信息技术的普及与应用推动着当前电子政务蓬勃发展,虽然电子政务有诸多便利,但也承受着巨大的安全威胁,解决威胁其发展的安全风险,对于电子政务更好的发挥服务优势有积极意义。下面我们在分析电子政务安全风险的基础上,探讨基于分域防护思想安全体系结构的设计与建立。
一.电子政务安全风险分析
二、基于分域防护思想的电子政务系统安全体系结构设计
图1电子政务安全体系结构
电子政务系统作为服务于政府公务的重要支持系统,安全防护体系建设必须兼顾到系统本身的应用性、开放性等需求,遵循适度安全原则,解除其面临安全威胁,将政务系统划分为不同安全域,并针对各个安全域特点实施针对性安全举措。分域防护的应用有利于明确安全责任,消除政务互联网开放顾虑与障碍,便于科学组织与安全建设。基于分域防护思想,电子政务系统可根据系统本身特点、安全需求、环境重要性进行划分,系统方面可分为政务内网、外网与互联网,安全需求可分为通信传输安全、边界安全与环境安全,环境重要性可划分为核心域、重要域与一般域[2]。不同安全区域内,根据防护要求利用身份认证、访问控制、病毒防护、安全审计等诸多措施保障信息安全,配合软硬件基础设施与管理平台共同打造高效运行的安全体系。电子政务安全体系结构见图1。
分域防护思想指导下根据政务系统职能特点可划分为政务内网、外网与互联网络三类。政务内网是政府用于办公的内部局域网,主要处理一些保密等级较高的数据业务和网上办公事项,与外网链接,主要由信息处理、存储、传输设备构成,是政务核心处理区域和主要运行平台,与外网间实施物理隔离。外网主要服务政府各类政务部门,如法院、检察院、政府、政协、党委等,是业务专网,运行主要面对社会公众,处理一些无需内网处理的低保密等级公物,与互联网之间实施逻辑隔离。互联网作为公共性质的开放网站,向公众提供各类服务,比如政务信息、收集群众意见反馈及接受公众监督等。
分域防护安全结构中,根据环境重要性分为核心域、重要域与一般域。核心域是安全等级最高的政务系统核心区域,需要提供最严密的安全防护措施以保护机密等级最高的数据,做好其存储与安全管理。重要域是次安全等级区域,是国家政府部门各类政务信息交杂处理区域,需实施严密防护。一般域是安全等级较低的防护区域,公开性显著,提供各类公开政务信息与数据服务,防护关键在于保障数据的公开性、真实性、完整性与可用性。
分域防护安全结构中,安全方面主要以边界安全、通信传输安全和环境安全为主。通信传输安全关系到政府内网、外网与互联网之间的信息传输与沟通,安全防护既要保障数据的传输通常,又要避免来自外界的恶意攻击,保证传输数据的完整性、真实性与可用性[3]。网络环境安全则是系统自身计算环境安全域数据安全,即处理各个层次数据时有不被泄露、攻击和篡改的风险。边界防护安全则是不同等级安全域之间数据信息交换时不会出现由高向低或者由低向高的安全阀县漏洞,不会出现数据的泄露、流失与非法访问。
信息安全管理平台是安全体系结构中技术得以发挥作用的基础,关系到整个信息平台能否顺利运转,是防护关键,管理平台上要配备合适人员,加快标准化制度建设,提供规范制约、法律支持等,配合各类信息安全基础设施在政务系统保护中发挥作用。
综上所述,电子政务系统的发展和应用中承受着来自内外的众多安全威胁,利用分域防护思想可有效划分不同安全域,针对各个安全域特点实施针对性安全举措,解除其面临的安全威胁,有利于明确安全责任,消除政务互联网开放顾虑与障碍,便于科学组织与安全建设。
参考文献:
[1]吕欣.信息通信新技术环境下电子政务安全保障[J].信息网络安全.2010(02).
【关键词】网络安全电子政务
随着社会经济、技术的不断进步与发展,电子政务已渐渐发展成为政府部门的一个重要办公平台。电子政务在实际运用中大大提高了办公效率,加强这方面的建设将具有极大的价值意义。但是就目前的情况而言,电子政务中还存在一些网络安全问题,这严重束缚了电子政务的健康发展。本文旨在通过对这些存在的网络安全问题进行剖析,进一步提出解决措施来促使电子政务得到更好的发展。
一、什么是电子政务中的网络安全以及对其中一些问题的剖析
1.1什么是电子政务中的网络安全
1.2对电子政务中网络安全问题的剖析
当今世界,网络技术的发展有利有弊,在促进了电子政务提高办公效率的同时,也产生了一些网络安全问题。总的说来,出现在电子政务中的网络安全问题主要有三类:
二、如何保障电子政务中的网络安全
三、结束语
参考文献
关键词:电子政务,信息安全,网络安全,安全模型,信息安全体系结构
一、电子政务安全体系概述网络安全遵循“木桶原理”,即一个木桶的容积决定于它最短的一块木板,一个系统的安全强度等于它最薄弱环节的安全强度。因此,电子政务必须建立在一个完整的多层次的安全体系之上,任何环节的薄弱都将导致整个安全体系的崩溃。同时,由于电子政务的特殊性,也要求电子政务安全环境中重要的加密/密钥交换算法等安全核心技术必须采用具有自主知识产权或原码开放的产品。
一个完整的电子政务安全体系可由四部分构成,即:基础安全设施、安全技术平台、容灾与恢复系统和安全管理,如图:
基础安全设施是一个为整个安全体系提供安全服务的基础性平台,为应用系统和网络系统提供包括数据完整性、真实性、可用性、不可抵赖性、机密性在内的安全服务。有了这一基础设施,整个电子政务的安全策略便有了实现的保证。这一平台的实现主要包括CA/PKI。
网络系统安全是一个组合现有安全产品和技术实现网络安全策略的平台。网络系统安全的优劣取决与安全策略的合理性,电子政务的网络安全策略是:划分网络安全域建立多层次的动态防御体系。
电子政务系统用户类型复杂,划分网络安全域将具有相似权限的用户划分成独立的管理域,管理域之间通过物理隔离与认证/加密技术实现有限可控的互连互通,有利于降低整个系统访问权限控制的复杂性,降低系统性风险。
网络信息安全具有动态性的特点:网络和应用程序的未知漏洞具有动态产生的特点;电子政务的应用也会动态变化、网络升级优化将导致系统配置动态更新。这些都要求我们的防御系统必须具有动态适应能力,包括建立入侵监测(IDS)系统,漏洞扫描系统和安全配置审计系统,并将它们与防火墙等设备结合成连动系统,以适应网络环境的变化。
灾难恢复系统在发生重大自然及人为灾难时能迅速恢复数据资料,保证系统的正常运行并保护了政务历史资料。电子政务的容灾与恢复系统应该采用磁带静态备份与磁盘同步备份相结合的方式。磁带静态方式用于离线保存历史记录,保证了历史信息的完整,而磁盘同步方式则用于灾难数据恢复,保护了当前系统的所有数据。
安全管理也是电子政务安全体系的重要组成部分。网络安全的核心实际上是管理,安全技术实际上只是实现管理的一种手段,再好的技术手段都必须配合合理的制度才能发挥作用。需要制定的制度包括:日常系统操作及维护制度、审计制度、文档管理制度、应急响应制度等。
二、电子政务安全体系的设计电子政务系统是一个复杂的多层次应用系统,根据不同的应用环境和安全要求一般可分为三个不同的网段:内网、专网、外网。免费论文。
内网包括内网的数据层、内网的业务层;内网数据层是政府信息的集中存储与处理的域,该域必须具有极其严格的安全控制策略,信息必须通过中间处理才能获得。内网的业务层是政府内部的电子办公环境,该区域内的信息只能在内部流动。
专网连接政府不同的部门和不同部门的上下级部门。它把部分需要各部门交换的信息进行交换。该区域负责将信息从一个内网传送到另一个内网区域,它不与外网域有任何信息交换。免费论文。
外网是政府部门的公共信息的场所,它实现政府与公众的互操作。该域应与内网和专网隔离。
不同的网络连接示意图如下:
根据不同网络的不同安全需求,设计了如下一个电子政务的安全模型:
三、电子政务安全体系的部署
电子政务安全体系的部署应遵循确定安全需求、安全状态评估、安全策略制定(含管理制度)、安全方案设计、安全方案实施、安全制度培训的顺序进行。免费论文。前期的确定安全需求和安全状态评估是整个安全体系部署中最重要的两个步骤,它们是后续制定安全策略和方案设计的依据,决定了整个安全体系的可靠性。
全面的安全需求调查包括两个方面:系统安全的功能需求和安全置信度需求。系统安全的功能需求包括安全审计需求、安全连接需求、身份认证、信息机密需求、数据保护需求以及安全管理需求。安全置信度需求包括安全保护轮廓评估(PP)、安全目标(ST)评估、系统配置维护管理、用户手册规范、产品生命周期支持以及测试等内容。
安全状态评估通常采用五种方式来了解安全漏洞:1)对现有安全策略和制度进行分析;2)参照一些通用的安全基线来考察系统安全状态;3)利用安全扫描工具来发现一些技术性的常见漏洞;4)允许一些有经验的人在监管之下对特定的机密信息和区域做模拟入侵系统,以确定特定区域和信息的安全等级;5)对该系统的安全管理人员和使用者进行访谈,以确定安全管理制度的执行情况和漏洞。
同时应注意的是,安全体系的部署并非一劳永逸的事情,随着系统安全状态的动态变化,应定期对系统进行安全评估和审计,搜寻潜在的安全漏洞并修正错误安全配置。
总之,电子政务的安全系统是个容复杂组织和先进IT技术于一体的复合体,必须从管理和技术两方面来加强安全性,以动态的眼光来管理安全,在严谨的安全需求分析和安全评估的基础上运用合理的安全技术来实现电子政务的整体安全。
·参考文献:
1.电子政务总体设计与技术实现《北京:电子工业出版社》国家信息安全工程技术研究中心2003
2.《国家信息化领导小组关于推进国家电子政务网络建设的意见》国信办2006
3.电子政务安全解决方案要解决的主要问题《信息安全与通信保密》谭兴烈2004
4.电子政务安全体系《信息安全与通信保密》邬贺铨2003
【关键词】武汉城市圈;电子政务;对策建议
一、武汉城市圈电子政务发展现状及问题
(一)基本现状
1.网络平台建设情况
市级网络平台是武汉城市圈统一网络平台的重要组成部分。湖北省省级网络平台于2006年7月启动建设,同年11月完成了网络与支撑软件调试和安全体系部署,12月完成初步验收,进入试运行。在省级网络平台建设的带动下,湖北省17个市州和93个省直部门(单位)同步进行了线路接入和设备安装,武汉是武汉城市圈率先接入市级网络平台的城市,已建成覆盖全市的电子政务网络并实现了与省电子政务网的连接。目前,武汉城市圈各市网络平台建设正在有序推进,尚未建成的城市正在建设或规划中。
2.门户网站建设情况
武汉城市圈门户网站已经建成并投入运行,门户网站分四大模块:合作、经济、政务以及新农村建设,并覆盖了1+8城市的政府门户网站,基本实现了数据库的对接和信息的互动交流,成为当前了解城市圈动态的最为直接的平台。
3.标准制定情况
2004年11月,湖北省电子政务工作领导小组印发了《湖北省电子政务建设总体设计及实施方案》,2005年10月,湖北省又编制了电子政务一期工程项目建议书、可行性研究报告和初步设计方案。2007年下半年相继印发了《湖北省市州电子政务建设指导方案》和《湖北省市州电子政务网络与信息安全体系建设指导方案》。2008年2月又印发了《湖北省电子政务网络与信息安全体系规划》。在此基础上,武汉城市圈各市也制定了本地电子政务建设方案,目前部分城市的建设方案已获批复通过,形成了以省级网络资源为为依托,覆盖武汉城市圈各市、县统一的网络体系设计和实施方案。
(二)存在的问题
在武汉城市圈电子政务建设过程中,还面临不少问题,主要表现在:第一、武汉城市圈电子政务建设和应用的整体水平还不高,少数市级政府对工作重视不够,突出表现在工作滞后、人员和资金投入力度不大;第二、武汉城市圈统一的电子政务网络体系尚未完全形成,除武汉外,大部分城市还未建成本地统一的网络平台;第三、应用系统建设整体水平有待提高,基础数据库的建设需深化,已建应用系统的管理和运行维护机制尚待健全。目前建设的应用系统中涉及公共服务、跨部门办公系统较少,跨市级协同办公和武汉城市圈垂直业务办理基本没有,不能完全满足为民服务和提高效率的需要;第四、部分重点应用系统建设推进难度大。第五、门户网站建设和在线服务水平有待进一步提高。目前,武汉城市圈各市级政府门户网站在政务公开、为民服务的深度和广度方面还不够,为公众提供网上办事的服务功能较少,与政务网、应用系统的相互支撑尚待深化。第六、信息安全建设需进一步加强。在省级网络平台容灾备份项目尚未启动建设,主机审计管理和数据库加密等项目尚未实施的背景下,武汉城市圈统一的安全管理体系有待健全。
二、武汉城市圈电子政务建设思路及目标
(一)基本思路
按照高效便捷的要求,建成以固定网为主,移动专网为辅圈内统一的电子政务网。建立健全电子政务网络和应用技术规范、数据格式、信息资源交换目录等应用支撑环境和安全保障体系,形成统一的电子政务网络产品和标准规范;完善圈内政府门户网站功能,实现面向全社会的政务管理和社会服务现代化。适时充实更新公务信息内容,加强公务信息集成,促进互联互通。建设完善公众服务平台,扩大行政许可项目网上申报审批范围,开展圈内跨部门跨区域业务协同和并联办公。建设城市圈信息资源共享平台。按照圈内信息一体化的要求,从社会征信体系、社会保障体系、交通物流服务等方面入手,研究制定城市圈基础数据库的共享和使用机制,逐步消除各部门信息资源共享的技术壁垒。
(二)建设原则
1.统筹规划,协调发展的原则
统筹圈内城市政务信息化需求和资源,制定总体规划,搭建功能完善、结构清晰的电子政务基本框架,避免重复建设。加强协调,处理好电子与政务、新建与整合、公开与安全的关系,促进圈内城市信息的互联互通,使有限的资源发挥最大效益,形成网络环境下的“一体化政府”,实现圈内城市电子政务水平全面协调发展。
2.整合资源,信息共享的原则
逐步将各城市分散的业务系统整合到武汉城市圈电子政务网络平台上运行,充分实现信息资源的开发利用和共享,利用已有的网络基础、业务系统和信息资源,避免重复建设。对于新建的业务系统,原则上要利用统一的网络平台。凡是各城市可共用的基础平台及大型电子政务项目,尽可能采取市市共建的方式进行项目建设。
3.需求主导,突出重点的原则
电子政务建设必须紧密结合政府职能转变和管理体制改革,根据圈内城市各级政府部门的需要,根据企业、公众和社会对政府的需要,选择适合电子和网络实现的事项,重点建设关系圈内城市国民经济和社会发展全局的应用业务系统。
4.自主创新,拉动产业的原则
5.资源节约,务求实效的原则
(三)建设目标
利用先进的信息技术,建立武汉城市圈党政机关(涵盖省各圈内城市市委、市人大、市政府、市政协、市纪委、市高院、市高检、市纪委等)服务、监控、调控和部门之间联合办公的党政网络体系(简称“武汉城市圈政务网)”,为武汉城市圈经济的科学发展提供工具和手段,建立管理高效、科学决策、服务规范快速的智能化电子政府。
三、推进武汉城市圈电子政务发展的措施
(一)健全电子政务领导小组体制
为加大对武汉城市圈电子政务建设工作领导力度,加强对电子政务发展的统筹规划、指导和管理,应积极推动成立武汉城市圈电子政务领导小组及办公室。成员主要由圈内城市分管电子政务工作的领导组成,其主要职责为:研究制定武汉城市圈电子政务发展规划,协调管理武汉城市圈城市的电子政务建设,促进信息化与政务的融合,推进信息技术推广应用和信息资源开发利用,协调促进信息安全保障工作,会同有关部门指导电子政务建设工作,防止和克服政出多门,提高武汉城市圈电子政务建设管理绩效。
(二)加强电子政务建设的基础工作
(三)深化应用系统建设
研究制定武汉城市圈电子政务应用系统建设总体规划,以“提高效率、为民办事、助民生活、监督政务、与民交流”为立足点,确定并启动一批重点应用系统,突出重点,形成亮点。大力推进电子监察、网上、会议通知报名等系统建设。以武汉城市圈应急平台建设为推动力,规划和深化一批应用项目。完善巩固应用系统建设成果,完成部分应用系统在市州的分级部署。指导各市州的应用系统建设工作。
(四)抓好安全保障工作
坚持信息安全保障与信息化同步规划、建设、发展,建立健全信息安全管理机制。根据应用系统和网络的重要性,程度和安全风险等因素,实行信息安全保护制度,重点保护基础信息网络。启动容灾备份体系建设,指导武汉城市圈市级安全体系建设,加快建立健全安全保障管理制度,形成纵向到市州、县,横向到各部门的统一规范的安全策略和相应的管理工作体系[3]。
[1]冀峰.政府信息化与政府管理创新[J].情报杂志,2006,(10):37-39.
[2]周萍,勒中坚.政务信息化水平群组决策的模糊评价模型[J].情报杂志,2007,(12):48-50.
[3]徐晓日.政府创新的信息化模式――基于电子政务的政府运行机制转变[J].中国人民大学学报,2007,(6):94-99.
作者简介:
关键词:电子政务;信息安全;体系管理
E-governmentInformationSecurityManagementSystemConstruction
ChenJisheng,XuYunpeng
(ShandongJiningInformationCenter,Jining272017,China)
Abstract:E-governmentelectronicandinformationtechnologyandmanagementasacombination,justlikemoderninformationtechnologyhasbecomethemostimportantareas.Itispreciselybecauseofitsimportance,itsinformationsecurityistobeignored.Thiswillbeitsinformationsecuritymanagementneedsanalysis,securitythreatsinabidtobuildtheirmanagementandsecuritysystemtogiveasystematicexposition.
Keywords:E-government;Informationsecurity;Systemmanagement
一、电子政务系统安全需求分析
电子政务涉及国家秘密信息和高敏感度核心政务,因此有严格的安全要求。如严格的保密要求,信息准确交换的要求,严格的权限管理要求,严格的程序和流程要求。电子政务内部信息网站有着大量高度机密的数据和信息,直接涉及政府的核心政务,它关系到政府部门、各大系统乃至整个国家的利益,有的甚至涉及国家安全。因此,电子政务信息安全是制约电子政务建设与发展的首要问题和核心问题,是电子政务的职能与优势得以实现的根本前提。如果电子政务信息安全得不到保障,不仅电子政务的便利与效率无从保证,更会给国家利益带来严重威胁。
二、电子政务信息安全威胁
由于电子政务对过度开放的网络的高度依赖,以及当今电子政务安全技术的缺陷导致电子政务存在来自各方面的安全威胁。因为电子政务是建立在基于互联网的网络平台上,而互联网是一个缺少安全管理的开放性平台,安全隐患特别多,给予网络黑客或不法分子可乘之机。对电子政务的安全威胁还包括网上犯罪、病毒泛滥和蔓延,信息间谍的潜入和窃密,网络恐怖集团的攻击和破坏,网络系统的脆弱和瘫痪,信息安全产品的失控以及信息安全技术层面的滞后等。
三、构建电子政务信息安全管理体系
(一)构建技术保障体系。由于电子政务的国家性,电子政务系统工程的安全保障需要各种有自主知识产权的信息安全技术和产品,全面推动自主研发和创新这些技术和产品是电子政务安全的需要。核心技术的研发可以保证在安全保卫战上的主动性。这些核心技术主要包括数据加密技术、信息隐藏技术和信息认证技术。鉴于现今我国技术水平落后,各地政府部门所用的信息平台大多属于国外技术产品,这更加加大的信息安全的风险。因此加快技术研发、技术产品化及产业化迫在眉睫。
(二)构建管理运营体系。有了行之有效的技术保障体系后最主要的问题就是管理的跟进啦,构建安全管理系统是电子政务安全进行的重要基础。从管理体制上落实安全责任制,建立完备的信息安全管理和认证机制。安全管理系统主要包括安全组织,安全策略和制度,安全评估和安全审计等。
1.安全组织。建立安全决策组织、安全指导小组、安全专家小组、安全领导小组,建立网络日常管理机构,建立维护单元等。只有建设一个国家到省市纵向和横向各部委、厅局架构的安全管理组织,才能真正实现全面的安全等级保护。
2.安全策略和制度。安全的政策和制度也是整个系统的关键部分,电子政务的安全运行必须以法律法规形式加以保障。通过加大执法力度,严格执法限制安全威胁。
3.安全评估。安全评估主要是分析潜在威胁,威胁严重程度,可能造成的后果,系统应对的安全措施等。
4.安全审计。在上述各项的基础上同时还要定期对各项安全举措执行情况进行达标审查。检查体系运行情况,并做出下一步工作方向。
[1]翟亚红.浅析信息安全风险评估与等级保护的关系[J].信息安全与通信保密,2011,4
[2]赵章界,李晨D,刘海峰.信息安全策略开发的关键问题研究[J].信息网络安全,2011,3
二、电子政务信息安全面临的问题分析
1、信息安全保障体系
2、信息安全管理体系
3、信息安全技术体系
目前,很多地区和部门在电子政务建设上都投入了大量财力和精力,但由于起步晚、技术落后,我国的电子政务总体建设水平仍然不高。主要的核心产品基本上都要从国外进口,即便是我们国家自己研制开发的产品,有时也需拿到国外市场去加工,而这些加工环节就有可能留下安全隐患。我国政府花钱引进了不少国外设备,以加快电子政务的建设发展,但由于我们并没有掌握这些先进设备的技术,如果对这些引进的东西再缺乏有效的检测,不能排除安全隐患的话,就可能适得其反,花钱买隐患。
三、保障电子政务信息安全的对策
1、加强电子政务信息安全保障体系的建设
2、健全电子政务信息安全管理体系的建设
(1)建立完备的信息安全管理机制
信息安全管理的关键在于组织领导,只有建立制度化的管理体系,才能各个环节实施中确保优质效果,以规避管理风险。一是国家建立能够维护各种信息安全利益的综合协调机构,来改变目前在维护信息安全时出现的职责不清、政出多门、多条管理等现状;二是各个职能部门要形成一个分工明确、责任落实的组织管理体系,共同履行信息安全管理的职责;三是建立省、市两级完善的信息安全领导体系,依据自己省市电子政务发展实际情况来制定相应的信息安全管理要求;四是采取有效措施,积极推进信息安全等级保护工作,按照信息的敏感和重要程度、信息的性质和部门重要程度,分级采取合理有效的措施。
(2)增强信息安全意识
3、完善电子政务信息安全技术体系的建设
(1)加强信息安全物理安全体系
(2)加强信息系统核心技术研发
如果能掌控自主核心技术的研发,就能全面增强国家信息基础设施、重点信息资源系统的安全保障及信息安全保密管理能力。以国家创新驱动发展为牵引,集中整合优势科研资源和力量,组织技术攻坚,做好高速加密通信芯片、操作系统、安全芯片、骨干网络核心交换设备安全操作系统、安全数据库及重要应用软件国产化等基础和核心信息安全技术的创新攻关。