发展已初具规模。由于政务信息的敏感性和保密性要求,以及网络平台的安全性影响,电子政务信息系统的安全保障是至关重要的。电子政务信息系统的安全保障涉及到网络技术、系统功能、人员管理、法制法规等诸多因素,必须形成全面、规范、有执行力的保障机制。
关键字:电子政务,信息安全,解决方案 引言
近年来,以互联网技术为承载主体的信息技术的飞速发,引发了一场深刻的生产和生活方式变,极大地推动着经济和社会的发展。作为信息高速公路五个应用领域中的首要应用,电子政府/电子政务在全球范围内受到广泛的重视,政府上网、政府工作电子化势在必行,政府信息化已成为经济信息化和社会信息化的前提,电子政务将是未来国家核心竞争力的重要因素之一。所谓电子政务是指政府机构运用现代信息技术,在组织机构管理和服务职能实现上突破时间、空间和部门分隔的限制,形成精简高效、廉洁公平的政府运作模式。电子政务模型可简单分为两方面:部门内部的网络办公平台和各部门与社会各界之间的网络信息沟通平台。因此,电子政务实施过程中的首要问题 便是如何保障信息安全。如果信息安全不能得以保障,轻则影响电子政务信息系统正常功能的运转,重则破坏政府的公众形象甚至对社会的团结稳定产生危害。电子政务面临的网络安全戚胁
电子政务是党委、政府、人大、政协及行政管理机构有效决策、管理、服务的重要手段.电子政务信息系统也必然会成为信息间谍、敌对势力、恐怖集团、国家之间信息战攻击的目标。因此.构建电子政务信息安全保障体系,事关国家政治、经济、国防安全和民族信息产业发展的全局。电子政务面临的网络安全威胁因素有:
1.计算机系统的脆弱性
计算机系统本身无法抵御自然灾害的破坏,也难以避免偶然无意造成的危害。如水、火、地震的破坏及环境(温度、振动、冲击、污染)的影响以及硬件设备故障,突然断电或电源波动以及各种误操作等危害。这些危害有的会损害系统设备,有的则会丢失或破坏数据。甚至毁掉整个系统和数据。
2.网络技术的缺陷性(1)先天的安全隐患
在物理通路上.网络通信线路一般是电话线、专线、微波、光缆或无线系统,这些线路易遭受物理破坏.易被搭线窃听,无线通信易遭截获、监听等等。网络规模越大,通信线路越长,这种弱点也随之增加。
电子政务内网,政务外网、公共服务网的网络环境,都是采用TCP/IP协议而建立的。该协议以开放和自由为基础,从协议规划、服务模式、网络管理等方面均缺乏安全性设计。计算机应用系统自身的缺陷相当多,如windows net和Netware就存在严重的安全漏洞,使入侵者有不少空子可钻。另外数据库服务器、电子邮件服务器、web服务器等应用平台也存在大量的安全隐患。
(2)网络的外部威胁
系统外部非法用户.如信息间谍的潜入窃密,网络黑客的攻击篡改.恐怖集团的销毁破坏等.使数据遭到窃取、假冒、抵赖或销毁,从而造成政府网络无法工作。具体表现有下面三方面:
一是非法使用资源。入侵者滥用和盗用计算机资源、网络连接服务等资源,并查阅数据、访问机密文件等信息资源。
二是恶意破坏。非法进入者对系统或数据文件进行破坏,包括修改数据信息.破坏硬件.传送附带破坏性病毒的文件等,还可以设置”定时炸弹”进行要挟攻击.敲诈勒索。这些恶意破坏造成系统瘫痪,文件无效或消失.使电子政府中断对用户提供的服务。
三是盗窃数据。黑客进入网络,盗走任何有价值的东西,包括金融数据、机密文件以及其他敏感的数据信息等。
3.信息管理的可腐败性
管理规范不到位:例如,微机或工作站管理人员在开机状态下擅离岗位,敏感信息临时存放在本地的磁盘上,而这些信息处于未保护状态.这种管理上的不 2
严格极易给他人提供冒充的机会。另外内部用户随意利用办公终端与lnternet联接,使网络罪犯有机可乘。许多网络犯罪行为尤其是非法操作都是利用联网的电脑管理制度上的漏洞而得逞的。
组织管理不完善:如部分网络管理者(内部人员)很容易以某一用户的身份登录、查看和复制用户的信息.甚至利用管理用户的地址目录之便,以用户的名义发送报文.非法窃取、篡改、隐瞒、抵赖、销毁权限之外的信息,造成系统无法正常工作甚至瘫痪。根据公安部门的报告,作案人员往往是利用管理上的漏洞.而且内部人员居多。
4.技术性缺陷
1)基础网络:首先,无论是有线还是无线网络,其通信线路如电缆、微波等,都易遭物理破坏,或易被搭线窃听,或易遭截获、监听等。其次,网络拓扑结构设计不合理或缺乏可扩展性,很可能一个结点遭破坏导致整个系统瘫痪。
2)操作系统和数据库 :目前所使用的计算机网络操作系统,多偏重于考虑系统使用的方便性,其结构和代码设计相对在系统的安全机制上考虑还不够精细 或多或少存在些安全漏洞,数据库管理系统基于分级理念对数据库进行管理,同时数据库管理系统的安全必须与操作系统的安全相配套,这样系统的安全又出现一些不稳定因素。
3)应用平台:为便于在应用层面进行定期维护或升级,在开发电子政务信息系统的应用功能时,往往有可能留有所谓的“后门”一旦被非法人员发现,破坏性有可能波及整个系统。
5.法律法规的滞后性
虽然,我国针对电脑病毒、信息侵权和网络犯罪等非法信息行为制定了一些网络安全相关的法律法规,但现行政策法规仍难以适应网络发展的需要,信息立法还存在相当多的空白。诸如个人隐私保护法、数据库保护法、数字媒体法、数字签名认证法、计算机犯罪法以及计算机安全监管法等数字经济正常运作所需的配套法规急需予以制定。由于法规不健全,信息市场交易秩序的维护、信息犯罪的惩处等无法可依,使信息犯罪有空子可钻。另一方面,由于网络作案手段新、时间短、不留痕迹等特点,给网上犯罪案件的侦破和审理带来了极大的困难。
6.保障意识的非系统性
有的政府系统.在系统建设中没有统一规范的安全构想.更没有建立完善的安全体系结构:从硬件采购、网络布线、采用的操作系统、应用系统的开发、系统被非法访问等方面都没有把安全问题考虑进去或考虑得很少。因此这些政府系统难以抵御防范上述威胁。
3.电子政务信息安全解决策略
目前我国电子政务安全采取“国家推动、社会参与、全局治理、积极防御、等级保护、保障发展“的策略。鉴于电子政务的信息安全面临的是一场高技术的对抗,是一场综合性斗争,涉及法律、管理、标准、技术、产品、服务和基础设施诸多领域,所以电子政务安全.还要从全局来构建其安全保障的体系框架,以保障电子政务的健康发展。
1.健全法律与政策,加强法律监管
电子政务的工作内容和工作流程涉及到国家秘密与核心政务.它的安全关系到国家的主权、国家的安全和公众益,所以电子政务的安全实施和保障,必须以国家法规形式将其固化,形成全国共同遵守的规约.成为电子政务实施和运行的行为准则,成为电子政务国际交往的重要依据。其目的在于保护守法者和依法者的合法权益.为司法和执法者提供法律依据.对违法、犯法者形成强大的威慑。因此,制订相应的法规,适度的解密和规范开放的规则,保护政府部门问信息的正常交流,保护社会公众对信息的合法享用,打破对政务信息资源的垄断和封锁,提高政府行政透明度和民主进程,是非常有利的和必要的。再完美的电子政务信息系统也可能出现内部使用的疏忽或遭受外来的恶意攻击,只有将网络技术和网络法律法规结合起来并与国际立法规则相兼容,才能在发生问题后有法可依,建议制定专门的电子政务信息系统安全法。一是用以规范电子政务中的信息安全技术范畴,二是对破坏电子政务信息安全的行为如何处罚要从法律意义上制定专门的规定。
2.强化组织与管理
电子政务安全管理涉及到国家安全部、国家保密局、国家密码管理委员会、信息产业部等许多国家安全职能部门.其安全管理职能的协调需要由国家信息化领导机构来进行。各地区和部委建立相应的信息安全管理机构,以完成和强化信
息安全的管理,形成自上而下的信息安全管理组织体系,是电子政务安全实施的必要条件。同时,政府相关部门必须制订颁发电子政务安全相关的各项管理条例,以及时指导电子政务建设的各种行为.保障电子政务系统建设全程的安全和安全管理工作的程序化和制度化。根据管理需求,可以对电子政务系统信息内容实施安全监控管理.以保护政务信息安全,防止由于内部违规或外部入侵可能造成的网络泄密,同时也阻止有害信息内容在政务网上传播。
3.制订标准与规范
信息安全标准有利于安全产品的规范化,有利于保证产品安全可信性、实现产品的互联和互操作性.以支持电子政务系统的互联、更新和可扩展性,支持系统安全的测评与评估.保障电子政务系统的安全可靠。因此,制订信息安全标准以及安全产品的规范便显得尤为重要。
4.纵深保障与服务
在电子政务的系统建设中,要构建其技术安全保障架构.对大型电子政务系统要建立纵深防御体系:进而设置政务内网的安全与控制策略、政务外网的安全与控制策略,进入互联网的安全服务与控制策略、租用公网干线的安全服务与控制策略、政务计算环境的安全服务与机制。采用纵深防御和多级设防,是电子政务安全保障的重要原则,通过全局性的安全防护、安全检测、快速响应、集成的安全管理与安全设施的联动控制,以达到系统具有防护、检测、反应与恢复能力。
5.创新技术与产品
由于电子政务的国家涉密性,电子政务系统工程的安全保障需要各种有自主知识产权的信息安全技术和产品.要不断地加强安全技术和产品的自主研制和创新;它们涉及到安全操作系统、安全硬件平台、安全数据库、PKI/CA、PMI、VPN、安全网关、防火墙、数据加密机入侵检测(1DS)、漏洞扫描、计算机病毒防治工具、强审计工具、安全Web、安全邮件、安全设施集成管理平台、内容识别和过滤产品、安全备份、电磁泄漏防护、安全隔离客户机、安全网闸等。
6.用户应用安全
电子政务中,由于管理和使用不当造成的安全问题愈七成,因此加强人员对系统使用的安全意识,尤为重要。首先在系统投入使用前,必须对所有人员进行技术培训。其次,在使用过程中,也应有针对性的就系统变更等问题与工作人员 5
进行双向交流 其它还需特别注意的地方有:
1)管理员职责:管理员账户本身最易受到黑客攻击,定期更换账户及密码,是提高安全性的有效措施。同时,尽量不开放 Guest账户,对其他用户严格划定访问权限和资源使用权限;定期检查用户IP地址范围,用户使用系统的频率和内容,发现异常及时封锁IP或相应用户账号。
2)普通用户:在内部子网中不应开放共享目录。如有经常交换信息需求的用户,在共享时必须加上必要的口令认证机制。现在更为常见的方式是给用户配备 USB 安全密钥或者经第三方CA认证,可用来进行数字签名和验证签名,确保通讯双方的真实身份,兼具真实性和不可抵赖性,保障政务的安全传送和处理。
7.系统运行环境安全
1)网络分级隔离:外网与内网和专网进行物理隔离,内网与专网、外网与 Internet 之间则采用逻辑隔离。内外网间必须安装防火墙,根据各种过滤规则来判断网络数据是否能够通过防火墙,用以加强网络之间访问控制、防止外网用户以非法手段进入内网、保护内网中的特殊网络互联设备,既防止外来的入侵,也阻止局域网内部重要信息的泄露。内外网之间的通信则采用异步高位加密机制,可以保证内外网的通信安全
2)网络设备和软件:选用高带宽网络和高性能服务器。配备加密设备,使得数据以密文形式在网上传送,保证数据的机密性与完整性。在安装防火墙的基础上,辅以入侵检测系统,用于实时监控和记录具攻击性的信息代码在进出网段的所有操作行为,并按制定的策略实行响应(阻断、报警、发送电子邮件等),从而防止网络的攻击与犯罪行为。安装正版操作系统或源代码对政府开放的操作系,统坚持日常维护和记录,及时更新、升级病毒库;使用安全扫描工具定期检查系统漏洞和配置更改情况,及时安装系统补丁堵塞系统漏洞。
4.结论
电子政务信息系统的安全保障不但要从实现技术入手,更要与系统在政府工作中的重要地位相呼应 保证其先进性和可扩展性,要进行深入调研和长远规划 必须能够适应网络的快速发展变化。根本上还需要国家的司法支持和参与人员管理意识的增强保障了电子政务的安全,才能保障政府信息化的顺利推进。
5.参考文献
1.王绍卜,《计算机网络的安全隐患与策略》中外科技信息,2003(11)43~45 2谢希仁,《计算机网络》.大连:大连理工大学出版社,2001:1 27~1 30 3.覃正.中美电子政务发展报告[M].北京: 科学出版社 2008(5).4.樊博.电子政务[M].上海交通大学出版社 2006(6)5.褚俊 苏震.电子政务安全技术保障[M].北京中国人民大学出版社 2004(3).6.苏玉召 赵妍.计算机网络信息安全及其防护策略的研究[J] 计算机与信息技术 2006(5)7.王海涛.电子政务中的安全问题[J] 佳木斯大学学报:自然科学版 2005(2)8.罗茂斌.论电子政务与电子文件的保护[J].档案管理 2001(4).9.邓崧.电子政务价值评估研究[D].上海 同济大学 2007.10.马朝斌《大力加强电子政务内网的安全保密建设和管理.信息安全与通信保密,2003(12)11.邬贺铨 《电子政务安全体系 《信息安全与通信保密》,2003(4)12.谭兴烈 《电子政务安全解决方案要解决的主要问题 《信息安全与通信保密》,2004(5)13.姜楠,王健《电子政务中基于PKI的角色授权管理策略》《通信技术》,2003(9)
第四篇:电子政务信息安全保障体系
电子政务安全面临威胁和挑战
电子政务涉及对国家秘密信息和高敏感度核心政务的保护,设计维护公共秩序和行政监管的准确实施,涉及到为社会提供公共服务的质量保证。电子政务是党委、政府、人大、政协有效决策、管理、服务的重要手段,必然会遇到各种敌对势力、恐怖集团、捣乱分子的破坏和攻击。尤其电子政务是搭建在基于互联网技术的网络平台上,包括政务内网、政务外网和互联网,而互联网的安全先天不足,互联网是一个无行政主管的全球网络,自身缺少设防和安全隐患很多,对互联网犯罪尚缺乏足够的法律威慑,大量的跨国网络犯罪给执法带来很大的难度。所有上述分子利用互联网进行犯罪则有机可乘,使基于互联网开展的电子政务应用面临着严峻的挑战。
对电子政务的安全威胁,包括网上黑客入侵和犯罪、网上病毒泛滥和蔓延、信息间谍的潜入和窃密、网络恐怖集团的攻击和破坏、内部人员的违规和违法操作、网络系统的脆弱和瘫痪、信息产品的失控等,应引起足够警惕,采取安全措施,应对这种挑战。
电子政务的安全目标和安全策略
电子政务的安全目标是,保护政务信息资源价值不受侵犯,保证信息资产的拥有者面临最小的风险和获取最大的安全利益,使政务的信息基础设施、信息应用服务和信息内容为抵御上述威胁而具有保密性、完整性、真实性、可用性和可控性的能力。
为实现上述目标应采取积极的安全策略:
·国家主导、社会参与。电子政务安全关系到政府的办公决策、行政监管和公共服务的高质量和可信实施的大事,必须由国家统筹规划、社会积极参与,才能有效保障电子政务安全。
·全局治理、积极防御。电子政务安全必须采用法律威慑、管理制约、技术保障和安全基础设施支撑的全局治理措施,并且实施防护、检测、恢复和反制的积极防御手段,才能更为有效。
·等级保护、保障发展。要根据信息的价值等级及所面临的威胁等级,选择适度的安全机制强度等级和安全技术保障强壮性等级,寻求一个投入和风险可承受能力间的平衡点,保障电子政务系统健康和积极的发展。
电子政务安全保障体系框架
电子政务安全采取“国家推动、社会参与、全局治理、积极防御、等级保护、保障发展”的策略,鉴于电子政务的信息安全面临的是一场高技术的对抗,是一场综合性斗争,涉及法律、管理、标准、技术、产品、服务和基础设施诸多领域,所以电子政务安全,还要从全局来构建其安全保障的体系框架,以保障电子政务的健康发展。
电子政务安全保障体系由六要素组成,即安全法规、安全管理、安全标准、安全服务、安全技术产品和安全基础设施等安全要素(见图1)。
要素一 安全法律与政策
电子政务的工作内容和工作流程涉及到国家秘密与核心政务,它的安全关系到国家的主权、国家的安全和公众利益,所以电子政务的安全实施和保障,必须以国家法规形式将其固化,形成全国共同遵守的规约,成为电子政务实施和运行的行为准则,成为电子政务国际交往的重要依据,保护守法者和依法者的合法权益,为司法和执法者提供法律依据,对违法、犯法者形成强大的威慑。
《中华人民共和国保护国家秘密法》已实施13年,已不完全适应我国当前保密工作的现状,特别是电子政务的发展,亟待修订。
政务信息公开是电子政务的重要原则,为了拉近政府和公众的距离,使公众具有知情权、参与权、监督权和享用政府服务的权利,为公众提供良好的信息服务,充分挖掘政务信息的最大效益,开放政务信息资源(非国家涉密和适宜公开部分)服务于民是电子政务的重要特征。尽快制订政务信息公开法,适度的解密和规范开放的规则,保护政府部门间信息的正常交流,保护社会公众对信息的合法享用,打破对政务信息资源的垄断和封锁,提高政府行政透明度和民主进程是非常有利的和必需的。
电子政务亟待电子签章和电子文档的立法保护,国际已有近20多个国家对数字签名和电子文档进行了立法,使数字签名和电子文档在电子政务和电子商务运行中具有法律效力。这将大大促进电子政务和电子商务的健康发展,使电子政务原来的双轨制走向单轨制,这有利于简化程序、降低成本,充分显示电子政务效益是非常有利的。
个人数据保护(隐私法)的需求伴随电子政务的发展日显突出。电子政务在实施行政监管和公众服务中有大量的个人信息(自然人和法人),如户籍、纳税、社保、信用等信息大量进入了政府网络信息数据库,它对完成电子政务职能发挥巨大作用。但是这些个人信息如果保护不力或无意被泄漏,而被非法滥用,就可能成为报复、盗窃、推销、讨债、盯梢的工具。在国外已经出现将盗用的个人隐私信息作为非法商品出售,以牟取暴利的情况,这样直 接损害个人的利益,甚至危及个人的生命安危。因此加快个人数据保护法的制订,是必要的。
还有很多法规的制订都直接关系到电子政务的健康发展,加快制订这些法规,势在必行。
要素二 安全组织与管理
我国信息安全管理职能的格局已经形成,如国家安全部、国家保密局、国家密码管理委员会、信息产业部、总参„„分别执行各自的安全职能,维护国家信息安全。电子政务安全管理涉及到上述众多的国家安全职能部门,其安全管理职能的协调需要由国家信息化领导机构,如国家信息化领导小组及其办公室、国家电子政务协调小组、国家信息安全协调小组等来进行。各地区和部委建立相应的信息安全管理机构,以完成和强化信息安全的管理,形成自顶向下的信息安全管理组织体系,是电子政务安全实施的必要条件。
制订颁发电子政务安全相关的各项管理条例,及时指导电子政务建设的各种行为,从立项、承包、采购、设计、实施、运行、操作、监理、服务等各阶段入手,保障电子政务系统建设全程的安全和安全管理工作的程序化和制度化。
电子政务信息安全域的划分与管理是至关重要的。电子政务有办公决策、行政监管和公共服务等三种类型业务,其业务信息内容涉及国家机密、部门工作秘密、内部敏感信息和开放服务信息。既要保护国家秘密又要便于公开服务,因此对信息安全域的科学划分和管理,将有益于电子政务网络平台的安全设计,有益于电子政务的健康和有效的实现。
制订电子政务工程集成商的资质认证管理办法、工程建设监理机构的管理办法、工程外包商的管理机制和办法,以确保电子政务工程建设的质量和安全,特别是对于电子政务系统的外包制更要有严格的制约和管理手段。对于电子政务中涉密系统工程的承建,还必须有国家保密局颁发的涉密系统集成资质证书,其他部分应具有国家或省市相应的系统集成商的资质证书。对于电子政务涉密部分,不允许托管和外包运行,电子政务其他部分将按相关管理条例执行。
电子政务工程中使用的信息安全产品,国家将制订相应的采购管理政策,涉及密码的信息安全产品需有国家密码主管部门的批准证书,信息安全产品应有通过国家测评主管机构的安全测评的证书,维护信息安全产品的可信性。
电子政务系统信息内容根据管理需求,可以实施对信息内容的安全监控管理,以保护政务信息安全,防止由于内部违规或外部入侵可能造成的网络泄密,同时也阻止有害信息内容在政务网上传播。
制订电子政务系统的人员管理、机构管理、文档管理、操作管理、资产与配置管理、介质管理、服务管理、应急事件管理、保密管理、故障管理、开发与维护管理、作业连续性保障管理、标准与规范遵从性管理、物理环境管理等各种条例,确保电子政务系统的安全运行。
要素三 安全标准与规范
信息安全标准有利于安全产品的规范化,有利于保证产品安全可信性、实现产品的互联和互操作性,以支持电子政务系统的互联、更新和可扩展性,支持系统安全的测评与评估,保障电子政务系统的安全可靠。
国家已正式成立“信息安全标准化委员会”,近期成立了信息安全标准体系与协调工作组(WG1)、内容安全分级及标识工作组(WG2)、密码算法与密码模块/KMI/VPN工作组(WG3)、PKI/PMI工作组(WG4)、信息安全评估工作组(WG5)、操作系统与数据库安全工作组(WG6)、身份标识与鉴别协议工作组(WG9)、操作系统与数据库安全工作组(WG10),以开展电子政务安全相关标准的研制工作,支撑电子政务安全对标准制订的需求。
还将制订下列标准:涉密电子文档密级划分和标记格式、内容健康性等级划分与标记、内容敏感性等级划分与标记、密码算法标准、密码模块标准、密钥管理标准、PKI/CA标准、PMI标准、信息系统安全评估和信息安全产品测评标准、应急响应等级、保护目标等级、应急响应指标、电子证据恢复与提取、电子证据有效性界定、电子证据保护、身份标识与鉴别、数据库安全等级、操作系统安全等级、中间件安全等级、信息安全产品接口规范、数字签名„„。
要素四 安全保障与服务
1.电子政务系统建设,要构建其技术安全保障架构,对大型电子政务系统要建立纵深防御体系。
·设置政务内网的安全与控制策略;
·设置政务外网的安全与控制策略;
·设置进入互联网的安全服务与控制策略;
·设置租用公网干线的安全服务与控制策略,包括有线通信、无线通信和卫星通信的安全服务与控制策略;
·设置政务计算环境的安全服务与机制。
采用纵深防御和多级设防,是电子政务安全保障的重要原则,通过全局性的安全防护、安全检测、快速响应、集成的安全管理与安全设施的联动控制,以达到系统具有防护、检测、反应与恢复能力。
2.推广电子政务信息系统安全工程(ISSE)的控制方法,全面实现安全服务要求。
电子政务安全系统的设计,首先要做好系统资产价值的分析,如物理资产的价值(系统环境、硬件、系统软件)、信息资产的价值、其数据与国家利益和部门利益的关联度;其业务系统(模型、流程、应用软件)正常运行后果所产生的效益,从而确定系统安全应保护的目标,在上述分析的基础上提出整个安全系统的安全需求,进一步定义达到这些安全需求所应具有的安全功能,然后探索系统可能面临的威胁类型,并找出系统自身的脆弱性,这些威胁和脆弱性有:
·网上黑客与计算机犯罪;
·网络病毒的蔓延与破坏;
·机要信息流失与信息间谍潜入;
·网上恐怖活动与信息战;
·内部人员违规与违法;
·网上安全产品的失控;
·网络与系统自身的漏洞与脆弱性。
在这些威胁面前,要分析哪些威胁是本系统主要面临的威胁,哪些是次要的,对系统和任务造成的影响程度如何。进行定性和定量的分析,提出系统安全对策,确定承受风险的能力,寻找投入和风险承受能力间的平衡点,然后确定系统所需要的安全服务及对应的安全机制(见表一),从而配置系统的安全要素。在工程的生命周期中要进行风险管理、风险决策流程(见图2),这种风险管理是要对电子政务全程进行的。
系统投入运行要对其安全性进行有效评估,即评估者给出的评估证据和建设者采用的技术保障设施,的确能使系统拥有者确信已选用技术对策,确实减少了系统的安全风险,满足必要的风险策略(风险策略可以是“零”风险策略、最小风险策略、最大可承受风险策略或不计风险策略),使其达到保护系统资产价值所必需的能力(见图3)。上述有效评估过程可用安全技术保障强壮性级别(IATRn)来描述:
IATRn=f(Vn,Tn,SMLn,EALn)
Tn:威胁等级
Vn:资产价值等级
SMLn:安全机制强度等级
EALn:评估保障等级
要素五 安全技术与产品
1. 加强安全技术和产品的自主研制和创新。
由于电子政务的国家涉密性,电子政务系统工程的安全保障需要各种有自主知识产权的信息安全技术和产品,全面推动自主研发和创新这些技术和产品是电子政务安全的需要。这些产品和技术可以分为六大类:
·基础类:风险控制、体系结构、协议工程、有效评估、工程方法;
·关键类:密码、安全基、内容安全、抗病毒、IDS、VPN、RBAC、强审计、边界安全隔离;
·系统类:PKI、PMI、DRI、网络预警、集成管理、KMI;
·应用类:EC、EG、NB、NS、NM、WF、XML、CSCW;
·物理与环境类:TEMPEX、物理识别;
·前瞻性:免疫技术、量子密码、漂移技术、语义理解识别。
2.电子政务安全产品的选择。
整个电子政务的安全,涉及信息安全产品的全局配套和科学布置,产品选择应充分考虑产品的自主权和自控权。
产品可涉及安全操作系统、安全硬件平台、安全数据库、PKI/CA、PMI、VPN、安全网关、防火墙、数据加密机、入侵检测(IDS)、漏洞扫描、计算机病毒防治工具、强审计工具、安全Web、安全邮件、安全设施集成管理平台、内容识别和过滤产品、安全备份、电磁泄漏防护、安全隔离客户机、安全网闸。
要素六 安全基础设施
信息安全基础设施是一种为信息系统应用主体和信息安全执法主体提供信息安全公共服务和支撑的社会基础设施,方便信息应用主体安全防护机制的快速配置,有利于促进信息应用业务的健康发展,有利于信息安全技术和产品的标准化和促进其可信度的提高,有利于信息安全职能部门的监督和执法,有利于增强全社会信息安全移师和防护技能,有利于国家信息安全保障体系的建设。因此,推动电子政务的发展,应重视相关信息安全基础设施的建设。
信息安全基础设施有两大类。
1.社会公共服务类
·基于PKI/PMI数字证书的信任和授权体系;
·基于CC/TCSEC的信息安全产品和系统的测评与评估体系;
·计算机病毒防治与服务体系;
·网络应急响应与支援体系;
·灾难恢复基础设施;
·基于KMI的密钥管理基础设施。
2.行政监管执法类
·网络信息内容安全监控体系;
·网络犯罪监察与防范体系;
·电子信息保密监管体系;
·网络侦控与反窃密体系;
·网络监控、预警与反击体系。
第五篇:关于电子政务信息安全管理体系建设的问题
关于电子政务信息安全管理体系建设的几点思考
一、概述
电子政务是政府管理方式的革命,它是运用信息以及通信技术打破行政机关的组织界限,构建一个电子化的虚拟机关,使公众摆脱传统的层层关卡以及书面审核的作业方式,并依据人们的需求、人们可以获取的方式、人们要求的时间及地点等,高效快捷地向人们提供各种不同的服务选择。政府机关之间以及政府与社会各界之间也经由各种电子化渠道进行相互沟通。
电子政务的建立将使政府社会服务职能得到最大程度的发挥,但也使政府敏感信息暴露在无孔不入的网络威胁面前。由于电子政务信息网络上有相当多的政府公文在流转,其中不乏重要信息,内部网络上有着大量高度机密的数据和信息,直接涉及政府的核心政务,它关系到政府部门、各大系统乃至整个国家的利益,有的甚至涉及国家安全。因此,电子政务信息安全是制约电子政务建设与发展的首要问题和核心问题,是电子政务的职能与优势得以实现的根本前提。如果电子政务信息安全得不到保障,不仅电子政务的便利与效率无从保证,更会给国家利益带来严重威胁。
二、电子政务信息系统面临的威胁
电子政务涉及对政府机密信息和敏感政务的保护、维护公共秩序和行政监管的准确实施以及为保障社会提供公共服务的质量。电子政务作为政府有效决策、管理、服务的重要手段,必然会遇到各种敌对势力、恐怖集团、捣乱分子的破坏和攻击。尤其是,电子政务在基于互联网的网络平台上,他包括政务内网、政务外网和互联网,而互联网是一个无行政主管的全球网络,自身缺少设防,安全隐患很多,使得不法分子利用互联网进行犯罪有机可乘,这就使得基于互联网开展的电子政务应用面临着严峻的挑战。
对电子政务的安全威胁包括网上黑客入侵和犯罪、病毒泛滥和蔓延,信息间谍的潜入和窃密,网络恐怖集团的攻击和破坏,内部人员的违规和违法操作,网络系统的脆弱和瘫痪,信息安全产品的失控等,对于这些威胁,电子政务的建设和应用应引起足够警惕,采取果断的安全措施,应对这种挑战。
三、电子政务信息安全管理体系的构建
要有效维护电子政务信息系统的安全,就需要构建电子政务安全管理体系,从而使政务的信息基础设施、信息应用服务能够具有保密性、完整性、真实性和可用性。电子政务安全管理体系包括安全技术体系、安全管理体系和安全服务体系,涉及从管理到组织,从网络到数据,从法规标准到基础设施等各个方面。加强安全技术力量是实现电子政务安全的基本方法
安全技术体系是利用技术手段实现技术层面的安全保护,是对电子政务安全防护体系的完善,包括网络安全体系、数据安全传输与存储体系,功能主要是通过各种技术手段实现技术层次的安全保护。
网络安全体系包括网闸、入侵检测、漏洞检测、外联和接入检测、补丁管理、防火墙、身份鉴别和认证、系统访问控制、网络审计等;数据安全与传输与存储体系包括数据备份恢复、PKI/CA、PMI等。整个电子政务的安全,涉及信息安全产品的全局配套和科学布置,产品选择应充分考虑产品的自主权和自控权。在关键技术、经营管理、生产规模、服务观念等方面,要集中人力、物力,制订相关政策,大力发展自主知识产权的计算机芯片、操作系统等信息安全技术产品,以确保关键政府部门的信息系统的网络安全。加强核心技术的自主研发,并尽快使之产品化和产业化,尤其是操作系统技术和计算机芯片技术。现阶段各地政府部门目前所选用的高端软硬件平台,很多都是国外公司的产品,这也对政务安全带来了许多隐患。因此,在构建电子政务系统的时候,在可能的情况下,我们应尽量选用国产化技术和国内公司的产品。构建安全管理体系是电子政务安全实施的重要基础
安全管理是解决电子政务的安全问题在技术以外的另一有力保障和途径。由于安全的防范技术与破坏技术总是“势均力敌”、“相互促进”的。作为防范者就更应该在安全防范的管理上下更大的工夫。安全管理主要涉及三个方面:法律法规、安全防护体系以及等级保护政策。
(1)法律政策、规章制度和标准规范
电子政务的工作内容和工作流程涉及到国家秘密与核心政务,它的安全关系到国家的主权、国家的安全和公众利益,所以电子政务的安全实施和保障,必须以国家法规形式将其固化,形成全国共同遵守的规约。目前,世界上很多国家制定了与网络安全相关的法律法规,如英国的《官方信息保护法》等。我国虽然颁发了一些与网络安全有关的法律法规,如《计算机信息系统安全保护条例》、《计算机信息系统保密管理暂行规定》等等,但显得很零散,还缺乏关于电子政务网络安全的专门法规。此外,在完善法律法规的同时,还应该加大执法力度,严格执法,这一目标的实现不仅需要政府组织的努力,更要国家立法机构的参与和支持。(.2)电子政务防护体系
贯穿整个电子政务的安全防护体系,对电子政务安全实施起全面的指导作用,具体包括三个方面的内容:安全组织机构、安全人事管理、以及安全责任制度。建立安全组织机构,其目的是统一规划各级网络系统的安全、制定完善的安全策略和措施、协调各方面的安全事宜,主要职责包括制定整体安全策略、明确规章制度、落实各项安全措施实施,以及制订安全应急方案和保密信息的安全策略;安全人事管理,其主要内容包括:人事审查与录用、岗位与责任范围的确定、工作评价、人事档案管理、提升、调动与免职、基础培训等;制定和落实安全责任制度,包括系统运行维护管理制度、计算机处理控制管理制度、文档资料管理制度、操作和管理人员管理制度、机房安全管理制度、定期检查与监督制度、网络通信安全管理制度、病毒防治管理制度、安全等级保护制度、对外交流安全维护制度,以及对外合作制度等。(3)等级保护制度
通过全面推行信息安全等级保护制度,逐步将信息安全等级保护制度落实到信息系统安全规划、建设、测评、运行维护和使用等各个环节,使信息安全保障状况得到基本改善。通过加强和规范信息安全等级保护管理,不断提高信息安全保障能力,为维护信息网络的安全稳定,促进信息化发展服务。
四、完善安全服务是维护电子政务安全实施的有力保障安全等级测评和风险评估管理
电子政务信息系统安全测评服务,其实质是通过科学、规范、公正的测试和评估向被测评单位证实其信息系统的安全性能符合等级保护的要求。
由于信息安全直接涉及国家利益、安全和主权,政府对信息产品、信息系统安全性的测评认证要更为严格。对信息系统和信息安全技术中的核心技术,由政府直接控制,在信息安全各主管部门的支持和指导下,依托专业的职能机构提供技术支持,形成政府的行政管理与技术支持相结合、相依赖的管理体制。风险管理是对项目风险的识别、分析和应对过程。它包括对正面事件效果的最大化及对负面事件影响的最小化。电子政务安全风险管理的主要任务是电子政务信息系统的风险评估并提出风险缓解措施,前者是识别并分析系统中的风险因素,估计可能造成的损失,后者是选择和实施安全控制,将风险降低到一个可接受的水平。2 安全培训服务
根据不同层次的人才需求,社会化的信息安全人才培养体系应分为专业型教育、应用型教育和安全素养教育三个层次。专业型教育主要是培养信息安全领域的专业研发、工程技术、战略管理等方面的人才。应用型(半专业)教育则是以从事现代信息管理工作的人作为对象,培养目标是要求学生具备信息安全的基本知识、网络和信息系统安全防范技能、组织机构或系统安全管理的能力等。这种应用型的信息安全教育要求受教育对象数量要多,覆盖面要广,基本信息技能要强。通过课程、讲座、宣传等多种形式,达到让每一个人都具备必要的安全意识和常规的信息安全自我防范技术的目的。要求单位领导应具备必要信息安全意识和安全知识;信息管理人员应具备一定的信息安全知识和基本技能;从事信息服务或信息安全服务的有关人员应具备必要的信息安全知识和技术基础等。
[1] 何玲,电子政务环境下政府电子文件管理新探索[D].成都:四川大学硕士学位论文,2008.[2] 电子政务:安全防护体系构建策略[EB/OL].http://www.xiexiebang.com,2009.[3] 金江军.电子政务信息安全体系建设[EB/OL].博客中国,2005.百度网 搜搜网
点击咨询 