电子政务的安全
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇电子政务的安全范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
电子政务的安全范文第1篇
电子政务信息资源共建与共享的目标模式。分析电子政务信息资源共建与共享模式的目标取向,主要包括:政府职能社会化、效益化,管理行为民主化、法制化、服务手段自动化、网络化,政务信息公开化、集约化,信息用户大众化、远程化。政府部门通过网络与公众进行双向的信息交流。
【关键词】
电子政务;信息资源 安全对策
1 电子政务环境下政府信息资源开发的有利条件
信息资源处理手段现代化在电子政务中,政府机关信息资源的处理手段将发生根本性的变革。光盘、数据库、办公文件处理系统等各种应用系统,将以往束缚在公务员笔记本、各类报表和桌上电脑中的信息资源解放出来。政府公务员可根据需要随时随地方便地调用来自四面八方的信息。同时,借助于网络这个平台,政府的各项政策信息会变得易于存储管理、方便检索查询,并能够快速传播,真正实现了政府信息资源处理手段的变革。
信息资源传递迅速,政府决策效率提高原来政府信息资源是根据组织结构一层一层、一级一级地传递。这不但会增加协调成本和控制成本,更重要的是政府会因此而无法做出快速反应从而影响政府决策。而在电子政务环境中的政府机关内部,有许多办公软件如文档处理软件、在网络安全认证基础上的电子邮件系统及各种专门业务处理软件支持办公,机关内部的办公事务主要依靠电子邮件来传递信息。会议通知、信息传达、政策宣传、法规颁布、意见协调等均以电子邮件来处理。从而使信息在内部流通的时间和信息交流环节大大减少,加快了信息的流通速度,提高了政府的决策效率。
信息资源的准确性与时效性有保障在传统政府的信息传递中,公文占有较大比重,都是自上而下地传达。且各种会议通知安排往往会通过口头或电话传达,准确性差。同时信息的获取主要来源于由下而上的层层上报的书面材料,而材料的形成及层层上报需要一定的时间,因而影响了信息的真实性和准确度。政府上网后,可以准确及时地了解公文和各种资料的来源、流程、处理等,信息的准确性和时效性大大提高,网络安全可能面临的挑战。
2 计算机网络面临的主要威胁
2.1 人为的无意失误
人为的无意失误:如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。
2.2 网络安全维护范围的重新界定
目前人们在家里通过宽带接入而登录自己单位的网络系统已经是一件很寻常的事情了。这种工作新方式的出现同样也为网络安全带来了新问题。网络安全维护范围需要重新界定。因为他们都是远程登录者,并没有纳入传统的单位网络安全维护的“势力范围”之内。另外,由于来自网络的攻击越来越严重,许多用户不得不将自己网络系统内的每一台PC机都装上防火墙、反侵入系统以及反病毒软件等一系列的网络安全软件。这同样也改变了以往单位用户网络安全维护范围的概念。
2.3 个人的信用资料
个人信用资料在公众的日常生活中占据着重要的地位。以前的网络犯罪者只是通过网络窃取个人用户的信用卡账号,但随着网上窃取个人信用资料的手段的提高。如网络犯罪者可以对的银行存款账号、社会保险账号以及最近的行踪都能做到一览无余。如果不能有效地遏制这种犯罪趋势,无疑将会给人们的日常人生活带来极大的负面影响。
2.4 人为的恶意失误
人为的恶意攻击:这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。
3 电子政务信息安全问题易发状况
电子政务信息安全存在的问题通常,电子政务系统除自然灾害外主要由于存在以下问题而容易受到攻击:(l)网络硬件设备的弱点如服务器、网络设备等安全问题将危害网络的可靠性和可用性;(2)操作平台的弱点和漏洞可能构成系统隐患;(3)电子政务的网络化将导致电子政务系统安全的脆弱性;(4)不同信任域的信息交换将导致电子政务系统被攻击的风险;(5)计算机病毒正在成为导致系统安全问题的一个重要要因;(6)未知的因素也可能给电子政务系统带来安全隐患。
4 电子政务环境下政府信息资源安全的策略
4.1 加强信息安全保密工作
政府信息有一定的保密性,关系到政府运作和国家安全,做好信息安全保密工作是进行电子政务良性运行的前提。首先,加强信息安全保密制度。据有关专家估计,信息网络上的安全问题80%以上是由于制度不健全而引发的,是人为的原因。建立健全相关责任制和规范管理,是加强信息安全保密的必要手段。其次,建立安全认证中心,保证信息传输安全。加强安全保密技术的自主开发。建立网络安全紧急反应以及处理机制,协调政府机关处理信息安全管理事件。
4.2 信息加密策略
信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;端-端加密的目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。信息加密过程是由形形 的加密算法来具体实施,它以很小的代价提供很大的安全保护。在多数情况下,信息加密是保证信息机密性的唯一方法。据不完全统计,到目前为止,已经公开发表的各种加密算法多达数百种。如果按照收发双方密钥是否相同来分类,可以将这些加密算法分为常规密码算法和公钥密码算法。
4.3 网络安全管理策略
制定网络安全管理策略首先要确定网络安全管理要保护什么,在这一问题上一般有两种截然不同的描述原则。一个是“没有明确表述为允许的都被认为是被禁止的”,另一个是“一切没有明确表述为禁止的都被认为是允许的”。对于网络安全策略,一般采用第一种原则,来加强对网络安全的限制。对于少数公开的试验性网络可能会采用第二种较宽松的原则,这种情况下一般不把安全问题作为网络的一个重要问题来处理。
信息网络安全是一门边缘性、交叉性学科,我国除了密码学研究开展较早,有较好的基础和积累外,很多方面与国际差距较大。我们要积极吸取借鉴国际上住处网络安全的先进技术和经验,并在此基础上不断创新。因此,我们既不能行进自己无法监控的信息网络安全设备,也不能照搬照抄国外的信息网络安全技术,必须把发展住处网络安全放在自己的基点上。
【参考文献】
汪玉凯.中国政府信息化与电子政务[J].新视野,2002(2)
电子政务的安全范文第2篇
1、电子政务安全业务发展面临的问题
1方面,因为信息安全技术是从信息技术不断发展中衍生出来的1门学科或者技术,本身的发展有必定的滞后性,遭到社会广泛关注需要时间累积。国内虽已经有1批专门从事信息安全基础钻研、技术开发与技术服务工作的钻研机构与高科技企业,但至今尚无象网络通讯行业那样呈现华为、华3等这样知名并在国际上有影响力的企业,以支持我省电子政务安全保障业务的发展。另外一方面,因为信息安全技术专业性太强,所需知识面无比广,技术门坎高,致使我国专门从事信息安全工作技术人员严重短缺。安全产品的作用基本上是堵防已经有的安全要挟而不能预防未知危险,部署安全产品带来的成效患上不到显明的体现,乃至短期内没法浮现价值,致使厂商、用户不愿意对于信息安全过量投入,更多的是扛扛红旗、讲讲理念、喊喊口号,点到为止。这两方面缘由是客观的,短期内没法扭转的。电子政务发展要在网络与信息安全方面获得必定成效,需要在多方面展开工作,尤其是在软硬件总体部署及专业人材吸纳方面多投入。
2、全面强化电子政务安全发展
人材上,要踊跃引进安全专业人材。国内目前这方面的人材比较难求,可用必定的待遇引进人材,并可尝试与国内知名安全试验室或者厂商合作共建,展开安全产品的研发利用以及安全人材的培育等,为安全发展贮备能量。思想上,加强网络与信息安全首要性的学习,努力提高全省信息系统的安全意识,并切实落实到行为上,养成安全使用办公电脑的习气。PC机上,要加强个人办公电脑的安全软件安装配置,统1单位个人办公电脑的安全软件配置。安全体门要反复实验,举荐出1套或者两套机能完美的安全套餐模板,并提供上门服务匡助,加固个人办公电脑的安全。软硬件上,加强安全产品的总体以及系统部署,完美网络与利用的分级分域维护。与国内知名安全厂商树立紧密的联络、展开深刻细致的交换,要系统深刻的挖掘实际网络、利用及系统安全上的软硬件需求,防止安全产品盲目堆砌。部署互联网出口流量节制及数据包监控分析装备,普及政府部门使用身份认证系统,完美安全基础设施建设。总体构建省域电子政务的网络以及信息安全屏障。机制上,要树立健全网络以及信息安全规章轨制,树立网络与信息安全应急处理机制、制定全省电子政务网络与信息安全事件应急处置预案,加强与政府安全及保密部门的联络,如有可能与之树立会商轨制,树立全省电子政务安全监督检查轨制,对于全省信息系统的安全工作进行按期检查、指点、培训,与国内知名安全厂商树立广泛的联络、展开深刻细致的交换、追求技术上的支撑以及匡助。管理上,要规范网络与信息安全的管理,落实每一个岗位的具体安全保护管理权限以及职责,公道划分网络安全域、谨防网络以及挪动介质泄密,对于数据以及信息按性质划分安全等级、并履行等级维护,做到“信息不上网,上网信息不”,严格执行国家的安全规定,加强网络与信息安全建设的规范管理,新建的信息化项目务必要斟酌网络与信息安全防护措施。总之,安全体应与网络部以及利用部加强沟通、相互信任,网络离不开安全、安全离不开网络,利用需要安全、安全需要利用。安全体、网络部、利用部相辅相成,共同打造高效、安全、不乱的电子政务。
电子政务的安全范文第3篇
电子政务网络数据库是处在开放网络环境中的分布式数据库系统,指的是数据库所处位置不集中,要保障系统的正常运行和可用性,必须将这些数据库作为不同的逻辑单元相互连接起来,形成一个统一的数据库集群,具有集中与自制相结合的控制机制、数据独立性、适当的数据冗余度及事务分布式管理等特点,是网络信息系统与数据库集群的有机结合体。
1安全隐患及风险分析
文章以公式(1)为评估模型对数据库在电子政务信息系统中的安全性进行分析,以测算出当一个政务信息系统遭到攻击后,数据库作为一个黑客窃取或破坏的目标,其中数据的安全系数或风险发生的概率。设电子政务信息系统中信息数据存储单元的个数为n,这些存储单元的安全级别为λN,如果λ∈R且0<λ<1,则这些存储单元的差异系数为λ,设某政务系统中的所有存储单元都是异构系统,λ≈0。通过公式(1)进行测算,假设系统的各个节点都存在入侵的风险,则系统中存储单元的安全风险值为:
(1)根据公式(1),数据f的分散度由μ来表示,根据公式(1)得出,数据单元的安全级别范围即是公式(1)推算出的安全概率值的变化范围。QoSec∝1/λQoSec=/λ
(2)经过推到,公式(2)变为公式(3),即:
(3)图1为公式推导的结果,假设系统中有100个应用节点发送被分解为m段的数据(横轴),可以得到3次不同时段对这次发送数据工作的评测值。该结果表明,传送文件随着分解段数的递增,数据单元的安全级别将逐渐递减,数据单元中信息的安全概率曲线经过第三次计算过程,即公式(3),如图1所示。值得一提的是,该结果是进行规范后的数据处理结果,实际应用中的政务系统在运行中的各种情况会更为复杂多变[2]。
2防护策略的关键技术
2.1数据库的配置管理
数据库的配置管理由以下几个方面组成:
1)使用安全的数据库密码和安全的用户账号策略:要养成定期更改密码的习惯,杜绝使用空密码,用户应该设立不同的用户口令验证及用户组来达到保护Oracle数据库的目的,如此可以防范入侵者非法进入系统中的数据库,通过授权对用户的操作进行限制,加强对SYS和System两个特殊账户的保密管理,保证数据库的安全性。在加强数据库在网络中的安全性时,对于远程用户,应使用加密方式通过密码来访问数据库,加强网络上的DBA权限控制,如拒绝远程的DBA访问等,目的就是要在保证系统安全的前提条件下,最大限度地共享资源。
2)加强数据库日志的记录和建立审计机制:要定期查看数据的日志,检查是否有可疑的登录事件发生,要利用Oracle数据库的审计机制,监视用户对数据库的各种操作。例如应用SQL语句进行审计选择项的选择;通过对访问者系统中所存在的图表等信息内容的比对,实现对该访问者在系统中成功或不成功的存取行为的审计;审计的强度必须得到控制;针对审计追踪表传输数据的行为被获准或不被批准;将系统中部分数据库中的表格设为缺省选择项等[3]。
3)数据镜像、存储管理、灾难备份以及信息系统配置,如图2。要加强对数据库的存储管理,删除不必要的存储过程,利用网路配置协议对数据库进行加密操作。用户总是期望节数据库中的信息、数据是可信的、真实的,信息系统中的数据库被用户使用时,信息系统可能存在的风险和故障极有可能使得数据库遭到严重损毁,怎样保持系统运行的可持续性,实现信息数据灾难备份成为信息系统安全保障的重中之重,假如日常工作中就做好了重要数据、信息的备份和镜像,这样就能在故障和灾难来临时迅速恢复数据的有效使用。图2数据库的镜像与恢复
2.2数据库技术保护
1)身份验证。为抵御各类虚假身份攻击行为,在合法操作行为发生时,必须要使用强加密手段在数据库与服务器之间对交互双方的身份实施双向认证:合法用户登录数据库之后,在正常操作前也需要通过强密码验明正身,完成对用户身份的最终确认,并在此基础之上决定该用户的类别及访问权限。
2)保密通信。在身份验证成功后,即可以进行数据传输了,而为了对抗报文窃听和报文重发攻击,则需要在通讯双方之间建立保密信道,对数据进行加密传输。通常身份验证和加解密数据的过程可以结合在一起使用。保密信道可以由分布式数据库系统实现,也可以采用底层网络协议提供的安全机制来实现。身份认证过程结束后,接下来就是数据传送过程,为有效防范数据包窃取和重发等攻击行为,首先要保证交互双方信道的安全性,一般通过加密手段进行传输,目前的技术手段一般是将身份验证和内容加解密相结合使用。根据信息内容的重要程度,考虑是否采用专线连接分布式数据库系统,如果是非数据,可以采用底层网络协议自身提供的安全机制来实现。
3)访问控制。访问控制的主要任务是对存取访问权限的确定、授予和实施,其目的是在保证系统安全为前提条件下,最大限度地共享资源。实施访问控制就必须按照安全要求,预先标定相应的安全属性,标识的作用就是授权,用以标明主体访问权限即读、写、查询、增加、删除、修改等操作的组合,还有安全的访问过程等(如图3所示)。图3电子政务网络数据库访问控制通常,应用数据库管理系统实施保护是大多数数据库系统安全保护所依赖的手段。假如数据库管理系统具有强大的安全机制,那么数据库系统的安全性就有较好的保障。然而,相对于网络安全风险来说,数据库管理系统保障安全的功能还比较弱,这便使得数据库系统存在相当大的安全风险。在操作系统环境下,数据库系统通常以文件形式存在,因此,操作系统存在的漏洞就可以直接被入侵者利用,成为窃取数据库文件的隐蔽通道。还有的入侵者利用OS工具非法篡改、伪造数据库中的数据。此类安全风险通常很难被数据库使用者发现,这便给分析和堵塞此类风险造成了一定障碍。此风险的有效解决办法之一就是应用数据库管理系统中的层次安全技术,应用此项技术,就算是之前提到的安全防范措施被黑客突破,数据库的安全依然是有保障的。这样一来,具有完整的安全机制和补救措施就显得十分重要。解决这一问题的有效方法之一是数据库管理系统对数据库文件进行强密码加密,这样一来,即便重要数据被窃取或丢失,也使得真实的信息不易被人读取[5,6]。
2.3数据库的安全保护技术
目前用于网站的数据库管理系统有Acess、MicorsoftSQLServer、Oracle、Sysbase、MySQL等技术。对于采用何种数据库管理系统取决于网站的需要和所采用的服务平台,本文以服务平台为Windows环境下某数据库管理系统为例进行讨论。操作系统是信息系统的软件环境基础,它要达到计算机操作环境配置的基本安全要求,并对数据库所使用软件的安全风险进行测评和风险评估(如系统中的PHP及ASP脚本等),此类安全问题在众多基于数据库的网络应用中较为常见。针对脚本的安全措施,最重要的是做好信息过滤,要将诸如“,‘;/”等字符进行过滤,禁止黑客制作出恶意程序。下载地址分别为:/sql/downloads/***/sql.asp和/sql/downloads/***/sp2.asp。
2.3.1安全的加密措施
数据库安全配置的第一步就是采取安全加密措施。许多数据库的帐号和密码都非常简单,这一使用习惯经常导致数据库安全风险和数据库失泄密现象的发生。对此,系统管理员(SA)要引起足够的重视。另外,密码的及时更换也是安全保护很重要的一环。
2.3.2保证帐号的安全
由于SA用户名无法用SQLServer工具修改,但对SA实施删除也将导致系统出现问题,因此,管理员的帐号所采用的密码强度必须达到较高强度,且数据库管理员帐号必须在严格授权的情况下使用。由于操作系统自身存在的安全风险,有些数据库管理员会绕过操作系统登入数据库,那么就可能会选择将系统帐号“BUILTIN\Administrators”删掉。但是,这样一来,如果数据库管理员使用的SA帐号遗失,便难以再恢复出相关数据。从目前来看,许多将主机用于数据库平台的用户只实现了简单的查询、修改数据和信息的功能,用户应该根据现实要求做好帐号的分配,并为用户设定只能满足业务应用需求的最低权限。例如只用于信息、数据查询的系统,使用具有public权限的帐号就能满足,例如使用SQL语句对‘user’进行权限修改。sp_addrolemember‘user’,’public’
2.3.3登录日志的审核要加强
管理员要经常审核日志中的登录成功和失败的情况。定期审核SQLServer日志,及时发现可疑的登录行为,键入命令:findstr/C:”登录”d:\MicrosoftSQLServer\MSSQL\LOG\*.*
2.3.4扩展存储过程要可控
在多数应用中不需要使用太多的系统存储过程,过多的存储过程可能被人用于攻击测试和提升使用权限,用户可根据自身需要删除不必要的存储过程。例如,对不需要扩展存储过程xp_cmdshell时,使用SQL语句将其删除。UsemasterSp_dropextendproc’xp_cmdshell’Sp_cmdshell是进入操作系统的最佳捷径,是数据库留给操作系统的一个大后门。当需要存储过程时,用下面句子进行恢复:Sp_addextendeproc’xp-cmdshell’,’xp_sql70.dll’另外,还要确认相关被删除程序的作用,否则可能会对数据库的使用和应用程序造成损害。
2.3.5使用安全协议
当数据进行传输时,需要能够对数据提供足够的安全保护的机制,并要平衡安全性和系统消耗,已达到合理的数据保密性、完整性和可用性要求。根据这种要求,系统的使用单位要签署一份安全协议,该协议在提供数据加密服务的同时,还应保证桌面数据和网格数据的分散,并为异构的存储单元提供服务节点。举例说明,在某数据单元中,文件f被分解成n段后,经过签署并发送到m个终端上,每台终端得到一个片段,通过对任意一个片段的访问,用户可以重建f(m≤n)。
2.3.6数据库防注入技术
可以通过以下方法从最大程度上防止注入的发生:
1)替换或删除敏感字符或者字符串。可以对用户输入进行过滤,对单引号、双引号以及“——”等符号进行过滤。例如:将单引号转换为两个单引号:aa=replace(aa“,'”“,''”)
2)对SQLServer进行必要的安全配置,在服务器正式处理之前对提交数据的合法性进行检查。
3)改变SQLServer的端口号。目前针对SQLServer的攻击主要扫描的是1433端口。因此可以改变其默认端口号,这样虽然不能从根本上解决问题,但可以防止一般的端口扫描[4]。
电子政务的安全范文第4篇
关键词:电子政务;云平台;信息安全
中图分类号:TP399 文献标识码:A 文章编号:1006-8937(2014)2-0074-02
电子政务云是现代政府办公理念与大型计算中心系统有机结合的产物,其本质并非是“电子”而是“政务”,云计算与网络技术的运用仅仅只是服务型政府精简工作并实现其政务高效与系统化的手段。电子政务云安全性方面的目标是确保各类数据在采集、存储、挖掘处理、共享传播等过程中不遭到攻击、窃取或篡改,以保证信息的完整性、真实性、可用性和可控性。
1 电子政务云技术存在的安全问题
当前我国电子政务云平台的信息安全问题主要可以归纳为以下几个方面:
①目前国内尚缺乏具有自主知识产权的基础信息设备和技术产品,大量核心技术设备依赖于进口,其中绝大部分都是美国技术公司所研发生产的。例如:VMware“威睿”全球数据中心虚拟解决方案的领导厂商,Cisco“思科”互联网解决方案领导提供者,Microsoft“微软”世界软件开发的先导、Intel“英特尔”全球最大的半导体制造商等。我们从硬件到软件的诸多技术方面都受制于人,缺乏自主的设备和技术必然会给国家政务工作带来极大的安全隐患。一旦真的受到国外的限制,则我国整体计算机系统随时都可能面临崩溃的境地。
②当前互联网上违法犯罪活动和敌对势力的破坏事件频发,而国内相关部门网络安全意识还较为淡薄,也为电子政务工作瞒下了安全隐患。政府部门仅重视了网络的系统建设,看重网络带来的便利和高效,但往往却忽视了信息工作的安全性。当前,电子政务云的开放程度有限,主要的行政工作还是以原始的公文形式进行处理,而且广大民众对网络技术犯罪的认识还比较模糊,由于该类犯罪尚未造成较大损失,于是人们对之表现出的态度也较为“温和”,政府工作人员和人民群众对网络数据信息安全意识还没有上升到应有的高度。
③管理机制和相关法规的不健全也很大程度上限制了电子政务安全防范的力度。相关部门往往只将管理的重心集中在对行政人员的人力资源管理方面,而对电子政务云的技术结构管理却存在漏洞或缺陷。云平台的建设处于各自为政的状态,缺少一个统一的管理机构,项目之间“孤岛效应”明显。这方面的工作主要依靠工程承接方来负责,且依旧存在各种全责划分不明的问题。如果安全措施不落实到位,网络安全没有从管理制度上建立相应的防范机制,则电子政务云工作的开展将无法得到最基本的安全制度保障。
2 电子政务云平台信息安全的影响因素分析
电子政务云平台信息安全的影响因素可分为人为与非人为两方面。人为原因主要是指个人或团体有规划性的对网络信息进行恶意攻击和破坏的行为,包括有黑客对网络的攻击入侵、对机密文件的窃取、计算机病毒的传播等;而非人为因素主要包括不可抗拒的自然灾害和现阶段受到技术局限的问题等。
2.1 影响电子政务云信息安全的人为原因
电子政务云信息安全的主要威胁来自于人为原因。系统的入侵者可能因为恶意报复、表现自我突破安全技术、敌对势力的间谍行为或非法谋取经济利益等。攻击者通过编写病毒代码入侵电子政务网络系统,而后病毒代码自我复制传播,进而导致系统瘫痪或成为僵尸寄宿主机。这方面的人为原因可以从内部因素和外部因素两个方面具体展开分析:
①内部因素主要是指内部拥有政务云的合法访问权及管理权限的工作人员对其施予的直接影响。由内部因素引发的信息安全问题可分为恶意和无意两种。恶意是指带有现实目的有规划的对电子政务云平台实施的攻击;无意指的是工作人员因疏忽大意或工作能力的欠缺而造成的危害,如未经授权的连接、权限欺骗等情况的发生。政府重要数据泄露的隐患往往都归结为无意的数据破坏和损坏造成的,工作人员不谨慎的操作、或因技术经验欠缺等原因造成的错误操作,都可能导致一系列的安全问题。
在电子政务云信息化的过程中,行政机构主要关注的是技术、设备的效能,但是对其安全问题影响因素进行安全管理的作用尚缺乏应有的重视。管理人员工作不严谨、制度法规不健全或执行力度不够都是电子政务安全工作中的严重问题。为确保电子政务信息化的和谐发展,管理部门务必要建立严密的制度保障体系,实时监控检测系统运行状况,并努力提高工作人员的职业素养,最大限度的保障电子政务云的安全运行。
②基于网络攻击、入侵事件的报告显示:国外政府入侵的安全风险指数为21%,黑客入侵的安全风险指数为48%,竞争对手入侵的安全风险指数为72%,对组织不满的内部雇员入侵的安全风险指数为89%。以上数据充分说明电子政务云的安全并不仅仅表现为技术方面的问题。不完善的管理制度、安全检查措施欠缺等,都可能导致看似坚固的堡垒出现各式各样的问题,尤其是日常管理中的疏忽,比如,机房重地没有设立严格的等级制度与划分,而是随意的进行操作,管理监控人员擅离岗位或未按照标准执行操作,机要信息随意存放在电脑磁盘上,这都为政务云的安全埋下了隐患。如果攻击者伪装IP地址或者利用僵尸主机对政务云实施攻击,篡改政务网站信息,势必造成极其恶劣的社会影响。而且,在现实世界中,内部潜在的安全威胁更大,由于内部人员熟知系统的整体构造与细则,且能掌握各级人员的工作规律,可能攻击者自己就具有管理员权限,对某些信息具有一定的操作权限,对内部系统能进行更深入的网络刺探、暴力破解等都更为便利,于是对系统可能造成更加深层次的破坏。
2.2 影响电子政务信息安全的非人为因素
危害信息系统安全的非人为因素主要来自自然灾害和技术上的局限,其中由于受到技术局限导致的漏洞所带来的威胁表现得更为频繁且严重,具体而言,当前物理自然环境涉及网络系统的可用性、完整性和保密性,其对信息处理设备构成的威胁主要包括:未经授权的访问和资源窃取、电源干扰、电磁辐射、化学影响、爆炸、火灾、灰尘、振动等。另一方面,技术受限将导致系统的漏洞和缺陷,如系统、硬件、软件的设计等。典型的漏洞包括软硬件的总体设计漏洞、配置漏洞、实现漏洞、系统漏洞等。
3 提升电子政务云信息安全性的对策
政务云系统的高度复杂性和技术的高速发展变化,决定了政务系统的安全技术问题必然越来越受到重视。提升电子政务信息安全性的对策好比指导进行电子政务信息安全之战的战略方针,需要负责组织、协调、指挥各方面的力量来共同维护电子政务信息系统的安全。加强网络通信技术的安全性、降低政务信息系统的风险,需要从以下几个方面着手。
3.1 提升电子政务工作人员信息安全意识
提高培养政府政务工作人员对网络安全的意识,在日常工作中能自觉地按照标准政务信息安全规范的执行各项操作,使其具备良好的信息安全意识。在培养过程中应注意:首先,应充分利用当前先进的科技力量,并通过各种媒介途径媒体积极地宣传信息安全的重要性,如报刊,杂志,网络等。其次,邀请相关专业导师对工作人员加以多种形式的指导培训。再次,制定研究周密的安全策略,使责任明确且细化,将安全工作落实到人,且做到权责清晰和权责一致。
3.2 建立健全完善的电子政务云信息安全管理机制
首先,政务云平台应严格按照国家法律法规对机密事件实行分级分类保护,确保重要信息安全责任具体化、细致化,做好数据的隔离控制,进一步保障数据的完善安全。其次,为减少对电子政务信息系统安全构成危害的物理自然安全因素,就应当创造一个良好的环境,满足系统适宜的物理条件,并且做好异地的容灾备份工作,从而将这些危害因素降至最低。此外,还需要不断完善加密技术,并充分利用与政务云相适应的技术(包括用户身份的验证、网络的安全认证、主机的物理隔离、内容信息的分级管理、底层操作系统的安全、通讯线路的安全等),以便为政务云平台的安全运行提供有力的保障。
3.3 大力发展拥有自主知识产权的安全产业
网络通信产品的自主研发已成为信息安全防范的核心。目前,我国的主要软硬件技术主要依赖西方国家,这极大的威胁了我国的信息安全利益。于是,有必要投入科技发展资金,积极推进国内软硬件技术水平,使国内自主研发产品能逐步替换国外同类产品,信息安全产业的发展已成为关乎国计民生的大问题。我们可以积极朝这样几个方面去努力:一是能改善信息安全的现状、使用大众化的关键技术;二是努力增强国有创造性实力,从而实现技术上的突破;三是要能独立研发核心战略性技术设备,如CPU和数据加密芯片等。在不断提升技术研发实力的同时,还需要做到信息技术的多元化与综合化,以更好的保障电子政务云的安全和稳定。
当前,我国电子政务云正以惊人的速度发展,特别是发达地区。公安、工商、物价局等多种部门对电子政务云的使用已相当普遍。电子政务云是政府信息资源建设的组成部分,是对政府信息资源进行深度开发和广泛利用,促进政府体制改革和职能转变的一个有效手段。于是我们应在这个过程中我们更应该注意政务信息的保密与安全问题,提升对信息安全方面的人力与财力的投入,始终坚持独立自主的研发路线,增强国家电子政务工作的信息安全性,打造健全稳定的电子政务云平台,提高公众的满意度。
参考文献:
[1] 刘菡.电子政务的规划与实践[M].北京:中国时代经济出版社,2006,(5):127.
电子政务的安全范文第5篇
此次重庆试点的最大特点就是建立了数据大集中模式下的安全保障体系。正是因为其数据大集中的特点,确立了体系的思想是以安全管理为龙头、以技术保障为支撑、以运维服务为基础,其主要组成部分是“面向业务拓展的安全管理体系”、“面向数据安全的技术保障体系”和“面向服务连续性的安全运维体系”。
作为试点之一的重庆市工商管理局的规模大概有1万多工作人员、44个区县分局、400多个工商所,拥有5000多台计算机和网络设备,而数据库是大集中、大联网的。正是由于这种数据大集中所带来的业务大辐射、大交叉,使得安全管理也呈现出更加复杂的结构。
所以首先就是要搞清数据资源的需求,明确各自的实施范围。重庆市工商局在解决业务开展中遇到的问题的过程中形成了“以信息安全主管职能部门为主导、数据大集中部门为主体、专业技术机构为支撑”的安全管理模式。
其次,将数据安全保障的重点进行排序,将“数据完整性”和“数据/系统可用性”放在了首要的位置,然后是与试点单位“业务敏感性”相关的“数据机密性”。将这三个保障目标分别映射到“数据安全”、“应用安全”、“主机/平台安全”、“网络安全”和“物理安全”五个技术领域。
最后,就是要保障数据大集中信息系统提供的各项服务具有连续性。数据大集中带来的是数据越集中,电子政务工作对信息系统的依赖性越强,连续工作的要求就越高,所以一定要保证它的连续性。
另外,重庆在试点中总结了一套系统工程实施的方法。其中“三分析一筛选”方法是为了区分同属数据大集中模式,但处于不同发展阶段的电子政务系统,主要方法是“依次分析数据特征、业务特征和应用需求,然后筛选安全保障措施”。
而风险评估是等级保护的起点和依据,风险评估与等级保护之间的内在联系是重庆市试点的重要任务之一。在试点工作中将信息安全风险评估的三个流程“资产识别”、“安全威胁分析”和“系统脆弱性评估”与电子政务信息安全等级保护的三个阶段“进行定级”、“规划与设计”和“实施、验证与运维”进行嫁接,摸索出了一条“123Y立方”工程化实施的方法。
实施效果
1.重庆工商模式
实现了在全市工商系统从市局到44个区县分局、400多个工商所的三级联网和区县分局两级数据库,建成了包括办公OA系统、业务管理系统、电子档案查询系统、12315综合指挥调度中心、财务综合管理系统和重庆工商红盾网、重庆企业信用网两个网站在内的六大网络应用平台。
