时间:2023-07-24 16:15:50
序论:写作是一种深度的自我表达。它要求我们深入探索自己的思想和情感,挖掘那些隐藏在内心深处的真相,好投稿为您带来了七篇电子政务的安全风险范文,愿它们成为您写作过程中的灵感催化剂,助力您的创作。
0 引言
随着电子政务不断推进,社会各阶层对电子政务的依赖程度越来越高,信息安全的重要性日益突出,在电子政务的信息安全管理问题中,基于现实特点的电子政务信息安全体系设计和风险评估[1]模型是突出的热点和难点问题。本文试图就这两个问题给出分析和建议。
1 电子政务信息安全的总体要求
随着电子政务应用的不断深入,信息安全问题日益凸显,为了高效安全的进行电子政务,迫切需要搞好信息安全保障工作。电子政务系统采取的网络安全措施[2][3]不仅要保证业务与办公系统和网络的稳定运行,另一方面要保护运行在内部网上的敏感数据与信息的安全,因此应充分保证以下几点:
1.1 基础设施的可用性:运行于内部专网的各主机、数据库、应用服务器系统的安全运行十分关键,网络安全体系必须保证这些系统不会遭受来自网络的非法访问、恶意入侵和破坏。
1.2 数据机密性:对于内部网络,保密数据的泄密将直接带来政府机构以及国家利益的损失。网络安全系统应保证内网机密信息在存储与传输时的保密性。
1.3 网络域的可控性:电子政务的网络应该处于严格的控制之下,只有经过认证的设备可以访问网络,并且能明确地限定其访问范围,这对于电子政务的网络安全十分重要。
1.4 数据备份与容灾:任何的安全措施都无法保证数据万无一失,硬件故障、自然灾害以及未知病毒的感染都有可能导致政府重要数据的丢失。因此,在电子政务安全体系中必须包括数据的容灾与备份,并且最好是异地备份。
2 电子政务信息安全体系模型设计
完整的电子政务安全保障体系从技术层面上来讲,必须建立在一个强大的技术支撑平台之上,同时具有完备的安全管理机制,并针对物理安全,数据存储安全,数据传输安全和应用安全制定完善的安全策略
在技术支撑平台方面,核心是要解决好权限控制问题。为了解决授权访问的问题, 通常是将基于公钥证书(PKC)的PKI(Public Key Infrastructure)与基于属性证书(AC)的PMI(Privilege Management Infrastructure)结合起来进行安全性设计,然而由于一个终端用户可以有许多权限, 许多用户也可能有相同的权限集, 这些权限都必须写入属性证书的属性中, 这样就增加了属性证书的复杂性和存储空间, 从而也增加了属性证书的颁发和验证的复杂度。为了解决这个问题,作者建议根据X.509标准建立基于角色PMI的电子政务安全模型。该模型由客户端、验证服务器、应用服务器、资源数据库和LDAP 目录服务器等实体组成,在该模型中:
2.1 终端用户:向验证服务器发送请求和证书, 并与服务器双向验证。
2.2 验证服务器:由身份认证模块和授权验证模块组成提供身份认证和访问控制,是安全模型的关键部分。
2.3 应用服务器: 与资源数据库连接, 根据验证通过的用户请求,对资源数据库的数据进行处理, 并把处理结果通过验证服务器返回给用户以响应用户请求。
2.4 LDAP目录服务器:该模型中采用两个LDAP目录服务器, 一个存放公钥证书(PKC)和公钥证书吊销列表(CRL),另一个LDAP 目录服务器存放角色指派和角色规范属性证书以及属性吊销列表ACRL。
安全管理策略也是电子政务安全体系的重要组成部分。安全的核心实际上是管理,安全技术实际上只是实现管理的一种手段,再好的技术手段都必须配合合理的制度才能发挥作用。需要制订的制度包括安全行政管理和安全技术管理。安全行政管理应包括组织机构和责任制度等的制定和落实;安全技术管理的内容包括对硬件实体和软件系统、密钥的管理。
3 电子政务信息安全管理体系中的风险评估
电子政务信息安全等级保护是根据电子政务系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度。等级保护工作的要点是对电子政务系统进行风险分析,构建电子政务系统的风险因素集。
3.1 信息系统的安全定级 信息系统的安全等级从低到高依次包括自主保护级、指导保护级、监督保护级、强制保护级、专控保护级五个安全等级。对电子政务的五个安全等级定义,结合系统面临的风险、系统特定安全保护要求和成本开销等因素,采取相应的安全保护措施以保障信息和信息系统的安全。
3.2 采用全面的风险评估办法 风险评估具有不同的方法。在ISO/IEC TR13335-3《信息技术IT安全管理指南:IT安全管理技术》中描述了风险评估方法的例子,其他文献,例如NIST SP800-30、AS/NZS 4360等也介绍了风险评估的步骤及方法,另外,一些组织还提出了自己的风险评估工具,例如OCTAVE、CRAMM等。
电子政务信息安全建设中采用的风险评估方法可以参考ISO17799、OCTAVE、CSE、《信息安全风险评估指南》等标准和指南,从资产评估、威胁评估、脆弱性评估、安全措施有效性评估四个方面建立风险评估模型。其中,资产的评估主要是对资产进行相对估价,其估价准则依赖于对其影响的分析,主要从保密性、完整性、可用性三方面进行影响分析;威胁评估是对资产所受威胁发生可能性的评估,主要从威胁的能力和动机两个方面进行分析;脆弱性评估是对资产脆弱程度的评估,主要从脆弱性被利用的难易程度、被成功利用后的严重性两方面进行分析;安全措施有效性评估是对保障措施的有效性进行的评估活动,主要对安全措施防范威胁、减少脆弱性的有效状况进行分析;安全风险评估就是通过综合分析评估后的资产信息、威胁信息、脆弱性信息、安全措施信息,最终生成风险信息。
在确定风险评估方法后,还应确定接受风险的准则,识别可接受的风险级别。
4 结语
电子政务与传统政务相比有显著区别,包括:办公手段不同,信息资源的数字化和信息交换的网络化是电子政务与传统政务的最显著区别;行政业务流程不同,实现行政业务流程的集约化、标准化和高效化是电子政务的核心;与公众沟通方式不同,直接与公众沟通是实施电子政务的目的之一,也是与传统政务的重要区别。在电子政务的信息安全管理中,要抓住其特点,从技术、管理、策略角度设计完整的信息安全模型并通过科学量化的风险评估方法识别风险和制定风险应急预案,这样才能达到全方位实施信息安全管理的目的。
参考文献:
[1]范红,冯国登,吴亚非.信息安全风险评估方法与应用.清华大学出版社.2006.
【关键词】电子政务;安全;信息;保障
中图分类号:TP39 文献标识码:A 文章编号:1006-0278(2013)01-106-01
一、前言
特别是近年来,随着政务信息化的快速发展,政府管理工作和政府信息化系统的日益复杂化,给政务网络的安全性带来了诸多的挑战,加强电子政务网络安全体系的设计和建设,对推动电子政务的发展具有重要的意义。文章在这种情况下,首先对电子政务的安全风险现状进行简单介绍,然后对电子政务信息安全保障的措施进行分析,具有一定的借鉴意义。
二、电子政务的安全风险现状
(一)技术方面
1.计算机系统本身的脆弱性,使得它无法抵御自然灾害的破坏,也难以避免偶然无意造成的危害。自然环境影响、基础设施遭到破坏等等,将给系统造成非常大的风险。
2.网络本身存在缺陷。首先,软件本身缺乏安全性。操作系统规划通常非常关注保证信息处理能力,在安全方面不是特别关注。
(二)管理方面
对现有的网络攻击和入侵事件的一项统计报告显示:其他地区入侵安全风险指数是21%,黑客入侵所占比例能够达到48%,竞争对手所占比例能够达到72%,内部员工所占比例能够达到89%。能够充分显示电子政务信息安全并非仅仅为技术问题。如果没有从管理制度、人员和技术上建立相应的电子化业务安全防范机制,缺乏行之有效的安全检查保护措施,再好的技术和设备都无法确保其信息安全。
三、电子政务信息安全保障的措施建议
(一)构建内部安全管理
电子政务网络系统的安全关系到国家的安全、以及公众的利益。因此安全性规划一定要特别关注下述角度:首先一定要根据相关规章制度,其次为不断健全政务网络安全管理制度;再次为制定电子政务网络系统控制方法;第四为一定要清楚划分相关工作人员自身实际权责;第五为从电子政务网络系统安全体系规划过程中,不断健全安全管理规定;最后在所有步骤开展管理,提高其可靠性水平。
(二)硬件系统的安全设计
虽然有很多的电子政务网络硬件设备以及计算机系统存在较多的漏洞和缺陷,但是一定要维持软件系统更新,从电子政务网络系统内进行设置,同时按阶段调整安全日志,通过上述手段保证其可靠性。
(三)应用层信息的设计
1 身份验证
防范措施,通过在电子政务中设定网络用户名和密码,这样不仅能够防止无关人员的登陆,而且能够阻止对电子政务信息的访问。不过因为黑客技术同样持续完善,因此电子政务网络安全体系规划一定要采纳口令技术,同时和另外的技术完美结合,提高其可靠性。
2 权限矩阵
对于电子政务网络系统的登陆一般分为管理人员和普通人员两种登陆方式,不同的身份对应电子政务系统中不同的内容,具有不同的访问权限。因此登录系统之后,工作人员能够从电子政务网络系统内开展相应的操作,承担起电子政务系统的控制工作。一般工作人员仅仅可以调阅相关信息,不能够开展操作。从电子政务系统内采纳此类管理能够有效提高可靠性。
(四)计算机病毒的防护
想要避免病毒给系统产生恶劣影响,要营造病毒防护体系。同时要设置杀毒软件。除了能够灭杀病毒,同时能够管理网络端口,在维持系统安全方面能够产生非常关键的影响。
(五)入侵监测与防火墙设备的设计
在电子政务网络系统中,入侵监测设备的配置主要是为了防止外部人员(即黑客)的非法入侵,防火墙的配置主要是为了能够加强对网络的访问控制,防火墙能够对两个或者两个以上网络之间传输的数据的安全性根据一定的安全策略进行检查,并具有监视网络是否安全运行的作用,两者结合能够有效的防止外部人员采用不正当的手段访问网络系统中的资源和信息。提高系统可靠性。
在电子政务网络系统中,防火墙是网络安全体系中最根本的措施,防火墙处于电子政务网络层的安全技术的最低层,网络之间的通信以及相互访问等都要通过防火墙进行安全认证。由于技术不断发展,防火墙系统可以开展安全服务,所以防火墙得到了普遍的采纳。
关键词:电子政务网;信息安全评估;研究综述
一、研究的意义
伴随着计算机通信技术的广泛应用,信息化时代迅速到来。社会信息化给政府事务管理提出了新的要求,行政管理的现代化迫在眉睫。电子政务在发达国家取得长足进展,为了提高政府的行政效能和行政管理水平,我国正在加快对电子政务网的建设。在新的时代条件下,开放和互联的发展带来信息流动的极大便利,同时,也带来了新的问题和挑战。电子政务系统上所承载的信息的特殊性,在网络开放的条件下,尤其是公共部门电子政务信息与资产,如果受到不法攻击、利用,则有可能给国家带来损失,也可能危及政府、企业和居民的安全。作为政府信息化工作的基本手段,电子政务网在稳定性、安全性方面,比普通信息网要求更高。对信息安全风险进行评估,是确定与衡量电子政务安全的重要方式。研究确定科学的安全风险评估标准和评估方法及模型,不仅有助于维护政府信息安全,也有助于防止现实与潜在的风险。
二、国内外研究状况
当前,国内外尚未形成系统化的电子政务网络信息安全的评估体系与方法。目前主要有风险分析、系统安全工程能力成熟度模型、安全测评和安全审计等四类。
(一)国外研究现状。在风险评估标准方面,1993年,美、英、德等国国家标准技术研究所与各国国家安全局制定并签署了《信息技术安全通用评估准则》。1997年形成了信息安全通用准则2.0版,1999年形成了CC2.1版,并被当作国际标准(150/IEC15408)。CC分为EALI到EAL7共7个评估等级,对相关领域的研究与应用影响深远。之后,风险评估和管理被国际标准组织高度重视,作为防止安全风险的手段,他们更加关注信息安全管理和技术措施,并体现在相继于1996年和2000年的《信息技术安全管理指南》(150/IECTR13335标准)和《信息技术信息安全管理实用规则》(150/IEC177799)中。与此同时,全球在信息技术应用和研究方面较为发达的国家也纷纷研发符合本国实际的风险管理标准。如美国国家标准与技术局自1990年以来,制定了十几个相关的风险管理标准。进入二十一世纪初,美国又制定了《IT系统风险管理指南》,细致入微地提出风险处理的步骤和方法。2002年与2003年,美国防部相继公布了《信息(安全)保障》指示(8500•l)及更加完备的《信息(安全)保障实现))指令(5500•2),为国家防务系统的安全评估提供了标准和依据。随着信息安全标准的广泛实施,风险评估服务市场应运而生。继政府、社会研究机构之后,市场敏锐的产业界也投入资金出台适应市场需求风险评估评估体系和标准。例如美国卡内基•梅隆大学的OCTAVE方法等。在风险评估方法方面,目前许多国内外的学者运用神经网络、灰色理论、层次分析法、贝叶斯网络、模糊数学、决策树法等多种方法,系统研究并制定与开发了不同类型、不同用途的风险评估模型,这些模型与方法虽然具备一定的科学依据,在不用范围和层面的应用中取得一定成果,但也存在不同程度的不足,比如计算复杂,成本高,难以广泛推广。
(二)国内相关研究现状。我国的研究较之国外起步稍晚,尽管信息化浪潮对各国的挑战程度不同,但都深受影响。20世纪90年代末,我国信息安全标准和风险评估模型的研究已广泛开展。但在电子政务网上的应用却是近几年才开始引发政府、公众及研究机构的关注。任何国家政府都十分重视对信息安全保障体系的宏观管理。但政府依托什么来宏观控制和管理呢?实际上就是信息安全标准。所以在股价战略层面看,用哪个国家的标准,就会带动那个国家的相关产业,关系到该国的经济发展利益。标准的竞争、争夺、保护,也就成为各国信息技术战场的重要领域。但要建立国内通行、国际认可的技术标准,却是一项艰巨而长期的任务。我国从20世纪80年代开始,就组织力量学习、吸收国际标准,并逐步转化了一批国际信息安全基础技术标准,为国家安全技术工作的发展作出了重要贡献。信息安全技术标准的具体研究应用,首先从最直接的公共安全领域开始的。公安部首先根据实际需要组织制定和颁布了信息安全标准。1999年颁布了《计算机信息系统安全保护等级划分准则》(GB17859一1999);2001年援引CC的GB/T18336一2001,作为我国安全产品测评的标准;在此基础上,2003年完成了《风险评估规范第1部分:安全风险评估程序》、《风险评估规范第2部分:安全风险评估操作指南》。同时,公安部以上述国家标准为依据,开展安全产品功能测评工作,以及安全产品的性能评测、安全性评测。在公安部的带动下,我国政府科研计划和各个行业的科技项目中,都列出一些风险评估研究项目,带动行业技术人员和各部门研究人员加入研究行列,并取得一些成果。这些成果又为风险评估标准的制定提供了丰富的材料和实践的依据。同时,国家测评认证机构也扩展自己的工作范围,开展信息系统的安全评测业务。2002年4月15日,全国信息安全标准化技术委员会正式成立。为进一步推进工作,尽快启动一批信息安全关键性标准的研究工作,委员会制定了《全国信息安全标准化技术委员会工作组章程(草案)》,并先后成立了信息安全标准体系与协调工作组(WG1)、内容安全分级及标识工作组(WG2)等10个工作组。经过我国各部门和行业的长期研究和实践,积累了大量的成果和经验,在现实需求下,制定我国自己的风险评估国家标准的条件初步成熟。2004年,国信办启动了我国风险评估国家标准的制定工作。该项工作由信息安全风险评估课题组牵头制定工作计划,将我国风险评估国家标准系列分为三个标准,即《信息安全风险管理指南》、《信息安全风险评估指南》和《信息安全风险评估框架》。每个标准的内容和规定各不相同,共同组成国家标准系列。《信息安全风险管理指南》主要规定了风险管理的基本内容和主要过程,其中对本单位管理层的职责予以特别明确,管理层有权根据本单位风险评估和风险处理的结果,判断信息系统是否运行。《信息安全风险评估指南》规定,风险评估包括的特定技术性内容、评估方法和风险判断准则,适用于信息系统的使用单位进行自我风险评估及机构的评估。《信息安全风险评估框架》则规定,风险评估本身特定的概念与流程。
三、研究的难点及趋势
电子政务网的用户与管理层不一定具备计算机专业的技能与知识,其操作行为与管理方式可能造成安全漏洞,容易构成网络安全风险问题。目前存在的风险评估体系难以适应电子政务安全运行的基本要求,因此结合电子政务网性需求,需要设计一种由内部提出的相应的评估方法和评估准则,制定风险评估模型。当前存在的难点主要有:一是如何建立风险评估模型体系来解决风险评估中因素众多,关系错综复杂,主观性强等诸多问题,是当前电子政务网络信息安全评估研究的重点和难点。二是评估工作存在评估误差,也是目前研究的难点和不足之处。误差的不可避免性,以及其出现的随机性和不确定性,使得风险评估中风险要素的确定更加复杂,评估本身就具有了不确定性。从未来研究趋势看,一是要不断改进风险评估方法和风险评估模型。有研究者认为,要充分借鉴和利用模糊数学的方法,建立OCTAVE电子政务系统风险评估模型。它可以有效顾及评估中的各项因素,较为简易地获得评估结果,并消除其中存在的主观偏差。二是由静态风险评估转向动态风险评估。动态的风险评估能够对电子政务信息安全评估进行较为准确的判断,同时可以及时制止风险进一步发生。在动态模型运用中,研究者主要提出了基于主成分的BP人工神经网络算法,通过对人工神经网络算法的进一步改进,实现定性与定量的有效结合。
作者:郭玮 单位:西安邮电大学
参考文献:
[1]陈涛,冯平,朱多刚.基于威胁分析的电子政务信息安全风险评估模型研究[J].情报杂志,2011,8:94~98
[2]雷战波,胡安阳.电子政务信息安全风险评估方法研究[J].中国信息界,2010,6
[3]余洋.电子政务系统风险评估模型设计与研究[D].成都理工大学,2008
[4]周伟良,朱方洲,电子政务系统安全风险评估研究[J].电子政务,2007,29:67~68
[5]赵磊.电子政务网络风险评估与安全控制[D].上海交通大学,2011
[6].自动安全评估系统的分析与设计[D].北京邮电大学,2011
所以,济源根据其信息化基础设施较好的特点,积极利用互联网资源进行了电子政务建设,这样既可以节约资源、节省成本,又提高了服务的覆盖面,并最终探索出了一条基于互联网的电子政务信息安全保障的新路线,为全国电子政务的推广提供了很好的经验。
不过,我们不可否认,互联网作为一个开放的网络环境,在安全方面确实存在着先天不足和诸多的隐患,基于互联网的电子政务建设面临着政务信息失泄密、非法篡改、身份假冒等安全威胁。所以济源在电子政务建设中,高度重视信息安全的问题,明确规定信息不能上网,而且通过密码技术来保证基于互联网的电子政务的信息安全。
虽然济源在电子政务网络的建设中,包括信息安全的建设中,都没有拉一条专线,没有建一个专网,完全是基于互联网,但他们通过采用商用密码技术和VPN技术,合理配置了具有防火墙功能的、不同档次的VPN安全网关和VPN客户端,实现了整个网络在安全条件下的互联互通和信息共享。
由于完全是基于互联网的电子政务,安全变得至关重要,但是,保障信息安全并不是安全措施越多越好,不能为了安全而安全,而是应该根据系统安全等级采用适度的安全措施,更重要的是从实际应用出发,保证适度安全,使得电子政务系统能够既安全又好用。
如何在坚持适度安全的基础上建设基于互联网的电子政务安全保障体系呢?
济源同样选择了等级保护的方法,把安全办公与开放服务有机地统一起来,在风险分析的前提下合理定级,并进行了分域防控和分级防护。
同样是由于基于互联网,安全隐患多而复杂,所以在风险分析中就面临了更大的和更严峻的挑战。作为政府政务办公的“内部”网和面向公众开放服务的“外部”网都是在互联网上的,互联网上的身份假冒、口令窃取等威胁很大,所以身份鉴别是网络安全的基础;存储或传输的信息在互联网上容易被窃取或篡改,所以信息坚决不能上网;系统遭到攻击的风险很大,所以必须提高抗攻击的能力;互联网上病毒传播和扩散很广很快,所以要防止其影响到终端和服务器的正常运行。
针对由于互联网带来的这些风险,济源将电子政务应用系统分为了公开信息处理区和敏感信息处理区,根据其不同的特点分别进行防护。比如,公开信息处理区主要是面向广大公众的服务系统和完全公开的信息,由于广大互联网用户都可以访问,所以就要采取网页防篡改措施。
而在分级防护方面,将信息分为了完全公开、内部公开和内部受控三类,也是根据不同类别的不同特点采取不同的安全措施。比如对于在互联网上完全公开的信息,用户无须身份认证和加密传输就可以直接访问;而对于内部公开信息则用了商用密码进行传输加密,要通过口令进行身份认证后才能访问。
当然作为基于互联网开展电子政务的惟一一家试点单位,济源进行了一些有益的尝试,也取得了初步的成效,但要进一步拓展服务模式、扩大使用范围、提高服务质量,甚至是在全国进行推广,都还有很长的路要走。
实施效果
低成本的政务网络实现了安全政务办公和可信政务服务
【关键词】电子政务 网络信息 安全问题
网络环境为信息共享、信息交流、信息服务创造了理想空间,同时也产生了许多安全问题如信息泄漏、信息污染、信息不易受控等。网络运用的趋势是全社会广泛参与,但随之而来的是控制权分散的政府电子政务管理问题。由于人们利益、目标、价值的分歧,使信息资源的保护和管理出现脱节和真空,从而使信息安全问题变得广泛而复杂。在网络环境中,一些组织或个人出于某种特殊目的,进行信息泄密、信息破坏、信息侵权和意识形态的信息渗透,甚至通过网络进行政治颠覆等活动,使国家利益、社会公共利益和各类主体的合法权益受到威胁。随着社会重要基础设施的高度信息化,社会的“命脉”和核心控制系统有可能面临更大的威胁。
一、网络安全风险分析
电子政务网络安全是网络正常运行的前提。网络安全不只是单点的安全,而是整个信息网的安全,需要从物理、网络、系统、应用和管理方面进行立体的防护。要想知道如何防护,首先需要了解安全风险来自于何处。电子政务网络安全系统必须包括技术和管理两方面,涵盖物理层、系统层、网络层、应用层和管理层各个层面上的诸多风险类。无论哪个层面上的安全措施不到位,都会存在很大的安全隐患,都有可能造成网络的中断。根据国内网络系统的网络结构和应用情况来看,应当从网络安全、系统安全、应用安全及管理安全等方面进行全面地分析。风险分析是政府电子政务网络安全技术需要提供的一个重要功能。它要连续不断地对网络中的消息和事件进行检测,对系统受到侵扰和破坏的风险进行分析。风险分析必须包括网络中所有有关的成分。
我国政府电子政务网络安全问题日益突出的主要标志是:一是计算机系统遭受病毒感染和破坏的情况相当严重;二是电脑黑客活动已形成重要威胁;三是信息基础设施面临网络安全的挑战;四是网络政治颠覆活动频繁。
电子政务运行管理是过程管理,是实现全网安全和动态安全的关键。有关电子政务信息安全的政策、计划和管理手段等最终都会在政府电子政务运行管理机制上体现出来。就目前的电子政务运行管理机制来看,有以下几方面的缺陷和不足。
(1)政府电子政务网络安全管理方面人才匮乏。由于互联网通信成本极低,分布式客户服务器和不同种类配置不断更新和发展及技术应用的扩展,技术的管理也应同步扩展,但从事系统管理的人员却往往并不具备安全管理所需的技能、资源和利益导向。政府电子政务信息安全技术管理方面的人才无论是数量还是水平,都无法适应政府电子政务信息安全形势的需要。
(2)安全措施不到位。互联网越来越具有综合性和动态性特点,这同时也是互联网不安全因素的原因所在。然而,网络用户对此缺乏认识,未进入安全就绪状态就急于操作,结果导致敏感数据暴露,使系统遭受风险。配置不当或过时的操作系统、邮件程序和内部网络都存在入侵者可利用的缺陷,如果缺乏周密有效的安全措施,就无法发现和及时查堵安全漏洞。当厂商补丁或升级软件来解决安全问题时,许多用户的系统却不进行同步升级,主要是管理者未充分意识到网络不安全的风险所在,未引起重视。
(3)缺乏综合性的解决方案。面对复杂的不断变化的互联网世界,大多数政府电子政务部门缺乏综合性的安全管理解决方案,使这些政府电子政务部门就此产生了虚假的安全感,渐渐丧失警惕。实际上,一次性使用一种方案并不能保证系统一劳永逸和高枕无忧,网络安全问题远远不是防毒软件和防火墙能够解决的,也不是大量标准安全产品简单堆砌就能解决的。近年来,国外的一些互联网安全产品厂商及时应变,由防病毒软件供应商转变为企业安全解决方案的提供者,他们相继在我国推出多种全面的企业安全解决方案,包括风险评估和漏洞检测、入侵检测、防火墙和虚拟专用网、防病毒和内容过滤解决方案等一整套综合性安全管理解决方案。
(4)缺乏制度化的防范机制。不少政府电子政务部门单位没有从管理制度上建立相应的安全防范机制,在整个运行过程中,缺乏行之有效的安全检查和应对保护制度。不完善的制度滋长了网络管理者和内部人士自身的违法行为。许多网络犯罪行为(尤其是非法操作)都是因为内部联网电脑和系统管理制度疏于管理而造成的。同时,政策法规难以适应网络发展的需要,政府电子政务部门信息立法还存在相当多的空白。个人隐私保护法、数据库保护法、数字媒体法、数字签名认证法、计算机犯罪法以及计算机安全监管法等信息空间正常运作所需的配套法规尚不健全。由于网络作案手段新、时间短、不留痕迹等特点,给侦破和审理网上犯罪案件带来极大困难。
二、对解决我国政府电子政务网络安全问题的几点建议
一是在国家层面上结合我国国情制定的计划能全面加强和指导国家政治、军事、经济、文化以及社会生活各个领域的网络安全防范体系。
二是建立有效的国家政府电子政务信息安全管理体系。改变原来职能不匹配、重叠、交叉和相互冲突等不合理状况,提高政府的管理职能和效率。
三是加快出台相关法律法规。改变目前一些相关法律法规太笼统、缺乏操作性的现状,对各种政府电子政务信息主体的权利、义务和法律责任,做出明确的法律界定。
四是在信息技术尤其是政府电子政务信息安全关键产品的研发方面,提供全局性的具有超前意识的发展目标和相关产业政策,保障政府电子政务信息技术产业和政府电子政务信息安全产品市场有序发展。
关键词电子政务;信息安全;风险分析
1电子政务信息安全的内涵
对政府管理来说,电子政务意味着一场巨大的革命。利用信息、通信技术,摆脱了行政机关在组织上的界限,建立电子化的虚拟单位,让公众不再受传统关卡、书面审核的限制。结合自身的需求,我们可以自由地选择获取途径、时间或是地点等,为公民提供多元化的服务。政府机关、政府和社会各界,同样也可以利用电子化渠道来达到无障碍地交流。电子政务的创建,将政府打造成了与环保精神更贴合的政府。它非常开放、透明,有很高的办事效率,同时也更注重廉洁勤政。但是,电子政务的基本职能和优势有个重要的前提:信息安全。电子政务信息官网有不少政府公文仍在流转,充斥很多机密比较高的数据或是信息,这就威胁着政府的主导政务。它牵扯到政府机构、各大系统甚至国家总体的利益。严重时,可能会威胁国家的利益和领土安全。可见,探讨电子政务及其相关安全问题很有必要[1]。
2电子政务信息安全风险分析
2.1观念、管理及法律方面
数年前,信息安全专家便明确地主张:注重和完善信息安全。1999年,政府成功启动了上网工程,非常关注网络系统的建设。然而,部分区域却并未从思想上关注信息安全。据统计,政府投入到网络安全上的经费比重低于2%。而国外的比例约为10%,二者差距很明显。在电子政府信息威胁事件中,黑客的侵袭、内部雇员入侵的占比相对偏高。但是,他们并未关注网络犯罪,忽略了黑客攻击或是病毒入侵等比较常见的网络犯罪。很明显,这就对网络信息安全埋下了隐忧。电子政务信息安全,并非简单的技术问题。我们需要对问题有深层次地了解,洞悉当前的情况,从本质上处理和规避安全隐患。构建电子化业务良性的安全防范机制,下达合理的检查措施,利用法律来规范公民的网络行为,降低网络犯罪率。
2.2技术方面
计算机系统相对比较脆弱,没有办法对自然灾害进行防范、抵抗。正因为此,很多意外傷害注定要出现。如:系统环境,突然断电、设备故障或是电压不稳等。该类危害,均会对操作系统设备造成严重的损害。甚至,对数据造成损坏,摧毁整个计算机系统。就网络而言,它本身也有一定的缺陷。一是软件没有绝对的安全系数。系统设计,重在帮助用户更好地处理信息,提升效率。而安全,仅仅为附带条件。操作系统中,必定会留下很多的安全隐患。第二,网络设备有其自身的缺陷。安全隐患:干扰或是阻断物理通路;数据中途被非法窃听;非授权使用,信息被拦截;操作系统有明显的安全漏洞;信息泄露、篡改、抵赖以及假冒等。第三,各部门未建立良性的操作、计算机网络以及数据库管理系统,没有下达一致的信息安全标准,也未统一密码算法或是协议。故此,很难判断系统的安全[2]。
3电子政务信息安全的防范措施
3.1强化电子政务信息安全的意识和管理机制
信息安全意识,也就是使用人员对信息安全的认知水平和了解程度。体现为:信息安全、管理行为的实效性、敏锐性,对政务信息安全进行维护的自觉性。除立法上的约束外,电子政务信息安全也需建立良性的管理机制。第一,要有目的地增强电子政务信息系统和从业人员的服务意识和工作能力。要对领导机构进行完善,对信息系统保密性以及安全性做好大力宣传,提升从业人员自身的保密意识。为完成上述任务,建议有关部门运用集中培训或是知识竞赛等不同类型的活动形式,使保密意识、能力提升进行常态化。利用不同途径,来增强电子政府从业人员个人的工作水平,提升他们的安全意识和使命感。及时对防范技术、方案做出创新,保持活动的先进性,从而建立内容齐全的信息安全系统。
3.2加强电子政务系统中的信息安全技术的有效手段
电子政务囊括了两个不同的方面:一是内部办公,二是信息服务。该系统中,数据才是重点。对政府数据而言,最大的风险在于被窃取或是恶意篡改。为避免上述损失,我们应当确立良性的数据保护机制。一是要对物理访问进行控制,避免外部人员直接和主机或是存储设备等藏有重要信息的设备接触和操作。二是要对数据抓好逻辑访问控制。服务器端没有工作的端口,要及时关闭。系统必须设计不同等级的保护对策,做好身份识别,同时对访问权限进行设定。信息接收,同样要选择加密或是解码。三是要对数据进行备份,编写合理的灾难恢复计划。数据备份,有助于对主要数据进行恢复,确保系统的健康工作。四是注重对计算机病毒进行防控,下达合理的病毒防治规章。要购买先进的杀毒软件,但要清楚任何反病毒软件都没有办法彻底防御计算机潜在的各种病毒。故而,要利用和更新防病毒软件。四是以“云”技术为依托,制定相同的虚拟终端,防止“本地化”操作,减少数据的意外损失。
3.3建立健全电子政务信息安全法律法规
如今,国内并未对电子政务信息安全确立完整的立法。有关部门必须按照计算机安全保护法来执行各项任务。故此,电子政务在立法上并没有清晰的地位。针对那些破坏或扰乱信息安全的主体和行为,也没有采取严厉的处罚对策。实践中,我们需要做出多次地立法尝试,完善行业的立法章程。转变立法过于笼统、操作性不强的现况,确保法理的规范性。
4结束语
从现有形势来看,电子政务在国内的发展速度相当惊人。尤其是发达地区,其增速更为明显。有关电子政务,政府部门的运用相当广泛。在享受电子政务带来便捷的同时,我们也要注重对信息做好保密和安全防范工作。随着我国的深层次开放,更需要我们抓好安全监管,搭设良好的保护屏障。在电子政府信息化背景下,如果政府信息在安全上没有保障,那么国家也会陷入混乱和危机的状态,失去安全的保护屏障。
参考文献
[1] 周晓斌.电子政务安全亟待解决[N].中国计算机报,2004-02-09(C21).
关键词:电子政务;服务经济;服务社会
1美国“全球电子商务框架”概要
随着信息技术的迅速发展,电子政务与电子商务被提上日程,并取得显著成效,电子政务与电子商务的协调成为信息化发展的一大趋势。电子政务与电子商务协同实现的整体效应必然对国民经济和社会的发展与进步产生积极而深刻的影响。
1997年7月1日,克林顿总统颁布了联邦政府促进、支持电子商务发展的“全球电子商务框架”。该框架确立了联邦政府政策的基本框架,对于美国乃至世界各国电子商务的发展产生了积极影响。
在“全球电子商务框架”中,联邦政府提出了发展电子商务的原则和建议。发展电子商务主要原则包括因特网发展是市场驱动的所以私营部门必须发挥主导作用、在通过因特网进行产品或者服务买卖并达成合法协议的过程中政府应该避免对电子商务的不当限制、政府必须参与时政府参与的目标应该是支持和创造一种可以预测的、受影响最小的、持续简单的法律环境为商业发展营造合适的环境、政府必须深化对因特网的特性的认识从而对现有的一些可能阻碍电子商务发展的法律法规重新进行审议、修改或者废止、打破网上交易的法律框架的地区、国家和国际之间的界限促进电子商务在全球范围内发展。
电子商务与电子政务表现为互动关系,经过研究发现美国“全球电子商务框架”对我国电子政务的改革提供了参考。
2“全球电子商务框架”对我国电子政务改革的启示
2.1做好灾备方案,确保信息安全
经济社会中存在大量数据,WestWorld公司的报告指出,在每500个数据中心中就有1个每年要经历一次灾难。电子政务建设离不开数据,数字信息是源头活水。刘家真教授提出了制定网络环境下的电子文件管理规范,必须考虑管理者的责任和办公自动化网络上运行的电子消息必须作为凭证加以管理。刘家真教授在调研的基础上分析了我国文献的档案数据面临的风险,根据国情提出文献的档案数据宜采用同城异地备份与远端异地储存其离线备份的灾备方案,并对远端异地离线灾备基地的建设、管理与可持续运作提出了建议。刘家真教授还深入研究了更新与迁移在档案保护中的广泛应用,以及更新与迁移可能带来的档案内容信息损失风险,并提出了如何规避这类风险的管理策略。这些策略对于信息的更新与迁移过程中的丢失可以起到“防患于未然”的作用。刘家真教授指出,“保护数字文献的关键在于维护数字信息的长期可存取性,为维护数字信息的长期可存取,还提出了3M策略:数字媒体的选择与维护、科学管理以及技术迁移。”因此,要建立信息安全平台,保护网上政务资源。搭建安全支撑平台和安全应用支撑平台。电子政务的数据处理与保护必须放在第一位,数据丢失了,或者被删改了,起不到应有作用,甚至会起到负作用。
2.2政府市场联动,强化信息管理
电子政务信息共享已成为公务员及社会公众日益紧迫的需求。然而,由于行政体制、管理模式等方面的原因,电子政务信息共享面临着一系列的障碍和问题。为了提高电子政务信息共享的效率,各级政府部门应当针对这些原因和表现,采取相应的对策。因此必须强化电子政务的信息管理。
电子政务的信息管理要引入市场机制、把握好电子政务的市场定位、确立客户关系管理和赢利模式大力推进电子政务市场化建设。电子政务建设中要发挥多方面的作用,尤其要让第三部门、企业集团甚至民间组织加入,让他们成为电子政务建设的主体之一。
电子政务信息管理是一个巨大工程,短期的规划是注重解决眼下必须解决的问题,同时要制订中长远规划,做好成本效益分析。建造电子政务的经济效益模型,熟练掌握电子政务对经济效益影响的几种主要方式和内容,间接影响至少要考虑建设、管理和服务等方面的效益,直接影响应考虑到电子政务对政府、相关企业及咨询机构等方面的影响。
电子政务信息管理的好坏标准要交给市场而不是政府,这样政府才能牢牢抓住主动权。国内外信息化的实践证明,信息化建设必须有标准化的支持,尤其要发挥标准化的导向作用,以确保技术上的协调一致和整体效能的实现。
电子政务推进标准化必须进行正确的策略选择。为电子政务标准选择正确的类型、级别与形式就有着特殊重要的作用。要明确电子政务标准化在标准类型归属、标准级别划定与标准形式确定方面的特殊要求,正确选择我国电子政务标准类型、级别与形式。
2.3协同政务建设,攻克关键技术
政务主要包括行政决策、行政执行、行政监督三个环节,要从行政决策组织、行政决策活动、行政执行组织、行政执行活动、行政监督组织、行政监督活动、公务员培训等几个方面探讨电子政务的协同发展以降低行政成本的机理。如公务员的部分培训内容可以在网上进行降低培训成本。
降低政务成本要推进协同电子政务建设,协同电子政务是对政府自身运作能力的强化,协同电子政务有助于政府组织实现职能整合、信息整合、业务整合、流程整合,最终实现政务工作和服务的全面提高。推进协同电子政务建设中要注意解决好政府和开发商之间存在的利益冲突问题,必须设计好有效的激励机制。
我国电子政务建设中的主要问题是国产软硬件的相对不成熟,在集成时出现不兼容的问题,在现有的国产软硬件的基础上,要经过反复测试和优化形成一套真正运行稳定、切实可行的国产软硬件的集成应用方案,确保应用国产的关键技术。
知识产权和隐私的保护技术急需攻克并同步更新。应当从提高公民个人信息隐私权意识,提高电子政务信息管理者道德,以及加强电子政务信息资源系统的管理方面来保护电子政务信息系统中的个人信息隐私权。
我国知识产权电子政务建设的起点和国外比较差不多。国外知识产权类网站的开发者主要是国际协会或组织,行政管理网站占据主要地位。我国是以中央的知识产权信息网站带动地方的知识产权信息网站建设,实现各知识产权信息库的资源共享。要保证电子政务信息资源权利人享有合法权利。
2.4依法管理政务,制度职能创新
电子政务呼唤新的管理理念。要把以人为本的管理理念贯穿电子政务的全过程,要运用信息时代的人本思维重塑政府管理模式,推动电子政务的发展。推进电子政务实际上是要达到政府行政管理领域内新的制度平衡。
电子政务始终要以依法行政为大前提。电子政务立法的宗旨应当是推动政府信息公开、推进政务信息化建设、提高政务办公效率。电子政务的法律框架,本质是为电子政务提供公平、透明、和谐的环境。电子政务要立法。立法中的核心问题是立法模式、立法层次、立法效力等。电子政务的运行必须在法律监督之下,电子政务的发展也必须基于信息法律的保障,电子政务的实施有利于建设法制社会。电子政务发展需要健全的法律环境。从电子政务的建设和应用的流程角度来看,电子政务发展应完善:与政务信息有关的行政法律法规问题、电子政务建设管理和应用的法律法规问题、电子政务建设的技术标准。
电子政务的本质是对政府职能的转变和创新。电子政务不仅在公共行政领域,而且在人类生活的各个领域都产生了影响。电子政务是信息时代各级政府治理不可缺少的工具,为构建服务型地方政府提供了现实条件。
电子政务是现代政府管理创新工具。电子政务提高了行政效率,降低了成本,提高了政府公共服务水平。但也存在一定不足。这就要求各级政府转变观念,统筹规划各部门网站,制定相关法律、法规,积极推进电子政务发展,利用电子政务推进行政管理体制改革的深化,逐步形成新型政府管理模式,增强公共管理与服务功能,全面提升行政能力。
要重点解决好电子政务建设中的深层次问题。要引入IT治理的思想,对电子政务中实施IT治理,找到实现电子政务制度与技术协同发展的有效途径。
2.5高效优质服务、狠抓绩效评估
我国电子政府绩效评估实践已在各级政府和部门中逐渐开展起来,并引起社会各界的普遍关注,电子政务绩效评估需要得到进一步的大发展。
电子政务绩效是政府绩效的重要组成部分。电子政务正在成为现代政府运作的主要方式,成为政府更好的实现其管理、服务职能的重要手段。而在大规模的投入和建设后,电子政务能否真正取得预期的成效已经成为一个重大问题。
我国目前的电子政务建设状况不容乐观,巨大的资金投后,实际效果却与预期相距甚远。究其原因,缺乏与电子政务运行特点相符合的绩效评估体系是造成这一局面的重要原因。
要形成我国自己的电子政务绩效评估模式。可以把电子政务的绩效划分为产出、结果和影响三个层次,提倡综合应用模式,突破产出层次。我国的电子政务绩效评估应突出“重在政务”和“政务为民”的战略选择,同时紧密结合电子政务建设和行政改革的进程,做好战略规划。从政府网站建设,基础设施建设,政务基础信息数据库建设,重点政务业务系统建设四个方面构建指标体系,稳步推动我国电子政务的发展,同时促进政府绩效的提高。
参考文献
[1]刘家真.数据丢失的风险与对策[J].机电兵船档案,2004,(01).
[2]刘家真.网络环境下的电子文件管理要求[J].档案管理,1999,(01).
[3]刘家真,倪丽娟.创建我国文献的档案数据灾备基地的构想[J].档案学研究,2006,(04).
[4]刘家真.更新与迁移中的风险管理策略[J].北京档案,2005,(10).
[5]刘家真.保护数字信息的长期存取策略[J].武汉大学学报(人文社会科学版),1999,(04).
[6]李纲,彦.电子政务信息安全平台分析[J].中国图书馆学报,2006,(01).