网站首页
教育杂志
CSSCI期刊 北大期刊 CSCD期刊 统计源期刊 知网收录期刊 维普收录期刊 万方收录期刊 SCI期刊(美)
医学杂志
CSSCI期刊 北大期刊 CSCD期刊 统计源期刊 知网收录期刊 维普收录期刊 万方收录期刊 SCI期刊(美)
经济杂志
CSSCI期刊 北大期刊 CSCD期刊 统计源期刊 知网收录期刊 维普收录期刊 万方收录期刊 SCI期刊(美)
金融杂志
CSSCI期刊 北大期刊 CSCD期刊 统计源期刊 知网收录期刊 维普收录期刊 万方收录期刊 SCI期刊(美)
管理杂志
CSSCI期刊 北大期刊 CSCD期刊 统计源期刊 知网收录期刊 维普收录期刊 万方收录期刊 SCI期刊(美)
科技杂志
CSSCI期刊 北大期刊 CSCD期刊 统计源期刊 知网收录期刊 维普收录期刊 万方收录期刊 SCI期刊(美)
工业杂志
CSSCI期刊 北大期刊 CSCD期刊 统计源期刊 知网收录期刊 维普收录期刊 万方收录期刊 SCI期刊(美)
SCI杂志
中科院1区 中科院2区 中科院3区 中科院4区
全部期刊
公務(wù)員期刊網(wǎng) 精選范文 電子政務(wù)的安全風(fēng)險范文

電子政務(wù)的安全風(fēng)險精選(九篇)

前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的電子政務(wù)的安全風(fēng)險主題范文,僅供參考,歡迎閱讀并收藏。

電子政務(wù)的安全風(fēng)險

第1篇:電子政務(wù)的安全風(fēng)險范文

【關(guān)鍵詞】電子政務(wù)系統(tǒng);安全體系結(jié)構(gòu);分域防護(hù)

信息技術(shù)的普及與應(yīng)用推動著當(dāng)前電子政務(wù)蓬勃發(fā)展,雖然電子政務(wù)有諸多便利,但也承受著巨大的安全威脅,解決威脅其發(fā)展的安全風(fēng)險,對于電子政務(wù)更好的發(fā)揮服務(wù)優(yōu)勢有積極意義。下面我們在分析電子政務(wù)安全風(fēng)險的基礎(chǔ)上,探討基于分域防護(hù)思想安全體系結(jié)構(gòu)的設(shè)計與建立。

一.電子政務(wù)安全風(fēng)險分析

電子政務(wù)是傳統(tǒng)政務(wù)模式的延伸與轉(zhuǎn)化,事關(guān)國家政務(wù)信息安全,政務(wù)系統(tǒng)運(yùn)行中容易受到來自外界的各類風(fēng)險因素的安全威脅,造成有意或無意的破壞,因此必須加強(qiáng)安全體系建設(shè),保障信息安全與應(yīng)用安全。電子政務(wù)的安全風(fēng)險主要包括通信風(fēng)險、物理風(fēng)險、應(yīng)用風(fēng)險、管理風(fēng)險、區(qū)域邊界風(fēng)險及其他風(fēng)險等。通信風(fēng)險來自于各類重要數(shù)據(jù)的泄露與丟失,來自通信傳輸線路上的監(jiān)聽與阻攔,數(shù)據(jù)本身完整性、安全性受到攻擊威脅。物理風(fēng)險是電子政務(wù)系統(tǒng)遭受來自自然災(zāi)害如風(fēng)雨雷電地震等破壞,硬件設(shè)備受損造成數(shù)據(jù)都是活著損壞,靜電、強(qiáng)磁場與電磁鐳射等損壞存儲介質(zhì),數(shù)據(jù)被偷竊或監(jiān)聽。應(yīng)用風(fēng)險是不斷動態(tài)變化的,其所遭受的風(fēng)險如程序后門、病毒威脅與惡意代碼攻擊等都是動態(tài)變化著的。電子政務(wù)系統(tǒng)作為一個復(fù)雜的集成系統(tǒng),除去需要安全技術(shù)手段予以保駕護(hù)航之外,有效得當(dāng)?shù)墓芾聿拍苁掳牍Ρ?,管理不?dāng)包括口令、密鑰管理不當(dāng),管理制度不完善造成信息無序運(yùn)行,安全崗位設(shè)置及管理不到位,管理環(huán)節(jié)缺失或遺漏,政務(wù)審計系統(tǒng)與制度不到位等,以上這些管理不當(dāng)都會造成安全風(fēng)險[1]。區(qū)域邊界風(fēng)險是電子政務(wù)系統(tǒng)中不同安全等級區(qū)域之間的最易發(fā)生危險的區(qū)域邊界處,區(qū)域邊界不明確會導(dǎo)致高等級數(shù)據(jù)信息泄露,流向低等級造成泄露,或者邊界防護(hù)漏洞導(dǎo)致用戶非法訪問或竊取高等級區(qū)域信息,損壞數(shù)據(jù)完整性、真實(shí)性與可用性。其他安全風(fēng)險諸如安全意識淡漠、系統(tǒng)運(yùn)行風(fēng)險、信息安全戰(zhàn)略認(rèn)識不足等,都會導(dǎo)致電子政務(wù)系統(tǒng)運(yùn)行威脅。

二、基于分域防護(hù)思想的電子政務(wù)系統(tǒng)安全體系結(jié)構(gòu)設(shè)計

圖1電子政務(wù)安全體系結(jié)構(gòu)

電子政務(wù)系統(tǒng)作為服務(wù)于政府公務(wù)的重要支持系統(tǒng),安全防護(hù)體系建設(shè)必須兼顧到系統(tǒng)本身的應(yīng)用性、開放性等需求,遵循適度安全原則,解除其面臨安全威脅,將政務(wù)系統(tǒng)劃分為不同安全域,并針對各個安全域特點(diǎn)實(shí)施針對性安全舉措。分域防護(hù)的應(yīng)用有利于明確安全責(zé)任,消除政務(wù)互聯(lián)網(wǎng)開放顧慮與障礙,便于科學(xué)組織與安全建設(shè)?;诜钟蚍雷o(hù)思想,電子政務(wù)系統(tǒng)可根據(jù)系統(tǒng)本身特點(diǎn)、安全需求、環(huán)境重要性進(jìn)行劃分,系統(tǒng)方面可分為政務(wù)內(nèi)網(wǎng)、外網(wǎng)與互聯(lián)網(wǎng),安全需求可分為通信傳輸安全、邊界安全與環(huán)境安全,環(huán)境重要性可劃分為核心域、重要域與一般域[2]。不同安全區(qū)域內(nèi),根據(jù)防護(hù)要求利用身份認(rèn)證、訪問控制、病毒防護(hù)、安全審計等諸多措施保障信息安全,配合軟硬件基礎(chǔ)設(shè)施與管理平臺共同打造高效運(yùn)行的安全體系。電子政務(wù)安全體系結(jié)構(gòu)見圖1。

分域防護(hù)思想指導(dǎo)下根據(jù)政務(wù)系統(tǒng)職能特點(diǎn)可劃分為政務(wù)內(nèi)網(wǎng)、外網(wǎng)與互聯(lián)網(wǎng)絡(luò)三類。政務(wù)內(nèi)網(wǎng)是政府用于辦公的內(nèi)部局域網(wǎng),主要處理一些保密等級較高的數(shù)據(jù)業(yè)務(wù)和網(wǎng)上辦公事項,與外網(wǎng)鏈接,主要由信息處理、存儲、傳輸設(shè)備構(gòu)成,是政務(wù)核心處理區(qū)域和主要運(yùn)行平臺,與外網(wǎng)間實(shí)施物理隔離。外網(wǎng)主要服務(wù)政府各類政務(wù)部門,如法院、檢察院、政府、政協(xié)、黨委等,是業(yè)務(wù)專網(wǎng),運(yùn)行主要面對社會公眾,處理一些無需內(nèi)網(wǎng)處理的低保密等級公物,與互聯(lián)網(wǎng)之間實(shí)施邏輯隔離?;ヂ?lián)網(wǎng)作為公共性質(zhì)的開放網(wǎng)站,向公眾提供各類服務(wù),比如政務(wù)信息、收集群眾意見反饋及接受公眾監(jiān)督等。

分域防護(hù)安全結(jié)構(gòu)中,根據(jù)環(huán)境重要性分為核心域、重要域與一般域。核心域是安全等級最高的政務(wù)系統(tǒng)核心區(qū)域,需要提供最嚴(yán)密的安全防護(hù)措施以保護(hù)機(jī)密等級最高的數(shù)據(jù),做好其存儲與安全管理。重要域是次安全等級區(qū)域,是國家政府部門各類政務(wù)信息交雜處理區(qū)域,需實(shí)施嚴(yán)密防護(hù)。一般域是安全等級較低的防護(hù)區(qū)域,公開性顯著,提供各類公開政務(wù)信息與數(shù)據(jù)服務(wù),防護(hù)關(guān)鍵在于保障數(shù)據(jù)的公開性、真實(shí)性、完整性與可用性。

分域防護(hù)安全結(jié)構(gòu)中,安全方面主要以邊界安全、通信傳輸安全和環(huán)境安全為主。通信傳輸安全關(guān)系到政府內(nèi)網(wǎng)、外網(wǎng)與互聯(lián)網(wǎng)之間的信息傳輸與溝通,安全防護(hù)既要保障數(shù)據(jù)的傳輸通常,又要避免來自外界的惡意攻擊,保證傳輸數(shù)據(jù)的完整性、真實(shí)性與可用性[3]。網(wǎng)絡(luò)環(huán)境安全則是系統(tǒng)自身計算環(huán)境安全域數(shù)據(jù)安全,即處理各個層次數(shù)據(jù)時有不被泄露、攻擊和篡改的風(fēng)險。邊界防護(hù)安全則是不同等級安全域之間數(shù)據(jù)信息交換時不會出現(xiàn)由高向低或者由低向高的安全閥縣漏洞,不會出現(xiàn)數(shù)據(jù)的泄露、流失與非法訪問。

信息安全管理平臺是安全體系結(jié)構(gòu)中技術(shù)得以發(fā)揮作用的基礎(chǔ),關(guān)系到整個信息平臺能否順利運(yùn)轉(zhuǎn),是防護(hù)關(guān)鍵,管理平臺上要配備合適人員,加快標(biāo)準(zhǔn)化制度建設(shè),提供規(guī)范制約、法律支持等,配合各類信息安全基礎(chǔ)設(shè)施在政務(wù)系統(tǒng)保護(hù)中發(fā)揮作用。

綜上所述,電子政務(wù)系統(tǒng)的發(fā)展和應(yīng)用中承受著來自內(nèi)外的眾多安全威脅,利用分域防護(hù)思想可有效劃分不同安全域,針對各個安全域特點(diǎn)實(shí)施針對性安全舉措,解除其面臨的安全威脅,有利于明確安全責(zé)任,消除政務(wù)互聯(lián)網(wǎng)開放顧慮與障礙,便于科學(xué)組織與安全建設(shè)。

參考文獻(xiàn):

[1]呂欣.信息通信新技術(shù)環(huán)境下電子政務(wù)安全保障[J].信息網(wǎng)絡(luò)安全.2010(02).

第2篇:電子政務(wù)的安全風(fēng)險范文

1.1安全風(fēng)險評估應(yīng)用模型三階段。

在電子政務(wù)系統(tǒng)設(shè)的實(shí)施過程,主要分為規(guī)劃與設(shè)計階段、建設(shè)與實(shí)施階段、運(yùn)行與管理階段等三個階段。其中,安全風(fēng)險分析主要作用于規(guī)劃與設(shè)計階段,安全等級評估主要作用于建設(shè)與施工階段,安全檢查評估主要作用于運(yùn)行與管理階段。安全風(fēng)險分析,主要是利用風(fēng)險評估工具對系統(tǒng)的安全問題進(jìn)行分析。對于信息資產(chǎn)的風(fēng)險等級的確定,以及其風(fēng)險的優(yōu)先控制順序,可以通過根據(jù)電子政務(wù)系統(tǒng)的需求,采用定性和定量的方法,制定相關(guān)的安全保障方案。安全等級評估,主要由自評估和他評估兩種評估方式構(gòu)成。被評估電子政務(wù)系統(tǒng)的擁有者,通過結(jié)合其自身的力量和相關(guān)的等級保護(hù)標(biāo)準(zhǔn),進(jìn)行安全等級評估的方式,稱為自評估。而他評估則是指通過第三方權(quán)威專業(yè)評估機(jī)構(gòu),依據(jù)已頒布的標(biāo)準(zhǔn)或法規(guī)進(jìn)行評估。通過定期或隨機(jī)的安全等級評估,掌握系統(tǒng)動態(tài)、業(yè)務(wù)調(diào)整、網(wǎng)絡(luò)威脅等動向,能夠及時預(yù)防和處理系統(tǒng)中存在的安全漏洞、隱患,提高系統(tǒng)的防御能力,并給予合理的安全防范措施等。若電子政務(wù)網(wǎng)絡(luò)系統(tǒng)需要進(jìn)行較大程度上的更新或變革,則需要重新對系統(tǒng)進(jìn)行安全等級評估工作。安全檢查評估,主要是在對漏洞掃描、模擬攻擊,以及對安全隱患的檢查等方面,對電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)測,并給予解決問題的安全防范措施。

1.2安全風(fēng)險分析的應(yīng)用模型。

在政府網(wǎng)絡(luò)安全風(fēng)險評估工作中,主要是借助安全風(fēng)險評測工具和第三方權(quán)威機(jī)構(gòu),對安全風(fēng)險分析、安全等級評估和安全檢查評估等三方面進(jìn)行評估工作。在此,本文重點(diǎn)要講述的是安全風(fēng)險分析的應(yīng)用模型。在安全風(fēng)險分析的應(yīng)用模型中,著重需要考慮到的是其主要因素、基本流程和專家評判法。

(1)主要因素。

在資產(chǎn)上,政府的信息資源不但具有經(jīng)濟(jì)價值,還擁有者重要的政治因素。因此,要從關(guān)鍵和敏感度出發(fā),確定信息資產(chǎn)。在不足上,政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng),存在一定的脆弱性和被利用的潛在性。在威脅上,政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)受到來自內(nèi)、外部的威脅。在影響上,可能致使信息資源泄露,嚴(yán)重時造成重大的資源損失。

(2)基本流程。

根據(jù)安全需求,確定政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險等級和目標(biāo)。根據(jù)政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)和應(yīng)用需求,實(shí)行區(qū)域和安全邊界的劃分。識別并估價安全區(qū)域內(nèi)的信息資產(chǎn)。識別與評價安全區(qū)域內(nèi)的環(huán)境對資產(chǎn)的威脅。識別與分析安全區(qū)域內(nèi)的威脅所對應(yīng)的資產(chǎn)或組織存在的薄弱點(diǎn)。建立政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險評估方法和安全風(fēng)險等級評價原則,并確定其大小與等級。結(jié)合相關(guān)的系統(tǒng)安全需求和等級保護(hù),以及費(fèi)用應(yīng)當(dāng)與風(fēng)險相平衡的原則,對風(fēng)險控制方法加以探究,從而制定出有效的安全風(fēng)險控制措施和解決方案。

(3)專家評判法。

在建設(shè)政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的前期決策中,由于缺少相關(guān)的數(shù)據(jù)和資料,因此,可以通過專家評判的方法,為政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)提供一個大概的參考數(shù)值和結(jié)果,作為決策前期的基礎(chǔ)。在安全區(qū)域內(nèi),根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)(即物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層、數(shù)據(jù)層、用戶層),應(yīng)用需求和安全需求劃分的安全邊界和安全區(qū)域,建立起風(fēng)險值計算模型。通過列出從物理層到用戶層之間結(jié)構(gòu)所存在的薄弱點(diǎn),分析其可能為資產(chǎn)所帶來的影響,以及這些薄弱點(diǎn)對系統(tǒng)薄弱環(huán)節(jié)外部可能產(chǎn)生的威脅程度大小,進(jìn)而通過安全風(fēng)險評估專家進(jìn)行評判,得到系統(tǒng)的風(fēng)險值及排序。在不同的安全層次中,每個薄弱環(huán)節(jié)都存在著不同程度的潛在威脅。若是采用多嵌套的計算方法,能夠幫助計算出特定安全區(qū)域下的資產(chǎn)在這些薄弱環(huán)節(jié)中的風(fēng)險值。

2結(jié)語

第3篇:電子政務(wù)的安全風(fēng)險范文

關(guān)鍵詞:政府網(wǎng)絡(luò)安全;網(wǎng)絡(luò)安全;風(fēng)險評估;應(yīng)用模型;電子政務(wù)

中圖分類號:TP393.08

在新的發(fā)展環(huán)境下,開放和互聯(lián)的網(wǎng)絡(luò)時代給各種信息資源的流通帶來了便利的同時,也帶來了安全隱患。尤其是政府部門的電子政務(wù)信息資產(chǎn),若是受到非法使用,不但會對政府部門造成資源損失,甚至?xí){到國家、單位部門和個人的安全。因此,對政府網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全風(fēng)險評估,不但能夠有效地預(yù)防和解決潛在的威脅,而且能夠保障整個政府網(wǎng)絡(luò)系統(tǒng)的安全,促進(jìn)政府網(wǎng)絡(luò)建設(shè)的發(fā)展。

1 政府網(wǎng)絡(luò)安全風(fēng)險評估的方法

在電子政務(wù)信息系統(tǒng)的建設(shè)和運(yùn)行過程中,需要進(jìn)行網(wǎng)絡(luò)安全防御的相關(guān)措施,以防止系統(tǒng)中存在的漏洞、隱患,以及人為或非人為因素引起的風(fēng)險對系統(tǒng)的影響。因此,采取安全風(fēng)險評估的方法,通過安全風(fēng)險評估的相關(guān)技術(shù)的支持,對系統(tǒng)的設(shè)備及數(shù)據(jù)進(jìn)行分析、確定等級和檢查,是有效防范這些情況發(fā)生的重要措施。

政府網(wǎng)絡(luò)安全風(fēng)險評估的方法主要有安全風(fēng)險分析、安全等級評估和安全檢查評估等三種。

1.1 安全風(fēng)險分析。在進(jìn)行政府網(wǎng)絡(luò)安全風(fēng)險評估的前期工作中,主要是通過建立評估數(shù)據(jù)模型的方式進(jìn)行安全風(fēng)險分析。其中,主要是根據(jù)概率分布、外推法、矩陣圖分析、風(fēng)險發(fā)展趨勢評價方法、假設(shè)前提評價及數(shù)據(jù)準(zhǔn)確度評估等方法,并通過專家評估預(yù)測和相關(guān)歷史數(shù)據(jù)對指標(biāo)的選取和數(shù)據(jù)的采集,估算政府網(wǎng)絡(luò)安全系統(tǒng)所存在的風(fēng)險。

1.2 安全等級評估。在此階段,主要是在政府的電子政務(wù)系統(tǒng)建成或是運(yùn)行的過程中,由第三方權(quán)威機(jī)構(gòu)采取強(qiáng)制或非強(qiáng)制的方式,對政府網(wǎng)絡(luò)安全進(jìn)行定期安全等級評估,從而確定政府網(wǎng)絡(luò)系統(tǒng)在建成后,或是在系統(tǒng)更新后是否達(dá)到防范風(fēng)險的可靠級別。

1.3 安全檢查評估。在此階段,主要采用專門的模擬攻擊、漏洞掃描等方式,對政府電子政務(wù)(包括網(wǎng)絡(luò)設(shè)備、服務(wù)器、客戶機(jī)、數(shù)據(jù)庫和應(yīng)用系統(tǒng)等)進(jìn)行安全檢查,找出其中可能存在的安全隱患并提供掃描后的相關(guān)數(shù)據(jù),給予政府電子政務(wù)安全檢查評估。在安全檢查評估中,主要運(yùn)用到基于主機(jī)的(硬件系統(tǒng))和基于網(wǎng)絡(luò)的(軟件系統(tǒng))兩種技術(shù)。通過安全檢查評估,能夠起到預(yù)防網(wǎng)絡(luò)系統(tǒng)中存在的隱患的作用,并提供科學(xué)有效的解決措施,從而更進(jìn)一步提高網(wǎng)絡(luò)安全的整體水平。

2 政府網(wǎng)絡(luò)安全風(fēng)險評估的模型與應(yīng)用

2.1 安全風(fēng)險評估應(yīng)用模型三階段。在電子政務(wù)系統(tǒng)建設(shè)的實(shí)施過程,主要分為規(guī)劃與設(shè)計階段、建設(shè)與實(shí)施階段、運(yùn)行與管理階段等三個階段。其中,安全風(fēng)險分析主要作用于規(guī)劃與設(shè)計階段,安全等級評估主要作用于建設(shè)與施工階段,安全檢查評估主要作用于運(yùn)行與管理階段。

安全風(fēng)險分析,主要是利用風(fēng)險評估工具對系統(tǒng)的安全問題進(jìn)行分析。對于信息資產(chǎn)的風(fēng)險等級的確定,以及其風(fēng)險的優(yōu)先控制順序,可以通過根據(jù)電子政務(wù)系統(tǒng)的需求,采用定性和定量的方法,制定相關(guān)的安全保障方案。

安全等級評估,主要由自評估和他評估兩種評估方式構(gòu)成。被評估電子政務(wù)系統(tǒng)的擁有者,通過結(jié)合其自身的力量和相關(guān)的等級保護(hù)標(biāo)準(zhǔn),進(jìn)行安全等級評估的方式,稱為自評估。而他評估則是指通過第三方權(quán)威專業(yè)評估機(jī)構(gòu),依據(jù)已頒布的標(biāo)準(zhǔn)或法規(guī)進(jìn)行評估。通過定期或隨機(jī)的安全等級評估,掌握系統(tǒng)動態(tài)、業(yè)務(wù)調(diào)整、網(wǎng)絡(luò)威脅等動向,能夠及時預(yù)防和處理系統(tǒng)中存在的安全漏洞、隱患,提高系統(tǒng)的防御能力,并給予合理的安全防范措施等。若電子政務(wù)網(wǎng)絡(luò)系統(tǒng)需要進(jìn)行較大程度上的更新或變革,則需要重新對系統(tǒng)進(jìn)行安全等級評估工作。

安全檢查評估,主要是在對漏洞掃描、模擬攻擊,以及對安全隱患的檢查等方面,對電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)測,并給予解決問題的安全防范措施。

2.2 安全風(fēng)險分析的應(yīng)用模型。在政府網(wǎng)絡(luò)安全風(fēng)險評估工作中,主要是借助安全風(fēng)險評測工具和第三方權(quán)威機(jī)構(gòu),對安全風(fēng)險分析、安全等級評估和安全檢查評估等三方面進(jìn)行評估工作。在此,本文重點(diǎn)要講述的是安全風(fēng)險分析的應(yīng)用模型。在安全風(fēng)險分析的應(yīng)用模型中,著重需要考慮到的是其主要因素、基本流程和專家評判法。

(1)主要因素

在資產(chǎn)上,政府的信息資源不但具有經(jīng)濟(jì)價值,還擁有者重要的政治因素。因此,要從關(guān)鍵和敏感度出發(fā),確定信息資產(chǎn)。在不足上,政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng),存在一定的脆弱性和被利用的潛在性。在威脅上,政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)受到來自內(nèi)、外部的威脅。在影響上,可能致使信息資源泄露,嚴(yán)重時造成重大的資源損失。

(2)基本流程

根據(jù)安全需求,確定政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險等級和目標(biāo)。

根據(jù)政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)和應(yīng)用需求,實(shí)行區(qū)域和安全邊界的劃分。

識別并估價安全區(qū)域內(nèi)的信息資產(chǎn)。

識別與評價安全區(qū)域內(nèi)的環(huán)境對資產(chǎn)的威脅。

識別與分析安全區(qū)域內(nèi)的威脅所對應(yīng)的資產(chǎn)或組織存在的薄弱點(diǎn)。

建立政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險評估方法和安全風(fēng)險等級評價原則,并確定其大小與等級。

結(jié)合相關(guān)的系統(tǒng)安全需求和等級保護(hù),以及費(fèi)用應(yīng)當(dāng)與風(fēng)險相平衡的原則,對風(fēng)險控制方法加以探究,從而制定出有效的安全風(fēng)險控制措施和解決方案。

(3)專家評判法

在建設(shè)政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的前期決策中,由于缺少相關(guān)的數(shù)據(jù)和資料,因此,可以通過專家評判的方法,為政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)提供一個大概的參考數(shù)值和結(jié)果,作為決策前期的基礎(chǔ)。

在安全區(qū)域內(nèi),根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)(即物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層、數(shù)據(jù)層、用戶層),應(yīng)用需求和安全需求劃分的安全邊界和安全區(qū)域,建立起風(fēng)險值計算模型。通過列出從物理層到用戶層之間結(jié)構(gòu)所存在的薄弱點(diǎn),分析其可能為資產(chǎn)所帶來的影響,以及這些薄弱點(diǎn)對系統(tǒng)薄弱環(huán)節(jié)外部可能產(chǎn)生的威脅程度大小,進(jìn)而通過安全風(fēng)險評估專家進(jìn)行評判,得到系統(tǒng)的風(fēng)險值及排序。

在不同的安全層次中,每個薄弱環(huán)節(jié)都存在著不同程度的潛在威脅。若是采用多嵌套的計算方法,能夠幫助計算出特定安全區(qū)域下的資產(chǎn)在這些薄弱環(huán)節(jié)中的風(fēng)險值。

3 結(jié)語

本文主要通過對政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的建設(shè)中,所進(jìn)行的安全風(fēng)險評估進(jìn)行研究,分析和探討在規(guī)劃與設(shè)計階段、建設(shè)與實(shí)施階段、運(yùn)行與管理階段三個階段中政府網(wǎng)絡(luò)安全建設(shè)的相關(guān)問題。并在各階段分別采用安全風(fēng)險分析、系統(tǒng)建設(shè)完成后的安全等級評估。在系統(tǒng)建成后的運(yùn)行和管理階段,采用的安全檢查評估等方法,保障政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的安全。此外,在安全風(fēng)險分析中,可操作的方法并不多,需要有關(guān)部門加強(qiáng)力度,加以研究和探析。在等級安全評估和安全檢查評估兩個階段,可以充分利用第三方權(quán)威機(jī)構(gòu)的評測工具,來加強(qiáng)政府網(wǎng)絡(luò)的安全性。

參考文獻(xiàn):

[1]楊志新.政府網(wǎng)絡(luò)安全風(fēng)險評估[J].系統(tǒng)工程,2005,4.

[2]王繼曄.政府信息網(wǎng)絡(luò)的安全措施及技術(shù)手段[J].交通與計算機(jī),2003,2.

[3]黃煒.我國政府保護(hù)網(wǎng)絡(luò)經(jīng)濟(jì)信息安全的現(xiàn)狀和對策[J].華南理工大學(xué),2010,5,6.

[4]夏義,李勇.政府網(wǎng)絡(luò)安全問題分析[J].高校圖書情報論壇,2003,2.

第4篇:電子政務(wù)的安全風(fēng)險范文

【關(guān)鍵詞】電子政務(wù) 信息安全 體系建設(shè)

當(dāng)前我國交通電子政務(wù)實(shí)施過程的兩大矛盾的解決,依賴于安全、穩(wěn)定、可靠的交通運(yùn)輸電子政務(wù)平臺信息安全保障體系。對于電子政務(wù)平臺實(shí)施過程中所面臨的信息安全保障問題,我國早在2003年9月頒發(fā)的《關(guān)于加強(qiáng)信息安全保障工作的意見》中明確提出了建立等級保護(hù)制度和風(fēng)險管理體系的要求。2004年11月,公安部等國家四部委聯(lián)合推出信息安全等級保護(hù)要求、測評準(zhǔn)則和實(shí)施指南,為政務(wù)領(lǐng)域進(jìn)一步建立政務(wù)信息系統(tǒng)風(fēng)險管理體系提供了技術(shù)基礎(chǔ)和指導(dǎo)。交通運(yùn)輸部也于2008年12月頒布的《交通運(yùn)輸電子政務(wù)網(wǎng)絡(luò)及業(yè)務(wù)應(yīng)用系統(tǒng)建設(shè)技術(shù)指南》中對交通電子政務(wù)平臺的安全保障體系作了詳細(xì)的技術(shù)規(guī)范。

隨著交通政府機(jī)構(gòu)的信息安全基礎(chǔ)建設(shè)日趨完善,建立一套信息安全管理平臺,既滿足電子政務(wù)平臺的開放性和可訪問性,又保證電子政務(wù)平臺的安全性,也日益迫切。交通電子政務(wù)信息安全保障體系可從以下幾個角度進(jìn)行充分構(gòu)建:

1信息安全保障體系及其基本要求

信息安全保障體系是基于PKI體系而開發(fā)的為多個應(yīng)用系統(tǒng)提供統(tǒng)一認(rèn)證、訪問控制、應(yīng)用審計和遠(yuǎn)程接入的應(yīng)用安全網(wǎng)關(guān)系統(tǒng),它可以將不同地理位置、不同基礎(chǔ)設(shè)施(主機(jī)、網(wǎng)絡(luò)設(shè)備和安全設(shè)備等)中分散且海量的安全信息進(jìn)行樣式化、匯總、過濾和關(guān)聯(lián)分析,形成基于基礎(chǔ)設(shè)施與域的統(tǒng)一等級的威脅與風(fēng)險管理,并依托安全知識庫和工作流程驅(qū)動,對威脅與風(fēng)險進(jìn)行響應(yīng)和處理。信息安全保障體系的基本要求主要體現(xiàn)在以下幾個方面:

1)保密性。主要體現(xiàn)在誰能擁有信息,如何保證秘密和敏感信息僅為授權(quán)者享有。

2)完整性。主要體現(xiàn)在擁有的信息是否正確以及如何保證信息從真實(shí)的信源發(fā)往真實(shí)的信宿,傳輸、存儲、處理中未被刪改、增添、替換。

3)可用性。主要體現(xiàn)在信息和信息系統(tǒng)是否能夠使用以及如何保證信息和信息系統(tǒng)隨時可為授權(quán)者提供服務(wù)而不被非授權(quán)者濫用。

4)可控性。主要體現(xiàn)在是否能夠監(jiān)控管理信息和系統(tǒng)以及如何保證信息和信息系統(tǒng)的授權(quán)認(rèn)證和監(jiān)控管理。

5)不可否認(rèn)性。主要體現(xiàn)在信息行為人為信息行為承擔(dān)責(zé)任,保證信息行為人不能否認(rèn)其信息行為。

總之,信息安全保障體系的基本要求主要從技術(shù)和管理兩個層面得以實(shí)現(xiàn)。技術(shù)層面在實(shí)現(xiàn)信息資源的公開性、共享性和可訪問性的同時,通過主機(jī)安全、網(wǎng)絡(luò)安全、物理安全、數(shù)據(jù)安全和應(yīng)用安全等技術(shù)要素保障信息的安全性。管理層面則可通過安全管理機(jī)制、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理以及系統(tǒng)運(yùn)營管理等規(guī)范化機(jī)制得以保障信息的安全性。

2交通電子政務(wù)平臺信息安全保障體系的構(gòu)建

交通電子政務(wù)平臺的信息安全保障體系,應(yīng)該由組織體系、技術(shù)體系、運(yùn)營體系、策略體系和保障對象體系等共同組成。

2.1安全組織體系。政府高度重視交通運(yùn)輸信息化工作的同時,堅持把“積極防御,綜合防范”放在優(yōu)先位置,首先要求成立專門的信息安全領(lǐng)導(dǎo)小組。信息安全領(lǐng)導(dǎo)小組可由交通主管領(lǐng)導(dǎo)擔(dān)任領(lǐng)導(dǎo)小組組長主管信息安全工作,下設(shè)信息安全工作組,各管理部門負(fù)責(zé)人、業(yè)務(wù)部門負(fù)責(zé)人為成員。

2.2安全技術(shù)體系。交通電子政務(wù)平臺的安全技術(shù)體系可搭建專業(yè)的安全管理運(yùn)營中心,并從基礎(chǔ)設(shè)施安全和應(yīng)用安全兩個方面去搭建安全技術(shù)支撐體系。

2.3安全運(yùn)營體系。交通電子政務(wù)的安全運(yùn)營體系一般可由安全體系推廣與落實(shí)、項目建設(shè)的安全管理、安全風(fēng)險管理與控制和日常安全運(yùn)行與維護(hù)四個部分組成。安全運(yùn)營體系是一個完整的過程體系,在交通電子政務(wù)平臺的整個過程中,正常的運(yùn)作流程,其信息流遵循自上而下的流程,即交通上級部門根據(jù)電子政務(wù)平臺信息安全需求的目標(biāo)、規(guī)劃和控制要求做計劃,下級交通部門根據(jù)計劃進(jìn)行執(zhí)行、檢查和改進(jìn)。而若交通電子政務(wù)平臺其安全性出現(xiàn)威脅,影響正常的運(yùn)作流程時,此時信息流則遵循自下而上的逆向過程,下級交通部門向上級部門報送安全事件,上級部門根據(jù)其安全事件進(jìn)行分析、總結(jié)和改進(jìn)。

2.4安全策略體系。網(wǎng)絡(luò)安全策略是為了保護(hù)網(wǎng)絡(luò)不受來自網(wǎng)絡(luò)內(nèi)外的各種危害而采取的防范措施的總和,因此信息安全策略是信息安全保障體系建設(shè)和實(shí)施的指導(dǎo)和依據(jù),全面科學(xué)的安全策略體系應(yīng)貫穿信息安全保障體系建設(shè)的始終。安全策略體系,主要包含安全政策體系、安全組織體系、安全技術(shù)體系和安全運(yùn)行體系四個方面的要素,在采用各種安全技術(shù)控制措施的同時,必須制訂層次化的安全策略,完善安全管理組織機(jī)構(gòu)和人員配備,提高安全管理人員的安全意識和技術(shù)水平,完善各種安全策略和安全機(jī)制,利用多種安全技術(shù)實(shí)施和網(wǎng)絡(luò)安全管理實(shí)現(xiàn)對網(wǎng)絡(luò)的多層保護(hù),減小網(wǎng)絡(luò)受到攻擊的可能性,防范網(wǎng)絡(luò)安全事件的發(fā)生,提高對安全事件的反應(yīng)處理能力,并在網(wǎng)絡(luò)安全事件發(fā)生時盡量減少事件造成的損失。

第5篇:電子政務(wù)的安全風(fēng)險范文

關(guān)鍵詞:電子政務(wù);云平臺;信息安全

中圖分類號:TP399 文獻(xiàn)標(biāo)識碼:A 文章編號:1006-8937(2014)2-0074-02

電子政務(wù)云是現(xiàn)代政府辦公理念與大型計算中心系統(tǒng)有機(jī)結(jié)合的產(chǎn)物,其本質(zhì)并非是“電子”而是“政務(wù)”,云計算與網(wǎng)絡(luò)技術(shù)的運(yùn)用僅僅只是服務(wù)型政府精簡工作并實(shí)現(xiàn)其政務(wù)高效與系統(tǒng)化的手段。電子政務(wù)云安全性方面的目標(biāo)是確保各類數(shù)據(jù)在采集、存儲、挖掘處理、共享傳播等過程中不遭到攻擊、竊取或篡改,以保證信息的完整性、真實(shí)性、可用性和可控性。

1 電子政務(wù)云技術(shù)存在的安全問題

當(dāng)前我國電子政務(wù)云平臺的信息安全問題主要可以歸納為以下幾個方面:

①目前國內(nèi)尚缺乏具有自主知識產(chǎn)權(quán)的基礎(chǔ)信息設(shè)備和技術(shù)產(chǎn)品,大量核心技術(shù)設(shè)備依賴于進(jìn)口,其中絕大部分都是美國技術(shù)公司所研發(fā)生產(chǎn)的。例如:VMware“威?!比驍?shù)據(jù)中心虛擬解決方案的領(lǐng)導(dǎo)廠商,Cisco“思科”互聯(lián)網(wǎng)解決方案領(lǐng)導(dǎo)提供者,Microsoft“微軟”世界軟件開發(fā)的先導(dǎo)、Intel“英特爾”全球最大的半導(dǎo)體制造商等。我們從硬件到軟件的諸多技術(shù)方面都受制于人,缺乏自主的設(shè)備和技術(shù)必然會給國家政務(wù)工作帶來極大的安全隱患。一旦真的受到國外的限制,則我國整體計算機(jī)系統(tǒng)隨時都可能面臨崩潰的境地。

②當(dāng)前互聯(lián)網(wǎng)上違法犯罪活動和敵對勢力的破壞事件頻發(fā),而國內(nèi)相關(guān)部門網(wǎng)絡(luò)安全意識還較為淡薄,也為電子政務(wù)工作瞞下了安全隱患。政府部門僅重視了網(wǎng)絡(luò)的系統(tǒng)建設(shè),看重網(wǎng)絡(luò)帶來的便利和高效,但往往卻忽視了信息工作的安全性。當(dāng)前,電子政務(wù)云的開放程度有限,主要的行政工作還是以原始的公文形式進(jìn)行處理,而且廣大民眾對網(wǎng)絡(luò)技術(shù)犯罪的認(rèn)識還比較模糊,由于該類犯罪尚未造成較大損失,于是人們對之表現(xiàn)出的態(tài)度也較為“溫和”,政府工作人員和人民群眾對網(wǎng)絡(luò)數(shù)據(jù)信息安全意識還沒有上升到應(yīng)有的高度。

③管理機(jī)制和相關(guān)法規(guī)的不健全也很大程度上限制了電子政務(wù)安全防范的力度。相關(guān)部門往往只將管理的重心集中在對行政人員的人力資源管理方面,而對電子政務(wù)云的技術(shù)結(jié)構(gòu)管理卻存在漏洞或缺陷。云平臺的建設(shè)處于各自為政的狀態(tài),缺少一個統(tǒng)一的管理機(jī)構(gòu),項目之間“孤島效應(yīng)”明顯。這方面的工作主要依靠工程承接方來負(fù)責(zé),且依舊存在各種全責(zé)劃分不明的問題。如果安全措施不落實(shí)到位,網(wǎng)絡(luò)安全沒有從管理制度上建立相應(yīng)的防范機(jī)制,則電子政務(wù)云工作的開展將無法得到最基本的安全制度保障。

2 電子政務(wù)云平臺信息安全的影響因素分析

電子政務(wù)云平臺信息安全的影響因素可分為人為與非人為兩方面。人為原因主要是指個人或團(tuán)體有規(guī)劃性的對網(wǎng)絡(luò)信息進(jìn)行惡意攻擊和破壞的行為,包括有黑客對網(wǎng)絡(luò)的攻擊入侵、對機(jī)密文件的竊取、計算機(jī)病毒的傳播等;而非人為因素主要包括不可抗拒的自然災(zāi)害和現(xiàn)階段受到技術(shù)局限的問題等。

2.1 影響電子政務(wù)云信息安全的人為原因

電子政務(wù)云信息安全的主要威脅來自于人為原因。系統(tǒng)的入侵者可能因?yàn)閻阂鈭髲?fù)、表現(xiàn)自我突破安全技術(shù)、敵對勢力的間諜行為或非法謀取經(jīng)濟(jì)利益等。攻擊者通過編寫病毒代碼入侵電子政務(wù)網(wǎng)絡(luò)系統(tǒng),而后病毒代碼自我復(fù)制傳播,進(jìn)而導(dǎo)致系統(tǒng)癱瘓或成為僵尸寄宿主機(jī)。這方面的人為原因可以從內(nèi)部因素和外部因素兩個方面具體展開分析:

①內(nèi)部因素主要是指內(nèi)部擁有政務(wù)云的合法訪問權(quán)及管理權(quán)限的工作人員對其施予的直接影響。由內(nèi)部因素引發(fā)的信息安全問題可分為惡意和無意兩種。惡意是指帶有現(xiàn)實(shí)目的有規(guī)劃的對電子政務(wù)云平臺實(shí)施的攻擊;無意指的是工作人員因疏忽大意或工作能力的欠缺而造成的危害,如未經(jīng)授權(quán)的連接、權(quán)限欺騙等情況的發(fā)生。政府重要數(shù)據(jù)泄露的隱患往往都?xì)w結(jié)為無意的數(shù)據(jù)破壞和損壞造成的,工作人員不謹(jǐn)慎的操作、或因技術(shù)經(jīng)驗(yàn)欠缺等原因造成的錯誤操作,都可能導(dǎo)致一系列的安全問題。

在電子政務(wù)云信息化的過程中,行政機(jī)構(gòu)主要關(guān)注的是技術(shù)、設(shè)備的效能,但是對其安全問題影響因素進(jìn)行安全管理的作用尚缺乏應(yīng)有的重視。管理人員工作不嚴(yán)謹(jǐn)、制度法規(guī)不健全或執(zhí)行力度不夠都是電子政務(wù)安全工作中的嚴(yán)重問題。為確保電子政務(wù)信息化的和諧發(fā)展,管理部門務(wù)必要建立嚴(yán)密的制度保障體系,實(shí)時監(jiān)控檢測系統(tǒng)運(yùn)行狀況,并努力提高工作人員的職業(yè)素養(yǎng),最大限度的保障電子政務(wù)云的安全運(yùn)行。

②基于網(wǎng)絡(luò)攻擊、入侵事件的報告顯示:國外政府入侵的安全風(fēng)險指數(shù)為21%,黑客入侵的安全風(fēng)險指數(shù)為48%,競爭對手入侵的安全風(fēng)險指數(shù)為72%,對組織不滿的內(nèi)部雇員入侵的安全風(fēng)險指數(shù)為89%。以上數(shù)據(jù)充分說明電子政務(wù)云的安全并不僅僅表現(xiàn)為技術(shù)方面的問題。不完善的管理制度、安全檢查措施欠缺等,都可能導(dǎo)致看似堅固的堡壘出現(xiàn)各式各樣的問題,尤其是日常管理中的疏忽,比如,機(jī)房重地沒有設(shè)立嚴(yán)格的等級制度與劃分,而是隨意的進(jìn)行操作,管理監(jiān)控人員擅離崗位或未按照標(biāo)準(zhǔn)執(zhí)行操作,機(jī)要信息隨意存放在電腦磁盤上,這都為政務(wù)云的安全埋下了隱患。如果攻擊者偽裝IP地址或者利用僵尸主機(jī)對政務(wù)云實(shí)施攻擊,篡改政務(wù)網(wǎng)站信息,勢必造成極其惡劣的社會影響。而且,在現(xiàn)實(shí)世界中,內(nèi)部潛在的安全威脅更大,由于內(nèi)部人員熟知系統(tǒng)的整體構(gòu)造與細(xì)則,且能掌握各級人員的工作規(guī)律,可能攻擊者自己就具有管理員權(quán)限,對某些信息具有一定的操作權(quán)限,對內(nèi)部系統(tǒng)能進(jìn)行更深入的網(wǎng)絡(luò)刺探、暴力破解等都更為便利,于是對系統(tǒng)可能造成更加深層次的破壞。

2.2 影響電子政務(wù)信息安全的非人為因素

危害信息系統(tǒng)安全的非人為因素主要來自自然災(zāi)害和技術(shù)上的局限,其中由于受到技術(shù)局限導(dǎo)致的漏洞所帶來的威脅表現(xiàn)得更為頻繁且嚴(yán)重,具體而言,當(dāng)前物理自然環(huán)境涉及網(wǎng)絡(luò)系統(tǒng)的可用性、完整性和保密性,其對信息處理設(shè)備構(gòu)成的威脅主要包括:未經(jīng)授權(quán)的訪問和資源竊取、電源干擾、電磁輻射、化學(xué)影響、爆炸、火災(zāi)、灰塵、振動等。另一方面,技術(shù)受限將導(dǎo)致系統(tǒng)的漏洞和缺陷,如系統(tǒng)、硬件、軟件的設(shè)計等。典型的漏洞包括軟硬件的總體設(shè)計漏洞、配置漏洞、實(shí)現(xiàn)漏洞、系統(tǒng)漏洞等。

3 提升電子政務(wù)云信息安全性的對策

政務(wù)云系統(tǒng)的高度復(fù)雜性和技術(shù)的高速發(fā)展變化,決定了政務(wù)系統(tǒng)的安全技術(shù)問題必然越來越受到重視。提升電子政務(wù)信息安全性的對策好比指導(dǎo)進(jìn)行電子政務(wù)信息安全之戰(zhàn)的戰(zhàn)略方針,需要負(fù)責(zé)組織、協(xié)調(diào)、指揮各方面的力量來共同維護(hù)電子政務(wù)信息系統(tǒng)的安全。加強(qiáng)網(wǎng)絡(luò)通信技術(shù)的安全性、降低政務(wù)信息系統(tǒng)的風(fēng)險,需要從以下幾個方面著手。

3.1 提升電子政務(wù)工作人員信息安全意識

提高培養(yǎng)政府政務(wù)工作人員對網(wǎng)絡(luò)安全的意識,在日常工作中能自覺地按照標(biāo)準(zhǔn)政務(wù)信息安全規(guī)范的執(zhí)行各項操作,使其具備良好的信息安全意識。在培養(yǎng)過程中應(yīng)注意:首先,應(yīng)充分利用當(dāng)前先進(jìn)的科技力量,并通過各種媒介途徑媒體積極地宣傳信息安全的重要性,如報刊,雜志,網(wǎng)絡(luò)等。其次,邀請相關(guān)專業(yè)導(dǎo)師對工作人員加以多種形式的指導(dǎo)培訓(xùn)。再次,制定研究周密的安全策略,使責(zé)任明確且細(xì)化,將安全工作落實(shí)到人,且做到權(quán)責(zé)清晰和權(quán)責(zé)一致。

3.2 建立健全完善的電子政務(wù)云信息安全管理機(jī)制

首先,政務(wù)云平臺應(yīng)嚴(yán)格按照國家法律法規(guī)對機(jī)密事件實(shí)行分級分類保護(hù),確保重要信息安全責(zé)任具體化、細(xì)致化,做好數(shù)據(jù)的隔離控制,進(jìn)一步保障數(shù)據(jù)的完善安全。其次,為減少對電子政務(wù)信息系統(tǒng)安全構(gòu)成危害的物理自然安全因素,就應(yīng)當(dāng)創(chuàng)造一個良好的環(huán)境,滿足系統(tǒng)適宜的物理條件,并且做好異地的容災(zāi)備份工作,從而將這些危害因素降至最低。此外,還需要不斷完善加密技術(shù),并充分利用與政務(wù)云相適應(yīng)的技術(shù)(包括用戶身份的驗(yàn)證、網(wǎng)絡(luò)的安全認(rèn)證、主機(jī)的物理隔離、內(nèi)容信息的分級管理、底層操作系統(tǒng)的安全、通訊線路的安全等),以便為政務(wù)云平臺的安全運(yùn)行提供有力的保障。

3.3 大力發(fā)展擁有自主知識產(chǎn)權(quán)的安全產(chǎn)業(yè)

網(wǎng)絡(luò)通信產(chǎn)品的自主研發(fā)已成為信息安全防范的核心。目前,我國的主要軟硬件技術(shù)主要依賴西方國家,這極大的威脅了我國的信息安全利益。于是,有必要投入科技發(fā)展資金,積極推進(jìn)國內(nèi)軟硬件技術(shù)水平,使國內(nèi)自主研發(fā)產(chǎn)品能逐步替換國外同類產(chǎn)品,信息安全產(chǎn)業(yè)的發(fā)展已成為關(guān)乎國計民生的大問題。我們可以積極朝這樣幾個方面去努力:一是能改善信息安全的現(xiàn)狀、使用大眾化的關(guān)鍵技術(shù);二是努力增強(qiáng)國有創(chuàng)造性實(shí)力,從而實(shí)現(xiàn)技術(shù)上的突破;三是要能獨(dú)立研發(fā)核心戰(zhàn)略性技術(shù)設(shè)備,如CPU和數(shù)據(jù)加密芯片等。在不斷提升技術(shù)研發(fā)實(shí)力的同時,還需要做到信息技術(shù)的多元化與綜合化,以更好的保障電子政務(wù)云的安全和穩(wěn)定。

當(dāng)前,我國電子政務(wù)云正以驚人的速度發(fā)展,特別是發(fā)達(dá)地區(qū)。公安、工商、物價局等多種部門對電子政務(wù)云的使用已相當(dāng)普遍。電子政務(wù)云是政府信息資源建設(shè)的組成部分,是對政府信息資源進(jìn)行深度開發(fā)和廣泛利用,促進(jìn)政府體制改革和職能轉(zhuǎn)變的一個有效手段。于是我們應(yīng)在這個過程中我們更應(yīng)該注意政務(wù)信息的保密與安全問題,提升對信息安全方面的人力與財力的投入,始終堅持獨(dú)立自主的研發(fā)路線,增強(qiáng)國家電子政務(wù)工作的信息安全性,打造健全穩(wěn)定的電子政務(wù)云平臺,提高公眾的滿意度。

參考文獻(xiàn):

[1] 劉菡.電子政務(wù)的規(guī)劃與實(shí)踐[M].北京:中國時代經(jīng)濟(jì)出版社,2006,(5):127.

第6篇:電子政務(wù)的安全風(fēng)險范文

【關(guān)鍵詞】電子政務(wù);信息安全;策略

一般來說,電子政務(wù)是政府機(jī)構(gòu)為了適應(yīng)經(jīng)濟(jì)全球化和信息網(wǎng)絡(luò)化的需要,應(yīng)用現(xiàn)代信息技術(shù),將政務(wù)處理、政府管理、政府服務(wù)等各項職能通過網(wǎng)絡(luò)實(shí)現(xiàn)有機(jī)結(jié)合,并通過流程優(yōu)化創(chuàng)新,實(shí)現(xiàn)提高政府管理效能,降低管理成本,改進(jìn)政府服務(wù)水平,以適應(yīng)信息化時代需要的現(xiàn)代政府公共管理實(shí)務(wù)中關(guān)于政務(wù)信息和管理的平臺。為了打造服務(wù)型政務(wù),實(shí)現(xiàn)政務(wù)公開,接受各方面的監(jiān)督,必然要求在政務(wù)管理中推行電子政務(wù),達(dá)到最大限度降低政府運(yùn)作成本,提高了政府行政效率。

電子政務(wù)推行過程中的信息安全問題是政務(wù)運(yùn)行的中心問題。這里的信息安全主要是指各類政務(wù)信息不得遭受偶然和惡意原因而受到破壞、更改、泄露。信息安全要求嚴(yán)格保護(hù)政務(wù)系統(tǒng)中信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù),切實(shí)做到系統(tǒng)連續(xù)、穩(wěn)定、可靠正常地運(yùn)行。

在當(dāng)前信息技術(shù)飛速發(fā)展,各類黑客等破解軟件系統(tǒng)的技術(shù)層出不窮,各級政府和商務(wù)網(wǎng)站收到攻擊并導(dǎo)致癱瘓的事件時有發(fā)生,政務(wù)系統(tǒng)中的信息安全問題越來越尖銳,信息保護(hù)和防范的要求也越來越高。信息安全問題直接關(guān)系到政務(wù)信息及時和有效共享、政令暢通等,有些甚至更深層次地關(guān)系到國家的信息安全與穩(wěn)定。

一、我國電子政務(wù)信息安全存在的問題

電子政務(wù)是一種全新的基于網(wǎng)絡(luò)技術(shù)的綜合性政府管理方式,其系統(tǒng)運(yùn)行中的信息安全問題主要表現(xiàn)為管理和技術(shù)兩個方面。電子政務(wù)運(yùn)行過程中信息的技術(shù)問題是根本性問題,管理問題是基礎(chǔ)和保障方面的問題,二者共同作用于電子政務(wù)平臺的建設(shè)和發(fā)展。

1、管理方面問題

電子政務(wù)是利用先進(jìn)的信息技術(shù)作為工具,幫助政府更好地履行管理職能。就具體運(yùn)行過程看來,政府電子政務(wù)信息管理存在的問題主要包括以下幾個方面:

(1)信息安全意思薄弱。電子政務(wù)在我國發(fā)展的起點(diǎn)低,很多政府工作人員對電子政務(wù)沒科學(xué)、正確的認(rèn)識,不適應(yīng)信息化辦公的要求。很多人將網(wǎng)絡(luò)用于學(xué)習(xí)、工作和娛樂等,無暇顧及網(wǎng)絡(luò)信息的安全性,安全意識薄弱。

(2)規(guī)范化信息安全管理制度嚴(yán)重缺乏。一直以來,各級政府為了保證信息安全,各級政府在電子政務(wù)的信息安全方面只從技術(shù)方面上采取了保障措施,嚴(yán)重缺乏規(guī)范的管理體制的建設(shè)。電子政務(wù)的信息安全要求制定并落實(shí)安全責(zé)任制,并且配備相應(yīng)的完備的信息安全管理和認(rèn)證機(jī)制等。而我國目前的電子政務(wù)系統(tǒng)在信息安全管理方面缺乏統(tǒng)一協(xié)調(diào)性,對故障定位不夠準(zhǔn)確,對安全責(zé)任的追查更加困難,一旦造成信息泄露的安全事故就無法應(yīng)對。

(3)信息安全立法滯后。發(fā)達(dá)國家的經(jīng)驗(yàn)表明,政府電子政務(wù)的快速發(fā)展必須要有健全的法制保障。當(dāng)前,我國與電子政務(wù)相關(guān)的信息安全方面的相關(guān)法律法規(guī)非常欠缺。在全球范圍內(nèi)縱橫交錯的信息網(wǎng)絡(luò)中,考慮到國內(nèi)的電子政務(wù)系統(tǒng)與國際互聯(lián)網(wǎng)直接連接,各種信息安全問題都會發(fā)生,即使有全面的技術(shù)規(guī)范,也難以避免各種不法侵害。當(dāng)前,我國在電子政務(wù)信息安全方面立法滯后,也非常不完備,急需一些保障電子政務(wù)信息安全的配套的法律法規(guī),以推動電子政務(wù)的普及,減少各類造成電子政務(wù)信息信息安全問題的障礙。

2、技術(shù)方面

電子政務(wù)發(fā)展的實(shí)踐表明,技術(shù)是電子政務(wù)發(fā)展的最關(guān)鍵而又受到制約的重要因素。在電子中,盡管有著 “三分技術(shù)、七分管理”的說法,但是沒有先進(jìn)的技術(shù)做支撐,管理問題無從談起,沒有技術(shù)就更無從談其發(fā)展問題。一旦技術(shù)出了問題,電子政務(wù)的發(fā)展就會面臨重大困難。當(dāng)前,電子政務(wù)的技術(shù)方面的問題主要表現(xiàn)在以下幾個方面。

(1)不成熟的網(wǎng)絡(luò)技術(shù)導(dǎo)致安全隱患。政府運(yùn)用電子政務(wù)進(jìn)行網(wǎng)絡(luò)化辦公,必然導(dǎo)致政府工作對網(wǎng)絡(luò)具有很強(qiáng)的依賴性,這些依賴性必然產(chǎn)生脆弱性,包括技術(shù)的脆弱性、社會的脆弱性、人的脆弱性等等。這些脆弱性更多是由于網(wǎng)絡(luò)技術(shù)不成熟,加上網(wǎng)絡(luò)設(shè)置不科學(xué)導(dǎo)致的。網(wǎng)絡(luò)技術(shù)自身不成熟,加上電子政務(wù)系統(tǒng)采用的網(wǎng)絡(luò)設(shè)置不夠科學(xué),在信息安全技術(shù)方面存在很多安全弱點(diǎn)或隱患,例如,網(wǎng)絡(luò)硬件設(shè)備的弱點(diǎn)、操作平臺的弱點(diǎn)等各種安全問題。這些安全弱點(diǎn)迫切需要我們努力利用先進(jìn)的網(wǎng)絡(luò)技術(shù)來消除這些威脅。

(2)網(wǎng)絡(luò)安全規(guī)劃不到位導(dǎo)致網(wǎng)絡(luò)結(jié)構(gòu)的不合理性。由于信息技術(shù)發(fā)展過快,政府電子政務(wù)網(wǎng)絡(luò)建設(shè)經(jīng)常缺乏資金,加上網(wǎng)絡(luò)建設(shè)規(guī)劃缺少安全設(shè)計,更缺少前瞻性的系統(tǒng)規(guī)劃。在電子政務(wù)的具體運(yùn)行中,由于多個瓶頸限制網(wǎng)絡(luò)流量,缺乏統(tǒng)一規(guī)劃的IP 地址,更嚴(yán)重的是子網(wǎng)故障隔離性差,重要政務(wù)信息因流量缺乏,缺少服務(wù)質(zhì)量保證等系列問題。在處理信息安全問題過程,不能立即收到應(yīng)有的效果,只能修修補(bǔ)補(bǔ)的解決。

(3)未掌握關(guān)鍵核心技術(shù),基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)存在安全隱患。我國對發(fā)達(dá)國家信息設(shè)備和信息技術(shù)存在很強(qiáng)的依賴性,信息化核心設(shè)備嚴(yán)重依賴國外,對引進(jìn)的技術(shù)和設(shè)備缺乏必要的信息管理和技術(shù)改造。尤其是在系統(tǒng)安全和安全協(xié)議的研究和應(yīng)用方面與發(fā)達(dá)國家的差距很大。目前組成我國電子政務(wù)網(wǎng)絡(luò)的計算機(jī)網(wǎng)絡(luò)系統(tǒng)所用各種硬件、軟件、網(wǎng)絡(luò)設(shè)備、服務(wù)器等基本上都是國外公司的產(chǎn)品,完全具有自主知識產(chǎn)權(quán)的產(chǎn)品基本沒有。這些因素使我國的電子政務(wù)網(wǎng)絡(luò)安全性能大大降低,使我國的經(jīng)濟(jì)和社會發(fā)展面臨著重大風(fēng)險。

二、政府電子政務(wù)信息安全管理工作的具體要求

電子政務(wù)在技術(shù)和管理上對信息安全提出了較高要求,具體而言,要求政府在電子政務(wù)信息安全管理方面,具體做好以下幾點(diǎn)工作。

1、在政府機(jī)關(guān)內(nèi)部加強(qiáng)電子政務(wù)信息安全和保密工程項目審批、監(jiān)督和管理

政府部門在實(shí)施重大電子中由相關(guān)保密主管部門嚴(yán)格執(zhí)行電子政務(wù)信息管理的安全和保密工作,具體包括使用登記后認(rèn)可的專用密碼,密碼管理必須征求主管部門的審批和授權(quán);涉及國家秘密的電子政務(wù)系統(tǒng),接受有關(guān)主管部門的保密檢查和信息安全檢查。若發(fā)生重大問題,如泄密、遭到入侵、受到病毒攻擊等,必須向有關(guān)主管部門報告。

2、遵守國家有關(guān)信息安全的技術(shù)標(biāo)準(zhǔn)和管理規(guī)范

相關(guān)信息安全技術(shù)、設(shè)備和應(yīng)用系統(tǒng)的使用必須經(jīng)過嚴(yán)格認(rèn)證和測評,信息安全方案必須和國家總體方案和確定的技術(shù)標(biāo)準(zhǔn)相融合。

3、從事電子政務(wù)應(yīng)用系統(tǒng)研發(fā)的單位,必須具有資質(zhì)認(rèn)證

對于開發(fā)涉及國家秘密的電子政務(wù)系統(tǒng),還應(yīng)具有國家保密主管部門頒發(fā)的特殊資質(zhì)認(rèn)證。

4、建立嚴(yán)格的內(nèi)部電子政務(wù)系統(tǒng)運(yùn)行管理制度

電子政務(wù)系統(tǒng)涉及的計算機(jī)設(shè)備的維護(hù)、電子政務(wù)信息和與數(shù)據(jù)有關(guān)的網(wǎng)絡(luò)管理等必須符合國家有關(guān)主管部門的管理制度。關(guān)于電子政務(wù)信息處理設(shè)備的采購、運(yùn)行、維修、報廢、銷毀等管理工作,必須按該設(shè)備所處理的電子政務(wù)信息的密級,并遵循最高密級的原則實(shí)施管理。對外托管等必須得到國家有關(guān)主管部門的審批,符合國家有關(guān)主管部門的安全、保密管理要求。

三、電子政務(wù)信息安全的應(yīng)對策略

針對電子政務(wù)在管理和技術(shù)兩方面問題,切實(shí)保障電子政務(wù)的信息安全,促進(jìn)電子政務(wù)健康發(fā)展,結(jié)合政府在電子政務(wù)實(shí)際運(yùn)行過程和信息安全管理中的問題,可采取以下策略。

1、建立功能完善的電子政務(wù)網(wǎng)絡(luò)安全體系

建立功能完善的電子政務(wù)網(wǎng)絡(luò)安全體系,首先要建立有完善的安全管理保障體系,穩(wěn)固的基礎(chǔ)安全服務(wù)設(shè)施;其次,還必須要有強(qiáng)大的科學(xué)合理的安全技術(shù)響應(yīng)與恢復(fù)機(jī)制與安全技術(shù)支撐平臺,這些安全技術(shù)的實(shí)現(xiàn)可以通過設(shè)置網(wǎng)絡(luò)域訪問控制,設(shè)置身份識別/認(rèn)證機(jī)制,設(shè)置內(nèi)部網(wǎng)的Internet訪問策略,通訊加密,防病毒設(shè)置等等。

2、完善和規(guī)范信息安全的體制機(jī)制

通過明確責(zé)任、強(qiáng)化制度約束和規(guī)范從業(yè)人員的操作規(guī)范等形式,建立嚴(yán)格的、可操作性強(qiáng)的安全管理制度,在政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)內(nèi)部建立體系化的安全防御策略,另外加強(qiáng)工作人員的安全意識、信息素養(yǎng)和業(yè)務(wù)培訓(xùn),保證安全管理制度的良好貫徹和執(zhí)行。

3、加強(qiáng)網(wǎng)絡(luò)核心技術(shù)研發(fā),培養(yǎng)電子政務(wù)專業(yè)人才

當(dāng)前,我國電子政務(wù)的信息設(shè)備和技術(shù)對發(fā)達(dá)國家的依賴性較強(qiáng),為了提高電子政務(wù)系統(tǒng)的安全,必須組成核心攻堅團(tuán)隊,成立專門的電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的技術(shù)研發(fā)機(jī)構(gòu),及時解決各種信息安全問題。另外,還急需培養(yǎng)大批的電子政務(wù)專業(yè)人才,從事電子政務(wù)系統(tǒng)安全的診斷、預(yù)防和處理。

4、實(shí)施電子政務(wù)系統(tǒng)的風(fēng)險評估和等級保護(hù)制度

針對電子政務(wù)系統(tǒng)的信息安全問題,必須營造縱深防御的安全保護(hù)環(huán)境,切合實(shí)際的開展電子政務(wù)信息系統(tǒng)安全風(fēng)險評估,加強(qiáng)安全等級保護(hù),有針對性的采取一整套切實(shí)有效的應(yīng)對措施來保障電子政務(wù)信息系統(tǒng)的安全。

四、結(jié)語

電子政務(wù)信息安全的保障是一項關(guān)系多領(lǐng)域的綜合工程,管理和技術(shù)兩個層面是最根本的要達(dá)到絕對的安全是不可能的,應(yīng)該從實(shí)際出發(fā),從綜合的角度出發(fā),根據(jù)具體問題采取切實(shí)有效的措施,將電子政務(wù)信息安全隱患會降到最低。

第7篇:電子政務(wù)的安全風(fēng)險范文

關(guān)鍵詞:電子政務(wù)信息安全PKI

一、綜合電子政務(wù)平臺概述

電子政務(wù)是指政府機(jī)構(gòu)應(yīng)用信息技術(shù)提高政府事務(wù)處理的信息流效率,對政府機(jī)構(gòu)和職能進(jìn)行優(yōu)化,改善政府組織和公共管理能力。通常由核心網(wǎng)絡(luò)、接人網(wǎng)絡(luò)及訪問網(wǎng)絡(luò)三部分組成。建設(shè)內(nèi)容一般包括:電子政務(wù)網(wǎng)絡(luò)平臺、政府門戶網(wǎng)站、電子政務(wù)主站點(diǎn)、“一站式”行政審批系統(tǒng)、視頻會議系統(tǒng)、公文交換和信息報送系統(tǒng)、電子郵件系統(tǒng)、辦公自動化系統(tǒng)等。

電子政務(wù)網(wǎng)絡(luò)平臺網(wǎng)絡(luò)結(jié)構(gòu)中,核心網(wǎng)絡(luò)擁有重要的信息資源,并處理政府部門間的核心業(yè)務(wù)。政府部門間的數(shù)據(jù)交換流程是閉環(huán)的,即任何一個節(jié)點(diǎn)既是用戶又是數(shù)據(jù)源。因此,核心網(wǎng)絡(luò)節(jié)點(diǎn)之間的業(yè)務(wù)流程應(yīng)該是高速、嚴(yán)密、安全的,并且有嚴(yán)格的審核機(jī)制。核心網(wǎng)絡(luò)與接人網(wǎng)絡(luò)形成上下級關(guān)系的協(xié)同工作平臺,進(jìn)行信息、數(shù)據(jù)的交換。它們之間的信息往來必須具備信任安全體系。政府核心網(wǎng)絡(luò)面向社會公眾提供信息服務(wù),對外宣傳政府信息,與訪問網(wǎng)絡(luò)建立連接。

二、綜合電子政務(wù)平臺的安全風(fēng)險

2.1網(wǎng)絡(luò)安全域的劃分和控制問題

電子政務(wù)中的信息涉及國家秘密、國家安全,因此它需要絕對的安全。但是同時電子政務(wù)現(xiàn)在很重要的發(fā)展方向是要為社會提供行政監(jiān)管的渠道,為社會提供公共服務(wù),如社保醫(yī)保、大量的公眾咨詢、投訴等等,它同時又需要一定程度的開放。因此如何合理地劃分安全域顯得非常重要。

2.2內(nèi)部監(jiān)控、審核問題

目前絕大部分單位都沒有系統(tǒng)可以實(shí)時地對內(nèi)部人員除個人隱私以外的各項具體操作進(jìn)行監(jiān)控和記錄,更不用談對一些非法操作進(jìn)行屏蔽和阻斷了。

2.3電子政務(wù)的信任體系問題

電子政務(wù)要做到比較完善的安全保障體系,第三方認(rèn)證是必不可少的。只有通過一定級別的第三方認(rèn)證,才能說建立了一套完善的信任體系。

2.4數(shù)字簽名(簽發(fā))問題

在電子政務(wù)中,要真正實(shí)行無紙化辦公,很重要的一點(diǎn)是實(shí)現(xiàn)電子公文的流轉(zhuǎn),而在這之中,數(shù)字簽名(簽發(fā))問題又是重中之重。

2.5電子政務(wù)的災(zāi)難響應(yīng)和應(yīng)急處理問題

很多單位在進(jìn)行網(wǎng)絡(luò)規(guī)劃的時候,沒有考慮到作為系統(tǒng)核心部分一一數(shù)據(jù)庫本身的安全問題,完全依賴干整個網(wǎng)絡(luò)的防護(hù)能力,一旦網(wǎng)絡(luò)的安全體系被穿破或者直接由內(nèi)部人員利用內(nèi)網(wǎng)用戶的優(yōu)勢進(jìn)行破壞,“數(shù)據(jù)”可以說無任何招架之力。

三、綜合電子政務(wù)平臺安全體系建設(shè)方案

3.1技術(shù)保障體系

技術(shù)保障體系是安全管理體系的重要組成部分。它涉及兩個層面的問題,一是信息安全的核心技術(shù)和基本理論的研究與開發(fā),二是信息安全產(chǎn)品和系統(tǒng)構(gòu)建綜合防護(hù)系統(tǒng)。

信息安全技術(shù)。信息安全的核心技術(shù)主要包括數(shù)據(jù)加密技術(shù)、信息隱藏技術(shù)和信息認(rèn)證技術(shù)。數(shù)據(jù)加密是把有意義的信息編碼為偽隨機(jī)性的亂碼,以實(shí)現(xiàn)信息保護(hù)的目的。數(shù)字簽名是指只有發(fā)送者才能產(chǎn)生的別人無法偽造的一段數(shù)字串,這段數(shù)字串同時也是對發(fā)送者信息真實(shí)性的證明。

信息安全防護(hù)體系。目前,主要的信息安全的產(chǎn)品和系統(tǒng)包括防病毒軟件、防火墻、入侵檢測系統(tǒng)、漏洞掃描、安全審計系統(tǒng)、物理隔離系統(tǒng)等。我們可采用屏蔽子網(wǎng)體系結(jié)構(gòu)保證核心網(wǎng)絡(luò)的安全。屏蔽子網(wǎng)體系結(jié)構(gòu)通過添加額外的安全層到被屏蔽主機(jī)體系結(jié)構(gòu),即通過添加周邊網(wǎng)絡(luò)更進(jìn)一步地把內(nèi)部網(wǎng)絡(luò)與Internet隔離開。在這種結(jié)構(gòu)下,即使攻破了堡壘主機(jī),也不能直接侵人內(nèi)部網(wǎng)絡(luò),它將仍然必須通過內(nèi)部路由器。

3.2運(yùn)行管理體系

安全行政管理。電子政務(wù)的安全行政管理應(yīng)包括建立安全組織機(jī)構(gòu)、安全人事管理、制定和落實(shí)安全制度。

安全技術(shù)管理。電子政務(wù)的安全技術(shù)管理可以從三個方面著手:硬件實(shí)體、軟件系統(tǒng)、密鑰。

風(fēng)險管理。風(fēng)險管理是對項目風(fēng)險的識別、分析和應(yīng)對過程。它包括對正面事件效果的最大化及對負(fù)面事件影響的最小化。

3.3社會服務(wù)體系

安全管理服務(wù)。目前,一些信息安全管理服務(wù)提供商(ManagedSecurityServiceProviders,MSSP)正在逐步形成,它們有的是專門從事安全管理服務(wù)達(dá)到增值目的的,有的是一些軟件廠商為彌補(bǔ)其軟件系統(tǒng)的不足而附加一些服務(wù)的,有的是一些從IT集成或咨詢商發(fā)展而來提供信息安全咨詢的。

安全測評服務(wù)。測評認(rèn)證的實(shí)質(zhì)是由一個中立的權(quán)威機(jī)構(gòu),通過科學(xué)、規(guī)范、公正的測試和評估向消費(fèi)者、購買者即需方,證實(shí)生產(chǎn)者或供方所提供的產(chǎn)品和服務(wù),符合公開、客觀和先進(jìn)的標(biāo)準(zhǔn)。

應(yīng)急響應(yīng)服務(wù)。應(yīng)急響應(yīng)是計算機(jī)或網(wǎng)絡(luò)系統(tǒng)遇到安全事件如黑客人侵、網(wǎng)絡(luò)惡意攻擊、病毒感染和破壞等時,所能夠提供的緊急的響應(yīng)和快速的救援與恢復(fù)服務(wù)。:

3.4基礎(chǔ)設(shè)施平臺

法規(guī)基礎(chǔ)建設(shè)。主要有以下幾方面:在國家憲法和各部門法中對各類法律主體的有關(guān)信息活動涉及國家安全的權(quán)利和義務(wù)進(jìn)行規(guī)范,形成國家關(guān)于信息及信息安全的總則性、普適性的法規(guī)體系;針對各類計算機(jī)和網(wǎng)絡(luò)犯罪,制訂直接約束各社會成員的信息活動的行為規(guī)范,形成計算機(jī)、網(wǎng)絡(luò)犯罪監(jiān)察嶼防范體系;對信息安全技術(shù)、信息安全產(chǎn)品(系統(tǒng))的授權(quán)審批應(yīng)制訂相應(yīng)的規(guī)定,形成信息安全審批與監(jiān)控體系;針對信息內(nèi)容的安全與保密問題,制訂相應(yīng)規(guī)定,形成信息內(nèi)容的審批、監(jiān)控、保密體系;從國家安全的角度,制訂網(wǎng)絡(luò)信息預(yù)警與反擊體系等。

第8篇:電子政務(wù)的安全風(fēng)險范文

關(guān)鍵詞:ITIL方法 電子政務(wù)服務(wù) 外包服務(wù)

中圖分類號:TP311.52 文獻(xiàn)標(biāo)識碼:A 文章編號:1674-098X(2014)06(a)-0215-02

1 電子政務(wù)服務(wù)外包方式與分析

“自建”、“政府采購”、“服務(wù)外包”是政府部門信息化建設(shè)的三種普遍方式,“自建”是指政府自行投資、建設(shè)、管理的信息系統(tǒng),系統(tǒng)的產(chǎn)權(quán)屬于建設(shè)單位―― 政府部門[1];“政府采購”是指各級國家機(jī)關(guān)、事業(yè)單位和團(tuán)體組織,使用財政性資金采購依法制定的集中采購目錄以內(nèi)的或者采購限額標(biāo)準(zhǔn)以上的貨物、工程和服務(wù)的行為[2],“政府采購”的方式包括:公開招標(biāo)、邀請招標(biāo)、競爭性談判、單一來源等。“服務(wù)外包”則是以政府采購方式將政務(wù)信息系統(tǒng)建設(shè)和運(yùn)維中的某些環(huán)節(jié)交由社會機(jī)構(gòu)完成,建設(shè)完成的系統(tǒng)產(chǎn)權(quán)可能會發(fā)生轉(zhuǎn)移?!罢少彙笔恰白越ā焙汀胺?wù)外包”的一種商業(yè)形式[3]。

目前較為普遍的政府服務(wù)外包分為:過程型外包、混合型外包、產(chǎn)權(quán)轉(zhuǎn)移型外包。

1.1 過程型外包

過程型外包服務(wù)是較普遍的傳統(tǒng)外包服務(wù)模式,將政府信息化過程中的基本環(huán)節(jié)(規(guī)劃、建設(shè)、運(yùn)維等)均交由一個或多個社會的專業(yè)機(jī)構(gòu)完成,政府只是承擔(dān)建設(shè)和管理的責(zé)任。商務(wù)部的“公共商務(wù)信息服務(wù)”就是這種服務(wù)模式的典范。

這種外包服務(wù)方式的優(yōu)勢在于:能夠匯集社會力量承辦政府信息服務(wù),大力促進(jìn)了政務(wù)信息服務(wù)的有效運(yùn)轉(zhuǎn)。不足之處在于:主要業(yè)務(wù)信息的安全性在某種程度上存在一定的失控風(fēng)險,對社會專業(yè)機(jī)構(gòu)的責(zé)任約束缺乏第三方的評估機(jī)制。過程型外包服務(wù)較適用于一般性的信息化項目管理,采用這種方式進(jìn)行行業(yè)電子政務(wù)規(guī)劃與建設(shè),則存在較大的風(fēng)險,其主要原因在于專業(yè)機(jī)構(gòu)屬于市場化管理,專業(yè)技術(shù)人員流動性強(qiáng),不利于電子政務(wù)項目的信息安全和可持續(xù)發(fā)展。

1.2 混合型外包

所謂混合型外包服務(wù)是指由政府部門下屬的事業(yè)單位,承擔(dān)本行業(yè)的電子政務(wù)規(guī)劃、建設(shè)、運(yùn)維等全過程的組織與管理,在管理過程中將部分環(huán)節(jié)交由社會專業(yè)機(jī)構(gòu)進(jìn)行建設(shè)、維護(hù)。

這種外包服務(wù)方式主要存在于信息化人才隊伍較強(qiáng)、市場運(yùn)作機(jī)制較為靈活的政府部門?;旌闲屯獍绞降膬?yōu)勢在于充分發(fā)揮政府電子政務(wù)管理部門的人力資源的優(yōu)勢,結(jié)合社會專業(yè)機(jī)構(gòu)的技術(shù)力量,采用此種方式實(shí)施的電子政務(wù)項目成功率較高,并且在信息資源安全性等方面規(guī)避了過程型外包的風(fēng)險?;旌闲屯獍牟蛔阍谟冢阂恍┱碾娮诱?wù)管理實(shí)施機(jī)構(gòu)與政府部門之間的協(xié)調(diào)難度較大,電子政務(wù)項目建設(shè)過程中責(zé)任邊界難于界定?;旌闲屯獍绞饺舨捎孟冗M(jìn)的管理制度,將會在行業(yè)電子政務(wù)中起到十分積極的促進(jìn)作用。

1.3 產(chǎn)權(quán)轉(zhuǎn)移型外包

產(chǎn)權(quán)轉(zhuǎn)移型外包服務(wù)是近年來剛剛興起的創(chuàng)新型外包方式,旨在電子政務(wù)規(guī)劃、投資、建設(shè)、管理、運(yùn)維等全部環(huán)節(jié)交由一個或多個企業(yè)負(fù)責(zé),政府部門只是提出需求,由企業(yè)提供業(yè)務(wù)系統(tǒng)硬件平臺和軟件平臺的系統(tǒng)建設(shè)、運(yùn)維和管理。

這種模式是政府以租用方式購買企業(yè)服務(wù),與前兩種外包服務(wù)的根本區(qū)別在于電子政務(wù)項目的產(chǎn)權(quán)發(fā)生轉(zhuǎn)移,由政府轉(zhuǎn)移到企業(yè)。這一特點(diǎn)使得這種模式的外包服務(wù)在技術(shù)風(fēng)險、管理風(fēng)險、短期財政壓力等方面取得很大優(yōu)勢,此種模式的外包服務(wù)適合較大型的、通用型的電子政務(wù)建設(shè)項目。這種外包方式將隨著我國云計算技術(shù)的不斷發(fā)展成為主流的外包方式。

2 ITIL管理在混合型外包服務(wù)中的應(yīng)用

ITIL(Information Technology Infrastructure Library)是CCTA(英國國家計算機(jī)和電信局)于20世紀(jì)80年代末開發(fā)的一套IT服務(wù)管理標(biāo)準(zhǔn)庫,旨在提高IT資源的利用率和服務(wù)質(zhì)量。

電子政務(wù)混合型外包服務(wù)框架與服務(wù)體系:

圖1是一個較為理想的電子政務(wù)混合型外包服務(wù)基本框架。本節(jié)重點(diǎn)分析如何利用ITIL方法建立電子政務(wù)外包服務(wù)管理體系。

傳統(tǒng)ITIL的管理體系包括:服務(wù)臺管理、事故管理、問題管理、變更管理、財務(wù)管理、服務(wù)持續(xù)性管理等12項管理功能,在電子政務(wù)外包服務(wù)管理體系中將此12項管理進(jìn)行相應(yīng)簡化,并按照用戶角色進(jìn)行重新分工,從而更好的服務(wù)于政務(wù)部門。

(1)服務(wù)臺管理

傳統(tǒng)ITIL服務(wù)臺是外包服務(wù)供應(yīng)商和用戶之間的聯(lián)系點(diǎn)。主要負(fù)責(zé)接收服務(wù)請求,但不參與服務(wù)過程。

在混合型外包服務(wù)電子政務(wù)項目中,服務(wù)臺管理由政府部門的電子政務(wù)管理機(jī)構(gòu)完成,電子政務(wù)管理機(jī)構(gòu)直接面對行業(yè)政務(wù)工作人員,一定意義上擔(dān)當(dāng)了傳統(tǒng)IT中部分供應(yīng)商的角色。這種角色的轉(zhuǎn)變規(guī)避不必要的信息安全風(fēng)險,由于政府電子政務(wù)管理機(jī)構(gòu)人員相對穩(wěn)定,熟悉行業(yè)知識和信息技術(shù),因此服務(wù)臺的服務(wù)質(zhì)量相對較高,服務(wù)反應(yīng)速度大幅提升。

(2)事故管理

在政務(wù)系統(tǒng)運(yùn)行過程中,一旦出現(xiàn)事故,電子政務(wù)管理機(jī)構(gòu)的管理人員(以下簡稱系統(tǒng)管理員),需要對事故進(jìn)行記錄和歸類,并安排監(jiān)督相應(yīng)的供應(yīng)商進(jìn)行事故的處理。

事故管理的目的是在盡可能最小地影響政務(wù)服務(wù)人員對系統(tǒng)的應(yīng)用,以最短的時間使系統(tǒng)恢復(fù)正常狀態(tài)。

(3)問題管理

問題管理是指在政務(wù)系統(tǒng)運(yùn)行過程中,系統(tǒng)管理員與供應(yīng)商協(xié)調(diào)對問題(事故)進(jìn)行調(diào)查,分析系統(tǒng)基礎(chǔ)架構(gòu)的薄弱環(huán)節(jié),查明事故產(chǎn)生問題(事故)的潛在原因,與供應(yīng)商共同制定解決問題的方案和防止問題再次發(fā)生的措施,將由于問題和事故對業(yè)務(wù)產(chǎn)生的負(fù)面影響減小到最低的服務(wù)管理流程。

(4)變更管理

隨著電子政務(wù)系統(tǒng)的不斷深化應(yīng)用,系統(tǒng)變更是不可避免的,變更管理是指對系統(tǒng)的基礎(chǔ)架構(gòu)或服務(wù)產(chǎn)生變更進(jìn)行控制的管理流程。變更管理的目標(biāo)是確保在變更實(shí)施過程中,對變更項進(jìn)行記錄與控制,從而對業(yè)務(wù)工作的影響減小到最低。

(5)財務(wù)管理

傳統(tǒng)的ITIL服務(wù)財務(wù)管理是負(fù)責(zé)預(yù)算和核算IT服務(wù)提供方提供IT服務(wù)所需的成本,它包括投資預(yù)算、服務(wù)成本核算和服務(wù)計費(fèi)三個子流程,目標(biāo)是通過量化服務(wù)成本減少成本超支的風(fēng)險、減少不必要的浪費(fèi)、從而最終保證所提供的服務(wù)符合成本效益的原則。

混合型外包服務(wù)的財務(wù)管理是由政府電子政務(wù)管理機(jī)構(gòu),根據(jù)行業(yè)電子政務(wù)規(guī)劃和發(fā)展需求,按年度制定行業(yè)電子政務(wù)的預(yù)算,同時跟蹤預(yù)算執(zhí)行情況。

(6)可用性管理

傳統(tǒng)的ITIL可用性管理是外包服務(wù)商通過分析用戶業(yè)務(wù)的可用性需求,依此優(yōu)化和設(shè)計IT基礎(chǔ)架構(gòu)的可用性,確保以合理的成本滿足不斷增長的業(yè)務(wù)需求的管理流程。

可用性管理在電子政務(wù)混合型外包服務(wù)管理中,是一個前瞻性的管理流程,系統(tǒng)管理員通過對業(yè)務(wù)和政府工作的可用性需求定位,使系統(tǒng)設(shè)計在真實(shí)需求的基礎(chǔ)上,適當(dāng)予以擴(kuò)充。

(7)績效評估管理

績效評估管理主要從電子政務(wù)系統(tǒng)的功能性、綜合性、技術(shù)性三方面確立評估指標(biāo),功能性涵蓋系統(tǒng)的功能實(shí)現(xiàn)、系統(tǒng)可靠性、系統(tǒng)業(yè)務(wù)邏輯性和系統(tǒng)界面,綜合性涵蓋系統(tǒng)社會效益、用戶滿意度、資源整合成效、可持續(xù)發(fā)展能力,系統(tǒng)技術(shù)性指標(biāo)涵蓋性能情況、質(zhì)量情況、擴(kuò)展性、資源管理等。

近年來隨著外包服務(wù)的發(fā)展,政府的資源逐漸集中到提升公共服務(wù)管理的能力上,但由于外包過程暗藏著業(yè)務(wù)控制權(quán)的轉(zhuǎn)移,使得政府信息化主管部門的邊緣化和空殼化,筆者認(rèn)為以ITIL方法進(jìn)行混合型外包管理,適當(dāng)調(diào)整電子政務(wù)建設(shè)、運(yùn)維中的管理分工,將使各級政府的電子政務(wù)建設(shè)與運(yùn)維工作取得可持續(xù)性發(fā)展。

參考文獻(xiàn)

[1] 李冠軍.電子政務(wù)服務(wù)理論及其支撐技術(shù)研究.

第9篇:電子政務(wù)的安全風(fēng)險范文

[關(guān)鍵詞]信息安全;等級保護(hù);云平臺

[中圖分類號]TP39[文獻(xiàn)標(biāo)志碼]A[文章編號]1009-8054(2015)12-0116-04

0引言

國家對非信息系統(tǒng)實(shí)行等級保護(hù)制度,等級保護(hù)測評的目的在于提高國家重要信息系統(tǒng)的信息安全保障能力和水平,維護(hù)國家安全、社會穩(wěn)定和公共利益,保障和促進(jìn)信息化建設(shè)[1]。伴隨著信息安全等級保護(hù)制度的貫徹實(shí)施,信息系統(tǒng)的安全保護(hù)能力有了普遍提升,相關(guān)人員的信息安全意識同樣有了提高。等級保護(hù)測評工作是查找信息系統(tǒng)安全問題的重要手段,國家相繼出臺了相關(guān)的標(biāo)準(zhǔn),來規(guī)范和指導(dǎo)信息安全等級保護(hù)測評,例如GB/T22239-2008、GB/T22240-2008、GB/T28449-2012等標(biāo)準(zhǔn)。筆者在對電子政務(wù)系統(tǒng)信息安全等級保護(hù)定級以及系統(tǒng)測評方面,根據(jù)在實(shí)際工作中遇到的問題,結(jié)合工程實(shí)踐,對測評中遇到的這些問題進(jìn)行分析,并給出了具體的解決方法。這些問題包括:電子政務(wù)外網(wǎng)定級與測評、測評中常見的重要問題分析,以及云平臺下開展等級保護(hù)測評工作應(yīng)關(guān)注的附加測評項等內(nèi)容。

1電子政務(wù)外網(wǎng)定級與測評

對于電子政務(wù)外網(wǎng)的定級,對剛剛接觸等級保護(hù)測評的機(jī)構(gòu)或測評人員來說,可能相對陌生。以往我們開展信息系統(tǒng)等級保護(hù)的定級和測評,都是以信息系統(tǒng)為測評單位,要對整個電子政務(wù)外網(wǎng)進(jìn)行定級,是否可行,定級范圍又是如何界定,下文將給出具體的分析。對一個信息化平臺是可以定級的,下面就以電子政務(wù)外網(wǎng)為例,來說明具體情況。電子政務(wù)外網(wǎng)是國家電子政務(wù)重要基礎(chǔ)設(shè)施,是承載各級政務(wù)部門用于經(jīng)濟(jì)調(diào)節(jié)、市場監(jiān)管、社會管理和公共服務(wù)等非涉及國家秘密的業(yè)務(wù)應(yīng)用系統(tǒng)的政務(wù)公用網(wǎng)絡(luò)。電子政務(wù)外網(wǎng)的定級對象為本級政務(wù)外網(wǎng)管轄范圍內(nèi)(由邊界設(shè)備確定)的所有網(wǎng)絡(luò)、計算、存儲和安全防護(hù)等各類設(shè)備、各種用于網(wǎng)絡(luò)運(yùn)維管理、安全保障的應(yīng)用系統(tǒng)、各種通信線路及支持所有軟硬件正常運(yùn)行的機(jī)房等基礎(chǔ)設(shè)施環(huán)境等。門戶網(wǎng)站系統(tǒng)、跨部門的數(shù)據(jù)共享與交換系統(tǒng)、數(shù)據(jù)中心內(nèi)的各業(yè)務(wù)應(yīng)用系統(tǒng)以及各級政務(wù)部門的各類應(yīng)用系統(tǒng)不包括在政務(wù)外網(wǎng)的等級保護(hù)范圍內(nèi),這些系統(tǒng)的的定級標(biāo)準(zhǔn)依據(jù)GB/T2224-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南》,測評標(biāo)準(zhǔn)依據(jù)GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》。在《國家電子政務(wù)外網(wǎng)安全等級保護(hù)實(shí)施指南》中,分別給出了等級保護(hù)二級和等級保護(hù)三級的定級范圍圖。其中,等級保護(hù)二級的定級范圍圖如圖1所示。圖中標(biāo)識為紫色的區(qū)域,就是電子政務(wù)外網(wǎng)的定級范圍。對于電子政務(wù)外網(wǎng)的測評,要依據(jù)兩個方面的標(biāo)準(zhǔn),其一是《國家電子政務(wù)外網(wǎng)安全保護(hù)等級基本要求》,在該標(biāo)準(zhǔn)中對IP承載網(wǎng)、業(yè)務(wù)區(qū)域網(wǎng)絡(luò)和管理區(qū)域網(wǎng)絡(luò)等方面提出了具體要求,包括結(jié)構(gòu)安全、訪問控制等具體要求項;其二是GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》。電子政務(wù)外網(wǎng)按照功能區(qū)域劃分可以劃分出6個安全區(qū)域,即公用網(wǎng)絡(luò)區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)、專用網(wǎng)絡(luò)區(qū)、用戶接入?yún)^(qū)、網(wǎng)絡(luò)和安全管理區(qū)、電子認(rèn)證區(qū)。在實(shí)際的測評工作工作中,要理解各個功能區(qū)域作用:互聯(lián)網(wǎng)接入?yún)^(qū):是政務(wù)部門通過邏輯隔離安全接入互聯(lián)網(wǎng)的網(wǎng)絡(luò)區(qū)域,滿足政務(wù)部門連接互聯(lián)網(wǎng)的需求。網(wǎng)絡(luò)管理區(qū):網(wǎng)絡(luò)管理區(qū)主要承載網(wǎng)絡(luò)管理信息系統(tǒng),通過網(wǎng)絡(luò)管理系統(tǒng)實(shí)現(xiàn)對管轄區(qū)內(nèi)網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備的狀態(tài)監(jiān)控及相關(guān)管理等功能;安全管理區(qū):安全管理區(qū)主要承載安全管理信息系統(tǒng),通過安全管理區(qū)實(shí)現(xiàn)對管轄區(qū)內(nèi)安全設(shè)備進(jìn)行日志采集、實(shí)現(xiàn)對網(wǎng)絡(luò)中的攻擊行為進(jìn)行報警等功能;公用網(wǎng)絡(luò)區(qū):采用統(tǒng)一分配的公共IP地址,實(shí)現(xiàn)各部門、各地區(qū)之間的互聯(lián)互通,為跨地區(qū)、跨部門的業(yè)務(wù)應(yīng)用提供數(shù)據(jù)共享與交換的網(wǎng)絡(luò)平臺。

2測評中常見的問題分析

2.1網(wǎng)絡(luò)結(jié)構(gòu)方面根據(jù)調(diào)研,筆者發(fā)現(xiàn)目前一些單位的二級系統(tǒng)由于應(yīng)用架構(gòu)簡單,面對互聯(lián)網(wǎng)提供服務(wù)的應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器被部署在一個網(wǎng)段,而且部署在內(nèi)網(wǎng)區(qū)域。很顯然,該種拓?fù)浣Y(jié)構(gòu)存在的問題主要體現(xiàn)在:1)應(yīng)用服務(wù)器和數(shù)據(jù)庫部署在一個網(wǎng)段,存在安全隱患,一旦面對互聯(lián)網(wǎng)的應(yīng)用服務(wù)器被惡意入侵,同網(wǎng)段的數(shù)據(jù)庫服務(wù)器將面臨很大的安全風(fēng)險。2)面對互聯(lián)網(wǎng)的應(yīng)用服務(wù)器部署在內(nèi)網(wǎng)區(qū)域,一旦該服務(wù)器被惡意入侵,將給內(nèi)網(wǎng)安全帶來安全風(fēng)險。對于該類網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),應(yīng)將應(yīng)用服務(wù)器設(shè)置在互聯(lián)網(wǎng)邊界防火墻的DMZ區(qū)域。在實(shí)際的測評工作中,我們也發(fā)現(xiàn)了個別單位擬對電子政務(wù)外網(wǎng)平臺進(jìn)行網(wǎng)絡(luò)結(jié)構(gòu)的改造,但往往又不清楚如何下手。據(jù)調(diào)研,現(xiàn)有的網(wǎng)絡(luò)拓?fù)鋱D互聯(lián)網(wǎng)出口過多,安全域劃分不合理,網(wǎng)絡(luò)區(qū)域的劃分非常分散,都是當(dāng)前網(wǎng)絡(luò)結(jié)構(gòu)方面面臨的問題。筆者建議這些單位負(fù)責(zé)網(wǎng)絡(luò)平臺運(yùn)維的相關(guān)人員要仔細(xì)閱讀《國家電子政務(wù)外網(wǎng)安全等級保護(hù)等級基本要求》和《國家電子政務(wù)外網(wǎng)安全等級保護(hù)實(shí)施指南》這兩個標(biāo)準(zhǔn),這個標(biāo)準(zhǔn)對電子政務(wù)外網(wǎng)功能區(qū)域的劃分,已經(jīng)給出了明確的說明。在不了解上述標(biāo)準(zhǔn)的前提下,對現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行盲目的調(diào)整,調(diào)整的結(jié)果仍然是網(wǎng)絡(luò)區(qū)域分散,互聯(lián)網(wǎng)出口過多、系統(tǒng)化不強(qiáng)。《國家電子政務(wù)外網(wǎng)安全等級保護(hù)實(shí)施指南》中給出的網(wǎng)絡(luò)功能區(qū)域的劃分圖如圖2所示。2.2重要網(wǎng)段防止地址欺騙為了做好重要網(wǎng)段防止地址欺騙工作??梢詮碾p向IP/MAC綁定入手。例如:重要的管理終端與該管理終端的接入網(wǎng)關(guān)之間,要實(shí)現(xiàn)雙向綁定。在管理終端上設(shè)置網(wǎng)關(guān)的靜態(tài)ARP信息,在網(wǎng)關(guān)上將管理終端的IP-MAC輸入到靜態(tài)表中。在實(shí)際的測評中發(fā)現(xiàn),重要網(wǎng)段防止地址欺騙在網(wǎng)絡(luò)設(shè)置中做的不多。2.3訪問控制信息安全等級保護(hù)的兩個目的,其一是保護(hù)信息系統(tǒng)數(shù)據(jù)的安全性,其二是保證信息系統(tǒng)的業(yè)務(wù)連續(xù)性。顯然,對服務(wù)器的保護(hù)顯得重之又重。在具體的測評中,我們發(fā)現(xiàn),在服務(wù)器區(qū)域邊界防火墻的訪問控制策略中,源地址范圍過大是常見的一類問題,而且該策略中,對應(yīng)的端口限制粒度也往往過大。2.4單點(diǎn)故障問題在測評中時常發(fā)現(xiàn),一些三級系統(tǒng)未采用冗余技術(shù)設(shè)計網(wǎng)絡(luò)拓?fù)鋱D,因而造成關(guān)鍵節(jié)點(diǎn)存在單點(diǎn)故障。避免單點(diǎn)故障就是為了保障系統(tǒng)的高可用性。2.5非法外聯(lián)的問題在等保測評的技術(shù)要求中,要求采用技術(shù)手段限制非法外聯(lián)行為。一些剛剛邁進(jìn)等級保護(hù)測評大門的相關(guān)人員可能會有如下錯誤的認(rèn)識:“待評測的信息系統(tǒng)面向互聯(lián)網(wǎng)提供服務(wù),而且被測評單位的所有計算機(jī)終端設(shè)備均允許連接互聯(lián)網(wǎng),該測評項因此可以判定為不適用”。實(shí)際上,上面的理解是不正確的,盡管該單位所有的終端都可以連接互聯(lián)網(wǎng),但是這些終端都是通過該單位統(tǒng)一的互聯(lián)網(wǎng)出口出去的,而且在互聯(lián)網(wǎng)邊界必定部署了相關(guān)安全設(shè)備,如放火墻、入侵防御設(shè)備等等。如果該單位某個終端用戶采用一個3G上網(wǎng)卡連接了互聯(lián)網(wǎng),這等于就打開了一個新的通路,而且這條通路上沒有任何的安全防護(hù)設(shè)備,這就破壞了網(wǎng)絡(luò)的邊界完整性,給內(nèi)網(wǎng)安全帶來了隱患。因此,限制終端用戶的非法外聯(lián)行為是十分必要的。2.6密碼加密的問題在測評中發(fā)現(xiàn),一些數(shù)據(jù)庫的用戶表中,密碼字段仍然是明文存儲,顯然這是非常不安全的,建議對密碼字段進(jìn)行加密,加密可采用md5(用戶名+密碼+隨機(jī)字符串)加密方式。2.7驗(yàn)證碼繞過的問題在應(yīng)用安全測評中,我們發(fā)現(xiàn)一些應(yīng)用系統(tǒng)仍然存在admin這樣的管理員用戶,這就給密碼猜測提供了可能,建議重命名ad-min或administrator,此外,為了避免驗(yàn)證碼繞過的問題,應(yīng)及時更新驗(yàn)證碼(在登錄失敗時也要更新驗(yàn)證碼),防止出現(xiàn)驗(yàn)證碼被繞過問題的發(fā)生。2.8信息系統(tǒng)精確定級在進(jìn)行信息系統(tǒng)等級保護(hù)定級時,信息系統(tǒng)的使用單位一般都做到了信息系統(tǒng)定級,但是沒有做到準(zhǔn)確定級,也就是說沒有根據(jù)數(shù)據(jù)的安全性等級和業(yè)務(wù)連續(xù)性的安全等級來最終定位系統(tǒng)的安全保護(hù)等級。在一個三級系統(tǒng)的等級保護(hù)測評咨詢項目中,用戶將信息系統(tǒng)定為三級(S3G3A3),根據(jù)我們實(shí)際的調(diào)研發(fā)現(xiàn),該系統(tǒng)僅僅是一個數(shù)據(jù)備份系統(tǒng),對數(shù)據(jù)安全性要求可以達(dá)到三級要求,但對于業(yè)務(wù)連續(xù)性的要求是不需要定為三級的,因此就建議用戶對信息系統(tǒng)定級為三級(S3G3A2),這樣一來,既保證了信息系統(tǒng)安全性,也為使用單位設(shè)計、改造該系統(tǒng)的信息安全保護(hù)能力提供了準(zhǔn)確的指導(dǎo)建議。

3云平臺環(huán)境下的信息系統(tǒng)信息安全測評

隨著云平臺的發(fā)展,一些單位將應(yīng)用部署在云服務(wù)器上,當(dāng)前云應(yīng)用存在四個方面的安全風(fēng)險,一是共享技術(shù)漏洞引入的虛擬化安全風(fēng)險;二是云服務(wù)不可信帶來的信息安全風(fēng)險;三是多租戶模式帶來的數(shù)據(jù)泄露風(fēng)險;四是云平臺惡意使用帶來的運(yùn)營安全風(fēng)險?!疤摂M化”和“分散處理”是云平臺下兩項關(guān)鍵技術(shù),而云平臺是以虛擬機(jī)系統(tǒng)作為底層架構(gòu),因此虛擬機(jī)系統(tǒng)的安全是云安全的核心。這就給開展等級保護(hù)測評工作引入了新的要求。圖3給出了虛擬化環(huán)境層次分析模型[2]。圖中所示的Hypervisor為管理控制程序,負(fù)責(zé)對硬件資源的調(diào)度、管理VM(虛擬機(jī))、響應(yīng)VM。在該模型中,信息系統(tǒng)采用虛擬化技術(shù),用戶使用的服務(wù)器資源、網(wǎng)絡(luò)設(shè)備資源、安全設(shè)備資源等資源,均被放置在云端。用戶通過客戶端的瀏覽器頁面訪問信息系統(tǒng)的WEB頁面,由云端的虛擬化管理層對用戶進(jìn)行身份驗(yàn)證,并分配相應(yīng)的資源。結(jié)合圖3所示,在進(jìn)行信息安全等級保護(hù)測評時,應(yīng)充分考慮三個層次存在的安全風(fēng)險[2]:對于用戶接入層:要關(guān)注終端安全、身份認(rèn)證、通信加密、連接安全等安全風(fēng)險點(diǎn);虛擬化管理層:要關(guān)注Hypervisor自身的安全性、Hypervisor特權(quán)威脅、計算資源虛擬化等安全威脅;VM層:要關(guān)注數(shù)據(jù)集中風(fēng)險、逃逸威脅、VM鏡像的安全性、殘余信息保護(hù)等。針對云平臺下的信息系統(tǒng)信息安全測評,筆者認(rèn)為除了要依據(jù)GB/T22239-2008標(biāo)準(zhǔn)的基本要求對信息系統(tǒng)進(jìn)行測評外,還應(yīng)增加相應(yīng)的附加要求。這些附加要求包括:3.1網(wǎng)絡(luò)安全(1)結(jié)構(gòu)安全云服務(wù)提供商應(yīng)能提供完整的虛擬網(wǎng)絡(luò)環(huán)境說明,包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備的部署情況及作用說明,并提供給云平臺用戶備案;云服務(wù)提供商應(yīng)能對虛擬網(wǎng)絡(luò)的運(yùn)行狀況進(jìn)行監(jiān)控。(2)訪問控制應(yīng)在虛擬網(wǎng)絡(luò)邊界部署訪問控制設(shè)備,并啟用訪問控制功能;應(yīng)在客戶端到虛擬機(jī)之間部署訪問控制設(shè)備,并啟用訪問控制功能。3.2主機(jī)安全(1)身份鑒別對虛擬服務(wù)器進(jìn)行遠(yuǎn)程管理時,應(yīng)采取必要措施,防止用戶鑒別信息在網(wǎng)絡(luò)傳輸中被竊聽。(2)訪問控制應(yīng)采用技術(shù)手段控制虛擬機(jī)與物理主機(jī)之間、虛擬機(jī)之間的互訪。(3)剩余信息保護(hù)應(yīng)采取技術(shù)措施保證虛擬資源回收時,對數(shù)據(jù)進(jìn)行清除。(4)入侵防范物理主機(jī)中應(yīng)采用監(jiān)測技術(shù),對同一物理主機(jī)上各虛擬主機(jī)之間的通信進(jìn)行監(jiān)測。(5)資源控制應(yīng)限制每臺虛擬機(jī)資源使用的上限。(6)惡意代碼防范應(yīng)采用技術(shù)手段對虛擬機(jī)鏡像文件進(jìn)行保護(hù);在物理機(jī)和虛擬機(jī)中均應(yīng)安裝惡意代碼防范軟件,并及時更新惡意代碼軟件版本和惡意代碼庫。(7)剩余信息保護(hù)應(yīng)采取技術(shù)措施保證虛擬資源回收時,對數(shù)據(jù)進(jìn)行清除。3.3數(shù)據(jù)安全(1)數(shù)據(jù)完整性應(yīng)采用技術(shù)手段對虛擬機(jī)鏡像文件進(jìn)行完整性保護(hù)。(2)數(shù)據(jù)保密性應(yīng)采用加密或者其他保護(hù)措施實(shí)現(xiàn)虛擬鏡像文件的保密性。(3)備份和恢復(fù)對VMM(即Hypervisor)的安全配置、訪問控制策略進(jìn)行備份。

4結(jié)語

信息系統(tǒng)的等級保護(hù)測評工作是實(shí)踐性非常強(qiáng)的一項工作,由于新技術(shù)、新產(chǎn)品的應(yīng)用都將給測評工作帶來新的挑戰(zhàn)。本文結(jié)合具體的工程實(shí)踐,對電子政務(wù)外網(wǎng)的定級進(jìn)行了闡述,對測評中發(fā)現(xiàn)的一些重要問題進(jìn)行了分析,并結(jié)合當(dāng)前云應(yīng)用的情況,對信息安全等級保護(hù)測評的基本要求進(jìn)行補(bǔ)充。筆者也將在今后的文章中,對信息安全等級測評標(biāo)準(zhǔn)的理解與實(shí)踐,做更加詳細(xì)地陳述。

參考文獻(xiàn):

[1]孫鐵.云環(huán)境下開展等級保護(hù)工作的思考[J].信息網(wǎng)絡(luò)安全,2011(6):11-13.

免责声明

本站为第三方开放式学习交流平台,所有内容均为用户上传,仅供参考,不代表本站立场。若内容不实请联系在线客服删除,服务时间:8:00~21:00。

AI写作,高效原创

在线指导,快速准确,满意为止

立即体验
文秘服务 AI帮写作 润色服务 论文发表