電子政務的安全風險范文
時間:2023-06-08 17:38:50
導語:如何才能寫好一篇電子政務的安全風險,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。
篇1
關鍵詞:電子信息安全;電子政務;風險評估;風險管理
以Internet為代表的計算機網絡本身就存在安全隱患是毋庸置疑的,加之電子政務系統對Internet的依賴性及其自身的特殊性決定了其安全問題的多層次性、重要性和迫切性。
二、電子政務信息安全風險的評估
(一)風險評估的幾種基本方法
第一,定量評估方法。定量的評估方法是指運用數量指標來對風險進行評估。定量方法的優點是,傳遞的信息量大。其缺點是,量化使本來比較復雜的事物簡單化、模糊化了,有的風險因素被量化以后還可能被誤解和曲解。第二,定性評估方法。定性的評估方法主要依據研究者的知識、經驗、歷史教訓、政策走向及特殊變例等非量化資料對系統風險狀況做出判斷的過程。定性評估方法的優點是可以挖掘出一些蘊藏很深的思想,使評估的結論更全面、更深刻;但它的主觀性很強,對評估者本身的要求很高。第三,定性與定量相結合的綜合評估方法。風險評估是一個復雜的過程,需要考慮的因素很多,有些評估要素是可以用量化的形式來表達,而對有些要素的量化又是很困難甚至是不可能的,所以應采用定性與定量相結合的評估方法。定量分析是定性分析的基礎和前提,定性分析則是靈魂,是形成概念、觀點和得出結論所必須依靠的。
三種風險評估的分析方法如下圖所示:
(二)電子政務信息安全風險評估方法
在電子政務風險評估中,OCTAVE方法得到較多應用。然而,OCTAVE是一個相對不太靈活的評估方法。在此方法的實施過程中,只提供一種原則,選擇一個目標,建立一個工作小組。一旦選取了原則,其他的工作組也必須使用已經存在的原則去處理他們所面對的問題。然而每一個小組的運行模式也許是不同的,一些會注重數量,而另一些會注重質量。杜人杰以改進的OCTAVE方法為起點,結合AHP與FTA提出了電子政務信息安全的三元集成方法,對單純的OCTAVE方法進行了改進。湯志偉提出采用“可操作的關鍵威脅、資產和弱點評估”模型作為理論依據,利用層次分析法確定權數,以主觀概率來描述指標的隸屬度,建立了電子政務信息系統風險的模糊綜合評估方法。
此外,應用集成的風險研究方法也被應用到電子政務中。此方法將網絡系統中的安全防護分為兩個方面:一是網絡系統中存儲和傳輸的信息數據;二是網絡系統中的各類設備。這樣,既保證了政務業務的正常運行,同時又防止信息數據被非授權訪問者的竊取、篡改和破壞。應用集成的研究方法只是從微觀上進行了評估,將絕大部分注意力主要集中在來自硬件等技術層面的風險,沒有把重點放在管理上。
三、電子政務信息安全風險的管理策略
(一)樹立政務安全的基本觀念,避免進入“絕對安全”的誤區
安全的界定隨著時間、地點的不同而變化,信息安全是一種沒有底線的風險游戲。對電子政務而言,系統的安全策略總不可能保證絕對的安全,因為對任何技術或安全策略來講,給人足夠的時間都是可以攻破的。因而,我們在進行電子政務安全建設和管理中首先要樹立相對的安全觀,在現有條件下可以保證該保護的系統和信息資源的安全就是最好的安全。盲目追求“絕對的安全”,到頭來既會造成投資的浪費,也會使該保護的沒有保護好,無法發揮安全系統的最好效用。
(二)加強政府部門的管理職能,保障信息安全管理的有效性
政府相關部門應當聯合制訂信息化建設的網絡與信息安全專項資金政策,保證信息安全投資應占總投資的 15%-25%之間;同時由政府制定強制性的網絡與信息安全裝備監督檢查政策并進行監督檢查。要全方面地對信息安全服務商的資質能力制訂相應標準與行政監管措施,推行安全服務資質和進入市場的信息安全產品和集成的信息化項目的強制性安全認證。
(三)全面提高用戶自身管理水平,減少信息風險的入侵
各部門、各行業、各單位等用戶是信息化建設的主體,也是網絡與信息安全保障體系建設的主體,能否全面提高用戶信息安全管理的意識和水平,決定著網絡與信息安全保障體系能否真正建成。要通過政府引導,有關執法部門加強管理和宣傳教育,促進各類用戶建立信息安全管理機構,認真執行國家有關政策法規,推行標準化,采用技術措施,制定規章制度,配備和培養有關人員,選擇合格服務商等,全面提高其安全管理水平。鑒于此,建立高水平的研究教育環境,加強信息安全基礎理論研究,培養大批高素質的信息安全人才顯得尤其重要。
(四)重視安全風險分析評估,做到“早發現早治療”
安全利益與風險是整個網絡與信息安全保障體系的核心。只有了解、分析、評估和確定各部門、各行業、各單位的安全利益與風險,包括確定其安全利益與風險的大小,才能有效合理地配置有關技術、管理、人員等資源去實施保護,才能合理確定所利用資源的多少和保護強度的高低等。因此,網絡與信息安全保障體系中最基礎的工作是建立信息安全利益與風險分析評估體制。
參考文獻:
篇2
1、從網絡層安全風險角度。
電子政務的網絡層安全風險主要體現在數據傳輸風險、網絡邊界風險以及網絡設備安全風險等方面。在數據傳輸風險中,往往存在業務數據泄露以及數據被破壞的情況。利用上下級網絡或同級局域網絡進行數據傳輸過程中由于包含相關的敏感信息或其他登錄通行字且缺乏專門控制數據的軟件與硬件,不法分子會采用不同的攻擊手段竊取或直接破壞數據信息。在網絡邊界風險方面,由于電子政務中的網絡節點多為不可信任域,入侵者很可能利用Sniffe等程序對系統中的安全漏洞進行探測,并在此基礎上竊取內部網中的用戶名或口令等信息,導致系統癱瘓的情況發生。同時內網與外網的互通也是產生網絡邊界風險的重要原因。在網絡設備安全風險方面,主要體現在如路由器或交換機等設備方面,其安全性關乎電子政務系統的運行。
2、從物理層、系統層與應用層角度。
電子政務系統中的物理層風險主要指周邊環境對網絡或線路所造成的影響,如設備的毀壞、設備被盜或線路老化等情況,也存在自然災害等對設備造成的破壞。通常可利用物理隔離技術解決物理層風險。而系統層的風險主要指電子政務中的數據庫、操作系統以及其他相關產品使用中存在的病毒威脅以及安全漏洞等,是影響系統安全的重要因素。另外,應用層安全風險集中體現在非法訪問政務系統;業務信息被修改;用戶口令的被盜取以及用戶的事后抵賴行為等方面,尤其電子政務系統對外開放的E-mail或DNS等服務都可能成為補發分子侵入的渠道。
3、從管理層安全風險角度。
電子政務網絡安全的實現很大程度上依托于良好的管理方式。許多部門在進行安全管理過程中存在的管理混亂、權責不明以及可操作性的缺乏都可能產生管理層面的安全風險。另外管理過程中許多機房重地允許外來人員的自由出入,很可能使其中重要信息被泄露,其原因在于管理制度的匱乏。
二、電子政務網絡安全的完善措施
1、對安全服務設施的完善。
作為電子政務網絡安全的基礎,安全服務設施應逐漸完善。其作用主要體現在能夠為系統的運行提供可信任的網絡環境以及安全技術應用的參考依據。因此需對其中的信任問題如可信的身份、網絡信任域、可信的數據以及可信的時間服務等存在的問題進行解決。
2、安全技術平臺的構建。
在網絡信任問題被解決的基礎上還需采取相應的安全策略如通訊加密、掃描漏洞、檢測病毒與入侵、訪問控制等,以此使網絡安全環境得以保障。然而網絡環境安全的實現又需構建安全技術平臺,其應將電子政務中內網、外網以及專網間的數據交換、對信任域的訪問控制、對內部網Internet訪問策略、身份識別等內容囊括其中,確保其能夠為安全技術提供支撐平臺,解決信息泄密與網絡空寂的問題。
3、響應與恢復機制的建立。
由于電子政務系統中往往包含許多信息,在面對網絡攻擊、系統故障或自然災害等情況下很容易出現丟失或損壞的情況,因此需構建響應與恢復機制,確保電子政務系統能夠在備份與恢復、大容量存儲、自動恢復機制以及存儲介質等方面進行完善。這樣才可將因數據信息丟失或被破壞所造成的損失降至最低程度。
三、結論
篇3
關鍵詞:電子政務;安全管理;策略研究
中圖分類號:TP311 文獻標識碼:A 文章編號:1009-3044(2014)05-1150-02
時代的發展促進了科技的發達,而科技的發達加速了社會的進步,2010年我國出臺了基于互聯網的電子政務建設指導意見,這一標準的出臺給縣級電子政務建設帶來極大的推動力量,使得我國縣級電子政務建設出現了嶄新的局面,然而,值得關注的是良好的電子政務建設必須有全面、科學的統一規劃,高素質的操作人員和安全保障體系,因此,面臨當前縣級電子政務發展階段對安全管理的需求,深入探索有效的解決策略和創新方法具有十分重要的現實意義。
1 電子政務安全風險特征分析
當前電子政務安全風險主要表現在兩方面:一是關于資產價值,二是互聯網的運行環境。根據這兩個主要因素可以分析當前縣級電子政務安全風險特征主要有以下幾點:
1)資產價值信息少
建立縣級電子政務體系,目的是保證政府職能部門政務公開,拓展政務公開渠道,然而在實際操作中公開信息多,而信息少,政務公開的目的是為廣大企業和公眾提供廣闊的信息渠道,然而實際上保密信息的內容不多,起不到實際的價值和作用。
2)安全等級比較低
由于互聯網的大量使用,在電子政務安全管理中有害程序事件、互聯網攻擊事件、信息破壞事件、設備故障事件等多有可能隨時發生,但是由于縣級電子政務建設中安全管理措施還不完備,遇到這些問題缺乏相應的處理經驗和處理措施,往往會危害國家社會秩序和公眾利益,給電子政務建設帶來巨大影響。
3)安全需求性提高
對于縣級電子政務建設中,服務于民眾,為企業和公眾帶來便捷性的服務是重點,同時應用是關鍵,只有合理而科學的應用電子政務系統,才能真正實現電子政務建設的出發點和最終目標,不能良好的應用成為電子政務風險的主要特征。
4)管理策略不完善
縣級電子政務管理中人員因素最為關鍵,電子政務的使用人員、計算機管理人員等,他們的專業水平和整體素質極其相應的安全管理意識等,都直接影響著安全管理結果,因此,人員的素質是影響著管理策略的主要因素。
5)安全威脅在增加
由于互聯網本身安全機制比較薄弱,為了獲得某種利益有些人假冒身份,竊取口令,或者利用木馬或者病毒竊取信息,或者篡改主頁,造成網站信息混亂,有的竊取數據,導致信息大量流失,或者服務窗口被劫持,在網站上出現的大量非法信息,給社會的安全穩定帶來嚴重的影響,因此,縣級電子政務安全管理中,互聯網安全信息管理也是十分重要的因素。
2 縣級電子政務安全管理管理優化策略
面對各種的安全風險因素,電子政務安全保證是一個十分復雜而又重要的任務,因此,不僅需要各個部門內部進行統一規劃,實施有效的配合管理,而且需要整個領域中形成良好的管理策略,探索先進的技術方法。
1)提高認證力度,實現安全監督
對于電子政務系統來說,身份的識別十分關鍵,需要加強身份認證服務,建立健全電子政務業務實體定義的唯一電子身份標識,只有通過這一標識之后才能實現身份的認證,這樣可以避免各種假冒身份者的侵入;其次,必須保證數據的完整,利用信息技術保證信息在收發雙方的一致性,保證信息的一致性目的是為了避免中途信息被修改的現象發生;另外,為第三方驗證信息的真實性和信息的完整性提供必要的證據,這樣的規范是為了面對電子政務糾紛中法律證據提供必要的保證,利用第三方平臺來實現信息管理的完整性和嚴密性,當然,第三方平臺由誰來管理,怎樣管理等都需要進行更深入的探討,認證中心建立必要的立項和審批需要公安信息網絡的審核,保證合法性。
2)提高人員素質,實現安全管理
對于電子政務維護中心來說,應用程序的開發和利用,系統的運行和日常維護等都涉及到大量信息的安全性問題,其中主要涉及兩方面:一是信息技術的加強,一是信息人員的管理。尤其是人員的管理中,當前電子政務建設雖然逐步走上正軌,但是操作人員信息技術水平不高,大專院校的信息技術專業畢業生較少,整體來看應用系統利用不完善,人員技術水平較低,尤其是遇到一些關于安全領域較深層次的問題,操作人員常常束手無策,嚴重的影響了電子政務安全管理水平的提高和發展,因此,加強信息技術人才的引進和培養,是提高縣級電子政務安全管理的主要途徑。
3)完善安全制度,加強行政管理
為了提高縣級電子政務安全行政管理,需要從多方面加強機構的組建和制度的完善,首先建立安全小組機構,通過組織機構來實現統一的規劃管理,體制網絡系統不安全因素,完善各種安全策略和措施,進行多方面安全事件的協調等,如人事的審查和任用,崗位職責的制定,工作情況的評價,各種培訓事務等;同時,要建立健全安全責任制度,如系統運行管理責任制度、計算機控制管理制度、信息資料管理制度、監督制度、病毒防護制度等,通過建立這些制度不斷加強工作人員的責任心和使命感,提高行政管理力度,不斷促進電子政務建設的健康發展。
4)加強基礎建設,提升技術管理
信息安全技術管理在縣級電子政務安全管理中具有十分重要的作用,可以從三方面進行完善和加強。首先是加強硬件建設,加強對計算機、網絡等設備的常規管理和保護,避免因為火災、水災等自然災害造成設備的損壞,保證設備的安全是加強電子政務安全管理的必要前提;其次,加強軟件管理,對于軟件應用系統要注意升級與管理,避免被偽造、破壞和篡改等,保證儲存和操作的安全性;另外,對于系統的使用較強密鑰管理,對系統的備份、初裝、恢復等均采用科學而嚴密的操作,避免出現信息泄露現象發生。
3 結束語
總之,縣級電子政務安全管理工作十分重要,不僅關系到政府職能部門能否扮演好可以為社會當好家、服好務的形象,同時也關系到企業和廣大民眾的切身利益,因此,必須加強縣級電子政務的安全管理,從人員、設備、應用等多角度出發,優化管理措施,加強管理力度,促進電子政務建設的良性發展。
參考文獻:
[1] 李佳娜.電子政務安全風險分析及解決方案[J].中小企業管理與科技:上旬刊,2010(9).
篇4
[關鍵詞]電子政務;信息安全;工作模式;公共服務
doi:10.3969/j.issn.1673 - 0194.2016.20.093
[中圖分類號]D630 [文獻標識碼]A [文章編號]1673-0194(2016)20-0-01
信息技術的發展給人類社會生活帶來了翻天覆地的變化,也開啟了政府公共管理與服務的新模式,“電子政務”成為受到政府部門追捧的新工作平臺,從概念上講,“電子政務是政府公共事務管理方式的革新,是政府等公共事業部門運用計算機、網絡和通信、互聯網等多種IT信息技術手段的業務管理模式。”電子政務相比于傳統的政務管理模式具有多方面的優勢,是現代政府管理信息化、網絡化、透明化、民主化與服務性實現的重要手段和方式,公開、透明、有效與互動是電子政務的主要特點。
當然,電子政務在改變政府工作模式,提高政府工作效率和公共服務效果的同時,也面臨著新問題和新挑戰。因為政府工作通過數字化、信息化的手段處理和表現出來,信息安全就成為了首先被關注到的問題。“信息安全指的是在信息技術的應用過程中對信息技術和數據進行的安全和保護,防止計算機內的數據因遭受惡意軟件的侵襲而造成泄露或者更改,維持計算及系統正常的運行。”信息安全對于電子政務的重要意義是不言自明的,因而,本文著重討論電子政務中的信息安全問題,并針對這些問題提出相應的策略。
1 電子政務中的信息安全問題
1.1 電子信息技術本身存在的問題
電子信息技術本身存在著一些難以避免的安全漏洞。“軟件漏洞、網絡數據系統漏洞等各個方面的漏洞還是給電子政務安全帶來了很多難以根除的安全缺陷。”這些微不足道的瑕疵和漏洞,在政府電子政務數據庫系統和信息平臺中,可能就會造成不可估量的損失和傷害。應該說,正是這些漏洞給了不法分子盜取、篡改數據信息的機會,由此帶來的風險是政府內部機密信息、文件的泄露或損失,為電子政務安全帶來極大的威脅和風險。
當然,僅僅是這些漏洞本身并不會造成重大安全事故,因內部漏洞本身所帶來的系統脆弱性所給外部不法分子帶來的入侵的機會,才是信息安全問題產生的最直接原因。“政府電子文件包含了國家或非信息,當電子文件在網絡上傳輸時,特別是通過開放的因特網傳輸,很容易被他人非法截取,可能導致國家信息的泄漏、被刪除、被篡改,對國家的政治、經濟、軍事、安全等相關利益造成損失。”
1.2 政府工作人員的信息安全意識欠缺
事實上,大多數政府工作人員對電子信息系統本身的安全問題和安全漏洞的了解并不深入,信息安全意識也不強,在日常工作行為上就會經常出現一些安全失誤,或者由此增大電子政務中的信息安全風險。例如:政府保密信息在網絡傳輸過程中不進行加密,U盤、移動硬盤等設備在存有政府機密數據信息的電腦上使用,或者不對輸入的數據信息進行加密備份,因誤刪數據導致信息缺失、不完整等。尤其是應用政府內部電腦登錄外網,給整個電子政務網絡信息平臺帶來巨大的安全風險。而這些問題,普遍不是政府工作人員蓄意所為,都是因信息安全意識的薄弱而造成的“不注意”“不小心”,卻可能導致嚴重的后果。
1.3 政府工作人員的技術能力尚待提高
應該說,當前,電子政務在中國已經被廣泛使用和普及,但政府工作人員構成卻依舊保持原狀。絕大多數政府工作人員都不具備足夠應對信息安全風險,處理緊急信息安全事故的專業知識和技術能力。政府工作人員是電子政務信息平臺中數據信息的輸入者、傳播者,卻不是信息系統的監控者和維護者,大多數人的水平也只是停留在辦公系統應用上,人員的專業素質和技術水平還不能支撐起政府信息安全的維護。
2 應對信息安全問題的策略分析
2.1 加強信息安全意識培養
第一,加強管理人員的信息安全意識培養。在政府中“上行下效”是非常重要的,管理人員的意識和行為對整個系統中的工作人員都有很大的影響。因而,加強管理人員的信息安全意識培養才有利于政府內部相關工作開展的順利進行。第二,加大宣傳教育力度。在政府中,應用電子政務系統進行工作最多的還是基層的工作人員,他們負責信息的錄入、保存、傳輸等具體細致的工作,很多電子政務中的信息安全問題就是由這些工作人員的意識不強,經常“不注意”“不小心”,認為沒關系導致的。這些基層工作人員的意識欠缺,很多是由于認知不足造成的,因而,加強宣傳教育就顯得十分重要。
2.2 注重技術能力的提升
技術能力提升來自于兩個方面,一方面,是在政府工作人員團隊配置上。從目前政府工作人員結構上來看,從事電子政務工作的人員絕大多數都不是電子信息技術等相關專業出身,也很少有政府工作部門在每一個電子政務環節都配備相應的懂技術的專業技術人員,因而,在未來的政府人員架構上,應注重向這個方向上的配備傾斜,使專業的信息安全工作能夠交給專業的技術人員進行處理和解決。另一方面,從現實工作的角度上來講,每一個接觸到電子政務信息系統的工作人員都面對信息安全問題的挑戰,系統脆弱性的客觀現實只能在技術發展問題中逐步得到解決,但舊的問題解決,新的來自外部的挑戰也會產生,因而,在客觀條件沒有辦法得到根本改善的情況下,提高所有從事電子政務工作的政府工作人員的信息安全維護技術水平就十分重要。公共部門也應該想辦法進行定期的培訓工作,并通過技術比賽和應急事件演練等方法,提升隊伍整體的技術能力。
篇5
關鍵詞:電子政務外網 安全管理平臺 SOC 安全策略
一、前言
國家電子政務外網作為一個支持跨部門和地區業務應用、數據交換和信息共享的電子政務建設的新生事物,盡管其建設規模還不大,建設時間也不長,但在國家有關部門的指導和支持下,依靠各部委和各地的通力合作,它已經充分展現了一個創新性網絡巨大的活力,開始得到了各部門和各地的重視和關注。目前,已有30多個部門的系統平臺接入政務外網,例如國務院應急辦國家應急平臺外網系統、自然資源和地理空間基礎數據庫、文化部文化信息資源共享平臺等一批關系國計民生的重要系統接入政務外網。從政務外網建設及應用情況來看,各部門對政務外網的需求是緊迫的,同時也對政務外網的安全性有了更高的要求。
二、國家電子政務外網安全管理平臺概述
如何對國家電子政務外網的安全進行有效的管理,如何保證利用政務外網開展業務的應用系統的安全性,是對負責政務外網網絡安全的人員管理能力的一種考驗。傳統的安全管理方式是將分散在各地、不同種類的安全防護系統分別管理,這樣導致安全信息分散、互不相通,安全策略難以保持一致。因此這種傳統的管理運行方式成為許許多多安全隱患形成的根源,很難對國家電子政務外網進行統一的、有效的安全管理。
國家電子政務外網安全管理平臺(Security Operation Center,SOC)為電子政務外網制定統一安全策略、統一安全標準,實現全網統一管理和監控,保障電子政務外網安全、穩定、高效地運行,實現政務外網基于安全的互聯互通。國家電子政務外網安全管理平臺實現了將不同位置、不同類型設備,不同安全系統中分散且海量的單一安全事件進行匯總、過濾、收集和關聯分析,得出整個電子政務外網的全局安全風險事件,并形成統一的安全決策對安全事件進行響應和處理,從而保障電子政務業務應用系統的真實性、完整性和保密性。
三、國家電子政務外網安全管理平臺框架
國家電子政務外網安全管理平臺(SOC)的主要思想是采用多種安全產品的Agent和安全控制中心,最大化地利用技術手段,在統一安全策略的指導下,將系統中的各個安全部件協同起來,實現對各種網絡安全資源的集中監控、統一策略管理、智能審計及多種安全功能模塊之間的互動,并且能夠在多個安全部件協同的基礎上實現實時監控、安全事件預警、報表處理、統計分析、應急響應等功能,使得網絡安全管理工作由繁變簡,更為有效。
國家電子政務外網安全管理平臺(SOC)的體系架構具備適應性強(能夠適用于不同省級節點接入網絡和系統環境)、可擴充性強、集中化安全管理等優點,其框架體系主要是為了解決目前各類安全產品各自為陣、難以組成一個整體安全防御體系的問題。真正的整體安全是在一個整體的安全策略下,安全產品、安全管理、安全服務以及管理制度相互協調的基礎上才能夠實現。國家電子政務外網安全管理平臺(SOC)框架如圖1所示。
四、國家電子政務外網安全管理平臺的主要功能
國家電子政務外網安全管理平臺為系統管理員和用戶提供對系統整體安全的監管,它在整個政務外網體系與各類安全技術、安全產品、安全防御措施等安全手段之間搭起橋梁,使得各類安全手段能與現有的國家電子政務外網應用體系緊密結合而實現無縫連接,以促成網絡安全與國家電子政務外網應用的真正一體化。目前,國家電子政務外網安全管理平臺基本實現了對國家電子政務外網中央城域網、廣域網骨干網的主要網絡設備、安全設備和網絡承載的業務系統的安全事件的管理,并具備監控、預警、響應、審計追蹤等功能。
圖2描述了國家電子政務外網安全管理平臺的功能框架。以下對其功能予以詳細闡述。
⒈統一管理
政務外網安全管理平臺(SOC)建立在安全設備部署的基礎之上,主要圍繞安全的預防、發現、反應環節搭建,實現了安全預警、集中監控、安全事件處理等更高層次的安全管理。這些建立在安全設備部署之上的安全管理包括:預防環節的安全預警信息通告,安全評估結果綜合分析的安全信息庫;發現環節的收集防火墻、入侵檢測、日志系統、防病毒系統中的有關安全事件,呈現安全告警的集中安全監控系統;反應環節的以電子流的方式,進行安全事件處理流轉,保存安全事件處理經驗的安全事件運行系統。
政務外網安全管理平臺(SOC)對各種安全產品的監控和管理,可以利用各個安全子系統中已有的信息采集和控制機制來實現,也可以采用直接與安全設備交互的方式進行,主要取決于各個安全子系統自身的構架以及提供的管理接口。
⒉安全事件實時監控與實時通報
網絡安全工作的本質在于控制網絡安全風險,風險管理是安全管理的核心。考察安全成本和安全威脅后果之間的關系,以可接受的成本來降低安全風險到可接受的水平。
國家電子政務外網上的各種安全設備和產品每天都要產生大量的各種安全事件。對這些事件的集中監視是控制網絡風險、保證網絡業務正常運行的重要手段。國家電子政務外網安全管理平臺專注于整個政務外網安全相關事件的實時監控,收集并匯總重大安全事件的數據(如:大規模蠕蟲事件,重大攻擊事件等),進行關聯性分析,全面提高對網絡事件的快速反應能力;同時,將安全事件備份到后臺的數據庫中,以備查詢和生成安全運行報告。
安全事件通報與業務系統、工作流緊密結合。國家電子政務外網安全管理平臺在發現某政務外網業務系統內出現安全事件后,還將及時把這些安全事件通知各業務系統的管理員以便及時予以處理。
⒊全網統一安全策略
對于電子政務外網的安全運行維護,最具有挑戰性的莫過于保持全網策略的一致性。尤其是對于日新月異的網絡安全技術,需要經常性頻繁應對出現的新漏洞,根據新的業務調整安全策略。
國家電子政務外網安全管理平臺支持統一、集成的策略管理,包括策略的制定、分發和策略執行情況的檢查。安全策略管理包括設備安全策略、事件響應策略和全局安全策略等。
統一安全策略管理制訂全網的安全策略,這些策略文件可下發給各相關部門,通過直接(也可以手工)的方式進行配置落實。策略的管理能夠通過全局策略的調整、業務的變化、各網管和部門反饋來的意見等情況,不斷調整、優化安全策略。
⒋基于角色的安全事件可視化
國家電子政務外網安全管理平臺提供統一的安全管理,并為不同級別和性質的管理員提供不同層次和性質的管理視圖。由于電子政務外網內部網絡系統是一個復雜的分布式大規模網絡,因此核心層、分布層以及接入層的網絡管理員具有不同的職責。系統不但能夠提供運行核心層的管理員對所有安全系統宏觀的管理視圖,也能夠為各地主要業務網絡的管理員對自己管轄區域內的安全設備和安全系統部件進行區域自治管理,此外,還能夠通過安全管理平臺(SOC)對分布于整個網絡的某個安全子系統,進行整體安全策略的發放和狀態監測及管理。
安全管理平臺(SOC)根據需要設置可視化條件,實時在全網拓撲圖中顯示最重要的多組事件,包括設備名稱、事件定位、風險概況、脆弱性等信息(如圖3所示)。
⒌安全事件關聯分析
安全管理平臺(SOC)要對各個不同安全設備(入侵檢測、漏洞掃描、防火墻等)報告的安全信息進行集中的數據挖掘和分析,進行全局的相關性分析和報表顯示,以發現低級安全事件相關聯后表現出的高級安全事件,以及異常行為之間、漏洞和入侵之間的對應關系,便于對攻擊的確認和安全策略的調整。國家電子政務外網安全管理平臺目前支持基于規則的關聯分析、基于統計的關聯分析和基于漏洞的關聯分析等3種形式。根據此關聯分析的功能,結合國家電子政務外網的業務應用系統的事件特征,通過分析與制定安全域與業務安全控制策略和基于業務應用的流程異常監控,制定相關的特定關聯分析規則,配合事件監控、拓撲管理及綜合顯示等方面的內容,從而實現國家電子政務外網業務安全監控及追蹤功能的事件定位。
⒍宏觀分析與安全決策支持
安全管理平臺(SOC)應支持對各安全設備上報的所有安全數據進行宏觀統計、分析和決策支持。宏觀統計分析主要是在大量數據的基礎上,對安全事件進行綜合分析,比如將攻擊信息和安全漏洞信息關聯起來,產生詳盡的安全報告,提供安全決策支持,強有力地支持全網安全事件的及時發現(檢測)、準確定位(追蹤)、盡快處理(應急響應)、進一步防范(預警)以及全網安全策略制定(策略)。國家電子政務外網運行維護管理員根據宏觀分析提供的全局安全狀況和安全態勢信息,并結合電子政務外網的管理體系、人員管理規章制度、管理流程以及行政管理規定,為針對安全事件的處理決策提供支持。圖4、圖5展示了安全管理人員可以借助安全管理平臺展示的全方位安全信息對政務外網的安全態勢進行宏觀把握,為決策提供支持。
⒎安全事件全局預警
對于像沖擊波、紅色代碼等危害較大的網絡蠕蟲的較大規模入侵,從一個地區向另一地區滲透可能有一定的延時。在這段延時期間,安全管理平臺(SOC)有義務將這種警報到尚未受攻擊的區域中去,以起到提前布防的預警作用。
國家電子政務外網安全管理平臺接到的報警如果符合提前設定的全局預警范圍,則將其下發到非來源的省級政務網絡中心,結合報警信息轉發及上傳的功能,實現這一報警事件下發到所有省級政務外網結點(如圖6所示)。
⒏安全事件知識庫
為了實現安全事件的集中收集、記錄、審計和流程化處理(集中、分類、入庫、處理),共享最新安全知識,保證國家電子政務外網安全人才的儲備,安全管理平臺(SOC)建立安全事件知識庫。知識庫將國家電子政務外網各級安全管理平臺的安全管理信息收集起來,為國家電子政務外網各級安全維護人員形成統一的安全共享知識庫,以完成安全信息管理和WEB,主要實現安全管理信息、安全事件庫、安全策略配置庫、安全技術信息交流、處置預案庫、補丁庫、安全知識庫等欄目的信息管理和瀏覽。安全管理員可以通過安全知識庫的輔助工具學習,了解相關知識,輔助進行運維工作。圖7是一個安全知識庫的截屏。
五、國家電子政務外網安全管理平臺的部署
根據國家電子政務外網安全管理平臺的組成,政務外網安全管理平臺最終建成分層分級結構:頂級為國家級安全管理平臺,第二級為省部級安全管理平臺,第三級為縣市級安全管理平臺。各級網絡安全管理中心負責對本級電子政務外網實施安全監控和集中管理。上級網絡安全管理中心可對下級網絡安全管理中心進行統一安全策略、運行狀態監控、安全信息收集等操作。下級網絡安全管理中心可接受上級網絡安全管理中心的安全預警信息。國家電子政務外網安全管理平臺整體部署如圖8所示。
在部署政務外網各級安全管理平臺過程中,涉及兩類下級安全管理平臺:一是新建的安全管理平臺,另一類是已建的安全管理平臺。對于新建的安全管理平臺在接入上級安全管理平臺時將在統一設計、統一標準、統一技術規范、統一部署的原則下進行建設,與上級安全管理平臺實現平滑和無縫對接。
部分電子政務建設比較好的省市,可能已建成安全管理平臺。在這種情況下,由于早期建設的安全管理平臺沒有統一的標準和規范,在管理對象、管理方式、協議支持等方面不盡相同,所以此類安全管理平臺不能直接與國家級安全管理平臺進行對接。因此需要針對不同的安全管理平臺進行調研和分析,本著最小改造的原則,為其增加設備,通過機制實現其與上級安全管理平臺的對接。
六、總結
目前,國家電子政務外網中央安全管理平臺的建設已基本建設完畢。通過幾個月的建設工作,安全管理平臺的實施為國家電子政務外網的安全運轉提供了良好的保障。首先,國家電子政務外網安全管理平臺提升了信息安全事件的處理水平。因為大量的安全事件通過安全管理平臺的過濾、歸并和排序后,降低到一個人工能夠處理的數量級。另外,安全管理平臺(SOC)自帶的專家知識庫能夠幫助平臺管理員正確地處理事件,減低了安全技術的門檻,為運維人員提供了有力的技術支持。其次,國家電子政務外網安全管理平臺提供了良好的可視化技術,用圖形化的方法向管理員展示了整個國家電子政務外網的安全整體狀況,便于管理員從宏觀上對全網的安全態勢進行整體把握。
綜上所述,國家電子政務外網安全管理平臺的實施是針對政務網絡系統傳統管理方式的一種重大變革。它結合政務網絡自身的特點,將不同位置、不同安全系統中分散且海量的單一安全事件進行匯總、過濾、收集和關聯分析,得出全局角度的安全態勢,并形成統一的安全決策對安全事件進行響應和處理。
作者簡介:
郭紅,女,1966年生,漢族,北京人,高級工程師,國家信息中心網絡安全部處長,研究方向:網絡安全。
王勇,男,1977年生,漢族,山東鄄城人,國家信息中心網絡安全部工程師,研究方向:網絡安全。
篇6
關鍵詞 SOA;電子政務;安全性;流程
1 引言
隨著計算機技術、信息技術、安全技術、軟件工程技術的高速發展,電子政務也逐漸發展成熟。政府的信息化系統既是社會的信息服務系統,同時也是政府自身的管理系統。電子政務是保證政府各部門信息共享,信息收集,數據處理的主要工具。從政府信息多樣性,繁瑣性,多變性的特點來看,電子政務采用SOA的架構是比較適合的架構。因為分布于各部門和社會各單位中的系統是各自獨立的也是千差萬別的,當執行數據處理任務的時候,又需要這些系統進行協同操作,此時SOA就有了優勢。本文從多個角度探討了SOA架構下的電子政務的實施方法。
2 SOA架構的概念
SOA面向服務的體系結構(Service-Oriented Architecture)是一個組件模型,它將應用程序的不同功能單元通過這些單元之間定義良好的接口和契約聯系起來[1]。接口是采用中立的方式進行定義的,它獨立于實現服務的硬件平臺、操作系統和編程語言。這使得構建在各種這樣的系統中的各個單元可以用一種統一和通用的方式進行交互。這種具有中立的接口定義的特征稱為服務之間的松耦合。松耦合系統的好處有兩點,首先是它的靈活性,其次是當組成整個應用程序的每個服務的內部結構和實現逐漸地發生改變時,它能夠繼續存在。
3 電子政務面臨的安全問題分析
目前,我國的電子政務正在逐步實現由“政績導向”向“服務導向”的轉變。以服務為中心,使老百姓能得到更廣泛、更便捷的政府信息和服務,使政府真正轉變為服務型政府。因此,以公眾服務為中心,服務公眾就成為電子政務建設的出發點。以公眾服務的角度去看電子政務全局,面向服務去重新梳理業務流程,即面向服務去詳細描述政府和公民互動的過程、政府履行的各種業務與功能以及關鍵的業務流程。在這種大環境和背景下,實施SOA架構的電子政務建設就顯得勢在必行。
在這種環境下,利用信息化的手段,達成自上而下的政府業務標準和業務資源的統一,實現數據自底向上的快速準確匯集和業務自上而下的高度協同就顯得十分重要。而其中電子政務建設的安全性是一個非常重要的研究點。電子政務事關一個地區、一個系統甚至一個國家的利益,如果電子政務的信息安全失去保障,其后果是不堪設想的。電子政務安全風險的主要表現形式有:網上病毒泛濫和蔓延;信息間諜的潛入和竊密;網絡恐怖集團的攻擊和破壞;網上黑客入侵和犯罪;內部人員的違規和違法操作;網絡系統的脆弱和癱瘓;信息產品的失控。由于信息技術發展的歷史原因和建設資金問題,我國電子政務網絡的建設在規劃上經常缺少前瞻性的安全規劃。隨著安全問題的不斷出現,只能在運行過程中不停地修修補補,但是這種修補只能解決暫時的問題,解決一個問題后,往往又有新問題出現。如何控制電子政務建設中面臨的安全風險,如何進行電子政務的安全建設,是目前需要解決的問題。
4 SOA架構下安全實施電子政務系統的方法
在具體實施SOA架構的電子政務系統應如何面對其安全性的挑戰,根據筆者的研究認為,對于SOA架構下的電子政務系統可以從以下幾個方面入手。
(1)系統規劃建設。以SOA架構規劃整個電子政務的應用程序是比較繁雜的。對其進行保護也更為困難。經常需要采用各種各樣的視角對其加以觀察。甚至需要專門的安全人員進行相關工作。團隊負責人應該透徹的了解軟件體系結構和安全性方面的知識,應同時了解SOA的相關知識。團隊中的安全架構師將負責創建系統的安全模型。同時,安全架構師將與項目架構師配合工作,確保SOA實現符合安全性的要求,并對電子政務業務分析人員和系統工程師進行安全性指導。安全架構師還需要負責與程序員及測試人員充分溝通。
(2)項目計劃。需要制定完善的項目計劃和預算,對SOA安全實現所必需的要求全部清楚地說明和反映。以SOA電子政務模型的任何轉換都可能涉及到固有的安全矛盾:系統的面向服務架構特征越明顯,其安全性越差。通過面向服務的建模和分析技術將當前傳統電子政務系統轉換為面向服務的電子政務系統過程必須要形成電子政務流程設計的相關文檔。SOA在電子政務系統上安全實施需要項目組做詳細的項目規劃和預算,為安全性團隊分配必要的時間,以便深入分析和了解實現SOA所帶來的新挑戰。
(3)需求模型。在建立需求模型時,務必選擇正確的工具,以便團隊進行協作和方便地記錄SOA的安全需求和創建SOA電子政務安全模型。正確的需求與分析工具將幫助團隊了解問題領域、捕獲和管理不斷發展的需求、建模用戶交互、在整個電子政務項目生命周期中包含參與者反饋,而最為重要的是進行協作。良好的安全需求與分析實踐將極大地減少系統安全風險。
(4)風險評估。可以采用“內部安全性”方法。內部安全性是指安全性需求與SOA實現中的所有活動對應。必須根據設計文檔了解哪些地方必須做出安全決策,并確定執行這些決策的安全控制點,從而了解具體如何實現SOA。這一步需根據需要將這些策略的職責分配到應用程序、SOA安全和SOA組件上,從而利用相應的機制來應用這些安全策略并加以執行。必須將安全需求封裝或分解為將在SOA實現中以滲透方式工作的一組安全服務。SOA安全服務必須遵循SOA原則、即松耦合、模塊化、封裝、重用和可組合性,以獲得必要的靈活性,幫助確保電子政務系統能夠跟上政務設計中變化的速度,并成為實現更為完善的組織總體安全性的變更驅動因素。這就要求從傳統的靜態安全模型轉向動態模型,以跟上SOA體系結構中更快的變更速度。
(5)通過5WIH進行決策。SOA 安全團隊需要確定SOA安全參與者并進行相應的劃分工作。參與者分為兩類:外部和內部。外部政策制定者和治理機構可能提供了具有廣泛安全影響的特定網絡完全性標準,如關鍵基礎設施保護需求等。所有電子政務系統標準都有自己的一組特定需求,這些需求會對總體 SOA 安全實現造成影響。在內部,安全需求可跟蹤誰、為何、為什么、何地、何時及如何這樣的5WIH安全問題。誰能夠何時何地訪問什么,以及如何進行、持續時間多長?通過5WIH方法有效地控制SOA安全防御的運作。
(6)遵循SOA安全實現的SDLC(Software Development Life Cycle,軟件開發生命周期)流程。考慮到電子政務系統必須收集非常多的信息,必須編寫的體系結構構件的數量也非常大以及需要構造特定SOA安全服務,SOA安全團隊應該遵循軟件開發生命周期的標準步驟:
①確定安全需求和約束;②得出和收集安全需求;③創建安全體系結構設計;④形成SOA設計文檔;⑤實現 SOA;⑥測試;⑦部署;⑧維護。
安全團隊開始設計解決方案前,必須對需求進行收集。對于安全實現,既有顯式需求,也有隱式需求。對于顯式需求,一個很好的著手點就是收集每個參與者的需求。而對于隱式需求,最好使用安全框架,如保密性、完整性和可靠性,以便在其中列出所有安全系統的具體需求。
(7)選擇標準。根據WS-Security[4] 選擇需要的標準,WS-Security標準參見圖1。確定哪個標準適用于實現SOA電子政務安全。
圖1 WS- Security 標準
以上這些安全標準將用于構造整個 SOA 實現中的安全消息。
(8) 經驗總結。找出現有電子政務模型并從中吸取經驗教訓。SOA安全需求團隊花時間確定了所有需求后,團隊成員必須自己編寫SOA安全服務來滿足特定需求。最合適的做法是對現有的電子政務模型進行分析,在團隊開始抽象設計階段前了解已經開發的內容。SOA Security 團隊必須將需求映射到每個服務,然后為需要的所有服務創建 SOA 安全模型,以滿足第六步中確定的所有需求。
5 安全實施SOA技術的可操作性分析
對于基于SOA電子政務項目建設應該形成SOA基礎技術平臺、輔助工具、資源、應用服務與系統參與人員等要素在內的SOA參考技術架構,以保障系統的安全性。在設計上應清晰劃分出連通服務、安全服務、資源管理服務、流程服務、協作服務、運行管理服務、信息服務、業務服務與交互服務關鍵技術構成在內的SOA基礎技術平臺要素,統一各關鍵構成的技術邊界、交互關系,確定了技術標準體系,為SOA在電子政務應用的相互操作提供基礎,在企業應用、實施SOA建設的標準、框架與關鍵技術要求,保證SOA總體技術框架與解決方案的開放性、互操作性,在推動電子政務以資源共享與交換、業務協同深化同時,也加強了未來應用發展的一致性、可持續性與穩定性。現在業界提出FAST策略,即互操作框架(Framework)、架構體系(Architecture)、解決方案(Solution)、測試保障(Testing)等,這些是保證SOA在電子政務領域成功應用的關鍵要素。其中互操作框架保證SOA電子政務技術產品與應用方案的互操作性;架構體系明確選擇重用、松散耦合的柔性軟件架構,形成實施SOA的骨干支撐基礎;解決方案針對電子政務熱點、難點需求,創新性建立以電子政務資源共享交換、政務業務協同為主的電子政務應用解決方案;測試保障提供以測試評估為基礎的全面質量與應用保障。通過“標準規范-參考架構-技術架構-解決方案-實施方法-平臺產品-保障體系”等流程,推動SOA電子政務領域安全成功的應用。
6 總結
本文比較系統的分析了基于SOA架構安全實施電子政務方法,并總結了在SOA架構下安全實施電子政務的各項特點和優勢,在SOA的架構下安全實施電子政務系統的方法進行了系統的分析。目前業界基于SOA架構安全實施電子政務方法較多,除了本文的解決方案外,我們尚需注意安全實施SOA架構電子政務系統還應建立一組服務業務模型和服務評價模型,業務模型描述服務業務的可持續發展,不僅包括它的創建態,還可以包括其變化態和協作態,評價模型描述服務的評估態。這個模型就是SOA所提倡的方法論。在該方法下為電子政務的安全運營提供策略制定、管理流程規劃、安全管理制度規劃、安全風險評估、安全管理等一系列服務,通過SOA服務型的管理平臺,建立統一的安全策略,從而將有效提升電子政務的安全管理強度。
參考文獻
[1]Thomas Erl Service-Oriented Architecture——Concepts,Technology,and Design,Prentice Hall PTR,2005.
[2] 邊鋒. 選擇電子政務為應用突破口用SOA支撐服務型政府變革media.ccidnet.com/art/2639/20061231/ 992759_1. html
篇7
關鍵詞:電子政務;服務經濟;服務社會
1 美國“全球電子商務框架”概要
隨著信息技術的迅速發展,電子政務與電子商務被提上日程,并取得顯著成效,電子政務與電子商務的協調成為信息化發展的一大趨勢。電子政務與電子商務協同實現的整體效應必然對國民經濟和社會的發展與進步產生積極而深刻的影響。
1997年7月1日,克林頓總統頒布了聯邦政府促進、支持電子商務發展的“全球電子商務框架”。該框架確立了聯邦政府政策的基本框架,對于美國乃至世界各國電子商務的發展產生了積極影響。
在“全球電子商務框架”中,聯邦政府提出了發展電子商務的原則和建議。發展電子商務主要原則包括因特網發展是市場驅動的所以私營部門必須發揮主導作用、在通過因特網進行產品或者服務買賣并達成合法協議的過程中政府應該避免對電子商務的不當限制、政府必須參與時政府參與的目標應該是支持和創造一種可以預測的、受影響最小的、持續簡單的法律環境為商業發展營造合適的環境、政府必須深化對因特網的特性的認識從而對現有的一些可能阻礙電子商務發展的法律法規重新進行審議、修改或者廢止、打破網上交易的法律框架的地區、國家和國際之間的界限促進電子商務在全球范圍內發展。
電子商務與電子政務表現為互動關系, 經過研究發現美國“全球電子商務框架”對我國電子政務的改革提供了參考。
2 “全球電子商務框架”對我國電子政務改革的啟示
2.1 做好災備方案,確保信息安全
經濟社會中存在大量數據,WestWorld 公司的報告指出,在每500個數據中心中就有1個每年要經歷一次災難。電子政務建設離不開數據,數字信息是源頭活水。劉家真教授提出了制定網絡環境下的電子文件管理規范,必須考慮管理者的責任和辦公自動化網絡上運行的電子消息必須作為憑證加以管理。劉家真教授在調研的基礎上分析了我國文獻的檔案數據面臨的風險,根據國情提出文獻的檔案數據宜采用同城異地備份與遠端異地儲存其離線備份的災備方案,并對遠端異地離線災備基地的建設、管理與可持續運作提出了建議。劉家真教授還深入研究了更新與遷移在檔案保護中的廣泛應用,以及更新與遷移可能帶來的檔案內容信息損失風險,并提出了如何規避這類風險的管理策略。這些策略對于信息的更新與遷移過程中的丟失可以起到“防患于未然”的作用。劉家真教授指出,“保護數字文獻的關鍵在于維護數字信息的長期可存取性,為維護數字信息的長期可存取,還提出了3M策略:數字媒體的選擇與維護、科學管理以及技術遷移。”因此,要建立信息安全平臺,保護網上政務資源。搭建安全支撐平臺和安全應用支撐平臺。電子政務的數據處理與保護必須放在第一位,數據丟失了,或者被刪改了,起不到應有作用,甚至會起到負作用。
2.2 政府市場聯動,強化信息管理
電子政務信息共享已成為公務員及社會公眾日益緊迫的需求。然而,由于行政體制、管理模式等方面的原因,電子政務信息共享面臨著一系列的障礙和問題。為了提高電子政務信息共享的效率,各級政府部門應當針對這些原因和表現,采取相應的對策。因此必須強化電子政務的信息管理。
電子政務的信息管理要引入市場機制、把握好電子政務的市場定位、確立客戶關系管理和贏利模式大力推進電子政務市場化建設。電子政務建設中要發揮多方面的作用,尤其要讓第三部門、企業集團甚至民間組織加入,讓他們成為電子政務建設的主體之一。
電子政務信息管理是一個巨大工程,短期的規劃是注重解決眼下必須解決的問題,同時要制訂中長遠規劃,做好成本效益分析。建造電子政務的經濟效益模型,熟練掌握電子政務對經濟效益影響的幾種主要方式和內容,間接影響至少要考慮建設、管理和服務等方面的效益,直接影響應考慮到電子政務對政府、相關企業及咨詢機構等方面的影響。
電子政務信息管理的好壞標準要交給市場而不是政府,這樣政府才能牢牢抓住主動權。國內外信息化的實踐證明,信息化建設必須有標準化的支持,尤其要發揮標準化的導向作用,以確保技術上的協調一致和整體效能的實現。
電子政務推進標準化必須進行正確的策略選擇。為電子政務標準選擇正確的類型、級別與形式就有著特殊重要的作用。要明確電子政務標準化在標準類型歸屬、標準級別劃定與標準形式確定方面的特殊要求,正確選擇我國電子政務標準類型、級別與形式。
2.3 協同政務建設,攻克關鍵技術
政務主要包括行政決策、行政執行、行政監督三個環節,要從行政決策組織、行政決策活動、行政執行組織、行政執行活動、行政監督組織、行政監督活動、公務員培訓等幾個方面探討電子政務的協同發展以降低行政成本的機理。如公務員的部分培訓內容可以在網上進行降低培訓成本。
降低政務成本要推進協同電子政務建設,協同電子政務是對政府自身運作能力的強化,協同電子政務有助于政府組織實現職能整合、信息整合、業務整合、流程整合,最終實現政務工作和服務的全面提高。推進協同電子政務建設中要注意解決好政府和開發商之間存在的利益沖突問題,必須設計好有效的激勵機制。
我國電子政務建設中的主要問題是國產軟硬件的相對不成熟,在集成時出現不兼容的問題,在現有的國產軟硬件的基礎上,要經過反復測試和優化形成一套真正運行穩定、切實可行的國產軟硬件的集成應用方案,確保應用國產的關鍵技術。
知識產權和隱私的保護技術急需攻克并同步更新。應當從提高公民個人信息隱私權意識,提高電子政務信息管理者道德,以及加強電子政務信息資源系統的管理方面來保護電子政務信息系統中的個人信息隱私權。
我國知識產權電子政務建設的起點和國外比較差不多。國外知識產權類網站的開發者主要是國際協會或組織,行政管理網站占據主要地位。我國是以中央的知識產權信息網站帶動地方的知識產權信息網站建設,實現各知識產權信息庫的資源共享。要保證電子政務信息資源權利人享有合法權利。
2.4 依法管理政務,制度職能創新
電子政務呼喚新的管理理念。要把以人為本的管理理念貫穿電子政務的全過程,要運用信息時代的人本思維重塑政府管理模式,推動電子政務的發展。推進電子政務實際上是要達到政府行政管理領域內新的制度平衡。
電子政務始終要以依法行政為大前提。電子政務立法的宗旨應當是推動政府信息公開、推進政務信息化建設、提高政務辦公效率。電子政務的法律框架,本質是為電子政務提供公平、透明、和諧的環境。電子政務要立法。立法中的核心問題是立法模式、立法層次、立法效力等。電子政務的運行必須在法律監督之下,電子政務的發展也必須基于信息法律的保障,電子政務的實施有利于建設法制社會。電子政務發展需要健全的法律環境。從電子政務的建設和應用的流程角度來看,電子政務發展應完善:與政務信息有關的行政法律法規問題、電子政務建設管理和應用的法律法規問題、電子政務建設的技術標準。
電子政務的本質是對政府職能的轉變和創新。電子政務不僅在公共行政領域,而且在人類生活的各個領域都產生了影響。電子政務是信息時代各級政府治理不可缺少的工具,為構建服務型地方政府提供了現實條件。
電子政務是現代政府管理創新工具。電子政務提高了行政效率,降低了成本,提高了政府公共服務水平。但也存在一定不足。這就要求各級政府轉變觀念,統籌規劃各部門網站,制定相關法律、法規,積極推進電子政務發展,利用電子政務推進行政管理體制改革的深化,逐步形成新型政府管理模式,增強公共管理與服務功能,全面提升行政能力。
要重點解決好電子政務建設中的深層次問題。要引入IT治理的思想,對電子政務中實施IT治理,找到實現電子政務制度與技術協同發展的有效途徑。
2.5 高效優質服務、狠抓績效評估
我國電子政府績效評估實踐已在各級政府和部門中逐漸開展起來,并引起社會各界的普遍關注,電子政務績效評估需要得到進一步的大發展。
電子政務績效是政府績效的重要組成部分。電子政務正在成為現代政府運作的主要方式,成為政府更好的實現其管理、服務職能的重要手段。而在大規模的投入和建設后,電子政務能否真正取得預期的成效已經成為一個重大問題。
我國目前的電子政務建設狀況不容樂觀,巨大的資金投后,實際效果卻與預期相距甚遠。究其原因,缺乏與電子政務運行特點相符合的績效評估體系是造成這一局面的重要原因。
要形成我國自己的電子政務績效評估模式。可以把電子政務的績效劃分為產出、結果和影響三個層次,提倡綜合應用模式,突破產出層次。我國的電子政務績效評估應突出“重在政務”和“政務為民”的戰略選擇,同時緊密結合電子政務建設和行政改革的進程,做好戰略規劃。從政府網站建設,基礎設施建設,政務基礎信息數據庫建設,重點政務業務系統建設四個方面構建指標體系,穩步推動我國電子政務的發展,同時促進政府績效的提高。
參考文獻
[1]劉家真.數據丟失的風險與對策[J].機電兵船檔案, 2004,(01).
[2]劉家真.網絡環境下的電子文件管理要求[J].檔案管理,1999,(01).
[3]劉家真,倪麗娟.創建我國文獻的檔案數據災備基地的構想[J].檔案學研究,2006,(04).
[4]劉家真.更新與遷移中的風險管理策略[J].北京檔案,2005,(10).
[5]劉家真.保護數字信息的長期存取策略[J].武漢大學學報(人文社會科學版), 1999,(04).
[6]李綱,彥.電子政務信息安全平臺分析[J].中國圖書館學報,2006,(01).
篇8
關鍵詞:電子政務 信息安全PKI
1綜合電子政務平臺概述
電子政務是指政府機構應用信息技術提高政府事務處理的信息流效率,對政府機構和職能進行優化,改善政府組織和公共管理能力。通常由核心網絡、接人網絡及訪問網絡三部分組成。建設內容一般包括:電子政務網絡平臺、政府門戶網站、電子政務主站點、“一站式”行政審批系統、視頻會議系統、公文交換和信息報送系統、電子郵件系統、辦公自動化系統等。
電子政務網絡平臺網絡結構中,核心網絡擁有重要的信息資源,并處理政府部門間的核心業務。政府部門間的數據交換流程是閉環的,即任何一個節點既是用戶又是數據源。因此,核心網絡節點之間的業務流程應該是高速、嚴密、安全的,并且有嚴格的審核機制。核心網絡與接人網絡形成上下級關系的協同工作平臺,進行信息、數據的交換。它們之間的信息往來必須具備信任安全體系。政府核心網絡面向社會公眾提供信息服務,對外宣傳政府信息,與訪問網絡建立連接。
2綜合電子政務平臺的安全風險
2.1網絡安全域的劃分和控制問題
電子政務中的信息涉及國家秘密、國家安全,因此它需要絕對的安全。但是同時電子政務現在很重要的發展方向是要為社會提供行政監管的渠道,為社會提供公共服務,如社保醫保、大量的公眾咨詢、投訴等等,它同時又需要一定程度的開放。因此如何合理地劃分安全域顯得非常重要。
2.2內部監控、審核問題
目前絕大部分單位都沒有系統可以實時地對內部人員除個人隱私以外的各項具體操作進行監控和記錄,更不用談對一些非法操作進行屏蔽和阻斷了。
2.3電子政務的信任體系問題
電子政務要做到比較完善的安全保障體系,第三方認證是必不可少的。只有通過一定級別的第三方認證,才能說建立了一套完善的信任體系。
2 .4數字簽名(簽發)問題
在電子政務中,要真正實行無紙化辦公,很重要的一點是實現電子公文的流轉,而在這之中,數字簽名(簽發)問題又是重中之重。
2.5電子政務的災難響應和應急處理問題
很多單位在進行網絡規劃的時候,沒有考慮到作為系統核心部分一一數據庫本身的安全問題,完全依賴干整個網絡的防護能力,一旦網絡的安全體系被穿破或者直接由內部人員利用內網用戶的優勢進行破壞,“數據”可以說無任何招架之力
3綜合電子政務平臺安全體系建設方案
3 .1技術保障體系
技術保障體系是安全管理體系的重要組成部分。它涉及兩個層面的問題,一是信息安全的核心技術和基本理論的研究與開發,二是信息安全產品和系統構建綜合防護系統。
信息安全技術。信息安全的核心技術主要包括數據加密技術、信息隱藏技術和信息認證技術。數據加密是把有意義的信息編碼為偽隨機性的亂碼,以實現信息保護的目的。數字簽名是指只有發送者才能產生的別人無法偽造的一段數字串,這段數字串同時也是對發送者信息真實性的證明。
信息安全防護體系。目前,主要的信息安全的產品和系統包括防病毒軟件、防火墻、入侵檢測系統、漏洞掃描、安全審計系統、物理隔離系統等。我們可采用屏蔽子網體系結構保證核心網絡的安全。屏蔽子網體系結構通過添加額外的安全層到被屏蔽主機體系結構,即通過添加周邊網絡更進一步地把內部網絡與Internet隔離開。在這種結構下,即使攻破了堡壘主機,也不能直接侵人內部網絡,它將仍然必須通過內部路由器。
3.2運行管理體系
安全行政管理。電子政務的安全行政管理應包括建立安全組織機構、安全人事管理、制定和落實安全制度。
安全技術管理。電子政務的安全技術管理可以從三個方面著手:硬件實體、軟件系統、密鑰。
風險管理。風險管理是對項目風險的識別、分析和應對過程。它包括對正面事件效果的最大化及對負面事件影響的最小化。
3.3社會服務體系
安全管理服務。目前,一些信息安全管理服務提供商(Managed Security Service Providers, MSSP)正在逐步形成,它們有的是專門從事安全管理服務達到增值目的的,有的是一些軟件廠商為彌補其軟件系統的不足而附加一些服務的,有的是一些從IT集成或咨詢商發展而來提供信息安全咨詢的。
安全測評服務。測評認證的實質是由一個中立的權威機構,通過科學、規范、公正的測試和評估向消費者、購買者即需方,證實生產者或供方所提供的產品和服務,符合公開、客觀和先進的標準。
應急響應服務。應急響應是計算機或網絡系統遇到安全事件如黑客人侵、網絡惡意攻擊、病毒感染和破壞等時,所能夠提供的緊急的響應和快速的救援與恢復服務。
3.4基礎設施平臺
法規基礎建設。主要有以下幾方面:在國家憲法和各部門法中對各類法律主體的有關信息活動涉及國家安全的權利和義務進行規范,形成國家關于信息及信息安全的總則性、普適性的法規體系;針對各類計算機和網絡犯罪,制訂直接約束各社會成員的信息活動的行為規范,形成計算機、網絡犯罪監察嶼防范體系;對信息安全技術、信息安全產品(系統)的授權審批應制訂相應的規定,形成信息安全審批與監控體系;針對信息內容的安全與保密問題,制訂相應規定,形成信息內容的審批、監控、保密體系;從國家安全的角度,制訂網絡信息預警與反擊體系等。
篇9
前言
《2018聯合國電子政務調查報告》顯示,我國電子政務發展指數EGDI為0.6811,全球排名第65位,處于中等偏上的位置,仍有較大的上升空間。從市場規模來看,2017年我國電子政務市場規模達2722億元,2018年有望突破3000億元。但處于轉型期的電子政務面臨著數據孤島、成本高昂、網絡安全、效率低下、監管缺失等痛點。
區塊鏈可為電子政務提供新的解決方案。我國各級政府紛紛出臺政策鼓勵將區塊鏈技術應用于電子政務,我國區塊鏈電子政務應用取得一定的進展。
目前我國共有17項區塊鏈電子政務應用,分別涉及七大細分場景:政府審計、數字身份、數據共享、涉公監管、電子票據、電子存證、出口監管等。
篇10
關鍵詞:電子政務;安全系統;體系構建
隨著信息化時代的到來,網絡辦公作為一種高效的辦公形式已經被越來越多的政府部門采用。電子政務網站作為政府和民眾溝通的平臺,成了政府推進信息化建設的主要部分。依靠這樣的平臺,政府可以以最快的速度把各種新鮮資訊告知廣大民眾,民眾也可以通過這樣的平臺把自己的意見和建議傳達到政府那里,實現民眾和政府之間更好的溝通。從這個角度來說,電子政務網站是十分重要的。安全性是政府部門整個信息化工程建設的保障,是整個系統建設中最關鍵的部分。本文將對電子政務建設的安全性加以探討,提出如何構建安全的電子政務網絡系統。
1 安全問題
1.1 重技術,輕管理
在整個建設過程中,一向有這樣的觀點:只要從技術層面配備了相應的安全軟件,整個系統的建設就是安全的,對于安全的管理卻相對忽視。目前,電子政務系統的安全技術主要有下面幾種:操作體系安全、病毒查殺安全、訪問鏈接安全等。而對于安全的管理,則主要包含整個體系的風險管理、對資料的備份和防刪除恢復、一鍵恢復系統、審查追蹤等部分。此外,對于安全的管理,還包括電腦操作人員的安全觀念和安全操作技術等。
1.2 管理過程不夠規范
電子政務的安全是一個十分重要的問題,涉及到政府的形象甚至是國家的利益。因此,對于電子政務安全的管理就需要一個比較規范的系統。但是目前的情況是國家關于電子政務安全的各個環節還不能從總體上進行掌握,還需要對相關環節和部門進行深入的研究和探討。
1.3 法律法規不健全
社會信息化的程度越來越高,電子政務的發展速度也越來越快,但是法制法規對電子政務發展的限制也越來越明顯。比方說,電子簽名是不是和紙質簽名具有同樣的法律效率等,就需要專門的法律去加以限制和說明。
1.4 信息保護的多重矛盾
對于電子信息的保護,從來就沒有特定的標準,這就導致在防護的過程中出現了很多的矛盾,例如:防護不到位和防護過度之間的矛盾;防護軟件和使用軟件之間的矛盾;殺毒軟件研發和取得效果之間的矛盾等。隨著時代的發展和技術的進步,電子政務的防護系統也要不斷的升級;眼下,為了減少移動設施對電子政務系統帶來的安全隱患,一般杜絕在系統上使用移動設施,這肯定會對電子政務系統的實用性帶來一定的不便,這就又造成了其安全性和實用性之間的矛盾。
1.5 安全威脅的多面化
可以說,電子政務網站可以提供多大的方便,就會存在多大的風險。對其系統造成威脅的因素有很多,總體上來說可以劃分為三個方面:技術層面、人為原因、自然因素。
2 電子政務系統的網絡安全體系建設
2.1 網絡物理層面的安全保障
從這一層面來說,網絡物理隔離卡的研發業已相對完善,盡管其有很多不同的品種,但是其依據方面基本一致,都是憑借脫離了TCP/IP協議的內網系統,在電子政務網絡內部自成一個網絡系統,和互聯網絡斷開連接,保護內網資料的相對安全。除了在內網和外網之間進行隔離,在內網內部還要進行一定的隔離。
2.2 網絡應用層面的安全保障
2.2.1 登錄身份驗證
這是一種最簡單的安全保障方式。依靠對用戶名和登錄密碼的設置,對那些不相關的人員進行隔離。眼下,黑客的破壞能力逐漸增加,簡單的用戶名和密碼很難限制那些別有用心的人員,所以,很多的電子政務網絡都開始采用動態口令技術,對政府的電子政務系統進行更詳盡的保護。
2.2.2 使用權限矩陣
電子政務系統是政府和民眾之間的交流平臺,這就注定了訪問這個系統的人員會有兩種身份:系統管理者和一般民眾。對這兩類使用者我們要區別對待,給予他們不同的使用權限。系統管理者可以對系統內的信息進行添加、刪除和維護,對整體資料進行一定的調整;但是一般民眾就只能對信息進行瀏覽,不能做出任何的變動。
2.3 從操作層面進行保護
使用者使用的操作體的安全性,對電子政務系統的安全也存在著很大影響。因此,要盡可能使用正版的、穩定的操作系統。在使用過程中,定時對系統進行病毒查殺和系統完善。
總之,由于我國電子政務的不斷推進,其政務服務類型更加的豐富多樣,網上咨詢、在線交流等服務內容不但拉近了政府和民眾之間的關系,而且大大提高了政府的辦事效率。電子政務網絡業已成為一種必然的發展趨勢。本論文對電子政務網絡構建過程中安全方面出現的問題進行了分析,同時還對如何保障電子政務網絡的安全做出了探討,希望對電子政務網絡的安全起到一定的防護作用。
[參考文獻]
[1]孟祥宏.基于可生存性的電子政務系統安全策略研究[J].現代計算機(專業版).2009(12).
