温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,汇文网负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。
网站客服:3074922707
2023
电子政务
中的
安全问题
对策
透析
新编
电子政务中的平安问题及对策透析
。从电子政务平安范畴的界定入手,从物理平安、系统平安、信息平安、管理平安4个方面阐述中国电子政务中的平安问题及对策。
关键词:电子政务物理平安系统平安信息平安管理平安
近年来,在党中央、国务院的大力推动下,我国电子政务开始进入全面实施阶段,电子政务建设成为一项覆盖各级政府部门的、大型复杂的系统工程。与此同时,平安问题给电子政务工程的规划、设计、组织和实施带来了巨大的挑战。国家互联网应急中心cncert/cc权威发布的数据显示,202223上半年与202223年同期相比,网络平安事件数量有显著增加,其中政府网页信息被篡改的事件呈现大幅度上涨趋势,与202223年同期相比增加41%。因此,电子政务信息系统的平安管理成为一个必须引起各部门高度重视的问题。
一、电子政务平安范畴
谈到电子政务平安,人们立即就会联想到病毒、黑客等熟悉的名词,也很容易把它与网络平安、电子商务平安混为一谈。网络平安通常是指计算机网络系统的硬件、软件和数据受到保护,不因偶然和恶意的原因而遭到破坏、更改和泄露。它更多地侧重于技术层面上网络系统平安问题的分析和对策。而电子政务平安那么是一个非常复杂的系统工程,它遍布在政府信息化的各个环节之中,其范畴已经超越网络平安所指的技术层面。可以说,网络平安是电子政务平安中一个重要的组成局部。
电子政务平安和电子商务平安都是非常复杂的系统工程,但是由于电子政务本身的开放性、虚拟性、网络化的特点以及我国政府部门制定统一的电子政务建设标准和标准、全国上下可互联互通的统一平台和网络,有关国家政治经济的敏感信息和数据都对电子政务系统的平安性提出了更为严格的要求。从信息社会角度讲,电子政务平安和电子商务平安也存在着本质共性的联系,电子政务平安是实现电子商务平安的根底和保障。
电子政务平安的特殊需求实际上就是要合理地解决网络开放性与平安性之间的矛盾,在电子政务系统信息畅通的根底上,有效阻止非法访问和攻击对系统的破坏。本文将电子政务平安的范畴界定为物理平安、系统平安、信息平安、管理平安4个局部。
二、电子政务中的平安问题及对策
1.物理平安
保证计算机信息系统各种设备的物理平安是整个电子政务系统平安的前提。物理平安是指保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。电子政务系统采用的计算机硬件虽然在功能上有了很大的提高,但它毕竟属于高度精密的仪器,任何开发时的疏忽以及实际运行时的震荡、静电、潮湿、过热等情形都可能使其受到严重的损伤。具体来说,电子政务中的物理平安主要包括以下几个方面。一是系统运行中的平安隐患,主要包括电源问题、水患与火灾、电磁干扰与泄露以及其他的环境威胁。二是物理访问风险与控制。物理平安威胁不单来自于环境,还来自于人为操作失误及各种计算机犯罪行为。三是电子政务信息系统的场地与设施平安管理。是指中华人民共和【亘国家标准gb50173—93电子计算机机房设计标准、gb2887—89计算站场地技术条件、gb9361—88(计算站场地平安要求对应用信息系统的场地与设施进行的平安管理。
2.系统平安
(1)硬件系统平安的问题及对策。电子政务系统的主要特征就是大量采用信息系统支持政务活动,而信息系统首先表现为各种各样的物理设备,比方计算机、磁盘、网络设备等。如果这些物理设备遭到损毁,整个系统就不可防止地会受到严重的影响。因此,首先考察硬件系统的平安问题。
并非只有软件才有漏洞,硬件系统同样可能存在各种各样的缺陷。这些缺陷一旦逃过出厂测试,就可能在实际运行中造成系统崩溃。一般而言,硬件系统的漏洞主要包括设计疏忽、元件质量低劣、人为留下的“后门〞等。对于这些问题,解决方法就是做好电子政务系统硬件采购时的分析工作。在制订采购方案时要多搜集相关信息,到相关厂商处了解不同品牌、型号硬件的特点和使用,并在具体采购时仔细检查,试运行一段时间后再投入实际应用。特别需要注意的是,对于关键的系统,在采购硬件时应尽量防止使用刚刚面世的新产品,而尽可能采用比较成熟、稳定的型号,以躲避人们常说的“技术风险〞。电子政务系统平安类产品采购时应注意的事项包括以下几点。①产品必须具有公安部计算机信息系统平安专用产品销售许可证和检测报告。
②如果该产品涉及数据加密,根据商用密码管理条例的规定,该产品的加密算法应具有国密办的批准文号。③在选择平安产品时,应尽量选择具有我国自主知识产权的产品。这类产品具有自主知识产权的源代码,平安性较高,而且有利于厂家对产品的升级与维护。④应尽量选择具有更先进技术的平安产品。在平安领域同一种平安产品往往具有几代技术,在选购之前应适当了解该产品的技术演变,选择较先进的平安产品。⑤平安产品的系统处理速度值得考虑。平安类产品由于具有复杂的分析过滤功能,往往成为系统的瓶颈,其处理速度直接影响应用的效果。⑥注意观察平安产品在权威机构的检测报告,其各项平安功能是否到达要求。
(2)软件系统的平安问题及对策。软件系统是电子政务系统的灵魂,因此保证软件系统的平安运行、降低因软件问题导致的系统风险对电子政务系统来说至关重要。首先是计算机病毒的防范措施。对于计算机病毒的防范,一般要采取以下措施。一是定期进行数据备份,一旦遭到病毒破坏可以及时恢复主要数据。二是合理使用杀毒软件。没有任何一种反病毒软件能够防治现有的和未来产生的所有病毒,因此,必须合理使用和部署防病毒软件才能充分发挥其作用。
三是制定严格的病毒防治规章。
其次是软件漏洞与后门。现在电子政务平台使用的所有软件都不可防止地存在各种各样的平安漏洞,影响系统的稳定性和平安性。为了解决电子政务平台软件系统中的平安问题,本文针对操作系统、应用程序、数据库等方面,总结了一套软件系统平安防护措施。
①电子政务系统在操作系统平安方面的考虑。一是在电子政务系统的实际开发、构建过程中,应根据具体运行环境、平安级别,分别采用不同类别的操作系统。二是尽可能采用具有自主知识产权且源代码对我国政府公开的产品。目前国产软件在平安软件、操作系统等方面,已经具备与国外软件产品竞争的实力。因此,采用国产软件来构建电子政务系统成为一项切实可行的措施。三是尽量防止在电子政务关键部门、要害环节使用外国的产品,以免受制于外国。对于核心应用系统和关键政务环节,必须确保实施方案的技术自主性。
②在应用程序平安方面的考虑。作为软件系统的使用者应该做到:使用稳定版本的软件;经常检查操作系统和应用程序提供商的站点,一旦发现其提供的补丁程序,马上下载并应用在系统上。
③在数据库平安方面的考虑。防止sql指令植人式攻击的第一步是采用各种平安手段监控用户输入,以确保sql指令的可靠性。第二步是去除客户端错误信息文本中的所有技术资料。第三步是严格限制web应用程序所用数据库访问账号权限。
(3)网络系统平安。网络系统虽然也是由硬件系统和软件系统组成的,但是由于网络平安在电子政务平安中的重要性,本文着重介绍其特有的几个平安问题及防范措施。
①口令平安。随着电子政务系统的应用,口令成为政务工作中的一局部。系统口令一般由用户自行设置,如果平安意识不强,那么会存在较高的风险。
②网络监听。因为网络嗅探器可以检测到网络的流量、通信协议、信息来源、报文长短、通信周期,进而截获通信数据,所以对网络中的账户、口令等有较大的危害。
③拒绝效劳(dos)攻击。ods的目的就是拒绝用户的正常访问,破坏系统的正常运行,甚至使电子政务网络系统失效。最根本的ods攻击就是利用合理的效劳请求来占用过多的效劳资源,从而使合法用户无法得到效劳。
④电子欺骗攻击。电子欺骗指在网络上通过伪造可信任地址的数据包,得到不该信任的信任关系。网络通信中通信双方通过认证和信任两个前提进行。常见的电子欺骗有ip欺骗、dns欺骗、arp欺骗、web欺骗等。针对网络系统平安问题的技术防范措施很多,如入侵检测、漏洞扫描、平安审计、防火墙技术、vpn技术等,可以很好地解决上述网络系统平安问题。
3.信息平安
数据是电子政务的核心资源之一,因此其平安问题也格外重要。软件、硬件的损毁虽然可以使政府的正常业务中断,但一般在重新购置系统后仍能恢复,而政府核心数据的损毁却是不可恢复的致命灾难。解决数据平安问题的主要方法就是建立完善的管理措施。
(1)数据保护制度。政府重要数据面临的首要风险就是被他人窃取。为防止这类损失,首先就要健全数据保护制度。一是做好物理访问控制,防止外部人员接触到存有重要数据的主机、存储设备和打印机等输出设备。二是做好数据的逻辑访问控制。三是做好数据备份和灾难恢复方案。
(2)标准可信时间源的获取。时间在电子政务平安应用上具有其特定的重要意义。政务文件上的时间标记是重要的政策执行依据和凭证。
(3)信息传递过程中的加密。加密就是为了平安目的对信息进行编码和解码。电子政务应用涵盖政府内部办公和面对公众的信息效劳两大方面。就政府内部办公而言,电子政务系统涉及部门与部门之间、上下级之间、地区与地区间的公文流转。这些公文的信息往往涉及机密等级的问题,必须采取适当的加密方法对信息予以保密。
4.管理平安
(1)组织管理措施。对于电子政务系统来说,要想做到合理分工,一个核心的原那么就是在实际建设和应用电子政务系统时把系统的设计者、管理者、操作者、利害关系者等角色分开,尽量防止一个人同时具备多个角色。除合理分工外,牵制也是必须考虑的问题。比方在信息录入环节增设人员监督录入,既可以减少录人错误,也可以防止舞弊。此外,对于重要业务,可以在系统的工作流程中增加审核环节,并为具体操作人员设定操作规模的上限,从而提高非法操作的难度,降低风险损失。
(2)人力资源管理。政府的人力资源管理情况也会在很大程度上影响电子政务的平安。一是对人员的平安教育和保护。从平安角度看,企业的员工不仅仅是潜在的威胁,也是平安制度的执行者和保护对象。二是对内部成员的平安防范。多项针对系统平安事件调查的结果说明,绝大多数平安事件是由受害组织的内部员工实施的。一般说来,针对内部员工的平安管理措施包括以下几个方面。①合理的岗位划分和健全的牵制制度。②定期休假制度。给重要岗位的人员提供定期的休假,一方面可以让员工得到休息,另一方面在其离岗期间内,临时管理员可以发现系统的不合理状态并及时报告、调查。
③员工离任处理。一般被辞退的员工往往会产生严重的不满情绪和报复念头,同时他们又非常熟悉企业的系统结构和平安漏洞,因此很可能在离任后恶意破坏电子政务系统。为防止这种情况的发生,在员工离任时必须执行严格的处理方法。
三、结语
电子政务系统是平安高度敏感的系统,任何时候都要切实保证电子政务系统的平安,要制定严格的管理制度,对于各种系统平安风险,必须分门别类,对症下药,确保数据完整性、信息保密性、信息真实性、数据可用性等。应该站在系统的高度,综合各方面要素,在投资许可的前提下,采用多种平安技术手段确保电子政务系统的平安。