電子政務的安全風險范文

時間:2023-06-08 17:38:50

導語:如何才能寫好一篇電子政務的安全風險,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。

電子政務的安全風險

篇1

關鍵詞:電子信息安全;電子政務;風險評估;風險管理

一、電子政務信息安全風險的來源

以Internet為代表的計算機網(wǎng)絡本身就存在安全隱患是毋庸置疑的,加之電子政務系統(tǒng)對Internet的依賴性及其自身的特殊性決定了其安全問題的多層次性、重要性和迫切性。

二、電子政務信息安全風險的評估

(一)風險評估的幾種基本方法

第一,定量評估方法。定量的評估方法是指運用數(shù)量指標來對風險進行評估。定量方法的優(yōu)點是,傳遞的信息量大。其缺點是,量化使本來比較復雜的事物簡單化、模糊化了,有的風險因素被量化以后還可能被誤解和曲解。第二,定性評估方法。定性的評估方法主要依據(jù)研究者的知識、經(jīng)驗、歷史教訓、政策走向及特殊變例等非量化資料對系統(tǒng)風險狀況做出判斷的過程。定性評估方法的優(yōu)點是可以挖掘出一些蘊藏很深的思想,使評估的結論更全面、更深刻;但它的主觀性很強,對評估者本身的要求很高。第三,定性與定量相結合的綜合評估方法。風險評估是一個復雜的過程,需要考慮的因素很多,有些評估要素是可以用量化的形式來表達,而對有些要素的量化又是很困難甚至是不可能的,所以應采用定性與定量相結合的評估方法。定量分析是定性分析的基礎和前提,定性分析則是靈魂,是形成概念、觀點和得出結論所必須依靠的。

三種風險評估的分析方法如下圖所示:

(二)電子政務信息安全風險評估方法

在電子政務風險評估中,OCTAVE方法得到較多應用。然而,OCTAVE是一個相對不太靈活的評估方法。在此方法的實施過程中,只提供一種原則,選擇一個目標,建立一個工作小組。一旦選取了原則,其他的工作組也必須使用已經(jīng)存在的原則去處理他們所面對的問題。然而每一個小組的運行模式也許是不同的,一些會注重數(shù)量,而另一些會注重質量。杜人杰以改進的OCTAVE方法為起點,結合AHP與FTA提出了電子政務信息安全的三元集成方法,對單純的OCTAVE方法進行了改進。湯志偉提出采用“可操作的關鍵威脅、資產(chǎn)和弱點評估”模型作為理論依據(jù),利用層次分析法確定權數(shù),以主觀概率來描述指標的隸屬度,建立了電子政務信息系統(tǒng)風險的模糊綜合評估方法。

此外,應用集成的風險研究方法也被應用到電子政務中。此方法將網(wǎng)絡系統(tǒng)中的安全防護分為兩個方面:一是網(wǎng)絡系統(tǒng)中存儲和傳輸?shù)男畔?shù)據(jù);二是網(wǎng)絡系統(tǒng)中的各類設備。這樣,既保證了政務業(yè)務的正常運行,同時又防止信息數(shù)據(jù)被非授權訪問者的竊取、篡改和破壞。應用集成的研究方法只是從微觀上進行了評估,將絕大部分注意力主要集中在來自硬件等技術層面的風險,沒有把重點放在管理上。

三、電子政務信息安全風險的管理策略

(一)樹立政務安全的基本觀念,避免進入“絕對安全”的誤區(qū)

安全的界定隨著時間、地點的不同而變化,信息安全是一種沒有底線的風險游戲。對電子政務而言,系統(tǒng)的安全策略總不可能保證絕對的安全,因為對任何技術或安全策略來講,給人足夠的時間都是可以攻破的。因而,我們在進行電子政務安全建設和管理中首先要樹立相對的安全觀,在現(xiàn)有條件下可以保證該保護的系統(tǒng)和信息資源的安全就是最好的安全。盲目追求“絕對的安全”,到頭來既會造成投資的浪費,也會使該保護的沒有保護好,無法發(fā)揮安全系統(tǒng)的最好效用。

(二)加強政府部門的管理職能,保障信息安全管理的有效性

政府相關部門應當聯(lián)合制訂信息化建設的網(wǎng)絡與信息安全專項資金政策,保證信息安全投資應占總投資的 15%-25%之間;同時由政府制定強制性的網(wǎng)絡與信息安全裝備監(jiān)督檢查政策并進行監(jiān)督檢查。要全方面地對信息安全服務商的資質能力制訂相應標準與行政監(jiān)管措施,推行安全服務資質和進入市場的信息安全產(chǎn)品和集成的信息化項目的強制性安全認證。

(三)全面提高用戶自身管理水平,減少信息風險的入侵

各部門、各行業(yè)、各單位等用戶是信息化建設的主體,也是網(wǎng)絡與信息安全保障體系建設的主體,能否全面提高用戶信息安全管理的意識和水平,決定著網(wǎng)絡與信息安全保障體系能否真正建成。要通過政府引導,有關執(zhí)法部門加強管理和宣傳教育,促進各類用戶建立信息安全管理機構,認真執(zhí)行國家有關政策法規(guī),推行標準化,采用技術措施,制定規(guī)章制度,配備和培養(yǎng)有關人員,選擇合格服務商等,全面提高其安全管理水平。鑒于此,建立高水平的研究教育環(huán)境,加強信息安全基礎理論研究,培養(yǎng)大批高素質的信息安全人才顯得尤其重要。

(四)重視安全風險分析評估,做到“早發(fā)現(xiàn)早治療”

安全利益與風險是整個網(wǎng)絡與信息安全保障體系的核心。只有了解、分析、評估和確定各部門、各行業(yè)、各單位的安全利益與風險,包括確定其安全利益與風險的大小,才能有效合理地配置有關技術、管理、人員等資源去實施保護,才能合理確定所利用資源的多少和保護強度的高低等。因此,網(wǎng)絡與信息安全保障體系中最基礎的工作是建立信息安全利益與風險分析評估體制。

參考文獻:

篇2

1、從網(wǎng)絡層安全風險角度。

電子政務的網(wǎng)絡層安全風險主要體現(xiàn)在數(shù)據(jù)傳輸風險、網(wǎng)絡邊界風險以及網(wǎng)絡設備安全風險等方面。在數(shù)據(jù)傳輸風險中,往往存在業(yè)務數(shù)據(jù)泄露以及數(shù)據(jù)被破壞的情況。利用上下級網(wǎng)絡或同級局域網(wǎng)絡進行數(shù)據(jù)傳輸過程中由于包含相關的敏感信息或其他登錄通行字且缺乏專門控制數(shù)據(jù)的軟件與硬件,不法分子會采用不同的攻擊手段竊取或直接破壞數(shù)據(jù)信息。在網(wǎng)絡邊界風險方面,由于電子政務中的網(wǎng)絡節(jié)點多為不可信任域,入侵者很可能利用Sniffe等程序對系統(tǒng)中的安全漏洞進行探測,并在此基礎上竊取內部網(wǎng)中的用戶名或口令等信息,導致系統(tǒng)癱瘓的情況發(fā)生。同時內網(wǎng)與外網(wǎng)的互通也是產(chǎn)生網(wǎng)絡邊界風險的重要原因。在網(wǎng)絡設備安全風險方面,主要體現(xiàn)在如路由器或交換機等設備方面,其安全性關乎電子政務系統(tǒng)的運行。

2、從物理層、系統(tǒng)層與應用層角度。

電子政務系統(tǒng)中的物理層風險主要指周邊環(huán)境對網(wǎng)絡或線路所造成的影響,如設備的毀壞、設備被盜或線路老化等情況,也存在自然災害等對設備造成的破壞。通常可利用物理隔離技術解決物理層風險。而系統(tǒng)層的風險主要指電子政務中的數(shù)據(jù)庫、操作系統(tǒng)以及其他相關產(chǎn)品使用中存在的病毒威脅以及安全漏洞等,是影響系統(tǒng)安全的重要因素。另外,應用層安全風險集中體現(xiàn)在非法訪問政務系統(tǒng);業(yè)務信息被修改;用戶口令的被盜取以及用戶的事后抵賴行為等方面,尤其電子政務系統(tǒng)對外開放的E-mail或DNS等服務都可能成為補發(fā)分子侵入的渠道。

3、從管理層安全風險角度。

電子政務網(wǎng)絡安全的實現(xiàn)很大程度上依托于良好的管理方式。許多部門在進行安全管理過程中存在的管理混亂、權責不明以及可操作性的缺乏都可能產(chǎn)生管理層面的安全風險。另外管理過程中許多機房重地允許外來人員的自由出入,很可能使其中重要信息被泄露,其原因在于管理制度的匱乏。

二、電子政務網(wǎng)絡安全的完善措施

1、對安全服務設施的完善。

作為電子政務網(wǎng)絡安全的基礎,安全服務設施應逐漸完善。其作用主要體現(xiàn)在能夠為系統(tǒng)的運行提供可信任的網(wǎng)絡環(huán)境以及安全技術應用的參考依據(jù)。因此需對其中的信任問題如可信的身份、網(wǎng)絡信任域、可信的數(shù)據(jù)以及可信的時間服務等存在的問題進行解決。

2、安全技術平臺的構建。

在網(wǎng)絡信任問題被解決的基礎上還需采取相應的安全策略如通訊加密、掃描漏洞、檢測病毒與入侵、訪問控制等,以此使網(wǎng)絡安全環(huán)境得以保障。然而網(wǎng)絡環(huán)境安全的實現(xiàn)又需構建安全技術平臺,其應將電子政務中內網(wǎng)、外網(wǎng)以及專網(wǎng)間的數(shù)據(jù)交換、對信任域的訪問控制、對內部網(wǎng)Internet訪問策略、身份識別等內容囊括其中,確保其能夠為安全技術提供支撐平臺,解決信息泄密與網(wǎng)絡空寂的問題。

3、響應與恢復機制的建立。

由于電子政務系統(tǒng)中往往包含許多信息,在面對網(wǎng)絡攻擊、系統(tǒng)故障或自然災害等情況下很容易出現(xiàn)丟失或損壞的情況,因此需構建響應與恢復機制,確保電子政務系統(tǒng)能夠在備份與恢復、大容量存儲、自動恢復機制以及存儲介質等方面進行完善。這樣才可將因數(shù)據(jù)信息丟失或被破壞所造成的損失降至最低程度。

三、結論

篇3

關鍵詞:電子政務;安全管理;策略研究

中圖分類號:TP311 文獻標識碼:A 文章編號:1009-3044(2014)05-1150-02

時代的發(fā)展促進了科技的發(fā)達,而科技的發(fā)達加速了社會的進步,2010年我國出臺了基于互聯(lián)網(wǎng)的電子政務建設指導意見,這一標準的出臺給縣級電子政務建設帶來極大的推動力量,使得我國縣級電子政務建設出現(xiàn)了嶄新的局面,然而,值得關注的是良好的電子政務建設必須有全面、科學的統(tǒng)一規(guī)劃,高素質的操作人員和安全保障體系,因此,面臨當前縣級電子政務發(fā)展階段對安全管理的需求,深入探索有效的解決策略和創(chuàng)新方法具有十分重要的現(xiàn)實意義。

1 電子政務安全風險特征分析

當前電子政務安全風險主要表現(xiàn)在兩方面:一是關于資產(chǎn)價值,二是互聯(lián)網(wǎng)的運行環(huán)境。根據(jù)這兩個主要因素可以分析當前縣級電子政務安全風險特征主要有以下幾點:

1)資產(chǎn)價值信息少

建立縣級電子政務體系,目的是保證政府職能部門政務公開,拓展政務公開渠道,然而在實際操作中公開信息多,而信息少,政務公開的目的是為廣大企業(yè)和公眾提供廣闊的信息渠道,然而實際上保密信息的內容不多,起不到實際的價值和作用。

2)安全等級比較低

由于互聯(lián)網(wǎng)的大量使用,在電子政務安全管理中有害程序事件、互聯(lián)網(wǎng)攻擊事件、信息破壞事件、設備故障事件等多有可能隨時發(fā)生,但是由于縣級電子政務建設中安全管理措施還不完備,遇到這些問題缺乏相應的處理經(jīng)驗和處理措施,往往會危害國家社會秩序和公眾利益,給電子政務建設帶來巨大影響。

3)安全需求性提高

對于縣級電子政務建設中,服務于民眾,為企業(yè)和公眾帶來便捷性的服務是重點,同時應用是關鍵,只有合理而科學的應用電子政務系統(tǒng),才能真正實現(xiàn)電子政務建設的出發(fā)點和最終目標,不能良好的應用成為電子政務風險的主要特征。

4)管理策略不完善

縣級電子政務管理中人員因素最為關鍵,電子政務的使用人員、計算機管理人員等,他們的專業(yè)水平和整體素質極其相應的安全管理意識等,都直接影響著安全管理結果,因此,人員的素質是影響著管理策略的主要因素。

5)安全威脅在增加

由于互聯(lián)網(wǎng)本身安全機制比較薄弱,為了獲得某種利益有些人假冒身份,竊取口令,或者利用木馬或者病毒竊取信息,或者篡改主頁,造成網(wǎng)站信息混亂,有的竊取數(shù)據(jù),導致信息大量流失,或者服務窗口被劫持,在網(wǎng)站上出現(xiàn)的大量非法信息,給社會的安全穩(wěn)定帶來嚴重的影響,因此,縣級電子政務安全管理中,互聯(lián)網(wǎng)安全信息管理也是十分重要的因素。

2 縣級電子政務安全管理管理優(yōu)化策略

面對各種的安全風險因素,電子政務安全保證是一個十分復雜而又重要的任務,因此,不僅需要各個部門內部進行統(tǒng)一規(guī)劃,實施有效的配合管理,而且需要整個領域中形成良好的管理策略,探索先進的技術方法。

1)提高認證力度,實現(xiàn)安全監(jiān)督

對于電子政務系統(tǒng)來說,身份的識別十分關鍵,需要加強身份認證服務,建立健全電子政務業(yè)務實體定義的唯一電子身份標識,只有通過這一標識之后才能實現(xiàn)身份的認證,這樣可以避免各種假冒身份者的侵入;其次,必須保證數(shù)據(jù)的完整,利用信息技術保證信息在收發(fā)雙方的一致性,保證信息的一致性目的是為了避免中途信息被修改的現(xiàn)象發(fā)生;另外,為第三方驗證信息的真實性和信息的完整性提供必要的證據(jù),這樣的規(guī)范是為了面對電子政務糾紛中法律證據(jù)提供必要的保證,利用第三方平臺來實現(xiàn)信息管理的完整性和嚴密性,當然,第三方平臺由誰來管理,怎樣管理等都需要進行更深入的探討,認證中心建立必要的立項和審批需要公安信息網(wǎng)絡的審核,保證合法性。

2)提高人員素質,實現(xiàn)安全管理

對于電子政務維護中心來說,應用程序的開發(fā)和利用,系統(tǒng)的運行和日常維護等都涉及到大量信息的安全性問題,其中主要涉及兩方面:一是信息技術的加強,一是信息人員的管理。尤其是人員的管理中,當前電子政務建設雖然逐步走上正軌,但是操作人員信息技術水平不高,大專院校的信息技術專業(yè)畢業(yè)生較少,整體來看應用系統(tǒng)利用不完善,人員技術水平較低,尤其是遇到一些關于安全領域較深層次的問題,操作人員常常束手無策,嚴重的影響了電子政務安全管理水平的提高和發(fā)展,因此,加強信息技術人才的引進和培養(yǎng),是提高縣級電子政務安全管理的主要途徑。

3)完善安全制度,加強行政管理

為了提高縣級電子政務安全行政管理,需要從多方面加強機構的組建和制度的完善,首先建立安全小組機構,通過組織機構來實現(xiàn)統(tǒng)一的規(guī)劃管理,體制網(wǎng)絡系統(tǒng)不安全因素,完善各種安全策略和措施,進行多方面安全事件的協(xié)調等,如人事的審查和任用,崗位職責的制定,工作情況的評價,各種培訓事務等;同時,要建立健全安全責任制度,如系統(tǒng)運行管理責任制度、計算機控制管理制度、信息資料管理制度、監(jiān)督制度、病毒防護制度等,通過建立這些制度不斷加強工作人員的責任心和使命感,提高行政管理力度,不斷促進電子政務建設的健康發(fā)展。

4)加強基礎建設,提升技術管理

信息安全技術管理在縣級電子政務安全管理中具有十分重要的作用,可以從三方面進行完善和加強。首先是加強硬件建設,加強對計算機、網(wǎng)絡等設備的常規(guī)管理和保護,避免因為火災、水災等自然災害造成設備的損壞,保證設備的安全是加強電子政務安全管理的必要前提;其次,加強軟件管理,對于軟件應用系統(tǒng)要注意升級與管理,避免被偽造、破壞和篡改等,保證儲存和操作的安全性;另外,對于系統(tǒng)的使用較強密鑰管理,對系統(tǒng)的備份、初裝、恢復等均采用科學而嚴密的操作,避免出現(xiàn)信息泄露現(xiàn)象發(fā)生。

3 結束語

總之,縣級電子政務安全管理工作十分重要,不僅關系到政府職能部門能否扮演好可以為社會當好家、服好務的形象,同時也關系到企業(yè)和廣大民眾的切身利益,因此,必須加強縣級電子政務的安全管理,從人員、設備、應用等多角度出發(fā),優(yōu)化管理措施,加強管理力度,促進電子政務建設的良性發(fā)展。

參考文獻:

[1] 李佳娜.電子政務安全風險分析及解決方案[J].中小企業(yè)管理與科技:上旬刊,2010(9).

篇4

[關鍵詞]電子政務;信息安全;工作模式;公共服務

doi:10.3969/j.issn.1673 - 0194.2016.20.093

[中圖分類號]D630 [文獻標識碼]A [文章編號]1673-0194(2016)20-0-01

信息技術的發(fā)展給人類社會生活帶來了翻天覆地的變化,也開啟了政府公共管理與服務的新模式,“電子政務”成為受到政府部門追捧的新工作平臺,從概念上講,“電子政務是政府公共事務管理方式的革新,是政府等公共事業(yè)部門運用計算機、網(wǎng)絡和通信、互聯(lián)網(wǎng)等多種IT信息技術手段的業(yè)務管理模式。”電子政務相比于傳統(tǒng)的政務管理模式具有多方面的優(yōu)勢,是現(xiàn)代政府管理信息化、網(wǎng)絡化、透明化、民主化與服務性實現(xiàn)的重要手段和方式,公開、透明、有效與互動是電子政務的主要特點。

當然,電子政務在改變政府工作模式,提高政府工作效率和公共服務效果的同時,也面臨著新問題和新挑戰(zhàn)。因為政府工作通過數(shù)字化、信息化的手段處理和表現(xiàn)出來,信息安全就成為了首先被關注到的問題。“信息安全指的是在信息技術的應用過程中對信息技術和數(shù)據(jù)進行的安全和保護,防止計算機內的數(shù)據(jù)因遭受惡意軟件的侵襲而造成泄露或者更改,維持計算及系統(tǒng)正常的運行。”信息安全對于電子政務的重要意義是不言自明的,因而,本文著重討論電子政務中的信息安全問題,并針對這些問題提出相應的策略。

1 電子政務中的信息安全問題

1.1 電子信息技術本身存在的問題

電子信息技術本身存在著一些難以避免的安全漏洞。“軟件漏洞、網(wǎng)絡數(shù)據(jù)系統(tǒng)漏洞等各個方面的漏洞還是給電子政務安全帶來了很多難以根除的安全缺陷。”這些微不足道的瑕疵和漏洞,在政府電子政務數(shù)據(jù)庫系統(tǒng)和信息平臺中,可能就會造成不可估量的損失和傷害。應該說,正是這些漏洞給了不法分子盜取、篡改數(shù)據(jù)信息的機會,由此帶來的風險是政府內部機密信息、文件的泄露或損失,為電子政務安全帶來極大的威脅和風險。

當然,僅僅是這些漏洞本身并不會造成重大安全事故,因內部漏洞本身所帶來的系統(tǒng)脆弱性所給外部不法分子帶來的入侵的機會,才是信息安全問題產(chǎn)生的最直接原因。“政府電子文件包含了國家或非信息,當電子文件在網(wǎng)絡上傳輸時,特別是通過開放的因特網(wǎng)傳輸,很容易被他人非法截取,可能導致國家信息的泄漏、被刪除、被篡改,對國家的政治、經(jīng)濟、軍事、安全等相關利益造成損失。”

1.2 政府工作人員的信息安全意識欠缺

事實上,大多數(shù)政府工作人員對電子信息系統(tǒng)本身的安全問題和安全漏洞的了解并不深入,信息安全意識也不強,在日常工作行為上就會經(jīng)常出現(xiàn)一些安全失誤,或者由此增大電子政務中的信息安全風險。例如:政府保密信息在網(wǎng)絡傳輸過程中不進行加密,U盤、移動硬盤等設備在存有政府機密數(shù)據(jù)信息的電腦上使用,或者不對輸入的數(shù)據(jù)信息進行加密備份,因誤刪數(shù)據(jù)導致信息缺失、不完整等。尤其是應用政府內部電腦登錄外網(wǎng),給整個電子政務網(wǎng)絡信息平臺帶來巨大的安全風險。而這些問題,普遍不是政府工作人員蓄意所為,都是因信息安全意識的薄弱而造成的“不注意”“不小心”,卻可能導致嚴重的后果。

1.3 政府工作人員的技術能力尚待提高

應該說,當前,電子政務在中國已經(jīng)被廣泛使用和普及,但政府工作人員構成卻依舊保持原狀。絕大多數(shù)政府工作人員都不具備足夠應對信息安全風險,處理緊急信息安全事故的專業(yè)知識和技術能力。政府工作人員是電子政務信息平臺中數(shù)據(jù)信息的輸入者、傳播者,卻不是信息系統(tǒng)的監(jiān)控者和維護者,大多數(shù)人的水平也只是停留在辦公系統(tǒng)應用上,人員的專業(yè)素質和技術水平還不能支撐起政府信息安全的維護。

2 應對信息安全問題的策略分析

2.1 加強信息安全意識培養(yǎng)

第一,加強管理人員的信息安全意識培養(yǎng)。在政府中“上行下效”是非常重要的,管理人員的意識和行為對整個系統(tǒng)中的工作人員都有很大的影響。因而,加強管理人員的信息安全意識培養(yǎng)才有利于政府內部相關工作開展的順利進行。第二,加大宣傳教育力度。在政府中,應用電子政務系統(tǒng)進行工作最多的還是基層的工作人員,他們負責信息的錄入、保存、傳輸?shù)染唧w細致的工作,很多電子政務中的信息安全問題就是由這些工作人員的意識不強,經(jīng)常“不注意”“不小心”,認為沒關系導致的。這些基層工作人員的意識欠缺,很多是由于認知不足造成的,因而,加強宣傳教育就顯得十分重要。

2.2 注重技術能力的提升

技術能力提升來自于兩個方面,一方面,是在政府工作人員團隊配置上。從目前政府工作人員結構上來看,從事電子政務工作的人員絕大多數(shù)都不是電子信息技術等相關專業(yè)出身,也很少有政府工作部門在每一個電子政務環(huán)節(jié)都配備相應的懂技術的專業(yè)技術人員,因而,在未來的政府人員架構上,應注重向這個方向上的配備傾斜,使專業(yè)的信息安全工作能夠交給專業(yè)的技術人員進行處理和解決。另一方面,從現(xiàn)實工作的角度上來講,每一個接觸到電子政務信息系統(tǒng)的工作人員都面對信息安全問題的挑戰(zhàn),系統(tǒng)脆弱性的客觀現(xiàn)實只能在技術發(fā)展問題中逐步得到解決,但舊的問題解決,新的來自外部的挑戰(zhàn)也會產(chǎn)生,因而,在客觀條件沒有辦法得到根本改善的情況下,提高所有從事電子政務工作的政府工作人員的信息安全維護技術水平就十分重要。公共部門也應該想辦法進行定期的培訓工作,并通過技術比賽和應急事件演練等方法,提升隊伍整體的技術能力。

篇5

關鍵詞:電子政務外網(wǎng) 安全管理平臺 SOC 安全策略

一、前言

國家電子政務外網(wǎng)作為一個支持跨部門和地區(qū)業(yè)務應用、數(shù)據(jù)交換和信息共享的電子政務建設的新生事物,盡管其建設規(guī)模還不大,建設時間也不長,但在國家有關部門的指導和支持下,依靠各部委和各地的通力合作,它已經(jīng)充分展現(xiàn)了一個創(chuàng)新性網(wǎng)絡巨大的活力,開始得到了各部門和各地的重視和關注。目前,已有30多個部門的系統(tǒng)平臺接入政務外網(wǎng),例如國務院應急辦國家應急平臺外網(wǎng)系統(tǒng)、自然資源和地理空間基礎數(shù)據(jù)庫、文化部文化信息資源共享平臺等一批關系國計民生的重要系統(tǒng)接入政務外網(wǎng)。從政務外網(wǎng)建設及應用情況來看,各部門對政務外網(wǎng)的需求是緊迫的,同時也對政務外網(wǎng)的安全性有了更高的要求。

二、國家電子政務外網(wǎng)安全管理平臺概述

如何對國家電子政務外網(wǎng)的安全進行有效的管理,如何保證利用政務外網(wǎng)開展業(yè)務的應用系統(tǒng)的安全性,是對負責政務外網(wǎng)網(wǎng)絡安全的人員管理能力的一種考驗。傳統(tǒng)的安全管理方式是將分散在各地、不同種類的安全防護系統(tǒng)分別管理,這樣導致安全信息分散、互不相通,安全策略難以保持一致。因此這種傳統(tǒng)的管理運行方式成為許許多多安全隱患形成的根源,很難對國家電子政務外網(wǎng)進行統(tǒng)一的、有效的安全管理。

國家電子政務外網(wǎng)安全管理平臺(Security Operation Center,SOC)為電子政務外網(wǎng)制定統(tǒng)一安全策略、統(tǒng)一安全標準,實現(xiàn)全網(wǎng)統(tǒng)一管理和監(jiān)控,保障電子政務外網(wǎng)安全、穩(wěn)定、高效地運行,實現(xiàn)政務外網(wǎng)基于安全的互聯(lián)互通。國家電子政務外網(wǎng)安全管理平臺實現(xiàn)了將不同位置、不同類型設備,不同安全系統(tǒng)中分散且海量的單一安全事件進行匯總、過濾、收集和關聯(lián)分析,得出整個電子政務外網(wǎng)的全局安全風險事件,并形成統(tǒng)一的安全決策對安全事件進行響應和處理,從而保障電子政務業(yè)務應用系統(tǒng)的真實性、完整性和保密性。

三、國家電子政務外網(wǎng)安全管理平臺框架

國家電子政務外網(wǎng)安全管理平臺(SOC)的主要思想是采用多種安全產(chǎn)品的Agent和安全控制中心,最大化地利用技術手段,在統(tǒng)一安全策略的指導下,將系統(tǒng)中的各個安全部件協(xié)同起來,實現(xiàn)對各種網(wǎng)絡安全資源的集中監(jiān)控、統(tǒng)一策略管理、智能審計及多種安全功能模塊之間的互動,并且能夠在多個安全部件協(xié)同的基礎上實現(xiàn)實時監(jiān)控、安全事件預警、報表處理、統(tǒng)計分析、應急響應等功能,使得網(wǎng)絡安全管理工作由繁變簡,更為有效。

國家電子政務外網(wǎng)安全管理平臺(SOC)的體系架構具備適應性強(能夠適用于不同省級節(jié)點接入網(wǎng)絡和系統(tǒng)環(huán)境)、可擴充性強、集中化安全管理等優(yōu)點,其框架體系主要是為了解決目前各類安全產(chǎn)品各自為陣、難以組成一個整體安全防御體系的問題。真正的整體安全是在一個整體的安全策略下,安全產(chǎn)品、安全管理、安全服務以及管理制度相互協(xié)調的基礎上才能夠實現(xiàn)。國家電子政務外網(wǎng)安全管理平臺(SOC)框架如圖1所示。

四、國家電子政務外網(wǎng)安全管理平臺的主要功能

國家電子政務外網(wǎng)安全管理平臺為系統(tǒng)管理員和用戶提供對系統(tǒng)整體安全的監(jiān)管,它在整個政務外網(wǎng)體系與各類安全技術、安全產(chǎn)品、安全防御措施等安全手段之間搭起橋梁,使得各類安全手段能與現(xiàn)有的國家電子政務外網(wǎng)應用體系緊密結合而實現(xiàn)無縫連接,以促成網(wǎng)絡安全與國家電子政務外網(wǎng)應用的真正一體化。目前,國家電子政務外網(wǎng)安全管理平臺基本實現(xiàn)了對國家電子政務外網(wǎng)中央城域網(wǎng)、廣域網(wǎng)骨干網(wǎng)的主要網(wǎng)絡設備、安全設備和網(wǎng)絡承載的業(yè)務系統(tǒng)的安全事件的管理,并具備監(jiān)控、預警、響應、審計追蹤等功能。

圖2描述了國家電子政務外網(wǎng)安全管理平臺的功能框架。以下對其功能予以詳細闡述。

⒈統(tǒng)一管理

政務外網(wǎng)安全管理平臺(SOC)建立在安全設備部署的基礎之上,主要圍繞安全的預防、發(fā)現(xiàn)、反應環(huán)節(jié)搭建,實現(xiàn)了安全預警、集中監(jiān)控、安全事件處理等更高層次的安全管理。這些建立在安全設備部署之上的安全管理包括:預防環(huán)節(jié)的安全預警信息通告,安全評估結果綜合分析的安全信息庫;發(fā)現(xiàn)環(huán)節(jié)的收集防火墻、入侵檢測、日志系統(tǒng)、防病毒系統(tǒng)中的有關安全事件,呈現(xiàn)安全告警的集中安全監(jiān)控系統(tǒng);反應環(huán)節(jié)的以電子流的方式,進行安全事件處理流轉,保存安全事件處理經(jīng)驗的安全事件運行系統(tǒng)。

政務外網(wǎng)安全管理平臺(SOC)對各種安全產(chǎn)品的監(jiān)控和管理,可以利用各個安全子系統(tǒng)中已有的信息采集和控制機制來實現(xiàn),也可以采用直接與安全設備交互的方式進行,主要取決于各個安全子系統(tǒng)自身的構架以及提供的管理接口。

⒉安全事件實時監(jiān)控與實時通報

網(wǎng)絡安全工作的本質在于控制網(wǎng)絡安全風險,風險管理是安全管理的核心。考察安全成本和安全威脅后果之間的關系,以可接受的成本來降低安全風險到可接受的水平。

國家電子政務外網(wǎng)上的各種安全設備和產(chǎn)品每天都要產(chǎn)生大量的各種安全事件。對這些事件的集中監(jiān)視是控制網(wǎng)絡風險、保證網(wǎng)絡業(yè)務正常運行的重要手段。國家電子政務外網(wǎng)安全管理平臺專注于整個政務外網(wǎng)安全相關事件的實時監(jiān)控,收集并匯總重大安全事件的數(shù)據(jù)(如:大規(guī)模蠕蟲事件,重大攻擊事件等),進行關聯(lián)性分析,全面提高對網(wǎng)絡事件的快速反應能力;同時,將安全事件備份到后臺的數(shù)據(jù)庫中,以備查詢和生成安全運行報告。

安全事件通報與業(yè)務系統(tǒng)、工作流緊密結合。國家電子政務外網(wǎng)安全管理平臺在發(fā)現(xiàn)某政務外網(wǎng)業(yè)務系統(tǒng)內出現(xiàn)安全事件后,還將及時把這些安全事件通知各業(yè)務系統(tǒng)的管理員以便及時予以處理。

⒊全網(wǎng)統(tǒng)一安全策略

對于電子政務外網(wǎng)的安全運行維護,最具有挑戰(zhàn)性的莫過于保持全網(wǎng)策略的一致性。尤其是對于日新月異的網(wǎng)絡安全技術,需要經(jīng)常性頻繁應對出現(xiàn)的新漏洞,根據(jù)新的業(yè)務調整安全策略。

國家電子政務外網(wǎng)安全管理平臺支持統(tǒng)一、集成的策略管理,包括策略的制定、分發(fā)和策略執(zhí)行情況的檢查。安全策略管理包括設備安全策略、事件響應策略和全局安全策略等。

統(tǒng)一安全策略管理制訂全網(wǎng)的安全策略,這些策略文件可下發(fā)給各相關部門,通過直接(也可以手工)的方式進行配置落實。策略的管理能夠通過全局策略的調整、業(yè)務的變化、各網(wǎng)管和部門反饋來的意見等情況,不斷調整、優(yōu)化安全策略。

⒋基于角色的安全事件可視化

國家電子政務外網(wǎng)安全管理平臺提供統(tǒng)一的安全管理,并為不同級別和性質的管理員提供不同層次和性質的管理視圖。由于電子政務外網(wǎng)內部網(wǎng)絡系統(tǒng)是一個復雜的分布式大規(guī)模網(wǎng)絡,因此核心層、分布層以及接入層的網(wǎng)絡管理員具有不同的職責。系統(tǒng)不但能夠提供運行核心層的管理員對所有安全系統(tǒng)宏觀的管理視圖,也能夠為各地主要業(yè)務網(wǎng)絡的管理員對自己管轄區(qū)域內的安全設備和安全系統(tǒng)部件進行區(qū)域自治管理,此外,還能夠通過安全管理平臺(SOC)對分布于整個網(wǎng)絡的某個安全子系統(tǒng),進行整體安全策略的發(fā)放和狀態(tài)監(jiān)測及管理。

安全管理平臺(SOC)根據(jù)需要設置可視化條件,實時在全網(wǎng)拓撲圖中顯示最重要的多組事件,包括設備名稱、事件定位、風險概況、脆弱性等信息(如圖3所示)。

⒌安全事件關聯(lián)分析

安全管理平臺(SOC)要對各個不同安全設備(入侵檢測、漏洞掃描、防火墻等)報告的安全信息進行集中的數(shù)據(jù)挖掘和分析,進行全局的相關性分析和報表顯示,以發(fā)現(xiàn)低級安全事件相關聯(lián)后表現(xiàn)出的高級安全事件,以及異常行為之間、漏洞和入侵之間的對應關系,便于對攻擊的確認和安全策略的調整。國家電子政務外網(wǎng)安全管理平臺目前支持基于規(guī)則的關聯(lián)分析、基于統(tǒng)計的關聯(lián)分析和基于漏洞的關聯(lián)分析等3種形式。根據(jù)此關聯(lián)分析的功能,結合國家電子政務外網(wǎng)的業(yè)務應用系統(tǒng)的事件特征,通過分析與制定安全域與業(yè)務安全控制策略和基于業(yè)務應用的流程異常監(jiān)控,制定相關的特定關聯(lián)分析規(guī)則,配合事件監(jiān)控、拓撲管理及綜合顯示等方面的內容,從而實現(xiàn)國家電子政務外網(wǎng)業(yè)務安全監(jiān)控及追蹤功能的事件定位。

⒍宏觀分析與安全決策支持

安全管理平臺(SOC)應支持對各安全設備上報的所有安全數(shù)據(jù)進行宏觀統(tǒng)計、分析和決策支持。宏觀統(tǒng)計分析主要是在大量數(shù)據(jù)的基礎上,對安全事件進行綜合分析,比如將攻擊信息和安全漏洞信息關聯(lián)起來,產(chǎn)生詳盡的安全報告,提供安全決策支持,強有力地支持全網(wǎng)安全事件的及時發(fā)現(xiàn)(檢測)、準確定位(追蹤)、盡快處理(應急響應)、進一步防范(預警)以及全網(wǎng)安全策略制定(策略)。國家電子政務外網(wǎng)運行維護管理員根據(jù)宏觀分析提供的全局安全狀況和安全態(tài)勢信息,并結合電子政務外網(wǎng)的管理體系、人員管理規(guī)章制度、管理流程以及行政管理規(guī)定,為針對安全事件的處理決策提供支持。圖4、圖5展示了安全管理人員可以借助安全管理平臺展示的全方位安全信息對政務外網(wǎng)的安全態(tài)勢進行宏觀把握,為決策提供支持。

⒎安全事件全局預警

對于像沖擊波、紅色代碼等危害較大的網(wǎng)絡蠕蟲的較大規(guī)模入侵,從一個地區(qū)向另一地區(qū)滲透可能有一定的延時。在這段延時期間,安全管理平臺(SOC)有義務將這種警報到尚未受攻擊的區(qū)域中去,以起到提前布防的預警作用。

國家電子政務外網(wǎng)安全管理平臺接到的報警如果符合提前設定的全局預警范圍,則將其下發(fā)到非來源的省級政務網(wǎng)絡中心,結合報警信息轉發(fā)及上傳的功能,實現(xiàn)這一報警事件下發(fā)到所有省級政務外網(wǎng)結點(如圖6所示)。

⒏安全事件知識庫

為了實現(xiàn)安全事件的集中收集、記錄、審計和流程化處理(集中、分類、入庫、處理),共享最新安全知識,保證國家電子政務外網(wǎng)安全人才的儲備,安全管理平臺(SOC)建立安全事件知識庫。知識庫將國家電子政務外網(wǎng)各級安全管理平臺的安全管理信息收集起來,為國家電子政務外網(wǎng)各級安全維護人員形成統(tǒng)一的安全共享知識庫,以完成安全信息管理和WEB,主要實現(xiàn)安全管理信息、安全事件庫、安全策略配置庫、安全技術信息交流、處置預案庫、補丁庫、安全知識庫等欄目的信息管理和瀏覽。安全管理員可以通過安全知識庫的輔助工具學習,了解相關知識,輔助進行運維工作。圖7是一個安全知識庫的截屏。

五、國家電子政務外網(wǎng)安全管理平臺的部署

根據(jù)國家電子政務外網(wǎng)安全管理平臺的組成,政務外網(wǎng)安全管理平臺最終建成分層分級結構:頂級為國家級安全管理平臺,第二級為省部級安全管理平臺,第三級為縣市級安全管理平臺。各級網(wǎng)絡安全管理中心負責對本級電子政務外網(wǎng)實施安全監(jiān)控和集中管理。上級網(wǎng)絡安全管理中心可對下級網(wǎng)絡安全管理中心進行統(tǒng)一安全策略、運行狀態(tài)監(jiān)控、安全信息收集等操作。下級網(wǎng)絡安全管理中心可接受上級網(wǎng)絡安全管理中心的安全預警信息。國家電子政務外網(wǎng)安全管理平臺整體部署如圖8所示。

在部署政務外網(wǎng)各級安全管理平臺過程中,涉及兩類下級安全管理平臺:一是新建的安全管理平臺,另一類是已建的安全管理平臺。對于新建的安全管理平臺在接入上級安全管理平臺時將在統(tǒng)一設計、統(tǒng)一標準、統(tǒng)一技術規(guī)范、統(tǒng)一部署的原則下進行建設,與上級安全管理平臺實現(xiàn)平滑和無縫對接。

部分電子政務建設比較好的省市,可能已建成安全管理平臺。在這種情況下,由于早期建設的安全管理平臺沒有統(tǒng)一的標準和規(guī)范,在管理對象、管理方式、協(xié)議支持等方面不盡相同,所以此類安全管理平臺不能直接與國家級安全管理平臺進行對接。因此需要針對不同的安全管理平臺進行調研和分析,本著最小改造的原則,為其增加設備,通過機制實現(xiàn)其與上級安全管理平臺的對接。

六、總結

目前,國家電子政務外網(wǎng)中央安全管理平臺的建設已基本建設完畢。通過幾個月的建設工作,安全管理平臺的實施為國家電子政務外網(wǎng)的安全運轉提供了良好的保障。首先,國家電子政務外網(wǎng)安全管理平臺提升了信息安全事件的處理水平。因為大量的安全事件通過安全管理平臺的過濾、歸并和排序后,降低到一個人工能夠處理的數(shù)量級。另外,安全管理平臺(SOC)自帶的專家知識庫能夠幫助平臺管理員正確地處理事件,減低了安全技術的門檻,為運維人員提供了有力的技術支持。其次,國家電子政務外網(wǎng)安全管理平臺提供了良好的可視化技術,用圖形化的方法向管理員展示了整個國家電子政務外網(wǎng)的安全整體狀況,便于管理員從宏觀上對全網(wǎng)的安全態(tài)勢進行整體把握。

綜上所述,國家電子政務外網(wǎng)安全管理平臺的實施是針對政務網(wǎng)絡系統(tǒng)傳統(tǒng)管理方式的一種重大變革。它結合政務網(wǎng)絡自身的特點,將不同位置、不同安全系統(tǒng)中分散且海量的單一安全事件進行匯總、過濾、收集和關聯(lián)分析,得出全局角度的安全態(tài)勢,并形成統(tǒng)一的安全決策對安全事件進行響應和處理。

作者簡介:

郭紅,女,1966年生,漢族,北京人,高級工程師,國家信息中心網(wǎng)絡安全部處長,研究方向:網(wǎng)絡安全。

王勇,男,1977年生,漢族,山東鄄城人,國家信息中心網(wǎng)絡安全部工程師,研究方向:網(wǎng)絡安全。

篇6

關鍵詞 SOA;電子政務;安全性;流程

1 引言

隨著計算機技術、信息技術、安全技術、軟件工程技術的高速發(fā)展,電子政務也逐漸發(fā)展成熟。政府的信息化系統(tǒng)既是社會的信息服務系統(tǒng),同時也是政府自身的管理系統(tǒng)。電子政務是保證政府各部門信息共享,信息收集,數(shù)據(jù)處理的主要工具。從政府信息多樣性,繁瑣性,多變性的特點來看,電子政務采用SOA的架構是比較適合的架構。因為分布于各部門和社會各單位中的系統(tǒng)是各自獨立的也是千差萬別的,當執(zhí)行數(shù)據(jù)處理任務的時候,又需要這些系統(tǒng)進行協(xié)同操作,此時SOA就有了優(yōu)勢。本文從多個角度探討了SOA架構下的電子政務的實施方法。

2 SOA架構的概念

SOA面向服務的體系結構(Service-Oriented Architecture)是一個組件模型,它將應用程序的不同功能單元通過這些單元之間定義良好的接口和契約聯(lián)系起來[1]。接口是采用中立的方式進行定義的,它獨立于實現(xiàn)服務的硬件平臺、操作系統(tǒng)和編程語言。這使得構建在各種這樣的系統(tǒng)中的各個單元可以用一種統(tǒng)一和通用的方式進行交互。這種具有中立的接口定義的特征稱為服務之間的松耦合。松耦合系統(tǒng)的好處有兩點,首先是它的靈活性,其次是當組成整個應用程序的每個服務的內部結構和實現(xiàn)逐漸地發(fā)生改變時,它能夠繼續(xù)存在。

3 電子政務面臨的安全問題分析

目前,我國的電子政務正在逐步實現(xiàn)由“政績導向”向“服務導向”的轉變。以服務為中心,使老百姓能得到更廣泛、更便捷的政府信息和服務,使政府真正轉變?yōu)榉招驼R虼耍怨姺諡橹行模展娋统蔀殡娮诱战ㄔO的出發(fā)點。以公眾服務的角度去看電子政務全局,面向服務去重新梳理業(yè)務流程,即面向服務去詳細描述政府和公民互動的過程、政府履行的各種業(yè)務與功能以及關鍵的業(yè)務流程。在這種大環(huán)境和背景下,實施SOA架構的電子政務建設就顯得勢在必行。

在這種環(huán)境下,利用信息化的手段,達成自上而下的政府業(yè)務標準和業(yè)務資源的統(tǒng)一,實現(xiàn)數(shù)據(jù)自底向上的快速準確匯集和業(yè)務自上而下的高度協(xié)同就顯得十分重要。而其中電子政務建設的安全性是一個非常重要的研究點。電子政務事關一個地區(qū)、一個系統(tǒng)甚至一個國家的利益,如果電子政務的信息安全失去保障,其后果是不堪設想的。電子政務安全風險的主要表現(xiàn)形式有:網(wǎng)上病毒泛濫和蔓延;信息間諜的潛入和竊密;網(wǎng)絡恐怖集團的攻擊和破壞;網(wǎng)上黑客入侵和犯罪;內部人員的違規(guī)和違法操作;網(wǎng)絡系統(tǒng)的脆弱和癱瘓;信息產(chǎn)品的失控。由于信息技術發(fā)展的歷史原因和建設資金問題,我國電子政務網(wǎng)絡的建設在規(guī)劃上經(jīng)常缺少前瞻性的安全規(guī)劃。隨著安全問題的不斷出現(xiàn),只能在運行過程中不停地修修補補,但是這種修補只能解決暫時的問題,解決一個問題后,往往又有新問題出現(xiàn)。如何控制電子政務建設中面臨的安全風險,如何進行電子政務的安全建設,是目前需要解決的問題。

4 SOA架構下安全實施電子政務系統(tǒng)的方法

在具體實施SOA架構的電子政務系統(tǒng)應如何面對其安全性的挑戰(zhàn),根據(jù)筆者的研究認為,對于SOA架構下的電子政務系統(tǒng)可以從以下幾個方面入手。

(1)系統(tǒng)規(guī)劃建設。以SOA架構規(guī)劃整個電子政務的應用程序是比較繁雜的。對其進行保護也更為困難。經(jīng)常需要采用各種各樣的視角對其加以觀察。甚至需要專門的安全人員進行相關工作。團隊負責人應該透徹的了解軟件體系結構和安全性方面的知識,應同時了解SOA的相關知識。團隊中的安全架構師將負責創(chuàng)建系統(tǒng)的安全模型。同時,安全架構師將與項目架構師配合工作,確保SOA實現(xiàn)符合安全性的要求,并對電子政務業(yè)務分析人員和系統(tǒng)工程師進行安全性指導。安全架構師還需要負責與程序員及測試人員充分溝通。

(2)項目計劃。需要制定完善的項目計劃和預算,對SOA安全實現(xiàn)所必需的要求全部清楚地說明和反映。以SOA電子政務模型的任何轉換都可能涉及到固有的安全矛盾:系統(tǒng)的面向服務架構特征越明顯,其安全性越差。通過面向服務的建模和分析技術將當前傳統(tǒng)電子政務系統(tǒng)轉換為面向服務的電子政務系統(tǒng)過程必須要形成電子政務流程設計的相關文檔。SOA在電子政務系統(tǒng)上安全實施需要項目組做詳細的項目規(guī)劃和預算,為安全性團隊分配必要的時間,以便深入分析和了解實現(xiàn)SOA所帶來的新挑戰(zhàn)。

(3)需求模型。在建立需求模型時,務必選擇正確的工具,以便團隊進行協(xié)作和方便地記錄SOA的安全需求和創(chuàng)建SOA電子政務安全模型。正確的需求與分析工具將幫助團隊了解問題領域、捕獲和管理不斷發(fā)展的需求、建模用戶交互、在整個電子政務項目生命周期中包含參與者反饋,而最為重要的是進行協(xié)作。良好的安全需求與分析實踐將極大地減少系統(tǒng)安全風險。

(4)風險評估。可以采用“內部安全性”方法。內部安全性是指安全性需求與SOA實現(xiàn)中的所有活動對應。必須根據(jù)設計文檔了解哪些地方必須做出安全決策,并確定執(zhí)行這些決策的安全控制點,從而了解具體如何實現(xiàn)SOA。這一步需根據(jù)需要將這些策略的職責分配到應用程序、SOA安全和SOA組件上,從而利用相應的機制來應用這些安全策略并加以執(zhí)行。必須將安全需求封裝或分解為將在SOA實現(xiàn)中以滲透方式工作的一組安全服務。SOA安全服務必須遵循SOA原則、即松耦合、模塊化、封裝、重用和可組合性,以獲得必要的靈活性,幫助確保電子政務系統(tǒng)能夠跟上政務設計中變化的速度,并成為實現(xiàn)更為完善的組織總體安全性的變更驅動因素。這就要求從傳統(tǒng)的靜態(tài)安全模型轉向動態(tài)模型,以跟上SOA體系結構中更快的變更速度。

(5)通過5WIH進行決策。SOA 安全團隊需要確定SOA安全參與者并進行相應的劃分工作。參與者分為兩類:外部和內部。外部政策制定者和治理機構可能提供了具有廣泛安全影響的特定網(wǎng)絡完全性標準,如關鍵基礎設施保護需求等。所有電子政務系統(tǒng)標準都有自己的一組特定需求,這些需求會對總體 SOA 安全實現(xiàn)造成影響。在內部,安全需求可跟蹤誰、為何、為什么、何地、何時及如何這樣的5WIH安全問題。誰能夠何時何地訪問什么,以及如何進行、持續(xù)時間多長?通過5WIH方法有效地控制SOA安全防御的運作。

(6)遵循SOA安全實現(xiàn)的SDLC(Software Development Life Cycle,軟件開發(fā)生命周期)流程。考慮到電子政務系統(tǒng)必須收集非常多的信息,必須編寫的體系結構構件的數(shù)量也非常大以及需要構造特定SOA安全服務,SOA安全團隊應該遵循軟件開發(fā)生命周期的標準步驟:

①確定安全需求和約束;②得出和收集安全需求;③創(chuàng)建安全體系結構設計;④形成SOA設計文檔;⑤實現(xiàn) SOA;⑥測試;⑦部署;⑧維護。

安全團隊開始設計解決方案前,必須對需求進行收集。對于安全實現(xiàn),既有顯式需求,也有隱式需求。對于顯式需求,一個很好的著手點就是收集每個參與者的需求。而對于隱式需求,最好使用安全框架,如保密性、完整性和可靠性,以便在其中列出所有安全系統(tǒng)的具體需求。

(7)選擇標準。根據(jù)WS-Security[4] 選擇需要的標準,WS-Security標準參見圖1。確定哪個標準適用于實現(xiàn)SOA電子政務安全。

圖1 WS- Security 標準

以上這些安全標準將用于構造整個 SOA 實現(xiàn)中的安全消息。

(8) 經(jīng)驗總結。找出現(xiàn)有電子政務模型并從中吸取經(jīng)驗教訓。SOA安全需求團隊花時間確定了所有需求后,團隊成員必須自己編寫SOA安全服務來滿足特定需求。最合適的做法是對現(xiàn)有的電子政務模型進行分析,在團隊開始抽象設計階段前了解已經(jīng)開發(fā)的內容。SOA Security 團隊必須將需求映射到每個服務,然后為需要的所有服務創(chuàng)建 SOA 安全模型,以滿足第六步中確定的所有需求。

5 安全實施SOA技術的可操作性分析

對于基于SOA電子政務項目建設應該形成SOA基礎技術平臺、輔助工具、資源、應用服務與系統(tǒng)參與人員等要素在內的SOA參考技術架構,以保障系統(tǒng)的安全性。在設計上應清晰劃分出連通服務、安全服務、資源管理服務、流程服務、協(xié)作服務、運行管理服務、信息服務、業(yè)務服務與交互服務關鍵技術構成在內的SOA基礎技術平臺要素,統(tǒng)一各關鍵構成的技術邊界、交互關系,確定了技術標準體系,為SOA在電子政務應用的相互操作提供基礎,在企業(yè)應用、實施SOA建設的標準、框架與關鍵技術要求,保證SOA總體技術框架與解決方案的開放性、互操作性,在推動電子政務以資源共享與交換、業(yè)務協(xié)同深化同時,也加強了未來應用發(fā)展的一致性、可持續(xù)性與穩(wěn)定性。現(xiàn)在業(yè)界提出FAST策略,即互操作框架(Framework)、架構體系(Architecture)、解決方案(Solution)、測試保障(Testing)等,這些是保證SOA在電子政務領域成功應用的關鍵要素。其中互操作框架保證SOA電子政務技術產(chǎn)品與應用方案的互操作性;架構體系明確選擇重用、松散耦合的柔性軟件架構,形成實施SOA的骨干支撐基礎;解決方案針對電子政務熱點、難點需求,創(chuàng)新性建立以電子政務資源共享交換、政務業(yè)務協(xié)同為主的電子政務應用解決方案;測試保障提供以測試評估為基礎的全面質量與應用保障。通過“標準規(guī)范-參考架構-技術架構-解決方案-實施方法-平臺產(chǎn)品-保障體系”等流程,推動SOA電子政務領域安全成功的應用。

6 總結

本文比較系統(tǒng)的分析了基于SOA架構安全實施電子政務方法,并總結了在SOA架構下安全實施電子政務的各項特點和優(yōu)勢,在SOA的架構下安全實施電子政務系統(tǒng)的方法進行了系統(tǒng)的分析。目前業(yè)界基于SOA架構安全實施電子政務方法較多,除了本文的解決方案外,我們尚需注意安全實施SOA架構電子政務系統(tǒng)還應建立一組服務業(yè)務模型和服務評價模型,業(yè)務模型描述服務業(yè)務的可持續(xù)發(fā)展,不僅包括它的創(chuàng)建態(tài),還可以包括其變化態(tài)和協(xié)作態(tài),評價模型描述服務的評估態(tài)。這個模型就是SOA所提倡的方法論。在該方法下為電子政務的安全運營提供策略制定、管理流程規(guī)劃、安全管理制度規(guī)劃、安全風險評估、安全管理等一系列服務,通過SOA服務型的管理平臺,建立統(tǒng)一的安全策略,從而將有效提升電子政務的安全管理強度。

參考文獻

[1]Thomas Erl Service-Oriented Architecture——Concepts,Technology,and Design,Prentice Hall PTR,2005.

[2] 邊鋒. 選擇電子政務為應用突破口用SOA支撐服務型政府變革media.ccidnet.com/art/2639/20061231/ 992759_1. html

篇7

關鍵詞:電子政務;服務經(jīng)濟;服務社會

1 美國“全球電子商務框架”概要

隨著信息技術的迅速發(fā)展,電子政務與電子商務被提上日程,并取得顯著成效,電子政務與電子商務的協(xié)調成為信息化發(fā)展的一大趨勢。電子政務與電子商務協(xié)同實現(xiàn)的整體效應必然對國民經(jīng)濟和社會的發(fā)展與進步產(chǎn)生積極而深刻的影響。

1997年7月1日,克林頓總統(tǒng)頒布了聯(lián)邦政府促進、支持電子商務發(fā)展的“全球電子商務框架”。該框架確立了聯(lián)邦政府政策的基本框架,對于美國乃至世界各國電子商務的發(fā)展產(chǎn)生了積極影響。

在“全球電子商務框架”中,聯(lián)邦政府提出了發(fā)展電子商務的原則和建議。發(fā)展電子商務主要原則包括因特網(wǎng)發(fā)展是市場驅動的所以私營部門必須發(fā)揮主導作用、在通過因特網(wǎng)進行產(chǎn)品或者服務買賣并達成合法協(xié)議的過程中政府應該避免對電子商務的不當限制、政府必須參與時政府參與的目標應該是支持和創(chuàng)造一種可以預測的、受影響最小的、持續(xù)簡單的法律環(huán)境為商業(yè)發(fā)展營造合適的環(huán)境、政府必須深化對因特網(wǎng)的特性的認識從而對現(xiàn)有的一些可能阻礙電子商務發(fā)展的法律法規(guī)重新進行審議、修改或者廢止、打破網(wǎng)上交易的法律框架的地區(qū)、國家和國際之間的界限促進電子商務在全球范圍內發(fā)展。

電子商務與電子政務表現(xiàn)為互動關系, 經(jīng)過研究發(fā)現(xiàn)美國“全球電子商務框架”對我國電子政務的改革提供了參考。

2 “全球電子商務框架”對我國電子政務改革的啟示

2.1 做好災備方案,確保信息安全

經(jīng)濟社會中存在大量數(shù)據(jù),WestWorld 公司的報告指出,在每500個數(shù)據(jù)中心中就有1個每年要經(jīng)歷一次災難。電子政務建設離不開數(shù)據(jù),數(shù)字信息是源頭活水。劉家真教授提出了制定網(wǎng)絡環(huán)境下的電子文件管理規(guī)范,必須考慮管理者的責任和辦公自動化網(wǎng)絡上運行的電子消息必須作為憑證加以管理。劉家真教授在調研的基礎上分析了我國文獻的檔案數(shù)據(jù)面臨的風險,根據(jù)國情提出文獻的檔案數(shù)據(jù)宜采用同城異地備份與遠端異地儲存其離線備份的災備方案,并對遠端異地離線災備基地的建設、管理與可持續(xù)運作提出了建議。劉家真教授還深入研究了更新與遷移在檔案保護中的廣泛應用,以及更新與遷移可能帶來的檔案內容信息損失風險,并提出了如何規(guī)避這類風險的管理策略。這些策略對于信息的更新與遷移過程中的丟失可以起到“防患于未然”的作用。劉家真教授指出,“保護數(shù)字文獻的關鍵在于維護數(shù)字信息的長期可存取性,為維護數(shù)字信息的長期可存取,還提出了3M策略:數(shù)字媒體的選擇與維護、科學管理以及技術遷移。”因此,要建立信息安全平臺,保護網(wǎng)上政務資源。搭建安全支撐平臺和安全應用支撐平臺。電子政務的數(shù)據(jù)處理與保護必須放在第一位,數(shù)據(jù)丟失了,或者被刪改了,起不到應有作用,甚至會起到負作用。

2.2 政府市場聯(lián)動,強化信息管理

電子政務信息共享已成為公務員及社會公眾日益緊迫的需求。然而,由于行政體制、管理模式等方面的原因,電子政務信息共享面臨著一系列的障礙和問題。為了提高電子政務信息共享的效率,各級政府部門應當針對這些原因和表現(xiàn),采取相應的對策。因此必須強化電子政務的信息管理。

電子政務的信息管理要引入市場機制、把握好電子政務的市場定位、確立客戶關系管理和贏利模式大力推進電子政務市場化建設。電子政務建設中要發(fā)揮多方面的作用,尤其要讓第三部門、企業(yè)集團甚至民間組織加入,讓他們成為電子政務建設的主體之一。

電子政務信息管理是一個巨大工程,短期的規(guī)劃是注重解決眼下必須解決的問題,同時要制訂中長遠規(guī)劃,做好成本效益分析。建造電子政務的經(jīng)濟效益模型,熟練掌握電子政務對經(jīng)濟效益影響的幾種主要方式和內容,間接影響至少要考慮建設、管理和服務等方面的效益,直接影響應考慮到電子政務對政府、相關企業(yè)及咨詢機構等方面的影響。

電子政務信息管理的好壞標準要交給市場而不是政府,這樣政府才能牢牢抓住主動權。國內外信息化的實踐證明,信息化建設必須有標準化的支持,尤其要發(fā)揮標準化的導向作用,以確保技術上的協(xié)調一致和整體效能的實現(xiàn)。

電子政務推進標準化必須進行正確的策略選擇。為電子政務標準選擇正確的類型、級別與形式就有著特殊重要的作用。要明確電子政務標準化在標準類型歸屬、標準級別劃定與標準形式確定方面的特殊要求,正確選擇我國電子政務標準類型、級別與形式。

2.3 協(xié)同政務建設,攻克關鍵技術

政務主要包括行政決策、行政執(zhí)行、行政監(jiān)督三個環(huán)節(jié),要從行政決策組織、行政決策活動、行政執(zhí)行組織、行政執(zhí)行活動、行政監(jiān)督組織、行政監(jiān)督活動、公務員培訓等幾個方面探討電子政務的協(xié)同發(fā)展以降低行政成本的機理。如公務員的部分培訓內容可以在網(wǎng)上進行降低培訓成本。

降低政務成本要推進協(xié)同電子政務建設,協(xié)同電子政務是對政府自身運作能力的強化,協(xié)同電子政務有助于政府組織實現(xiàn)職能整合、信息整合、業(yè)務整合、流程整合,最終實現(xiàn)政務工作和服務的全面提高。推進協(xié)同電子政務建設中要注意解決好政府和開發(fā)商之間存在的利益沖突問題,必須設計好有效的激勵機制。

我國電子政務建設中的主要問題是國產(chǎn)軟硬件的相對不成熟,在集成時出現(xiàn)不兼容的問題,在現(xiàn)有的國產(chǎn)軟硬件的基礎上,要經(jīng)過反復測試和優(yōu)化形成一套真正運行穩(wěn)定、切實可行的國產(chǎn)軟硬件的集成應用方案,確保應用國產(chǎn)的關鍵技術。

知識產(chǎn)權和隱私的保護技術急需攻克并同步更新。應當從提高公民個人信息隱私權意識,提高電子政務信息管理者道德,以及加強電子政務信息資源系統(tǒng)的管理方面來保護電子政務信息系統(tǒng)中的個人信息隱私權。

我國知識產(chǎn)權電子政務建設的起點和國外比較差不多。國外知識產(chǎn)權類網(wǎng)站的開發(fā)者主要是國際協(xié)會或組織,行政管理網(wǎng)站占據(jù)主要地位。我國是以中央的知識產(chǎn)權信息網(wǎng)站帶動地方的知識產(chǎn)權信息網(wǎng)站建設,實現(xiàn)各知識產(chǎn)權信息庫的資源共享。要保證電子政務信息資源權利人享有合法權利。

2.4 依法管理政務,制度職能創(chuàng)新

電子政務呼喚新的管理理念。要把以人為本的管理理念貫穿電子政務的全過程,要運用信息時代的人本思維重塑政府管理模式,推動電子政務的發(fā)展。推進電子政務實際上是要達到政府行政管理領域內新的制度平衡。

電子政務始終要以依法行政為大前提。電子政務立法的宗旨應當是推動政府信息公開、推進政務信息化建設、提高政務辦公效率。電子政務的法律框架,本質是為電子政務提供公平、透明、和諧的環(huán)境。電子政務要立法。立法中的核心問題是立法模式、立法層次、立法效力等。電子政務的運行必須在法律監(jiān)督之下,電子政務的發(fā)展也必須基于信息法律的保障,電子政務的實施有利于建設法制社會。電子政務發(fā)展需要健全的法律環(huán)境。從電子政務的建設和應用的流程角度來看,電子政務發(fā)展應完善:與政務信息有關的行政法律法規(guī)問題、電子政務建設管理和應用的法律法規(guī)問題、電子政務建設的技術標準。

電子政務的本質是對政府職能的轉變和創(chuàng)新。電子政務不僅在公共行政領域,而且在人類生活的各個領域都產(chǎn)生了影響。電子政務是信息時代各級政府治理不可缺少的工具,為構建服務型地方政府提供了現(xiàn)實條件。

電子政務是現(xiàn)代政府管理創(chuàng)新工具。電子政務提高了行政效率,降低了成本,提高了政府公共服務水平。但也存在一定不足。這就要求各級政府轉變觀念,統(tǒng)籌規(guī)劃各部門網(wǎng)站,制定相關法律、法規(guī),積極推進電子政務發(fā)展,利用電子政務推進行政管理體制改革的深化,逐步形成新型政府管理模式,增強公共管理與服務功能,全面提升行政能力。

要重點解決好電子政務建設中的深層次問題。要引入IT治理的思想,對電子政務中實施IT治理,找到實現(xiàn)電子政務制度與技術協(xié)同發(fā)展的有效途徑。

2.5 高效優(yōu)質服務、狠抓績效評估

我國電子政府績效評估實踐已在各級政府和部門中逐漸開展起來,并引起社會各界的普遍關注,電子政務績效評估需要得到進一步的大發(fā)展。

電子政務績效是政府績效的重要組成部分。電子政務正在成為現(xiàn)代政府運作的主要方式,成為政府更好的實現(xiàn)其管理、服務職能的重要手段。而在大規(guī)模的投入和建設后,電子政務能否真正取得預期的成效已經(jīng)成為一個重大問題。

我國目前的電子政務建設狀況不容樂觀,巨大的資金投后,實際效果卻與預期相距甚遠。究其原因,缺乏與電子政務運行特點相符合的績效評估體系是造成這一局面的重要原因。

要形成我國自己的電子政務績效評估模式。可以把電子政務的績效劃分為產(chǎn)出、結果和影響三個層次,提倡綜合應用模式,突破產(chǎn)出層次。我國的電子政務績效評估應突出“重在政務”和“政務為民”的戰(zhàn)略選擇,同時緊密結合電子政務建設和行政改革的進程,做好戰(zhàn)略規(guī)劃。從政府網(wǎng)站建設,基礎設施建設,政務基礎信息數(shù)據(jù)庫建設,重點政務業(yè)務系統(tǒng)建設四個方面構建指標體系,穩(wěn)步推動我國電子政務的發(fā)展,同時促進政府績效的提高。

參考文獻

[1]劉家真.數(shù)據(jù)丟失的風險與對策[J].機電兵船檔案, 2004,(01).

[2]劉家真.網(wǎng)絡環(huán)境下的電子文件管理要求[J].檔案管理,1999,(01).

[3]劉家真,倪麗娟.創(chuàng)建我國文獻的檔案數(shù)據(jù)災備基地的構想[J].檔案學研究,2006,(04).

[4]劉家真.更新與遷移中的風險管理策略[J].北京檔案,2005,(10).

[5]劉家真.保護數(shù)字信息的長期存取策略[J].武漢大學學報(人文社會科學版), 1999,(04).

[6]李綱,彥.電子政務信息安全平臺分析[J].中國圖書館學報,2006,(01).

篇8

 

關鍵詞:電子政務 信息安全PKI

 

1綜合電子政務平臺概述

    電子政務是指政府機構應用信息技術提高政府事務處理的信息流效率,對政府機構和職能進行優(yōu)化,改善政府組織和公共管理能力。通常由核心網(wǎng)絡、接人網(wǎng)絡及訪問網(wǎng)絡三部分組成。建設內容一般包括:電子政務網(wǎng)絡平臺、政府門戶網(wǎng)站、電子政務主站點、“一站式”行政審批系統(tǒng)、視頻會議系統(tǒng)、公文交換和信息報送系統(tǒng)、電子郵件系統(tǒng)、辦公自動化系統(tǒng)等。

    電子政務網(wǎng)絡平臺網(wǎng)絡結構中,核心網(wǎng)絡擁有重要的信息資源,并處理政府部門間的核心業(yè)務。政府部門間的數(shù)據(jù)交換流程是閉環(huán)的,即任何一個節(jié)點既是用戶又是數(shù)據(jù)源。因此,核心網(wǎng)絡節(jié)點之間的業(yè)務流程應該是高速、嚴密、安全的,并且有嚴格的審核機制。核心網(wǎng)絡與接人網(wǎng)絡形成上下級關系的協(xié)同工作平臺,進行信息、數(shù)據(jù)的交換。它們之間的信息往來必須具備信任安全體系。政府核心網(wǎng)絡面向社會公眾提供信息服務,對外宣傳政府信息,與訪問網(wǎng)絡建立連接。

2綜合電子政務平臺的安全風險

2.1網(wǎng)絡安全域的劃分和控制問題

    電子政務中的信息涉及國家秘密、國家安全,因此它需要絕對的安全。但是同時電子政務現(xiàn)在很重要的發(fā)展方向是要為社會提供行政監(jiān)管的渠道,為社會提供公共服務,如社保醫(yī)保、大量的公眾咨詢、投訴等等,它同時又需要一定程度的開放。因此如何合理地劃分安全域顯得非常重要。

2.2內部監(jiān)控、審核問題

    目前絕大部分單位都沒有系統(tǒng)可以實時地對內部人員除個人隱私以外的各項具體操作進行監(jiān)控和記錄,更不用談對一些非法操作進行屏蔽和阻斷了。

2.3電子政務的信任體系問題

    電子政務要做到比較完善的安全保障體系,第三方認證是必不可少的。只有通過一定級別的第三方認證,才能說建立了一套完善的信任體系。

2 .4數(shù)字簽名(簽發(fā))問題

    在電子政務中,要真正實行無紙化辦公,很重要的一點是實現(xiàn)電子公文的流轉,而在這之中,數(shù)字簽名(簽發(fā))問題又是重中之重。

2.5電子政務的災難響應和應急處理問題

    很多單位在進行網(wǎng)絡規(guī)劃的時候,沒有考慮到作為系統(tǒng)核心部分一一數(shù)據(jù)庫本身的安全問題,完全依賴干整個網(wǎng)絡的防護能力,一旦網(wǎng)絡的安全體系被穿破或者直接由內部人員利用內網(wǎng)用戶的優(yōu)勢進行破壞,“數(shù)據(jù)”可以說無任何招架之力

3綜合電子政務平臺安全體系建設方案

3 .1技術保障體系

    技術保障體系是安全管理體系的重要組成部分。它涉及兩個層面的問題,一是信息安全的核心技術和基本理論的研究與開發(fā),二是信息安全產(chǎn)品和系統(tǒng)構建綜合防護系統(tǒng)。

    信息安全技術。信息安全的核心技術主要包括數(shù)據(jù)加密技術、信息隱藏技術和信息認證技術。數(shù)據(jù)加密是把有意義的信息編碼為偽隨機性的亂碼,以實現(xiàn)信息保護的目的。數(shù)字簽名是指只有發(fā)送者才能產(chǎn)生的別人無法偽造的一段數(shù)字串,這段數(shù)字串同時也是對發(fā)送者信息真實性的證明。

    信息安全防護體系。目前,主要的信息安全的產(chǎn)品和系統(tǒng)包括防病毒軟件、防火墻、入侵檢測系統(tǒng)、漏洞掃描、安全審計系統(tǒng)、物理隔離系統(tǒng)等。我們可采用屏蔽子網(wǎng)體系結構保證核心網(wǎng)絡的安全。屏蔽子網(wǎng)體系結構通過添加額外的安全層到被屏蔽主機體系結構,即通過添加周邊網(wǎng)絡更進一步地把內部網(wǎng)絡與Internet隔離開。在這種結構下,即使攻破了堡壘主機,也不能直接侵人內部網(wǎng)絡,它將仍然必須通過內部路由器。

3.2運行管理體系

    安全行政管理。電子政務的安全行政管理應包括建立安全組織機構、安全人事管理、制定和落實安全制度。

    安全技術管理。電子政務的安全技術管理可以從三個方面著手:硬件實體、軟件系統(tǒng)、密鑰。

    風險管理。風險管理是對項目風險的識別、分析和應對過程。它包括對正面事件效果的最大化及對負面事件影響的最小化。

3.3社會服務體系

    安全管理服務。目前,一些信息安全管理服務提供商(Managed  Security Service Providers, MSSP)正在逐步形成,它們有的是專門從事安全管理服務達到增值目的的,有的是一些軟件廠商為彌補其軟件系統(tǒng)的不足而附加一些服務的,有的是一些從IT集成或咨詢商發(fā)展而來提供信息安全咨詢的。

    安全測評服務。測評認證的實質是由一個中立的權威機構,通過科學、規(guī)范、公正的測試和評估向消費者、購買者即需方,證實生產(chǎn)者或供方所提供的產(chǎn)品和服務,符合公開、客觀和先進的標準。

    應急響應服務。應急響應是計算機或網(wǎng)絡系統(tǒng)遇到安全事件如黑客人侵、網(wǎng)絡惡意攻擊、病毒感染和破壞等時,所能夠提供的緊急的響應和快速的救援與恢復服務。

3.4基礎設施平臺

    法規(guī)基礎建設。主要有以下幾方面:在國家憲法和各部門法中對各類法律主體的有關信息活動涉及國家安全的權利和義務進行規(guī)范,形成國家關于信息及信息安全的總則性、普適性的法規(guī)體系;針對各類計算機和網(wǎng)絡犯罪,制訂直接約束各社會成員的信息活動的行為規(guī)范,形成計算機、網(wǎng)絡犯罪監(jiān)察嶼防范體系;對信息安全技術、信息安全產(chǎn)品(系統(tǒng))的授權審批應制訂相應的規(guī)定,形成信息安全審批與監(jiān)控體系;針對信息內容的安全與保密問題,制訂相應規(guī)定,形成信息內容的審批、監(jiān)控、保密體系;從國家安全的角度,制訂網(wǎng)絡信息預警與反擊體系等。

篇9

前言

《2018聯(lián)合國電子政務調查報告》顯示,我國電子政務發(fā)展指數(shù)EGDI為0.6811,全球排名第65位,處于中等偏上的位置,仍有較大的上升空間。從市場規(guī)模來看,2017年我國電子政務市場規(guī)模達2722億元,2018年有望突破3000億元。但處于轉型期的電子政務面臨著數(shù)據(jù)孤島、成本高昂、網(wǎng)絡安全、效率低下、監(jiān)管缺失等痛點。

區(qū)塊鏈可為電子政務提供新的解決方案。我國各級政府紛紛出臺政策鼓勵將區(qū)塊鏈技術應用于電子政務,我國區(qū)塊鏈電子政務應用取得一定的進展。

目前我國共有17項區(qū)塊鏈電子政務應用,分別涉及七大細分場景:政府審計、數(shù)字身份、數(shù)據(jù)共享、涉公監(jiān)管、電子票據(jù)、電子存證、出口監(jiān)管等。

篇10

關鍵詞:電子政務;安全系統(tǒng);體系構建

隨著信息化時代的到來,網(wǎng)絡辦公作為一種高效的辦公形式已經(jīng)被越來越多的政府部門采用。電子政務網(wǎng)站作為政府和民眾溝通的平臺,成了政府推進信息化建設的主要部分。依靠這樣的平臺,政府可以以最快的速度把各種新鮮資訊告知廣大民眾,民眾也可以通過這樣的平臺把自己的意見和建議傳達到政府那里,實現(xiàn)民眾和政府之間更好的溝通。從這個角度來說,電子政務網(wǎng)站是十分重要的。安全性是政府部門整個信息化工程建設的保障,是整個系統(tǒng)建設中最關鍵的部分。本文將對電子政務建設的安全性加以探討,提出如何構建安全的電子政務網(wǎng)絡系統(tǒng)。

1 安全問題

1.1 重技術,輕管理

在整個建設過程中,一向有這樣的觀點:只要從技術層面配備了相應的安全軟件,整個系統(tǒng)的建設就是安全的,對于安全的管理卻相對忽視。目前,電子政務系統(tǒng)的安全技術主要有下面幾種:操作體系安全、病毒查殺安全、訪問鏈接安全等。而對于安全的管理,則主要包含整個體系的風險管理、對資料的備份和防刪除恢復、一鍵恢復系統(tǒng)、審查追蹤等部分。此外,對于安全的管理,還包括電腦操作人員的安全觀念和安全操作技術等。

1.2 管理過程不夠規(guī)范

電子政務的安全是一個十分重要的問題,涉及到政府的形象甚至是國家的利益。因此,對于電子政務安全的管理就需要一個比較規(guī)范的系統(tǒng)。但是目前的情況是國家關于電子政務安全的各個環(huán)節(jié)還不能從總體上進行掌握,還需要對相關環(huán)節(jié)和部門進行深入的研究和探討。

1.3 法律法規(guī)不健全

社會信息化的程度越來越高,電子政務的發(fā)展速度也越來越快,但是法制法規(guī)對電子政務發(fā)展的限制也越來越明顯。比方說,電子簽名是不是和紙質簽名具有同樣的法律效率等,就需要專門的法律去加以限制和說明。

1.4 信息保護的多重矛盾

對于電子信息的保護,從來就沒有特定的標準,這就導致在防護的過程中出現(xiàn)了很多的矛盾,例如:防護不到位和防護過度之間的矛盾;防護軟件和使用軟件之間的矛盾;殺毒軟件研發(fā)和取得效果之間的矛盾等。隨著時代的發(fā)展和技術的進步,電子政務的防護系統(tǒng)也要不斷的升級;眼下,為了減少移動設施對電子政務系統(tǒng)帶來的安全隱患,一般杜絕在系統(tǒng)上使用移動設施,這肯定會對電子政務系統(tǒng)的實用性帶來一定的不便,這就又造成了其安全性和實用性之間的矛盾。

1.5 安全威脅的多面化

可以說,電子政務網(wǎng)站可以提供多大的方便,就會存在多大的風險。對其系統(tǒng)造成威脅的因素有很多,總體上來說可以劃分為三個方面:技術層面、人為原因、自然因素。

2 電子政務系統(tǒng)的網(wǎng)絡安全體系建設

2.1 網(wǎng)絡物理層面的安全保障

從這一層面來說,網(wǎng)絡物理隔離卡的研發(fā)業(yè)已相對完善,盡管其有很多不同的品種,但是其依據(jù)方面基本一致,都是憑借脫離了TCP/IP協(xié)議的內網(wǎng)系統(tǒng),在電子政務網(wǎng)絡內部自成一個網(wǎng)絡系統(tǒng),和互聯(lián)網(wǎng)絡斷開連接,保護內網(wǎng)資料的相對安全。除了在內網(wǎng)和外網(wǎng)之間進行隔離,在內網(wǎng)內部還要進行一定的隔離。

2.2 網(wǎng)絡應用層面的安全保障

2.2.1 登錄身份驗證

這是一種最簡單的安全保障方式。依靠對用戶名和登錄密碼的設置,對那些不相關的人員進行隔離。眼下,黑客的破壞能力逐漸增加,簡單的用戶名和密碼很難限制那些別有用心的人員,所以,很多的電子政務網(wǎng)絡都開始采用動態(tài)口令技術,對政府的電子政務系統(tǒng)進行更詳盡的保護。

2.2.2 使用權限矩陣

電子政務系統(tǒng)是政府和民眾之間的交流平臺,這就注定了訪問這個系統(tǒng)的人員會有兩種身份:系統(tǒng)管理者和一般民眾。對這兩類使用者我們要區(qū)別對待,給予他們不同的使用權限。系統(tǒng)管理者可以對系統(tǒng)內的信息進行添加、刪除和維護,對整體資料進行一定的調整;但是一般民眾就只能對信息進行瀏覽,不能做出任何的變動。

2.3 從操作層面進行保護

使用者使用的操作體的安全性,對電子政務系統(tǒng)的安全也存在著很大影響。因此,要盡可能使用正版的、穩(wěn)定的操作系統(tǒng)。在使用過程中,定時對系統(tǒng)進行病毒查殺和系統(tǒng)完善。

總之,由于我國電子政務的不斷推進,其政務服務類型更加的豐富多樣,網(wǎng)上咨詢、在線交流等服務內容不但拉近了政府和民眾之間的關系,而且大大提高了政府的辦事效率。電子政務網(wǎng)絡業(yè)已成為一種必然的發(fā)展趨勢。本論文對電子政務網(wǎng)絡構建過程中安全方面出現(xiàn)的問題進行了分析,同時還對如何保障電子政務網(wǎng)絡的安全做出了探討,希望對電子政務網(wǎng)絡的安全起到一定的防護作用。

[參考文獻]

[1]孟祥宏.基于可生存性的電子政務系統(tǒng)安全策略研究[J].現(xiàn)代計算機(專業(yè)版).2009(12).