电子政务的安全风险
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇电子政务的安全风险范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
电子政务的安全风险范文第1篇
0引言
随着电子政务不断推进,社会各阶层对电子政务的依赖程度越来越高,信息安全的重要性日益突出,在电子政务的信息安全管理问题中,基于现实特点的电子政务信息安全体系设计和风险评估[1]模型是突出的热点和难点问题。本文试图就这两个问题给出分析和建议。
1电子政务信息安全的总体要求
随着电子政务应用的不断深入,信息安全问题日益凸显,为了高效安全的进行电子政务,迫切需要搞好信息安全保障工作。电子政务系统采取的网络安全措施[2][3]不仅要保证业务与办公系统和网络的稳定运行,另一方面要保护运行在内部网上的敏感数据与信息的安全,因此应充分保证以下几点:
1.1基础设施的可用性:运行于内部专网的各主机、数据库、应用服务器系统的安全运行十分关键,网络安全体系必须保证这些系统不会遭受来自网络的非法访问、恶意入侵和破坏。
1.2数据机密性:对于内部网络,保密数据的泄密将直接带来政府机构以及国家利益的损失。网络安全系统应保证内网机密信息在存储与传输时的保密性。
1.3网络域的可控性:电子政务的网络应该处于严格的控制之下,只有经过认证的设备可以访问网络,并且能明确地限定其访问范围,这对于电子政务的网络安全十分重要。
1.4数据备份与容灾:任何的安全措施都无法保证数据万无一失,硬件故障、自然灾害以及未知病毒的感染都有可能导致政府重要数据的丢失。因此,在电子政务安全体系中必须包括数据的容灾与备份,并且最好是异地备份。
2电子政务信息安全体系模型设计
完整的电子政务安全保障体系从技术层面上来讲,必须建立在一个强大的技术支撑平台之上,同时具有完备的安全管理机制,并针对物理安全,数据存储安全,数据传输安全和应用安全制定完善的安全策略
在技术支撑平台方面,核心是要解决好权限控制问题。为了解决授权访问的问题,通常是将基于公钥证书(PKC)的PKI(PublicKeyInfrastructure)与基于属性证书(AC)的PMI(PrivilegeManagementInfrastructure)结合起来进行安全性设计,然而由于一个终端用户可以有许多权限,许多用户也可能有相同的权限集,这些权限都必须写入属性证书的属性中,这样就增加了属性证书的复杂性和存储空间,从而也增加了属性证书的颁发和验证的复杂度。为了解决这个问题,作者建议根据X.509标准建立基于角色PMI的电子政务安全模型。该模型由客户端、验证服务器、应用服务器、资源数据库和LDAP目录服务器等实体组成,在该模型中:
2.1终端用户:向验证服务器发送请求和证书,并与服务器双向验证。
2.2验证服务器:由身份认证模块和授权验证模块组成提供身份认证和访问控制,是安全模型的关键部分。
2.3应用服务器:与资源数据库连接,根据验证通过的用户请求,对资源数据库的数据进行处理,并把处理结果通过验证服务器返回给用户以响应用户请求。
2.4LDAP目录服务器:该模型中采用两个LDAP目录服务器,一个存放公钥证书(PKC)和公钥证书吊销列表(CRL),另一个LDAP目录服务器存放角色指派和角色规范属性证书以及属性吊销列表ACRL。
安全管理策略也是电子政务安全体系的重要组成部分。安全的核心实际上是管理,安全技术实际上只是实现管理的一种手段,再好的技术手段都必须配合合理的制度才能发挥作用。需要制订的制度包括安全行政管理和安全技术管理。安全行政管理应包括组织机构和责任制度等的制定和落实;安全技术管理的内容包括对硬件实体和软件系统、密钥的管理。
3电子政务信息安全管理体系中的风险评估
电子政务信息安全等级保护是根据电子政务系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度。等级保护工作的要点是对电子政务系统进行风险分析,构建电子政务系统的风险因素集。
3.1信息系统的安全定级信息系统的安全等级从低到高依次包括自主保护级、指导保护级、监督保护级、强制保护级、专控保护级五个安全等级。对电子政务的五个安全等级定义,结合系统面临的风险、系统特定安全保护要求和成本开销等因素,采取相应的安全保护措施以保障信息和信息系统的安全。
3.2采用全面的风险评估办法风险评估具有不同的方法。在ISO/IECTR13335-3《信息技术IT安全管理指南:IT安全管理技术》中描述了风险评估方法的例子,其他文献,例如NISTSP800-30、AS/NZS4360等也介绍了风险评估的步骤及方法,另外,一些组织还提出了自己的风险评估工具,例如OCTAVE、CRAMM等。
电子政务信息安全建设中采用的风险评估方法可以参考ISO17799、OCTAVE、CSE、《信息安全风险评估指南》等标准和指南,从资产评估、威胁评估、脆弱性评估、安全措施有效性评估四个方面建立风险评估模型。其中,资产的评估主要是对资产进行相对估价,其估价准则依赖于对其影响的分析,主要从保密性、完整性、可用性三方面进行影响分析;威胁评估是对资产所受威胁发生可能性的评估,主要从威胁的能力和动机两个方面进行分析;脆弱性评估是对资产脆弱程度的评估,主要从脆弱性被利用的难易程度、被成功利用后的严重性两方面进行分析;安全措施有效性评估是对保障措施的有效性进行的评估活动,主要对安全措施防范威胁、减少脆弱性的有效状况进行分析;安全风险评估就是通过综合分析评估后的资产信息、威胁信息、脆弱性信息、安全措施信息,最终生成风险信息。
在确定风险评估方法后,还应确定接受风险的准则,识别可接受的风险级别。
4结语
电子政务与传统政务相比有显著区别,包括:办公手段不同,信息资源的数字化和信息交换的网络化是电子政务与传统政务的最显著区别;行政业务流程不同,实现行政业务流程的集约化、标准化和高效化是电子政务的核心;与公众沟通方式不同,直接与公众沟通是实施电子政务的目的之一,也是与传统政务的重要区别。在电子政务的信息安全管理中,要抓住其特点,从技术、管理、策略角度设计完整的信息安全模型并通过科学量化的风险评估方法识别风险和制定风险应急预案,这样才能达到全方位实施信息安全管理的目的。
参考文献:
[1]范红,冯国登,吴亚非.信息安全风险评估方法与应用.清华大学出版社.2006.
电子政务的安全风险范文第2篇
关键词:电子政务风险 电子政务项目 应对建议
一、现状
电子政务建设作为国民经济信息化的重要组成部分,在现阶段对于带动国民经济和社会信息化,提高国民信息化意识,进一步扩大信息化需求,推动信息技术在全社会各个领域的普及应用,都具有十分重要的现实意义。随着对电子政务投资的增加以及应用的深入。信息系统的规划、建设和运行的难度和风险因素剧增。通常,信息化项目都存在高风险,成功率平均只有30%左右,电子政务更不例外,而且相对一般信息化(如企业信息化)项目,电子政务项目更复杂,不确定性更大,经验更少。如果对潜在的困难和风险估计不足,或不能有效化解这些风险,将可能造成损失。因此应充分估计风险和困难,并通过加强全过程的管理来化解电子政务风险,提高项目的成功率。
二、电子政务风险简析
风险是指预期结果偏离期望值的可能性。风险一般可分为外部风险和内部风险。外部风险主要是指与项目本身没有直接关系,但又会影响到项目实施效果的客观因素即环境因素造成的风险;内部风险是指与项目本身直接相关的人或事对项目产生的影响所造成的风险。
(一)外部风险
外部风险作用于项目全过程,充分认识和正确处理外部风险是电子政务项目成功的重要前提。
首先,政策和法律风险是电子政务外部风险的基础性风险。在政策方面,政府可能颁布与为项目提供支持依据的条文产生冲突的法规、文件,或者为项目提供支持依据的条文失效;在法律方面,项目实施单位与政府部门在签订合同时未仔细审核合同条文、明确责权,或在一些涉及技术部分的条文方面存在信息不对称的情况,致使合作双方在许可权、专利等方面发生合同失效、诉讼等情况。
其次,转变和调整的风险,即部门发展战略的改变也会给电子政务带来风险。如果遇到大的人动或者大的政策变化,一个部门的整体战略会因此而受到影响,从而可能会要求电子政务系统的建设发生变化。
再次,领导特别是高层领导主要关注系统的表现,为确保系统表现稳定准确,一些隐蔽工程就可能放在上线后实施。由于需求变化的不可控性,会使项目不能在预期的时间内完成。我们把这样的风险称为进度风险。
最后,自然灾害、电信故障等不可抗力所引起的风险也是电子政务不可忽视的风险。
(二)内部风险
内部风险是可控风险,对电子政务项目能否成功具有决定性作用。按风险的来源分析,内部风险主要包括三个维度:协调性风险,技术性风险,实施与运行风险。
第一,协调性风险。协调性风险是合作主体即电子政务实施单位和政府部门之间的矛盾所造成的。对目标的期望和认识不一致,责任与信息不对称,文化意识差异和沟通矛盾等问题都是这种风险存在的原因。由于国内电子政务建设实践时间不长,加上缺少深入研究和经验不足。难以真正把握其本质和发展规律。一些人简单地认为只有加大信息化投资就可以实现跨越式发展,只有建设业务系统就是信息化,只要实现了网络化、数字化就可以开展电子政务。这种对信息化和电子政务的片面认识,会导致忽视行政改革、盲目建设等问题。系统设计时未充分考虑政府部门间的相互影响,在实施过程中受到其它强力部门以不符合某方面规划等理由而提出系统更改要求;需要多部门配合的系统可能会涉及到某个或某几个部门的既得利益,在建设和推广过程中,项目可能会受到阻挠。实施单位与政府部门之间缺乏有效沟通而造成的理解偏差所引起的风险,实质上是文化意识差异或不同沟通方式矛盾的外在表现。
第二,技术性风险。技术性风险是由对实施方案、软件开发工具和技术的选择及对软件和硬件设备的采购等涉及技术层面的问题所引起的风险。规划是电子政务建设的基础和主要工作,但由于对电子政务认识的局限性以及目前的行政体制和投融资体制等原因,很多项目在没有总体规划的情况下,临时策划并建设,出现了项目目标模糊、贪大求全、急于求成、脱离需求等问题。即使制定了规划,也可能是多个项目的简单罗列,不能切实针对电子政务的阶段要求,结合区域经济社会发展需要,紧密配合行政业务改革,有系统、有层次、有选择地规划电子政务项目。不能统筹各类信息化资源,致使已建成项目的相关性、集成度存在不足,效率低下。另外,系统设计时,对一些问题没有预见,使得设计错误影响项目的实施。开发软件环境没有准备好或与实际环境不同,导致产品无法装载到运行环境,或因为运行环境和产品开发环境的差异,尤其是开发机器与服务器硬件配置存在差异,从而造成部署困难。
由于政府采购需要一定的时间周期,当系统需要上线时必需的设备、软件不能按时到货,采购的产品不能满足系统升级或兼容其他政务平台的要求,或在选择开发工具时没有考虑技术的发展趋势与其它开发工具的协作性,从而导致信息孤岛的出现。项目建设中,涉及到对旧有异构数据和系统的整合时,由于在实施前没有做充分调查,不了解相关技术细节、采用比较成熟和稳定的整合方案,并制定接口规范,使得整合后系统不能正常使用或运行不稳定。
第三,实施与运行风险。人员组合不恰当与变动造成团队涣散,项目审批与监理存在问题,实施与运营没有很好交接,双方的信息沟通不畅等问题,都会影响电子政务的建设与应用。在资金使用方面,由于缺乏对部门资金的有效监督,使得浪费严重,建设成本不断攀升,并出现了不断攀比建设规模的现象;另外,如果没有合理的成本分析,或没有考虑到优化开发或创新管理以减少成本,会使项目缺少后续资金;项目在建设和运行阶段资金被挪用,造成进一步建设和运行困难。电子政务项目的效益主要体现在内部办公效率、对外服务能力等社会效益方面,并且缺少有效的测评指标及办法,因而难以量化考评。由于上述原因,电子政务项目在应用效益、资金使用与控制方面产生了潜在的风险。在建设和实施电子政务的时候,可能会需要再造旧有的政务运作模式,组织架构业绩考评体系。如果不对政务流程进行优化、简化,可能造成已建成的电子政务平台得不到很好应用,甚至完全不能使用。项目组成人员流动比较频繁,交接不顺利或管理不到位,使项目的进度和质量受到影响。开发团队内部或多个开发团队之间沟通与协调不够,导致程序员对系统设计的理解上出现偏差。实施方与政府部门交接时,开发人员与维护人员没有全而细致的工作沟通,造成一定时期内的维护困难。当电子政务平台进入使用阶段后,不少项目存在稳定性、安全性、可靠性等方面的不足,随着部分业务广泛且深度地利用信息系统,系统的任何不稳定、不安全、不可靠运行,都可能造成损失。对信息资源没有有效开发,对政务信息没有
按照信息标准的要求或不及时,都会造成不良影响。在电子政务建设中。由于资金规模膨胀对部门有利,且缺少项目评价办法,造成项目评价越来越模糊,责任无从分清,更无法追究。结果,电子政务项目规模越来越大,而效益问题却越来越模糊。这种“大投入、软约束、轻责任”,权利和责任不对称的情况将进一步增加电子政务建设的风险。
三、应对措施
(一)主管部门应加强宣传,使政府部门工作人员树立“用电子、重政务”的观念,对电子政务的本质有准确把握,明白在电子政务中,电子是工具,政务是目的。在选择电子政务方案时,要以“重政务”的态度,采用效果评估的方式,对到底要通过电子政务压缩多少流程,提高多少服务以及如何调整下属各部门的职能等方面进行摸底,认真分析。
(二)将电子政务曲建设和实施制度化、流程化。建立项目沟通机制,做好电子政务项目的前期咨询工作,对项目做专业的前期评估,认真分析功能需求及经费需求。电子政务主要是政府的事情,要充分发挥政府在电子政务项目建设过程中的积极作用。
(三)制定严密的操作程序,确定项目审核标准,加强监理。规范采购行为,对实施企业的选择实行透明化操作,鼓励竞争,提高财政资金的使用效率。
(四)鼓励合理的政务运作模式,转变政府职能,不断完善和提高政府内部管理水平,促进建设责任政府、法制政府、服务型政府以及洁、高效、公正、透明的政府。
电子政务的安全风险范文第3篇
一.一钻研违景及意义
在网络愈来愈普及的今天,信息传布的效力愈来愈高,人们足不出户便能随时患上知外界即时产生的首要事件,网络的优势愈来愈显明。为了知足人民的需求,适应高速发展的信息化时期,提高办公效力,迅速处理政务事务,各政府已经经建成或者正在建设电子政务系统。各电子政务系统通过网络进行连接,构成了庞大的电子政务网络。电子政务网络的建成,有益于建立政府的威信,对于社会的繁华以及经济发展都拥有重大意义。电子政务网络是各党政机关办公、传递文件、处理事件的网络,是社会最症结的机构的首要工具,因其特殊性所以极容易受到不法份子的袭击。电子政务系统遭到袭击,不管是作用规模仍是严重程度上都会遭遇极大的影响。例如武汉市电子政务内网遭病毒沾染,整个网络瘫痪二四小时,对于社会造成为了严重影响。又例如英美等国家的情报人员通过截获网络数据的方式获取政府下达的首要决策及施行方案,对于国家安全造成为了严重的要挟。以上种种,都表明了对于电子政务网络安全性的保证,是电子政务建设的重中之重。电子政务网络的结构必需加以完美,这样才能保证系统运行的高效性以及持久性;数据传输进程必需釆用安全高效的加密方式,才能在传输速度不受显明影响的情况下,即便网络数据包被非法获取,有效信息也不会暴露。不仅要对于现有的网络进行改良,在不断发展以及建设的新型网络结构中,也要树立相应的安全规范,只有依照公道的规范进行网络建设,方能在方方面面从根本上保证电子政务网络的安全。
一.二国内外钻研现状
目前,国内外都组建了比较成型的电子政务网络,其中每一个子网络包含电子办公系统、数据存储系统、门户网站等等系统,各个子网络均拥有必定的安全措施,总体的政务网络也有相应的安全标准。自从一九九三年-1美国首先提出电子政务的概念,一九九六年美国率先开始建设电子政务系统以来,欧洲的英国、法国,美洲的加拿大、巴西,亚洲的日本、新加坡等经济发达国家接踵启动了建设电子政务网络的规划。电子政务网络的树立赐与上的1些国家不管从经济上仍是事务管理上都带来了优势,我国也对于电子政务网络也逐步注重起来。于是,在一九九九年一月,由中国电信与多家党政机关、部委进行联合,共同协商,开始建设电子政务网络,早期目标是实现各级政府在网络长进行互联,实现公然信息、官民互动、网上报税、远程服务等项目。仅仅1年时间,在全国规模内的各级党政机关、部委申请的域名就到达二四00多个,办公效力大大晋升,可见电子政务网络对于提高政务处理能力、实现管理水平现代化都拥有重大意义。对于屯子政务网络采用的安全措施是其高效持久运转的根本保证。每一个独立的系统,都拥有完全的安全部系;电子政务网络的总体,也拥有相应的安全技术。其中安全部系包含物理环境安全、网络环境安全、操作系统安全、利用系统安全以及系统的安全管理等。物理环境安全是指承载电子政务系统的装备所在物理环境的安全情况,包含路线铺设、机房防火情况等。网络环境安全是指系统所处的网络种别的安全性,分为单独布网以及共用同1网络等。操作系统安全是指承载装备所运行的操作系统的安全机能。利用系统安全是电子政务系统安全性的核心,它的安全性抉择了电子政务系统总体的安全机能。安全管理包含人员管理、数据管理、操作规范管理和相应法律法规的束缚等。安全技术包含身份认证、防火墙、入侵防护、网络隔离等。身份认证能够对于用户公道分类,不同级别的用户拥有不同的权限,保证走访安全。防火墙能够过滤病毒以及木马等拥有损坏性的歹意程序。入侵防护能够分析用户行动,对于正常操作进行维护而过滤掉歹意行动,如网络渗入、歹意重复走访等。网络隔离可以将不同安全级别的网络环境进行物理或者逻辑上的隔离,使安全级别较高的数据患上到更为严密的维护。
第2章电子政务内网网络结构分析
二.一电子政务网络整体框架分析
网络袭击手腕包含网络窃听、入侵窃密以及木马“摆渡”等法子。网络窃听是在未授权的情况下,侦听或者栏截网络通讯传输信道或者服务器、路由器等网络装备中转发的通讯信息,用于窃听的嗅探器安装于主要网络节点上。入侵窃密是应用系统的漏洞或者安全防护的薄弱环节,应用木马以及口令破解等手腕进入内部网络,栏截网络上传输的信息、袭击目标计算机或者盗取其中存储的信息。木马“摆渡”是1种比较隐蔽的非法获守信息手腕。将木马暗藏并植入挪动存储装备,在与计算机进行数据交流时沾染目标,然后在计算机中也会隐秘行迹,扫描系统症结文件并传送至挪动存储装备中或者通过网络发送到袭击人的地址。计算机硬件风险包含终端硬件风险以及网络互联装备风险。终端硬件风险是计算机在制造以及使用进程中,因为技术或者人为缘由,存在必定安全漏洞。软件病毒应用计算机硬件的漏洞可以直接损坏计算机硬件系统,比如1度獗的CIH病毒就是比较典型的例子。CIH应用主板设计时留下的漏洞,通过向BIOS写入垃圾信息,致使某个型号主板完整破坏,造成为了硬件的损坏。网络连装备风险有播送风暴现象危及网络安全、安全保密度不高、网络互连装备的转发策略引发数据丢失、动态路由风险、IP冒用风险、远程保护漏洞。
电子政务的安全风险范文第4篇
关键词:信息安全管理 等级保护 数据采集 日志管理
中图分类号:TP39 文献标识码:A 文章编号:1672-3791(2015)11(c)-0007-02
我国电子政务建设正处在高速发展期,从中央到省市各级政府部门都投入了大量的人力和财力来推进信息化工作。电子政务公共平台的顶层设计和实施建成,较大程度地提高了政府信息政务公开和共享等的工作效率和服务质量。电子政务公共平台稳定和安全运行已经构成了政府运转连续性的重要保障之一。 因此,电子政务公共平台的安全保障工作已经成为政府信息化工作成败的关键因素。信息安全的管理需要在各个层面为电子政务提供机密性、完整性、可用性、鉴别等安全服务。该文基于信息安全等级保护,从安全基础设施、访问控制策略、安全防御、安全监控、安全审计和安全响应恢复等研究信息安全研究电子政务的安全管理体系。从而从整体上提高电子政务公共平台信息安全管理全面性。
1 研究思路
基于电子政务公共平台服务的战略定位、统筹规划和实施路径的总体把握,按照基于等级保护技术要求,并根据电子政务信息化服务业务安全需求,为信息化综合服务提供安全支撑服务,从而使得平台可以安全、稳定、可连续的进行信息化服务。重点保护基础信息网络和重要信息系统安全,实现信息安全服务支撑工作的有效安全技术和管理措施要求,以实现信息安全等级保护实施的重大的现实和战略意义。
2 总体设计目标
(1)电子政务公共平台安全管理建设的总体目标是统一技术标准,共建共享信息安全基础设施,建立统一的公共密钥基础设施(PKI),实现跨系统的身份认证机制等。
(2)解决传统信息化系统建设中,电子政务公共平台基础设施、信息资源与业务系统因所有权、使用权和管理权界定不清晰,存在基础设施和业务应用的管理权限难以分离管理,责任权限过大或者过小,造成设备利用率不高,或容易出现信息安全事件的情况。
(3)解决不同的政府部分因不同的职能/服务导致的电子政务基础设施和资源的重复建设和资金浪费问题。
(4)解决信息化综合服务的安全服务支撑,实现各级信息系统的授权管理、认证服务、鉴别服务、访问控制和数据防护的安全服务支撑,最终实现各级信息系统互联互通的信息化服务。
3 设计分析
3.1 设计思路
(1)电子政务公共平台安全管理建设统一管理电子政务边界安全防护系统,集中建设互联网接入点,实现部门互联网的安全接入和可管可控可剥离等。
(2)电子政务公共平台安全管理基于安全技术体系下,根据各自信息安全等级,建设、升级、完善安全系统等。
(3)电子政务公共平台安全管理中心系统将不同位置、不同安全系统中分散且海量的单一安全事件进行汇总、过滤、收集和关联分析,以全局角度分析信息安全风险和信息安全事件,形成分层次分区域的安全策略,以对安全事件进行响应和处置的综合性信息安全管理平台。
(4)电子政务公共平台安全管理是一个跨系统、跨部门的综合信息系统,由虚拟资源管理系统、数据挖掘与智能浏览、虚拟资源隔离系统、信息资源目录与交换系统、基于SOA的业务协同、多元数据融合与集成系统、数据库资源整合与综合应用、多级数据交换系统、信息服务资源运营管理平台、信息化综合服务管理平台信息中心构成的完整独立体系构成等。
(5)电子政务公共平台信息安全管理是按照其保障工作流程,依次分为数据采集层、分析层、展示层等。
(6)电子政务公共平台安全管理设计研究多种分类的数据接口,一方面满足与用户已有或后续建设的其他管理系统或平台集成整合,另一方面,安全管理中心还提供了相关数据接口和配置接口,可对相关安全产品进行统一配置和管理等。
(7)电子政务公共平台安全管理的数据采集层针对重要信息系统进行信息安全数据采集,包括关键业务系统环境相关的网络设备、主机、安全产品等信息。
(8)电子政务公共平台安全管理的分析层是安全运行管理的核心,负责对数据采集的信息进行分析处理,并对相关的信息安全风险和信息安全事件进行预警和响应等。
(9)电子政务公共平台主要功能包括了安全监控、预警、告警、响应、信息安全策略管理和系统管理等。
(10)电子政务公共平台安全管理的数据展示层提供了安全运行管理可视化界面,分为管理员界面和为客户提供的可视化界面。管理员通过管理界面,对电子政务公共平台整体信息安全态势、管理和配置进行管理操作,主要包括网络、系统运行、事件报警等展示和策略配置管理;为电子政务服务提供定制化全网的安全信息和安全状态分析展示,包括风险预警、告警事件、故障分析、策略、报表报告等数据分析和展示功能等。
3.2 设计模型
(1)电子政务公共平台安全管理中心系统。
①组成:数据采集层、数据和业务管理层、数据展示层等;
②通过数据接口连接外部产品管理接口,诸如,实时数据接口、文件接口、数据库接口、其他接口等。
(2)电子政务公共平台安全管理中心系统数据展示层。
①风险展现管理:包括,拓扑展示、运行状态、实时性能、风险预警、告警事件、故障分析、策略、报表报告等。
②通过采集探针Probe整合,以Portal的方式进行多系统数据展示整合。
(3)电子政务公共平台安全管理中心系统分析层。
①分析层是安全运行管理平台的核心,由信息安全核心服务器和数据库构成等。
②负责对前端信息安全数据采集的风险点进行分析,并对根据信息安全策略对安全目标进行预警和响应等。
③负责安全监控、预警、告警、响应、信息安全策略管理和系统管理等。
④组成:应用引擎平台、业务逻辑子层、数据逻辑子层、资源管理(KBP)、数据管理(KPI)、南向适配(配置、性能、事件数据元素整形适配器)、采集调试管理等。
⑤业务逻辑子层通过工单交互、知识库交互等,与企业整体的运维管理系统实现双向接口等。
⑥数据逻辑子层通过CMDB复用等,以统一CMDB的形式与网管、运维系统整合等。
(4)电子政务公共平台安全管理中心系统采集层。
①数据采集层针对重要信息系统进行信息安全数据采集,包括关键业务系统环境相关的网络设备、主机、安全产品等信息。
②设计部署采集管理控制台统一进行信息采集,并设计采集任务分发给相对应的采集点。
③设计可定制化的采集的策略,包括采集范围对象、采集频度、采集数量等。
3.3 数据模型分析
数据采集层设计采用以下网络协议进行数据采集,列举主要的安全管理中心应用的协议和技术实施例。
4 研究案例与成果
信息安全保障技术是为管理做技术支持,管理和技术并重。信息安全管理的策略设计与运行实施才是安全管理落地的根本,从运行和维护的信息安全角度,总结信息安全管理主要工作主要包括了:(1)建立完善的电子政务服务身份认证和访问控制机制,规范管理电子政务服务信息安全标准规范和相关协议的合规性作业流程;(2)信息安全的管理运行分级分域进行信息安全管理,即采取分级控制和按业务类型重要程度分域的管理,并对运维人员的职责范围明确划分;(3)设立以政府为主导的第三方监督审计机构,对电子政务服务安全性、合规性监督测评;(4)定期开展信息安全培训,加强人员的信息安全意识,健全内部机制,增强政府服务的安全防范意识和风险管理能力。
5 结语
该文研究信息安全管理系统满足电子政务业务的安全事件集中收集和处理能力,构筑了基于资产安全属性(CIA)和安全域的业务安全风险管理体系,通过关联分析和客户化关联分析规则定义,实现准确的事件定位,形成了统一的安全知识共享体系,可实现多级不同管理模式的功能,具备安全管理中心的高容错性、高可用性和高冗余可靠性。该研究成果具有良好安全管理中心的可扩展性,包括多级扩展、功能扩展,满足级保护三级―― 监督保护级要求,并遵循《关于印发的通知》(国信办【2006】9号)进行资产、弱点、威胁和采取的控制措施进行评估的要求。
参考文献
[1] 周晓斌,董瑞阳.电子政务信息安全十大问题[N].计算机世界,2009-06-29.
电子政务的安全风险范文第5篇
一、电子文件形成阶段风险分析
电子文件在形成过程中,存在着方方面面的风险,这些风险的来源,有来自领导决策层在传达文件内容的时候,也有文件制作者起草文件的时候,亦有文件审核人员或机构对文件进行审核的时候,在贯穿文件形成的整体过程中,每一个环节,都有可能造成电子文件质量方面的缺损,如文件制作者弄虚作假、审核责任人没有认真审核文件内容的真实性等等,这些风险因素造成了文件在形成过程中的不真实、不准确、不完整、不可读、不可用、不及时、失密、不一致的风险后果,而电子文件若想长久保存,必须满足真实、准确、完整、可读、可用、及时、保密、一致的质量要求,文件形成过程中存在的风险因素,所造成的风险后果,必然威胁着电子文件的长久保存目的。
从文件整个生命周期来看,电子文件形成阶段的风险,直接影响了其后续阶段即流转、保存阶段的文件使用情况及保存状态。对于电子文件而言,其生命周期前期的风险对于后期的影响更大更直接一些。而在实际情况中,电子文件的阶段性是比较模糊的,很有可能文件在形成之后就开始进行有效的保存。这就导致电子文件前方的风险会迅速传导至文件后方,即文件形成阶段的一些性状和问题直接“遗传”给了保存阶段,电子文件在形成阶段的风险因素所造成的后果――有文件的不真实、不准确、不完整、不可读、不可用等等质量缺损。这些风险后果和文件长久保存的质量目标完全相反,势必会威胁文件长久保存的目的。电子文件形成阶段风险与长久保存的关系如下图1所示:
二、电子文件形成阶段风险应对策略
根据以上文件形成过程中的系统性风险,我们要加以防范,分清轻重缓急,以使得利用有效的人力财力物力资源,来达到规避、消除风险的目的。
电子文件形成阶段的风险应对是通过对各种风险因素的管理,规避风险事故的发生,以确保电子文件形成过程中的真实性、准确性、完整性、可读性、可用性等。从电子文件形成阶段的风险识别结果来看,威胁电子文件质量的风险因素分布广泛。不仅有人员因素、还有基于电子政务特殊要求的网络平台因素及应用系统因素。故而电子政务环境下文件风险应对策略的研究应是一项综合性、全方位的系统工程,只有建立从外部用户到内部形成人员,从技术、管理到制度等多方位的风险应对体系,才能有效的防范和控制风险,进而达到长久保存的目的。
(一)电子文件风险应对体系的理论模型
根据风险识别得出的结论,引发电子文件风险的因素多种多样,无论是哪个类别的风险,都来自多个层次、多个领域。为了有效防范和控制风险,提高其管理质量,必须构筑起全方位的应对体系,关系到电子文件形成人员、应用系统、硬件设备、网络环境、规章制度、外部用户等多个方面。以风险识别的结果为依据,我们构造出其应对体系的理论模型,如下图2所示。整个应对体系包括两大领域、两类手段、两个关键点和三种策略。
(二)应对领域
按照应对措施涉及的范围,可以将电子文件风险应对体系划分为两大领域:外部领域和内部领域。
1.外部领域
外部领域的风险应对体系指的是政府机构所处的社会环境领域,风险应对包括两个方面:一是网络环境方面,由于电子政务是一个多级、多个政府网络协调工作的大型网络,因此,整个网络极易受到来自各个不同网络的安全威胁。比如网络系统传播导致的系统不稳定。风险应对主要就是基于这些安全威胁来说的,主要采用的是技术方法,即防火墙安全技术、网络扫描技术等;二是外部用户方面,外部用户通过网络平台非法入侵政府机构系统内部,对文件进行恶意删改,或采用解密软件对文件进行解密读取,对于外部用户风险因素的防范主要采取用户身份认证技术、网络漏洞扫描技术等应对措施。通过这些外部领域的风险应对,旨在为政府机构内部人员在形成文件时,提供一个安全可靠的外部环境。因此,外部领域的风险应对是应对体系的保障。
2.内部领域
内部领域的电子文件风险应对体系在政府机构内部运作,主要应对的是文件相关形成人员、机构内部其他人员、规章制度、硬件设备及应用系统类风险因素。它不仅包括每一个文件形成成员的风险应对,以及制定规章制度、网络维护和系统管理等方面人员的风险应对,还包括硬件设备的维护、应用系统漏洞修复、采用身份认证技术等系统平台的风险应对。内部层次的风险应对是应对体系的核心。
(三)应对手段
电子文件的风险应对是一个错综复杂、涵盖面广的系统工程,不仅需要技术支撑,更需要相关人员对其进行有效的管理。技术和管理是相互穿插、互相影响的两种方法,只有这两大类专业手段携手合作,才能共同实现风险应对的目的。
1.技术手段
在电子政务环境下,从技术管理的角度应对电子政务中文件形成阶段的风险,或者说应对可能对文件长久保存造成威胁的风险因素,无疑是风险应对的主要内容。比如,备份是重要的电子文件风险应对办法,它可以保证文件在丢失或者遭到恶意篡改之后能够及时的得以“恢复原貌”进而不影响继续开展的目的;又如用户身份认证技术可以有效的阻止非法用户对文件的访问,进而保证了文件的真实、完整、保密等特性。
技术手段包括技术产品和技术应用两种,技术产品方面如安全可靠的电子政务系统,电脑、主机类硬件设施以及相关载体质量符合要求等;技术应用方面如入侵检测技术、身份认证技术、加密解密技术、防火墙、数字签名技术等。
2.管理手段
在对电子文件进行有效维护过程中,更加倡导的是“三分技术、七分管理”。一般认为引导技术应用、保障技术应用成果的非技术力量往往比技术应用本身更加有效。技术应用要依靠管理手段才能发挥出应有的功能,比如网络安全管理人员定期对系统进行杀毒,如果网络安全管理员不按规定操作,无论杀毒软件多么新颖、系统平台多么稳定都不能杜绝风险。因此,在政府电子文件的管理过程中,管理因素比技术因素更为重要。如果说技术对于文件风险的防范与控制是电子文件风险应对的基础,那么管理手段对于文件风险的防范与控制则是电子文件风险应对的支柱。
电子政务环境下,电子文件进行有效管理的手段包括:相关人员对政务系统、相关软硬件平台的定期维护及检查、政府机构制定的文件管理规章制度及操作规范、对机构内部文件形成人员的生成流程规范、政府机构人员的职责权限规定等等。
(四)应对关键点
电子政务环境下,电子文件在形成阶段要加强两个方面的风险应对,一个是“人”的方面,由于文件形成阶段的特殊性,文件相关形成人员在文件的形成过程中扮演主导作用,不仅有形成人员,还包括机构内部其他人员、外部用户等等,都会对电子文件的形成造成非常重要的影响,因此,加强对来自“人”的风险的应对是必须的,不仅要针对外部非法用户制定防护措施,更要加强内部人员的管理、监督。尤其是文件形成人员。还有一个是“文”的方面,即文件本身的风险,导致文件风险的来源有政务系统、相关软硬件平台、网络环境以及人为操作,都是造成文件风险的“元凶”,这就需要电子政务系统能够真实准确的记录电子文件形成的全过程,而且必须严密监察系统漏洞、黑客攻击、非法访问等风险因素,并通过数字签名、身份认证、加密技术等技术手段来确保电子文件内容的真实性。这不仅对系统所应具有的功能的详细阐述,更是对相关管理人员提出了更高的操作要求。因此,对文件自身风险的应对也是一个主要方面,要确保文件符合质量要求。因此,在形成阶段应对电子文件风险,无论是从哪个领域,采用哪种手段,“人”和“文”始终都是其出发点和最终落脚点,是风险应对具体的实现手段。
(五)应对策略
在电子政务环境下,对风险进行管理的基本目标是以最小的费用支出,来达到最大限度的消除、转移、分散电子文件风险的目的,以实现电子文件长久保存、保障民众获取政务信息及维护社会记忆的目的。根据风险管理的基本原理,电子文件风险应对又可以分为以下三种情况:
1.损失发生前的风险应对策略――以规避或减少风险事故的发生机会为主要措施;
2.损失发生过程中的风险应对策略――使风险事故的发展规模尽可能得到控制并缩小,尽可能减少因风险事故造成的损失;
3.损失发生后的风险应对策略――基于成本考虑,尽可能的使损失恢复到发生前的正常状态。
目前,这三种情况在我国政府机构内部都是存在的。一般认为,在实际损失发生前,就对有可能造成损失的风险因素加以防范、规避,是最简单也是所需花费最小的一种情况。越往后,其所花费的成本就越高,越难恢复。因此,在电子文件形成阶段就开始对有可能造成损失的风险因素提前加以防范,是必要的。
本文站在电子政务的全局视角,着眼于电子文件的形成阶段,研究文件形成过程中面临的各类风险,通过对电子文件形成阶段风险识别及关键性风险的分析,初步构建了一个覆盖内、外部领域,通过管理和技术手段来应对风险的全方位、基于形成阶段的风险应对体系。
