电子政务信息安全和管理
- 格式:doc
- 大小:24.50 KB
- 文档页数:5
深圳市人民政府办公厅关于印发深圳市电子政务信息安全管理试行办法的通知文章属性•【制定机关】深圳市人民政府•【公布日期】2013.10.12•【字号】深府办[2013]23号•【施行日期】2013.10.12•【效力等级】地方规范性文件•【时效性】现行有效•【主题分类】机关工作正文深圳市人民政府办公厅关于印发深圳市电子政务信息安全管理试行办法的通知(深府办〔2013〕23号)各区人民政府,市政府直属各单位:《深圳市电子政务信息安全管理试行办法》已经市政府同意,现予印发,请认真组织实施。
深圳市人民政府办公厅2013年10月12日深圳市电子政务信息安全管理试行办法第一章总则第一条为规范深圳市电子政务信息安全建设,建立信息安全工作体系,明确信息安全工作职责,提高信息安全保障能力,促进信息安全工作开展,根据国家有关法律法规,结合本市实际,制定本试行办法。
第二条本试行办法适用于本市各区、市政府直属各单位及其管理单位(以下简称各单位)电子政务信息安全规划、建设、运维和管理。
第三条信息安全工作按照“谁主管、谁负责”原则进行管理。
电子政务系统的信息安全按照“谁运行、谁负责,谁使用、谁负责”的原则进行管理。
第四条本市电子政务主管部门负责统筹管理和协调全市电子政务信息安全工作,主要负责编制全市信息安全规划和工作计划,建立信息安全体系,督促落实信息安全管理制度,组织信息安全应急力量,协调处理重大信息安全事件,监督检查信息安全工作落实情况,指导各区、各部门信息安全工作等。
各区电子政务主管部门在市电子政务主管部门的协调指导下,组织开展本区信息安全工作。
第五条市电子政务主管部门、公安、国家安全、保密、密码等部门应加强工作协同与信息共享。
第六条各单位应确定信息安全工作机构,明确主管领导和工作人员,落实信息安全工作责任制。
各单位的信息安全工作机构、人员情况应按相关规定向同级电子政务主管部门备案。
第二章规划与建设第七条市电子政务主管部门统一制定全市电子政务信息安全总体规划,报市信息化领导小组审批通过后发布实施。
电子政务网络安全解决方案1.1 电子政务网络安全概述以Internet为代表的全球性信息化浪潮日益深刻, 信息网络技术的应用正日益普及和广泛, 应用层次正在深入, 应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展, 典型的如行政部门业务系统、金融业务系统、政府机关商务系统等。
伴随网络的普及, 安全日益成为影响网络效能的重要问题, 而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时, 对安全提出了更高的要求。
如何使信息网络系统不受黑客和工业间谍的入侵, 已成为政府机构、企事业单位信息化健康发展所要考虑的重要事情之一。
1.1.1 网络规划(一)各级网络利用现有线路及网络进行完善扩充, 建成互联互通、标准统一、结构简单、功能完善、安全可靠、高速实用、先进稳定的级别分明却又统一的网络。
(二)数据中心建设集中的数据中心, 对所有的信息资源、空间、信用等数据进行集中存放、集中管理。
为省及各市部门、单位的关键应用及关键设施提供机房、安全管理与维护。
1.1.2 网络总体结构政府机构从事的行业性质是跟国家紧密联系的, 所涉及信息可以说都带有机密性, 所以其信息安全问题, 如敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等。
都将对政府机构信息安全构成威胁。
为保证政府网络系统的安全, 有必要对其网络进行专门安全设计。
所谓电子政务就是政府机构运用现代计算机技术和网络技术, 将其管理和服务的职能转移到网络上完成, 同时实现政府组织结构和工作流程的重组优化, 超越时间、空间和部门分隔的制约, 向全社会提供高效、优质、规范、透明和全方位的管理与服务。
实现电子政务的意义在于突破了传统的工业时代“一站式”的政府办公模式, 建立了适应网络时代的“一网式”和“一表式”的新模式, 开辟了推动社会信息化的新途径, 创造了政府实施产业政策的新手段。
电子政务的出现有利于政府转变职能, 提高运作效率。
2024年电子政务系统信息安全建设方案在2024年,随着数字化进程的不断推进,电子政务系统信息安全建设变得愈发迫切。
为确保政府信息系统的安全稳定运行,必须采取一系列综合性措施,包括:一、强化网络安全防护1. 加强网络边界防护,建立完善的防火墙系统,阻断恶意攻击;2. 实施网络入侵检测系统,及时发现和处置安全威胁;3. 定期进行安全漏洞扫描和评估,修复系统漏洞,提高系统安全性。
二、强化数据安全管理1. 加强数据加密机制,保障数据在传输和存储过程中的安全性;2. 制定严格的数据备份与恢复计划,确保数据的完整性和可靠性;3. 建立数据访问权限管理机制,控制不同用户对数据的访问权限,防止信息泄露。
三、加强系统运维安全1. 设立专门的信息安全团队,负责系统安全管理和应急响应工作;2. 定期对系统进行安全检查和评估,及时发现和解决安全隐患;3. 加强系统日志监控与分析,追踪系统安全事件,确保及时响应。
四、开展员工安全意识培训1. 组织定期的信息安全培训,提高员工对信息安全的重视和认识;2. 强化员工对钓鱼邮件、恶意软件等网络安全威胁的识别能力;3. 建立举报通道,鼓励员工积极报告安全问题,形成全员参与的安全保障体系。
五、加强与第三方安全合作1. 与安全厂商建立长期合作关系,分享最新的安全威胁情报;2. 开展跨部门、跨机构的安全合作,共同应对网络安全挑战;3. 加强与行业主管部门、科研机构的沟通与合作,共同推动信息安全技术创新。
综上所述,2024年电子政务系统信息安全建设将面临更为复杂和严峻的挑战,需要政府部门、企业和社会各界共同努力,加强合作,共同推进信息安全建设,确保政府信息系统的安全稳定运行和服务普惠民生的顺利开展。
电子政务建设中的安全风险与对策1. 前言随着信息技术的快速发展,电子政务建设正在成为政府信息化的重要组成部分。
电子政务的建设不仅可以提高政府工作的效率,还可以提高政府公信力。
但是,在电子政务建设中,信息安全问题一直是一个重大问题。
如果安全问题得不到妥善解决,将会对政府的形象和公众的信任产生不利影响。
因此,本文将从电子政务建设中的安全风险与对策方面进行探讨。
2. 电子政务建设中的安全风险2.1 系统漏洞风险现代电子政务系统大多基于互联网建设而成,这意味着系统处于被攻击的风险之中。
攻击者可以利用系统漏洞进行网络攻击,例如SQL注入、跨站点脚本攻击等,从而获得系统的管理权限并造成数据泄露、服务停止、恶意代码等问题。
2.2 数据风险政府部门的电子政务系统中包含大量的敏感数据,例如个人信息、财务信息等。
一旦这些数据泄露,将会对公民的个人隐私产生重大影响。
同时,数据泄露还可能导致政府失去公众的信任。
2.3 系统管理风险政府部门的电子政务系统需要对繁多的业务、数据进行管理,如果管理不当,会产生一系列的风险。
例如,管理不当可能导致业务流程的混乱、数据的错误处理等问题,从而影响政府工作的效率和公信力。
3. 电子政务建设中的安全对策3.1 安全技术3.1.1 网络安全技术政府部门需要使用先进的网络安全技术,例如防火墙、反病毒软件、入侵检测系统等,对网络进行保护。
这些技术可以有效地防止来自互联网的攻击,提高系统的安全性。
3.1.2 数据安全技术政府部门需要使用数据加密、访问控制等技术对数据进行保护。
通过对数据进行加密,可以有效地防止数据泄露,降低数据泄露的风险。
同时,访问控制技术可以限制非授权用户对数据的访问,进一步保护数据的安全性。
3.2 人员管理政府部门需要建立完善的人员管理制度,避免人为因素导致的安全问题。
例如,需要对人员进行严格的身份验证,确保只授权合法用户对系统进行操作。
同时,还需要对人员进行培训,提高其安全意识和安全技能。
电子政务网站安全防护解决方案1。
门户网站安全综述随着信息技术的发展网上办公、网上办事已经进入我们的日常生活,政府门户网站职能也有了较大的改变,由原来的静态内容发布转变为全面而复杂的电子政务外网系统。
然而随着信息技术进步的同时,我们要面对的信息安全问题也日益增多,我们面临的安全威胁正在不断增长,如何建设一套完整网站安全解决方案已经成为当前必须面对一个问题。
政策性要求继等级保护对政府网站明确要求之后,政府网站绩效考核也明确了对网站的安全要求,2010年国务院下发了40号文件进一步提出了对政府门户网站应加强安全管理和部署防御措施。
面临的主要威胁政府门户网站的安全主要涉及两大应用系统的安全,即门户网站和邮件系统安全,两个应用系统对外网完全开放。
如果安全方面处理不得当将来导致较为严重的安全事件,可能面临的主要威胁如下:门户网站随着国家对信息安全的重视和对非法入侵打击力度的加大,传统的以入侵政府网站进行篡改页面的行为已经不再多见。
为了降低入侵风险、提高入侵收益,入侵者大多采用更为隐蔽的手段从事入侵活动.•入侵管理后台发布恶意言论:网站管理后台被入侵,导致网站发布内容被入侵者控制,如地震期间某权威地震网被黑客控制,发布错误的地震预警信息制造社会恐慌;某政府网站被入侵,国家禁止发布影响社会稳定的事件被暴光等类似的网站后台入侵事件给网站和政府声誉带来极大的破坏。
•入侵数据库获取大量用户敏感信息:政府的一些门户网站可能涉及公众敏感的数据, 如住房公积金、医保、社保等保障系统.如果这些网站存在安全隐患,可能导致大批量的公众敏感数据丢失。
如某省公积金网站发现访问异常,经过多方面分析才发现网站所存贮的用户基础数据库被国外某情报机构入侵,窃取大量用户信息和账户信息。
邮件系统邮件系统由于对网外完全开放,处理不当也会导致较多的安全问题,如下是常见的问题,如果处理不当可能导致一些严重的后果。
•跨站脚本导致密钥失窃:邮件系统一直是跨站脚本攻击的重灾区,处理不当会导致用户在查阅邮件时自动将当前的会话密钥发送给入侵者,从而入侵者获得当前账户的邮件读取权限。
行业电子政务平台数据安全方案第一章数据安全概述 (3)1.1 数据安全重要性 (3)1.2 电子政务平台数据安全现状 (3)第二章数据安全法律法规与政策 (4)2.1 国家相关法律法规 (4)2.1.1 法律层面 (4)2.1.2 行政法规层面 (4)2.2 政策标准与规范 (5)2.2.1 政策层面 (5)2.2.2 标准与规范层面 (5)2.3 行业数据安全要求 (5)第三章数据安全组织架构与职责 (6)3.1 组织架构设计 (6)3.1.1 建立数据安全领导小组 (6)3.1.2 设立数据安全管理机构 (6)3.1.3 建立数据安全责任体系 (6)3.2 数据安全管理职责 (6)3.2.1 数据安全领导小组职责 (7)3.2.2 数据安全管理机构职责 (7)3.2.3 各部门职责 (7)3.3 数据安全培训与考核 (7)3.3.1 数据安全培训 (7)3.3.2 数据安全考核 (7)第四章数据安全风险识别与评估 (8)4.1 数据安全风险类型 (8)4.2 风险识别方法 (8)4.3 风险评估与处理 (8)第五章数据安全防护技术 (9)5.1 数据加密技术 (9)5.1.1 加密算法选择 (9)5.1.2 加密技术应用 (9)5.2 数据访问控制 (9)5.2.1 访问控制策略 (9)5.2.2 访问控制实施 (10)5.3 数据备份与恢复 (10)5.3.1 备份策略 (10)5.3.2 备份存储 (10)5.3.3 恢复策略 (10)第六章数据安全监测与预警 (11)6.1 监测系统设计与实施 (11)6.1.1 监测系统设计原则 (11)6.2 预警机制建设 (11)6.2.1 预警机制设计原则 (11)6.2.2 预警机制建设内容 (12)6.3 应急预案制定 (12)6.3.1 应急预案编制原则 (12)6.3.2 应急预案编制内容 (12)第七章数据安全事件处理与应急响应 (13)7.1 数据安全事件分类 (13)7.1.1 按影响范围分类 (13)7.1.2 按紧急程度分类 (13)7.1.3 按攻击类型分类 (13)7.2 应急响应流程 (13)7.2.1 事件发觉与报告 (13)7.2.2 事件评估 (14)7.2.3 应急响应启动 (14)7.2.4 应急处置 (14)7.2.5 事件调查与原因分析 (14)7.2.6 事件总结与改进 (14)7.3 数据安全事件通报与总结 (14)7.3.1 事件通报 (14)7.3.2 总结报告 (14)第八章数据安全审计与合规 (14)8.1 审计制度与流程 (14)8.1.1 审计制度的建立 (14)8.1.2 审计流程的设计 (15)8.2 数据安全合规性评估 (15)8.2.1 评估指标的设定 (15)8.2.2 评估方法的选择 (15)8.2.3 评估结果的运用 (15)8.3 审计报告与应用 (16)8.3.1 审计报告的编制 (16)8.3.2 审计报告的提交与审批 (16)8.3.3 审计报告的应用 (16)第九章数据安全培训与文化建设 (16)9.1 培训体系构建 (16)9.1.1 培训目标 (16)9.1.2 培训内容 (16)9.1.3 培训方式 (17)9.2 数据安全文化建设 (17)9.2.1 文化内涵 (17)9.2.2 文化建设策略 (17)9.3 数据安全意识提升 (17)9.3.1 意识提升目标 (17)第十章数据安全国际合作与交流 (18)10.1 国际数据安全法规与标准 (18)10.2 国际合作与交流平台 (18)10.3 数据安全国际发展趋势与应对策略 (19)第一章数据安全概述1.1 数据安全重要性在当今信息化社会,数据已成为国家、企业和个人重要的战略资源。
广东省人民政府印发广东省电子政务信息安全管理暂行办法的通知文章属性•【制定机关】广东省人民政府•【公布日期】2003.06.24•【字号】粤府[2003]52号•【施行日期】2003.06.24•【效力等级】地方政府规章•【时效性】现行有效•【主题分类】机关工作正文广东省人民政府印发广东省电子政务信息安全管理暂行办法的通知粤府[2003]52号各市、县、自治县人民政府,省府直属有关单位:现将《广东省电子政务信息安全管理暂行办法》印发给你们,请按照执行。
执行中遇到问题,请迳向省信息产业厅反映。
广东省人民政府二00三年六月二十四日广东省电子政务信息安全管理暂行办法第一条为了促进我省电子政务的发展,保障我省电子政务健康运行,根据《国家信息化领导小组关于我国电子政务建设指导意见》,并结合我省实际情况,制定本办法。
第二条电子政务信息安全工作应遵循注重实效、促进发展、强化管理和积极防范的原则。
第三条省信息化工作领导小组办公室根据省信息化工作领导小组关于电子政务信息安全工作的决策,负责组织协调全省电子政务信息安全工作,并对执行情况进行检查监督。
省直各有关部门根据各自职能分工负责电子政务信息安全的具体工作。
各市电子政务主管部门负责本市电子政务信息安全工作。
第四条由省信息化工作领导小组办公室牵头,会同省信息产业厅、保密局、公安厅、科技厅组成省电子政务信息安全工作小组,负责制定全省电子政务信息安全策略和工作规范,建立全省电子政务信息安全风险评估体系。
各单位要制定本单位电子政务信息安全措施,定期进行安全风险评估,落实信息安全工作责任制,建立健全信息安全工作规章制度,并于每年6月份书面报本级电子政务主管部门备案。
第五条电子政务网络由政务内网和政务外网构成,两网之间物理隔离。
电子政务内网是政务部门的办公专网,连接包括省四套班子和省直各部门。
电子政务内网信息安全管理要严格执行国家有关规定。
第六条电子政务外网是政府的业务专网。
电子政务保密管理自查报告
为了保护电子政务相关信息的安全和保密,以防止信息泄露和滥用,我们进行了一次
电子政务保密管理自查。
以下是自查报告:
1. 机构保密管理制度:我们机构拥有完善的保密管理制度,包括保密政策、保密责任制、保密培训等。
2. 信息系统安全:我们的电子政务系统采取了安全措施,包括网络安全防护、身份认证、访问控制等,以保证信息的安全和完整性。
3. 信息权限控制:我们对系统内的信息进行了权限控制,只有经过授权的人员才能访
问和操作相关信息。
4. 数据备份和恢复:我们定期对系统中的数据进行备份,并制定了相应的恢复计划,
以应对数据丢失或损坏的情况。
5. 保密意识培养:我们通过定期培训和宣传活动,提高员工对保密工作的重视和意识,使其知晓保密政策和相关法律法规。
6. 审查和监控:我们定期对系统进行审查和监控,及时发现和解决安全问题,并定期
进行安全演练。
7. 外部合作安全管理:我们与外部合作伙伴建立了安全合作机制,通过签订保密协议
等方式保护信息安全。
在这次自查过程中,我们没有发现任何明显的安全漏洞或违反保密制度的情况,对于
发现的小问题,我们已经采取相应的纠正措施。
同时,我们将进一步加强保密工作,
提高信息安全防护能力,确保电子政务的安全和保密。
电子政务的安全与风险评估第一章电子政务安全概述电子政务是指政府使用信息技术手段提供服务、管理事务和决策的过程。
随着信息技术的快速发展和政府数字化进程的加速,电子政务已成为现代政府建设的重要组成部分。
然而,随之而来的是电子政务安全问题的增多,这些问题涉及到信息系统和数据的机密性、完整性和可用性。
电子政务安全是指保护电子政务系统和数据免受恶意攻击和其他不良行为的影响的综合性概念。
电子政务安全包括防范、检测和应对各种网络攻击、计算机病毒、间谍软件、木马、僵尸网络、恶意程序等安全问题,以确保政府信息系统正常稳定地运行,确保对公众信息的安全保密。
在数字化的时代,电子政务安全已经成为各国政府的一项重要任务。
尤其是在中小型企业中,安全问题需要更多地得到重视和应用。
为了维护国家的信息安全和国民利益,各国都在将信息安全纳入国家重大战略中,并不断完善现有安全机制,并加强合作与交流以应对日益加剧的电子政务安全问题。
第二章电子政务安全威胁分析随着电子政务的不断发展,电子政务安全问题也在不断加剧。
安全问题可能源于人为因素、技术因素、自然因素和社会环境。
2.1 人为因素人为因素是电子政务安全的最主要威胁。
这些因素包括:信息泄露、攻击、恶意代码、病毒、非法访问、身份伪造和文档篡改等。
2.2 技术因素技术因素也是电子政务安全的主要威胁之一。
技术威胁包括黑客攻击、电子病毒、木马程序、网络钓鱼和网络诈骗等。
2.3 自然因素自然因素包括自然灾害、地震、海啸、风暴和火灾等。
这些因素可能导致数据中心的数据丢失、硬件设备受损或瘫痪,从而使电子政务系统因储存和处理能力不佳而面临难以预测的失败。
2.4 社会环境社会环境是电子政务安全的另一个威胁因素。
例如,社会动荡、政治动乱、贪污腐败、违反法律法规、不道德行为等都可能导致信息丢失、系统遭受攻击、数据泄露甚至停机,从而损害电子政务安全。
第三章电子政务安全风险评估电子政务安全风险评估是评估电子政务系统和数据在遭受攻击时所面临的安全风险的重要程序。
我国电⼦政务的安全问题及解决对策2019-03-24摘要针对我国电⼦政务建设过程中存在的主要问题进⾏了分析,并提出了相应的对策,还借鉴了其他⼀些电⼦政务建设⽐较完善的国家的经验。
关键词电⼦政务建设安全对策中图分类号: [T-9] ⽂献标识码:A1 我国电⼦政务不安全现象电⼦政务,政务是根本,应⽤是⽅⾯,实效是关键,战略是前提,安全是最⼤的保障。
它的安全不仅来⾃于外部,也来⾃与内部。
包括⽹上⿊客⼊侵和犯罪、⽹上病毒泛滥和蔓延、信息间谍的潜⼊和窃密、⽹络系统的脆弱和瘫痪、信息产品的失控;还有各种技术⼈员,机构出于各⾃的⽬的也可能对电⼦政务进⾏系统进⾏攻击。
与传统政务不同,电⼦政务对信息技术有很⼤的依赖性,因此,电⼦政务系统⾃⾝存在的漏洞和缺陷会对政务机关业务的开展和连续进⾏造成安全隐患,这些都应引起我们⾜够的警惕,有必要采取措施,应对这些挑战。
2 我国电⼦政务不安全的原因分析2.1 我国电⼦政务⾯临信息安全问题有调查表明,我国⼤部分的政务⽹站⽬前还没有设置防⽕墙。
国家有关部门通过模拟攻击,对650个政务上⽹单位的信息安全⼯作进⾏了检查,发现其中80%的⽹站没有安全措施,有的甚⾄被⿊客攻击之后也不向有关部门报告。
我们不清楚这些⽹站后⾯有多少政府部门内部办公系统和存储秘密信息的数据库相连,所以⽆法准确判断多少政务信息⾯临被泄露、修改、删除的危险,在⿊客技术⼗分发达的今天,这种现状对电⼦政务信息安全是个极⼤的威胁。
总的来说,我国电⼦政务⾯临的信息安全问题主要表现在:⼀是政府信息⽹络安全存在隐患。
⽹络⾮常脆弱,各种安全隐患普遍存在。
掌握了⼀定的技术的⼈可以轻易获取⽹络服务器上的⽤户帐号信息和⼝令⽂件,并可进⼊系统修改、删除重要数据⽂件。
⼀旦这些系统被⾮法侵⼊和破坏,将不能正常⼯作,甚⾄全部瘫痪。
⼆是⽹络犯罪活动⽇益增多。
近年来,⾦融机构内部利⽤计算机犯罪案件⼤幅度上升;在互联⽹上泄露国家秘密的案件屡有发⽣;另外,境内⿊客攻击破坏⽹络的问题⼗分严重。
电子政务平台的信息安全风险评估与防范策略随着信息技术的快速发展,电子政务平台的建设已经成为政府机构进行信息化管理的重要手段。
然而,随之而来的信息安全风险也日益增加。
因此,对电子政务平台的信息安全风险进行评估,并采取相应的防范策略,对于保障政府机构的信息安全至关重要。
信息安全风险评估是对电子政务平台进行全面、系统地分析和评估,以确定其所面临的潜在安全隐患和威胁。
评估的目的是识别电子政务平台中可能存在的漏洞和风险,进一步制定相应的防范策略与措施。
以下是电子政务平台信息安全风险评估的步骤和方法:首先,需对电子政务平台的整体安全架构进行梳理。
这包括对系统组成结构、网络连接拓扑、系统功能模块、系统和应用程序的运行环境等进行详细了解。
通过对整个系统的构成部分的分析,能够确定电子政务平台存在的潜在风险和漏洞。
其次,进行威胁分析和评估。
这一步骤旨在确定潜在威胁对电子政务平台的影响程度。
威胁可以来自于外部,如黑客攻击、病毒、恶意软件等;也可以来自于内部,比如人为失误、不当操作等。
通过综合考虑可能的威胁性因素,评估每种威胁对系统的潜在经济和操作影响。
然后,进行漏洞扫描和渗透测试。
通过使用专业的漏洞扫描工具和渗透测试技术,对电子政务平台进行全面的安全检测。
漏洞扫描可用于自动发现系统中的安全漏洞,而渗透测试则可以模拟真实的黑客攻击场景,检查系统防御能力。
通过这一步骤的分析结果,可以进一步识别系统中的问题和隐患。
接下来,进行风险评估和分级。
根据之前的分析结果,对潜在风险进行评估,并确定系统中每个漏洞和威胁的优先级。
这样可以使得风险评估更加合理和准确,便于制定后续的防范措施。
最后,制定相应的防范策略与措施。
根据风险评估结果,制定针对每个漏洞和威胁的防范策略。
这包括硬件设备的安全配置、安全软件的选择与部署、网络防御策略等。
同时,还应该加强对系统操作人员的培训,提高其信息安全意识和技能,防止人为错误引发的安全问题。
除了以上的基本防范措施,电子政务平台还可以采取其他进一步的安全防御手段。
随着全球政治经济一体化的日益明显,以电子政务为代表的政府管理服务职能的电子化、自动化、无纸化,目前正在一些国家尤其是发达国家中快速发展。
在世界各国积极倡导的“信息高速公路”的五个应用领域中,“电子政务”被列为第一位,因此可以说政府信息化是社会信息化的先导,电子政务是信息化社会发展的必然。
电子政务是一国的各级政府机关或者是有关机构借助电子信息技术而进行的政务活动。
其实质是通过应用信息技术,转变政府传统的集中管理,分层结构运行模式,以适应数字化社会的需求。
电子政务主要由政府部门内部的数字化办公,政府部门之间通过计算机网络而进行的信息共享和适时通信。
政府部门通过网络与公众进行的双向交流三部分组成。
由于电子政务依赖于计算机和网络技术而存在,这就意味着,电子政务的应用就不可避免的与INTERNET打交道。
电子政务涉及对国家秘密信息和高敏感度核心政务的保护,设计维护公共秩序和行政监管的准确实施,涉及到为社会提供公共服务的质量保证。
电子政务是党委、政府、人大、政协有效决策、管理、服务的重要手段,必然会遇到各种敌对势力、恐怖集团、捣乱分子的破坏和攻击。
尤其电子政务是搭建在基于互联网技术的网络平台上,包括政务内网、政务外网和互联网,而互联网的安全先天不足,互联网是一个无行政主管的全球网络,自身缺少设防和安全隐患很多,对互联网犯罪尚缺乏足够的法律威慑,大量的跨国网络犯罪给执法带来很大的难度。
所有上述分子利用互联网进行犯罪则有机可乘,使基于互联网开展的电子政务应用面临着严峻的挑战。
对电子政务的安全威胁,包括网上黑客入侵和犯罪、网上病毒泛滥和蔓延、信息间谍的潜入和窃密、网络恐怖集团的攻击和破坏、内部人员的违规和违法操作、网络系统的脆弱和瘫痪、信息产品的失控等,应引起足够警惕,采取安全措施,应对这种挑战。
第一章电子政务中信息安全的几个基本问题1.1电子政务电子政务是政府在国民经济和社会信息化的背景下,以提高政府办公效率,改善决策和投资环境为目标,将政府的信息发布、管理、服务、沟通功能向互联网上迁移的系统解决方案。
榆政办发〔2007〕97号榆林市人民政府办公室关于印发榆林市电子政务网络与信息安全管理办法(暂行)的通知各县区人民政府、市政府各工作部门、各直属机构:《榆林市电子政务网络与信息安全管理办法》(暂行)已经市政府批准,现印发你们,请认真贯彻执行。
二○○七年八月二十日榆林市电子政务网络与信息安全管理办法(暂行)第一章总则第一条为加强电子政务网络与信息安全管理,保障全市电子政务健康发展,根据《国家信息化领导小组关于加强信息安全保障工作的意见》、《国家信息化领导小组关于我国电子政务建设指导意见》、《陕西省信息化领导小组关于加强信息安全保障工作的意见》和《陕西省电子政务网络与信息安全管理暂行办法》等文件精神及相关法律法规,制定本办法。
第二条本办法所称电子政务系统是指我市各级党政机关、企事业单位和社会团体等机构(以下统称为单位)的政务应用和为社会提供各项公共服务的网络与信息系统。
第三条全市电子政务网络与信息安全管理遵循统一领导、统筹规划、积极防御、综合防范、各负其责、保障安全的原则。
第四条全市电子政务系统建立统一的密码和密钥管理体系、网络信任体系和安全管理体系,依照相关规定实施信息安全等级保护、风险评估和安全测评。
第五条全市电子政务系统按照“谁运营、谁主管、谁负责”的要求,分级、分层、分域保障安全。
涉及国家秘密的电子政务系统必须执行党和国家的有关保密法规。
第六条电子政务安全防护系统建设、风险评估、系统测评、安全培训和相关论证审查等所需经费,由系统建设使用单位统一纳入系统建设经费预算和运营维护费用预算予以解决。
第七条对在电子政务网络与信息安全保障工作中取得突出成绩的单位和个人,由信息化主管部门或其上级部门给予表彰奖励。
第二章职责第八条全市电子政务网络与信息安全保障工作在市信息化领导小组统一领导下,由市信息化领导小组办公室负责组织管理和协调指导,建立完善全市电子政务网络与信息安全保障体系。
第九条各县区信息化主管部门负责本县区电子政务网络与信息安全保障工作的监督管理和协调指导,负责建立完善本县区电子政务网络与信息安全保障体系。
电子政务信息安全和管理
一、电子政务顺利实施的核心问题
电子政务是一种全新的政府管理方式,是一个基于网络
技术的综合性业务模式。建立电子政务系统参公众服务,必然
要求这一系统必须是安全、可靠、抗灾难、可恢复的。计算
机和计算机网络的共享、交互和快速为这种系统的建立提供
了前提条件,互联网技术的迅速发展和广泛应用,又为电子政
务系统不断走向开放互联提供了巨大推动力。随着电子政务
信息化的不断发展,电子政务对于网络系统的依赖性越来越
强,政务系统作为关系国计民生的重要部分,在安全方面尤为
重要,而由于互联网的开放性和公共性带来的不安全因素,使
信息安全问题成为保障电子政务顺利实施的核心问题。
二、电子政务信息安全面临的问题
电子政务网分为政务内网(涉密网)和政务外网(非涉密
网),两网之间物理隔离,政务外网采取逻辑隔离与互联网联
通。政府各部门大力推行的办公自动化、网络化、电子化、
信息共享都以这些网络为支撑,以TCP/IPV4为传输协议,该
协议为开放协议,从协议规划、服务模式、网络管理等方面均
缺乏安全性设计,所以电子政务信息系统就存在着诸多的安
全隐患。
1.网络安全规划的不到位,造成网络结构的不合理性。由
于信息技术发展的历史原因和建设资金问题,我国电子政务
网络的建设在规划上经常缺少前瞻性的安全规划,网络流量
存在多个瓶颈, IP地址缺乏统一规划,广播流量可控性差,子
网故障隔离性差,重要流量缺乏带宽管理和服务质量优先保
证等一大堆问题。随着安全问题的不断出现,只能在运行过程
中不停地修修补补。但是,这种修补只能解决暂时的问题,解
决一个问题后,往往又有新问题出现。
2.关键核心技术还掌握,增加了我国基础信息网络和重
要信息系统安全的隐患。我国对发达国家信息设备和信息技
术存在很强的依赖性,信息化核心设备严重依赖国外,对引进
技术和设备缺乏必要的信息管理和技术改造。尤其是在系统
安全和安全协议的研究和应用方面与发达国家的差距很大。
目前组成我国电子政务网络的计算机网络系统所用硬件、软
件、操作系统、网管软件、各类应用系统、数据库、防火墙、
网络接入设备、路由器、服务器基本上都是国外公司的产品,
微机芯片都是INTEL系列,软件基本上是微软公司的产品,完
全自主知识产权的产品基本没有。这些因素使我国的电子政
务网络安全性能大大降低,我国的经济和社会发展面临着新
的风险。
3.网络安全管理的混乱和规范化的管理制度相对滞后,
造成很多管理安全漏洞。由于电子政务的网络是连接多个政
务部门的广域网或城域网,需要各部门协调一致,共同维护整
个网络平台的安全。但是,由于不同政府部门的信息技术人才
和信息化水平的差异性,以及不同政府部门存在一些相关的
利益和冲突,因此,很难做到安全管理的统一协调性,一旦发生
安全事件,故障定位不准,追查事故源困难,责任问题牵扯不清,
从而造成事件的破坏性后果更为严重。
4.安全意识淡薄。目前,在电子政务信息的安全问题上还
存在不少认知盲区和制约因素。网络是新生事物,许多人一接
触就忙着用于学习、工作和娱乐等,对网络信息的安全性无暇
顾及,安全意识相当淡薄,对网络信息不安全的事实认识不
足。与此同时,机关、事业单位注重的是网络效应,对安全领
域的投入和管理远远不能满足安全防范的要求。总体上看,
网络信息安全处于被动的封堵漏洞状态,从上到下普遍存在
侥幸心理,没有形成主动防范、积极应对的全民意识,更无法
从根本上提高网络监测、防护、响应、恢复和抗击能力。
三、电子政务信息安全措施
1.设备的物理安全。物理层的安全设计应从三个方面考
虑:环境安全、设备安全、线路安全。采取的措施包括:机房
屏蔽,电源接地,布线隐蔽,防雷。根据中央保密委有关文件规
定,凡是计算机同时具有内网和外网的应用需求,必须采取网
络安全隔离技术,在计算机终端安装隔离卡或安装安全网闸,
使内网与外网之间从根本上实现物理隔离,防止涉密信息通
过外网泄漏。
2.信息的加密。电子政务应用涵盖政府内部办公和面对
公众的信息服务两大方面。就政府内部办公而言,电子政务系
统涉及到部门与部门之间、上下级之间、地区与地区间的公
文流转,这些公文的信息往往涉及不宜公开的和有密级的内
容。因此,在信息传递过程中,必须采取适当的加密方法对信
息进行加密。可采用多种加密方式:a.基于IPsec的加密方式
正被广泛采用,其优点显而易见:IPsec对应用系统透明且具有
极强的安全性,这一点对于要开发庞大应用的电子政务来说,
就显得极有好处了,应用系统开发商不必为数据传输过程中
的加密做过多的考虑,易于部署和维护。b.采用VPN技术在
公共数据网上进行内部信息的安全传输。其优点是只增加端
设备避免了重复建设。c.采用公钥基础设施技术(PKI)为基础,
以数据机密性、完整性、身份认证和行为的不可否认为安全
目的为电子政务提供安全支持。
3.操作系统的安全性。网络安全的重要基础之一是安全
的操作系统,因为所有的政务应用和安全措施都依赖操作系
统提供底层支持。操作系统的漏洞或配置不当将有可能导致
整个安全体系的崩溃。更危险的是,我们无法保证国外厂家的
操作系统产品不存在后门。在操作系统安全方面,有两点是值
得考虑的:一是采用具有自主知识产权且源代码对政府公开
的产品;二是利用漏洞扫描工具定期检查系统漏洞和配置更
改情况,及时发现问题。
4.数据备份与容灾。任何的安全措施都无法保证数据万
无一失,硬件故障、自然灾害以及未知病毒的感染都有可能导
致政府重要数据的丢失。因此,在电子政务安全体系中必须包
括数据的容灾与备份,并且最好是异地备份。
5.管理制度的完善。电子政务网络内部安全和外部安全
一样重要,内部安全除了需要体系化的安全防御策略,还需要
严格的、可操作性强的安全管理制度。制度的制订首先要规
范,其次要强调制度的强制性、法规约束力和可操作性,同时
进行安全宣传教育,增强安全意识的培养和信息安全知识的
普及这样才能保证制度的真正贯彻和执行加强。
6.建立网络安全事件应急响应预案。网络安全事件应急
响应预案是安全管理制度的一个重要部分,这里单独来讨论,
主要是考虑到其重要性。事前有预案,一旦发生安全事件,就
可以触发相应的预案处理程序,在最短的时间内恢复正常的
网络服务和信息服务,力求把安全事件的破坏力降到最低。□
(编辑/李舶)