研討電子政務(wù)信息安全體系范文
本站小編為你精心準(zhǔn)備了研討電子政務(wù)信息安全體系參考范文,愿這些范文能點燃您思維的火花,激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。
電子政務(wù)信息安全的本質(zhì)是要保證政府部門能夠順利高效地履行職能,這就要求它發(fā)揮信息維護(hù)系統(tǒng)作用的同時還要考慮到侵襲的風(fēng)險。這一方面要求政務(wù)信息的基本設(shè)備以及服務(wù)應(yīng)用可以抵御病毒攻擊、黑客入侵、間諜盜取甚至遭到恐怖組織的惡意侵害。另一方面還應(yīng)防止政府內(nèi)部人員的違規(guī)和非法操作,系統(tǒng)在網(wǎng)絡(luò)中出現(xiàn)的故障,信息產(chǎn)品的失調(diào)等諸多威脅。同時還應(yīng)具備以下五種能力。
(1)可用性目標(biāo)
可用性目標(biāo)是信息安全目標(biāo)的重中之重,它是首要目標(biāo),是政務(wù)系統(tǒng)正常運作的基礎(chǔ)且保障經(jīng)授權(quán)用戶得到所需信息的服務(wù)。
(2)完整性目標(biāo)
完整性也是電子政務(wù)系統(tǒng)中信息安全當(dāng)中最重要的目標(biāo),它能夠預(yù)防數(shù)據(jù)在傳輸?shù)倪^程當(dāng)中不被篡改以及系統(tǒng)功能不遭到破壞。
(3)保密性目標(biāo)
保密性目標(biāo)的重要性相對于可用性和完整性較弱。它表示只有經(jīng)授權(quán)的用戶才有權(quán)瀏覽帶有密級或者私有的信息。
(4)保障性目標(biāo)
電子政務(wù)信息安全系統(tǒng)的信任基礎(chǔ)即為保障性。保障性目標(biāo)是指能夠提供電子政務(wù)的基本功能之外并且實現(xiàn)其子政務(wù)系統(tǒng)功能,與此同時,在用戶或軟件出現(xiàn)故障時,它可以提供一定的保護(hù);在系統(tǒng)遭受惡意攻擊時,它也可以提供充分的保護(hù)。
(5)可記賬性目標(biāo)
可記賬性目標(biāo)即能夠如實記錄一個部門的全部行為的電子政務(wù)系統(tǒng)。包括事后恢復(fù)、法律訴訟、隔離故障、檢測和防止入侵、懲罰違規(guī)、拒絕否認(rèn)等不同情況提供相應(yīng)的支持。
2電子政務(wù)信息安全任務(wù)
由于電子政務(wù)所包含的系統(tǒng)是政府機(jī)構(gòu)用來執(zhí)行政府公職的系統(tǒng),政府機(jī)構(gòu)行業(yè)性質(zhì)往往與國家緊密相關(guān),由此可見,與其他網(wǎng)絡(luò)系統(tǒng)不同,電子政務(wù)網(wǎng)絡(luò)的信息安全需具備更高的要求。第一,信息的真實性。這要求電子政務(wù)確保信息在傳輸過程中涉及用戶的身份是真實的;第二,信息的完整性。它要求傳遞與存儲信息的過程中要避免遭受惡意的破壞,從而保證信息的安全;第三,可用性。即保證經(jīng)過授權(quán)的用戶可以順利正常地使用信息系統(tǒng);第四,可控性。要求根據(jù)用戶身份的權(quán)限來管理其訪問信息的范圍;第五,確認(rèn)性。即建立一個責(zé)任機(jī)制,從而使用戶承擔(dān)起其對信息操作的責(zé)任感;第六,不可否認(rèn)性。即要求發(fā)送以及接受信息的雙方不能否認(rèn)自己正當(dāng)與不當(dāng)?shù)男袨椋坏谄撸瑱C(jī)密性。是指信息在傳輸和使用的過程當(dāng)中,要確保信息未經(jīng)授權(quán)而導(dǎo)致泄露。
3電子政務(wù)信息安全評價體系研究
在經(jīng)過分析電子政務(wù)信息安全的要求和任務(wù)之后,通過信息安全的4個層次為基礎(chǔ),可以建立一套相關(guān)的有效的信息安全評價體系。
(1)信息安全
信息安全主要包含五個方面的特性,即保密性、真實性、完整性、未授權(quán)拷貝和所寄生系統(tǒng)的安全性。單一的信息保密措施還遠(yuǎn)遠(yuǎn)不夠,還要求我們通過多種保密措施來確保信息的安全。信息安全存在著來自于多方面的威脅,根據(jù)不同的性質(zhì)可歸納為:
a.破壞信息的完整性:非授權(quán)用戶違反規(guī)定對數(shù)據(jù)進(jìn)行修改、刪除或著破壞,從而導(dǎo)致數(shù)據(jù)損壞。
b.信息泄露:即把受保護(hù)的信息泄露給未經(jīng)授權(quán)的用戶。
c.非授權(quán)訪問:非授權(quán)用戶非法訪問以及使用信息。
d.拒絕服務(wù):授權(quán)用戶正當(dāng)訪問信息或其他資源時受到非法阻止。
e.業(yè)務(wù)流分析:它是通過對系統(tǒng)的長期監(jiān)聽,利用統(tǒng)計分析方法,不光對通信頻率、通信的信息流向、以及對通信總量變化的參數(shù)進(jìn)行分析,由此發(fā)現(xiàn)有價值的信息。
f.竊聽:即利用非法的手段竊取系統(tǒng)中重要的信息資源。
g.旁路控制:即攻擊者利用系統(tǒng)的安全漏洞獲得非授權(quán)的權(quán)利。
h.假冒:即攻擊者假冒成為合法者,這一般都是通過非法手段欺詐通信系統(tǒng)或用戶來實現(xiàn)的。
i.計算機(jī)病毒:即在計算機(jī)運行時對系統(tǒng)文件或信息進(jìn)行侵害傳染的一種程序,達(dá)到非法的目的。
(2)數(shù)據(jù)應(yīng)用安全
要保證電子政務(wù)的數(shù)據(jù)和應(yīng)用安全,則需要更可靠的硬件環(huán)境。我國的電子政務(wù)體系通常指通過互聯(lián)網(wǎng)技術(shù)來實現(xiàn)的運作架構(gòu),它主要包含所需的"軟件"結(jié)構(gòu)和"硬件"結(jié)構(gòu)。要逐步實現(xiàn)國產(chǎn)化就要求電子政務(wù)應(yīng)用軟件產(chǎn)品具備良好的平臺無關(guān)性和可移植性。其評價也應(yīng)當(dāng)把握以下幾個指標(biāo):
a.產(chǎn)品必須具有公安部核發(fā)的《計算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證》和相應(yīng)的檢測報告。
b.產(chǎn)品必須具有國密辦對產(chǎn)品加密算法出示的批文。
c.選擇產(chǎn)品的知識產(chǎn)權(quán)必須為我國自主所有。
d.選擇具有更先進(jìn)技術(shù)的安全產(chǎn)品。
e.嚴(yán)密檢查安全產(chǎn)品在權(quán)威機(jī)構(gòu)的檢測報告,其各項安全功能是否達(dá)到安全要求。
(3)網(wǎng)絡(luò)安全
網(wǎng)絡(luò)安全是指向公眾提供一種方便、快捷、透明的電子政務(wù)系統(tǒng)。對于電子政務(wù)的信息安全來說,主要包括下面幾點:
a.使不同業(yè)務(wù)、部門、行業(yè)在統(tǒng)一的網(wǎng)絡(luò)平臺中實現(xiàn)受控互訪和隔離的功能。
b.使認(rèn)證和管理合法用戶的功能得以實現(xiàn)。
c.使全網(wǎng)實現(xiàn)統(tǒng)一管理。
d.使網(wǎng)絡(luò)平臺能夠平滑過度以及更多業(yè)務(wù)的實現(xiàn)。
e.使移動辦公業(yè)務(wù)得以實現(xiàn)并且提供有效地數(shù)據(jù)安全保障。
(4)有效管理
目前,系統(tǒng)信息安全管理中存在的漏洞往往是受到外部入侵和內(nèi)部的破壞。有效管理的意義則主要包括在工作過程中工作人員擅自離開崗位,機(jī)房重地的隨意出入以及在本地磁盤臨時存放一些敏感信息等。由于內(nèi)部人員熟練地了解系統(tǒng)及網(wǎng)絡(luò),而且又對系統(tǒng)管理員的工作規(guī)律方便掌握或者作為管理員本身職位特殊等因素,從而相對容易進(jìn)行破解密碼、網(wǎng)絡(luò)的刺探、嘗試登錄系統(tǒng)及輕易的繞過訪問控制機(jī)制等非法操作從而對信息造成威脅,因此機(jī)構(gòu)內(nèi)部也許出現(xiàn)更大的威脅。管理有效是影響電子政府信息安全最重要的因素之一,安全系統(tǒng)的核心為政府工作人員的安全策略。政府機(jī)構(gòu)通常可以依照制度管理、人員管理、機(jī)構(gòu)管理等三個方面進(jìn)行規(guī)范管理,從而確保電子政務(wù)信息安全。
4總結(jié)
由于電子政務(wù)網(wǎng)絡(luò)因涉及政府機(jī)密信息,對于網(wǎng)絡(luò)信息的安全要求很高,不僅需要通過提高系統(tǒng)防范能力來抵御外來非法攻擊,同時要確保數(shù)據(jù)遠(yuǎn)程傳輸?shù)谋C苄浴R虼耍獜闹贫冉ㄔO(shè)和管理機(jī)制入手,建立一套安全、高效的規(guī)范制度和安全法則,是電子政務(wù)的網(wǎng)絡(luò)安全有法可循,杜絕因為人員的因素導(dǎo)致對網(wǎng)絡(luò)安全威脅的事件發(fā)生。本文借鑒國外電子政務(wù)發(fā)展經(jīng)驗,從影響電子政務(wù)信息安全的因素出發(fā),從信息安全的層次入手,參照信息安全的四個層次制定了以上評價指標(biāo),構(gòu)建起一套評價體系為電子政務(wù)的信息安全進(jìn)行自我評價體系。并以此在網(wǎng)絡(luò)建設(shè)過程中,引入風(fēng)險評估策略,則將進(jìn)一步對于電子政務(wù)信息安全在管理方面有著更進(jìn)一步的提高。
作者:唐一冰單位:長安大學(xué)經(jīng)濟(jì)與管理學(xué)院