A. 構建電子政務系統安全體系的原則有哪些
參照我國電子政務建設指導意見並結合電子政務安全體系方面的研究,構建電子政務系統安全體系應當遵循以下原則:
1、全面設計、整體部署:電子政務系統安全體系設計要全面,應充分考慮到電子政務系統環境各個方面的風險,從物理、網路、數據、應用系統等多個方面進行綜合考慮和設計並作整體部署,同時加強安全制度建設和教育培訓。只有做到不忽視或漏掉電子政務系統中任何一個安全環節,才能夠保證整個系統的安全性。
2、統一標准,加強管理:電子政務系統安全體系設計應遵循統一的技術標准和管理標准,除了採用國際標准和我國自主研究的演算法之外(包括數據加密解密演算法、數據摘要演算法、數字簽名演算法、密鑰管理演算法等),還要考慮到安全體系將來的擴展性和系統介面要求,採用通用的數字證書標准、統一的介面規范、統一的數據包格式等。
3、需求主導,重點突出:安全體系設計應該以需求為主導,切合電子政務系統對安全的要求,突出安全體系的重點,比如網路安全方面的防火牆設置、入侵監測等、統一的安全管理平台、安全認證平台、統一的日誌管理、安全審計等,同時根據數據的安全級別、業務系統的安全層次等採取有區別的安全措施以兼顧系統的性能和效率。
4、靈活配置、動態部署:安全相關的技術發展迅速,電子政務系統的安全需求也在不斷變化,因此電子政務系統安全體系設計也需要能夠根據變化易於調整和改變。安全體系設計應該提供多種安全策略和方法,並支持靈活的配置方式以允許用戶進行選擇和動態部署。
5、制度建設、安全培訓:電子政務系統用戶的安全意識及其掌握的安全相關技術知識是整個安全體系高效、有效運行和正常管理、維護的前提。在電子政務系統安全體系實施過程中,要注意加強安全制度建設,制定安全操作規范,同時定期或不定期對系統用戶進行安全相關教育和培訓。
B. 試闡述電子政務安全的主要內容
電子政務涉及對國家秘密信息和高敏感度核心政務的保護,設計維護公共秩序和行政監管的准確實施,涉及到為社會提供公共服務的質量保證.電子政務是黨委、政府、人大、政協有效決策、管理、服務的重要手段,必然會遇到各種敵對勢力、恐怖集團、搗亂分子的破壞和攻擊.尤其電子政務是搭建在基於互聯網技術的網路平台上,包括政務內網、政務外網和互聯網,而互聯網的安全先天不足,互聯網是一個無行政主管的全球網路,自身缺少設防和安全隱患很多,對互聯網犯罪尚缺乏足夠的法律威懾,大量的跨國網路犯罪給執法帶來很大的難度.所有上述分子利用互聯網進行犯罪則有機可乘,使基於互聯網開展的電子政務應用面臨著嚴峻的挑戰.
對電子政務的安全威脅,包括網上黑客入侵和犯罪、網上病毒泛濫和蔓延、信息間諜的潛入和竊密、網路恐怖集團的攻擊和破壞、內部人員的違規和違法操作、網路系統的脆弱和癱瘓、信息產品的失控等,應引起足夠警惕,採取安全措施,應對這種挑戰.
電子政務的安全目標和安全策略
電子政務的安全目標是,保護政務信息資源價值不受侵犯,保證信息資產的擁有者面臨最小的風險和獲取最大的安全利益,使政務的信息基礎設施、信息應用服務和信息內容為抵禦上述威脅而具有保密性、完整性、真實性、可用性和可控性的能力.
為實現上述目標應採取積極的安全策略:
國家主導、社會參與.電子政務安全關繫到政府的辦公決策、行政監管和公共服務的高質量和可信實施的大事,必須由國家統籌規劃、社會積極參與,才能有效保障電子政務安全.
全局治理、積極防禦.電子政務安全必須採用法律威懾、管理制約、技術保障和安全基礎設施支撐的全局治理措施,並且實施防護、檢測、恢復和反制的積極防禦手段,才能更為有效.
等級保護、保障發展.要根據信息的價值等級及所面臨的威脅等級,選擇適度的安全機制強度等級和安全技術保障強壯性等級,尋求一個投入和風險可承受能力間的平衡點,保障電子政務系統健康和積極的發展.
電子政務安全保障體系框架
電子政務安全採取「國家推動、社會參與、全局治理、積極防禦、等級保護、保障發展」的策略,鑒於電子政務的信息安全面臨的是一場高技術的對抗,是一場綜合性斗爭,涉及法律、管理、標准、技術、產品、服務和基礎設施諸多領域,所以電子政務安全,還要從全局來構建其安全保障的體系框架,以保障電子政務的健康發展.
電子政務安全保障體系由六要素組成,即安全法規、安全管理、安全標准、安全服務、安全技術產品和安全基礎設施等安全要素.
要素一 安全法律與政策
電子政務的工作內容和工作流程涉及到國家秘密與核心政務,它的安全關繫到國家的主權、國家的安全和公眾利益,所以電子政務的安全實施和保障,必須以國家法規形式將其固化,形成全國共同遵守的規約,成為電子政務實施和運行的行為准則,成為電子政務國際交往的重要依據,保護守法者和依法者的合法權益,為司法和執法者提供法律依據,對違法、犯法者形成強大的威懾.
《中華人民共和國保護國家秘密法》已實施十多年,已不完全適應我國當前保密工作的現狀,特別是電子政務的發展,亟待修訂.
政務信息公開是電子政務的重要原則,為了拉近政府和公眾的距離,使公眾具有知情權、參與權、監督權和享用政府服務的權利,為公眾提供良好的信息服務,充分挖掘政務信息的最大效益,開放政務信息資源(非國家涉密和適宜公開部分)服務於民是電子政務的重要特徵.盡快制訂政務信息公開法,適度的解密和規范開放的規則,保護政府部門間信息的正常交流,保護社會公眾對信息的合法享用,打破對政務信息資源的壟斷和封鎖,提高政府行政透明度和民主進程是非常有利的和必需的.
電子政務亟待電子簽章和電子文檔的立法保護,國際已有近20多個國家對數字簽名和電子文檔進行了立法,使數字簽名和電子文檔在電子政務和電子商務運行中具有法律效力.這將大大促進電子政務和電子商務的健康發展,使電子政務原來的雙軌制走向單軌制,這有利於簡化程序、降低成本,充分顯示電子政務效益是非常有利的.
個人數據保護(隱私法)的需求伴隨電子政務的發展日顯突出.電子政務在實施行政監管和公眾服務中有大量的個人信息(自然人和法人),如戶籍、納稅、社保、信用等信息大量進入了政府網路信息資料庫,它對完成電子政務職能發揮巨大作用.但是這些個人信息如果保護不力或無意被泄漏,而被非法濫用,就可能成為報復、盜竊、推銷、討債、盯梢的工具.在國外已經出現將盜用的個人隱私信息作為非法商品出售,以牟取暴利的情況,這樣直接損害個人的利益,甚至危及個人的生命安危.因此加快個人數據保護法的制訂,是必要的.
還有很多法規的制訂都直接關繫到電子政務的健康發展,加快制訂這些法規,勢在必行.
要素二 安全組織與管理
我國信息安全管理職能的格局已經形成,如國家安全部、國家保密局、國家密碼管理委員會、信息產業部、總參……分別執行各自的安全職能,維護國家信息安全.電子政務安全管理涉及到上述眾多的國家安全職能部門,其安全管理職能的協調需要由國家信息化領導機構,如國家信息化領導小組及其辦公室、國家電子政務協調小組、國家信息安全協調小組等來進行.各地區和部委建立相應的信息安全管理機構,以完成和強化信息安全的管理,形成自頂向下的信息安全管理組織體系,是電子政務安全實施的必要條件.
制訂頒發電子政務安全相關的各項管理條例,及時指導電子政務建設的各種行為,從立項、承包、采購、設計、實施、運行、操作、監理、服務等各階段入手,保障電子政務系統建設全程的安全和安全管理工作的程序化和制度化.
電子政務信息安全域的劃分與管理是至關重要的.電子政務有辦公決策、行政監管和公共服務等三種類型業務,其業務信息內容涉及國家機密、部門工作秘密、內部敏感信息和開放服務信息.既要保護國家秘密又要便於公開服務,因此對信息安全域的科學劃分和管理,將有益於電子政務網路平台的安全設計,有益於電子政務的健康和有效的實現.
制訂電子政務工程集成商的資質認證管理辦法、工程建設監理機構的管理辦法、工程外包商的管理機制和辦法,以確保電子政務工程建設的質量和安全,特別是對於電子政務系統的外包制更要有嚴格的制約和管理手段.對於電子政務中涉密系統工程的承建,還必須有國家保密局頒發的涉密系統集成資質證書,其他部分應具有國家或省市相應的系統集成商的資質證書.對於電子政務涉密部分,不允許託管和外包運行,電子政務其他部分將按相關管理條例執行.
電子政務工程中使用的信息安全產品,國家將制訂相應的采購管理政策,涉及密碼的信息安全產品需有國家密碼主管部門的批准證書,信息安全產品應有通過國家測評主管機構的安全測評的證書,維護信息安全產品的可信性.
電子政務系統信息內容根據管理需求,可以實施對信息內容的安全監控管理,以保護政務信息安全,防止由於內部違規或外部入侵可能造成的網路泄密,同時也阻止有害信息內容在政務網上傳播.
制訂電子政務系統的人員管理、機構管理、文檔管理、操作管理、資產與配置管理、介質管理、服務管理、應急事件管理、保密管理、故障管理、開發與維護管理、作業連續性保障管理、標准與規范遵從性管理、物理環境管理等各種條例,確保電子政務系統的安全運行.
要素三 安全標准與規范
信息安全標准有利於安全產品的規范化,有利於保證產品安全可信性、實現產品的互聯和互操作性,以支持電子政務系統的互聯、更新和可擴展性,支持系統安全的測評與評估,保障電子政務系統的安全可靠.
國家已正式成立「信息安全標准化委員會」,近期成立了信息安全標准體系與協調工作組(WG1)、內容安全分級及標識工作組(WG2)、密碼演算法與密碼模塊/KMI/VPN工作組(WG3)、PKI/PMI工作組(WG4)、信息安全評估工作組(WG5)、操作系統與資料庫安全工作組(WG6)、身份標識與鑒別協議工作組(WG9)、操作系統與資料庫安全工作組(WG10),以開展電子政務安全相關標準的研製工作,支撐電子政務安全對標准制訂的需求.
還將制訂下列標准:涉密電子文檔密級劃分和標記格式、內容健康性等級劃分與標記、內容敏感性等級劃分與標記、密碼演算法標准、密碼模塊標准、密鑰管理標准、PKI/CA標准、PMI標准、信息系統安全評估和信息安全產品測評標准、應急響應等級、保護目標等級、應急響應指標、電子證據恢復與提取、電子證據有效性界定、電子證據保護、身份標識與鑒別、資料庫安全等級、操作系統安全等級、中間件安全等級、信息安全產品介面規范、數字簽名…….
要素四 安全保障與服務1.電子政務系統建設,要構建其技術安全保障架構,對大型電子政務系統要建立縱深防禦體系.
·設置政務內網的安全與控制策略;
·設置政務外網的安全與控制策略;
·設置進入互聯網的安全服務與控制策略;
·設置租用公網干線的安全服務與控制策略,包括有線通信、無線通信和衛星通信的安全服務與控制策略;
·設置政務計算環境的安全服務與機制.
採用縱深防禦和多級設防,是電子政務安全保障的重要原則,通過全局性的安全防護、安全檢測、快速響應、集成的安全管理與安全設施的聯動控制,以達到系統具有防護、檢測、反應與恢復能力.
2.推廣電子政務信息系統安全工程(ISSE)的控制方法,全面實現安全服務要求.
電子政務安全系統的設計,首先要做好系統資產價值的分析,如物理資產的價值(系統環境、硬體、系統軟體)、信息資產的價值、其數據與國家利益和部門利益的關聯度;其業務系統(模型、流程、應用軟體)正常運行後果所產生的效益,從而確定系統安全應保護的目標,在上述分析的基礎上提出整個安全系統的安全需求,進一步定義達到這些安全需求所應具有的安全功能,然後探索系統可能面臨的威脅類型,並找出系統自身的脆弱性,這些威脅和脆弱性有:
·網上黑客與計算機犯罪;
·網路病毒的蔓延與破壞;
·機要信息流失與信息間諜潛入;
·網上恐怖活動與信息戰;
·內部人員違規與違法;
·網上安全產品的失控;
·網路與系統自身的漏洞與脆弱性.
在這些威脅面前,要分析哪些威脅是本系統主要面臨的威脅,哪些是次要的,對系統和任務造成的影響程度如何.進行定性和定量的分析,提出系統安全對策,確定承受風險的能力,尋找投入和風險承受能力間的平衡點,然後確定系統所需要的安全服務及對應的安全機制(見表一),從而配置系統的安全要素.在工程的生命周期中要進行風險管理、風險決策流程(見圖2),這種風險管理是要對電子政務全程進行的.
系統投入運行要對其安全性進行有效評估,即評估者給出的評估證據和建設者採用的技術保障設施,的確能使系統擁有者確信已選用技術對策,確實減少了系統的安全風險,滿足必要的風險策略(風險策略可以是「零」風險策略、最小風險策略、最大可承受風險策略或不計風險策略),使其達到保護系統資產價值所必需的能力(見圖3).上述有效評估過程可用安全技術保障強壯性級別(IATRn)來描述:
IATRn=f(Vn,Tn,SMLn,EALn)
Tn:威脅等級
Vn:資產價值等級
SMLn:安全機制強度等級
EALn:評估保障等級
要素五 安全技術與產品
1. 加強安全技術和產品的自主研製和創新.
由於電子政務的國家涉密性,電子政務系統工程的安全保障需要各種有自主知識產權的信息安全技術和產品,全面推動自主研發和創新這些技術和產品是電子政務安全的需要.這些產品和技術可以分為六大類:
·基礎類:風險控制、體系結構、協議工程、有效評估、工程方法;
·關鍵類:密碼、安全基、內容安全、抗病毒、IDS、VPN、RBAC、強審計、邊界安全隔
離;
·系統類:PKI、PMI、DRI、網路預警、集成管理、KMI;
·應用類:EC、EG、NB、NS、NM、WF、XML、CSCW;
·物理與環境類:TEMPEX、物理識別;
·前瞻性:免疫技術、量子密碼、漂移技術、語義理解識別.
2.電子政務安全產品的選擇.
整個電子政務的安全,涉及信息安全產品的全局配套和科學布置,產品選擇應充分考慮產品的自主權和自控權.
產品可涉及安全操作系統、安全硬體平台、安全資料庫、PKI/CA、PMI、VPN、安全網關、防火牆、數據加密機、入侵檢測(IDS)、漏洞掃描、計算機病毒防治工具、強審計工具、安全Web、安全郵件、安全設施集成管理平台、內容識別和過濾產品、安全備份、電磁泄漏防護、安全隔離客戶機、安全網閘.
要素六 安全基礎設施
信息安全基礎設施是一種為信息系統應用主體和信息安全執法主體提供信息安全公共服務和支撐的社會基礎設施,方便信息應用主體安全防護機制的快速配置,有利於促進信息應用業務的健康發展,有利於信息安全技術和產品的標准化和促進其可信度的提高,有利於信息安全職能部門的監督和執法,有利於增強全社會信息安全移師和防護技能,有利於國家信息安全保障體系的建設.因此,推動電子政務的發展,應重視相關信息安全基礎設施的建設.
信息安全基礎設施有兩大類.
1.社會公共服務類
·基於PKI/PMI數字證書的信任和授權體系;
·基於CC/TCSEC的信息安全產品和系統的測評與評估體系;
·計算機病毒防治與服務體系;
·網路應急響應與支援體系;
·災難恢復基礎設施;
·基於KMI的密鑰管理基礎設施.
2.行政監管執法類
·網路信息內容安全監控體系;
·網路犯罪監察與防範體系;
·電子信息保密監管體系;
·網路偵控與反竊密體系;
·網路監控、預警與反擊體系.
C. 完善電子政務建設
一、思想觀念滯後,電子政務受到人文環境的約束。
從近年的實踐來看,對我國電子政務的建設,一方面,認識上還存在一些誤區。不少人對電子政務的目的、意義、重要性和發展趨勢缺乏足夠的認識,他們習慣於傳統的辦公模式,對電子化給傳統政務辦公方式帶來的革命性變革認識不足又難以適應。把電子政務當作政府部門的計算機化,認為電子政務是一個技術問題,從而加強硬體投入,卻不重視軟體的開發,也不重視業務流程的重組,更不注重信息的收集,使建立起來的網路沒有發揮應有的作用。另一方面,部門利益自我保護根深蒂固。電子政務建設強調政府流程再造,需要對政府機構進行改革,必然會帶來政府相關部門利益和部門的消失和權利的削弱,會減少人員等,對發展電子政務的阻力也會增大。
二、標准化程度低,政務信息資源開發利用滯後。
電子政務建設沒有完全以政府業務流程為導向,各業務系統共享程度較低,普遍存在著「重建設輕應用,重硬體輕軟體」的現象。盡管有「充分利用現有資源和現有網路平台條件,嚴禁重復建設」的明確要求,但由於電子政務的發展缺乏宏觀的規劃,政務專網建設存在各自為政、標准不統一的現象,不能支持實現互聯互通,信息不能共享,跨部門業務不能協同。「縱強橫弱」、「信息孤島」現象比較嚴重。政府信息資源管理制度規范尚不完善,政務信息公開的制度性建設剛剛開始,制約了政府信息資源的開發利用的整體水平。
三、注重「電子」建設,忽視政府業務流程的改進。
「電子政務」的關鍵是「政務」,而不是「電子」。但不少領導者只是把電子政務當成一種新技術,以為只要投資,有了硬體設備和各種軟體,政府上網以後,就算建成電子政務。這種錯誤的認識,導致出現一些問題,一方面,原有的金字塔式的行政組織結構不利於信息的有效傳播。信息在行政傳播過程中呈現非對稱性和層級性,往往造成信息的失真或失效。另一方面,傳統的業務流程不適應電子政務。傳統的政府機構條塊分割,職能包羅萬象,政府業務數據流程不得不按地理位置和人力分配被分割在多個部門,使得相同的信息往往在不同的部門都要進行收集、存儲、加工和管理,在建立電子政務系統時,各個系統相互獨立,技術與規范各不相同,結果是建立起了一個個信息孤島。這種多層次、低效能的行政機構和業務流程不利於信息的統一收集和整理。
四、安全存在隱患,制約了電子政務的發展。
對於電子政務來說,網路的安全非常重要,它關繫到信息時代國家機器的穩定運行和社會秩序的安定團結。總體上看,我國的網路與信息安全防護仍處於初級階段,尚未形成科學、完整、高效、統一的電子政務安全保障體系。主要表現為我國的政務系統大多分級、分域保護不明確;安全隔離不徹底,內外網承載業務劃分與信息安全的要求不對等;密碼與信任體系建設不完善;信息安全法律法規和標准不完善;全社會的信息安全意識不強;信息安全的管理和技術人才缺乏;信息安全技術缺乏創新性與自主性,同時對引進的信息技術和設備缺乏有效的管理與合理改造。呈快速上升趨勢的病毒傳播和網路攻擊等犯罪活動使網路泄密事件屢有發生。這些都存在對電子政務系統構成威協的不安全因素。
五、完善電子政務建設的措施:
促進我國電子政務的發展,既是我國各級政府機構自身改革和發展的需要,也是我國經濟與社會發展的需要,同時,也是與國際接軌,適應世界經濟全球化的需要,我們要借鑒發達國家電子政務發展的成功經驗,結合我國信息化和電子政務的現狀,針對電子政務發展過程中存在的問題,提出如下對策建議。
1、健全領導機構,規劃統一的電子政務平台。
目前,制約我國電子政務應用發展的主要瓶頸是地方之間、部門之間不能協同共享應用系統和信息資源。因此,對電子政務的發展要加強領導、統一規劃。一方面,國務院要成立電子政務領導機構,統一領導和組織中央及地方政府的電子政務建設,可以採取「總體統籌、分工負責」的原則,加強政府的指導監督等管理工作,要統攬全局地設定電子政務的指導思想、發展目標、安全措施等。建立統一的電子政務平台,確保各政務部門縱橫之間的互連和協同辦公,遏止重復建設和降低電子政務成本。另一方面,要盡快完善我國電子政務的各項標准化措施,構建我國電子政務的標准化體系,要重點建立一套具有自主知識產權、適合我國政府辦公特點並與國際標准兼容的電子政務標准,以實現電子政務的互聯互通、信息共享、業務協同。為跨地區、跨部門業務系統的互聯和資源共享創造條件,保證整個系統的可持續發展。
2、加大智力投資,營造良好的電子政務人文環境。
我國電子政務建設中重要的一個主題是提高人們的信息素質,全民信息素質的提高反過來又會促進電子政務建設水平的提高。公務員作為行使政府行政職能的主體,其自身素質的高低將直接影響到電子政務的實施。因此,政府要加大智力投資,通過各種途徑提高公務員的素質,從而營造良好的電子政務人文環境。一方面要對政府公務員進行電子政務培訓。另一方面要進行信息化普及教育,提高全民信息技術應用水平,同時,要通過公開招聘、考試錄用等途徑引進具有計算機知識的專業技術人員,使公務員隊伍在技術和能力層面上發生質的變化。
3、建立完善的安全機制,保障電子政務良好運行。
信息安全是現今我國電子政務發展的「瓶頸」問題,必須採取有效措施,從管理和技術兩方面來保證電子政務的安全。首先制定相應的法律、法規。包括信息發布、數據保護、應急處理等方面的法律法規;制定完善的網路監管法規以及信息採集和關系協調的程序性法規等,加大對違法犯罪的打擊力度。要加強政府信息的安全管理,對政府信息網路的建設、管理、維護、內容和形式進行必要的規定和約束,保障政府信息網路的規范、安全運行。其次從技術上要加大對安全技術和產品的投入,信息網路的安全必須國產化,就必須加大自主知識產權的安全技術和產品的研發投入,重點加強密碼技術、身份鑒別技術、預警、網路監管、檢測與應急處理、信息安全測試與評估、災難恢復等關鍵技術的研究開發,以確保機密部門的信息安全。另外提高公務員的技術水平和素質也是必要的。並應盡快制定更為詳盡的規章制度及安全管理手段,以杜絕內部破壞事件的發生。
4、加快政府流程再造,推動電子政務健康發展。
要實現「一站式」的辦理和不受時間空間限制的「在線服務」,這就需要實現政府各部門之間進行互動式辦公和處理大量為公眾服務的事項。而各部門的管理業務本身又是一個相對獨立的系統,業務差別很大,要使這些不同業務部門的政府機構之間實現互通互聯,做到「一站式服務」,就必須進行政府流程再造。就要運用網路信息技術,打破政府部門內部傳統的職責分工與層級界限,實現工作方式的動態化、並聯化、部門集成化、電子化。要改「職能導向」為「需求導向」,以最大限度地滿足公眾的需求為核心,其目的是為公眾創造有益的服務。通過優化和再造政務流程,可以改變政府的工作模式,淡化部門意識,提升政府的社會服務能力和宏觀決策水平。
D. 福建省電子政務建設和應用管理辦法(2020修訂)
第一章總則第一條為了推動電子政務資源的統籌建設和整合共享,規范我省電子政務管理,提升數字福建發展水平,根據有關法律法規,結合本省實際,制定本辦法。第二條在本省行政區域內從事電子政務規劃、建設、應用、監督管理以及其他相關活動,應當遵守本辦法。第三條電子政務建設和應用應當遵循統籌規劃、集約建設、互聯互通、資源共享、協同應用、保障安全的原則。第四條省人民政府應當統籌整合全省電子政務資源,加強電子政務基礎設施和服務體系建設,促進電子政務均衡發展,推進全省政務網路融合和信息資源共享,促進政務信息化成果平等共享。第五條縣級以上人民政府應當加強對電子政務建設和應用工作的領導,建立健全統籌協調和監督考核機制,保障項目建設和應用所需經費,引導和支持社會資金投資建設電子政務。
縣級以上人民政府應當加強信息化培訓,提高城鄉居民的信息化應用能力。第六條縣級以上人民政府負責電子政務工作的部門(以下簡稱電子政務管理部門)承擔本行政區域內電子政務推進、指導、協調和監督工作。
省人民政府電子政務管理部門負責制定全省電子政務總體框架、發展規劃及標准規范,統籌推進、指導協調和監督管理全省電子政務建設和應用工作,綜合管理和調度使用全省政務信息資源,組織協調信息資源匯聚共享和開放開發。第七條國家機關、事業單位、社會團體以及法律法規授權的具有公共管理職能的組織(以下統稱應用單位)可以根據工作需要,按照全省電子政務總體框架和統建共享要求,新建或者共享利用電子政務資源,並負責信息的採集、更新、處理,配合做好數據匯聚共享和開放開發工作。第八條為電子政務提供技術服務的單位(以下簡稱技術服務單位)應當按照全省電子政務總體框架,根據職責或者協議承擔有關電子政務建設、運行維護和日常管理等工作。第九條應用單位在履行職責過程中產生的信息資源,以及通過特許經營、購買服務等方式開展電子政務建設和應用所產生的信息資源屬於國家所有,由同級人民政府電子政務管理部門負責綜合管理。第十條電子政務建設和應用工作應當遵守和執行國家有關網路及信息安全保密規定,確保安全可控。第十一條對在電子政務建設和應用工作中做出突出貢獻的單位和個人,縣級以上人民政府應當給予表彰和獎勵。第二章規劃與建設第十二條省人民政府電子政務管理部門應當根據國家信息化發展戰略規劃、電子政務規劃和我省發展需要,研究制定全省電子政務總體框架,會同有關部門制定全省電子政務發展總體規劃,報省人民政府批准後向社會公布。
設區市人民政府電子政務管理部門應當會同有關部門根據全省電子政務發展總體規劃,編制本行政區域電子政務發展規劃,經省人民政府電子政務管理部門備案後,報設區市人民政府批准並向社會公布。第十三條省級應用單位應當根據全省電子政務發展總體規劃,制定本單位、本系統電子政務建設方案,並報省人民政府電子政務管理部門備案後實施。
中央國家機關部署的我省電子政務建設任務,應當納入數字福建建設范疇。第十四條編制全省電子政務發展總體規劃和區域發展規劃,應當組織專家論證,必要時向社會公開徵求意見。
規劃公布後,制定部門應當就規劃的內容向公眾提供咨詢服務。規劃的執行情況應當定期向社會公布,接受社會監督。
公布後的規劃不得隨意修改,確需修改的,應當按照本辦法第十二條規定的程序辦理。第十五條電子政務建設應當執行國家標准、行業標准、地方標准和相關規范。省人民政府電子政務管理部門應當會同市場監督管理部門制定完善電子政務建設和應用的地方標准和相關規范。第十六條全省電子政務骨幹網路由省人民政府電子政務管理部門組織建設和運行管理。設區市、縣(市、區)人民政府電子政務管理部門負責本行政區域網路接入工程。應用單位現有專網應當整合到全省電子政務網路體系。第十七條全省電子政務數據中心和物聯網政務應用平台實行統籌規劃,可以採用自建或者購買服務方式,由省、設區市人民政府電子政務管理部門組織建設,縣(市、區)應用單位統一接入使用市級數據中心和物聯網政務應用平台。
應用單位未經批准,不得新建、擴建、改建數據中心。已經建成的部門專用數據中心,應當逐步整合到本級政務數據中心。
應用單位負責整合本系統感知資源。新增感知資源應當報同級人民政府電子政務管理部門,進行統籌規劃建設。
應用單位應當向符合數字福建有關規范要求的雲平台購買備份服務。
E. 電子商務政務系統建設原則
電子政務系統建設原則主要有以下幾點:
1.內外網間安全的數據交換原則。電子政務應用中勢必存在內網與專網、外網間的信息交換需求,然而基於內網數據保密性的考慮,又不希望內網暴露在對外環境中。解決該問題的有效方式是設置安全島,通過安全島來實現內外網間信息的過濾和兩個網路間的物理隔離,從而在內外網間實現安全的數據交換。
2.網路域的控制原則。電子政務的網路應該處於嚴格的控制之下,只有經過認證的設備可以訪問網路,並且能明確地限定其訪問范圍,這對於電子政務的網路安全而言同樣十分重要。
3.標准可信時間源的獲取原則。政務文件上的時間標記是重要的政策執行依據和憑證,政務信息傳遞過程中的時間標記又是防止網路欺詐行為的重要指標,同時,時間也是政府各部門協同辦公的參照物,因此,電子政務系統需要建立全系統可信、統一的時間源,這是保證電子政務系統不致出現混亂的關鍵因素。
4.信息傳遞過程中的加密原則。電子政務應用涵蓋政府內部辦公和面對公眾的信息服務兩大方面。就政府內部辦公而言,電子政務系統涉及到部門與部門之間、上下級之間、地區與地區間的公文流轉,這些公文的信息往往涉及到機密等級的問題,應予以嚴格保密。
5.操作系統的安全性考慮原則。網路安全的重要基礎之一是安全的操作系統,因為所有的政務應用和安全措施(包括防火牆、防病毒、入侵檢測等)都依賴操作系統提供底層支持。操作系統的漏洞或配置不當將有可能導致整個安全體系的崩潰。更危險的是,我們無法保證國外廠家的操作系統產品不存在後門。
F. 我國電子政務建設分為以下哪幾個階段
我國的電子政務建設起步於20世紀80年代的辦公自動化系統建設。國內研究者將我國電子政務發展階段進行了歸納,認為我國電子政務發展經歷了辦公自動化系統、專業領域信息化、政府上網工程實施和全面電子政務建設四個階段:
第一階段為辦公自動化階段,從20世紀80年代至90年代中期。這一階段,政府辦公使用計算機、傳真、列印、復印機等現代辦公設備和計算機技術、通訊技術、網路技術等協助處理信息,從而提高辦公效率和質量。
第二階段為專業領域信息化階段,從1993年至1998年,此階段是政府為推動國民經濟信息化和社會發展信息化而提出的計算機聯網、應用工程在專業領域的應用,主要表現為金字工程建設。
起步於1993年啟動的「三金工程」,即「金橋」、「金關」、「金卡」,現已發展到「12金」甚至更多,即金稅、金財、金盾、金審、金貿、金農、金保等。
(6)網路安全電子政務建設擴展閱讀:
電子政務建設應用:
1、全國政協委員、蘇寧雲商董事長張近東提議,要在大數據時代發展電子政務,建立全國統一的電子政務平台,以更好的提升行政效率,進一步降低行政成本,更好的發揮社會管理職能,引起了強烈反響。
2、電子政務是國家實施政府職能轉變,提高政府管理、公共服務和應急能力的重要舉措,有利於帶動整個國民經濟和社會信息化的發展。電子政務市場規模初顯。
3、在國家的大力支持和推動下,我國電子政務取得了較大進展,市場規模持續擴大,據數據顯示,2006年,我國的電子政務市場規模為550億元,同比增長16.4%,2010年,其市場規模突破1000億元,2012年,其市場規模達到1390億元,同比增長17.3%。
4、在現代計算機、網路通信等技術支撐下,政府機構日常辦公、信息收集與發布、公共管理等事務在數字化、網路化的環境下進行的國家行政管理形式。
G. 如何提高政府電子政務網的安全性
提高政府電子政務網的安全性的方法:
1.加強政府網站安全工作組織領導,提高責任意識
從哈爾濱市每年開展的政府網站績效考核工作可以看出,有相當數量部門領導沒有把政府網站建設和安全管理工作作為一項重要工作來抓,存在重建設輕管理的問題。借鑒全國其他省(市)的先進經驗,一是建議市政府將政府網站納入地方政府和部門績效考核體系,作為領導班子綜合考核評價的內容之一,作為領導幹部選拔任用的依據。二是要按照誰主管誰負責、誰運行誰負責的原則,強化管理和明確責任,確保政府網站安全管理工作落實到人,一層抓一層,做到網站管理不缺位,信息安全有保障。
2.建立健全政府網站安全管理制度,認真貫徹執行。
一是建立政府網站的安全管理制度體系,指導和制約網站安全建設和管理工作。網站出現相關問題時,工作人員要快速向網站相關負責人反映,以便及時得到處理;二是建立網站日常巡檢制度,指定人員每日檢查網站運行情況,及時發現並妥善解決存在的問題;三是建立具體負責人制度,對網站的網路管理、資料庫服務維護、信息處理等實行誰主管誰負責;四是建立節假日值班制度,做到信息及時更新,保證網站不間斷運行;建立日誌記錄備案制度,對網站日常工作要如實記錄,並作為技術管理檔案保存。
3.加強人才隊伍的培養,統籌建立哈爾濱市應急處理體系
一是加強政府網站安全管理培訓。通過參加信息安全、信息技術、信息管理等方面的培訓,進一步提高網站工作人員整體建設網站、管理網站的能力。二是強化技術支撐保障工作。成立哈爾濱市信息安全測評中心,為哈爾濱市黨政機關、企事業單位網站提供技術保障和技術支撐服務。三是建立政府網站專項應急預案,以保證政府網站在事故發生時得到快速、及時處理。四是建立信息安全檢查監督機制。依據已確立的技術法規、標准與制度,定期開展信息安全檢查工作,對檢查中發現的違規行為,按規定處罰相關責任人,對檢查中發現的安全問題和隱患,明確責任部門和責任人,限期整改。
4.統籌規劃政府網站群建設,實施集約化管理。
積極推進雲模式下政府網站群的集約化建設。一是按照哈爾濱市電子政務建設的總體要求,進行統籌規劃,統一網站運行載體,避免分散、重復建設,即:利用哈爾濱市信息中心平台的基礎環境作為哈爾濱市政府網站運行載體;由哈爾濱市信息中心平台的技術隊伍,承擔哈爾濱市政府網站的建設及日常運行的技術維護工作;對於缺乏建設、維護網站能力的單位或部門,不再建設獨立網站,由哈爾濱市信息中心平台代為承載其應向社會公眾提供的政府信息公開等政務公共服務功能。二是確立統一標准,完善政府信息公開和政務信息資源共享機制,規劃「中國哈爾濱」門戶網站群及內容管理系統建設,進一步整合各部門政府網站,按照統一規劃、分步實施的原則,建立統一的站群管理平台,將哈爾濱市各政府機構網站整合到站群平台上運行,形成以市政府門戶網站為核心,以政府機構網站為群體的,資源共享、協調聯動的網站群體系,全面提高政府網站公共服務水平。三是加強網站群建設管理,強化安全保障,建立應急響應機制,依託由哈爾濱市信息中心平台現有技術、人才優勢,為哈爾濱市政府網站建設單位提供安全技術支持、信息技術培訓、網路安全風險評估等服務。
5.加大安全技術體系建設
技術防護是確保網站信息安全的有力措施,在技術防護上,主要做好以下幾方面工作。
一是要加強網路環境安全。首先要安裝網站防火牆(WAF)、網站防篡改系統、網路防火牆和入侵檢測系統等,在傳統的網路防火牆基礎上,網站防火牆(WAF)從網路的應用層面提高網站安全防護能力,利用入侵檢測系統識別黑客非法入侵、惡意攻擊以及異常數據流量, 通過對網站防火牆(WAF)和網路防火牆進一步優化配置來阻斷黑客非法入侵、惡意攻擊。網站防篡改系統是網站最後一道防護屏障,一旦防護失效時,網站首頁或內容被篡改,防篡改系統可立即恢復網站被篡改的內容,不至於造成政治事件和影響,同時給網站管理人員短暫喘息時間,及時修改和完善網站安全配置文件,確保網站安全穩定運行。
二是加強網站平台安全管理。在現有中心平台的基礎上,進一步優化完善網路結構、合理配置網路資源,配置下一代防火牆、病毒防護體系、網路安全檢測掃描設備和網路安全集中審計系統等設備,從邊界防護、訪問控制、入侵檢測、行為審計、防毒防護、安全保護等方面不斷完善哈爾濱市信息化中心平台的安全體系建設,確保在哈爾濱市信息中心平台基礎環境下,大數據平台、大工業體系信息化輔助決策平台和雲模式下政府網站群平台安全穩定建設運行。
三是加強網站代碼安全。一個安全的網站,不但要有良好的網路環境,更要有高質量的應用系統,現時期由於網站代碼不嚴密、安全性差引起的網路安全事件屢見不鮮,這就要求網站技術開發人員在開發應用系統過程中,要養成良好的代碼編寫習慣,盡量不要使用來歷不明的代碼和插件,編寫程序時要嚴格過濾敏感的字元,並且在系統開發完成後,要有相應的代碼檢測機制和手段,及時更新漏洞補丁,從源頭上遏制網站掛馬、SQL注入和跨站點腳本攻擊等行為。要部署網頁防篡改系統,網頁防篡改系統具備實時阻斷非法修改和對非法修改的文件進行恢復的能力,在其他防護措施失效的情況下,能夠有效地解決網頁被篡改的問題,實現針對網站信息的保護。
四是加強數據安全。要加強資料庫的安全,採用正版資料庫系統,通過網路安全域劃分,資料庫被隱藏在安全區域,同時通過安全加固服務對資料庫進行安全配置,並對資料庫的訪問許可權做最為嚴格的設定,最大限定保證資料庫安全;部署數據災備系統,對網站和關鍵應用系統數據進行定期備份,利用市政府大樓機房環境,將這些數據進行異地備份,確保關鍵數據安全,防止造成無法挽回的損失。
隨著信息技術的飛躍發展,黑客、木馬等攻擊和入侵手段也隨之變化多樣且層出不窮,給政府網站的安全管理帶來極大的威脅,各級政府、各部門要切實增強政府網站安全責任意識,加強對政府網站安全工作的領導,進一步強化監督管理,明確責任分工,加強安全防範措施,以安全為己任,為哈爾濱市政府網站和重要信息系統安全穩定運行創造一個良好的環境。
H. 電子政務安全問題產生的原因有哪些
後門的隱患;安全漏洞的問題;人為地無意疏忽;人為地惡意攻擊。
(僅供參考)
I. 談談我國平台化模式建設中,如何加強電子政務網路安全系統的建設
答:網路安全建設是一個系統工程,該區電子政務網網路安全體系建設應按照「統一規劃、統籌安排,統一標准、相互配套」的原則進行,採用先進的「平台化」建設思想,避免重復投入、重復建設,充分考慮整體和局部的利益,堅持近期目標與遠期目標相結合
任何網路的安全都不單靠先進的安全技術或安全產品來實現的,必須結合管理。尤其是當前我國發生的網路安全問題中,管理問題占相當大的比例。因此,在建立網路安全技術設施體系的同時,必須建立相應的制度和管理體系,才能保證網路持續和整體的安全
答:如何進一步加強電子政務的安全建設
(1) 安全保障為先
安全是應用的保障。在電子政務建設之初,有關部門就應該考慮電子政務安全體系建設。不管是構架在政務內網還是在政務外網的電子政務平台,都必須把安全保障作為首要任務。事實上,沒有絕對安全的網路,因此,做好安全保障工作,是需要所有電子政務建設者思考和探索的問題。現階段,有些人片面地認為電子政務平台構架在政務內網就絕對安全,這樣的極端認識造成目前一些內網建設出現不分級保護、簡單口令或低級技術的軟盤登陸、不設防的網路構架、無任何管理制度等問題,給電子政務的安全帶來隱患。
而構架於互聯網的電子政務建設,在信息安全方面存在更大的風險,這也給電子政務建設帶來了挑戰和考驗,因此在安全上不能有絲毫鬆懈,在規劃和建設過程中必須有更高的標准和要求
(2) 根據需求做好安全保障
電子政務安全體系建設必須從實際出發,做到適度安全,通過綜合防範、構建有效的安全體系,使電子政務既安全又實用才是其目的所在
(3)全方位構建電子政務安全保障體系
電子政務建設如果沒有完備的安全保障體系,將舉步維艱
1), 網路構架的安全。政務內網和外網建設都必須嚴格按照國務院文件要求,按內外網物理隔離的方式進行建設。同時,網路安全設備合理劃分、限級訪問、軟硬體安全防範、信息安全傳輸策略等都是安全保障工作的基礎。玉林市通過對安全等級和安全域的劃分,對不同等級信息系統和安全域的安全保護採取管理與技術相結合的手段,實現了適度的安全保障,提高了信息系統的整體防禦能力
2), 信息分級管理與防護。在電子政務建設中,必須高度重視信息安全。但是一味地強調安全,從而忽視對政府信息資源的充分公開,必然對電子政務的應用造成許多人為的障礙,電子政務的價值也會大打折扣。同樣,不能因為片面強調安全,而把所有應用系統建設在內網上,使一些可以公開的公眾數據封閉在內網,造成資源的嚴重浪費。實際上,不同的電子政務系統,對於信息安全的要求也有所不同。玉林市電子政務建設在風險分析的前提下合理定級,對信息進行分域防控和分級防護。在分域防控方面,將信息分為公開信息處理區和敏感信息處理區,根據其不同特點分別進行防護;在分級防護方面,將信息分為完全公開、內部公開和部分授權三類,採取不同的安全措施,合理有效地保障了信息安全
3), 完善網路安全基礎設施。網路安全基礎設施,是為信息系統應用主體和網路安全執法主體提供網路安全公共服務和支撐的一種社會基礎設施。目前我國網路安全基礎設施的建設還處於起步階段,如網路監控中心、安全產品評測中心、網路安全應急響應中心、計算機病毒防治中心、系統災難恢復中心、電子交易安全證書授權中心、密鑰監管中心等網路安全基礎設施尚未建設完全。目前,部分電子政務應用系統只能依靠口令和軟盤登陸,帶來了重大安全隱患。玉林市電子政務則建立了有效的身份認證、數字簽名、授權管理、責任認定機制,並通過用戶分級授權保證等級保護的分類實施,保證了系統使用的靈活性。同時,玉林市加強了信息安全監察,如統一威脅管理系統、入侵檢測系統、防篡改系統等,健全了電子政務應急響應和災備建設,通過制度和技術手段,保證系統的正常運行
4), 從管理體制上落實安全責任制。利用先進的技術手段,是電子政務安全建設的保障。但技術不是萬能的,技術與管理的並重才能事半功倍。因此,必須健全網路安全的法律法規,強化電子政務信息安全的法制管理。電子政務應用系統的操作者都必須提高自身素質,因為內部人員是否對網路進行惡意操作和是否具有一定程度的網路安全意識,在很大程度上決定著網路的安全等級系數和防護能力。要落實各項安全保障制度,如所有信息的定密制度(為信息的公開提供可行性依據)、網路區域的有限劃分制度(劃分不同的網路區域,針對不同的安全級別制定不同的安全策略,採用不同的網路安全設備)、完善的內部監控與審核制度、公鑰(私鑰)管理體系、災難響應及應急處理制度等等。此外,還應加大執法力度,嚴格執法。玉林市在電子政務建設過程中,由市信息辦會同公安、保密等部門對該市的電子政務系統進行了安全等級評估和風險評估,並制定了電子政務應急預案。
電子政務信息安全保障工作不是一成不變的,它是一個動態發展的過程。隨著安全攻擊和防範技術的發展,電子政務的安全保障措施也要因時因勢分階段調整,這樣才能把風險降到最低
J. 電子政務網路安全管理辦法
電子政務網路安全管理辦法 為加強我縣電子政務網路安全管理工作,確保網路安全運行,結合我縣的實際情況特製定電子政務網路安全管理辦法。
、各單位網路管理人員必須精心維護好單位的網路設備,做到防塵、防熱、防潮、防水、防磁、防靜電等,以增加設備使用限。縣政府辦將定期對各單位的網路管理情況進行檢查,發現不能達到以上要求的單位,將對其進行通報批評,對由於管理人員疏忽造成網路安全事故的,將追究相關管理員及單位領導責任。
、各聯網單位不得隨意更改政務網路接入設備配置,不得擅自切斷電子政務網路設備電源,不得擅自挪動相關設備和切斷、移動相關傳輸線路,不得擅自與其他網路對接,不得隨意增加交換機、集線器以及接入信息點數量,如需進行以上變動,應向縣政府辦信息科提出申請,經批准後方可實施。
、各聯網單位要增強網路安全意識,嚴禁登陸瀏覽黃色網站(網),禁止下載、使用存在安全隱患的軟體,不得打開來歷不明的電子郵件附件,不得隨意使用計算機文件享功能,防止計算機受到病毒的侵入。
、工作時間禁止玩網游、下載電影及大型軟體,以保證本單位網路速度。縣政府辦信息科將採取技術措施對互聯網出入口的數據進行監控,對發現的問題將在全縣范圍內進行通報,並按照相關規定嚴肅處理。
、政務網計算機使用單位和個人,都有保護政務網信息與網路安全的責任和義務,所有關於本單位網站、論壇、信息錄入等密碼要嚴格保密不得泄露,一旦泄露立即報政府辦信息科進行密碼修改。
、各接入單位應當定期製作計算機信息系統備份,備份介質實行異地存放。對可能遭受的侵害和破壞,應當制定災難防治預案。
、要配備計算機系統補丁升級和病毒防治工具,定期進行系統補丁升級和病毒檢查。使用新機、新盤及拷貝的軟體、數據,上機前應進行系統補丁升級和病毒檢查。
、辦工人員嚴禁下列操作行為:
()非法侵入他人計算機信息系統和聯網設備操作系統;
()未經授權對他人計算機信息系統的功能進行刪除、修改、增加和干擾,影響計算機信息系統正常運行;
()故意製作、傳播計算機病毒等破壞程序;
()將非業務用計算機或網路擅自接入政務內網,將業務用計算機或網路接入互聯網或其他非政府機關的網路;
()在政務網使用的計算機及網路設備在未採取安全隔離措施的情況下同時連接政務網和其它網路;
()將存有涉密信息的計算機擅自連接國際互聯網或其他公網路;
()擅自在政務網上開設與工作無關的網路服務;
()發布反動、淫穢色情等有害信息;
()擅自對政務網計算機信息系統和網路進行掃描;
()對信息安全事(案)件或重大安全隱患隱瞞不報;
()擅自修改計算機ip或mac地址。
、在發生緊急事件時,為避免造成更大損失和影響,信息科有權或者要求有關部門採取以下措施:
()拆除可能影響安全或有安全隱患的設備或部件;
()隔離相關的終端、伺服器或網路;
()關閉相關的終端、伺服器或網路;
、各節點單位要加強計算機病毒的防治工作,切實履行下列職責:
()建立本單位的計算機病毒防治管理制度;
()採取計算機病毒安全技術防治措施;
()對本單位節點微機使用人員進行計算機病毒防治教育和培訓;
()使用具有計算機信息與系統安全專用產品銷售許可證的網路安全產品,定期檢測,做好殺毒軟體的升級,清除計算機信息系統中的計算機病毒,並備有檢測清除記錄;
()禁止在政務網上使用來歷不明、可能引發病毒傳染的軟體;對於來歷不明的可能帶有計算機病毒的軟體應使用正版殺毒軟體檢查、殺毒。