电子政务信息安全保障体系
电子政务中的数据安全保障体系构建
电子政务中的数据安全保障体系构建随着数字化时代的到来,政府信息化建设已经成为现代化管理的重要内容。
在这个过程中,数据安全成为了政府信息化建设必须要关注的问题。
因为一旦政府重要数据泄露,可能会对政府信息化建设带来不可估量的影响。
因此,电子政务中的数据安全保障体系构建成为了政府信息化建设的重要组成部分。
一、电子政务中的数据安全保障需求电子政务系统作为信息型的政府服务机构,其所携带的数据量不可谓不庞大。
其中,包含了政府部门的公文交换、行政审批、政府采购、公共财务等各个领域的数据。
这些数据的存储、处理、交换和共享是政府无法绕过的难题。
然而,在数字化时代,这些数据面临着来自互联网、恶意软件和黑客攻击等多种威胁。
而政府作为一个大数据存储和交换的机构,安全说大不大,说小也不小。
一旦泄露,将引发群众恐慌和责任追究。
因此,政府在信息安全方面不断加强投入、完善制度、强化技术手段成为必然。
二、电子政务中的数据安全保障体系构建框架数据安全保障是一个系统工程,需要政府通过法制、技术措施和管理三方面来全面保护政府大数据安全。
为此,构建电子政务中的数据安全保障体系构建是至关重要的。
(一)法律制度保障电子政务中的数据安全保障需要依赖法律法规体系来进行保护,包括个人信息保护法、电信法、网络安全法等等。
其意义是将知识产权的安全性纳入法制体系和国家基本安全战略,为数字化政府及其相关产业和知识产权安全发展提供法律制度保障。
(二)技术手段保障在实现电子政务数据安全保障方案的过程中,技术手段发挥不可或缺的作用。
如利用密码学基础技术来保护数据加密、数字证书技术来实现数字身份识别和认证、入侵检测和防范系统来保障网络安全、双因素认证等,均是数据安全保障方案中最为常见的技术手段。
(三)管理措施保障政府应该通过建立完善的管理机制,以达到规范、科学、有效的管理目标,具体包括一些细节方面,如政府员工的网络行为要求,加强对网络攻击的防范,加强对安全检测和监测等方面的管理手段,才能使电子政务体系的数据安全保障体系构建得以真正有效的实现。
电子政务信息安全四大体系
电子政务信息安全四大体系作者:李艳电子政务的信息安全建设是在适当的信息安全保障体系和框架指导下进行的一项系统工程。
这项工程包括密切关联的四大体系:安全管理体系、预警检测体系、安全防护体系和响应恢复体系,其中,安全管理体系是整个信息安全保障体系中最核心的组成部分,是贯穿其他三个体系的主线。
1.安全管理体系安全管理体系的建立要遵循以下原则:符合法律、法规、标准;符合组织使命;符合组织利益。
建立健全安全管理体系,最重要的是针对电子政务的现有情况制定统一的行政管理制度,在整个网络系统中贯彻执行。
当然,根据当地网络的实际情况和具体网络应用的不同,适当作出调整,可以比较好地保证安全策略的统一性、一致性和可管理性。
2.预警检测体系预警检测体系包括入侵检测、漏洞检测、外联和接入检测、补丁管理等。
入侵检测系统是目前最为主要的一个广泛应用的技术和管理手段。
利用网络入侵检测系统,可以了解网络的运行状况和发生的安全事件,并根据安全事件来调整安全策略和防护手段,同时改进实时响应和事后恢复的有效性,为定期的安全评估和分析提供依据,从而提高网络安全的整体水平。
电子政务信息网络需要部署漏洞检测系统。
漏洞检测系统一般包括漏洞扫描引擎、控制中心、报表和显示中心及管理控制台4个功能组件。
在电子政务的网络系统内,防火墙等安全手段往往被一些违反安全策略的行为所破坏,包括MODEM拨号、双网卡或无线上网等各种方式接入互联网。
这些违反规定的非法外联行为使电子政务网络系统内的个人计算机毫无防范地接入Internet,在用户无意识的情况下,一些机密信息(包括机器和网络的所有配置信息以及数据文件)可能泄漏,由此危害整个电子政务网络的安全。
非法外联监控技术就是为了防范上述两类安全问题而设计的,它对内部人员的非法外联行为进行实时监控,对物理隔离措施或安全限制规定进行有效性检查。
补丁管理应该纳入组织的安全体系。
补丁管理的意义已经超出了传统的安全领域,成为维护企业信息系统正常操作所必须具备的措施。
电子政务的信息安全保障与隐私保护方法
电子政务的信息安全保障与隐私保护方法随着互联网技术的发展,电子政务作为政府与公民之间信息交流的重要渠道,得到越来越广泛的应用。
然而,在电子政务的发展过程中,信息安全和隐私保护问题也逐渐凸显。
政府需要采取一系列的措施,确保电子政务系统的信息安全,同时保护公民的隐私。
本文将介绍一些电子政务的信息安全保障和隐私保护的方法。
首先,对于电子政务系统的信息安全保障,政府可以采用以下几种方法:1. 强化网络安全防范政府应增强对电子政务系统的网络安全防范能力,通过建立健全的网络安全体系,隔离互联网与内部网络,并采用防火墙、入侵检测和防病毒等安全设备与技术,保护电子政务系统的正常运行和信息安全。
2. 加强数据加密保护政府应加强对电子政务系统中传输和存储的数据进行加密保护,采用安全的加密算法,确保敏感信息在传输和存储过程中不被窃取和篡改。
此外,政府还应制定相关的数据加密和安全管理制度,规范数据的使用与访问权限。
3. 建立安全审计与监控机制政府可以引入安全审计与监控技术,实时监测电子政务系统的操作和网络流量,及时发现并处理安全威胁。
同时,建立安全日志和事件记录,用于追溯和分析安全事件的发生和原因,加强对电子政务系统的安全管理。
其次,为了保护公民的隐私,政府需要采取以下方法:1. 加强个人信息保护政府应加强个人信息保护的法律法规建设,制定相关政策和法规,明确个人信息的收集、使用、存储和保护原则,规范政府部门和服务机构处理个人信息的行为。
在收集个人信息时,应事先明确告知目的和范围,并征得公民的同意。
2. 优化个人信息处理流程政府应优化个人信息的处理流程,避免过度收集和使用个人信息。
合理设置个人信息的保存期限,并在信息不再需要时及时删除或匿名化处理,以减少对个人隐私的侵犯。
3. 加强隐私信息安全政府应加强隐私信息的安全管理,采取技术措施确保个人隐私信息不被泄露或非法获取。
例如,建立隐私信息保护平台,对涉及隐私信息的数据进行分类、加密和权限控制,严格限制数据的访问权限和使用范围。
电子政务中信息安全保障机制的建立
电子政务中信息安全保障机制的建立随着互联网技术的不断发展和政府机构的数字化转型,电子政务已经成为了现代政府管理和社会服务的重要方式之一。
通过电子政务,政府机构能够更加高效、便捷地向公民提供各种服务和信息。
然而,随着电子政务的普及和应用,信息安全问题也逐渐凸显出来。
因此,在电子政务的建设和运营中,保障信息安全是至关重要的。
本文将探讨电子政务中信息安全保障机制的建立。
一、电子政务中信息安全的意义随着数字化和网络化的不断深入,人们不可避免地将更多的信息和数据交给网络。
在政府机构应用电子政务服务的过程中,公民的个人信息、企业的商业机密以及政府机构自身的敏感信息都需要得到保护。
如果这些信息被人为破坏、泄露或滥用,将会对政府机构、公民和企业都带来巨大损失。
因此,建立安全可靠的信息保障机制是电子政务建设的重要任务。
二、电子政务安全风险的特点电子政务的安全问题具有以下几个特点:1.专业性:电子政务安全技术要求较高,需要专业技术人员进行设计和维护。
2.复杂性:电子政务业务涵盖面广,受众广泛,信息来源复杂,信息处理过程复杂。
3.动态性:安全技术的发展非常快速,安全威胁的类型也不断变化,保障机制必须不断创新和更新。
4.法律性:隐私保护和信息安全已经成为了法律的重要要求,保障机制必须符合法律法规的要求。
以上几个特点,都表明了电子政务的安全问题需要得到重视,需要引入专门的机制,通过技术和管理手段解决安全问题,确保电子政务服务的安全可靠。
三、电子政务信息安全保障机制的建立为了有效地解决电子政务中存在的风险,建立科学、合理的信息安全保障机制是必不可少的。
下面是建立机制的主要步骤:1.制定信息安全保障框架在建立机制之前,政府需要明确电子政务安全保障的目标和基本原则。
建立安全保障框架可以为机制的建设提供指导。
安全保障框架应该包括有关技术、法律、组织和管理等各个方面的要素,并对机制的运作模式和流程进行描述。
2.制定信息安全保障政策政府在制定信息安全保障政策时,应该考虑到实际情况和法律法规要求。
电子政务建设中的信息安全保障
电子政务建设中的信息安全保障在数字化时代的今天,电子政务建设已经成为各国政府的必要措施。
而在电子政务建设中,信息安全保障显得尤为重要。
本文将探讨在电子政务建设中的信息安全保障措施。
一、信息安全威胁在电子政务建设中,信息安全威胁是不可避免的。
黑客攻击、病毒感染、网络钓鱼等威胁都会对政府机构和公民的信息安全造成极大影响,可能导致数据丢失、泄露、篡改等问题。
二、信息安全保障手段(一)技术保障在电子政务建设中,技术保障是非常重要的一环。
政府机构应该采取适当的技术手段,如使用防火墙、加密技术、入侵检测及防范系统等,来保障信息安全。
(二)政策保障政府机构应该建立完善的信息安全保障政策和规定,严格执行信息安全管理制度。
建立信息安全督查机制,定期开展安全检查,及时整改发现的安全漏洞和问题。
(三)人员培训政府机构应该加强员工的信息安全意识培训,加强信息安全危机管理的培训和演练,提高工作人员的信息安全防范意识和技能。
(四)公众教育政府机构还应该通过各种渠道,如网站、微博、微信公众号等,加强公众的信息安全教育与宣传,让公民了解网络安全风险和防范措施。
三、电子政务信息安全保障现状当前,我国电子政务建设信息安全保障情况较为良好,相继出台的《中华人民共和国网络安全法》及《中央政府门户网站信息安全规范》等一系列政策法规为信息安全保障提供了有力支持。
各个行业也在逐渐提高信息安全意识,完善管理体系,加强技术手段。
四、建议和展望在未来的电子政务建设中,应该加强信息安全保障。
政府机构应该制定更为完善的信息安全保障政策和规定,并加强技术手段的升级与改进,不断提高信息安全保障水平。
同时,公众也应该提高信息安全防范意识,同时也要积极参与到信息安全保障中来。
总之,在电子政务建设中,信息安全保障是不容忽视的问题。
只有大力加强信息安全保障措施,才能够更好地推进电子政务建设与发展。
电子政务信息安全的保障体系
、
电子政务信息安全的法律保障
有了相关 的法 律保 障 , 有 相应 的政 策 , 无 法保 没 也
的发展 , 、 国 已陆续 出台了相应 的法律 , 英 美等 为电子政 务的发展提供 了必 要的法律保 障。英 国政 府 于 20 00年 5月通过 了《 电子通信法 案》 确定 电子签 名 和其 他 电子 , 证 书在法院 审判 中可 以作 为证 据使用 。为 了强化 电子
程, 其核心是将政 府 的管 理 和服务 借助 信息 手段 集成 , 实现更高效 、 更廉洁务实 的政府 监 管和服 务。电子政务 拥有 经济 、 治 和军事 等多方 面 的不 同 价值 的信息 , 政 其 安全性决定 了政 府 机构 的行 政 事务 能否 正常 开展 。因 此, 电子政 务信 息 安 全就 成 为 电子 政 务最 为重 要 的基 石 , 电子政务建设和正 常运行 的前提条 件。随着信 息 是
化的发展, 电子政务信息安全问题 日益引起人们 的重 视, 而信息安全对 于促进 我国电子政务 的健康 有序发 展 具有深远意义 。根据 目前 的状 况 , 电子政务 信息安 全的 保障体系主要包括以下几个方面:
一
骗和滥用法》 等多部法律, 从法律上保护信息安全和隐 私 。美国联邦政府还规定 。 联邦 政 府的信息 系统 在 任何 没有通过隐私保 护 评估 和将 评估 报告 送交美 国联邦政 府首席信息官之前 , 不得 开始采集公 众信息 和投入 使 均
推进电子政务安全保障体系建设的几点思考
推进电子政务安全保障体系建设的几点思考吴世忠政府利用现代信息技术,推进政府办公自动化、电子化、网络化,实现全面信息共享,以更有效地履行管理职能实现治理目标,为社会提供公共服务,作为未来最适应时代要求的政府工作形态,电子政务的建设是我国当前信息化建设工作的重点。
如何应对层出不穷的变化,提出解决方案,推进新时期我国的电子政务信息化建设具有极其重要的意义,本文拟就当前我国电子政务信息化建设中所面临的问题、特点以及解决方式做出探讨。
一、网络与信息安全方面的五大问题今年上半年以来,电子政务信息化建设面临的安全问题在以下5个方面比较突出:病毒泛滥首当其冲。
新病毒相较去年有大幅攀升,特别是Bagle和 NetSky 等变种自年初至今层出不穷,病毒泛滥直接影响了我们电子政务的建设。
木马程序等间谍软件成为网络与信息安全保密的重要隐患。
我们在工作中发现,越来越多的木马程序植入到我国重要信息系统中,成为网络与信息安全保密的重要隐患。
根据保守估计,国内80%的网络系统,都存在木马程序和间谍软件问题。
黑客攻击活动向纵深发展,以经济和商业利益为目的的网络攻击行为渐为主流。
攻击手段大量还是以DOS为主,尽管这方面媒体报道的不多.但总体数量比去年仍有增加。
垃圾邮件问题十分突出。
它不但阻塞网络,降低系统效率和生产力,同时有些邮件还包括色情和反动的内容。
国家有关部门制订政策,采取技术措施,加大了对垃圾邮件的治理力度。
应用安全问题凸显。
应用安全在过去并没有得到足够重视,在应用安全问题中,在windows平台上利用windows系统新漏洞的攻击占70%左右,30%的安全问题与Linux相关。
面对病毒泛滥、木马程序肆掠盛行、应用安全问题凸显等当前我国电子政务信息化建设中存在的众多问题,通过对有关部委建设信息安全保障体系的服务活动和实践的总结,我们对电子政务信息安全保障体系建设有五个方面的新认识。
二、对电子政务信息安全保障体系建设的五点新认识1. 信息安全是一个治理问题实践使我们深刻认识到:由于信息化涉及到政务工作的方方面面。
电子政务安全保障体系
电⼦政务安全保障体系2019-10-30电⼦政务涉及对国家秘密信息和⾼敏感度核⼼政务的保护,设计维护公共秩序和⾏政监管的准确实施,涉及到为社会提供公共服务的质量保证。
电⼦政务是党委、政府、⼈⼤、政协有效决策、管理、服务的重要⼿段,必然会遇到各种敌对势⼒、恐怖集团、捣乱分⼦的破坏和攻击。
尤其电⼦政务是搭建在基于互联⽹技术的⽹络平台上,包括政务内⽹、政务外⽹和互联⽹,⽽互联⽹的安全先天不⾜,互联⽹是⼀个⽆⾏政主管的全球⽹络,⾃⾝缺少设防和安全隐患很多,对互联⽹犯罪尚缺乏⾜够的法律威慑,⼤量的跨国⽹络犯罪给执法带来很⼤的难度。
所有上述分⼦利⽤互联⽹进⾏犯罪则有机可乘,使基于互联⽹开展的电⼦政务应⽤⾯临着严峻的挑战。
对电⼦政务的安全威胁,包括⽹上⿊客⼊侵和犯罪、⽹上病毒泛滥和蔓延、信息间谍的潜⼊和窃密、⽹络恐怖集团的攻击和破坏、内部⼈员的违规和违法操作、⽹络系统的脆弱和瘫痪、信息产品的失控等,应引起⾜够警惕,采取安全措施,应对这种挑战。
电⼦政务的安全⽬标和安全策略电⼦政务的安全⽬标是,保护政务信息资源价值不受侵犯,保证信息资产的拥有者⾯临最⼩的风险和获取最⼤的安全利益,使政务的信息基础设施、信息应⽤服务和信息内容为抵御上述威胁⽽具有保密性、完整性、真实性、可⽤性和可控性的能⼒。
为实现上述⽬标应采取积极的安全策略:国家主导、社会参与。
电⼦政务安全关系到政府的办公决策、⾏政监管和公共服务的⾼质量和可信实施的⼤事,必须由国家统筹规划、社会积极参与,才能有效保障电⼦政务安全。
全局治理、积极防御。
电⼦政务安全必须采⽤法律威慑、管理制约、技术保障和安全基础设施⽀撑的全局治理措施,并且实施防护、检测、恢复和反制的积极防御⼿段,才能更为有效。
等级保护、保障发展。
要根据信息的价值等级及所⾯临的威胁等级,选择适度的安全机制强度等级和安全技术保障强壮性等级,寻求⼀个投⼊和风险可承受能⼒间的平衡点,保障电⼦政务系统健康和积极的发展。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
电子政务安全面临威胁和挑战电子政务涉及对国家秘密信息和高敏感度核心政务的保护,设计维护公共秩序和行政监管的准确实施,涉及到为社会提供公共服务的质量保证。
电子政务是党委、政府、人大、政协有效决策、管理、服务的重要手段,必然会遇到各种敌对势力、恐怖集团、捣乱分子的破坏和攻击。
尤其电子政务是搭建在基于互联网技术的网络平台上,包括政务内网、政务外网和互联网,而互联网的安全先天不足,互联网是一个无行政主管的全球网络,自身缺少设防和安全隐患很多,对互联网犯罪尚缺乏足够的法律威慑,大量的跨国网络犯罪给执法带来很大的难度。
所有上述分子利用互联网进行犯罪则有机可乘,使基于互联网开展的电子政务应用面临着严峻的挑战。
对电子政务的安全威胁,包括网上黑客入侵和犯罪、网上病毒泛滥和蔓延、信息间谍的潜入和窃密、网络恐怖集团的攻击和破坏、内部人员的违规和违法操作、网络系统的脆弱和瘫痪、信息产品的失控等,应引起足够警惕,采取安全措施,应对这种挑战。
电子政务的安全目标和安全策略电子政务的安全目标是,保护政务信息资源价值不受侵犯,保证信息资产的拥有者面临最小的风险和获取最大的安全利益,使政务的信息基础设施、信息应用服务和信息内容为抵御上述威胁而具有保密性、完整性、真实性、可用性和可控性的能力。
为实现上述目标应采取积极的安全策略:·国家主导、社会参与。
电子政务安全关系到政府的办公决策、行政监管和公共服务的高质量和可信实施的大事,必须由国家统筹规划、社会积极参与,才能有效保障电子政务安全。
·全局治理、积极防御。
电子政务安全必须采用法律威慑、管理制约、技术保障和安全基础设施支撑的全局治理措施,并且实施防护、检测、恢复和反制的积极防御手段,才能更为有效。
·等级保护、保障发展。
要根据信息的价值等级及所面临的威胁等级,选择适度的安全机制强度等级和安全技术保障强壮性等级,寻求一个投入和风险可承受能力间的平衡点,保障电子政务系统健康和积极的发展。
电子政务安全保障体系框架电子政务安全采取“国家推动、社会参与、全局治理、积极防御、等级保护、保障发展”的策略,鉴于电子政务的信息安全面临的是一场高技术的对抗,是一场综合性斗争,涉及法律、管理、标准、技术、产品、服务和基础设施诸多领域,所以电子政务安全,还要从全局来构建其安全保障的体系框架,以保障电子政务的健康发展。
电子政务安全保障体系由六要素组成,即安全法规、安全管理、安全标准、安全服务、安全技术产品和安全基础设施等安全要素(见图1)。
要素一安全法律与政策电子政务的工作内容和工作流程涉及到国家秘密与核心政务,它的安全关系到国家的主权、国家的安全和公众利益,所以电子政务的安全实施和保障,必须以国家法规形式将其固化,形成全国共同遵守的规约,成为电子政务实施和运行的行为准则,成为电子政务国际交往的重要依据,保护守法者和依法者的合法权益,为司法和执法者提供法律依据,对违法、犯法者形成强大的威慑。
《中华人民共和国保护国家秘密法》已实施13年,已不完全适应我国当前保密工作的现状,特别是电子政务的发展,亟待修订。
政务信息公开是电子政务的重要原则,为了拉近政府和公众的距离,使公众具有知情权、参与权、监督权和享用政府服务的权利,为公众提供良好的信息服务,充分挖掘政务信息的最大效益,开放政务信息资源(非国家涉密和适宜公开部分)服务于民是电子政务的重要特征。
尽快制订政务信息公开法,适度的解密和规范开放的规则,保护政府部门间信息的正常交流,保护社会公众对信息的合法享用,打破对政务信息资源的垄断和封锁,提高政府行政透明度和民主进程是非常有利的和必需的。
电子政务亟待电子签章和电子文档的立法保护,国际已有近20多个国家对数字签名和电子文档进行了立法,使数字签名和电子文档在电子政务和电子商务运行中具有法律效力。
这将大大促进电子政务和电子商务的健康发展,使电子政务原来的双轨制走向单轨制,这有利于简化程序、降低成本,充分显示电子政务效益是非常有利的。
个人数据保护(隐私法)的需求伴随电子政务的发展日显突出。
电子政务在实施行政监管和公众服务中有大量的个人信息(自然人和法人),如户籍、纳税、社保、信用等信息大量进入了政府网络信息数据库,它对完成电子政务职能发挥巨大作用。
但是这些个人信息如果保护不力或无意被泄漏,而被非法滥用,就可能成为报复、盗窃、推销、讨债、盯梢的工具。
在国外已经出现将盗用的个人隐私信息作为非法商品出售,以牟取暴利的情况,这样直接损害个人的利益,甚至危及个人的生命安危。
因此加快个人数据保护法的制订,是必要的。
还有很多法规的制订都直接关系到电子政务的健康发展,加快制订这些法规,势在必行。
要素二安全组织与管理我国信息安全管理职能的格局已经形成,如国家安全部、国家保密局、国家密码管理委员会、信息产业部、总参……分别执行各自的安全职能,维护国家信息安全。
电子政务安全管理涉及到上述众多的国家安全职能部门,其安全管理职能的协调需要由国家信息化领导机构,如国家信息化领导小组及其办公室、国家电子政务协调小组、国家信息安全协调小组等来进行。
各地区和部委建立相应的信息安全管理机构,以完成和强化信息安全的管理,形成自顶向下的信息安全管理组织体系,是电子政务安全实施的必要条件。
制订颁发电子政务安全相关的各项管理条例,及时指导电子政务建设的各种行为,从立项、承包、采购、设计、实施、运行、操作、监理、服务等各阶段入手,保障电子政务系统建设全程的安全和安全管理工作的程序化和制度化。
电子政务信息安全域的划分与管理是至关重要的。
电子政务有办公决策、行政监管和公共服务等三种类型业务,其业务信息内容涉及国家机密、部门工作秘密、内部敏感信息和开放服务信息。
既要保护国家秘密又要便于公开服务,因此对信息安全域的科学划分和管理,将有益于电子政务网络平台的安全设计,有益于电子政务的健康和有效的实现。
制订电子政务工程集成商的资质认证管理办法、工程建设监理机构的管理办法、工程外包商的管理机制和办法,以确保电子政务工程建设的质量和安全,特别是对于电子政务系统的外包制更要有严格的制约和管理手段。
对于电子政务中涉密系统工程的承建,还必须有国家保密局颁发的涉密系统集成资质证书,其他部分应具有国家或省市相应的系统集成商的资质证书。
对于电子政务涉密部分,不允许托管和外包运行,电子政务其他部分将按相关管理条例执行。
电子政务工程中使用的信息安全产品,国家将制订相应的采购管理政策,涉及密码的信息安全产品需有国家密码主管部门的批准证书,信息安全产品应有通过国家测评主管机构的安全测评的证书,维护信息安全产品的可信性。
电子政务系统信息内容根据管理需求,可以实施对信息内容的安全监控管理,以保护政务信息安全,防止由于内部违规或外部入侵可能造成的网络泄密,同时也阻止有害信息内容在政务网上传播。
制订电子政务系统的人员管理、机构管理、文档管理、操作管理、资产与配置管理、介质管理、服务管理、应急事件管理、保密管理、故障管理、开发与维护管理、作业连续性保障管理、标准与规范遵从性管理、物理环境管理等各种条例,确保电子政务系统的安全运行。
要素三安全标准与规范信息安全标准有利于安全产品的规范化,有利于保证产品安全可信性、实现产品的互联和互操作性,以支持电子政务系统的互联、更新和可扩展性,支持系统安全的测评与评估,保障电子政务系统的安全可靠。
国家已正式成立“信息安全标准化委员会”,近期成立了信息安全标准体系与协调工作组(WG1)、内容安全分级及标识工作组(WG2)、密码算法与密码模块/KMI/VPN工作组(WG3)、PKI/PMI工作组(WG4)、信息安全评估工作组(WG5)、操作系统与数据库安全工作组(WG6)、身份标识与鉴别协议工作组(WG9)、操作系统与数据库安全工作组(WG10),以开展电子政务安全相关标准的研制工作,支撑电子政务安全对标准制订的需求。
还将制订下列标准:涉密电子文档密级划分和标记格式、内容健康性等级划分与标记、内容敏感性等级划分与标记、密码算法标准、密码模块标准、密钥管理标准、PKI/CA标准、PMI标准、信息系统安全评估和信息安全产品测评标准、应急响应等级、保护目标等级、应急响应指标、电子证据恢复与提取、电子证据有效性界定、电子证据保护、身份标识与鉴别、数据库安全等级、操作系统安全等级、中间件安全等级、信息安全产品接口规范、数字签名……。
要素四安全保障与服务1.电子政务系统建设,要构建其技术安全保障架构,对大型电子政务系统要建立纵深防御体系。
·设置政务内网的安全与控制策略;·设置政务外网的安全与控制策略;·设置进入互联网的安全服务与控制策略;·设置租用公网干线的安全服务与控制策略,包括有线通信、无线通信和卫星通信的安全服务与控制策略;·设置政务计算环境的安全服务与机制。
采用纵深防御和多级设防,是电子政务安全保障的重要原则,通过全局性的安全防护、安全检测、快速响应、集成的安全管理与安全设施的联动控制,以达到系统具有防护、检测、反应与恢复能力。
2.推广电子政务信息系统安全工程(ISSE)的控制方法,全面实现安全服务要求。
电子政务安全系统的设计,首先要做好系统资产价值的分析,如物理资产的价值(系统环境、硬件、系统软件)、信息资产的价值、其数据与国家利益和部门利益的关联度;其业务系统(模型、流程、应用软件)正常运行后果所产生的效益,从而确定系统安全应保护的目标,在上述分析的基础上提出整个安全系统的安全需求,进一步定义达到这些安全需求所应具有的安全功能,然后探索系统可能面临的威胁类型,并找出系统自身的脆弱性,这些威胁和脆弱性有:·网上黑客与计算机犯罪;·网络病毒的蔓延与破坏;·机要信息流失与信息间谍潜入;·网上恐怖活动与信息战;·内部人员违规与违法;·网上安全产品的失控;·网络与系统自身的漏洞与脆弱性。
在这些威胁面前,要分析哪些威胁是本系统主要面临的威胁,哪些是次要的,对系统和任务造成的影响程度如何。
进行定性和定量的分析,提出系统安全对策,确定承受风险的能力,寻找投入和风险承受能力间的平衡点,然后确定系统所需要的安全服务及对应的安全机制(见表一),从而配置系统的安全要素。
在工程的生命周期中要进行风险管理、风险决策流程(见图2),这种风险管理是要对电子政务全程进行的。
系统投入运行要对其安全性进行有效评估,即评估者给出的评估证据和建设者采用的技术保障设施,的确能使系统拥有者确信已选用技术对策,确实减少了系统的安全风险,满足必要的风险策略(风险策略可以是“零”风险策略、最小风险策略、最大可承受风险策略或不计风险策略),使其达到保护系统资产价值所必需的能力(见图3)。