绪论:写作既是个人情感的抒发,也是对学术真理的探索,欢迎阅读由发表云整理的11篇电子政务的安全风险范文,希望它们能为您的写作提供参考和启发。
0 引言
随着电子政务不断推进,社会各阶层对电子政务的依赖程度越来越高,信息安全的重要性日益突出,在电子政务的信息安全管理问题中,基于现实特点的电子政务信息安全体系设计和风险评估[1]模型是突出的热点和难点问题。本文试图就这两个问题给出分析和建议。
1 电子政务信息安全的总体要求
随着电子政务应用的不断深入,信息安全问题日益凸显,为了高效安全的进行电子政务,迫切需要搞好信息安全保障工作。电子政务系统采取的网络安全措施[2][3]不仅要保证业务与办公系统和网络的稳定运行,另一方面要保护运行在内部网上的敏感数据与信息的安全,因此应充分保证以下几点:
1.1 基础设施的可用性:运行于内部专网的各主机、数据库、应用服务器系统的安全运行十分关键,网络安全体系必须保证这些系统不会遭受来自网络的非法访问、恶意入侵和破坏。
1.2 数据机密性:对于内部网络,保密数据的泄密将直接带来政府机构以及国家利益的损失。网络安全系统应保证内网机密信息在存储与传输时的保密性。
1.3 网络域的可控性:电子政务的网络应该处于严格的控制之下,只有经过认证的设备可以访问网络,并且能明确地限定其访问范围,这对于电子政务的网络安全十分重要。
1.4 数据备份与容灾:任何的安全措施都无法保证数据万无一失,硬件故障、自然灾害以及未知病毒的感染都有可能导致政府重要数据的丢失。因此,在电子政务安全体系中必须包括数据的容灾与备份,并且最好是异地备份。
2 电子政务信息安全体系模型设计
完整的电子政务安全保障体系从技术层面上来讲,必须建立在一个强大的技术支撑平台之上,同时具有完备的安全管理机制,并针对物理安全,数据存储安全,数据传输安全和应用安全制定完善的安全策略
在技术支撑平台方面,核心是要解决好权限控制问题。为了解决授权访问的问题, 通常是将基于公钥证书(PKC)的PKI(Public Key Infrastructure)与基于属性证书(AC)的PMI(Privilege Management Infrastructure)结合起来进行安全性设计,然而由于一个终端用户可以有许多权限, 许多用户也可能有相同的权限集, 这些权限都必须写入属性证书的属性中, 这样就增加了属性证书的复杂性和存储空间, 从而也增加了属性证书的颁发和验证的复杂度。为了解决这个问题,作者建议根据X.509标准建立基于角色PMI的电子政务安全模型。该模型由客户端、验证服务器、应用服务器、资源数据库和LDAP 目录服务器等实体组成,在该模型中:
2.1 终端用户:向验证服务器发送请求和证书, 并与服务器双向验证。
2.2 验证服务器:由身份认证模块和授权验证模块组成提供身份认证和访问控制,是安全模型的关键部分。
2.3 应用服务器: 与资源数据库连接, 根据验证通过的用户请求,对资源数据库的数据进行处理, 并把处理结果通过验证服务器返回给用户以响应用户请求。
2.4 LDAP目录服务器:该模型中采用两个LDAP目录服务器, 一个存放公钥证书(PKC)和公钥证书吊销列表(CRL),另一个LDAP 目录服务器存放角色指派和角色规范属性证书以及属性吊销列表ACRL。
安全管理策略也是电子政务安全体系的重要组成部分。安全的核心实际上是管理,安全技术实际上只是实现管理的一种手段,再好的技术手段都必须配合合理的制度才能发挥作用。需要制订的制度包括安全行政管理和安全技术管理。安全行政管理应包括组织机构和责任制度等的制定和落实;安全技术管理的内容包括对硬件实体和软件系统、密钥的管理。
3 电子政务信息安全管理体系中的风险评估
电子政务信息安全等级保护是根据电子政务系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度。等级保护工作的要点是对电子政务系统进行风险分析,构建电子政务系统的风险因素集。
3.1 信息系统的安全定级 信息系统的安全等级从低到高依次包括自主保护级、指导保护级、监督保护级、强制保护级、专控保护级五个安全等级。对电子政务的五个安全等级定义,结合系统面临的风险、系统特定安全保护要求和成本开销等因素,采取相应的安全保护措施以保障信息和信息系统的安全。
3.2 采用全面的风险评估办法 风险评估具有不同的方法。在ISO/IEC TR13335-3《信息技术IT安全管理指南:IT安全管理技术》中描述了风险评估方法的例子,其他文献,例如NIST SP800-30、AS/NZS 4360等也介绍了风险评估的步骤及方法,另外,一些组织还提出了自己的风险评估工具,例如OCTAVE、CRAMM等。
电子政务信息安全建设中采用的风险评估方法可以参考ISO17799、OCTAVE、CSE、《信息安全风险评估指南》等标准和指南,从资产评估、威胁评估、脆弱性评估、安全措施有效性评估四个方面建立风险评估模型。其中,资产的评估主要是对资产进行相对估价,其估价准则依赖于对其影响的分析,主要从保密性、完整性、可用性三方面进行影响分析;威胁评估是对资产所受威胁发生可能性的评估,主要从威胁的能力和动机两个方面进行分析;脆弱性评估是对资产脆弱程度的评估,主要从脆弱性被利用的难易程度、被成功利用后的严重性两方面进行分析;安全措施有效性评估是对保障措施的有效性进行的评估活动,主要对安全措施防范威胁、减少脆弱性的有效状况进行分析;安全风险评估就是通过综合分析评估后的资产信息、威胁信息、脆弱性信息、安全措施信息,最终生成风险信息。
在确定风险评估方法后,还应确定接受风险的准则,识别可接受的风险级别。
4 结语
电子政务与传统政务相比有显著区别,包括:办公手段不同,信息资源的数字化和信息交换的网络化是电子政务与传统政务的最显著区别;行政业务流程不同,实现行政业务流程的集约化、标准化和高效化是电子政务的核心;与公众沟通方式不同,直接与公众沟通是实施电子政务的目的之一,也是与传统政务的重要区别。在电子政务的信息安全管理中,要抓住其特点,从技术、管理、策略角度设计完整的信息安全模型并通过科学量化的风险评估方法识别风险和制定风险应急预案,这样才能达到全方位实施信息安全管理的目的。
参考文献:
中图分类号:C93文献标识码: A
一、 电子政务概述
电子政务,亦称电子政府、政府信息化管理,是政府机构以计算机为媒介,应用现代信息和通信技术,将政府的管理和服务工作通过网络技术进行集合,以实现政府部门工作的进行以及组织结构的优化重组,从而及时向社会及公众提供全方位、行之有效的管理和服务。
电子政务是政府管理方式的革命,它的运行有助于建立一个开放透明的政府,一个勤政廉洁的政府。电子政务职能实现的前提是信息安全的有效保障,大量政府公文在政务信息网络上的流转,一旦存在信息安全问题,则直接导致机密数据和信息的泄漏,危及到政府的核心政务。如果电子政务信息安全得不到保障,电子政务的效率便无从保证,这将给国家利益带来严重威胁。所以说,信息安全是制约电子政务建设与发展的首要问题和核心问题。
二、 电子政务面临的风险
(一) 认知层面的风险
电子政务在国内建设与使用时间不长,缺乏深入研究。一些人只是简单地认为电子政务系统就是信息化,只要实现了网络数字化就可以推行电子政务,从而出现盲目建设、脱离现实条件等问题;还有一部分人认为电子政务就是运用计算机代替传统手工模式,这就固化了现有政府结构,不利于政府的改造与职能的转变。
(二) 规划层面的风险
规划层面的风险主要有:规划制定人员、规划的范围和内容、规划计划的实施步骤、规划中的政策因素等等。
信息技术的进一步应用,使得政府的组织形态正在由传统的金字塔垂直模式向错综复杂的网状结构转变,这就要求政务机构的运行方式作出相应转变,进行电子政务的整体规划。电子政务是整个系统建设的基础,是项目成功的基本保障。只有了解了本地区的发展现状,了解地方政府的特点,了解本地区的政务工作流程,才能编制出适合本地区电子政务的发展规划。但目前,地方政府在电子政务方面的规划明显不足,缺乏可操作性,这就导致在使用过程中面临着很大风险。
(三) 物理安全层面的风险
物理安全层面的风险主要指的是网络环境和物理特性引起的网络设备和线路的不可用,从而造成网络系统的不可用。例如,线路老化、蓄意破坏、设备意外故障、自然灾害等, 这些都属于物理安全层面的潜在风险因素。
(四) 应用层面的风险
应用层面的风险主要表现为非法访问,即窃取用户口令、用户信息被剽窃或修改等,由于政府网络对外提供WWW服务,Email服务、DNS服务等,因此也存在着外网非法用户对内部服务器的攻击。
(五) 系统层面的风险
当前电子政务网通常采用的操作系统本身在安全方面的考虑较少,服务器与数据库的安全级别较低,这在很大程度上存在着安全隐患,加之病毒的潜伏,这些都增加了系统在安全方面的脆弱性。
(六) 技术层面的风险
技术层面的风险主要表现为技术线路、设备选型、工程质量、系统性能等风险。技术层面的风险不仅关系到项目的实施情况,也关系到项目后期的维护和应用。现阶段受技术发展的制约,我们在技术方面还存在着很大欠缺,因此存在着一定的技术风险。
(七) 资金层面的风险
受利益的驱使,有些部门在制定规划时,将电子政务的规模越做越大,虚设资金越来越多,这就使得电子政务的建设变得越来越困难。除此之外,在资金使用方面,由于缺乏对部门资金的有效监督,使得资金浪费现象严重。如果不能合理计划和控制资金的流向,这将直接影响电子政务的建设,甚至促使一种新的腐败的产生。另外,在后期维护上,电子政务系统也需要运营资金的支持,没有了运营资金的有效支持,就没有了电子政务的内容来源。
(八) 管理层面的风险
在电子政务运行过程中需要管理的内容主要有规划管理、技术管理、过程管理、运维管理、安全管理等。管理的风险不仅体现在单个项目的管理,也体现在根据规划对相关项目群的管理风险。管理风险是项目实施过程中最主要的风险,是项目成败与否的关键。随着信息系统建设和应用规模的不断扩大,管理的难度和风险还将不断加大,但与此同时,政府部门缺乏信息化项目管理的专业人员,缺乏项目管理的风险意识,这与快速发展的电子政务管理要求不相匹配。
三、 电子政务管理防范措施
(一)强化信息管理人员的安全意识
电子政务信息安全是电子政务正常而高效运转的基础,是保障国家信息安全的重要前提,电子政务信息管理人员要正确认识并高度重视,及时发现影响信息安全的现象。政府部门要对信息管理人员进行必要的培训,普及信息安全知识,增强信息管理人员的安全意识;积极开展安全策略研究,明确安全责任,增强信息管理人员的责任心;积极组织各种讲座和培训班,培养专业信息安全人才,确保防范手段和技术措施的先进性和主动性。
(二)实施保障措施,建立系统安全保障体系
电子政务系统安全风险的威胁无处不在,它主要来自于物理环境、技术环境、社会环境等。建立全方位的电子政务信息系统安全保障体系是规避电子政务安全威胁因素的必要方式。在充分分析系统安全风险的基础上,通过制定系统安全策略和采用先进的安全技术,才能对系统实施安全防护和监控,使其真正成为智能型系统安全体系。具体做法有:
1.实施监测系统的运行情况,及时发现和制止可能对系统出现威胁的各种攻击;
2.记录和分析安全审计数据,检查系统中出现的违规行为,判断是否违反法律法规,为改进系统提供充足的依据;
3.对数据恢复应进行应急处理和响应,及时恢复信息,降低被攻击的破坏程度,包括备份、自动恢复、快速恢复等。
(三)制定合理资金计划,确保有序利用
充足的资金是保证电子政务顺利开展的必要条件。前期指定电子政务建设的方案中,要根据本单位、本部门的实际情况制定合理的资金预算方案,确保不虚报资金预算,杜绝腐败滋生;在后期维护过程中,资金也要及时到位,以确保电子政务信息系统的顺利进行。
(四)健全电子政务法律法规建设
法律是保障电子政务信息安全的最有力手段。政府立法部门应加快立法进程,借鉴国外网络信息安全立法方面的先进经验,制定完备的信息网络安全性法规,完善我国的网络信息安全法律体系,使得电子政务信息安全管理走上法制化轨道。
电子政务是实现“电子政府”的有效途径,在政府推动信息化的同时,也要注意其过程中产生的风险,正视风险本身,加快制定保障电子政务健康发展的政策法规,才能降低风险,从而有力地推动和改进政府的管理方式,才能有助于更好的发挥其政府职能。
参考文献:
[1]方德英,李敏强.IT项目风险管理理论体系构建[J].合肥工业大学学报(自然科学版),2003,,2(8):907-908.
1 电子政务网络安全概述
1.1 电子政务网络安全发展现状
随着因特网的迅猛发展,我国信息网络技术进入了日益月异的发展阶段,并得以广泛应用。但因特网具有高度的开放性以及自由性,为应用创造极大便利的同时也对其安全性提出了更为严格的要求。现如今,电子政务网络安全问题日益突出,甚至在一定程度上阻碍了我国电子政务建设事业的健康发展,通过何种方式来提升电子政务网络的安全性己然成为亟待解决的问题。
1.2 做好电子政务网络安全风险防范工作的意义
对于整个信息网络而言,电子政务是其中一个比较特殊的应用领域,涉及海量的需要严格保护的信息,相较一般电子商务,其表现出下述特点:首先,信息内容保密等级高;其次,在一定程度上影响甚至决定了行政监督力度;最后,通过网络能够为公众提供高质量的公共服务。电子政务网络一旦遇到安全风险,有可能导致重要信息丢失甚至暴露,带来难以估量的损失,也正因如此,电子政务网络也是信息间谍的首要攻击目标之一。由此可见,政府部门重视和做好电子政务网络安全风险防范工作,对于本部门的高效运行具有相当积极的现实意义。
2 电子政务网络安全风险分析
2.1 物理层风险分析
对于电子政务网络而言,物理层安全是其整体安全的基础。物理层风险主要包括:地震、洪水以及火灾等导致网络瘫痪甚至毁灭;电源故障导致断电、操作系统异常;设备失窃、损毁导致数据丢失甚至泄露;报警系统存在漏洞等。
2.2 数据链路层风险分析
入侵者可能会以传输线路为突破口,在上面设置窃听设备以达成窃取数据的目的,然后再借助相应技术解读数据,还可能会对数据进行一定的篡改。此类风险因素会给电子政务网络安全埋下严重隐患。
2.3 网络层安全风险分析
对电子政务网络所囊括的各个节点而言,其他网络节点均属于外部节点,属于不可信任范畴,均可能导致安全威胁。风险可能源自内部。攻击者借助snifrer之类的嗅探程序来寻找安全漏洞,然后在此基础上对内网发起攻击。风险也可能源自外部,入侵者可能以公开服务器为跳板向内网发起攻击。
2.4 系统层安全风险分析
系统层安全一般是指网络操作系统、计算机数据库、配套应用系统等方面的安全。现阶段的操作系统,其开发商一定会设置相应的BackDoor(后门),另外,系统本身也必然存在若干安全漏洞。无论是“后门”,还是安全漏洞,均会埋下极大的安全隐患。就具体应用而言,系统安全性在很大程度上取决于安全配置,若安全配置不到位,将会为入侵者提供极大便利。
2.5 应用层安全风险分析
随着网络技术的迅速发展,电脑远程控制呈现出简单化的发展趋势,受此影响,病毒、黑客程序有机结合之后往往带来更为严重的危害,而病毒的入侵通常会导致用户重要数据的泄露。病毒能够经由多种途径(如网上下载、邮件发送以及人为投放等)入侵内部网络系统,所以,其危害是相当严重的。在整个网络系统中,即便只有1台主机“中毒”,也会在很短时间里使其他主机受到感染,进而埋下数据泄露等一系列不安全因素。
2.6 管理层安全风险分析
在网络安全中,管理属于核心部位。安全管理体系不完善,未能明确界定权责,极可能导致管理安全风险。当网络受到内部或外部的相关安全威胁时,难以及时且合理地应对,同时也难以对入侵行为进行追踪,换而言之,网络可控性以及可审查性不理想。因而,重视和做好管理层的工作便成了当务之急。
3 电子政务网络安全风险的防范
3.1 物理层风险的防范
使用那些可提供验证授权等功能的产品,对内外网用户进行高效管理,从而避免入侵者在没有授权的情形下对网络内的重要或敏感数据进行窃取和篡改,又或者对服务提供点发动攻击,防止入侵者通过伪用户身份取得授权而导致严重的网络危害。可借助系列路由器、防火墙产品、计算机网络管理平台之间的有机配合,以实现对用户信息(用户名、登录密码、权限)的科学管理,并在此基础上优化服务策略。
3.2 数据链路层风险的防范
对于政府网络应用而言,其不仅涉及大量的内部应用(OA系统、文件共享以及邮件接收等),同时还涉及大量的外部应用(和合作伙伴之间的沟通等)。为实现对远程用户的有效控制,保证内网资源的安全性,可公共网络中开辟出专用网络,从而使得相关数据可以经由安全系数较高的“加密通道”传播。由国家相关要求可知,政府网络可依托既有平台构建属于自己的内部网络,但一定要采用认证以及加密技术,从而确保数据传输拥有足够的安全性。对于单独的VPN网关而言,其核心功能是以IPSec数据包为对象,执行加(解)密以及身份认证处理,若采用该部署方式,防火墙难以对VPN数据予以有效的访问控制,继而带来诸多负面问题。所以,在防火墙安全网关上集成VPN便成了现阶段安全产品的主流发展趋势之一,可以能提供一个集灵活性、高效性以及完整性等诸多优点于一身的安全方案。
3.3 网络层安全风险的防范
在所有网络出口处设置防火墙能够实现对网络的有效隔离,将其划分为若干安全域,从而进行相应的访问控制。以防火墙为工具进行多网口结构设计,如此一来,能够为合法用户提供相关服务,与此同时,将非法用户的访问拒之门外。当防火墙配置了入侵检测这―功能时,便能够以自动检测的方式查找网络数据流中可能的、隐藏的入侵方式,并提醒管理员及时优化控制规则,最终为整个网络提供实时而有效的网络保护。
3.4 系统层安全风险的防范
为实现对操作系统安全的有效保护,建议从下述两点着手:首先,使用具有自主知识产权且向政府提供源代码的那一类产品;其次,以系统为对象,通过漏洞扫描工具进行定期扫描,以便及时发现相关问题。
3.5 应用层安全风险的防范
建议安装高性能的专业防火墙,要求具备下述功能:(1)外部攻击防范;(2)内网安全;(3)流量监控;(4)邮件过滤;(5)网页过滤;(6)应用层过滤等。引入和应用以ASPF为代表的应用状态检测技术,在验证连接状态是否正常的同时,也可实现对异常命令的有效检测。
3.6 管理层安全风险的防范
对于网络安全而言,管理层安全是其核心所在。通过安全管理的有效实施可为各项安全技术的顺利实施提供有力保障,建议从两方面入手:首先,立足本地区以及本部门的实际情况,制定和实施针对性的安全管理规范,充分利用网络,发挥其在信息化建设工作中的重要作用,推动政府部门信息化建设工作的顺利、高效开展;其次,以可能发生的电子政务网络突发事件为对象,制定配套的应急预案,构建健全的应急机制,从而尽可能地消除突发网络事件所带来的负面影响,最终为电子政务网络的高效运行奠定坚实基础。
4 电子政务网络安全体系建设案例
4.1 某市电子政务现状分析
某市现辖三市(县级市)、五县、五区和一百多个基层政务单位。在政府信息化建设的大背景下,该市的市政府行政管理体制正积极向精简化、统一化以及高效化的方向不断发展。现阶段,各级政务单位均结合自身的具体情况构建起了不同形式的、规模大小不一的办公网络,然而在互联方面考虑不足,相互之间形成了所谓的“信息孤岛”,因而构建具有高度统一性质的电子政务外网平台,以保障网络资源的充分共享已然成为当务之急。值得一提的是,各级政务单位在构建自身网络的过程中没有进行统一规划,因而无论是在安全防护上,还是在安全管理上,均存在较明显的欠缺,所以,如何保障电子政务网络安全成了亟需解决的问题。下面将针对其整体解决方案予以进一步探讨。
4.2 整体解决方案
为实现对该市电子政务外网平台的全面、有效保护,应遵循“全网部署、一体安全、简单为本”的原则,为其构建一个一体化的全面安全防护体系,从而最大程度地满足用户的实际需求。
4.2.1 全网部署
在电子政务外网平台体系中,各级政务部门于广域网出口处设置了天清汉马USG一体化安全网关如图1所示,并将集中管理系统设置在了该市的市政府信息中心,能以整个网络体系为对象进行统一化管理。在统一化管理模式下,管理员通过面前的计算机便能够及时了解各级政务部位的网络状态,尤其是各类风险以及威胁,若察觉到局部突发性质的不安全事件,可马上对整个网络的安全策略进行相应调整,然后统一下发,消除网络威胁,减轻不利影响,从而构建一个具有在线监测和高效防护功能的一体化安全风险管理体系。
4.2.2 一体安全
对于天清汉马USG一体化安全网关而言,其优点表现在两大方面,一个是高性能的硬件架构,另一个是一体化的软件设计,集若干项高效的安全技术(防火墙、VPN以及入侵防御等)于一体,还推出了QoS、负载均衡以及日志审计等实用功能,可为网络边界提供及时而强大的安全防护。这便是“一体安全”的重要体现。除此之外,借助集中管理技术能够对系统中的多台计算机同时下发安全管理策略,如此一来,大幅简化了安全策略的具体实施过程。
4.2.3 简单为本
中图分类号:TP39 文献标识码:A 文章编号:1006-0278(2013)01-106-01
一、前言
特别是近年来,随着政务信息化的快速发展,政府管理工作和政府信息化系统的日益复杂化,给政务网络的安全性带来了诸多的挑战,加强电子政务网络安全体系的设计和建设,对推动电子政务的发展具有重要的意义。文章在这种情况下,首先对电子政务的安全风险现状进行简单介绍,然后对电子政务信息安全保障的措施进行分析,具有一定的借鉴意义。
二、电子政务的安全风险现状
(一)技术方面
1.计算机系统本身的脆弱性,使得它无法抵御自然灾害的破坏,也难以避免偶然无意造成的危害。自然环境影响、基础设施遭到破坏等等,将给系统造成非常大的风险。
2.网络本身存在缺陷。首先,软件本身缺乏安全性。操作系统规划通常非常关注保证信息处理能力,在安全方面不是特别关注。
(二)管理方面
对现有的网络攻击和入侵事件的一项统计报告显示:其他地区入侵安全风险指数是21%,黑客入侵所占比例能够达到48%,竞争对手所占比例能够达到72%,内部员工所占比例能够达到89%。能够充分显示电子政务信息安全并非仅仅为技术问题。如果没有从管理制度、人员和技术上建立相应的电子化业务安全防范机制,缺乏行之有效的安全检查保护措施,再好的技术和设备都无法确保其信息安全。
三、电子政务信息安全保障的措施建议
(一)构建内部安全管理
电子政务网络系统的安全关系到国家的安全、以及公众的利益。因此安全性规划一定要特别关注下述角度:首先一定要根据相关规章制度,其次为不断健全政务网络安全管理制度;再次为制定电子政务网络系统控制方法;第四为一定要清楚划分相关工作人员自身实际权责;第五为从电子政务网络系统安全体系规划过程中,不断健全安全管理规定;最后在所有步骤开展管理,提高其可靠性水平。
(二)硬件系统的安全设计
虽然有很多的电子政务网络硬件设备以及计算机系统存在较多的漏洞和缺陷,但是一定要维持软件系统更新,从电子政务网络系统内进行设置,同时按阶段调整安全日志,通过上述手段保证其可靠性。
(三)应用层信息的设计
1 身份验证
防范措施,通过在电子政务中设定网络用户名和密码,这样不仅能够防止无关人员的登陆,而且能够阻止对电子政务信息的访问。不过因为黑客技术同样持续完善,因此电子政务网络安全体系规划一定要采纳口令技术,同时和另外的技术完美结合,提高其可靠性。
2 权限矩阵
对于电子政务网络系统的登陆一般分为管理人员和普通人员两种登陆方式,不同的身份对应电子政务系统中不同的内容,具有不同的访问权限。因此登录系统之后,工作人员能够从电子政务网络系统内开展相应的操作,承担起电子政务系统的控制工作。一般工作人员仅仅可以调阅相关信息,不能够开展操作。从电子政务系统内采纳此类管理能够有效提高可靠性。
(四)计算机病毒的防护
想要避免病毒给系统产生恶劣影响,要营造病毒防护体系。同时要设置杀毒软件。除了能够灭杀病毒,同时能够管理网络端口,在维持系统安全方面能够产生非常关键的影响。
(五)入侵监测与防火墙设备的设计
在电子政务网络系统中,入侵监测设备的配置主要是为了防止外部人员(即黑客)的非法入侵,防火墙的配置主要是为了能够加强对网络的访问控制,防火墙能够对两个或者两个以上网络之间传输的数据的安全性根据一定的安全策略进行检查,并具有监视网络是否安全运行的作用,两者结合能够有效的防止外部人员采用不正当的手段访问网络系统中的资源和信息。提高系统可靠性。
电子政务,即各级机关在实践管理工作开展过程中需借助电子信息技术,打造分层结构、集中管理网络管理环境,且推进电子政务系统由“功能单一”向“综合政务网”转变,从而提升整体政府服务水平,同时借助网络平台加强与公众间的互动性,并营造双向信息交流环境,有效应对计算机病毒、黑客攻击、木马程序等网络安全问题。以下就是对电子政务系统网络安全问题的详细阐述,望其能为当前政府机构职能效用的有效发挥提供有利参考。
1.电子政务系统网络安全研究
1.1网络安全需求
就当前的现状来看,电子政务系统网络在运行过程中基于垃圾邮件攻击、网络蠕虫、黑客攻击、网络安全威胁等因素的影响下,降低了服务质量。为此,当代政务系统针对网络安全问题提出了相应的网络安全需求:第一,网络信息安全,即在电子政务系统操控过程中为了规避政务信息丢失等问题的凸显,要求管理人员在实践信息管理过程中应从信息分级保护、信息保密、身份鉴别、网络信息访问权限控制等角度出发,对可用性网络信息实施管理,打造良好的网络信息使用环境;第二,管理控制安全。即由于电子政务网络系统需与Internet连接,因而在内部局域网、外部局域网管理过程中,应设置隔离措施,同时针对每个局域网用户设定访问限定资源,并针对用户身份进行双向认证,由此规避黑客攻击等问题的凸显。而在信息传输过程中,亦需针对关键应用信息进行加密,且配置网络监控中心,实时掌控恶意攻击现象,并做出及时响应;第三,统一管理全网,即为了降低网络安全风险问题,要求当代电子政务网络系统在开发过程中应制定VLAN划分计划,且针对通信线路、访问控制体系、网络功能模块等实施统一管理,规避非法截获等安全问题[1]。
1.2网络安全风险
(1)系统安全风险。就当前的现状来看,我国UNIX、Windows、NETWARE等操作系统本身存有安全隐患问题,因而网络侵袭者在对系统进行操控过程中,可借助系统漏洞,登录服务器或破解静态口令身份验证密码,访问服务器信息,造成政务信息泄露问题。同时,在电子政务系统网络管理过程中,部分管理人员缺乏安全管理意识,从而未及时修补系统漏洞,且缺乏硬件服务器等安全评定环节,继而诱发了系统安全风险。此外,基于电子政务网络系统运行的基础上,侵袭者通常在公用网上搭线窃取口令字,同时冒充管理人员,向系统内部局域网直入嗅探程序,从而截获口令字,获取网络管理权限,造成电子政务系统信息损失。为此,为了规避信息截获等网络安全问题的凸显,要求管理人员在实践管理工作开展过程中应针对操作系统、硬件平台安全性进行检测,且健全登录过程认证环节,打造良好的电子政务系统服务空间,满足系统运行条件,同时实现对登陆者操作的严格把控。(2)应用安全风险。电子政务系统网络运行中应用安全风险主要体现在以下几个方面:第一,网络资源共享风险,即各级政府机构在网络办公环境下,为了提升整体工作效率,注重运用网络平台共享机关机构组成、政务新闻、政务管理程序等信息。而若某工作人员将政务信息存储于硬盘中,将基于缺少访问控制手段的基础上,造成信息窃取行为;第二,电子邮件风险,即某些不法分子为了获取政务信息,将特洛伊木马、病毒等程序植入到邮件中,并发送至电子政务系统,从而通过程序跟踪,威胁电子政务系统网络安全性。为此,管理人员在对电子政务系统进行操控过程中应提高对此问题的重视程度,同时强调对垃圾邮件的及时清理[2];第三,用户使用风险,即在电子政务系统平台建构过程中,为了规避网络安全风险问题,设置了“用户名+口令”身份认证,但由于部分用户缺乏安全意识,继而将生日、身份证号、电话号码等作为口令字,从而遭到非法用户窃取,引发政务信息泄露或攻击事件。为此,在系统操控过程中应针对此问题展开行之有效的处理。
2.电子政务系统网络安全设计应用
2.1系统安全
在电子政务系统应用过程中,为了打造良好的网络运行空间,在系统设计过程中应融合防火墙隔离、VLAN划分、HA和负载均衡、动态路由等技术,并在电子政务网络结构部署过程中,将功能区域划分为若干个子网结构,同时合理布设出入口,并实时清理故障清单,从根本上规避网络安全风险问题。同时,在操作系统安全设置过程中,应针对安全配置安全性进行检测,并限定etc/host、passwd、shadow、group、SAM、LMHOST等关键文件使用权限,且加强“用户名+口令”身份认证设置的复杂性,避免操作风险的凸显[3]。此外,在电子政务系统操控过程中,为了确保系统安全性,亦应针对系统运行状况做好打补丁操作环节,并及时升级网络配置,营造安全、稳定的系统运行空间。
2.2访问控制
在电子政务系统网络安全应用过程中加强访问控制工作的开展是非常必要的,为此,首先要求管理人员在系统操控过程中应结合政务信息的特殊性,建构《用户授权实施细则》、《口令字及账户管理规范》等条例,并严格遵从管理制度要求,实现对网络环境的有效操控。同时,在网络出入口等网络内部环境操控过程中,应设置防火墙设备。例如,在Switch、Router安全网络域连接过程中,即需在二者间设置防火墙,继而利用防火墙IP、TCP信息过滤功能,如,拒绝、允许、监测等,对政务信息形成保护,同时在网络入侵行为发生时,及时发出警告信号,且针对用户身份进行S/Key的验证,达到网络访问控制目的[4]。其次,在网络访问控制作业环节开展过程中,为了规避电子政务网内部服务器、WWW、Mail等攻击现象,应注重应用防火墙应用功能,对安全问题进行有效防控。
2.3数据保护
电子政务数据属于机密性信息,因而在此基础上,为了规避数据泄露问题的凸显影响到社会的发展,要求我国政府部门在电子政务系统运行过程中,应扩大对《上网数据的审批规定》、《数据管理管理办法》等制度的宣传,同时在PC机管理过程中,增设文件加密系统,并对访问者进行限制,最终实现对数据的高效保护。其次,在对SYBASE等通用数据库进行保护过程中,应增设访问/存取控制手段,同时完善身份验证、访问控制、密码机制、文件管理等功能模块,从而通过角色控制、强制控制等方法,对数据形成双层保护,并加强假冒、泄露、篡改等现象的管理,保障系统网络安全性[5]。再次,在政务数据使用、传输过程中,应定期检测服务器内容完整性,例如,WWW服务器、FTP、DNS服务器等信息,满足政务信息使用需求,同时提升政府服务水平。
3.结论
综上可知,传统电子政务系统网络管理工作实施过程中逐渐凸显出信息截获、信息泄露等问题,影响到了各级政府机关服务水平。因而在此基础上,为了实现对网络安全风险问题的有效处理,要求管理人员在实际工作开展过程中应注重加强安全管理工作,同时从数据保护、访问控制、系统安全等角度入手,对政务系统网络环境形成保护,满足电子政务网络系统应用需求。
作者:韩戴鸿 邬显豪 徐彬凌 胡大川 钱诚 单位:常州市科技信息中心
参考文献:
[1]王淼,凌捷,郝彦军.电子政务系统安全域划分技术的研究与应用[J].计算机工程与科学,2010,12(8):52-55.
[2]魏武华.电子政务系统的网络架构及其应用研究[J].计算机时代,2013,12(7):13-16.
国的政府信息化起步于20世纪80年代,期间经历了办公自动化建、政府上网、以及新近兴起的电子政务(Electronic Government)建设。如今电子政务系统的基本类型已逐渐固定,大致可分为四种:政府内部办公自动化系统(Office Automation,OA)、政府与政府之间的政务协作系统(Government To Government,G2G)、政府与企业间服务系统(Government To Business,G2B)以及政府与公民之间的服务系统(Government To Citizen,G2C)。电子政务系统的电子文件管理核心及数据管理,对各种信息进行收集、整理、储存、检索和输出。伴随计算机技术的迅猛发展以及计算机在文件管理中的广泛应用,电子政务也取得飞速发展,并将逐步成为机关起草、签署、公文的平台。当下经济和信息全球化,电子政务的水平已经成为衡量国家竞争力和综合国力的显著标志之一。在电子政务系统中的电子文件管理涉及的风险包括网络风险、管理风险、信息风险、设备风险。
一、电子政务系统中电子文件风险的特点
一是具有潜伏期。电子政务系统中电子文件风险的后果不是立即显现出来的,有些甚至不能被识别,但是一段时间之后,一旦后果显现出来,就可能对社会甚至国家造成极其严重的不良后果。二是具有连锁效应性。电子政务系统中电子文件风险的后果首先表现为“基本风险”,也就是文件本身的质量缺损,如不完整、不可读等。文件的不完整通常会直接导致文件的不可读,即无法正常输出,或者输出结果出错,那么该文件的存在已经没有任何实际意义了。三是具有继承性。每份电子文件都会经过制作、接收、传输、保存等几个相互关联的阶段,而且每一个阶段都存在被损坏、泄露等风险。电子文件在前期阶段受到的风险会在后续阶段累积并体现出来。四是具有无法弥补性。电子文件在制作阶段遭受的一些风险还可以弥补。
二、影响电子文件信息安全的因素
(1)技术漏洞。技术漏洞主要表现在以下几个方面:一是软件问题:在电子政务系统中,电子文件的管理软件决定了电子文件的写入、读取、复制、保存、删除等操作,可以说,管理软件对于电子政务系统中电子文件的管理至关重要。管理软件需要满足以下几个方面:首先要有较高的信息处理能力,满足政府工作的高效要求;在此基础上,还要保证安全性,电子政务是为政府工作服务的,其内容涉及公众、社会、经济、文化、军事的方方面面,如果管理软件存在漏洞,相关内容泄露或被不法分子窃取,后果甚至威胁到国家安全。事实上,很多管理软件确实存在诸多漏洞。二是通信网络的问题:一般情况下,通信线路由专线、电话线、微波、无线系统或光缆构成。造成通信网络故障的原因包括自然灾害、人为破坏、偶然事件等。通信网的抗毁性是指当通信网络受到物理破坏、电子战和NBC(核、生物、化学)威胁时,仍然能完成特定功能的能力。无线通信易遭截获。并且网络规模越大,通信线路越长,存在的风险也就越大。(2)人为因素。人为因素包括以下三种:一是有意的破坏。一般能够有意破坏的都是内部对情况比较了解的人员,此类破坏影响较大,后果较严重。二是管理水平落后。网络技术发展一日千里,传统业务改造、新业务开展等都对电子政务系统的风险防范提出了更高的要求。目前,我们用于电子政务系统的操作系统和管理软件均是国外产品,许多关键技术还没有被国人掌握。一旦出现特殊情况,为了各自国家的利益,黑客攻击可能上升为国家间的一种战争行为,后果不堪设想。(3)硬件因素。和计算机软件一样,计算机硬件同样存在漏洞,并且给网络信息安全带来巨大隐患,由于计算机硬件漏洞很容易被人们忽视,故其造成的安全隐患往往比软件造成的安全隐患攻击性更强、更加难以监测和消除。硬件设计的复杂性远远超过软件设计,其本身由于生产工艺和设计水平的原因就会存在缺陷和不足,如果再被不法分子在芯片中注入恶意逻辑,其安全隐患就更大。另外,计算机防火墙等安全手段是基于一定的硬件设备的,如果硬件设备本身就存在安全隐患,防火墙就无从谈起。(4)法律漏洞。到目前为止,虽然已经先后出台了一些法律法规,但是我国关于电子政务的立法还处于探索阶段。已经出台的法律法规主要是四类:计算机法,主要涉及计算机系统安全和保密;互联网法。主要针对国际互联网的接入、设施、经营;信息法,主要关于政府信息化;政务公开法,主要规定政府有关业务流程和政策制定、执行和结果公开。总的来说,现有法律法规的法律效力层次低,处于“无纲领性立法、无确定性立法规制、无有效的立法评价及监督机制”的三无状态。
三、电子文件的风险防范
电子政务系统中的文件管理风险防范既包括电子政务系统作为信息系统的风险防范,还包括电子文件管理本身的风险防范。其中,信息系统的风险防范是电子文件管理风险防范的根本,是电子政务系统安全保障的基础。一是技术安全措施。密码技术,是实现所有安全服务的重要基础。为了使得系统中的两方进行的通信活动被保密,就需要保护一个文件使得一个限制的用户集可以阅读它,而其余用户团体不可以阅读。解密密匙存放在可信的密匙服务器中。任何用户有权从服务器申请密匙,但要在认证了申请用户并且检查了访问控制陈述后,才为允许具有密匙的用户提供密匙。设定登录限制、使用文件权限等,在一定范围内保护服务器文件和数据。要预防病毒,安装防毒软件。二是制度措施。培养一支掌握现代化信息技术、能熟练运用计算机及现代化通信设备的人才队伍。制定严格的规章制度,对于接触或可能接触电子文件尤其是机密级电子文件的人员严格要求。三是法律措施。近年,英国、加拿大、韩国等相继开展了有关文件管理和档案管理的立法工作,其共同特点是将电子文件管理纳入整体框架。应由多部门联合制定电子文件管理法,在法律中明确规档案管理各相关部门的职责,对电子文件的软硬件设施进行统一,依法管理。并且档案管理部门制定完善的电子文件管理制度,依制度办事,使整个电子文件全过程做到制度化、规范化、标准化。四是文档一体化措施。文档一体化的目的是按照文件生成和运行规律,统一组织文件各阶段的管理工作。采用通用的管理软件,使用畅通的网络通道。在电子文件真个生命周期中能够提前进行的一律提前到生命周期的最前端。如果是一般性的电子文件,应将其转换成各种平台都能使用的文本文件格式,消除技术演变带来的影响。如果是特殊格式的电子文件,应在储存该文件的同时存有相应的浏览软件。五是电子文件和纸质文件并存措施。要建立一个“通道”,实现纸质文件和电子文件的“双套制”保存。由于电子文件存在对软、硬件具有依赖性、其通用性尚无定论、载体的保管寿命还没有经过实践检验等缺点,电子文件和纸质文件并存十分必要。尤其是需要永久保存的文件,必须保存一套完整的纸质文件。
虽然我国信息建设起步较晚,但目前发展势头很猛。加快电子政务建设步伐,有利于用信息技术改造传统的政府治理,改善政府公关服务,提高服务质量,实现资源共享,大大降低行政成本。只有抓好电子政务,才能适应时代的步伐,紧跟世界发展形势,推进国民经济。电子政务系统中存在大量机密级文件,如果其安全不能得到保障,就会威胁社会乃至整个国家的利益,甚至国家安全。电子政务系统的电子文件安全是制约电子政务建设与发展的核心问题。只有正确认识电子政务系统中电子文件风险的形成,从多方面对风险进行防范,才能保障信息安全,提供行政的便利。
参考文献
[1]赵雪.电子政务环境中文档管理现状简析[J].科技档案.2005(3):36~37
一、研究的意义
伴随着计算机通信技术的广泛应用,信息化时代迅速到来。社会信息化给政府事务管理提出了新的要求,行政管理的现代化迫在眉睫。电子政务在发达国家取得长足进展,为了提高政府的行政效能和行政管理水平,我国正在加快对电子政务网的建设。在新的时代条件下,开放和互联的发展带来信息流动的极大便利,同时,也带来了新的问题和挑战。电子政务系统上所承载的信息的特殊性,在网络开放的条件下,尤其是公共部门电子政务信息与资产,如果受到不法攻击、利用,则有可能给国家带来损失,也可能危及政府、企业和居民的安全。作为政府信息化工作的基本手段,电子政务网在稳定性、安全性方面,比普通信息网要求更高。对信息安全风险进行评估,是确定与衡量电子政务安全的重要方式。研究确定科学的安全风险评估标准和评估方法及模型,不仅有助于维护政府信息安全,也有助于防止现实与潜在的风险。
二、国内外研究状况
当前,国内外尚未形成系统化的电子政务网络信息安全的评估体系与方法。目前主要有风险分析、系统安全工程能力成熟度模型、安全测评和安全审计等四类。
(一)国外研究现状。在风险评估标准方面,1993年,美、英、德等国国家标准技术研究所与各国国家安全局制定并签署了《信息技术安全通用评估准则》。1997年形成了信息安全通用准则2.0版,1999年形成了CC2.1版,并被当作国际标准(150/IEC15408)。CC分为EALI到EAL7共7个评估等级,对相关领域的研究与应用影响深远。之后,风险评估和管理被国际标准组织高度重视,作为防止安全风险的手段,他们更加关注信息安全管理和技术措施,并体现在相继于1996年和2000年的《信息技术安全管理指南》(150/IECTR13335标准)和《信息技术信息安全管理实用规则》(150/IEC177799)中。与此同时,全球在信息技术应用和研究方面较为发达的国家也纷纷研发符合本国实际的风险管理标准。如美国国家标准与技术局自1990年以来,制定了十几个相关的风险管理标准。进入二十一世纪初,美国又制定了《IT系统风险管理指南》,细致入微地提出风险处理的步骤和方法。2002年与2003年,美国防部相继公布了《信息(安全)保障》指示(8500•l)及更加完备的《信息(安全)保障实现))指令(5500•2),为国家防务系统的安全评估提供了标准和依据。随着信息安全标准的广泛实施,风险评估服务市场应运而生。继政府、社会研究机构之后,市场敏锐的产业界也投入资金出台适应市场需求风险评估评估体系和标准。例如美国卡内基•梅隆大学的OCTAVE方法等。在风险评估方法方面,目前许多国内外的学者运用神经网络、灰色理论、层次分析法、贝叶斯网络、模糊数学、决策树法等多种方法,系统研究并制定与开发了不同类型、不同用途的风险评估模型,这些模型与方法虽然具备一定的科学依据,在不用范围和层面的应用中取得一定成果,但也存在不同程度的不足,比如计算复杂,成本高,难以广泛推广。
(二)国内相关研究现状。我国的研究较之国外起步稍晚,尽管信息化浪潮对各国的挑战程度不同,但都深受影响。20世纪90年代末,我国信息安全标准和风险评估模型的研究已广泛开展。但在电子政务网上的应用却是近几年才开始引发政府、公众及研究机构的关注。任何国家政府都十分重视对信息安全保障体系的宏观管理。但政府依托什么来宏观控制和管理呢?实际上就是信息安全标准。所以在股价战略层面看,用哪个国家的标准,就会带动那个国家的相关产业,关系到该国的经济发展利益。标准的竞争、争夺、保护,也就成为各国信息技术战场的重要领域。但要建立国内通行、国际认可的技术标准,却是一项艰巨而长期的任务。我国从20世纪80年代开始,就组织力量学习、吸收国际标准,并逐步转化了一批国际信息安全基础技术标准,为国家安全技术工作的发展作出了重要贡献。信息安全技术标准的具体研究应用,首先从最直接的公共安全领域开始的。公安部首先根据实际需要组织制定和颁布了信息安全标准。1999年颁布了《计算机信息系统安全保护等级划分准则》(GB17859一1999);2001年援引CC的GB/T18336一2001,作为我国安全产品测评的标准;在此基础上,2003年完成了《风险评估规范第1部分:安全风险评估程序》、《风险评估规范第2部分:安全风险评估操作指南》。同时,公安部以上述国家标准为依据,开展安全产品功能测评工作,以及安全产品的性能评测、安全性评测。在公安部的带动下,我国政府科研计划和各个行业的科技项目中,都列出一些风险评估研究项目,带动行业技术人员和各部门研究人员加入研究行列,并取得一些成果。这些成果又为风险评估标准的制定提供了丰富的材料和实践的依据。同时,国家测评认证机构也扩展自己的工作范围,开展信息系统的安全评测业务。2002年4月15日,全国信息安全标准化技术委员会正式成立。为进一步推进工作,尽快启动一批信息安全关键性标准的研究工作,委员会制定了《全国信息安全标准化技术委员会工作组章程(草案)》,并先后成立了信息安全标准体系与协调工作组(WG1)、内容安全分级及标识工作组(WG2)等10个工作组。经过我国各部门和行业的长期研究和实践,积累了大量的成果和经验,在现实需求下,制定我国自己的风险评估国家标准的条件初步成熟。2004年,国信办启动了我国风险评估国家标准的制定工作。该项工作由信息安全风险评估课题组牵头制定工作计划,将我国风险评估国家标准系列分为三个标准,即《信息安全风险管理指南》、《信息安全风险评估指南》和《信息安全风险评估框架》。每个标准的内容和规定各不相同,共同组成国家标准系列。《信息安全风险管理指南》主要规定了风险管理的基本内容和主要过程,其中对本单位管理层的职责予以特别明确,管理层有权根据本单位风险评估和风险处理的结果,判断信息系统是否运行。《信息安全风险评估指南》规定,风险评估包括的特定技术性内容、评估方法和风险判断准则,适用于信息系统的使用单位进行自我风险评估及机构的评估。《信息安全风险评估框架》则规定,风险评估本身特定的概念与流程。
三、研究的难点及趋势
电子政务网的用户与管理层不一定具备计算机专业的技能与知识,其操作行为与管理方式可能造成安全漏洞,容易构成网络安全风险问题。目前存在的风险评估体系难以适应电子政务安全运行的基本要求,因此结合电子政务网性需求,需要设计一种由内部提出的相应的评估方法和评估准则,制定风险评估模型。当前存在的难点主要有:一是如何建立风险评估模型体系来解决风险评估中因素众多,关系错综复杂,主观性强等诸多问题,是当前电子政务网络信息安全评估研究的重点和难点。二是评估工作存在评估误差,也是目前研究的难点和不足之处。误差的不可避免性,以及其出现的随机性和不确定性,使得风险评估中风险要素的确定更加复杂,评估本身就具有了不确定性。从未来研究趋势看,一是要不断改进风险评估方法和风险评估模型。有研究者认为,要充分借鉴和利用模糊数学的方法,建立OCTAVE电子政务系统风险评估模型。它可以有效顾及评估中的各项因素,较为简易地获得评估结果,并消除其中存在的主观偏差。二是由静态风险评估转向动态风险评估。动态的风险评估能够对电子政务信息安全评估进行较为准确的判断,同时可以及时制止风险进一步发生。在动态模型运用中,研究者主要提出了基于主成分的BP人工神经网络算法,通过对人工神经网络算法的进一步改进,实现定性与定量的有效结合。
作者:郭玮 单位:西安邮电大学
参考文献:
[1]陈涛,冯平,朱多刚.基于威胁分析的电子政务信息安全风险评估模型研究[J].情报杂志,2011,8:94~98
[2]雷战波,胡安阳.电子政务信息安全风险评估方法研究[J].中国信息界,2010,6
[3]余洋.电子政务系统风险评估模型设计与研究[D].成都理工大学,2008
[4]周伟良,朱方洲,电子政务系统安全风险评估研究[J].电子政务,2007,29:67~68
[5]赵磊.电子政务网络风险评估与安全控制[D].上海交通大学,2011
1.1分析电子政务服务外包主要模式及其关键成功因素
当前,各地政府部门主要采用BOT、BOO、BT、ASP这4种模式开展电子政务服务外包。a.BOT模式(Build-Own-Transfer,即建设-运营-转让)。政府部门和承包商以协议为基础,由政府部门向承包商颁布特许权,允许其筹集资金建设某电子政务系统,在特许权规定期限内管理和经营该系统及其相应的产品与服务,并在特许权期满后,无偿将系统移交给政府部门接管。b.BOO模式(Build-Own-Operate,即建设-拥有-运营。承包商投资并承担电子政务系统的设计、建设、运行、维护和培训等工作,硬件设备及软件系统的产权归属承包商,政府部门负责宏观协调、创建环境和提出需求,政府部门每年需要向承包商支付系统使用费获取硬件设备和软件系统的使用权。
c.BT模式(Build-Transfer,即建设-转让)。政府部门通过特许协议授权承包商负责某电子政务系统的建设,按合同规定的期限按时移交系统,政府部门按期支付该系统的建设费用。d.ASP模式(ApplicationServiceProvider,即应用服务提供商)。在ASP外包模式中,应用服务提供商拥有基础结构设施并负责所有系统和网络的配置、管理、调整,甚至应用管理,政府部门按照需求向应用服务提供商定制所需的电子政务服务,并向其支付相应的费用。在比较分析以上各种模式的内涵、特点、优缺点的基础上,分析研究其实际运用的案例,共总结了影响这4种电子政务服务外包模式成功运作与否的75个因素,运用专家评分法,提取各种模式的关键成功因素,如表1所示,这些也是各种模式选择决策的主要考虑因素。
1.2识别潜在风险因素
在分析电子政务服务外包、IT外包风险研究相关文献的基础上,基于电子政务服务外包运作与管理流程,从各个阶段总结了98项风险因素,结合上述电子政务服务外包主要模式的关键成功因素,采用李克特七分制评分标准设计量表,1分表示风险影响程度最低,7分表示风险影响程度最高,1-7分表示影响程度逐次增高,邀请被调查者(包括参与电子政务服务外包的政府部门、承包商的管理人员以及相关领域的专家学者)对量表进行评分。共发放问卷387份,回收问卷212份,剔除不合格答卷后,最后得到有效答卷共202份。根据搜集的数据,通过因子分析的方法提炼了20项具有统计、管理意义的关键风险因素,如表2所示。
采用主成分因子分析法对这20项风险因素(也是结构方程模型中的可测变量)进行进一步的划分,提取4个公共因子作为结构方程模型的潜在变量,并根据其包含的可测变量的含义进行命名,潜在变量及相应的可测变量如下:“决策与合同管理风险”:外包市场不成熟x1、外包决策不合理x2、承包商选择失误x3、机会主义风险x4、合同不完善x5;“开发与运营管理风险”:外包主体之间缺乏沟通x6、外包主体关系不和谐x7、政府部门缺乏规划与需求分析能力x8、政府项目管理经验与能力不足x9、承包商专业能力及管理经验不足x10、承包商服务质量不理想x11;“资金与成本管理风险”:交易成本控制不力x12、隐性成本的累积风险x13、承包商成本预算控制失效x14、承包商资金支持不足x15;“知识与战略管理风险”:知识共享不足x16、安全保密控制不力x17、绩效评量体系失效x18、忽视学习与创新能力的培养x19、政府部门失去信息化控制力x20。
2模型建立与分析拟合
2.1建立电子政务服务外包潜在风险对外包模式影响的结构方程模型
基于现有研究文献及实际案例,分析电子政务服务外包的潜在风险因素对各种模式的影响关系,构建电子政务服务外包潜在风险对外包模式影响的结构方程模型,如图1所示。其中,风险的4项潜在变量及其各自的可测变量如上文所述,而各种外包模式潜在变量对应的可测变量分别是其关键成功因素(见表1,表中的序号与图1的序号一致)。
2.2信度与效度分析
a.信度分析。信度指测量结果一致性或稳定性的程度。运用SPSS16.0对量表的信度进行检验,Cronbach’sα值为0.835,而各分量表信度分析结果表明,8个潜在变量的α系数值均满足大于0.70的要求,因此,该量表具有较好的信度。
b.效度分析。结构效度是指量表测量结果同期望评估内容的同构程度,运用标准化因素负荷来检验结构效度。结果显示,测量指标的标准化因素负荷大部分大于0.7,并在99%的置信度下高度显著(C.R.值>2.58),潜在变量之间的标准化路径系数及C.R.值(如表3所示)也大部分符合拟合要求。表明本研究构造的变量效度较好,适合做结构方程模型分析。
2.3结构方程模型检验与分析
a.拟合度检验。前文建立的结构方程模型必须通过拟合度检验,才能认定假设模型与实际数据样本的一致性。若模型的拟合度高,则代表模型可用性越高,参数的估计越具有含义。对于拟合度的考核有较多指标,但不同的指标在不同的模型复杂度、样本数量下有着不同的表现特性,必须根据具体情况同时参考各种拟合度指标[3]。本研究利用AMOS软件7.0版进行结构方程模型的分析,主要使用CMIN、RMSEA、CFI、GFI等较为稳定的指标考核模型拟合度,拟合后的评价结果及其理想值汇总于表4。从表4中分析可知假设模型较好地与样本数据拟合,具有较高的拟合度。
b.路径与因素分析。经过对结构方程模型的分析,可以得到各个潜在变量之间的路径系数以及可测变量与潜在变量之间的因素负荷。从模型运行结果中可知,潜在变量之间的路径系数、可测变量与潜在变量之间的因素负荷对应的C.R.值绝大多数大于1.95的拟合要求,表明各路径系数以及因素负荷在p=0.05的水平上具有统计显著性,能够作为进一步分析的依据。
3电子政务服务外包潜在风险对外包模式的影响分析
综合分析4个风险潜在变量对各外包模式潜在变量影响的路径系数及间接效应、各个风险因素的因子负荷以及对各外包模式关键成功因素的作用路径,为下文外包模式选择的建议提供依据。
3.1“决策与合同管理风险”对外包模式的影响
“决策与合同管理风险”对各外包模式的直接影响程度从大到小依次是:BOT>BOO>BT>ASP,其中,对BT模式和ASP模式的直接影响不显著,但通过另三类风险间接影响这两种模式的程度较大,分别累计为0.364、0.337。在“决策与合同管理风险”中,合同不完善风险所占因子负荷最大、影响最为显著。研究表明,完善电子政务服务外包合同,对外包市场不成熟风险、机会主义风险都具有较强的规避作用[4]。“决策与合同管理风险”中,合同不完善、承包商选择失误风险因素对BOT模式的关键成功因素———承包商运营期间的服务质量以及移交后的系统价值的不良影响均比较显著;合同不完善对BOO模式的作用主要体现在影响技术应用先进性的保持,而机会主义风险的存在对政府部门的监督约束是一大不利因素;BT模式、ASP模式的各自关键成功因素———选择商誉好的承包商、承包商拥有完善可靠的基础结构设施均会受到承包商选择失误这一风险因素的影响。
3.2“开发与运营管理风险”对外包模式的影响
相比其他类别的风险而言,“开发与运营管理风险”对各个外包模式的影响程度是最大的,对各外包模式的直接影响程度从大到小依次是:BOT>BOO>BT>ASP,且影响均较为显著。此外,“开发与运营管理风险”也受到了其他风险的影响,承载着其他风险对外包模式的间接效应。因此,“开发与运营管理风险”所属的各个风险因素应给予重视,特别是政府部门缺乏规划与需求分析能力、双方的项目管理经验与能力不足、外包主体之间缺乏沟通这几种风险因素在电子政务服务外包实践中引起的问题较为显著,属于关键风险因素,研究表明,控制好这些风险因素,做好规划与需求分析工作、提升相应的项目经验与能力、加强沟通协作,对电子政务外包的系统开发效果、外包服务质量、双方关系维护的作用是十分显著的[5]。“开发与运营管理风险”对各个外包模式的影响在其对应的关键成功因素都有显著的体现,其中,对BOT模式,主要影响政府部门规划协调能力、承包商运营期间的服务质量;对BOO模式,主要影响政府部门的监督约束能力、承包商经营的稳定性及技术应用先进性的保持;对BT模式,主要影响双方的系统开发项目管理能力;对ASP模式,主要影响政府部门需求分析的准确性及预见性、承包商对个性化服务需求的响应。
3.3“资金与成本管理风险”对外包模式的影响
“资金与成本管理风险”对各外包模式的直接影响程度从大到小依次是:BOO>BOT>ASP>BT,其中,承包商的资金支持、项目的成本管理方面的风险对外包模式的影响尤为显著,在实践中,很多电子政务服务外包项目正是由于资金、成本控制问题而不得不搁浅甚至失败。此外,“资金与成本管理风险”也会通过“开发与运营管理风险”间接影响各个外包模式,因此,在外包过程的开发运营阶段,应重视项目预算管理,保障资金流的通畅。“资金与成本管理风险”对BOO模式的作用主要体现在影响政府部门付费使用模式、承包商经营的稳定性;对BOT模式的作用体现在影响承包商的运营获利能力及其服务质量;对于ASP模式,影响着政府部门的付费模式与承包商的经济效益两者之间的权衡;对BT模式,主要影响着政府部门的资金保障能力。
3.4“知识与战略管理风险”对外包模式的影响
“知识与战略管理风险”对各外包模式的直接影响程度从大到小依次是:BOO>ASP>BOT>BT,其中安全保密控制风险是外包领域备受关注的风险因素,也是外包模式选择需要着重考虑的一大因素,而学习与创新能力的培养对电子政务服务外包的战略效益能否实现尤为关键[6],却也是一个经常被忽视的风险。此外,知识共享不足、绩效评量体系失效、政府部门信息化控制力不足等风险因素对开发运营风险的作用也较为显著,对外包模式的间接效应不容小觑。因此,“知识与战略管理风险”对电子政务服务外包的影响是极为深远的,在外包模式选择决策中,应予以重视,既要考虑到安全保密控制,也要考虑到政府部门持续学习与创新能力的培养。“知识与战略管理风险”中,安全保密控制不力与绩效评量体系失效分别影响着BOO模式的关键成功因素———承包商对系统安全性的保护、技术应用先进性的保持;在ASP模式中,安全保密控制不力风险影响着政府部门应用与数据的安全性;与绩效评量体系失效相关联的激励效果不良,影响着BOT模式运营期间的服务质量和移交后的系统价值;若采用BT模式,知识共享不足与政府部门信息化控制力不足风险将主要影响着双方移交系统的知识管理能力以及移交后政府部门的系统维护能力[7]。
4结论与建议
基于上文的分析,政府部门在选择电子政务服务外包模式时,需要结合自身的规划与需求、优势与劣势、经验与能力等因素,综合考虑各个潜在风险因素对外包模式如何影响及影响程度,从中选择合理的外包模式并防范潜在风险。为此,提出以下4点建议供参考:
a.当外包市场不成熟,缺乏统一、可操作的行业标准及规范的法律环境,而外包的电子政务服务内容的复杂性使得不能够通过采用明细的合同来规避承包商的机会主义,并且政府部门管理合同的经验与能力不足时,尽量避免采用BOT、BOO模式,主要是因为这两种模式的必须以协议为基础且合同期限较长,能否制定明确、完善而兼具柔性的合同尤为关键;若政府部门受评估能力缺乏、信息不对称等主客观不利因素的影响,选择不合适的承包商或选择的承包商商誉不良的风险很可能加大,此时BT模式与ASP模式不是首选,因为这两种模式对承包商商誉与实力有较高的要求。
中图分类号:文献标识码:A文章编号:1009-3044(2010)21-5962-02
The Establish and Maintain of The E-government System Based on Security Technology
TANG Fang1, XU Ping2
(1.Jingmen Branch of Chutian Radio & Television Information Network Company of Hubei Province, Jingmen 448000, China; 2.Jingmen Branch of China Construction Bank, Jingmen 448000, China)
Abstract: With China's reform and opening up step by step and the deepening of the functions of government services, the development of e-government has become an important ways for theGovernment to increase the capacity of public services and national capacity for comprehensive management. This paper analyzes and discusses the main e-government technology and related network security based on the principles, put forward a number of technology for building on the multi-level e-government network security solutions.
Key words: security technologies; government; E; virtual private network
随着我国改革开放的逐步推进与政府服务职能的加深,发展电子政务已成为政府提高社会公众服务能力与国家综合治理能力的重要手段。然而在电子政务建设大踏步向前迈进的过程中,随之而产生的问题也越来越急待解决,电子政务的安全便是首要问题。比如计算机病毒的传播更是安全性的巨大威胁之一,病毒一旦发作,轻则破坏文件、损害系统,重则造成网络瘫痪。某某市某局正是在此背景下对本局机关的电子政务系统进行重新设计和实施的。
1 项目背景与目标
1.1 项目背景
某某市某局现有使个局直属单位,各单位分布在某某市各区,与局机关大楼不在同一物理地点,共五个办公区。该局局机关启用电子政务系统后,因为各局属单位的公文仍通过传统的手工方式交换,显然跟不上信息化发展的需要,也严重地影响了该局日常办公的需要。为满足该局信息化发展的需要,由于该局的电子政务系统只涉及工作秘密不涉及国家秘密,可以运行在政务外网。2008年度,经请示上级部门同意,将政务内网的电子政务系统迁移到政务外网,并实现与局属各单位进行公文在线交换。为实现此功能,首先要实现与各单位网络的互联互通并确保信息传输的安全保密性和完整性。
1.2 系统安全分析
该局电子政务网络系统内网与外网完全物理隔离,该局电子政务内网自成体系,不与任何外部系统交互,内网相对安全,信息不容易泄漏,但同时该网也成了一个信息孤岛,与外部系统的数据交换很不方便。不过在现有的网络结构及应用模式下,外网网络安全几乎是不设防,可能存在的主要安全风险如下:
1)网络设备节点自身安全风险:网络设备是网络数据传输的核心,是整个网络的基础设施,各种网络设备本身的安全与可靠性以及这些设备上应用策略的安全都需要进行合理的配置才能够保证。尤其是核心层的三层交换机,单点故障的风险比较大,万一出现故障整个网络将完全瘫痪。
2)网络层有效的访问控制的风险:网络结构越来越复杂,接入网络的用户也越来越多,必须能够在不同的网络区域之间采取一定的控制措施,有效控制不同的网络区域之问的网络通信,以此来控制网络元素间的互访能力,避免网络滥用,同时实现安全风险的有效隔离,把安全风险隔离在相对比较独立以及比较小的网络区域。
3)网络攻击行为检测和防范的风险:由于TCP/IP协议的开放特性,带来了非常大的安全风险,常见的IP地址窃取、IP地址假冒、网络端口扫描以及危害非常大的拒绝服务攻击等;由于Internet的开放性,对电子政务的安全威胁,包括网上黑客入侵和犯罪、网上病毒泛滥和蔓延、信息间谍的潜入和窃密、网络恐怖集团的攻击和破坏、内部人员的违规和违法操作、网络系统的脆弱和瘫痪、信息产品的失控等,因此应引起足够警惕,采取安全措施,应对这种挑战。在改造前的网络结构中可以看到Internet接入点还是在内部业务系统和下属单位的接入点都没有任何防护措施,网络中存在极大的安全风险。
4)应用层威胁:各种蠕虫、间谍软件、网络钓鱼等应用层威胁和EMAIL、移动代码结合形成复合型威胁,使威胁更加危险和难以抵御。这些威胁直接攻击用户核心服务器和应用,给用户带来了重大损失。
5)控制非法访问的风险:在建设网络安全体系中,身份认证始终是不可忽视的环节,没有良好的身份认证体系,其他的任何安全措施都是没有意义的。
2 系统安全解决方案
本方案主要是遵循事前防范、事中监控、事后审计的思想进行设计,同时结合其他传统的网络安全措施,提出一套新型的基于VPN技术的安全电子政务网络系统解决方案。
2.1 访问控制
访问控制是最基本的安全措施之一,随着网络结构复杂程度的不断增加,应用系统的不断增多,人们已经逐渐认识到保护网上敏感资源的重要性,而旧的访问控制技术有着诸多的管理弊端,已经不能满足用户的要求,因此需要寻求一种有效的手段或方法。本系统采用大安全域隔离。首先把外网划分为内外安全域两大区域,即核心数据域与办公区域,中间用物理网闸隔离,使得核心数据域与办公区域物理隔离,办公区域中的客户端要访问核心数据域中的应用,数据内容必须经过严格过滤和摆渡交换,切实保护工作秘密的安全。
2.2 防火墙的部署
防火墙的主要思想是在内外部网络之间建立起一定的隔离,控制外部对受保护网络的访问,它通过控制穿越防火墙的数据流来屏蔽内部网络的敏感信息以及阻挡来自外部的威胁,只有允许的应用协议才能通过防火墙,所以网络环境变得更安全。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和公众网之间的任何活动,保证了内部网络的安伞。因此通过在该局办公区域访问互联网的边界部署一台防火墙,既起到逻辑隔离的作用,又能有效控制办公区域和互联网之间的通讯安全。为了更有效地控制办公区域的用户端上网行为,本系统在防火墙前面部署了一台LINUX服务器,给防火墙前而设置多了一道天然的屏障,而且通过缓存机制间接地提高了访问互联网的速度。
2.3 入侵检测系统的部署
虽然通过防火墙可以隔离大部分的外部攻击,但是仍然会有小部分攻击通过正常的访问漏洞渗透到内部网络,据统计有70%以上的攻击事件来自内部网络,也就是说内部人员有意或无意的攻击,而这恰恰是防火墙的盲区。入侵检测系统可以弥补防火墙的不足,为网络安全提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪、恢复、断开网络连接等,及时地发现异常地网络流量或安全隐患,尽早采取措施、排查隐患,避免安全事故的进一步扩大。
3 结束语
电子政务信息安全建设是一项复杂、庞大的工程,电子政务安全是一项动态的、长期的、整体的系统工程,需要周密的设计和部署。在电子政务网络安全体系的构建中除了要有上述的各种技术手段,更需要严谨的管理手段。
参考文献:
[1] 威特曼.信息安全原理[M].北京:清华大学出版社,2006.
电子政务是现代政府管理观念和信息技术相融合的产物,面对全球范围内的国际竞争和知识经济的挑战,许多国家政府都把电子政务作为优先发展战略。随着电子信息技术的不断发展,特别是国际互联网的普及应用,电子政务以其特有的方便、快捷、高效等诸多优点,掀起了一场前所未有的政务革命。它的出现改变了传统的运作模式,在互联网上实现政府组织结构和工作流程的优化重组,向社会提供优质和全方位的、规范而透明的、符合国际标准的管理和服务。近年来,电子政务发展十分迅速。目前互联网已成为重要的信息基础设施,积极利用互联网进行电子政务建设,既能提高效率、扩大服务的覆盖面,又能节约资源、降低成本。但是另一方面,利用开放的互联网开展电子政务建设,面临着计算机病毒、网络攻击、信息泄漏、身份假冒等安全威胁和风险,应该高度重视信息安全。本文从电子政务建设中存在的问题出发,分析了问题所在,并提出相关预防策略。
1 电子政务建设中存在的问题
(1)部分领导干部对加快电子政务建设的重要性认识不到位,弱化了对此项工作的领导,一定程度上影响了电子政务建设的发展步伐。
(2)低水平重复建设现象普遍存在,投入不足与资源整合矛盾十分突出,严重制约了电子政务建设的质量和水平。部分基层的经办人员业务不熟习,操作不规范,使用中问题较多。
(3)信息化专业人才严重缺乏,技术相对落后,制约了电子政务建设。大多数单位没有专业技术人员,建设规范的网络和日常维护技术问题的处理是靠机关内部对电脑知识相对丰富的人员兼任,很难满足电子政务发展的需要。
(4)政府信息公开工作的运行机制尚不完善,加之政府信息公开的工作量大,多数部门存在信息搜集整理不全的现象。
(5)电子政务信息安全体系建设有待进一步加强。构建电子政务信息安全体系信息安全是电子政务工程中不可缺少的重要组成部分。要认真贯彻落实国家保密要求、安全规定和工程实施规范,做到信息安全建设与网络应用系统建设同步规划、同步建设、同步验收。要加大信息安全的投入力度,切实保证信息安全设施的运行维护。
基于互联网电子政务系统的政务应用主要分为政务办公、公共服务等。政务办公的内容主要包括:政府部门内部的业务处理,如政府部门间的公文流转、公文交换、公文处理、办公管理和数据共享等。安全防护的重点主要包括对的身份认证、政务资源的授权访问和数据传输保护等方面。公共服务的内容主要包括:面向社会公众提供信息公开、在线办事、互动交流等服务,安全防护的重点应放在系统和信息的完整性和可用性方面,特别要防范对数据的非法修改。
2 基于互联网电子政务安全需求与实施原则
基于互联网电子政务网络相对于电子政务专网模式风险更大,这些风险主要来自于身份假冒、信息窃取、内容篡改、病毒侵袭等造成的破坏。基于互联网的电子政务面临的信息安全威胁主要有以下几个方面。
2.1 身份假冒、口令窃取威胁
身份鉴别是网络安全的基本要求,互联网拥有大量用户,系统很难分辨哪些是合法用户,哪些是非法用户,存在身份假冒等威胁。一旦政务办公人员的身份被假冒,将影响到政府的办公系统,一旦政务网站信息员或专家的身份被别有用心者假冒,将无法保证信息的真实可信。
2.2 信息窃取或篡改威胁
基于互联网电子政务系统存在大量不宜公开的内部信息,如政务办公系统的待办公文等,互联网作为高度开放的网络,内部数据在传输过程中极易被窃取和监听,内部数据要面对高水平黑客和别有用心者,信息泄漏的威胁更大。
2.3 系统面临恶意攻击的威胁
基于互联网建设电子政务系统,遭到恶意攻击的风险更大,特别是为企业和百姓服务的系统,允许从互联网上直接访问,虽然提高了服务范围,方便了大众,但是相对局域网而言,也面临着更多来自互联网的威胁。若不能保持服务窗口的良好稳定运行,势必对系统的可用性造成威胁,影响政府形象。
2.4 病毒传播和扩散威胁
互联网上存在大量的资源和服务,人们在获取资源和享受服务的同时,也极易将病毒带回来。如今,病毒种类多、更新速度快,常常呈指数级的速度扩散,这将影响依托互联网建设的政务网络服务器的正常运行。
在基于互联网电子政务系统建设过程中,除需要考虑内部安全以外,还要应对来自互联网攻击的防范,其安全需求主要包括:
(1)需要实现安全接入与安全互联,在互联网上构建安全的电子政务网络;
(2)需要实现强的安全认证、授权管理与访问控制机制,确保电子政务系统的安全访问;
(3)需要采取分类分域防护措施,加强综合防范和安全管理,进行不同类别信息和系统的有效保护。
基于互联网电子政务信息安全风险应对的基本原则包括:
(1)信息不上网。基于互联网电子政务系统不得传输、处理、存储涉及国家秘密的信息。有关安全保密问题要严格遵循国家保密有关规定。
(2)适度安全、综合防范。基于互联网的电子政务建设应当根据应用系统的安全需求,合理配置信息安全资源,采取适当的安全措施,进行有效的安全管理,从管理、技术等各个方面进行综合防范。
(3)分域控制、分类防护。实施分域边界防护和域间访问控制,保证信息的安全隔离和安全交换;针对不同类别的信息采用不同的安全防护措施。
综上所述,政府网站区别于普通网站的最大特点在于其公布政府信息的准确性、全面性、及时性与权威性。通过政府网站,民众应该能够最有效地获得政府信息。因此,应该充分利用因特网公布政府信息。在目前阶段,可以考虑设定一定的标准,对政府网站的公开性进行社会评价,以促进政府上网工程向纵深发展。从长远考虑,应该深入研究因特网给政府信息公开所带来的新问题,包括技术的快速更新对信息保存方式的挑战,信息的分类与定义,信息的公开与信息安全,信息来源多元化问题等等。只有对这些问题进行深入的研究,才可以趋利避害,充分发挥因特网公开政府信息的作用。
参考文献
[1]GB/T 19715.信息技术第2部分:管理和规划信息技术安全,信息技术安全管理指南,2005.
[2]GB/T 20270.信息安全技术.网络基础安全技术要求,2006.
中图分类号:TP39 文献标识码:A 文章编号:1006-0278(2013)04-133-02
随着当今通讯技术越来越宽带化、多媒体化、智能化、个人化。计算机与电子商务的突飞猛进,创造出了一个更加高效、节能、快捷的办公环境,甚至目前还出现了微博政务一种新兴的方式。我国对电子政务的发展要求随着当代经济建设的快速发展和知识经济的来到也越来越大,同时也被提出了许多新的要求,面临着新的挑战。在新形势和新挑战下,现代办公自动化系统中的电子政务的开发需要进行新的设计。然而,整个政府电子政务的安全问题的好坏直接影响到了政府部门办公自动化是否能够有序的运行。所以,电子政务的安全问题是我们在对现代办公自动化系统进行全面建设时必须要放在首位考虑的。
一、我国电子政务运行中存在的安全性问题
1.我国一些政府部门在处理政务时对于网络过于相信,将许多十分重要的政务上的文件和资料在网络上上传。然而,对于网络安全性的保护措施却直接关系到了这些文件的安全。同时,我国在开始发展电子政务的初期,由于技术上和资金上的一些问题,在对于整个电子政务系统的规划和建设中缺少了对于系统安全性的考虑,一些政府机构在其电子政务的建设过程中没有对所涉及到的网络的安行进行考察,这些问题都造成了我国现在电子政务网络安全的防范工作不协调,给我国电子政务网络的安全性建设带来了巨大的挑战。
2.我国是一个地大物博的国家,各个省的管辖区域十分大,这就让我国对于整个电子政务的建设上带来了困难,缺乏对地方的整体规划和安排。由于我国不同地区的经济发展状况不同,东部地区的经济较为发达,西部地区的经济相对落后,造成我国整个电子政务建设的不平衡,东部地区的建设较为提前,西部地区的建设较为落后,这样的不协调就给地方政府部门的政务建设带来了一些阻碍。同时因为各个地区的经济差异,使得各个地方政府部门在电子政务方面的投入不同,这样对于各个地区的电子政务就没有一个统一的安全标准,对于电子政务安全性建设难以把握,出现许多的安全问题。
3.我国自己研发的针对电子政务方面的软件非常的少,都需要从外国购买使用权。许多政务信息中都包含有国家的重要机密,这些信息的安全性都需要依靠购买国外的安全保护技术的产品来进行保障。许多的电子政务的建设是以国外购买的安全保护技术的产品为基础建立的,这样的情况就威胁到了我国一些非常重要的政府部门机构的安全,许多电子政务信息材料的安全受到很大的威胁,进而对于国家的安全也造成了很大的危害。
4.我国电子政务经过这么多年的不断发展,已经有一些基础和规模,但是在对于电子政务的管理方面上还是比较薄弱的。一些政府部门只注重对电子政务规模的不断建设,却忽视了对管理方面的加强,对于安全防范的意识非常的薄弱。由于这些管理方面的问题,让一些国家不法组织找到我国政府部门在电子政务方面的漏洞,在互联网上损害我国国家利益的言论。
5.目前,我国还没有一部法律来保障政府电子政务的安全性。由于我国将政务与网络相结合的时间相对于发达国家来说比较晚,所以还没有一个统一的标准来指导制定相关的电子政务安全法。
6.由于电子政务的办公自动化在我国各个地方政府部门的普及还不是很广泛,目前还没有发现电子政务在安全方面出现大的问题,所以有关政府部门对于如何加强电子政务方面的安全性还不是很有经验,对于安全问题的评估制度还是非常缺乏的。
二、我国电子政务发展中的安全问题产生的原因
1.我国对于电子政务硬件和软件方面没有自己的核心技术。目前我国所用的软件后台是通过购买国外技术的使用权,重要信息的安全受到巨大的威胁。同时,我国电子政务系统中使用的各种硬件设备大部分都是从国外进口的,国产设备非常的少。这些因素都给我国电子政务带来巨大的安全隐患。
2.我国由于整个电子政务起步相对比较晚,同时对于资金的投入和整体网络规划的问题,造成我国整个电子政务系统的安全性建设缺乏规划。
3.目前,许多的政府政务信息工作人员对于信息的安全意识和重视程度不强。他们通常使用手工来进行政务信息的办公,还不能对电子政务办公进行接受。
同时对于哪些涉及到电子政务方面的安全问题,他们还不是很了解。
4.一些政府部门只注重对电子政务规模的不断建设,却忽视了对管理方面的加强。这几年来,安全管理体制的问题日益突出,安全管理制度相对发达国家非常的滞后。
三、我国电子政务安全管理的对策
1.电子政务系统的硬件设施是整个电子政务建设的基础,所以对于其安全性的要求是非常高的。对于系统物理安全方面,可以通过国家制定的一些设计规范和一些技术安全要求来进行。在硬件设备的采购方面,多采用我国自主研发的设备,我国现在的技术水平可以提供给我们这样的这种需求的设备,从战略的角度考察,其能够从根本上保障电子政务的安全问题。电子政务系统的软件平台也是非常重要的,我们最好是选择具有我们自己知识产权的软件产品。同时对于电子政务系统软件中出现的问题和漏洞进行定期的扫描和检查,迅速的发现问题和解决问题。通过采用一些安全软件来保障电子政务软件平台在加载时的安全性。
2.在应用电子政务的时候通常会出现内网与专网、外网间的信息交换。我们出于对内网数据保密性的考虑,会尽量让内网不要在外界环境中显露。解决这个问题的有效方式是设置安全岛,通过安全岛来实现内外网间信息的过滤和两个网络间的物理隔离,从而在内外网间实现安全的数据交换。安全岛是独立于电子政务内、外网的一个特殊的过度网络,它被置于内网、专网和外网相交的边界位置,一方面将内网与外网物理隔离断开防止外网中黑客利用漏洞等攻击手段进入内网,另一方面又完成数据的中转,在其安全策略的控制下安全地进行内外网间的数据交换。
3.对于电子政务管理上存在的安全隐患,我们可以从加强管理方面入手,提高管理人员的思想素质和业务管理水平,对于一部分保密单位或部门的管理人员更应加强管理。
4.电子政务建设和运行中无法保证数据万无一失,一些非人为因素,如硬件故障、自然灾害,以及未知病毒的感染都有可能导致政府重要数据的丢失。因此,在电子政务安全体系中必须包括数据的备份,对于出现特别的紧急安全状况,我们应该提前做出电子政务安全的应急方案,以减少因为安全问题带来的损失。建立信息安全的风险评估体系。风险评估主要是风险分析,它是指确定资产的安全威胁和脆弱性、并估计可能由此造成的损失或影响的过程,其结果是制定安全政策的重要依据,可以按照资产列表制定相应的安全政策。风险分析与评估包括准备阶段培训阶段;资产确定阶段;风险评估阶段;风险策略阶段。