❶ 電子政務信息安全管理機制存在哪些問題
我國電子政務信息安全存在的問題
1、法律問題
盡管近年來我國已出台了一系列與網路信息安全相關的法律法規,並取得了一定的成績,但這
些法律法規尚未形成體系。隨著信息技術的發展,信息安全問題越來越復雜,現有的信息安全法律框架已經難以適應電子政務信息化模式的發展需求。因此加快電子政務信息化的法律法規建設以成為一項非常急迫的任務。
2、技術問題
(1)網路安全規劃與網路結構的不合理性。
由於信息技術發展尚不完善的眾多原因,我國電子政務網路的建設在規劃上經常缺少前瞻性的安全規劃,如:IP 地址缺乏統一規劃,廣播流量可控性差,子網故障隔離性差,重要流量缺乏帶寬管理和服務質量優先保證等問題顯現明顯。
(2)電子政務信息化建設技術人員相對缺乏,技術等素質不過硬。
我國信息化建設相對國對發達國家的信息設備和信息技術有很大的差異,技術人員培養力度也比發達國家相對來說不足,信息化核心設備嚴重依賴國外,對引進的技術和設備缺乏必要的信息管理和技術改造。尤其是在系統安全和安全協議的研究和應用方面與發達國家的差距很大。 (3)網路技術與網路設置的不科學,造成了大量的網路安全隱患。
電子政務本身所具有的特點決定了它很容易招致來自外部或內部的各種攻擊。同時,網路化政務辦公導致了政府工作對網路依賴性的增強,而依賴性必然產生脆弱性,包括技術的脆弱性、社會
的脆弱性、人的脆弱性等等。由於網路技術不夠成熟,網路設置不夠科學,目前大部分電子政務選用的系統本身存在著安全弱點或隱患,其中包括網路硬體設備的弱點、操作平台的弱點等各種安全問題。由於電子政務在很大程度上要依賴網際網路,而網際網路的全球性、開放性在為我們提供極大的便利的同時,也給信息安全帶來了極大的威脅,這就需要我們努力的利用先進的網路技術來減少或消除這些威脅。
3、管理問題
(1)政府工作人員思想觀念陳舊,安全意識淡薄。
我國電子政務建設起點低,時間短,至今仍未成熟。幾十年來,政府工作人員已經習慣了手工作業,不容易適應信息化辦公,對電子政務沒有一個正確的認識,仍保留著陳舊的管理理念。另外,對於工作人員,在電子政務信息的安全問題上還存在不少認知盲區和制約因素。網路是新生事物,許多人一接觸它就忙著用於學習、工作和娛樂等,對網路信息的安全性無暇顧及,安全意識相當淡薄,對網路信息不安全的事實認識不足。雖然政府已經採取了很多措施來提高工作人員的安全意識,但就其效果而言並不是很理想。
(2)管理體制問題突出,網路安全管理混亂,規范化的管理制度相對滯後,造成了很多管理安全漏洞。
一直以來,各級政府為了保證信息安全,只在技術上採取了相應的保障措施,卻忽略了更重要的管理體制的建設,未把保障電子政務安全的「軟措施」做細做實,未從管理體制上落實安全責任制,未建立完備的信息安全管理和認證機制等。這使電子政務系統存在很多管理安全漏洞,很難做到安全管理的統一協調性,一旦發生安全事件,故障定位不準,追查事故源困難,責任問題牽扯不清,從而造成事件的破壞性後果更為嚴重。
❷ 為保證政府政務網安全,採取了哪些防範措施
電子政務網建設原則
為達到電子政務網路的目標要求,華為公司建議在電子政務建設過程中堅持以下建網原則:從政府的需求出發,建設高安全、高可靠、可管理的電子政務體系!
統一的網路規劃
建議電於政務的建設按照國家信息化領導小組的統一部署,制定總體的網路規劃,分層推進,分步實施,避免重復建設。
完善的安全體系
網路安全核心理念在於技術與管理並重。建議遵循信息安全管理標准-ISO17799,安全管理是信息安全的關鍵,人員管理是安全管理的核心,安全策略是安全管理的依據,安全工具是安全管理的保證。
嚴格的設備選型
在電子政務網建設的過程中,網路設備選擇除了要考慮滿足業務的需求和發展、技術的可實施性等因素之外,同時為了杜絕網路後門的出現,在滿足功能、性能要求的前提下,建議優先選用具備自主知識產權的國內民族廠商產品,從設備選型上保證電子政務網路的安全性。
集成的信息管理
信息管理的核心理念是統一管理,分散控制。制定IT的年度規劃,提供IT的運作支持和問題管理,管理用戶服務水平,管理用戶滿意度,配置管理,可用性管理,支持IT設施的管理,安全性管理,管理IT的庫存和資產,性能和容量管理,備份和恢復管理。提高系統的利用價值,降低管理成本。
電子政務網體系架構
《國家信息化領導小組關於我國電子政務建設的指導意見》中明確了電子政務網路的體系架構:電子政務網路由政務內網和政務外網構成,兩網之間物理隔離,政務外網與互聯網之間邏輯隔離。政務內網主要是傳送涉密政務信息,所以為保證黨政核心機密的安全性,內網必須與外網物理隔離。政務外網是政府的業務專網,主要運行政務部門面向社會的專業性服務業務和不需在內網上運行的業務,外網與互聯網之間邏輯隔離。而從網路規模來說,政務內網和政務外網都可以按照區域網、城域網、廣域網的模式進行建設;從網路層次來說,內網和外網也可以按照骨幹層、匯聚層和接入層的模式有規劃地進行建設。
圖1:電子政務網路的體系架構
根據電子政務設計思想及應用需求,鑒於政府各部門的特殊安全性要求,嚴格遵循《國家信息化領導小組關於我國電子政務建設的指導意見》,在電子政務內、外網在總體建設上採用業務與網路分層構建、逐層保護的指導原則,在邏輯層次及業務上,網路的構建實施如下分配:
圖2:電子政務內、外網邏輯層次
互聯支撐層是電子政務網路的基礎,由網路中心統一規劃、構建及管理,支撐層利用寬頻IP技術,保證網路的互聯互通性,提供具有一定QOS的帶寬保證,並提供各部門、系統網路間的邏輯隔離(VPN),保證互訪的安全控制;
安全保障系統是指通過認證、加密、許可權控制等技術對電子政務網上的用戶訪問及數據實施安全保障的監控系統,它與互聯支撐層相對獨立,由網路中心與各部門單位共同規劃,分布構建。
業務應用層就是在安全互聯的基礎上實施政務網的各種應用,由網路中心與各系統單位統一規劃,分別實施。
華為公司電子政務解決方案的核心理念
全面的網路安全
建設安全的電子政務網路是電子政務建設的關鍵。電子政務的安全建設需要管理與技術並重。在技術層面,華為公司提供防禦、隔離、認證、授權、策略等多種手段為網路安全提供保證;在設備層面,華為公司自主開發的系列化路由器、交換機、防火牆設備、CAMS綜合安全管理系統和統一的網路操作系統VRP可以保證電子政務網路安全。
針對於政府系統的網路華為公司提供了i3安全三維度端到端集成安全體系架構,在該架構中,除了可以從熟悉的網路層次視角來看待安全問題,同時還可以從時間及空間的角度來審視安全問題,從而大大拓展了安全的思路與視角,具備全面考慮與實施安全防護的模型與能力。
圖3:華為公司i3 安全 三維度端到端集成安全體系架構
(1)華為公司i3安全三維度端到端集成安全體系架構
i-intelligence(智能),integrated(集成),indiviality(個性化);
3-時間、空間及網路層次三個維度的端到端( End to End);
安全-所有IP信息網路的安全架構。
(2)網路層次(網路層、用戶層、業務層)端到端安全理念
網路的各層次均存在安全威脅的可能,華為的集成安全架構充分體現了網路安全防範的分層思想,根據不同網路層次的特點進行有針對性的防範。
網路層:保障網路路由、網路設備等基礎網路的安全;
用戶接入層:確保合法的用戶接入,訪問合法的網路范圍,並保障用戶信息的隔離等用戶接入網路的安全;
業務層:保證用戶訪問內容的合法性與安全性。
華為公司的i3安全集成安全架構針對傳統網路在用戶層防範比較薄弱的缺陷,採取了大量的增強措施,如用戶接入認證、地址防盜用、訪問控制等能力。
(3)時間(事前、事後)端到端安全理念
以前政府行業更關注網路的事前防範能力,往往在網路的用戶認證、入侵檢測、防DOS攻擊、防火牆等方面投入力量較多,對事後跟蹤能力實施的有效措施不多。而在安全事件發生前後,要求網路所能提供的支持也是不同的,其花費的代價與技術實現難度有非常大的差別:
事前防範:主要通過數據隔離、加密、過濾、管理等技術,加強整個網路的健壯性;
事後跟蹤:華為公司的「i3安全」架構提供在網路級做日誌記錄的能力,通過對用戶上網埠、時間、訪問地的記錄,全面提供用戶上網的追溯能力,從而為後期的分析提供第一手的資料。
(4)空間(外網、內網)端到端安全理念
外網:通過VPN、加密等保證信息安全,通過網路防火牆、病毒防火牆等防範網路攻擊,側重的是防範;
內網:通過對用戶的識別,保證合法的用戶訪問合法的網路范圍,並做好訪問記錄,側重的是監控。
目前政府內網即涉秘網、政府外網即辦公專網,兩張網按照17號文件要求嚴格的物理隔離分別進行建設,保證政府網路的安全。
華為公司三緯度集成安全架構提供端到端集成安全服務:
圖4:華為公司i3安全三維度端到端集成安全體系架構
隨著政府網路網上應用的進一步增多,隨著網路進一步深入人們的生活,入侵與反入侵、盜用與反盜用的斗爭也必將升級。而政府網路的安全防護作為一個系統工程,只有從網路管理、用戶管理、業務管理及管理制度等多層次、多方位地多管齊下才能做到「天網恢恢,疏而不漏」。
完善的端到端的可靠性
網路可靠性主要是指當設備或網路出現故障時,網路提供服務的不間斷性。可靠性一般通過設備本身的可靠性和組網設計的可靠性來實現。包括以下內容:
(1)設備可靠性
華為公司的全系列數據產品均採用電信級的可靠性設計。華為公司高端路由器和交換機產品採用分布式體系結構,不存在單點故障;採用無源背板,支持真正熱插拔、熱備份,同時設備的交換網路、路由處理系統等所有關鍵部件採用冗餘熱備份設計,能充分滿足電子政務網路對設備高可靠性的要求。
(2)組網設計的可靠性
在控制投資的前提下,在電子政務網路的部分省地骨幹節點,可採取VRRP雙機備份方式或採取RPR方式進行環網自愈保護,接入骨幹傳輸網的鏈路可採取雙歸鏈路設計或採取RPR方式進行環網自愈保護,從組網角度避免單點故障。
另外,可採用備份中心技術,為路由器上的任意介面提供備份介面;路由器上的任一介面可以作為其它介面(或邏輯鏈路)的備份介面;可對介面上的某條邏輯鏈路提供備份。
通過靈活的備份機制及完善的技術,可以充分利用備份資源,確保網路互聯互通的可靠性。
簡單高效的維護和管理
政府網路信息點數量眾多,而且較為稠密,所以網路設備數量眾多,特別是接入最終用戶的樓層交換機。華為公司的網路管理系統在支持全網設備統一管理、實現拓撲管理、圖形化操作界面、實時聲光報警、中文操作系統的同時,利用華為組管理協議HGMP可以實現對數量龐大的樓層交換機的動態發現、動態拓撲生成、自動配置的功能,降低網路管理人員的工作量,提高效率。
豐富的業務承載能力
政府信息化的一個重要特點是以業務牽引網路需求,應用不斷更新,對網路設備的需求不斷提高,在這樣的一個動態網路中,網路設備本身的業務承載能力就顯得非常重要。因此,華為公司提出了第5代基於網路處理器技術,可以保證在後續新增業務對網路平台有特殊要求時,實現快速定製、快速支持,保證對網路設備投資的連續性。
利用MPLS VPN表現出強大的擴展性和前所未見的高性能,電子政務網可任由業務的增長和變化,網路可以平滑地擴充和升級,可最大程度的減少對網路架構和設備的調整。作為少數能提供整網MPLS技術的廠家,華為公司致力於為政府提供基於先進的MPLS VPN技術的數據、語音和視訊的三網合一技術。
❸ 構建電子政務系統安全體系的原則有哪些
參照我國電子政務建設指導意見並結合電子政務安全體系方面的研究,構建電子政務系統安全體系應當遵循以下原則:
1、全面設計、整體部署:電子政務系統安全體系設計要全面,應充分考慮到電子政務系統環境各個方面的風險,從物理、網路、數據、應用系統等多個方面進行綜合考慮和設計並作整體部署,同時加強安全制度建設和教育培訓。只有做到不忽視或漏掉電子政務系統中任何一個安全環節,才能夠保證整個系統的安全性。
2、統一標准,加強管理:電子政務系統安全體系設計應遵循統一的技術標准和管理標准,除了採用國際標准和我國自主研究的演算法之外(包括數據加密解密演算法、數據摘要演算法、數字簽名演算法、密鑰管理演算法等),還要考慮到安全體系將來的擴展性和系統介面要求,採用通用的數字證書標准、統一的介面規范、統一的數據包格式等。
3、需求主導,重點突出:安全體系設計應該以需求為主導,切合電子政務系統對安全的要求,突出安全體系的重點,比如網路安全方面的防火牆設置、入侵監測等、統一的安全管理平台、安全認證平台、統一的日誌管理、安全審計等,同時根據數據的安全級別、業務系統的安全層次等採取有區別的安全措施以兼顧系統的性能和效率。
4、靈活配置、動態部署:安全相關的技術發展迅速,電子政務系統的安全需求也在不斷變化,因此電子政務系統安全體系設計也需要能夠根據變化易於調整和改變。安全體系設計應該提供多種安全策略和方法,並支持靈活的配置方式以允許用戶進行選擇和動態部署。
5、制度建設、安全培訓:電子政務系統用戶的安全意識及其掌握的安全相關技術知識是整個安全體系高效、有效運行和正常管理、維護的前提。在電子政務系統安全體系實施過程中,要注意加強安全制度建設,制定安全操作規范,同時定期或不定期對系統用戶進行安全相關教育和培訓。
❹ 電子政務的安全保障體系包括哪些內容
電子政務的實施為政府和組織承擔的公共管理和服務實現電子化、
網路化和透
明、高效開辟了廣闊的空間。然而電子政務信息系統的安全問題也變得更加突出、
嚴重。認
識電子政務信息系統安全的威脅,
把握系統安全的影響因素和要求,
建設系統安全保障體系,
對保證電子政務的有效運行具有重要意義。
所謂電子政務是指政府運用現代電腦和網路技術,
將其承擔的公共管理和服務職能轉移
到網路上進行,
同時實現政府組織結構和工作流程的重組優化,
超越時間、
空間和部門分隔
的制約,
向社會提供高效優質、
規范透明和全方位的管理與服務。
電子政務的實施使得政府
事務變得公開、高效、透明、廉潔和信息共享,與此同時,也使得政務信息系統安全問題更
加突出和嚴重,影響電子政務信息系統功能的發揮,甚至對政府部門和社會公眾產生危害,
嚴重的還將對國家信息安全乃至國家安全產生威脅。
因此,
從分析電子政務信息系統的構成
與特點出發,
認識電子政務信息系統安全的重要性,
把握電子政務信息系統安全的影響因素
和要求,
建設電子政務信息系統安全的保障體系是發展電子政務的關鍵所在,
具有極其重要
的意義。
❺ 電子政務安全風險控制的步驟有哪些
1、普及障礙
中國社會經濟發展的多層次性和不平衡性,制約了電子政府的推進和普及。首先是區域和時序發展的多層次性。其次是認知的多層次性和需求的多層次性。2、無序障礙
缺乏統一的規劃和組織影響電子政府的推進。電子政府一站式服務工程是一項方便快捷的系統工程,目前還沒有科學合理、目標明確的發展規劃和職責明晰、協調有力的組織機構。各自為戰、重復建設的現象還比較嚴重,表現為標准不統一、數據不兼容、域名關聯度低、信息共享性差等一系列問題,給政府工作再來新的困難,也損害了政府在公眾中的形象。
3、體制障礙
電子政府的推行是行政管理體制的一次革命,對於促進生產力的發展,推動我國民主化、法制化進程也具有十分重要的意義。政府機構改革的任務還很艱巨,電子政府一站式服務只要是來自政府本身,政府的人員可能是推動的動力,也可能是阻力。政府各部門之間職能交叉、審批過多、過濫,政府流程還不夠合理。同時,政務公開的程度還不夠。政府壟斷信息資源的現象還比較嚴重,大量本應公開的信息被作為內參或保密文件,工作透明度低、保密文件多,確定為保密信息的內容太多。實際上絕大多數政務信息是可以披露,也是應該披露的,金鵬信息網格化軟體公司。
4、需求障礙
隨著電子政府一站式服務應用的不斷深入,有關法律法規的問題將變得越來越突出,必須盡早解決。立法滯後會阻礙電子政府的推進。立法滯後阻礙了電子政府的推進。當前我國電子政務綱領性的法規尚未出台,各部門立法尚待加速進行,對於電子政務應立哪些法、如何立、如何評價及立法進程等都還沒有明確的規定,在這種情況下,要推進電子政府一站式服務顯然是困難的。
❻ 如何保障國家電子政務外網的安全
電子政務是一個綜合性的信息系統,業務范圍涉及政府機關內部、其他相關機關團體、社會公眾等等,最終目標就是實現政府辦公的網路化、數字化、自動化。 由於電子政務領域的業務特殊性,安全性顯得尤為重要,貫穿了電子政務系統中的物理層、網路層、系統層、應用層等各個層次,尤其是很多涉密業務的需要,使人們對電子政務安全的話題越來越關注。
2 安全審計 大型的電子政務系統,尤其是涉密的信息子系統都要實現特定層面上的安全審計功能,主要針對的審計對象有:網路通信系統、重要伺服器主機操作系統、重要伺服器主機應用平台軟體、重要資料庫操作的審計、重要應用系統的審計、重要網路區域的客戶機等。 在電子政務系統中實施安全審計要兼顧與原有系統的關系,通常有如下四種形式:
完全透明:即原有系統根本察覺不到審計系統的存在。
鬆散嵌入:基本上不改變原有系統。
緊密嵌入:需要原有系統平台層和部分應用做出較大變動。
一體化設計:在電子政務設計階段就考慮安全審計的需求,所有模塊均有審計介面。 在電子政務系統中實現安全審計,可以: 對潛在的攻擊者起到震懾或警告作用。 對於已經發生的系統破壞行為提供有效的追究證據。 提供有價值的系統使用日誌,幫助系統管理員及時發現系統入侵行為或潛在的系統漏洞。 提供系統運行的統計日誌,使系統管理員能夠發現系統性能上的不足。
❼ 政務一網通辦如何應對網路安全挑戰
2022年底前,以國家政務服務平台為總樞紐的全國一體化在線政務服務平台更加完善,全國范圍內政務服務事項基本做到標准統一、整體聯動、業務協同,除法律法規另有規定或涉及國家秘密等外,政務服務事項全部納入平台辦理,全面實現「一網通辦」。
《意見》也就此提出要求,要加強政務大數據安全管理,制定平台數據安全管理辦法,加強對涉及國家利益、公共安全、商業秘密、個人隱私等重要信息的保護和管理。
北京郵電大學副教授、大數據安全專家辛陽給出了對策:可以依據數據的整個生命周期,從安全認證、身份鑒權、傳輸安全、共享安全、存儲安全、安全管理、安全媒介、安全運行和安全審計九大方面進行安全防護。他說,在線政務服務平台的安全問題是一個全面和體系化的工程,其關鍵數據安全防護需要從各個層面進行整體設計,在政策法規、標准設計、管理規范、技術支撐等方面全盤布局,保障在線政務服務平台在提高政府管理能力和便民服務的同時,能夠應對諸多安全挑戰。
❽ 如何提高政府電子政務網的安全性
提高政府電子政務網的安全性的方法:
1.加強政府網站安全工作組織領導,提高責任意識
從哈爾濱市每年開展的政府網站績效考核工作可以看出,有相當數量部門領導沒有把政府網站建設和安全管理工作作為一項重要工作來抓,存在重建設輕管理的問題。借鑒全國其他省(市)的先進經驗,一是建議市政府將政府網站納入地方政府和部門績效考核體系,作為領導班子綜合考核評價的內容之一,作為領導幹部選拔任用的依據。二是要按照誰主管誰負責、誰運行誰負責的原則,強化管理和明確責任,確保政府網站安全管理工作落實到人,一層抓一層,做到網站管理不缺位,信息安全有保障。
2.建立健全政府網站安全管理制度,認真貫徹執行。
一是建立政府網站的安全管理制度體系,指導和制約網站安全建設和管理工作。網站出現相關問題時,工作人員要快速向網站相關負責人反映,以便及時得到處理;二是建立網站日常巡檢制度,指定人員每日檢查網站運行情況,及時發現並妥善解決存在的問題;三是建立具體負責人制度,對網站的網路管理、資料庫服務維護、信息處理等實行誰主管誰負責;四是建立節假日值班制度,做到信息及時更新,保證網站不間斷運行;建立日誌記錄備案制度,對網站日常工作要如實記錄,並作為技術管理檔案保存。
3.加強人才隊伍的培養,統籌建立哈爾濱市應急處理體系
一是加強政府網站安全管理培訓。通過參加信息安全、信息技術、信息管理等方面的培訓,進一步提高網站工作人員整體建設網站、管理網站的能力。二是強化技術支撐保障工作。成立哈爾濱市信息安全測評中心,為哈爾濱市黨政機關、企事業單位網站提供技術保障和技術支撐服務。三是建立政府網站專項應急預案,以保證政府網站在事故發生時得到快速、及時處理。四是建立信息安全檢查監督機制。依據已確立的技術法規、標准與制度,定期開展信息安全檢查工作,對檢查中發現的違規行為,按規定處罰相關責任人,對檢查中發現的安全問題和隱患,明確責任部門和責任人,限期整改。
4.統籌規劃政府網站群建設,實施集約化管理。
積極推進雲模式下政府網站群的集約化建設。一是按照哈爾濱市電子政務建設的總體要求,進行統籌規劃,統一網站運行載體,避免分散、重復建設,即:利用哈爾濱市信息中心平台的基礎環境作為哈爾濱市政府網站運行載體;由哈爾濱市信息中心平台的技術隊伍,承擔哈爾濱市政府網站的建設及日常運行的技術維護工作;對於缺乏建設、維護網站能力的單位或部門,不再建設獨立網站,由哈爾濱市信息中心平台代為承載其應向社會公眾提供的政府信息公開等政務公共服務功能。二是確立統一標准,完善政府信息公開和政務信息資源共享機制,規劃「中國哈爾濱」門戶網站群及內容管理系統建設,進一步整合各部門政府網站,按照統一規劃、分步實施的原則,建立統一的站群管理平台,將哈爾濱市各政府機構網站整合到站群平台上運行,形成以市政府門戶網站為核心,以政府機構網站為群體的,資源共享、協調聯動的網站群體系,全面提高政府網站公共服務水平。三是加強網站群建設管理,強化安全保障,建立應急響應機制,依託由哈爾濱市信息中心平台現有技術、人才優勢,為哈爾濱市政府網站建設單位提供安全技術支持、信息技術培訓、網路安全風險評估等服務。
5.加大安全技術體系建設
技術防護是確保網站信息安全的有力措施,在技術防護上,主要做好以下幾方面工作。
一是要加強網路環境安全。首先要安裝網站防火牆(WAF)、網站防篡改系統、網路防火牆和入侵檢測系統等,在傳統的網路防火牆基礎上,網站防火牆(WAF)從網路的應用層面提高網站安全防護能力,利用入侵檢測系統識別黑客非法入侵、惡意攻擊以及異常數據流量, 通過對網站防火牆(WAF)和網路防火牆進一步優化配置來阻斷黑客非法入侵、惡意攻擊。網站防篡改系統是網站最後一道防護屏障,一旦防護失效時,網站首頁或內容被篡改,防篡改系統可立即恢復網站被篡改的內容,不至於造成政治事件和影響,同時給網站管理人員短暫喘息時間,及時修改和完善網站安全配置文件,確保網站安全穩定運行。
二是加強網站平台安全管理。在現有中心平台的基礎上,進一步優化完善網路結構、合理配置網路資源,配置下一代防火牆、病毒防護體系、網路安全檢測掃描設備和網路安全集中審計系統等設備,從邊界防護、訪問控制、入侵檢測、行為審計、防毒防護、安全保護等方面不斷完善哈爾濱市信息化中心平台的安全體系建設,確保在哈爾濱市信息中心平台基礎環境下,大數據平台、大工業體系信息化輔助決策平台和雲模式下政府網站群平台安全穩定建設運行。
三是加強網站代碼安全。一個安全的網站,不但要有良好的網路環境,更要有高質量的應用系統,現時期由於網站代碼不嚴密、安全性差引起的網路安全事件屢見不鮮,這就要求網站技術開發人員在開發應用系統過程中,要養成良好的代碼編寫習慣,盡量不要使用來歷不明的代碼和插件,編寫程序時要嚴格過濾敏感的字元,並且在系統開發完成後,要有相應的代碼檢測機制和手段,及時更新漏洞補丁,從源頭上遏制網站掛馬、SQL注入和跨站點腳本攻擊等行為。要部署網頁防篡改系統,網頁防篡改系統具備實時阻斷非法修改和對非法修改的文件進行恢復的能力,在其他防護措施失效的情況下,能夠有效地解決網頁被篡改的問題,實現針對網站信息的保護。
四是加強數據安全。要加強資料庫的安全,採用正版資料庫系統,通過網路安全域劃分,資料庫被隱藏在安全區域,同時通過安全加固服務對資料庫進行安全配置,並對資料庫的訪問許可權做最為嚴格的設定,最大限定保證資料庫安全;部署數據災備系統,對網站和關鍵應用系統數據進行定期備份,利用市政府大樓機房環境,將這些數據進行異地備份,確保關鍵數據安全,防止造成無法挽回的損失。
隨著信息技術的飛躍發展,黑客、木馬等攻擊和入侵手段也隨之變化多樣且層出不窮,給政府網站的安全管理帶來極大的威脅,各級政府、各部門要切實增強政府網站安全責任意識,加強對政府網站安全工作的領導,進一步強化監督管理,明確責任分工,加強安全防範措施,以安全為己任,為哈爾濱市政府網站和重要信息系統安全穩定運行創造一個良好的環境。
❾ 電子政務的網路安全管理體現在哪些方面
針對智慧政務平台的安全隱患金鵬信息智慧政務專家小組提出建議,一方面要看到移動互聯網時代給我們政府提供了更好更快捷的公眾服務手段,另一方面也要清醒地意識到快捷服務必須是基於政府自身的服務平台而不是第三方企業或機構的社會公共服務平台。政府完全可以借鑒商業領域的服務模式,在中國智慧政務戰略框架內建設政府自身的在線服務平台,構建一套以微博、微信為前台,以政務移動應用中心為運行的微政務應用體系。
一 、要將信息公開和政務應用相剝離
可以將微博、微信等平台作為基於互聯網的宣傳和吸引公眾流量的平台,而不能作為業務交互辦理的平台。通過此類平台將用戶吸引迴流到政府自身的移動App上。政府要建立自己的移動應用中心,根據業務需求提供便捷的移動互聯網服務App,確保政務數據能集中收集在政府內部的數據中心。從三個層次上確保政務服務:
1、政府自身建設移動應用中心和App,保障政府服務提供的可持續性;
2、保障政務數據的安全性;
3、保障政務數據的完整性。
政府各個業務數據完整地收集匯總,可以較好地實現跨部門的數據開放和業務協同,也為進一步的大數據分析支撐決策提供良好基礎。
二、要把業務應用和數據標准相剝離
政府可借鑒成功的商業模式,如在前端的交互設計和應用規范上參考商業標准。但在網路和數據安全上一定要堅持已有的安全體系。
三、應制定合理的標准規范,完善信息化建設體制
中國智慧政務建設的實際情況是「一把手」工程,信息化建設的決策權在各級單位的「信息化領導小組」,而具體的建設和安全保障落在了信息中心或智慧政務處等技術部門。「一把手」精通業務,但對於信息技術尤其是網路安全等方面不一定很熟悉,很容易被誤導進入「重業務輕安全」的誤區。事實上在基層單位的微博、微信熱潮中,就出現過領導「強壓」的局面。對此,有必要明確信息中心在政府信息化建設中安全保障的「領導」地位,確保相關標准規范的切實應用。
黨的十八屆四中全會公報明確提出了「全面推進政務公開」的指導意見,這為「政務信息和應用開放」提供了更大的動力,更大規模、更大范圍的政務數據面臨著「社會化」的考驗。政府應該保持清醒的頭腦,讓市場與政府各自歸位,避免政府「媒體化」和「被動開放」。
金鵬信息智慧政務軟體