论电子政务中的信息安全

摘要: 我国的电子政务初步形成了以政府内外网为基础架构,以公众为服务对象,以效率为核心价值目标的电子政务服务体系。但是鉴于网络本身的缺陷、系统漏洞的不断出现和技术方面的不足等原因,电子政务信息安全面临着巨大的威胁,只有发现安全管理中的漏洞并

  摘要:我国的电子政务初步形成了以XX内外网为基础架构,以公众为服务对象,以效率为核心价值目标的电子政务服务体系。但是鉴于网络本身的缺陷、系统漏洞的不断出现和技术方面的不足等原因,电子政务信息安全面临着巨大的威胁,只有发现安全管理中的漏洞并针对漏洞加强管理,电子政务信息的安全才能获得保障。
  针对于电子政务信息安全管理的研究,本文运用管理学、信息学、网络安全、项目管理、风险分析等多学科的知识和方法,从当前存在的问题出发,从整体上对所要着重考虑的方面进行对策分析,以期为我国电子政务信息安全水平的提高提供一些参考建议。
  本文从对电子政务和电子政务信息安全的认识入手,对电子政务和电子政务信息安全的概念进行描述,明确电子政务信息安全管理的内涵。通过资料分析和数据整理,分析出在我国当前的信息安全管理中存在安全立法滞后、管理机构不健全、安全基础设施管理薄弱、项目建设质量差等问题。最后,结合多学科的知识和方法,对信息安全管理中存在的不同问题进行对策思考。分别从提高的电子政务信息安全观,完善制度和组织保障,加强安全基础设施建设和管理,提高项目安全建设质量等方面来对我国的电子政务信息安全管理进行对策分析。
  关键词:电子政务;信息安全;安全管理;
论电子政务中的信息安全

  第一章绪论

  一、研究背景和研究意义

  未来的世界是网络和信息的世界,随着网络信息技术的不断发展,信息已经成为社会财富增长的源泉,为社会的进步提供的源源不断的动力;同时,随着网络经济、网络文化、网络社区等的不断发展壮大,网络也成为人们生活的重要方面,网络成为人们获取信息、进行交流和互动的重要载体【1】。对于各国XX而言,电子政务作为一种新的XX管理模式,也正在重塑XX自身及XX与公众的交流方式。
  但不可否认网络是一把双刃剑,由于种种原因,网络欺诈、网络病毒木马、黑客攻击等安全问题不断出现,网络安全问题也成为继金融安全、环境安全、流行疾病安全问题之后的一个非常重要的非传统安全问题。对电子政务而言,电子政务系统是以XX为主体,在它的运行中涉及许多国家机密信息和高敏感度的核心流程,任何破坏和攻击,很有可能导致政务系统的瘫痪、政务信息的泄露和篡改,进而影响XX的威信和形象,甚至造成社会公众的恐慌,因而必须尽一切可能来确保它的安全。
  电子政务通过网络技术打破了XX办事的空间和时间障碍,可以为公众提供全天候的信息服务,这大大满足了公众的需求;同时,通过互联网传递信息,XX可以实现组织结构的优化和工作流程的再造,塑造出网络时代的服务型XX。因而,稳定安全的电子政务信息系统不仅是XX的期望,更是整个社会的要求。根据网络安全理论中的“木桶效应”,即信息系统的安全的水平取决于整个系统中最低的安全部分,因此,对于电子政务信息安全来讲,我们不能期望仅仅通过一种技术上的解决方案来实现电子政务的信息安全,而且经验也己经证明没有任何技术是完美无缺的,我们应当重视电子政务信息安全管理的研究,综合采用多种安全管理策略和手段,使各种安全技术成为一个有机协调的整体,这样才一能最大限度的保证我国电子政务信息的最大安全。
  目前在我国,一方面,电子政务信息系统中有许多的安全隐患和缺陷,安全管理不到位,信息系统面临着巨大的安全威胁;另一方面,我国对于电子政务信息安全管理问题的研究尚处于初级阶段,大多数侧重于研究技术方案制定和完善,不能形成宏观与微观相结合的整体安全管理体系,从而造成了信息泄露、政务系统瘫痪等安全事件不断出现,严重影响了我国电子政务的信息安全和公共服务水平的提高。对于电子政务信息安全管理问题的研究既有重要的理论和现实意义,又具有重大的政治意义

  二、研究现状

  对电子政务信息安全管理的研究是伴随着电子政务的发展而产生的,从20世纪九十年代开始逐步扩大,涉及安全标准、安全框架、安全模型、安全认证与测评等多个方面。
  国外关于电子政务信息安全管理标准的研究较早,在1995年英国首先提出(信息安全管理实施细则)。在这之后X和欧洲等国也提出了有关于信息安全管理的标准规范。至2000年,逐步提出了完整的GMITS(IT安全管理方针)。
  信息保障技术框架(IATF),是1998年由X国家安全局提出的,目的是为XXX的信息基础设施提供安全防护框架和解决方案指南。它定义了一个系统进行信息保障的过程,系统中硬件和软件部件的安全需求,提供“深层次防御策略”的多层次防护。在IATF3.O中将纵深防御体系划分为本地计算机环境、区域边界和基础设施。IATF强调技术并提供一个框架进行多层保护,以此防护计算机威胁,该方法可以使能够攻破一层或一类保护的攻击行为无法破坏整个信息基础设施。
  国外在电子政务信息安全管理和体系方面的研究较为深入。而在我国,电子政务的发展还是一个较为初级的阶段,但近年来,随着XX对它的关注,我国也取得了较大的进展。
  宁家俊认为电子政务信息安全必须受到足够的重视,它应包括信息状态安全和信息状态转移安全,是一个综合性的课题,因而,在XX网络建设中应从网络物理层、网络基础应用层和网络信息应用层三方面着手进行建设。纪建悦、王元月阐述了我国电子政务的发展状况,分析了我国电子政务发展中存在的安全问题和面临的安全威胁,并提出了相应的解决方法和防范策略【2】。沈昌祥指出保护网络安全的技术措施主要有:严密的身份认证;实施访问控制;采取安全信息传输加密算法和电子签名;病毒和防火墙技术;入侵检测技术;安全扫描技术等。任锦华从分析我国国内的网络安全问题现状入手,说明我国当前的软硬件技术水平严重妨碍了电子政务建设中的安全保障,在文献中,他对防火墙技术、入侵检测技术和安全审计技术等当前主流的网络安全技术进行了详细的优劣分析和比较【3】。郑晨阳和唐丹从电子政务安全中电子文档所面临的安全威胁出发,着重论述确保电子文档安全的技术策略、法律策略和管理策略,以及在电子文档安全策略实施需要注意的几个问题【4】。张维华在《我国电子政务信息安全体系建设中的几个问题》一文中比较全面的介绍了我国电子政务信息安全体系建设中存在的几个普遍的问题和需要注意的几个关系,以及必须解决的几个核心技术问题【5】。褚峻、苏震针对电子政务信息系统建设与运行过程中所遇到的安全问题,介绍了网络环境下的安全技术保障体系。阐述了数据加密技术、信息隐藏技术、安全认证技术、公钥基础设施PKI技术、物理隔离、虚拟专用网VPN等系统的安全原理与技术特征以及两种电子政务系统的安全解决方案【6】
  胡道元根据ISO七层网络协议提出了网络安全分层理论,认为在不同层次上应该有不同的安全着重点,而对于各层上的安全重点应采取不同的安全措施,以此达到较好的安全目标。
  余俊,王强从数据安全的角度出发,提出了具有安全技术支撑平台、物理安全策略、数据安全策略、应用安全策略组成的电子政务信息安全平合,提出综合运用相关技术和策略实现电子政务信息安全【7】
  国家信息安全重点实验室在沿用国际上的PDR(Protection、Detection、Response)网络安全理论模型的基础上提出了一个WPDRRC(预警W、保护P、检测D、反应R、恢复R和反击C)模型,试图从预警、保护、检测、反应、恢复、反击这六个环节和人、政策(包括法律、法规、制度、管理)、技术三个维度来构建信息网络安全保障体系。
  伟思公司提出了电子政务安全体系模型,该模型将电子政务安全体系分为四部分:可信的基础安全设施、安全技术支撑平台、容灾与恢复系统和安全管理体系。从我国的实际出发,该模型将电子政务系统分为四个相对独立的安全管理域:网间信息交换层、外网公众服务层、内网办公业务层、内网核心数据层。总体来讲,该模型通过对安全资源的有区别的对待,对各种不同级别的安全资源进行有区别的对待。
  从以上可以看出,我国学者对电子政务安全的研究也比较多,但主要集中在对电子政务安全问题的论述、安全技术的介绍、电子政务安全建设原则、电子政务安全安全策略、技术层面的安全体系建设等方面,缺乏更为深入的研究,尚处在初级阶段。

  第二章电子政务信息安全管理的概念

  电子政务是信息社会发展的产物,它的产生有主观和客观两个方面的原因,在客观上,网络的普及是电子政务发展的直接需求,信息技术和互联网的高速发展为其提供了物资基础;在主观上,知识和信息成为社会发展的关键性资源,X未来学家托夫勒说过:“谁掌握了信息,谁控制了网络,谁就将拥有整个世界”【8】。当前人们越来越重视对信息资源的利用,对XX的公正和效率的要求越来越高。
  电子政务可以理解为XX跨越部门和时间的限制,全天候的向公民提供各种公共服务。联合国经济社会理事会将电子政务定义为,XX通过信息通信技术手段的密集性和战略性应用组织公共管理的方式,旨在提供效率、增强XX的透明度、改善财政约束、改进公共政策的质量和决策的科学性,建立良好的XX之间、XX与社会、社区以及XX与公民之间的关系,提供公共服务的质量,赢得广泛的社会参与度【9】。
  电子政务信息安全是关系XX和社会稳定的重要问题,但如果仅仅寄希望于技术上的“完美解决方案”安全是很难得到保证的,随着安全环境、攻击技术、密码破译方法的发展,新的威胁又会产生,而且所有的技术都是由人来进行操作的,如果不能把管理和技术进行结合,再先进的技术也是没用的,因而,“三分技术七分管理”,电子政务信息安全管理是贯穿于电子政务的整个发展过程中。
  电子政务信息安全管理有狭义和广义之分,从狭义上来讲,电子政务信息安全管理是指对人员、组织和制度的管理,主要包括管理规章制度的制定,组织体系的建立,安全管理人员的培训和操作流程的管理;从广义上讲,电子政务信息安全管理是指XX运用各种安全策略和手段,对电子政务实施的各个阶段进行安全管理,包括系统建设项目安全管理、入网信息安全管理、安全技术支持管理、安全运行维护管理、安全制度环境保障管理、安全基础设施平台管理等各个方面,既涉及国家的宏观层面,也涉及各个部门单位自身的微观层面。笔者在本文中所指的电子政务信息安全管理均是广义上的定义。

  第三章我国电子政务信息安全管理的基本现状分析

  电子政务安全是关系XX和社会稳定的重要问题,但如果仅仅寄希望于技术上的“完美解决方案”,安全是很难得到保证的,因为任何技术都不是完美无缺的,随着安全环境、攻击技术、密码破译方法的发展,新的威胁又会产生,而且所有的技术都是由人来进行操作的,如果不能把管理和技术进行结合,再先进的技术也是没用的,因而,电子政务信息安全管理是贯穿于电子政务的整个发展过程中。
  就我国电子政务安全发展历程来看,我国的政务安全建设也是随着电子政务的不断深化而不断推进。最早开始于通信保密的管理,早期注重对通信环境和信息的安全加密管理,随着电脑在XX工作中发挥越来越多的作用,安全建设的重点也转向了对单机数据的保护,主要是对单机系统或局域网内少数服务器进行必要地安全防护。在进入21世纪后,随着我国电子政务的不断发展,政务系统面临的安全环境越来越复杂,我国的电子政务安全建设也逐渐转向了整个政务网、安全技术解决方案和安全策略等各个方面,逐渐形成具有整体性、战略性的政务安全管理框架,对安全技术、安全策略、安全战略等各个层面有了较好的发展。

  一、我国电子政务信息安全环境分析

  (一)网络普及率有待提高
  从CNNIC公布的《第25次中国互联网络发展状况调查统计报告》来看,我国互联网的普及率为28.9%,但网络发展存在明显的“东中西”现象和城乡差距。由于在网络普及上存在很大差距,因而,我们可以说如果无法缩小网络发展差距,XX电子政务建设也就是“无源之水无本之木”,无论XX的电子政务搞的多么完善,最终都不会实现为广大的人民服务的目的。
  (二)多种安全威胁并存
  1、外部安全威胁
  第一,病毒破坏。病毒威胁不单是电子政务系统所面临的安全问题,也是让每个互联网用户头疼的问题。我国的电子政务网络结构大多是内外网结构,一旦内网内的一台电脑感染病毒就可能危及整个网络的安全。
  第二,黑客攻击和信息间谍。黑客们处于各种目的,对系统进行入侵、网络窃听、密文破译、流量分析、密钥破解等活动。
  第四,信息恐怖活动和信息战争。主要是国与国层面的信息战争,这种威胁虽然不是经常出现,但它们常常以摧毁国家信息基础设施、制造并散布恐怖信息、发布虚假信息、窃取军事情报、攻击指挥系统及破坏社会经济等为目的。
  第五,自然灾害。因温度、湿度、灰尘、雷击、静电、地震等因素引起的设备损坏,一旦发生,后果往往是灾难性的。
  2、内部安全威胁
  第一,安全意识不强。这主要体现在系统管理员和大多数的网络用户身上,因为思想麻痹、经验不足及对后果的估计不足等原因,导致感染病毒或系统缺陷。
  第二,恶意破坏。主要是内部安全人员因为各种原因对内部服务器和网络设备所进行的破坏数据、损坏设备等活动。
  第三,内外勾结。主要是内部人员为了金钱等利益,与外部敌对势力合作,向其出卖情报、破坏数据、破坏系统等。
  第四,滥用职权。非职责查看内部信息、非职权使用系统等
  第五,管理疏漏和操作不当。体现在管理上制度不完善、人员组织不合理、缺乏监控措施及权责不清等。
  第六,软、硬件故障。电磁泄露、操作系统漏洞、数据库故障、协议漏洞、设备老化等。
  (三)安全损害剧增
  这几年,网络犯罪逐渐发展为有组织的行为,由过去的“黑网页”、“改内容”等损害形式发展为直接人为破坏、对机密商业信息和个人隐私的窃取。安全问题的影响也由一个部门和一个局部网络发展为干扰国家管理和社会稳定的程度。随着网络攻击手段的加强,网络损害的影响不断加强,无论是人为破坏,还是技术故障,均需要我们付出相当大的代价。
  从以上的分析,我们可以看出,我国的电子政务发展尚处在“单向信息发布”向“双向交流”的转变阶段,各个业务内容尚在初步建设之中。我国电子政务安全环境更是不容乐观,各种针对XX部门的攻击、病毒侵袭不断。因而,我们必须对安全问题有足够的重视。

  二、我国电子政务信息安全管理的情况

  经过二十多年的发展,我国的电子政务安全问题虽然较为突出,但随着我国XX对电子政务安全的重视和资金投入的增长,我国的电子政务信息安全管理水平有了比较大的进步,在法律、管理机构、安全标准、基础设施等方面都有了较大的改进。
  从安全法律法规方面来讲,从上世纪90年代开始,xxxx、公安部等有关部门就开始制定一系列信息系统安全方面的法规,如1992年发布的《计算机软件保护条例》、1994年颁布的《中华人民共和国计算机信息系统安全保护条例》等。在电子政务安全建设初期,这些法规是进行信息安全工作的重要依据。进入21世纪以后,随着我国电子政务事业的不断进步,我国的电子政务安全法律也在不断完善,
  从安全管理机构的建设上来看,2001年8月成立的国家信息化领导小组作为最高级别的协调管理机构,经过这几年的发展,我国国家安全管理职能的格局已经形成,各地区和部委建立相应的信息安全管理机构,以完成和强化信息安全的管理,也已经形成了自顶向下的信息安全管理组织体系,这是电子政务信息安全管理实施的必要条件。
  从安全标准方面来讲,近年来,我国的电子政务相关安全标准工作也有了较大的进展,2002年组建了“国家电子政务标准化总体组”,总体组编写了我国《电子政务标准化指南》,从六个方面对我国的电子政务的标准化建设指明了方向,同时参照国际标准,发表了《信息安全技术网络基础安全技术要求》GB/T20270-2006、《信息安全技术信息系统安全管理要求》GB/T20269-2006等七十多个安全标准。
  从安全技术方面来讲,我国的信息安全产业不断发展,由起初的购买外国技术到开发具有自主知识产权的安全软件和设备,我国的网络安全技术能力不断提升,同时安全应用理念和方法也得到了不断的更新,安全产品种类也日益丰富,具备了一定的构建全面信息安全技术解决方案的能力。
  通过以上的分析,我们可以看出,我国电子政务信息安全管理的各个方面都取得了较大的进步,已经有了较好的安全管理基础。但我们也要看到,因为种种原因,中国的电子政务信息安全管理仍处于起步阶段,我国的电子政务信息安全管理在理论和实践上尚存在许多尚待解决的问题。

  第四章我国电子政务信息安全管理中存在的问题

  通过对电子政务信息安全管理的探讨,我们知道电子政务信息安全管理是一个涉及多方面问题的概念,安全管理存在于电子政务建设和运行的各个阶段,而如果在一个环节出现弱点,则可能会影响系统的整体安全,因而我们在探讨电子政务信息安全管理时必须要从总体上去把握,这样才能事半功倍。近几年来,我国电子政务系统的安全管理得到了长足的发展,但在现有阶段,我国电子政务信息安全管理仍存在许多的问题和不足。

  一、电子政务安全立法滞后

  电子政务系统内部的流通文件、信息、指示等涉及国家核心政务,有些甚至涉及国家机密,电子政务的安全关系到国家的安全和整个社会的利益,因此电子政务安全的实施和管理必须以国家法律的形式将其固定化,规范各方面的行为,并为司法提供法律依据。
  在我国,电子政务发展经历了二十年的发展,虽然在网络信息安全、电子政务方面颁布了一些信息安全法律法规,取得了一定的进步,但与国际对比,立法仍较为落后,无法满足技术和系统方面的应用需求。当前我国电子政务安全法律方面主要存在以下几方面的问题:
  (一)立法意识落后,不能适应新的安全形势
  在目前的有关电子政务安全方面的法规在立法时大多规定的过度原则化或笼统,在具体实施中就会缺乏可操作性,形成有法规而不知如何去实施的局面,最终法律在实际中没有得到很好的执行,也就不能发挥法律的真正效用。
  信息安全立法缺乏战略规划,立法步伐跟不上信息安全的发展需要,造成了部分安全立法在实施中自相矛盾,没有充分预见到信息安全的发展情况,有些法律甚至会阻碍安全管理的实施和发展,不能很好的处理好安全与发展的关系。
  (二)有关安全管理立法稀少,立法层次低
  在我国现行政策法规难以适应网络发展的需要,信息立法还存在相当多的空白【11】。我国的信息安全立法大体可分为两类,一是部门规章,如《计算机信息网络国际联网安全保护管理办法》;一类是单行法律法规。如1994年2月发布的《中华人民共和国计算机信息系统安全保护条例》。我国在电子政务信息安全管理方面并未有较高效力的专门的法律,而且在已经颁布的关于电子政务安全方面的法规的立法层次不高,缺乏基础性的立法,这样不能保证较高的法律效力,很难对新发生的安全事件进行有效的管理和协作。
  (三)现有安全法规混乱,部门各行其是
  我国有关电子政务的安全立法大多较为分散,没有一个完整的体系,关于安全管理的规定大多零散的分布在《档案法》、《XX信息公开条例》、《保守国家秘密法》等法律中。在已出台的条例和规定之间的协调性和相通性不够。而在这些部门法规中,存在内容重复交叉,而又因为是不同部门发布的,而有许多矛后和冲突,尚未形成统一的标准和鉴定体系【12】,造成了我国电子政务信息安全管理较为混乱。

  二、信息安全管理机构建设不完善

  当前,我国电子政务信息安全管理的发展中,除了在管理立法方面存在着诸多的问题之外,在管理组织、机构设置和职能分配上也存在着不少的问题。
  (一)安全管理职能分散,协调管理能力差
  电子政务我国的电子政务系统大多是各个部门牵头组建,对于它的安全管理也大多存在于部门内部,而在国家层面上,对电子政务安全的管理权限分布于国家安全局、国家保密局、公安部、工业和信息化部等部门【13】。电子政务信息安全管理职能尚处在条块分割,各行其是,相互隔离的阶段,在遇到职能交叉的问题时,多头管理的现象时有发生,这样极大的妨碍了国家有关法规的贯彻执行,很难对我国的电子政务安全做统一而有效的管理。2001年成立的国家信息化领导小组虽然统领我国的电子政务工作,但在电子政务安全上缺乏一个具有最高权威的统一机构,信息安全相关的管理机构与国家信息化领域机构之间还没有充分沟通,缺乏统领全局又有具体职责和行动的国家级的安全管理机构,各部门在应急处理时,大都处于单兵作战的状态。
  (二)人员安全责任界定模糊
  电子政务信息安全管理工作是责任工程,任何参与其中的人员都必须有责任意识,在《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)中,明确指出我国信息安全保障工作必须实行信息安全责任制,要按照谁管理谁负责、谁运营谁负责的原则,将安全责任落实到人。但在实际的工作中,我们经常会发现许多部门的安全责任界定模糊,对于电子政务系统管理员、信息管理员等直接与系统接触的人员的责任规定较为严格,而对于平常的公务员的安全责任的规定则较松懈;在有些部门的安全责任规定仅仅是一纸空文,并不能落到实处。
  (三)整体安全意识薄弱
  电子政务是“一把手”工程,这一理念已经在世界范围内达成了共识,而对于电子政务信息安全管理来讲,这一理念同样适用于电子政务信息安全管理之中【14】。强调“一把手”工程仅仅是明确了安全管理需要领导的重视和支持,并不是否认普通职员的作用,但在实际中,“安全是领导要考虑的事情”、“安全管理与我无关”的思想在公务员中流行,整体安全意识不强。而要确保电子政务的整体安全需要普通公务员、技术支持团队、安全管理团队的协同合作,因而这种“安全与我无关”的思想绝对要不得。
  (四)封闭建设,导致“安全孤岛”大量存在
  任何电子政务安全项目都是国家电子政务安全建设的组成部分,都应当按照统一的标准和要求来进行建设,这也是发展电子政务安全建设应用的全局观,但在实际中因为标准、部门利益等多方面因素,一些地区和部门进行封闭式的建设,在建设中不考虑与相关部门的协调和互操作,不能很好的兼顾电子政务安全建设的连续性和继承性,制造了一个个“安全孤岛”,这样既不利于整体安全水平的提高,又会给安全管理带来不必要的麻烦,而且在出现安全问题时,不能很好的进行协调和解决。

  三、信息安全基础设施管理薄弱

  电子政务是建立在Internet之上的网络系统,它需要规模巨大的基础设施的支持,对于安全而言,统一、安全、顺畅的安全基础设施的运行更是电子政务安全运行的前提和保证。就一般而言,安全基础设施主要包括统一的网络安全平台、数据容灾备份中心、安全认证与测评中心、统一的安全认证PKI体系、病毒防护和应急响应机构等。安全基础设施的建设和管理就如一座大楼的地基,它的好坏直接决定了整个电子政务安全的水平。我国的安全基础设施建设和管理在最近十多年里有了巨大的进步,但也存在许多的问题。
  (一)安全基础设施重复建设问题突出
  自20世纪90年代中期以来,我国围绕“三金工程”进行了一系列的信息化基础设施建设,这为整个国家的信息化发展做出了巨大的贡献,当一前基础设施建设面临将众多的项目进行整合,推进其互联互通的工作【15】。但目前,许多行业和部门在没有对整个国家的信息化基础设施有全面的了解的情况下,盲目上新的项目,这样极易造成重复建设,资源浪费。
  以PKI/CA建设为例,在目前,几乎所有的大型电子政务安全解决方案中都有这样的规划,这样也造成了我国的各个CA呈现相互分割,形成了许多互不相连的孤立安全信任域,这样也就无法形成完整的PKI体系,在己建成的CA运营机构中,大多数规模偏小、利用率低,而且目前CA的建设缺乏国家法规的支持,安全标准规范在实施中问题不少,最终导致了对CA的管理问题突出。
  (二)应急处理能力差
  就我国目前的情况来看,我国初步建立了以国家计算机网络应急技术处理协调中心为主的国家应急协调体系,但在其它的安全基础设施建设中,尚未建成统一的安全认证平台、完整的安全标准体系、国家级的病毒防护安全体系,这也使具体的电子政务安全项目建设陷入被动的局面,最终导致了覆盖整个国家的安全防护体系未能完全建立,而这样在出现紧急安全事件时,不能从国家层面上对整个安全体系进行统一的指挥和调度管理,也就不能对问题进行及时的处理,甚至会因为应急处理不理导致同样的安全问题一再发生。因而在总体上,我国的安全基础设施在加大统一建设力度的同时,要加强应急处理能力的建设,制定行之有效的应急预案和处理规程,从基础层面上提升我国的信息安全应急处理能力。

  四、信息安全项目建设质量不高

  电子政务安全建设是一项系统工程,因而对电子政务安全做好整体规划,进行系统地安全风险分析,以项目化的运作来保证项目进度和质量。电子政务安全项目遵循项目管理的流程,也必须有系统的需求分析、风险分析、系统设计、系统实施、系统测试、系统验收等多个环节,只有以严格的项目管理方法和手段为保障,才能建设出符合实际的高质量的电子政务安全系统。
  但在当前,一些部门的电子政务安全项目设计中,没有发展规划,也不做安全风险分析,没有建设重点和先后顺序,虽然已经开始引入了安全风险分析和评估机制,但总体而言,还是处在初级阶段。许多部门的安全系统设计都是外包给IT公司,自己做起了“甩手掌柜”,而且XX在电子政务安全项目管理中的监管意识不强,对外包公司的管理松懈。由于IT公司对XX运作流程的不了解,再加上与XX部门的沟通不畅,在系统设计和实施时往往会想当然的进行建设。这样建设出来的安全系统,要么不符合XX的实际,无法保证电子政务的最大安全,要么与XX运作流程相抵触,使安全系统的后续管理更加困难。

  第五章完善我国电子政务信息安全管理的对策思考

  随着电子政务安全环境的恶化,电子政务信息安全管理问题会越来越多,但如果仅仅依靠单一的安全策略和管理措施是无法保证电子政务安全的最大化。笔者认为,在当前我国电子政务的安全管理要着眼于解决以下几个方面的问题。

  一、提高对电子政务信息安全管理的认识

  电子政务信息安全管理的参与者的安全意识和错误的安全观念是电子政务安全的大敌,对于电子政务信息安全而言,只有XX部门对电子政务信息安全的现状、管理目标、重要性和建设原则有清醒的认识才能提高我国的电子政务信息安全水平。因此在XX中树立正确的电子政务信息安全观是我们进行电子政务信息安全管理的先决条件。
  (一)分清主次,树立有所为、有所不为的安全观
  一个电子政务系统安全保密性能超出安全保密的管理要求不但没有必要,而且还会造成资金上的浪费,因此,在电子政务建设中,我们应奉行有所为、有所不为的安全观。对于存有大量机密信息的XX部门、核心机构可以暂时不进行面向社会的电子政务建设,待技术和管理成熟时再进行建设。而对一些社会部门、经济部门,可以加快电子政务安全建设。在技术和管理策略不是很完善的条件下,应该以“过程”的角度去考虑安全问题,“边发展边安全”的做法不失为一个很好的解决方法。
  (二)树立相对安全的观念,避免进入“绝对安全”的误区
  就像任何事情都有两面性一样,安全也是相对的。没有绝对安全的地方,但也不是所有的地方都不安全,这是安全问题的悖论,安全是一种平衡的游戏,安全的界定随着时间、地点的不同而变化,信息安全是一种没有底线的风险游戏【18】。对电子政务而言,系统的安全策略总不可能保证绝对的安全,因为对任何技术或安全策略来讲,给人足够的时间都是可以攻破的。因而,我们在进行电子政务安全建设和管理中首先要树立相对的安全观,在现有条件下可以保证该保护的系统和信息资源的安全就是最好的安全。盲目追求“绝对的安全”,到头来既会造成投资的浪费,也会使该保护的没有保护好,无法发挥安全系统的最好效用。
  (三)综合权衡安全、成本、效率,确保适当的投入获得最大的安全
  安全并没有统一的尺度,对于各地区、各部门而言,安全的发展也是不平衡的,对安全的要求也随之不同。绝对的安全是没有的,电子政务系统也不是“越安全越好”【19】。必须根据电子政务系统的实际要求做到恰到好处。在进行电子政务安全设计的时候,必须根据实际应用情况,协调好安全、成本、效率三者的关系。从成本和效益的关系来分析,也是一个保持综合平衡的问题,应尽可能地降低安全投入成本,使有限的安全资金发挥最佳的使用效益。
  (四)统一规划,标准管理,形成规范管理的习惯
  电子政务信息安全管理最重要的是形成整体的防御能力,因而,对于各个部门电子政务系统的安全接口、网络逻辑结构、数据结构等有统一的标准,建设在国家基础安全设施平台基础上的统一的电子政务安全标准,各部门在保证各部门电子政务安全运行的基础上,确保电子政务安全体系的无缝隙集成,从而在不断的发展中提升我国的电子政务安全防御能力。
  (五)平衡安全与开放的关系,提升公共服务水平
  从安全本身来讲,系统越安全,流程和确认手续越多,可能会耽误时间和资金,而且会造成一定的封闭性,但从电子政务的建设目标来讲,电子政务系统是面向公众的,是为节省公众的时间和资金,取得较高的办事效率和满意度。因此,在二者之间并不能偏袒哪一方。电子政务的安全性与平台的开放性是电子政务信息安全管理中很难把握的一对矛盾。一方面要把握信息分级管理机制,另一方面要避免“绝对安全”的思维,科学、适度的安全既是最好的安全。在逐步提高电子政务信息安全管理水平的同时,提升XX的公共服务水平。

  二、完善制度和组织保障体系

  电子政务信息安全管理是在电子政务安全系统之中进行的。从宏观的角度来讲,信息系统是XX工作的一部分,XX的法律、制度、组织安排会对管理的水平和效率产生极大的影响,因而,构建完善的安全法律、制度和组织保障
  (一)改进立法理念,完善我国电子政务安全法律体系
  安全法律建设是核心,没有完善的安全法律体系就不能很好的规范电子政务建设中的相关问题,安全管理也就成了“无源之水,无本之木”【20】。目前我国已颁布相当数量的信息安全方面的法律规范,但从总体上来讲,这些法规的立法层次不高,立法理念相对滞后;电子政务安全的立法还处于一个纲领性规定的阶段。
  对于以上问题,笔者认为应从以下几点进行规范:
  第一、由“堵”为“疏”的安全法律设计理念。要从彻底改革国家传统的政务管理体制入手,将滞后的管理方法和管理策略进行有选择的使用,同时要从整个电子政务发展的高度,将立法的出发点放在扫清建设和管理的障碍上,放在规范化、标准化上。
  第二,将安全法律的建设与安全标准的制定结合起来。我国的安全标准的制定和安全法律体系存在“双低”的情况,因而我国在电子政务安全法律建设中更应当应将法律制定与标准的规范化结合起来。
  总而言之,及早建立并完善我国电子政务安全法律体系,只有这样才能做到依法治网,依法建设,有法可依,有法必依。
  (二)加强XX人员的安全管理和培训,建设“人力防火墙”
  人员管理是安全管理的重要环节。多项针对电子政务安全事件调查的结果表明,绝大多数安全事件是由XX内部人员的误操作或故意行为造成的,而从安全角度来看,XX内部人员既是潜在的威胁,也是安全制度的执行者和保护对象。对于XX人员的安全管理必须坚持分类、分级、适度和责任追究的原则。
  从安全管理的角度来讲,XX人员分为两类,一类是电子政务信息安全管理人员,一类是XX公务员。对于这两类人员要进行不同的管理和培训。
  对于安全管理人员,包括安全审计员、系统管理员、数据库管理员、安全分析员等,要坚持“引进人才,培养人才”的原则。其次,对于现有的安全管理人员要加强基本安全素养和技能的培训。第三,要完善安全人员管理制度。明确安全责任、清楚界定职责范围,将安全绩效考核与职位晋升联系起来。对于平常的XX工作人员,要加强对他们的培训。

  三、加强各项安全基础设施建设

  从根本上来讲,所有的网络应用都是在国家网络基础设施的基础上建立起来的。网络安全基础设施作为其中重要的内容,是当前绝大多数网络应用的基础和第一道安全屏障。经过二十多年的发展,我国的网络基础设施趋于完善,初期的巨大投入开始有了回报,在今后的发展中,网络基础设施的重点也应从建设逐步转向对基础设施的管理和体系的完善上。
  (一)完善信息安全标准认证管理
  在网络安全中,制定统一的安全标准有利于安全产品的规范化,有利于保证产品安全可信性,实现对产品的统一部署,有利于电子政务系统的互联、互信和互操作性,保障电子政务系统的安全可靠。在网络基础设施中,安全标准的制定是最基本的环节,虽然它输出的仅仅是一些标准化的文档,但这些标准化的安全文档正是实现更高级的应用的基础,没有这些标准化的安全文档,更高级的安全应用都只是“空中楼阁”。从总体上讲,信息安全标准规范包括电子文档密级划分和标一记格式、安全事件处理、应急响应规范、密码算法标准、密钥管理标准、PKI/CA标准、PMI标准、信息系统安全评估和网络安全产品测评标准等内容。
  为完善我国未来的信息安全标准化,要重点完善三个方面的安全标准:首先,为配合PKI安全认证平台的建设,要尽快完善PKI/CA公钥基础设施相关标准的制定;其次,完善相关安全流程和要求的标准,对于工程质量、安全操作、安全测评要求等;第三,尽快完善相关安全技术标准。
  (二)构建国家级病毒防护安全平台
  伴随网络的发展,病毒威胁也在不断增强,而病毒的破坏不容小视,轻则造成软件故障、系统崩溃,重则造成数据丢失、硬件故障。
  我国的网络病毒防护体系建设尚处在初级阶段,我国电子政务部门系统和信息的安全绝大多数还是要靠自身的安全保障体系的防护。建设覆盖全国网络的病毒防护安全平台,统一国家基础病毒防护平台可以很好的提升我国抗击计算机病毒的能力。在国家基础病毒防护安全平台的建设中,XX要加强与大的病毒防护软件厂商的合作,充分利用它们的病毒检测和防护能力,努力打造出覆盖全国的基础病毒防护平台。
  (三)加强应急响应机构的协作管理
  安全不是百分之百的,任何系统都有被入侵的危险,因此,应急响应成为任何一个系统所必须考虑的问题。但如果仅仅从某个单位和部门的角度来考虑,应急响应明显会有许多的局限性,每个系统都需要相互的协作和外部的支持。国家建设的综合性的应急响应机构就是为了更好的处理这个问题而出现的。
  当前要逐步建立覆盖全国的安全技术支持服务体系。在己经成立的各国家信息中心技术支持分中心中要充分利用网络、电话等技术手段,结合内外部的技术力量,在应用系统建设和运行过程中,做好安全软件研发、推广、维护、升级等技术支持服务工作。同时规范技术支持体系的运行,建立以省级运行维护为单位的安全技术支持节点,建立起相应的灾难恢复和数据备份中心,并与威胁预警体系、病毒防护体系相连接,各部门间实行协作运行机制,切实处理好紧急电子政务安全事件.

  四、提高安全建设质量

  从总体上来讲,电子政务安全系统的生命周期包括建设阶段和运行维护阶段,这两个阶段涉及到两个不同的管理类型—项目管理和与运营管理。一个系统的建设的质量的好坏既会影响到系统的健壮性和稳定性,也会影响到系统上线后的运行和维护成本。电子政务安全项目的管理决定了整个电子政务安全系统的安全程度和管理难度。
  (一)改进外包开发模式,提高信息安全建设的针对性
  电子政务安全项目开发有两种方式:XX自行开发和外包开发。相比较而言,外包开发有更大的优势,专业开发商具有较强的技术实力和人才优势,外包模式有更高的经济效益。因而,在电子政务安全项目的建设中,最好采用外包开发的模式,但运用这个模式必须XX时刻掌握项目管理的主动权。在进行电子政务安全建设之前,要选择合适的IT外包企业,要对承包安全项目的厂商的安全资质进行严格的审查,从安全技术实施能力,安全理念、安全保密制度等多个方面进行综合评定,同时明确界定其责任和义务,加强对其工作范围、工作进度、项目质量的监管。
  (二)明确电子政务信息安全建设原则
  首先,要协调好质量、进度和成本之间的关系。在电子政务安全项目中,质量、进度和成本是必须要好好处理的三个方面。总的来讲,在电子政务安全项目中,首先要保证项目目标—政务系统安全性的实现,在这个基础之上,要保证项目在计划的时间内完成,同时,必须将预算控制在既定的范围内。
  其次,做好电子政务项目的规划。规划是保证电子政务项目建设得以顺利实施的基本条件,良好而具有前瞻性的项目管理规划可以保证避免项目进行中所遇到的问题。对于电子政务项目而言,规划性要体现在对建设目标的明确性、对项目风险的预测性上。
  再次,以标准为管理准则。项目管理是一种遵循已有的规定和标准的管理方式,而从安全管理的角度来讲,良好的标准化是系统安全运行的重要保证。在电子政务安全项目管理中,要依据已有的各种实施标准,如GB/T9361—1988《计算机场地安全要求信息安全技术信息系统通用安全技术要求》、GB/T9385—1988《计算机软件需求说明编制指南》、《电子政务综合业务网建设规范》等标准来进行管理,从而保证电子政务安全系统建设的质量。
  第四,进行充分的沟通。在项目管理中,最重要的是各层级、委托方与实施方之间的充分的沟通,对于电子政务安全项目来讲,许多外部IT企业的项目经理对XX内部的业务流程不了解,对于XX安全保护的特点不明确,可能会造成项目的不适用,因而,坚持充分的沟通原则是电子政务安全项目成功的关键。
  (三)优化电子政务项目信息安全管理流程
  1、安全需求分析
  在安全需求分析阶段,从安全的角度来讲,要着重处理三方面的问题:第一,分析安全现状,明确安全需求。对现状的认识和分析是任何项目开始的基础,只有对现状有了充分的认识。第二,做好项目安全风险评估。对于安全风险的提早评估不仅可以保证安全系统项目建设顺利进行,更可为安全系统所面对的各种威胁的消除提供事先的预案。从而提高整个系统的安全性。第三,完善的安全系统设计。安全系统的设计阶段是将安全需求进行细化的阶段,但它不同于项目实施过程,这一阶段更多的是对系统逻辑结构和物理结构的设计和分析。
  2、项目实施安全管理
  电子政务安全系统建设包括硬件和软件两个方面,包括硬件产品的购买和配置、软件系统的开发和测试等。对于电子政务安全项目实施中,要着重从以下几个方面进行管理和控制【24】:
  第一,良好的进度安排。进度管理,要确保在合同约定的时限内,完成各个时段的工程。
  第二,明确的费用管理。电子政务安全项目的费用管理是指在己经批准的预算条件下,确保项目保质按期完成。对于电子政务安全项目必须建立较为完整的项目费用管理机制,这样才能对项目的投入体现出计划性、约束性和控制性。
  第三,完善的质量管理。电子政务安全系统项目的质量管理是围绕项目而开展的规划、实施、控制、监督和审核等活动。包括质量计划、质量保证和质量控制三个方面。
  3、项目交付与评估
  运用于项目管理的理论,项目的交付是项目管理的一个很重要的里程碑,这一阶段中,安全系统已经完成了大体的测试,并进入了试运行的阶段,在这一阶段中,要注意的问题主要有以下几个方面:第一,项目开发文档的整理与归档。安全系统开发厂商要提交系统开发过程中所用到的所有的开发文档,包括:安全需求说明书,系统分析、系统设计、使用、维护说明书等文档。第二,系统验收。这是整个安全系统建设中最重要的环节,在这一环节中,项目监理和项目业主共同对系统进行全面的评估和测试,具体包括:安全系统的功能、质量、可靠性、运行的稳定性等方面。第三,系统的安全管理培训。在系统开发完成后,IT厂商要对电子政务安全系统的管理者进行一定的培训,让他们熟悉新系统的功能和操作流程。

  结论

  当前对于电子政务信息安全问题的解决,在技术层面已经有较多的安全技术解决方案,但技术仅仅是着眼于设备硬件,很难对更深层次的安全问题进行控制,而且技术是一把“双刃剑”,它的好坏决定于谁在用,怎么用。对于安全来讲,任何一个细小的漏洞或弱点都会导致整体的不安全。
  电子政务信息安全问题的解决需要技术和管理两方面的共同配合。技术层面着眼于解决安全问题的客观因素,管理层面侧重于主观因素。电子政务信息安全管理是安全制度建设、机构协调、管理流程优化、基础设施的保障和建设与运行管理的配合。
  总之,我们不能期望于仅仅通过技术的手段就可以确保电子政务的信息安全,也不能期望仅仅通过一种方法或一种策略来实现电子政务信息安全。我们要将技术与管理结合起来,同时采用多种管理策略和手段,灵活调配各种安全技术和策略,这样才能最大限度的保证我国的电子政务的信息安全。
  参考文献
  【1】[美]尼葛洛庞帝.数字化生存[M],海南出版社,1997年版.
  【2】纪建悦,王元月.试论我国电子政务现状、问题及发展策略[J].科学学与科学技术管理,2002,(6)
  【3】任锦华.电子政务网络和信息安全[J],电子政务,2005(1)
  【4】郑晨阳,唐丹.电子政务中电子文档安全策略研究[J],信息管理,2004(3)
  【5】张维华.我国电了政务信息安全体系建设的几个问题[J],电子政务,2005(8)
  【6】褚峻,苏震.电了政务女全技术保障[J],中国人民大学出版社,2004
  【7】余俊,王强.电子政务的各个体系建设[J],中国管理信息化,2007(2)
  【8】http://www.topoint.com.en/html/artical/2009/02/225829.html
  【9】电子政务_百度百科http://baike.baidu.com/view/2056.htm
  【10】《第25次中国互联网络发展状况调查统计报告》.
  http://researeh.cnnie.html/263531336dl752.htm
  【11】李会欣,冯杰.我国电子政务运行的安全问题及对策[J],《福州大学学报》2002(3)
  【12】张楚,安永勇.信自、网络女全的法律保障[J],《计算安全》,2004(2)
  【13】吴亚非.决胜电子政务安全—电子政务安全建设中的问题与对策[J],信息化建设,2004(3)
  【14】刘颖,苏俊.电子政务的安全现状及安全需求[J],攀枝花学院学报,2007(5)
  【15】李峰.电子政务安全面临的问题与对策[J],沈阳干部学刊,2005(6)
  【16】丰洪才,吴煜煌,汪军.电了政务中的网络信息安全设计[J],计算机与数字工程,2004(3)
  【17】沈友军.我国发展电了政务的资金投入与技术要求[J],中国行政管理,2004(2)
  【18】杜文忠.电子政务系统越“安全”越好?[J],中国信息界,2005(11)
  【19】杜文忠,马丽平.电子政务该有怎样的安全观[J],计算机安全,2005(5)
  【20】安永勇.电子政务女全—法律的视角[J],信息网络女全,2006(7)
  【21】陶建平,张永福.X电了政务安全策略分析[J],计算机安全,2007(1)
  【22】永江.公钥基础设施保证电子政务安全[J],金卡工程,2006(2)
  【23】李佳娜.电子政务安全风险分析及解决方案[J],中小企业管理与科技,2010(9)
  【24】[美]吉多.克莱门斯.成功的项目管理[M],机械工业出版社,2001
下载提示:

1、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“文章版权申述”(推荐),也可以打举报电话:18735597641(电话支持时间:9:00-18:30)。

2、网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。

3、本站所有内容均由合作方或网友投稿,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务。

原创文章,作者:写文章小能手,如若转载,请注明出处:https://www.447766.cn/chachong/4147.html,

(0)
写文章小能手的头像写文章小能手游客
上一篇 2020年2月14日
下一篇 2020年2月14日

相关推荐

My title page contents