電子政務(wù)的安全風(fēng)險大全11篇
時間:2023-07-23 09:17:51緒論:寫作既是個人情感的抒發(fā),也是對學(xué)術(shù)真理的探索,歡迎閱讀由發(fā)表云整理的11篇電子政務(wù)的安全風(fēng)險范文,希望它們能為您的寫作提供參考和啟發(fā)。
篇(1)
0 引言
隨著電子政務(wù)不斷推進,社會各階層對電子政務(wù)的依賴程度越來越高,信息安全的重要性日益突出,在電子政務(wù)的信息安全管理問題中,基于現(xiàn)實特點的電子政務(wù)信息安全體系設(shè)計和風(fēng)險評估[1]模型是突出的熱點和難點問題。本文試圖就這兩個問題給出分析和建議。
1 電子政務(wù)信息安全的總體要求
隨著電子政務(wù)應(yīng)用的不斷深入,信息安全問題日益凸顯,為了高效安全的進行電子政務(wù),迫切需要搞好信息安全保障工作。電子政務(wù)系統(tǒng)采取的網(wǎng)絡(luò)安全措施[2][3]不僅要保證業(yè)務(wù)與辦公系統(tǒng)和網(wǎng)絡(luò)的穩(wěn)定運行,另一方面要保護運行在內(nèi)部網(wǎng)上的敏感數(shù)據(jù)與信息的安全,因此應(yīng)充分保證以下幾點:
1.1 基礎(chǔ)設(shè)施的可用性:運行于內(nèi)部專網(wǎng)的各主機、數(shù)據(jù)庫、應(yīng)用服務(wù)器系統(tǒng)的安全運行十分關(guān)鍵,網(wǎng)絡(luò)安全體系必須保證這些系統(tǒng)不會遭受來自網(wǎng)絡(luò)的非法訪問、惡意入侵和破壞。
1.2 數(shù)據(jù)機密性:對于內(nèi)部網(wǎng)絡(luò),保密數(shù)據(jù)的泄密將直接帶來政府機構(gòu)以及國家利益的損失。網(wǎng)絡(luò)安全系統(tǒng)應(yīng)保證內(nèi)網(wǎng)機密信息在存儲與傳輸時的保密性。
1.3 網(wǎng)絡(luò)域的可控性:電子政務(wù)的網(wǎng)絡(luò)應(yīng)該處于嚴(yán)格的控制之下,只有經(jīng)過認(rèn)證的設(shè)備可以訪問網(wǎng)絡(luò),并且能明確地限定其訪問范圍,這對于電子政務(wù)的網(wǎng)絡(luò)安全十分重要。
1.4 數(shù)據(jù)備份與容災(zāi):任何的安全措施都無法保證數(shù)據(jù)萬無一失,硬件故障、自然災(zāi)害以及未知病毒的感染都有可能導(dǎo)致政府重要數(shù)據(jù)的丟失。因此,在電子政務(wù)安全體系中必須包括數(shù)據(jù)的容災(zāi)與備份,并且最好是異地備份。
2 電子政務(wù)信息安全體系模型設(shè)計
完整的電子政務(wù)安全保障體系從技術(shù)層面上來講,必須建立在一個強大的技術(shù)支撐平臺之上,同時具有完備的安全管理機制,并針對物理安全,數(shù)據(jù)存儲安全,數(shù)據(jù)傳輸安全和應(yīng)用安全制定完善的安全策略
在技術(shù)支撐平臺方面,核心是要解決好權(quán)限控制問題。為了解決授權(quán)訪問的問題, 通常是將基于公鑰證書(PKC)的PKI(Public Key Infrastructure)與基于屬性證書(AC)的PMI(Privilege Management Infrastructure)結(jié)合起來進行安全性設(shè)計,然而由于一個終端用戶可以有許多權(quán)限, 許多用戶也可能有相同的權(quán)限集, 這些權(quán)限都必須寫入屬性證書的屬性中, 這樣就增加了屬性證書的復(fù)雜性和存儲空間, 從而也增加了屬性證書的頒發(fā)和驗證的復(fù)雜度。為了解決這個問題,作者建議根據(jù)X.509標(biāo)準(zhǔn)建立基于角色PMI的電子政務(wù)安全模型。該模型由客戶端、驗證服務(wù)器、應(yīng)用服務(wù)器、資源數(shù)據(jù)庫和LDAP 目錄服務(wù)器等實體組成,在該模型中:
2.1 終端用戶:向驗證服務(wù)器發(fā)送請求和證書, 并與服務(wù)器雙向驗證。
2.2 驗證服務(wù)器:由身份認(rèn)證模塊和授權(quán)驗證模塊組成提供身份認(rèn)證和訪問控制,是安全模型的關(guān)鍵部分。
2.3 應(yīng)用服務(wù)器: 與資源數(shù)據(jù)庫連接, 根據(jù)驗證通過的用戶請求,對資源數(shù)據(jù)庫的數(shù)據(jù)進行處理, 并把處理結(jié)果通過驗證服務(wù)器返回給用戶以響應(yīng)用戶請求。
2.4 LDAP目錄服務(wù)器:該模型中采用兩個LDAP目錄服務(wù)器, 一個存放公鑰證書(PKC)和公鑰證書吊銷列表(CRL),另一個LDAP 目錄服務(wù)器存放角色指派和角色規(guī)范屬性證書以及屬性吊銷列表ACRL。
安全管理策略也是電子政務(wù)安全體系的重要組成部分。安全的核心實際上是管理,安全技術(shù)實際上只是實現(xiàn)管理的一種手段,再好的技術(shù)手段都必須配合合理的制度才能發(fā)揮作用。需要制訂的制度包括安全行政管理和安全技術(shù)管理。安全行政管理應(yīng)包括組織機構(gòu)和責(zé)任制度等的制定和落實;安全技術(shù)管理的內(nèi)容包括對硬件實體和軟件系統(tǒng)、密鑰的管理。
3 電子政務(wù)信息安全管理體系中的風(fēng)險評估
電子政務(wù)信息安全等級保護是根據(jù)電子政務(wù)系統(tǒng)在國家安全、經(jīng)濟安全、社會穩(wěn)定和保護公共利益等方面的重要程度。等級保護工作的要點是對電子政務(wù)系統(tǒng)進行風(fēng)險分析,構(gòu)建電子政務(wù)系統(tǒng)的風(fēng)險因素集。
3.1 信息系統(tǒng)的安全定級 信息系統(tǒng)的安全等級從低到高依次包括自主保護級、指導(dǎo)保護級、監(jiān)督保護級、強制保護級、專控保護級五個安全等級。對電子政務(wù)的五個安全等級定義,結(jié)合系統(tǒng)面臨的風(fēng)險、系統(tǒng)特定安全保護要求和成本開銷等因素,采取相應(yīng)的安全保護措施以保障信息和信息系統(tǒng)的安全。
3.2 采用全面的風(fēng)險評估辦法 風(fēng)險評估具有不同的方法。在ISO/IEC TR13335-3《信息技術(shù)IT安全管理指南:IT安全管理技術(shù)》中描述了風(fēng)險評估方法的例子,其他文獻,例如NIST SP800-30、AS/NZS 4360等也介紹了風(fēng)險評估的步驟及方法,另外,一些組織還提出了自己的風(fēng)險評估工具,例如OCTAVE、CRAMM等。
電子政務(wù)信息安全建設(shè)中采用的風(fēng)險評估方法可以參考ISO17799、OCTAVE、CSE、《信息安全風(fēng)險評估指南》等標(biāo)準(zhǔn)和指南,從資產(chǎn)評估、威脅評估、脆弱性評估、安全措施有效性評估四個方面建立風(fēng)險評估模型。其中,資產(chǎn)的評估主要是對資產(chǎn)進行相對估價,其估價準(zhǔn)則依賴于對其影響的分析,主要從保密性、完整性、可用性三方面進行影響分析;威脅評估是對資產(chǎn)所受威脅發(fā)生可能性的評估,主要從威脅的能力和動機兩個方面進行分析;脆弱性評估是對資產(chǎn)脆弱程度的評估,主要從脆弱性被利用的難易程度、被成功利用后的嚴(yán)重性兩方面進行分析;安全措施有效性評估是對保障措施的有效性進行的評估活動,主要對安全措施防范威脅、減少脆弱性的有效狀況進行分析;安全風(fēng)險評估就是通過綜合分析評估后的資產(chǎn)信息、威脅信息、脆弱性信息、安全措施信息,最終生成風(fēng)險信息。
在確定風(fēng)險評估方法后,還應(yīng)確定接受風(fēng)險的準(zhǔn)則,識別可接受的風(fēng)險級別。
4 結(jié)語
電子政務(wù)與傳統(tǒng)政務(wù)相比有顯著區(qū)別,包括:辦公手段不同,信息資源的數(shù)字化和信息交換的網(wǎng)絡(luò)化是電子政務(wù)與傳統(tǒng)政務(wù)的最顯著區(qū)別;行政業(yè)務(wù)流程不同,實現(xiàn)行政業(yè)務(wù)流程的集約化、標(biāo)準(zhǔn)化和高效化是電子政務(wù)的核心;與公眾溝通方式不同,直接與公眾溝通是實施電子政務(wù)的目的之一,也是與傳統(tǒng)政務(wù)的重要區(qū)別。在電子政務(wù)的信息安全管理中,要抓住其特點,從技術(shù)、管理、策略角度設(shè)計完整的信息安全模型并通過科學(xué)量化的風(fēng)險評估方法識別風(fēng)險和制定風(fēng)險應(yīng)急預(yù)案,這樣才能達到全方位實施信息安全管理的目的。
參考文獻:
篇(2)
中圖分類號:C93文獻標(biāo)識碼: A
一、 電子政務(wù)概述
電子政務(wù),亦稱電子政府、政府信息化管理,是政府機構(gòu)以計算機為媒介,應(yīng)用現(xiàn)代信息和通信技術(shù),將政府的管理和服務(wù)工作通過網(wǎng)絡(luò)技術(shù)進行集合,以實現(xiàn)政府部門工作的進行以及組織結(jié)構(gòu)的優(yōu)化重組,從而及時向社會及公眾提供全方位、行之有效的管理和服務(wù)。
電子政務(wù)是政府管理方式的革命,它的運行有助于建立一個開放透明的政府,一個勤政廉潔的政府。電子政務(wù)職能實現(xiàn)的前提是信息安全的有效保障,大量政府公文在政務(wù)信息網(wǎng)絡(luò)上的流轉(zhuǎn),一旦存在信息安全問題,則直接導(dǎo)致機密數(shù)據(jù)和信息的泄漏,危及到政府的核心政務(wù)。如果電子政務(wù)信息安全得不到保障,電子政務(wù)的效率便無從保證,這將給國家利益帶來嚴(yán)重威脅。所以說,信息安全是制約電子政務(wù)建設(shè)與發(fā)展的首要問題和核心問題。
二、 電子政務(wù)面臨的風(fēng)險
(一) 認(rèn)知層面的風(fēng)險
電子政務(wù)在國內(nèi)建設(shè)與使用時間不長,缺乏深入研究。一些人只是簡單地認(rèn)為電子政務(wù)系統(tǒng)就是信息化,只要實現(xiàn)了網(wǎng)絡(luò)數(shù)字化就可以推行電子政務(wù),從而出現(xiàn)盲目建設(shè)、脫離現(xiàn)實條件等問題;還有一部分人認(rèn)為電子政務(wù)就是運用計算機代替?zhèn)鹘y(tǒng)手工模式,這就固化了現(xiàn)有政府結(jié)構(gòu),不利于政府的改造與職能的轉(zhuǎn)變。
(二) 規(guī)劃層面的風(fēng)險
規(guī)劃層面的風(fēng)險主要有:規(guī)劃制定人員、規(guī)劃的范圍和內(nèi)容、規(guī)劃計劃的實施步驟、規(guī)劃中的政策因素等等。
信息技術(shù)的進一步應(yīng)用,使得政府的組織形態(tài)正在由傳統(tǒng)的金字塔垂直模式向錯綜復(fù)雜的網(wǎng)狀結(jié)構(gòu)轉(zhuǎn)變,這就要求政務(wù)機構(gòu)的運行方式作出相應(yīng)轉(zhuǎn)變,進行電子政務(wù)的整體規(guī)劃。電子政務(wù)是整個系統(tǒng)建設(shè)的基礎(chǔ),是項目成功的基本保障。只有了解了本地區(qū)的發(fā)展現(xiàn)狀,了解地方政府的特點,了解本地區(qū)的政務(wù)工作流程,才能編制出適合本地區(qū)電子政務(wù)的發(fā)展規(guī)劃。但目前,地方政府在電子政務(wù)方面的規(guī)劃明顯不足,缺乏可操作性,這就導(dǎo)致在使用過程中面臨著很大風(fēng)險。
(三) 物理安全層面的風(fēng)險
物理安全層面的風(fēng)險主要指的是網(wǎng)絡(luò)環(huán)境和物理特性引起的網(wǎng)絡(luò)設(shè)備和線路的不可用,從而造成網(wǎng)絡(luò)系統(tǒng)的不可用。例如,線路老化、蓄意破壞、設(shè)備意外故障、自然災(zāi)害等, 這些都屬于物理安全層面的潛在風(fēng)險因素。
(四) 應(yīng)用層面的風(fēng)險
應(yīng)用層面的風(fēng)險主要表現(xiàn)為非法訪問,即竊取用戶口令、用戶信息被剽竊或修改等,由于政府網(wǎng)絡(luò)對外提供WWW服務(wù),Email服務(wù)、DNS服務(wù)等,因此也存在著外網(wǎng)非法用戶對內(nèi)部服務(wù)器的攻擊。
(五) 系統(tǒng)層面的風(fēng)險
當(dāng)前電子政務(wù)網(wǎng)通常采用的操作系統(tǒng)本身在安全方面的考慮較少,服務(wù)器與數(shù)據(jù)庫的安全級別較低,這在很大程度上存在著安全隱患,加之病毒的潛伏,這些都增加了系統(tǒng)在安全方面的脆弱性。
(六) 技術(shù)層面的風(fēng)險
技術(shù)層面的風(fēng)險主要表現(xiàn)為技術(shù)線路、設(shè)備選型、工程質(zhì)量、系統(tǒng)性能等風(fēng)險。技術(shù)層面的風(fēng)險不僅關(guān)系到項目的實施情況,也關(guān)系到項目后期的維護和應(yīng)用。現(xiàn)階段受技術(shù)發(fā)展的制約,我們在技術(shù)方面還存在著很大欠缺,因此存在著一定的技術(shù)風(fēng)險。
(七) 資金層面的風(fēng)險
受利益的驅(qū)使,有些部門在制定規(guī)劃時,將電子政務(wù)的規(guī)模越做越大,虛設(shè)資金越來越多,這就使得電子政務(wù)的建設(shè)變得越來越困難。除此之外,在資金使用方面,由于缺乏對部門資金的有效監(jiān)督,使得資金浪費現(xiàn)象嚴(yán)重。如果不能合理計劃和控制資金的流向,這將直接影響電子政務(wù)的建設(shè),甚至促使一種新的腐敗的產(chǎn)生。另外,在后期維護上,電子政務(wù)系統(tǒng)也需要運營資金的支持,沒有了運營資金的有效支持,就沒有了電子政務(wù)的內(nèi)容來源。
(八) 管理層面的風(fēng)險
在電子政務(wù)運行過程中需要管理的內(nèi)容主要有規(guī)劃管理、技術(shù)管理、過程管理、運維管理、安全管理等。管理的風(fēng)險不僅體現(xiàn)在單個項目的管理,也體現(xiàn)在根據(jù)規(guī)劃對相關(guān)項目群的管理風(fēng)險。管理風(fēng)險是項目實施過程中最主要的風(fēng)險,是項目成敗與否的關(guān)鍵。隨著信息系統(tǒng)建設(shè)和應(yīng)用規(guī)模的不斷擴大,管理的難度和風(fēng)險還將不斷加大,但與此同時,政府部門缺乏信息化項目管理的專業(yè)人員,缺乏項目管理的風(fēng)險意識,這與快速發(fā)展的電子政務(wù)管理要求不相匹配。
三、 電子政務(wù)管理防范措施
(一)強化信息管理人員的安全意識
電子政務(wù)信息安全是電子政務(wù)正常而高效運轉(zhuǎn)的基礎(chǔ),是保障國家信息安全的重要前提,電子政務(wù)信息管理人員要正確認(rèn)識并高度重視,及時發(fā)現(xiàn)影響信息安全的現(xiàn)象。政府部門要對信息管理人員進行必要的培訓(xùn),普及信息安全知識,增強信息管理人員的安全意識;積極開展安全策略研究,明確安全責(zé)任,增強信息管理人員的責(zé)任心;積極組織各種講座和培訓(xùn)班,培養(yǎng)專業(yè)信息安全人才,確保防范手段和技術(shù)措施的先進性和主動性。
(二)實施保障措施,建立系統(tǒng)安全保障體系
電子政務(wù)系統(tǒng)安全風(fēng)險的威脅無處不在,它主要來自于物理環(huán)境、技術(shù)環(huán)境、社會環(huán)境等。建立全方位的電子政務(wù)信息系統(tǒng)安全保障體系是規(guī)避電子政務(wù)安全威脅因素的必要方式。在充分分析系統(tǒng)安全風(fēng)險的基礎(chǔ)上,通過制定系統(tǒng)安全策略和采用先進的安全技術(shù),才能對系統(tǒng)實施安全防護和監(jiān)控,使其真正成為智能型系統(tǒng)安全體系。具體做法有:
1.實施監(jiān)測系統(tǒng)的運行情況,及時發(fā)現(xiàn)和制止可能對系統(tǒng)出現(xiàn)威脅的各種攻擊;
2.記錄和分析安全審計數(shù)據(jù),檢查系統(tǒng)中出現(xiàn)的違規(guī)行為,判斷是否違反法律法規(guī),為改進系統(tǒng)提供充足的依據(jù);
3.對數(shù)據(jù)恢復(fù)應(yīng)進行應(yīng)急處理和響應(yīng),及時恢復(fù)信息,降低被攻擊的破壞程度,包括備份、自動恢復(fù)、快速恢復(fù)等。
(三)制定合理資金計劃,確保有序利用
充足的資金是保證電子政務(wù)順利開展的必要條件。前期指定電子政務(wù)建設(shè)的方案中,要根據(jù)本單位、本部門的實際情況制定合理的資金預(yù)算方案,確保不虛報資金預(yù)算,杜絕腐敗滋生;在后期維護過程中,資金也要及時到位,以確保電子政務(wù)信息系統(tǒng)的順利進行。
(四)健全電子政務(wù)法律法規(guī)建設(shè)
法律是保障電子政務(wù)信息安全的最有力手段。政府立法部門應(yīng)加快立法進程,借鑒國外網(wǎng)絡(luò)信息安全立法方面的先進經(jīng)驗,制定完備的信息網(wǎng)絡(luò)安全性法規(guī),完善我國的網(wǎng)絡(luò)信息安全法律體系,使得電子政務(wù)信息安全管理走上法制化軌道。
電子政務(wù)是實現(xiàn)“電子政府”的有效途徑,在政府推動信息化的同時,也要注意其過程中產(chǎn)生的風(fēng)險,正視風(fēng)險本身,加快制定保障電子政務(wù)健康發(fā)展的政策法規(guī),才能降低風(fēng)險,從而有力地推動和改進政府的管理方式,才能有助于更好的發(fā)揮其政府職能。
參考文獻:
[1]方德英,李敏強.IT項目風(fēng)險管理理論體系構(gòu)建[J].合肥工業(yè)大學(xué)學(xué)報(自然科學(xué)版),2003,,2(8):907-908.
篇(3)
1 電子政務(wù)網(wǎng)絡(luò)安全概述
1.1 電子政務(wù)網(wǎng)絡(luò)安全發(fā)展現(xiàn)狀
隨著因特網(wǎng)的迅猛發(fā)展,我國信息網(wǎng)絡(luò)技術(shù)進入了日益月異的發(fā)展階段,并得以廣泛應(yīng)用。但因特網(wǎng)具有高度的開放性以及自由性,為應(yīng)用創(chuàng)造極大便利的同時也對其安全性提出了更為嚴(yán)格的要求。現(xiàn)如今,電子政務(wù)網(wǎng)絡(luò)安全問題日益突出,甚至在一定程度上阻礙了我國電子政務(wù)建設(shè)事業(yè)的健康發(fā)展,通過何種方式來提升電子政務(wù)網(wǎng)絡(luò)的安全性己然成為亟待解決的問題。
1.2 做好電子政務(wù)網(wǎng)絡(luò)安全風(fēng)險防范工作的意義
對于整個信息網(wǎng)絡(luò)而言,電子政務(wù)是其中一個比較特殊的應(yīng)用領(lǐng)域,涉及海量的需要嚴(yán)格保護的信息,相較一般電子商務(wù),其表現(xiàn)出下述特點:首先,信息內(nèi)容保密等級高;其次,在一定程度上影響甚至決定了行政監(jiān)督力度;最后,通過網(wǎng)絡(luò)能夠為公眾提供高質(zhì)量的公共服務(wù)。電子政務(wù)網(wǎng)絡(luò)一旦遇到安全風(fēng)險,有可能導(dǎo)致重要信息丟失甚至暴露,帶來難以估量的損失,也正因如此,電子政務(wù)網(wǎng)絡(luò)也是信息間諜的首要攻擊目標(biāo)之一。由此可見,政府部門重視和做好電子政務(wù)網(wǎng)絡(luò)安全風(fēng)險防范工作,對于本部門的高效運行具有相當(dāng)積極的現(xiàn)實意義。
2 電子政務(wù)網(wǎng)絡(luò)安全風(fēng)險分析
2.1 物理層風(fēng)險分析
對于電子政務(wù)網(wǎng)絡(luò)而言,物理層安全是其整體安全的基礎(chǔ)。物理層風(fēng)險主要包括:地震、洪水以及火災(zāi)等導(dǎo)致網(wǎng)絡(luò)癱瘓甚至毀滅;電源故障導(dǎo)致斷電、操作系統(tǒng)異常;設(shè)備失竊、損毀導(dǎo)致數(shù)據(jù)丟失甚至泄露;報警系統(tǒng)存在漏洞等。
2.2 數(shù)據(jù)鏈路層風(fēng)險分析
入侵者可能會以傳輸線路為突破口,在上面設(shè)置竊聽設(shè)備以達成竊取數(shù)據(jù)的目的,然后再借助相應(yīng)技術(shù)解讀數(shù)據(jù),還可能會對數(shù)據(jù)進行一定的篡改。此類風(fēng)險因素會給電子政務(wù)網(wǎng)絡(luò)安全埋下嚴(yán)重隱患。
2.3 網(wǎng)絡(luò)層安全風(fēng)險分析
對電子政務(wù)網(wǎng)絡(luò)所囊括的各個節(jié)點而言,其他網(wǎng)絡(luò)節(jié)點均屬于外部節(jié)點,屬于不可信任范疇,均可能導(dǎo)致安全威脅。風(fēng)險可能源自內(nèi)部。攻擊者借助snifrer之類的嗅探程序來尋找安全漏洞,然后在此基礎(chǔ)上對內(nèi)網(wǎng)發(fā)起攻擊。風(fēng)險也可能源自外部,入侵者可能以公開服務(wù)器為跳板向內(nèi)網(wǎng)發(fā)起攻擊。
2.4 系統(tǒng)層安全風(fēng)險分析
系統(tǒng)層安全一般是指網(wǎng)絡(luò)操作系統(tǒng)、計算機數(shù)據(jù)庫、配套應(yīng)用系統(tǒng)等方面的安全。現(xiàn)階段的操作系統(tǒng),其開發(fā)商一定會設(shè)置相應(yīng)的BackDoor(后門),另外,系統(tǒng)本身也必然存在若干安全漏洞。無論是“后門”,還是安全漏洞,均會埋下極大的安全隱患。就具體應(yīng)用而言,系統(tǒng)安全性在很大程度上取決于安全配置,若安全配置不到位,將會為入侵者提供極大便利。
2.5 應(yīng)用層安全風(fēng)險分析
隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展,電腦遠(yuǎn)程控制呈現(xiàn)出簡單化的發(fā)展趨勢,受此影響,病毒、黑客程序有機結(jié)合之后往往帶來更為嚴(yán)重的危害,而病毒的入侵通常會導(dǎo)致用戶重要數(shù)據(jù)的泄露。病毒能夠經(jīng)由多種途徑(如網(wǎng)上下載、郵件發(fā)送以及人為投放等)入侵內(nèi)部網(wǎng)絡(luò)系統(tǒng),所以,其危害是相當(dāng)嚴(yán)重的。在整個網(wǎng)絡(luò)系統(tǒng)中,即便只有1臺主機“中毒”,也會在很短時間里使其他主機受到感染,進而埋下數(shù)據(jù)泄露等一系列不安全因素。
2.6 管理層安全風(fēng)險分析
在網(wǎng)絡(luò)安全中,管理屬于核心部位。安全管理體系不完善,未能明確界定權(quán)責(zé),極可能導(dǎo)致管理安全風(fēng)險。當(dāng)網(wǎng)絡(luò)受到內(nèi)部或外部的相關(guān)安全威脅時,難以及時且合理地應(yīng)對,同時也難以對入侵行為進行追蹤,換而言之,網(wǎng)絡(luò)可控性以及可審查性不理想。因而,重視和做好管理層的工作便成了當(dāng)務(wù)之急。
3 電子政務(wù)網(wǎng)絡(luò)安全風(fēng)險的防范
3.1 物理層風(fēng)險的防范
使用那些可提供驗證授權(quán)等功能的產(chǎn)品,對內(nèi)外網(wǎng)用戶進行高效管理,從而避免入侵者在沒有授權(quán)的情形下對網(wǎng)絡(luò)內(nèi)的重要或敏感數(shù)據(jù)進行竊取和篡改,又或者對服務(wù)提供點發(fā)動攻擊,防止入侵者通過偽用戶身份取得授權(quán)而導(dǎo)致嚴(yán)重的網(wǎng)絡(luò)危害。可借助系列路由器、防火墻產(chǎn)品、計算機網(wǎng)絡(luò)管理平臺之間的有機配合,以實現(xiàn)對用戶信息(用戶名、登錄密碼、權(quán)限)的科學(xué)管理,并在此基礎(chǔ)上優(yōu)化服務(wù)策略。
3.2 數(shù)據(jù)鏈路層風(fēng)險的防范
對于政府網(wǎng)絡(luò)應(yīng)用而言,其不僅涉及大量的內(nèi)部應(yīng)用(OA系統(tǒng)、文件共享以及郵件接收等),同時還涉及大量的外部應(yīng)用(和合作伙伴之間的溝通等)。為實現(xiàn)對遠(yuǎn)程用戶的有效控制,保證內(nèi)網(wǎng)資源的安全性,可公共網(wǎng)絡(luò)中開辟出專用網(wǎng)絡(luò),從而使得相關(guān)數(shù)據(jù)可以經(jīng)由安全系數(shù)較高的“加密通道”傳播。由國家相關(guān)要求可知,政府網(wǎng)絡(luò)可依托既有平臺構(gòu)建屬于自己的內(nèi)部網(wǎng)絡(luò),但一定要采用認(rèn)證以及加密技術(shù),從而確保數(shù)據(jù)傳輸擁有足夠的安全性。對于單獨的VPN網(wǎng)關(guān)而言,其核心功能是以IPSec數(shù)據(jù)包為對象,執(zhí)行加(解)密以及身份認(rèn)證處理,若采用該部署方式,防火墻難以對VPN數(shù)據(jù)予以有效的訪問控制,繼而帶來諸多負(fù)面問題。所以,在防火墻安全網(wǎng)關(guān)上集成VPN便成了現(xiàn)階段安全產(chǎn)品的主流發(fā)展趨勢之一,可以能提供一個集靈活性、高效性以及完整性等諸多優(yōu)點于一身的安全方案。
3.3 網(wǎng)絡(luò)層安全風(fēng)險的防范
在所有網(wǎng)絡(luò)出口處設(shè)置防火墻能夠?qū)崿F(xiàn)對網(wǎng)絡(luò)的有效隔離,將其劃分為若干安全域,從而進行相應(yīng)的訪問控制。以防火墻為工具進行多網(wǎng)口結(jié)構(gòu)設(shè)計,如此一來,能夠為合法用戶提供相關(guān)服務(wù),與此同時,將非法用戶的訪問拒之門外。當(dāng)防火墻配置了入侵檢測這―功能時,便能夠以自動檢測的方式查找網(wǎng)絡(luò)數(shù)據(jù)流中可能的、隱藏的入侵方式,并提醒管理員及時優(yōu)化控制規(guī)則,最終為整個網(wǎng)絡(luò)提供實時而有效的網(wǎng)絡(luò)保護。
3.4 系統(tǒng)層安全風(fēng)險的防范
為實現(xiàn)對操作系統(tǒng)安全的有效保護,建議從下述兩點著手:首先,使用具有自主知識產(chǎn)權(quán)且向政府提供源代碼的那一類產(chǎn)品;其次,以系統(tǒng)為對象,通過漏洞掃描工具進行定期掃描,以便及時發(fā)現(xiàn)相關(guān)問題。
3.5 應(yīng)用層安全風(fēng)險的防范
建議安裝高性能的專業(yè)防火墻,要求具備下述功能:(1)外部攻擊防范;(2)內(nèi)網(wǎng)安全;(3)流量監(jiān)控;(4)郵件過濾;(5)網(wǎng)頁過濾;(6)應(yīng)用層過濾等。引入和應(yīng)用以ASPF為代表的應(yīng)用狀態(tài)檢測技術(shù),在驗證連接狀態(tài)是否正常的同時,也可實現(xiàn)對異常命令的有效檢測。
3.6 管理層安全風(fēng)險的防范
對于網(wǎng)絡(luò)安全而言,管理層安全是其核心所在。通過安全管理的有效實施可為各項安全技術(shù)的順利實施提供有力保障,建議從兩方面入手:首先,立足本地區(qū)以及本部門的實際情況,制定和實施針對性的安全管理規(guī)范,充分利用網(wǎng)絡(luò),發(fā)揮其在信息化建設(shè)工作中的重要作用,推動政府部門信息化建設(shè)工作的順利、高效開展;其次,以可能發(fā)生的電子政務(wù)網(wǎng)絡(luò)突發(fā)事件為對象,制定配套的應(yīng)急預(yù)案,構(gòu)建健全的應(yīng)急機制,從而盡可能地消除突發(fā)網(wǎng)絡(luò)事件所帶來的負(fù)面影響,最終為電子政務(wù)網(wǎng)絡(luò)的高效運行奠定堅實基礎(chǔ)。
4 電子政務(wù)網(wǎng)絡(luò)安全體系建設(shè)案例
4.1 某市電子政務(wù)現(xiàn)狀分析
某市現(xiàn)轄三市(縣級市)、五縣、五區(qū)和一百多個基層政務(wù)單位。在政府信息化建設(shè)的大背景下,該市的市政府行政管理體制正積極向精簡化、統(tǒng)一化以及高效化的方向不斷發(fā)展。現(xiàn)階段,各級政務(wù)單位均結(jié)合自身的具體情況構(gòu)建起了不同形式的、規(guī)模大小不一的辦公網(wǎng)絡(luò),然而在互聯(lián)方面考慮不足,相互之間形成了所謂的“信息孤島”,因而構(gòu)建具有高度統(tǒng)一性質(zhì)的電子政務(wù)外網(wǎng)平臺,以保障網(wǎng)絡(luò)資源的充分共享已然成為當(dāng)務(wù)之急。值得一提的是,各級政務(wù)單位在構(gòu)建自身網(wǎng)絡(luò)的過程中沒有進行統(tǒng)一規(guī)劃,因而無論是在安全防護上,還是在安全管理上,均存在較明顯的欠缺,所以,如何保障電子政務(wù)網(wǎng)絡(luò)安全成了亟需解決的問題。下面將針對其整體解決方案予以進一步探討。
4.2 整體解決方案
為實現(xiàn)對該市電子政務(wù)外網(wǎng)平臺的全面、有效保護,應(yīng)遵循“全網(wǎng)部署、一體安全、簡單為本”的原則,為其構(gòu)建一個一體化的全面安全防護體系,從而最大程度地滿足用戶的實際需求。
4.2.1 全網(wǎng)部署
在電子政務(wù)外網(wǎng)平臺體系中,各級政務(wù)部門于廣域網(wǎng)出口處設(shè)置了天清漢馬USG一體化安全網(wǎng)關(guān)如圖1所示,并將集中管理系統(tǒng)設(shè)置在了該市的市政府信息中心,能以整個網(wǎng)絡(luò)體系為對象進行統(tǒng)一化管理。在統(tǒng)一化管理模式下,管理員通過面前的計算機便能夠及時了解各級政務(wù)部位的網(wǎng)絡(luò)狀態(tài),尤其是各類風(fēng)險以及威脅,若察覺到局部突發(fā)性質(zhì)的不安全事件,可馬上對整個網(wǎng)絡(luò)的安全策略進行相應(yīng)調(diào)整,然后統(tǒng)一下發(fā),消除網(wǎng)絡(luò)威脅,減輕不利影響,從而構(gòu)建一個具有在線監(jiān)測和高效防護功能的一體化安全風(fēng)險管理體系。
4.2.2 一體安全
對于天清漢馬USG一體化安全網(wǎng)關(guān)而言,其優(yōu)點表現(xiàn)在兩大方面,一個是高性能的硬件架構(gòu),另一個是一體化的軟件設(shè)計,集若干項高效的安全技術(shù)(防火墻、VPN以及入侵防御等)于一體,還推出了QoS、負(fù)載均衡以及日志審計等實用功能,可為網(wǎng)絡(luò)邊界提供及時而強大的安全防護。這便是“一體安全”的重要體現(xiàn)。除此之外,借助集中管理技術(shù)能夠?qū)ο到y(tǒng)中的多臺計算機同時下發(fā)安全管理策略,如此一來,大幅簡化了安全策略的具體實施過程。
4.2.3 簡單為本
篇(4)
中圖分類號:TP39 文獻標(biāo)識碼:A 文章編號:1006-0278(2013)01-106-01
一、前言
特別是近年來,隨著政務(wù)信息化的快速發(fā)展,政府管理工作和政府信息化系統(tǒng)的日益復(fù)雜化,給政務(wù)網(wǎng)絡(luò)的安全性帶來了諸多的挑戰(zhàn),加強電子政務(wù)網(wǎng)絡(luò)安全體系的設(shè)計和建設(shè),對推動電子政務(wù)的發(fā)展具有重要的意義。文章在這種情況下,首先對電子政務(wù)的安全風(fēng)險現(xiàn)狀進行簡單介紹,然后對電子政務(wù)信息安全保障的措施進行分析,具有一定的借鑒意義。
二、電子政務(wù)的安全風(fēng)險現(xiàn)狀
(一)技術(shù)方面
1.計算機系統(tǒng)本身的脆弱性,使得它無法抵御自然災(zāi)害的破壞,也難以避免偶然無意造成的危害。自然環(huán)境影響、基礎(chǔ)設(shè)施遭到破壞等等,將給系統(tǒng)造成非常大的風(fēng)險。
2.網(wǎng)絡(luò)本身存在缺陷。首先,軟件本身缺乏安全性。操作系統(tǒng)規(guī)劃通常非常關(guān)注保證信息處理能力,在安全方面不是特別關(guān)注。
(二)管理方面
對現(xiàn)有的網(wǎng)絡(luò)攻擊和入侵事件的一項統(tǒng)計報告顯示:其他地區(qū)入侵安全風(fēng)險指數(shù)是21%,黑客入侵所占比例能夠達到48%,競爭對手所占比例能夠達到72%,內(nèi)部員工所占比例能夠達到89%。能夠充分顯示電子政務(wù)信息安全并非僅僅為技術(shù)問題。如果沒有從管理制度、人員和技術(shù)上建立相應(yīng)的電子化業(yè)務(wù)安全防范機制,缺乏行之有效的安全檢查保護措施,再好的技術(shù)和設(shè)備都無法確保其信息安全。
三、電子政務(wù)信息安全保障的措施建議
(一)構(gòu)建內(nèi)部安全管理
電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的安全關(guān)系到國家的安全、以及公眾的利益。因此安全性規(guī)劃一定要特別關(guān)注下述角度:首先一定要根據(jù)相關(guān)規(guī)章制度,其次為不斷健全政務(wù)網(wǎng)絡(luò)安全管理制度;再次為制定電子政務(wù)網(wǎng)絡(luò)系統(tǒng)控制方法;第四為一定要清楚劃分相關(guān)工作人員自身實際權(quán)責(zé);第五為從電子政務(wù)網(wǎng)絡(luò)系統(tǒng)安全體系規(guī)劃過程中,不斷健全安全管理規(guī)定;最后在所有步驟開展管理,提高其可靠性水平。
(二)硬件系統(tǒng)的安全設(shè)計
雖然有很多的電子政務(wù)網(wǎng)絡(luò)硬件設(shè)備以及計算機系統(tǒng)存在較多的漏洞和缺陷,但是一定要維持軟件系統(tǒng)更新,從電子政務(wù)網(wǎng)絡(luò)系統(tǒng)內(nèi)進行設(shè)置,同時按階段調(diào)整安全日志,通過上述手段保證其可靠性。
(三)應(yīng)用層信息的設(shè)計
1 身份驗證
防范措施,通過在電子政務(wù)中設(shè)定網(wǎng)絡(luò)用戶名和密碼,這樣不僅能夠防止無關(guān)人員的登陸,而且能夠阻止對電子政務(wù)信息的訪問。不過因為黑客技術(shù)同樣持續(xù)完善,因此電子政務(wù)網(wǎng)絡(luò)安全體系規(guī)劃一定要采納口令技術(shù),同時和另外的技術(shù)完美結(jié)合,提高其可靠性。
2 權(quán)限矩陣
對于電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的登陸一般分為管理人員和普通人員兩種登陸方式,不同的身份對應(yīng)電子政務(wù)系統(tǒng)中不同的內(nèi)容,具有不同的訪問權(quán)限。因此登錄系統(tǒng)之后,工作人員能夠從電子政務(wù)網(wǎng)絡(luò)系統(tǒng)內(nèi)開展相應(yīng)的操作,承擔(dān)起電子政務(wù)系統(tǒng)的控制工作。一般工作人員僅僅可以調(diào)閱相關(guān)信息,不能夠開展操作。從電子政務(wù)系統(tǒng)內(nèi)采納此類管理能夠有效提高可靠性。
(四)計算機病毒的防護
想要避免病毒給系統(tǒng)產(chǎn)生惡劣影響,要營造病毒防護體系。同時要設(shè)置殺毒軟件。除了能夠滅殺病毒,同時能夠管理網(wǎng)絡(luò)端口,在維持系統(tǒng)安全方面能夠產(chǎn)生非常關(guān)鍵的影響。
(五)入侵監(jiān)測與防火墻設(shè)備的設(shè)計
在電子政務(wù)網(wǎng)絡(luò)系統(tǒng)中,入侵監(jiān)測設(shè)備的配置主要是為了防止外部人員(即黑客)的非法入侵,防火墻的配置主要是為了能夠加強對網(wǎng)絡(luò)的訪問控制,防火墻能夠?qū)蓚€或者兩個以上網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)的安全性根據(jù)一定的安全策略進行檢查,并具有監(jiān)視網(wǎng)絡(luò)是否安全運行的作用,兩者結(jié)合能夠有效的防止外部人員采用不正當(dāng)?shù)氖侄卧L問網(wǎng)絡(luò)系統(tǒng)中的資源和信息。提高系統(tǒng)可靠性。
篇(5)
電子政務(wù),即各級機關(guān)在實踐管理工作開展過程中需借助電子信息技術(shù),打造分層結(jié)構(gòu)、集中管理網(wǎng)絡(luò)管理環(huán)境,且推進電子政務(wù)系統(tǒng)由“功能單一”向“綜合政務(wù)網(wǎng)”轉(zhuǎn)變,從而提升整體政府服務(wù)水平,同時借助網(wǎng)絡(luò)平臺加強與公眾間的互動性,并營造雙向信息交流環(huán)境,有效應(yīng)對計算機病毒、黑客攻擊、木馬程序等網(wǎng)絡(luò)安全問題。以下就是對電子政務(wù)系統(tǒng)網(wǎng)絡(luò)安全問題的詳細(xì)闡述,望其能為當(dāng)前政府機構(gòu)職能效用的有效發(fā)揮提供有利參考。
1.電子政務(wù)系統(tǒng)網(wǎng)絡(luò)安全研究
1.1網(wǎng)絡(luò)安全需求
就當(dāng)前的現(xiàn)狀來看,電子政務(wù)系統(tǒng)網(wǎng)絡(luò)在運行過程中基于垃圾郵件攻擊、網(wǎng)絡(luò)蠕蟲、黑客攻擊、網(wǎng)絡(luò)安全威脅等因素的影響下,降低了服務(wù)質(zhì)量。為此,當(dāng)代政務(wù)系統(tǒng)針對網(wǎng)絡(luò)安全問題提出了相應(yīng)的網(wǎng)絡(luò)安全需求:第一,網(wǎng)絡(luò)信息安全,即在電子政務(wù)系統(tǒng)操控過程中為了規(guī)避政務(wù)信息丟失等問題的凸顯,要求管理人員在實踐信息管理過程中應(yīng)從信息分級保護、信息保密、身份鑒別、網(wǎng)絡(luò)信息訪問權(quán)限控制等角度出發(fā),對可用性網(wǎng)絡(luò)信息實施管理,打造良好的網(wǎng)絡(luò)信息使用環(huán)境;第二,管理控制安全。即由于電子政務(wù)網(wǎng)絡(luò)系統(tǒng)需與Internet連接,因而在內(nèi)部局域網(wǎng)、外部局域網(wǎng)管理過程中,應(yīng)設(shè)置隔離措施,同時針對每個局域網(wǎng)用戶設(shè)定訪問限定資源,并針對用戶身份進行雙向認(rèn)證,由此規(guī)避黑客攻擊等問題的凸顯。而在信息傳輸過程中,亦需針對關(guān)鍵應(yīng)用信息進行加密,且配置網(wǎng)絡(luò)監(jiān)控中心,實時掌控惡意攻擊現(xiàn)象,并做出及時響應(yīng);第三,統(tǒng)一管理全網(wǎng),即為了降低網(wǎng)絡(luò)安全風(fēng)險問題,要求當(dāng)代電子政務(wù)網(wǎng)絡(luò)系統(tǒng)在開發(fā)過程中應(yīng)制定VLAN劃分計劃,且針對通信線路、訪問控制體系、網(wǎng)絡(luò)功能模塊等實施統(tǒng)一管理,規(guī)避非法截獲等安全問題[1]。
1.2網(wǎng)絡(luò)安全風(fēng)險
(1)系統(tǒng)安全風(fēng)險。就當(dāng)前的現(xiàn)狀來看,我國UNIX、Windows、NETWARE等操作系統(tǒng)本身存有安全隱患問題,因而網(wǎng)絡(luò)侵襲者在對系統(tǒng)進行操控過程中,可借助系統(tǒng)漏洞,登錄服務(wù)器或破解靜態(tài)口令身份驗證密碼,訪問服務(wù)器信息,造成政務(wù)信息泄露問題。同時,在電子政務(wù)系統(tǒng)網(wǎng)絡(luò)管理過程中,部分管理人員缺乏安全管理意識,從而未及時修補系統(tǒng)漏洞,且缺乏硬件服務(wù)器等安全評定環(huán)節(jié),繼而誘發(fā)了系統(tǒng)安全風(fēng)險。此外,基于電子政務(wù)網(wǎng)絡(luò)系統(tǒng)運行的基礎(chǔ)上,侵襲者通常在公用網(wǎng)上搭線竊取口令字,同時冒充管理人員,向系統(tǒng)內(nèi)部局域網(wǎng)直入嗅探程序,從而截獲口令字,獲取網(wǎng)絡(luò)管理權(quán)限,造成電子政務(wù)系統(tǒng)信息損失。為此,為了規(guī)避信息截獲等網(wǎng)絡(luò)安全問題的凸顯,要求管理人員在實踐管理工作開展過程中應(yīng)針對操作系統(tǒng)、硬件平臺安全性進行檢測,且健全登錄過程認(rèn)證環(huán)節(jié),打造良好的電子政務(wù)系統(tǒng)服務(wù)空間,滿足系統(tǒng)運行條件,同時實現(xiàn)對登陸者操作的嚴(yán)格把控。(2)應(yīng)用安全風(fēng)險。電子政務(wù)系統(tǒng)網(wǎng)絡(luò)運行中應(yīng)用安全風(fēng)險主要體現(xiàn)在以下幾個方面:第一,網(wǎng)絡(luò)資源共享風(fēng)險,即各級政府機構(gòu)在網(wǎng)絡(luò)辦公環(huán)境下,為了提升整體工作效率,注重運用網(wǎng)絡(luò)平臺共享機關(guān)機構(gòu)組成、政務(wù)新聞、政務(wù)管理程序等信息。而若某工作人員將政務(wù)信息存儲于硬盤中,將基于缺少訪問控制手段的基礎(chǔ)上,造成信息竊取行為;第二,電子郵件風(fēng)險,即某些不法分子為了獲取政務(wù)信息,將特洛伊木馬、病毒等程序植入到郵件中,并發(fā)送至電子政務(wù)系統(tǒng),從而通過程序跟蹤,威脅電子政務(wù)系統(tǒng)網(wǎng)絡(luò)安全性。為此,管理人員在對電子政務(wù)系統(tǒng)進行操控過程中應(yīng)提高對此問題的重視程度,同時強調(diào)對垃圾郵件的及時清理[2];第三,用戶使用風(fēng)險,即在電子政務(wù)系統(tǒng)平臺建構(gòu)過程中,為了規(guī)避網(wǎng)絡(luò)安全風(fēng)險問題,設(shè)置了“用戶名+口令”身份認(rèn)證,但由于部分用戶缺乏安全意識,繼而將生日、身份證號、電話號碼等作為口令字,從而遭到非法用戶竊取,引發(fā)政務(wù)信息泄露或攻擊事件。為此,在系統(tǒng)操控過程中應(yīng)針對此問題展開行之有效的處理。
2.電子政務(wù)系統(tǒng)網(wǎng)絡(luò)安全設(shè)計應(yīng)用
2.1系統(tǒng)安全
在電子政務(wù)系統(tǒng)應(yīng)用過程中,為了打造良好的網(wǎng)絡(luò)運行空間,在系統(tǒng)設(shè)計過程中應(yīng)融合防火墻隔離、VLAN劃分、HA和負(fù)載均衡、動態(tài)路由等技術(shù),并在電子政務(wù)網(wǎng)絡(luò)結(jié)構(gòu)部署過程中,將功能區(qū)域劃分為若干個子網(wǎng)結(jié)構(gòu),同時合理布設(shè)出入口,并實時清理故障清單,從根本上規(guī)避網(wǎng)絡(luò)安全風(fēng)險問題。同時,在操作系統(tǒng)安全設(shè)置過程中,應(yīng)針對安全配置安全性進行檢測,并限定etc/host、passwd、shadow、group、SAM、LMHOST等關(guān)鍵文件使用權(quán)限,且加強“用戶名+口令”身份認(rèn)證設(shè)置的復(fù)雜性,避免操作風(fēng)險的凸顯[3]。此外,在電子政務(wù)系統(tǒng)操控過程中,為了確保系統(tǒng)安全性,亦應(yīng)針對系統(tǒng)運行狀況做好打補丁操作環(huán)節(jié),并及時升級網(wǎng)絡(luò)配置,營造安全、穩(wěn)定的系統(tǒng)運行空間。
2.2訪問控制
在電子政務(wù)系統(tǒng)網(wǎng)絡(luò)安全應(yīng)用過程中加強訪問控制工作的開展是非常必要的,為此,首先要求管理人員在系統(tǒng)操控過程中應(yīng)結(jié)合政務(wù)信息的特殊性,建構(gòu)《用戶授權(quán)實施細(xì)則》、《口令字及賬戶管理規(guī)范》等條例,并嚴(yán)格遵從管理制度要求,實現(xiàn)對網(wǎng)絡(luò)環(huán)境的有效操控。同時,在網(wǎng)絡(luò)出入口等網(wǎng)絡(luò)內(nèi)部環(huán)境操控過程中,應(yīng)設(shè)置防火墻設(shè)備。例如,在Switch、Router安全網(wǎng)絡(luò)域連接過程中,即需在二者間設(shè)置防火墻,繼而利用防火墻IP、TCP信息過濾功能,如,拒絕、允許、監(jiān)測等,對政務(wù)信息形成保護,同時在網(wǎng)絡(luò)入侵行為發(fā)生時,及時發(fā)出警告信號,且針對用戶身份進行S/Key的驗證,達到網(wǎng)絡(luò)訪問控制目的[4]。其次,在網(wǎng)絡(luò)訪問控制作業(yè)環(huán)節(jié)開展過程中,為了規(guī)避電子政務(wù)網(wǎng)內(nèi)部服務(wù)器、WWW、Mail等攻擊現(xiàn)象,應(yīng)注重應(yīng)用防火墻應(yīng)用功能,對安全問題進行有效防控。
2.3數(shù)據(jù)保護
電子政務(wù)數(shù)據(jù)屬于機密性信息,因而在此基礎(chǔ)上,為了規(guī)避數(shù)據(jù)泄露問題的凸顯影響到社會的發(fā)展,要求我國政府部門在電子政務(wù)系統(tǒng)運行過程中,應(yīng)擴大對《上網(wǎng)數(shù)據(jù)的審批規(guī)定》、《數(shù)據(jù)管理管理辦法》等制度的宣傳,同時在PC機管理過程中,增設(shè)文件加密系統(tǒng),并對訪問者進行限制,最終實現(xiàn)對數(shù)據(jù)的高效保護。其次,在對SYBASE等通用數(shù)據(jù)庫進行保護過程中,應(yīng)增設(shè)訪問/存取控制手段,同時完善身份驗證、訪問控制、密碼機制、文件管理等功能模塊,從而通過角色控制、強制控制等方法,對數(shù)據(jù)形成雙層保護,并加強假冒、泄露、篡改等現(xiàn)象的管理,保障系統(tǒng)網(wǎng)絡(luò)安全性[5]。再次,在政務(wù)數(shù)據(jù)使用、傳輸過程中,應(yīng)定期檢測服務(wù)器內(nèi)容完整性,例如,WWW服務(wù)器、FTP、DNS服務(wù)器等信息,滿足政務(wù)信息使用需求,同時提升政府服務(wù)水平。
3.結(jié)論
綜上可知,傳統(tǒng)電子政務(wù)系統(tǒng)網(wǎng)絡(luò)管理工作實施過程中逐漸凸顯出信息截獲、信息泄露等問題,影響到了各級政府機關(guān)服務(wù)水平。因而在此基礎(chǔ)上,為了實現(xiàn)對網(wǎng)絡(luò)安全風(fēng)險問題的有效處理,要求管理人員在實際工作開展過程中應(yīng)注重加強安全管理工作,同時從數(shù)據(jù)保護、訪問控制、系統(tǒng)安全等角度入手,對政務(wù)系統(tǒng)網(wǎng)絡(luò)環(huán)境形成保護,滿足電子政務(wù)網(wǎng)絡(luò)系統(tǒng)應(yīng)用需求。
作者:韓戴鴻 鄔顯豪 徐彬凌 胡大川 錢誠 單位:常州市科技信息中心
參考文獻:
[1]王淼,凌捷,郝彥軍.電子政務(wù)系統(tǒng)安全域劃分技術(shù)的研究與應(yīng)用[J].計算機工程與科學(xué),2010,12(8):52-55.
[2]魏武華.電子政務(wù)系統(tǒng)的網(wǎng)絡(luò)架構(gòu)及其應(yīng)用研究[J].計算機時代,2013,12(7):13-16.
篇(6)
國的政府信息化起步于20世紀(jì)80年代,期間經(jīng)歷了辦公自動化建、政府上網(wǎng)、以及新近興起的電子政務(wù)(Electronic Government)建設(shè)。如今電子政務(wù)系統(tǒng)的基本類型已逐漸固定,大致可分為四種:政府內(nèi)部辦公自動化系統(tǒng)(Office Automation,OA)、政府與政府之間的政務(wù)協(xié)作系統(tǒng)(Government To Government,G2G)、政府與企業(yè)間服務(wù)系統(tǒng)(Government To Business,G2B)以及政府與公民之間的服務(wù)系統(tǒng)(Government To Citizen,G2C)。電子政務(wù)系統(tǒng)的電子文件管理核心及數(shù)據(jù)管理,對各種信息進行收集、整理、儲存、檢索和輸出。伴隨計算機技術(shù)的迅猛發(fā)展以及計算機在文件管理中的廣泛應(yīng)用,電子政務(wù)也取得飛速發(fā)展,并將逐步成為機關(guān)起草、簽署、公文的平臺。當(dāng)下經(jīng)濟和信息全球化,電子政務(wù)的水平已經(jīng)成為衡量國家競爭力和綜合國力的顯著標(biāo)志之一。在電子政務(wù)系統(tǒng)中的電子文件管理涉及的風(fēng)險包括網(wǎng)絡(luò)風(fēng)險、管理風(fēng)險、信息風(fēng)險、設(shè)備風(fēng)險。
一、電子政務(wù)系統(tǒng)中電子文件風(fēng)險的特點
一是具有潛伏期。電子政務(wù)系統(tǒng)中電子文件風(fēng)險的后果不是立即顯現(xiàn)出來的,有些甚至不能被識別,但是一段時間之后,一旦后果顯現(xiàn)出來,就可能對社會甚至國家造成極其嚴(yán)重的不良后果。二是具有連鎖效應(yīng)性。電子政務(wù)系統(tǒng)中電子文件風(fēng)險的后果首先表現(xiàn)為“基本風(fēng)險”,也就是文件本身的質(zhì)量缺損,如不完整、不可讀等。文件的不完整通常會直接導(dǎo)致文件的不可讀,即無法正常輸出,或者輸出結(jié)果出錯,那么該文件的存在已經(jīng)沒有任何實際意義了。三是具有繼承性。每份電子文件都會經(jīng)過制作、接收、傳輸、保存等幾個相互關(guān)聯(lián)的階段,而且每一個階段都存在被損壞、泄露等風(fēng)險。電子文件在前期階段受到的風(fēng)險會在后續(xù)階段累積并體現(xiàn)出來。四是具有無法彌補性。電子文件在制作階段遭受的一些風(fēng)險還可以彌補。
二、影響電子文件信息安全的因素
(1)技術(shù)漏洞。技術(shù)漏洞主要表現(xiàn)在以下幾個方面:一是軟件問題:在電子政務(wù)系統(tǒng)中,電子文件的管理軟件決定了電子文件的寫入、讀取、復(fù)制、保存、刪除等操作,可以說,管理軟件對于電子政務(wù)系統(tǒng)中電子文件的管理至關(guān)重要。管理軟件需要滿足以下幾個方面:首先要有較高的信息處理能力,滿足政府工作的高效要求;在此基礎(chǔ)上,還要保證安全性,電子政務(wù)是為政府工作服務(wù)的,其內(nèi)容涉及公眾、社會、經(jīng)濟、文化、軍事的方方面面,如果管理軟件存在漏洞,相關(guān)內(nèi)容泄露或被不法分子竊取,后果甚至威脅到國家安全。事實上,很多管理軟件確實存在諸多漏洞。二是通信網(wǎng)絡(luò)的問題:一般情況下,通信線路由專線、電話線、微波、無線系統(tǒng)或光纜構(gòu)成。造成通信網(wǎng)絡(luò)故障的原因包括自然災(zāi)害、人為破壞、偶然事件等。通信網(wǎng)的抗毀性是指當(dāng)通信網(wǎng)絡(luò)受到物理破壞、電子戰(zhàn)和NBC(核、生物、化學(xué))威脅時,仍然能完成特定功能的能力。無線通信易遭截獲。并且網(wǎng)絡(luò)規(guī)模越大,通信線路越長,存在的風(fēng)險也就越大。(2)人為因素。人為因素包括以下三種:一是有意的破壞。一般能夠有意破壞的都是內(nèi)部對情況比較了解的人員,此類破壞影響較大,后果較嚴(yán)重。二是管理水平落后。網(wǎng)絡(luò)技術(shù)發(fā)展一日千里,傳統(tǒng)業(yè)務(wù)改造、新業(yè)務(wù)開展等都對電子政務(wù)系統(tǒng)的風(fēng)險防范提出了更高的要求。目前,我們用于電子政務(wù)系統(tǒng)的操作系統(tǒng)和管理軟件均是國外產(chǎn)品,許多關(guān)鍵技術(shù)還沒有被國人掌握。一旦出現(xiàn)特殊情況,為了各自國家的利益,黑客攻擊可能上升為國家間的一種戰(zhàn)爭行為,后果不堪設(shè)想。(3)硬件因素。和計算機軟件一樣,計算機硬件同樣存在漏洞,并且給網(wǎng)絡(luò)信息安全帶來巨大隱患,由于計算機硬件漏洞很容易被人們忽視,故其造成的安全隱患往往比軟件造成的安全隱患攻擊性更強、更加難以監(jiān)測和消除。硬件設(shè)計的復(fù)雜性遠(yuǎn)遠(yuǎn)超過軟件設(shè)計,其本身由于生產(chǎn)工藝和設(shè)計水平的原因就會存在缺陷和不足,如果再被不法分子在芯片中注入惡意邏輯,其安全隱患就更大。另外,計算機防火墻等安全手段是基于一定的硬件設(shè)備的,如果硬件設(shè)備本身就存在安全隱患,防火墻就無從談起。(4)法律漏洞。到目前為止,雖然已經(jīng)先后出臺了一些法律法規(guī),但是我國關(guān)于電子政務(wù)的立法還處于探索階段。已經(jīng)出臺的法律法規(guī)主要是四類:計算機法,主要涉及計算機系統(tǒng)安全和保密;互聯(lián)網(wǎng)法。主要針對國際互聯(lián)網(wǎng)的接入、設(shè)施、經(jīng)營;信息法,主要關(guān)于政府信息化;政務(wù)公開法,主要規(guī)定政府有關(guān)業(yè)務(wù)流程和政策制定、執(zhí)行和結(jié)果公開。總的來說,現(xiàn)有法律法規(guī)的法律效力層次低,處于“無綱領(lǐng)性立法、無確定性立法規(guī)制、無有效的立法評價及監(jiān)督機制”的三無狀態(tài)。
三、電子文件的風(fēng)險防范
電子政務(wù)系統(tǒng)中的文件管理風(fēng)險防范既包括電子政務(wù)系統(tǒng)作為信息系統(tǒng)的風(fēng)險防范,還包括電子文件管理本身的風(fēng)險防范。其中,信息系統(tǒng)的風(fēng)險防范是電子文件管理風(fēng)險防范的根本,是電子政務(wù)系統(tǒng)安全保障的基礎(chǔ)。一是技術(shù)安全措施。密碼技術(shù),是實現(xiàn)所有安全服務(wù)的重要基礎(chǔ)。為了使得系統(tǒng)中的兩方進行的通信活動被保密,就需要保護一個文件使得一個限制的用戶集可以閱讀它,而其余用戶團體不可以閱讀。解密密匙存放在可信的密匙服務(wù)器中。任何用戶有權(quán)從服務(wù)器申請密匙,但要在認(rèn)證了申請用戶并且檢查了訪問控制陳述后,才為允許具有密匙的用戶提供密匙。設(shè)定登錄限制、使用文件權(quán)限等,在一定范圍內(nèi)保護服務(wù)器文件和數(shù)據(jù)。要預(yù)防病毒,安裝防毒軟件。二是制度措施。培養(yǎng)一支掌握現(xiàn)代化信息技術(shù)、能熟練運用計算機及現(xiàn)代化通信設(shè)備的人才隊伍。制定嚴(yán)格的規(guī)章制度,對于接觸或可能接觸電子文件尤其是機密級電子文件的人員嚴(yán)格要求。三是法律措施。近年,英國、加拿大、韓國等相繼開展了有關(guān)文件管理和檔案管理的立法工作,其共同特點是將電子文件管理納入整體框架。應(yīng)由多部門聯(lián)合制定電子文件管理法,在法律中明確規(guī)檔案管理各相關(guān)部門的職責(zé),對電子文件的軟硬件設(shè)施進行統(tǒng)一,依法管理。并且檔案管理部門制定完善的電子文件管理制度,依制度辦事,使整個電子文件全過程做到制度化、規(guī)范化、標(biāo)準(zhǔn)化。四是文檔一體化措施。文檔一體化的目的是按照文件生成和運行規(guī)律,統(tǒng)一組織文件各階段的管理工作。采用通用的管理軟件,使用暢通的網(wǎng)絡(luò)通道。在電子文件真?zhèn)€生命周期中能夠提前進行的一律提前到生命周期的最前端。如果是一般性的電子文件,應(yīng)將其轉(zhuǎn)換成各種平臺都能使用的文本文件格式,消除技術(shù)演變帶來的影響。如果是特殊格式的電子文件,應(yīng)在儲存該文件的同時存有相應(yīng)的瀏覽軟件。五是電子文件和紙質(zhì)文件并存措施。要建立一個“通道”,實現(xiàn)紙質(zhì)文件和電子文件的“雙套制”保存。由于電子文件存在對軟、硬件具有依賴性、其通用性尚無定論、載體的保管壽命還沒有經(jīng)過實踐檢驗等缺點,電子文件和紙質(zhì)文件并存十分必要。尤其是需要永久保存的文件,必須保存一套完整的紙質(zhì)文件。
雖然我國信息建設(shè)起步較晚,但目前發(fā)展勢頭很猛。加快電子政務(wù)建設(shè)步伐,有利于用信息技術(shù)改造傳統(tǒng)的政府治理,改善政府公關(guān)服務(wù),提高服務(wù)質(zhì)量,實現(xiàn)資源共享,大大降低行政成本。只有抓好電子政務(wù),才能適應(yīng)時代的步伐,緊跟世界發(fā)展形勢,推進國民經(jīng)濟。電子政務(wù)系統(tǒng)中存在大量機密級文件,如果其安全不能得到保障,就會威脅社會乃至整個國家的利益,甚至國家安全。電子政務(wù)系統(tǒng)的電子文件安全是制約電子政務(wù)建設(shè)與發(fā)展的核心問題。只有正確認(rèn)識電子政務(wù)系統(tǒng)中電子文件風(fēng)險的形成,從多方面對風(fēng)險進行防范,才能保障信息安全,提供行政的便利。
參考文獻
[1]趙雪.電子政務(wù)環(huán)境中文檔管理現(xiàn)狀簡析[J].科技檔案.2005(3):36~37
篇(7)
一、研究的意義
伴隨著計算機通信技術(shù)的廣泛應(yīng)用,信息化時代迅速到來。社會信息化給政府事務(wù)管理提出了新的要求,行政管理的現(xiàn)代化迫在眉睫。電子政務(wù)在發(fā)達國家取得長足進展,為了提高政府的行政效能和行政管理水平,我國正在加快對電子政務(wù)網(wǎng)的建設(shè)。在新的時代條件下,開放和互聯(lián)的發(fā)展帶來信息流動的極大便利,同時,也帶來了新的問題和挑戰(zhàn)。電子政務(wù)系統(tǒng)上所承載的信息的特殊性,在網(wǎng)絡(luò)開放的條件下,尤其是公共部門電子政務(wù)信息與資產(chǎn),如果受到不法攻擊、利用,則有可能給國家?guī)頁p失,也可能危及政府、企業(yè)和居民的安全。作為政府信息化工作的基本手段,電子政務(wù)網(wǎng)在穩(wěn)定性、安全性方面,比普通信息網(wǎng)要求更高。對信息安全風(fēng)險進行評估,是確定與衡量電子政務(wù)安全的重要方式。研究確定科學(xué)的安全風(fēng)險評估標(biāo)準(zhǔn)和評估方法及模型,不僅有助于維護政府信息安全,也有助于防止現(xiàn)實與潛在的風(fēng)險。
二、國內(nèi)外研究狀況
當(dāng)前,國內(nèi)外尚未形成系統(tǒng)化的電子政務(wù)網(wǎng)絡(luò)信息安全的評估體系與方法。目前主要有風(fēng)險分析、系統(tǒng)安全工程能力成熟度模型、安全測評和安全審計等四類。
(一)國外研究現(xiàn)狀。在風(fēng)險評估標(biāo)準(zhǔn)方面,1993年,美、英、德等國國家標(biāo)準(zhǔn)技術(shù)研究所與各國國家安全局制定并簽署了《信息技術(shù)安全通用評估準(zhǔn)則》。1997年形成了信息安全通用準(zhǔn)則2.0版,1999年形成了CC2.1版,并被當(dāng)作國際標(biāo)準(zhǔn)(150/IEC15408)。CC分為EALI到EAL7共7個評估等級,對相關(guān)領(lǐng)域的研究與應(yīng)用影響深遠(yuǎn)。之后,風(fēng)險評估和管理被國際標(biāo)準(zhǔn)組織高度重視,作為防止安全風(fēng)險的手段,他們更加關(guān)注信息安全管理和技術(shù)措施,并體現(xiàn)在相繼于1996年和2000年的《信息技術(shù)安全管理指南》(150/IECTR13335標(biāo)準(zhǔn))和《信息技術(shù)信息安全管理實用規(guī)則》(150/IEC177799)中。與此同時,全球在信息技術(shù)應(yīng)用和研究方面較為發(fā)達的國家也紛紛研發(fā)符合本國實際的風(fēng)險管理標(biāo)準(zhǔn)。如美國國家標(biāo)準(zhǔn)與技術(shù)局自1990年以來,制定了十幾個相關(guān)的風(fēng)險管理標(biāo)準(zhǔn)。進入二十一世紀(jì)初,美國又制定了《IT系統(tǒng)風(fēng)險管理指南》,細(xì)致入微地提出風(fēng)險處理的步驟和方法。2002年與2003年,美國防部相繼公布了《信息(安全)保障》指示(8500•l)及更加完備的《信息(安全)保障實現(xiàn)))指令(5500•2),為國家防務(wù)系統(tǒng)的安全評估提供了標(biāo)準(zhǔn)和依據(jù)。隨著信息安全標(biāo)準(zhǔn)的廣泛實施,風(fēng)險評估服務(wù)市場應(yīng)運而生。繼政府、社會研究機構(gòu)之后,市場敏銳的產(chǎn)業(yè)界也投入資金出臺適應(yīng)市場需求風(fēng)險評估評估體系和標(biāo)準(zhǔn)。例如美國卡內(nèi)基•梅隆大學(xué)的OCTAVE方法等。在風(fēng)險評估方法方面,目前許多國內(nèi)外的學(xué)者運用神經(jīng)網(wǎng)絡(luò)、灰色理論、層次分析法、貝葉斯網(wǎng)絡(luò)、模糊數(shù)學(xué)、決策樹法等多種方法,系統(tǒng)研究并制定與開發(fā)了不同類型、不同用途的風(fēng)險評估模型,這些模型與方法雖然具備一定的科學(xué)依據(jù),在不用范圍和層面的應(yīng)用中取得一定成果,但也存在不同程度的不足,比如計算復(fù)雜,成本高,難以廣泛推廣。
(二)國內(nèi)相關(guān)研究現(xiàn)狀。我國的研究較之國外起步稍晚,盡管信息化浪潮對各國的挑戰(zhàn)程度不同,但都深受影響。20世紀(jì)90年代末,我國信息安全標(biāo)準(zhǔn)和風(fēng)險評估模型的研究已廣泛開展。但在電子政務(wù)網(wǎng)上的應(yīng)用卻是近幾年才開始引發(fā)政府、公眾及研究機構(gòu)的關(guān)注。任何國家政府都十分重視對信息安全保障體系的宏觀管理。但政府依托什么來宏觀控制和管理呢?實際上就是信息安全標(biāo)準(zhǔn)。所以在股價戰(zhàn)略層面看,用哪個國家的標(biāo)準(zhǔn),就會帶動那個國家的相關(guān)產(chǎn)業(yè),關(guān)系到該國的經(jīng)濟發(fā)展利益。標(biāo)準(zhǔn)的競爭、爭奪、保護,也就成為各國信息技術(shù)戰(zhàn)場的重要領(lǐng)域。但要建立國內(nèi)通行、國際認(rèn)可的技術(shù)標(biāo)準(zhǔn),卻是一項艱巨而長期的任務(wù)。我國從20世紀(jì)80年代開始,就組織力量學(xué)習(xí)、吸收國際標(biāo)準(zhǔn),并逐步轉(zhuǎn)化了一批國際信息安全基礎(chǔ)技術(shù)標(biāo)準(zhǔn),為國家安全技術(shù)工作的發(fā)展作出了重要貢獻。信息安全技術(shù)標(biāo)準(zhǔn)的具體研究應(yīng)用,首先從最直接的公共安全領(lǐng)域開始的。公安部首先根據(jù)實際需要組織制定和頒布了信息安全標(biāo)準(zhǔn)。1999年頒布了《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》(GB17859一1999);2001年援引CC的GB/T18336一2001,作為我國安全產(chǎn)品測評的標(biāo)準(zhǔn);在此基礎(chǔ)上,2003年完成了《風(fēng)險評估規(guī)范第1部分:安全風(fēng)險評估程序》、《風(fēng)險評估規(guī)范第2部分:安全風(fēng)險評估操作指南》。同時,公安部以上述國家標(biāo)準(zhǔn)為依據(jù),開展安全產(chǎn)品功能測評工作,以及安全產(chǎn)品的性能評測、安全性評測。在公安部的帶動下,我國政府科研計劃和各個行業(yè)的科技項目中,都列出一些風(fēng)險評估研究項目,帶動行業(yè)技術(shù)人員和各部門研究人員加入研究行列,并取得一些成果。這些成果又為風(fēng)險評估標(biāo)準(zhǔn)的制定提供了豐富的材料和實踐的依據(jù)。同時,國家測評認(rèn)證機構(gòu)也擴展自己的工作范圍,開展信息系統(tǒng)的安全評測業(yè)務(wù)。2002年4月15日,全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會正式成立。為進一步推進工作,盡快啟動一批信息安全關(guān)鍵性標(biāo)準(zhǔn)的研究工作,委員會制定了《全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會工作組章程(草案)》,并先后成立了信息安全標(biāo)準(zhǔn)體系與協(xié)調(diào)工作組(WG1)、內(nèi)容安全分級及標(biāo)識工作組(WG2)等10個工作組。經(jīng)過我國各部門和行業(yè)的長期研究和實踐,積累了大量的成果和經(jīng)驗,在現(xiàn)實需求下,制定我國自己的風(fēng)險評估國家標(biāo)準(zhǔn)的條件初步成熟。2004年,國信辦啟動了我國風(fēng)險評估國家標(biāo)準(zhǔn)的制定工作。該項工作由信息安全風(fēng)險評估課題組牽頭制定工作計劃,將我國風(fēng)險評估國家標(biāo)準(zhǔn)系列分為三個標(biāo)準(zhǔn),即《信息安全風(fēng)險管理指南》、《信息安全風(fēng)險評估指南》和《信息安全風(fēng)險評估框架》。每個標(biāo)準(zhǔn)的內(nèi)容和規(guī)定各不相同,共同組成國家標(biāo)準(zhǔn)系列。《信息安全風(fēng)險管理指南》主要規(guī)定了風(fēng)險管理的基本內(nèi)容和主要過程,其中對本單位管理層的職責(zé)予以特別明確,管理層有權(quán)根據(jù)本單位風(fēng)險評估和風(fēng)險處理的結(jié)果,判斷信息系統(tǒng)是否運行。《信息安全風(fēng)險評估指南》規(guī)定,風(fēng)險評估包括的特定技術(shù)性內(nèi)容、評估方法和風(fēng)險判斷準(zhǔn)則,適用于信息系統(tǒng)的使用單位進行自我風(fēng)險評估及機構(gòu)的評估。《信息安全風(fēng)險評估框架》則規(guī)定,風(fēng)險評估本身特定的概念與流程。
三、研究的難點及趨勢
電子政務(wù)網(wǎng)的用戶與管理層不一定具備計算機專業(yè)的技能與知識,其操作行為與管理方式可能造成安全漏洞,容易構(gòu)成網(wǎng)絡(luò)安全風(fēng)險問題。目前存在的風(fēng)險評估體系難以適應(yīng)電子政務(wù)安全運行的基本要求,因此結(jié)合電子政務(wù)網(wǎng)性需求,需要設(shè)計一種由內(nèi)部提出的相應(yīng)的評估方法和評估準(zhǔn)則,制定風(fēng)險評估模型。當(dāng)前存在的難點主要有:一是如何建立風(fēng)險評估模型體系來解決風(fēng)險評估中因素眾多,關(guān)系錯綜復(fù)雜,主觀性強等諸多問題,是當(dāng)前電子政務(wù)網(wǎng)絡(luò)信息安全評估研究的重點和難點。二是評估工作存在評估誤差,也是目前研究的難點和不足之處。誤差的不可避免性,以及其出現(xiàn)的隨機性和不確定性,使得風(fēng)險評估中風(fēng)險要素的確定更加復(fù)雜,評估本身就具有了不確定性。從未來研究趨勢看,一是要不斷改進風(fēng)險評估方法和風(fēng)險評估模型。有研究者認(rèn)為,要充分借鑒和利用模糊數(shù)學(xué)的方法,建立OCTAVE電子政務(wù)系統(tǒng)風(fēng)險評估模型。它可以有效顧及評估中的各項因素,較為簡易地獲得評估結(jié)果,并消除其中存在的主觀偏差。二是由靜態(tài)風(fēng)險評估轉(zhuǎn)向動態(tài)風(fēng)險評估。動態(tài)的風(fēng)險評估能夠?qū)﹄娮诱?wù)信息安全評估進行較為準(zhǔn)確的判斷,同時可以及時制止風(fēng)險進一步發(fā)生。在動態(tài)模型運用中,研究者主要提出了基于主成分的BP人工神經(jīng)網(wǎng)絡(luò)算法,通過對人工神經(jīng)網(wǎng)絡(luò)算法的進一步改進,實現(xiàn)定性與定量的有效結(jié)合。
作者:郭瑋 單位:西安郵電大學(xué)
參考文獻:
[1]陳濤,馮平,朱多剛.基于威脅分析的電子政務(wù)信息安全風(fēng)險評估模型研究[J].情報雜志,2011,8:94~98
[2]雷戰(zhàn)波,胡安陽.電子政務(wù)信息安全風(fēng)險評估方法研究[J].中國信息界,2010,6
[3]余洋.電子政務(wù)系統(tǒng)風(fēng)險評估模型設(shè)計與研究[D].成都理工大學(xué),2008
[4]周偉良,朱方洲,電子政務(wù)系統(tǒng)安全風(fēng)險評估研究[J].電子政務(wù),2007,29:67~68
[5]趙磊.電子政務(wù)網(wǎng)絡(luò)風(fēng)險評估與安全控制[D].上海交通大學(xué),2011
篇(8)
1.1分析電子政務(wù)服務(wù)外包主要模式及其關(guān)鍵成功因素
當(dāng)前,各地政府部門主要采用BOT、BOO、BT、ASP這4種模式開展電子政務(wù)服務(wù)外包。a.BOT模式(Build-Own-Transfer,即建設(shè)-運營-轉(zhuǎn)讓)。政府部門和承包商以協(xié)議為基礎(chǔ),由政府部門向承包商頒布特許權(quán),允許其籌集資金建設(shè)某電子政務(wù)系統(tǒng),在特許權(quán)規(guī)定期限內(nèi)管理和經(jīng)營該系統(tǒng)及其相應(yīng)的產(chǎn)品與服務(wù),并在特許權(quán)期滿后,無償將系統(tǒng)移交給政府部門接管。b.BOO模式(Build-Own-Operate,即建設(shè)-擁有-運營。承包商投資并承擔(dān)電子政務(wù)系統(tǒng)的設(shè)計、建設(shè)、運行、維護和培訓(xùn)等工作,硬件設(shè)備及軟件系統(tǒng)的產(chǎn)權(quán)歸屬承包商,政府部門負(fù)責(zé)宏觀協(xié)調(diào)、創(chuàng)建環(huán)境和提出需求,政府部門每年需要向承包商支付系統(tǒng)使用費獲取硬件設(shè)備和軟件系統(tǒng)的使用權(quán)。
c.BT模式(Build-Transfer,即建設(shè)-轉(zhuǎn)讓)。政府部門通過特許協(xié)議授權(quán)承包商負(fù)責(zé)某電子政務(wù)系統(tǒng)的建設(shè),按合同規(guī)定的期限按時移交系統(tǒng),政府部門按期支付該系統(tǒng)的建設(shè)費用。d.ASP模式(ApplicationServiceProvider,即應(yīng)用服務(wù)提供商)。在ASP外包模式中,應(yīng)用服務(wù)提供商擁有基礎(chǔ)結(jié)構(gòu)設(shè)施并負(fù)責(zé)所有系統(tǒng)和網(wǎng)絡(luò)的配置、管理、調(diào)整,甚至應(yīng)用管理,政府部門按照需求向應(yīng)用服務(wù)提供商定制所需的電子政務(wù)服務(wù),并向其支付相應(yīng)的費用。在比較分析以上各種模式的內(nèi)涵、特點、優(yōu)缺點的基礎(chǔ)上,分析研究其實際運用的案例,共總結(jié)了影響這4種電子政務(wù)服務(wù)外包模式成功運作與否的75個因素,運用專家評分法,提取各種模式的關(guān)鍵成功因素,如表1所示,這些也是各種模式選擇決策的主要考慮因素。
1.2識別潛在風(fēng)險因素
在分析電子政務(wù)服務(wù)外包、IT外包風(fēng)險研究相關(guān)文獻的基礎(chǔ)上,基于電子政務(wù)服務(wù)外包運作與管理流程,從各個階段總結(jié)了98項風(fēng)險因素,結(jié)合上述電子政務(wù)服務(wù)外包主要模式的關(guān)鍵成功因素,采用李克特七分制評分標(biāo)準(zhǔn)設(shè)計量表,1分表示風(fēng)險影響程度最低,7分表示風(fēng)險影響程度最高,1-7分表示影響程度逐次增高,邀請被調(diào)查者(包括參與電子政務(wù)服務(wù)外包的政府部門、承包商的管理人員以及相關(guān)領(lǐng)域的專家學(xué)者)對量表進行評分。共發(fā)放問卷387份,回收問卷212份,剔除不合格答卷后,最后得到有效答卷共202份。根據(jù)搜集的數(shù)據(jù),通過因子分析的方法提煉了20項具有統(tǒng)計、管理意義的關(guān)鍵風(fēng)險因素,如表2所示。
采用主成分因子分析法對這20項風(fēng)險因素(也是結(jié)構(gòu)方程模型中的可測變量)進行進一步的劃分,提取4個公共因子作為結(jié)構(gòu)方程模型的潛在變量,并根據(jù)其包含的可測變量的含義進行命名,潛在變量及相應(yīng)的可測變量如下:“決策與合同管理風(fēng)險”:外包市場不成熟x1、外包決策不合理x2、承包商選擇失誤x3、機會主義風(fēng)險x4、合同不完善x5;“開發(fā)與運營管理風(fēng)險”:外包主體之間缺乏溝通x6、外包主體關(guān)系不和諧x7、政府部門缺乏規(guī)劃與需求分析能力x8、政府項目管理經(jīng)驗與能力不足x9、承包商專業(yè)能力及管理經(jīng)驗不足x10、承包商服務(wù)質(zhì)量不理想x11;“資金與成本管理風(fēng)險”:交易成本控制不力x12、隱性成本的累積風(fēng)險x13、承包商成本預(yù)算控制失效x14、承包商資金支持不足x15;“知識與戰(zhàn)略管理風(fēng)險”:知識共享不足x16、安全保密控制不力x17、績效評量體系失效x18、忽視學(xué)習(xí)與創(chuàng)新能力的培養(yǎng)x19、政府部門失去信息化控制力x20。
2模型建立與分析擬合
2.1建立電子政務(wù)服務(wù)外包潛在風(fēng)險對外包模式影響的結(jié)構(gòu)方程模型
基于現(xiàn)有研究文獻及實際案例,分析電子政務(wù)服務(wù)外包的潛在風(fēng)險因素對各種模式的影響關(guān)系,構(gòu)建電子政務(wù)服務(wù)外包潛在風(fēng)險對外包模式影響的結(jié)構(gòu)方程模型,如圖1所示。其中,風(fēng)險的4項潛在變量及其各自的可測變量如上文所述,而各種外包模式潛在變量對應(yīng)的可測變量分別是其關(guān)鍵成功因素(見表1,表中的序號與圖1的序號一致)。
2.2信度與效度分析
a.信度分析。信度指測量結(jié)果一致性或穩(wěn)定性的程度。運用SPSS16.0對量表的信度進行檢驗,Cronbach’sα值為0.835,而各分量表信度分析結(jié)果表明,8個潛在變量的α系數(shù)值均滿足大于0.70的要求,因此,該量表具有較好的信度。
b.效度分析。結(jié)構(gòu)效度是指量表測量結(jié)果同期望評估內(nèi)容的同構(gòu)程度,運用標(biāo)準(zhǔn)化因素負(fù)荷來檢驗結(jié)構(gòu)效度。結(jié)果顯示,測量指標(biāo)的標(biāo)準(zhǔn)化因素負(fù)荷大部分大于0.7,并在99%的置信度下高度顯著(C.R.值>2.58),潛在變量之間的標(biāo)準(zhǔn)化路徑系數(shù)及C.R.值(如表3所示)也大部分符合擬合要求。表明本研究構(gòu)造的變量效度較好,適合做結(jié)構(gòu)方程模型分析。
2.3結(jié)構(gòu)方程模型檢驗與分析
a.?dāng)M合度檢驗。前文建立的結(jié)構(gòu)方程模型必須通過擬合度檢驗,才能認(rèn)定假設(shè)模型與實際數(shù)據(jù)樣本的一致性。若模型的擬合度高,則代表模型可用性越高,參數(shù)的估計越具有含義。對于擬合度的考核有較多指標(biāo),但不同的指標(biāo)在不同的模型復(fù)雜度、樣本數(shù)量下有著不同的表現(xiàn)特性,必須根據(jù)具體情況同時參考各種擬合度指標(biāo)[3]。本研究利用AMOS軟件7.0版進行結(jié)構(gòu)方程模型的分析,主要使用CMIN、RMSEA、CFI、GFI等較為穩(wěn)定的指標(biāo)考核模型擬合度,擬合后的評價結(jié)果及其理想值匯總于表4。從表4中分析可知假設(shè)模型較好地與樣本數(shù)據(jù)擬合,具有較高的擬合度。
b.路徑與因素分析。經(jīng)過對結(jié)構(gòu)方程模型的分析,可以得到各個潛在變量之間的路徑系數(shù)以及可測變量與潛在變量之間的因素負(fù)荷。從模型運行結(jié)果中可知,潛在變量之間的路徑系數(shù)、可測變量與潛在變量之間的因素負(fù)荷對應(yīng)的C.R.值絕大多數(shù)大于1.95的擬合要求,表明各路徑系數(shù)以及因素負(fù)荷在p=0.05的水平上具有統(tǒng)計顯著性,能夠作為進一步分析的依據(jù)。
3電子政務(wù)服務(wù)外包潛在風(fēng)險對外包模式的影響分析
綜合分析4個風(fēng)險潛在變量對各外包模式潛在變量影響的路徑系數(shù)及間接效應(yīng)、各個風(fēng)險因素的因子負(fù)荷以及對各外包模式關(guān)鍵成功因素的作用路徑,為下文外包模式選擇的建議提供依據(jù)。
3.1“決策與合同管理風(fēng)險”對外包模式的影響
“決策與合同管理風(fēng)險”對各外包模式的直接影響程度從大到小依次是:BOT>BOO>BT>ASP,其中,對BT模式和ASP模式的直接影響不顯著,但通過另三類風(fēng)險間接影響這兩種模式的程度較大,分別累計為0.364、0.337。在“決策與合同管理風(fēng)險”中,合同不完善風(fēng)險所占因子負(fù)荷最大、影響最為顯著。研究表明,完善電子政務(wù)服務(wù)外包合同,對外包市場不成熟風(fēng)險、機會主義風(fēng)險都具有較強的規(guī)避作用[4]。“決策與合同管理風(fēng)險”中,合同不完善、承包商選擇失誤風(fēng)險因素對BOT模式的關(guān)鍵成功因素———承包商運營期間的服務(wù)質(zhì)量以及移交后的系統(tǒng)價值的不良影響均比較顯著;合同不完善對BOO模式的作用主要體現(xiàn)在影響技術(shù)應(yīng)用先進性的保持,而機會主義風(fēng)險的存在對政府部門的監(jiān)督約束是一大不利因素;BT模式、ASP模式的各自關(guān)鍵成功因素———選擇商譽好的承包商、承包商擁有完善可靠的基礎(chǔ)結(jié)構(gòu)設(shè)施均會受到承包商選擇失誤這一風(fēng)險因素的影響。
3.2“開發(fā)與運營管理風(fēng)險”對外包模式的影響
相比其他類別的風(fēng)險而言,“開發(fā)與運營管理風(fēng)險”對各個外包模式的影響程度是最大的,對各外包模式的直接影響程度從大到小依次是:BOT>BOO>BT>ASP,且影響均較為顯著。此外,“開發(fā)與運營管理風(fēng)險”也受到了其他風(fēng)險的影響,承載著其他風(fēng)險對外包模式的間接效應(yīng)。因此,“開發(fā)與運營管理風(fēng)險”所屬的各個風(fēng)險因素應(yīng)給予重視,特別是政府部門缺乏規(guī)劃與需求分析能力、雙方的項目管理經(jīng)驗與能力不足、外包主體之間缺乏溝通這幾種風(fēng)險因素在電子政務(wù)服務(wù)外包實踐中引起的問題較為顯著,屬于關(guān)鍵風(fēng)險因素,研究表明,控制好這些風(fēng)險因素,做好規(guī)劃與需求分析工作、提升相應(yīng)的項目經(jīng)驗與能力、加強溝通協(xié)作,對電子政務(wù)外包的系統(tǒng)開發(fā)效果、外包服務(wù)質(zhì)量、雙方關(guān)系維護的作用是十分顯著的[5]。“開發(fā)與運營管理風(fēng)險”對各個外包模式的影響在其對應(yīng)的關(guān)鍵成功因素都有顯著的體現(xiàn),其中,對BOT模式,主要影響政府部門規(guī)劃協(xié)調(diào)能力、承包商運營期間的服務(wù)質(zhì)量;對BOO模式,主要影響政府部門的監(jiān)督約束能力、承包商經(jīng)營的穩(wěn)定性及技術(shù)應(yīng)用先進性的保持;對BT模式,主要影響雙方的系統(tǒng)開發(fā)項目管理能力;對ASP模式,主要影響政府部門需求分析的準(zhǔn)確性及預(yù)見性、承包商對個性化服務(wù)需求的響應(yīng)。
3.3“資金與成本管理風(fēng)險”對外包模式的影響
“資金與成本管理風(fēng)險”對各外包模式的直接影響程度從大到小依次是:BOO>BOT>ASP>BT,其中,承包商的資金支持、項目的成本管理方面的風(fēng)險對外包模式的影響尤為顯著,在實踐中,很多電子政務(wù)服務(wù)外包項目正是由于資金、成本控制問題而不得不擱淺甚至失敗。此外,“資金與成本管理風(fēng)險”也會通過“開發(fā)與運營管理風(fēng)險”間接影響各個外包模式,因此,在外包過程的開發(fā)運營階段,應(yīng)重視項目預(yù)算管理,保障資金流的通暢。“資金與成本管理風(fēng)險”對BOO模式的作用主要體現(xiàn)在影響政府部門付費使用模式、承包商經(jīng)營的穩(wěn)定性;對BOT模式的作用體現(xiàn)在影響承包商的運營獲利能力及其服務(wù)質(zhì)量;對于ASP模式,影響著政府部門的付費模式與承包商的經(jīng)濟效益兩者之間的權(quán)衡;對BT模式,主要影響著政府部門的資金保障能力。
3.4“知識與戰(zhàn)略管理風(fēng)險”對外包模式的影響
“知識與戰(zhàn)略管理風(fēng)險”對各外包模式的直接影響程度從大到小依次是:BOO>ASP>BOT>BT,其中安全保密控制風(fēng)險是外包領(lǐng)域備受關(guān)注的風(fēng)險因素,也是外包模式選擇需要著重考慮的一大因素,而學(xué)習(xí)與創(chuàng)新能力的培養(yǎng)對電子政務(wù)服務(wù)外包的戰(zhàn)略效益能否實現(xiàn)尤為關(guān)鍵[6],卻也是一個經(jīng)常被忽視的風(fēng)險。此外,知識共享不足、績效評量體系失效、政府部門信息化控制力不足等風(fēng)險因素對開發(fā)運營風(fēng)險的作用也較為顯著,對外包模式的間接效應(yīng)不容小覷。因此,“知識與戰(zhàn)略管理風(fēng)險”對電子政務(wù)服務(wù)外包的影響是極為深遠(yuǎn)的,在外包模式選擇決策中,應(yīng)予以重視,既要考慮到安全保密控制,也要考慮到政府部門持續(xù)學(xué)習(xí)與創(chuàng)新能力的培養(yǎng)。“知識與戰(zhàn)略管理風(fēng)險”中,安全保密控制不力與績效評量體系失效分別影響著BOO模式的關(guān)鍵成功因素———承包商對系統(tǒng)安全性的保護、技術(shù)應(yīng)用先進性的保持;在ASP模式中,安全保密控制不力風(fēng)險影響著政府部門應(yīng)用與數(shù)據(jù)的安全性;與績效評量體系失效相關(guān)聯(lián)的激勵效果不良,影響著BOT模式運營期間的服務(wù)質(zhì)量和移交后的系統(tǒng)價值;若采用BT模式,知識共享不足與政府部門信息化控制力不足風(fēng)險將主要影響著雙方移交系統(tǒng)的知識管理能力以及移交后政府部門的系統(tǒng)維護能力[7]。
4結(jié)論與建議
基于上文的分析,政府部門在選擇電子政務(wù)服務(wù)外包模式時,需要結(jié)合自身的規(guī)劃與需求、優(yōu)勢與劣勢、經(jīng)驗與能力等因素,綜合考慮各個潛在風(fēng)險因素對外包模式如何影響及影響程度,從中選擇合理的外包模式并防范潛在風(fēng)險。為此,提出以下4點建議供參考:
a.當(dāng)外包市場不成熟,缺乏統(tǒng)一、可操作的行業(yè)標(biāo)準(zhǔn)及規(guī)范的法律環(huán)境,而外包的電子政務(wù)服務(wù)內(nèi)容的復(fù)雜性使得不能夠通過采用明細(xì)的合同來規(guī)避承包商的機會主義,并且政府部門管理合同的經(jīng)驗與能力不足時,盡量避免采用BOT、BOO模式,主要是因為這兩種模式的必須以協(xié)議為基礎(chǔ)且合同期限較長,能否制定明確、完善而兼具柔性的合同尤為關(guān)鍵;若政府部門受評估能力缺乏、信息不對稱等主客觀不利因素的影響,選擇不合適的承包商或選擇的承包商商譽不良的風(fēng)險很可能加大,此時BT模式與ASP模式不是首選,因為這兩種模式對承包商商譽與實力有較高的要求。
篇(9)
中圖分類號:文獻標(biāo)識碼:A文章編號:1009-3044(2010)21-5962-02
The Establish and Maintain of The E-government System Based on Security Technology
TANG Fang1, XU Ping2
(1.Jingmen Branch of Chutian Radio & Television Information Network Company of Hubei Province, Jingmen 448000, China; 2.Jingmen Branch of China Construction Bank, Jingmen 448000, China)
Abstract: With China's reform and opening up step by step and the deepening of the functions of government services, the development of e-government has become an important ways for theGovernment to increase the capacity of public services and national capacity for comprehensive management. This paper analyzes and discusses the main e-government technology and related network security based on the principles, put forward a number of technology for building on the multi-level e-government network security solutions.
Key words: security technologies; government; E; virtual private network
隨著我國改革開放的逐步推進與政府服務(wù)職能的加深,發(fā)展電子政務(wù)已成為政府提高社會公眾服務(wù)能力與國家綜合治理能力的重要手段。然而在電子政務(wù)建設(shè)大踏步向前邁進的過程中,隨之而產(chǎn)生的問題也越來越急待解決,電子政務(wù)的安全便是首要問題。比如計算機病毒的傳播更是安全性的巨大威脅之一,病毒一旦發(fā)作,輕則破壞文件、損害系統(tǒng),重則造成網(wǎng)絡(luò)癱瘓。某某市某局正是在此背景下對本局機關(guān)的電子政務(wù)系統(tǒng)進行重新設(shè)計和實施的。
1 項目背景與目標(biāo)
1.1 項目背景
某某市某局現(xiàn)有使個局直屬單位,各單位分布在某某市各區(qū),與局機關(guān)大樓不在同一物理地點,共五個辦公區(qū)。該局局機關(guān)啟用電子政務(wù)系統(tǒng)后,因為各局屬單位的公文仍通過傳統(tǒng)的手工方式交換,顯然跟不上信息化發(fā)展的需要,也嚴(yán)重地影響了該局日常辦公的需要。為滿足該局信息化發(fā)展的需要,由于該局的電子政務(wù)系統(tǒng)只涉及工作秘密不涉及國家秘密,可以運行在政務(wù)外網(wǎng)。2008年度,經(jīng)請示上級部門同意,將政務(wù)內(nèi)網(wǎng)的電子政務(wù)系統(tǒng)遷移到政務(wù)外網(wǎng),并實現(xiàn)與局屬各單位進行公文在線交換。為實現(xiàn)此功能,首先要實現(xiàn)與各單位網(wǎng)絡(luò)的互聯(lián)互通并確保信息傳輸?shù)陌踩C苄院屯暾浴?/p>
1.2 系統(tǒng)安全分析
該局電子政務(wù)網(wǎng)絡(luò)系統(tǒng)內(nèi)網(wǎng)與外網(wǎng)完全物理隔離,該局電子政務(wù)內(nèi)網(wǎng)自成體系,不與任何外部系統(tǒng)交互,內(nèi)網(wǎng)相對安全,信息不容易泄漏,但同時該網(wǎng)也成了一個信息孤島,與外部系統(tǒng)的數(shù)據(jù)交換很不方便。不過在現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)及應(yīng)用模式下,外網(wǎng)網(wǎng)絡(luò)安全幾乎是不設(shè)防,可能存在的主要安全風(fēng)險如下:
1)網(wǎng)絡(luò)設(shè)備節(jié)點自身安全風(fēng)險:網(wǎng)絡(luò)設(shè)備是網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)暮诵?是整個網(wǎng)絡(luò)的基礎(chǔ)設(shè)施,各種網(wǎng)絡(luò)設(shè)備本身的安全與可靠性以及這些設(shè)備上應(yīng)用策略的安全都需要進行合理的配置才能夠保證。尤其是核心層的三層交換機,單點故障的風(fēng)險比較大,萬一出現(xiàn)故障整個網(wǎng)絡(luò)將完全癱瘓。
2)網(wǎng)絡(luò)層有效的訪問控制的風(fēng)險:網(wǎng)絡(luò)結(jié)構(gòu)越來越復(fù)雜,接入網(wǎng)絡(luò)的用戶也越來越多,必須能夠在不同的網(wǎng)絡(luò)區(qū)域之間采取一定的控制措施,有效控制不同的網(wǎng)絡(luò)區(qū)域之問的網(wǎng)絡(luò)通信,以此來控制網(wǎng)絡(luò)元素間的互訪能力,避免網(wǎng)絡(luò)濫用,同時實現(xiàn)安全風(fēng)險的有效隔離,把安全風(fēng)險隔離在相對比較獨立以及比較小的網(wǎng)絡(luò)區(qū)域。
3)網(wǎng)絡(luò)攻擊行為檢測和防范的風(fēng)險:由于TCP/IP協(xié)議的開放特性,帶來了非常大的安全風(fēng)險,常見的IP地址竊取、IP地址假冒、網(wǎng)絡(luò)端口掃描以及危害非常大的拒絕服務(wù)攻擊等;由于Internet的開放性,對電子政務(wù)的安全威脅,包括網(wǎng)上黑客入侵和犯罪、網(wǎng)上病毒泛濫和蔓延、信息間諜的潛入和竊密、網(wǎng)絡(luò)恐怖集團的攻擊和破壞、內(nèi)部人員的違規(guī)和違法操作、網(wǎng)絡(luò)系統(tǒng)的脆弱和癱瘓、信息產(chǎn)品的失控等,因此應(yīng)引起足夠警惕,采取安全措施,應(yīng)對這種挑戰(zhàn)。在改造前的網(wǎng)絡(luò)結(jié)構(gòu)中可以看到Internet接入點還是在內(nèi)部業(yè)務(wù)系統(tǒng)和下屬單位的接入點都沒有任何防護措施,網(wǎng)絡(luò)中存在極大的安全風(fēng)險。
4)應(yīng)用層威脅:各種蠕蟲、間諜軟件、網(wǎng)絡(luò)釣魚等應(yīng)用層威脅和EMAIL、移動代碼結(jié)合形成復(fù)合型威脅,使威脅更加危險和難以抵御。這些威脅直接攻擊用戶核心服務(wù)器和應(yīng)用,給用戶帶來了重大損失。
5)控制非法訪問的風(fēng)險:在建設(shè)網(wǎng)絡(luò)安全體系中,身份認(rèn)證始終是不可忽視的環(huán)節(jié),沒有良好的身份認(rèn)證體系,其他的任何安全措施都是沒有意義的。
2 系統(tǒng)安全解決方案
本方案主要是遵循事前防范、事中監(jiān)控、事后審計的思想進行設(shè)計,同時結(jié)合其他傳統(tǒng)的網(wǎng)絡(luò)安全措施,提出一套新型的基于VPN技術(shù)的安全電子政務(wù)網(wǎng)絡(luò)系統(tǒng)解決方案。
2.1 訪問控制
訪問控制是最基本的安全措施之一,隨著網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜程度的不斷增加,應(yīng)用系統(tǒng)的不斷增多,人們已經(jīng)逐漸認(rèn)識到保護網(wǎng)上敏感資源的重要性,而舊的訪問控制技術(shù)有著諸多的管理弊端,已經(jīng)不能滿足用戶的要求,因此需要尋求一種有效的手段或方法。本系統(tǒng)采用大安全域隔離。首先把外網(wǎng)劃分為內(nèi)外安全域兩大區(qū)域,即核心數(shù)據(jù)域與辦公區(qū)域,中間用物理網(wǎng)閘隔離,使得核心數(shù)據(jù)域與辦公區(qū)域物理隔離,辦公區(qū)域中的客戶端要訪問核心數(shù)據(jù)域中的應(yīng)用,數(shù)據(jù)內(nèi)容必須經(jīng)過嚴(yán)格過濾和擺渡交換,切實保護工作秘密的安全。
2.2 防火墻的部署
防火墻的主要思想是在內(nèi)外部網(wǎng)絡(luò)之間建立起一定的隔離,控制外部對受保護網(wǎng)絡(luò)的訪問,它通過控制穿越防火墻的數(shù)據(jù)流來屏蔽內(nèi)部網(wǎng)絡(luò)的敏感信息以及阻擋來自外部的威脅,只有允許的應(yīng)用協(xié)議才能通過防火墻,所以網(wǎng)絡(luò)環(huán)境變得更安全。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,有效地監(jiān)控了內(nèi)部網(wǎng)和公眾網(wǎng)之間的任何活動,保證了內(nèi)部網(wǎng)絡(luò)的安傘。因此通過在該局辦公區(qū)域訪問互聯(lián)網(wǎng)的邊界部署一臺防火墻,既起到邏輯隔離的作用,又能有效控制辦公區(qū)域和互聯(lián)網(wǎng)之間的通訊安全。為了更有效地控制辦公區(qū)域的用戶端上網(wǎng)行為,本系統(tǒng)在防火墻前面部署了一臺LINUX服務(wù)器,給防火墻前而設(shè)置多了一道天然的屏障,而且通過緩存機制間接地提高了訪問互聯(lián)網(wǎng)的速度。
2.3 入侵檢測系統(tǒng)的部署
雖然通過防火墻可以隔離大部分的外部攻擊,但是仍然會有小部分攻擊通過正常的訪問漏洞滲透到內(nèi)部網(wǎng)絡(luò),據(jù)統(tǒng)計有70%以上的攻擊事件來自內(nèi)部網(wǎng)絡(luò),也就是說內(nèi)部人員有意或無意的攻擊,而這恰恰是防火墻的盲區(qū)。入侵檢測系統(tǒng)可以彌補防火墻的不足,為網(wǎng)絡(luò)安全提供實時的入侵檢測及采取相應(yīng)的防護手段,如記錄證據(jù)用于跟蹤、恢復(fù)、斷開網(wǎng)絡(luò)連接等,及時地發(fā)現(xiàn)異常地網(wǎng)絡(luò)流量或安全隱患,盡早采取措施、排查隱患,避免安全事故的進一步擴大。
3 結(jié)束語
電子政務(wù)信息安全建設(shè)是一項復(fù)雜、龐大的工程,電子政務(wù)安全是一項動態(tài)的、長期的、整體的系統(tǒng)工程,需要周密的設(shè)計和部署。在電子政務(wù)網(wǎng)絡(luò)安全體系的構(gòu)建中除了要有上述的各種技術(shù)手段,更需要嚴(yán)謹(jǐn)?shù)墓芾硎侄巍?/p>
參考文獻:
[1] 威特曼.信息安全原理[M].北京:清華大學(xué)出版社,2006.
篇(10)
電子政務(wù)是現(xiàn)代政府管理觀念和信息技術(shù)相融合的產(chǎn)物,面對全球范圍內(nèi)的國際競爭和知識經(jīng)濟的挑戰(zhàn),許多國家政府都把電子政務(wù)作為優(yōu)先發(fā)展戰(zhàn)略。隨著電子信息技術(shù)的不斷發(fā)展,特別是國際互聯(lián)網(wǎng)的普及應(yīng)用,電子政務(wù)以其特有的方便、快捷、高效等諸多優(yōu)點,掀起了一場前所未有的政務(wù)革命。它的出現(xiàn)改變了傳統(tǒng)的運作模式,在互聯(lián)網(wǎng)上實現(xiàn)政府組織結(jié)構(gòu)和工作流程的優(yōu)化重組,向社會提供優(yōu)質(zhì)和全方位的、規(guī)范而透明的、符合國際標(biāo)準(zhǔn)的管理和服務(wù)。近年來,電子政務(wù)發(fā)展十分迅速。目前互聯(lián)網(wǎng)已成為重要的信息基礎(chǔ)設(shè)施,積極利用互聯(lián)網(wǎng)進行電子政務(wù)建設(shè),既能提高效率、擴大服務(wù)的覆蓋面,又能節(jié)約資源、降低成本。但是另一方面,利用開放的互聯(lián)網(wǎng)開展電子政務(wù)建設(shè),面臨著計算機病毒、網(wǎng)絡(luò)攻擊、信息泄漏、身份假冒等安全威脅和風(fēng)險,應(yīng)該高度重視信息安全。本文從電子政務(wù)建設(shè)中存在的問題出發(fā),分析了問題所在,并提出相關(guān)預(yù)防策略。
1 電子政務(wù)建設(shè)中存在的問題
(1)部分領(lǐng)導(dǎo)干部對加快電子政務(wù)建設(shè)的重要性認(rèn)識不到位,弱化了對此項工作的領(lǐng)導(dǎo),一定程度上影響了電子政務(wù)建設(shè)的發(fā)展步伐。
(2)低水平重復(fù)建設(shè)現(xiàn)象普遍存在,投入不足與資源整合矛盾十分突出,嚴(yán)重制約了電子政務(wù)建設(shè)的質(zhì)量和水平。部分基層的經(jīng)辦人員業(yè)務(wù)不熟習(xí),操作不規(guī)范,使用中問題較多。
(3)信息化專業(yè)人才嚴(yán)重缺乏,技術(shù)相對落后,制約了電子政務(wù)建設(shè)。大多數(shù)單位沒有專業(yè)技術(shù)人員,建設(shè)規(guī)范的網(wǎng)絡(luò)和日常維護技術(shù)問題的處理是靠機關(guān)內(nèi)部對電腦知識相對豐富的人員兼任,很難滿足電子政務(wù)發(fā)展的需要。
(4)政府信息公開工作的運行機制尚不完善,加之政府信息公開的工作量大,多數(shù)部門存在信息搜集整理不全的現(xiàn)象。
(5)電子政務(wù)信息安全體系建設(shè)有待進一步加強。構(gòu)建電子政務(wù)信息安全體系信息安全是電子政務(wù)工程中不可缺少的重要組成部分。要認(rèn)真貫徹落實國家保密要求、安全規(guī)定和工程實施規(guī)范,做到信息安全建設(shè)與網(wǎng)絡(luò)應(yīng)用系統(tǒng)建設(shè)同步規(guī)劃、同步建設(shè)、同步驗收。要加大信息安全的投入力度,切實保證信息安全設(shè)施的運行維護。
基于互聯(lián)網(wǎng)電子政務(wù)系統(tǒng)的政務(wù)應(yīng)用主要分為政務(wù)辦公、公共服務(wù)等。政務(wù)辦公的內(nèi)容主要包括:政府部門內(nèi)部的業(yè)務(wù)處理,如政府部門間的公文流轉(zhuǎn)、公文交換、公文處理、辦公管理和數(shù)據(jù)共享等。安全防護的重點主要包括對的身份認(rèn)證、政務(wù)資源的授權(quán)訪問和數(shù)據(jù)傳輸保護等方面。公共服務(wù)的內(nèi)容主要包括:面向社會公眾提供信息公開、在線辦事、互動交流等服務(wù),安全防護的重點應(yīng)放在系統(tǒng)和信息的完整性和可用性方面,特別要防范對數(shù)據(jù)的非法修改。
2 基于互聯(lián)網(wǎng)電子政務(wù)安全需求與實施原則
基于互聯(lián)網(wǎng)電子政務(wù)網(wǎng)絡(luò)相對于電子政務(wù)專網(wǎng)模式風(fēng)險更大,這些風(fēng)險主要來自于身份假冒、信息竊取、內(nèi)容篡改、病毒侵襲等造成的破壞。基于互聯(lián)網(wǎng)的電子政務(wù)面臨的信息安全威脅主要有以下幾個方面。
2.1 身份假冒、口令竊取威脅
身份鑒別是網(wǎng)絡(luò)安全的基本要求,互聯(lián)網(wǎng)擁有大量用戶,系統(tǒng)很難分辨哪些是合法用戶,哪些是非法用戶,存在身份假冒等威脅。一旦政務(wù)辦公人員的身份被假冒,將影響到政府的辦公系統(tǒng),一旦政務(wù)網(wǎng)站信息員或?qū)<业纳矸荼粍e有用心者假冒,將無法保證信息的真實可信。
2.2 信息竊取或篡改威脅
基于互聯(lián)網(wǎng)電子政務(wù)系統(tǒng)存在大量不宜公開的內(nèi)部信息,如政務(wù)辦公系統(tǒng)的待辦公文等,互聯(lián)網(wǎng)作為高度開放的網(wǎng)絡(luò),內(nèi)部數(shù)據(jù)在傳輸過程中極易被竊取和監(jiān)聽,內(nèi)部數(shù)據(jù)要面對高水平黑客和別有用心者,信息泄漏的威脅更大。
2.3 系統(tǒng)面臨惡意攻擊的威脅
基于互聯(lián)網(wǎng)建設(shè)電子政務(wù)系統(tǒng),遭到惡意攻擊的風(fēng)險更大,特別是為企業(yè)和百姓服務(wù)的系統(tǒng),允許從互聯(lián)網(wǎng)上直接訪問,雖然提高了服務(wù)范圍,方便了大眾,但是相對局域網(wǎng)而言,也面臨著更多來自互聯(lián)網(wǎng)的威脅。若不能保持服務(wù)窗口的良好穩(wěn)定運行,勢必對系統(tǒng)的可用性造成威脅,影響政府形象。
2.4 病毒傳播和擴散威脅
互聯(lián)網(wǎng)上存在大量的資源和服務(wù),人們在獲取資源和享受服務(wù)的同時,也極易將病毒帶回來。如今,病毒種類多、更新速度快,常常呈指數(shù)級的速度擴散,這將影響依托互聯(lián)網(wǎng)建設(shè)的政務(wù)網(wǎng)絡(luò)服務(wù)器的正常運行。
在基于互聯(lián)網(wǎng)電子政務(wù)系統(tǒng)建設(shè)過程中,除需要考慮內(nèi)部安全以外,還要應(yīng)對來自互聯(lián)網(wǎng)攻擊的防范,其安全需求主要包括:
(1)需要實現(xiàn)安全接入與安全互聯(lián),在互聯(lián)網(wǎng)上構(gòu)建安全的電子政務(wù)網(wǎng)絡(luò);
(2)需要實現(xiàn)強的安全認(rèn)證、授權(quán)管理與訪問控制機制,確保電子政務(wù)系統(tǒng)的安全訪問;
(3)需要采取分類分域防護措施,加強綜合防范和安全管理,進行不同類別信息和系統(tǒng)的有效保護。
基于互聯(lián)網(wǎng)電子政務(wù)信息安全風(fēng)險應(yīng)對的基本原則包括:
(1)信息不上網(wǎng)。基于互聯(lián)網(wǎng)電子政務(wù)系統(tǒng)不得傳輸、處理、存儲涉及國家秘密的信息。有關(guān)安全保密問題要嚴(yán)格遵循國家保密有關(guān)規(guī)定。
(2)適度安全、綜合防范。基于互聯(lián)網(wǎng)的電子政務(wù)建設(shè)應(yīng)當(dāng)根據(jù)應(yīng)用系統(tǒng)的安全需求,合理配置信息安全資源,采取適當(dāng)?shù)陌踩胧M行有效的安全管理,從管理、技術(shù)等各個方面進行綜合防范。
(3)分域控制、分類防護。實施分域邊界防護和域間訪問控制,保證信息的安全隔離和安全交換;針對不同類別的信息采用不同的安全防護措施。
綜上所述,政府網(wǎng)站區(qū)別于普通網(wǎng)站的最大特點在于其公布政府信息的準(zhǔn)確性、全面性、及時性與權(quán)威性。通過政府網(wǎng)站,民眾應(yīng)該能夠最有效地獲得政府信息。因此,應(yīng)該充分利用因特網(wǎng)公布政府信息。在目前階段,可以考慮設(shè)定一定的標(biāo)準(zhǔn),對政府網(wǎng)站的公開性進行社會評價,以促進政府上網(wǎng)工程向縱深發(fā)展。從長遠(yuǎn)考慮,應(yīng)該深入研究因特網(wǎng)給政府信息公開所帶來的新問題,包括技術(shù)的快速更新對信息保存方式的挑戰(zhàn),信息的分類與定義,信息的公開與信息安全,信息來源多元化問題等等。只有對這些問題進行深入的研究,才可以趨利避害,充分發(fā)揮因特網(wǎng)公開政府信息的作用。
參考文獻
[1]GB/T 19715.信息技術(shù)第2部分:管理和規(guī)劃信息技術(shù)安全,信息技術(shù)安全管理指南,2005.
[2]GB/T 20270.信息安全技術(shù).網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求,2006.
篇(11)
中圖分類號:TP39 文獻標(biāo)識碼:A 文章編號:1006-0278(2013)04-133-02
隨著當(dāng)今通訊技術(shù)越來越寬帶化、多媒體化、智能化、個人化。計算機與電子商務(wù)的突飛猛進,創(chuàng)造出了一個更加高效、節(jié)能、快捷的辦公環(huán)境,甚至目前還出現(xiàn)了微博政務(wù)一種新興的方式。我國對電子政務(wù)的發(fā)展要求隨著當(dāng)代經(jīng)濟建設(shè)的快速發(fā)展和知識經(jīng)濟的來到也越來越大,同時也被提出了許多新的要求,面臨著新的挑戰(zhàn)。在新形勢和新挑戰(zhàn)下,現(xiàn)代辦公自動化系統(tǒng)中的電子政務(wù)的開發(fā)需要進行新的設(shè)計。然而,整個政府電子政務(wù)的安全問題的好壞直接影響到了政府部門辦公自動化是否能夠有序的運行。所以,電子政務(wù)的安全問題是我們在對現(xiàn)代辦公自動化系統(tǒng)進行全面建設(shè)時必須要放在首位考慮的。
一、我國電子政務(wù)運行中存在的安全性問題
1.我國一些政府部門在處理政務(wù)時對于網(wǎng)絡(luò)過于相信,將許多十分重要的政務(wù)上的文件和資料在網(wǎng)絡(luò)上上傳。然而,對于網(wǎng)絡(luò)安全性的保護措施卻直接關(guān)系到了這些文件的安全。同時,我國在開始發(fā)展電子政務(wù)的初期,由于技術(shù)上和資金上的一些問題,在對于整個電子政務(wù)系統(tǒng)的規(guī)劃和建設(shè)中缺少了對于系統(tǒng)安全性的考慮,一些政府機構(gòu)在其電子政務(wù)的建設(shè)過程中沒有對所涉及到的網(wǎng)絡(luò)的安行進行考察,這些問題都造成了我國現(xiàn)在電子政務(wù)網(wǎng)絡(luò)安全的防范工作不協(xié)調(diào),給我國電子政務(wù)網(wǎng)絡(luò)的安全性建設(shè)帶來了巨大的挑戰(zhàn)。
2.我國是一個地大物博的國家,各個省的管轄區(qū)域十分大,這就讓我國對于整個電子政務(wù)的建設(shè)上帶來了困難,缺乏對地方的整體規(guī)劃和安排。由于我國不同地區(qū)的經(jīng)濟發(fā)展?fàn)顩r不同,東部地區(qū)的經(jīng)濟較為發(fā)達,西部地區(qū)的經(jīng)濟相對落后,造成我國整個電子政務(wù)建設(shè)的不平衡,東部地區(qū)的建設(shè)較為提前,西部地區(qū)的建設(shè)較為落后,這樣的不協(xié)調(diào)就給地方政府部門的政務(wù)建設(shè)帶來了一些阻礙。同時因為各個地區(qū)的經(jīng)濟差異,使得各個地方政府部門在電子政務(wù)方面的投入不同,這樣對于各個地區(qū)的電子政務(wù)就沒有一個統(tǒng)一的安全標(biāo)準(zhǔn),對于電子政務(wù)安全性建設(shè)難以把握,出現(xiàn)許多的安全問題。
3.我國自己研發(fā)的針對電子政務(wù)方面的軟件非常的少,都需要從外國購買使用權(quán)。許多政務(wù)信息中都包含有國家的重要機密,這些信息的安全性都需要依靠購買國外的安全保護技術(shù)的產(chǎn)品來進行保障。許多的電子政務(wù)的建設(shè)是以國外購買的安全保護技術(shù)的產(chǎn)品為基礎(chǔ)建立的,這樣的情況就威脅到了我國一些非常重要的政府部門機構(gòu)的安全,許多電子政務(wù)信息材料的安全受到很大的威脅,進而對于國家的安全也造成了很大的危害。
4.我國電子政務(wù)經(jīng)過這么多年的不斷發(fā)展,已經(jīng)有一些基礎(chǔ)和規(guī)模,但是在對于電子政務(wù)的管理方面上還是比較薄弱的。一些政府部門只注重對電子政務(wù)規(guī)模的不斷建設(shè),卻忽視了對管理方面的加強,對于安全防范的意識非常的薄弱。由于這些管理方面的問題,讓一些國家不法組織找到我國政府部門在電子政務(wù)方面的漏洞,在互聯(lián)網(wǎng)上損害我國國家利益的言論。
5.目前,我國還沒有一部法律來保障政府電子政務(wù)的安全性。由于我國將政務(wù)與網(wǎng)絡(luò)相結(jié)合的時間相對于發(fā)達國家來說比較晚,所以還沒有一個統(tǒng)一的標(biāo)準(zhǔn)來指導(dǎo)制定相關(guān)的電子政務(wù)安全法。
6.由于電子政務(wù)的辦公自動化在我國各個地方政府部門的普及還不是很廣泛,目前還沒有發(fā)現(xiàn)電子政務(wù)在安全方面出現(xiàn)大的問題,所以有關(guān)政府部門對于如何加強電子政務(wù)方面的安全性還不是很有經(jīng)驗,對于安全問題的評估制度還是非常缺乏的。
二、我國電子政務(wù)發(fā)展中的安全問題產(chǎn)生的原因
1.我國對于電子政務(wù)硬件和軟件方面沒有自己的核心技術(shù)。目前我國所用的軟件后臺是通過購買國外技術(shù)的使用權(quán),重要信息的安全受到巨大的威脅。同時,我國電子政務(wù)系統(tǒng)中使用的各種硬件設(shè)備大部分都是從國外進口的,國產(chǎn)設(shè)備非常的少。這些因素都給我國電子政務(wù)帶來巨大的安全隱患。
2.我國由于整個電子政務(wù)起步相對比較晚,同時對于資金的投入和整體網(wǎng)絡(luò)規(guī)劃的問題,造成我國整個電子政務(wù)系統(tǒng)的安全性建設(shè)缺乏規(guī)劃。
3.目前,許多的政府政務(wù)信息工作人員對于信息的安全意識和重視程度不強。他們通常使用手工來進行政務(wù)信息的辦公,還不能對電子政務(wù)辦公進行接受。
同時對于哪些涉及到電子政務(wù)方面的安全問題,他們還不是很了解。
4.一些政府部門只注重對電子政務(wù)規(guī)模的不斷建設(shè),卻忽視了對管理方面的加強。這幾年來,安全管理體制的問題日益突出,安全管理制度相對發(fā)達國家非常的滯后。
三、我國電子政務(wù)安全管理的對策
1.電子政務(wù)系統(tǒng)的硬件設(shè)施是整個電子政務(wù)建設(shè)的基礎(chǔ),所以對于其安全性的要求是非常高的。對于系統(tǒng)物理安全方面,可以通過國家制定的一些設(shè)計規(guī)范和一些技術(shù)安全要求來進行。在硬件設(shè)備的采購方面,多采用我國自主研發(fā)的設(shè)備,我國現(xiàn)在的技術(shù)水平可以提供給我們這樣的這種需求的設(shè)備,從戰(zhàn)略的角度考察,其能夠從根本上保障電子政務(wù)的安全問題。電子政務(wù)系統(tǒng)的軟件平臺也是非常重要的,我們最好是選擇具有我們自己知識產(chǎn)權(quán)的軟件產(chǎn)品。同時對于電子政務(wù)系統(tǒng)軟件中出現(xiàn)的問題和漏洞進行定期的掃描和檢查,迅速的發(fā)現(xiàn)問題和解決問題。通過采用一些安全軟件來保障電子政務(wù)軟件平臺在加載時的安全性。
2.在應(yīng)用電子政務(wù)的時候通常會出現(xiàn)內(nèi)網(wǎng)與專網(wǎng)、外網(wǎng)間的信息交換。我們出于對內(nèi)網(wǎng)數(shù)據(jù)保密性的考慮,會盡量讓內(nèi)網(wǎng)不要在外界環(huán)境中顯露。解決這個問題的有效方式是設(shè)置安全島,通過安全島來實現(xiàn)內(nèi)外網(wǎng)間信息的過濾和兩個網(wǎng)絡(luò)間的物理隔離,從而在內(nèi)外網(wǎng)間實現(xiàn)安全的數(shù)據(jù)交換。安全島是獨立于電子政務(wù)內(nèi)、外網(wǎng)的一個特殊的過度網(wǎng)絡(luò),它被置于內(nèi)網(wǎng)、專網(wǎng)和外網(wǎng)相交的邊界位置,一方面將內(nèi)網(wǎng)與外網(wǎng)物理隔離斷開防止外網(wǎng)中黑客利用漏洞等攻擊手段進入內(nèi)網(wǎng),另一方面又完成數(shù)據(jù)的中轉(zhuǎn),在其安全策略的控制下安全地進行內(nèi)外網(wǎng)間的數(shù)據(jù)交換。
3.對于電子政務(wù)管理上存在的安全隱患,我們可以從加強管理方面入手,提高管理人員的思想素質(zhì)和業(yè)務(wù)管理水平,對于一部分保密單位或部門的管理人員更應(yīng)加強管理。
4.電子政務(wù)建設(shè)和運行中無法保證數(shù)據(jù)萬無一失,一些非人為因素,如硬件故障、自然災(zāi)害,以及未知病毒的感染都有可能導(dǎo)致政府重要數(shù)據(jù)的丟失。因此,在電子政務(wù)安全體系中必須包括數(shù)據(jù)的備份,對于出現(xiàn)特別的緊急安全狀況,我們應(yīng)該提前做出電子政務(wù)安全的應(yīng)急方案,以減少因為安全問題帶來的損失。建立信息安全的風(fēng)險評估體系。風(fēng)險評估主要是風(fēng)險分析,它是指確定資產(chǎn)的安全威脅和脆弱性、并估計可能由此造成的損失或影響的過程,其結(jié)果是制定安全政策的重要依據(jù),可以按照資產(chǎn)列表制定相應(yīng)的安全政策。風(fēng)險分析與評估包括準(zhǔn)備階段培訓(xùn)階段;資產(chǎn)確定階段;風(fēng)險評估階段;風(fēng)險策略階段。
