首頁 >
				文章中心 >
				電子政務的安全
			
          
		
          
		
		
          
			
          
				
				
          
					
          
						
          電子政務的安全
          
						
          
					
          					
					 
           
          前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇電子政務的安全范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
           
          電子政務的安全
           
          電子政務的安全范文第1篇
           
           電子政務信息資源共建與共享的目標模式。分析電子政務信息資源共建與共享模式的目標取向,主要包括:政府職能社會化、效益化,管理行為民主化、法制化、服務手段自動化、網絡化,政務信息公開化、集約化,信息用戶大眾化、遠程化。政府部門通過網絡與公眾進行雙向的信息交流。
           
           【關鍵詞】
           
           電子政務;信息資源 安全對策
           
           1 電子政務環境下政府信息資源開發的有利條件
           
           信息資源處理手段現代化在電子政務中,政府機關信息資源的處理手段將發生根本性的變革。光盤、數據庫、辦公文件處理系統等各種應用系統,將以往束縛在公務員筆記本、各類報表和桌上電腦中的信息資源解放出來。政府公務員可根據需要隨時隨地方便地調用來自四面八方的信息。同時,借助于網絡這個平臺,政府的各項政策信息會變得易于存儲管理、方便檢索查詢,并能夠快速傳播,真正實現了政府信息資源處理手段的變革。
           
           信息資源傳遞迅速,政府決策效率提高原來政府信息資源是根據組織結構一層一層、一級一級地傳遞。這不但會增加協調成本和控制成本,更重要的是政府會因此而無法做出快速反應從而影響政府決策。而在電子政務環境中的政府機關內部,有許多辦公軟件如文檔處理軟件、在網絡安全認證基礎上的電子郵件系統及各種專門業務處理軟件支持辦公,機關內部的辦公事務主要依靠電子郵件來傳遞信息。會議通知、信息傳達、政策宣傳、法規頒布、意見協調等均以電子郵件來處理。從而使信息在內部流通的時間和信息交流環節大大減少,加快了信息的流通速度,提高了政府的決策效率。
           
           信息資源的準確性與時效性有保障在傳統政府的信息傳遞中,公文占有較大比重,都是自上而下地傳達。且各種會議通知安排往往會通過口頭或電話傳達,準確性差。同時信息的獲取主要來源于由下而上的層層上報的書面材料,而材料的形成及層層上報需要一定的時間,因而影響了信息的真實性和準確度。政府上網后,可以準確及時地了解公文和各種資料的來源、流程、處理等,信息的準確性和時效性大大提高,網絡安全可能面臨的挑戰。
           
           2 計算機網絡面臨的主要威脅
           
           2.1 人為的無意失誤
           
           人為的無意失誤:如操作員安全配置不當造成的安全漏洞,用戶安全意識不強,用戶口令選擇不慎,用戶將自己的帳號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。
           
           2.2 網絡安全維護范圍的重新界定
           
           目前人們在家里通過寬帶接入而登錄自己單位的網絡系統已經是一件很尋常的事情了。這種工作新方式的出現同樣也為網絡安全帶來了新問題。網絡安全維護范圍需要重新界定。因為他們都是遠程登錄者,并沒有納入傳統的單位網絡安全維護的“勢力范圍”之內。另外,由于來自網絡的攻擊越來越嚴重,許多用戶不得不將自己網絡系統內的每一臺PC機都裝上防火墻、反侵入系統以及反病毒軟件等一系列的網絡安全軟件。這同樣也改變了以往單位用戶網絡安全維護范圍的概念。
           
           2.3 個人的信用資料
           
           個人信用資料在公眾的日常生活中占據著重要的地位。以前的網絡犯罪者只是通過網絡竊取個人用戶的信用卡賬號,但隨著網上竊取個人信用資料的手段的提高。如網絡犯罪者可以對的銀行存款賬號、社會保險賬號以及最近的行蹤都能做到一覽無余。如果不能有效地遏制這種犯罪趨勢,無疑將會給人們的日常人生活帶來極大的負面影響。
           
           2.4 人為的惡意失誤
           
           人為的惡意攻擊:這是計算機網絡所面臨的最大威脅,敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一類是被動攻擊,它是在不影響網絡正常工作的情況下,進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網絡造成極大的危害,并導致機密數據的泄漏。
           
           3 電子政務信息安全問題易發狀況
           
           電子政務信息安全存在的問題通常,電子政務系統除自然災害外主要由于存在以下問題而容易受到攻擊:(l)網絡硬件設備的弱點如服務器、網絡設備等安全問題將危害網絡的可靠性和可用性;(2)操作平臺的弱點和漏洞可能構成系統隱患;(3)電子政務的網絡化將導致電子政務系統安全的脆弱性;(4)不同信任域的信息交換將導致電子政務系統被攻擊的風險;(5)計算機病毒正在成為導致系統安全問題的一個重要要因;(6)未知的因素也可能給電子政務系統帶來安全隱患。
           
           4 電子政務環境下政府信息資源安全的策略
           
           4.1 加強信息安全保密工作
           
           政府信息有一定的保密性,關系到政府運作和國家安全,做好信息安全保密工作是進行電子政務良性運行的前提。首先,加強信息安全保密制度。據有關專家估計,信息網絡上的安全問題80%以上是由于制度不健全而引發的,是人為的原因。建立健全相關責任制和規范管理,是加強信息安全保密的必要手段。其次,建立安全認證中心,保證信息傳輸安全。加強安全保密技術的自主開發。建立網絡安全緊急反應以及處理機制,協調政府機關處理信息安全管理事件。
           
           4.2 信息加密策略
           
           信息加密的目的是保護網內的數據、文件、口令和控制信息,保護網上傳輸的數據。網絡加密常用的方法有鏈路加密、端點加密和節點加密三種。鏈路加密的目的是保護網絡節點之間的鏈路信息安全;端-端加密的目的是對源端用戶到目的端用戶的數據提供保護;節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供保護。用戶可根據網絡情況酌情選擇上述加密方式。信息加密過程是由形形 的加密算法來具體實施,它以很小的代價提供很大的安全保護。在多數情況下,信息加密是保證信息機密性的唯一方法。據不完全統計,到目前為止,已經公開發表的各種加密算法多達數百種。如果按照收發雙方密鑰是否相同來分類,可以將這些加密算法分為常規密碼算法和公鑰密碼算法。
           
           4.3 網絡安全管理策略
           
           制定網絡安全管理策略首先要確定網絡安全管理要保護什么,在這一問題上一般有兩種截然不同的描述原則。一個是“沒有明確表述為允許的都被認為是被禁止的”,另一個是“一切沒有明確表述為禁止的都被認為是允許的”。對于網絡安全策略,一般采用第一種原則,來加強對網絡安全的限制。對于少數公開的試驗性網絡可能會采用第二種較寬松的原則,這種情況下一般不把安全問題作為網絡的一個重要問題來處理。
           
           信息網絡安全是一門邊緣性、交叉性學科,我國除了密碼學研究開展較早,有較好的基礎和積累外,很多方面與國際差距較大。我們要積極吸取借鑒國際上住處網絡安全的先進技術和經驗,并在此基礎上不斷創新。因此,我們既不能行進自己無法監控的信息網絡安全設備,也不能照搬照抄國外的信息網絡安全技術,必須把發展住處網絡安全放在自己的基點上。
           
           【參考文獻】
           
           汪玉凱.中國政府信息化與電子政務[J].新視野,2002(2)
           
          電子政務的安全范文第2篇
           
          1、電子政務安全業務發展面臨的問題
           
           1方面,因為信息安全技術是從信息技術不斷發展中衍生出來的1門學科或者技術,本身的發展有必定的滯后性,遭到社會廣泛關注需要時間累積。國內雖已經有1批專門從事信息安全基礎鉆研、技術開發與技術服務工作的鉆研機構與高科技企業,但至今尚無象網絡通訊行業那樣呈現華為、華3等這樣知名并在國際上有影響力的企業,以支持我省電子政務安全保障業務的發展。另外一方面,因為信息安全技術專業性太強,所需知識面無比廣,技術門坎高,致使我國專門從事信息安全工作技術人員嚴重短缺。安全產品的作用基本上是堵防已經有的安全要挾而不能預防未知危險,部署安全產品帶來的成效患上不到顯明的體現,乃至短期內沒法浮現價值,致使廠商、用戶不愿意對于信息安全過量投入,更多的是扛扛紅旗、講講理念、喊喊口號,點到為止。這兩方面緣由是客觀的,短期內沒法扭轉的。電子政務發展要在網絡與信息安全方面獲得必定成效,需要在多方面展開工作,尤其是在軟硬件總體部署及專業人材吸納方面多投入。
           
           2、全面強化電子政務安全發展
           
           人材上,要踴躍引進安全專業人材。國內目前這方面的人材比較難求,可用必定的待遇引進人材,并可嘗試與國內知名安全試驗室或者廠商合作共建,展開安全產品的研發利用以及安全人材的培育等,為安全發展貯備能量。思想上,加強網絡與信息安全首要性的學習,努力提高全省信息系統的安全意識,并切實落實到行為上,養成安全使用辦公電腦的習氣。PC機上,要加強個人辦公電腦的安全軟件安裝配置,統1單位個人辦公電腦的安全軟件配置。安全體門要反復實驗,舉薦出1套或者兩套機能完美的安全套餐模板,并提供上門服務匡助,加固個人辦公電腦的安全。軟硬件上,加強安全產品的總體以及系統部署,完美網絡與利用的分級分域維護。與國內知名安全廠商樹立緊密的聯絡、展開深刻細致的交換,要系統深刻的挖掘實際網絡、利用及系統安全上的軟硬件需求,防止安全產品盲目堆砌。部署互聯網出口流量節制及數據包監控分析裝備,普及政府部門使用身份認證系統,完美安全基礎設施建設。總體構建省域電子政務的網絡以及信息安全屏障。機制上,要樹立健全網絡以及信息安全規章軌制,樹立網絡與信息安全應急處理機制、制定全省電子政務網絡與信息安全事件應急處置預案,加強與政府安全及保密部門的聯絡,如有可能與之樹立會商軌制,樹立全省電子政務安全監督檢查軌制,對于全省信息系統的安全工作進行按期檢查、指點、培訓,與國內知名安全廠商樹立廣泛的聯絡、展開深刻細致的交換、追求技術上的支撐以及匡助。管理上,要規范網絡與信息安全的管理,落實每一個崗位的具體安全保護管理權限以及職責,公道劃分網絡安全域、謹防網絡以及挪動介質泄密,對于數據以及信息按性質劃分安全等級、并履行等級維護,做到“信息不上網,上網信息不”,嚴格執行國家的安全規定,加強網絡與信息安全建設的規范管理,新建的信息化項目務必要斟酌網絡與信息安全防護措施。總之,安全體應與網絡部以及利用部加強溝通、相互信任,網絡離不開安全、安全離不開網絡,利用需要安全、安全需要利用。安全體、網絡部、利用部相輔相成,共同打造高效、安全、不亂的電子政務。
           
           
          電子政務的安全范文第3篇
           
           電子政務網絡數據庫是處在開放網絡環境中的分布式數據庫系統,指的是數據庫所處位置不集中,要保障系統的正常運行和可用性,必須將這些數據庫作為不同的邏輯單元相互連接起來,形成一個統一的數據庫集群,具有集中與自制相結合的控制機制、數據獨立性、適當的數據冗余度及事務分布式管理等特點,是網絡信息系統與數據庫集群的有機結合體。
           
           1安全隱患及風險分析
           
           文章以公式(1)為評估模型對數據庫在電子政務信息系統中的安全性進行分析,以測算出當一個政務信息系統遭到攻擊后,數據庫作為一個黑客竊取或破壞的目標,其中數據的安全系數或風險發生的概率。設電子政務信息系統中信息數據存儲單元的個數為n,這些存儲單元的安全級別為λN,如果λ∈R且0<λ<1,則這些存儲單元的差異系數為λ,設某政務系統中的所有存儲單元都是異構系統,λ≈0。通過公式(1)進行測算,假設系統的各個節點都存在入侵的風險,則系統中存儲單元的安全風險值為:
           
           (1)根據公式(1),數據f的分散度由μ來表示,根據公式(1)得出,數據單元的安全級別范圍即是公式(1)推算出的安全概率值的變化范圍。QoSec∝1/λQoSec=/λ
           
           (2)經過推到,公式(2)變為公式(3),即:
           
           (3)圖1為公式推導的結果,假設系統中有100個應用節點發送被分解為m段的數據(橫軸),可以得到3次不同時段對這次發送數據工作的評測值。該結果表明,傳送文件隨著分解段數的遞增,數據單元的安全級別將逐漸遞減,數據單元中信息的安全概率曲線經過第三次計算過程,即公式(3),如圖1所示。值得一提的是,該結果是進行規范后的數據處理結果,實際應用中的政務系統在運行中的各種情況會更為復雜多變[2]。
           
           2防護策略的關鍵技術
           
           2.1數據庫的配置管理
           
           數據庫的配置管理由以下幾個方面組成:
           
           1)使用安全的數據庫密碼和安全的用戶賬號策略:要養成定期更改密碼的習慣,杜絕使用空密碼,用戶應該設立不同的用戶口令驗證及用戶組來達到保護Oracle數據庫的目的,如此可以防范入侵者非法進入系統中的數據庫,通過授權對用戶的操作進行限制,加強對SYS和System兩個特殊賬戶的保密管理,保證數據庫的安全性。在加強數據庫在網絡中的安全性時,對于遠程用戶,應使用加密方式通過密碼來訪問數據庫,加強網絡上的DBA權限控制,如拒絕遠程的DBA訪問等,目的就是要在保證系統安全的前提條件下,最大限度地共享資源。
           
           2)加強數據庫日志的記錄和建立審計機制:要定期查看數據的日志,檢查是否有可疑的登錄事件發生,要利用Oracle數據庫的審計機制,監視用戶對數據庫的各種操作。例如應用SQL語句進行審計選擇項的選擇;通過對訪問者系統中所存在的圖表等信息內容的比對,實現對該訪問者在系統中成功或不成功的存取行為的審計;審計的強度必須得到控制;針對審計追蹤表傳輸數據的行為被獲準或不被批準;將系統中部分數據庫中的表格設為缺省選擇項等[3]。
           
           3)數據鏡像、存儲管理、災難備份以及信息系統配置,如圖2。要加強對數據庫的存儲管理,刪除不必要的存儲過程,利用網路配置協議對數據庫進行加密操作。用戶總是期望節數據庫中的信息、數據是可信的、真實的,信息系統中的數據庫被用戶使用時,信息系統可能存在的風險和故障極有可能使得數據庫遭到嚴重損毀,怎樣保持系統運行的可持續性,實現信息數據災難備份成為信息系統安全保障的重中之重,假如日常工作中就做好了重要數據、信息的備份和鏡像,這樣就能在故障和災難來臨時迅速恢復數據的有效使用。圖2數據庫的鏡像與恢復
           
           2.2數據庫技術保護
           
           1)身份驗證。為抵御各類虛假身份攻擊行為,在合法操作行為發生時,必須要使用強加密手段在數據庫與服務器之間對交互雙方的身份實施雙向認證:合法用戶登錄數據庫之后,在正常操作前也需要通過強密碼驗明正身,完成對用戶身份的最終確認,并在此基礎之上決定該用戶的類別及訪問權限。
           
           2)保密通信。在身份驗證成功后,即可以進行數據傳輸了,而為了對抗報文竊聽和報文重發攻擊,則需要在通訊雙方之間建立保密信道,對數據進行加密傳輸。通常身份驗證和加解密數據的過程可以結合在一起使用。保密信道可以由分布式數據庫系統實現,也可以采用底層網絡協議提供的安全機制來實現。身份認證過程結束后,接下來就是數據傳送過程,為有效防范數據包竊取和重發等攻擊行為,首先要保證交互雙方信道的安全性,一般通過加密手段進行傳輸,目前的技術手段一般是將身份驗證和內容加解密相結合使用。根據信息內容的重要程度,考慮是否采用專線連接分布式數據庫系統,如果是非數據,可以采用底層網絡協議自身提供的安全機制來實現。
           
           3)訪問控制。訪問控制的主要任務是對存取訪問權限的確定、授予和實施,其目的是在保證系統安全為前提條件下,最大限度地共享資源。實施訪問控制就必須按照安全要求,預先標定相應的安全屬性,標識的作用就是授權,用以標明主體訪問權限即讀、寫、查詢、增加、刪除、修改等操作的組合,還有安全的訪問過程等(如圖3所示)。圖3電子政務網絡數據庫訪問控制通常,應用數據庫管理系統實施保護是大多數數據庫系統安全保護所依賴的手段。假如數據庫管理系統具有強大的安全機制,那么數據庫系統的安全性就有較好的保障。然而,相對于網絡安全風險來說,數據庫管理系統保障安全的功能還比較弱,這便使得數據庫系統存在相當大的安全風險。在操作系統環境下,數據庫系統通常以文件形式存在,因此,操作系統存在的漏洞就可以直接被入侵者利用,成為竊取數據庫文件的隱蔽通道。還有的入侵者利用OS工具非法篡改、偽造數據庫中的數據。此類安全風險通常很難被數據庫使用者發現,這便給分析和堵塞此類風險造成了一定障礙。此風險的有效解決辦法之一就是應用數據庫管理系統中的層次安全技術,應用此項技術,就算是之前提到的安全防范措施被黑客突破,數據庫的安全依然是有保障的。這樣一來,具有完整的安全機制和補救措施就顯得十分重要。解決這一問題的有效方法之一是數據庫管理系統對數據庫文件進行強密碼加密,這樣一來,即便重要數據被竊取或丟失,也使得真實的信息不易被人讀取[5,6]。
           
           2.3數據庫的安全保護技術
           
           目前用于網站的數據庫管理系統有Acess、MicorsoftSQLServer、Oracle、Sysbase、MySQL等技術。對于采用何種數據庫管理系統取決于網站的需要和所采用的服務平臺,本文以服務平臺為Windows環境下某數據庫管理系統為例進行討論。操作系統是信息系統的軟件環境基礎,它要達到計算機操作環境配置的基本安全要求,并對數據庫所使用軟件的安全風險進行測評和風險評估(如系統中的PHP及ASP腳本等),此類安全問題在眾多基于數據庫的網絡應用中較為常見。針對腳本的安全措施,最重要的是做好信息過濾,要將諸如“,‘;/”等字符進行過濾,禁止黑客制作出惡意程序。下載地址分別為:/sql/downloads/***/sql.asp和/sql/downloads/***/sp2.asp。
           
           2.3.1安全的加密措施
           
           數據庫安全配置的第一步就是采取安全加密措施。許多數據庫的帳號和密碼都非常簡單,這一使用習慣經常導致數據庫安全風險和數據庫失泄密現象的發生。對此,系統管理員(SA)要引起足夠的重視。另外,密碼的及時更換也是安全保護很重要的一環。
           
           2.3.2保證帳號的安全
           
           由于SA用戶名無法用SQLServer工具修改,但對SA實施刪除也將導致系統出現問題,因此,管理員的帳號所采用的密碼強度必須達到較高強度,且數據庫管理員帳號必須在嚴格授權的情況下使用。由于操作系統自身存在的安全風險,有些數據庫管理員會繞過操作系統登入數據庫,那么就可能會選擇將系統帳號“BUILTIN\Administrators”刪掉。但是,這樣一來,如果數據庫管理員使用的SA帳號遺失,便難以再恢復出相關數據。從目前來看,許多將主機用于數據庫平臺的用戶只實現了簡單的查詢、修改數據和信息的功能,用戶應該根據現實要求做好帳號的分配,并為用戶設定只能滿足業務應用需求的最低權限。例如只用于信息、數據查詢的系統,使用具有public權限的帳號就能滿足,例如使用SQL語句對‘user’進行權限修改。sp_addrolemember‘user’,’public’
           
           2.3.3登錄日志的審核要加強
           
           管理員要經常審核日志中的登錄成功和失敗的情況。定期審核SQLServer日志,及時發現可疑的登錄行為,鍵入命令:findstr/C:”登錄”d:\MicrosoftSQLServer\MSSQL\LOG\*.*
           
           2.3.4擴展存儲過程要可控
           
           在多數應用中不需要使用太多的系統存儲過程,過多的存儲過程可能被人用于攻擊測試和提升使用權限,用戶可根據自身需要刪除不必要的存儲過程。例如,對不需要擴展存儲過程xp_cmdshell時,使用SQL語句將其刪除。UsemasterSp_dropextendproc’xp_cmdshell’Sp_cmdshell是進入操作系統的最佳捷徑,是數據庫留給操作系統的一個大后門。當需要存儲過程時,用下面句子進行恢復:Sp_addextendeproc’xp-cmdshell’,’xp_sql70.dll’另外,還要確認相關被刪除程序的作用,否則可能會對數據庫的使用和應用程序造成損害。
           
           2.3.5使用安全協議
           
           當數據進行傳輸時,需要能夠對數據提供足夠的安全保護的機制,并要平衡安全性和系統消耗,已達到合理的數據保密性、完整性和可用性要求。根據這種要求,系統的使用單位要簽署一份安全協議,該協議在提供數據加密服務的同時,還應保證桌面數據和網格數據的分散,并為異構的存儲單元提供服務節點。舉例說明,在某數據單元中,文件f被分解成n段后,經過簽署并發送到m個終端上,每臺終端得到一個片段,通過對任意一個片段的訪問,用戶可以重建f(m≤n)。
           
           2.3.6數據庫防注入技術
           
           可以通過以下方法從最大程度上防止注入的發生:
           
           1)替換或刪除敏感字符或者字符串??梢詫τ脩糨斎脒M行過濾,對單引號、雙引號以及“——”等符號進行過濾。例如:將單引號轉換為兩個單引號:aa=replace(aa“,'”“,''”)
           
           2)對SQLServer進行必要的安全配置,在服務器正式處理之前對提交數據的合法性進行檢查。
           
           3)改變SQLServer的端口號。目前針對SQLServer的攻擊主要掃描的是1433端口。因此可以改變其默認端口號,這樣雖然不能從根本上解決問題,但可以防止一般的端口掃描[4]。
           
          電子政務的安全范文第4篇
           
           關鍵詞:電子政務;云平臺;信息安全
           
           中圖分類號:TP399 文獻標識碼:A 文章編號:1006-8937(2014)2-0074-02
           
           電子政務云是現代政府辦公理念與大型計算中心系統有機結合的產物,其本質并非是“電子”而是“政務”,云計算與網絡技術的運用僅僅只是服務型政府精簡工作并實現其政務高效與系統化的手段。電子政務云安全性方面的目標是確保各類數據在采集、存儲、挖掘處理、共享傳播等過程中不遭到攻擊、竊取或篡改,以保證信息的完整性、真實性、可用性和可控性。
           
           1 電子政務云技術存在的安全問題
           
           當前我國電子政務云平臺的信息安全問題主要可以歸納為以下幾個方面:
           
           ①目前國內尚缺乏具有自主知識產權的基礎信息設備和技術產品,大量核心技術設備依賴于進口,其中絕大部分都是美國技術公司所研發生產的。例如:VMware“威?!比驍祿行奶摂M解決方案的領導廠商,Cisco“思科”互聯網解決方案領導提供者,Microsoft“微軟”世界軟件開發的先導、Intel“英特爾”全球最大的半導體制造商等。我們從硬件到軟件的諸多技術方面都受制于人,缺乏自主的設備和技術必然會給國家政務工作帶來極大的安全隱患。一旦真的受到國外的限制,則我國整體計算機系統隨時都可能面臨崩潰的境地。
           
           ②當前互聯網上違法犯罪活動和敵對勢力的破壞事件頻發,而國內相關部門網絡安全意識還較為淡薄,也為電子政務工作瞞下了安全隱患。政府部門僅重視了網絡的系統建設,看重網絡帶來的便利和高效,但往往卻忽視了信息工作的安全性。當前,電子政務云的開放程度有限,主要的行政工作還是以原始的公文形式進行處理,而且廣大民眾對網絡技術犯罪的認識還比較模糊,由于該類犯罪尚未造成較大損失,于是人們對之表現出的態度也較為“溫和”,政府工作人員和人民群眾對網絡數據信息安全意識還沒有上升到應有的高度。
           
           ③管理機制和相關法規的不健全也很大程度上限制了電子政務安全防范的力度。相關部門往往只將管理的重心集中在對行政人員的人力資源管理方面,而對電子政務云的技術結構管理卻存在漏洞或缺陷。云平臺的建設處于各自為政的狀態,缺少一個統一的管理機構,項目之間“孤島效應”明顯。這方面的工作主要依靠工程承接方來負責,且依舊存在各種全責劃分不明的問題。如果安全措施不落實到位,網絡安全沒有從管理制度上建立相應的防范機制,則電子政務云工作的開展將無法得到最基本的安全制度保障。
           
           2 電子政務云平臺信息安全的影響因素分析
           
           電子政務云平臺信息安全的影響因素可分為人為與非人為兩方面。人為原因主要是指個人或團體有規劃性的對網絡信息進行惡意攻擊和破壞的行為,包括有黑客對網絡的攻擊入侵、對機密文件的竊取、計算機病毒的傳播等;而非人為因素主要包括不可抗拒的自然災害和現階段受到技術局限的問題等。
           
           2.1 影響電子政務云信息安全的人為原因
           
           電子政務云信息安全的主要威脅來自于人為原因。系統的入侵者可能因為惡意報復、表現自我突破安全技術、敵對勢力的間諜行為或非法謀取經濟利益等。攻擊者通過編寫病毒代碼入侵電子政務網絡系統,而后病毒代碼自我復制傳播,進而導致系統癱瘓或成為僵尸寄宿主機。這方面的人為原因可以從內部因素和外部因素兩個方面具體展開分析:
           
           ①內部因素主要是指內部擁有政務云的合法訪問權及管理權限的工作人員對其施予的直接影響。由內部因素引發的信息安全問題可分為惡意和無意兩種。惡意是指帶有現實目的有規劃的對電子政務云平臺實施的攻擊;無意指的是工作人員因疏忽大意或工作能力的欠缺而造成的危害,如未經授權的連接、權限欺騙等情況的發生。政府重要數據泄露的隱患往往都歸結為無意的數據破壞和損壞造成的,工作人員不謹慎的操作、或因技術經驗欠缺等原因造成的錯誤操作,都可能導致一系列的安全問題。
           
           在電子政務云信息化的過程中,行政機構主要關注的是技術、設備的效能,但是對其安全問題影響因素進行安全管理的作用尚缺乏應有的重視。管理人員工作不嚴謹、制度法規不健全或執行力度不夠都是電子政務安全工作中的嚴重問題。為確保電子政務信息化的和諧發展,管理部門務必要建立嚴密的制度保障體系,實時監控檢測系統運行狀況,并努力提高工作人員的職業素養,最大限度的保障電子政務云的安全運行。
           
           ②基于網絡攻擊、入侵事件的報告顯示:國外政府入侵的安全風險指數為21%,黑客入侵的安全風險指數為48%,競爭對手入侵的安全風險指數為72%,對組織不滿的內部雇員入侵的安全風險指數為89%。以上數據充分說明電子政務云的安全并不僅僅表現為技術方面的問題。不完善的管理制度、安全檢查措施欠缺等,都可能導致看似堅固的堡壘出現各式各樣的問題,尤其是日常管理中的疏忽,比如,機房重地沒有設立嚴格的等級制度與劃分,而是隨意的進行操作,管理監控人員擅離崗位或未按照標準執行操作,機要信息隨意存放在電腦磁盤上,這都為政務云的安全埋下了隱患。如果攻擊者偽裝IP地址或者利用僵尸主機對政務云實施攻擊,篡改政務網站信息,勢必造成極其惡劣的社會影響。而且,在現實世界中,內部潛在的安全威脅更大,由于內部人員熟知系統的整體構造與細則,且能掌握各級人員的工作規律,可能攻擊者自己就具有管理員權限,對某些信息具有一定的操作權限,對內部系統能進行更深入的網絡刺探、暴力破解等都更為便利,于是對系統可能造成更加深層次的破壞。
           
           2.2 影響電子政務信息安全的非人為因素
           
           危害信息系統安全的非人為因素主要來自自然災害和技術上的局限,其中由于受到技術局限導致的漏洞所帶來的威脅表現得更為頻繁且嚴重,具體而言,當前物理自然環境涉及網絡系統的可用性、完整性和保密性,其對信息處理設備構成的威脅主要包括:未經授權的訪問和資源竊取、電源干擾、電磁輻射、化學影響、爆炸、火災、灰塵、振動等。另一方面,技術受限將導致系統的漏洞和缺陷,如系統、硬件、軟件的設計等。典型的漏洞包括軟硬件的總體設計漏洞、配置漏洞、實現漏洞、系統漏洞等。
           
           3 提升電子政務云信息安全性的對策
           
           政務云系統的高度復雜性和技術的高速發展變化,決定了政務系統的安全技術問題必然越來越受到重視。提升電子政務信息安全性的對策好比指導進行電子政務信息安全之戰的戰略方針,需要負責組織、協調、指揮各方面的力量來共同維護電子政務信息系統的安全。加強網絡通信技術的安全性、降低政務信息系統的風險,需要從以下幾個方面著手。
           
           3.1 提升電子政務工作人員信息安全意識
           
           提高培養政府政務工作人員對網絡安全的意識,在日常工作中能自覺地按照標準政務信息安全規范的執行各項操作,使其具備良好的信息安全意識。在培養過程中應注意:首先,應充分利用當前先進的科技力量,并通過各種媒介途徑媒體積極地宣傳信息安全的重要性,如報刊,雜志,網絡等。其次,邀請相關專業導師對工作人員加以多種形式的指導培訓。再次,制定研究周密的安全策略,使責任明確且細化,將安全工作落實到人,且做到權責清晰和權責一致。
           
           3.2 建立健全完善的電子政務云信息安全管理機制
           
           首先,政務云平臺應嚴格按照國家法律法規對機密事件實行分級分類保護,確保重要信息安全責任具體化、細致化,做好數據的隔離控制,進一步保障數據的完善安全。其次,為減少對電子政務信息系統安全構成危害的物理自然安全因素,就應當創造一個良好的環境,滿足系統適宜的物理條件,并且做好異地的容災備份工作,從而將這些危害因素降至最低。此外,還需要不斷完善加密技術,并充分利用與政務云相適應的技術(包括用戶身份的驗證、網絡的安全認證、主機的物理隔離、內容信息的分級管理、底層操作系統的安全、通訊線路的安全等),以便為政務云平臺的安全運行提供有力的保障。
           
           3.3 大力發展擁有自主知識產權的安全產業
           
           網絡通信產品的自主研發已成為信息安全防范的核心。目前,我國的主要軟硬件技術主要依賴西方國家,這極大的威脅了我國的信息安全利益。于是,有必要投入科技發展資金,積極推進國內軟硬件技術水平,使國內自主研發產品能逐步替換國外同類產品,信息安全產業的發展已成為關乎國計民生的大問題。我們可以積極朝這樣幾個方面去努力:一是能改善信息安全的現狀、使用大眾化的關鍵技術;二是努力增強國有創造性實力,從而實現技術上的突破;三是要能獨立研發核心戰略性技術設備,如CPU和數據加密芯片等。在不斷提升技術研發實力的同時,還需要做到信息技術的多元化與綜合化,以更好的保障電子政務云的安全和穩定。
           
           當前,我國電子政務云正以驚人的速度發展,特別是發達地區。公安、工商、物價局等多種部門對電子政務云的使用已相當普遍。電子政務云是政府信息資源建設的組成部分,是對政府信息資源進行深度開發和廣泛利用,促進政府體制改革和職能轉變的一個有效手段。于是我們應在這個過程中我們更應該注意政務信息的保密與安全問題,提升對信息安全方面的人力與財力的投入,始終堅持獨立自主的研發路線,增強國家電子政務工作的信息安全性,打造健全穩定的電子政務云平臺,提高公眾的滿意度。
           
           參考文獻:
           
           [1] 劉菡.電子政務的規劃與實踐[M].北京:中國時代經濟出版社,2006,(5):127.
           
          電子政務的安全范文第5篇
           
           此次重慶試點的最大特點就是建立了數據大集中模式下的安全保障體系。正是因為其數據大集中的特點,確立了體系的思想是以安全管理為龍頭、以技術保障為支撐、以運維服務為基礎,其主要組成部分是“面向業務拓展的安全管理體系”、“面向數據安全的技術保障體系”和“面向服務連續性的安全運維體系”。
           
           作為試點之一的重慶市工商管理局的規模大概有1萬多工作人員、44個區縣分局、400多個工商所,擁有5000多臺計算機和網絡設備,而數據庫是大集中、大聯網的。正是由于這種數據大集中所帶來的業務大輻射、大交叉,使得安全管理也呈現出更加復雜的結構。
           
           所以首先就是要搞清數據資源的需求,明確各自的實施范圍。重慶市工商局在解決業務開展中遇到的問題的過程中形成了“以信息安全主管職能部門為主導、數據大集中部門為主體、專業技術機構為支撐”的安全管理模式。
           
           其次,將數據安全保障的重點進行排序,將“數據完整性”和“數據/系統可用性”放在了首要的位置,然后是與試點單位“業務敏感性”相關的“數據機密性”。將這三個保障目標分別映射到“數據安全”、“應用安全”、“主機/平臺安全”、“網絡安全”和“物理安全”五個技術領域。
           
           最后,就是要保障數據大集中信息系統提供的各項服務具有連續性。數據大集中帶來的是數據越集中,電子政務工作對信息系統的依賴性越強,連續工作的要求就越高,所以一定要保證它的連續性。
           
           另外,重慶在試點中總結了一套系統工程實施的方法。其中“三分析一篩選”方法是為了區分同屬數據大集中模式,但處于不同發展階段的電子政務系統,主要方法是“依次分析數據特征、業務特征和應用需求,然后篩選安全保障措施”。
           
           而風險評估是等級保護的起點和依據,風險評估與等級保護之間的內在聯系是重慶市試點的重要任務之一。在試點工作中將信息安全風險評估的三個流程“資產識別”、“安全威脅分析”和“系統脆弱性評估”與電子政務信息安全等級保護的三個階段“進行定級”、“規劃與設計”和“實施、驗證與運維”進行嫁接,摸索出了一條“123Y立方”工程化實施的方法。
           
           實施效果
           
           1.重慶工商模式
           
           實現了在全市工商系統從市局到44個區縣分局、400多個工商所的三級聯網和區縣分局兩級數據庫,建成了包括辦公OA系統、業務管理系統、電子檔案查詢系統、12315綜合指揮調度中心、財務綜合管理系統和重慶工商紅盾網、重慶企業信用網兩個網站在內的六大網絡應用平臺。