公務(wù)員期刊網(wǎng) 精選范文 電子政務(wù)的安全風(fēng)險范文

電子政務(wù)的安全風(fēng)險精選(九篇)

前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的電子政務(wù)的安全風(fēng)險主題范文,僅供參考,歡迎閱讀并收藏。

電子政務(wù)的安全風(fēng)險

第1篇:電子政務(wù)的安全風(fēng)險范文

【關(guān)鍵詞】電子政務(wù)系統(tǒng);安全體系結(jié)構(gòu);分域防護(hù)

信息技術(shù)的普及與應(yīng)用推動著當(dāng)前電子政務(wù)蓬勃發(fā)展,雖然電子政務(wù)有諸多便利,但也承受著巨大的安全威脅,解決威脅其發(fā)展的安全風(fēng)險,對于電子政務(wù)更好的發(fā)揮服務(wù)優(yōu)勢有積極意義。下面我們在分析電子政務(wù)安全風(fēng)險的基礎(chǔ)上,探討基于分域防護(hù)思想安全體系結(jié)構(gòu)的設(shè)計與建立。

一.電子政務(wù)安全風(fēng)險分析

電子政務(wù)是傳統(tǒng)政務(wù)模式的延伸與轉(zhuǎn)化,事關(guān)國家政務(wù)信息安全,政務(wù)系統(tǒng)運(yùn)行中容易受到來自外界的各類風(fēng)險因素的安全威脅,造成有意或無意的破壞,因此必須加強(qiáng)安全體系建設(shè),保障信息安全與應(yīng)用安全。電子政務(wù)的安全風(fēng)險主要包括通信風(fēng)險、物理風(fēng)險、應(yīng)用風(fēng)險、管理風(fēng)險、區(qū)域邊界風(fēng)險及其他風(fēng)險等。通信風(fēng)險來自于各類重要數(shù)據(jù)的泄露與丟失,來自通信傳輸線路上的監(jiān)聽與阻攔,數(shù)據(jù)本身完整性、安全性受到攻擊威脅。物理風(fēng)險是電子政務(wù)系統(tǒng)遭受來自自然災(zāi)害如風(fēng)雨雷電地震等破壞,硬件設(shè)備受損造成數(shù)據(jù)都是活著損壞,靜電、強(qiáng)磁場與電磁鐳射等損壞存儲介質(zhì),數(shù)據(jù)被偷竊或監(jiān)聽。應(yīng)用風(fēng)險是不斷動態(tài)變化的,其所遭受的風(fēng)險如程序后門、病毒威脅與惡意代碼攻擊等都是動態(tài)變化著的。電子政務(wù)系統(tǒng)作為一個復(fù)雜的集成系統(tǒng),除去需要安全技術(shù)手段予以保駕護(hù)航之外,有效得當(dāng)?shù)墓芾聿拍苁掳牍Ρ?,管理不?dāng)包括口令、密鑰管理不當(dāng),管理制度不完善造成信息無序運(yùn)行,安全崗位設(shè)置及管理不到位,管理環(huán)節(jié)缺失或遺漏,政務(wù)審計系統(tǒng)與制度不到位等,以上這些管理不當(dāng)都會造成安全風(fēng)險[1]。區(qū)域邊界風(fēng)險是電子政務(wù)系統(tǒng)中不同安全等級區(qū)域之間的最易發(fā)生危險的區(qū)域邊界處,區(qū)域邊界不明確會導(dǎo)致高等級數(shù)據(jù)信息泄露,流向低等級造成泄露,或者邊界防護(hù)漏洞導(dǎo)致用戶非法訪問或竊取高等級區(qū)域信息,損壞數(shù)據(jù)完整性、真實性與可用性。其他安全風(fēng)險諸如安全意識淡漠、系統(tǒng)運(yùn)行風(fēng)險、信息安全戰(zhàn)略認(rèn)識不足等,都會導(dǎo)致電子政務(wù)系統(tǒng)運(yùn)行威脅。

二、基于分域防護(hù)思想的電子政務(wù)系統(tǒng)安全體系結(jié)構(gòu)設(shè)計

圖1電子政務(wù)安全體系結(jié)構(gòu)

電子政務(wù)系統(tǒng)作為服務(wù)于政府公務(wù)的重要支持系統(tǒng),安全防護(hù)體系建設(shè)必須兼顧到系統(tǒng)本身的應(yīng)用性、開放性等需求,遵循適度安全原則,解除其面臨安全威脅,將政務(wù)系統(tǒng)劃分為不同安全域,并針對各個安全域特點實施針對性安全舉措。分域防護(hù)的應(yīng)用有利于明確安全責(zé)任,消除政務(wù)互聯(lián)網(wǎng)開放顧慮與障礙,便于科學(xué)組織與安全建設(shè)。基于分域防護(hù)思想,電子政務(wù)系統(tǒng)可根據(jù)系統(tǒng)本身特點、安全需求、環(huán)境重要性進(jìn)行劃分,系統(tǒng)方面可分為政務(wù)內(nèi)網(wǎng)、外網(wǎng)與互聯(lián)網(wǎng),安全需求可分為通信傳輸安全、邊界安全與環(huán)境安全,環(huán)境重要性可劃分為核心域、重要域與一般域[2]。不同安全區(qū)域內(nèi),根據(jù)防護(hù)要求利用身份認(rèn)證、訪問控制、病毒防護(hù)、安全審計等諸多措施保障信息安全,配合軟硬件基礎(chǔ)設(shè)施與管理平臺共同打造高效運(yùn)行的安全體系。電子政務(wù)安全體系結(jié)構(gòu)見圖1。

分域防護(hù)思想指導(dǎo)下根據(jù)政務(wù)系統(tǒng)職能特點可劃分為政務(wù)內(nèi)網(wǎng)、外網(wǎng)與互聯(lián)網(wǎng)絡(luò)三類。政務(wù)內(nèi)網(wǎng)是政府用于辦公的內(nèi)部局域網(wǎng),主要處理一些保密等級較高的數(shù)據(jù)業(yè)務(wù)和網(wǎng)上辦公事項,與外網(wǎng)鏈接,主要由信息處理、存儲、傳輸設(shè)備構(gòu)成,是政務(wù)核心處理區(qū)域和主要運(yùn)行平臺,與外網(wǎng)間實施物理隔離。外網(wǎng)主要服務(wù)政府各類政務(wù)部門,如法院、檢察院、政府、政協(xié)、黨委等,是業(yè)務(wù)專網(wǎng),運(yùn)行主要面對社會公眾,處理一些無需內(nèi)網(wǎng)處理的低保密等級公物,與互聯(lián)網(wǎng)之間實施邏輯隔離。互聯(lián)網(wǎng)作為公共性質(zhì)的開放網(wǎng)站,向公眾提供各類服務(wù),比如政務(wù)信息、收集群眾意見反饋及接受公眾監(jiān)督等。

分域防護(hù)安全結(jié)構(gòu)中,根據(jù)環(huán)境重要性分為核心域、重要域與一般域。核心域是安全等級最高的政務(wù)系統(tǒng)核心區(qū)域,需要提供最嚴(yán)密的安全防護(hù)措施以保護(hù)機(jī)密等級最高的數(shù)據(jù),做好其存儲與安全管理。重要域是次安全等級區(qū)域,是國家政府部門各類政務(wù)信息交雜處理區(qū)域,需實施嚴(yán)密防護(hù)。一般域是安全等級較低的防護(hù)區(qū)域,公開性顯著,提供各類公開政務(wù)信息與數(shù)據(jù)服務(wù),防護(hù)關(guān)鍵在于保障數(shù)據(jù)的公開性、真實性、完整性與可用性。

分域防護(hù)安全結(jié)構(gòu)中,安全方面主要以邊界安全、通信傳輸安全和環(huán)境安全為主。通信傳輸安全關(guān)系到政府內(nèi)網(wǎng)、外網(wǎng)與互聯(lián)網(wǎng)之間的信息傳輸與溝通,安全防護(hù)既要保障數(shù)據(jù)的傳輸通常,又要避免來自外界的惡意攻擊,保證傳輸數(shù)據(jù)的完整性、真實性與可用性[3]。網(wǎng)絡(luò)環(huán)境安全則是系統(tǒng)自身計算環(huán)境安全域數(shù)據(jù)安全,即處理各個層次數(shù)據(jù)時有不被泄露、攻擊和篡改的風(fēng)險。邊界防護(hù)安全則是不同等級安全域之間數(shù)據(jù)信息交換時不會出現(xiàn)由高向低或者由低向高的安全閥縣漏洞,不會出現(xiàn)數(shù)據(jù)的泄露、流失與非法訪問。

信息安全管理平臺是安全體系結(jié)構(gòu)中技術(shù)得以發(fā)揮作用的基礎(chǔ),關(guān)系到整個信息平臺能否順利運(yùn)轉(zhuǎn),是防護(hù)關(guān)鍵,管理平臺上要配備合適人員,加快標(biāo)準(zhǔn)化制度建設(shè),提供規(guī)范制約、法律支持等,配合各類信息安全基礎(chǔ)設(shè)施在政務(wù)系統(tǒng)保護(hù)中發(fā)揮作用。

綜上所述,電子政務(wù)系統(tǒng)的發(fā)展和應(yīng)用中承受著來自內(nèi)外的眾多安全威脅,利用分域防護(hù)思想可有效劃分不同安全域,針對各個安全域特點實施針對性安全舉措,解除其面臨的安全威脅,有利于明確安全責(zé)任,消除政務(wù)互聯(lián)網(wǎng)開放顧慮與障礙,便于科學(xué)組織與安全建設(shè)。

參考文獻(xiàn):

[1]呂欣.信息通信新技術(shù)環(huán)境下電子政務(wù)安全保障[J].信息網(wǎng)絡(luò)安全.2010(02).

第2篇:電子政務(wù)的安全風(fēng)險范文

1.1安全風(fēng)險評估應(yīng)用模型三階段。

在電子政務(wù)系統(tǒng)設(shè)的實施過程,主要分為規(guī)劃與設(shè)計階段、建設(shè)與實施階段、運(yùn)行與管理階段等三個階段。其中,安全風(fēng)險分析主要作用于規(guī)劃與設(shè)計階段,安全等級評估主要作用于建設(shè)與施工階段,安全檢查評估主要作用于運(yùn)行與管理階段。安全風(fēng)險分析,主要是利用風(fēng)險評估工具對系統(tǒng)的安全問題進(jìn)行分析。對于信息資產(chǎn)的風(fēng)險等級的確定,以及其風(fēng)險的優(yōu)先控制順序,可以通過根據(jù)電子政務(wù)系統(tǒng)的需求,采用定性和定量的方法,制定相關(guān)的安全保障方案。安全等級評估,主要由自評估和他評估兩種評估方式構(gòu)成。被評估電子政務(wù)系統(tǒng)的擁有者,通過結(jié)合其自身的力量和相關(guān)的等級保護(hù)標(biāo)準(zhǔn),進(jìn)行安全等級評估的方式,稱為自評估。而他評估則是指通過第三方權(quán)威專業(yè)評估機(jī)構(gòu),依據(jù)已頒布的標(biāo)準(zhǔn)或法規(guī)進(jìn)行評估。通過定期或隨機(jī)的安全等級評估,掌握系統(tǒng)動態(tài)、業(yè)務(wù)調(diào)整、網(wǎng)絡(luò)威脅等動向,能夠及時預(yù)防和處理系統(tǒng)中存在的安全漏洞、隱患,提高系統(tǒng)的防御能力,并給予合理的安全防范措施等。若電子政務(wù)網(wǎng)絡(luò)系統(tǒng)需要進(jìn)行較大程度上的更新或變革,則需要重新對系統(tǒng)進(jìn)行安全等級評估工作。安全檢查評估,主要是在對漏洞掃描、模擬攻擊,以及對安全隱患的檢查等方面,對電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)測,并給予解決問題的安全防范措施。

1.2安全風(fēng)險分析的應(yīng)用模型。

在政府網(wǎng)絡(luò)安全風(fēng)險評估工作中,主要是借助安全風(fēng)險評測工具和第三方權(quán)威機(jī)構(gòu),對安全風(fēng)險分析、安全等級評估和安全檢查評估等三方面進(jìn)行評估工作。在此,本文重點要講述的是安全風(fēng)險分析的應(yīng)用模型。在安全風(fēng)險分析的應(yīng)用模型中,著重需要考慮到的是其主要因素、基本流程和專家評判法。

(1)主要因素。

在資產(chǎn)上,政府的信息資源不但具有經(jīng)濟(jì)價值,還擁有者重要的政治因素。因此,要從關(guān)鍵和敏感度出發(fā),確定信息資產(chǎn)。在不足上,政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng),存在一定的脆弱性和被利用的潛在性。在威脅上,政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)受到來自內(nèi)、外部的威脅。在影響上,可能致使信息資源泄露,嚴(yán)重時造成重大的資源損失。

(2)基本流程。

根據(jù)安全需求,確定政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險等級和目標(biāo)。根據(jù)政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)和應(yīng)用需求,實行區(qū)域和安全邊界的劃分。識別并估價安全區(qū)域內(nèi)的信息資產(chǎn)。識別與評價安全區(qū)域內(nèi)的環(huán)境對資產(chǎn)的威脅。識別與分析安全區(qū)域內(nèi)的威脅所對應(yīng)的資產(chǎn)或組織存在的薄弱點。建立政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險評估方法和安全風(fēng)險等級評價原則,并確定其大小與等級。結(jié)合相關(guān)的系統(tǒng)安全需求和等級保護(hù),以及費(fèi)用應(yīng)當(dāng)與風(fēng)險相平衡的原則,對風(fēng)險控制方法加以探究,從而制定出有效的安全風(fēng)險控制措施和解決方案。

(3)專家評判法。

在建設(shè)政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的前期決策中,由于缺少相關(guān)的數(shù)據(jù)和資料,因此,可以通過專家評判的方法,為政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)提供一個大概的參考數(shù)值和結(jié)果,作為決策前期的基礎(chǔ)。在安全區(qū)域內(nèi),根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)(即物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層、數(shù)據(jù)層、用戶層),應(yīng)用需求和安全需求劃分的安全邊界和安全區(qū)域,建立起風(fēng)險值計算模型。通過列出從物理層到用戶層之間結(jié)構(gòu)所存在的薄弱點,分析其可能為資產(chǎn)所帶來的影響,以及這些薄弱點對系統(tǒng)薄弱環(huán)節(jié)外部可能產(chǎn)生的威脅程度大小,進(jìn)而通過安全風(fēng)險評估專家進(jìn)行評判,得到系統(tǒng)的風(fēng)險值及排序。在不同的安全層次中,每個薄弱環(huán)節(jié)都存在著不同程度的潛在威脅。若是采用多嵌套的計算方法,能夠幫助計算出特定安全區(qū)域下的資產(chǎn)在這些薄弱環(huán)節(jié)中的風(fēng)險值。

2結(jié)語

第3篇:電子政務(wù)的安全風(fēng)險范文

關(guān)鍵詞:政府網(wǎng)絡(luò)安全;網(wǎng)絡(luò)安全;風(fēng)險評估;應(yīng)用模型;電子政務(wù)

中圖分類號:TP393.08

在新的發(fā)展環(huán)境下,開放和互聯(lián)的網(wǎng)絡(luò)時代給各種信息資源的流通帶來了便利的同時,也帶來了安全隱患。尤其是政府部門的電子政務(wù)信息資產(chǎn),若是受到非法使用,不但會對政府部門造成資源損失,甚至?xí){到國家、單位部門和個人的安全。因此,對政府網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全風(fēng)險評估,不但能夠有效地預(yù)防和解決潛在的威脅,而且能夠保障整個政府網(wǎng)絡(luò)系統(tǒng)的安全,促進(jìn)政府網(wǎng)絡(luò)建設(shè)的發(fā)展。

1 政府網(wǎng)絡(luò)安全風(fēng)險評估的方法

在電子政務(wù)信息系統(tǒng)的建設(shè)和運(yùn)行過程中,需要進(jìn)行網(wǎng)絡(luò)安全防御的相關(guān)措施,以防止系統(tǒng)中存在的漏洞、隱患,以及人為或非人為因素引起的風(fēng)險對系統(tǒng)的影響。因此,采取安全風(fēng)險評估的方法,通過安全風(fēng)險評估的相關(guān)技術(shù)的支持,對系統(tǒng)的設(shè)備及數(shù)據(jù)進(jìn)行分析、確定等級和檢查,是有效防范這些情況發(fā)生的重要措施。

政府網(wǎng)絡(luò)安全風(fēng)險評估的方法主要有安全風(fēng)險分析、安全等級評估和安全檢查評估等三種。

1.1 安全風(fēng)險分析。在進(jìn)行政府網(wǎng)絡(luò)安全風(fēng)險評估的前期工作中,主要是通過建立評估數(shù)據(jù)模型的方式進(jìn)行安全風(fēng)險分析。其中,主要是根據(jù)概率分布、外推法、矩陣圖分析、風(fēng)險發(fā)展趨勢評價方法、假設(shè)前提評價及數(shù)據(jù)準(zhǔn)確度評估等方法,并通過專家評估預(yù)測和相關(guān)歷史數(shù)據(jù)對指標(biāo)的選取和數(shù)據(jù)的采集,估算政府網(wǎng)絡(luò)安全系統(tǒng)所存在的風(fēng)險。

1.2 安全等級評估。在此階段,主要是在政府的電子政務(wù)系統(tǒng)建成或是運(yùn)行的過程中,由第三方權(quán)威機(jī)構(gòu)采取強(qiáng)制或非強(qiáng)制的方式,對政府網(wǎng)絡(luò)安全進(jìn)行定期安全等級評估,從而確定政府網(wǎng)絡(luò)系統(tǒng)在建成后,或是在系統(tǒng)更新后是否達(dá)到防范風(fēng)險的可靠級別。

1.3 安全檢查評估。在此階段,主要采用專門的模擬攻擊、漏洞掃描等方式,對政府電子政務(wù)(包括網(wǎng)絡(luò)設(shè)備、服務(wù)器、客戶機(jī)、數(shù)據(jù)庫和應(yīng)用系統(tǒng)等)進(jìn)行安全檢查,找出其中可能存在的安全隱患并提供掃描后的相關(guān)數(shù)據(jù),給予政府電子政務(wù)安全檢查評估。在安全檢查評估中,主要運(yùn)用到基于主機(jī)的(硬件系統(tǒng))和基于網(wǎng)絡(luò)的(軟件系統(tǒng))兩種技術(shù)。通過安全檢查評估,能夠起到預(yù)防網(wǎng)絡(luò)系統(tǒng)中存在的隱患的作用,并提供科學(xué)有效的解決措施,從而更進(jìn)一步提高網(wǎng)絡(luò)安全的整體水平。

2 政府網(wǎng)絡(luò)安全風(fēng)險評估的模型與應(yīng)用

2.1 安全風(fēng)險評估應(yīng)用模型三階段。在電子政務(wù)系統(tǒng)建設(shè)的實施過程,主要分為規(guī)劃與設(shè)計階段、建設(shè)與實施階段、運(yùn)行與管理階段等三個階段。其中,安全風(fēng)險分析主要作用于規(guī)劃與設(shè)計階段,安全等級評估主要作用于建設(shè)與施工階段,安全檢查評估主要作用于運(yùn)行與管理階段。

安全風(fēng)險分析,主要是利用風(fēng)險評估工具對系統(tǒng)的安全問題進(jìn)行分析。對于信息資產(chǎn)的風(fēng)險等級的確定,以及其風(fēng)險的優(yōu)先控制順序,可以通過根據(jù)電子政務(wù)系統(tǒng)的需求,采用定性和定量的方法,制定相關(guān)的安全保障方案。

安全等級評估,主要由自評估和他評估兩種評估方式構(gòu)成。被評估電子政務(wù)系統(tǒng)的擁有者,通過結(jié)合其自身的力量和相關(guān)的等級保護(hù)標(biāo)準(zhǔn),進(jìn)行安全等級評估的方式,稱為自評估。而他評估則是指通過第三方權(quán)威專業(yè)評估機(jī)構(gòu),依據(jù)已頒布的標(biāo)準(zhǔn)或法規(guī)進(jìn)行評估。通過定期或隨機(jī)的安全等級評估,掌握系統(tǒng)動態(tài)、業(yè)務(wù)調(diào)整、網(wǎng)絡(luò)威脅等動向,能夠及時預(yù)防和處理系統(tǒng)中存在的安全漏洞、隱患,提高系統(tǒng)的防御能力,并給予合理的安全防范措施等。若電子政務(wù)網(wǎng)絡(luò)系統(tǒng)需要進(jìn)行較大程度上的更新或變革,則需要重新對系統(tǒng)進(jìn)行安全等級評估工作。

安全檢查評估,主要是在對漏洞掃描、模擬攻擊,以及對安全隱患的檢查等方面,對電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)測,并給予解決問題的安全防范措施。

2.2 安全風(fēng)險分析的應(yīng)用模型。在政府網(wǎng)絡(luò)安全風(fēng)險評估工作中,主要是借助安全風(fēng)險評測工具和第三方權(quán)威機(jī)構(gòu),對安全風(fēng)險分析、安全等級評估和安全檢查評估等三方面進(jìn)行評估工作。在此,本文重點要講述的是安全風(fēng)險分析的應(yīng)用模型。在安全風(fēng)險分析的應(yīng)用模型中,著重需要考慮到的是其主要因素、基本流程和專家評判法。

(1)主要因素

在資產(chǎn)上,政府的信息資源不但具有經(jīng)濟(jì)價值,還擁有者重要的政治因素。因此,要從關(guān)鍵和敏感度出發(fā),確定信息資產(chǎn)。在不足上,政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng),存在一定的脆弱性和被利用的潛在性。在威脅上,政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)受到來自內(nèi)、外部的威脅。在影響上,可能致使信息資源泄露,嚴(yán)重時造成重大的資源損失。

(2)基本流程

根據(jù)安全需求,確定政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險等級和目標(biāo)。

根據(jù)政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)和應(yīng)用需求,實行區(qū)域和安全邊界的劃分。

識別并估價安全區(qū)域內(nèi)的信息資產(chǎn)。

識別與評價安全區(qū)域內(nèi)的環(huán)境對資產(chǎn)的威脅。

識別與分析安全區(qū)域內(nèi)的威脅所對應(yīng)的資產(chǎn)或組織存在的薄弱點。

建立政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險評估方法和安全風(fēng)險等級評價原則,并確定其大小與等級。

結(jié)合相關(guān)的系統(tǒng)安全需求和等級保護(hù),以及費(fèi)用應(yīng)當(dāng)與風(fēng)險相平衡的原則,對風(fēng)險控制方法加以探究,從而制定出有效的安全風(fēng)險控制措施和解決方案。

(3)專家評判法

在建設(shè)政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的前期決策中,由于缺少相關(guān)的數(shù)據(jù)和資料,因此,可以通過專家評判的方法,為政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)提供一個大概的參考數(shù)值和結(jié)果,作為決策前期的基礎(chǔ)。

在安全區(qū)域內(nèi),根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)(即物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層、數(shù)據(jù)層、用戶層),應(yīng)用需求和安全需求劃分的安全邊界和安全區(qū)域,建立起風(fēng)險值計算模型。通過列出從物理層到用戶層之間結(jié)構(gòu)所存在的薄弱點,分析其可能為資產(chǎn)所帶來的影響,以及這些薄弱點對系統(tǒng)薄弱環(huán)節(jié)外部可能產(chǎn)生的威脅程度大小,進(jìn)而通過安全風(fēng)險評估專家進(jìn)行評判,得到系統(tǒng)的風(fēng)險值及排序。

在不同的安全層次中,每個薄弱環(huán)節(jié)都存在著不同程度的潛在威脅。若是采用多嵌套的計算方法,能夠幫助計算出特定安全區(qū)域下的資產(chǎn)在這些薄弱環(huán)節(jié)中的風(fēng)險值。

3 結(jié)語

本文主要通過對政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的建設(shè)中,所進(jìn)行的安全風(fēng)險評估進(jìn)行研究,分析和探討在規(guī)劃與設(shè)計階段、建設(shè)與實施階段、運(yùn)行與管理階段三個階段中政府網(wǎng)絡(luò)安全建設(shè)的相關(guān)問題。并在各階段分別采用安全風(fēng)險分析、系統(tǒng)建設(shè)完成后的安全等級評估。在系統(tǒng)建成后的運(yùn)行和管理階段,采用的安全檢查評估等方法,保障政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的安全。此外,在安全風(fēng)險分析中,可操作的方法并不多,需要有關(guān)部門加強(qiáng)力度,加以研究和探析。在等級安全評估和安全檢查評估兩個階段,可以充分利用第三方權(quán)威機(jī)構(gòu)的評測工具,來加強(qiáng)政府網(wǎng)絡(luò)的安全性。

參考文獻(xiàn):

[1]楊志新.政府網(wǎng)絡(luò)安全風(fēng)險評估[J].系統(tǒng)工程,2005,4.

[2]王繼曄.政府信息網(wǎng)絡(luò)的安全措施及技術(shù)手段[J].交通與計算機(jī),2003,2.

[3]黃煒.我國政府保護(hù)網(wǎng)絡(luò)經(jīng)濟(jì)信息安全的現(xiàn)狀和對策[J].華南理工大學(xué),2010,5,6.

[4]夏義,李勇.政府網(wǎng)絡(luò)安全問題分析[J].高校圖書情報論壇,2003,2.

第4篇:電子政務(wù)的安全風(fēng)險范文

【關(guān)鍵詞】電子政務(wù) 信息安全 體系建設(shè)

當(dāng)前我國交通電子政務(wù)實施過程的兩大矛盾的解決,依賴于安全、穩(wěn)定、可靠的交通運(yùn)輸電子政務(wù)平臺信息安全保障體系。對于電子政務(wù)平臺實施過程中所面臨的信息安全保障問題,我國早在2003年9月頒發(fā)的《關(guān)于加強(qiáng)信息安全保障工作的意見》中明確提出了建立等級保護(hù)制度和風(fēng)險管理體系的要求。2004年11月,公安部等國家四部委聯(lián)合推出信息安全等級保護(hù)要求、測評準(zhǔn)則和實施指南,為政務(wù)領(lǐng)域進(jìn)一步建立政務(wù)信息系統(tǒng)風(fēng)險管理體系提供了技術(shù)基礎(chǔ)和指導(dǎo)。交通運(yùn)輸部也于2008年12月頒布的《交通運(yùn)輸電子政務(wù)網(wǎng)絡(luò)及業(yè)務(wù)應(yīng)用系統(tǒng)建設(shè)技術(shù)指南》中對交通電子政務(wù)平臺的安全保障體系作了詳細(xì)的技術(shù)規(guī)范。

隨著交通政府機(jī)構(gòu)的信息安全基礎(chǔ)建設(shè)日趨完善,建立一套信息安全管理平臺,既滿足電子政務(wù)平臺的開放性和可訪問性,又保證電子政務(wù)平臺的安全性,也日益迫切。交通電子政務(wù)信息安全保障體系可從以下幾個角度進(jìn)行充分構(gòu)建:

1信息安全保障體系及其基本要求

信息安全保障體系是基于PKI體系而開發(fā)的為多個應(yīng)用系統(tǒng)提供統(tǒng)一認(rèn)證、訪問控制、應(yīng)用審計和遠(yuǎn)程接入的應(yīng)用安全網(wǎng)關(guān)系統(tǒng),它可以將不同地理位置、不同基礎(chǔ)設(shè)施(主機(jī)、網(wǎng)絡(luò)設(shè)備和安全設(shè)備等)中分散且海量的安全信息進(jìn)行樣式化、匯總、過濾和關(guān)聯(lián)分析,形成基于基礎(chǔ)設(shè)施與域的統(tǒng)一等級的威脅與風(fēng)險管理,并依托安全知識庫和工作流程驅(qū)動,對威脅與風(fēng)險進(jìn)行響應(yīng)和處理。信息安全保障體系的基本要求主要體現(xiàn)在以下幾個方面:

1)保密性。主要體現(xiàn)在誰能擁有信息,如何保證秘密和敏感信息僅為授權(quán)者享有。

2)完整性。主要體現(xiàn)在擁有的信息是否正確以及如何保證信息從真實的信源發(fā)往真實的信宿,傳輸、存儲、處理中未被刪改、增添、替換。

3)可用性。主要體現(xiàn)在信息和信息系統(tǒng)是否能夠使用以及如何保證信息和信息系統(tǒng)隨時可為授權(quán)者提供服務(wù)而不被非授權(quán)者濫用。

4)可控性。主要體現(xiàn)在是否能夠監(jiān)控管理信息和系統(tǒng)以及如何保證信息和信息系統(tǒng)的授權(quán)認(rèn)證和監(jiān)控管理。

5)不可否認(rèn)性。主要體現(xiàn)在信息行為人為信息行為承擔(dān)責(zé)任,保證信息行為人不能否認(rèn)其信息行為。

總之,信息安全保障體系的基本要求主要從技術(shù)和管理兩個層面得以實現(xiàn)。技術(shù)層面在實現(xiàn)信息資源的公開性、共享性和可訪問性的同時,通過主機(jī)安全、網(wǎng)絡(luò)安全、物理安全、數(shù)據(jù)安全和應(yīng)用安全等技術(shù)要素保障信息的安全性。管理層面則可通過安全管理機(jī)制、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理以及系統(tǒng)運(yùn)營管理等規(guī)范化機(jī)制得以保障信息的安全性。

2交通電子政務(wù)平臺信息安全保障體系的構(gòu)建

交通電子政務(wù)平臺的信息安全保障體系,應(yīng)該由組織體系、技術(shù)體系、運(yùn)營體系、策略體系和保障對象體系等共同組成。

2.1安全組織體系。政府高度重視交通運(yùn)輸信息化工作的同時,堅持把“積極防御,綜合防范”放在優(yōu)先位置,首先要求成立專門的信息安全領(lǐng)導(dǎo)小組。信息安全領(lǐng)導(dǎo)小組可由交通主管領(lǐng)導(dǎo)擔(dān)任領(lǐng)導(dǎo)小組組長主管信息安全工作,下設(shè)信息安全工作組,各管理部門負(fù)責(zé)人、業(yè)務(wù)部門負(fù)責(zé)人為成員。

2.2安全技術(shù)體系。交通電子政務(wù)平臺的安全技術(shù)體系可搭建專業(yè)的安全管理運(yùn)營中心,并從基礎(chǔ)設(shè)施安全和應(yīng)用安全兩個方面去搭建安全技術(shù)支撐體系。

2.3安全運(yùn)營體系。交通電子政務(wù)的安全運(yùn)營體系一般可由安全體系推廣與落實、項目建設(shè)的安全管理、安全風(fēng)險管理與控制和日常安全運(yùn)行與維護(hù)四個部分組成。安全運(yùn)營體系是一個完整的過程體系,在交通電子政務(wù)平臺的整個過程中,正常的運(yùn)作流程,其信息流遵循自上而下的流程,即交通上級部門根據(jù)電子政務(wù)平臺信息安全需求的目標(biāo)、規(guī)劃和控制要求做計劃,下級交通部門根據(jù)計劃進(jìn)行執(zhí)行、檢查和改進(jìn)。而若交通電子政務(wù)平臺其安全性出現(xiàn)威脅,影響正常的運(yùn)作流程時,此時信息流則遵循自下而上的逆向過程,下級交通部門向上級部門報送安全事件,上級部門根據(jù)其安全事件進(jìn)行分析、總結(jié)和改進(jìn)。

2.4安全策略體系。網(wǎng)絡(luò)安全策略是為了保護(hù)網(wǎng)絡(luò)不受來自網(wǎng)絡(luò)內(nèi)外的各種危害而采取的防范措施的總和,因此信息安全策略是信息安全保障體系建設(shè)和實施的指導(dǎo)和依據(jù),全面科學(xué)的安全策略體系應(yīng)貫穿信息安全保障體系建設(shè)的始終。安全策略體系,主要包含安全政策體系、安全組織體系、安全技術(shù)體系和安全運(yùn)行體系四個方面的要素,在采用各種安全技術(shù)控制措施的同時,必須制訂層次化的安全策略,完善安全管理組織機(jī)構(gòu)和人員配備,提高安全管理人員的安全意識和技術(shù)水平,完善各種安全策略和安全機(jī)制,利用多種安全技術(shù)實施和網(wǎng)絡(luò)安全管理實現(xiàn)對網(wǎng)絡(luò)的多層保護(hù),減小網(wǎng)絡(luò)受到攻擊的可能性,防范網(wǎng)絡(luò)安全事件的發(fā)生,提高對安全事件的反應(yīng)處理能力,并在網(wǎng)絡(luò)安全事件發(fā)生時盡量減少事件造成的損失。

第5篇:電子政務(wù)的安全風(fēng)險范文

關(guān)鍵詞:電子政務(wù);云平臺;信息安全

中圖分類號:TP399 文獻(xiàn)標(biāo)識碼:A 文章編號:1006-8937(2014)2-0074-02

電子政務(wù)云是現(xiàn)代政府辦公理念與大型計算中心系統(tǒng)有機(jī)結(jié)合的產(chǎn)物,其本質(zhì)并非是“電子”而是“政務(wù)”,云計算與網(wǎng)絡(luò)技術(shù)的運(yùn)用僅僅只是服務(wù)型政府精簡工作并實現(xiàn)其政務(wù)高效與系統(tǒng)化的手段。電子政務(wù)云安全性方面的目標(biāo)是確保各類數(shù)據(jù)在采集、存儲、挖掘處理、共享傳播等過程中不遭到攻擊、竊取或篡改,以保證信息的完整性、真實性、可用性和可控性。

1 電子政務(wù)云技術(shù)存在的安全問題

當(dāng)前我國電子政務(wù)云平臺的信息安全問題主要可以歸納為以下幾個方面:

①目前國內(nèi)尚缺乏具有自主知識產(chǎn)權(quán)的基礎(chǔ)信息設(shè)備和技術(shù)產(chǎn)品,大量核心技術(shù)設(shè)備依賴于進(jìn)口,其中絕大部分都是美國技術(shù)公司所研發(fā)生產(chǎn)的。例如:VMware“威睿”全球數(shù)據(jù)中心虛擬解決方案的領(lǐng)導(dǎo)廠商,Cisco“思科”互聯(lián)網(wǎng)解決方案領(lǐng)導(dǎo)提供者,Microsoft“微軟”世界軟件開發(fā)的先導(dǎo)、Intel“英特爾”全球最大的半導(dǎo)體制造商等。我們從硬件到軟件的諸多技術(shù)方面都受制于人,缺乏自主的設(shè)備和技術(shù)必然會給國家政務(wù)工作帶來極大的安全隱患。一旦真的受到國外的限制,則我國整體計算機(jī)系統(tǒng)隨時都可能面臨崩潰的境地。

②當(dāng)前互聯(lián)網(wǎng)上違法犯罪活動和敵對勢力的破壞事件頻發(fā),而國內(nèi)相關(guān)部門網(wǎng)絡(luò)安全意識還較為淡薄,也為電子政務(wù)工作瞞下了安全隱患。政府部門僅重視了網(wǎng)絡(luò)的系統(tǒng)建設(shè),看重網(wǎng)絡(luò)帶來的便利和高效,但往往卻忽視了信息工作的安全性。當(dāng)前,電子政務(wù)云的開放程度有限,主要的行政工作還是以原始的公文形式進(jìn)行處理,而且廣大民眾對網(wǎng)絡(luò)技術(shù)犯罪的認(rèn)識還比較模糊,由于該類犯罪尚未造成較大損失,于是人們對之表現(xiàn)出的態(tài)度也較為“溫和”,政府工作人員和人民群眾對網(wǎng)絡(luò)數(shù)據(jù)信息安全意識還沒有上升到應(yīng)有的高度。

③管理機(jī)制和相關(guān)法規(guī)的不健全也很大程度上限制了電子政務(wù)安全防范的力度。相關(guān)部門往往只將管理的重心集中在對行政人員的人力資源管理方面,而對電子政務(wù)云的技術(shù)結(jié)構(gòu)管理卻存在漏洞或缺陷。云平臺的建設(shè)處于各自為政的狀態(tài),缺少一個統(tǒng)一的管理機(jī)構(gòu),項目之間“孤島效應(yīng)”明顯。這方面的工作主要依靠工程承接方來負(fù)責(zé),且依舊存在各種全責(zé)劃分不明的問題。如果安全措施不落實到位,網(wǎng)絡(luò)安全沒有從管理制度上建立相應(yīng)的防范機(jī)制,則電子政務(wù)云工作的開展將無法得到最基本的安全制度保障。

2 電子政務(wù)云平臺信息安全的影響因素分析

電子政務(wù)云平臺信息安全的影響因素可分為人為與非人為兩方面。人為原因主要是指個人或團(tuán)體有規(guī)劃性的對網(wǎng)絡(luò)信息進(jìn)行惡意攻擊和破壞的行為,包括有黑客對網(wǎng)絡(luò)的攻擊入侵、對機(jī)密文件的竊取、計算機(jī)病毒的傳播等;而非人為因素主要包括不可抗拒的自然災(zāi)害和現(xiàn)階段受到技術(shù)局限的問題等。

2.1 影響電子政務(wù)云信息安全的人為原因

電子政務(wù)云信息安全的主要威脅來自于人為原因。系統(tǒng)的入侵者可能因為惡意報復(fù)、表現(xiàn)自我突破安全技術(shù)、敵對勢力的間諜行為或非法謀取經(jīng)濟(jì)利益等。攻擊者通過編寫病毒代碼入侵電子政務(wù)網(wǎng)絡(luò)系統(tǒng),而后病毒代碼自我復(fù)制傳播,進(jìn)而導(dǎo)致系統(tǒng)癱瘓或成為僵尸寄宿主機(jī)。這方面的人為原因可以從內(nèi)部因素和外部因素兩個方面具體展開分析:

①內(nèi)部因素主要是指內(nèi)部擁有政務(wù)云的合法訪問權(quán)及管理權(quán)限的工作人員對其施予的直接影響。由內(nèi)部因素引發(fā)的信息安全問題可分為惡意和無意兩種。惡意是指帶有現(xiàn)實目的有規(guī)劃的對電子政務(wù)云平臺實施的攻擊;無意指的是工作人員因疏忽大意或工作能力的欠缺而造成的危害,如未經(jīng)授權(quán)的連接、權(quán)限欺騙等情況的發(fā)生。政府重要數(shù)據(jù)泄露的隱患往往都?xì)w結(jié)為無意的數(shù)據(jù)破壞和損壞造成的,工作人員不謹(jǐn)慎的操作、或因技術(shù)經(jīng)驗欠缺等原因造成的錯誤操作,都可能導(dǎo)致一系列的安全問題。

在電子政務(wù)云信息化的過程中,行政機(jī)構(gòu)主要關(guān)注的是技術(shù)、設(shè)備的效能,但是對其安全問題影響因素進(jìn)行安全管理的作用尚缺乏應(yīng)有的重視。管理人員工作不嚴(yán)謹(jǐn)、制度法規(guī)不健全或執(zhí)行力度不夠都是電子政務(wù)安全工作中的嚴(yán)重問題。為確保電子政務(wù)信息化的和諧發(fā)展,管理部門務(wù)必要建立嚴(yán)密的制度保障體系,實時監(jiān)控檢測系統(tǒng)運(yùn)行狀況,并努力提高工作人員的職業(yè)素養(yǎng),最大限度的保障電子政務(wù)云的安全運(yùn)行。

②基于網(wǎng)絡(luò)攻擊、入侵事件的報告顯示:國外政府入侵的安全風(fēng)險指數(shù)為21%,黑客入侵的安全風(fēng)險指數(shù)為48%,競爭對手入侵的安全風(fēng)險指數(shù)為72%,對組織不滿的內(nèi)部雇員入侵的安全風(fēng)險指數(shù)為89%。以上數(shù)據(jù)充分說明電子政務(wù)云的安全并不僅僅表現(xiàn)為技術(shù)方面的問題。不完善的管理制度、安全檢查措施欠缺等,都可能導(dǎo)致看似堅固的堡壘出現(xiàn)各式各樣的問題,尤其是日常管理中的疏忽,比如,機(jī)房重地沒有設(shè)立嚴(yán)格的等級制度與劃分,而是隨意的進(jìn)行操作,管理監(jiān)控人員擅離崗位或未按照標(biāo)準(zhǔn)執(zhí)行操作,機(jī)要信息隨意存放在電腦磁盤上,這都為政務(wù)云的安全埋下了隱患。如果攻擊者偽裝IP地址或者利用僵尸主機(jī)對政務(wù)云實施攻擊,篡改政務(wù)網(wǎng)站信息,勢必造成極其惡劣的社會影響。而且,在現(xiàn)實世界中,內(nèi)部潛在的安全威脅更大,由于內(nèi)部人員熟知系統(tǒng)的整體構(gòu)造與細(xì)則,且能掌握各級人員的工作規(guī)律,可能攻擊者自己就具有管理員權(quán)限,對某些信息具有一定的操作權(quán)限,對內(nèi)部系統(tǒng)能進(jìn)行更深入的網(wǎng)絡(luò)刺探、暴力破解等都更為便利,于是對系統(tǒng)可能造成更加深層次的破壞。

2.2 影響電子政務(wù)信息安全的非人為因素

危害信息系統(tǒng)安全的非人為因素主要來自自然災(zāi)害和技術(shù)上的局限,其中由于受到技術(shù)局限導(dǎo)致的漏洞所帶來的威脅表現(xiàn)得更為頻繁且嚴(yán)重,具體而言,當(dāng)前物理自然環(huán)境涉及網(wǎng)絡(luò)系統(tǒng)的可用性、完整性和保密性,其對信息處理設(shè)備構(gòu)成的威脅主要包括:未經(jīng)授權(quán)的訪問和資源竊取、電源干擾、電磁輻射、化學(xué)影響、爆炸、火災(zāi)、灰塵、振動等。另一方面,技術(shù)受限將導(dǎo)致系統(tǒng)的漏洞和缺陷,如系統(tǒng)、硬件、軟件的設(shè)計等。典型的漏洞包括軟硬件的總體設(shè)計漏洞、配置漏洞、實現(xiàn)漏洞、系統(tǒng)漏洞等。

3 提升電子政務(wù)云信息安全性的對策

政務(wù)云系統(tǒng)的高度復(fù)雜性和技術(shù)的高速發(fā)展變化,決定了政務(wù)系統(tǒng)的安全技術(shù)問題必然越來越受到重視。提升電子政務(wù)信息安全性的對策好比指導(dǎo)進(jìn)行電子政務(wù)信息安全之戰(zhàn)的戰(zhàn)略方針,需要負(fù)責(zé)組織、協(xié)調(diào)、指揮各方面的力量來共同維護(hù)電子政務(wù)信息系統(tǒng)的安全。加強(qiáng)網(wǎng)絡(luò)通信技術(shù)的安全性、降低政務(wù)信息系統(tǒng)的風(fēng)險,需要從以下幾個方面著手。

3.1 提升電子政務(wù)工作人員信息安全意識

提高培養(yǎng)政府政務(wù)工作人員對網(wǎng)絡(luò)安全的意識,在日常工作中能自覺地按照標(biāo)準(zhǔn)政務(wù)信息安全規(guī)范的執(zhí)行各項操作,使其具備良好的信息安全意識。在培養(yǎng)過程中應(yīng)注意:首先,應(yīng)充分利用當(dāng)前先進(jìn)的科技力量,并通過各種媒介途徑媒體積極地宣傳信息安全的重要性,如報刊,雜志,網(wǎng)絡(luò)等。其次,邀請相關(guān)專業(yè)導(dǎo)師對工作人員加以多種形式的指導(dǎo)培訓(xùn)。再次,制定研究周密的安全策略,使責(zé)任明確且細(xì)化,將安全工作落實到人,且做到權(quán)責(zé)清晰和權(quán)責(zé)一致。

3.2 建立健全完善的電子政務(wù)云信息安全管理機(jī)制

首先,政務(wù)云平臺應(yīng)嚴(yán)格按照國家法律法規(guī)對機(jī)密事件實行分級分類保護(hù),確保重要信息安全責(zé)任具體化、細(xì)致化,做好數(shù)據(jù)的隔離控制,進(jìn)一步保障數(shù)據(jù)的完善安全。其次,為減少對電子政務(wù)信息系統(tǒng)安全構(gòu)成危害的物理自然安全因素,就應(yīng)當(dāng)創(chuàng)造一個良好的環(huán)境,滿足系統(tǒng)適宜的物理條件,并且做好異地的容災(zāi)備份工作,從而將這些危害因素降至最低。此外,還需要不斷完善加密技術(shù),并充分利用與政務(wù)云相適應(yīng)的技術(shù)(包括用戶身份的驗證、網(wǎng)絡(luò)的安全認(rèn)證、主機(jī)的物理隔離、內(nèi)容信息的分級管理、底層操作系統(tǒng)的安全、通訊線路的安全等),以便為政務(wù)云平臺的安全運(yùn)行提供有力的保障。

3.3 大力發(fā)展擁有自主知識產(chǎn)權(quán)的安全產(chǎn)業(yè)

網(wǎng)絡(luò)通信產(chǎn)品的自主研發(fā)已成為信息安全防范的核心。目前,我國的主要軟硬件技術(shù)主要依賴西方國家,這極大的威脅了我國的信息安全利益。于是,有必要投入科技發(fā)展資金,積極推進(jìn)國內(nèi)軟硬件技術(shù)水平,使國內(nèi)自主研發(fā)產(chǎn)品能逐步替換國外同類產(chǎn)品,信息安全產(chǎn)業(yè)的發(fā)展已成為關(guān)乎國計民生的大問題。我們可以積極朝這樣幾個方面去努力:一是能改善信息安全的現(xiàn)狀、使用大眾化的關(guān)鍵技術(shù);二是努力增強(qiáng)國有創(chuàng)造性實力,從而實現(xiàn)技術(shù)上的突破;三是要能獨(dú)立研發(fā)核心戰(zhàn)略性技術(shù)設(shè)備,如CPU和數(shù)據(jù)加密芯片等。在不斷提升技術(shù)研發(fā)實力的同時,還需要做到信息技術(shù)的多元化與綜合化,以更好的保障電子政務(wù)云的安全和穩(wěn)定。

當(dāng)前,我國電子政務(wù)云正以驚人的速度發(fā)展,特別是發(fā)達(dá)地區(qū)。公安、工商、物價局等多種部門對電子政務(wù)云的使用已相當(dāng)普遍。電子政務(wù)云是政府信息資源建設(shè)的組成部分,是對政府信息資源進(jìn)行深度開發(fā)和廣泛利用,促進(jìn)政府體制改革和職能轉(zhuǎn)變的一個有效手段。于是我們應(yīng)在這個過程中我們更應(yīng)該注意政務(wù)信息的保密與安全問題,提升對信息安全方面的人力與財力的投入,始終堅持獨(dú)立自主的研發(fā)路線,增強(qiáng)國家電子政務(wù)工作的信息安全性,打造健全穩(wěn)定的電子政務(wù)云平臺,提高公眾的滿意度。

參考文獻(xiàn):

[1] 劉菡.電子政務(wù)的規(guī)劃與實踐[M].北京:中國時代經(jīng)濟(jì)出版社,2006,(5):127.

第6篇:電子政務(wù)的安全風(fēng)險范文

【關(guān)鍵詞】電子政務(wù);信息安全;策略

一般來說,電子政務(wù)是政府機(jī)構(gòu)為了適應(yīng)經(jīng)濟(jì)全球化和信息網(wǎng)絡(luò)化的需要,應(yīng)用現(xiàn)代信息技術(shù),將政務(wù)處理、政府管理、政府服務(wù)等各項職能通過網(wǎng)絡(luò)實現(xiàn)有機(jī)結(jié)合,并通過流程優(yōu)化創(chuàng)新,實現(xiàn)提高政府管理效能,降低管理成本,改進(jìn)政府服務(wù)水平,以適應(yīng)信息化時代需要的現(xiàn)代政府公共管理實務(wù)中關(guān)于政務(wù)信息和管理的平臺。為了打造服務(wù)型政務(wù),實現(xiàn)政務(wù)公開,接受各方面的監(jiān)督,必然要求在政務(wù)管理中推行電子政務(wù),達(dá)到最大限度降低政府運(yùn)作成本,提高了政府行政效率。

電子政務(wù)推行過程中的信息安全問題是政務(wù)運(yùn)行的中心問題。這里的信息安全主要是指各類政務(wù)信息不得遭受偶然和惡意原因而受到破壞、更改、泄露。信息安全要求嚴(yán)格保護(hù)政務(wù)系統(tǒng)中信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù),切實做到系統(tǒng)連續(xù)、穩(wěn)定、可靠正常地運(yùn)行。

在當(dāng)前信息技術(shù)飛速發(fā)展,各類黑客等破解軟件系統(tǒng)的技術(shù)層出不窮,各級政府和商務(wù)網(wǎng)站收到攻擊并導(dǎo)致癱瘓的事件時有發(fā)生,政務(wù)系統(tǒng)中的信息安全問題越來越尖銳,信息保護(hù)和防范的要求也越來越高。信息安全問題直接關(guān)系到政務(wù)信息及時和有效共享、政令暢通等,有些甚至更深層次地關(guān)系到國家的信息安全與穩(wěn)定。

一、我國電子政務(wù)信息安全存在的問題

電子政務(wù)是一種全新的基于網(wǎng)絡(luò)技術(shù)的綜合性政府管理方式,其系統(tǒng)運(yùn)行中的信息安全問題主要表現(xiàn)為管理和技術(shù)兩個方面。電子政務(wù)運(yùn)行過程中信息的技術(shù)問題是根本性問題,管理問題是基礎(chǔ)和保障方面的問題,二者共同作用于電子政務(wù)平臺的建設(shè)和發(fā)展。

1、管理方面問題

電子政務(wù)是利用先進(jìn)的信息技術(shù)作為工具,幫助政府更好地履行管理職能。就具體運(yùn)行過程看來,政府電子政務(wù)信息管理存在的問題主要包括以下幾個方面:

(1)信息安全意思薄弱。電子政務(wù)在我國發(fā)展的起點低,很多政府工作人員對電子政務(wù)沒科學(xué)、正確的認(rèn)識,不適應(yīng)信息化辦公的要求。很多人將網(wǎng)絡(luò)用于學(xué)習(xí)、工作和娛樂等,無暇顧及網(wǎng)絡(luò)信息的安全性,安全意識薄弱。

(2)規(guī)范化信息安全管理制度嚴(yán)重缺乏。一直以來,各級政府為了保證信息安全,各級政府在電子政務(wù)的信息安全方面只從技術(shù)方面上采取了保障措施,嚴(yán)重缺乏規(guī)范的管理體制的建設(shè)。電子政務(wù)的信息安全要求制定并落實安全責(zé)任制,并且配備相應(yīng)的完備的信息安全管理和認(rèn)證機(jī)制等。而我國目前的電子政務(wù)系統(tǒng)在信息安全管理方面缺乏統(tǒng)一協(xié)調(diào)性,對故障定位不夠準(zhǔn)確,對安全責(zé)任的追查更加困難,一旦造成信息泄露的安全事故就無法應(yīng)對。

(3)信息安全立法滯后。發(fā)達(dá)國家的經(jīng)驗表明,政府電子政務(wù)的快速發(fā)展必須要有健全的法制保障。當(dāng)前,我國與電子政務(wù)相關(guān)的信息安全方面的相關(guān)法律法規(guī)非常欠缺。在全球范圍內(nèi)縱橫交錯的信息網(wǎng)絡(luò)中,考慮到國內(nèi)的電子政務(wù)系統(tǒng)與國際互聯(lián)網(wǎng)直接連接,各種信息安全問題都會發(fā)生,即使有全面的技術(shù)規(guī)范,也難以避免各種不法侵害。當(dāng)前,我國在電子政務(wù)信息安全方面立法滯后,也非常不完備,急需一些保障電子政務(wù)信息安全的配套的法律法規(guī),以推動電子政務(wù)的普及,減少各類造成電子政務(wù)信息信息安全問題的障礙。

2、技術(shù)方面

電子政務(wù)發(fā)展的實踐表明,技術(shù)是電子政務(wù)發(fā)展的最關(guān)鍵而又受到制約的重要因素。在電子中,盡管有著 “三分技術(shù)、七分管理”的說法,但是沒有先進(jìn)的技術(shù)做支撐,管理問題無從談起,沒有技術(shù)就更無從談其發(fā)展問題。一旦技術(shù)出了問題,電子政務(wù)的發(fā)展就會面臨重大困難。當(dāng)前,電子政務(wù)的技術(shù)方面的問題主要表現(xiàn)在以下幾個方面。

(1)不成熟的網(wǎng)絡(luò)技術(shù)導(dǎo)致安全隱患。政府運(yùn)用電子政務(wù)進(jìn)行網(wǎng)絡(luò)化辦公,必然導(dǎo)致政府工作對網(wǎng)絡(luò)具有很強(qiáng)的依賴性,這些依賴性必然產(chǎn)生脆弱性,包括技術(shù)的脆弱性、社會的脆弱性、人的脆弱性等等。這些脆弱性更多是由于網(wǎng)絡(luò)技術(shù)不成熟,加上網(wǎng)絡(luò)設(shè)置不科學(xué)導(dǎo)致的。網(wǎng)絡(luò)技術(shù)自身不成熟,加上電子政務(wù)系統(tǒng)采用的網(wǎng)絡(luò)設(shè)置不夠科學(xué),在信息安全技術(shù)方面存在很多安全弱點或隱患,例如,網(wǎng)絡(luò)硬件設(shè)備的弱點、操作平臺的弱點等各種安全問題。這些安全弱點迫切需要我們努力利用先進(jìn)的網(wǎng)絡(luò)技術(shù)來消除這些威脅。

(2)網(wǎng)絡(luò)安全規(guī)劃不到位導(dǎo)致網(wǎng)絡(luò)結(jié)構(gòu)的不合理性。由于信息技術(shù)發(fā)展過快,政府電子政務(wù)網(wǎng)絡(luò)建設(shè)經(jīng)常缺乏資金,加上網(wǎng)絡(luò)建設(shè)規(guī)劃缺少安全設(shè)計,更缺少前瞻性的系統(tǒng)規(guī)劃。在電子政務(wù)的具體運(yùn)行中,由于多個瓶頸限制網(wǎng)絡(luò)流量,缺乏統(tǒng)一規(guī)劃的IP 地址,更嚴(yán)重的是子網(wǎng)故障隔離性差,重要政務(wù)信息因流量缺乏,缺少服務(wù)質(zhì)量保證等系列問題。在處理信息安全問題過程,不能立即收到應(yīng)有的效果,只能修修補(bǔ)補(bǔ)的解決。

(3)未掌握關(guān)鍵核心技術(shù),基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)存在安全隱患。我國對發(fā)達(dá)國家信息設(shè)備和信息技術(shù)存在很強(qiáng)的依賴性,信息化核心設(shè)備嚴(yán)重依賴國外,對引進(jìn)的技術(shù)和設(shè)備缺乏必要的信息管理和技術(shù)改造。尤其是在系統(tǒng)安全和安全協(xié)議的研究和應(yīng)用方面與發(fā)達(dá)國家的差距很大。目前組成我國電子政務(wù)網(wǎng)絡(luò)的計算機(jī)網(wǎng)絡(luò)系統(tǒng)所用各種硬件、軟件、網(wǎng)絡(luò)設(shè)備、服務(wù)器等基本上都是國外公司的產(chǎn)品,完全具有自主知識產(chǎn)權(quán)的產(chǎn)品基本沒有。這些因素使我國的電子政務(wù)網(wǎng)絡(luò)安全性能大大降低,使我國的經(jīng)濟(jì)和社會發(fā)展面臨著重大風(fēng)險。

二、政府電子政務(wù)信息安全管理工作的具體要求

電子政務(wù)在技術(shù)和管理上對信息安全提出了較高要求,具體而言,要求政府在電子政務(wù)信息安全管理方面,具體做好以下幾點工作。

1、在政府機(jī)關(guān)內(nèi)部加強(qiáng)電子政務(wù)信息安全和保密工程項目審批、監(jiān)督和管理

政府部門在實施重大電子中由相關(guān)保密主管部門嚴(yán)格執(zhí)行電子政務(wù)信息管理的安全和保密工作,具體包括使用登記后認(rèn)可的專用密碼,密碼管理必須征求主管部門的審批和授權(quán);涉及國家秘密的電子政務(wù)系統(tǒng),接受有關(guān)主管部門的保密檢查和信息安全檢查。若發(fā)生重大問題,如泄密、遭到入侵、受到病毒攻擊等,必須向有關(guān)主管部門報告。

2、遵守國家有關(guān)信息安全的技術(shù)標(biāo)準(zhǔn)和管理規(guī)范

相關(guān)信息安全技術(shù)、設(shè)備和應(yīng)用系統(tǒng)的使用必須經(jīng)過嚴(yán)格認(rèn)證和測評,信息安全方案必須和國家總體方案和確定的技術(shù)標(biāo)準(zhǔn)相融合。

3、從事電子政務(wù)應(yīng)用系統(tǒng)研發(fā)的單位,必須具有資質(zhì)認(rèn)證

對于開發(fā)涉及國家秘密的電子政務(wù)系統(tǒng),還應(yīng)具有國家保密主管部門頒發(fā)的特殊資質(zhì)認(rèn)證。

4、建立嚴(yán)格的內(nèi)部電子政務(wù)系統(tǒng)運(yùn)行管理制度

電子政務(wù)系統(tǒng)涉及的計算機(jī)設(shè)備的維護(hù)、電子政務(wù)信息和與數(shù)據(jù)有關(guān)的網(wǎng)絡(luò)管理等必須符合國家有關(guān)主管部門的管理制度。關(guān)于電子政務(wù)信息處理設(shè)備的采購、運(yùn)行、維修、報廢、銷毀等管理工作,必須按該設(shè)備所處理的電子政務(wù)信息的密級,并遵循最高密級的原則實施管理。對外托管等必須得到國家有關(guān)主管部門的審批,符合國家有關(guān)主管部門的安全、保密管理要求。

三、電子政務(wù)信息安全的應(yīng)對策略

針對電子政務(wù)在管理和技術(shù)兩方面問題,切實保障電子政務(wù)的信息安全,促進(jìn)電子政務(wù)健康發(fā)展,結(jié)合政府在電子政務(wù)實際運(yùn)行過程和信息安全管理中的問題,可采取以下策略。

1、建立功能完善的電子政務(wù)網(wǎng)絡(luò)安全體系

建立功能完善的電子政務(wù)網(wǎng)絡(luò)安全體系,首先要建立有完善的安全管理保障體系,穩(wěn)固的基礎(chǔ)安全服務(wù)設(shè)施;其次,還必須要有強(qiáng)大的科學(xué)合理的安全技術(shù)響應(yīng)與恢復(fù)機(jī)制與安全技術(shù)支撐平臺,這些安全技術(shù)的實現(xiàn)可以通過設(shè)置網(wǎng)絡(luò)域訪問控制,設(shè)置身份識別/認(rèn)證機(jī)制,設(shè)置內(nèi)部網(wǎng)的Internet訪問策略,通訊加密,防病毒設(shè)置等等。

2、完善和規(guī)范信息安全的體制機(jī)制

通過明確責(zé)任、強(qiáng)化制度約束和規(guī)范從業(yè)人員的操作規(guī)范等形式,建立嚴(yán)格的、可操作性強(qiáng)的安全管理制度,在政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)內(nèi)部建立體系化的安全防御策略,另外加強(qiáng)工作人員的安全意識、信息素養(yǎng)和業(yè)務(wù)培訓(xùn),保證安全管理制度的良好貫徹和執(zhí)行。

3、加強(qiáng)網(wǎng)絡(luò)核心技術(shù)研發(fā),培養(yǎng)電子政務(wù)專業(yè)人才

當(dāng)前,我國電子政務(wù)的信息設(shè)備和技術(shù)對發(fā)達(dá)國家的依賴性較強(qiáng),為了提高電子政務(wù)系統(tǒng)的安全,必須組成核心攻堅團(tuán)隊,成立專門的電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的技術(shù)研發(fā)機(jī)構(gòu),及時解決各種信息安全問題。另外,還急需培養(yǎng)大批的電子政務(wù)專業(yè)人才,從事電子政務(wù)系統(tǒng)安全的診斷、預(yù)防和處理。

4、實施電子政務(wù)系統(tǒng)的風(fēng)險評估和等級保護(hù)制度

針對電子政務(wù)系統(tǒng)的信息安全問題,必須營造縱深防御的安全保護(hù)環(huán)境,切合實際的開展電子政務(wù)信息系統(tǒng)安全風(fēng)險評估,加強(qiáng)安全等級保護(hù),有針對性的采取一整套切實有效的應(yīng)對措施來保障電子政務(wù)信息系統(tǒng)的安全。

四、結(jié)語

電子政務(wù)信息安全的保障是一項關(guān)系多領(lǐng)域的綜合工程,管理和技術(shù)兩個層面是最根本的要達(dá)到絕對的安全是不可能的,應(yīng)該從實際出發(fā),從綜合的角度出發(fā),根據(jù)具體問題采取切實有效的措施,將電子政務(wù)信息安全隱患會降到最低。

第7篇:電子政務(wù)的安全風(fēng)險范文

關(guān)鍵詞:電子政務(wù)信息安全PKI

一、綜合電子政務(wù)平臺概述

電子政務(wù)是指政府機(jī)構(gòu)應(yīng)用信息技術(shù)提高政府事務(wù)處理的信息流效率,對政府機(jī)構(gòu)和職能進(jìn)行優(yōu)化,改善政府組織和公共管理能力。通常由核心網(wǎng)絡(luò)、接人網(wǎng)絡(luò)及訪問網(wǎng)絡(luò)三部分組成。建設(shè)內(nèi)容一般包括:電子政務(wù)網(wǎng)絡(luò)平臺、政府門戶網(wǎng)站、電子政務(wù)主站點、“一站式”行政審批系統(tǒng)、視頻會議系統(tǒng)、公文交換和信息報送系統(tǒng)、電子郵件系統(tǒng)、辦公自動化系統(tǒng)等。

電子政務(wù)網(wǎng)絡(luò)平臺網(wǎng)絡(luò)結(jié)構(gòu)中,核心網(wǎng)絡(luò)擁有重要的信息資源,并處理政府部門間的核心業(yè)務(wù)。政府部門間的數(shù)據(jù)交換流程是閉環(huán)的,即任何一個節(jié)點既是用戶又是數(shù)據(jù)源。因此,核心網(wǎng)絡(luò)節(jié)點之間的業(yè)務(wù)流程應(yīng)該是高速、嚴(yán)密、安全的,并且有嚴(yán)格的審核機(jī)制。核心網(wǎng)絡(luò)與接人網(wǎng)絡(luò)形成上下級關(guān)系的協(xié)同工作平臺,進(jìn)行信息、數(shù)據(jù)的交換。它們之間的信息往來必須具備信任安全體系。政府核心網(wǎng)絡(luò)面向社會公眾提供信息服務(wù),對外宣傳政府信息,與訪問網(wǎng)絡(luò)建立連接。

二、綜合電子政務(wù)平臺的安全風(fēng)險

2.1網(wǎng)絡(luò)安全域的劃分和控制問題

電子政務(wù)中的信息涉及國家秘密、國家安全,因此它需要絕對的安全。但是同時電子政務(wù)現(xiàn)在很重要的發(fā)展方向是要為社會提供行政監(jiān)管的渠道,為社會提供公共服務(wù),如社保醫(yī)保、大量的公眾咨詢、投訴等等,它同時又需要一定程度的開放。因此如何合理地劃分安全域顯得非常重要。

2.2內(nèi)部監(jiān)控、審核問題

目前絕大部分單位都沒有系統(tǒng)可以實時地對內(nèi)部人員除個人隱私以外的各項具體操作進(jìn)行監(jiān)控和記錄,更不用談對一些非法操作進(jìn)行屏蔽和阻斷了。

2.3電子政務(wù)的信任體系問題

電子政務(wù)要做到比較完善的安全保障體系,第三方認(rèn)證是必不可少的。只有通過一定級別的第三方認(rèn)證,才能說建立了一套完善的信任體系。

2.4數(shù)字簽名(簽發(fā))問題

在電子政務(wù)中,要真正實行無紙化辦公,很重要的一點是實現(xiàn)電子公文的流轉(zhuǎn),而在這之中,數(shù)字簽名(簽發(fā))問題又是重中之重。

2.5電子政務(wù)的災(zāi)難響應(yīng)和應(yīng)急處理問題

很多單位在進(jìn)行網(wǎng)絡(luò)規(guī)劃的時候,沒有考慮到作為系統(tǒng)核心部分一一數(shù)據(jù)庫本身的安全問題,完全依賴干整個網(wǎng)絡(luò)的防護(hù)能力,一旦網(wǎng)絡(luò)的安全體系被穿破或者直接由內(nèi)部人員利用內(nèi)網(wǎng)用戶的優(yōu)勢進(jìn)行破壞,“數(shù)據(jù)”可以說無任何招架之力。

三、綜合電子政務(wù)平臺安全體系建設(shè)方案

3.1技術(shù)保障體系

技術(shù)保障體系是安全管理體系的重要組成部分。它涉及兩個層面的問題,一是信息安全的核心技術(shù)和基本理論的研究與開發(fā),二是信息安全產(chǎn)品和系統(tǒng)構(gòu)建綜合防護(hù)系統(tǒng)。

信息安全技術(shù)。信息安全的核心技術(shù)主要包括數(shù)據(jù)加密技術(shù)、信息隱藏技術(shù)和信息認(rèn)證技術(shù)。數(shù)據(jù)加密是把有意義的信息編碼為偽隨機(jī)性的亂碼,以實現(xiàn)信息保護(hù)的目的。數(shù)字簽名是指只有發(fā)送者才能產(chǎn)生的別人無法偽造的一段數(shù)字串,這段數(shù)字串同時也是對發(fā)送者信息真實性的證明。

信息安全防護(hù)體系。目前,主要的信息安全的產(chǎn)品和系統(tǒng)包括防病毒軟件、防火墻、入侵檢測系統(tǒng)、漏洞掃描、安全審計系統(tǒng)、物理隔離系統(tǒng)等。我們可采用屏蔽子網(wǎng)體系結(jié)構(gòu)保證核心網(wǎng)絡(luò)的安全。屏蔽子網(wǎng)體系結(jié)構(gòu)通過添加額外的安全層到被屏蔽主機(jī)體系結(jié)構(gòu),即通過添加周邊網(wǎng)絡(luò)更進(jìn)一步地把內(nèi)部網(wǎng)絡(luò)與Internet隔離開。在這種結(jié)構(gòu)下,即使攻破了堡壘主機(jī),也不能直接侵人內(nèi)部網(wǎng)絡(luò),它將仍然必須通過內(nèi)部路由器。

3.2運(yùn)行管理體系

安全行政管理。電子政務(wù)的安全行政管理應(yīng)包括建立安全組織機(jī)構(gòu)、安全人事管理、制定和落實安全制度。

安全技術(shù)管理。電子政務(wù)的安全技術(shù)管理可以從三個方面著手:硬件實體、軟件系統(tǒng)、密鑰。

風(fēng)險管理。風(fēng)險管理是對項目風(fēng)險的識別、分析和應(yīng)對過程。它包括對正面事件效果的最大化及對負(fù)面事件影響的最小化。

3.3社會服務(wù)體系

安全管理服務(wù)。目前,一些信息安全管理服務(wù)提供商(ManagedSecurityServiceProviders,MSSP)正在逐步形成,它們有的是專門從事安全管理服務(wù)達(dá)到增值目的的,有的是一些軟件廠商為彌補(bǔ)其軟件系統(tǒng)的不足而附加一些服務(wù)的,有的是一些從IT集成或咨詢商發(fā)展而來提供信息安全咨詢的。

安全測評服務(wù)。測評認(rèn)證的實質(zhì)是由一個中立的權(quán)威機(jī)構(gòu),通過科學(xué)、規(guī)范、公正的測試和評估向消費(fèi)者、購買者即需方,證實生產(chǎn)者或供方所提供的產(chǎn)品和服務(wù),符合公開、客觀和先進(jìn)的標(biāo)準(zhǔn)。

應(yīng)急響應(yīng)服務(wù)。應(yīng)急響應(yīng)是計算機(jī)或網(wǎng)絡(luò)系統(tǒng)遇到安全事件如黑客人侵、網(wǎng)絡(luò)惡意攻擊、病毒感染和破壞等時,所能夠提供的緊急的響應(yīng)和快速的救援與恢復(fù)服務(wù)。:

3.4基礎(chǔ)設(shè)施平臺

法規(guī)基礎(chǔ)建設(shè)。主要有以下幾方面:在國家憲法和各部門法中對各類法律主體的有關(guān)信息活動涉及國家安全的權(quán)利和義務(wù)進(jìn)行規(guī)范,形成國家關(guān)于信息及信息安全的總則性、普適性的法規(guī)體系;針對各類計算機(jī)和網(wǎng)絡(luò)犯罪,制訂直接約束各社會成員的信息活動的行為規(guī)范,形成計算機(jī)、網(wǎng)絡(luò)犯罪監(jiān)察嶼防范體系;對信息安全技術(shù)、信息安全產(chǎn)品(系統(tǒng))的授權(quán)審批應(yīng)制訂相應(yīng)的規(guī)定,形成信息安全審批與監(jiān)控體系;針對信息內(nèi)容的安全與保密問題,制訂相應(yīng)規(guī)定,形成信息內(nèi)容的審批、監(jiān)控、保密體系;從國家安全的角度,制訂網(wǎng)絡(luò)信息預(yù)警與反擊體系等。

第8篇:電子政務(wù)的安全風(fēng)險范文

關(guān)鍵詞:ITIL方法 電子政務(wù)服務(wù) 外包服務(wù)

中圖分類號:TP311.52 文獻(xiàn)標(biāo)識碼:A 文章編號:1674-098X(2014)06(a)-0215-02

1 電子政務(wù)服務(wù)外包方式與分析

“自建”、“政府采購”、“服務(wù)外包”是政府部門信息化建設(shè)的三種普遍方式,“自建”是指政府自行投資、建設(shè)、管理的信息系統(tǒng),系統(tǒng)的產(chǎn)權(quán)屬于建設(shè)單位―― 政府部門[1];“政府采購”是指各級國家機(jī)關(guān)、事業(yè)單位和團(tuán)體組織,使用財政性資金采購依法制定的集中采購目錄以內(nèi)的或者采購限額標(biāo)準(zhǔn)以上的貨物、工程和服務(wù)的行為[2],“政府采購”的方式包括:公開招標(biāo)、邀請招標(biāo)、競爭性談判、單一來源等。“服務(wù)外包”則是以政府采購方式將政務(wù)信息系統(tǒng)建設(shè)和運(yùn)維中的某些環(huán)節(jié)交由社會機(jī)構(gòu)完成,建設(shè)完成的系統(tǒng)產(chǎn)權(quán)可能會發(fā)生轉(zhuǎn)移?!罢少彙笔恰白越ā焙汀胺?wù)外包”的一種商業(yè)形式[3]。

目前較為普遍的政府服務(wù)外包分為:過程型外包、混合型外包、產(chǎn)權(quán)轉(zhuǎn)移型外包。

1.1 過程型外包

過程型外包服務(wù)是較普遍的傳統(tǒng)外包服務(wù)模式,將政府信息化過程中的基本環(huán)節(jié)(規(guī)劃、建設(shè)、運(yùn)維等)均交由一個或多個社會的專業(yè)機(jī)構(gòu)完成,政府只是承擔(dān)建設(shè)和管理的責(zé)任。商務(wù)部的“公共商務(wù)信息服務(wù)”就是這種服務(wù)模式的典范。

這種外包服務(wù)方式的優(yōu)勢在于:能夠匯集社會力量承辦政府信息服務(wù),大力促進(jìn)了政務(wù)信息服務(wù)的有效運(yùn)轉(zhuǎn)。不足之處在于:主要業(yè)務(wù)信息的安全性在某種程度上存在一定的失控風(fēng)險,對社會專業(yè)機(jī)構(gòu)的責(zé)任約束缺乏第三方的評估機(jī)制。過程型外包服務(wù)較適用于一般性的信息化項目管理,采用這種方式進(jìn)行行業(yè)電子政務(wù)規(guī)劃與建設(shè),則存在較大的風(fēng)險,其主要原因在于專業(yè)機(jī)構(gòu)屬于市場化管理,專業(yè)技術(shù)人員流動性強(qiáng),不利于電子政務(wù)項目的信息安全和可持續(xù)發(fā)展。

1.2 混合型外包

所謂混合型外包服務(wù)是指由政府部門下屬的事業(yè)單位,承擔(dān)本行業(yè)的電子政務(wù)規(guī)劃、建設(shè)、運(yùn)維等全過程的組織與管理,在管理過程中將部分環(huán)節(jié)交由社會專業(yè)機(jī)構(gòu)進(jìn)行建設(shè)、維護(hù)。

這種外包服務(wù)方式主要存在于信息化人才隊伍較強(qiáng)、市場運(yùn)作機(jī)制較為靈活的政府部門?;旌闲屯獍绞降膬?yōu)勢在于充分發(fā)揮政府電子政務(wù)管理部門的人力資源的優(yōu)勢,結(jié)合社會專業(yè)機(jī)構(gòu)的技術(shù)力量,采用此種方式實施的電子政務(wù)項目成功率較高,并且在信息資源安全性等方面規(guī)避了過程型外包的風(fēng)險?;旌闲屯獍牟蛔阍谟冢阂恍┱碾娮诱?wù)管理實施機(jī)構(gòu)與政府部門之間的協(xié)調(diào)難度較大,電子政務(wù)項目建設(shè)過程中責(zé)任邊界難于界定。混合型外包方式若采用先進(jìn)的管理制度,將會在行業(yè)電子政務(wù)中起到十分積極的促進(jìn)作用。

1.3 產(chǎn)權(quán)轉(zhuǎn)移型外包

產(chǎn)權(quán)轉(zhuǎn)移型外包服務(wù)是近年來剛剛興起的創(chuàng)新型外包方式,旨在電子政務(wù)規(guī)劃、投資、建設(shè)、管理、運(yùn)維等全部環(huán)節(jié)交由一個或多個企業(yè)負(fù)責(zé),政府部門只是提出需求,由企業(yè)提供業(yè)務(wù)系統(tǒng)硬件平臺和軟件平臺的系統(tǒng)建設(shè)、運(yùn)維和管理。

這種模式是政府以租用方式購買企業(yè)服務(wù),與前兩種外包服務(wù)的根本區(qū)別在于電子政務(wù)項目的產(chǎn)權(quán)發(fā)生轉(zhuǎn)移,由政府轉(zhuǎn)移到企業(yè)。這一特點使得這種模式的外包服務(wù)在技術(shù)風(fēng)險、管理風(fēng)險、短期財政壓力等方面取得很大優(yōu)勢,此種模式的外包服務(wù)適合較大型的、通用型的電子政務(wù)建設(shè)項目。這種外包方式將隨著我國云計算技術(shù)的不斷發(fā)展成為主流的外包方式。

2 ITIL管理在混合型外包服務(wù)中的應(yīng)用

ITIL(Information Technology Infrastructure Library)是CCTA(英國國家計算機(jī)和電信局)于20世紀(jì)80年代末開發(fā)的一套IT服務(wù)管理標(biāo)準(zhǔn)庫,旨在提高IT資源的利用率和服務(wù)質(zhì)量。

電子政務(wù)混合型外包服務(wù)框架與服務(wù)體系:

圖1是一個較為理想的電子政務(wù)混合型外包服務(wù)基本框架。本節(jié)重點分析如何利用ITIL方法建立電子政務(wù)外包服務(wù)管理體系。

傳統(tǒng)ITIL的管理體系包括:服務(wù)臺管理、事故管理、問題管理、變更管理、財務(wù)管理、服務(wù)持續(xù)性管理等12項管理功能,在電子政務(wù)外包服務(wù)管理體系中將此12項管理進(jìn)行相應(yīng)簡化,并按照用戶角色進(jìn)行重新分工,從而更好的服務(wù)于政務(wù)部門。

(1)服務(wù)臺管理

傳統(tǒng)ITIL服務(wù)臺是外包服務(wù)供應(yīng)商和用戶之間的聯(lián)系點。主要負(fù)責(zé)接收服務(wù)請求,但不參與服務(wù)過程。

在混合型外包服務(wù)電子政務(wù)項目中,服務(wù)臺管理由政府部門的電子政務(wù)管理機(jī)構(gòu)完成,電子政務(wù)管理機(jī)構(gòu)直接面對行業(yè)政務(wù)工作人員,一定意義上擔(dān)當(dāng)了傳統(tǒng)IT中部分供應(yīng)商的角色。這種角色的轉(zhuǎn)變規(guī)避不必要的信息安全風(fēng)險,由于政府電子政務(wù)管理機(jī)構(gòu)人員相對穩(wěn)定,熟悉行業(yè)知識和信息技術(shù),因此服務(wù)臺的服務(wù)質(zhì)量相對較高,服務(wù)反應(yīng)速度大幅提升。

(2)事故管理

在政務(wù)系統(tǒng)運(yùn)行過程中,一旦出現(xiàn)事故,電子政務(wù)管理機(jī)構(gòu)的管理人員(以下簡稱系統(tǒng)管理員),需要對事故進(jìn)行記錄和歸類,并安排監(jiān)督相應(yīng)的供應(yīng)商進(jìn)行事故的處理。

事故管理的目的是在盡可能最小地影響政務(wù)服務(wù)人員對系統(tǒng)的應(yīng)用,以最短的時間使系統(tǒng)恢復(fù)正常狀態(tài)。

(3)問題管理

問題管理是指在政務(wù)系統(tǒng)運(yùn)行過程中,系統(tǒng)管理員與供應(yīng)商協(xié)調(diào)對問題(事故)進(jìn)行調(diào)查,分析系統(tǒng)基礎(chǔ)架構(gòu)的薄弱環(huán)節(jié),查明事故產(chǎn)生問題(事故)的潛在原因,與供應(yīng)商共同制定解決問題的方案和防止問題再次發(fā)生的措施,將由于問題和事故對業(yè)務(wù)產(chǎn)生的負(fù)面影響減小到最低的服務(wù)管理流程。

(4)變更管理

隨著電子政務(wù)系統(tǒng)的不斷深化應(yīng)用,系統(tǒng)變更是不可避免的,變更管理是指對系統(tǒng)的基礎(chǔ)架構(gòu)或服務(wù)產(chǎn)生變更進(jìn)行控制的管理流程。變更管理的目標(biāo)是確保在變更實施過程中,對變更項進(jìn)行記錄與控制,從而對業(yè)務(wù)工作的影響減小到最低。

(5)財務(wù)管理

傳統(tǒng)的ITIL服務(wù)財務(wù)管理是負(fù)責(zé)預(yù)算和核算IT服務(wù)提供方提供IT服務(wù)所需的成本,它包括投資預(yù)算、服務(wù)成本核算和服務(wù)計費(fèi)三個子流程,目標(biāo)是通過量化服務(wù)成本減少成本超支的風(fēng)險、減少不必要的浪費(fèi)、從而最終保證所提供的服務(wù)符合成本效益的原則。

混合型外包服務(wù)的財務(wù)管理是由政府電子政務(wù)管理機(jī)構(gòu),根據(jù)行業(yè)電子政務(wù)規(guī)劃和發(fā)展需求,按年度制定行業(yè)電子政務(wù)的預(yù)算,同時跟蹤預(yù)算執(zhí)行情況。

(6)可用性管理

傳統(tǒng)的ITIL可用性管理是外包服務(wù)商通過分析用戶業(yè)務(wù)的可用性需求,依此優(yōu)化和設(shè)計IT基礎(chǔ)架構(gòu)的可用性,確保以合理的成本滿足不斷增長的業(yè)務(wù)需求的管理流程。

可用性管理在電子政務(wù)混合型外包服務(wù)管理中,是一個前瞻性的管理流程,系統(tǒng)管理員通過對業(yè)務(wù)和政府工作的可用性需求定位,使系統(tǒng)設(shè)計在真實需求的基礎(chǔ)上,適當(dāng)予以擴(kuò)充。

(7)績效評估管理

績效評估管理主要從電子政務(wù)系統(tǒng)的功能性、綜合性、技術(shù)性三方面確立評估指標(biāo),功能性涵蓋系統(tǒng)的功能實現(xiàn)、系統(tǒng)可靠性、系統(tǒng)業(yè)務(wù)邏輯性和系統(tǒng)界面,綜合性涵蓋系統(tǒng)社會效益、用戶滿意度、資源整合成效、可持續(xù)發(fā)展能力,系統(tǒng)技術(shù)性指標(biāo)涵蓋性能情況、質(zhì)量情況、擴(kuò)展性、資源管理等。

近年來隨著外包服務(wù)的發(fā)展,政府的資源逐漸集中到提升公共服務(wù)管理的能力上,但由于外包過程暗藏著業(yè)務(wù)控制權(quán)的轉(zhuǎn)移,使得政府信息化主管部門的邊緣化和空殼化,筆者認(rèn)為以ITIL方法進(jìn)行混合型外包管理,適當(dāng)調(diào)整電子政務(wù)建設(shè)、運(yùn)維中的管理分工,將使各級政府的電子政務(wù)建設(shè)與運(yùn)維工作取得可持續(xù)性發(fā)展。

參考文獻(xiàn)

[1] 李冠軍.電子政務(wù)服務(wù)理論及其支撐技術(shù)研究.

第9篇:電子政務(wù)的安全風(fēng)險范文

[關(guān)鍵詞]信息安全;等級保護(hù);云平臺

[中圖分類號]TP39[文獻(xiàn)標(biāo)志碼]A[文章編號]1009-8054(2015)12-0116-04

0引言

國家對非信息系統(tǒng)實行等級保護(hù)制度,等級保護(hù)測評的目的在于提高國家重要信息系統(tǒng)的信息安全保障能力和水平,維護(hù)國家安全、社會穩(wěn)定和公共利益,保障和促進(jìn)信息化建設(shè)[1]。伴隨著信息安全等級保護(hù)制度的貫徹實施,信息系統(tǒng)的安全保護(hù)能力有了普遍提升,相關(guān)人員的信息安全意識同樣有了提高。等級保護(hù)測評工作是查找信息系統(tǒng)安全問題的重要手段,國家相繼出臺了相關(guān)的標(biāo)準(zhǔn),來規(guī)范和指導(dǎo)信息安全等級保護(hù)測評,例如GB/T22239-2008、GB/T22240-2008、GB/T28449-2012等標(biāo)準(zhǔn)。筆者在對電子政務(wù)系統(tǒng)信息安全等級保護(hù)定級以及系統(tǒng)測評方面,根據(jù)在實際工作中遇到的問題,結(jié)合工程實踐,對測評中遇到的這些問題進(jìn)行分析,并給出了具體的解決方法。這些問題包括:電子政務(wù)外網(wǎng)定級與測評、測評中常見的重要問題分析,以及云平臺下開展等級保護(hù)測評工作應(yīng)關(guān)注的附加測評項等內(nèi)容。

1電子政務(wù)外網(wǎng)定級與測評

對于電子政務(wù)外網(wǎng)的定級,對剛剛接觸等級保護(hù)測評的機(jī)構(gòu)或測評人員來說,可能相對陌生。以往我們開展信息系統(tǒng)等級保護(hù)的定級和測評,都是以信息系統(tǒng)為測評單位,要對整個電子政務(wù)外網(wǎng)進(jìn)行定級,是否可行,定級范圍又是如何界定,下文將給出具體的分析。對一個信息化平臺是可以定級的,下面就以電子政務(wù)外網(wǎng)為例,來說明具體情況。電子政務(wù)外網(wǎng)是國家電子政務(wù)重要基礎(chǔ)設(shè)施,是承載各級政務(wù)部門用于經(jīng)濟(jì)調(diào)節(jié)、市場監(jiān)管、社會管理和公共服務(wù)等非涉及國家秘密的業(yè)務(wù)應(yīng)用系統(tǒng)的政務(wù)公用網(wǎng)絡(luò)。電子政務(wù)外網(wǎng)的定級對象為本級政務(wù)外網(wǎng)管轄范圍內(nèi)(由邊界設(shè)備確定)的所有網(wǎng)絡(luò)、計算、存儲和安全防護(hù)等各類設(shè)備、各種用于網(wǎng)絡(luò)運(yùn)維管理、安全保障的應(yīng)用系統(tǒng)、各種通信線路及支持所有軟硬件正常運(yùn)行的機(jī)房等基礎(chǔ)設(shè)施環(huán)境等。門戶網(wǎng)站系統(tǒng)、跨部門的數(shù)據(jù)共享與交換系統(tǒng)、數(shù)據(jù)中心內(nèi)的各業(yè)務(wù)應(yīng)用系統(tǒng)以及各級政務(wù)部門的各類應(yīng)用系統(tǒng)不包括在政務(wù)外網(wǎng)的等級保護(hù)范圍內(nèi),這些系統(tǒng)的的定級標(biāo)準(zhǔn)依據(jù)GB/T2224-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南》,測評標(biāo)準(zhǔn)依據(jù)GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》。在《國家電子政務(wù)外網(wǎng)安全等級保護(hù)實施指南》中,分別給出了等級保護(hù)二級和等級保護(hù)三級的定級范圍圖。其中,等級保護(hù)二級的定級范圍圖如圖1所示。圖中標(biāo)識為紫色的區(qū)域,就是電子政務(wù)外網(wǎng)的定級范圍。對于電子政務(wù)外網(wǎng)的測評,要依據(jù)兩個方面的標(biāo)準(zhǔn),其一是《國家電子政務(wù)外網(wǎng)安全保護(hù)等級基本要求》,在該標(biāo)準(zhǔn)中對IP承載網(wǎng)、業(yè)務(wù)區(qū)域網(wǎng)絡(luò)和管理區(qū)域網(wǎng)絡(luò)等方面提出了具體要求,包括結(jié)構(gòu)安全、訪問控制等具體要求項;其二是GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》。電子政務(wù)外網(wǎng)按照功能區(qū)域劃分可以劃分出6個安全區(qū)域,即公用網(wǎng)絡(luò)區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)、專用網(wǎng)絡(luò)區(qū)、用戶接入?yún)^(qū)、網(wǎng)絡(luò)和安全管理區(qū)、電子認(rèn)證區(qū)。在實際的測評工作工作中,要理解各個功能區(qū)域作用:互聯(lián)網(wǎng)接入?yún)^(qū):是政務(wù)部門通過邏輯隔離安全接入互聯(lián)網(wǎng)的網(wǎng)絡(luò)區(qū)域,滿足政務(wù)部門連接互聯(lián)網(wǎng)的需求。網(wǎng)絡(luò)管理區(qū):網(wǎng)絡(luò)管理區(qū)主要承載網(wǎng)絡(luò)管理信息系統(tǒng),通過網(wǎng)絡(luò)管理系統(tǒng)實現(xiàn)對管轄區(qū)內(nèi)網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備的狀態(tài)監(jiān)控及相關(guān)管理等功能;安全管理區(qū):安全管理區(qū)主要承載安全管理信息系統(tǒng),通過安全管理區(qū)實現(xiàn)對管轄區(qū)內(nèi)安全設(shè)備進(jìn)行日志采集、實現(xiàn)對網(wǎng)絡(luò)中的攻擊行為進(jìn)行報警等功能;公用網(wǎng)絡(luò)區(qū):采用統(tǒng)一分配的公共IP地址,實現(xiàn)各部門、各地區(qū)之間的互聯(lián)互通,為跨地區(qū)、跨部門的業(yè)務(wù)應(yīng)用提供數(shù)據(jù)共享與交換的網(wǎng)絡(luò)平臺。

2測評中常見的問題分析

2.1網(wǎng)絡(luò)結(jié)構(gòu)方面根據(jù)調(diào)研,筆者發(fā)現(xiàn)目前一些單位的二級系統(tǒng)由于應(yīng)用架構(gòu)簡單,面對互聯(lián)網(wǎng)提供服務(wù)的應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器被部署在一個網(wǎng)段,而且部署在內(nèi)網(wǎng)區(qū)域。很顯然,該種拓?fù)浣Y(jié)構(gòu)存在的問題主要體現(xiàn)在:1)應(yīng)用服務(wù)器和數(shù)據(jù)庫部署在一個網(wǎng)段,存在安全隱患,一旦面對互聯(lián)網(wǎng)的應(yīng)用服務(wù)器被惡意入侵,同網(wǎng)段的數(shù)據(jù)庫服務(wù)器將面臨很大的安全風(fēng)險。2)面對互聯(lián)網(wǎng)的應(yīng)用服務(wù)器部署在內(nèi)網(wǎng)區(qū)域,一旦該服務(wù)器被惡意入侵,將給內(nèi)網(wǎng)安全帶來安全風(fēng)險。對于該類網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),應(yīng)將應(yīng)用服務(wù)器設(shè)置在互聯(lián)網(wǎng)邊界防火墻的DMZ區(qū)域。在實際的測評工作中,我們也發(fā)現(xiàn)了個別單位擬對電子政務(wù)外網(wǎng)平臺進(jìn)行網(wǎng)絡(luò)結(jié)構(gòu)的改造,但往往又不清楚如何下手。據(jù)調(diào)研,現(xiàn)有的網(wǎng)絡(luò)拓?fù)鋱D互聯(lián)網(wǎng)出口過多,安全域劃分不合理,網(wǎng)絡(luò)區(qū)域的劃分非常分散,都是當(dāng)前網(wǎng)絡(luò)結(jié)構(gòu)方面面臨的問題。筆者建議這些單位負(fù)責(zé)網(wǎng)絡(luò)平臺運(yùn)維的相關(guān)人員要仔細(xì)閱讀《國家電子政務(wù)外網(wǎng)安全等級保護(hù)等級基本要求》和《國家電子政務(wù)外網(wǎng)安全等級保護(hù)實施指南》這兩個標(biāo)準(zhǔn),這個標(biāo)準(zhǔn)對電子政務(wù)外網(wǎng)功能區(qū)域的劃分,已經(jīng)給出了明確的說明。在不了解上述標(biāo)準(zhǔn)的前提下,對現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行盲目的調(diào)整,調(diào)整的結(jié)果仍然是網(wǎng)絡(luò)區(qū)域分散,互聯(lián)網(wǎng)出口過多、系統(tǒng)化不強(qiáng)。《國家電子政務(wù)外網(wǎng)安全等級保護(hù)實施指南》中給出的網(wǎng)絡(luò)功能區(qū)域的劃分圖如圖2所示。2.2重要網(wǎng)段防止地址欺騙為了做好重要網(wǎng)段防止地址欺騙工作??梢詮碾p向IP/MAC綁定入手。例如:重要的管理終端與該管理終端的接入網(wǎng)關(guān)之間,要實現(xiàn)雙向綁定。在管理終端上設(shè)置網(wǎng)關(guān)的靜態(tài)ARP信息,在網(wǎng)關(guān)上將管理終端的IP-MAC輸入到靜態(tài)表中。在實際的測評中發(fā)現(xiàn),重要網(wǎng)段防止地址欺騙在網(wǎng)絡(luò)設(shè)置中做的不多。2.3訪問控制信息安全等級保護(hù)的兩個目的,其一是保護(hù)信息系統(tǒng)數(shù)據(jù)的安全性,其二是保證信息系統(tǒng)的業(yè)務(wù)連續(xù)性。顯然,對服務(wù)器的保護(hù)顯得重之又重。在具體的測評中,我們發(fā)現(xiàn),在服務(wù)器區(qū)域邊界防火墻的訪問控制策略中,源地址范圍過大是常見的一類問題,而且該策略中,對應(yīng)的端口限制粒度也往往過大。2.4單點故障問題在測評中時常發(fā)現(xiàn),一些三級系統(tǒng)未采用冗余技術(shù)設(shè)計網(wǎng)絡(luò)拓?fù)鋱D,因而造成關(guān)鍵節(jié)點存在單點故障。避免單點故障就是為了保障系統(tǒng)的高可用性。2.5非法外聯(lián)的問題在等保測評的技術(shù)要求中,要求采用技術(shù)手段限制非法外聯(lián)行為。一些剛剛邁進(jìn)等級保護(hù)測評大門的相關(guān)人員可能會有如下錯誤的認(rèn)識:“待評測的信息系統(tǒng)面向互聯(lián)網(wǎng)提供服務(wù),而且被測評單位的所有計算機(jī)終端設(shè)備均允許連接互聯(lián)網(wǎng),該測評項因此可以判定為不適用”。實際上,上面的理解是不正確的,盡管該單位所有的終端都可以連接互聯(lián)網(wǎng),但是這些終端都是通過該單位統(tǒng)一的互聯(lián)網(wǎng)出口出去的,而且在互聯(lián)網(wǎng)邊界必定部署了相關(guān)安全設(shè)備,如放火墻、入侵防御設(shè)備等等。如果該單位某個終端用戶采用一個3G上網(wǎng)卡連接了互聯(lián)網(wǎng),這等于就打開了一個新的通路,而且這條通路上沒有任何的安全防護(hù)設(shè)備,這就破壞了網(wǎng)絡(luò)的邊界完整性,給內(nèi)網(wǎng)安全帶來了隱患。因此,限制終端用戶的非法外聯(lián)行為是十分必要的。2.6密碼加密的問題在測評中發(fā)現(xiàn),一些數(shù)據(jù)庫的用戶表中,密碼字段仍然是明文存儲,顯然這是非常不安全的,建議對密碼字段進(jìn)行加密,加密可采用md5(用戶名+密碼+隨機(jī)字符串)加密方式。2.7驗證碼繞過的問題在應(yīng)用安全測評中,我們發(fā)現(xiàn)一些應(yīng)用系統(tǒng)仍然存在admin這樣的管理員用戶,這就給密碼猜測提供了可能,建議重命名ad-min或administrator,此外,為了避免驗證碼繞過的問題,應(yīng)及時更新驗證碼(在登錄失敗時也要更新驗證碼),防止出現(xiàn)驗證碼被繞過問題的發(fā)生。2.8信息系統(tǒng)精確定級在進(jìn)行信息系統(tǒng)等級保護(hù)定級時,信息系統(tǒng)的使用單位一般都做到了信息系統(tǒng)定級,但是沒有做到準(zhǔn)確定級,也就是說沒有根據(jù)數(shù)據(jù)的安全性等級和業(yè)務(wù)連續(xù)性的安全等級來最終定位系統(tǒng)的安全保護(hù)等級。在一個三級系統(tǒng)的等級保護(hù)測評咨詢項目中,用戶將信息系統(tǒng)定為三級(S3G3A3),根據(jù)我們實際的調(diào)研發(fā)現(xiàn),該系統(tǒng)僅僅是一個數(shù)據(jù)備份系統(tǒng),對數(shù)據(jù)安全性要求可以達(dá)到三級要求,但對于業(yè)務(wù)連續(xù)性的要求是不需要定為三級的,因此就建議用戶對信息系統(tǒng)定級為三級(S3G3A2),這樣一來,既保證了信息系統(tǒng)安全性,也為使用單位設(shè)計、改造該系統(tǒng)的信息安全保護(hù)能力提供了準(zhǔn)確的指導(dǎo)建議。

3云平臺環(huán)境下的信息系統(tǒng)信息安全測評

隨著云平臺的發(fā)展,一些單位將應(yīng)用部署在云服務(wù)器上,當(dāng)前云應(yīng)用存在四個方面的安全風(fēng)險,一是共享技術(shù)漏洞引入的虛擬化安全風(fēng)險;二是云服務(wù)不可信帶來的信息安全風(fēng)險;三是多租戶模式帶來的數(shù)據(jù)泄露風(fēng)險;四是云平臺惡意使用帶來的運(yùn)營安全風(fēng)險?!疤摂M化”和“分散處理”是云平臺下兩項關(guān)鍵技術(shù),而云平臺是以虛擬機(jī)系統(tǒng)作為底層架構(gòu),因此虛擬機(jī)系統(tǒng)的安全是云安全的核心。這就給開展等級保護(hù)測評工作引入了新的要求。圖3給出了虛擬化環(huán)境層次分析模型[2]。圖中所示的Hypervisor為管理控制程序,負(fù)責(zé)對硬件資源的調(diào)度、管理VM(虛擬機(jī))、響應(yīng)VM。在該模型中,信息系統(tǒng)采用虛擬化技術(shù),用戶使用的服務(wù)器資源、網(wǎng)絡(luò)設(shè)備資源、安全設(shè)備資源等資源,均被放置在云端。用戶通過客戶端的瀏覽器頁面訪問信息系統(tǒng)的WEB頁面,由云端的虛擬化管理層對用戶進(jìn)行身份驗證,并分配相應(yīng)的資源。結(jié)合圖3所示,在進(jìn)行信息安全等級保護(hù)測評時,應(yīng)充分考慮三個層次存在的安全風(fēng)險[2]:對于用戶接入層:要關(guān)注終端安全、身份認(rèn)證、通信加密、連接安全等安全風(fēng)險點;虛擬化管理層:要關(guān)注Hypervisor自身的安全性、Hypervisor特權(quán)威脅、計算資源虛擬化等安全威脅;VM層:要關(guān)注數(shù)據(jù)集中風(fēng)險、逃逸威脅、VM鏡像的安全性、殘余信息保護(hù)等。針對云平臺下的信息系統(tǒng)信息安全測評,筆者認(rèn)為除了要依據(jù)GB/T22239-2008標(biāo)準(zhǔn)的基本要求對信息系統(tǒng)進(jìn)行測評外,還應(yīng)增加相應(yīng)的附加要求。這些附加要求包括:3.1網(wǎng)絡(luò)安全(1)結(jié)構(gòu)安全云服務(wù)提供商應(yīng)能提供完整的虛擬網(wǎng)絡(luò)環(huán)境說明,包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備的部署情況及作用說明,并提供給云平臺用戶備案;云服務(wù)提供商應(yīng)能對虛擬網(wǎng)絡(luò)的運(yùn)行狀況進(jìn)行監(jiān)控。(2)訪問控制應(yīng)在虛擬網(wǎng)絡(luò)邊界部署訪問控制設(shè)備,并啟用訪問控制功能;應(yīng)在客戶端到虛擬機(jī)之間部署訪問控制設(shè)備,并啟用訪問控制功能。3.2主機(jī)安全(1)身份鑒別對虛擬服務(wù)器進(jìn)行遠(yuǎn)程管理時,應(yīng)采取必要措施,防止用戶鑒別信息在網(wǎng)絡(luò)傳輸中被竊聽。(2)訪問控制應(yīng)采用技術(shù)手段控制虛擬機(jī)與物理主機(jī)之間、虛擬機(jī)之間的互訪。(3)剩余信息保護(hù)應(yīng)采取技術(shù)措施保證虛擬資源回收時,對數(shù)據(jù)進(jìn)行清除。(4)入侵防范物理主機(jī)中應(yīng)采用監(jiān)測技術(shù),對同一物理主機(jī)上各虛擬主機(jī)之間的通信進(jìn)行監(jiān)測。(5)資源控制應(yīng)限制每臺虛擬機(jī)資源使用的上限。(6)惡意代碼防范應(yīng)采用技術(shù)手段對虛擬機(jī)鏡像文件進(jìn)行保護(hù);在物理機(jī)和虛擬機(jī)中均應(yīng)安裝惡意代碼防范軟件,并及時更新惡意代碼軟件版本和惡意代碼庫。(7)剩余信息保護(hù)應(yīng)采取技術(shù)措施保證虛擬資源回收時,對數(shù)據(jù)進(jìn)行清除。3.3數(shù)據(jù)安全(1)數(shù)據(jù)完整性應(yīng)采用技術(shù)手段對虛擬機(jī)鏡像文件進(jìn)行完整性保護(hù)。(2)數(shù)據(jù)保密性應(yīng)采用加密或者其他保護(hù)措施實現(xiàn)虛擬鏡像文件的保密性。(3)備份和恢復(fù)對VMM(即Hypervisor)的安全配置、訪問控制策略進(jìn)行備份。

4結(jié)語

信息系統(tǒng)的等級保護(hù)測評工作是實踐性非常強(qiáng)的一項工作,由于新技術(shù)、新產(chǎn)品的應(yīng)用都將給測評工作帶來新的挑戰(zhàn)。本文結(jié)合具體的工程實踐,對電子政務(wù)外網(wǎng)的定級進(jìn)行了闡述,對測評中發(fā)現(xiàn)的一些重要問題進(jìn)行了分析,并結(jié)合當(dāng)前云應(yīng)用的情況,對信息安全等級保護(hù)測評的基本要求進(jìn)行補(bǔ)充。筆者也將在今后的文章中,對信息安全等級測評標(biāo)準(zhǔn)的理解與實踐,做更加詳細(xì)地陳述。

參考文獻(xiàn):

[1]孫鐵.云環(huán)境下開展等級保護(hù)工作的思考[J].信息網(wǎng)絡(luò)安全,2011(6):11-13.