電子政務(wù)的安全風(fēng)險范文

時間:2023-06-08 17:38:50

導(dǎo)語:如何才能寫好一篇電子政務(wù)的安全風(fēng)險,這就需要搜集整理更多的資料和文獻(xiàn),歡迎閱讀由公務(wù)員之家整理的十篇范文,供你借鑒。

電子政務(wù)的安全風(fēng)險

篇1

關(guān)鍵詞:電子信息安全;電子政務(wù);風(fēng)險評估;風(fēng)險管理

一、電子政務(wù)信息安全風(fēng)險的來源

以Internet為代表的計算機網(wǎng)絡(luò)本身就存在安全隱患是毋庸置疑的,加之電子政務(wù)系統(tǒng)對Internet的依賴性及其自身的特殊性決定了其安全問題的多層次性、重要性和迫切性。

二、電子政務(wù)信息安全風(fēng)險的評估

(一)風(fēng)險評估的幾種基本方法

第一,定量評估方法。定量的評估方法是指運用數(shù)量指標(biāo)來對風(fēng)險進(jìn)行評估。定量方法的優(yōu)點是,傳遞的信息量大。其缺點是,量化使本來比較復(fù)雜的事物簡單化、模糊化了,有的風(fēng)險因素被量化以后還可能被誤解和曲解。第二,定性評估方法。定性的評估方法主要依據(jù)研究者的知識、經(jīng)驗、歷史教訓(xùn)、政策走向及特殊變例等非量化資料對系統(tǒng)風(fēng)險狀況做出判斷的過程。定性評估方法的優(yōu)點是可以挖掘出一些蘊藏很深的思想,使評估的結(jié)論更全面、更深刻;但它的主觀性很強,對評估者本身的要求很高。第三,定性與定量相結(jié)合的綜合評估方法。風(fēng)險評估是一個復(fù)雜的過程,需要考慮的因素很多,有些評估要素是可以用量化的形式來表達(dá),而對有些要素的量化又是很困難甚至是不可能的,所以應(yīng)采用定性與定量相結(jié)合的評估方法。定量分析是定性分析的基礎(chǔ)和前提,定性分析則是靈魂,是形成概念、觀點和得出結(jié)論所必須依靠的。

三種風(fēng)險評估的分析方法如下圖所示:

(二)電子政務(wù)信息安全風(fēng)險評估方法

在電子政務(wù)風(fēng)險評估中,OCTAVE方法得到較多應(yīng)用。然而,OCTAVE是一個相對不太靈活的評估方法。在此方法的實施過程中,只提供一種原則,選擇一個目標(biāo),建立一個工作小組。一旦選取了原則,其他的工作組也必須使用已經(jīng)存在的原則去處理他們所面對的問題。然而每一個小組的運行模式也許是不同的,一些會注重數(shù)量,而另一些會注重質(zhì)量。杜人杰以改進(jìn)的OCTAVE方法為起點,結(jié)合AHP與FTA提出了電子政務(wù)信息安全的三元集成方法,對單純的OCTAVE方法進(jìn)行了改進(jìn)。湯志偉提出采用“可操作的關(guān)鍵威脅、資產(chǎn)和弱點評估”模型作為理論依據(jù),利用層次分析法確定權(quán)數(shù),以主觀概率來描述指標(biāo)的隸屬度,建立了電子政務(wù)信息系統(tǒng)風(fēng)險的模糊綜合評估方法。

此外,應(yīng)用集成的風(fēng)險研究方法也被應(yīng)用到電子政務(wù)中。此方法將網(wǎng)絡(luò)系統(tǒng)中的安全防護(hù)分為兩個方面:一是網(wǎng)絡(luò)系統(tǒng)中存儲和傳輸?shù)男畔?shù)據(jù);二是網(wǎng)絡(luò)系統(tǒng)中的各類設(shè)備。這樣,既保證了政務(wù)業(yè)務(wù)的正常運行,同時又防止信息數(shù)據(jù)被非授權(quán)訪問者的竊取、篡改和破壞。應(yīng)用集成的研究方法只是從微觀上進(jìn)行了評估,將絕大部分注意力主要集中在來自硬件等技術(shù)層面的風(fēng)險,沒有把重點放在管理上。

三、電子政務(wù)信息安全風(fēng)險的管理策略

(一)樹立政務(wù)安全的基本觀念,避免進(jìn)入“絕對安全”的誤區(qū)

安全的界定隨著時間、地點的不同而變化,信息安全是一種沒有底線的風(fēng)險游戲。對電子政務(wù)而言,系統(tǒng)的安全策略總不可能保證絕對的安全,因為對任何技術(shù)或安全策略來講,給人足夠的時間都是可以攻破的。因而,我們在進(jìn)行電子政務(wù)安全建設(shè)和管理中首先要樹立相對的安全觀,在現(xiàn)有條件下可以保證該保護(hù)的系統(tǒng)和信息資源的安全就是最好的安全。盲目追求“絕對的安全”,到頭來既會造成投資的浪費,也會使該保護(hù)的沒有保護(hù)好,無法發(fā)揮安全系統(tǒng)的最好效用。

(二)加強政府部門的管理職能,保障信息安全管理的有效性

政府相關(guān)部門應(yīng)當(dāng)聯(lián)合制訂信息化建設(shè)的網(wǎng)絡(luò)與信息安全專項資金政策,保證信息安全投資應(yīng)占總投資的 15%-25%之間;同時由政府制定強制性的網(wǎng)絡(luò)與信息安全裝備監(jiān)督檢查政策并進(jìn)行監(jiān)督檢查。要全方面地對信息安全服務(wù)商的資質(zhì)能力制訂相應(yīng)標(biāo)準(zhǔn)與行政監(jiān)管措施,推行安全服務(wù)資質(zhì)和進(jìn)入市場的信息安全產(chǎn)品和集成的信息化項目的強制性安全認(rèn)證。

(三)全面提高用戶自身管理水平,減少信息風(fēng)險的入侵

各部門、各行業(yè)、各單位等用戶是信息化建設(shè)的主體,也是網(wǎng)絡(luò)與信息安全保障體系建設(shè)的主體,能否全面提高用戶信息安全管理的意識和水平,決定著網(wǎng)絡(luò)與信息安全保障體系能否真正建成。要通過政府引導(dǎo),有關(guān)執(zhí)法部門加強管理和宣傳教育,促進(jìn)各類用戶建立信息安全管理機構(gòu),認(rèn)真執(zhí)行國家有關(guān)政策法規(guī),推行標(biāo)準(zhǔn)化,采用技術(shù)措施,制定規(guī)章制度,配備和培養(yǎng)有關(guān)人員,選擇合格服務(wù)商等,全面提高其安全管理水平。鑒于此,建立高水平的研究教育環(huán)境,加強信息安全基礎(chǔ)理論研究,培養(yǎng)大批高素質(zhì)的信息安全人才顯得尤其重要。

(四)重視安全風(fēng)險分析評估,做到“早發(fā)現(xiàn)早治療”

安全利益與風(fēng)險是整個網(wǎng)絡(luò)與信息安全保障體系的核心。只有了解、分析、評估和確定各部門、各行業(yè)、各單位的安全利益與風(fēng)險,包括確定其安全利益與風(fēng)險的大小,才能有效合理地配置有關(guān)技術(shù)、管理、人員等資源去實施保護(hù),才能合理確定所利用資源的多少和保護(hù)強度的高低等。因此,網(wǎng)絡(luò)與信息安全保障體系中最基礎(chǔ)的工作是建立信息安全利益與風(fēng)險分析評估體制。

參考文獻(xiàn):

篇2

1、從網(wǎng)絡(luò)層安全風(fēng)險角度。

電子政務(wù)的網(wǎng)絡(luò)層安全風(fēng)險主要體現(xiàn)在數(shù)據(jù)傳輸風(fēng)險、網(wǎng)絡(luò)邊界風(fēng)險以及網(wǎng)絡(luò)設(shè)備安全風(fēng)險等方面。在數(shù)據(jù)傳輸風(fēng)險中,往往存在業(yè)務(wù)數(shù)據(jù)泄露以及數(shù)據(jù)被破壞的情況。利用上下級網(wǎng)絡(luò)或同級局域網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳輸過程中由于包含相關(guān)的敏感信息或其他登錄通行字且缺乏專門控制數(shù)據(jù)的軟件與硬件,不法分子會采用不同的攻擊手段竊取或直接破壞數(shù)據(jù)信息。在網(wǎng)絡(luò)邊界風(fēng)險方面,由于電子政務(wù)中的網(wǎng)絡(luò)節(jié)點多為不可信任域,入侵者很可能利用Sniffe等程序?qū)ο到y(tǒng)中的安全漏洞進(jìn)行探測,并在此基礎(chǔ)上竊取內(nèi)部網(wǎng)中的用戶名或口令等信息,導(dǎo)致系統(tǒng)癱瘓的情況發(fā)生。同時內(nèi)網(wǎng)與外網(wǎng)的互通也是產(chǎn)生網(wǎng)絡(luò)邊界風(fēng)險的重要原因。在網(wǎng)絡(luò)設(shè)備安全風(fēng)險方面,主要體現(xiàn)在如路由器或交換機等設(shè)備方面,其安全性關(guān)乎電子政務(wù)系統(tǒng)的運行。

2、從物理層、系統(tǒng)層與應(yīng)用層角度。

電子政務(wù)系統(tǒng)中的物理層風(fēng)險主要指周邊環(huán)境對網(wǎng)絡(luò)或線路所造成的影響,如設(shè)備的毀壞、設(shè)備被盜或線路老化等情況,也存在自然災(zāi)害等對設(shè)備造成的破壞。通??衫梦锢砀綦x技術(shù)解決物理層風(fēng)險。而系統(tǒng)層的風(fēng)險主要指電子政務(wù)中的數(shù)據(jù)庫、操作系統(tǒng)以及其他相關(guān)產(chǎn)品使用中存在的病毒威脅以及安全漏洞等,是影響系統(tǒng)安全的重要因素。另外,應(yīng)用層安全風(fēng)險集中體現(xiàn)在非法訪問政務(wù)系統(tǒng);業(yè)務(wù)信息被修改;用戶口令的被盜取以及用戶的事后抵賴行為等方面,尤其電子政務(wù)系統(tǒng)對外開放的E-mail或DNS等服務(wù)都可能成為補發(fā)分子侵入的渠道。

3、從管理層安全風(fēng)險角度。

電子政務(wù)網(wǎng)絡(luò)安全的實現(xiàn)很大程度上依托于良好的管理方式。許多部門在進(jìn)行安全管理過程中存在的管理混亂、權(quán)責(zé)不明以及可操作性的缺乏都可能產(chǎn)生管理層面的安全風(fēng)險。另外管理過程中許多機房重地允許外來人員的自由出入,很可能使其中重要信息被泄露,其原因在于管理制度的匱乏。

二、電子政務(wù)網(wǎng)絡(luò)安全的完善措施

1、對安全服務(wù)設(shè)施的完善。

作為電子政務(wù)網(wǎng)絡(luò)安全的基礎(chǔ),安全服務(wù)設(shè)施應(yīng)逐漸完善。其作用主要體現(xiàn)在能夠為系統(tǒng)的運行提供可信任的網(wǎng)絡(luò)環(huán)境以及安全技術(shù)應(yīng)用的參考依據(jù)。因此需對其中的信任問題如可信的身份、網(wǎng)絡(luò)信任域、可信的數(shù)據(jù)以及可信的時間服務(wù)等存在的問題進(jìn)行解決。

2、安全技術(shù)平臺的構(gòu)建。

在網(wǎng)絡(luò)信任問題被解決的基礎(chǔ)上還需采取相應(yīng)的安全策略如通訊加密、掃描漏洞、檢測病毒與入侵、訪問控制等,以此使網(wǎng)絡(luò)安全環(huán)境得以保障。然而網(wǎng)絡(luò)環(huán)境安全的實現(xiàn)又需構(gòu)建安全技術(shù)平臺,其應(yīng)將電子政務(wù)中內(nèi)網(wǎng)、外網(wǎng)以及專網(wǎng)間的數(shù)據(jù)交換、對信任域的訪問控制、對內(nèi)部網(wǎng)Internet訪問策略、身份識別等內(nèi)容囊括其中,確保其能夠為安全技術(shù)提供支撐平臺,解決信息泄密與網(wǎng)絡(luò)空寂的問題。

3、響應(yīng)與恢復(fù)機制的建立。

由于電子政務(wù)系統(tǒng)中往往包含許多信息,在面對網(wǎng)絡(luò)攻擊、系統(tǒng)故障或自然災(zāi)害等情況下很容易出現(xiàn)丟失或損壞的情況,因此需構(gòu)建響應(yīng)與恢復(fù)機制,確保電子政務(wù)系統(tǒng)能夠在備份與恢復(fù)、大容量存儲、自動恢復(fù)機制以及存儲介質(zhì)等方面進(jìn)行完善。這樣才可將因數(shù)據(jù)信息丟失或被破壞所造成的損失降至最低程度。

三、結(jié)論

篇3

關(guān)鍵詞:電子政務(wù);安全管理;策略研究

中圖分類號:TP311 文獻(xiàn)標(biāo)識碼:A 文章編號:1009-3044(2014)05-1150-02

時代的發(fā)展促進(jìn)了科技的發(fā)達(dá),而科技的發(fā)達(dá)加速了社會的進(jìn)步,2010年我國出臺了基于互聯(lián)網(wǎng)的電子政務(wù)建設(shè)指導(dǎo)意見,這一標(biāo)準(zhǔn)的出臺給縣級電子政務(wù)建設(shè)帶來極大的推動力量,使得我國縣級電子政務(wù)建設(shè)出現(xiàn)了嶄新的局面,然而,值得關(guān)注的是良好的電子政務(wù)建設(shè)必須有全面、科學(xué)的統(tǒng)一規(guī)劃,高素質(zhì)的操作人員和安全保障體系,因此,面臨當(dāng)前縣級電子政務(wù)發(fā)展階段對安全管理的需求,深入探索有效的解決策略和創(chuàng)新方法具有十分重要的現(xiàn)實意義。

1 電子政務(wù)安全風(fēng)險特征分析

當(dāng)前電子政務(wù)安全風(fēng)險主要表現(xiàn)在兩方面:一是關(guān)于資產(chǎn)價值,二是互聯(lián)網(wǎng)的運行環(huán)境。根據(jù)這兩個主要因素可以分析當(dāng)前縣級電子政務(wù)安全風(fēng)險特征主要有以下幾點:

1)資產(chǎn)價值信息少

建立縣級電子政務(wù)體系,目的是保證政府職能部門政務(wù)公開,拓展政務(wù)公開渠道,然而在實際操作中公開信息多,而信息少,政務(wù)公開的目的是為廣大企業(yè)和公眾提供廣闊的信息渠道,然而實際上保密信息的內(nèi)容不多,起不到實際的價值和作用。

2)安全等級比較低

由于互聯(lián)網(wǎng)的大量使用,在電子政務(wù)安全管理中有害程序事件、互聯(lián)網(wǎng)攻擊事件、信息破壞事件、設(shè)備故障事件等多有可能隨時發(fā)生,但是由于縣級電子政務(wù)建設(shè)中安全管理措施還不完備,遇到這些問題缺乏相應(yīng)的處理經(jīng)驗和處理措施,往往會危害國家社會秩序和公眾利益,給電子政務(wù)建設(shè)帶來巨大影響。

3)安全需求性提高

對于縣級電子政務(wù)建設(shè)中,服務(wù)于民眾,為企業(yè)和公眾帶來便捷性的服務(wù)是重點,同時應(yīng)用是關(guān)鍵,只有合理而科學(xué)的應(yīng)用電子政務(wù)系統(tǒng),才能真正實現(xiàn)電子政務(wù)建設(shè)的出發(fā)點和最終目標(biāo),不能良好的應(yīng)用成為電子政務(wù)風(fēng)險的主要特征。

4)管理策略不完善

縣級電子政務(wù)管理中人員因素最為關(guān)鍵,電子政務(wù)的使用人員、計算機管理人員等,他們的專業(yè)水平和整體素質(zhì)極其相應(yīng)的安全管理意識等,都直接影響著安全管理結(jié)果,因此,人員的素質(zhì)是影響著管理策略的主要因素。

5)安全威脅在增加

由于互聯(lián)網(wǎng)本身安全機制比較薄弱,為了獲得某種利益有些人假冒身份,竊取口令,或者利用木馬或者病毒竊取信息,或者篡改主頁,造成網(wǎng)站信息混亂,有的竊取數(shù)據(jù),導(dǎo)致信息大量流失,或者服務(wù)窗口被劫持,在網(wǎng)站上出現(xiàn)的大量非法信息,給社會的安全穩(wěn)定帶來嚴(yán)重的影響,因此,縣級電子政務(wù)安全管理中,互聯(lián)網(wǎng)安全信息管理也是十分重要的因素。

2 縣級電子政務(wù)安全管理管理優(yōu)化策略

面對各種的安全風(fēng)險因素,電子政務(wù)安全保證是一個十分復(fù)雜而又重要的任務(wù),因此,不僅需要各個部門內(nèi)部進(jìn)行統(tǒng)一規(guī)劃,實施有效的配合管理,而且需要整個領(lǐng)域中形成良好的管理策略,探索先進(jìn)的技術(shù)方法。

1)提高認(rèn)證力度,實現(xiàn)安全監(jiān)督

對于電子政務(wù)系統(tǒng)來說,身份的識別十分關(guān)鍵,需要加強身份認(rèn)證服務(wù),建立健全電子政務(wù)業(yè)務(wù)實體定義的唯一電子身份標(biāo)識,只有通過這一標(biāo)識之后才能實現(xiàn)身份的認(rèn)證,這樣可以避免各種假冒身份者的侵入;其次,必須保證數(shù)據(jù)的完整,利用信息技術(shù)保證信息在收發(fā)雙方的一致性,保證信息的一致性目的是為了避免中途信息被修改的現(xiàn)象發(fā)生;另外,為第三方驗證信息的真實性和信息的完整性提供必要的證據(jù),這樣的規(guī)范是為了面對電子政務(wù)糾紛中法律證據(jù)提供必要的保證,利用第三方平臺來實現(xiàn)信息管理的完整性和嚴(yán)密性,當(dāng)然,第三方平臺由誰來管理,怎樣管理等都需要進(jìn)行更深入的探討,認(rèn)證中心建立必要的立項和審批需要公安信息網(wǎng)絡(luò)的審核,保證合法性。

2)提高人員素質(zhì),實現(xiàn)安全管理

對于電子政務(wù)維護(hù)中心來說,應(yīng)用程序的開發(fā)和利用,系統(tǒng)的運行和日常維護(hù)等都涉及到大量信息的安全性問題,其中主要涉及兩方面:一是信息技術(shù)的加強,一是信息人員的管理。尤其是人員的管理中,當(dāng)前電子政務(wù)建設(shè)雖然逐步走上正軌,但是操作人員信息技術(shù)水平不高,大專院校的信息技術(shù)專業(yè)畢業(yè)生較少,整體來看應(yīng)用系統(tǒng)利用不完善,人員技術(shù)水平較低,尤其是遇到一些關(guān)于安全領(lǐng)域較深層次的問題,操作人員常常束手無策,嚴(yán)重的影響了電子政務(wù)安全管理水平的提高和發(fā)展,因此,加強信息技術(shù)人才的引進(jìn)和培養(yǎng),是提高縣級電子政務(wù)安全管理的主要途徑。

3)完善安全制度,加強行政管理

為了提高縣級電子政務(wù)安全行政管理,需要從多方面加強機構(gòu)的組建和制度的完善,首先建立安全小組機構(gòu),通過組織機構(gòu)來實現(xiàn)統(tǒng)一的規(guī)劃管理,體制網(wǎng)絡(luò)系統(tǒng)不安全因素,完善各種安全策略和措施,進(jìn)行多方面安全事件的協(xié)調(diào)等,如人事的審查和任用,崗位職責(zé)的制定,工作情況的評價,各種培訓(xùn)事務(wù)等;同時,要建立健全安全責(zé)任制度,如系統(tǒng)運行管理責(zé)任制度、計算機控制管理制度、信息資料管理制度、監(jiān)督制度、病毒防護(hù)制度等,通過建立這些制度不斷加強工作人員的責(zé)任心和使命感,提高行政管理力度,不斷促進(jìn)電子政務(wù)建設(shè)的健康發(fā)展。

4)加強基礎(chǔ)建設(shè),提升技術(shù)管理

信息安全技術(shù)管理在縣級電子政務(wù)安全管理中具有十分重要的作用,可以從三方面進(jìn)行完善和加強。首先是加強硬件建設(shè),加強對計算機、網(wǎng)絡(luò)等設(shè)備的常規(guī)管理和保護(hù),避免因為火災(zāi)、水災(zāi)等自然災(zāi)害造成設(shè)備的損壞,保證設(shè)備的安全是加強電子政務(wù)安全管理的必要前提;其次,加強軟件管理,對于軟件應(yīng)用系統(tǒng)要注意升級與管理,避免被偽造、破壞和篡改等,保證儲存和操作的安全性;另外,對于系統(tǒng)的使用較強密鑰管理,對系統(tǒng)的備份、初裝、恢復(fù)等均采用科學(xué)而嚴(yán)密的操作,避免出現(xiàn)信息泄露現(xiàn)象發(fā)生。

3 結(jié)束語

總之,縣級電子政務(wù)安全管理工作十分重要,不僅關(guān)系到政府職能部門能否扮演好可以為社會當(dāng)好家、服好務(wù)的形象,同時也關(guān)系到企業(yè)和廣大民眾的切身利益,因此,必須加強縣級電子政務(wù)的安全管理,從人員、設(shè)備、應(yīng)用等多角度出發(fā),優(yōu)化管理措施,加強管理力度,促進(jìn)電子政務(wù)建設(shè)的良性發(fā)展。

參考文獻(xiàn):

[1] 李佳娜.電子政務(wù)安全風(fēng)險分析及解決方案[J].中小企業(yè)管理與科技:上旬刊,2010(9).

篇4

[關(guān)鍵詞]電子政務(wù);信息安全;工作模式;公共服務(wù)

doi:10.3969/j.issn.1673 - 0194.2016.20.093

[中圖分類號]D630 [文獻(xiàn)標(biāo)識碼]A [文章編號]1673-0194(2016)20-0-01

信息技術(shù)的發(fā)展給人類社會生活帶來了翻天覆地的變化,也開啟了政府公共管理與服務(wù)的新模式,“電子政務(wù)”成為受到政府部門追捧的新工作平臺,從概念上講,“電子政務(wù)是政府公共事務(wù)管理方式的革新,是政府等公共事業(yè)部門運用計算機、網(wǎng)絡(luò)和通信、互聯(lián)網(wǎng)等多種IT信息技術(shù)手段的業(yè)務(wù)管理模式?!彪娮诱?wù)相比于傳統(tǒng)的政務(wù)管理模式具有多方面的優(yōu)勢,是現(xiàn)代政府管理信息化、網(wǎng)絡(luò)化、透明化、民主化與服務(wù)性實現(xiàn)的重要手段和方式,公開、透明、有效與互動是電子政務(wù)的主要特點。

當(dāng)然,電子政務(wù)在改變政府工作模式,提高政府工作效率和公共服務(wù)效果的同時,也面臨著新問題和新挑戰(zhàn)。因為政府工作通過數(shù)字化、信息化的手段處理和表現(xiàn)出來,信息安全就成為了首先被關(guān)注到的問題。“信息安全指的是在信息技術(shù)的應(yīng)用過程中對信息技術(shù)和數(shù)據(jù)進(jìn)行的安全和保護(hù),防止計算機內(nèi)的數(shù)據(jù)因遭受惡意軟件的侵襲而造成泄露或者更改,維持計算及系統(tǒng)正常的運行?!毙畔踩珜τ陔娮诱?wù)的重要意義是不言自明的,因而,本文著重討論電子政務(wù)中的信息安全問題,并針對這些問題提出相應(yīng)的策略。

1 電子政務(wù)中的信息安全問題

1.1 電子信息技術(shù)本身存在的問題

電子信息技術(shù)本身存在著一些難以避免的安全漏洞?!败浖┒?、網(wǎng)絡(luò)數(shù)據(jù)系統(tǒng)漏洞等各個方面的漏洞還是給電子政務(wù)安全帶來了很多難以根除的安全缺陷?!边@些微不足道的瑕疵和漏洞,在政府電子政務(wù)數(shù)據(jù)庫系統(tǒng)和信息平臺中,可能就會造成不可估量的損失和傷害。應(yīng)該說,正是這些漏洞給了不法分子盜取、篡改數(shù)據(jù)信息的機會,由此帶來的風(fēng)險是政府內(nèi)部機密信息、文件的泄露或損失,為電子政務(wù)安全帶來極大的威脅和風(fēng)險。

當(dāng)然,僅僅是這些漏洞本身并不會造成重大安全事故,因內(nèi)部漏洞本身所帶來的系統(tǒng)脆弱性所給外部不法分子帶來的入侵的機會,才是信息安全問題產(chǎn)生的最直接原因?!罢娮游募藝一蚍切畔ⅲ?dāng)電子文件在網(wǎng)絡(luò)上傳輸時,特別是通過開放的因特網(wǎng)傳輸,很容易被他人非法截取,可能導(dǎo)致國家信息的泄漏、被刪除、被篡改,對國家的政治、經(jīng)濟、軍事、安全等相關(guān)利益造成損失?!?/p>

1.2 政府工作人員的信息安全意識欠缺

事實上,大多數(shù)政府工作人員對電子信息系統(tǒng)本身的安全問題和安全漏洞的了解并不深入,信息安全意識也不強,在日常工作行為上就會經(jīng)常出現(xiàn)一些安全失誤,或者由此增大電子政務(wù)中的信息安全風(fēng)險。例如:政府保密信息在網(wǎng)絡(luò)傳輸過程中不進(jìn)行加密,U盤、移動硬盤等設(shè)備在存有政府機密數(shù)據(jù)信息的電腦上使用,或者不對輸入的數(shù)據(jù)信息進(jìn)行加密備份,因誤刪數(shù)據(jù)導(dǎo)致信息缺失、不完整等。尤其是應(yīng)用政府內(nèi)部電腦登錄外網(wǎng),給整個電子政務(wù)網(wǎng)絡(luò)信息平臺帶來巨大的安全風(fēng)險。而這些問題,普遍不是政府工作人員蓄意所為,都是因信息安全意識的薄弱而造成的“不注意”“不小心”,卻可能導(dǎo)致嚴(yán)重的后果。

1.3 政府工作人員的技術(shù)能力尚待提高

應(yīng)該說,當(dāng)前,電子政務(wù)在中國已經(jīng)被廣泛使用和普及,但政府工作人員構(gòu)成卻依舊保持原狀。絕大多數(shù)政府工作人員都不具備足夠應(yīng)對信息安全風(fēng)險,處理緊急信息安全事故的專業(yè)知識和技術(shù)能力。政府工作人員是電子政務(wù)信息平臺中數(shù)據(jù)信息的輸入者、傳播者,卻不是信息系統(tǒng)的監(jiān)控者和維護(hù)者,大多數(shù)人的水平也只是停留在辦公系統(tǒng)應(yīng)用上,人員的專業(yè)素質(zhì)和技術(shù)水平還不能支撐起政府信息安全的維護(hù)。

2 應(yīng)對信息安全問題的策略分析

2.1 加強信息安全意識培養(yǎng)

第一,加強管理人員的信息安全意識培養(yǎng)。在政府中“上行下效”是非常重要的,管理人員的意識和行為對整個系統(tǒng)中的工作人員都有很大的影響。因而,加強管理人員的信息安全意識培養(yǎng)才有利于政府內(nèi)部相關(guān)工作開展的順利進(jìn)行。第二,加大宣傳教育力度。在政府中,應(yīng)用電子政務(wù)系統(tǒng)進(jìn)行工作最多的還是基層的工作人員,他們負(fù)責(zé)信息的錄入、保存、傳輸?shù)染唧w細(xì)致的工作,很多電子政務(wù)中的信息安全問題就是由這些工作人員的意識不強,經(jīng)?!安蛔⒁狻薄安恍⌒摹保J(rèn)為沒關(guān)系導(dǎo)致的。這些基層工作人員的意識欠缺,很多是由于認(rèn)知不足造成的,因而,加強宣傳教育就顯得十分重要。

2.2 注重技術(shù)能力的提升

技術(shù)能力提升來自于兩個方面,一方面,是在政府工作人員團隊配置上。從目前政府工作人員結(jié)構(gòu)上來看,從事電子政務(wù)工作的人員絕大多數(shù)都不是電子信息技術(shù)等相關(guān)專業(yè)出身,也很少有政府工作部門在每一個電子政務(wù)環(huán)節(jié)都配備相應(yīng)的懂技術(shù)的專業(yè)技術(shù)人員,因而,在未來的政府人員架構(gòu)上,應(yīng)注重向這個方向上的配備傾斜,使專業(yè)的信息安全工作能夠交給專業(yè)的技術(shù)人員進(jìn)行處理和解決。另一方面,從現(xiàn)實工作的角度上來講,每一個接觸到電子政務(wù)信息系統(tǒng)的工作人員都面對信息安全問題的挑戰(zhàn),系統(tǒng)脆弱性的客觀現(xiàn)實只能在技術(shù)發(fā)展問題中逐步得到解決,但舊的問題解決,新的來自外部的挑戰(zhàn)也會產(chǎn)生,因而,在客觀條件沒有辦法得到根本改善的情況下,提高所有從事電子政務(wù)工作的政府工作人員的信息安全維護(hù)技術(shù)水平就十分重要。公共部門也應(yīng)該想辦法進(jìn)行定期的培訓(xùn)工作,并通過技術(shù)比賽和應(yīng)急事件演練等方法,提升隊伍整體的技術(shù)能力。

篇5

關(guān)鍵詞:電子政務(wù)外網(wǎng) 安全管理平臺 SOC 安全策略

一、前言

國家電子政務(wù)外網(wǎng)作為一個支持跨部門和地區(qū)業(yè)務(wù)應(yīng)用、數(shù)據(jù)交換和信息共享的電子政務(wù)建設(shè)的新生事物,盡管其建設(shè)規(guī)模還不大,建設(shè)時間也不長,但在國家有關(guān)部門的指導(dǎo)和支持下,依靠各部委和各地的通力合作,它已經(jīng)充分展現(xiàn)了一個創(chuàng)新性網(wǎng)絡(luò)巨大的活力,開始得到了各部門和各地的重視和關(guān)注。目前,已有30多個部門的系統(tǒng)平臺接入政務(wù)外網(wǎng),例如國務(wù)院應(yīng)急辦國家應(yīng)急平臺外網(wǎng)系統(tǒng)、自然資源和地理空間基礎(chǔ)數(shù)據(jù)庫、文化部文化信息資源共享平臺等一批關(guān)系國計民生的重要系統(tǒng)接入政務(wù)外網(wǎng)。從政務(wù)外網(wǎng)建設(shè)及應(yīng)用情況來看,各部門對政務(wù)外網(wǎng)的需求是緊迫的,同時也對政務(wù)外網(wǎng)的安全性有了更高的要求。

二、國家電子政務(wù)外網(wǎng)安全管理平臺概述

如何對國家電子政務(wù)外網(wǎng)的安全進(jìn)行有效的管理,如何保證利用政務(wù)外網(wǎng)開展業(yè)務(wù)的應(yīng)用系統(tǒng)的安全性,是對負(fù)責(zé)政務(wù)外網(wǎng)網(wǎng)絡(luò)安全的人員管理能力的一種考驗。傳統(tǒng)的安全管理方式是將分散在各地、不同種類的安全防護(hù)系統(tǒng)分別管理,這樣導(dǎo)致安全信息分散、互不相通,安全策略難以保持一致。因此這種傳統(tǒng)的管理運行方式成為許許多多安全隱患形成的根源,很難對國家電子政務(wù)外網(wǎng)進(jìn)行統(tǒng)一的、有效的安全管理。

國家電子政務(wù)外網(wǎng)安全管理平臺(Security Operation Center,SOC)為電子政務(wù)外網(wǎng)制定統(tǒng)一安全策略、統(tǒng)一安全標(biāo)準(zhǔn),實現(xiàn)全網(wǎng)統(tǒng)一管理和監(jiān)控,保障電子政務(wù)外網(wǎng)安全、穩(wěn)定、高效地運行,實現(xiàn)政務(wù)外網(wǎng)基于安全的互聯(lián)互通。國家電子政務(wù)外網(wǎng)安全管理平臺實現(xiàn)了將不同位置、不同類型設(shè)備,不同安全系統(tǒng)中分散且海量的單一安全事件進(jìn)行匯總、過濾、收集和關(guān)聯(lián)分析,得出整個電子政務(wù)外網(wǎng)的全局安全風(fēng)險事件,并形成統(tǒng)一的安全決策對安全事件進(jìn)行響應(yīng)和處理,從而保障電子政務(wù)業(yè)務(wù)應(yīng)用系統(tǒng)的真實性、完整性和保密性。

三、國家電子政務(wù)外網(wǎng)安全管理平臺框架

國家電子政務(wù)外網(wǎng)安全管理平臺(SOC)的主要思想是采用多種安全產(chǎn)品的Agent和安全控制中心,最大化地利用技術(shù)手段,在統(tǒng)一安全策略的指導(dǎo)下,將系統(tǒng)中的各個安全部件協(xié)同起來,實現(xiàn)對各種網(wǎng)絡(luò)安全資源的集中監(jiān)控、統(tǒng)一策略管理、智能審計及多種安全功能模塊之間的互動,并且能夠在多個安全部件協(xié)同的基礎(chǔ)上實現(xiàn)實時監(jiān)控、安全事件預(yù)警、報表處理、統(tǒng)計分析、應(yīng)急響應(yīng)等功能,使得網(wǎng)絡(luò)安全管理工作由繁變簡,更為有效。

國家電子政務(wù)外網(wǎng)安全管理平臺(SOC)的體系架構(gòu)具備適應(yīng)性強(能夠適用于不同省級節(jié)點接入網(wǎng)絡(luò)和系統(tǒng)環(huán)境)、可擴充性強、集中化安全管理等優(yōu)點,其框架體系主要是為了解決目前各類安全產(chǎn)品各自為陣、難以組成一個整體安全防御體系的問題。真正的整體安全是在一個整體的安全策略下,安全產(chǎn)品、安全管理、安全服務(wù)以及管理制度相互協(xié)調(diào)的基礎(chǔ)上才能夠?qū)崿F(xiàn)。國家電子政務(wù)外網(wǎng)安全管理平臺(SOC)框架如圖1所示。

四、國家電子政務(wù)外網(wǎng)安全管理平臺的主要功能

國家電子政務(wù)外網(wǎng)安全管理平臺為系統(tǒng)管理員和用戶提供對系統(tǒng)整體安全的監(jiān)管,它在整個政務(wù)外網(wǎng)體系與各類安全技術(shù)、安全產(chǎn)品、安全防御措施等安全手段之間搭起橋梁,使得各類安全手段能與現(xiàn)有的國家電子政務(wù)外網(wǎng)應(yīng)用體系緊密結(jié)合而實現(xiàn)無縫連接,以促成網(wǎng)絡(luò)安全與國家電子政務(wù)外網(wǎng)應(yīng)用的真正一體化。目前,國家電子政務(wù)外網(wǎng)安全管理平臺基本實現(xiàn)了對國家電子政務(wù)外網(wǎng)中央城域網(wǎng)、廣域網(wǎng)骨干網(wǎng)的主要網(wǎng)絡(luò)設(shè)備、安全設(shè)備和網(wǎng)絡(luò)承載的業(yè)務(wù)系統(tǒng)的安全事件的管理,并具備監(jiān)控、預(yù)警、響應(yīng)、審計追蹤等功能。

圖2描述了國家電子政務(wù)外網(wǎng)安全管理平臺的功能框架。以下對其功能予以詳細(xì)闡述。

⒈統(tǒng)一管理

政務(wù)外網(wǎng)安全管理平臺(SOC)建立在安全設(shè)備部署的基礎(chǔ)之上,主要圍繞安全的預(yù)防、發(fā)現(xiàn)、反應(yīng)環(huán)節(jié)搭建,實現(xiàn)了安全預(yù)警、集中監(jiān)控、安全事件處理等更高層次的安全管理。這些建立在安全設(shè)備部署之上的安全管理包括:預(yù)防環(huán)節(jié)的安全預(yù)警信息通告,安全評估結(jié)果綜合分析的安全信息庫;發(fā)現(xiàn)環(huán)節(jié)的收集防火墻、入侵檢測、日志系統(tǒng)、防病毒系統(tǒng)中的有關(guān)安全事件,呈現(xiàn)安全告警的集中安全監(jiān)控系統(tǒng);反應(yīng)環(huán)節(jié)的以電子流的方式,進(jìn)行安全事件處理流轉(zhuǎn),保存安全事件處理經(jīng)驗的安全事件運行系統(tǒng)。

政務(wù)外網(wǎng)安全管理平臺(SOC)對各種安全產(chǎn)品的監(jiān)控和管理,可以利用各個安全子系統(tǒng)中已有的信息采集和控制機制來實現(xiàn),也可以采用直接與安全設(shè)備交互的方式進(jìn)行,主要取決于各個安全子系統(tǒng)自身的構(gòu)架以及提供的管理接口。

⒉安全事件實時監(jiān)控與實時通報

網(wǎng)絡(luò)安全工作的本質(zhì)在于控制網(wǎng)絡(luò)安全風(fēng)險,風(fēng)險管理是安全管理的核心??疾彀踩杀竞桶踩{后果之間的關(guān)系,以可接受的成本來降低安全風(fēng)險到可接受的水平。

國家電子政務(wù)外網(wǎng)上的各種安全設(shè)備和產(chǎn)品每天都要產(chǎn)生大量的各種安全事件。對這些事件的集中監(jiān)視是控制網(wǎng)絡(luò)風(fēng)險、保證網(wǎng)絡(luò)業(yè)務(wù)正常運行的重要手段。國家電子政務(wù)外網(wǎng)安全管理平臺專注于整個政務(wù)外網(wǎng)安全相關(guān)事件的實時監(jiān)控,收集并匯總重大安全事件的數(shù)據(jù)(如:大規(guī)模蠕蟲事件,重大攻擊事件等),進(jìn)行關(guān)聯(lián)性分析,全面提高對網(wǎng)絡(luò)事件的快速反應(yīng)能力;同時,將安全事件備份到后臺的數(shù)據(jù)庫中,以備查詢和生成安全運行報告。

安全事件通報與業(yè)務(wù)系統(tǒng)、工作流緊密結(jié)合。國家電子政務(wù)外網(wǎng)安全管理平臺在發(fā)現(xiàn)某政務(wù)外網(wǎng)業(yè)務(wù)系統(tǒng)內(nèi)出現(xiàn)安全事件后,還將及時把這些安全事件通知各業(yè)務(wù)系統(tǒng)的管理員以便及時予以處理。

⒊全網(wǎng)統(tǒng)一安全策略

對于電子政務(wù)外網(wǎng)的安全運行維護(hù),最具有挑戰(zhàn)性的莫過于保持全網(wǎng)策略的一致性。尤其是對于日新月異的網(wǎng)絡(luò)安全技術(shù),需要經(jīng)常性頻繁應(yīng)對出現(xiàn)的新漏洞,根據(jù)新的業(yè)務(wù)調(diào)整安全策略。

國家電子政務(wù)外網(wǎng)安全管理平臺支持統(tǒng)一、集成的策略管理,包括策略的制定、分發(fā)和策略執(zhí)行情況的檢查。安全策略管理包括設(shè)備安全策略、事件響應(yīng)策略和全局安全策略等。

統(tǒng)一安全策略管理制訂全網(wǎng)的安全策略,這些策略文件可下發(fā)給各相關(guān)部門,通過直接(也可以手工)的方式進(jìn)行配置落實。策略的管理能夠通過全局策略的調(diào)整、業(yè)務(wù)的變化、各網(wǎng)管和部門反饋來的意見等情況,不斷調(diào)整、優(yōu)化安全策略。

⒋基于角色的安全事件可視化

國家電子政務(wù)外網(wǎng)安全管理平臺提供統(tǒng)一的安全管理,并為不同級別和性質(zhì)的管理員提供不同層次和性質(zhì)的管理視圖。由于電子政務(wù)外網(wǎng)內(nèi)部網(wǎng)絡(luò)系統(tǒng)是一個復(fù)雜的分布式大規(guī)模網(wǎng)絡(luò),因此核心層、分布層以及接入層的網(wǎng)絡(luò)管理員具有不同的職責(zé)。系統(tǒng)不但能夠提供運行核心層的管理員對所有安全系統(tǒng)宏觀的管理視圖,也能夠為各地主要業(yè)務(wù)網(wǎng)絡(luò)的管理員對自己管轄區(qū)域內(nèi)的安全設(shè)備和安全系統(tǒng)部件進(jìn)行區(qū)域自治管理,此外,還能夠通過安全管理平臺(SOC)對分布于整個網(wǎng)絡(luò)的某個安全子系統(tǒng),進(jìn)行整體安全策略的發(fā)放和狀態(tài)監(jiān)測及管理。

安全管理平臺(SOC)根據(jù)需要設(shè)置可視化條件,實時在全網(wǎng)拓?fù)鋱D中顯示最重要的多組事件,包括設(shè)備名稱、事件定位、風(fēng)險概況、脆弱性等信息(如圖3所示)。

⒌安全事件關(guān)聯(lián)分析

安全管理平臺(SOC)要對各個不同安全設(shè)備(入侵檢測、漏洞掃描、防火墻等)報告的安全信息進(jìn)行集中的數(shù)據(jù)挖掘和分析,進(jìn)行全局的相關(guān)性分析和報表顯示,以發(fā)現(xiàn)低級安全事件相關(guān)聯(lián)后表現(xiàn)出的高級安全事件,以及異常行為之間、漏洞和入侵之間的對應(yīng)關(guān)系,便于對攻擊的確認(rèn)和安全策略的調(diào)整。國家電子政務(wù)外網(wǎng)安全管理平臺目前支持基于規(guī)則的關(guān)聯(lián)分析、基于統(tǒng)計的關(guān)聯(lián)分析和基于漏洞的關(guān)聯(lián)分析等3種形式。根據(jù)此關(guān)聯(lián)分析的功能,結(jié)合國家電子政務(wù)外網(wǎng)的業(yè)務(wù)應(yīng)用系統(tǒng)的事件特征,通過分析與制定安全域與業(yè)務(wù)安全控制策略和基于業(yè)務(wù)應(yīng)用的流程異常監(jiān)控,制定相關(guān)的特定關(guān)聯(lián)分析規(guī)則,配合事件監(jiān)控、拓?fù)涔芾砑熬C合顯示等方面的內(nèi)容,從而實現(xiàn)國家電子政務(wù)外網(wǎng)業(yè)務(wù)安全監(jiān)控及追蹤功能的事件定位。

⒍宏觀分析與安全決策支持

安全管理平臺(SOC)應(yīng)支持對各安全設(shè)備上報的所有安全數(shù)據(jù)進(jìn)行宏觀統(tǒng)計、分析和決策支持。宏觀統(tǒng)計分析主要是在大量數(shù)據(jù)的基礎(chǔ)上,對安全事件進(jìn)行綜合分析,比如將攻擊信息和安全漏洞信息關(guān)聯(lián)起來,產(chǎn)生詳盡的安全報告,提供安全決策支持,強有力地支持全網(wǎng)安全事件的及時發(fā)現(xiàn)(檢測)、準(zhǔn)確定位(追蹤)、盡快處理(應(yīng)急響應(yīng))、進(jìn)一步防范(預(yù)警)以及全網(wǎng)安全策略制定(策略)。國家電子政務(wù)外網(wǎng)運行維護(hù)管理員根據(jù)宏觀分析提供的全局安全狀況和安全態(tài)勢信息,并結(jié)合電子政務(wù)外網(wǎng)的管理體系、人員管理規(guī)章制度、管理流程以及行政管理規(guī)定,為針對安全事件的處理決策提供支持。圖4、圖5展示了安全管理人員可以借助安全管理平臺展示的全方位安全信息對政務(wù)外網(wǎng)的安全態(tài)勢進(jìn)行宏觀把握,為決策提供支持。

⒎安全事件全局預(yù)警

對于像沖擊波、紅色代碼等危害較大的網(wǎng)絡(luò)蠕蟲的較大規(guī)模入侵,從一個地區(qū)向另一地區(qū)滲透可能有一定的延時。在這段延時期間,安全管理平臺(SOC)有義務(wù)將這種警報到尚未受攻擊的區(qū)域中去,以起到提前布防的預(yù)警作用。

國家電子政務(wù)外網(wǎng)安全管理平臺接到的報警如果符合提前設(shè)定的全局預(yù)警范圍,則將其下發(fā)到非來源的省級政務(wù)網(wǎng)絡(luò)中心,結(jié)合報警信息轉(zhuǎn)發(fā)及上傳的功能,實現(xiàn)這一報警事件下發(fā)到所有省級政務(wù)外網(wǎng)結(jié)點(如圖6所示)。

⒏安全事件知識庫

為了實現(xiàn)安全事件的集中收集、記錄、審計和流程化處理(集中、分類、入庫、處理),共享最新安全知識,保證國家電子政務(wù)外網(wǎng)安全人才的儲備,安全管理平臺(SOC)建立安全事件知識庫。知識庫將國家電子政務(wù)外網(wǎng)各級安全管理平臺的安全管理信息收集起來,為國家電子政務(wù)外網(wǎng)各級安全維護(hù)人員形成統(tǒng)一的安全共享知識庫,以完成安全信息管理和WEB,主要實現(xiàn)安全管理信息、安全事件庫、安全策略配置庫、安全技術(shù)信息交流、處置預(yù)案庫、補丁庫、安全知識庫等欄目的信息管理和瀏覽。安全管理員可以通過安全知識庫的輔助工具學(xué)習(xí),了解相關(guān)知識,輔助進(jìn)行運維工作。圖7是一個安全知識庫的截屏。

五、國家電子政務(wù)外網(wǎng)安全管理平臺的部署

根據(jù)國家電子政務(wù)外網(wǎng)安全管理平臺的組成,政務(wù)外網(wǎng)安全管理平臺最終建成分層分級結(jié)構(gòu):頂級為國家級安全管理平臺,第二級為省部級安全管理平臺,第三級為縣市級安全管理平臺。各級網(wǎng)絡(luò)安全管理中心負(fù)責(zé)對本級電子政務(wù)外網(wǎng)實施安全監(jiān)控和集中管理。上級網(wǎng)絡(luò)安全管理中心可對下級網(wǎng)絡(luò)安全管理中心進(jìn)行統(tǒng)一安全策略、運行狀態(tài)監(jiān)控、安全信息收集等操作。下級網(wǎng)絡(luò)安全管理中心可接受上級網(wǎng)絡(luò)安全管理中心的安全預(yù)警信息。國家電子政務(wù)外網(wǎng)安全管理平臺整體部署如圖8所示。

在部署政務(wù)外網(wǎng)各級安全管理平臺過程中,涉及兩類下級安全管理平臺:一是新建的安全管理平臺,另一類是已建的安全管理平臺。對于新建的安全管理平臺在接入上級安全管理平臺時將在統(tǒng)一設(shè)計、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一技術(shù)規(guī)范、統(tǒng)一部署的原則下進(jìn)行建設(shè),與上級安全管理平臺實現(xiàn)平滑和無縫對接。

部分電子政務(wù)建設(shè)比較好的省市,可能已建成安全管理平臺。在這種情況下,由于早期建設(shè)的安全管理平臺沒有統(tǒng)一的標(biāo)準(zhǔn)和規(guī)范,在管理對象、管理方式、協(xié)議支持等方面不盡相同,所以此類安全管理平臺不能直接與國家級安全管理平臺進(jìn)行對接。因此需要針對不同的安全管理平臺進(jìn)行調(diào)研和分析,本著最小改造的原則,為其增加設(shè)備,通過機制實現(xiàn)其與上級安全管理平臺的對接。

六、總結(jié)

目前,國家電子政務(wù)外網(wǎng)中央安全管理平臺的建設(shè)已基本建設(shè)完畢。通過幾個月的建設(shè)工作,安全管理平臺的實施為國家電子政務(wù)外網(wǎng)的安全運轉(zhuǎn)提供了良好的保障。首先,國家電子政務(wù)外網(wǎng)安全管理平臺提升了信息安全事件的處理水平。因為大量的安全事件通過安全管理平臺的過濾、歸并和排序后,降低到一個人工能夠處理的數(shù)量級。另外,安全管理平臺(SOC)自帶的專家知識庫能夠幫助平臺管理員正確地處理事件,減低了安全技術(shù)的門檻,為運維人員提供了有力的技術(shù)支持。其次,國家電子政務(wù)外網(wǎng)安全管理平臺提供了良好的可視化技術(shù),用圖形化的方法向管理員展示了整個國家電子政務(wù)外網(wǎng)的安全整體狀況,便于管理員從宏觀上對全網(wǎng)的安全態(tài)勢進(jìn)行整體把握。

綜上所述,國家電子政務(wù)外網(wǎng)安全管理平臺的實施是針對政務(wù)網(wǎng)絡(luò)系統(tǒng)傳統(tǒng)管理方式的一種重大變革。它結(jié)合政務(wù)網(wǎng)絡(luò)自身的特點,將不同位置、不同安全系統(tǒng)中分散且海量的單一安全事件進(jìn)行匯總、過濾、收集和關(guān)聯(lián)分析,得出全局角度的安全態(tài)勢,并形成統(tǒng)一的安全決策對安全事件進(jìn)行響應(yīng)和處理。

作者簡介:

郭紅,女,1966年生,漢族,北京人,高級工程師,國家信息中心網(wǎng)絡(luò)安全部處長,研究方向:網(wǎng)絡(luò)安全。

王勇,男,1977年生,漢族,山東鄄城人,國家信息中心網(wǎng)絡(luò)安全部工程師,研究方向:網(wǎng)絡(luò)安全。

篇6

關(guān)鍵詞 SOA;電子政務(wù);安全性;流程

1 引言

隨著計算機技術(shù)、信息技術(shù)、安全技術(shù)、軟件工程技術(shù)的高速發(fā)展,電子政務(wù)也逐漸發(fā)展成熟。政府的信息化系統(tǒng)既是社會的信息服務(wù)系統(tǒng),同時也是政府自身的管理系統(tǒng)。電子政務(wù)是保證政府各部門信息共享,信息收集,數(shù)據(jù)處理的主要工具。從政府信息多樣性,繁瑣性,多變性的特點來看,電子政務(wù)采用SOA的架構(gòu)是比較適合的架構(gòu)。因為分布于各部門和社會各單位中的系統(tǒng)是各自獨立的也是千差萬別的,當(dāng)執(zhí)行數(shù)據(jù)處理任務(wù)的時候,又需要這些系統(tǒng)進(jìn)行協(xié)同操作,此時SOA就有了優(yōu)勢。本文從多個角度探討了SOA架構(gòu)下的電子政務(wù)的實施方法。

2 SOA架構(gòu)的概念

SOA面向服務(wù)的體系結(jié)構(gòu)(Service-Oriented Architecture)是一個組件模型,它將應(yīng)用程序的不同功能單元通過這些單元之間定義良好的接口和契約聯(lián)系起來[1]。接口是采用中立的方式進(jìn)行定義的,它獨立于實現(xiàn)服務(wù)的硬件平臺、操作系統(tǒng)和編程語言。這使得構(gòu)建在各種這樣的系統(tǒng)中的各個單元可以用一種統(tǒng)一和通用的方式進(jìn)行交互。這種具有中立的接口定義的特征稱為服務(wù)之間的松耦合。松耦合系統(tǒng)的好處有兩點,首先是它的靈活性,其次是當(dāng)組成整個應(yīng)用程序的每個服務(wù)的內(nèi)部結(jié)構(gòu)和實現(xiàn)逐漸地發(fā)生改變時,它能夠繼續(xù)存在。

3 電子政務(wù)面臨的安全問題分析

目前,我國的電子政務(wù)正在逐步實現(xiàn)由“政績導(dǎo)向”向“服務(wù)導(dǎo)向”的轉(zhuǎn)變。以服務(wù)為中心,使老百姓能得到更廣泛、更便捷的政府信息和服務(wù),使政府真正轉(zhuǎn)變?yōu)榉?wù)型政府。因此,以公眾服務(wù)為中心,服務(wù)公眾就成為電子政務(wù)建設(shè)的出發(fā)點。以公眾服務(wù)的角度去看電子政務(wù)全局,面向服務(wù)去重新梳理業(yè)務(wù)流程,即面向服務(wù)去詳細(xì)描述政府和公民互動的過程、政府履行的各種業(yè)務(wù)與功能以及關(guān)鍵的業(yè)務(wù)流程。在這種大環(huán)境和背景下,實施SOA架構(gòu)的電子政務(wù)建設(shè)就顯得勢在必行。

在這種環(huán)境下,利用信息化的手段,達(dá)成自上而下的政府業(yè)務(wù)標(biāo)準(zhǔn)和業(yè)務(wù)資源的統(tǒng)一,實現(xiàn)數(shù)據(jù)自底向上的快速準(zhǔn)確匯集和業(yè)務(wù)自上而下的高度協(xié)同就顯得十分重要。而其中電子政務(wù)建設(shè)的安全性是一個非常重要的研究點。電子政務(wù)事關(guān)一個地區(qū)、一個系統(tǒng)甚至一個國家的利益,如果電子政務(wù)的信息安全失去保障,其后果是不堪設(shè)想的。電子政務(wù)安全風(fēng)險的主要表現(xiàn)形式有:網(wǎng)上病毒泛濫和蔓延;信息間諜的潛入和竊密;網(wǎng)絡(luò)恐怖集團的攻擊和破壞;網(wǎng)上黑客入侵和犯罪;內(nèi)部人員的違規(guī)和違法操作;網(wǎng)絡(luò)系統(tǒng)的脆弱和癱瘓;信息產(chǎn)品的失控。由于信息技術(shù)發(fā)展的歷史原因和建設(shè)資金問題,我國電子政務(wù)網(wǎng)絡(luò)的建設(shè)在規(guī)劃上經(jīng)常缺少前瞻性的安全規(guī)劃。隨著安全問題的不斷出現(xiàn),只能在運行過程中不停地修修補補,但是這種修補只能解決暫時的問題,解決一個問題后,往往又有新問題出現(xiàn)。如何控制電子政務(wù)建設(shè)中面臨的安全風(fēng)險,如何進(jìn)行電子政務(wù)的安全建設(shè),是目前需要解決的問題。

4 SOA架構(gòu)下安全實施電子政務(wù)系統(tǒng)的方法

在具體實施SOA架構(gòu)的電子政務(wù)系統(tǒng)應(yīng)如何面對其安全性的挑戰(zhàn),根據(jù)筆者的研究認(rèn)為,對于SOA架構(gòu)下的電子政務(wù)系統(tǒng)可以從以下幾個方面入手。

(1)系統(tǒng)規(guī)劃建設(shè)。以SOA架構(gòu)規(guī)劃整個電子政務(wù)的應(yīng)用程序是比較繁雜的。對其進(jìn)行保護(hù)也更為困難。經(jīng)常需要采用各種各樣的視角對其加以觀察。甚至需要專門的安全人員進(jìn)行相關(guān)工作。團隊負(fù)責(zé)人應(yīng)該透徹的了解軟件體系結(jié)構(gòu)和安全性方面的知識,應(yīng)同時了解SOA的相關(guān)知識。團隊中的安全架構(gòu)師將負(fù)責(zé)創(chuàng)建系統(tǒng)的安全模型。同時,安全架構(gòu)師將與項目架構(gòu)師配合工作,確保SOA實現(xiàn)符合安全性的要求,并對電子政務(wù)業(yè)務(wù)分析人員和系統(tǒng)工程師進(jìn)行安全性指導(dǎo)。安全架構(gòu)師還需要負(fù)責(zé)與程序員及測試人員充分溝通。

(2)項目計劃。需要制定完善的項目計劃和預(yù)算,對SOA安全實現(xiàn)所必需的要求全部清楚地說明和反映。以SOA電子政務(wù)模型的任何轉(zhuǎn)換都可能涉及到固有的安全矛盾:系統(tǒng)的面向服務(wù)架構(gòu)特征越明顯,其安全性越差。通過面向服務(wù)的建模和分析技術(shù)將當(dāng)前傳統(tǒng)電子政務(wù)系統(tǒng)轉(zhuǎn)換為面向服務(wù)的電子政務(wù)系統(tǒng)過程必須要形成電子政務(wù)流程設(shè)計的相關(guān)文檔。SOA在電子政務(wù)系統(tǒng)上安全實施需要項目組做詳細(xì)的項目規(guī)劃和預(yù)算,為安全性團隊分配必要的時間,以便深入分析和了解實現(xiàn)SOA所帶來的新挑戰(zhàn)。

(3)需求模型。在建立需求模型時,務(wù)必選擇正確的工具,以便團隊進(jìn)行協(xié)作和方便地記錄SOA的安全需求和創(chuàng)建SOA電子政務(wù)安全模型。正確的需求與分析工具將幫助團隊了解問題領(lǐng)域、捕獲和管理不斷發(fā)展的需求、建模用戶交互、在整個電子政務(wù)項目生命周期中包含參與者反饋,而最為重要的是進(jìn)行協(xié)作。良好的安全需求與分析實踐將極大地減少系統(tǒng)安全風(fēng)險。

(4)風(fēng)險評估。可以采用“內(nèi)部安全性”方法。內(nèi)部安全性是指安全性需求與SOA實現(xiàn)中的所有活動對應(yīng)。必須根據(jù)設(shè)計文檔了解哪些地方必須做出安全決策,并確定執(zhí)行這些決策的安全控制點,從而了解具體如何實現(xiàn)SOA。這一步需根據(jù)需要將這些策略的職責(zé)分配到應(yīng)用程序、SOA安全和SOA組件上,從而利用相應(yīng)的機制來應(yīng)用這些安全策略并加以執(zhí)行。必須將安全需求封裝或分解為將在SOA實現(xiàn)中以滲透方式工作的一組安全服務(wù)。SOA安全服務(wù)必須遵循SOA原則、即松耦合、模塊化、封裝、重用和可組合性,以獲得必要的靈活性,幫助確保電子政務(wù)系統(tǒng)能夠跟上政務(wù)設(shè)計中變化的速度,并成為實現(xiàn)更為完善的組織總體安全性的變更驅(qū)動因素。這就要求從傳統(tǒng)的靜態(tài)安全模型轉(zhuǎn)向動態(tài)模型,以跟上SOA體系結(jié)構(gòu)中更快的變更速度。

(5)通過5WIH進(jìn)行決策。SOA 安全團隊需要確定SOA安全參與者并進(jìn)行相應(yīng)的劃分工作。參與者分為兩類:外部和內(nèi)部。外部政策制定者和治理機構(gòu)可能提供了具有廣泛安全影響的特定網(wǎng)絡(luò)完全性標(biāo)準(zhǔn),如關(guān)鍵基礎(chǔ)設(shè)施保護(hù)需求等。所有電子政務(wù)系統(tǒng)標(biāo)準(zhǔn)都有自己的一組特定需求,這些需求會對總體 SOA 安全實現(xiàn)造成影響。在內(nèi)部,安全需求可跟蹤誰、為何、為什么、何地、何時及如何這樣的5WIH安全問題。誰能夠何時何地訪問什么,以及如何進(jìn)行、持續(xù)時間多長?通過5WIH方法有效地控制SOA安全防御的運作。

(6)遵循SOA安全實現(xiàn)的SDLC(Software Development Life Cycle,軟件開發(fā)生命周期)流程??紤]到電子政務(wù)系統(tǒng)必須收集非常多的信息,必須編寫的體系結(jié)構(gòu)構(gòu)件的數(shù)量也非常大以及需要構(gòu)造特定SOA安全服務(wù),SOA安全團隊?wèi)?yīng)該遵循軟件開發(fā)生命周期的標(biāo)準(zhǔn)步驟:

①確定安全需求和約束;②得出和收集安全需求;③創(chuàng)建安全體系結(jié)構(gòu)設(shè)計;④形成SOA設(shè)計文檔;⑤實現(xiàn) SOA;⑥測試;⑦部署;⑧維護(hù)。

安全團隊開始設(shè)計解決方案前,必須對需求進(jìn)行收集。對于安全實現(xiàn),既有顯式需求,也有隱式需求。對于顯式需求,一個很好的著手點就是收集每個參與者的需求。而對于隱式需求,最好使用安全框架,如保密性、完整性和可靠性,以便在其中列出所有安全系統(tǒng)的具體需求。

(7)選擇標(biāo)準(zhǔn)。根據(jù)WS-Security[4] 選擇需要的標(biāo)準(zhǔn),WS-Security標(biāo)準(zhǔn)參見圖1。確定哪個標(biāo)準(zhǔn)適用于實現(xiàn)SOA電子政務(wù)安全。

圖1 WS- Security 標(biāo)準(zhǔn)

以上這些安全標(biāo)準(zhǔn)將用于構(gòu)造整個 SOA 實現(xiàn)中的安全消息。

(8) 經(jīng)驗總結(jié)。找出現(xiàn)有電子政務(wù)模型并從中吸取經(jīng)驗教訓(xùn)。SOA安全需求團隊花時間確定了所有需求后,團隊成員必須自己編寫SOA安全服務(wù)來滿足特定需求。最合適的做法是對現(xiàn)有的電子政務(wù)模型進(jìn)行分析,在團隊開始抽象設(shè)計階段前了解已經(jīng)開發(fā)的內(nèi)容。SOA Security 團隊必須將需求映射到每個服務(wù),然后為需要的所有服務(wù)創(chuàng)建 SOA 安全模型,以滿足第六步中確定的所有需求。

5 安全實施SOA技術(shù)的可操作性分析

對于基于SOA電子政務(wù)項目建設(shè)應(yīng)該形成SOA基礎(chǔ)技術(shù)平臺、輔助工具、資源、應(yīng)用服務(wù)與系統(tǒng)參與人員等要素在內(nèi)的SOA參考技術(shù)架構(gòu),以保障系統(tǒng)的安全性。在設(shè)計上應(yīng)清晰劃分出連通服務(wù)、安全服務(wù)、資源管理服務(wù)、流程服務(wù)、協(xié)作服務(wù)、運行管理服務(wù)、信息服務(wù)、業(yè)務(wù)服務(wù)與交互服務(wù)關(guān)鍵技術(shù)構(gòu)成在內(nèi)的SOA基礎(chǔ)技術(shù)平臺要素,統(tǒng)一各關(guān)鍵構(gòu)成的技術(shù)邊界、交互關(guān)系,確定了技術(shù)標(biāo)準(zhǔn)體系,為SOA在電子政務(wù)應(yīng)用的相互操作提供基礎(chǔ),在企業(yè)應(yīng)用、實施SOA建設(shè)的標(biāo)準(zhǔn)、框架與關(guān)鍵技術(shù)要求,保證SOA總體技術(shù)框架與解決方案的開放性、互操作性,在推動電子政務(wù)以資源共享與交換、業(yè)務(wù)協(xié)同深化同時,也加強了未來應(yīng)用發(fā)展的一致性、可持續(xù)性與穩(wěn)定性?,F(xiàn)在業(yè)界提出FAST策略,即互操作框架(Framework)、架構(gòu)體系(Architecture)、解決方案(Solution)、測試保障(Testing)等,這些是保證SOA在電子政務(wù)領(lǐng)域成功應(yīng)用的關(guān)鍵要素。其中互操作框架保證SOA電子政務(wù)技術(shù)產(chǎn)品與應(yīng)用方案的互操作性;架構(gòu)體系明確選擇重用、松散耦合的柔性軟件架構(gòu),形成實施SOA的骨干支撐基礎(chǔ);解決方案針對電子政務(wù)熱點、難點需求,創(chuàng)新性建立以電子政務(wù)資源共享交換、政務(wù)業(yè)務(wù)協(xié)同為主的電子政務(wù)應(yīng)用解決方案;測試保障提供以測試評估為基礎(chǔ)的全面質(zhì)量與應(yīng)用保障。通過“標(biāo)準(zhǔn)規(guī)范-參考架構(gòu)-技術(shù)架構(gòu)-解決方案-實施方法-平臺產(chǎn)品-保障體系”等流程,推動SOA電子政務(wù)領(lǐng)域安全成功的應(yīng)用。

6 總結(jié)

本文比較系統(tǒng)的分析了基于SOA架構(gòu)安全實施電子政務(wù)方法,并總結(jié)了在SOA架構(gòu)下安全實施電子政務(wù)的各項特點和優(yōu)勢,在SOA的架構(gòu)下安全實施電子政務(wù)系統(tǒng)的方法進(jìn)行了系統(tǒng)的分析。目前業(yè)界基于SOA架構(gòu)安全實施電子政務(wù)方法較多,除了本文的解決方案外,我們尚需注意安全實施SOA架構(gòu)電子政務(wù)系統(tǒng)還應(yīng)建立一組服務(wù)業(yè)務(wù)模型和服務(wù)評價模型,業(yè)務(wù)模型描述服務(wù)業(yè)務(wù)的可持續(xù)發(fā)展,不僅包括它的創(chuàng)建態(tài),還可以包括其變化態(tài)和協(xié)作態(tài),評價模型描述服務(wù)的評估態(tài)。這個模型就是SOA所提倡的方法論。在該方法下為電子政務(wù)的安全運營提供策略制定、管理流程規(guī)劃、安全管理制度規(guī)劃、安全風(fēng)險評估、安全管理等一系列服務(wù),通過SOA服務(wù)型的管理平臺,建立統(tǒng)一的安全策略,從而將有效提升電子政務(wù)的安全管理強度。

參考文獻(xiàn)

[1]Thomas Erl Service-Oriented Architecture——Concepts,Technology,and Design,Prentice Hall PTR,2005.

[2] 邊鋒. 選擇電子政務(wù)為應(yīng)用突破口用SOA支撐服務(wù)型政府變革media.ccidnet.com/art/2639/20061231/ 992759_1. html

篇7

關(guān)鍵詞:電子政務(wù);服務(wù)經(jīng)濟;服務(wù)社會

1 美國“全球電子商務(wù)框架”概要

隨著信息技術(shù)的迅速發(fā)展,電子政務(wù)與電子商務(wù)被提上日程,并取得顯著成效,電子政務(wù)與電子商務(wù)的協(xié)調(diào)成為信息化發(fā)展的一大趨勢。電子政務(wù)與電子商務(wù)協(xié)同實現(xiàn)的整體效應(yīng)必然對國民經(jīng)濟和社會的發(fā)展與進(jìn)步產(chǎn)生積極而深刻的影響。

1997年7月1日,克林頓總統(tǒng)頒布了聯(lián)邦政府促進(jìn)、支持電子商務(wù)發(fā)展的“全球電子商務(wù)框架”。該框架確立了聯(lián)邦政府政策的基本框架,對于美國乃至世界各國電子商務(wù)的發(fā)展產(chǎn)生了積極影響。

在“全球電子商務(wù)框架”中,聯(lián)邦政府提出了發(fā)展電子商務(wù)的原則和建議。發(fā)展電子商務(wù)主要原則包括因特網(wǎng)發(fā)展是市場驅(qū)動的所以私營部門必須發(fā)揮主導(dǎo)作用、在通過因特網(wǎng)進(jìn)行產(chǎn)品或者服務(wù)買賣并達(dá)成合法協(xié)議的過程中政府應(yīng)該避免對電子商務(wù)的不當(dāng)限制、政府必須參與時政府參與的目標(biāo)應(yīng)該是支持和創(chuàng)造一種可以預(yù)測的、受影響最小的、持續(xù)簡單的法律環(huán)境為商業(yè)發(fā)展?fàn)I造合適的環(huán)境、政府必須深化對因特網(wǎng)的特性的認(rèn)識從而對現(xiàn)有的一些可能阻礙電子商務(wù)發(fā)展的法律法規(guī)重新進(jìn)行審議、修改或者廢止、打破網(wǎng)上交易的法律框架的地區(qū)、國家和國際之間的界限促進(jìn)電子商務(wù)在全球范圍內(nèi)發(fā)展。

電子商務(wù)與電子政務(wù)表現(xiàn)為互動關(guān)系, 經(jīng)過研究發(fā)現(xiàn)美國“全球電子商務(wù)框架”對我國電子政務(wù)的改革提供了參考。

2 “全球電子商務(wù)框架”對我國電子政務(wù)改革的啟示

2.1 做好災(zāi)備方案,確保信息安全

經(jīng)濟社會中存在大量數(shù)據(jù),WestWorld 公司的報告指出,在每500個數(shù)據(jù)中心中就有1個每年要經(jīng)歷一次災(zāi)難。電子政務(wù)建設(shè)離不開數(shù)據(jù),數(shù)字信息是源頭活水。劉家真教授提出了制定網(wǎng)絡(luò)環(huán)境下的電子文件管理規(guī)范,必須考慮管理者的責(zé)任和辦公自動化網(wǎng)絡(luò)上運行的電子消息必須作為憑證加以管理。劉家真教授在調(diào)研的基礎(chǔ)上分析了我國文獻(xiàn)的檔案數(shù)據(jù)面臨的風(fēng)險,根據(jù)國情提出文獻(xiàn)的檔案數(shù)據(jù)宜采用同城異地備份與遠(yuǎn)端異地儲存其離線備份的災(zāi)備方案,并對遠(yuǎn)端異地離線災(zāi)備基地的建設(shè)、管理與可持續(xù)運作提出了建議。劉家真教授還深入研究了更新與遷移在檔案保護(hù)中的廣泛應(yīng)用,以及更新與遷移可能帶來的檔案內(nèi)容信息損失風(fēng)險,并提出了如何規(guī)避這類風(fēng)險的管理策略。這些策略對于信息的更新與遷移過程中的丟失可以起到“防患于未然”的作用。劉家真教授指出,“保護(hù)數(shù)字文獻(xiàn)的關(guān)鍵在于維護(hù)數(shù)字信息的長期可存取性,為維護(hù)數(shù)字信息的長期可存取,還提出了3M策略:數(shù)字媒體的選擇與維護(hù)、科學(xué)管理以及技術(shù)遷移?!币虼?,要建立信息安全平臺,保護(hù)網(wǎng)上政務(wù)資源。搭建安全支撐平臺和安全應(yīng)用支撐平臺。電子政務(wù)的數(shù)據(jù)處理與保護(hù)必須放在第一位,數(shù)據(jù)丟失了,或者被刪改了,起不到應(yīng)有作用,甚至?xí)鸬截?fù)作用。

2.2 政府市場聯(lián)動,強化信息管理

電子政務(wù)信息共享已成為公務(wù)員及社會公眾日益緊迫的需求。然而,由于行政體制、管理模式等方面的原因,電子政務(wù)信息共享面臨著一系列的障礙和問題。為了提高電子政務(wù)信息共享的效率,各級政府部門應(yīng)當(dāng)針對這些原因和表現(xiàn),采取相應(yīng)的對策。因此必須強化電子政務(wù)的信息管理。

電子政務(wù)的信息管理要引入市場機制、把握好電子政務(wù)的市場定位、確立客戶關(guān)系管理和贏利模式大力推進(jìn)電子政務(wù)市場化建設(shè)。電子政務(wù)建設(shè)中要發(fā)揮多方面的作用,尤其要讓第三部門、企業(yè)集團甚至民間組織加入,讓他們成為電子政務(wù)建設(shè)的主體之一。

電子政務(wù)信息管理是一個巨大工程,短期的規(guī)劃是注重解決眼下必須解決的問題,同時要制訂中長遠(yuǎn)規(guī)劃,做好成本效益分析。建造電子政務(wù)的經(jīng)濟效益模型,熟練掌握電子政務(wù)對經(jīng)濟效益影響的幾種主要方式和內(nèi)容,間接影響至少要考慮建設(shè)、管理和服務(wù)等方面的效益,直接影響應(yīng)考慮到電子政務(wù)對政府、相關(guān)企業(yè)及咨詢機構(gòu)等方面的影響。

電子政務(wù)信息管理的好壞標(biāo)準(zhǔn)要交給市場而不是政府,這樣政府才能牢牢抓住主動權(quán)。國內(nèi)外信息化的實踐證明,信息化建設(shè)必須有標(biāo)準(zhǔn)化的支持,尤其要發(fā)揮標(biāo)準(zhǔn)化的導(dǎo)向作用,以確保技術(shù)上的協(xié)調(diào)一致和整體效能的實現(xiàn)。

電子政務(wù)推進(jìn)標(biāo)準(zhǔn)化必須進(jìn)行正確的策略選擇。為電子政務(wù)標(biāo)準(zhǔn)選擇正確的類型、級別與形式就有著特殊重要的作用。要明確電子政務(wù)標(biāo)準(zhǔn)化在標(biāo)準(zhǔn)類型歸屬、標(biāo)準(zhǔn)級別劃定與標(biāo)準(zhǔn)形式確定方面的特殊要求,正確選擇我國電子政務(wù)標(biāo)準(zhǔn)類型、級別與形式。

2.3 協(xié)同政務(wù)建設(shè),攻克關(guān)鍵技術(shù)

政務(wù)主要包括行政決策、行政執(zhí)行、行政監(jiān)督三個環(huán)節(jié),要從行政決策組織、行政決策活動、行政執(zhí)行組織、行政執(zhí)行活動、行政監(jiān)督組織、行政監(jiān)督活動、公務(wù)員培訓(xùn)等幾個方面探討電子政務(wù)的協(xié)同發(fā)展以降低行政成本的機理。如公務(wù)員的部分培訓(xùn)內(nèi)容可以在網(wǎng)上進(jìn)行降低培訓(xùn)成本。

降低政務(wù)成本要推進(jìn)協(xié)同電子政務(wù)建設(shè),協(xié)同電子政務(wù)是對政府自身運作能力的強化,協(xié)同電子政務(wù)有助于政府組織實現(xiàn)職能整合、信息整合、業(yè)務(wù)整合、流程整合,最終實現(xiàn)政務(wù)工作和服務(wù)的全面提高。推進(jìn)協(xié)同電子政務(wù)建設(shè)中要注意解決好政府和開發(fā)商之間存在的利益沖突問題,必須設(shè)計好有效的激勵機制。

我國電子政務(wù)建設(shè)中的主要問題是國產(chǎn)軟硬件的相對不成熟,在集成時出現(xiàn)不兼容的問題,在現(xiàn)有的國產(chǎn)軟硬件的基礎(chǔ)上,要經(jīng)過反復(fù)測試和優(yōu)化形成一套真正運行穩(wěn)定、切實可行的國產(chǎn)軟硬件的集成應(yīng)用方案,確保應(yīng)用國產(chǎn)的關(guān)鍵技術(shù)。

知識產(chǎn)權(quán)和隱私的保護(hù)技術(shù)急需攻克并同步更新。應(yīng)當(dāng)從提高公民個人信息隱私權(quán)意識,提高電子政務(wù)信息管理者道德,以及加強電子政務(wù)信息資源系統(tǒng)的管理方面來保護(hù)電子政務(wù)信息系統(tǒng)中的個人信息隱私權(quán)。

我國知識產(chǎn)權(quán)電子政務(wù)建設(shè)的起點和國外比較差不多。國外知識產(chǎn)權(quán)類網(wǎng)站的開發(fā)者主要是國際協(xié)會或組織,行政管理網(wǎng)站占據(jù)主要地位。我國是以中央的知識產(chǎn)權(quán)信息網(wǎng)站帶動地方的知識產(chǎn)權(quán)信息網(wǎng)站建設(shè),實現(xiàn)各知識產(chǎn)權(quán)信息庫的資源共享。要保證電子政務(wù)信息資源權(quán)利人享有合法權(quán)利。

2.4 依法管理政務(wù),制度職能創(chuàng)新

電子政務(wù)呼喚新的管理理念。要把以人為本的管理理念貫穿電子政務(wù)的全過程,要運用信息時代的人本思維重塑政府管理模式,推動電子政務(wù)的發(fā)展。推進(jìn)電子政務(wù)實際上是要達(dá)到政府行政管理領(lǐng)域內(nèi)新的制度平衡。

電子政務(wù)始終要以依法行政為大前提。電子政務(wù)立法的宗旨應(yīng)當(dāng)是推動政府信息公開、推進(jìn)政務(wù)信息化建設(shè)、提高政務(wù)辦公效率。電子政務(wù)的法律框架,本質(zhì)是為電子政務(wù)提供公平、透明、和諧的環(huán)境。電子政務(wù)要立法。立法中的核心問題是立法模式、立法層次、立法效力等。電子政務(wù)的運行必須在法律監(jiān)督之下,電子政務(wù)的發(fā)展也必須基于信息法律的保障,電子政務(wù)的實施有利于建設(shè)法制社會。電子政務(wù)發(fā)展需要健全的法律環(huán)境。從電子政務(wù)的建設(shè)和應(yīng)用的流程角度來看,電子政務(wù)發(fā)展應(yīng)完善:與政務(wù)信息有關(guān)的行政法律法規(guī)問題、電子政務(wù)建設(shè)管理和應(yīng)用的法律法規(guī)問題、電子政務(wù)建設(shè)的技術(shù)標(biāo)準(zhǔn)。

電子政務(wù)的本質(zhì)是對政府職能的轉(zhuǎn)變和創(chuàng)新。電子政務(wù)不僅在公共行政領(lǐng)域,而且在人類生活的各個領(lǐng)域都產(chǎn)生了影響。電子政務(wù)是信息時代各級政府治理不可缺少的工具,為構(gòu)建服務(wù)型地方政府提供了現(xiàn)實條件。

電子政務(wù)是現(xiàn)代政府管理創(chuàng)新工具。電子政務(wù)提高了行政效率,降低了成本,提高了政府公共服務(wù)水平。但也存在一定不足。這就要求各級政府轉(zhuǎn)變觀念,統(tǒng)籌規(guī)劃各部門網(wǎng)站,制定相關(guān)法律、法規(guī),積極推進(jìn)電子政務(wù)發(fā)展,利用電子政務(wù)推進(jìn)行政管理體制改革的深化,逐步形成新型政府管理模式,增強公共管理與服務(wù)功能,全面提升行政能力。

要重點解決好電子政務(wù)建設(shè)中的深層次問題。要引入IT治理的思想,對電子政務(wù)中實施IT治理,找到實現(xiàn)電子政務(wù)制度與技術(shù)協(xié)同發(fā)展的有效途徑。

2.5 高效優(yōu)質(zhì)服務(wù)、狠抓績效評估

我國電子政府績效評估實踐已在各級政府和部門中逐漸開展起來,并引起社會各界的普遍關(guān)注,電子政務(wù)績效評估需要得到進(jìn)一步的大發(fā)展。

電子政務(wù)績效是政府績效的重要組成部分。電子政務(wù)正在成為現(xiàn)代政府運作的主要方式,成為政府更好的實現(xiàn)其管理、服務(wù)職能的重要手段。而在大規(guī)模的投入和建設(shè)后,電子政務(wù)能否真正取得預(yù)期的成效已經(jīng)成為一個重大問題。

我國目前的電子政務(wù)建設(shè)狀況不容樂觀,巨大的資金投后,實際效果卻與預(yù)期相距甚遠(yuǎn)。究其原因,缺乏與電子政務(wù)運行特點相符合的績效評估體系是造成這一局面的重要原因。

要形成我國自己的電子政務(wù)績效評估模式??梢园央娮诱?wù)的績效劃分為產(chǎn)出、結(jié)果和影響三個層次,提倡綜合應(yīng)用模式,突破產(chǎn)出層次。我國的電子政務(wù)績效評估應(yīng)突出“重在政務(wù)”和“政務(wù)為民”的戰(zhàn)略選擇,同時緊密結(jié)合電子政務(wù)建設(shè)和行政改革的進(jìn)程,做好戰(zhàn)略規(guī)劃。從政府網(wǎng)站建設(shè),基礎(chǔ)設(shè)施建設(shè),政務(wù)基礎(chǔ)信息數(shù)據(jù)庫建設(shè),重點政務(wù)業(yè)務(wù)系統(tǒng)建設(shè)四個方面構(gòu)建指標(biāo)體系,穩(wěn)步推動我國電子政務(wù)的發(fā)展,同時促進(jìn)政府績效的提高。

參考文獻(xiàn)

[1]劉家真.數(shù)據(jù)丟失的風(fēng)險與對策[J].機電兵船檔案, 2004,(01).

[2]劉家真.網(wǎng)絡(luò)環(huán)境下的電子文件管理要求[J].檔案管理,1999,(01).

[3]劉家真,倪麗娟.創(chuàng)建我國文獻(xiàn)的檔案數(shù)據(jù)災(zāi)備基地的構(gòu)想[J].檔案學(xué)研究,2006,(04).

[4]劉家真.更新與遷移中的風(fēng)險管理策略[J].北京檔案,2005,(10).

[5]劉家真.保護(hù)數(shù)字信息的長期存取策略[J].武漢大學(xué)學(xué)報(人文社會科學(xué)版), 1999,(04).

[6]李綱,彥.電子政務(wù)信息安全平臺分析[J].中國圖書館學(xué)報,2006,(01).

篇8

 

關(guān)鍵詞:電子政務(wù) 信息安全PKI

 

1綜合電子政務(wù)平臺概述

    電子政務(wù)是指政府機構(gòu)應(yīng)用信息技術(shù)提高政府事務(wù)處理的信息流效率,對政府機構(gòu)和職能進(jìn)行優(yōu)化,改善政府組織和公共管理能力。通常由核心網(wǎng)絡(luò)、接人網(wǎng)絡(luò)及訪問網(wǎng)絡(luò)三部分組成。建設(shè)內(nèi)容一般包括:電子政務(wù)網(wǎng)絡(luò)平臺、政府門戶網(wǎng)站、電子政務(wù)主站點、“一站式”行政審批系統(tǒng)、視頻會議系統(tǒng)、公文交換和信息報送系統(tǒng)、電子郵件系統(tǒng)、辦公自動化系統(tǒng)等。

    電子政務(wù)網(wǎng)絡(luò)平臺網(wǎng)絡(luò)結(jié)構(gòu)中,核心網(wǎng)絡(luò)擁有重要的信息資源,并處理政府部門間的核心業(yè)務(wù)。政府部門間的數(shù)據(jù)交換流程是閉環(huán)的,即任何一個節(jié)點既是用戶又是數(shù)據(jù)源。因此,核心網(wǎng)絡(luò)節(jié)點之間的業(yè)務(wù)流程應(yīng)該是高速、嚴(yán)密、安全的,并且有嚴(yán)格的審核機制。核心網(wǎng)絡(luò)與接人網(wǎng)絡(luò)形成上下級關(guān)系的協(xié)同工作平臺,進(jìn)行信息、數(shù)據(jù)的交換。它們之間的信息往來必須具備信任安全體系。政府核心網(wǎng)絡(luò)面向社會公眾提供信息服務(wù),對外宣傳政府信息,與訪問網(wǎng)絡(luò)建立連接。

2綜合電子政務(wù)平臺的安全風(fēng)險

2.1網(wǎng)絡(luò)安全域的劃分和控制問題

    電子政務(wù)中的信息涉及國家秘密、國家安全,因此它需要絕對的安全。但是同時電子政務(wù)現(xiàn)在很重要的發(fā)展方向是要為社會提供行政監(jiān)管的渠道,為社會提供公共服務(wù),如社保醫(yī)保、大量的公眾咨詢、投訴等等,它同時又需要一定程度的開放。因此如何合理地劃分安全域顯得非常重要。

2.2內(nèi)部監(jiān)控、審核問題

    目前絕大部分單位都沒有系統(tǒng)可以實時地對內(nèi)部人員除個人隱私以外的各項具體操作進(jìn)行監(jiān)控和記錄,更不用談對一些非法操作進(jìn)行屏蔽和阻斷了。

2.3電子政務(wù)的信任體系問題

    電子政務(wù)要做到比較完善的安全保障體系,第三方認(rèn)證是必不可少的。只有通過一定級別的第三方認(rèn)證,才能說建立了一套完善的信任體系。

2 .4數(shù)字簽名(簽發(fā))問題

    在電子政務(wù)中,要真正實行無紙化辦公,很重要的一點是實現(xiàn)電子公文的流轉(zhuǎn),而在這之中,數(shù)字簽名(簽發(fā))問題又是重中之重。

2.5電子政務(wù)的災(zāi)難響應(yīng)和應(yīng)急處理問題

    很多單位在進(jìn)行網(wǎng)絡(luò)規(guī)劃的時候,沒有考慮到作為系統(tǒng)核心部分一一數(shù)據(jù)庫本身的安全問題,完全依賴干整個網(wǎng)絡(luò)的防護(hù)能力,一旦網(wǎng)絡(luò)的安全體系被穿破或者直接由內(nèi)部人員利用內(nèi)網(wǎng)用戶的優(yōu)勢進(jìn)行破壞,“數(shù)據(jù)”可以說無任何招架之力

3綜合電子政務(wù)平臺安全體系建設(shè)方案

3 .1技術(shù)保障體系

    技術(shù)保障體系是安全管理體系的重要組成部分。它涉及兩個層面的問題,一是信息安全的核心技術(shù)和基本理論的研究與開發(fā),二是信息安全產(chǎn)品和系統(tǒng)構(gòu)建綜合防護(hù)系統(tǒng)。

    信息安全技術(shù)。信息安全的核心技術(shù)主要包括數(shù)據(jù)加密技術(shù)、信息隱藏技術(shù)和信息認(rèn)證技術(shù)。數(shù)據(jù)加密是把有意義的信息編碼為偽隨機性的亂碼,以實現(xiàn)信息保護(hù)的目的。數(shù)字簽名是指只有發(fā)送者才能產(chǎn)生的別人無法偽造的一段數(shù)字串,這段數(shù)字串同時也是對發(fā)送者信息真實性的證明。

    信息安全防護(hù)體系。目前,主要的信息安全的產(chǎn)品和系統(tǒng)包括防病毒軟件、防火墻、入侵檢測系統(tǒng)、漏洞掃描、安全審計系統(tǒng)、物理隔離系統(tǒng)等。我們可采用屏蔽子網(wǎng)體系結(jié)構(gòu)保證核心網(wǎng)絡(luò)的安全。屏蔽子網(wǎng)體系結(jié)構(gòu)通過添加額外的安全層到被屏蔽主機體系結(jié)構(gòu),即通過添加周邊網(wǎng)絡(luò)更進(jìn)一步地把內(nèi)部網(wǎng)絡(luò)與Internet隔離開。在這種結(jié)構(gòu)下,即使攻破了堡壘主機,也不能直接侵人內(nèi)部網(wǎng)絡(luò),它將仍然必須通過內(nèi)部路由器。

3.2運行管理體系

    安全行政管理。電子政務(wù)的安全行政管理應(yīng)包括建立安全組織機構(gòu)、安全人事管理、制定和落實安全制度。

    安全技術(shù)管理。電子政務(wù)的安全技術(shù)管理可以從三個方面著手:硬件實體、軟件系統(tǒng)、密鑰。

    風(fēng)險管理。風(fēng)險管理是對項目風(fēng)險的識別、分析和應(yīng)對過程。它包括對正面事件效果的最大化及對負(fù)面事件影響的最小化。

3.3社會服務(wù)體系

    安全管理服務(wù)。目前,一些信息安全管理服務(wù)提供商(Managed  Security Service Providers, MSSP)正在逐步形成,它們有的是專門從事安全管理服務(wù)達(dá)到增值目的的,有的是一些軟件廠商為彌補其軟件系統(tǒng)的不足而附加一些服務(wù)的,有的是一些從IT集成或咨詢商發(fā)展而來提供信息安全咨詢的。

    安全測評服務(wù)。測評認(rèn)證的實質(zhì)是由一個中立的權(quán)威機構(gòu),通過科學(xué)、規(guī)范、公正的測試和評估向消費者、購買者即需方,證實生產(chǎn)者或供方所提供的產(chǎn)品和服務(wù),符合公開、客觀和先進(jìn)的標(biāo)準(zhǔn)。

    應(yīng)急響應(yīng)服務(wù)。應(yīng)急響應(yīng)是計算機或網(wǎng)絡(luò)系統(tǒng)遇到安全事件如黑客人侵、網(wǎng)絡(luò)惡意攻擊、病毒感染和破壞等時,所能夠提供的緊急的響應(yīng)和快速的救援與恢復(fù)服務(wù)。

3.4基礎(chǔ)設(shè)施平臺

    法規(guī)基礎(chǔ)建設(shè)。主要有以下幾方面:在國家憲法和各部門法中對各類法律主體的有關(guān)信息活動涉及國家安全的權(quán)利和義務(wù)進(jìn)行規(guī)范,形成國家關(guān)于信息及信息安全的總則性、普適性的法規(guī)體系;針對各類計算機和網(wǎng)絡(luò)犯罪,制訂直接約束各社會成員的信息活動的行為規(guī)范,形成計算機、網(wǎng)絡(luò)犯罪監(jiān)察嶼防范體系;對信息安全技術(shù)、信息安全產(chǎn)品(系統(tǒng))的授權(quán)審批應(yīng)制訂相應(yīng)的規(guī)定,形成信息安全審批與監(jiān)控體系;針對信息內(nèi)容的安全與保密問題,制訂相應(yīng)規(guī)定,形成信息內(nèi)容的審批、監(jiān)控、保密體系;從國家安全的角度,制訂網(wǎng)絡(luò)信息預(yù)警與反擊體系等。

篇9

前言

《2018聯(lián)合國電子政務(wù)調(diào)查報告》顯示,我國電子政務(wù)發(fā)展指數(shù)EGDI為0.6811,全球排名第65位,處于中等偏上的位置,仍有較大的上升空間。從市場規(guī)模來看,2017年我國電子政務(wù)市場規(guī)模達(dá)2722億元,2018年有望突破3000億元。但處于轉(zhuǎn)型期的電子政務(wù)面臨著數(shù)據(jù)孤島、成本高昂、網(wǎng)絡(luò)安全、效率低下、監(jiān)管缺失等痛點。

區(qū)塊鏈可為電子政務(wù)提供新的解決方案。我國各級政府紛紛出臺政策鼓勵將區(qū)塊鏈技術(shù)應(yīng)用于電子政務(wù),我國區(qū)塊鏈電子政務(wù)應(yīng)用取得一定的進(jìn)展。

目前我國共有17項區(qū)塊鏈電子政務(wù)應(yīng)用,分別涉及七大細(xì)分場景:政府審計、數(shù)字身份、數(shù)據(jù)共享、涉公監(jiān)管、電子票據(jù)、電子存證、出口監(jiān)管等。

篇10

關(guān)鍵詞:電子政務(wù);安全系統(tǒng);體系構(gòu)建

隨著信息化時代的到來,網(wǎng)絡(luò)辦公作為一種高效的辦公形式已經(jīng)被越來越多的政府部門采用。電子政務(wù)網(wǎng)站作為政府和民眾溝通的平臺,成了政府推進(jìn)信息化建設(shè)的主要部分。依靠這樣的平臺,政府可以以最快的速度把各種新鮮資訊告知廣大民眾,民眾也可以通過這樣的平臺把自己的意見和建議傳達(dá)到政府那里,實現(xiàn)民眾和政府之間更好的溝通。從這個角度來說,電子政務(wù)網(wǎng)站是十分重要的。安全性是政府部門整個信息化工程建設(shè)的保障,是整個系統(tǒng)建設(shè)中最關(guān)鍵的部分。本文將對電子政務(wù)建設(shè)的安全性加以探討,提出如何構(gòu)建安全的電子政務(wù)網(wǎng)絡(luò)系統(tǒng)。

1 安全問題

1.1 重技術(shù),輕管理

在整個建設(shè)過程中,一向有這樣的觀點:只要從技術(shù)層面配備了相應(yīng)的安全軟件,整個系統(tǒng)的建設(shè)就是安全的,對于安全的管理卻相對忽視。目前,電子政務(wù)系統(tǒng)的安全技術(shù)主要有下面幾種:操作體系安全、病毒查殺安全、訪問鏈接安全等。而對于安全的管理,則主要包含整個體系的風(fēng)險管理、對資料的備份和防刪除恢復(fù)、一鍵恢復(fù)系統(tǒng)、審查追蹤等部分。此外,對于安全的管理,還包括電腦操作人員的安全觀念和安全操作技術(shù)等。

1.2 管理過程不夠規(guī)范

電子政務(wù)的安全是一個十分重要的問題,涉及到政府的形象甚至是國家的利益。因此,對于電子政務(wù)安全的管理就需要一個比較規(guī)范的系統(tǒng)。但是目前的情況是國家關(guān)于電子政務(wù)安全的各個環(huán)節(jié)還不能從總體上進(jìn)行掌握,還需要對相關(guān)環(huán)節(jié)和部門進(jìn)行深入的研究和探討。

1.3 法律法規(guī)不健全

社會信息化的程度越來越高,電子政務(wù)的發(fā)展速度也越來越快,但是法制法規(guī)對電子政務(wù)發(fā)展的限制也越來越明顯。比方說,電子簽名是不是和紙質(zhì)簽名具有同樣的法律效率等,就需要專門的法律去加以限制和說明。

1.4 信息保護(hù)的多重矛盾

對于電子信息的保護(hù),從來就沒有特定的標(biāo)準(zhǔn),這就導(dǎo)致在防護(hù)的過程中出現(xiàn)了很多的矛盾,例如:防護(hù)不到位和防護(hù)過度之間的矛盾;防護(hù)軟件和使用軟件之間的矛盾;殺毒軟件研發(fā)和取得效果之間的矛盾等。隨著時代的發(fā)展和技術(shù)的進(jìn)步,電子政務(wù)的防護(hù)系統(tǒng)也要不斷的升級;眼下,為了減少移動設(shè)施對電子政務(wù)系統(tǒng)帶來的安全隱患,一般杜絕在系統(tǒng)上使用移動設(shè)施,這肯定會對電子政務(wù)系統(tǒng)的實用性帶來一定的不便,這就又造成了其安全性和實用性之間的矛盾。

1.5 安全威脅的多面化

可以說,電子政務(wù)網(wǎng)站可以提供多大的方便,就會存在多大的風(fēng)險。對其系統(tǒng)造成威脅的因素有很多,總體上來說可以劃分為三個方面:技術(shù)層面、人為原因、自然因素。

2 電子政務(wù)系統(tǒng)的網(wǎng)絡(luò)安全體系建設(shè)

2.1 網(wǎng)絡(luò)物理層面的安全保障

從這一層面來說,網(wǎng)絡(luò)物理隔離卡的研發(fā)業(yè)已相對完善,盡管其有很多不同的品種,但是其依據(jù)方面基本一致,都是憑借脫離了TCP/IP協(xié)議的內(nèi)網(wǎng)系統(tǒng),在電子政務(wù)網(wǎng)絡(luò)內(nèi)部自成一個網(wǎng)絡(luò)系統(tǒng),和互聯(lián)網(wǎng)絡(luò)斷開連接,保護(hù)內(nèi)網(wǎng)資料的相對安全。除了在內(nèi)網(wǎng)和外網(wǎng)之間進(jìn)行隔離,在內(nèi)網(wǎng)內(nèi)部還要進(jìn)行一定的隔離。

2.2 網(wǎng)絡(luò)應(yīng)用層面的安全保障

2.2.1 登錄身份驗證

這是一種最簡單的安全保障方式。依靠對用戶名和登錄密碼的設(shè)置,對那些不相關(guān)的人員進(jìn)行隔離。眼下,黑客的破壞能力逐漸增加,簡單的用戶名和密碼很難限制那些別有用心的人員,所以,很多的電子政務(wù)網(wǎng)絡(luò)都開始采用動態(tài)口令技術(shù),對政府的電子政務(wù)系統(tǒng)進(jìn)行更詳盡的保護(hù)。

2.2.2 使用權(quán)限矩陣

電子政務(wù)系統(tǒng)是政府和民眾之間的交流平臺,這就注定了訪問這個系統(tǒng)的人員會有兩種身份:系統(tǒng)管理者和一般民眾。對這兩類使用者我們要區(qū)別對待,給予他們不同的使用權(quán)限。系統(tǒng)管理者可以對系統(tǒng)內(nèi)的信息進(jìn)行添加、刪除和維護(hù),對整體資料進(jìn)行一定的調(diào)整;但是一般民眾就只能對信息進(jìn)行瀏覽,不能做出任何的變動。

2.3 從操作層面進(jìn)行保護(hù)

使用者使用的操作體的安全性,對電子政務(wù)系統(tǒng)的安全也存在著很大影響。因此,要盡可能使用正版的、穩(wěn)定的操作系統(tǒng)。在使用過程中,定時對系統(tǒng)進(jìn)行病毒查殺和系統(tǒng)完善。

總之,由于我國電子政務(wù)的不斷推進(jìn),其政務(wù)服務(wù)類型更加的豐富多樣,網(wǎng)上咨詢、在線交流等服務(wù)內(nèi)容不但拉近了政府和民眾之間的關(guān)系,而且大大提高了政府的辦事效率。電子政務(wù)網(wǎng)絡(luò)業(yè)已成為一種必然的發(fā)展趨勢。本論文對電子政務(wù)網(wǎng)絡(luò)構(gòu)建過程中安全方面出現(xiàn)的問題進(jìn)行了分析,同時還對如何保障電子政務(wù)網(wǎng)絡(luò)的安全做出了探討,希望對電子政務(wù)網(wǎng)絡(luò)的安全起到一定的防護(hù)作用。

[參考文獻(xiàn)]

[1]孟祥宏.基于可生存性的電子政務(wù)系統(tǒng)安全策略研究[J].現(xiàn)代計算機(專業(yè)版).2009(12).