电子政务的安全风险范文
时间:2023-06-08 17:38:50
导语:如何才能写好一篇电子政务的安全风险,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
关键词:电子信息安全;电子政务;风险评估;风险管理
以Internet为代表的计算机网络本身就存在安全隐患是毋庸置疑的,加之电子政务系统对Internet的依赖性及其自身的特殊性决定了其安全问题的多层次性、重要性和迫切性。
二、电子政务信息安全风险的评估
(一)风险评估的几种基本方法
第一,定量评估方法。定量的评估方法是指运用数量指标来对风险进行评估。定量方法的优点是,传递的信息量大。其缺点是,量化使本来比较复杂的事物简单化、模糊化了,有的风险因素被量化以后还可能被误解和曲解。第二,定性评估方法。定性的评估方法主要依据研究者的知识、经验、历史教训、政策走向及特殊变例等非量化资料对系统风险状况做出判断的过程。定性评估方法的优点是可以挖掘出一些蕴藏很深的思想,使评估的结论更全面、更深刻;但它的主观性很强,对评估者本身的要求很高。第三,定性与定量相结合的综合评估方法。风险评估是一个复杂的过程,需要考虑的因素很多,有些评估要素是可以用量化的形式来表达,而对有些要素的量化又是很困难甚至是不可能的,所以应采用定性与定量相结合的评估方法。定量分析是定性分析的基础和前提,定性分析则是灵魂,是形成概念、观点和得出结论所必须依靠的。
三种风险评估的分析方法如下图所示:
(二)电子政务信息安全风险评估方法
在电子政务风险评估中,OCTAVE方法得到较多应用。然而,OCTAVE是一个相对不太灵活的评估方法。在此方法的实施过程中,只提供一种原则,选择一个目标,建立一个工作小组。一旦选取了原则,其他的工作组也必须使用已经存在的原则去处理他们所面对的问题。然而每一个小组的运行模式也许是不同的,一些会注重数量,而另一些会注重质量。杜人杰以改进的OCTAVE方法为起点,结合AHP与FTA提出了电子政务信息安全的三元集成方法,对单纯的OCTAVE方法进行了改进。汤志伟提出采用“可操作的关键威胁、资产和弱点评估”模型作为理论依据,利用层次分析法确定权数,以主观概率来描述指标的隶属度,建立了电子政务信息系统风险的模糊综合评估方法。
此外,应用集成的风险研究方法也被应用到电子政务中。此方法将网络系统中的安全防护分为两个方面:一是网络系统中存储和传输的信息数据;二是网络系统中的各类设备。这样,既保证了政务业务的正常运行,同时又防止信息数据被非授权访问者的窃取、篡改和破坏。应用集成的研究方法只是从微观上进行了评估,将绝大部分注意力主要集中在来自硬件等技术层面的风险,没有把重点放在管理上。
三、电子政务信息安全风险的管理策略
(一)树立政务安全的基本观念,避免进入“绝对安全”的误区
安全的界定随着时间、地点的不同而变化,信息安全是一种没有底线的风险游戏。对电子政务而言,系统的安全策略总不可能保证绝对的安全,因为对任何技术或安全策略来讲,给人足够的时间都是可以攻破的。因而,我们在进行电子政务安全建设和管理中首先要树立相对的安全观,在现有条件下可以保证该保护的系统和信息资源的安全就是最好的安全。盲目追求“绝对的安全”,到头来既会造成投资的浪费,也会使该保护的没有保护好,无法发挥安全系统的最好效用。
(二)加强政府部门的管理职能,保障信息安全管理的有效性
政府相关部门应当联合制订信息化建设的网络与信息安全专项资金政策,保证信息安全投资应占总投资的 15%-25%之间;同时由政府制定强制性的网络与信息安全装备监督检查政策并进行监督检查。要全方面地对信息安全服务商的资质能力制订相应标准与行政监管措施,推行安全服务资质和进入市场的信息安全产品和集成的信息化项目的强制性安全认证。
(三)全面提高用户自身管理水平,减少信息风险的入侵
各部门、各行业、各单位等用户是信息化建设的主体,也是网络与信息安全保障体系建设的主体,能否全面提高用户信息安全管理的意识和水平,决定着网络与信息安全保障体系能否真正建成。要通过政府引导,有关执法部门加强管理和宣传教育,促进各类用户建立信息安全管理机构,认真执行国家有关政策法规,推行标准化,采用技术措施,制定规章制度,配备和培养有关人员,选择合格服务商等,全面提高其安全管理水平。鉴于此,建立高水平的研究教育环境,加强信息安全基础理论研究,培养大批高素质的信息安全人才显得尤其重要。
(四)重视安全风险分析评估,做到“早发现早治疗”
安全利益与风险是整个网络与信息安全保障体系的核心。只有了解、分析、评估和确定各部门、各行业、各单位的安全利益与风险,包括确定其安全利益与风险的大小,才能有效合理地配置有关技术、管理、人员等资源去实施保护,才能合理确定所利用资源的多少和保护强度的高低等。因此,网络与信息安全保障体系中最基础的工作是建立信息安全利益与风险分析评估体制。
参考文献:
篇2
1、从网络层安全风险角度。
电子政务的网络层安全风险主要体现在数据传输风险、网络边界风险以及网络设备安全风险等方面。在数据传输风险中,往往存在业务数据泄露以及数据被破坏的情况。利用上下级网络或同级局域网络进行数据传输过程中由于包含相关的敏感信息或其他登录通行字且缺乏专门控制数据的软件与硬件,不法分子会采用不同的攻击手段窃取或直接破坏数据信息。在网络边界风险方面,由于电子政务中的网络节点多为不可信任域,入侵者很可能利用Sniffe等程序对系统中的安全漏洞进行探测,并在此基础上窃取内部网中的用户名或口令等信息,导致系统瘫痪的情况发生。同时内网与外网的互通也是产生网络边界风险的重要原因。在网络设备安全风险方面,主要体现在如路由器或交换机等设备方面,其安全性关乎电子政务系统的运行。
2、从物理层、系统层与应用层角度。
电子政务系统中的物理层风险主要指周边环境对网络或线路所造成的影响,如设备的毁坏、设备被盗或线路老化等情况,也存在自然灾害等对设备造成的破坏。通常可利用物理隔离技术解决物理层风险。而系统层的风险主要指电子政务中的数据库、操作系统以及其他相关产品使用中存在的病毒威胁以及安全漏洞等,是影响系统安全的重要因素。另外,应用层安全风险集中体现在非法访问政务系统;业务信息被修改;用户口令的被盗取以及用户的事后抵赖行为等方面,尤其电子政务系统对外开放的E-mail或DNS等服务都可能成为补发分子侵入的渠道。
3、从管理层安全风险角度。
电子政务网络安全的实现很大程度上依托于良好的管理方式。许多部门在进行安全管理过程中存在的管理混乱、权责不明以及可操作性的缺乏都可能产生管理层面的安全风险。另外管理过程中许多机房重地允许外来人员的自由出入,很可能使其中重要信息被泄露,其原因在于管理制度的匮乏。
二、电子政务网络安全的完善措施
1、对安全服务设施的完善。
作为电子政务网络安全的基础,安全服务设施应逐渐完善。其作用主要体现在能够为系统的运行提供可信任的网络环境以及安全技术应用的参考依据。因此需对其中的信任问题如可信的身份、网络信任域、可信的数据以及可信的时间服务等存在的问题进行解决。
2、安全技术平台的构建。
在网络信任问题被解决的基础上还需采取相应的安全策略如通讯加密、扫描漏洞、检测病毒与入侵、访问控制等,以此使网络安全环境得以保障。然而网络环境安全的实现又需构建安全技术平台,其应将电子政务中内网、外网以及专网间的数据交换、对信任域的访问控制、对内部网Internet访问策略、身份识别等内容囊括其中,确保其能够为安全技术提供支撑平台,解决信息泄密与网络空寂的问题。
3、响应与恢复机制的建立。
由于电子政务系统中往往包含许多信息,在面对网络攻击、系统故障或自然灾害等情况下很容易出现丢失或损坏的情况,因此需构建响应与恢复机制,确保电子政务系统能够在备份与恢复、大容量存储、自动恢复机制以及存储介质等方面进行完善。这样才可将因数据信息丢失或被破坏所造成的损失降至最低程度。
三、结论
篇3
关键词:电子政务;安全管理;策略研究
中图分类号:TP311 文献标识码:A 文章编号:1009-3044(2014)05-1150-02
时代的发展促进了科技的发达,而科技的发达加速了社会的进步,2010年我国出台了基于互联网的电子政务建设指导意见,这一标准的出台给县级电子政务建设带来极大的推动力量,使得我国县级电子政务建设出现了崭新的局面,然而,值得关注的是良好的电子政务建设必须有全面、科学的统一规划,高素质的操作人员和安全保障体系,因此,面临当前县级电子政务发展阶段对安全管理的需求,深入探索有效的解决策略和创新方法具有十分重要的现实意义。
1 电子政务安全风险特征分析
当前电子政务安全风险主要表现在两方面:一是关于资产价值,二是互联网的运行环境。根据这两个主要因素可以分析当前县级电子政务安全风险特征主要有以下几点:
1)资产价值信息少
建立县级电子政务体系,目的是保证政府职能部门政务公开,拓展政务公开渠道,然而在实际操作中公开信息多,而信息少,政务公开的目的是为广大企业和公众提供广阔的信息渠道,然而实际上保密信息的内容不多,起不到实际的价值和作用。
2)安全等级比较低
由于互联网的大量使用,在电子政务安全管理中有害程序事件、互联网攻击事件、信息破坏事件、设备故障事件等多有可能随时发生,但是由于县级电子政务建设中安全管理措施还不完备,遇到这些问题缺乏相应的处理经验和处理措施,往往会危害国家社会秩序和公众利益,给电子政务建设带来巨大影响。
3)安全需求性提高
对于县级电子政务建设中,服务于民众,为企业和公众带来便捷性的服务是重点,同时应用是关键,只有合理而科学的应用电子政务系统,才能真正实现电子政务建设的出发点和最终目标,不能良好的应用成为电子政务风险的主要特征。
4)管理策略不完善
县级电子政务管理中人员因素最为关键,电子政务的使用人员、计算机管理人员等,他们的专业水平和整体素质极其相应的安全管理意识等,都直接影响着安全管理结果,因此,人员的素质是影响着管理策略的主要因素。
5)安全威胁在增加
由于互联网本身安全机制比较薄弱,为了获得某种利益有些人假冒身份,窃取口令,或者利用木马或者病毒窃取信息,或者篡改主页,造成网站信息混乱,有的窃取数据,导致信息大量流失,或者服务窗口被劫持,在网站上出现的大量非法信息,给社会的安全稳定带来严重的影响,因此,县级电子政务安全管理中,互联网安全信息管理也是十分重要的因素。
2 县级电子政务安全管理管理优化策略
面对各种的安全风险因素,电子政务安全保证是一个十分复杂而又重要的任务,因此,不仅需要各个部门内部进行统一规划,实施有效的配合管理,而且需要整个领域中形成良好的管理策略,探索先进的技术方法。
1)提高认证力度,实现安全监督
对于电子政务系统来说,身份的识别十分关键,需要加强身份认证服务,建立健全电子政务业务实体定义的唯一电子身份标识,只有通过这一标识之后才能实现身份的认证,这样可以避免各种假冒身份者的侵入;其次,必须保证数据的完整,利用信息技术保证信息在收发双方的一致性,保证信息的一致性目的是为了避免中途信息被修改的现象发生;另外,为第三方验证信息的真实性和信息的完整性提供必要的证据,这样的规范是为了面对电子政务纠纷中法律证据提供必要的保证,利用第三方平台来实现信息管理的完整性和严密性,当然,第三方平台由谁来管理,怎样管理等都需要进行更深入的探讨,认证中心建立必要的立项和审批需要公安信息网络的审核,保证合法性。
2)提高人员素质,实现安全管理
对于电子政务维护中心来说,应用程序的开发和利用,系统的运行和日常维护等都涉及到大量信息的安全性问题,其中主要涉及两方面:一是信息技术的加强,一是信息人员的管理。尤其是人员的管理中,当前电子政务建设虽然逐步走上正轨,但是操作人员信息技术水平不高,大专院校的信息技术专业毕业生较少,整体来看应用系统利用不完善,人员技术水平较低,尤其是遇到一些关于安全领域较深层次的问题,操作人员常常束手无策,严重的影响了电子政务安全管理水平的提高和发展,因此,加强信息技术人才的引进和培养,是提高县级电子政务安全管理的主要途径。
3)完善安全制度,加强行政管理
为了提高县级电子政务安全行政管理,需要从多方面加强机构的组建和制度的完善,首先建立安全小组机构,通过组织机构来实现统一的规划管理,体制网络系统不安全因素,完善各种安全策略和措施,进行多方面安全事件的协调等,如人事的审查和任用,岗位职责的制定,工作情况的评价,各种培训事务等;同时,要建立健全安全责任制度,如系统运行管理责任制度、计算机控制管理制度、信息资料管理制度、监督制度、病毒防护制度等,通过建立这些制度不断加强工作人员的责任心和使命感,提高行政管理力度,不断促进电子政务建设的健康发展。
4)加强基础建设,提升技术管理
信息安全技术管理在县级电子政务安全管理中具有十分重要的作用,可以从三方面进行完善和加强。首先是加强硬件建设,加强对计算机、网络等设备的常规管理和保护,避免因为火灾、水灾等自然灾害造成设备的损坏,保证设备的安全是加强电子政务安全管理的必要前提;其次,加强软件管理,对于软件应用系统要注意升级与管理,避免被伪造、破坏和篡改等,保证储存和操作的安全性;另外,对于系统的使用较强密钥管理,对系统的备份、初装、恢复等均采用科学而严密的操作,避免出现信息泄露现象发生。
3 结束语
总之,县级电子政务安全管理工作十分重要,不仅关系到政府职能部门能否扮演好可以为社会当好家、服好务的形象,同时也关系到企业和广大民众的切身利益,因此,必须加强县级电子政务的安全管理,从人员、设备、应用等多角度出发,优化管理措施,加强管理力度,促进电子政务建设的良性发展。
参考文献:
[1] 李佳娜.电子政务安全风险分析及解决方案[J].中小企业管理与科技:上旬刊,2010(9).
篇4
[关键词]电子政务;信息安全;工作模式;公共服务
doi:10.3969/j.issn.1673 - 0194.2016.20.093
[中图分类号]D630 [文献标识码]A [文章编号]1673-0194(2016)20-0-01
信息技术的发展给人类社会生活带来了翻天覆地的变化,也开启了政府公共管理与服务的新模式,“电子政务”成为受到政府部门追捧的新工作平台,从概念上讲,“电子政务是政府公共事务管理方式的革新,是政府等公共事业部门运用计算机、网络和通信、互联网等多种IT信息技术手段的业务管理模式。”电子政务相比于传统的政务管理模式具有多方面的优势,是现代政府管理信息化、网络化、透明化、民主化与服务性实现的重要手段和方式,公开、透明、有效与互动是电子政务的主要特点。
当然,电子政务在改变政府工作模式,提高政府工作效率和公共服务效果的同时,也面临着新问题和新挑战。因为政府工作通过数字化、信息化的手段处理和表现出来,信息安全就成为了首先被关注到的问题。“信息安全指的是在信息技术的应用过程中对信息技术和数据进行的安全和保护,防止计算机内的数据因遭受恶意软件的侵袭而造成泄露或者更改,维持计算及系统正常的运行。”信息安全对于电子政务的重要意义是不言自明的,因而,本文着重讨论电子政务中的信息安全问题,并针对这些问题提出相应的策略。
1 电子政务中的信息安全问题
1.1 电子信息技术本身存在的问题
电子信息技术本身存在着一些难以避免的安全漏洞。“软件漏洞、网络数据系统漏洞等各个方面的漏洞还是给电子政务安全带来了很多难以根除的安全缺陷。”这些微不足道的瑕疵和漏洞,在政府电子政务数据库系统和信息平台中,可能就会造成不可估量的损失和伤害。应该说,正是这些漏洞给了不法分子盗取、篡改数据信息的机会,由此带来的风险是政府内部机密信息、文件的泄露或损失,为电子政务安全带来极大的威胁和风险。
当然,仅仅是这些漏洞本身并不会造成重大安全事故,因内部漏洞本身所带来的系统脆弱性所给外部不法分子带来的入侵的机会,才是信息安全问题产生的最直接原因。“政府电子文件包含了国家或非信息,当电子文件在网络上传输时,特别是通过开放的因特网传输,很容易被他人非法截取,可能导致国家信息的泄漏、被删除、被篡改,对国家的政治、经济、军事、安全等相关利益造成损失。”
1.2 政府工作人员的信息安全意识欠缺
事实上,大多数政府工作人员对电子信息系统本身的安全问题和安全漏洞的了解并不深入,信息安全意识也不强,在日常工作行为上就会经常出现一些安全失误,或者由此增大电子政务中的信息安全风险。例如:政府保密信息在网络传输过程中不进行加密,U盘、移动硬盘等设备在存有政府机密数据信息的电脑上使用,或者不对输入的数据信息进行加密备份,因误删数据导致信息缺失、不完整等。尤其是应用政府内部电脑登录外网,给整个电子政务网络信息平台带来巨大的安全风险。而这些问题,普遍不是政府工作人员蓄意所为,都是因信息安全意识的薄弱而造成的“不注意”“不小心”,却可能导致严重的后果。
1.3 政府工作人员的技术能力尚待提高
应该说,当前,电子政务在中国已经被广泛使用和普及,但政府工作人员构成却依旧保持原状。绝大多数政府工作人员都不具备足够应对信息安全风险,处理紧急信息安全事故的专业知识和技术能力。政府工作人员是电子政务信息平台中数据信息的输入者、传播者,却不是信息系统的监控者和维护者,大多数人的水平也只是停留在办公系统应用上,人员的专业素质和技术水平还不能支撑起政府信息安全的维护。
2 应对信息安全问题的策略分析
2.1 加强信息安全意识培养
第一,加强管理人员的信息安全意识培养。在政府中“上行下效”是非常重要的,管理人员的意识和行为对整个系统中的工作人员都有很大的影响。因而,加强管理人员的信息安全意识培养才有利于政府内部相关工作开展的顺利进行。第二,加大宣传教育力度。在政府中,应用电子政务系统进行工作最多的还是基层的工作人员,他们负责信息的录入、保存、传输等具体细致的工作,很多电子政务中的信息安全问题就是由这些工作人员的意识不强,经常“不注意”“不小心”,认为没关系导致的。这些基层工作人员的意识欠缺,很多是由于认知不足造成的,因而,加强宣传教育就显得十分重要。
2.2 注重技术能力的提升
技术能力提升来自于两个方面,一方面,是在政府工作人员团队配置上。从目前政府工作人员结构上来看,从事电子政务工作的人员绝大多数都不是电子信息技术等相关专业出身,也很少有政府工作部门在每一个电子政务环节都配备相应的懂技术的专业技术人员,因而,在未来的政府人员架构上,应注重向这个方向上的配备倾斜,使专业的信息安全工作能够交给专业的技术人员进行处理和解决。另一方面,从现实工作的角度上来讲,每一个接触到电子政务信息系统的工作人员都面对信息安全问题的挑战,系统脆弱性的客观现实只能在技术发展问题中逐步得到解决,但旧的问题解决,新的来自外部的挑战也会产生,因而,在客观条件没有办法得到根本改善的情况下,提高所有从事电子政务工作的政府工作人员的信息安全维护技术水平就十分重要。公共部门也应该想办法进行定期的培训工作,并通过技术比赛和应急事件演练等方法,提升队伍整体的技术能力。
篇5
关键词:电子政务外网 安全管理平台 SOC 安全策略
一、前言
国家电子政务外网作为一个支持跨部门和地区业务应用、数据交换和信息共享的电子政务建设的新生事物,尽管其建设规模还不大,建设时间也不长,但在国家有关部门的指导和支持下,依靠各部委和各地的通力合作,它已经充分展现了一个创新性网络巨大的活力,开始得到了各部门和各地的重视和关注。目前,已有30多个部门的系统平台接入政务外网,例如国务院应急办国家应急平台外网系统、自然资源和地理空间基础数据库、文化部文化信息资源共享平台等一批关系国计民生的重要系统接入政务外网。从政务外网建设及应用情况来看,各部门对政务外网的需求是紧迫的,同时也对政务外网的安全性有了更高的要求。
二、国家电子政务外网安全管理平台概述
如何对国家电子政务外网的安全进行有效的管理,如何保证利用政务外网开展业务的应用系统的安全性,是对负责政务外网网络安全的人员管理能力的一种考验。传统的安全管理方式是将分散在各地、不同种类的安全防护系统分别管理,这样导致安全信息分散、互不相通,安全策略难以保持一致。因此这种传统的管理运行方式成为许许多多安全隐患形成的根源,很难对国家电子政务外网进行统一的、有效的安全管理。
国家电子政务外网安全管理平台(Security Operation Center,SOC)为电子政务外网制定统一安全策略、统一安全标准,实现全网统一管理和监控,保障电子政务外网安全、稳定、高效地运行,实现政务外网基于安全的互联互通。国家电子政务外网安全管理平台实现了将不同位置、不同类型设备,不同安全系统中分散且海量的单一安全事件进行汇总、过滤、收集和关联分析,得出整个电子政务外网的全局安全风险事件,并形成统一的安全决策对安全事件进行响应和处理,从而保障电子政务业务应用系统的真实性、完整性和保密性。
三、国家电子政务外网安全管理平台框架
国家电子政务外网安全管理平台(SOC)的主要思想是采用多种安全产品的Agent和安全控制中心,最大化地利用技术手段,在统一安全策略的指导下,将系统中的各个安全部件协同起来,实现对各种网络安全资源的集中监控、统一策略管理、智能审计及多种安全功能模块之间的互动,并且能够在多个安全部件协同的基础上实现实时监控、安全事件预警、报表处理、统计分析、应急响应等功能,使得网络安全管理工作由繁变简,更为有效。
国家电子政务外网安全管理平台(SOC)的体系架构具备适应性强(能够适用于不同省级节点接入网络和系统环境)、可扩充性强、集中化安全管理等优点,其框架体系主要是为了解决目前各类安全产品各自为阵、难以组成一个整体安全防御体系的问题。真正的整体安全是在一个整体的安全策略下,安全产品、安全管理、安全服务以及管理制度相互协调的基础上才能够实现。国家电子政务外网安全管理平台(SOC)框架如图1所示。
四、国家电子政务外网安全管理平台的主要功能
国家电子政务外网安全管理平台为系统管理员和用户提供对系统整体安全的监管,它在整个政务外网体系与各类安全技术、安全产品、安全防御措施等安全手段之间搭起桥梁,使得各类安全手段能与现有的国家电子政务外网应用体系紧密结合而实现无缝连接,以促成网络安全与国家电子政务外网应用的真正一体化。目前,国家电子政务外网安全管理平台基本实现了对国家电子政务外网中央城域网、广域网骨干网的主要网络设备、安全设备和网络承载的业务系统的安全事件的管理,并具备监控、预警、响应、审计追踪等功能。
图2描述了国家电子政务外网安全管理平台的功能框架。以下对其功能予以详细阐述。
⒈统一管理
政务外网安全管理平台(SOC)建立在安全设备部署的基础之上,主要围绕安全的预防、发现、反应环节搭建,实现了安全预警、集中监控、安全事件处理等更高层次的安全管理。这些建立在安全设备部署之上的安全管理包括:预防环节的安全预警信息通告,安全评估结果综合分析的安全信息库;发现环节的收集防火墙、入侵检测、日志系统、防病毒系统中的有关安全事件,呈现安全告警的集中安全监控系统;反应环节的以电子流的方式,进行安全事件处理流转,保存安全事件处理经验的安全事件运行系统。
政务外网安全管理平台(SOC)对各种安全产品的监控和管理,可以利用各个安全子系统中已有的信息采集和控制机制来实现,也可以采用直接与安全设备交互的方式进行,主要取决于各个安全子系统自身的构架以及提供的管理接口。
⒉安全事件实时监控与实时通报
网络安全工作的本质在于控制网络安全风险,风险管理是安全管理的核心。考察安全成本和安全威胁后果之间的关系,以可接受的成本来降低安全风险到可接受的水平。
国家电子政务外网上的各种安全设备和产品每天都要产生大量的各种安全事件。对这些事件的集中监视是控制网络风险、保证网络业务正常运行的重要手段。国家电子政务外网安全管理平台专注于整个政务外网安全相关事件的实时监控,收集并汇总重大安全事件的数据(如:大规模蠕虫事件,重大攻击事件等),进行关联性分析,全面提高对网络事件的快速反应能力;同时,将安全事件备份到后台的数据库中,以备查询和生成安全运行报告。
安全事件通报与业务系统、工作流紧密结合。国家电子政务外网安全管理平台在发现某政务外网业务系统内出现安全事件后,还将及时把这些安全事件通知各业务系统的管理员以便及时予以处理。
⒊全网统一安全策略
对于电子政务外网的安全运行维护,最具有挑战性的莫过于保持全网策略的一致性。尤其是对于日新月异的网络安全技术,需要经常性频繁应对出现的新漏洞,根据新的业务调整安全策略。
国家电子政务外网安全管理平台支持统一、集成的策略管理,包括策略的制定、分发和策略执行情况的检查。安全策略管理包括设备安全策略、事件响应策略和全局安全策略等。
统一安全策略管理制订全网的安全策略,这些策略文件可下发给各相关部门,通过直接(也可以手工)的方式进行配置落实。策略的管理能够通过全局策略的调整、业务的变化、各网管和部门反馈来的意见等情况,不断调整、优化安全策略。
⒋基于角色的安全事件可视化
国家电子政务外网安全管理平台提供统一的安全管理,并为不同级别和性质的管理员提供不同层次和性质的管理视图。由于电子政务外网内部网络系统是一个复杂的分布式大规模网络,因此核心层、分布层以及接入层的网络管理员具有不同的职责。系统不但能够提供运行核心层的管理员对所有安全系统宏观的管理视图,也能够为各地主要业务网络的管理员对自己管辖区域内的安全设备和安全系统部件进行区域自治管理,此外,还能够通过安全管理平台(SOC)对分布于整个网络的某个安全子系统,进行整体安全策略的发放和状态监测及管理。
安全管理平台(SOC)根据需要设置可视化条件,实时在全网拓扑图中显示最重要的多组事件,包括设备名称、事件定位、风险概况、脆弱性等信息(如图3所示)。
⒌安全事件关联分析
安全管理平台(SOC)要对各个不同安全设备(入侵检测、漏洞扫描、防火墙等)报告的安全信息进行集中的数据挖掘和分析,进行全局的相关性分析和报表显示,以发现低级安全事件相关联后表现出的高级安全事件,以及异常行为之间、漏洞和入侵之间的对应关系,便于对攻击的确认和安全策略的调整。国家电子政务外网安全管理平台目前支持基于规则的关联分析、基于统计的关联分析和基于漏洞的关联分析等3种形式。根据此关联分析的功能,结合国家电子政务外网的业务应用系统的事件特征,通过分析与制定安全域与业务安全控制策略和基于业务应用的流程异常监控,制定相关的特定关联分析规则,配合事件监控、拓扑管理及综合显示等方面的内容,从而实现国家电子政务外网业务安全监控及追踪功能的事件定位。
⒍宏观分析与安全决策支持
安全管理平台(SOC)应支持对各安全设备上报的所有安全数据进行宏观统计、分析和决策支持。宏观统计分析主要是在大量数据的基础上,对安全事件进行综合分析,比如将攻击信息和安全漏洞信息关联起来,产生详尽的安全报告,提供安全决策支持,强有力地支持全网安全事件的及时发现(检测)、准确定位(追踪)、尽快处理(应急响应)、进一步防范(预警)以及全网安全策略制定(策略)。国家电子政务外网运行维护管理员根据宏观分析提供的全局安全状况和安全态势信息,并结合电子政务外网的管理体系、人员管理规章制度、管理流程以及行政管理规定,为针对安全事件的处理决策提供支持。图4、图5展示了安全管理人员可以借助安全管理平台展示的全方位安全信息对政务外网的安全态势进行宏观把握,为决策提供支持。
⒎安全事件全局预警
对于像冲击波、红色代码等危害较大的网络蠕虫的较大规模入侵,从一个地区向另一地区渗透可能有一定的延时。在这段延时期间,安全管理平台(SOC)有义务将这种警报到尚未受攻击的区域中去,以起到提前布防的预警作用。
国家电子政务外网安全管理平台接到的报警如果符合提前设定的全局预警范围,则将其下发到非来源的省级政务网络中心,结合报警信息转发及上传的功能,实现这一报警事件下发到所有省级政务外网结点(如图6所示)。
⒏安全事件知识库
为了实现安全事件的集中收集、记录、审计和流程化处理(集中、分类、入库、处理),共享最新安全知识,保证国家电子政务外网安全人才的储备,安全管理平台(SOC)建立安全事件知识库。知识库将国家电子政务外网各级安全管理平台的安全管理信息收集起来,为国家电子政务外网各级安全维护人员形成统一的安全共享知识库,以完成安全信息管理和WEB,主要实现安全管理信息、安全事件库、安全策略配置库、安全技术信息交流、处置预案库、补丁库、安全知识库等栏目的信息管理和浏览。安全管理员可以通过安全知识库的辅助工具学习,了解相关知识,辅助进行运维工作。图7是一个安全知识库的截屏。
五、国家电子政务外网安全管理平台的部署
根据国家电子政务外网安全管理平台的组成,政务外网安全管理平台最终建成分层分级结构:顶级为国家级安全管理平台,第二级为省部级安全管理平台,第三级为县市级安全管理平台。各级网络安全管理中心负责对本级电子政务外网实施安全监控和集中管理。上级网络安全管理中心可对下级网络安全管理中心进行统一安全策略、运行状态监控、安全信息收集等操作。下级网络安全管理中心可接受上级网络安全管理中心的安全预警信息。国家电子政务外网安全管理平台整体部署如图8所示。
在部署政务外网各级安全管理平台过程中,涉及两类下级安全管理平台:一是新建的安全管理平台,另一类是已建的安全管理平台。对于新建的安全管理平台在接入上级安全管理平台时将在统一设计、统一标准、统一技术规范、统一部署的原则下进行建设,与上级安全管理平台实现平滑和无缝对接。
部分电子政务建设比较好的省市,可能已建成安全管理平台。在这种情况下,由于早期建设的安全管理平台没有统一的标准和规范,在管理对象、管理方式、协议支持等方面不尽相同,所以此类安全管理平台不能直接与国家级安全管理平台进行对接。因此需要针对不同的安全管理平台进行调研和分析,本着最小改造的原则,为其增加设备,通过机制实现其与上级安全管理平台的对接。
六、总结
目前,国家电子政务外网中央安全管理平台的建设已基本建设完毕。通过几个月的建设工作,安全管理平台的实施为国家电子政务外网的安全运转提供了良好的保障。首先,国家电子政务外网安全管理平台提升了信息安全事件的处理水平。因为大量的安全事件通过安全管理平台的过滤、归并和排序后,降低到一个人工能够处理的数量级。另外,安全管理平台(SOC)自带的专家知识库能够帮助平台管理员正确地处理事件,减低了安全技术的门槛,为运维人员提供了有力的技术支持。其次,国家电子政务外网安全管理平台提供了良好的可视化技术,用图形化的方法向管理员展示了整个国家电子政务外网的安全整体状况,便于管理员从宏观上对全网的安全态势进行整体把握。
综上所述,国家电子政务外网安全管理平台的实施是针对政务网络系统传统管理方式的一种重大变革。它结合政务网络自身的特点,将不同位置、不同安全系统中分散且海量的单一安全事件进行汇总、过滤、收集和关联分析,得出全局角度的安全态势,并形成统一的安全决策对安全事件进行响应和处理。
作者简介:
郭红,女,1966年生,汉族,北京人,高级工程师,国家信息中心网络安全部处长,研究方向:网络安全。
王勇,男,1977年生,汉族,山东鄄城人,国家信息中心网络安全部工程师,研究方向:网络安全。
篇6
关键词 SOA;电子政务;安全性;流程
1 引言
随着计算机技术、信息技术、安全技术、软件工程技术的高速发展,电子政务也逐渐发展成熟。政府的信息化系统既是社会的信息服务系统,同时也是政府自身的管理系统。电子政务是保证政府各部门信息共享,信息收集,数据处理的主要工具。从政府信息多样性,繁琐性,多变性的特点来看,电子政务采用SOA的架构是比较适合的架构。因为分布于各部门和社会各单位中的系统是各自独立的也是千差万别的,当执行数据处理任务的时候,又需要这些系统进行协同操作,此时SOA就有了优势。本文从多个角度探讨了SOA架构下的电子政务的实施方法。
2 SOA架构的概念
SOA面向服务的体系结构(Service-Oriented Architecture)是一个组件模型,它将应用程序的不同功能单元通过这些单元之间定义良好的接口和契约联系起来[1]。接口是采用中立的方式进行定义的,它独立于实现服务的硬件平台、操作系统和编程语言。这使得构建在各种这样的系统中的各个单元可以用一种统一和通用的方式进行交互。这种具有中立的接口定义的特征称为服务之间的松耦合。松耦合系统的好处有两点,首先是它的灵活性,其次是当组成整个应用程序的每个服务的内部结构和实现逐渐地发生改变时,它能够继续存在。
3 电子政务面临的安全问题分析
目前,我国的电子政务正在逐步实现由“政绩导向”向“服务导向”的转变。以服务为中心,使老百姓能得到更广泛、更便捷的政府信息和服务,使政府真正转变为服务型政府。因此,以公众服务为中心,服务公众就成为电子政务建设的出发点。以公众服务的角度去看电子政务全局,面向服务去重新梳理业务流程,即面向服务去详细描述政府和公民互动的过程、政府履行的各种业务与功能以及关键的业务流程。在这种大环境和背景下,实施SOA架构的电子政务建设就显得势在必行。
在这种环境下,利用信息化的手段,达成自上而下的政府业务标准和业务资源的统一,实现数据自底向上的快速准确汇集和业务自上而下的高度协同就显得十分重要。而其中电子政务建设的安全性是一个非常重要的研究点。电子政务事关一个地区、一个系统甚至一个国家的利益,如果电子政务的信息安全失去保障,其后果是不堪设想的。电子政务安全风险的主要表现形式有:网上病毒泛滥和蔓延;信息间谍的潜入和窃密;网络恐怖集团的攻击和破坏;网上黑客入侵和犯罪;内部人员的违规和违法操作;网络系统的脆弱和瘫痪;信息产品的失控。由于信息技术发展的历史原因和建设资金问题,我国电子政务网络的建设在规划上经常缺少前瞻性的安全规划。随着安全问题的不断出现,只能在运行过程中不停地修修补补,但是这种修补只能解决暂时的问题,解决一个问题后,往往又有新问题出现。如何控制电子政务建设中面临的安全风险,如何进行电子政务的安全建设,是目前需要解决的问题。
4 SOA架构下安全实施电子政务系统的方法
在具体实施SOA架构的电子政务系统应如何面对其安全性的挑战,根据笔者的研究认为,对于SOA架构下的电子政务系统可以从以下几个方面入手。
(1)系统规划建设。以SOA架构规划整个电子政务的应用程序是比较繁杂的。对其进行保护也更为困难。经常需要采用各种各样的视角对其加以观察。甚至需要专门的安全人员进行相关工作。团队负责人应该透彻的了解软件体系结构和安全性方面的知识,应同时了解SOA的相关知识。团队中的安全架构师将负责创建系统的安全模型。同时,安全架构师将与项目架构师配合工作,确保SOA实现符合安全性的要求,并对电子政务业务分析人员和系统工程师进行安全性指导。安全架构师还需要负责与程序员及测试人员充分沟通。
(2)项目计划。需要制定完善的项目计划和预算,对SOA安全实现所必需的要求全部清楚地说明和反映。以SOA电子政务模型的任何转换都可能涉及到固有的安全矛盾:系统的面向服务架构特征越明显,其安全性越差。通过面向服务的建模和分析技术将当前传统电子政务系统转换为面向服务的电子政务系统过程必须要形成电子政务流程设计的相关文档。SOA在电子政务系统上安全实施需要项目组做详细的项目规划和预算,为安全性团队分配必要的时间,以便深入分析和了解实现SOA所带来的新挑战。
(3)需求模型。在建立需求模型时,务必选择正确的工具,以便团队进行协作和方便地记录SOA的安全需求和创建SOA电子政务安全模型。正确的需求与分析工具将帮助团队了解问题领域、捕获和管理不断发展的需求、建模用户交互、在整个电子政务项目生命周期中包含参与者反馈,而最为重要的是进行协作。良好的安全需求与分析实践将极大地减少系统安全风险。
(4)风险评估。可以采用“内部安全性”方法。内部安全性是指安全性需求与SOA实现中的所有活动对应。必须根据设计文档了解哪些地方必须做出安全决策,并确定执行这些决策的安全控制点,从而了解具体如何实现SOA。这一步需根据需要将这些策略的职责分配到应用程序、SOA安全和SOA组件上,从而利用相应的机制来应用这些安全策略并加以执行。必须将安全需求封装或分解为将在SOA实现中以渗透方式工作的一组安全服务。SOA安全服务必须遵循SOA原则、即松耦合、模块化、封装、重用和可组合性,以获得必要的灵活性,帮助确保电子政务系统能够跟上政务设计中变化的速度,并成为实现更为完善的组织总体安全性的变更驱动因素。这就要求从传统的静态安全模型转向动态模型,以跟上SOA体系结构中更快的变更速度。
(5)通过5WIH进行决策。SOA 安全团队需要确定SOA安全参与者并进行相应的划分工作。参与者分为两类:外部和内部。外部政策制定者和治理机构可能提供了具有广泛安全影响的特定网络完全性标准,如关键基础设施保护需求等。所有电子政务系统标准都有自己的一组特定需求,这些需求会对总体 SOA 安全实现造成影响。在内部,安全需求可跟踪谁、为何、为什么、何地、何时及如何这样的5WIH安全问题。谁能够何时何地访问什么,以及如何进行、持续时间多长?通过5WIH方法有效地控制SOA安全防御的运作。
(6)遵循SOA安全实现的SDLC(Software Development Life Cycle,软件开发生命周期)流程。考虑到电子政务系统必须收集非常多的信息,必须编写的体系结构构件的数量也非常大以及需要构造特定SOA安全服务,SOA安全团队应该遵循软件开发生命周期的标准步骤:
①确定安全需求和约束;②得出和收集安全需求;③创建安全体系结构设计;④形成SOA设计文档;⑤实现 SOA;⑥测试;⑦部署;⑧维护。
安全团队开始设计解决方案前,必须对需求进行收集。对于安全实现,既有显式需求,也有隐式需求。对于显式需求,一个很好的着手点就是收集每个参与者的需求。而对于隐式需求,最好使用安全框架,如保密性、完整性和可靠性,以便在其中列出所有安全系统的具体需求。
(7)选择标准。根据WS-Security[4] 选择需要的标准,WS-Security标准参见图1。确定哪个标准适用于实现SOA电子政务安全。
图1 WS- Security 标准
以上这些安全标准将用于构造整个 SOA 实现中的安全消息。
(8) 经验总结。找出现有电子政务模型并从中吸取经验教训。SOA安全需求团队花时间确定了所有需求后,团队成员必须自己编写SOA安全服务来满足特定需求。最合适的做法是对现有的电子政务模型进行分析,在团队开始抽象设计阶段前了解已经开发的内容。SOA Security 团队必须将需求映射到每个服务,然后为需要的所有服务创建 SOA 安全模型,以满足第六步中确定的所有需求。
5 安全实施SOA技术的可操作性分析
对于基于SOA电子政务项目建设应该形成SOA基础技术平台、辅助工具、资源、应用服务与系统参与人员等要素在内的SOA参考技术架构,以保障系统的安全性。在设计上应清晰划分出连通服务、安全服务、资源管理服务、流程服务、协作服务、运行管理服务、信息服务、业务服务与交互服务关键技术构成在内的SOA基础技术平台要素,统一各关键构成的技术边界、交互关系,确定了技术标准体系,为SOA在电子政务应用的相互操作提供基础,在企业应用、实施SOA建设的标准、框架与关键技术要求,保证SOA总体技术框架与解决方案的开放性、互操作性,在推动电子政务以资源共享与交换、业务协同深化同时,也加强了未来应用发展的一致性、可持续性与稳定性。现在业界提出FAST策略,即互操作框架(Framework)、架构体系(Architecture)、解决方案(Solution)、测试保障(Testing)等,这些是保证SOA在电子政务领域成功应用的关键要素。其中互操作框架保证SOA电子政务技术产品与应用方案的互操作性;架构体系明确选择重用、松散耦合的柔性软件架构,形成实施SOA的骨干支撑基础;解决方案针对电子政务热点、难点需求,创新性建立以电子政务资源共享交换、政务业务协同为主的电子政务应用解决方案;测试保障提供以测试评估为基础的全面质量与应用保障。通过“标准规范-参考架构-技术架构-解决方案-实施方法-平台产品-保障体系”等流程,推动SOA电子政务领域安全成功的应用。
6 总结
本文比较系统的分析了基于SOA架构安全实施电子政务方法,并总结了在SOA架构下安全实施电子政务的各项特点和优势,在SOA的架构下安全实施电子政务系统的方法进行了系统的分析。目前业界基于SOA架构安全实施电子政务方法较多,除了本文的解决方案外,我们尚需注意安全实施SOA架构电子政务系统还应建立一组服务业务模型和服务评价模型,业务模型描述服务业务的可持续发展,不仅包括它的创建态,还可以包括其变化态和协作态,评价模型描述服务的评估态。这个模型就是SOA所提倡的方法论。在该方法下为电子政务的安全运营提供策略制定、管理流程规划、安全管理制度规划、安全风险评估、安全管理等一系列服务,通过SOA服务型的管理平台,建立统一的安全策略,从而将有效提升电子政务的安全管理强度。
参考文献
[1]Thomas Erl Service-Oriented Architecture——Concepts,Technology,and Design,Prentice Hall PTR,2005.
[2] 边锋. 选择电子政务为应用突破口用SOA支撑服务型政府变革media.ccidnet.com/art/2639/20061231/ 992759_1. html
篇7
关键词:电子政务;服务经济;服务社会
1 美国“全球电子商务框架”概要
随着信息技术的迅速发展,电子政务与电子商务被提上日程,并取得显著成效,电子政务与电子商务的协调成为信息化发展的一大趋势。电子政务与电子商务协同实现的整体效应必然对国民经济和社会的发展与进步产生积极而深刻的影响。
1997年7月1日,克林顿总统颁布了联邦政府促进、支持电子商务发展的“全球电子商务框架”。该框架确立了联邦政府政策的基本框架,对于美国乃至世界各国电子商务的发展产生了积极影响。
在“全球电子商务框架”中,联邦政府提出了发展电子商务的原则和建议。发展电子商务主要原则包括因特网发展是市场驱动的所以私营部门必须发挥主导作用、在通过因特网进行产品或者服务买卖并达成合法协议的过程中政府应该避免对电子商务的不当限制、政府必须参与时政府参与的目标应该是支持和创造一种可以预测的、受影响最小的、持续简单的法律环境为商业发展营造合适的环境、政府必须深化对因特网的特性的认识从而对现有的一些可能阻碍电子商务发展的法律法规重新进行审议、修改或者废止、打破网上交易的法律框架的地区、国家和国际之间的界限促进电子商务在全球范围内发展。
电子商务与电子政务表现为互动关系, 经过研究发现美国“全球电子商务框架”对我国电子政务的改革提供了参考。
2 “全球电子商务框架”对我国电子政务改革的启示
2.1 做好灾备方案,确保信息安全
经济社会中存在大量数据,WestWorld 公司的报告指出,在每500个数据中心中就有1个每年要经历一次灾难。电子政务建设离不开数据,数字信息是源头活水。刘家真教授提出了制定网络环境下的电子文件管理规范,必须考虑管理者的责任和办公自动化网络上运行的电子消息必须作为凭证加以管理。刘家真教授在调研的基础上分析了我国文献的档案数据面临的风险,根据国情提出文献的档案数据宜采用同城异地备份与远端异地储存其离线备份的灾备方案,并对远端异地离线灾备基地的建设、管理与可持续运作提出了建议。刘家真教授还深入研究了更新与迁移在档案保护中的广泛应用,以及更新与迁移可能带来的档案内容信息损失风险,并提出了如何规避这类风险的管理策略。这些策略对于信息的更新与迁移过程中的丢失可以起到“防患于未然”的作用。刘家真教授指出,“保护数字文献的关键在于维护数字信息的长期可存取性,为维护数字信息的长期可存取,还提出了3M策略:数字媒体的选择与维护、科学管理以及技术迁移。”因此,要建立信息安全平台,保护网上政务资源。搭建安全支撑平台和安全应用支撑平台。电子政务的数据处理与保护必须放在第一位,数据丢失了,或者被删改了,起不到应有作用,甚至会起到负作用。
2.2 政府市场联动,强化信息管理
电子政务信息共享已成为公务员及社会公众日益紧迫的需求。然而,由于行政体制、管理模式等方面的原因,电子政务信息共享面临着一系列的障碍和问题。为了提高电子政务信息共享的效率,各级政府部门应当针对这些原因和表现,采取相应的对策。因此必须强化电子政务的信息管理。
电子政务的信息管理要引入市场机制、把握好电子政务的市场定位、确立客户关系管理和赢利模式大力推进电子政务市场化建设。电子政务建设中要发挥多方面的作用,尤其要让第三部门、企业集团甚至民间组织加入,让他们成为电子政务建设的主体之一。
电子政务信息管理是一个巨大工程,短期的规划是注重解决眼下必须解决的问题,同时要制订中长远规划,做好成本效益分析。建造电子政务的经济效益模型,熟练掌握电子政务对经济效益影响的几种主要方式和内容,间接影响至少要考虑建设、管理和服务等方面的效益,直接影响应考虑到电子政务对政府、相关企业及咨询机构等方面的影响。
电子政务信息管理的好坏标准要交给市场而不是政府,这样政府才能牢牢抓住主动权。国内外信息化的实践证明,信息化建设必须有标准化的支持,尤其要发挥标准化的导向作用,以确保技术上的协调一致和整体效能的实现。
电子政务推进标准化必须进行正确的策略选择。为电子政务标准选择正确的类型、级别与形式就有着特殊重要的作用。要明确电子政务标准化在标准类型归属、标准级别划定与标准形式确定方面的特殊要求,正确选择我国电子政务标准类型、级别与形式。
2.3 协同政务建设,攻克关键技术
政务主要包括行政决策、行政执行、行政监督三个环节,要从行政决策组织、行政决策活动、行政执行组织、行政执行活动、行政监督组织、行政监督活动、公务员培训等几个方面探讨电子政务的协同发展以降低行政成本的机理。如公务员的部分培训内容可以在网上进行降低培训成本。
降低政务成本要推进协同电子政务建设,协同电子政务是对政府自身运作能力的强化,协同电子政务有助于政府组织实现职能整合、信息整合、业务整合、流程整合,最终实现政务工作和服务的全面提高。推进协同电子政务建设中要注意解决好政府和开发商之间存在的利益冲突问题,必须设计好有效的激励机制。
我国电子政务建设中的主要问题是国产软硬件的相对不成熟,在集成时出现不兼容的问题,在现有的国产软硬件的基础上,要经过反复测试和优化形成一套真正运行稳定、切实可行的国产软硬件的集成应用方案,确保应用国产的关键技术。
知识产权和隐私的保护技术急需攻克并同步更新。应当从提高公民个人信息隐私权意识,提高电子政务信息管理者道德,以及加强电子政务信息资源系统的管理方面来保护电子政务信息系统中的个人信息隐私权。
我国知识产权电子政务建设的起点和国外比较差不多。国外知识产权类网站的开发者主要是国际协会或组织,行政管理网站占据主要地位。我国是以中央的知识产权信息网站带动地方的知识产权信息网站建设,实现各知识产权信息库的资源共享。要保证电子政务信息资源权利人享有合法权利。
2.4 依法管理政务,制度职能创新
电子政务呼唤新的管理理念。要把以人为本的管理理念贯穿电子政务的全过程,要运用信息时代的人本思维重塑政府管理模式,推动电子政务的发展。推进电子政务实际上是要达到政府行政管理领域内新的制度平衡。
电子政务始终要以依法行政为大前提。电子政务立法的宗旨应当是推动政府信息公开、推进政务信息化建设、提高政务办公效率。电子政务的法律框架,本质是为电子政务提供公平、透明、和谐的环境。电子政务要立法。立法中的核心问题是立法模式、立法层次、立法效力等。电子政务的运行必须在法律监督之下,电子政务的发展也必须基于信息法律的保障,电子政务的实施有利于建设法制社会。电子政务发展需要健全的法律环境。从电子政务的建设和应用的流程角度来看,电子政务发展应完善:与政务信息有关的行政法律法规问题、电子政务建设管理和应用的法律法规问题、电子政务建设的技术标准。
电子政务的本质是对政府职能的转变和创新。电子政务不仅在公共行政领域,而且在人类生活的各个领域都产生了影响。电子政务是信息时代各级政府治理不可缺少的工具,为构建服务型地方政府提供了现实条件。
电子政务是现代政府管理创新工具。电子政务提高了行政效率,降低了成本,提高了政府公共服务水平。但也存在一定不足。这就要求各级政府转变观念,统筹规划各部门网站,制定相关法律、法规,积极推进电子政务发展,利用电子政务推进行政管理体制改革的深化,逐步形成新型政府管理模式,增强公共管理与服务功能,全面提升行政能力。
要重点解决好电子政务建设中的深层次问题。要引入IT治理的思想,对电子政务中实施IT治理,找到实现电子政务制度与技术协同发展的有效途径。
2.5 高效优质服务、狠抓绩效评估
我国电子政府绩效评估实践已在各级政府和部门中逐渐开展起来,并引起社会各界的普遍关注,电子政务绩效评估需要得到进一步的大发展。
电子政务绩效是政府绩效的重要组成部分。电子政务正在成为现代政府运作的主要方式,成为政府更好的实现其管理、服务职能的重要手段。而在大规模的投入和建设后,电子政务能否真正取得预期的成效已经成为一个重大问题。
我国目前的电子政务建设状况不容乐观,巨大的资金投后,实际效果却与预期相距甚远。究其原因,缺乏与电子政务运行特点相符合的绩效评估体系是造成这一局面的重要原因。
要形成我国自己的电子政务绩效评估模式。可以把电子政务的绩效划分为产出、结果和影响三个层次,提倡综合应用模式,突破产出层次。我国的电子政务绩效评估应突出“重在政务”和“政务为民”的战略选择,同时紧密结合电子政务建设和行政改革的进程,做好战略规划。从政府网站建设,基础设施建设,政务基础信息数据库建设,重点政务业务系统建设四个方面构建指标体系,稳步推动我国电子政务的发展,同时促进政府绩效的提高。
参考文献
[1]刘家真.数据丢失的风险与对策[J].机电兵船档案, 2004,(01).
[2]刘家真.网络环境下的电子文件管理要求[J].档案管理,1999,(01).
[3]刘家真,倪丽娟.创建我国文献的档案数据灾备基地的构想[J].档案学研究,2006,(04).
[4]刘家真.更新与迁移中的风险管理策略[J].北京档案,2005,(10).
[5]刘家真.保护数字信息的长期存取策略[J].武汉大学学报(人文社会科学版), 1999,(04).
[6]李纲,彦.电子政务信息安全平台分析[J].中国图书馆学报,2006,(01).
篇8
关键词:电子政务 信息安全PKI
1综合电子政务平台概述
电子政务是指政府机构应用信息技术提高政府事务处理的信息流效率,对政府机构和职能进行优化,改善政府组织和公共管理能力。通常由核心网络、接人网络及访问网络三部分组成。建设内容一般包括:电子政务网络平台、政府门户网站、电子政务主站点、“一站式”行政审批系统、视频会议系统、公文交换和信息报送系统、电子邮件系统、办公自动化系统等。
电子政务网络平台网络结构中,核心网络拥有重要的信息资源,并处理政府部门间的核心业务。政府部门间的数据交换流程是闭环的,即任何一个节点既是用户又是数据源。因此,核心网络节点之间的业务流程应该是高速、严密、安全的,并且有严格的审核机制。核心网络与接人网络形成上下级关系的协同工作平台,进行信息、数据的交换。它们之间的信息往来必须具备信任安全体系。政府核心网络面向社会公众提供信息服务,对外宣传政府信息,与访问网络建立连接。
2综合电子政务平台的安全风险
2.1网络安全域的划分和控制问题
电子政务中的信息涉及国家秘密、国家安全,因此它需要绝对的安全。但是同时电子政务现在很重要的发展方向是要为社会提供行政监管的渠道,为社会提供公共服务,如社保医保、大量的公众咨询、投诉等等,它同时又需要一定程度的开放。因此如何合理地划分安全域显得非常重要。
2.2内部监控、审核问题
目前绝大部分单位都没有系统可以实时地对内部人员除个人隐私以外的各项具体操作进行监控和记录,更不用谈对一些非法操作进行屏蔽和阻断了。
2.3电子政务的信任体系问题
电子政务要做到比较完善的安全保障体系,第三方认证是必不可少的。只有通过一定级别的第三方认证,才能说建立了一套完善的信任体系。
2 .4数字签名(签发)问题
在电子政务中,要真正实行无纸化办公,很重要的一点是实现电子公文的流转,而在这之中,数字签名(签发)问题又是重中之重。
2.5电子政务的灾难响应和应急处理问题
很多单位在进行网络规划的时候,没有考虑到作为系统核心部分一一数据库本身的安全问题,完全依赖干整个网络的防护能力,一旦网络的安全体系被穿破或者直接由内部人员利用内网用户的优势进行破坏,“数据”可以说无任何招架之力
3综合电子政务平台安全体系建设方案
3 .1技术保障体系
技术保障体系是安全管理体系的重要组成部分。它涉及两个层面的问题,一是信息安全的核心技术和基本理论的研究与开发,二是信息安全产品和系统构建综合防护系统。
信息安全技术。信息安全的核心技术主要包括数据加密技术、信息隐藏技术和信息认证技术。数据加密是把有意义的信息编码为伪随机性的乱码,以实现信息保护的目的。数字签名是指只有发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对发送者信息真实性的证明。
信息安全防护体系。目前,主要的信息安全的产品和系统包括防病毒软件、防火墙、入侵检测系统、漏洞扫描、安全审计系统、物理隔离系统等。我们可采用屏蔽子网体系结构保证核心网络的安全。屏蔽子网体系结构通过添加额外的安全层到被屏蔽主机体系结构,即通过添加周边网络更进一步地把内部网络与Internet隔离开。在这种结构下,即使攻破了堡垒主机,也不能直接侵人内部网络,它将仍然必须通过内部路由器。
3.2运行管理体系
安全行政管理。电子政务的安全行政管理应包括建立安全组织机构、安全人事管理、制定和落实安全制度。
安全技术管理。电子政务的安全技术管理可以从三个方面着手:硬件实体、软件系统、密钥。
风险管理。风险管理是对项目风险的识别、分析和应对过程。它包括对正面事件效果的最大化及对负面事件影响的最小化。
3.3社会服务体系
安全管理服务。目前,一些信息安全管理服务提供商(Managed Security Service Providers, MSSP)正在逐步形成,它们有的是专门从事安全管理服务达到增值目的的,有的是一些软件厂商为弥补其软件系统的不足而附加一些服务的,有的是一些从IT集成或咨询商发展而来提供信息安全咨询的。
安全测评服务。测评认证的实质是由一个中立的权威机构,通过科学、规范、公正的测试和评估向消费者、购买者即需方,证实生产者或供方所提供的产品和服务,符合公开、客观和先进的标准。
应急响应服务。应急响应是计算机或网络系统遇到安全事件如黑客人侵、网络恶意攻击、病毒感染和破坏等时,所能够提供的紧急的响应和快速的救援与恢复服务。
3.4基础设施平台
法规基础建设。主要有以下几方面:在国家宪法和各部门法中对各类法律主体的有关信息活动涉及国家安全的权利和义务进行规范,形成国家关于信息及信息安全的总则性、普适性的法规体系;针对各类计算机和网络犯罪,制订直接约束各社会成员的信息活动的行为规范,形成计算机、网络犯罪监察屿防范体系;对信息安全技术、信息安全产品(系统)的授权审批应制订相应的规定,形成信息安全审批与监控体系;针对信息内容的安全与保密问题,制订相应规定,形成信息内容的审批、监控、保密体系;从国家安全的角度,制订网络信息预警与反击体系等。
篇9
前言
《2018联合国电子政务调查报告》显示,我国电子政务发展指数EGDI为0.6811,全球排名第65位,处于中等偏上的位置,仍有较大的上升空间。从市场规模来看,2017年我国电子政务市场规模达2722亿元,2018年有望突破3000亿元。但处于转型期的电子政务面临着数据孤岛、成本高昂、网络安全、效率低下、监管缺失等痛点。
区块链可为电子政务提供新的解决方案。我国各级政府纷纷出台政策鼓励将区块链技术应用于电子政务,我国区块链电子政务应用取得一定的进展。
目前我国共有17项区块链电子政务应用,分别涉及七大细分场景:政府审计、数字身份、数据共享、涉公监管、电子票据、电子存证、出口监管等。
篇10
关键词:电子政务;安全系统;体系构建
随着信息化时代的到来,网络办公作为一种高效的办公形式已经被越来越多的政府部门采用。电子政务网站作为政府和民众沟通的平台,成了政府推进信息化建设的主要部分。依靠这样的平台,政府可以以最快的速度把各种新鲜资讯告知广大民众,民众也可以通过这样的平台把自己的意见和建议传达到政府那里,实现民众和政府之间更好的沟通。从这个角度来说,电子政务网站是十分重要的。安全性是政府部门整个信息化工程建设的保障,是整个系统建设中最关键的部分。本文将对电子政务建设的安全性加以探讨,提出如何构建安全的电子政务网络系统。
1 安全问题
1.1 重技术,轻管理
在整个建设过程中,一向有这样的观点:只要从技术层面配备了相应的安全软件,整个系统的建设就是安全的,对于安全的管理却相对忽视。目前,电子政务系统的安全技术主要有下面几种:操作体系安全、病毒查杀安全、访问链接安全等。而对于安全的管理,则主要包含整个体系的风险管理、对资料的备份和防删除恢复、一键恢复系统、审查追踪等部分。此外,对于安全的管理,还包括电脑操作人员的安全观念和安全操作技术等。
1.2 管理过程不够规范
电子政务的安全是一个十分重要的问题,涉及到政府的形象甚至是国家的利益。因此,对于电子政务安全的管理就需要一个比较规范的系统。但是目前的情况是国家关于电子政务安全的各个环节还不能从总体上进行掌握,还需要对相关环节和部门进行深入的研究和探讨。
1.3 法律法规不健全
社会信息化的程度越来越高,电子政务的发展速度也越来越快,但是法制法规对电子政务发展的限制也越来越明显。比方说,电子签名是不是和纸质签名具有同样的法律效率等,就需要专门的法律去加以限制和说明。
1.4 信息保护的多重矛盾
对于电子信息的保护,从来就没有特定的标准,这就导致在防护的过程中出现了很多的矛盾,例如:防护不到位和防护过度之间的矛盾;防护软件和使用软件之间的矛盾;杀毒软件研发和取得效果之间的矛盾等。随着时代的发展和技术的进步,电子政务的防护系统也要不断的升级;眼下,为了减少移动设施对电子政务系统带来的安全隐患,一般杜绝在系统上使用移动设施,这肯定会对电子政务系统的实用性带来一定的不便,这就又造成了其安全性和实用性之间的矛盾。
1.5 安全威胁的多面化
可以说,电子政务网站可以提供多大的方便,就会存在多大的风险。对其系统造成威胁的因素有很多,总体上来说可以划分为三个方面:技术层面、人为原因、自然因素。
2 电子政务系统的网络安全体系建设
2.1 网络物理层面的安全保障
从这一层面来说,网络物理隔离卡的研发业已相对完善,尽管其有很多不同的品种,但是其依据方面基本一致,都是凭借脱离了TCP/IP协议的内网系统,在电子政务网络内部自成一个网络系统,和互联网络断开连接,保护内网资料的相对安全。除了在内网和外网之间进行隔离,在内网内部还要进行一定的隔离。
2.2 网络应用层面的安全保障
2.2.1 登录身份验证
这是一种最简单的安全保障方式。依靠对用户名和登录密码的设置,对那些不相关的人员进行隔离。眼下,黑客的破坏能力逐渐增加,简单的用户名和密码很难限制那些别有用心的人员,所以,很多的电子政务网络都开始采用动态口令技术,对政府的电子政务系统进行更详尽的保护。
2.2.2 使用权限矩阵
电子政务系统是政府和民众之间的交流平台,这就注定了访问这个系统的人员会有两种身份:系统管理者和一般民众。对这两类使用者我们要区别对待,给予他们不同的使用权限。系统管理者可以对系统内的信息进行添加、删除和维护,对整体资料进行一定的调整;但是一般民众就只能对信息进行浏览,不能做出任何的变动。
2.3 从操作层面进行保护
使用者使用的操作体的安全性,对电子政务系统的安全也存在着很大影响。因此,要尽可能使用正版的、稳定的操作系统。在使用过程中,定时对系统进行病毒查杀和系统完善。
总之,由于我国电子政务的不断推进,其政务服务类型更加的丰富多样,网上咨询、在线交流等服务内容不但拉近了政府和民众之间的关系,而且大大提高了政府的办事效率。电子政务网络业已成为一种必然的发展趋势。本论文对电子政务网络构建过程中安全方面出现的问题进行了分析,同时还对如何保障电子政务网络的安全做出了探讨,希望对电子政务网络的安全起到一定的防护作用。
[参考文献]
[1]孟祥宏.基于可生存性的电子政务系统安全策略研究[J].现代计算机(专业版).2009(12).
