針對智慧政務平台的安全隱患金鵬信息智慧政務專家小組提出建議,一方面要看到移動互聯網時代給我們政府提供了更好更快捷的公眾服務手段,另一方面也要清醒地意識到快捷服務必須是基於政府自身的服務平台而不是第三方企業或機構的社會公共服務平台。政府完全可以借鑒商業領域的服務模式,在中國智慧政務戰略框架內建設政府自身的在線服務平台,構建一套以微博、微信為前台,以政務移動應用中心為運行的微政務應用體系。
一 、要將信息公開和政務應用相剝離
可以將微博、微信等平台作為基於互聯網的宣傳和吸引公眾流量的平台,而不能作為業務交互辦理的平台。通過此類平台將用戶吸引迴流到政府自身的移動App上。政府要建立自己的移動應用中心,根據業務需求提供便捷的移動互聯網服務App,確保政務數據能集中收集在政府內部的數據中心。從三個層次上確保政務服務:
1、政府自身建設移動應用中心和App,保障政府服務提供的可持續性;
2、保障政務數據的安全性;
3、保障政務數據的完整性。
政府各個業務數據完整地收集匯總,可以較好地實現跨部門的數據開放和業務協同,也為進一步的大數據分析支撐決策提供良好基礎。
二、要把業務應用和數據標准相剝離
政府可借鑒成功的商業模式,如在前端的交互設計和應用規范上參考商業標准。但在網路和數據安全上一定要堅持已有的安全體系。
三、應制定合理的標准規范,完善信息化建設體制
中國智慧政務建設的實際情況是「一把手」工程,信息化建設的決策權在各級單位的「信息化領導小組」,而具體的建設和安全保障落在了信息中心或智慧政務處等技術部門。「一把手」精通業務,但對於信息技術尤其是網路安全等方面不一定很熟悉,很容易被誤導進入「重業務輕安全」的誤區。事實上在基層單位的微博、微信熱潮中,就出現過領導「強壓」的局面。對此,有必要明確信息中心在政府信息化建設中安全保障的「領導」地位,確保相關標准規范的切實應用。
黨的十八屆四中全會公報明確提出了「全面推進政務公開」的指導意見,這為「政務信息和應用開放」提供了更大的動力,更大規模、更大范圍的政務數據面臨著「社會化」的考驗。政府應該保持清醒的頭腦,讓市場與政府各自歸位,避免政府「媒體化」和「被動開放」。
金鵬信息智慧政務軟體
⑵ 如何保障國家電子政務外網的安全
電子政務是一個綜合性的信息系統,業務范圍涉及政府機關內部、其他相關機關團體、社會公眾等等,最終目標就是實現政府辦公的網路化、數字化、自動化。 由於電子政務領域的業務特殊性,安全性顯得尤為重要,貫穿了電子政務系統中的物理層、網路層、系統層、應用層等各個層次,尤其是很多涉密業務的需要,使人們對電子政務安全的話題越來越關注。
2 安全審計 大型的電子政務系統,尤其是涉密的信息子系統都要實現特定層面上的安全審計功能,主要針對的審計對象有:網路通信系統、重要伺服器主機操作系統、重要伺服器主機應用平台軟體、重要資料庫操作的審計、重要應用系統的審計、重要網路區域的客戶機等。 在電子政務系統中實施安全審計要兼顧與原有系統的關系,通常有如下四種形式:
完全透明:即原有系統根本察覺不到審計系統的存在。
鬆散嵌入:基本上不改變原有系統。
緊密嵌入:需要原有系統平台層和部分應用做出較大變動。
一體化設計:在電子政務設計階段就考慮安全審計的需求,所有模塊均有審計介面。 在電子政務系統中實現安全審計,可以: 對潛在的攻擊者起到震懾或警告作用。 對於已經發生的系統破壞行為提供有效的追究證據。 提供有價值的系統使用日誌,幫助系統管理員及時發現系統入侵行為或潛在的系統漏洞。 提供系統運行的統計日誌,使系統管理員能夠發現系統性能上的不足。
⑶ 為保證政府政務網安全,採取了哪些防範措施
電子政務網建設原則
為達到電子政務網路的目標要求,華為公司建議在電子政務建設過程中堅持以下建網原則:從政府的需求出發,建設高安全、高可靠、可管理的電子政務體系!
統一的網路規劃
建議電於政務的建設按照國家信息化領導小組的統一部署,制定總體的網路規劃,分層推進,分步實施,避免重復建設。
完善的安全體系
網路安全核心理念在於技術與管理並重。建議遵循信息安全管理標准-ISO17799,安全管理是信息安全的關鍵,人員管理是安全管理的核心,安全策略是安全管理的依據,安全工具是安全管理的保證。
嚴格的設備選型
在電子政務網建設的過程中,網路設備選擇除了要考慮滿足業務的需求和發展、技術的可實施性等因素之外,同時為了杜絕網路後門的出現,在滿足功能、性能要求的前提下,建議優先選用具備自主知識產權的國內民族廠商產品,從設備選型上保證電子政務網路的安全性。
集成的信息管理
信息管理的核心理念是統一管理,分散控制。制定IT的年度規劃,提供IT的運作支持和問題管理,管理用戶服務水平,管理用戶滿意度,配置管理,可用性管理,支持IT設施的管理,安全性管理,管理IT的庫存和資產,性能和容量管理,備份和恢復管理。提高系統的利用價值,降低管理成本。
電子政務網體系架構
《國家信息化領導小組關於我國電子政務建設的指導意見》中明確了電子政務網路的體系架構:電子政務網路由政務內網和政務外網構成,兩網之間物理隔離,政務外網與互聯網之間邏輯隔離。政務內網主要是傳送涉密政務信息,所以為保證黨政核心機密的安全性,內網必須與外網物理隔離。政務外網是政府的業務專網,主要運行政務部門面向社會的專業性服務業務和不需在內網上運行的業務,外網與互聯網之間邏輯隔離。而從網路規模來說,政務內網和政務外網都可以按照區域網、城域網、廣域網的模式進行建設;從網路層次來說,內網和外網也可以按照骨幹層、匯聚層和接入層的模式有規劃地進行建設。
圖1:電子政務網路的體系架構
根據電子政務設計思想及應用需求,鑒於政府各部門的特殊安全性要求,嚴格遵循《國家信息化領導小組關於我國電子政務建設的指導意見》,在電子政務內、外網在總體建設上採用業務與網路分層構建、逐層保護的指導原則,在邏輯層次及業務上,網路的構建實施如下分配:
圖2:電子政務內、外網邏輯層次
互聯支撐層是電子政務網路的基礎,由網路中心統一規劃、構建及管理,支撐層利用寬頻IP技術,保證網路的互聯互通性,提供具有一定QOS的帶寬保證,並提供各部門、系統網路間的邏輯隔離(VPN),保證互訪的安全控制;
安全保障系統是指通過認證、加密、許可權控制等技術對電子政務網上的用戶訪問及數據實施安全保障的監控系統,它與互聯支撐層相對獨立,由網路中心與各部門單位共同規劃,分布構建。
業務應用層就是在安全互聯的基礎上實施政務網的各種應用,由網路中心與各系統單位統一規劃,分別實施。
華為公司電子政務解決方案的核心理念
全面的網路安全
建設安全的電子政務網路是電子政務建設的關鍵。電子政務的安全建設需要管理與技術並重。在技術層面,華為公司提供防禦、隔離、認證、授權、策略等多種手段為網路安全提供保證;在設備層面,華為公司自主開發的系列化路由器、交換機、防火牆設備、CAMS綜合安全管理系統和統一的網路操作系統VRP可以保證電子政務網路安全。
針對於政府系統的網路華為公司提供了i3安全三維度端到端集成安全體系架構,在該架構中,除了可以從熟悉的網路層次視角來看待安全問題,同時還可以從時間及空間的角度來審視安全問題,從而大大拓展了安全的思路與視角,具備全面考慮與實施安全防護的模型與能力。
圖3:華為公司i3 安全 三維度端到端集成安全體系架構
(1)華為公司i3安全三維度端到端集成安全體系架構
i-intelligence(智能),integrated(集成),indiviality(個性化);
3-時間、空間及網路層次三個維度的端到端( End to End);
安全-所有IP信息網路的安全架構。
(2)網路層次(網路層、用戶層、業務層)端到端安全理念
網路的各層次均存在安全威脅的可能,華為的集成安全架構充分體現了網路安全防範的分層思想,根據不同網路層次的特點進行有針對性的防範。
網路層:保障網路路由、網路設備等基礎網路的安全;
用戶接入層:確保合法的用戶接入,訪問合法的網路范圍,並保障用戶信息的隔離等用戶接入網路的安全;
業務層:保證用戶訪問內容的合法性與安全性。
華為公司的i3安全集成安全架構針對傳統網路在用戶層防範比較薄弱的缺陷,採取了大量的增強措施,如用戶接入認證、地址防盜用、訪問控制等能力。
(3)時間(事前、事後)端到端安全理念
以前政府行業更關注網路的事前防範能力,往往在網路的用戶認證、入侵檢測、防DOS攻擊、防火牆等方面投入力量較多,對事後跟蹤能力實施的有效措施不多。而在安全事件發生前後,要求網路所能提供的支持也是不同的,其花費的代價與技術實現難度有非常大的差別:
事前防範:主要通過數據隔離、加密、過濾、管理等技術,加強整個網路的健壯性;
事後跟蹤:華為公司的「i3安全」架構提供在網路級做日誌記錄的能力,通過對用戶上網埠、時間、訪問地的記錄,全面提供用戶上網的追溯能力,從而為後期的分析提供第一手的資料。
(4)空間(外網、內網)端到端安全理念
外網:通過VPN、加密等保證信息安全,通過網路防火牆、病毒防火牆等防範網路攻擊,側重的是防範;
內網:通過對用戶的識別,保證合法的用戶訪問合法的網路范圍,並做好訪問記錄,側重的是監控。
目前政府內網即涉秘網、政府外網即辦公專網,兩張網按照17號文件要求嚴格的物理隔離分別進行建設,保證政府網路的安全。
華為公司三緯度集成安全架構提供端到端集成安全服務:
圖4:華為公司i3安全三維度端到端集成安全體系架構
隨著政府網路網上應用的進一步增多,隨著網路進一步深入人們的生活,入侵與反入侵、盜用與反盜用的斗爭也必將升級。而政府網路的安全防護作為一個系統工程,只有從網路管理、用戶管理、業務管理及管理制度等多層次、多方位地多管齊下才能做到「天網恢恢,疏而不漏」。
完善的端到端的可靠性
網路可靠性主要是指當設備或網路出現故障時,網路提供服務的不間斷性。可靠性一般通過設備本身的可靠性和組網設計的可靠性來實現。包括以下內容:
(1)設備可靠性
華為公司的全系列數據產品均採用電信級的可靠性設計。華為公司高端路由器和交換機產品採用分布式體系結構,不存在單點故障;採用無源背板,支持真正熱插拔、熱備份,同時設備的交換網路、路由處理系統等所有關鍵部件採用冗餘熱備份設計,能充分滿足電子政務網路對設備高可靠性的要求。
(2)組網設計的可靠性
在控制投資的前提下,在電子政務網路的部分省地骨幹節點,可採取VRRP雙機備份方式或採取RPR方式進行環網自愈保護,接入骨幹傳輸網的鏈路可採取雙歸鏈路設計或採取RPR方式進行環網自愈保護,從組網角度避免單點故障。
另外,可採用備份中心技術,為路由器上的任意介面提供備份介面;路由器上的任一介面可以作為其它介面(或邏輯鏈路)的備份介面;可對介面上的某條邏輯鏈路提供備份。
通過靈活的備份機制及完善的技術,可以充分利用備份資源,確保網路互聯互通的可靠性。
簡單高效的維護和管理
政府網路信息點數量眾多,而且較為稠密,所以網路設備數量眾多,特別是接入最終用戶的樓層交換機。華為公司的網路管理系統在支持全網設備統一管理、實現拓撲管理、圖形化操作界面、實時聲光報警、中文操作系統的同時,利用華為組管理協議HGMP可以實現對數量龐大的樓層交換機的動態發現、動態拓撲生成、自動配置的功能,降低網路管理人員的工作量,提高效率。
豐富的業務承載能力
政府信息化的一個重要特點是以業務牽引網路需求,應用不斷更新,對網路設備的需求不斷提高,在這樣的一個動態網路中,網路設備本身的業務承載能力就顯得非常重要。因此,華為公司提出了第5代基於網路處理器技術,可以保證在後續新增業務對網路平台有特殊要求時,實現快速定製、快速支持,保證對網路設備投資的連續性。
利用MPLS VPN表現出強大的擴展性和前所未見的高性能,電子政務網可任由業務的增長和變化,網路可以平滑地擴充和升級,可最大程度的減少對網路架構和設備的調整。作為少數能提供整網MPLS技術的廠家,華為公司致力於為政府提供基於先進的MPLS VPN技術的數據、語音和視訊的三網合一技術。
⑷ 電子政務安全問題產生的原因有哪些
後門的隱患;安全漏洞的問題;人為地無意疏忽;人為地惡意攻擊。
(僅供參考)
⑸ 談談我國平台化模式建設中,如何加強電子政務網路安全系統的建設
答:網路安全建設是一個系統工程,該區電子政務網網路安全體系建設應按照「統一規劃、統籌安排,統一標准、相互配套」的原則進行,採用先進的「平台化」建設思想,避免重復投入、重復建設,充分考慮整體和局部的利益,堅持近期目標與遠期目標相結合
任何網路的安全都不單靠先進的安全技術或安全產品來實現的,必須結合管理。尤其是當前我國發生的網路安全問題中,管理問題占相當大的比例。因此,在建立網路安全技術設施體系的同時,必須建立相應的制度和管理體系,才能保證網路持續和整體的安全
答:如何進一步加強電子政務的安全建設
(1) 安全保障為先
安全是應用的保障。在電子政務建設之初,有關部門就應該考慮電子政務安全體系建設。不管是構架在政務內網還是在政務外網的電子政務平台,都必須把安全保障作為首要任務。事實上,沒有絕對安全的網路,因此,做好安全保障工作,是需要所有電子政務建設者思考和探索的問題。現階段,有些人片面地認為電子政務平台構架在政務內網就絕對安全,這樣的極端認識造成目前一些內網建設出現不分級保護、簡單口令或低級技術的軟盤登陸、不設防的網路構架、無任何管理制度等問題,給電子政務的安全帶來隱患。
而構架於互聯網的電子政務建設,在信息安全方面存在更大的風險,這也給電子政務建設帶來了挑戰和考驗,因此在安全上不能有絲毫鬆懈,在規劃和建設過程中必須有更高的標准和要求
(2) 根據需求做好安全保障
電子政務安全體系建設必須從實際出發,做到適度安全,通過綜合防範、構建有效的安全體系,使電子政務既安全又實用才是其目的所在
(3)全方位構建電子政務安全保障體系
電子政務建設如果沒有完備的安全保障體系,將舉步維艱
1), 網路構架的安全。政務內網和外網建設都必須嚴格按照國務院文件要求,按內外網物理隔離的方式進行建設。同時,網路安全設備合理劃分、限級訪問、軟硬體安全防範、信息安全傳輸策略等都是安全保障工作的基礎。玉林市通過對安全等級和安全域的劃分,對不同等級信息系統和安全域的安全保護採取管理與技術相結合的手段,實現了適度的安全保障,提高了信息系統的整體防禦能力
2), 信息分級管理與防護。在電子政務建設中,必須高度重視信息安全。但是一味地強調安全,從而忽視對政府信息資源的充分公開,必然對電子政務的應用造成許多人為的障礙,電子政務的價值也會大打折扣。同樣,不能因為片面強調安全,而把所有應用系統建設在內網上,使一些可以公開的公眾數據封閉在內網,造成資源的嚴重浪費。實際上,不同的電子政務系統,對於信息安全的要求也有所不同。玉林市電子政務建設在風險分析的前提下合理定級,對信息進行分域防控和分級防護。在分域防控方面,將信息分為公開信息處理區和敏感信息處理區,根據其不同特點分別進行防護;在分級防護方面,將信息分為完全公開、內部公開和部分授權三類,採取不同的安全措施,合理有效地保障了信息安全
3), 完善網路安全基礎設施。網路安全基礎設施,是為信息系統應用主體和網路安全執法主體提供網路安全公共服務和支撐的一種社會基礎設施。目前我國網路安全基礎設施的建設還處於起步階段,如網路監控中心、安全產品評測中心、網路安全應急響應中心、計算機病毒防治中心、系統災難恢復中心、電子交易安全證書授權中心、密鑰監管中心等網路安全基礎設施尚未建設完全。目前,部分電子政務應用系統只能依靠口令和軟盤登陸,帶來了重大安全隱患。玉林市電子政務則建立了有效的身份認證、數字簽名、授權管理、責任認定機制,並通過用戶分級授權保證等級保護的分類實施,保證了系統使用的靈活性。同時,玉林市加強了信息安全監察,如統一威脅管理系統、入侵檢測系統、防篡改系統等,健全了電子政務應急響應和災備建設,通過制度和技術手段,保證系統的正常運行
4), 從管理體制上落實安全責任制。利用先進的技術手段,是電子政務安全建設的保障。但技術不是萬能的,技術與管理的並重才能事半功倍。因此,必須健全網路安全的法律法規,強化電子政務信息安全的法制管理。電子政務應用系統的操作者都必須提高自身素質,因為內部人員是否對網路進行惡意操作和是否具有一定程度的網路安全意識,在很大程度上決定著網路的安全等級系數和防護能力。要落實各項安全保障制度,如所有信息的定密制度(為信息的公開提供可行性依據)、網路區域的有限劃分制度(劃分不同的網路區域,針對不同的安全級別制定不同的安全策略,採用不同的網路安全設備)、完善的內部監控與審核制度、公鑰(私鑰)管理體系、災難響應及應急處理制度等等。此外,還應加大執法力度,嚴格執法。玉林市在電子政務建設過程中,由市信息辦會同公安、保密等部門對該市的電子政務系統進行了安全等級評估和風險評估,並制定了電子政務應急預案。
電子政務信息安全保障工作不是一成不變的,它是一個動態發展的過程。隨著安全攻擊和防範技術的發展,電子政務的安全保障措施也要因時因勢分階段調整,這樣才能把風險降到最低
⑹ 《中國電子政務安全大會》有哪些信創看點
第二屆中國電子政務安全大會於9月16~17日在北京成功召開,本屆大會的主題是「信創為基 安全突圍」,以推動信創產業發展為目標,緊扣當前國家政策和市場熱點,通過搭建溝通交流平台夯實政企的安全基石,我把相關專家在大會上報告的看點提煉如下:
中國電子政務安全大會主論壇
1、中國信息協會會長何翠芹表示,盡管信創產業發展取得長足進步,但依然存在缺少基礎研究和基礎關鍵部件、國產操作系統安全性、國產信創產品使用安全等諸多「卡脖子」短板。建議加速推動信創項目大規模應用、積極構建信創行業發展健康生態!
2、國家電子政務專家委員會主任王欽敏談到,數字政府建設中切忌出現「重發展、輕安全」的跛腳傾向,或存在「先開張、再治理」的片面思維,要建立健全網路安全和信息安全防範規章制度體系,形成安全可管可控的安全保障體系!
3、中國科學院院士尹浩在在發言中表示,政府數字化轉型已成為必然趨勢,應以全局整體思想來優化數字政府的安全發展,不僅要強化管理、技術、運營、監管四個維度,還要從實體上分成平台、數據、應用三個層次構建數字政府全方位的安全防禦。
4、中國工程院院士鄔江興在主旨報告中對新基建面臨的內生安全痛點問題做了系統性分析,認為面對新基建中幽靈般的內生安全共性問題,擬態防禦能夠將「未知的未知安全威脅」轉變為「已知的未知安全問題」,為網路空間防禦提供改變游戲規則的革命性技術。
5、國家信息中心首席工程師李新友指出,網路身份在智慧城市安全中具有基礎性地位,多模式生物識別技術應用越來越廣泛、實時動態身份認證不斷提高身份認證的安全性、物聯網身份認證系統(IDoT)將快速增長。
6、泛微移動辦公電子政務專家蔣童做了題為《泛微新一代信創政務辦公解決方案》的主題發言,政務信息化建設中OA協同辦公軟體是最基礎的應用,泛微、藍凌、致遠等傳統OA廠商是鉚足了勁,當然但對於三四線城市、對於區縣級政務單位而言,《天翎區縣級政務OA解決方案》這種融合了「可視化低代碼開發技術+區縣級政務個性化業務需求+本地化源碼交付服務機制」的三位一體的建設模式也是頗具特色的。
7、國務院辦公廳電子政務辦公室特聘專家肖穩田在主旨報告中指出,必須加快政務數據治理能力建設:提升在線服務能力、政務數據的整合共享能力,構建數字資源利用的社會化新格局!
8、華為安全產品領域副總裁金席、深信服科技政府事業部總經理姜威等在主題發言中談到了信創戰略與工作推進思路,他們認為國產化是不可逆、長期性的大型工程和戰略任務,不是一錘子買賣,系統的方案規劃、可靠的方案落地、服務商持續運營是核心思路!
總結:中國電子政務安全大會看點多多,在全球網路形勢日漸復雜、科技競爭日益加劇的今天,不管是出於客觀形勢所迫還是主觀發展必然要求,大力發展信創產業、構建電子政務安全環境已成為我國的時代課題與使命!希望信創產業各領域廠商要以時代使命為擔當、盡行業人的本分,為新基建和信創產業做出更大的貢獻!
⑺ 試闡述電子政務安全的主要內容
電子政務安全是指保護電子政務網路及其服務不受未經授權的修改、破壞或泄漏,防止電子政務系統資源和信息資源受自然和人為有害因素的威脅和危害,電子政務安全就是電子政務的系統安全和信息安全。
由於電子政務的工作內容和工作流程涉及到國家秘密與核心政務,它的安全關繫到國家的主權、安全和公眾利益,所以電子政務安全的實施和保障是非常重要的。
(7)政務網路安全會擴展閱讀:
一、安全威脅
1、被動攻擊,主要包括被動攻擊者監視、接收、記錄開放的通信信道上的信息傳送。
2、主動攻擊,指攻擊者主動對信息系統所實施的攻擊,包括企圖避開安全保護、引入惡意代碼,及破壞數據和系統的完整性。如破壞數據的完整性、越權訪問、冒充合法用戶、插入和利用惡意代碼、拒絕服務攻擊等。
3、鄰近攻擊,指攻擊者試圖在地理上盡可能接近被攻擊的網路、系統和設備,目的是修改、收集信息,或者破壞系統。
4、分發攻擊,是指攻擊者在電子政務軟體和硬體的開發、生產、運輸和安裝階段,惡意修改設計、配置的行為。
二、訪問控制技術
訪問控制技術是保證網路資源不被非法使用和非法訪問重要技術。主要由入網訪問控制、網路的許可權控制和客戶端安全防護策略三部分組成。
1、入網訪問控制。通過用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的預設限制檢查,控制用戶登錄伺服器並獲取網路資源,控制准許用戶入網的時間和地點。
2、網路的許可權控制。網路許可權控制是針對網路非法操作提出的一種安全保護措施。
3、客戶端安全防護策略。要切斷病毒的傳播途徑,盡可能地降低感染病毒的風險。
⑻ 我國電子政務安全策略分析
我國電子政務信息安全風險主要存在於觀念、技術、管理和法律方面。要強化電子政務環境下公務員的信息安全意識,建立電子政務信息安全管理機構,完善信息安全基礎設施和扶持國有信息安全產業的發展。
1 電子政務信息安全的內涵
電子政務是政府管理方式的革命,它是運用信息以及通信技術打破行政機關的組織界限,構建一個電子化的虛擬機關,使公眾擺脫傳統的層層關卡以及書面審核的作業方式,並依據人們的需求、人們可以獲取的方式、人們要求的時間及地點等,高效快捷地向人們提供各種不同的服務選擇。政府機關之間以及政府與社會各界之間也經由各種電子化渠道進行相互溝通。電子政務的建立將使政府成為一個更符合環保精神的政府,一個更開放透明的政府,一個更有效率的政府,一個更廉潔勤政的政府。然而,電子政務的職能與優勢得以實現的一個根本前提是信息安全的有效保障。因為電子政務信息網路上有相當多的政府公文在流轉,其中不乏重要信息,內部網路上有著大量高度機密的數據和信息,直接涉及政府的核心政務,它關繫到政府部門、各大系統乃至整個國家的利益,有的甚至涉及國家安全。如果電子政務信息安全得不到保障,電子政務的便利與效率便無從保證,對國家利益將帶來嚴重威脅。電子政務信息安全是制約電子政務建設與發展的首要問題和核心問題。
電子政務的信息安全可以理解為:
(1)從信息的層次看,包括信息的完整性(保證信息的來源、去向、內容真實無誤)、保密性(保證信息不會被非法泄露擴散)、不可否認性(保證信息的發送和接收者無法否認自己所做過的操作行為)等。
(2)從網路層次看,包括可靠性(保證網路和信息系統隨時可用,運行過程中不出現故障,遇意外事故能夠盡量減少損失並盡早恢復正常)、可控性(保證營運者對網路和信息系統有足夠的控制和管理能力)、互操作性(保證協議和系統能夠互相聯接)、可計算性(保證准確跟蹤實體運行達到審計和識別的目的)等。
(3)從設備層次看,包括質量保證、設備備份、物理安全等。
(4)從管理層次看,包括人員可靠、規章制度完整等。
2 電子政務信息安全風險分析
現階段,我國電子政務信息安全系數比較低。公安部1998年8月在江蘇、上海、廣東等省(市)對169信息網進行檢測,發現其設防能力十分脆弱,難以抵禦任何方式的電子攻擊。電子政務信息安全風險主要存在4個方面。
2.1 觀念方面
著名信息安全專家、中國工程院院士沈昌祥從國家安全利益出發,提出應把信息系統安全建設提高到研製「兩彈一星」的高度去認識。1999年政府上網工程啟動以來,政府部門越來越重視網路系統建設,看重網路帶來的便利與高效,但是有些地方對信息安全工作未引起足夠重視。據估計,我國在網路工程中網路安全的投入費用不到2%,同國外的10%相比有較大差距。現階段,電子政務網路的開放程度不高,一些機密信息目前還沒有上網,再加之公眾對計算機犯罪的態度較為「寬容」,認為並沒有造成直接的人員財產損失,這都使得公務員和普通大眾對信息安全問題關注不夠,信息安全意識淡薄。
2.2 技術方面
(1)計算機系統本身的脆弱性,使得它無法抵禦自然災害的破壞,也難以避免偶然無意造成的危害。如:洪水、火災、地震的破壞,系統所處環境的影響(溫濕度、磁場、碰撞、污染等),硬體設備故障,突然斷電或電壓不穩定及各種誤操作等。這些危害會損害操作系統設備,有時會丟失或破壞數據,甚至毀掉整個系統。
(2)網路本身存在缺陷。首先,軟體本身缺乏安全性。操作系統的設計一般著重於提高信息處理的能力和效率,對於安全只是作為一項附帶的條件加以考慮。因此,操作系統中的安全缺陷相當多。其次,通信與網路設備本身有弱點。絕大多數電子政務信息網路運行的是TCP/IP,NetBEUI,IPX/SPX等網路協議,而這些網路協議並非專為安全通訊而設計。利用這些網路進行服務,本身就可能存在多方面的威脅,加之使用者信息安全意識淡薄,管理者管理措施不力等原因,會造成一些常見的安全問題:對物理通路的干擾;網路鏈路傳送的數據被竊聽;非授權用戶非法使用,信息被攔截或監聽;操作系統存在的網路安全漏洞;應用平台的安全,如資料庫伺服器、電子郵件伺服器等均存在大量的安全隱患,很容易受到病毒、黑客攻擊;直接面向用戶的應用系統存在的信息泄露、信息篡改、信息抵賴、信息假冒等。再次,目前世界上還缺乏統一的操作系統、計算機網路系統和資料庫管理系統,缺乏統一的信息安全標准、密碼演算法和協議,因而無法進行嚴格的安全確認。
(3)我國具有自主知識產權的信息設備、技術、產品較少,如計算機晶元、骨幹路由器和微機主板等基本上從國外進口,且對引進技術和設備缺乏必要的技術改造,尤其是在系統安全和安全協議的研究和應用方面。而美歐等發達國家對我國限制和封鎖信息安全高密度產品,出口到我國的信息產品中留有安全隱患。例如,美國出口我國的計算機系統的安全系統只有C2級,是美國國防部規定的8個安全級別之中的倒數第三;在操作系統、資料庫管理系統或應用程序中預先安置從事情報收集、受控激發破壞的「特洛伊木馬」程序,一旦發生重大情況,那些隱藏在軟體中的「特洛伊木馬」就能夠在某種秘密指令下激活,造成我國電子政務關鍵軟體系統的癱瘓。
2.3 管理方面
對現有的網路攻擊和入侵事件的一項統計報告顯示:國外政府入侵的安全風險指數為21%,黑客入侵的安全風險指數為48%,競爭對手入侵的安全風險指數為72%,組織內部不滿雇員入侵的安全風險指數為89%。這說明,電子政務信息安全不是單純的技術問題。如果沒有從管理制度、人員和技術上建立相應的電子化業務安全防範機制,缺乏行之有效的安全檢查保護措施,再好的技術和設備都無法確保其信息安全。管理上的漏洞,例如,機房重地隨意進出,微機或工作站管理人員在開機狀態下擅離崗位,敏感信息臨時存放在本地的磁碟上,這些信息處於未保護狀態,都會為外部入侵,更為內部破壞埋下隱患。其中,來自內部的安全威脅可能會更大,因為內部人員了解內部的網路、主機和應用系統的結構;能夠知道內部網路和系統管理員的工作規律,甚至自己就是管理員;擁有系統的一定的訪問許可權,可以輕易地繞過許多訪問控制機制;在內部系統進行網路刺探、嘗試登錄、破解密碼等都相對容易。如果內部人員為了報復或銷毀某些記錄而突然發難,在系統中植入病毒或改變某些程序設置,就有可能造成損失。內部人員的破壞活動也並不局限於破壞計算機系統,還包括越權處理公務、竊取國家機密數據等。
2.4 法律方面
黑客攻擊、病毒入侵等網路犯罪的日益增多與網路信息安全法制不健全和對網路犯罪的懲治不力密不可分。一方面,我國已經出台了一系列與網路信息安全有關的法律法規,例如:《計算機軟體保護條例》(1992年)、《中華人民共和國計算機信息系統安全保護條例》(1994年)、《警察法》(1995年)、《公安部關於對國際聯網的計算機信息系統進行備案工作的通知》(1996年)、《中華人民共和國信息網路國際聯網管理暫行規定》(1997年)、《計算機信息網路國際聯網安全保護管理辦法》(1997年),《商用密碼管理條例》(1999年)、《計算機信息系統國際聯網保密管理規定》(2002年)等。此外,1997年3月頒布的新《刑法》第285條、第286條、第287條,對非法侵入計算機信息系統罪、破壞計算機信息系統罪,以及利用計算機實施金融詐騙、盜竊、貪污、挪用公款、竊取國家機密等犯罪行為,作出了規定。盡管這些法律法規的出台和實施對於我國網路信息的安全起到相當積極的作用,但仍難以適應網路發展的需要,信息安全立法還存在相當多的盲區。
另一方面,已頒布實施的法律法規不僅規定了出入口制度和市場准入制度,確定了網路信息安全管理機構,闡明了安全責任,而且明確了法律責任,對於危害網路信息安全的個人和單位,規定了經濟處罰、行政處罰和刑事處罰等三大類型。但是由於網路犯罪的隱蔽性和高科技性,給偵破和審理帶來了極大困難,再加上其他原因,導致執法部門的打擊力度有限,在法律的執行上還有不到位之處,一些違法情況及當事人還未得到及時處理和制裁。
3 電子政務信息安全的防範策略
3.1 強化電子政務環境下公務員的信息安全意識
所謂的信息安全意識,是指公務員對電子政務中信息安全問題主要表現與危害以及保證政府信息安全的意義的正確認識,發現電子政務中影響信息安全的現象和行為的敏銳性,維護電子政務信息安全的主動性。強化公務員的信息安全意識就是要讓公務員認識到電子政務信息安全是電子政務正常而高效運轉的基礎,是保障國家信息安全甚至國家安全的重要前提,從而牢固樹立信息安全第一的思想。我國各級政府部門要利用多種途徑對公務員進行電子政務信息安全方面的教育。一是通過大眾傳播媒介,增強公務員信息安全意識,普及信息安全知識。二是積極組織各種專題講座和培訓班,培養信息安全人才,並確保防範手段和技術措施的先進性和主動性。三是要積極開展安全策略研究,明確安全責任,增強公務員的責任心。
3.2 建立電子政務信息安全管理機構
首先,政府部門要嚴格按照《中華人民共和國計算機信息系統安全保護條例》和《計算機信息網路安全保護管理辦法》的規定,在國家安全部,國家保密局,國務院有關部門及各省、市、自治區公安廳(局),地(市)、縣(市)公安局負責計算機網路信息系統安全保護的行政管理下,建立本單位、本部門、本系統的組織領導管理機構,明確領導及工作人員責任,制定管理崗位責任制及有關措施,嚴格內部安全管理機制,並對破壞電子政務信息安全的事件進行調查和處理,確保網路信息的安全。
其次,要完善「網上警察」隊伍建設,加大監視和打擊網路犯罪活動的力度。我國於1983年成立了公安部計算機管理和監察局,1985年全國人大通過了《警察法》,其目的就是「監督計算機信息系統安全保護工作」。1998年又成立了公安部公共信息網路安全監察局,並逐步形成了一支「網上警察」。當前,公安部門的首要任務是吸納高級信息安全人才充實到網上警察隊伍,提高網上警察的快速反應能力、偵察與追蹤水平等。
3.3 完善我國信息安全基礎設施
當前迫切需要建立的國家信息安全基礎設施包括:國際出入口監控中心、安全產品評測認證中心、病毒檢測和防治中心、關鍵網路系統災難恢復中心、系統攻擊和反攻擊中心、電子保密標簽監管中心、網路安全緊急處置中心、電子交易證書授權中心、密鑰恢復監管中心、公鑰基礎設施與監管中心、信息戰防禦研究中心等。
3.4 傾力扶持國有信息安全產業的發展
自主的信息產業或信息產品國產化是保證電子政務信息安全的根本。信息安全技術、產品受制於他國是對國家安全利益的極大威脅。國家應對國有信息安全產業的發展予以充分的政策和財政支持。當前,應在以下3種技術上求得突破:一是能逐步改善信息安全狀況、帶有普遍性的關鍵技術,如密碼技術、鑒別技術、病毒防禦技術、入侵檢測技術等;二是創新性強、可發揮杠桿作用的突破性技術,如網路偵察技術、信息監測技術、風險管理技術、測試評估技術和TEMPEST技術等;三是能形成「撒手鐧」的戰略性技術,如操作系統、密碼專用晶元和安全處理器等。還要狠抓技術及系統的綜合集成,以確保電子政務信息系統的安全可靠。令人可喜的是,2002年8月19日由我國自主開發的高性能通用晶元「龍芯1」運行成功,這是我國信息安全產業發展史上具有里程碑意義的事件。
3.5 健全法律,嚴格執法
法律是保障電子政務信息安全的最有力手段,發達國家已經在政府信息安全立法方面積累了成功經驗,如美國的《情報自由法》和《陽光下的政府法》、英國的《官方信息保護法》、俄羅斯的《聯邦信息、信息化和信息保護法》等。我國立法部門應加快立法進程,吸取和借鑒國外網路信息安全立法的先進經驗,盡快制定和頒布個人隱私保護法、資料庫振興法、信息網路安全性法規、預防和打擊計算機犯罪法規、數字簽名認證法、電子憑證(票據)法、網上知識產權法等,以完善我國的網路信息安全法律體系,使電子政務信息安全管理走上法制化軌道。另外,執法部門還要進一步嚴格執法,提高執法水平,確保各項法律法規落到實處。對於各種違法犯罪情況要嚴加追究,絕不姑息,對於各種隱患要及時加以預防和制止。
⑼ 為了確保政務網路安全以下什麼做法是正確的
我們需要確保政務網路安全。
這主要是關繫到涉密的問題。一定要高度重視。
⑽ 政務一網通辦如何應對網路安全挑戰
2022年底前,以國家政務服務平台為總樞紐的全國一體化在線政務服務平台更加完善,全國范圍內政務服務事項基本做到標准統一、整體聯動、業務協同,除法律法規另有規定或涉及國家秘密等外,政務服務事項全部納入平台辦理,全面實現「一網通辦」。
《意見》也就此提出要求,要加強政務大數據安全管理,制定平台數據安全管理辦法,加強對涉及國家利益、公共安全、商業秘密、個人隱私等重要信息的保護和管理。
北京郵電大學副教授、大數據安全專家辛陽給出了對策:可以依據數據的整個生命周期,從安全認證、身份鑒權、傳輸安全、共享安全、存儲安全、安全管理、安全媒介、安全運行和安全審計九大方面進行安全防護。他說,在線政務服務平台的安全問題是一個全面和體系化的工程,其關鍵數據安全防護需要從各個層面進行整體設計,在政策法規、標准設計、管理規范、技術支撐等方面全盤布局,保障在線政務服務平台在提高政府管理能力和便民服務的同時,能夠應對諸多安全挑戰。