電子政務的安全風險大全11篇
時間:2023-07-23 09:17:51緒論:寫作既是個人情感的抒發,也是對學術真理的探索,歡迎閱讀由發表云整理的11篇電子政務的安全風險范文,希望它們能為您的寫作提供參考和啟發。
篇(1)
0 引言
隨著電子政務不斷推進,社會各階層對電子政務的依賴程度越來越高,信息安全的重要性日益突出,在電子政務的信息安全管理問題中,基于現實特點的電子政務信息安全體系設計和風險評估[1]模型是突出的熱點和難點問題。本文試圖就這兩個問題給出分析和建議。
1 電子政務信息安全的總體要求
隨著電子政務應用的不斷深入,信息安全問題日益凸顯,為了高效安全的進行電子政務,迫切需要搞好信息安全保障工作。電子政務系統采取的網絡安全措施[2][3]不僅要保證業務與辦公系統和網絡的穩定運行,另一方面要保護運行在內部網上的敏感數據與信息的安全,因此應充分保證以下幾點:
1.1 基礎設施的可用性:運行于內部專網的各主機、數據庫、應用服務器系統的安全運行十分關鍵,網絡安全體系必須保證這些系統不會遭受來自網絡的非法訪問、惡意入侵和破壞。
1.2 數據機密性:對于內部網絡,保密數據的泄密將直接帶來政府機構以及國家利益的損失。網絡安全系統應保證內網機密信息在存儲與傳輸時的保密性。
1.3 網絡域的可控性:電子政務的網絡應該處于嚴格的控制之下,只有經過認證的設備可以訪問網絡,并且能明確地限定其訪問范圍,這對于電子政務的網絡安全十分重要。
1.4 數據備份與容災:任何的安全措施都無法保證數據萬無一失,硬件故障、自然災害以及未知病毒的感染都有可能導致政府重要數據的丟失。因此,在電子政務安全體系中必須包括數據的容災與備份,并且最好是異地備份。
2 電子政務信息安全體系模型設計
完整的電子政務安全保障體系從技術層面上來講,必須建立在一個強大的技術支撐平臺之上,同時具有完備的安全管理機制,并針對物理安全,數據存儲安全,數據傳輸安全和應用安全制定完善的安全策略
在技術支撐平臺方面,核心是要解決好權限控制問題。為了解決授權訪問的問題, 通常是將基于公鑰證書(PKC)的PKI(Public Key Infrastructure)與基于屬性證書(AC)的PMI(Privilege Management Infrastructure)結合起來進行安全性設計,然而由于一個終端用戶可以有許多權限, 許多用戶也可能有相同的權限集, 這些權限都必須寫入屬性證書的屬性中, 這樣就增加了屬性證書的復雜性和存儲空間, 從而也增加了屬性證書的頒發和驗證的復雜度。為了解決這個問題,作者建議根據X.509標準建立基于角色PMI的電子政務安全模型。該模型由客戶端、驗證服務器、應用服務器、資源數據庫和LDAP 目錄服務器等實體組成,在該模型中:
2.1 終端用戶:向驗證服務器發送請求和證書, 并與服務器雙向驗證。
2.2 驗證服務器:由身份認證模塊和授權驗證模塊組成提供身份認證和訪問控制,是安全模型的關鍵部分。
2.3 應用服務器: 與資源數據庫連接, 根據驗證通過的用戶請求,對資源數據庫的數據進行處理, 并把處理結果通過驗證服務器返回給用戶以響應用戶請求。
2.4 LDAP目錄服務器:該模型中采用兩個LDAP目錄服務器, 一個存放公鑰證書(PKC)和公鑰證書吊銷列表(CRL),另一個LDAP 目錄服務器存放角色指派和角色規范屬性證書以及屬性吊銷列表ACRL。
安全管理策略也是電子政務安全體系的重要組成部分。安全的核心實際上是管理,安全技術實際上只是實現管理的一種手段,再好的技術手段都必須配合合理的制度才能發揮作用。需要制訂的制度包括安全行政管理和安全技術管理。安全行政管理應包括組織機構和責任制度等的制定和落實;安全技術管理的內容包括對硬件實體和軟件系統、密鑰的管理。
3 電子政務信息安全管理體系中的風險評估
電子政務信息安全等級保護是根據電子政務系統在國家安全、經濟安全、社會穩定和保護公共利益等方面的重要程度。等級保護工作的要點是對電子政務系統進行風險分析,構建電子政務系統的風險因素集。
3.1 信息系統的安全定級 信息系統的安全等級從低到高依次包括自主保護級、指導保護級、監督保護級、強制保護級、專控保護級五個安全等級。對電子政務的五個安全等級定義,結合系統面臨的風險、系統特定安全保護要求和成本開銷等因素,采取相應的安全保護措施以保障信息和信息系統的安全。
3.2 采用全面的風險評估辦法 風險評估具有不同的方法。在ISO/IEC TR13335-3《信息技術IT安全管理指南:IT安全管理技術》中描述了風險評估方法的例子,其他文獻,例如NIST SP800-30、AS/NZS 4360等也介紹了風險評估的步驟及方法,另外,一些組織還提出了自己的風險評估工具,例如OCTAVE、CRAMM等。
電子政務信息安全建設中采用的風險評估方法可以參考ISO17799、OCTAVE、CSE、《信息安全風險評估指南》等標準和指南,從資產評估、威脅評估、脆弱性評估、安全措施有效性評估四個方面建立風險評估模型。其中,資產的評估主要是對資產進行相對估價,其估價準則依賴于對其影響的分析,主要從保密性、完整性、可用性三方面進行影響分析;威脅評估是對資產所受威脅發生可能性的評估,主要從威脅的能力和動機兩個方面進行分析;脆弱性評估是對資產脆弱程度的評估,主要從脆弱性被利用的難易程度、被成功利用后的嚴重性兩方面進行分析;安全措施有效性評估是對保障措施的有效性進行的評估活動,主要對安全措施防范威脅、減少脆弱性的有效狀況進行分析;安全風險評估就是通過綜合分析評估后的資產信息、威脅信息、脆弱性信息、安全措施信息,最終生成風險信息。
在確定風險評估方法后,還應確定接受風險的準則,識別可接受的風險級別。
4 結語
電子政務與傳統政務相比有顯著區別,包括:辦公手段不同,信息資源的數字化和信息交換的網絡化是電子政務與傳統政務的最顯著區別;行政業務流程不同,實現行政業務流程的集約化、標準化和高效化是電子政務的核心;與公眾溝通方式不同,直接與公眾溝通是實施電子政務的目的之一,也是與傳統政務的重要區別。在電子政務的信息安全管理中,要抓住其特點,從技術、管理、策略角度設計完整的信息安全模型并通過科學量化的風險評估方法識別風險和制定風險應急預案,這樣才能達到全方位實施信息安全管理的目的。
參考文獻:
篇(2)
中圖分類號:C93文獻標識碼: A
一、 電子政務概述
電子政務,亦稱電子政府、政府信息化管理,是政府機構以計算機為媒介,應用現代信息和通信技術,將政府的管理和服務工作通過網絡技術進行集合,以實現政府部門工作的進行以及組織結構的優化重組,從而及時向社會及公眾提供全方位、行之有效的管理和服務。
電子政務是政府管理方式的革命,它的運行有助于建立一個開放透明的政府,一個勤政廉潔的政府。電子政務職能實現的前提是信息安全的有效保障,大量政府公文在政務信息網絡上的流轉,一旦存在信息安全問題,則直接導致機密數據和信息的泄漏,危及到政府的核心政務。如果電子政務信息安全得不到保障,電子政務的效率便無從保證,這將給國家利益帶來嚴重威脅。所以說,信息安全是制約電子政務建設與發展的首要問題和核心問題。
二、 電子政務面臨的風險
(一) 認知層面的風險
電子政務在國內建設與使用時間不長,缺乏深入研究。一些人只是簡單地認為電子政務系統就是信息化,只要實現了網絡數字化就可以推行電子政務,從而出現盲目建設、脫離現實條件等問題;還有一部分人認為電子政務就是運用計算機代替傳統手工模式,這就固化了現有政府結構,不利于政府的改造與職能的轉變。
(二) 規劃層面的風險
規劃層面的風險主要有:規劃制定人員、規劃的范圍和內容、規劃計劃的實施步驟、規劃中的政策因素等等。
信息技術的進一步應用,使得政府的組織形態正在由傳統的金字塔垂直模式向錯綜復雜的網狀結構轉變,這就要求政務機構的運行方式作出相應轉變,進行電子政務的整體規劃。電子政務是整個系統建設的基礎,是項目成功的基本保障。只有了解了本地區的發展現狀,了解地方政府的特點,了解本地區的政務工作流程,才能編制出適合本地區電子政務的發展規劃。但目前,地方政府在電子政務方面的規劃明顯不足,缺乏可操作性,這就導致在使用過程中面臨著很大風險。
(三) 物理安全層面的風險
物理安全層面的風險主要指的是網絡環境和物理特性引起的網絡設備和線路的不可用,從而造成網絡系統的不可用。例如,線路老化、蓄意破壞、設備意外故障、自然災害等, 這些都屬于物理安全層面的潛在風險因素。
(四) 應用層面的風險
應用層面的風險主要表現為非法訪問,即竊取用戶口令、用戶信息被剽竊或修改等,由于政府網絡對外提供WWW服務,Email服務、DNS服務等,因此也存在著外網非法用戶對內部服務器的攻擊。
(五) 系統層面的風險
當前電子政務網通常采用的操作系統本身在安全方面的考慮較少,服務器與數據庫的安全級別較低,這在很大程度上存在著安全隱患,加之病毒的潛伏,這些都增加了系統在安全方面的脆弱性。
(六) 技術層面的風險
技術層面的風險主要表現為技術線路、設備選型、工程質量、系統性能等風險。技術層面的風險不僅關系到項目的實施情況,也關系到項目后期的維護和應用。現階段受技術發展的制約,我們在技術方面還存在著很大欠缺,因此存在著一定的技術風險。
(七) 資金層面的風險
受利益的驅使,有些部門在制定規劃時,將電子政務的規模越做越大,虛設資金越來越多,這就使得電子政務的建設變得越來越困難。除此之外,在資金使用方面,由于缺乏對部門資金的有效監督,使得資金浪費現象嚴重。如果不能合理計劃和控制資金的流向,這將直接影響電子政務的建設,甚至促使一種新的腐敗的產生。另外,在后期維護上,電子政務系統也需要運營資金的支持,沒有了運營資金的有效支持,就沒有了電子政務的內容來源。
(八) 管理層面的風險
在電子政務運行過程中需要管理的內容主要有規劃管理、技術管理、過程管理、運維管理、安全管理等。管理的風險不僅體現在單個項目的管理,也體現在根據規劃對相關項目群的管理風險。管理風險是項目實施過程中最主要的風險,是項目成敗與否的關鍵。隨著信息系統建設和應用規模的不斷擴大,管理的難度和風險還將不斷加大,但與此同時,政府部門缺乏信息化項目管理的專業人員,缺乏項目管理的風險意識,這與快速發展的電子政務管理要求不相匹配。
三、 電子政務管理防范措施
(一)強化信息管理人員的安全意識
電子政務信息安全是電子政務正常而高效運轉的基礎,是保障國家信息安全的重要前提,電子政務信息管理人員要正確認識并高度重視,及時發現影響信息安全的現象。政府部門要對信息管理人員進行必要的培訓,普及信息安全知識,增強信息管理人員的安全意識;積極開展安全策略研究,明確安全責任,增強信息管理人員的責任心;積極組織各種講座和培訓班,培養專業信息安全人才,確保防范手段和技術措施的先進性和主動性。
(二)實施保障措施,建立系統安全保障體系
電子政務系統安全風險的威脅無處不在,它主要來自于物理環境、技術環境、社會環境等。建立全方位的電子政務信息系統安全保障體系是規避電子政務安全威脅因素的必要方式。在充分分析系統安全風險的基礎上,通過制定系統安全策略和采用先進的安全技術,才能對系統實施安全防護和監控,使其真正成為智能型系統安全體系。具體做法有:
1.實施監測系統的運行情況,及時發現和制止可能對系統出現威脅的各種攻擊;
2.記錄和分析安全審計數據,檢查系統中出現的違規行為,判斷是否違反法律法規,為改進系統提供充足的依據;
3.對數據恢復應進行應急處理和響應,及時恢復信息,降低被攻擊的破壞程度,包括備份、自動恢復、快速恢復等。
(三)制定合理資金計劃,確保有序利用
充足的資金是保證電子政務順利開展的必要條件。前期指定電子政務建設的方案中,要根據本單位、本部門的實際情況制定合理的資金預算方案,確保不虛報資金預算,杜絕腐敗滋生;在后期維護過程中,資金也要及時到位,以確保電子政務信息系統的順利進行。
(四)健全電子政務法律法規建設
法律是保障電子政務信息安全的最有力手段。政府立法部門應加快立法進程,借鑒國外網絡信息安全立法方面的先進經驗,制定完備的信息網絡安全性法規,完善我國的網絡信息安全法律體系,使得電子政務信息安全管理走上法制化軌道。
電子政務是實現“電子政府”的有效途徑,在政府推動信息化的同時,也要注意其過程中產生的風險,正視風險本身,加快制定保障電子政務健康發展的政策法規,才能降低風險,從而有力地推動和改進政府的管理方式,才能有助于更好的發揮其政府職能。
參考文獻:
[1]方德英,李敏強.IT項目風險管理理論體系構建[J].合肥工業大學學報(自然科學版),2003,,2(8):907-908.
篇(3)
1 電子政務網絡安全概述
1.1 電子政務網絡安全發展現狀
隨著因特網的迅猛發展,我國信息網絡技術進入了日益月異的發展階段,并得以廣泛應用。但因特網具有高度的開放性以及自由性,為應用創造極大便利的同時也對其安全性提出了更為嚴格的要求。現如今,電子政務網絡安全問題日益突出,甚至在一定程度上阻礙了我國電子政務建設事業的健康發展,通過何種方式來提升電子政務網絡的安全性己然成為亟待解決的問題。
1.2 做好電子政務網絡安全風險防范工作的意義
對于整個信息網絡而言,電子政務是其中一個比較特殊的應用領域,涉及海量的需要嚴格保護的信息,相較一般電子商務,其表現出下述特點:首先,信息內容保密等級高;其次,在一定程度上影響甚至決定了行政監督力度;最后,通過網絡能夠為公眾提供高質量的公共服務。電子政務網絡一旦遇到安全風險,有可能導致重要信息丟失甚至暴露,帶來難以估量的損失,也正因如此,電子政務網絡也是信息間諜的首要攻擊目標之一。由此可見,政府部門重視和做好電子政務網絡安全風險防范工作,對于本部門的高效運行具有相當積極的現實意義。
2 電子政務網絡安全風險分析
2.1 物理層風險分析
對于電子政務網絡而言,物理層安全是其整體安全的基礎。物理層風險主要包括:地震、洪水以及火災等導致網絡癱瘓甚至毀滅;電源故障導致斷電、操作系統異常;設備失竊、損毀導致數據丟失甚至泄露;報警系統存在漏洞等。
2.2 數據鏈路層風險分析
入侵者可能會以傳輸線路為突破口,在上面設置竊聽設備以達成竊取數據的目的,然后再借助相應技術解讀數據,還可能會對數據進行一定的篡改。此類風險因素會給電子政務網絡安全埋下嚴重隱患。
2.3 網絡層安全風險分析
對電子政務網絡所囊括的各個節點而言,其他網絡節點均屬于外部節點,屬于不可信任范疇,均可能導致安全威脅。風險可能源自內部。攻擊者借助snifrer之類的嗅探程序來尋找安全漏洞,然后在此基礎上對內網發起攻擊。風險也可能源自外部,入侵者可能以公開服務器為跳板向內網發起攻擊。
2.4 系統層安全風險分析
系統層安全一般是指網絡操作系統、計算機數據庫、配套應用系統等方面的安全。現階段的操作系統,其開發商一定會設置相應的BackDoor(后門),另外,系統本身也必然存在若干安全漏洞。無論是“后門”,還是安全漏洞,均會埋下極大的安全隱患。就具體應用而言,系統安全性在很大程度上取決于安全配置,若安全配置不到位,將會為入侵者提供極大便利。
2.5 應用層安全風險分析
隨著網絡技術的迅速發展,電腦遠程控制呈現出簡單化的發展趨勢,受此影響,病毒、黑客程序有機結合之后往往帶來更為嚴重的危害,而病毒的入侵通常會導致用戶重要數據的泄露。病毒能夠經由多種途徑(如網上下載、郵件發送以及人為投放等)入侵內部網絡系統,所以,其危害是相當嚴重的。在整個網絡系統中,即便只有1臺主機“中毒”,也會在很短時間里使其他主機受到感染,進而埋下數據泄露等一系列不安全因素。
2.6 管理層安全風險分析
在網絡安全中,管理屬于核心部位。安全管理體系不完善,未能明確界定權責,極可能導致管理安全風險。當網絡受到內部或外部的相關安全威脅時,難以及時且合理地應對,同時也難以對入侵行為進行追蹤,換而言之,網絡可控性以及可審查性不理想。因而,重視和做好管理層的工作便成了當務之急。
3 電子政務網絡安全風險的防范
3.1 物理層風險的防范
使用那些可提供驗證授權等功能的產品,對內外網用戶進行高效管理,從而避免入侵者在沒有授權的情形下對網絡內的重要或敏感數據進行竊取和篡改,又或者對服務提供點發動攻擊,防止入侵者通過偽用戶身份取得授權而導致嚴重的網絡危害。可借助系列路由器、防火墻產品、計算機網絡管理平臺之間的有機配合,以實現對用戶信息(用戶名、登錄密碼、權限)的科學管理,并在此基礎上優化服務策略。
3.2 數據鏈路層風險的防范
對于政府網絡應用而言,其不僅涉及大量的內部應用(OA系統、文件共享以及郵件接收等),同時還涉及大量的外部應用(和合作伙伴之間的溝通等)。為實現對遠程用戶的有效控制,保證內網資源的安全性,可公共網絡中開辟出專用網絡,從而使得相關數據可以經由安全系數較高的“加密通道”傳播。由國家相關要求可知,政府網絡可依托既有平臺構建屬于自己的內部網絡,但一定要采用認證以及加密技術,從而確保數據傳輸擁有足夠的安全性。對于單獨的VPN網關而言,其核心功能是以IPSec數據包為對象,執行加(解)密以及身份認證處理,若采用該部署方式,防火墻難以對VPN數據予以有效的訪問控制,繼而帶來諸多負面問題。所以,在防火墻安全網關上集成VPN便成了現階段安全產品的主流發展趨勢之一,可以能提供一個集靈活性、高效性以及完整性等諸多優點于一身的安全方案。
3.3 網絡層安全風險的防范
在所有網絡出口處設置防火墻能夠實現對網絡的有效隔離,將其劃分為若干安全域,從而進行相應的訪問控制。以防火墻為工具進行多網口結構設計,如此一來,能夠為合法用戶提供相關服務,與此同時,將非法用戶的訪問拒之門外。當防火墻配置了入侵檢測這―功能時,便能夠以自動檢測的方式查找網絡數據流中可能的、隱藏的入侵方式,并提醒管理員及時優化控制規則,最終為整個網絡提供實時而有效的網絡保護。
3.4 系統層安全風險的防范
為實現對操作系統安全的有效保護,建議從下述兩點著手:首先,使用具有自主知識產權且向政府提供源代碼的那一類產品;其次,以系統為對象,通過漏洞掃描工具進行定期掃描,以便及時發現相關問題。
3.5 應用層安全風險的防范
建議安裝高性能的專業防火墻,要求具備下述功能:(1)外部攻擊防范;(2)內網安全;(3)流量監控;(4)郵件過濾;(5)網頁過濾;(6)應用層過濾等。引入和應用以ASPF為代表的應用狀態檢測技術,在驗證連接狀態是否正常的同時,也可實現對異常命令的有效檢測。
3.6 管理層安全風險的防范
對于網絡安全而言,管理層安全是其核心所在。通過安全管理的有效實施可為各項安全技術的順利實施提供有力保障,建議從兩方面入手:首先,立足本地區以及本部門的實際情況,制定和實施針對性的安全管理規范,充分利用網絡,發揮其在信息化建設工作中的重要作用,推動政府部門信息化建設工作的順利、高效開展;其次,以可能發生的電子政務網絡突發事件為對象,制定配套的應急預案,構建健全的應急機制,從而盡可能地消除突發網絡事件所帶來的負面影響,最終為電子政務網絡的高效運行奠定堅實基礎。
4 電子政務網絡安全體系建設案例
4.1 某市電子政務現狀分析
某市現轄三市(縣級市)、五縣、五區和一百多個基層政務單位。在政府信息化建設的大背景下,該市的市政府行政管理體制正積極向精簡化、統一化以及高效化的方向不斷發展。現階段,各級政務單位均結合自身的具體情況構建起了不同形式的、規模大小不一的辦公網絡,然而在互聯方面考慮不足,相互之間形成了所謂的“信息孤島”,因而構建具有高度統一性質的電子政務外網平臺,以保障網絡資源的充分共享已然成為當務之急。值得一提的是,各級政務單位在構建自身網絡的過程中沒有進行統一規劃,因而無論是在安全防護上,還是在安全管理上,均存在較明顯的欠缺,所以,如何保障電子政務網絡安全成了亟需解決的問題。下面將針對其整體解決方案予以進一步探討。
4.2 整體解決方案
為實現對該市電子政務外網平臺的全面、有效保護,應遵循“全網部署、一體安全、簡單為本”的原則,為其構建一個一體化的全面安全防護體系,從而最大程度地滿足用戶的實際需求。
4.2.1 全網部署
在電子政務外網平臺體系中,各級政務部門于廣域網出口處設置了天清漢馬USG一體化安全網關如圖1所示,并將集中管理系統設置在了該市的市政府信息中心,能以整個網絡體系為對象進行統一化管理。在統一化管理模式下,管理員通過面前的計算機便能夠及時了解各級政務部位的網絡狀態,尤其是各類風險以及威脅,若察覺到局部突發性質的不安全事件,可馬上對整個網絡的安全策略進行相應調整,然后統一下發,消除網絡威脅,減輕不利影響,從而構建一個具有在線監測和高效防護功能的一體化安全風險管理體系。
4.2.2 一體安全
對于天清漢馬USG一體化安全網關而言,其優點表現在兩大方面,一個是高性能的硬件架構,另一個是一體化的軟件設計,集若干項高效的安全技術(防火墻、VPN以及入侵防御等)于一體,還推出了QoS、負載均衡以及日志審計等實用功能,可為網絡邊界提供及時而強大的安全防護。這便是“一體安全”的重要體現。除此之外,借助集中管理技術能夠對系統中的多臺計算機同時下發安全管理策略,如此一來,大幅簡化了安全策略的具體實施過程。
4.2.3 簡單為本
篇(4)
中圖分類號:TP39 文獻標識碼:A 文章編號:1006-0278(2013)01-106-01
一、前言
特別是近年來,隨著政務信息化的快速發展,政府管理工作和政府信息化系統的日益復雜化,給政務網絡的安全性帶來了諸多的挑戰,加強電子政務網絡安全體系的設計和建設,對推動電子政務的發展具有重要的意義。文章在這種情況下,首先對電子政務的安全風險現狀進行簡單介紹,然后對電子政務信息安全保障的措施進行分析,具有一定的借鑒意義。
二、電子政務的安全風險現狀
(一)技術方面
1.計算機系統本身的脆弱性,使得它無法抵御自然災害的破壞,也難以避免偶然無意造成的危害。自然環境影響、基礎設施遭到破壞等等,將給系統造成非常大的風險。
2.網絡本身存在缺陷。首先,軟件本身缺乏安全性。操作系統規劃通常非常關注保證信息處理能力,在安全方面不是特別關注。
(二)管理方面
對現有的網絡攻擊和入侵事件的一項統計報告顯示:其他地區入侵安全風險指數是21%,黑客入侵所占比例能夠達到48%,競爭對手所占比例能夠達到72%,內部員工所占比例能夠達到89%。能夠充分顯示電子政務信息安全并非僅僅為技術問題。如果沒有從管理制度、人員和技術上建立相應的電子化業務安全防范機制,缺乏行之有效的安全檢查保護措施,再好的技術和設備都無法確保其信息安全。
三、電子政務信息安全保障的措施建議
(一)構建內部安全管理
電子政務網絡系統的安全關系到國家的安全、以及公眾的利益。因此安全性規劃一定要特別關注下述角度:首先一定要根據相關規章制度,其次為不斷健全政務網絡安全管理制度;再次為制定電子政務網絡系統控制方法;第四為一定要清楚劃分相關工作人員自身實際權責;第五為從電子政務網絡系統安全體系規劃過程中,不斷健全安全管理規定;最后在所有步驟開展管理,提高其可靠性水平。
(二)硬件系統的安全設計
雖然有很多的電子政務網絡硬件設備以及計算機系統存在較多的漏洞和缺陷,但是一定要維持軟件系統更新,從電子政務網絡系統內進行設置,同時按階段調整安全日志,通過上述手段保證其可靠性。
(三)應用層信息的設計
1 身份驗證
防范措施,通過在電子政務中設定網絡用戶名和密碼,這樣不僅能夠防止無關人員的登陸,而且能夠阻止對電子政務信息的訪問。不過因為黑客技術同樣持續完善,因此電子政務網絡安全體系規劃一定要采納口令技術,同時和另外的技術完美結合,提高其可靠性。
2 權限矩陣
對于電子政務網絡系統的登陸一般分為管理人員和普通人員兩種登陸方式,不同的身份對應電子政務系統中不同的內容,具有不同的訪問權限。因此登錄系統之后,工作人員能夠從電子政務網絡系統內開展相應的操作,承擔起電子政務系統的控制工作。一般工作人員僅僅可以調閱相關信息,不能夠開展操作。從電子政務系統內采納此類管理能夠有效提高可靠性。
(四)計算機病毒的防護
想要避免病毒給系統產生惡劣影響,要營造病毒防護體系。同時要設置殺毒軟件。除了能夠滅殺病毒,同時能夠管理網絡端口,在維持系統安全方面能夠產生非常關鍵的影響。
(五)入侵監測與防火墻設備的設計
在電子政務網絡系統中,入侵監測設備的配置主要是為了防止外部人員(即黑客)的非法入侵,防火墻的配置主要是為了能夠加強對網絡的訪問控制,防火墻能夠對兩個或者兩個以上網絡之間傳輸的數據的安全性根據一定的安全策略進行檢查,并具有監視網絡是否安全運行的作用,兩者結合能夠有效的防止外部人員采用不正當的手段訪問網絡系統中的資源和信息。提高系統可靠性。
篇(5)
電子政務,即各級機關在實踐管理工作開展過程中需借助電子信息技術,打造分層結構、集中管理網絡管理環境,且推進電子政務系統由“功能單一”向“綜合政務網”轉變,從而提升整體政府服務水平,同時借助網絡平臺加強與公眾間的互動性,并營造雙向信息交流環境,有效應對計算機病毒、黑客攻擊、木馬程序等網絡安全問題。以下就是對電子政務系統網絡安全問題的詳細闡述,望其能為當前政府機構職能效用的有效發揮提供有利參考。
1.電子政務系統網絡安全研究
1.1網絡安全需求
就當前的現狀來看,電子政務系統網絡在運行過程中基于垃圾郵件攻擊、網絡蠕蟲、黑客攻擊、網絡安全威脅等因素的影響下,降低了服務質量。為此,當代政務系統針對網絡安全問題提出了相應的網絡安全需求:第一,網絡信息安全,即在電子政務系統操控過程中為了規避政務信息丟失等問題的凸顯,要求管理人員在實踐信息管理過程中應從信息分級保護、信息保密、身份鑒別、網絡信息訪問權限控制等角度出發,對可用性網絡信息實施管理,打造良好的網絡信息使用環境;第二,管理控制安全。即由于電子政務網絡系統需與Internet連接,因而在內部局域網、外部局域網管理過程中,應設置隔離措施,同時針對每個局域網用戶設定訪問限定資源,并針對用戶身份進行雙向認證,由此規避黑客攻擊等問題的凸顯。而在信息傳輸過程中,亦需針對關鍵應用信息進行加密,且配置網絡監控中心,實時掌控惡意攻擊現象,并做出及時響應;第三,統一管理全網,即為了降低網絡安全風險問題,要求當代電子政務網絡系統在開發過程中應制定VLAN劃分計劃,且針對通信線路、訪問控制體系、網絡功能模塊等實施統一管理,規避非法截獲等安全問題[1]。
1.2網絡安全風險
(1)系統安全風險。就當前的現狀來看,我國UNIX、Windows、NETWARE等操作系統本身存有安全隱患問題,因而網絡侵襲者在對系統進行操控過程中,可借助系統漏洞,登錄服務器或破解靜態口令身份驗證密碼,訪問服務器信息,造成政務信息泄露問題。同時,在電子政務系統網絡管理過程中,部分管理人員缺乏安全管理意識,從而未及時修補系統漏洞,且缺乏硬件服務器等安全評定環節,繼而誘發了系統安全風險。此外,基于電子政務網絡系統運行的基礎上,侵襲者通常在公用網上搭線竊取口令字,同時冒充管理人員,向系統內部局域網直入嗅探程序,從而截獲口令字,獲取網絡管理權限,造成電子政務系統信息損失。為此,為了規避信息截獲等網絡安全問題的凸顯,要求管理人員在實踐管理工作開展過程中應針對操作系統、硬件平臺安全性進行檢測,且健全登錄過程認證環節,打造良好的電子政務系統服務空間,滿足系統運行條件,同時實現對登陸者操作的嚴格把控。(2)應用安全風險。電子政務系統網絡運行中應用安全風險主要體現在以下幾個方面:第一,網絡資源共享風險,即各級政府機構在網絡辦公環境下,為了提升整體工作效率,注重運用網絡平臺共享機關機構組成、政務新聞、政務管理程序等信息。而若某工作人員將政務信息存儲于硬盤中,將基于缺少訪問控制手段的基礎上,造成信息竊取行為;第二,電子郵件風險,即某些不法分子為了獲取政務信息,將特洛伊木馬、病毒等程序植入到郵件中,并發送至電子政務系統,從而通過程序跟蹤,威脅電子政務系統網絡安全性。為此,管理人員在對電子政務系統進行操控過程中應提高對此問題的重視程度,同時強調對垃圾郵件的及時清理[2];第三,用戶使用風險,即在電子政務系統平臺建構過程中,為了規避網絡安全風險問題,設置了“用戶名+口令”身份認證,但由于部分用戶缺乏安全意識,繼而將生日、身份證號、電話號碼等作為口令字,從而遭到非法用戶竊取,引發政務信息泄露或攻擊事件。為此,在系統操控過程中應針對此問題展開行之有效的處理。
2.電子政務系統網絡安全設計應用
2.1系統安全
在電子政務系統應用過程中,為了打造良好的網絡運行空間,在系統設計過程中應融合防火墻隔離、VLAN劃分、HA和負載均衡、動態路由等技術,并在電子政務網絡結構部署過程中,將功能區域劃分為若干個子網結構,同時合理布設出入口,并實時清理故障清單,從根本上規避網絡安全風險問題。同時,在操作系統安全設置過程中,應針對安全配置安全性進行檢測,并限定etc/host、passwd、shadow、group、SAM、LMHOST等關鍵文件使用權限,且加強“用戶名+口令”身份認證設置的復雜性,避免操作風險的凸顯[3]。此外,在電子政務系統操控過程中,為了確保系統安全性,亦應針對系統運行狀況做好打補丁操作環節,并及時升級網絡配置,營造安全、穩定的系統運行空間。
2.2訪問控制
在電子政務系統網絡安全應用過程中加強訪問控制工作的開展是非常必要的,為此,首先要求管理人員在系統操控過程中應結合政務信息的特殊性,建構《用戶授權實施細則》、《口令字及賬戶管理規范》等條例,并嚴格遵從管理制度要求,實現對網絡環境的有效操控。同時,在網絡出入口等網絡內部環境操控過程中,應設置防火墻設備。例如,在Switch、Router安全網絡域連接過程中,即需在二者間設置防火墻,繼而利用防火墻IP、TCP信息過濾功能,如,拒絕、允許、監測等,對政務信息形成保護,同時在網絡入侵行為發生時,及時發出警告信號,且針對用戶身份進行S/Key的驗證,達到網絡訪問控制目的[4]。其次,在網絡訪問控制作業環節開展過程中,為了規避電子政務網內部服務器、WWW、Mail等攻擊現象,應注重應用防火墻應用功能,對安全問題進行有效防控。
2.3數據保護
電子政務數據屬于機密性信息,因而在此基礎上,為了規避數據泄露問題的凸顯影響到社會的發展,要求我國政府部門在電子政務系統運行過程中,應擴大對《上網數據的審批規定》、《數據管理管理辦法》等制度的宣傳,同時在PC機管理過程中,增設文件加密系統,并對訪問者進行限制,最終實現對數據的高效保護。其次,在對SYBASE等通用數據庫進行保護過程中,應增設訪問/存取控制手段,同時完善身份驗證、訪問控制、密碼機制、文件管理等功能模塊,從而通過角色控制、強制控制等方法,對數據形成雙層保護,并加強假冒、泄露、篡改等現象的管理,保障系統網絡安全性[5]。再次,在政務數據使用、傳輸過程中,應定期檢測服務器內容完整性,例如,WWW服務器、FTP、DNS服務器等信息,滿足政務信息使用需求,同時提升政府服務水平。
3.結論
綜上可知,傳統電子政務系統網絡管理工作實施過程中逐漸凸顯出信息截獲、信息泄露等問題,影響到了各級政府機關服務水平。因而在此基礎上,為了實現對網絡安全風險問題的有效處理,要求管理人員在實際工作開展過程中應注重加強安全管理工作,同時從數據保護、訪問控制、系統安全等角度入手,對政務系統網絡環境形成保護,滿足電子政務網絡系統應用需求。
作者:韓戴鴻 鄔顯豪 徐彬凌 胡大川 錢誠 單位:常州市科技信息中心
參考文獻:
[1]王淼,凌捷,郝彥軍.電子政務系統安全域劃分技術的研究與應用[J].計算機工程與科學,2010,12(8):52-55.
[2]魏武華.電子政務系統的網絡架構及其應用研究[J].計算機時代,2013,12(7):13-16.
篇(6)
國的政府信息化起步于20世紀80年代,期間經歷了辦公自動化建、政府上網、以及新近興起的電子政務(Electronic Government)建設。如今電子政務系統的基本類型已逐漸固定,大致可分為四種:政府內部辦公自動化系統(Office Automation,OA)、政府與政府之間的政務協作系統(Government To Government,G2G)、政府與企業間服務系統(Government To Business,G2B)以及政府與公民之間的服務系統(Government To Citizen,G2C)。電子政務系統的電子文件管理核心及數據管理,對各種信息進行收集、整理、儲存、檢索和輸出。伴隨計算機技術的迅猛發展以及計算機在文件管理中的廣泛應用,電子政務也取得飛速發展,并將逐步成為機關起草、簽署、公文的平臺。當下經濟和信息全球化,電子政務的水平已經成為衡量國家競爭力和綜合國力的顯著標志之一。在電子政務系統中的電子文件管理涉及的風險包括網絡風險、管理風險、信息風險、設備風險。
一、電子政務系統中電子文件風險的特點
一是具有潛伏期。電子政務系統中電子文件風險的后果不是立即顯現出來的,有些甚至不能被識別,但是一段時間之后,一旦后果顯現出來,就可能對社會甚至國家造成極其嚴重的不良后果。二是具有連鎖效應性。電子政務系統中電子文件風險的后果首先表現為“基本風險”,也就是文件本身的質量缺損,如不完整、不可讀等。文件的不完整通常會直接導致文件的不可讀,即無法正常輸出,或者輸出結果出錯,那么該文件的存在已經沒有任何實際意義了。三是具有繼承性。每份電子文件都會經過制作、接收、傳輸、保存等幾個相互關聯的階段,而且每一個階段都存在被損壞、泄露等風險。電子文件在前期階段受到的風險會在后續階段累積并體現出來。四是具有無法彌補性。電子文件在制作階段遭受的一些風險還可以彌補。
二、影響電子文件信息安全的因素
(1)技術漏洞。技術漏洞主要表現在以下幾個方面:一是軟件問題:在電子政務系統中,電子文件的管理軟件決定了電子文件的寫入、讀取、復制、保存、刪除等操作,可以說,管理軟件對于電子政務系統中電子文件的管理至關重要。管理軟件需要滿足以下幾個方面:首先要有較高的信息處理能力,滿足政府工作的高效要求;在此基礎上,還要保證安全性,電子政務是為政府工作服務的,其內容涉及公眾、社會、經濟、文化、軍事的方方面面,如果管理軟件存在漏洞,相關內容泄露或被不法分子竊取,后果甚至威脅到國家安全。事實上,很多管理軟件確實存在諸多漏洞。二是通信網絡的問題:一般情況下,通信線路由專線、電話線、微波、無線系統或光纜構成。造成通信網絡故障的原因包括自然災害、人為破壞、偶然事件等。通信網的抗毀性是指當通信網絡受到物理破壞、電子戰和NBC(核、生物、化學)威脅時,仍然能完成特定功能的能力。無線通信易遭截獲。并且網絡規模越大,通信線路越長,存在的風險也就越大。(2)人為因素。人為因素包括以下三種:一是有意的破壞。一般能夠有意破壞的都是內部對情況比較了解的人員,此類破壞影響較大,后果較嚴重。二是管理水平落后。網絡技術發展一日千里,傳統業務改造、新業務開展等都對電子政務系統的風險防范提出了更高的要求。目前,我們用于電子政務系統的操作系統和管理軟件均是國外產品,許多關鍵技術還沒有被國人掌握。一旦出現特殊情況,為了各自國家的利益,黑客攻擊可能上升為國家間的一種戰爭行為,后果不堪設想。(3)硬件因素。和計算機軟件一樣,計算機硬件同樣存在漏洞,并且給網絡信息安全帶來巨大隱患,由于計算機硬件漏洞很容易被人們忽視,故其造成的安全隱患往往比軟件造成的安全隱患攻擊性更強、更加難以監測和消除。硬件設計的復雜性遠遠超過軟件設計,其本身由于生產工藝和設計水平的原因就會存在缺陷和不足,如果再被不法分子在芯片中注入惡意邏輯,其安全隱患就更大。另外,計算機防火墻等安全手段是基于一定的硬件設備的,如果硬件設備本身就存在安全隱患,防火墻就無從談起。(4)法律漏洞。到目前為止,雖然已經先后出臺了一些法律法規,但是我國關于電子政務的立法還處于探索階段。已經出臺的法律法規主要是四類:計算機法,主要涉及計算機系統安全和保密;互聯網法。主要針對國際互聯網的接入、設施、經營;信息法,主要關于政府信息化;政務公開法,主要規定政府有關業務流程和政策制定、執行和結果公開。總的來說,現有法律法規的法律效力層次低,處于“無綱領性立法、無確定性立法規制、無有效的立法評價及監督機制”的三無狀態。
三、電子文件的風險防范
電子政務系統中的文件管理風險防范既包括電子政務系統作為信息系統的風險防范,還包括電子文件管理本身的風險防范。其中,信息系統的風險防范是電子文件管理風險防范的根本,是電子政務系統安全保障的基礎。一是技術安全措施。密碼技術,是實現所有安全服務的重要基礎。為了使得系統中的兩方進行的通信活動被保密,就需要保護一個文件使得一個限制的用戶集可以閱讀它,而其余用戶團體不可以閱讀。解密密匙存放在可信的密匙服務器中。任何用戶有權從服務器申請密匙,但要在認證了申請用戶并且檢查了訪問控制陳述后,才為允許具有密匙的用戶提供密匙。設定登錄限制、使用文件權限等,在一定范圍內保護服務器文件和數據。要預防病毒,安裝防毒軟件。二是制度措施。培養一支掌握現代化信息技術、能熟練運用計算機及現代化通信設備的人才隊伍。制定嚴格的規章制度,對于接觸或可能接觸電子文件尤其是機密級電子文件的人員嚴格要求。三是法律措施。近年,英國、加拿大、韓國等相繼開展了有關文件管理和檔案管理的立法工作,其共同特點是將電子文件管理納入整體框架。應由多部門聯合制定電子文件管理法,在法律中明確規檔案管理各相關部門的職責,對電子文件的軟硬件設施進行統一,依法管理。并且檔案管理部門制定完善的電子文件管理制度,依制度辦事,使整個電子文件全過程做到制度化、規范化、標準化。四是文檔一體化措施。文檔一體化的目的是按照文件生成和運行規律,統一組織文件各階段的管理工作。采用通用的管理軟件,使用暢通的網絡通道。在電子文件真個生命周期中能夠提前進行的一律提前到生命周期的最前端。如果是一般性的電子文件,應將其轉換成各種平臺都能使用的文本文件格式,消除技術演變帶來的影響。如果是特殊格式的電子文件,應在儲存該文件的同時存有相應的瀏覽軟件。五是電子文件和紙質文件并存措施。要建立一個“通道”,實現紙質文件和電子文件的“雙套制”保存。由于電子文件存在對軟、硬件具有依賴性、其通用性尚無定論、載體的保管壽命還沒有經過實踐檢驗等缺點,電子文件和紙質文件并存十分必要。尤其是需要永久保存的文件,必須保存一套完整的紙質文件。
雖然我國信息建設起步較晚,但目前發展勢頭很猛。加快電子政務建設步伐,有利于用信息技術改造傳統的政府治理,改善政府公關服務,提高服務質量,實現資源共享,大大降低行政成本。只有抓好電子政務,才能適應時代的步伐,緊跟世界發展形勢,推進國民經濟。電子政務系統中存在大量機密級文件,如果其安全不能得到保障,就會威脅社會乃至整個國家的利益,甚至國家安全。電子政務系統的電子文件安全是制約電子政務建設與發展的核心問題。只有正確認識電子政務系統中電子文件風險的形成,從多方面對風險進行防范,才能保障信息安全,提供行政的便利。
參考文獻
[1]趙雪.電子政務環境中文檔管理現狀簡析[J].科技檔案.2005(3):36~37
篇(7)
一、研究的意義
伴隨著計算機通信技術的廣泛應用,信息化時代迅速到來。社會信息化給政府事務管理提出了新的要求,行政管理的現代化迫在眉睫。電子政務在發達國家取得長足進展,為了提高政府的行政效能和行政管理水平,我國正在加快對電子政務網的建設。在新的時代條件下,開放和互聯的發展帶來信息流動的極大便利,同時,也帶來了新的問題和挑戰。電子政務系統上所承載的信息的特殊性,在網絡開放的條件下,尤其是公共部門電子政務信息與資產,如果受到不法攻擊、利用,則有可能給國家帶來損失,也可能危及政府、企業和居民的安全。作為政府信息化工作的基本手段,電子政務網在穩定性、安全性方面,比普通信息網要求更高。對信息安全風險進行評估,是確定與衡量電子政務安全的重要方式。研究確定科學的安全風險評估標準和評估方法及模型,不僅有助于維護政府信息安全,也有助于防止現實與潛在的風險。
二、國內外研究狀況
當前,國內外尚未形成系統化的電子政務網絡信息安全的評估體系與方法。目前主要有風險分析、系統安全工程能力成熟度模型、安全測評和安全審計等四類。
(一)國外研究現狀。在風險評估標準方面,1993年,美、英、德等國國家標準技術研究所與各國國家安全局制定并簽署了《信息技術安全通用評估準則》。1997年形成了信息安全通用準則2.0版,1999年形成了CC2.1版,并被當作國際標準(150/IEC15408)。CC分為EALI到EAL7共7個評估等級,對相關領域的研究與應用影響深遠。之后,風險評估和管理被國際標準組織高度重視,作為防止安全風險的手段,他們更加關注信息安全管理和技術措施,并體現在相繼于1996年和2000年的《信息技術安全管理指南》(150/IECTR13335標準)和《信息技術信息安全管理實用規則》(150/IEC177799)中。與此同時,全球在信息技術應用和研究方面較為發達的國家也紛紛研發符合本國實際的風險管理標準。如美國國家標準與技術局自1990年以來,制定了十幾個相關的風險管理標準。進入二十一世紀初,美國又制定了《IT系統風險管理指南》,細致入微地提出風險處理的步驟和方法。2002年與2003年,美國防部相繼公布了《信息(安全)保障》指示(8500•l)及更加完備的《信息(安全)保障實現))指令(5500•2),為國家防務系統的安全評估提供了標準和依據。隨著信息安全標準的廣泛實施,風險評估服務市場應運而生。繼政府、社會研究機構之后,市場敏銳的產業界也投入資金出臺適應市場需求風險評估評估體系和標準。例如美國卡內基•梅隆大學的OCTAVE方法等。在風險評估方法方面,目前許多國內外的學者運用神經網絡、灰色理論、層次分析法、貝葉斯網絡、模糊數學、決策樹法等多種方法,系統研究并制定與開發了不同類型、不同用途的風險評估模型,這些模型與方法雖然具備一定的科學依據,在不用范圍和層面的應用中取得一定成果,但也存在不同程度的不足,比如計算復雜,成本高,難以廣泛推廣。
(二)國內相關研究現狀。我國的研究較之國外起步稍晚,盡管信息化浪潮對各國的挑戰程度不同,但都深受影響。20世紀90年代末,我國信息安全標準和風險評估模型的研究已廣泛開展。但在電子政務網上的應用卻是近幾年才開始引發政府、公眾及研究機構的關注。任何國家政府都十分重視對信息安全保障體系的宏觀管理。但政府依托什么來宏觀控制和管理呢?實際上就是信息安全標準。所以在股價戰略層面看,用哪個國家的標準,就會帶動那個國家的相關產業,關系到該國的經濟發展利益。標準的競爭、爭奪、保護,也就成為各國信息技術戰場的重要領域。但要建立國內通行、國際認可的技術標準,卻是一項艱巨而長期的任務。我國從20世紀80年代開始,就組織力量學習、吸收國際標準,并逐步轉化了一批國際信息安全基礎技術標準,為國家安全技術工作的發展作出了重要貢獻。信息安全技術標準的具體研究應用,首先從最直接的公共安全領域開始的。公安部首先根據實際需要組織制定和頒布了信息安全標準。1999年頒布了《計算機信息系統安全保護等級劃分準則》(GB17859一1999);2001年援引CC的GB/T18336一2001,作為我國安全產品測評的標準;在此基礎上,2003年完成了《風險評估規范第1部分:安全風險評估程序》、《風險評估規范第2部分:安全風險評估操作指南》。同時,公安部以上述國家標準為依據,開展安全產品功能測評工作,以及安全產品的性能評測、安全性評測。在公安部的帶動下,我國政府科研計劃和各個行業的科技項目中,都列出一些風險評估研究項目,帶動行業技術人員和各部門研究人員加入研究行列,并取得一些成果。這些成果又為風險評估標準的制定提供了豐富的材料和實踐的依據。同時,國家測評認證機構也擴展自己的工作范圍,開展信息系統的安全評測業務。2002年4月15日,全國信息安全標準化技術委員會正式成立。為進一步推進工作,盡快啟動一批信息安全關鍵性標準的研究工作,委員會制定了《全國信息安全標準化技術委員會工作組章程(草案)》,并先后成立了信息安全標準體系與協調工作組(WG1)、內容安全分級及標識工作組(WG2)等10個工作組。經過我國各部門和行業的長期研究和實踐,積累了大量的成果和經驗,在現實需求下,制定我國自己的風險評估國家標準的條件初步成熟。2004年,國信辦啟動了我國風險評估國家標準的制定工作。該項工作由信息安全風險評估課題組牽頭制定工作計劃,將我國風險評估國家標準系列分為三個標準,即《信息安全風險管理指南》、《信息安全風險評估指南》和《信息安全風險評估框架》。每個標準的內容和規定各不相同,共同組成國家標準系列。《信息安全風險管理指南》主要規定了風險管理的基本內容和主要過程,其中對本單位管理層的職責予以特別明確,管理層有權根據本單位風險評估和風險處理的結果,判斷信息系統是否運行。《信息安全風險評估指南》規定,風險評估包括的特定技術性內容、評估方法和風險判斷準則,適用于信息系統的使用單位進行自我風險評估及機構的評估。《信息安全風險評估框架》則規定,風險評估本身特定的概念與流程。
三、研究的難點及趨勢
電子政務網的用戶與管理層不一定具備計算機專業的技能與知識,其操作行為與管理方式可能造成安全漏洞,容易構成網絡安全風險問題。目前存在的風險評估體系難以適應電子政務安全運行的基本要求,因此結合電子政務網性需求,需要設計一種由內部提出的相應的評估方法和評估準則,制定風險評估模型。當前存在的難點主要有:一是如何建立風險評估模型體系來解決風險評估中因素眾多,關系錯綜復雜,主觀性強等諸多問題,是當前電子政務網絡信息安全評估研究的重點和難點。二是評估工作存在評估誤差,也是目前研究的難點和不足之處。誤差的不可避免性,以及其出現的隨機性和不確定性,使得風險評估中風險要素的確定更加復雜,評估本身就具有了不確定性。從未來研究趨勢看,一是要不斷改進風險評估方法和風險評估模型。有研究者認為,要充分借鑒和利用模糊數學的方法,建立OCTAVE電子政務系統風險評估模型。它可以有效顧及評估中的各項因素,較為簡易地獲得評估結果,并消除其中存在的主觀偏差。二是由靜態風險評估轉向動態風險評估。動態的風險評估能夠對電子政務信息安全評估進行較為準確的判斷,同時可以及時制止風險進一步發生。在動態模型運用中,研究者主要提出了基于主成分的BP人工神經網絡算法,通過對人工神經網絡算法的進一步改進,實現定性與定量的有效結合。
作者:郭瑋 單位:西安郵電大學
參考文獻:
[1]陳濤,馮平,朱多剛.基于威脅分析的電子政務信息安全風險評估模型研究[J].情報雜志,2011,8:94~98
[2]雷戰波,胡安陽.電子政務信息安全風險評估方法研究[J].中國信息界,2010,6
[3]余洋.電子政務系統風險評估模型設計與研究[D].成都理工大學,2008
[4]周偉良,朱方洲,電子政務系統安全風險評估研究[J].電子政務,2007,29:67~68
[5]趙磊.電子政務網絡風險評估與安全控制[D].上海交通大學,2011
篇(8)
1.1分析電子政務服務外包主要模式及其關鍵成功因素
當前,各地政府部門主要采用BOT、BOO、BT、ASP這4種模式開展電子政務服務外包。a.BOT模式(Build-Own-Transfer,即建設-運營-轉讓)。政府部門和承包商以協議為基礎,由政府部門向承包商頒布特許權,允許其籌集資金建設某電子政務系統,在特許權規定期限內管理和經營該系統及其相應的產品與服務,并在特許權期滿后,無償將系統移交給政府部門接管。b.BOO模式(Build-Own-Operate,即建設-擁有-運營。承包商投資并承擔電子政務系統的設計、建設、運行、維護和培訓等工作,硬件設備及軟件系統的產權歸屬承包商,政府部門負責宏觀協調、創建環境和提出需求,政府部門每年需要向承包商支付系統使用費獲取硬件設備和軟件系統的使用權。
c.BT模式(Build-Transfer,即建設-轉讓)。政府部門通過特許協議授權承包商負責某電子政務系統的建設,按合同規定的期限按時移交系統,政府部門按期支付該系統的建設費用。d.ASP模式(ApplicationServiceProvider,即應用服務提供商)。在ASP外包模式中,應用服務提供商擁有基礎結構設施并負責所有系統和網絡的配置、管理、調整,甚至應用管理,政府部門按照需求向應用服務提供商定制所需的電子政務服務,并向其支付相應的費用。在比較分析以上各種模式的內涵、特點、優缺點的基礎上,分析研究其實際運用的案例,共總結了影響這4種電子政務服務外包模式成功運作與否的75個因素,運用專家評分法,提取各種模式的關鍵成功因素,如表1所示,這些也是各種模式選擇決策的主要考慮因素。
1.2識別潛在風險因素
在分析電子政務服務外包、IT外包風險研究相關文獻的基礎上,基于電子政務服務外包運作與管理流程,從各個階段總結了98項風險因素,結合上述電子政務服務外包主要模式的關鍵成功因素,采用李克特七分制評分標準設計量表,1分表示風險影響程度最低,7分表示風險影響程度最高,1-7分表示影響程度逐次增高,邀請被調查者(包括參與電子政務服務外包的政府部門、承包商的管理人員以及相關領域的專家學者)對量表進行評分。共發放問卷387份,回收問卷212份,剔除不合格答卷后,最后得到有效答卷共202份。根據搜集的數據,通過因子分析的方法提煉了20項具有統計、管理意義的關鍵風險因素,如表2所示。
采用主成分因子分析法對這20項風險因素(也是結構方程模型中的可測變量)進行進一步的劃分,提取4個公共因子作為結構方程模型的潛在變量,并根據其包含的可測變量的含義進行命名,潛在變量及相應的可測變量如下:“決策與合同管理風險”:外包市場不成熟x1、外包決策不合理x2、承包商選擇失誤x3、機會主義風險x4、合同不完善x5;“開發與運營管理風險”:外包主體之間缺乏溝通x6、外包主體關系不和諧x7、政府部門缺乏規劃與需求分析能力x8、政府項目管理經驗與能力不足x9、承包商專業能力及管理經驗不足x10、承包商服務質量不理想x11;“資金與成本管理風險”:交易成本控制不力x12、隱性成本的累積風險x13、承包商成本預算控制失效x14、承包商資金支持不足x15;“知識與戰略管理風險”:知識共享不足x16、安全保密控制不力x17、績效評量體系失效x18、忽視學習與創新能力的培養x19、政府部門失去信息化控制力x20。
2模型建立與分析擬合
2.1建立電子政務服務外包潛在風險對外包模式影響的結構方程模型
基于現有研究文獻及實際案例,分析電子政務服務外包的潛在風險因素對各種模式的影響關系,構建電子政務服務外包潛在風險對外包模式影響的結構方程模型,如圖1所示。其中,風險的4項潛在變量及其各自的可測變量如上文所述,而各種外包模式潛在變量對應的可測變量分別是其關鍵成功因素(見表1,表中的序號與圖1的序號一致)。
2.2信度與效度分析
a.信度分析。信度指測量結果一致性或穩定性的程度。運用SPSS16.0對量表的信度進行檢驗,Cronbach’sα值為0.835,而各分量表信度分析結果表明,8個潛在變量的α系數值均滿足大于0.70的要求,因此,該量表具有較好的信度。
b.效度分析。結構效度是指量表測量結果同期望評估內容的同構程度,運用標準化因素負荷來檢驗結構效度。結果顯示,測量指標的標準化因素負荷大部分大于0.7,并在99%的置信度下高度顯著(C.R.值>2.58),潛在變量之間的標準化路徑系數及C.R.值(如表3所示)也大部分符合擬合要求。表明本研究構造的變量效度較好,適合做結構方程模型分析。
2.3結構方程模型檢驗與分析
a.擬合度檢驗。前文建立的結構方程模型必須通過擬合度檢驗,才能認定假設模型與實際數據樣本的一致性。若模型的擬合度高,則代表模型可用性越高,參數的估計越具有含義。對于擬合度的考核有較多指標,但不同的指標在不同的模型復雜度、樣本數量下有著不同的表現特性,必須根據具體情況同時參考各種擬合度指標[3]。本研究利用AMOS軟件7.0版進行結構方程模型的分析,主要使用CMIN、RMSEA、CFI、GFI等較為穩定的指標考核模型擬合度,擬合后的評價結果及其理想值匯總于表4。從表4中分析可知假設模型較好地與樣本數據擬合,具有較高的擬合度。
b.路徑與因素分析。經過對結構方程模型的分析,可以得到各個潛在變量之間的路徑系數以及可測變量與潛在變量之間的因素負荷。從模型運行結果中可知,潛在變量之間的路徑系數、可測變量與潛在變量之間的因素負荷對應的C.R.值絕大多數大于1.95的擬合要求,表明各路徑系數以及因素負荷在p=0.05的水平上具有統計顯著性,能夠作為進一步分析的依據。
3電子政務服務外包潛在風險對外包模式的影響分析
綜合分析4個風險潛在變量對各外包模式潛在變量影響的路徑系數及間接效應、各個風險因素的因子負荷以及對各外包模式關鍵成功因素的作用路徑,為下文外包模式選擇的建議提供依據。
3.1“決策與合同管理風險”對外包模式的影響
“決策與合同管理風險”對各外包模式的直接影響程度從大到小依次是:BOT>BOO>BT>ASP,其中,對BT模式和ASP模式的直接影響不顯著,但通過另三類風險間接影響這兩種模式的程度較大,分別累計為0.364、0.337。在“決策與合同管理風險”中,合同不完善風險所占因子負荷最大、影響最為顯著。研究表明,完善電子政務服務外包合同,對外包市場不成熟風險、機會主義風險都具有較強的規避作用[4]。“決策與合同管理風險”中,合同不完善、承包商選擇失誤風險因素對BOT模式的關鍵成功因素———承包商運營期間的服務質量以及移交后的系統價值的不良影響均比較顯著;合同不完善對BOO模式的作用主要體現在影響技術應用先進性的保持,而機會主義風險的存在對政府部門的監督約束是一大不利因素;BT模式、ASP模式的各自關鍵成功因素———選擇商譽好的承包商、承包商擁有完善可靠的基礎結構設施均會受到承包商選擇失誤這一風險因素的影響。
3.2“開發與運營管理風險”對外包模式的影響
相比其他類別的風險而言,“開發與運營管理風險”對各個外包模式的影響程度是最大的,對各外包模式的直接影響程度從大到小依次是:BOT>BOO>BT>ASP,且影響均較為顯著。此外,“開發與運營管理風險”也受到了其他風險的影響,承載著其他風險對外包模式的間接效應。因此,“開發與運營管理風險”所屬的各個風險因素應給予重視,特別是政府部門缺乏規劃與需求分析能力、雙方的項目管理經驗與能力不足、外包主體之間缺乏溝通這幾種風險因素在電子政務服務外包實踐中引起的問題較為顯著,屬于關鍵風險因素,研究表明,控制好這些風險因素,做好規劃與需求分析工作、提升相應的項目經驗與能力、加強溝通協作,對電子政務外包的系統開發效果、外包服務質量、雙方關系維護的作用是十分顯著的[5]。“開發與運營管理風險”對各個外包模式的影響在其對應的關鍵成功因素都有顯著的體現,其中,對BOT模式,主要影響政府部門規劃協調能力、承包商運營期間的服務質量;對BOO模式,主要影響政府部門的監督約束能力、承包商經營的穩定性及技術應用先進性的保持;對BT模式,主要影響雙方的系統開發項目管理能力;對ASP模式,主要影響政府部門需求分析的準確性及預見性、承包商對個性化服務需求的響應。
3.3“資金與成本管理風險”對外包模式的影響
“資金與成本管理風險”對各外包模式的直接影響程度從大到小依次是:BOO>BOT>ASP>BT,其中,承包商的資金支持、項目的成本管理方面的風險對外包模式的影響尤為顯著,在實踐中,很多電子政務服務外包項目正是由于資金、成本控制問題而不得不擱淺甚至失敗。此外,“資金與成本管理風險”也會通過“開發與運營管理風險”間接影響各個外包模式,因此,在外包過程的開發運營階段,應重視項目預算管理,保障資金流的通暢。“資金與成本管理風險”對BOO模式的作用主要體現在影響政府部門付費使用模式、承包商經營的穩定性;對BOT模式的作用體現在影響承包商的運營獲利能力及其服務質量;對于ASP模式,影響著政府部門的付費模式與承包商的經濟效益兩者之間的權衡;對BT模式,主要影響著政府部門的資金保障能力。
3.4“知識與戰略管理風險”對外包模式的影響
“知識與戰略管理風險”對各外包模式的直接影響程度從大到小依次是:BOO>ASP>BOT>BT,其中安全保密控制風險是外包領域備受關注的風險因素,也是外包模式選擇需要著重考慮的一大因素,而學習與創新能力的培養對電子政務服務外包的戰略效益能否實現尤為關鍵[6],卻也是一個經常被忽視的風險。此外,知識共享不足、績效評量體系失效、政府部門信息化控制力不足等風險因素對開發運營風險的作用也較為顯著,對外包模式的間接效應不容小覷。因此,“知識與戰略管理風險”對電子政務服務外包的影響是極為深遠的,在外包模式選擇決策中,應予以重視,既要考慮到安全保密控制,也要考慮到政府部門持續學習與創新能力的培養。“知識與戰略管理風險”中,安全保密控制不力與績效評量體系失效分別影響著BOO模式的關鍵成功因素———承包商對系統安全性的保護、技術應用先進性的保持;在ASP模式中,安全保密控制不力風險影響著政府部門應用與數據的安全性;與績效評量體系失效相關聯的激勵效果不良,影響著BOT模式運營期間的服務質量和移交后的系統價值;若采用BT模式,知識共享不足與政府部門信息化控制力不足風險將主要影響著雙方移交系統的知識管理能力以及移交后政府部門的系統維護能力[7]。
4結論與建議
基于上文的分析,政府部門在選擇電子政務服務外包模式時,需要結合自身的規劃與需求、優勢與劣勢、經驗與能力等因素,綜合考慮各個潛在風險因素對外包模式如何影響及影響程度,從中選擇合理的外包模式并防范潛在風險。為此,提出以下4點建議供參考:
a.當外包市場不成熟,缺乏統一、可操作的行業標準及規范的法律環境,而外包的電子政務服務內容的復雜性使得不能夠通過采用明細的合同來規避承包商的機會主義,并且政府部門管理合同的經驗與能力不足時,盡量避免采用BOT、BOO模式,主要是因為這兩種模式的必須以協議為基礎且合同期限較長,能否制定明確、完善而兼具柔性的合同尤為關鍵;若政府部門受評估能力缺乏、信息不對稱等主客觀不利因素的影響,選擇不合適的承包商或選擇的承包商商譽不良的風險很可能加大,此時BT模式與ASP模式不是首選,因為這兩種模式對承包商商譽與實力有較高的要求。
篇(9)
中圖分類號:文獻標識碼:A文章編號:1009-3044(2010)21-5962-02
The Establish and Maintain of The E-government System Based on Security Technology
TANG Fang1, XU Ping2
(1.Jingmen Branch of Chutian Radio & Television Information Network Company of Hubei Province, Jingmen 448000, China; 2.Jingmen Branch of China Construction Bank, Jingmen 448000, China)
Abstract: With China's reform and opening up step by step and the deepening of the functions of government services, the development of e-government has become an important ways for theGovernment to increase the capacity of public services and national capacity for comprehensive management. This paper analyzes and discusses the main e-government technology and related network security based on the principles, put forward a number of technology for building on the multi-level e-government network security solutions.
Key words: security technologies; government; E; virtual private network
隨著我國改革開放的逐步推進與政府服務職能的加深,發展電子政務已成為政府提高社會公眾服務能力與國家綜合治理能力的重要手段。然而在電子政務建設大踏步向前邁進的過程中,隨之而產生的問題也越來越急待解決,電子政務的安全便是首要問題。比如計算機病毒的傳播更是安全性的巨大威脅之一,病毒一旦發作,輕則破壞文件、損害系統,重則造成網絡癱瘓。某某市某局正是在此背景下對本局機關的電子政務系統進行重新設計和實施的。
1 項目背景與目標
1.1 項目背景
某某市某局現有使個局直屬單位,各單位分布在某某市各區,與局機關大樓不在同一物理地點,共五個辦公區。該局局機關啟用電子政務系統后,因為各局屬單位的公文仍通過傳統的手工方式交換,顯然跟不上信息化發展的需要,也嚴重地影響了該局日常辦公的需要。為滿足該局信息化發展的需要,由于該局的電子政務系統只涉及工作秘密不涉及國家秘密,可以運行在政務外網。2008年度,經請示上級部門同意,將政務內網的電子政務系統遷移到政務外網,并實現與局屬各單位進行公文在線交換。為實現此功能,首先要實現與各單位網絡的互聯互通并確保信息傳輸的安全保密性和完整性。
1.2 系統安全分析
該局電子政務網絡系統內網與外網完全物理隔離,該局電子政務內網自成體系,不與任何外部系統交互,內網相對安全,信息不容易泄漏,但同時該網也成了一個信息孤島,與外部系統的數據交換很不方便。不過在現有的網絡結構及應用模式下,外網網絡安全幾乎是不設防,可能存在的主要安全風險如下:
1)網絡設備節點自身安全風險:網絡設備是網絡數據傳輸的核心,是整個網絡的基礎設施,各種網絡設備本身的安全與可靠性以及這些設備上應用策略的安全都需要進行合理的配置才能夠保證。尤其是核心層的三層交換機,單點故障的風險比較大,萬一出現故障整個網絡將完全癱瘓。
2)網絡層有效的訪問控制的風險:網絡結構越來越復雜,接入網絡的用戶也越來越多,必須能夠在不同的網絡區域之間采取一定的控制措施,有效控制不同的網絡區域之問的網絡通信,以此來控制網絡元素間的互訪能力,避免網絡濫用,同時實現安全風險的有效隔離,把安全風險隔離在相對比較獨立以及比較小的網絡區域。
3)網絡攻擊行為檢測和防范的風險:由于TCP/IP協議的開放特性,帶來了非常大的安全風險,常見的IP地址竊取、IP地址假冒、網絡端口掃描以及危害非常大的拒絕服務攻擊等;由于Internet的開放性,對電子政務的安全威脅,包括網上黑客入侵和犯罪、網上病毒泛濫和蔓延、信息間諜的潛入和竊密、網絡恐怖集團的攻擊和破壞、內部人員的違規和違法操作、網絡系統的脆弱和癱瘓、信息產品的失控等,因此應引起足夠警惕,采取安全措施,應對這種挑戰。在改造前的網絡結構中可以看到Internet接入點還是在內部業務系統和下屬單位的接入點都沒有任何防護措施,網絡中存在極大的安全風險。
4)應用層威脅:各種蠕蟲、間諜軟件、網絡釣魚等應用層威脅和EMAIL、移動代碼結合形成復合型威脅,使威脅更加危險和難以抵御。這些威脅直接攻擊用戶核心服務器和應用,給用戶帶來了重大損失。
5)控制非法訪問的風險:在建設網絡安全體系中,身份認證始終是不可忽視的環節,沒有良好的身份認證體系,其他的任何安全措施都是沒有意義的。
2 系統安全解決方案
本方案主要是遵循事前防范、事中監控、事后審計的思想進行設計,同時結合其他傳統的網絡安全措施,提出一套新型的基于VPN技術的安全電子政務網絡系統解決方案。
2.1 訪問控制
訪問控制是最基本的安全措施之一,隨著網絡結構復雜程度的不斷增加,應用系統的不斷增多,人們已經逐漸認識到保護網上敏感資源的重要性,而舊的訪問控制技術有著諸多的管理弊端,已經不能滿足用戶的要求,因此需要尋求一種有效的手段或方法。本系統采用大安全域隔離。首先把外網劃分為內外安全域兩大區域,即核心數據域與辦公區域,中間用物理網閘隔離,使得核心數據域與辦公區域物理隔離,辦公區域中的客戶端要訪問核心數據域中的應用,數據內容必須經過嚴格過濾和擺渡交換,切實保護工作秘密的安全。
2.2 防火墻的部署
防火墻的主要思想是在內外部網絡之間建立起一定的隔離,控制外部對受保護網絡的訪問,它通過控制穿越防火墻的數據流來屏蔽內部網絡的敏感信息以及阻擋來自外部的威脅,只有允許的應用協議才能通過防火墻,所以網絡環境變得更安全。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,有效地監控了內部網和公眾網之間的任何活動,保證了內部網絡的安傘。因此通過在該局辦公區域訪問互聯網的邊界部署一臺防火墻,既起到邏輯隔離的作用,又能有效控制辦公區域和互聯網之間的通訊安全。為了更有效地控制辦公區域的用戶端上網行為,本系統在防火墻前面部署了一臺LINUX服務器,給防火墻前而設置多了一道天然的屏障,而且通過緩存機制間接地提高了訪問互聯網的速度。
2.3 入侵檢測系統的部署
雖然通過防火墻可以隔離大部分的外部攻擊,但是仍然會有小部分攻擊通過正常的訪問漏洞滲透到內部網絡,據統計有70%以上的攻擊事件來自內部網絡,也就是說內部人員有意或無意的攻擊,而這恰恰是防火墻的盲區。入侵檢測系統可以彌補防火墻的不足,為網絡安全提供實時的入侵檢測及采取相應的防護手段,如記錄證據用于跟蹤、恢復、斷開網絡連接等,及時地發現異常地網絡流量或安全隱患,盡早采取措施、排查隱患,避免安全事故的進一步擴大。
3 結束語
電子政務信息安全建設是一項復雜、龐大的工程,電子政務安全是一項動態的、長期的、整體的系統工程,需要周密的設計和部署。在電子政務網絡安全體系的構建中除了要有上述的各種技術手段,更需要嚴謹的管理手段。
參考文獻:
[1] 威特曼.信息安全原理[M].北京:清華大學出版社,2006.
篇(10)
電子政務是現代政府管理觀念和信息技術相融合的產物,面對全球范圍內的國際競爭和知識經濟的挑戰,許多國家政府都把電子政務作為優先發展戰略。隨著電子信息技術的不斷發展,特別是國際互聯網的普及應用,電子政務以其特有的方便、快捷、高效等諸多優點,掀起了一場前所未有的政務革命。它的出現改變了傳統的運作模式,在互聯網上實現政府組織結構和工作流程的優化重組,向社會提供優質和全方位的、規范而透明的、符合國際標準的管理和服務。近年來,電子政務發展十分迅速。目前互聯網已成為重要的信息基礎設施,積極利用互聯網進行電子政務建設,既能提高效率、擴大服務的覆蓋面,又能節約資源、降低成本。但是另一方面,利用開放的互聯網開展電子政務建設,面臨著計算機病毒、網絡攻擊、信息泄漏、身份假冒等安全威脅和風險,應該高度重視信息安全。本文從電子政務建設中存在的問題出發,分析了問題所在,并提出相關預防策略。
1 電子政務建設中存在的問題
(1)部分領導干部對加快電子政務建設的重要性認識不到位,弱化了對此項工作的領導,一定程度上影響了電子政務建設的發展步伐。
(2)低水平重復建設現象普遍存在,投入不足與資源整合矛盾十分突出,嚴重制約了電子政務建設的質量和水平。部分基層的經辦人員業務不熟習,操作不規范,使用中問題較多。
(3)信息化專業人才嚴重缺乏,技術相對落后,制約了電子政務建設。大多數單位沒有專業技術人員,建設規范的網絡和日常維護技術問題的處理是靠機關內部對電腦知識相對豐富的人員兼任,很難滿足電子政務發展的需要。
(4)政府信息公開工作的運行機制尚不完善,加之政府信息公開的工作量大,多數部門存在信息搜集整理不全的現象。
(5)電子政務信息安全體系建設有待進一步加強。構建電子政務信息安全體系信息安全是電子政務工程中不可缺少的重要組成部分。要認真貫徹落實國家保密要求、安全規定和工程實施規范,做到信息安全建設與網絡應用系統建設同步規劃、同步建設、同步驗收。要加大信息安全的投入力度,切實保證信息安全設施的運行維護。
基于互聯網電子政務系統的政務應用主要分為政務辦公、公共服務等。政務辦公的內容主要包括:政府部門內部的業務處理,如政府部門間的公文流轉、公文交換、公文處理、辦公管理和數據共享等。安全防護的重點主要包括對的身份認證、政務資源的授權訪問和數據傳輸保護等方面。公共服務的內容主要包括:面向社會公眾提供信息公開、在線辦事、互動交流等服務,安全防護的重點應放在系統和信息的完整性和可用性方面,特別要防范對數據的非法修改。
2 基于互聯網電子政務安全需求與實施原則
基于互聯網電子政務網絡相對于電子政務專網模式風險更大,這些風險主要來自于身份假冒、信息竊取、內容篡改、病毒侵襲等造成的破壞。基于互聯網的電子政務面臨的信息安全威脅主要有以下幾個方面。
2.1 身份假冒、口令竊取威脅
身份鑒別是網絡安全的基本要求,互聯網擁有大量用戶,系統很難分辨哪些是合法用戶,哪些是非法用戶,存在身份假冒等威脅。一旦政務辦公人員的身份被假冒,將影響到政府的辦公系統,一旦政務網站信息員或專家的身份被別有用心者假冒,將無法保證信息的真實可信。
2.2 信息竊取或篡改威脅
基于互聯網電子政務系統存在大量不宜公開的內部信息,如政務辦公系統的待辦公文等,互聯網作為高度開放的網絡,內部數據在傳輸過程中極易被竊取和監聽,內部數據要面對高水平黑客和別有用心者,信息泄漏的威脅更大。
2.3 系統面臨惡意攻擊的威脅
基于互聯網建設電子政務系統,遭到惡意攻擊的風險更大,特別是為企業和百姓服務的系統,允許從互聯網上直接訪問,雖然提高了服務范圍,方便了大眾,但是相對局域網而言,也面臨著更多來自互聯網的威脅。若不能保持服務窗口的良好穩定運行,勢必對系統的可用性造成威脅,影響政府形象。
2.4 病毒傳播和擴散威脅
互聯網上存在大量的資源和服務,人們在獲取資源和享受服務的同時,也極易將病毒帶回來。如今,病毒種類多、更新速度快,常常呈指數級的速度擴散,這將影響依托互聯網建設的政務網絡服務器的正常運行。
在基于互聯網電子政務系統建設過程中,除需要考慮內部安全以外,還要應對來自互聯網攻擊的防范,其安全需求主要包括:
(1)需要實現安全接入與安全互聯,在互聯網上構建安全的電子政務網絡;
(2)需要實現強的安全認證、授權管理與訪問控制機制,確保電子政務系統的安全訪問;
(3)需要采取分類分域防護措施,加強綜合防范和安全管理,進行不同類別信息和系統的有效保護。
基于互聯網電子政務信息安全風險應對的基本原則包括:
(1)信息不上網。基于互聯網電子政務系統不得傳輸、處理、存儲涉及國家秘密的信息。有關安全保密問題要嚴格遵循國家保密有關規定。
(2)適度安全、綜合防范。基于互聯網的電子政務建設應當根據應用系統的安全需求,合理配置信息安全資源,采取適當的安全措施,進行有效的安全管理,從管理、技術等各個方面進行綜合防范。
(3)分域控制、分類防護。實施分域邊界防護和域間訪問控制,保證信息的安全隔離和安全交換;針對不同類別的信息采用不同的安全防護措施。
綜上所述,政府網站區別于普通網站的最大特點在于其公布政府信息的準確性、全面性、及時性與權威性。通過政府網站,民眾應該能夠最有效地獲得政府信息。因此,應該充分利用因特網公布政府信息。在目前階段,可以考慮設定一定的標準,對政府網站的公開性進行社會評價,以促進政府上網工程向縱深發展。從長遠考慮,應該深入研究因特網給政府信息公開所帶來的新問題,包括技術的快速更新對信息保存方式的挑戰,信息的分類與定義,信息的公開與信息安全,信息來源多元化問題等等。只有對這些問題進行深入的研究,才可以趨利避害,充分發揮因特網公開政府信息的作用。
參考文獻
[1]GB/T 19715.信息技術第2部分:管理和規劃信息技術安全,信息技術安全管理指南,2005.
[2]GB/T 20270.信息安全技術.網絡基礎安全技術要求,2006.
篇(11)
中圖分類號:TP39 文獻標識碼:A 文章編號:1006-0278(2013)04-133-02
隨著當今通訊技術越來越寬帶化、多媒體化、智能化、個人化。計算機與電子商務的突飛猛進,創造出了一個更加高效、節能、快捷的辦公環境,甚至目前還出現了微博政務一種新興的方式。我國對電子政務的發展要求隨著當代經濟建設的快速發展和知識經濟的來到也越來越大,同時也被提出了許多新的要求,面臨著新的挑戰。在新形勢和新挑戰下,現代辦公自動化系統中的電子政務的開發需要進行新的設計。然而,整個政府電子政務的安全問題的好壞直接影響到了政府部門辦公自動化是否能夠有序的運行。所以,電子政務的安全問題是我們在對現代辦公自動化系統進行全面建設時必須要放在首位考慮的。
一、我國電子政務運行中存在的安全性問題
1.我國一些政府部門在處理政務時對于網絡過于相信,將許多十分重要的政務上的文件和資料在網絡上上傳。然而,對于網絡安全性的保護措施卻直接關系到了這些文件的安全。同時,我國在開始發展電子政務的初期,由于技術上和資金上的一些問題,在對于整個電子政務系統的規劃和建設中缺少了對于系統安全性的考慮,一些政府機構在其電子政務的建設過程中沒有對所涉及到的網絡的安行進行考察,這些問題都造成了我國現在電子政務網絡安全的防范工作不協調,給我國電子政務網絡的安全性建設帶來了巨大的挑戰。
2.我國是一個地大物博的國家,各個省的管轄區域十分大,這就讓我國對于整個電子政務的建設上帶來了困難,缺乏對地方的整體規劃和安排。由于我國不同地區的經濟發展狀況不同,東部地區的經濟較為發達,西部地區的經濟相對落后,造成我國整個電子政務建設的不平衡,東部地區的建設較為提前,西部地區的建設較為落后,這樣的不協調就給地方政府部門的政務建設帶來了一些阻礙。同時因為各個地區的經濟差異,使得各個地方政府部門在電子政務方面的投入不同,這樣對于各個地區的電子政務就沒有一個統一的安全標準,對于電子政務安全性建設難以把握,出現許多的安全問題。
3.我國自己研發的針對電子政務方面的軟件非常的少,都需要從外國購買使用權。許多政務信息中都包含有國家的重要機密,這些信息的安全性都需要依靠購買國外的安全保護技術的產品來進行保障。許多的電子政務的建設是以國外購買的安全保護技術的產品為基礎建立的,這樣的情況就威脅到了我國一些非常重要的政府部門機構的安全,許多電子政務信息材料的安全受到很大的威脅,進而對于國家的安全也造成了很大的危害。
4.我國電子政務經過這么多年的不斷發展,已經有一些基礎和規模,但是在對于電子政務的管理方面上還是比較薄弱的。一些政府部門只注重對電子政務規模的不斷建設,卻忽視了對管理方面的加強,對于安全防范的意識非常的薄弱。由于這些管理方面的問題,讓一些國家不法組織找到我國政府部門在電子政務方面的漏洞,在互聯網上損害我國國家利益的言論。
5.目前,我國還沒有一部法律來保障政府電子政務的安全性。由于我國將政務與網絡相結合的時間相對于發達國家來說比較晚,所以還沒有一個統一的標準來指導制定相關的電子政務安全法。
6.由于電子政務的辦公自動化在我國各個地方政府部門的普及還不是很廣泛,目前還沒有發現電子政務在安全方面出現大的問題,所以有關政府部門對于如何加強電子政務方面的安全性還不是很有經驗,對于安全問題的評估制度還是非常缺乏的。
二、我國電子政務發展中的安全問題產生的原因
1.我國對于電子政務硬件和軟件方面沒有自己的核心技術。目前我國所用的軟件后臺是通過購買國外技術的使用權,重要信息的安全受到巨大的威脅。同時,我國電子政務系統中使用的各種硬件設備大部分都是從國外進口的,國產設備非常的少。這些因素都給我國電子政務帶來巨大的安全隱患。
2.我國由于整個電子政務起步相對比較晚,同時對于資金的投入和整體網絡規劃的問題,造成我國整個電子政務系統的安全性建設缺乏規劃。
3.目前,許多的政府政務信息工作人員對于信息的安全意識和重視程度不強。他們通常使用手工來進行政務信息的辦公,還不能對電子政務辦公進行接受。
同時對于哪些涉及到電子政務方面的安全問題,他們還不是很了解。
4.一些政府部門只注重對電子政務規模的不斷建設,卻忽視了對管理方面的加強。這幾年來,安全管理體制的問題日益突出,安全管理制度相對發達國家非常的滯后。
三、我國電子政務安全管理的對策
1.電子政務系統的硬件設施是整個電子政務建設的基礎,所以對于其安全性的要求是非常高的。對于系統物理安全方面,可以通過國家制定的一些設計規范和一些技術安全要求來進行。在硬件設備的采購方面,多采用我國自主研發的設備,我國現在的技術水平可以提供給我們這樣的這種需求的設備,從戰略的角度考察,其能夠從根本上保障電子政務的安全問題。電子政務系統的軟件平臺也是非常重要的,我們最好是選擇具有我們自己知識產權的軟件產品。同時對于電子政務系統軟件中出現的問題和漏洞進行定期的掃描和檢查,迅速的發現問題和解決問題。通過采用一些安全軟件來保障電子政務軟件平臺在加載時的安全性。
2.在應用電子政務的時候通常會出現內網與專網、外網間的信息交換。我們出于對內網數據保密性的考慮,會盡量讓內網不要在外界環境中顯露。解決這個問題的有效方式是設置安全島,通過安全島來實現內外網間信息的過濾和兩個網絡間的物理隔離,從而在內外網間實現安全的數據交換。安全島是獨立于電子政務內、外網的一個特殊的過度網絡,它被置于內網、專網和外網相交的邊界位置,一方面將內網與外網物理隔離斷開防止外網中黑客利用漏洞等攻擊手段進入內網,另一方面又完成數據的中轉,在其安全策略的控制下安全地進行內外網間的數據交換。
3.對于電子政務管理上存在的安全隱患,我們可以從加強管理方面入手,提高管理人員的思想素質和業務管理水平,對于一部分保密單位或部門的管理人員更應加強管理。
4.電子政務建設和運行中無法保證數據萬無一失,一些非人為因素,如硬件故障、自然災害,以及未知病毒的感染都有可能導致政府重要數據的丟失。因此,在電子政務安全體系中必須包括數據的備份,對于出現特別的緊急安全狀況,我們應該提前做出電子政務安全的應急方案,以減少因為安全問題帶來的損失。建立信息安全的風險評估體系。風險評估主要是風險分析,它是指確定資產的安全威脅和脆弱性、并估計可能由此造成的損失或影響的過程,其結果是制定安全政策的重要依據,可以按照資產列表制定相應的安全政策。風險分析與評估包括準備階段培訓階段;資產確定階段;風險評估階段;風險策略階段。
