A. 构建电子政务系统安全体系的原则有哪些
参照我国电子政务建设指导意见并结合电子政务安全体系方面的研究,构建电子政务系统安全体系应当遵循以下原则:
1、全面设计、整体部署:电子政务系统安全体系设计要全面,应充分考虑到电子政务系统环境各个方面的风险,从物理、网络、数据、应用系统等多个方面进行综合考虑和设计并作整体部署,同时加强安全制度建设和教育培训。只有做到不忽视或漏掉电子政务系统中任何一个安全环节,才能够保证整个系统的安全性。
2、统一标准,加强管理:电子政务系统安全体系设计应遵循统一的技术标准和管理标准,除了采用国际标准和我国自主研究的算法之外(包括数据加密解密算法、数据摘要算法、数字签名算法、密钥管理算法等),还要考虑到安全体系将来的扩展性和系统接口要求,采用通用的数字证书标准、统一的接口规范、统一的数据包格式等。
3、需求主导,重点突出:安全体系设计应该以需求为主导,切合电子政务系统对安全的要求,突出安全体系的重点,比如网络安全方面的防火墙设置、入侵监测等、统一的安全管理平台、安全认证平台、统一的日志管理、安全审计等,同时根据数据的安全级别、业务系统的安全层次等采取有区别的安全措施以兼顾系统的性能和效率。
4、灵活配置、动态部署:安全相关的技术发展迅速,电子政务系统的安全需求也在不断变化,因此电子政务系统安全体系设计也需要能够根据变化易于调整和改变。安全体系设计应该提供多种安全策略和方法,并支持灵活的配置方式以允许用户进行选择和动态部署。
5、制度建设、安全培训:电子政务系统用户的安全意识及其掌握的安全相关技术知识是整个安全体系高效、有效运行和正常管理、维护的前提。在电子政务系统安全体系实施过程中,要注意加强安全制度建设,制定安全操作规范,同时定期或不定期对系统用户进行安全相关教育和培训。
B. 试阐述电子政务安全的主要内容
电子政务涉及对国家秘密信息和高敏感度核心政务的保护,设计维护公共秩序和行政监管的准确实施,涉及到为社会提供公共服务的质量保证.电子政务是党委、政府、人大、政协有效决策、管理、服务的重要手段,必然会遇到各种敌对势力、恐怖集团、捣乱分子的破坏和攻击.尤其电子政务是搭建在基于互联网技术的网络平台上,包括政务内网、政务外网和互联网,而互联网的安全先天不足,互联网是一个无行政主管的全球网络,自身缺少设防和安全隐患很多,对互联网犯罪尚缺乏足够的法律威慑,大量的跨国网络犯罪给执法带来很大的难度.所有上述分子利用互联网进行犯罪则有机可乘,使基于互联网开展的电子政务应用面临着严峻的挑战.
对电子政务的安全威胁,包括网上黑客入侵和犯罪、网上病毒泛滥和蔓延、信息间谍的潜入和窃密、网络恐怖集团的攻击和破坏、内部人员的违规和违法操作、网络系统的脆弱和瘫痪、信息产品的失控等,应引起足够警惕,采取安全措施,应对这种挑战.
电子政务的安全目标和安全策略
电子政务的安全目标是,保护政务信息资源价值不受侵犯,保证信息资产的拥有者面临最小的风险和获取最大的安全利益,使政务的信息基础设施、信息应用服务和信息内容为抵御上述威胁而具有保密性、完整性、真实性、可用性和可控性的能力.
为实现上述目标应采取积极的安全策略:
国家主导、社会参与.电子政务安全关系到政府的办公决策、行政监管和公共服务的高质量和可信实施的大事,必须由国家统筹规划、社会积极参与,才能有效保障电子政务安全.
全局治理、积极防御.电子政务安全必须采用法律威慑、管理制约、技术保障和安全基础设施支撑的全局治理措施,并且实施防护、检测、恢复和反制的积极防御手段,才能更为有效.
等级保护、保障发展.要根据信息的价值等级及所面临的威胁等级,选择适度的安全机制强度等级和安全技术保障强壮性等级,寻求一个投入和风险可承受能力间的平衡点,保障电子政务系统健康和积极的发展.
电子政务安全保障体系框架
电子政务安全采取“国家推动、社会参与、全局治理、积极防御、等级保护、保障发展”的策略,鉴于电子政务的信息安全面临的是一场高技术的对抗,是一场综合性斗争,涉及法律、管理、标准、技术、产品、服务和基础设施诸多领域,所以电子政务安全,还要从全局来构建其安全保障的体系框架,以保障电子政务的健康发展.
电子政务安全保障体系由六要素组成,即安全法规、安全管理、安全标准、安全服务、安全技术产品和安全基础设施等安全要素.
要素一 安全法律与政策
电子政务的工作内容和工作流程涉及到国家秘密与核心政务,它的安全关系到国家的主权、国家的安全和公众利益,所以电子政务的安全实施和保障,必须以国家法规形式将其固化,形成全国共同遵守的规约,成为电子政务实施和运行的行为准则,成为电子政务国际交往的重要依据,保护守法者和依法者的合法权益,为司法和执法者提供法律依据,对违法、犯法者形成强大的威慑.
《中华人民共和国保护国家秘密法》已实施十多年,已不完全适应我国当前保密工作的现状,特别是电子政务的发展,亟待修订.
政务信息公开是电子政务的重要原则,为了拉近政府和公众的距离,使公众具有知情权、参与权、监督权和享用政府服务的权利,为公众提供良好的信息服务,充分挖掘政务信息的最大效益,开放政务信息资源(非国家涉密和适宜公开部分)服务于民是电子政务的重要特征.尽快制订政务信息公开法,适度的解密和规范开放的规则,保护政府部门间信息的正常交流,保护社会公众对信息的合法享用,打破对政务信息资源的垄断和封锁,提高政府行政透明度和民主进程是非常有利的和必需的.
电子政务亟待电子签章和电子文档的立法保护,国际已有近20多个国家对数字签名和电子文档进行了立法,使数字签名和电子文档在电子政务和电子商务运行中具有法律效力.这将大大促进电子政务和电子商务的健康发展,使电子政务原来的双轨制走向单轨制,这有利于简化程序、降低成本,充分显示电子政务效益是非常有利的.
个人数据保护(隐私法)的需求伴随电子政务的发展日显突出.电子政务在实施行政监管和公众服务中有大量的个人信息(自然人和法人),如户籍、纳税、社保、信用等信息大量进入了政府网络信息数据库,它对完成电子政务职能发挥巨大作用.但是这些个人信息如果保护不力或无意被泄漏,而被非法滥用,就可能成为报复、盗窃、推销、讨债、盯梢的工具.在国外已经出现将盗用的个人隐私信息作为非法商品出售,以牟取暴利的情况,这样直接损害个人的利益,甚至危及个人的生命安危.因此加快个人数据保护法的制订,是必要的.
还有很多法规的制订都直接关系到电子政务的健康发展,加快制订这些法规,势在必行.
要素二 安全组织与管理
我国信息安全管理职能的格局已经形成,如国家安全部、国家保密局、国家密码管理委员会、信息产业部、总参……分别执行各自的安全职能,维护国家信息安全.电子政务安全管理涉及到上述众多的国家安全职能部门,其安全管理职能的协调需要由国家信息化领导机构,如国家信息化领导小组及其办公室、国家电子政务协调小组、国家信息安全协调小组等来进行.各地区和部委建立相应的信息安全管理机构,以完成和强化信息安全的管理,形成自顶向下的信息安全管理组织体系,是电子政务安全实施的必要条件.
制订颁发电子政务安全相关的各项管理条例,及时指导电子政务建设的各种行为,从立项、承包、采购、设计、实施、运行、操作、监理、服务等各阶段入手,保障电子政务系统建设全程的安全和安全管理工作的程序化和制度化.
电子政务信息安全域的划分与管理是至关重要的.电子政务有办公决策、行政监管和公共服务等三种类型业务,其业务信息内容涉及国家机密、部门工作秘密、内部敏感信息和开放服务信息.既要保护国家秘密又要便于公开服务,因此对信息安全域的科学划分和管理,将有益于电子政务网络平台的安全设计,有益于电子政务的健康和有效的实现.
制订电子政务工程集成商的资质认证管理办法、工程建设监理机构的管理办法、工程外包商的管理机制和办法,以确保电子政务工程建设的质量和安全,特别是对于电子政务系统的外包制更要有严格的制约和管理手段.对于电子政务中涉密系统工程的承建,还必须有国家保密局颁发的涉密系统集成资质证书,其他部分应具有国家或省市相应的系统集成商的资质证书.对于电子政务涉密部分,不允许托管和外包运行,电子政务其他部分将按相关管理条例执行.
电子政务工程中使用的信息安全产品,国家将制订相应的采购管理政策,涉及密码的信息安全产品需有国家密码主管部门的批准证书,信息安全产品应有通过国家测评主管机构的安全测评的证书,维护信息安全产品的可信性.
电子政务系统信息内容根据管理需求,可以实施对信息内容的安全监控管理,以保护政务信息安全,防止由于内部违规或外部入侵可能造成的网络泄密,同时也阻止有害信息内容在政务网上传播.
制订电子政务系统的人员管理、机构管理、文档管理、操作管理、资产与配置管理、介质管理、服务管理、应急事件管理、保密管理、故障管理、开发与维护管理、作业连续性保障管理、标准与规范遵从性管理、物理环境管理等各种条例,确保电子政务系统的安全运行.
要素三 安全标准与规范
信息安全标准有利于安全产品的规范化,有利于保证产品安全可信性、实现产品的互联和互操作性,以支持电子政务系统的互联、更新和可扩展性,支持系统安全的测评与评估,保障电子政务系统的安全可靠.
国家已正式成立“信息安全标准化委员会”,近期成立了信息安全标准体系与协调工作组(WG1)、内容安全分级及标识工作组(WG2)、密码算法与密码模块/KMI/VPN工作组(WG3)、PKI/PMI工作组(WG4)、信息安全评估工作组(WG5)、操作系统与数据库安全工作组(WG6)、身份标识与鉴别协议工作组(WG9)、操作系统与数据库安全工作组(WG10),以开展电子政务安全相关标准的研制工作,支撑电子政务安全对标准制订的需求.
还将制订下列标准:涉密电子文档密级划分和标记格式、内容健康性等级划分与标记、内容敏感性等级划分与标记、密码算法标准、密码模块标准、密钥管理标准、PKI/CA标准、PMI标准、信息系统安全评估和信息安全产品测评标准、应急响应等级、保护目标等级、应急响应指标、电子证据恢复与提取、电子证据有效性界定、电子证据保护、身份标识与鉴别、数据库安全等级、操作系统安全等级、中间件安全等级、信息安全产品接口规范、数字签名…….
要素四 安全保障与服务1.电子政务系统建设,要构建其技术安全保障架构,对大型电子政务系统要建立纵深防御体系.
·设置政务内网的安全与控制策略;
·设置政务外网的安全与控制策略;
·设置进入互联网的安全服务与控制策略;
·设置租用公网干线的安全服务与控制策略,包括有线通信、无线通信和卫星通信的安全服务与控制策略;
·设置政务计算环境的安全服务与机制.
采用纵深防御和多级设防,是电子政务安全保障的重要原则,通过全局性的安全防护、安全检测、快速响应、集成的安全管理与安全设施的联动控制,以达到系统具有防护、检测、反应与恢复能力.
2.推广电子政务信息系统安全工程(ISSE)的控制方法,全面实现安全服务要求.
电子政务安全系统的设计,首先要做好系统资产价值的分析,如物理资产的价值(系统环境、硬件、系统软件)、信息资产的价值、其数据与国家利益和部门利益的关联度;其业务系统(模型、流程、应用软件)正常运行后果所产生的效益,从而确定系统安全应保护的目标,在上述分析的基础上提出整个安全系统的安全需求,进一步定义达到这些安全需求所应具有的安全功能,然后探索系统可能面临的威胁类型,并找出系统自身的脆弱性,这些威胁和脆弱性有:
·网上黑客与计算机犯罪;
·网络病毒的蔓延与破坏;
·机要信息流失与信息间谍潜入;
·网上恐怖活动与信息战;
·内部人员违规与违法;
·网上安全产品的失控;
·网络与系统自身的漏洞与脆弱性.
在这些威胁面前,要分析哪些威胁是本系统主要面临的威胁,哪些是次要的,对系统和任务造成的影响程度如何.进行定性和定量的分析,提出系统安全对策,确定承受风险的能力,寻找投入和风险承受能力间的平衡点,然后确定系统所需要的安全服务及对应的安全机制(见表一),从而配置系统的安全要素.在工程的生命周期中要进行风险管理、风险决策流程(见图2),这种风险管理是要对电子政务全程进行的.
系统投入运行要对其安全性进行有效评估,即评估者给出的评估证据和建设者采用的技术保障设施,的确能使系统拥有者确信已选用技术对策,确实减少了系统的安全风险,满足必要的风险策略(风险策略可以是“零”风险策略、最小风险策略、最大可承受风险策略或不计风险策略),使其达到保护系统资产价值所必需的能力(见图3).上述有效评估过程可用安全技术保障强壮性级别(IATRn)来描述:
IATRn=f(Vn,Tn,SMLn,EALn)
Tn:威胁等级
Vn:资产价值等级
SMLn:安全机制强度等级
EALn:评估保障等级
要素五 安全技术与产品
1. 加强安全技术和产品的自主研制和创新.
由于电子政务的国家涉密性,电子政务系统工程的安全保障需要各种有自主知识产权的信息安全技术和产品,全面推动自主研发和创新这些技术和产品是电子政务安全的需要.这些产品和技术可以分为六大类:
·基础类:风险控制、体系结构、协议工程、有效评估、工程方法;
·关键类:密码、安全基、内容安全、抗病毒、IDS、VPN、RBAC、强审计、边界安全隔
离;
·系统类:PKI、PMI、DRI、网络预警、集成管理、KMI;
·应用类:EC、EG、NB、NS、NM、WF、XML、CSCW;
·物理与环境类:TEMPEX、物理识别;
·前瞻性:免疫技术、量子密码、漂移技术、语义理解识别.
2.电子政务安全产品的选择.
整个电子政务的安全,涉及信息安全产品的全局配套和科学布置,产品选择应充分考虑产品的自主权和自控权.
产品可涉及安全操作系统、安全硬件平台、安全数据库、PKI/CA、PMI、VPN、安全网关、防火墙、数据加密机、入侵检测(IDS)、漏洞扫描、计算机病毒防治工具、强审计工具、安全Web、安全邮件、安全设施集成管理平台、内容识别和过滤产品、安全备份、电磁泄漏防护、安全隔离客户机、安全网闸.
要素六 安全基础设施
信息安全基础设施是一种为信息系统应用主体和信息安全执法主体提供信息安全公共服务和支撑的社会基础设施,方便信息应用主体安全防护机制的快速配置,有利于促进信息应用业务的健康发展,有利于信息安全技术和产品的标准化和促进其可信度的提高,有利于信息安全职能部门的监督和执法,有利于增强全社会信息安全移师和防护技能,有利于国家信息安全保障体系的建设.因此,推动电子政务的发展,应重视相关信息安全基础设施的建设.
信息安全基础设施有两大类.
1.社会公共服务类
·基于PKI/PMI数字证书的信任和授权体系;
·基于CC/TCSEC的信息安全产品和系统的测评与评估体系;
·计算机病毒防治与服务体系;
·网络应急响应与支援体系;
·灾难恢复基础设施;
·基于KMI的密钥管理基础设施.
2.行政监管执法类
·网络信息内容安全监控体系;
·网络犯罪监察与防范体系;
·电子信息保密监管体系;
·网络侦控与反窃密体系;
·网络监控、预警与反击体系.
C. 完善电子政务建设
一、思想观念滞后,电子政务受到人文环境的约束。
从近年的实践来看,对我国电子政务的建设,一方面,认识上还存在一些误区。不少人对电子政务的目的、意义、重要性和发展趋势缺乏足够的认识,他们习惯于传统的办公模式,对电子化给传统政务办公方式带来的革命性变革认识不足又难以适应。把电子政务当作政府部门的计算机化,认为电子政务是一个技术问题,从而加强硬件投入,却不重视软件的开发,也不重视业务流程的重组,更不注重信息的收集,使建立起来的网络没有发挥应有的作用。另一方面,部门利益自我保护根深蒂固。电子政务建设强调政府流程再造,需要对政府机构进行改革,必然会带来政府相关部门利益和部门的消失和权利的削弱,会减少人员等,对发展电子政务的阻力也会增大。
二、标准化程度低,政务信息资源开发利用滞后。
电子政务建设没有完全以政府业务流程为导向,各业务系统共享程度较低,普遍存在着“重建设轻应用,重硬件轻软件”的现象。尽管有“充分利用现有资源和现有网络平台条件,严禁重复建设”的明确要求,但由于电子政务的发展缺乏宏观的规划,政务专网建设存在各自为政、标准不统一的现象,不能支持实现互联互通,信息不能共享,跨部门业务不能协同。“纵强横弱”、“信息孤岛”现象比较严重。政府信息资源管理制度规范尚不完善,政务信息公开的制度性建设刚刚开始,制约了政府信息资源的开发利用的整体水平。
三、注重“电子”建设,忽视政府业务流程的改进。
“电子政务”的关键是“政务”,而不是“电子”。但不少领导者只是把电子政务当成一种新技术,以为只要投资,有了硬件设备和各种软件,政府上网以后,就算建成电子政务。这种错误的认识,导致出现一些问题,一方面,原有的金字塔式的行政组织结构不利于信息的有效传播。信息在行政传播过程中呈现非对称性和层级性,往往造成信息的失真或失效。另一方面,传统的业务流程不适应电子政务。传统的政府机构条块分割,职能包罗万象,政府业务数据流程不得不按地理位置和人力分配被分割在多个部门,使得相同的信息往往在不同的部门都要进行收集、存储、加工和管理,在建立电子政务系统时,各个系统相互独立,技术与规范各不相同,结果是建立起了一个个信息孤岛。这种多层次、低效能的行政机构和业务流程不利于信息的统一收集和整理。
四、安全存在隐患,制约了电子政务的发展。
对于电子政务来说,网络的安全非常重要,它关系到信息时代国家机器的稳定运行和社会秩序的安定团结。总体上看,我国的网络与信息安全防护仍处于初级阶段,尚未形成科学、完整、高效、统一的电子政务安全保障体系。主要表现为我国的政务系统大多分级、分域保护不明确;安全隔离不彻底,内外网承载业务划分与信息安全的要求不对等;密码与信任体系建设不完善;信息安全法律法规和标准不完善;全社会的信息安全意识不强;信息安全的管理和技术人才缺乏;信息安全技术缺乏创新性与自主性,同时对引进的信息技术和设备缺乏有效的管理与合理改造。呈快速上升趋势的病毒传播和网络攻击等犯罪活动使网络泄密事件屡有发生。这些都存在对电子政务系统构成威协的不安全因素。
五、完善电子政务建设的措施:
促进我国电子政务的发展,既是我国各级政府机构自身改革和发展的需要,也是我国经济与社会发展的需要,同时,也是与国际接轨,适应世界经济全球化的需要,我们要借鉴发达国家电子政务发展的成功经验,结合我国信息化和电子政务的现状,针对电子政务发展过程中存在的问题,提出如下对策建议。
1、健全领导机构,规划统一的电子政务平台。
目前,制约我国电子政务应用发展的主要瓶颈是地方之间、部门之间不能协同共享应用系统和信息资源。因此,对电子政务的发展要加强领导、统一规划。一方面,国务院要成立电子政务领导机构,统一领导和组织中央及地方政府的电子政务建设,可以采取“总体统筹、分工负责”的原则,加强政府的指导监督等管理工作,要统揽全局地设定电子政务的指导思想、发展目标、安全措施等。建立统一的电子政务平台,确保各政务部门纵横之间的互连和协同办公,遏止重复建设和降低电子政务成本。另一方面,要尽快完善我国电子政务的各项标准化措施,构建我国电子政务的标准化体系,要重点建立一套具有自主知识产权、适合我国政府办公特点并与国际标准兼容的电子政务标准,以实现电子政务的互联互通、信息共享、业务协同。为跨地区、跨部门业务系统的互联和资源共享创造条件,保证整个系统的可持续发展。
2、加大智力投资,营造良好的电子政务人文环境。
我国电子政务建设中重要的一个主题是提高人们的信息素质,全民信息素质的提高反过来又会促进电子政务建设水平的提高。公务员作为行使政府行政职能的主体,其自身素质的高低将直接影响到电子政务的实施。因此,政府要加大智力投资,通过各种途径提高公务员的素质,从而营造良好的电子政务人文环境。一方面要对政府公务员进行电子政务培训。另一方面要进行信息化普及教育,提高全民信息技术应用水平,同时,要通过公开招聘、考试录用等途径引进具有计算机知识的专业技术人员,使公务员队伍在技术和能力层面上发生质的变化。
3、建立完善的安全机制,保障电子政务良好运行。
信息安全是现今我国电子政务发展的“瓶颈”问题,必须采取有效措施,从管理和技术两方面来保证电子政务的安全。首先制定相应的法律、法规。包括信息发布、数据保护、应急处理等方面的法律法规;制定完善的网络监管法规以及信息采集和关系协调的程序性法规等,加大对违法犯罪的打击力度。要加强政府信息的安全管理,对政府信息网络的建设、管理、维护、内容和形式进行必要的规定和约束,保障政府信息网络的规范、安全运行。其次从技术上要加大对安全技术和产品的投入,信息网络的安全必须国产化,就必须加大自主知识产权的安全技术和产品的研发投入,重点加强密码技术、身份鉴别技术、预警、网络监管、检测与应急处理、信息安全测试与评估、灾难恢复等关键技术的研究开发,以确保机密部门的信息安全。另外提高公务员的技术水平和素质也是必要的。并应尽快制定更为详尽的规章制度及安全管理手段,以杜绝内部破坏事件的发生。
4、加快政府流程再造,推动电子政务健康发展。
要实现“一站式”的办理和不受时间空间限制的“在线服务”,这就需要实现政府各部门之间进行交互式办公和处理大量为公众服务的事项。而各部门的管理业务本身又是一个相对独立的系统,业务差别很大,要使这些不同业务部门的政府机构之间实现互通互联,做到“一站式服务”,就必须进行政府流程再造。就要运用网络信息技术,打破政府部门内部传统的职责分工与层级界限,实现工作方式的动态化、并联化、部门集成化、电子化。要改“职能导向”为“需求导向”,以最大限度地满足公众的需求为核心,其目的是为公众创造有益的服务。通过优化和再造政务流程,可以改变政府的工作模式,淡化部门意识,提升政府的社会服务能力和宏观决策水平。
D. 福建省电子政务建设和应用管理办法(2020修订)
第一章总则第一条为了推动电子政务资源的统筹建设和整合共享,规范我省电子政务管理,提升数字福建发展水平,根据有关法律法规,结合本省实际,制定本办法。第二条在本省行政区域内从事电子政务规划、建设、应用、监督管理以及其他相关活动,应当遵守本办法。第三条电子政务建设和应用应当遵循统筹规划、集约建设、互联互通、资源共享、协同应用、保障安全的原则。第四条省人民政府应当统筹整合全省电子政务资源,加强电子政务基础设施和服务体系建设,促进电子政务均衡发展,推进全省政务网络融合和信息资源共享,促进政务信息化成果平等共享。第五条县级以上人民政府应当加强对电子政务建设和应用工作的领导,建立健全统筹协调和监督考核机制,保障项目建设和应用所需经费,引导和支持社会资金投资建设电子政务。
县级以上人民政府应当加强信息化培训,提高城乡居民的信息化应用能力。第六条县级以上人民政府负责电子政务工作的部门(以下简称电子政务管理部门)承担本行政区域内电子政务推进、指导、协调和监督工作。
省人民政府电子政务管理部门负责制定全省电子政务总体框架、发展规划及标准规范,统筹推进、指导协调和监督管理全省电子政务建设和应用工作,综合管理和调度使用全省政务信息资源,组织协调信息资源汇聚共享和开放开发。第七条国家机关、事业单位、社会团体以及法律法规授权的具有公共管理职能的组织(以下统称应用单位)可以根据工作需要,按照全省电子政务总体框架和统建共享要求,新建或者共享利用电子政务资源,并负责信息的采集、更新、处理,配合做好数据汇聚共享和开放开发工作。第八条为电子政务提供技术服务的单位(以下简称技术服务单位)应当按照全省电子政务总体框架,根据职责或者协议承担有关电子政务建设、运行维护和日常管理等工作。第九条应用单位在履行职责过程中产生的信息资源,以及通过特许经营、购买服务等方式开展电子政务建设和应用所产生的信息资源属于国家所有,由同级人民政府电子政务管理部门负责综合管理。第十条电子政务建设和应用工作应当遵守和执行国家有关网络及信息安全保密规定,确保安全可控。第十一条对在电子政务建设和应用工作中做出突出贡献的单位和个人,县级以上人民政府应当给予表彰和奖励。第二章规划与建设第十二条省人民政府电子政务管理部门应当根据国家信息化发展战略规划、电子政务规划和我省发展需要,研究制定全省电子政务总体框架,会同有关部门制定全省电子政务发展总体规划,报省人民政府批准后向社会公布。
设区市人民政府电子政务管理部门应当会同有关部门根据全省电子政务发展总体规划,编制本行政区域电子政务发展规划,经省人民政府电子政务管理部门备案后,报设区市人民政府批准并向社会公布。第十三条省级应用单位应当根据全省电子政务发展总体规划,制定本单位、本系统电子政务建设方案,并报省人民政府电子政务管理部门备案后实施。
中央国家机关部署的我省电子政务建设任务,应当纳入数字福建建设范畴。第十四条编制全省电子政务发展总体规划和区域发展规划,应当组织专家论证,必要时向社会公开征求意见。
规划公布后,制定部门应当就规划的内容向公众提供咨询服务。规划的执行情况应当定期向社会公布,接受社会监督。
公布后的规划不得随意修改,确需修改的,应当按照本办法第十二条规定的程序办理。第十五条电子政务建设应当执行国家标准、行业标准、地方标准和相关规范。省人民政府电子政务管理部门应当会同市场监督管理部门制定完善电子政务建设和应用的地方标准和相关规范。第十六条全省电子政务骨干网络由省人民政府电子政务管理部门组织建设和运行管理。设区市、县(市、区)人民政府电子政务管理部门负责本行政区域网络接入工程。应用单位现有专网应当整合到全省电子政务网络体系。第十七条全省电子政务数据中心和物联网政务应用平台实行统筹规划,可以采用自建或者购买服务方式,由省、设区市人民政府电子政务管理部门组织建设,县(市、区)应用单位统一接入使用市级数据中心和物联网政务应用平台。
应用单位未经批准,不得新建、扩建、改建数据中心。已经建成的部门专用数据中心,应当逐步整合到本级政务数据中心。
应用单位负责整合本系统感知资源。新增感知资源应当报同级人民政府电子政务管理部门,进行统筹规划建设。
应用单位应当向符合数字福建有关规范要求的云平台购买备份服务。
E. 电子商务政务系统建设原则
电子政务系统建设原则主要有以下几点:
1.内外网间安全的数据交换原则。电子政务应用中势必存在内网与专网、外网间的信息交换需求,然而基于内网数据保密性的考虑,又不希望内网暴露在对外环境中。解决该问题的有效方式是设置安全岛,通过安全岛来实现内外网间信息的过滤和两个网络间的物理隔离,从而在内外网间实现安全的数据交换。
2.网络域的控制原则。电子政务的网络应该处于严格的控制之下,只有经过认证的设备可以访问网络,并且能明确地限定其访问范围,这对于电子政务的网络安全而言同样十分重要。
3.标准可信时间源的获取原则。政务文件上的时间标记是重要的政策执行依据和凭证,政务信息传递过程中的时间标记又是防止网络欺诈行为的重要指标,同时,时间也是政府各部门协同办公的参照物,因此,电子政务系统需要建立全系统可信、统一的时间源,这是保证电子政务系统不致出现混乱的关键因素。
4.信息传递过程中的加密原则。电子政务应用涵盖政府内部办公和面对公众的信息服务两大方面。就政府内部办公而言,电子政务系统涉及到部门与部门之间、上下级之间、地区与地区间的公文流转,这些公文的信息往往涉及到机密等级的问题,应予以严格保密。
5.操作系统的安全性考虑原则。网络安全的重要基础之一是安全的操作系统,因为所有的政务应用和安全措施(包括防火墙、防病毒、入侵检测等)都依赖操作系统提供底层支持。操作系统的漏洞或配置不当将有可能导致整个安全体系的崩溃。更危险的是,我们无法保证国外厂家的操作系统产品不存在后门。
F. 我国电子政务建设分为以下哪几个阶段
我国的电子政务建设起步于20世纪80年代的办公自动化系统建设。国内研究者将我国电子政务发展阶段进行了归纳,认为我国电子政务发展经历了办公自动化系统、专业领域信息化、政府上网工程实施和全面电子政务建设四个阶段:
第一阶段为办公自动化阶段,从20世纪80年代至90年代中期。这一阶段,政府办公使用计算机、传真、打印、复印机等现代办公设备和计算机技术、通讯技术、网络技术等协助处理信息,从而提高办公效率和质量。
第二阶段为专业领域信息化阶段,从1993年至1998年,此阶段是政府为推动国民经济信息化和社会发展信息化而提出的计算机联网、应用工程在专业领域的应用,主要表现为金字工程建设。
起步于1993年启动的“三金工程”,即“金桥”、“金关”、“金卡”,现已发展到“12金”甚至更多,即金税、金财、金盾、金审、金贸、金农、金保等。
(6)网络安全电子政务建设扩展阅读:
电子政务建设应用:
1、全国政协委员、苏宁云商董事长张近东提议,要在大数据时代发展电子政务,建立全国统一的电子政务平台,以更好的提升行政效率,进一步降低行政成本,更好的发挥社会管理职能,引起了强烈反响。
2、电子政务是国家实施政府职能转变,提高政府管理、公共服务和应急能力的重要举措,有利于带动整个国民经济和社会信息化的发展。电子政务市场规模初显。
3、在国家的大力支持和推动下,我国电子政务取得了较大进展,市场规模持续扩大,据数据显示,2006年,我国的电子政务市场规模为550亿元,同比增长16.4%,2010年,其市场规模突破1000亿元,2012年,其市场规模达到1390亿元,同比增长17.3%。
4、在现代计算机、网络通信等技术支撑下,政府机构日常办公、信息收集与发布、公共管理等事务在数字化、网络化的环境下进行的国家行政管理形式。
G. 如何提高政府电子政务网的安全性
提高政府电子政务网的安全性的方法:
1.加强政府网站安全工作组织领导,提高责任意识
从哈尔滨市每年开展的政府网站绩效考核工作可以看出,有相当数量部门领导没有把政府网站建设和安全管理工作作为一项重要工作来抓,存在重建设轻管理的问题。借鉴全国其他省(市)的先进经验,一是建议市政府将政府网站纳入地方政府和部门绩效考核体系,作为领导班子综合考核评价的内容之一,作为领导干部选拔任用的依据。二是要按照谁主管谁负责、谁运行谁负责的原则,强化管理和明确责任,确保政府网站安全管理工作落实到人,一层抓一层,做到网站管理不缺位,信息安全有保障。
2.建立健全政府网站安全管理制度,认真贯彻执行。
一是建立政府网站的安全管理制度体系,指导和制约网站安全建设和管理工作。网站出现相关问题时,工作人员要快速向网站相关负责人反映,以便及时得到处理;二是建立网站日常巡检制度,指定人员每日检查网站运行情况,及时发现并妥善解决存在的问题;三是建立具体负责人制度,对网站的网络管理、数据库服务维护、信息处理等实行谁主管谁负责;四是建立节假日值班制度,做到信息及时更新,保证网站不间断运行;建立日志记录备案制度,对网站日常工作要如实记录,并作为技术管理档案保存。
3.加强人才队伍的培养,统筹建立哈尔滨市应急处理体系
一是加强政府网站安全管理培训。通过参加信息安全、信息技术、信息管理等方面的培训,进一步提高网站工作人员整体建设网站、管理网站的能力。二是强化技术支撑保障工作。成立哈尔滨市信息安全测评中心,为哈尔滨市党政机关、企事业单位网站提供技术保障和技术支撑服务。三是建立政府网站专项应急预案,以保证政府网站在事故发生时得到快速、及时处理。四是建立信息安全检查监督机制。依据已确立的技术法规、标准与制度,定期开展信息安全检查工作,对检查中发现的违规行为,按规定处罚相关责任人,对检查中发现的安全问题和隐患,明确责任部门和责任人,限期整改。
4.统筹规划政府网站群建设,实施集约化管理。
积极推进云模式下政府网站群的集约化建设。一是按照哈尔滨市电子政务建设的总体要求,进行统筹规划,统一网站运行载体,避免分散、重复建设,即:利用哈尔滨市信息中心平台的基础环境作为哈尔滨市政府网站运行载体;由哈尔滨市信息中心平台的技术队伍,承担哈尔滨市政府网站的建设及日常运行的技术维护工作;对于缺乏建设、维护网站能力的单位或部门,不再建设独立网站,由哈尔滨市信息中心平台代为承载其应向社会公众提供的政府信息公开等政务公共服务功能。二是确立统一标准,完善政府信息公开和政务信息资源共享机制,规划“中国哈尔滨”门户网站群及内容管理系统建设,进一步整合各部门政府网站,按照统一规划、分步实施的原则,建立统一的站群管理平台,将哈尔滨市各政府机构网站整合到站群平台上运行,形成以市政府门户网站为核心,以政府机构网站为群体的,资源共享、协调联动的网站群体系,全面提高政府网站公共服务水平。三是加强网站群建设管理,强化安全保障,建立应急响应机制,依托由哈尔滨市信息中心平台现有技术、人才优势,为哈尔滨市政府网站建设单位提供安全技术支持、信息技术培训、网络安全风险评估等服务。
5.加大安全技术体系建设
技术防护是确保网站信息安全的有力措施,在技术防护上,主要做好以下几方面工作。
一是要加强网络环境安全。首先要安装网站防火墙(WAF)、网站防篡改系统、网络防火墙和入侵检测系统等,在传统的网络防火墙基础上,网站防火墙(WAF)从网络的应用层面提高网站安全防护能力,利用入侵检测系统识别黑客非法入侵、恶意攻击以及异常数据流量, 通过对网站防火墙(WAF)和网络防火墙进一步优化配置来阻断黑客非法入侵、恶意攻击。网站防篡改系统是网站最后一道防护屏障,一旦防护失效时,网站首页或内容被篡改,防篡改系统可立即恢复网站被篡改的内容,不至于造成政治事件和影响,同时给网站管理人员短暂喘息时间,及时修改和完善网站安全配置文件,确保网站安全稳定运行。
二是加强网站平台安全管理。在现有中心平台的基础上,进一步优化完善网络结构、合理配置网络资源,配置下一代防火墙、病毒防护体系、网络安全检测扫描设备和网络安全集中审计系统等设备,从边界防护、访问控制、入侵检测、行为审计、防毒防护、安全保护等方面不断完善哈尔滨市信息化中心平台的安全体系建设,确保在哈尔滨市信息中心平台基础环境下,大数据平台、大工业体系信息化辅助决策平台和云模式下政府网站群平台安全稳定建设运行。
三是加强网站代码安全。一个安全的网站,不但要有良好的网络环境,更要有高质量的应用系统,现时期由于网站代码不严密、安全性差引起的网络安全事件屡见不鲜,这就要求网站技术开发人员在开发应用系统过程中,要养成良好的代码编写习惯,尽量不要使用来历不明的代码和插件,编写程序时要严格过滤敏感的字符,并且在系统开发完成后,要有相应的代码检测机制和手段,及时更新漏洞补丁,从源头上遏制网站挂马、SQL注入和跨站点脚本攻击等行为。要部署网页防篡改系统,网页防篡改系统具备实时阻断非法修改和对非法修改的文件进行恢复的能力,在其他防护措施失效的情况下,能够有效地解决网页被篡改的问题,实现针对网站信息的保护。
四是加强数据安全。要加强数据库的安全,采用正版数据库系统,通过网络安全域划分,数据库被隐藏在安全区域,同时通过安全加固服务对数据库进行安全配置,并对数据库的访问权限做最为严格的设定,最大限定保证数据库安全;部署数据灾备系统,对网站和关键应用系统数据进行定期备份,利用市政府大楼机房环境,将这些数据进行异地备份,确保关键数据安全,防止造成无法挽回的损失。
随着信息技术的飞跃发展,黑客、木马等攻击和入侵手段也随之变化多样且层出不穷,给政府网站的安全管理带来极大的威胁,各级政府、各部门要切实增强政府网站安全责任意识,加强对政府网站安全工作的领导,进一步强化监督管理,明确责任分工,加强安全防范措施,以安全为己任,为哈尔滨市政府网站和重要信息系统安全稳定运行创造一个良好的环境。
H. 电子政务安全问题产生的原因有哪些
后门的隐患;安全漏洞的问题;人为地无意疏忽;人为地恶意攻击。
(仅供参考)
I. 谈谈我国平台化模式建设中,如何加强电子政务网络安全系统的建设
答:网络安全建设是一个系统工程,该区电子政务网网络安全体系建设应按照“统一规划、统筹安排,统一标准、相互配套”的原则进行,采用先进的“平台化”建设思想,避免重复投入、重复建设,充分考虑整体和局部的利益,坚持近期目标与远期目标相结合
任何网络的安全都不单靠先进的安全技术或安全产品来实现的,必须结合管理。尤其是当前我国发生的网络安全问题中,管理问题占相当大的比例。因此,在建立网络安全技术设施体系的同时,必须建立相应的制度和管理体系,才能保证网络持续和整体的安全
答:如何进一步加强电子政务的安全建设
(1) 安全保障为先
安全是应用的保障。在电子政务建设之初,有关部门就应该考虑电子政务安全体系建设。不管是构架在政务内网还是在政务外网的电子政务平台,都必须把安全保障作为首要任务。事实上,没有绝对安全的网络,因此,做好安全保障工作,是需要所有电子政务建设者思考和探索的问题。现阶段,有些人片面地认为电子政务平台构架在政务内网就绝对安全,这样的极端认识造成目前一些内网建设出现不分级保护、简单口令或低级技术的软盘登陆、不设防的网络构架、无任何管理制度等问题,给电子政务的安全带来隐患。
而构架于互联网的电子政务建设,在信息安全方面存在更大的风险,这也给电子政务建设带来了挑战和考验,因此在安全上不能有丝毫松懈,在规划和建设过程中必须有更高的标准和要求
(2) 根据需求做好安全保障
电子政务安全体系建设必须从实际出发,做到适度安全,通过综合防范、构建有效的安全体系,使电子政务既安全又实用才是其目的所在
(3)全方位构建电子政务安全保障体系
电子政务建设如果没有完备的安全保障体系,将举步维艰
1), 网络构架的安全。政务内网和外网建设都必须严格按照国务院文件要求,按内外网物理隔离的方式进行建设。同时,网络安全设备合理划分、限级访问、软硬件安全防范、信息安全传输策略等都是安全保障工作的基础。玉林市通过对安全等级和安全域的划分,对不同等级信息系统和安全域的安全保护采取管理与技术相结合的手段,实现了适度的安全保障,提高了信息系统的整体防御能力
2), 信息分级管理与防护。在电子政务建设中,必须高度重视信息安全。但是一味地强调安全,从而忽视对政府信息资源的充分公开,必然对电子政务的应用造成许多人为的障碍,电子政务的价值也会大打折扣。同样,不能因为片面强调安全,而把所有应用系统建设在内网上,使一些可以公开的公众数据封闭在内网,造成资源的严重浪费。实际上,不同的电子政务系统,对于信息安全的要求也有所不同。玉林市电子政务建设在风险分析的前提下合理定级,对信息进行分域防控和分级防护。在分域防控方面,将信息分为公开信息处理区和敏感信息处理区,根据其不同特点分别进行防护;在分级防护方面,将信息分为完全公开、内部公开和部分授权三类,采取不同的安全措施,合理有效地保障了信息安全
3), 完善网络安全基础设施。网络安全基础设施,是为信息系统应用主体和网络安全执法主体提供网络安全公共服务和支撑的一种社会基础设施。目前我国网络安全基础设施的建设还处于起步阶段,如网络监控中心、安全产品评测中心、网络安全应急响应中心、计算机病毒防治中心、系统灾难恢复中心、电子交易安全证书授权中心、密钥监管中心等网络安全基础设施尚未建设完全。目前,部分电子政务应用系统只能依靠口令和软盘登陆,带来了重大安全隐患。玉林市电子政务则建立了有效的身份认证、数字签名、授权管理、责任认定机制,并通过用户分级授权保证等级保护的分类实施,保证了系统使用的灵活性。同时,玉林市加强了信息安全监察,如统一威胁管理系统、入侵检测系统、防篡改系统等,健全了电子政务应急响应和灾备建设,通过制度和技术手段,保证系统的正常运行
4), 从管理体制上落实安全责任制。利用先进的技术手段,是电子政务安全建设的保障。但技术不是万能的,技术与管理的并重才能事半功倍。因此,必须健全网络安全的法律法规,强化电子政务信息安全的法制管理。电子政务应用系统的操作者都必须提高自身素质,因为内部人员是否对网络进行恶意操作和是否具有一定程度的网络安全意识,在很大程度上决定着网络的安全等级系数和防护能力。要落实各项安全保障制度,如所有信息的定密制度(为信息的公开提供可行性依据)、网络区域的有限划分制度(划分不同的网络区域,针对不同的安全级别制定不同的安全策略,采用不同的网络安全设备)、完善的内部监控与审核制度、公钥(私钥)管理体系、灾难响应及应急处理制度等等。此外,还应加大执法力度,严格执法。玉林市在电子政务建设过程中,由市信息办会同公安、保密等部门对该市的电子政务系统进行了安全等级评估和风险评估,并制定了电子政务应急预案。
电子政务信息安全保障工作不是一成不变的,它是一个动态发展的过程。随着安全攻击和防范技术的发展,电子政务的安全保障措施也要因时因势分阶段调整,这样才能把风险降到最低
J. 电子政务网络安全管理办法
电子政务网络安全管理办法 为加强我县电子政务网络安全管理工作,确保网络安全运行,结合我县的实际情况特制定电子政务网络安全管理办法。
、各单位网络管理人员必须精心维护好单位的网络设备,做到防尘、防热、防潮、防水、防磁、防静电等,以增加设备使用限。县政府办将定期对各单位的网络管理情况进行检查,发现不能达到以上要求的单位,将对其进行通报批评,对由于管理人员疏忽造成网络安全事故的,将追究相关管理员及单位领导责任。
、各联网单位不得随意更改政务网络接入设备配置,不得擅自切断电子政务网络设备电源,不得擅自挪动相关设备和切断、移动相关传输线路,不得擅自与其他网络对接,不得随意增加交换机、集线器以及接入信息点数量,如需进行以上变动,应向县政府办信息科提出申请,经批准后方可实施。
、各联网单位要增强网络安全意识,严禁登陆浏览黄色网站(网),禁止下载、使用存在安全隐患的软件,不得打开来历不明的电子邮件附件,不得随意使用计算机文件享功能,防止计算机受到病毒的侵入。
、工作时间禁止玩网游、下载电影及大型软件,以保证本单位网络速度。县政府办信息科将采取技术措施对互联网出入口的数据进行监控,对发现的问题将在全县范围内进行通报,并按照相关规定严肃处理。
、政务网计算机使用单位和个人,都有保护政务网信息与网络安全的责任和义务,所有关于本单位网站、论坛、信息录入等密码要严格保密不得泄露,一旦泄露立即报政府办信息科进行密码修改。
、各接入单位应当定期制作计算机信息系统备份,备份介质实行异地存放。对可能遭受的侵害和破坏,应当制定灾难防治预案。
、要配备计算机系统补丁升级和病毒防治工具,定期进行系统补丁升级和病毒检查。使用新机、新盘及拷贝的软件、数据,上机前应进行系统补丁升级和病毒检查。
、办工人员严禁下列操作行为:
()非法侵入他人计算机信息系统和联网设备操作系统;
()未经授权对他人计算机信息系统的功能进行删除、修改、增加和干扰,影响计算机信息系统正常运行;
()故意制作、传播计算机病毒等破坏程序;
()将非业务用计算机或网络擅自接入政务内网,将业务用计算机或网络接入互联网或其他非政府机关的网络;
()在政务网使用的计算机及网络设备在未采取安全隔离措施的情况下同时连接政务网和其它网络;
()将存有涉密信息的计算机擅自连接国际互联网或其他公网络;
()擅自在政务网上开设与工作无关的网络服务;
()发布反动、淫秽色情等有害信息;
()擅自对政务网计算机信息系统和网络进行扫描;
()对信息安全事(案)件或重大安全隐患隐瞒不报;
()擅自修改计算机ip或mac地址。
、在发生紧急事件时,为避免造成更大损失和影响,信息科有权或者要求有关部门采取以下措施:
()拆除可能影响安全或有安全隐患的设备或部件;
()隔离相关的终端、服务器或网络;
()关闭相关的终端、服务器或网络;
、各节点单位要加强计算机病毒的防治工作,切实履行下列职责:
()建立本单位的计算机病毒防治管理制度;
()采取计算机病毒安全技术防治措施;
()对本单位节点微机使用人员进行计算机病毒防治教育和培训;
()使用具有计算机信息与系统安全专用产品销售许可证的网络安全产品,定期检测,做好杀毒软件的升级,清除计算机信息系统中的计算机病毒,并备有检测清除记录;
()禁止在政务网上使用来历不明、可能引发病毒传染的软件;对于来历不明的可能带有计算机病毒的软件应使用正版杀毒软件检查、杀毒。