第一篇:電子政務(wù)及其信息安全
摘要
電子政務(wù)是全面提升政府機(jī)構(gòu)管理與服務(wù)水平的重要技術(shù)手段,電子政務(wù)的信息安全問題已成為各國政府普遍關(guān)注和研究的重要問題。電子政務(wù)作為信息網(wǎng)絡(luò)的一個(gè)特殊應(yīng)用領(lǐng)域,運(yùn)行著大量需要保護(hù)的數(shù)據(jù)和信息,相對(duì)于企業(yè)信息化和電子商務(wù),具有自身特殊性:一是信息內(nèi)容的高保密性、高敏感度;二是電子政務(wù)發(fā)揮行政監(jiān)督力度;三是利用網(wǎng)絡(luò)環(huán)境為社會(huì)提供公共服務(wù)。如果系統(tǒng)的安全性被破壞,造成敏感信息暴露、丟失或網(wǎng)絡(luò)被攻擊等安全事件,產(chǎn)生的后果將波及地區(qū)甚至整個(gè)國家,電子政務(wù)信息系統(tǒng)也必然會(huì)成為信息間諜、敵對(duì)勢力、恐怖集團(tuán)、國家之間信息戰(zhàn)攻擊的目標(biāo)。因此,電子政務(wù)信息安全事關(guān)國家政治、經(jīng)濟(jì)、國防安全和民族信息產(chǎn)業(yè)發(fā)展全局,缺乏安全保障的電子政務(wù)信息系統(tǒng),不可能實(shí)現(xiàn)真正意義上的電子政務(wù)。
關(guān)鍵詞:電子政務(wù);信息安全;保障;體系
英
文
摘要
E-government is the important technical means that comprehensively enhance the government institutions management and service level, the security question of e-government information has already become the general attention and research important problem of governments.E-government information network as a special application domain, operating with large need protection of data and information that relative to the enterprise information and electronic commerce, has its own particularity: First, it is the information content of high confidentiality, high sensitivity;Second, E-government display administration supervision, Third, it uses network environment for the society providing public services.If the security of the system is destroyed, sensitive information exposure, lost or network by attack security incident, the consequences will affected regions and even the whole country, e-government information system also will become the target of information spy, hostilities, terrorist group, or two hostile countries
.Therefore, e-government information security is a matter
of national political, economic and national defense security and national information industry development, so the lack of security of e-government information systems could not achieve real sense of e-government.Keywords: e-government, Information security;Safeguard;system.目錄
摘要
.........................................................I I 1
電子政務(wù)信息安全四大體系
...................................1 1.1
安全管理體系............................................1 1.2
預(yù)警檢測體系............................................2 1.3
安全防護(hù)體系............................................3 1.4
響應(yīng)恢復(fù)體系............................................4 2
電子政務(wù)信息安全的現(xiàn)狀及表現(xiàn)
...............................4 2.1
電子政務(wù)信息安全的現(xiàn)狀..................................4 2.2
電子政務(wù)信息安全的目標(biāo)..................................5 2.2.1 可用性目標(biāo)...........................................5 2.2.2 完整性目標(biāo)...........................................6 2.2.3 保密性目標(biāo)...........................................6 2.2.4 可記賬性目標(biāo).........................................6 2.2.5 保障性目標(biāo)...........................................6 3
電子政務(wù)中信息安全的幾個(gè)基本問題
...........................7 3.1 電子政務(wù).................................................7 3.2
信息安全.................................................7 3.3
電子政務(wù)中的信息安全....................................7 3.4
信息安全在國家安全中的地位...............................8 3.5
網(wǎng)絡(luò)技術(shù)的問題..........................................9 3.5.1
網(wǎng)絡(luò)信息安全問題....................................9 3.5.2 網(wǎng)絡(luò)對(duì)人的情感問題...................................9 3.5.3 政府自身的問題......................................10 3.5.4 電子政務(wù)信息化建設(shè)應(yīng)用當(dāng)中的信息安全隱患............11
電子政務(wù)信息安全解決方案
...................................4.1 網(wǎng)絡(luò)安全問題的應(yīng)對(duì)方法..................................15 4.1.1 加強(qiáng)對(duì)公務(wù)員的安全技術(shù)教育,樹立網(wǎng)絡(luò)安全觀念.........15 4.1.2 改變信息安全管理依靠傳統(tǒng)的管理方法和手段的模式,實(shí)現(xiàn)現(xiàn)代的系統(tǒng)管理技術(shù)手段........................................16 4.1.3 鼓勵(lì)民族信息技術(shù)產(chǎn)業(yè)的發(fā)展,解決好技術(shù)的先進(jìn)性與自主性的關(guān)系......................................................16 4.1.4 關(guān)于網(wǎng)絡(luò)對(duì)人的情感及價(jià)值忽略問題的應(yīng)對(duì)方法...........17 4.2 政府自身問題的應(yīng)對(duì)方法..................................18 4.2.1 提高公務(wù)員素質(zhì).......................................18 4.2.2 制定發(fā)展規(guī)劃,明確階段目標(biāo),避免重復(fù)建設(shè)作為政務(wù)活動(dòng)和信息技術(shù)的結(jié)合點(diǎn)............................................18 5
我國電子政務(wù)中信息安全及相關(guān)法律保護(hù)
......................5.1 電子政務(wù)中信息安全的幾個(gè)基本問題........................19 5.2
政府信息安全的保護(hù)......................................22 5.3
我國電子政務(wù)中信息安全的保護(hù)對(duì)策........................24 5.3.1 盡快建立我國信息安全的保護(hù)體系.......................24 5.3.2 進(jìn)一步完善我國信息安全保障的法律體系.................26 6
結(jié)束語
....................................................電子政務(wù)及其信息安全
前言
隨著全球政治經(jīng)濟(jì)一體化的日益明顯,以電子政務(wù)為代表的政府管理服務(wù)職能的電子化、自動(dòng)化、無紙化,目前正在一些國家尤其是發(fā)達(dá)國家中快速發(fā)展。在世界各國積極倡導(dǎo)的“信息高速公路”的五個(gè)應(yīng)用領(lǐng)域中,“電子政務(wù)”被列為第一位,因此可以說政府信息化是社會(huì)信息化的先導(dǎo),電子政務(wù)是信息化社會(huì)發(fā)展的必然。
電子政務(wù)信息安全四大體系
電子政務(wù)的信息安全建設(shè)是在適當(dāng)?shù)男畔踩U象w系和框架指導(dǎo)下進(jìn)行的一項(xiàng)系統(tǒng)工程。這項(xiàng)工程包括密切關(guān)聯(lián)的四大體系:安全管理體系、預(yù)警檢測體系、安全防護(hù)體系和響應(yīng)恢復(fù)體系,其中,安全管理體系是整個(gè)信息安全保障體系中最核心的組成部分,是貫穿其他三個(gè)體系的主線。
1.1
安全管理體系
安全管理體系的建立要遵循以下原則:符合法律、法規(guī)、標(biāo)準(zhǔn);符合組織使命;符合組織利益。
建立健全安全管理體系,最重要的是針對(duì)電子政務(wù)的現(xiàn)有情況制定統(tǒng)一的行政管理制度,在整個(gè)網(wǎng)絡(luò)系統(tǒng)中貫徹執(zhí)行。當(dāng)然,根據(jù)當(dāng)?shù)鼐W(wǎng)絡(luò)的實(shí)際情況和具體網(wǎng)絡(luò)應(yīng)用的不同,適當(dāng)作出調(diào)整,可以比較好地保證安全策略的統(tǒng)一性、一致性和可管理性。
1.2
預(yù)警檢測體系
預(yù)警檢測體系包括入侵檢測、漏洞檢測、外聯(lián)和接入檢測、補(bǔ)丁管理等。
入侵檢測系統(tǒng)是目前最為主要的一個(gè)廣泛應(yīng)用的技術(shù)和管理手段。利用網(wǎng)絡(luò)入侵檢測系統(tǒng),可以了解網(wǎng)絡(luò)的運(yùn)行狀況和發(fā)生的安全事件,并根據(jù)安全事件來調(diào)整安全策略和防護(hù)手段,同時(shí)改進(jìn)實(shí)時(shí)響應(yīng)和事后恢復(fù)的有效性,為定期的安全評(píng)估和分析提供依據(jù),從而提高網(wǎng)絡(luò)安全的整體水平。
電子政務(wù)信息網(wǎng)絡(luò)需要部署漏洞檢測系統(tǒng)。漏洞檢測系統(tǒng)一般包括漏洞掃描引擎、控制中心、報(bào)表和顯示中心及管理控制臺(tái) 4 個(gè)功能組件。
在電子政務(wù)的網(wǎng)絡(luò)系統(tǒng)內(nèi),防火墻等安全手段往往被一些違反安全策略的行為所破壞,包括 MODEM 撥號(hào)、雙網(wǎng)卡或無線上網(wǎng)等各種方式接入互聯(lián)網(wǎng)。這些違反規(guī)定的非法外聯(lián)行為使電子政務(wù)網(wǎng)絡(luò)系統(tǒng)內(nèi)的個(gè)人計(jì)算機(jī)毫無防范地接入 Internet,在用戶無意識(shí)的情況下,一些機(jī)密信息(包括機(jī)器和網(wǎng)絡(luò)的所有配置信息以及數(shù)據(jù)文件)可能泄漏,由此危害整個(gè)電子政務(wù)網(wǎng)絡(luò)的安全。
非法外聯(lián)監(jiān)控技術(shù)就是為了防范上述兩類安全問題而設(shè)計(jì)的,它對(duì)內(nèi)部人員的非法外聯(lián)行為進(jìn)行實(shí)時(shí)監(jiān)控,對(duì)物理隔離措施或安全限制規(guī)定進(jìn)行有效性檢查。
補(bǔ)丁管理應(yīng)該納入組織的安全體系。補(bǔ)丁管理的意義已經(jīng)超出了傳統(tǒng)
的安全領(lǐng)域,成為維護(hù)企業(yè)信息系統(tǒng)正常操作所必須具備的措施。電子政務(wù)需要部署補(bǔ)丁管理系統(tǒng),補(bǔ)丁可以被存儲(chǔ)在本地網(wǎng)絡(luò)以確保它們的更高可讀性和加速分發(fā)。
1.3
安全防護(hù)體系
安全防護(hù)體系包括防火墻、身份鑒別與認(rèn)證、系統(tǒng)訪問控制、網(wǎng)絡(luò)審計(jì)等內(nèi)容。
防火墻就是運(yùn)行于軟件和硬件上的、安裝在特定網(wǎng)絡(luò)邊界的、實(shí)施網(wǎng)間訪問控制的一組組件的集合。它在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間形成一道安全保護(hù)屏障,防止非法用戶訪問內(nèi)部網(wǎng)絡(luò)上的資源和非法向外傳遞內(nèi)部信息。
身份鑒別與認(rèn)證是系統(tǒng)的第一道安全屏障,也是實(shí)施訪問控制的基礎(chǔ),具有十分重要的作用。因此,身份鑒別與認(rèn)證機(jī)制的強(qiáng)度如何,將直接關(guān)系到整個(gè)系統(tǒng)的安全度,口令與令牌相結(jié)合的身份驗(yàn)證方式可以為大多數(shù)的場合提供足夠的安全性。
訪問控制包括自主訪問控制和強(qiáng)制訪問控制兩種,其中強(qiáng)制訪問控制具有更高的安全性,建議采用。強(qiáng)制訪問控制給每個(gè)客體和主體分配了不同的安全屬性,而且這些安全屬性不像 ACL 那樣容易被修改,系統(tǒng)通過比較主體和客體的安全屬性才決定主體對(duì)客體的操作可行性。強(qiáng)制訪問控制可以防范特洛伊木馬和用戶濫用權(quán)限,具有更高的安全性。
來自網(wǎng)絡(luò)的安全威脅日益增多,很多威脅并不是以網(wǎng)絡(luò)入侵的形式進(jìn)
行的,這些威脅事件多數(shù)來自內(nèi)部合法用戶的誤操作或惡意操作,僅靠系統(tǒng)自身的日志功能并不能滿足對(duì)這些網(wǎng)絡(luò)安全事件的審計(jì)要求。使用網(wǎng)絡(luò)審計(jì)系統(tǒng),記錄網(wǎng)絡(luò)中發(fā)生的違規(guī)行為,完整地記錄各種信息的起始地址和使用者,將有利于事后追蹤,為調(diào)查取證提供第一手資料。
1.4
響應(yīng)恢復(fù)體系
響應(yīng)恢復(fù)體系包括應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計(jì)劃兩個(gè)方面。
電子政務(wù)信息系統(tǒng)已經(jīng)成為電子政務(wù)業(yè)務(wù)的支撐平臺(tái)。安全策略中必須具備應(yīng)急響應(yīng)手段,保證電子政務(wù)發(fā)生安全事故后,能夠及時(shí)作出有效響應(yīng),采取合適的應(yīng)急措施處理事故。
安全事件預(yù)警與應(yīng)急響應(yīng)體系主要針對(duì)危及電子政務(wù)信息系統(tǒng)安全的重大事件進(jìn)行檢測、預(yù)警、抑制、根除,并從事件的影響中盡快恢復(fù),以確保電子政務(wù)信息系統(tǒng)的業(yè)務(wù)連續(xù)性。
業(yè)務(wù)連續(xù)性計(jì)劃(BCP)是與信息安全相關(guān)、但與業(yè)務(wù)關(guān)系非常緊密的一項(xiàng)內(nèi)容。因此,電子政務(wù)的業(yè)務(wù)連續(xù)性計(jì)劃必須以電子政務(wù)的業(yè)務(wù)為中心,綜合考慮。
電子政務(wù)信息安全的現(xiàn)狀及表現(xiàn) 2.1
電子政務(wù)信息安全的現(xiàn)狀 電子政務(wù)中政府信息安全實(shí)質(zhì)是由于計(jì)算機(jī)信息系統(tǒng)作為國家政務(wù)的載體和工具,而引發(fā)的信息安全。信息安全成為當(dāng)前政府信息化中的關(guān)鍵
問題。安全問題是電子政務(wù)建設(shè)中的重中之重。電子政務(wù)中的政府信息安全是國家安全的重要內(nèi)容,是保障國家信息安全所不可忽缺的組成部分。
信息安全涉及到政治、經(jīng)濟(jì)、軍事、文化等方方面面,由于互聯(lián)網(wǎng)發(fā)展在地域上極不平衡,信息強(qiáng)國對(duì)于信息弱國已經(jīng)形成了戰(zhàn)略上的“信息位勢差”,居于信息低位勢的國家的政治安全、經(jīng)濟(jì)安全、軍事安全乃至民族文化傳統(tǒng)都將面臨前所未有的沖擊、挑戰(zhàn)和威脅,互聯(lián)網(wǎng)成為超級(jí)大國謀求跨世紀(jì)戰(zhàn)略優(yōu)勢的工具。“信息疆域”不是以傳統(tǒng)的地緣、領(lǐng)土、領(lǐng)空、領(lǐng)海來劃分,而是以帶有政治影響力的信息輻射空間來劃分。“信息疆域”的大小、“信息邊界”的安全,關(guān)系到一個(gè)民族、一個(gè)國家在信息時(shí)代的興衰存亡。在知識(shí)經(jīng)濟(jì)時(shí)代,一個(gè)國家的信息獲取能力以及在社會(huì)生產(chǎn)生活領(lǐng)域中的“信息制控權(quán)”,將成為這個(gè)國家在新世紀(jì)的生存與發(fā)展競爭中能否占據(jù)主動(dòng)的關(guān)鍵。
2.2
電子政務(wù)信息安全的目標(biāo) 信息系統(tǒng)信息安全的宗旨是通過在實(shí)現(xiàn)信息系統(tǒng)時(shí)充分考慮到自身、伙伴和客戶的信息風(fēng)險(xiǎn),確保組織能夠完成它的全部使命和目標(biāo)。進(jìn)而言之,電子政務(wù)系統(tǒng)信息安全的宗旨就是通過在實(shí)現(xiàn)信息系統(tǒng)時(shí)充分考慮信息風(fēng)險(xiǎn),從而確保一個(gè)政府部門能夠有效地完成法律所賦予的政府職能。電子政務(wù)信息安全必須實(shí)現(xiàn)以下目標(biāo):
2.2.1 可用性目標(biāo)
可用性目標(biāo)是指確保電子政務(wù)系統(tǒng)有效率地運(yùn)轉(zhuǎn)并使授權(quán)用戶得到所
需信息服務(wù)。通常,可用性目標(biāo)是電子政務(wù)系統(tǒng)的首要信息安全目標(biāo)。
2.2.2 完整性目標(biāo)
完整性目標(biāo)包括兩個(gè)方面:數(shù)據(jù)完整性和系統(tǒng)完整性。通常,完整性目標(biāo)是電子政務(wù)系統(tǒng)除了可用性目標(biāo)之外最重要的信息安全目標(biāo)。
2.2.3 保密性目標(biāo)
保密性目標(biāo)是指不向非授權(quán)個(gè)人和部門暴露私有或者保密信息。通常,對(duì)于大多數(shù)電子政務(wù)系統(tǒng)而言,保密性目標(biāo)在信息安全的重要程度排序中僅次于可用性目標(biāo)和完整性目標(biāo)。然而,對(duì)于某些特定的電子政務(wù)系統(tǒng)和數(shù)據(jù),保密性目標(biāo)是最重要的信息安全目標(biāo)。
2.2.4 可記賬性目標(biāo)
可記賬性目標(biāo)是指電子政務(wù)系統(tǒng)能夠如實(shí)記錄一個(gè)實(shí)體的全部行為。通常,可記賬性目標(biāo)是政府部門的一種策略需求??捎涃~性目標(biāo)可以為拒絕否認(rèn)、威懾違規(guī)、隔離故障、檢測和防止入侵、事后恢復(fù)和法律訴訟提供支持。
2.2.5 保障性目標(biāo)
保障性是電子政務(wù)系統(tǒng)信息安全的信任基。保障性目標(biāo)突出了這樣的事實(shí):對(duì)于希望做到安全的信息系統(tǒng)而言,不僅需要提供預(yù)期的功能,而且需要保證不會(huì)發(fā)生非預(yù)期的行為。具體而言,保障性目標(biāo)是指:提供并正確實(shí)現(xiàn)需要的電子政務(wù)功能;在用戶或者軟件無意中出現(xiàn)差錯(cuò)時(shí),提供充分保護(hù);在遭受惡意的系統(tǒng)穿透或者旁路時(shí),提供充足防護(hù)。
電子政務(wù)中信息安全的幾個(gè)基本問題
3.1 電子政務(wù) 電子政務(wù)是政府在國民經(jīng)濟(jì)和社會(huì)信息化的背景下,以提高政府辦公效率,改善決策和投資環(huán)境為目標(biāo),將政府的信息發(fā)布、管理、服務(wù)、溝通功能向互聯(lián)網(wǎng)上遷移的系統(tǒng)解決方案。同時(shí)也提供了結(jié)合政府管理流程再造,構(gòu)建和優(yōu)化政府內(nèi)部管理系統(tǒng)、決策支持系統(tǒng)、辦公自動(dòng)化系統(tǒng),為政府信息管理、服務(wù)水平的提高提供強(qiáng)大的技術(shù)和咨詢支持。
3.2 信息安全 信息安全是指保證信息系統(tǒng)中的數(shù)據(jù)在存取、處理、傳輸和服務(wù)過程中的保密性、完整性和可用性,以及信息系統(tǒng)本身能連續(xù)、可靠、正常地運(yùn)行,并且在遭到破壞后還能迅速恢復(fù)正常使用的安全。
3.3
電子政務(wù)中的信息安全 電子政務(wù)中的信息安全包括了信息的機(jī)密性、完整性、可信性、可控性、不可否認(rèn)性等。我國立法把信息安全界定為“保障計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施(網(wǎng)絡(luò))的安全,運(yùn)行環(huán)境的安全,保障信息安全,保障計(jì)算機(jī)功能的正常發(fā)揮,以維護(hù)計(jì)算機(jī)信息系統(tǒng)的安全”。從這一法律規(guī)定看,計(jì)算機(jī)信息系統(tǒng)安全應(yīng)當(dāng)包括實(shí)體安全、信息安全、運(yùn)行安全和人的安全。其中,人的安全主要是指計(jì)算機(jī)使用人員的安全意識(shí)、法律意識(shí)、安全技能等;實(shí)體安全是指保護(hù)計(jì)算機(jī)設(shè)備、設(shè)施(含網(wǎng)絡(luò))以及其他媒體免遭自然和人為破壞的措施、過程。實(shí)體安全包括環(huán)境安全、設(shè)備安全和
媒體安全三個(gè)方面;計(jì)算機(jī)信息系統(tǒng)的運(yùn)行安全包括:系統(tǒng)風(fēng)險(xiǎn)管理、審計(jì)跟蹤、備份與恢復(fù)、應(yīng)急四個(gè)方面的內(nèi)容。所謂計(jì)算機(jī)信息系統(tǒng)的信息安全是指防止信息被故意的或偶然的非法授權(quán)泄漏、更改、破壞或使信息被非法系統(tǒng)辨識(shí)、控制,即確保信息的保密性、完整性、可用性、可控性。針對(duì)計(jì)算機(jī)信息系統(tǒng)中信息存在形式和運(yùn)行特點(diǎn),信息安全包括操作系統(tǒng)安全、數(shù)據(jù)庫安全、網(wǎng)絡(luò)安全、病毒保護(hù)、訪問控制、加密與鑒別七個(gè)方面。
3.4 信息安全在國家安全中的地位 電子政務(wù)中政府信息安全實(shí)質(zhì)是由于計(jì)算機(jī)信息系統(tǒng)作為國家政務(wù)的載體和工具,而引發(fā)的信息安全。信息安全成為當(dāng)前政府信息化中的關(guān)鍵問題。安全問題是電子政務(wù)建設(shè)中的重中之重。電子政務(wù)中的政府信息安全是國家安全的重要內(nèi)容,是保障國家信息安全所不可忽缺的組成部分。
信息安全涉及到政治、經(jīng)濟(jì)、軍事、文化等方方面面,由于互聯(lián)網(wǎng)發(fā)展在地域上極不平衡,信息強(qiáng)國對(duì)于信息弱國已經(jīng)形成了戰(zhàn)略上的“信息位勢差”,居于信息低位勢的國家的政治安全、經(jīng)濟(jì)安全、軍事安全乃至民族文化傳統(tǒng)都將面臨前所未有的沖擊、挑戰(zhàn)和威脅,互聯(lián)網(wǎng)成為超級(jí)大國謀求跨世紀(jì)戰(zhàn)略優(yōu)勢的工具。“信息疆域”不是以傳統(tǒng)的地緣、領(lǐng)土、領(lǐng)空、領(lǐng)海來劃分,而是以帶有政治影響力的信息輻射空間來劃分。“信息疆域”的大小、“信息邊界”的安全,關(guān)系到一個(gè)民族、一個(gè)國家在信息時(shí)代的興衰存亡。在知識(shí)經(jīng)濟(jì)時(shí)代,一個(gè)國家的信息獲取能力以及在社會(huì)生產(chǎn)生活
領(lǐng)域中的“信息制控權(quán)”,將成為這個(gè)國家在新世紀(jì)的生存與發(fā)展競爭中能否占據(jù)主動(dòng)的關(guān)鍵。
3.5
網(wǎng)絡(luò)技術(shù)的問題 3.5.1
網(wǎng)絡(luò)信息安全問題 目前對(duì)信息安全構(gòu)成威脅的既有自然因素也有人為因素,主要有火災(zāi)等自然災(zāi)害、硬件故障、嚴(yán)重誤操作、數(shù)據(jù)泄露、盜用、偽造、假冒、故意對(duì)數(shù)據(jù)或程序破壞、病毒、錯(cuò)誤指向、黑客、特洛伊木馬、搭線竊聽等。掌握了一定技術(shù)的人可以輕易獲取網(wǎng)絡(luò)服務(wù)器上的用戶賬號(hào)信息和文件。并可進(jìn)入系統(tǒng)修改刪除重要數(shù)據(jù)文件。一旦電子政務(wù)系統(tǒng)被非法侵入和破壞它將不能正常工作甚至全部癱瘓。如果系統(tǒng)的安全性被破壞。造成敏感信息暴露或丟失,或網(wǎng)絡(luò)被攻擊等安全事件。那么產(chǎn)生的后果必然波及地區(qū)和整個(gè)國家的安全,這種破壞將會(huì)給國家?guī)碇卮髶p失。一旦網(wǎng)絡(luò)受到攻擊,不能正常工作,甚至全部癱瘓時(shí),整個(gè)社會(huì)將陷入危機(jī)。國家機(jī)密難保,致使某些部門不敢使用互聯(lián)網(wǎng)。
3.5.2 網(wǎng)絡(luò)對(duì)人的情感問題 電子政務(wù)的一大特點(diǎn)是虛擬性,這是由互聯(lián)網(wǎng)的特點(diǎn)所決定的。政府工作人員在進(jìn)行電子政務(wù)的活動(dòng)中,往往會(huì)使人際關(guān)系淡化,政府工作人員和公眾似乎面對(duì)的只是電腦,而常常忘記他們也是和人進(jìn)行交往。例如時(shí)下興起的在城市公共場所安裝的“電子眼”監(jiān)控系統(tǒng),雖然在一定程度上改善了城市交通,降低了犯罪率,但這種“倒洗腳水也將孩子一塊兒潑
出”的做法也對(duì)公民的隱私權(quán)和其他方面的權(quán)利造成了嚴(yán)重侵犯,其對(duì)人性化和人本管理的背離也是顯而易見的。
3.5.3 政府自身的問題(1)
公務(wù)員及官員素質(zhì)有待提高 大部分政府官員和公務(wù)員對(duì)信息技術(shù)、網(wǎng)絡(luò)技術(shù)和計(jì)算機(jī)技術(shù)還未接觸或接觸不多,所以對(duì)高新信息技術(shù)應(yīng)用方面的能力也比較欠缺,整體素質(zhì)與電子政務(wù)建設(shè)要求也還有很大的距離,對(duì)電子政務(wù)建設(shè)就缺乏應(yīng)有的積極態(tài)度。
從公務(wù)員的文化水平來看,經(jīng)過 1998 年的政府機(jī)構(gòu)改革,國務(wù)院近1.7萬名公務(wù)員中,大學(xué)本科畢業(yè)以上學(xué)歷的占 65%。但地方政府 500 萬公務(wù)員中,大學(xué)本科畢業(yè)以上學(xué)歷的僅有 10%,約有 20%的公務(wù)員不會(huì)操作計(jì)算機(jī)。面對(duì)電子政務(wù)的潮流,許多公務(wù)員在心理上必然會(huì)恐懼害怕,產(chǎn)生抵觸情緒,而不能從心理上積極學(xué)習(xí),以適應(yīng)政府信息化的歷史潮流,結(jié)果使得很多昂貴的設(shè)置成為裝點(diǎn)門面的飾物。
(2)
電子政務(wù)的規(guī)劃和標(biāo)準(zhǔn)缺乏統(tǒng)一性 目前,我國電子政務(wù)的發(fā)展缺乏宏觀規(guī)劃,沒有提出明確的發(fā)展目標(biāo)。同時(shí),條塊分割的管理體制與電子政務(wù)的統(tǒng)一性、開放性、交互性和規(guī)模經(jīng)濟(jì)等自然特性產(chǎn)生嚴(yán)重沖突,各級(jí)地方政府和部門在電子政務(wù)的建設(shè)中往往各自為政,采用的標(biāo)準(zhǔn)也各不相同,業(yè)務(wù)內(nèi)容單調(diào)重復(fù),造成新的重復(fù)建設(shè)。同時(shí),缺乏規(guī)范和標(biāo)準(zhǔn)也使得信息流通不暢,資源無法共享和信
息孤島,影響了跨部門、跨區(qū)域共性業(yè)務(wù)的處理和政府的有效監(jiān)管。
3.5.4 電子政務(wù)信息化建設(shè)應(yīng)用當(dāng)中的信息安全隱患(1)
身份認(rèn)證和訪問控制
登錄到系統(tǒng)的人必須是相關(guān)業(yè)務(wù)人員,凡是非相關(guān)人員,系統(tǒng)拒絕其訪問;如果系統(tǒng)不能識(shí)別用戶的真正身份,業(yè)務(wù)是無法開展的。身份認(rèn)證是實(shí)現(xiàn)訪問控制的前提條件,通過身份認(rèn)證結(jié)合應(yīng)用系統(tǒng)的授權(quán)機(jī)制,才能提供訪問控制功能;
(2)
信息傳輸機(jī)密性 在網(wǎng)絡(luò)上傳輸?shù)男畔⒉荒鼙桓`取;(3)
信息傳輸完整性 在網(wǎng)絡(luò)上傳輸?shù)男畔⒉荒鼙粣阂獯鄹模?/p>
(4)
信息傳輸不可抵賴性 在網(wǎng)上提交的請求是不允許抵賴的,同時(shí)對(duì)涉及信息安全的事件,提供事后追蹤、審核及統(tǒng)計(jì)的手段。
2004 年 8 月 28 日 十屆全國人大常委會(huì)第十一次會(huì)議表決通過了《中華人民共和國電子簽名法》,將于 2005 年 4 月 1 日 起施行。該法首次賦予電子簽名與紙質(zhì)手寫簽名具有同等法律效力,并明確了電子認(rèn)證服務(wù)市場的準(zhǔn)入制度,同時(shí)保障了電子交易安全。《中華人民共和國電子簽名法》的施行意味著網(wǎng)上通行有了 “ 身份證 ”,對(duì)“電子簽名”、“數(shù)據(jù)電文”等電子文檔是否具有法律效力進(jìn)行了明確的規(guī)定,同時(shí)對(duì)電子認(rèn)
證機(jī)構(gòu)的法律地位和法律責(zé)任有了明確的界定,保證以后發(fā)生糾紛時(shí)的責(zé)任認(rèn)定,并且使得電子簽名的安全性、可靠性有了法律保障,有效的保護(hù)了使用者的權(quán)益。
面對(duì) G2B 電子政務(wù)的諸多隱患,北京天威誠信電子商務(wù)服務(wù)有限公司(iTruschina)推出了基于 PKI(Public Key Infrastructure,公鑰基礎(chǔ)設(shè)施)技術(shù)的、易于實(shí)施的、完善的 G2B 電子政務(wù)安全解決方案。采用天威誠信的產(chǎn)品和服務(wù),構(gòu)架電子政務(wù)的 PKI/CA平臺(tái)(CA :
Certification Authority,認(rèn)證中心)或?yàn)榭蛻籼峁┳C書服務(wù),為電子政務(wù)用戶發(fā)放數(shù)字證書,電子政務(wù)用戶使用數(shù)字證書完成涉及到 G2B 工作的各種操作,來保證電子政務(wù)的安全。
如圖所示:通過 G2B 電子政務(wù)安全解決方案,各企業(yè)、事業(yè)單位和政府機(jī)構(gòu)及其下屬機(jī)構(gòu)申請數(shù)字證書,在各自不同的電子政務(wù)應(yīng)用中使用數(shù)字證
書,可以解決 G2B 電子政務(wù)的安全需求,在不同應(yīng)用系統(tǒng)中,如網(wǎng)上申報(bào)審批、政務(wù)公文流轉(zhuǎn)、網(wǎng)上工商年檢等,用戶通過申請證書在進(jìn)行相應(yīng)電子政務(wù)操作時(shí)使用數(shù)字證書來驗(yàn)證進(jìn)行電子政務(wù)工作的系統(tǒng)身份,然后提交各自證書讓系統(tǒng)驗(yàn)證用戶證書來判斷用戶的真實(shí)身份,完成用戶和應(yīng)用系統(tǒng)的雙向認(rèn)證;根據(jù)用戶身份給予相應(yīng)授權(quán),實(shí)現(xiàn)訪問控制,并建立安全通道;用戶提交辦公數(shù)據(jù)和相應(yīng)保密信息時(shí),使用用戶證書對(duì)數(shù)據(jù)進(jìn)行數(shù)字簽名,并通過安全通道進(jìn)行加密傳輸,達(dá)到傳輸數(shù)據(jù)時(shí)的機(jī)密性和完整性。
對(duì)于需要相關(guān)部門審批的數(shù)據(jù),審批者使用代表其身份的數(shù)字證書,登陸電子政務(wù)系統(tǒng),通過數(shù)字證書完成雙向身份認(rèn)證和訪問控制,并建立安全通道;審批者通過驗(yàn)證申報(bào)者的數(shù)字簽名,來驗(yàn)證申報(bào)信息的真實(shí)性和完整性;審批者對(duì)申報(bào)信息進(jìn)行審核后,并簽署審批意見時(shí),也使用自己的數(shù)字證書對(duì)審批結(jié)果進(jìn)行數(shù)字簽名;申報(bào)者通過驗(yàn)證審批者的數(shù)字簽名,判斷審批結(jié)果的真實(shí)性和完整性。
這樣,隨時(shí)隨地更加安全快捷的使用電子政務(wù)提供的眾多服務(wù),從而極大的提高工作效率和大大降低辦公成本。
天威誠信 G2B 電子政務(wù)安全解決方案為電子政務(wù)搭建安全工作平臺(tái),加速電子政務(wù)建設(shè)發(fā)展的速度。
規(guī)范辦公流程,提高工作效率,為政府部門及時(shí)完成各項(xiàng)工作任務(wù)實(shí)現(xiàn)公文無紙化傳輸?shù)葢?yīng)用提供強(qiáng)有力的安全保護(hù);
有效的保證政府各部門之間及上下級(jí)政府之間信息傳遞的安全性,為職能部門的決策提供及時(shí)、準(zhǔn)確、全面、安全和不可抵賴的信息服務(wù);
為政府外網(wǎng)的安全、穩(wěn)定運(yùn)行提供有效的保障:保證政府通過外網(wǎng)獲得的大量決策信息和參考信息的真實(shí)性、可靠性;同時(shí)為推動(dòng)政務(wù)公開、職能轉(zhuǎn)變、網(wǎng)上互動(dòng)、增加透明,樹立政府“公開、廉政、高效”的良好形象提供安全可靠的網(wǎng)絡(luò)基礎(chǔ);
防止公文數(shù)據(jù)泄漏,防止越權(quán)操作,提高電子政務(wù)的工作效率,滿足各辦公單位高效、快捷的進(jìn)行政務(wù)活動(dòng)的需求;
提高政務(wù)工作的透明度,提高政府部門的形象;為整個(gè)電子政務(wù)信息化建設(shè)提供安全的應(yīng)用環(huán)境和推廣的可靠保障。電子政務(wù)信息安全解決方案 隨著計(jì)算機(jī)技術(shù)和通信技術(shù)的飛速發(fā)展,信息化的浪潮席卷全球,無論是企事業(yè)單位還是政府機(jī)構(gòu)越來越多的傳統(tǒng)事務(wù)向自動(dòng)化、網(wǎng)絡(luò)化轉(zhuǎn)變。在處于經(jīng)濟(jì)全球化和信息化時(shí)代的中國,電子政務(wù)是提高政府管理水平和服務(wù)水平、提高國家競爭力的有力工具,更是帶動(dòng)全社會(huì)信息化的龍頭,具有重大的意義。電子政務(wù)工程將建立一個(gè)集資源和服務(wù)于一體的電子政府個(gè)體和群體網(wǎng)絡(luò),其本質(zhì)是資源數(shù)字化和服務(wù)網(wǎng)絡(luò)化。隨著信息技術(shù)的發(fā)展,互聯(lián)網(wǎng)的普及,利用網(wǎng)絡(luò)為政府部門提供更優(yōu)質(zhì)的服務(wù)成為當(dāng)今社會(huì)的共識(shí),借助電子政務(wù)系統(tǒng)的建設(shè),達(dá)到提高政府工作效率、政府工作透明化,充分做到執(zhí)政為民的目的。
由于電子政務(wù)的許多應(yīng)用,如網(wǎng)上的申報(bào)審批、政務(wù)公文流轉(zhuǎn)、網(wǎng)上信息統(tǒng)計(jì)直報(bào)、網(wǎng)上報(bào)稅、各企業(yè)資質(zhì)的網(wǎng)上年檢等都是面向企業(yè)、政府下屬機(jī)構(gòu) / 部門或政府關(guān)聯(lián)機(jī)構(gòu) / 部門的應(yīng)用,如下圖所示:
電子 政務(wù)應(yīng)用系統(tǒng)涉及到許多保密信息,這些信息都在不同程度上關(guān)系到政府的正常運(yùn)轉(zhuǎn)和在廣大民眾心中的地位,如果這些信息一旦失真或被內(nèi)部人員、不懷好意人士、黑客和政治間諜竊取將有可能導(dǎo)致嚴(yán)重的后果。因此,采取強(qiáng)有力的安全措施來保障電子政務(wù)的信息安全將變得尤為重要。
4.1 網(wǎng)絡(luò)安全問題的應(yīng)對(duì)方法 4.1.1 加強(qiáng)對(duì)公務(wù)員的安全技術(shù)教育,樹立網(wǎng)絡(luò)安全觀念。
網(wǎng)絡(luò)的開放性在給人類的生活帶來諸多方便的同時(shí),也給社會(huì)生活的許多方面帶來了很多不穩(wěn)定的因素,尤其是作為社會(huì)管理者的政府,一旦其網(wǎng)絡(luò)遭到惡意攻擊,很可能給社會(huì)帶來災(zāi)難性的損失。因此,加強(qiáng)公務(wù)員的網(wǎng)絡(luò)安全教育和技術(shù)培訓(xùn),使之樹立網(wǎng)絡(luò)安全意識(shí),并掌握一定的網(wǎng)
絡(luò)安全技術(shù)和技能,不僅是對(duì)公務(wù)員自身素質(zhì)的一大要求,也是應(yīng)對(duì)網(wǎng)絡(luò)安全的關(guān)鍵。
4.1.2 改變信息安全管理依靠傳統(tǒng)的管理方法和手段的模式,實(shí)現(xiàn)現(xiàn)代的系統(tǒng)管理技術(shù)手段。
國際標(biāo)準(zhǔn) BS7799 和 ISO/IEC17799 是流行的信息安全管理體系標(biāo)準(zhǔn)。其中的管理目標(biāo)為數(shù)據(jù)的保密性、完整性和可用性要求。具有自組織、自學(xué)習(xí)、自適應(yīng)自修復(fù)、自生長的能力和功能。保證持續(xù)有效性。通過計(jì)劃、實(shí)施、檢查、措施四個(gè)階段周而復(fù)始的循環(huán)。應(yīng)用于其整體過程、其他過程及其子過程,例如信息安全風(fēng)險(xiǎn)評(píng)估或者商務(wù)持續(xù)性計(jì)劃的安排等。為信息安全管理體系與質(zhì)量管理體系、環(huán)境管理體系等的整合運(yùn)行提供了方便在模式和方法上都兼容,成為統(tǒng)一的內(nèi)部綜合管理體系包括按照可信網(wǎng)絡(luò)架構(gòu)方法。編制信息安全解決方案。多層防范多級(jí)防護(hù),等級(jí)保護(hù),風(fēng)險(xiǎn)評(píng)估、重點(diǎn)保護(hù)。針對(duì)可能發(fā)生的事故或?yàn)?zāi)害。制定信息安全應(yīng)急預(yù)案,建立新機(jī)制、規(guī)避風(fēng)險(xiǎn)、減少損失。根據(jù)相應(yīng)的政策法規(guī)在網(wǎng)絡(luò)工程數(shù)據(jù)設(shè)計(jì)、建設(shè)和驗(yàn)收等階段實(shí)行同步審查,建立完善的數(shù)據(jù)備份、災(zāi)難恢復(fù)等應(yīng)用,確保實(shí)時(shí)、安全、高效、可靠的運(yùn)行效果。
4.1.3 鼓勵(lì)民族信息技術(shù)產(chǎn)業(yè)的發(fā)展,解決好技術(shù)的先進(jìn)性與自主性的關(guān)系。
作為一個(gè)先進(jìn)復(fù)雜的系統(tǒng),電子政務(wù)系統(tǒng)必須盡量采用先進(jìn)技術(shù)和手段以提高政務(wù)運(yùn)轉(zhuǎn)的效率,并增強(qiáng)整個(gè)系統(tǒng)的可靠性。從目前信息技術(shù)發(fā)
展的情況來看,絕大多數(shù)的關(guān)鍵技術(shù)掌握在以美國為首的少數(shù)發(fā)達(dá)國家手中,在實(shí)施電子政務(wù)過程中不可避免地要采用這些國家的技術(shù)和產(chǎn)品,而從我國的國家和民族利益來看,又要盡量避免在關(guān)鍵要害部門受制于人。鑒于安全問題,在構(gòu)建電子政務(wù)系統(tǒng)過程必須要處理好技術(shù)先進(jìn)性與自主性的關(guān)系。首先,對(duì)于核心應(yīng)用系統(tǒng)和關(guān)鍵政務(wù)環(huán)節(jié),必須確保在各類實(shí)施方案中的技術(shù)自主性。其次,對(duì)于核心層外部,但又與其他外部信息系統(tǒng)存在一定可監(jiān)控隔絕層的層次,可以盡量采用先進(jìn)技術(shù)以提高系統(tǒng)的效率和可靠性。實(shí)際上在整個(gè)電子政務(wù)系統(tǒng)中,位于此層次的應(yīng)用系統(tǒng)也是承載信息最多,工作模型和處理流程最復(fù)雜的。由于此層應(yīng)用系統(tǒng)不直接與外部信息系統(tǒng)相接,并能在一定的安全監(jiān)控體系中運(yùn)行,因此,不必單純從技術(shù)自主的角度考慮放棄某些先進(jìn)的技術(shù)。最后,對(duì)于直接與外部信息系統(tǒng)相聯(lián)的部分,也要針對(duì)不同情況分別加以考慮。對(duì)于其中安全監(jiān)控系統(tǒng),需要在其中的核心部分(如核心加密算法)確保技術(shù)自主,對(duì)于其余部分,由于所承載的信息基本都屬于非關(guān)鍵信息,可以考慮與其他信息系統(tǒng)接口保持通信協(xié)議、數(shù)據(jù)格式甚至軟件體系的一致性。
4.1.4 關(guān)于網(wǎng)絡(luò)對(duì)人的情感及價(jià)值忽略問題的應(yīng)對(duì)方法 解決這一問題,一是改進(jìn)和普及多用途互聯(lián)網(wǎng)電子郵件系統(tǒng)(MIME),使政府公務(wù)員與公眾之間通過文字、聲音、圖象和影視進(jìn)行交流與溝通,促其將信息溝通與情感交流融為一體;二是采用如專題調(diào)研、座談?dòng)懻摗⒙犠C會(huì)、新聞發(fā)布會(huì)等形式,促使政府公務(wù)員與社會(huì)公眾之間進(jìn)行面對(duì)面
的交流與溝通,從而消除相互之間的情感隔閡,建立政府與社會(huì)之間的相互信任機(jī)制。
4.2 政府自身問題的應(yīng)對(duì)方法 4.2.1 提高公務(wù)員素質(zhì) 推行任何改革,思想解放是關(guān)鍵。應(yīng)加強(qiáng)對(duì)公務(wù)員的思想政治教育,使之轉(zhuǎn)變觀念,從而在思想上接受這場變革,進(jìn)而在行動(dòng)上積極應(yīng)對(duì)這種變革。要加大對(duì)公務(wù)員的培訓(xùn)工作,使得他們掌握先進(jìn)的信息技術(shù),以適應(yīng)全新的信息社會(huì)工作環(huán)境,并且要把信息技術(shù)知識(shí)與技能的考核納入公務(wù)員綜合考核范圍之內(nèi)。
4.2.2 制定發(fā)展規(guī)劃,明確階段目標(biāo),避免重復(fù)建設(shè)作為政務(wù)活動(dòng)和信息技術(shù)的結(jié)合點(diǎn) 電子政務(wù)建設(shè)不單單是一個(gè)技術(shù)問題,而且涉及到政黨部門的工作程序、組織結(jié)構(gòu)、人事制度等方面的調(diào)整和協(xié)調(diào)。因此,國家要制定相應(yīng)的發(fā)展規(guī)劃,建立相應(yīng)的領(lǐng)導(dǎo)機(jī)構(gòu),加強(qiáng)對(duì)電子政務(wù)的研究、規(guī)劃和組織協(xié)調(diào),并根據(jù)國情,制定切實(shí)可行的階段性目標(biāo).雖然可以在電子政務(wù)的其他方面(如硬件平臺(tái)應(yīng)用軟件的選擇上)可以搞市場經(jīng)濟(jì),由各廠商自由開發(fā)、公平競爭,但是在技術(shù)標(biāo)準(zhǔn)的問題上必須搞“計(jì)劃經(jīng)濟(jì)”,由國家同一制定。技術(shù)標(biāo)準(zhǔn)確立的越早,我國的電子政務(wù)建設(shè)就越能盡早走上快車道,因此也就能盡早避免將來因標(biāo)準(zhǔn)混亂而導(dǎo)致的被動(dòng)局面。
綜上所述:信息安全對(duì)于電子政務(wù)的成敗具有舉足輕重的作用。電子
政務(wù)是一個(gè)系統(tǒng)工程,信息安全問題貫穿了電子政務(wù)系統(tǒng)的整個(gè)系統(tǒng)生命周期,我認(rèn)為:在電子政務(wù)信息安全中,信息安全,三分技術(shù)、七分管理。因此,技術(shù)安全手段應(yīng)當(dāng)服從于和服務(wù)于管理安全手段。具體而言,技術(shù)手段只有和規(guī)章制度的有效執(zhí)行相配合,才能產(chǎn)生信息安全效益。
我國電子政務(wù)中信息安全及相關(guān)法律保護(hù) 5.1
電子政務(wù)中信息安全的幾個(gè)基本問題 信息安全的內(nèi)涵:信息安全是指一個(gè)國家的社會(huì)信息化狀態(tài)不受外來的威脅與侵害;一個(gè)國家的信息技術(shù)體系不受外來的威脅與侵害。電子政務(wù)中的信息安全包括了信息的機(jī)密性、完整性、可信性、可控性、不可否認(rèn)性等。我國立法把信息安全界定為“保障計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施(網(wǎng)絡(luò))的安全,運(yùn)行環(huán)境的安全,保障信息安全,保障計(jì)算機(jī)功能的正常發(fā)揮,以維護(hù)計(jì)算機(jī)信息系統(tǒng)的安全”。從這一法律規(guī)定看,計(jì)算機(jī)信息系統(tǒng)安全應(yīng)當(dāng)包括實(shí)體安全、信息安全、運(yùn)行安全和人的安全。其中,人的安全主要是指計(jì)算機(jī)使用人員的安全意識(shí)、法律意識(shí)、安全技能等;實(shí)體安全是指保護(hù)計(jì)算機(jī)設(shè)備、設(shè)施(含網(wǎng)絡(luò))以及其他媒體免遭自然和人為破壞的措施、過程。實(shí)體安全包括環(huán)境安全、設(shè)備安全和媒體安全三個(gè)方面;計(jì)算機(jī)信息系統(tǒng)的運(yùn)行安全包括:系統(tǒng)風(fēng)險(xiǎn)管理、審計(jì)跟蹤、備份與恢復(fù)、應(yīng)急四個(gè)方面的內(nèi)容。所謂計(jì)算機(jī)信息系統(tǒng)的信息安全是指防止信息被故意的或偶然的非法授權(quán)泄漏、更改、破壞或使信息被非法系統(tǒng)辨識(shí)、控制,即確保信息的保密性、完整性、可用性、可控性。針對(duì)計(jì)
算機(jī)信息系統(tǒng)中信息存在形式和運(yùn)行特點(diǎn),信息安全包括操作系統(tǒng)安全、數(shù)據(jù)庫安全、網(wǎng)絡(luò)安全、病毒保護(hù)、訪問控制、加密與鑒別七個(gè)方面。
信息安全在國家安全中的地位:電子政務(wù)中政府信息安全實(shí)質(zhì)是由于計(jì)算機(jī)信息系統(tǒng)作為國家政務(wù)的載體和工具,而引發(fā)的信息安全。信息安全成為當(dāng)前政府信息化中的關(guān)鍵問題。安全問題是電子政務(wù)建設(shè)中的重中之重。電子政務(wù)中的政府信息安全是國家安全的重要內(nèi)容,是保障國家信息安全所不可忽缺的組成部分。
信息安全涉及到政治、經(jīng)濟(jì)、軍事、文化等方方面面,由于互聯(lián)網(wǎng)發(fā)展在地域上極不平衡,信息強(qiáng)國對(duì)于信息弱國已經(jīng)形成了戰(zhàn)略上的“信息位勢差”,居于信息低位勢的國家的政治安全、經(jīng)濟(jì)安全、軍事安全乃至民族文化傳統(tǒng)都將面臨前所未有的沖擊、挑戰(zhàn)和威脅,互聯(lián)網(wǎng)成為超級(jí)大國謀求跨世紀(jì)戰(zhàn)略優(yōu)勢的工具?!靶畔⒔颉辈皇且詡鹘y(tǒng)的地緣、領(lǐng)土、領(lǐng)空、領(lǐng)海來劃分,而是以帶有政治影響力的信息輻射空間來劃分?!靶畔⒔颉钡拇笮?、“信息邊界”的安全,關(guān)系到一個(gè)民族、一個(gè)國家在信息時(shí)代的興衰存亡。在知識(shí)經(jīng)濟(jì)時(shí)代,一個(gè)國家的信息獲取能力以及在社會(huì)生產(chǎn)生活領(lǐng)域中的“信息制控權(quán)”,將成為這個(gè)國家在新世紀(jì)的生存與發(fā)展競爭中能否占據(jù)主動(dòng)的關(guān)鍵。
我國所面臨的信息安全威脅:我國信息技術(shù)和信息產(chǎn)業(yè)的發(fā)展與技術(shù)先進(jìn)國家相比“西強(qiáng)我弱”是事實(shí),西方敵對(duì)勢力利用一切機(jī)會(huì)威脅我國家安全也是事實(shí)。在意識(shí)形態(tài)領(lǐng)域,電子媒介成為國際意識(shí)形態(tài)斗爭的主
導(dǎo)工具;某些西方大國利用信息及信息傳輸技術(shù)優(yōu)勢,妨礙、限制、壓制和破壞其他國家對(duì)信息的自由運(yùn)用,甚至利用信息把本國的價(jià)值觀念、意識(shí)形態(tài)強(qiáng)加于別國頭上,以謀求政治軍事手段難以得到的霸權(quán)利益。它們利用在信息領(lǐng)域的主宰地位,通過互聯(lián)網(wǎng)絡(luò)上的電子郵件、電子報(bào)刊及其他信息媒體展開宣傳戰(zhàn)、心理戰(zhàn)。政策滲透、“文化侵略”嚴(yán)重威脅著發(fā)展中國家的政治、科技、文化安全。在軍事領(lǐng)域,網(wǎng)絡(luò)泄密是軍事信息安全的重要表現(xiàn);軍事泄密觸目驚心;黑客攻擊對(duì)軍事信息安全的危害極大;信息戰(zhàn)是影響軍事信息安全的極端表現(xiàn)形式。在信息產(chǎn)業(yè)和經(jīng)濟(jì)金融領(lǐng)域,電腦硬件面臨遏制和封鎖的威脅;軟件面臨市場壟斷和價(jià)格歧視的威脅。
同時(shí)國家為加快信息化建設(shè)的需要,大量引進(jìn)國外的基礎(chǔ)設(shè)備,對(duì)引進(jìn)的信息和技術(shù)缺乏相應(yīng)的有效管理和技術(shù)改造,尤其是對(duì)發(fā)達(dá)國家或跨國公司在提供關(guān)鍵設(shè)備中可能做手腳(如在電腦芯片中隱藏著特定的程序,有可能在某種指令下被激活,或使電腦無法啟動(dòng))缺乏有效的檢測和排除技術(shù)。就有可能造成花費(fèi)寶貴的外匯買來安全隱患,買來不安全的后果。
我國電子政務(wù)中信息安全的現(xiàn)狀及表現(xiàn):目前我國電子政務(wù)中的政府信息安全問題突出表現(xiàn)在:一是我國政府信息網(wǎng)絡(luò)安全存在嚴(yán)重隱患。網(wǎng)絡(luò)非常脆弱,各種安全隱患普遍存在。掌握了一定技術(shù)的人可以輕易獲取網(wǎng)絡(luò)服務(wù)器上的用戶賬號(hào)信息和口令文件,并可進(jìn)入系統(tǒng)修改、刪除重要數(shù)據(jù)文件。一旦這些系統(tǒng)被非法侵入和破壞,將不能正常工作,甚至全部癱瘓,給國家?guī)碇卮髶p失。二是互聯(lián)網(wǎng)上和針對(duì)計(jì)算機(jī)信息系統(tǒng)的違法
犯罪活動(dòng)日益增多。近年來,金融機(jī)構(gòu)內(nèi)部利用計(jì)算機(jī)犯罪案件大幅度上升;在互聯(lián)網(wǎng)上泄露國家秘密的案件屢有發(fā)生;提供境外黃色站點(diǎn)的錯(cuò)接服務(wù),向國內(nèi)用戶提供色情信息。三是境內(nèi)外黑客攻擊破壞網(wǎng)絡(luò)的問題十分嚴(yán)重。他們通常采用非法侵入重要信息系統(tǒng),修改或破壞系統(tǒng)功能或數(shù)據(jù)等手段,造成數(shù)據(jù)丟失或系統(tǒng)癱瘓,給國家造成重大政治影響和經(jīng)濟(jì)損失。四是境內(nèi)外敵對(duì)勢力、敵對(duì)分子和非法組織利用互聯(lián)網(wǎng)進(jìn)行煽動(dòng)、滲透、組織、聯(lián)絡(luò)等非法活動(dòng)日趨突出。他們通過建立針對(duì)境內(nèi)的反動(dòng)宣傳、煽動(dòng)的站點(diǎn),利用電子公告欄、新聞?dòng)懻摰裙裁襟w,發(fā)表反動(dòng)文章,散布反動(dòng)言論,煽動(dòng)反政府情緒;利用互聯(lián)網(wǎng)進(jìn)行組黨結(jié)社,公開吸納成員;利用電子郵件直接向國內(nèi)用戶發(fā)送反動(dòng)刊物;利用電子郵件進(jìn)行聯(lián)絡(luò)。對(duì)電子政務(wù)中的政府信息安全受侵害的方式主要包括:偷竊、分析、冒充、篡改、抵賴等。
5.2 政府信息安全的保護(hù)
一個(gè)國家的信息安全,實(shí)際是由兩方面構(gòu)成的。其一,為一個(gè)國家在信息安全方面采取的一系列組織措施及有關(guān)政策、法規(guī);其二,為強(qiáng)有力的、切實(shí)可行的技術(shù)手段及有關(guān)技術(shù)裝備。前者反映了一個(gè)國家在信息安全方面的決心、意志和戰(zhàn)略、策略;后者反映了一個(gè)國家在信息安全方面的實(shí)力。信息技術(shù)是信息安全的前提和基礎(chǔ),信息安全的國家發(fā)展戰(zhàn)略(包括信息安全法律制度),早已從一個(gè)產(chǎn)業(yè)問題上升為一個(gè)事關(guān)國家的社會(huì)、文化、軍事等各方面的核心問題。在信息安全中其地位舉足輕重,尤其作
為信息技術(shù)相對(duì)落后的我國如何調(diào)整信息安全戰(zhàn)略,完善信息安全保障法律規(guī)范,不僅是提高信息安全保障能力的手段和方法,而且是提高信息安全技術(shù)的前提和保證。所以我國“計(jì)算機(jī)信息安全的保護(hù)主要包括兩方面的內(nèi)容,一是國家安全監(jiān)督管理,二是計(jì)算機(jī)信息系統(tǒng)使用單位自身的保護(hù)措施。實(shí)施計(jì)算機(jī)信息系統(tǒng)保護(hù)的措施包括:安全法規(guī)、安全管理、安全技術(shù)三方面”。
信息安全是一項(xiàng)極其復(fù)雜的系統(tǒng)工程,在安全法規(guī)、安全管理、安全技術(shù)的保障措施中,安全技術(shù)是信息安全的基礎(chǔ);安全管理是信息安全的關(guān)鍵;安全法規(guī)是信息安全的保證。
采用先進(jìn)可靠的安全技術(shù)是維護(hù)信息安全的有力保障。事實(shí)上,大多數(shù)安全事件和安全隱患的發(fā)生與其說是技術(shù)上的原因,不如說是管理中的緣故。我國已發(fā)生的許多計(jì)算機(jī)安全事件(包括計(jì)算機(jī)犯罪行為),技術(shù)手段并不高明,僅僅是由于鉆了管理上的漏洞。管理的關(guān)鍵在于管好人。因?yàn)橐环矫娓鞣N安全措施要靠人實(shí)施,另一方面有相當(dāng)多的威脅網(wǎng)絡(luò)的行為出自系統(tǒng)內(nèi)部人員。因此必須提高安全管理人員的素質(zhì),加強(qiáng)對(duì)系統(tǒng)內(nèi)部人員和網(wǎng)絡(luò)用戶的教育和管理。
采用安全技術(shù),加強(qiáng)安全管理,可以大大提高網(wǎng)絡(luò)的安全性。為了切實(shí)貫徹執(zhí)行這些安全措施,并有實(shí)施的法律依據(jù),制定保障網(wǎng)絡(luò)安全的法律、法規(guī)就顯得尤為必要。對(duì)于已經(jīng)發(fā)生的違法行為,只能依靠法律進(jìn)行懲處,當(dāng)然也包括一些民事行為的法律調(diào)整,這是保護(hù)網(wǎng)絡(luò)安全的最終手
段。同時(shí)通過法律的威懾力,還可以使有犯罪意識(shí)者產(chǎn)生畏懼心理,達(dá)到懲一儆百的效果。法律還可以便公民了解在網(wǎng)絡(luò)的管理和應(yīng)用中什么是違法行為,而自覺地不為,從而創(chuàng)造一個(gè)良好的社會(huì)環(huán)境,起到保護(hù)網(wǎng)絡(luò)安全的重要作用。所以說法律又是網(wǎng)絡(luò)安全的第一道防線。
5.3 我國電子政務(wù)中信息安全的保護(hù)對(duì)策
針對(duì)我國信息安全的現(xiàn)狀,結(jié)合我國電子政務(wù)的實(shí)際,當(dāng)前在政府信息安全的保護(hù)方面的當(dāng)務(wù)之急是:
5.3.1 盡快建立我國信息安全的保護(hù)體系(1)
迅速健全信息安全保護(hù)的組織機(jī)制 國家信息化工作領(lǐng)導(dǎo)小組是站在國家的高度,對(duì)網(wǎng)絡(luò)信息的國家發(fā)展總體戰(zhàn)略進(jìn)行規(guī)劃、設(shè)計(jì)、研究,組織、協(xié)調(diào)、配合有關(guān)部門進(jìn)行立法調(diào)研,使國家在網(wǎng)絡(luò)信息方面的立法成為一個(gè)有機(jī)的整體。但地方政府和重點(diǎn)保護(hù)的重要領(lǐng)域相應(yīng)的組織機(jī)構(gòu)還不健全;《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中確立了公安部主管全國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作,但由于編制等原因許多地方公安機(jī)關(guān)沒有成立專門的機(jī)構(gòu),警力尤其是適應(yīng)計(jì)算機(jī)信息技術(shù)高速發(fā)展的警力配備不足等。最好能組建國家信息安全委員會(huì),組織和協(xié)調(diào)國家安全、公安、保密等職能部門,在信息化建設(shè)中信息安全的分工,對(duì)國家信息安全政策統(tǒng)一步調(diào)、統(tǒng)籌規(guī)劃。因此盡快健全相應(yīng)的信息安全保障的組織機(jī)構(gòu)是信息安全保護(hù)的組織保證。
(2)
盡快完善國家信息安全基礎(chǔ)設(shè)施建設(shè) 我國目前信息安全基礎(chǔ)設(shè)施的建設(shè)還處于初級(jí)階段,需要逐步完善。當(dāng)前迫切需要建立的國家信息安全基礎(chǔ)設(shè)施建設(shè)包括:國際出入口監(jiān)控中心、安全產(chǎn)品評(píng)測認(rèn)怔中心、病毒檢測和防治中心。關(guān)鍵網(wǎng)絡(luò)系統(tǒng)災(zāi)難恢復(fù)中心、系統(tǒng)攻擊和反攻擊中心、電子保密標(biāo)簽監(jiān)管中心、網(wǎng)絡(luò)安全緊急處置中心、電子交易證書授權(quán)中心、密鑰恢復(fù)監(jiān)管中心、密鑰基礎(chǔ)設(shè)施與監(jiān)管中心、信息戰(zhàn)防御研究中心等。其中,國際出入口監(jiān)控中心和安全產(chǎn)品評(píng)測認(rèn)證中心已初步建成。安全產(chǎn)品評(píng)測認(rèn)證中心由安全標(biāo)準(zhǔn)研究、產(chǎn)品安全測試、系統(tǒng)安全評(píng)估、認(rèn)證注冊部門和信息安全專家委員會(huì)組成。國家信息安全基礎(chǔ)設(shè)施建設(shè)是信息安全技術(shù)保證。
(3)
堅(jiān)定地確立信息安全產(chǎn)業(yè)的策略
目前就我國的信息產(chǎn)業(yè)無論是技術(shù)、管理還是生產(chǎn)規(guī)模、服務(wù)觀念,都不具備力量在短時(shí)間內(nèi)使國產(chǎn)信息產(chǎn)品占領(lǐng)國內(nèi)的主要市場。但是我國必須建立起獨(dú)立自主的信息安全產(chǎn)業(yè)。自主的信息產(chǎn)業(yè)或信息產(chǎn)品國產(chǎn)化是信息安全的根本。國產(chǎn)化不等于絕對(duì)安全,而絕對(duì)安全卻需要國產(chǎn)化。國家可集中人力、物力和給以政策,大力發(fā)展自主的專用芯片、自主嵌入式操作系統(tǒng)和自主的密碼技術(shù)產(chǎn)品等,以確保關(guān)鍵部門的信息系統(tǒng)的安全。信息安全產(chǎn)業(yè)的策略是信息安全的基本保證。
5.3.2 進(jìn)一步完善我國信息安全保障的法律體系 雖然我國已頒布相當(dāng)數(shù)量的信息安全方面的法律規(guī)范如《關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》、《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》、《商用密碼管理?xiàng)l例》、《金融機(jī)構(gòu)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作暫行規(guī)定》、《計(jì)算機(jī)信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》、《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法》、《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品分類原則》等,但立法層次不高,現(xiàn)行的有關(guān)信息安全的法律規(guī)范大多只是國務(wù)院制定的行政法規(guī)或國務(wù)院部委制定的行政規(guī)章;法律規(guī)定之間不統(tǒng)一;立法理念和立法技術(shù)相對(duì)滯后等,因此要進(jìn)一步完善我國信息安全的法律保障體系應(yīng)當(dāng)做到:
(1)
確立科學(xué)的信息安全法律保護(hù)理念 為了使國家的政策法律能夠適應(yīng)社會(huì)存在的現(xiàn)實(shí)和需求,需要確立起法制建設(shè)要保障和促進(jìn)國家的信息化發(fā)展、法制建設(shè)為社會(huì)信息化發(fā)展提供全面服務(wù)的指導(dǎo)思想,修正傳統(tǒng)的立法理念,從徹底改革國家傳統(tǒng)的經(jīng)濟(jì)體制和保障機(jī)制入手,改變落后的調(diào)整方法,把信息安全法制保障的重點(diǎn)從單純的“規(guī)范”、“控制”轉(zhuǎn)移到首先為信息化的建設(shè)與發(fā)展“掃清障礙”上來,以規(guī)范發(fā)展達(dá)到保障發(fā)展,由保障發(fā)展實(shí)現(xiàn)促進(jìn)發(fā)展,構(gòu)筑促進(jìn)國家信息化發(fā)展的社會(huì)環(huán)境,形成適于信息網(wǎng)絡(luò)安全實(shí)際需要的法治文化。
(2)
構(gòu)建完備的信息安全法律體系 信息化的社會(huì)秩序主要由三個(gè)基礎(chǔ)層面的內(nèi)容所構(gòu)成,即信息社會(huì)活動(dòng)的公共需求,信息社會(huì)生活的基本支柱和信息社會(huì)所特有的社會(huì)關(guān)系。信息社會(huì)活動(dòng)的公共需求是往往以政府意志的形式代為表現(xiàn)的社會(huì)公眾的共同意愿,其主要包括國家信息化建設(shè)的基本目標(biāo)、發(fā)展綱領(lǐng)、建設(shè)規(guī)劃、行動(dòng)策略、工作計(jì)劃等等,是指導(dǎo)國家信息化發(fā)展的基本內(nèi)容,也是國家信息化建設(shè)的公共需求;信息社會(huì)生活的基本支柱是由信息化的技術(shù)屬性所決定的、國家信息化建設(shè)賴以萌芽、生成和發(fā)展的信息技術(shù)及其應(yīng)用,包括計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、安全技術(shù)、電子商務(wù)技術(shù)等等,它是信息社會(huì)生活必不可少的基本支柱;信息社會(huì)所特有的社會(huì)關(guān)系是指在國家信息化建設(shè)的過程中,參與其中的各個(gè)主體之間由于其信息化活動(dòng)而產(chǎn)生的各種社會(huì)關(guān)系,具體將表現(xiàn)為相應(yīng)的法律關(guān)系,其中主要包括信息民事法律關(guān)系、信息刑事法律關(guān)系、信息經(jīng)濟(jì)法律關(guān)系、信息行政法律關(guān)系、信息科技法律關(guān)系以及信息社會(huì)所特有的各種法律關(guān)...
第二篇:電子政務(wù)信息安全保障體系
電子政務(wù)安全面臨威脅和挑戰(zhàn)
電子政務(wù)涉及對(duì)國家秘密信息和高敏感度核心政務(wù)的保護(hù),設(shè)計(jì)維護(hù)公共秩序和行政監(jiān)管的準(zhǔn)確實(shí)施,涉及到為社會(huì)提供公共服務(wù)的質(zhì)量保證。電子政務(wù)是黨委、政府、人大、政協(xié)有效決策、管理、服務(wù)的重要手段,必然會(huì)遇到各種敵對(duì)勢力、恐怖集團(tuán)、搗亂分子的破壞和攻擊。尤其電子政務(wù)是搭建在基于互聯(lián)網(wǎng)技術(shù)的網(wǎng)絡(luò)平臺(tái)上,包括政務(wù)內(nèi)網(wǎng)、政務(wù)外網(wǎng)和互聯(lián)網(wǎng),而互聯(lián)網(wǎng)的安全先天不足,互聯(lián)網(wǎng)是一個(gè)無行政主管的全球網(wǎng)絡(luò),自身缺少設(shè)防和安全隱患很多,對(duì)互聯(lián)網(wǎng)犯罪尚缺乏足夠的法律威懾,大量的跨國網(wǎng)絡(luò)犯罪給執(zhí)法帶來很大的難度。所有上述分子利用互聯(lián)網(wǎng)進(jìn)行犯罪則有機(jī)可乘,使基于互聯(lián)網(wǎng)開展的電子政務(wù)應(yīng)用面臨著嚴(yán)峻的挑戰(zhàn)。
對(duì)電子政務(wù)的安全威脅,包括網(wǎng)上黑客入侵和犯罪、網(wǎng)上病毒泛濫和蔓延、信息間諜的潛入和竊密、網(wǎng)絡(luò)恐怖集團(tuán)的攻擊和破壞、內(nèi)部人員的違規(guī)和違法操作、網(wǎng)絡(luò)系統(tǒng)的脆弱和癱瘓、信息產(chǎn)品的失控等,應(yīng)引起足夠警惕,采取安全措施,應(yīng)對(duì)這種挑戰(zhàn)。
電子政務(wù)的安全目標(biāo)和安全策略
電子政務(wù)的安全目標(biāo)是,保護(hù)政務(wù)信息資源價(jià)值不受侵犯,保證信息資產(chǎn)的擁有者面臨最小的風(fēng)險(xiǎn)和獲取最大的安全利益,使政務(wù)的信息基礎(chǔ)設(shè)施、信息應(yīng)用服務(wù)和信息內(nèi)容為抵御上述威脅而具有保密性、完整性、真實(shí)性、可用性和可控性的能力。
為實(shí)現(xiàn)上述目標(biāo)應(yīng)采取積極的安全策略:
·國家主導(dǎo)、社會(huì)參與。電子政務(wù)安全關(guān)系到政府的辦公決策、行政監(jiān)管和公共服務(wù)的高質(zhì)量和可信實(shí)施的大事,必須由國家統(tǒng)籌規(guī)劃、社會(huì)積極參與,才能有效保障電子政務(wù)安全。
·全局治理、積極防御。電子政務(wù)安全必須采用法律威懾、管理制約、技術(shù)保障和安全基礎(chǔ)設(shè)施支撐的全局治理措施,并且實(shí)施防護(hù)、檢測、恢復(fù)和反制的積極防御手段,才能更為有效。
·等級(jí)保護(hù)、保障發(fā)展。要根據(jù)信息的價(jià)值等級(jí)及所面臨的威脅等級(jí),選擇適度的安全機(jī)制強(qiáng)度等級(jí)和安全技術(shù)保障強(qiáng)壯性等級(jí),尋求一個(gè)投入和風(fēng)險(xiǎn)可承受能力間的平衡點(diǎn),保障電子政務(wù)系統(tǒng)健康和積極的發(fā)展。
電子政務(wù)安全保障體系框架
電子政務(wù)安全采取“國家推動(dòng)、社會(huì)參與、全局治理、積極防御、等級(jí)保護(hù)、保障發(fā)展”的策略,鑒于電子政務(wù)的信息安全面臨的是一場高技術(shù)的對(duì)抗,是一場綜合性斗爭,涉及法律、管理、標(biāo)準(zhǔn)、技術(shù)、產(chǎn)品、服務(wù)和基礎(chǔ)設(shè)施諸多領(lǐng)域,所以電子政務(wù)安全,還要從全局來構(gòu)建其安全保障的體系框架,以保障電子政務(wù)的健康發(fā)展。
電子政務(wù)安全保障體系由六要素組成,即安全法規(guī)、安全管理、安全標(biāo)準(zhǔn)、安全服務(wù)、安全技術(shù)產(chǎn)品和安全基礎(chǔ)設(shè)施等安全要素(見圖1)。
要素一 安全法律與政策
電子政務(wù)的工作內(nèi)容和工作流程涉及到國家秘密與核心政務(wù),它的安全關(guān)系到國家的主權(quán)、國家的安全和公眾利益,所以電子政務(wù)的安全實(shí)施和保障,必須以國家法規(guī)形式將其固化,形成全國共同遵守的規(guī)約,成為電子政務(wù)實(shí)施和運(yùn)行的行為準(zhǔn)則,成為電子政務(wù)國際交往的重要依據(jù),保護(hù)守法者和依法者的合法權(quán)益,為司法和執(zhí)法者提供法律依據(jù),對(duì)違法、犯法者形成強(qiáng)大的威懾。
《中華人民共和國保護(hù)國家秘密法》已實(shí)施13年,已不完全適應(yīng)我國當(dāng)前保密工作的現(xiàn)狀,特別是電子政務(wù)的發(fā)展,亟待修訂。
政務(wù)信息公開是電子政務(wù)的重要原則,為了拉近政府和公眾的距離,使公眾具有知情權(quán)、參與權(quán)、監(jiān)督權(quán)和享用政府服務(wù)的權(quán)利,為公眾提供良好的信息服務(wù),充分挖掘政務(wù)信息的最大效益,開放政務(wù)信息資源(非國家涉密和適宜公開部分)服務(wù)于民是電子政務(wù)的重要特征。盡快制訂政務(wù)信息公開法,適度的解密和規(guī)范開放的規(guī)則,保護(hù)政府部門間信息的正常交流,保護(hù)社會(huì)公眾對(duì)信息的合法享用,打破對(duì)政務(wù)信息資源的壟斷和封鎖,提高政府行政透明度和民主進(jìn)程是非常有利的和必需的。
電子政務(wù)亟待電子簽章和電子文檔的立法保護(hù),國際已有近20多個(gè)國家對(duì)數(shù)字簽名和電子文檔進(jìn)行了立法,使數(shù)字簽名和電子文檔在電子政務(wù)和電子商務(wù)運(yùn)行中具有法律效力。這將大大促進(jìn)電子政務(wù)和電子商務(wù)的健康發(fā)展,使電子政務(wù)原來的雙軌制走向單軌制,這有利于簡化程序、降低成本,充分顯示電子政務(wù)效益是非常有利的。
個(gè)人數(shù)據(jù)保護(hù)(隱私法)的需求伴隨電子政務(wù)的發(fā)展日顯突出。電子政務(wù)在實(shí)施行政監(jiān)管和公眾服務(wù)中有大量的個(gè)人信息(自然人和法人),如戶籍、納稅、社保、信用等信息大量進(jìn)入了政府網(wǎng)絡(luò)信息數(shù)據(jù)庫,它對(duì)完成電子政務(wù)職能發(fā)揮巨大作用。但是這些個(gè)人信息如果保護(hù)不力或無意被泄漏,而被非法濫用,就可能成為報(bào)復(fù)、盜竊、推銷、討債、盯梢的工具。在國外已經(jīng)出現(xiàn)將盜用的個(gè)人隱私信息作為非法商品出售,以牟取暴利的情況,這樣直 接損害個(gè)人的利益,甚至危及個(gè)人的生命安危。因此加快個(gè)人數(shù)據(jù)保護(hù)法的制訂,是必要的。
還有很多法規(guī)的制訂都直接關(guān)系到電子政務(wù)的健康發(fā)展,加快制訂這些法規(guī),勢在必行。
要素二 安全組織與管理
我國信息安全管理職能的格局已經(jīng)形成,如國家安全部、國家保密局、國家密碼管理委員會(huì)、信息產(chǎn)業(yè)部、總參??分別執(zhí)行各自的安全職能,維護(hù)國家信息安全。電子政務(wù)安全管理涉及到上述眾多的國家安全職能部門,其安全管理職能的協(xié)調(diào)需要由國家信息化領(lǐng)導(dǎo)機(jī)構(gòu),如國家信息化領(lǐng)導(dǎo)小組及其辦公室、國家電子政務(wù)協(xié)調(diào)小組、國家信息安全協(xié)調(diào)小組等來進(jìn)行。各地區(qū)和部委建立相應(yīng)的信息安全管理機(jī)構(gòu),以完成和強(qiáng)化信息安全的管理,形成自頂向下的信息安全管理組織體系,是電子政務(wù)安全實(shí)施的必要條件。
制訂頒發(fā)電子政務(wù)安全相關(guān)的各項(xiàng)管理?xiàng)l例,及時(shí)指導(dǎo)電子政務(wù)建設(shè)的各種行為,從立項(xiàng)、承包、采購、設(shè)計(jì)、實(shí)施、運(yùn)行、操作、監(jiān)理、服務(wù)等各階段入手,保障電子政務(wù)系統(tǒng)建設(shè)全程的安全和安全管理工作的程序化和制度化。
電子政務(wù)信息安全域的劃分與管理是至關(guān)重要的。電子政務(wù)有辦公決策、行政監(jiān)管和公共服務(wù)等三種類型業(yè)務(wù),其業(yè)務(wù)信息內(nèi)容涉及國家機(jī)密、部門工作秘密、內(nèi)部敏感信息和開放服務(wù)信息。既要保護(hù)國家秘密又要便于公開服務(wù),因此對(duì)信息安全域的科學(xué)劃分和管理,將有益于電子政務(wù)網(wǎng)絡(luò)平臺(tái)的安全設(shè)計(jì),有益于電子政務(wù)的健康和有效的實(shí)現(xiàn)。
制訂電子政務(wù)工程集成商的資質(zhì)認(rèn)證管理辦法、工程建設(shè)監(jiān)理機(jī)構(gòu)的管理辦法、工程外包商的管理機(jī)制和辦法,以確保電子政務(wù)工程建設(shè)的質(zhì)量和安全,特別是對(duì)于電子政務(wù)系統(tǒng)的外包制更要有嚴(yán)格的制約和管理手段。對(duì)于電子政務(wù)中涉密系統(tǒng)工程的承建,還必須有國家保密局頒發(fā)的涉密系統(tǒng)集成資質(zhì)證書,其他部分應(yīng)具有國家或省市相應(yīng)的系統(tǒng)集成商的資質(zhì)證書。對(duì)于電子政務(wù)涉密部分,不允許托管和外包運(yùn)行,電子政務(wù)其他部分將按相關(guān)管理?xiàng)l例執(zhí)行。
電子政務(wù)工程中使用的信息安全產(chǎn)品,國家將制訂相應(yīng)的采購管理政策,涉及密碼的信息安全產(chǎn)品需有國家密碼主管部門的批準(zhǔn)證書,信息安全產(chǎn)品應(yīng)有通過國家測評(píng)主管機(jī)構(gòu)的安全測評(píng)的證書,維護(hù)信息安全產(chǎn)品的可信性。
電子政務(wù)系統(tǒng)信息內(nèi)容根據(jù)管理需求,可以實(shí)施對(duì)信息內(nèi)容的安全監(jiān)控管理,以保護(hù)政務(wù)信息安全,防止由于內(nèi)部違規(guī)或外部入侵可能造成的網(wǎng)絡(luò)泄密,同時(shí)也阻止有害信息內(nèi)容在政務(wù)網(wǎng)上傳播。
制訂電子政務(wù)系統(tǒng)的人員管理、機(jī)構(gòu)管理、文檔管理、操作管理、資產(chǎn)與配置管理、介質(zhì)管理、服務(wù)管理、應(yīng)急事件管理、保密管理、故障管理、開發(fā)與維護(hù)管理、作業(yè)連續(xù)性保障管理、標(biāo)準(zhǔn)與規(guī)范遵從性管理、物理環(huán)境管理等各種條例,確保電子政務(wù)系統(tǒng)的安全運(yùn)行。
要素三 安全標(biāo)準(zhǔn)與規(guī)范
信息安全標(biāo)準(zhǔn)有利于安全產(chǎn)品的規(guī)范化,有利于保證產(chǎn)品安全可信性、實(shí)現(xiàn)產(chǎn)品的互聯(lián)和互操作性,以支持電子政務(wù)系統(tǒng)的互聯(lián)、更新和可擴(kuò)展性,支持系統(tǒng)安全的測評(píng)與評(píng)估,保障電子政務(wù)系統(tǒng)的安全可靠。
國家已正式成立“信息安全標(biāo)準(zhǔn)化委員會(huì)”,近期成立了信息安全標(biāo)準(zhǔn)體系與協(xié)調(diào)工作組(WG1)、內(nèi)容安全分級(jí)及標(biāo)識(shí)工作組(WG2)、密碼算法與密碼模塊/KMI/VPN工作組(WG3)、PKI/PMI工作組(WG4)、信息安全評(píng)估工作組(WG5)、操作系統(tǒng)與數(shù)據(jù)庫安全工作組(WG6)、身份標(biāo)識(shí)與鑒別協(xié)議工作組(WG9)、操作系統(tǒng)與數(shù)據(jù)庫安全工作組(WG10),以開展電子政務(wù)安全相關(guān)標(biāo)準(zhǔn)的研制工作,支撐電子政務(wù)安全對(duì)標(biāo)準(zhǔn)制訂的需求。
還將制訂下列標(biāo)準(zhǔn):涉密電子文檔密級(jí)劃分和標(biāo)記格式、內(nèi)容健康性等級(jí)劃分與標(biāo)記、內(nèi)容敏感性等級(jí)劃分與標(biāo)記、密碼算法標(biāo)準(zhǔn)、密碼模塊標(biāo)準(zhǔn)、密鑰管理標(biāo)準(zhǔn)、PKI/CA標(biāo)準(zhǔn)、PMI標(biāo)準(zhǔn)、信息系統(tǒng)安全評(píng)估和信息安全產(chǎn)品測評(píng)標(biāo)準(zhǔn)、應(yīng)急響應(yīng)等級(jí)、保護(hù)目標(biāo)等級(jí)、應(yīng)急響應(yīng)指標(biāo)、電子證據(jù)恢復(fù)與提取、電子證據(jù)有效性界定、電子證據(jù)保護(hù)、身份標(biāo)識(shí)與鑒別、數(shù)據(jù)庫安全等級(jí)、操作系統(tǒng)安全等級(jí)、中間件安全等級(jí)、信息安全產(chǎn)品接口規(guī)范、數(shù)字簽名??。
要素四 安全保障與服務(wù)
1.電子政務(wù)系統(tǒng)建設(shè),要構(gòu)建其技術(shù)安全保障架構(gòu),對(duì)大型電子政務(wù)系統(tǒng)要建立縱深防御體系。
·設(shè)置政務(wù)內(nèi)網(wǎng)的安全與控制策略;
·設(shè)置政務(wù)外網(wǎng)的安全與控制策略;
·設(shè)置進(jìn)入互聯(lián)網(wǎng)的安全服務(wù)與控制策略;
·設(shè)置租用公網(wǎng)干線的安全服務(wù)與控制策略,包括有線通信、無線通信和衛(wèi)星通信的安全服務(wù)與控制策略;
·設(shè)置政務(wù)計(jì)算環(huán)境的安全服務(wù)與機(jī)制。
采用縱深防御和多級(jí)設(shè)防,是電子政務(wù)安全保障的重要原則,通過全局性的安全防護(hù)、安全檢測、快速響應(yīng)、集成的安全管理與安全設(shè)施的聯(lián)動(dòng)控制,以達(dá)到系統(tǒng)具有防護(hù)、檢測、反應(yīng)與恢復(fù)能力。
2.推廣電子政務(wù)信息系統(tǒng)安全工程(ISSE)的控制方法,全面實(shí)現(xiàn)安全服務(wù)要求。
電子政務(wù)安全系統(tǒng)的設(shè)計(jì),首先要做好系統(tǒng)資產(chǎn)價(jià)值的分析,如物理資產(chǎn)的價(jià)值(系統(tǒng)環(huán)境、硬件、系統(tǒng)軟件)、信息資產(chǎn)的價(jià)值、其數(shù)據(jù)與國家利益和部門利益的關(guān)聯(lián)度;其業(yè)務(wù)系統(tǒng)(模型、流程、應(yīng)用軟件)正常運(yùn)行后果所產(chǎn)生的效益,從而確定系統(tǒng)安全應(yīng)保護(hù)的目標(biāo),在上述分析的基礎(chǔ)上提出整個(gè)安全系統(tǒng)的安全需求,進(jìn)一步定義達(dá)到這些安全需求所應(yīng)具有的安全功能,然后探索系統(tǒng)可能面臨的威脅類型,并找出系統(tǒng)自身的脆弱性,這些威脅和脆弱性有:
·網(wǎng)上黑客與計(jì)算機(jī)犯罪;
·網(wǎng)絡(luò)病毒的蔓延與破壞;
·機(jī)要信息流失與信息間諜潛入;
·網(wǎng)上恐怖活動(dòng)與信息戰(zhàn);
·內(nèi)部人員違規(guī)與違法;
·網(wǎng)上安全產(chǎn)品的失控;
·網(wǎng)絡(luò)與系統(tǒng)自身的漏洞與脆弱性。
在這些威脅面前,要分析哪些威脅是本系統(tǒng)主要面臨的威脅,哪些是次要的,對(duì)系統(tǒng)和任務(wù)造成的影響程度如何。進(jìn)行定性和定量的分析,提出系統(tǒng)安全對(duì)策,確定承受風(fēng)險(xiǎn)的能力,尋找投入和風(fēng)險(xiǎn)承受能力間的平衡點(diǎn),然后確定系統(tǒng)所需要的安全服務(wù)及對(duì)應(yīng)的安全機(jī)制(見表一),從而配置系統(tǒng)的安全要素。在工程的生命周期中要進(jìn)行風(fēng)險(xiǎn)管理、風(fēng)險(xiǎn)決策流程(見圖2),這種風(fēng)險(xiǎn)管理是要對(duì)電子政務(wù)全程進(jìn)行的。
系統(tǒng)投入運(yùn)行要對(duì)其安全性進(jìn)行有效評(píng)估,即評(píng)估者給出的評(píng)估證據(jù)和建設(shè)者采用的技術(shù)保障設(shè)施,的確能使系統(tǒng)擁有者確信已選用技術(shù)對(duì)策,確實(shí)減少了系統(tǒng)的安全風(fēng)險(xiǎn),滿足必要的風(fēng)險(xiǎn)策略(風(fēng)險(xiǎn)策略可以是“零”風(fēng)險(xiǎn)策略、最小風(fēng)險(xiǎn)策略、最大可承受風(fēng)險(xiǎn)策略或不計(jì)風(fēng)險(xiǎn)策略),使其達(dá)到保護(hù)系統(tǒng)資產(chǎn)價(jià)值所必需的能力(見圖3)。上述有效評(píng)估過程可用安全技術(shù)保障強(qiáng)壯性級(jí)別(IATRn)來描述:
IATRn=f(Vn,Tn,SMLn,EALn)
Tn:威脅等級(jí)
Vn:資產(chǎn)價(jià)值等級(jí)
SMLn:安全機(jī)制強(qiáng)度等級(jí)
EALn:評(píng)估保障等級(jí)
要素五 安全技術(shù)與產(chǎn)品
1. 加強(qiáng)安全技術(shù)和產(chǎn)品的自主研制和創(chuàng)新。
由于電子政務(wù)的國家涉密性,電子政務(wù)系統(tǒng)工程的安全保障需要各種有自主知識(shí)產(chǎn)權(quán)的信息安全技術(shù)和產(chǎn)品,全面推動(dòng)自主研發(fā)和創(chuàng)新這些技術(shù)和產(chǎn)品是電子政務(wù)安全的需要。這些產(chǎn)品和技術(shù)可以分為六大類:
·基礎(chǔ)類:風(fēng)險(xiǎn)控制、體系結(jié)構(gòu)、協(xié)議工程、有效評(píng)估、工程方法;
·關(guān)鍵類:密碼、安全基、內(nèi)容安全、抗病毒、IDS、VPN、RBAC、強(qiáng)審計(jì)、邊界安全隔離;
·系統(tǒng)類:PKI、PMI、DRI、網(wǎng)絡(luò)預(yù)警、集成管理、KMI;
·應(yīng)用類:EC、EG、NB、NS、NM、WF、XML、CSCW;
·物理與環(huán)境類:TEMPEX、物理識(shí)別;
·前瞻性:免疫技術(shù)、量子密碼、漂移技術(shù)、語義理解識(shí)別。
2.電子政務(wù)安全產(chǎn)品的選擇。
整個(gè)電子政務(wù)的安全,涉及信息安全產(chǎn)品的全局配套和科學(xué)布置,產(chǎn)品選擇應(yīng)充分考慮產(chǎn)品的自主權(quán)和自控權(quán)。
產(chǎn)品可涉及安全操作系統(tǒng)、安全硬件平臺(tái)、安全數(shù)據(jù)庫、PKI/CA、PMI、VPN、安全網(wǎng)關(guān)、防火墻、數(shù)據(jù)加密機(jī)、入侵檢測(IDS)、漏洞掃描、計(jì)算機(jī)病毒防治工具、強(qiáng)審計(jì)工具、安全Web、安全郵件、安全設(shè)施集成管理平臺(tái)、內(nèi)容識(shí)別和過濾產(chǎn)品、安全備份、電磁泄漏防護(hù)、安全隔離客戶機(jī)、安全網(wǎng)閘。
要素六 安全基礎(chǔ)設(shè)施
信息安全基礎(chǔ)設(shè)施是一種為信息系統(tǒng)應(yīng)用主體和信息安全執(zhí)法主體提供信息安全公共服務(wù)和支撐的社會(huì)基礎(chǔ)設(shè)施,方便信息應(yīng)用主體安全防護(hù)機(jī)制的快速配置,有利于促進(jìn)信息應(yīng)用業(yè)務(wù)的健康發(fā)展,有利于信息安全技術(shù)和產(chǎn)品的標(biāo)準(zhǔn)化和促進(jìn)其可信度的提高,有利于信息安全職能部門的監(jiān)督和執(zhí)法,有利于增強(qiáng)全社會(huì)信息安全移師和防護(hù)技能,有利于國家信息安全保障體系的建設(shè)。因此,推動(dòng)電子政務(wù)的發(fā)展,應(yīng)重視相關(guān)信息安全基礎(chǔ)設(shè)施的建設(shè)。
信息安全基礎(chǔ)設(shè)施有兩大類。
1.社會(huì)公共服務(wù)類
·基于PKI/PMI數(shù)字證書的信任和授權(quán)體系;
·基于CC/TCSEC的信息安全產(chǎn)品和系統(tǒng)的測評(píng)與評(píng)估體系;
·計(jì)算機(jī)病毒防治與服務(wù)體系;
·網(wǎng)絡(luò)應(yīng)急響應(yīng)與支援體系;
·災(zāi)難恢復(fù)基礎(chǔ)設(shè)施;
·基于KMI的密鑰管理基礎(chǔ)設(shè)施。
2.行政監(jiān)管執(zhí)法類
·網(wǎng)絡(luò)信息內(nèi)容安全監(jiān)控體系;
·網(wǎng)絡(luò)犯罪監(jiān)察與防范體系;
·電子信息保密監(jiān)管體系;
·網(wǎng)絡(luò)偵控與反竊密體系;
·網(wǎng)絡(luò)監(jiān)控、預(yù)警與反擊體系。
第三篇:電子政務(wù)信息安全檢查自查報(bào)告
電子政務(wù)外網(wǎng)信息安全工作自查報(bào)告
我鎮(zhèn)在市委、市政府的領(lǐng)導(dǎo)下,認(rèn)真按照四川省委省政府關(guān)于電子政務(wù)工作的總體部署和要求,對(duì)電子政務(wù)外網(wǎng)信息安全情況作了認(rèn)真檢查,現(xiàn)將我鎮(zhèn)電子政務(wù)工作自查情況報(bào)告如下:
一、組織及制度建設(shè)情況
一是領(lǐng)導(dǎo)重視,機(jī)構(gòu)健全。我鎮(zhèn)高度重視電子政務(wù)工作,成立了以鎮(zhèn)長任組長、鎮(zhèn)相關(guān)部門負(fù)責(zé)人為成員的鎮(zhèn)電子政務(wù)工作領(lǐng)導(dǎo)小組,統(tǒng)一領(lǐng)導(dǎo)鎮(zhèn)電子政務(wù)工作,研究決定鎮(zhèn)電子政務(wù)建設(shè)中的重大問題。領(lǐng)導(dǎo)小組辦公室設(shè)在鎮(zhèn)黨政綜合辦公室,并指定懂電腦操作、保密意識(shí)強(qiáng)的黨政綜合辦公室成員具體負(fù)責(zé)信息更新及網(wǎng)絡(luò)維護(hù)等日常工作,形成了機(jī)構(gòu)健全、分工明確、責(zé)任到人的良好工作格局。二是制定制度,按章辦事。根據(jù)省、市文件要求,制定了辦公室自動(dòng)化設(shè)備保密管理制度、電子政務(wù)工作各項(xiàng)管理制度及維護(hù)制度,包括專人維護(hù)、文件發(fā)布審核簽發(fā)等制度。三是開展不定期檢查。我鎮(zhèn)電子政務(wù)工作領(lǐng)導(dǎo)小組不定期對(duì)電子政務(wù)工作辦公室的環(huán)境安全、設(shè)備安全、信息安全、管理制度落實(shí)情況等內(nèi)容進(jìn)行檢查,對(duì)存在的問題及時(shí)進(jìn)行糾正,消除安全隱患。
二、網(wǎng)絡(luò)和信息安全情況。
加強(qiáng)網(wǎng)絡(luò)運(yùn)行維護(hù)工作。加強(qiáng)網(wǎng)絡(luò)運(yùn)行維護(hù)隊(duì)伍建設(shè),進(jìn)一步充實(shí)網(wǎng)絡(luò)運(yùn)行維護(hù)人員,鎮(zhèn)黨政綜合辦公室確定兼職網(wǎng)絡(luò)信息管理員,負(fù)責(zé)及時(shí)提供和審核本部門信息內(nèi)容。同時(shí)按照縣安全管理要求,制定和完善了我鎮(zhèn)電子政務(wù)安全保密措施,落實(shí)安全保密工作責(zé)任制,未發(fā)現(xiàn)網(wǎng)絡(luò)異常。
三、技術(shù)防護(hù)手段建設(shè)
切實(shí)做好信息安全工作。安裝了專門的殺毒、殺木馬軟件,互聯(lián)網(wǎng)出口處部署了防火墻,并且定期進(jìn)行漏洞掃描、病毒木馬檢測,有效防范了病毒、木馬、黑客等網(wǎng)絡(luò)攻擊,確保了信息和網(wǎng)絡(luò)運(yùn)行安全。
四、存在的困難和不足
雖然我鎮(zhèn)電子政務(wù)工作在有序開展,但還存在一些困難和不足之處,主要體現(xiàn)在:一是辦公電腦設(shè)備陳舊老化,專門用于電子政務(wù)的電腦使用時(shí)間久,運(yùn)行速度慢。二是機(jī)關(guān)工作人員年齡偏大,計(jì)算機(jī)知識(shí)程度不高,培訓(xùn)沒有完全跟上。三是信息未能完全做到及時(shí)更新,電子政務(wù)管理、使用有待于進(jìn)一步加強(qiáng)。
五、改進(jìn)措施
一是努力提高業(yè)務(wù)素質(zhì)。加強(qiáng)宣傳教育,提高全鎮(zhèn)人員對(duì)電子政務(wù)的認(rèn)知水平和責(zé)任意識(shí),積極組織人員參加全縣電子政務(wù)培訓(xùn),為電子政務(wù)的有效實(shí)施奠定更加堅(jiān)實(shí)的基礎(chǔ)。二是加強(qiáng)制度建設(shè)。完善電子政務(wù)的管理、使用等一系列規(guī)章制度,對(duì)存在的薄弱環(huán)節(jié),制定針對(duì)性措施,并在實(shí)
際工作中狠抓落實(shí),進(jìn)一步提高電子政務(wù)應(yīng)用水平和使用效益。三是加強(qiáng)電子政務(wù)的日常管理。定期升級(jí)病毒庫、查殺病毒掃描系統(tǒng)漏洞,保證專門用于電子政務(wù)的電腦能時(shí)刻處于健康狀態(tài)。
第四篇:電子政務(wù)信息安全和管理
電子政務(wù)信息安全和管理
一、電子政務(wù)順利實(shí)施的核心問題
電子政務(wù)是一種全新的政府管理方式,是一個(gè)基于網(wǎng)絡(luò)技術(shù)的綜合性業(yè)務(wù)模式。建立電子政務(wù)系統(tǒng)參公眾服務(wù),必然要求這一系統(tǒng)必須是安全、可靠、抗災(zāi)難、可恢復(fù)的。計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)的共享、交互和快速為這種系統(tǒng)的建立提供了前提條件,互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展和廣泛應(yīng)用,又為電子政務(wù)系統(tǒng)不斷走向開放互聯(lián)提供了巨大推動(dòng)力。隨著電子政務(wù)信息化的不斷發(fā)展,電子政務(wù)對(duì)于網(wǎng)絡(luò)系統(tǒng)的依賴性越來越強(qiáng),政務(wù)系統(tǒng)作為關(guān)系國計(jì)民生的重要部分,在安全方面尤為重要,而由于互聯(lián)網(wǎng)的開放性和公共性帶來的不安全因素,使信息安全問題成為保障電子政務(wù)順利實(shí)施的核心問題。
二、電子政務(wù)信息安全面臨的問題
電子政務(wù)網(wǎng)分為政務(wù)內(nèi)網(wǎng)(涉密網(wǎng))和政務(wù)外網(wǎng)(非涉密網(wǎng)),兩網(wǎng)之間物理隔離,政務(wù)外網(wǎng)采取邏輯隔離與互聯(lián)網(wǎng)聯(lián)通。政府各部門大力推行的辦公自動(dòng)化、網(wǎng)絡(luò)化、電子化、信息共享都以這些網(wǎng)絡(luò)為支撐,以TCP/IPV4為傳輸協(xié)議,該協(xié)議為開放協(xié)議,從協(xié)議規(guī)劃、服務(wù)模式、網(wǎng)絡(luò)管理等方面均缺乏安全性設(shè)計(jì),所以電子政務(wù)信息系統(tǒng)就存在著諸多的安全隱患。
1.網(wǎng)絡(luò)安全規(guī)劃的不到位,造成網(wǎng)絡(luò)結(jié)構(gòu)的不合理性。由于信息技術(shù)發(fā)展的歷史原因和建設(shè)資金問題,我國電子政務(wù)網(wǎng)絡(luò)的建設(shè)在規(guī)劃上經(jīng)常缺少前瞻性的安全規(guī)劃,網(wǎng)絡(luò)流量存在多個(gè)瓶頸, IP地址缺乏統(tǒng)一規(guī)劃,廣播流量可控性差,子網(wǎng)故障隔離性差,重要流量缺乏帶寬管理和服務(wù)質(zhì)量優(yōu)先保證等一大堆問題。隨著安全問題的不斷出現(xiàn),只能在運(yùn)行過程中不停地修修補(bǔ)補(bǔ)。但是,這種修補(bǔ)只能解決暫時(shí)的問題,解決一個(gè)問題后,往往又有新問題出現(xiàn)。
2.關(guān)鍵核心技術(shù)還掌握,增加了我國基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全的隱患。我國對(duì)發(fā)達(dá)國家信息設(shè)備和信息技術(shù)存在很強(qiáng)的依賴性,信息化核心設(shè)備嚴(yán)重依賴國外,對(duì)引進(jìn)技術(shù)和設(shè)備缺乏必要的信息管理和技術(shù)改造。尤其是在系統(tǒng)安全和安全協(xié)議的研究和應(yīng)用方面與發(fā)達(dá)國家的差距很大。目前組成我國電子政務(wù)網(wǎng)絡(luò)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)所用硬件、軟件、操作系統(tǒng)、網(wǎng)管軟件、各類應(yīng)用系統(tǒng)、數(shù)據(jù)庫、防火墻、網(wǎng)絡(luò)接入設(shè)備、路由器、服務(wù)器基本上都是國外公司的產(chǎn)品,微機(jī)芯片都是INTEL系列,軟件基本上是微軟公司的產(chǎn)品,完全自主知識(shí)產(chǎn)權(quán)的產(chǎn)品基本沒有。這些因素使我國的電子政務(wù)網(wǎng)絡(luò)安全性能大大降低,我國的經(jīng)濟(jì)和社會(huì)發(fā)展面臨著新的風(fēng)險(xiǎn)。
3.網(wǎng)絡(luò)安全管理的混亂和規(guī)范化的管理制度相對(duì)滯后,造成很多管理安全漏洞。由于電子政務(wù)的網(wǎng)絡(luò)是連接多個(gè)政務(wù)部門的廣域網(wǎng)或城域網(wǎng),需要各部門協(xié)調(diào)一致,共同維護(hù)整個(gè)網(wǎng)絡(luò)平臺(tái)的安全。但是,由于不同政府部門的信息技術(shù)人才和信息化水平的差異性,以及不同政府部門存在一些相關(guān)的利益和沖突,因此,很難做到安全管理的統(tǒng)一協(xié)調(diào)性,一旦發(fā)生安全事件,故障定位不準(zhǔn),追查事故源困難,責(zé)任問題牽扯不清,從而造成事件的破壞性后果更為嚴(yán)重。
4.安全意識(shí)淡薄。目前,在電子政務(wù)信息的安全問題上還存在不少認(rèn)知盲區(qū)和制約因素。網(wǎng)絡(luò)是新生事物,許多人一接觸就忙著用于學(xué)習(xí)、工作和娛樂等,對(duì)網(wǎng)絡(luò)信息的安全性無暇顧及,安全意識(shí)相當(dāng)?shù)?對(duì)網(wǎng)絡(luò)信息不安全的事實(shí)認(rèn)識(shí)不足。與此同時(shí),機(jī)關(guān)、事業(yè)單位注重的是網(wǎng)絡(luò)效應(yīng),對(duì)安全領(lǐng)域的投入和管理遠(yuǎn)遠(yuǎn)不能滿足安全防范的要求??傮w上看,網(wǎng)絡(luò)信息安全處于被動(dòng)的封堵漏洞狀態(tài),從上到下普遍存在僥幸心理,沒有形成主動(dòng)防范、積極應(yīng)對(duì)的全民意識(shí),更無法從根本上提高網(wǎng)絡(luò)監(jiān)測、防護(hù)、響應(yīng)、恢復(fù)和抗擊能力。
三、電子政務(wù)信息安全措施
1.設(shè)備的物理安全。物理層的安全設(shè)計(jì)應(yīng)從三個(gè)方面考慮:環(huán)境安全、設(shè)備安全、線路安全。采取的措施包括:機(jī)房屏蔽,電源接地,布線隱蔽,防雷。根據(jù)中央保密委有關(guān)文件規(guī)定,凡是計(jì)算機(jī)同時(shí)具有內(nèi)網(wǎng)和外網(wǎng)的應(yīng)用需求,必須采取網(wǎng)絡(luò)安全隔離技術(shù),在計(jì)算機(jī)終端安裝隔離卡或安裝安全網(wǎng)閘,使內(nèi)網(wǎng)與外網(wǎng)之間從根本上實(shí)現(xiàn)物理隔離,防止涉密信息通過外網(wǎng)泄漏。
2.信息的加密。電子政務(wù)應(yīng)用涵蓋政府內(nèi)部辦公和面對(duì)公眾的信息服務(wù)兩大方面。就政府內(nèi)部辦公而言,電子政務(wù)系統(tǒng)涉及到部門與部門之間、上下級(jí)之間、地區(qū)與地區(qū)間的公文流轉(zhuǎn),這些公文的信息往往涉及不宜公開的和有密級(jí)的內(nèi)容。因此,在信息傳遞過程中,必須采取適當(dāng)?shù)募用芊椒▽?duì)信息進(jìn)行加密??刹捎枚喾N加密方式:a.基于IPsec的加密方式正被廣泛采用,其優(yōu)點(diǎn)顯而易見:IPsec對(duì)應(yīng)用系統(tǒng)透明且具有極強(qiáng)的安全性,這一點(diǎn)對(duì)于要開發(fā)龐大應(yīng)用的電子政務(wù)來說,就顯得極有好處了,應(yīng)用系統(tǒng)開發(fā)商不必為數(shù)據(jù)傳輸過程中的加密做過多的考慮,易于部署和維護(hù)。b.采用VPN技術(shù)在公共數(shù)據(jù)網(wǎng)上進(jìn)行內(nèi)部信息的安全傳輸。其優(yōu)點(diǎn)是只增加端設(shè)備避免了重復(fù)建設(shè)。c.采用公鑰基礎(chǔ)設(shè)施技術(shù)(PKI)為基礎(chǔ),以數(shù)據(jù)機(jī)密性、完整性、身份認(rèn)證和行為的不可否認(rèn)為安全目的為電子政務(wù)提供安全支持。
3.操作系統(tǒng)的安全性。網(wǎng)絡(luò)安全的重要基礎(chǔ)之一是安全的操作系統(tǒng),因?yàn)樗械恼?wù)應(yīng)用和安全措施都依賴操作系統(tǒng)提供底層支持。操作系統(tǒng)的漏洞或配置不當(dāng)將有可能導(dǎo)致整個(gè)安全體系的崩潰。更危險(xiǎn)的是,我們無法保證國外廠家的操作系統(tǒng)產(chǎn)品不存在后門。在操作系統(tǒng)安全方面,有兩點(diǎn)是值得考慮的:一是采用具有自主知識(shí)產(chǎn)權(quán)且源代碼對(duì)政府公開的產(chǎn)品;二是利用漏洞掃描工具定期檢查系統(tǒng)漏洞和配置更改情況,及時(shí)發(fā)現(xiàn)問題。
4.數(shù)據(jù)備份與容災(zāi)。任何的安全措施都無法保證數(shù)據(jù)萬無一失,硬件故障、自然災(zāi)害以及未知病毒的感染都有可能導(dǎo)致政府重要數(shù)據(jù)的丟失。因此,在電子政務(wù)安全體系中必須包括數(shù)據(jù)的容災(zāi)與備份,并且最好是異地備份。
5.管理制度的完善。電子政務(wù)網(wǎng)絡(luò)內(nèi)部安全和外部安全一樣重要,內(nèi)部安全除了需要體系化的安全防御策略,還需要嚴(yán)格的、可操作性強(qiáng)的安全管理制度。制度的制訂首先要規(guī)范,其次要強(qiáng)調(diào)制度的強(qiáng)制性、法規(guī)約束力和可操作性,同時(shí)進(jìn)行安全宣傳教育,增強(qiáng)安全意識(shí)的培養(yǎng)和信息安全知識(shí)的普及這樣才能保證制度的真正貫徹和執(zhí)行加強(qiáng)。
6.建立網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)預(yù)案。網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)預(yù)案是安全管理制度的一個(gè)重要部分,這里單獨(dú)來討論,主要是考慮到其重要性。事前有預(yù)案,一旦發(fā)生安全事件,就可以觸發(fā)相應(yīng)的預(yù)案處理程序,在最短的時(shí)間內(nèi)恢復(fù)正常的網(wǎng)絡(luò)服務(wù)和信息服務(wù),力求把安全事件的破壞力降到最低。□(編輯/李舶)
第五篇:電子政務(wù)信息安全解決方案研究
電子政務(wù)信息安全解決方案研究
摘要:作為政府信息化工程的重要組成部分,電子政務(wù)在我國的發(fā)展已初具規(guī)模。由于政務(wù)信息的敏感性和保密性要求,以及網(wǎng)絡(luò)平臺(tái)的安全性影響,電子政務(wù)信息系統(tǒng)的安全保障是至關(guān)重要的。電子政務(wù)信息系統(tǒng)的安全保障涉及到網(wǎng)絡(luò)技術(shù)、系統(tǒng)功能、人員管理、法制法規(guī)等諸多因素,必須形成全面、規(guī)范、有執(zhí)行力的保障機(jī)制。
關(guān)鍵字:電子政務(wù),信息安全,解決方案 引言
近年來,以互聯(lián)網(wǎng)技術(shù)為承載主體的信息技術(shù)的飛速發(fā),引發(fā)了一場深刻的生產(chǎn)和生活方式變,極大地推動(dòng)著經(jīng)濟(jì)和社會(huì)的發(fā)展。作為信息高速公路五個(gè)應(yīng)用領(lǐng)域中的首要應(yīng)用,電子政府/電子政務(wù)在全球范圍內(nèi)受到廣泛的重視,政府上網(wǎng)、政府工作電子化勢在必行,政府信息化已成為經(jīng)濟(jì)信息化和社會(huì)信息化的前提,電子政務(wù)將是未來國家核心競爭力的重要因素之一。所謂電子政務(wù)是指政府機(jī)構(gòu)運(yùn)用現(xiàn)代信息技術(shù),在組織機(jī)構(gòu)管理和服務(wù)職能實(shí)現(xiàn)上突破時(shí)間、空間和部門分隔的限制,形成精簡高效、廉潔公平的政府運(yùn)作模式。電子政務(wù)模型可簡單分為兩方面:部門內(nèi)部的網(wǎng)絡(luò)辦公平臺(tái)和各部門與社會(huì)各界之間的網(wǎng)絡(luò)信息溝通平臺(tái)。因此,電子政務(wù)實(shí)施過程中的首要問題 便是如何保障信息安全。如果信息安全不能得以保障,輕則影響電子政務(wù)信息系統(tǒng)正常功能的運(yùn)轉(zhuǎn),重則破壞政府的公眾形象甚至對(duì)社會(huì)的團(tuán)結(jié)穩(wěn)定產(chǎn)生危害。電子政務(wù)面臨的網(wǎng)絡(luò)安全戚脅
電子政務(wù)是黨委、政府、人大、政協(xié)及行政管理機(jī)構(gòu)有效決策、管理、服務(wù)的重要手段.電子政務(wù)信息系統(tǒng)也必然會(huì)成為信息間諜、敵對(duì)勢力、恐怖集團(tuán)、國家之間信息戰(zhàn)攻擊的目標(biāo)。因此.構(gòu)建電子政務(wù)信息安全保障體系,事關(guān)國家政治、經(jīng)濟(jì)、國防安全和民族信息產(chǎn)業(yè)發(fā)展的全局。電子政務(wù)面臨的網(wǎng)絡(luò)安全威脅因素有:
1.計(jì)算機(jī)系統(tǒng)的脆弱性
計(jì)算機(jī)系統(tǒng)本身無法抵御自然災(zāi)害的破壞,也難以避免偶然無意造成的危害。如水、火、地震的破壞及環(huán)境(溫度、振動(dòng)、沖擊、污染)的影響以及硬件設(shè)備故障,突然斷電或電源波動(dòng)以及各種誤操作等危害。這些危害有的會(huì)損害系統(tǒng)設(shè)備,有的則會(huì)丟失或破壞數(shù)據(jù)。甚至毀掉整個(gè)系統(tǒng)和數(shù)據(jù)。
2.網(wǎng)絡(luò)技術(shù)的缺陷性(1)先天的安全隱患
在物理通路上.網(wǎng)絡(luò)通信線路一般是電話線、專線、微波、光纜或無線系統(tǒng),這些線路易遭受物理破壞.易被搭線竊聽,無線通信易遭截獲、監(jiān)聽等等。網(wǎng)絡(luò)規(guī)模越大,通信線路越長,這種弱點(diǎn)也隨之增加。
電子政務(wù)內(nèi)網(wǎng),政務(wù)外網(wǎng)、公共服務(wù)網(wǎng)的網(wǎng)絡(luò)環(huán)境,都是采用TCP/IP協(xié)議而建立的。該協(xié)議以開放和自由為基礎(chǔ),從協(xié)議規(guī)劃、服務(wù)模式、網(wǎng)絡(luò)管理等方面均缺乏安全性設(shè)計(jì)。計(jì)算機(jī)應(yīng)用系統(tǒng)自身的缺陷相當(dāng)多,如windows net和Netware就存在嚴(yán)重的安全漏洞,使入侵者有不少空子可鉆。另外數(shù)據(jù)庫服務(wù)器、電子郵件服務(wù)器、web服務(wù)器等應(yīng)用平臺(tái)也存在大量的安全隱患。
(2)網(wǎng)絡(luò)的外部威脅
系統(tǒng)外部非法用戶.如信息間諜的潛入竊密,網(wǎng)絡(luò)黑客的攻擊篡改.恐怖集團(tuán)的銷毀破壞等.使數(shù)據(jù)遭到竊取、假冒、抵賴或銷毀,從而造成政府網(wǎng)絡(luò)無法工作。具體表現(xiàn)有下面三方面:
一是非法使用資源。入侵者濫用和盜用計(jì)算機(jī)資源、網(wǎng)絡(luò)連接服務(wù)等資源,并查閱數(shù)據(jù)、訪問機(jī)密文件等信息資源。
二是惡意破壞。非法進(jìn)入者對(duì)系統(tǒng)或數(shù)據(jù)文件進(jìn)行破壞,包括修改數(shù)據(jù)信息.破壞硬件.傳送附帶破壞性病毒的文件等,還可以設(shè)置”定時(shí)炸彈”進(jìn)行要挾攻擊.敲詐勒索。這些惡意破壞造成系統(tǒng)癱瘓,文件無效或消失.使電子政府中斷對(duì)用戶提供的服務(wù)。
三是盜竊數(shù)據(jù)。黑客進(jìn)入網(wǎng)絡(luò),盜走任何有價(jià)值的東西,包括金融數(shù)據(jù)、機(jī)密文件以及其他敏感的數(shù)據(jù)信息等。
3.信息管理的可腐敗性
管理規(guī)范不到位:例如,微機(jī)或工作站管理人員在開機(jī)狀態(tài)下擅離崗位,敏感信息臨時(shí)存放在本地的磁盤上,而這些信息處于未保護(hù)狀態(tài).這種管理上的不 2
嚴(yán)格極易給他人提供冒充的機(jī)會(huì)。另外內(nèi)部用戶隨意利用辦公終端與lnternet聯(lián)接,使網(wǎng)絡(luò)罪犯有機(jī)可乘。許多網(wǎng)絡(luò)犯罪行為尤其是非法操作都是利用聯(lián)網(wǎng)的電腦管理制度上的漏洞而得逞的。
組織管理不完善:如部分網(wǎng)絡(luò)管理者(內(nèi)部人員)很容易以某一用戶的身份登錄、查看和復(fù)制用戶的信息.甚至利用管理用戶的地址目錄之便,以用戶的名義發(fā)送報(bào)文.非法竊取、篡改、隱瞞、抵賴、銷毀權(quán)限之外的信息,造成系統(tǒng)無法正常工作甚至癱瘓。根據(jù)公安部門的報(bào)告,作案人員往往是利用管理上的漏洞.而且內(nèi)部人員居多。
4.技術(shù)性缺陷
1)基礎(chǔ)網(wǎng)絡(luò):首先,無論是有線還是無線網(wǎng)絡(luò),其通信線路如電纜、微波等,都易遭物理破壞,或易被搭線竊聽,或易遭截獲、監(jiān)聽等。其次,網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)不合理或缺乏可擴(kuò)展性,很可能一個(gè)結(jié)點(diǎn)遭破壞導(dǎo)致整個(gè)系統(tǒng)癱瘓。
2)操作系統(tǒng)和數(shù)據(jù)庫 :目前所使用的計(jì)算機(jī)網(wǎng)絡(luò)操作系統(tǒng),多偏重于考慮系統(tǒng)使用的方便性,其結(jié)構(gòu)和代碼設(shè)計(jì)相對(duì)在系統(tǒng)的安全機(jī)制上考慮還不夠精細(xì) 或多或少存在些安全漏洞,數(shù)據(jù)庫管理系統(tǒng)基于分級(jí)理念對(duì)數(shù)據(jù)庫進(jìn)行管理,同時(shí)數(shù)據(jù)庫管理系統(tǒng)的安全必須與操作系統(tǒng)的安全相配套,這樣系統(tǒng)的安全又出現(xiàn)一些不穩(wěn)定因素。
3)應(yīng)用平臺(tái):為便于在應(yīng)用層面進(jìn)行定期維護(hù)或升級(jí),在開發(fā)電子政務(wù)信息系統(tǒng)的應(yīng)用功能時(shí),往往有可能留有所謂的“后門”一旦被非法人員發(fā)現(xiàn),破壞性有可能波及整個(gè)系統(tǒng)。
5.法律法規(guī)的滯后性
雖然,我國針對(duì)電腦病毒、信息侵權(quán)和網(wǎng)絡(luò)犯罪等非法信息行為制定了一些網(wǎng)絡(luò)安全相關(guān)的法律法規(guī),但現(xiàn)行政策法規(guī)仍難以適應(yīng)網(wǎng)絡(luò)發(fā)展的需要,信息立法還存在相當(dāng)多的空白。諸如個(gè)人隱私保護(hù)法、數(shù)據(jù)庫保護(hù)法、數(shù)字媒體法、數(shù)字簽名認(rèn)證法、計(jì)算機(jī)犯罪法以及計(jì)算機(jī)安全監(jiān)管法等數(shù)字經(jīng)濟(jì)正常運(yùn)作所需的配套法規(guī)急需予以制定。由于法規(guī)不健全,信息市場交易秩序的維護(hù)、信息犯罪的懲處等無法可依,使信息犯罪有空子可鉆。另一方面,由于網(wǎng)絡(luò)作案手段新、時(shí)間短、不留痕跡等特點(diǎn),給網(wǎng)上犯罪案件的偵破和審理帶來了極大的困難。
6.保障意識(shí)的非系統(tǒng)性
有的政府系統(tǒng).在系統(tǒng)建設(shè)中沒有統(tǒng)一規(guī)范的安全構(gòu)想.更沒有建立完善的安全體系結(jié)構(gòu):從硬件采購、網(wǎng)絡(luò)布線、采用的操作系統(tǒng)、應(yīng)用系統(tǒng)的開發(fā)、系統(tǒng)被非法訪問等方面都沒有把安全問題考慮進(jìn)去或考慮得很少。因此這些政府系統(tǒng)難以抵御防范上述威脅。
3.電子政務(wù)信息安全解決策略
目前我國電子政務(wù)安全采取“國家推動(dòng)、社會(huì)參與、全局治理、積極防御、等級(jí)保護(hù)、保障發(fā)展“的策略。鑒于電子政務(wù)的信息安全面臨的是一場高技術(shù)的對(duì)抗,是一場綜合性斗爭,涉及法律、管理、標(biāo)準(zhǔn)、技術(shù)、產(chǎn)品、服務(wù)和基礎(chǔ)設(shè)施諸多領(lǐng)域,所以電子政務(wù)安全.還要從全局來構(gòu)建其安全保障的體系框架,以保障電子政務(wù)的健康發(fā)展。
1.健全法律與政策,加強(qiáng)法律監(jiān)管
電子政務(wù)的工作內(nèi)容和工作流程涉及到國家秘密與核心政務(wù).它的安全關(guān)系到國家的主權(quán)、國家的安全和公眾益,所以電子政務(wù)的安全實(shí)施和保障,必須以國家法規(guī)形式將其固化,形成全國共同遵守的規(guī)約.成為電子政務(wù)實(shí)施和運(yùn)行的行為準(zhǔn)則,成為電子政務(wù)國際交往的重要依據(jù)。其目的在于保護(hù)守法者和依法者的合法權(quán)益.為司法和執(zhí)法者提供法律依據(jù).對(duì)違法、犯法者形成強(qiáng)大的威懾。因此,制訂相應(yīng)的法規(guī),適度的解密和規(guī)范開放的規(guī)則,保護(hù)政府部門問信息的正常交流,保護(hù)社會(huì)公眾對(duì)信息的合法享用,打破對(duì)政務(wù)信息資源的壟斷和封鎖,提高政府行政透明度和民主進(jìn)程,是非常有利的和必要的。再完美的電子政務(wù)信息系統(tǒng)也可能出現(xiàn)內(nèi)部使用的疏忽或遭受外來的惡意攻擊,只有將網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)法律法規(guī)結(jié)合起來并與國際立法規(guī)則相兼容,才能在發(fā)生問題后有法可依,建議制定專門的電子政務(wù)信息系統(tǒng)安全法。一是用以規(guī)范電子政務(wù)中的信息安全技術(shù)范疇,二是對(duì)破壞電子政務(wù)信息安全的行為如何處罰要從法律意義上制定專門的規(guī)定。
2.強(qiáng)化組織與管理
電子政務(wù)安全管理涉及到國家安全部、國家保密局、國家密碼管理委員會(huì)、信息產(chǎn)業(yè)部等許多國家安全職能部門.其安全管理職能的協(xié)調(diào)需要由國家信息化領(lǐng)導(dǎo)機(jī)構(gòu)來進(jìn)行。各地區(qū)和部委建立相應(yīng)的信息安全管理機(jī)構(gòu),以完成和強(qiáng)化信
息安全的管理,形成自上而下的信息安全管理組織體系,是電子政務(wù)安全實(shí)施的必要條件。同時(shí),政府相關(guān)部門必須制訂頒發(fā)電子政務(wù)安全相關(guān)的各項(xiàng)管理?xiàng)l例,以及時(shí)指導(dǎo)電子政務(wù)建設(shè)的各種行為.保障電子政務(wù)系統(tǒng)建設(shè)全程的安全和安全管理工作的程序化和制度化。根據(jù)管理需求,可以對(duì)電子政務(wù)系統(tǒng)信息內(nèi)容實(shí)施安全監(jiān)控管理.以保護(hù)政務(wù)信息安全,防止由于內(nèi)部違規(guī)或外部入侵可能造成的網(wǎng)絡(luò)泄密,同時(shí)也阻止有害信息內(nèi)容在政務(wù)網(wǎng)上傳播。
3.制訂標(biāo)準(zhǔn)與規(guī)范
信息安全標(biāo)準(zhǔn)有利于安全產(chǎn)品的規(guī)范化,有利于保證產(chǎn)品安全可信性、實(shí)現(xiàn)產(chǎn)品的互聯(lián)和互操作性.以支持電子政務(wù)系統(tǒng)的互聯(lián)、更新和可擴(kuò)展性,支持系統(tǒng)安全的測評(píng)與評(píng)估.保障電子政務(wù)系統(tǒng)的安全可靠。因此,制訂信息安全標(biāo)準(zhǔn)以及安全產(chǎn)品的規(guī)范便顯得尤為重要。
4.縱深保障與服務(wù)
在電子政務(wù)的系統(tǒng)建設(shè)中,要構(gòu)建其技術(shù)安全保障架構(gòu).對(duì)大型電子政務(wù)系統(tǒng)要建立縱深防御體系:進(jìn)而設(shè)置政務(wù)內(nèi)網(wǎng)的安全與控制策略、政務(wù)外網(wǎng)的安全與控制策略,進(jìn)入互聯(lián)網(wǎng)的安全服務(wù)與控制策略、租用公網(wǎng)干線的安全服務(wù)與控制策略、政務(wù)計(jì)算環(huán)境的安全服務(wù)與機(jī)制。采用縱深防御和多級(jí)設(shè)防,是電子政務(wù)安全保障的重要原則,通過全局性的安全防護(hù)、安全檢測、快速響應(yīng)、集成的安全管理與安全設(shè)施的聯(lián)動(dòng)控制,以達(dá)到系統(tǒng)具有防護(hù)、檢測、反應(yīng)與恢復(fù)能力。
5.創(chuàng)新技術(shù)與產(chǎn)品
由于電子政務(wù)的國家涉密性,電子政務(wù)系統(tǒng)工程的安全保障需要各種有自主知識(shí)產(chǎn)權(quán)的信息安全技術(shù)和產(chǎn)品.要不斷地加強(qiáng)安全技術(shù)和產(chǎn)品的自主研制和創(chuàng)新;它們涉及到安全操作系統(tǒng)、安全硬件平臺(tái)、安全數(shù)據(jù)庫、PKI/CA、PMI、VPN、安全網(wǎng)關(guān)、防火墻、數(shù)據(jù)加密機(jī)入侵檢測(1DS)、漏洞掃描、計(jì)算機(jī)病毒防治工具、強(qiáng)審計(jì)工具、安全Web、安全郵件、安全設(shè)施集成管理平臺(tái)、內(nèi)容識(shí)別和過濾產(chǎn)品、安全備份、電磁泄漏防護(hù)、安全隔離客戶機(jī)、安全網(wǎng)閘等。
6.用戶應(yīng)用安全
電子政務(wù)中,由于管理和使用不當(dāng)造成的安全問題愈七成,因此加強(qiáng)人員對(duì)系統(tǒng)使用的安全意識(shí),尤為重要。首先在系統(tǒng)投入使用前,必須對(duì)所有人員進(jìn)行技術(shù)培訓(xùn)。其次,在使用過程中,也應(yīng)有針對(duì)性的就系統(tǒng)變更等問題與工作人員 5
進(jìn)行雙向交流 其它還需特別注意的地方有:
1)管理員職責(zé):管理員賬戶本身最易受到黑客攻擊,定期更換賬戶及密碼,是提高安全性的有效措施。同時(shí),盡量不開放 Guest賬戶,對(duì)其他用戶嚴(yán)格劃定訪問權(quán)限和資源使用權(quán)限;定期檢查用戶IP地址范圍,用戶使用系統(tǒng)的頻率和內(nèi)容,發(fā)現(xiàn)異常及時(shí)封鎖IP或相應(yīng)用戶賬號(hào)。
2)普通用戶:在內(nèi)部子網(wǎng)中不應(yīng)開放共享目錄。如有經(jīng)常交換信息需求的用戶,在共享時(shí)必須加上必要的口令認(rèn)證機(jī)制。現(xiàn)在更為常見的方式是給用戶配備 USB 安全密鑰或者經(jīng)第三方CA認(rèn)證,可用來進(jìn)行數(shù)字簽名和驗(yàn)證簽名,確保通訊雙方的真實(shí)身份,兼具真實(shí)性和不可抵賴性,保障政務(wù)的安全傳送和處理。
7.系統(tǒng)運(yùn)行環(huán)境安全
1)網(wǎng)絡(luò)分級(jí)隔離:外網(wǎng)與內(nèi)網(wǎng)和專網(wǎng)進(jìn)行物理隔離,內(nèi)網(wǎng)與專網(wǎng)、外網(wǎng)與 Internet 之間則采用邏輯隔離。內(nèi)外網(wǎng)間必須安裝防火墻,根據(jù)各種過濾規(guī)則來判斷網(wǎng)絡(luò)數(shù)據(jù)是否能夠通過防火墻,用以加強(qiáng)網(wǎng)絡(luò)之間訪問控制、防止外網(wǎng)用戶以非法手段進(jìn)入內(nèi)網(wǎng)、保護(hù)內(nèi)網(wǎng)中的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備,既防止外來的入侵,也阻止局域網(wǎng)內(nèi)部重要信息的泄露。內(nèi)外網(wǎng)之間的通信則采用異步高位加密機(jī)制,可以保證內(nèi)外網(wǎng)的通信安全
2)網(wǎng)絡(luò)設(shè)備和軟件:選用高帶寬網(wǎng)絡(luò)和高性能服務(wù)器。配備加密設(shè)備,使得數(shù)據(jù)以密文形式在網(wǎng)上傳送,保證數(shù)據(jù)的機(jī)密性與完整性。在安裝防火墻的基礎(chǔ)上,輔以入侵檢測系統(tǒng),用于實(shí)時(shí)監(jiān)控和記錄具攻擊性的信息代碼在進(jìn)出網(wǎng)段的所有操作行為,并按制定的策略實(shí)行響應(yīng)(阻斷、報(bào)警、發(fā)送電子郵件等),從而防止網(wǎng)絡(luò)的攻擊與犯罪行為。安裝正版操作系統(tǒng)或源代碼對(duì)政府開放的操作系,統(tǒng)堅(jiān)持日常維護(hù)和記錄,及時(shí)更新、升級(jí)病毒庫;使用安全掃描工具定期檢查系統(tǒng)漏洞和配置更改情況,及時(shí)安裝系統(tǒng)補(bǔ)丁堵塞系統(tǒng)漏洞。
4.結(jié)論
電子政務(wù)信息系統(tǒng)的安全保障不但要從實(shí)現(xiàn)技術(shù)入手,更要與系統(tǒng)在政府工作中的重要地位相呼應(yīng) 保證其先進(jìn)性和可擴(kuò)展性,要進(jìn)行深入調(diào)研和長遠(yuǎn)規(guī)劃 必須能夠適應(yīng)網(wǎng)絡(luò)的快速發(fā)展變化。根本上還需要國家的司法支持和參與人員管理意識(shí)的增強(qiáng)保障了電子政務(wù)的安全,才能保障政府信息化的順利推進(jìn)。
5.參考文獻(xiàn)
1.王紹卜,《計(jì)算機(jī)網(wǎng)絡(luò)的安全隱患與策略》中外科技信息,2003(11)43~45 2謝希仁,《計(jì)算機(jī)網(wǎng)絡(luò)》.大連:大連理工大學(xué)出版社,2001:1 27~1 30 3.覃正.中美電子政務(wù)發(fā)展報(bào)告[M].北京: 科學(xué)出版社 2008(5).4.樊博.電子政務(wù)[M].上海交通大學(xué)出版社 2006(6)5.褚俊 蘇震.電子政務(wù)安全技術(shù)保障[M].北京中國人民大學(xué)出版社 2004(3).6.蘇玉召 趙妍.計(jì)算機(jī)網(wǎng)絡(luò)信息安全及其防護(hù)策略的研究[J] 計(jì)算機(jī)與信息技術(shù) 2006(5)7.王海濤.電子政務(wù)中的安全問題[J] 佳木斯大學(xué)學(xué)報(bào):自然科學(xué)版 2005(2)8.羅茂斌.論電子政務(wù)與電子文件的保護(hù)[J].檔案管理 2001(4).9.鄧崧.電子政務(wù)價(jià)值評(píng)估研究[D].上海 同濟(jì)大學(xué) 2007.10.馬朝斌《大力加強(qiáng)電子政務(wù)內(nèi)網(wǎng)的安全保密建設(shè)和管理.信息安全與通信保密,2003(12)11.鄔賀銓 《電子政務(wù)安全體系 《信息安全與通信保密》,2003(4)12.譚興烈 《電子政務(wù)安全解決方案要解決的主要問題 《信息安全與通信保密》,2004(5)13.姜楠,王健《電子政務(wù)中基于PKI的角色授權(quán)管理策略》《通信技術(shù)》,2003(9)