购物车(0)
电子政务信息安全探讨:电子政务信息安全问题分析
一、我国电子政务信息安全问题日益突出
(一)重信息安全建设,轻信息安全管理
在实际的安全管理工作中会经常出现这么一种状况,领导往往更加重视系统的软硬件建设,设备和人的管理工作相对抓的比较少。系统的风险管理、信息的审计跟踪、数据的备份恢复以及突发事件的应急处理是电子政务安全系统运行必备的四个方面,而这四个方面的管理主体都是系统操作人员,因此管理人员的安全素质跟电子政务信息安全息息相关。另一方面,人是网络上各类攻击、破解、监听等黑客工具和病毒的制造者,是互联网的管理者,据调查由于管理人员的疏忽大意和懒惰无知而造成的黑客入侵案例占8%以上。从实际情况来看,我国的电子政务建设存在着不足,一方面政府部门在建设电子政务时实行“谁建设谁运维”的做法;另一方面政府对网络专业人员的培训相对薄弱,缺乏专、精、高的技术型人才,从而遇到一些相对专业和复杂的问题不能及时解决或交由网络公司的专业人员来解决;同时部门中的网管人员责权不明确、人事管理制度不健全、人员频繁变动等等这些问题都会给电子政务信息的安全造成重大隐患。
(二)信息技术发展滞后
1.硬件发展先天不足,核心技术是关键。我国因历史原因,信息化的发展起步比一些发达国家要晚,硬件的核心技术还没有掌握,因此电子政务建设中的很多关键设备都是从国外进口,我国的信息化发展从根源上被桎梏,也造成了很多的重要机密泄露事件。诸如Windows98操作系统和PⅢ处理器暗留“后门”等此类行为都会对用户的信息造成极大的安全隐患。近年来我国信息化产业飞速发展,电脑制造技术也取得了丰硕成果,但像中央处理器等此类需要高端技术的设备研发仍然较弱,其核心技术都是来源于国外。由于缺乏相关的高端技术人才,对国外引进设备的技术监督和改造力量薄弱,导致我国电子政务的信息安全先天就存在着致命的隐患,一旦与这些国家的关系发生转变,就可能给军事、经济、社会等领域带来不可预料的后果[1]。
2.软件开发滞后,安全和应用系统缺乏创新。我国电子政务系统中的应用、信息安全两大系统开发相对滞后,因技术创新薄弱、核心技术和自主产品的缺乏、黑客行为防御能力弱等原因,造成了电子政务系统在针对各类入侵和破坏的防御薄弱。比如黑客攻击,大部分都是利用软件预留的“后门”进入系统的,而“后门”则是程序员为了方便自己而设计的,程序设计人员的变动极易让这种后门代码流转出去,被一些别有目的的势力或黑客获得,一旦这些人打开了“后门”,后果将不言而喻。大家所熟知的诸如“熊猫烧香”、“灰鸽子”、“CIH”等病毒攻击,就曾导致我国很多计算机的信息被破坏、修改,乃至瘫痪,这些事情无时都在提醒我们软件系统的自主开发已经迫在眉睫了。
3.缺乏统一的技术标准,数据不一致,内容不共享。一方面由于职权的分割,造成各部门在搜集和存储政务信息时产生了很多不一致乃至是矛盾的信息。比较突出的如税务、海关、工商某些数据库就没有标准性的维护机制;由于各自的政务信息管理队伍、管理机制和数据库都已经建成,于是政府各部门间都想方设法要保留自己的成果而希望取缔别人的雷同成果;同时,由于种种原因不能为他人提供及时的信息共享。另一方面就是“信息孤岛”现象,目前由于缺乏统一的规划,政务建设中的技术标准未统一,导致很多政府部门建立的政务系统和政务网站没有应用到具体工作之中,经常处于“死网”或“死库”的状况。政府部门或单位间的软硬件系统兼容性较弱,硬件缺乏接口或者接口的标准不一;软件各为其政,设计重复,互相无法访问;资源建设百花齐放,数据格式不一,无法共建共享。这种各自为政的电子政务建设不仅造就了大量的“信息孤岛”,浪费国家资源,而且也很难实现政府部门间的互连互通和信息共享。
(三)安全管理机制不规范
我国电子政务信息安全的管理机制还不完善,其主要表现有以下几方面:一是涉密信息的审查机制不够完善:一方面,尽管制定了一系列诸如《政府信息公开条例》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》等的规定,建立了政务网络信息保密审查制度,可是在具体操作过程时,信息人员往往分不清哪些可以公开,哪些信息需要保密,往往仅注重了信息的真实性和及时性,稍一疏忽就把机密信息公开出去,从而造成了泄密。另一方面,涉密信息的审查机制和相关人员责任的追究机制还不完善,从而导致涉密信息上网审查和把关不到位,一些涉密信息被人为或无意地公布于网络之上,致使政务信息泄密事件屡有发生,对政府的执政威信造成一定的影响。二是动态的监督机制不到位:电子政务信息的安全管理过程是动态的,也就是说突发事件随时可能发生。目前我国对电子政务信息安全的动态监督不到位,风险评估机制和突发事件管理机制尚未完善,各级之间缺乏监管机制,多方位、常态化的巡查机制亟待完善,从而导致突发事件处理不当,不能及时将其消灭在萌芽状态,造成一些电子政务网络不能及时、恰当地应对各类网络信息破坏和入侵等事件。三是信息的保密管理机制不健全:我国电子政务的起步较晚,电子政务信息安全管理方面的立法相对滞后,法律法规建设还不完善,只是对互联网的管理制定了一些限制性的行政法规和条例,甚至一些地方政府制定的保密制度都已过时或不健全,且缺乏监督执行。因此,我国的电子政务信息安全领域亟待加强信息保密管理的机制建设。目前我国还缺乏一个具有较高的、能统筹管理的信息安全机构,以及一个与社会信息化建设进程步调一致的信息安全发展战略规划。电子政务建设的关键是做好长期的战略规划,否则就会出现部门重复建设和地区发展不平衡,不仅造成基础建设和信息资源浪
费,也会带来管理上的混乱[2]。 二、齐抓共管构筑安全的电子政务系统
针对国内外信息安全形势和我国信息安全的现状,结合电子政务工作中实际存在的问题,为加强电子政务信息安全保障工作,可从以下几个方面采取措施。
(一)基础建设和安全管理两手都要抓
1.加强信息安全防御资源的整合。多方位整合、清理信息防护资源,统一制定信息防护系统的战略目标,避免重复建设和信息孤岛现象的出现。系统的技术保障方面,先要统一与具有国家标准资质、专业且口碑好的安全技术服务公司签订服务合同,再根据本单位的具体情况来分步实施。
2.完善信息安全系统的管理机制。从战略的高度制定覆盖整个信息系统从建设到运行的安全管理制度,学习国外管理经验,引入其先进的设计理念和管理机制到信息系统开发阶段中去,加强信息系统基础建设中的安全管理;强化整个信息系统运行维护阶段的安全管理,形成常态化的定期风险评估和处理机制,以及突发信息安全事件的管理机制。
3.加强制定信息安全的管理规范。根据电子政务信息安全的发展趋势,制定信息安全保障的中长期战略规划和工作目标,完善电子政务信息安全的管理细则,从而形成规范的电子政务信息管理体系。
4.加强专业人才培养,保障信息安全。安全保障体系建设不仅需要对管理人员进行专业的培养,还需要全体政务管理人员具有强烈的政务信息安全意识和专业的操作知识,各部门不仅要对专业的技术人才进行培养,还要对政务管理人员进行全员培训,除了岗前培训外,还要制定定期培训、座谈会、请专家演示等多种形式的信息安全培训和考核机制,使信息安全操作成为一项政务信息管理人员的必备技能。
(二)自主研发,统一技术标准
电子政务运行的基础是计算机和网络技术,电子政务信息安全的关键是要有软硬件的自主产权和核心技术。因此,我国应出台相应政策,集中人力、物力自主发展专用芯片、密码技术等,培养高端人才,完善安全评估和质量认证体系,发展具有先进性和自主性的信息化技术,逐步摆脱核心技术受制于人的现象。电子政务系统建设,要尽可能开发、利用具有自主产权的关键技术和基础设备,自主建设具有的技术、自主生产的软硬件产品的电子政务信息系统,以确保我国电子政务持续健康的发展。电子政务统一的标准应当分层设计。一方面根据急用先行原则设计一些急需的标准;另一方面,规划出我国电子政务发展的阶段性目标和路径,根据这些目标来一步一步设计电子政务标准。就我国目前的现状来看,行政区域辽阔,地区之间的经济发展和信息化水平存在的差异较大,不平衡性表现突出,因此在设计标准时,应当把这些客观因素充分考虑进来;就我国地区间信息化水平差异较大的特点来看,可先制定网络的标准,然后按照信息化水平由高到低逐步覆盖;就“信息孤岛”现象来看,可以统一程序编写语言、数据库架构、信息资源格式等标准,使得部门之间能够互联互通。然后把电子政务的种类和服务类型进行划分,功能上由易到难,机构上由简到繁,对相关标准的制定进行逐步推进,而不能一蹴而就地把电子政务的相关标准一次性设置出来,导致标准一次性设置过多,难以兼顾到细节且脱离实际,各部门在执行标准时也可能因为标准过多而无从下手,进而使得电子政务建设没有达到预期的标准。标准的设立是一个长期的过程,要根据专家、政府、用户等多方的反馈意见来不断修改,最终才能确立,社会的广泛参与是电子政务标准设立过程中必不可少。
(三)加强机制建设,构建安全的电子政务网络
政府部门要严格督促下属各单位、系统的管理机构,明确信息安全建设的领导及岗位责任制,制定相关管理措施,严格安全管理机制,确保政务信息的安全,并对破坏电子政务信息安全的事件进行严肃调查和处理。
1.提高保密意识。电子政务信息安全管理首要解决的问题是提高政务信息管理者的保密意识,要加强组织领导,加强电子政务信息安全知识的宣传教育。采取授课、座谈、知识竞赛等多种方式,对政务信息管理人员进行多方位常态化的宣传教育,提高其信息的安全保密意识,推动电子政务信息安全流转。另外还要积极开展安全策略研究,明确安全责任,增强政务信息工作者的责任心[3]。
2.建立安全管理制度。没有管理组织保障,再好的设备和技术也难以保障政务信息的安全。据调查,在已发生的网络安全事件中,因为管理者问题造成的案例占8%以上,因此信息安全保障体系的建设,首要解决的就是各类相关组织体系的建设,如:信息与网络安全领导小组、信息安全管理处、信息安全管理员等。另外,信息化贯穿了政务工作的全过程,政务信息安全不仅仅是相关信息化部门的问题,更是整个政府政务人员的综合安全管理问题,因此政府领导和各部门对信息安全管理问题的重视很重要,要想把政务信息的安全保障体系建设落到实处,就只有把信息安全管理纳入到政府整体的政务管理中去。
3.健全法律制度,严格依法执行。电子政务规范有序发展的保障是具有完善的电子政务法律体系。为了推动我国电子政务安全、健康的发展,就要树立“立法先行”的理念,通过制定相应的法律法规、修订现有的法律,逐步建立电子政务法律体系,促进我国电子政务持续健康的发展。
电子政务信息安全探讨:电子政务信息安全保密管理的探讨
1、前言
电子政务的呈现让我国政府部门的社会服务能力患上到了显着的提高,但因为它的信息传布与同享均需要由互联网作为载体,并且在当前的信息时期之中互联网技术的普及速度变患上愈来愈快,从而在无形之中增添了电子政务信息所面临的各类安全风险。此外,电子政务信息中存在着良多有关于国家秘要与核心政务的内容,其不但关乎到国家政府部门的正常运作,同时还直接挂钩国家财政部门的经济利益,所以说电子政务信息的安全保密管理工作是当前政府需要去当即完成的1项首要任务。
2、电子政务与信息安全概述
首先,电子政务所指的即为政府部门应用高科技信息技术,针对于原有!的政府组织结构与业务流程进行从新组合与分配。此种新型的政务方式1方面能够打破原本的时间与空间等因素限制,另外一方面则能够有效提高政府部门的服务能力,增添政府部门同社会民众之间的粘性程度。其次,信息安全所代表的即为国家的秘要信息内容与信息技术体系不会遭到歹意泄露或者是非法袭击,在具体的信息安全管理工作中,互联网安全与计算机安全都属于信息安全系统的范畴之中。其中网络安全主要着重于信息在互联网环境中进行传布时所面临的各类安全隐患;而计算机安全则是更为重视信息的存储环境与处理方式的规范性。在《中华人民共以及国计算机信息系统安全维护条例》中针对于信息安全做出了如下的陈说:“保障计算机及其相干的配套装备、设施的安全,运行环境的安全,保障信息安全,保障计算机功能的正常施展,和保护计算机信息系统的安全”。基于此,咱们大体可以将电子政务信息安全解读为:确保国家政府首要保密信息的安全性、用于电子政务计算机装备的性、互联网环境的畅通性和安保工作的性等等。
3、电子政务信息安全保密的管理措施
(1)基础建设与安全管理要“左右开弓”
首先,加大对于信息安全防御资源的整协力度。为了能够将资源挥霍与信息孤岛现象彻底杜绝,应该针对于现有的信息防护资源进行多方位的整合与筛选,并且在此基础之上制订出1个统1的信息安全防护目标。此外,待战略目标肯定以后,应选择同知名度较高且专业性较强的信息安全技术企业达成合作共鸣,而后再结合单位的实际情况来展开下1步的安保规划制订。其次,进1步安保系统的管理体系。应该依据制订完成的战略目标将安保轨制彻底融入到信息系统之中,并时常性的学习以及采纳其他先进国家的管理经验,确保整个信息系统从开发、运行和保护等所有阶段中的安全管理工作均可以到达1流标准。另外,还需要在安全系统管理体系的进程中尽快构成风险预估与应急处理机制,确保整个安保系统的不乱性。,进1步加大对于专业人材的培育力度。安全保密管理体系建设的主要利用对于象是人,也就是说相干安全管理人员的个人素质与专业技巧直接关乎到整个安保管理体系水平的高度。基于此,在今后的建设工作中1方面要针对于现任的管理人员展开专业技术培训,另外一方面则需要从根本上提高所有政务信息管理工作者的工作责任感与保深情识,通过展开座谈会、教育讲座和聘用专家演讲等方式来让政务信息管理工作者能够从根本上意想到安保工作的首要性。
(2)科学利用信息安全技术
安全技术是整个电子政务安全防护体系中的重中之重,其中包含了网络安全、数据安全、传输安全和存储安全等等。安全技术体系中的网络安全包含湖互联网入侵、互联网漏洞、网闸、接入管理、病毒库管理、防火墙和网络用户审计等等;而数据、传输与存储安全则主要包含了信息数据的备份、存储、恢复、PMI和PKI/CA等等。在实际的电子政务信息安保体系中,凡是能够同安全保密工作有关的产品都需要在保障科学布置的基础上,的斟酌到其所应具备的自主选择权力与自主节制权力。特别是在针对于先进技术的引进、管理模式的改革、经营范围的扩展和服务理念上的更新等首要环节来讲,更为需要进1步加大相干人力与物力资源与本钱的投入,尽量运用较短的时间来研发出自有的计算机芯片与信息操作系统,从根本上将政务信息的网络安全等级晋升到1个新的高度。除了此以外,为了能够保障安全产品可以逐步朝向产业化的方向所发展以及进步,各个处所上的政府部门应该在今后构建电子政务信息系统的进程当选择同国内的技术企业进行合作,争夺早日研发出水平1流且品牌知名度高的信息安全产品。
(3)健全法律轨制,加大执法力度
正所谓无规矩不成方圆,特别是在互联网飞速发展的今天,只有针对于现有的法律轨制与执法环境进行健全与优化,才能够保障电子政务信息的安全管理体系可以到达更高的保密水平与防护标准。如今,国际中的1些发达国家已经经针对于政务信息安全树立了较为的法律轨制,例如在美国政府所颁布的《情报自由法》、英国政府颁布的《官方信息维护法》和俄罗斯政府颁布的《联邦信息、信息化以及信息维护法》等等都是值患上我国去鉴戒以及参考的成熟例子。笔者认为,国内的立法部门应该进1步加快有关于电子政务信息安保管理工作的立法速度,结合国内的互联网环境与电子政务特征来制订出如下几个方面法律轨制,其中包含网络用户隐私维护法、数据库管理法、互联网安全法和网络知识维护法等等。除了此以外,国内的执法部门也需要进1步加大执法力度,特别是在面对于那些从事网络犯法与盗取政务信息的不法行动来讲,1经发现必需要严肃处理,坚决将电子政务信息安全管理中所存在的各类隐患抹杀在苗头当中。
电子政务信息安全探讨:我国交通运输电子政务信息安全保障体系的构建
摘要:信息技术的发展越来越深刻地影响着我国电子政务的发展。本文结合交通运输电子政务的安全需求,分析了我国交通运输电子政务平台的发展现状及其面临的矛盾,从信息安全保障体系的基本要求出发,给出了从组织体系、技术体系、运营体系、策略体系和保障对象体系等五个安全体系构建交通运输电子政务信息安全保障体系的解决方案。
关键词:交通运输;电子政务;信息化;安全保障体系
0引言:电子政务信息安全问题
电子政务是一个基于现代信息技术的综合性政务信息系统,涉及政府机关、各团体、企业和社会公众,其基本框架一般来说主要包括政府办公政务网、办公政务资源网、公众信息网和办公政务信息资源数据库四个部分,即“三网一库”。我国早在2002年7月《关于我国电子政务建设指导意见》中,明确“把电子政务建设作为今后一个时期我国信息化工作的重点,政府先行,带动国民经济和社会发展信息化”,2006年进一步在《2006-2020年国家信息化发展战略》中明确“电子政务”作为我国信息化发展的重点战略,实现政府“改善公共服务,加强社会管理,强化综合监管和完善宏观调控”。电子政务上升到国家信息化的发展战略,其带给政府的意义在于不断促使政府公共服务创新,建设服务型政府。
而随着政府电子政务信息化的不断发展,电子政务对于信息系统的依赖性越来越强,不断涌现出来的信息安全问题成为政府信息主管部门关注的焦点。据cncert/cc监测显示, 2010年中国大陆有近3.5万个网站被黑客篡改,数量较2009年下降21.5%,但其中被篡改的政府网站高达4635个,比2009年上升67.6%。政府网站及其政务平台安全防护的薄弱性,不仅影响了政府形象和电子政务工作的开展,还给不法分子虚假信息或植入网页木马以可乘之机。因此,政府信息化主管部门如何在其信息化过程中,既能创新政府公务服务实现服务性政府职能,又能保障其电子政务平台的信息安全,保护其政务信息资源价值不受侵犯,保障信息资产的拥有者面临最小的风险,保障政务平台的信息基础设施、信息应用服务和信息内容具有机密性、完整性、不可修改性、可用性,能够抵御各种威胁,并在信息安全管理上保持良好的可控性,已成为政府在建设其电子政务平台过程中的重要课题。
本文将结合交通运输电子政务平台,分析其信息安全保障体系建设的基本要求和构建框架。
1我国交通运输电子政务平台的发展现状及面临的矛盾
2004年2月,交通部在其制定的《中国交通电子政务建设总体方案》中,提出了“交通政务内网、交通政务外网和电子信息资源库”的交通电子政务建设总体架构。为进一步规范交通电子政务的建设,交通部于2008年12月出台了《交通运输电子政务网络及业务应用系统建设技术指南(试行)》。在政策的指导下,我国交通电子政务平台的发展速度加快,交通电子政务平台的基础架构已经凸显规模,部(交通运输部)省(各省道路运输管理部门)道路运输管理信息系统建设,已实现了20多个省(区、市)运政系统与部联网,纵向业务系统互联互通、资源共享、整合利用的模式已初步建立。与此同时,交通电子政务平台的信息化标准规范体系也得到进一步完善。交通部先后制订颁布了覆盖公路、水路交通行业主要业务领域的公路、港口、航道、船舶、道路运输、水路运输、船员、建设项目、交通统计、船舶检验、船载客货、收费公路等10多项交通信息基础数据元标准,颁布了公路水路交通信息资源业务分类和元数据标准以及道路运输管理与服务系统技术要求和接口规范等标准。这些标准的出台对于规范行业信息化发展,推动交通电子政务建设,促进交通信息资源整合发挥重要的支撑保障作用。
在我国交通电子政务的信息化进程中,实现部、省交通部门办公自动化、电子化、网络化;实现信息网络宽带化,网络间实现高速互联互通;建立交通信息资源数据库,整合、开发信息资源,形成面向社会的政府公众信息服务网等信息化建设,是交通电子政务建设的重点,这些重点建设内容均与信息技术相关,离不开网络的支撑。网络的“开放性”与政务的“安全性”、网络的“可访问性”与政务的“稳定性”成为当前我国交通电子政务实施过程的两大矛盾。
1.1平台的安全性与开放性之间的矛盾
即电子政务的安全要求与电子政务平台的开放性要求成为交通电子政务实施过程中最难以平衡的一对矛盾。如何把握政务“安全”与网络“开放”的平衡,一方面要把握住哪些信息是交通政府部门的机密,哪些是开放;另一方面,在电子政务平台的建设过程中如何摆脱“安全化”倾向,否则电子政务服务的公众性就会失去落脚点,以政务信息化带动社会信息化、企业信息化的战略意图也将难以实现。
1.2平台的安全性与可访问性之间的矛盾
电子政务的安全性要求与电子政务平台的可访问性要求成为交通电子政务实施过程中另一对矛盾。电子政务平台应重视其信息安全问题,其另一层含义还应注意保持网络安全性与可访问性之间的平衡。交通电子政务平台必须易于访问,这样才能激励公众去使用它。而在提供了更好的可访问性的同时,也将交通运输的数据暴露在不断增长的病毒及未授权访问的威胁之下,导致政务平台的不安全性。
2我国交通运输电子政务平台信息安全保障体系的构建
当前我国交通电子政务实施过程的两大矛盾的解决,依赖于安全、稳定、的交通运输电子政务平台信息安全保障体系。对于电子政务平台实施过程中所面临的信息安全保障问题,我国早在2003年9月颁发的《关于加强信息安全保障工作的意见》中明确提出了建立等级保护制度和风险管理体系的要求。2004年11月,公安部等国家四部委联合推出信息安全等级保护要求、测评准则和实施指南,为政务领域进一步建立政务信息系统风险管理体系提供了技术基础和指导。交通运输部也于2008年12月颁布的《交通运输电子政务网络及业务应用系统建设技术指南》中对交通电子政务平台的安全保障体系作了详细的技术规范。
随着交通政府机构的信息安全基础建设日趋完善,建立一套信息安全管理平台,既满足电子政务平台的开放性和可访问性,又保障电子政务平台的安全性,也日益迫切。交通电子政务信息安全保障体系可从以下几个角度进行充分构建:
2.1信息安全保障体系及其基本要求
信息安全保障体系是基于pki体系而开发的为多个应用系统提供统一认证、访问控制、应用审计和远程接入的应用安全网关系统,它可以将不同地理位置、不同基础设施(主机、网络设备和安全设备等)中分散且海量的安全信息进行样式化、汇总、过滤和关联分析,形成基于基础设施与域的统一等级的威胁与风险管理,并依托安全知识库和工作流程驱动,对威胁与风险进行响应和处理。信息安全保障体系的基本要求主要体现在以下几个方面:
1)保密性
主要体现在谁能拥有信息,如何保障秘密和敏感信息仅为授权者享有。
2)完整性
主要体现在拥有的信息是否正确以及如何保障信息从真实的信源发往真实的信宿,传输、存储、处理中未被删改、增添、替换。
3)可用性
主要体现在信息和信息系统是否能够使用以及如何保障信息和信息系统随时可为授权者提供服务而不被非授权者滥用。
4)可控性
主要体现在是否能够监控管理信息和系统以及如何保障信息和信息系统的授权认证和监控管理。 5)不可否认性
主要体现在信息行为人为信息行为承担责任,保障信息行为人不能否认其信息行为。
总之,信息安全保障体系的基本要求主要从技术和管理两个层面得以实现。技术层面在实现信息资源的公开性、共享性和可访问性的同时,通过主机安全、网络安全、物理安全、数据安全和应用安全等技术要素保障信息的安全性。管理层面则可通过安全管理机制、安全管理制度、人员安全管理、系统建设管理以及系统运营管理等规范化机制得以保障信息的安全性。信息安全保障体系的基本要求如下图所示:
图1 信息安全保障体系的基本要求
2.2交通电子政务平台信息安全保障体系的构建
交通电子政务平台的信息安全保障体系,应该由组织体系、技术体系、运营体系、策略体系和保障对象体系等共同组成。以安徽省交通电子政务平台为例,进行构建交通电子政务平台的信息安全保障体系。
2.2.1 安全组织体系
政府高度重视交通运输信息化工作的同时,坚持把“积极防御,综合防范”放在优先位置,首先要求成立专门的信息安全领导小组。信息安全领导小组可由交通主管领导担任领导小组组长主管信息安全工作,下设信息安全工作组,各管理部门负责人、业务部门负责人为成员。
2.2.2 安全技术体系
交通电子政务平台的安全技术体系可搭建专业的安全管理运营中心,并从基础设施安全和应用安全两个方面去搭建安全技术支撑体系。
2.2.3 安全运营体系
交通电子政务的安全运营体系一般可由安全体系推广与落实、项目建设的安全管理、安全风险管理与控制和日常安全运行与维护四个部分组成。安全运营体系是一个完整的过程体系,在交通电子政务平台的整个过程中,正常的运作流程,其信息流遵循自上而下的流程,即交通上级部门根据电子政务平台信息安全需求的目标、规划和控制要求做计划,下级交通部门根据计划进行执行、检查和改进。而若交通电子政务平台其安全性出现威胁,影响正常的运作流程时,此时信息流则遵循自下而上的逆向过程,下级交通部门向上级部门报送安全事件,上级部门根据其安全事件进行分析、总结和改进。
2.2.4 安全策略体系
网络安全策略是为了保护网络不受来自网络内外的各种危害而采取的防范措施的总和,因此信息安全策略是信息安全保障体系建设和实施的指导和依据,科学的安全策略体系应贯穿信息安全保障体系建设的始终。安全策略体系,主要包含安全政策体系、安全组织体系、安全技术体系和安全运行体系四个方面的要素,在采用各种安全技术控制措施的同时,必须制订层次化的安全策略,完善安全管理组织机构和人员配备,提高安全管理人员的安全意识和技术水平,完善各种安全策略和安全机制,利用多种安全技术实施和网络安全管理实现对网络的多层保护,减小网络受到攻击的可能性,防范网络安全事件的发生,提高对安全事件的反应处理能力,并在网络安全事件发生时尽量减少事件造成的损失。
图4 安全策略体系
2.2.5 安全保障对象体系
交通电子政务平台,其保障对象应该以由交通运输政务内网所承担着涉密的政务信息传输作为其重中之重,包括交通运输系统内部日常办公业务和公文流转系统、涉密政务信息报送系统、部长办公系统、内部数据共享平台,与全国政府系统业务网络连接等。
图5 交通运输电子政务安全保障对象体系
3结论
信息安全保障体系建设是交通电子政务建设不可缺少的重要组成部分。由于交通电子政务信息系统承载着大量事关国家政治安全、经济安全、交通安全和社会稳定的重要数据和信息,网络与信息安全不仅关系到交通电子政务的健康发展,还成为服务型政府形象的重要窗口,更成为国家安全保障体系的重要组成部分。一个完整的交通电子政务信息安全保障体系,应在保障电子政务信息的保密性、完整性、可用性、可控性和不可否认性的前提下,坚持把“积极防御,综合防范”的应对策略,按照“重点突破、自上而下、资源共享、统一规划、分布实施”的原则,从组织体系、技术体系、运营体系、策略体系和保障对象体系等五个安全体系建设我国的交通电子政务信息安全保障体系。只有具备安全保障体系的电子政务信息系统,才是真正意义上的电子政务。
电子政务信息安全探讨:电子政务信息安全问题及策略
【摘要】
随着现代社会科学技术的发展,依靠互联网络技术的电子政务已成为政务办公的主要形式,但由于网络中信息的安全存在一定的隐患,所以当前的电子政务系统面临严峻的挑战,需要采取相应的对策解决目前存在的问题。本文从电子政务和信息安全的概念入手,分析了当前电子政务信息安全存在的网络安全技术、软件技术、组织管理三方面问题,并在此基础上从基础建设、安全管理、自主研发、统一技术标准等方面探讨了应对电子政务信息安全问题的相关策略,来更好地促进电子政务的发展。
【关键词】
电子政务;信息安全;策略
随着信息化的不断推进,人们现在工作、生活对于网络变得更为依赖,希望借助网络来帮助自己接受更多的信息,提高工作效率。但是由于互联网正缺乏有效的监管,所以信息安临着各种大大小小的危机,而电子政务的信息安全尤其重要,因其涉及到政治、国防、经济等多方面的信息,一旦遭到黑客等不法分子的攻击,导致信息泄露,那么整个国家的安全都将受到威胁,所以及时关注电子政务信息安全存在的问题,积极探索应对策略,对提高电子政务信息安全有着重要作用。
1电子政务信息安全的定义
1.1电子政务
电子政务是指政府部门运用信息技术手段来组织公共管理的方式,目的是为了增加政府部门工作的透明度,改善财政的约束力,在提高政府工作效率的同时,增加公众参与度的行政方式。我国的电子政务产生于20世纪80年代,在90年代得到发展。目前我国的电子政务有政务内网和政务外网两种类型,政务内网主要是储存核心信息,安全性要求高,基本处于一种真空的状态,安全系数高。政务外网信息相对公开,主要是对外服务,因此存在较大的安全隐患。
1.2信息安全
信息安全是指信息系统中用户信息的安全性与保密性。随着大众对互联网的普遍使用,一般用户的信息正在面临着威胁,很难得到有效的保护,再因为政务部门的特殊性,更容易受到不法分子的攻击。
2电子政务信息安全存在的问题
目前困扰着电子政务信息安全的问题较多,本文主要从网络安全技术、软件技术、组织管理三方面来进行分析:
2.1网络安全技术
我国的互联网起步相比西方国家较晚,虽然近些年得到很快的发展,但是在网络安全技术方面相对落后,核心技术仍然受到国外厂商的制约。同时,国内的网络系统安全和安全协议方面也存在着很多欠缺,没有相关的较完善的安全理论,大部分是借鉴国外的经验,缺少自主研究。
2.2软件技术
我国电子政务的软件方面也是现存的一大问题,主要是因为操作系统的核心技术得依赖别人,所以缺乏主动性,没有办法从根本上来使电子政务信息安全得到保障。关键软件的主动权受制于人,使得电子政务信息安全存在更大的隐患。
2.3组织管理
电子政务信息安全存在如此多的问题与相关组织的管理不到位有很大关联。在电子政务组织系统的管理过程中,组织不够清晰,责任分工不明确,管理的主体分散,各个管理方之间的关系又不够明晰,从而使得电子政务系统的管理变得错综复杂,很难做到集中、、有效的进行管理。
3解决电子政务信息安全存在问题的应对策略
结合国内外电子政务信息安全的形式,和我国电子政务工作中切实存在的问题,为了提高电子政务信息安全的保障性,提出了以下对策:
3.1同时加强基础建设和安全管理
(1)整合信息安全防御资源。对信息防护资源进行多方位的清理、整合,制定统一的信息防护战略目标,避免出现重复建设和资源浪费的现象。同时,还应该与符合国家标准资质而且口碑较好的网络安全技术服务公司签订相关的服务合约,使电子政务信息安全有技术方面的保障。
(2)促进电子政务信息安全系统管理机制的完善。这需要从战略的高度制定出覆盖整个电子政务系统的安全管理制度,借鉴国外先进的电子政务系统管理经验,引入品质的设计理念到我国自己的信息安全系统开发中去,来加强电子政务信息系统的基础建设。同时,强化电子政务信息系统维护阶段的安全管理,进行定期的风险评估,制定相应的危机处理机制,保障电子政务系统的正常、安全运行。此外,还可建立相关的政务信息安全领导小组、信息安全管理员等,让整个政务部门意识到政务信息安全的重要性,不仅要得到重视,还应该落实在实处。
(3)加强制定电子政务信息安全的相关管理制度。从当前电子政务信息安全的发展趋势来看,制定出适合电子政务信息安全的相关管理制度,建立长期的战略规划和工作目标,才能使电子政务的信息安全从制度上得到保障。
(4)培养和引进电子政务信息安全方面的专业人才。保障电子政务的信息安全不仅需要相关体系建设,还需要专业人才的运用。培养和引进信息安全方面的专业人才,使全体的政务人员具有电子政务信息安全意识,提高专业素养,让信息安全操作成为政务工作人员的一项必备技能。
3.2加强自主研发,统一技术标准
(1)计算机和网络技术的运用是电子政务运行的基础,而电子政务信息安全的关键是要有核心软件、技术的自主产权,这也是我国所欠缺的。所以从现存情况出发,加大电子政务信息安全方面的投入,集中相关的人力、物力进行专用芯片、核心技术的自主研发,建立和完善电子政务信息安全的安全评估和质量认证体系,摆脱受制于人的现状,才能从根本上解决我国的电子政务信息安全问题,才能真正的促进我国电子政务的健康向前发展。
(2)对电子政务统一的标准进行分层设计。在设计紧急需要的标准的同时,规划出我国电子政务信息安全发展的阶段性目标,再根据目标来进一步设计电子政务的标准。我国行政区域辽阔,地区之间的经济发展水平存在较大差异,信息化水平程度高低不一,不平衡性表现得格外突出,这些客观因素都是我们在设计电子政务标准时应该考虑进来的问题。如根据各地区信息化水平差异大的特点,可以按照信息化水平从高到低逐步覆盖,同时加强信息化水平较低地区的互联网普及。除此之外,还可根据电子政务的不同类型进行分类,根据其难易程度制定相应的标准,来更好地推进电子政务信息安全的管理。
3.3提高政务工作人员的保密意识
加强政务部门的组织领导,加强电子政务信息安全知识的宣传,提高政务工作者的保密意识尤为必要。在这一过程中可采用信息安全知识讲授、座谈会、竞赛等多种方式。此外还应该建立相应的责任追究制度,增强政务工作者的安全责任意识。
4结语
综上所述,随着网络技术的不断发展,给电子政务的信息安全带来了机遇与挑战。网络安全、软件技术、组织管理等不同方面的问题,对电子政务信息安全提出了严峻的考验,本文对此总结了加强基础建设和安全管理,促进电子政务信息安全系统管理机制的完善,加强制定电子政务信息安全的相关管理制度,加强自主研发,统一技术标准,提高政务工作人员的保密意识等多种应对电子政务信息安全问题的策略。在对电子政务信息安全存在的问题与应对策略的研究过程中发现,在构建以后的电子政务系统中,注意信息安全问题十分关键,在充分发挥信息技术给电子政务的重要作用时,应该较大限度的保障电子政务系统的安全。
作者:洪茹 单位:广西经济信息中心
