论文部分内容阅读
摘要:电子政务系统是政府及其相关部门进行社会管理以及为人民服务的重要信息平台,其安全性不仅影响着政府的社会形象,同时涉及人民的财产安全和国家的政治安全。基于此,该文对电子政务进行了概述,分析了电子政务系统常见的安全性问题,并从管理层面和技术层面两个角度对风险的成因进行了分析,同时从这两个角度提出了安全防护的策略,以期为实际的电子政务系统安全建设提供指导。
关键词:电子政务系统;安全风险;防护策略
中图分类号:TP393 文献标识码:A
文章编号:1009-3044(2019)36-0268-02
1电子政务概述
随着互联网信息技术的不断进步,政务处理也在向着信息化的方向迈进。目前,国外一些专家学者对于电子政务定义为:政府利用现代化计算机以及网络技术来将企业、社会组织、公民有机连接,促进信息交融提高政府工作效率同时,实现管理最大社会效益。从我国国情出发,我国政府及其相关部门的主要职能为经济管理、市场监督、社会管理和公共服务,从本质上讲,电子政府即是将政府及其相关部门的四大职能进行电子化、网络化和信息化。基于此,有学者指出,所谓电子政府,是利用现代信息技术以及互联网技术,实现数字化服务的一种工作模式,其是管理型政府向服务型政府转变的一个体现。一般意义上电子政府主要包括了:实时信息的公布、政府资源共享、网上民意调查、视频会议等等。
从上述定义可以看出,电子政府实际上就是习近平总书记提出的“互联网 ”的一种政府工作互联网思维,其利用了信息技术为代表的现代技术,将传统受时间、空间影响的部门服务予以整合,使其转变为服务各方主体的全新政府信息管理平台,可以实现行政决策、工作动态监督以及提供公共服务的服务型政府,使得政府和公众充分互动。
2电子政务系统风险分析
电子政务系统是为提升政府等相关单位的工作效率和工作质量而专门研发的办公系统,因此,电子政务系统接触到的都是有关国计民生的重要信息,提高其系统安全性是至关重要的。否则造成信息泄露,不仅给政府带来危机,也会导致企业、组织以及公民信息泄露。在黑客活动日益猖獗的今天,作为政府与民众之间的交互平台,其面临的风险是多种多样的,如网页被篡改、系统内部数据泄露、系统瘫痪等等。电子政府系统之所以会面临众多的风险,一方面,是由于信息技术的不断进步,网络安全问题已成为信息社会普遍面临的问题,加之电子政府系统信息的重要性,电子政务系统面临的攻击往往带有很复杂的社会性。另一方面,从管理层面来讲,地方政府或者相关部门对于网络安全重视程度低,这也导致了很多非技术安全问题的产生。
2.1电子政务系统常见风险
电子政务系统常见的风险有网页被篡改、系统内部数据泄露、系统瘫痪等。
政府网站是政府发布重大信息、新闻动态、法律法规的重要信息平台,一旦网页被篡改,不仅会对民众产生错误信息引导,而且还有损政府形象,甚至造成政治事件。信息技术的发展方便了民众表达自己的想法及心意,但是一些缺乏理性的民众很容易被一些不法组织利用,对政府网站发起攻击。另外,一些境外的黑客或出于某些政治目的,也会对政府网站造成威胁。
系统内部数据信息泄露对于电子政务系统来讲是较为严重的一类风险。电子政务系统往往包括政府网站、办公系统、内网信息平台等多个子系统,这些子系统中涉及的数据往往都是很重要的数据,如人口信息、企业信息等,这些数据不仅涉及公众隐私,而且涉及商业、政治机密,一旦泄露,其对民众、企业以及社会政治造成的危害是不可估量的。
电子政务系统瘫痪往往是由两方面的原因引起的,一方面是内部的原因,即系统的硬件或者软件出现了问题,系统无法正常工作,这一类的风险对于电子政务办公的影响较小,只要采取合适的预防和恢复措施,可以在很快的时间内恢复系统的使用。另一方面则是由于外部的攻击引起的,对于电子政务系统来讲,其一般分为系统内网和系统外网,内网往往是与外网相对安全隔离的独立网络,而外网与互联网则进行逻辑隔离。当系统受到外部攻击时,若系统没有安全有效地隔离措施或者访问控制权限,则就有可能导致整个系统瘫痪。
2.2电子政务系统管理层面的风险成因
从本质上讲,电子政务系统是政府及其下属机构进行办公及提供服务的现代化工具,当管理人员或者工作人员管理操作不当时,就会使得政务系统处于危险之中,或者当政务系统遭受威胁警告时,若管理人员没有采取合适的措施,则亦有可能造成危害的产生。从管理层面上来讲,该系统风险主要因素如下:
第一,地方政府网络安全意识淡薄。电子政务系统是在近些年随着信息技术的不断发展而逐步深入应用的,虽然各个地区的应用范围逐步扩大,但是人们对于信息安全的意识却没有得到太大的提升。因此,這导致很多地方的电子政务系统的软硬件安全防护没有做到位。普遍的安全意识低也导致了政府在电子政务系统安全方面的经费投入较少,很多信息安全的防护工作不能及时地开展。
缺乏专业的技术人员。在工作人员的配备方面,信息安全技术人员严重匮乏,导致在网络建设过程中重视技术应用而对于安全比较轻视,某些子系统在设计建设时,往往只注重工作的业务需要,而忽视系统安全保护措施,加之没有专业的安全防护技术人员,这导致系统的运行存在很大的风险。某些政府单位的网络维护工作都是交给第三方单位,虽然其具有技术高的优势,不过相对来说缺乏管理经验,而单位内部的管理人员却缺乏较强的专业技术和专业能力,这导致了政务系统安全防护的一对矛盾。
法律法规及制度建设缺乏。现阶段,有关于计算机安全的法律法规不足,电子政务系统的安全标准体系也没有统一的标准,对于一些经济欠发达的偏远地区,地方政府还没有建立起合适的信息安全保密管理制度,这些问题都给电子政务系统安全管理工作设置了阻碍。
2.3电子政务系统技术层面的风险成因 抛开管理层面的风险问题不讲,单从技术层面分析,电子政务系统面临着众多网络系统共同面对的安全问题,其主要包括以下几个方面。
第一,恶意软件的威胁。当今时代的网络信息复杂多变,互联网中的病毒、蠕虫、木马等恶意软件无处不在。在日常的工作中,如果某一台计算机感染了病毒,病毒则可以利用一些媒介进行广泛传播,例如exe、com等进行病毒复制,或者局域网侵袭其他电脑,甚至于通过优盘病毒来实现供给。
第二,DDoS攻击。该种攻击十分常见,其中当属Synflood攻击最为普遍,其对计算机连锁资源进行消耗,中断使用者访问网页操作。再者还存在UDPFlood和PingFlood的攻击方式,其通过占用网宽来达成影响正常访问的目的。
第三,APT攻击。APT攻击技术是指高级持续性威胁攻击技术,与其说是一种攻击技术,不如说是一种攻击模式。APT攻击往往是由技术强大的团队进行协作完成的,其攻击持续时间长、贯穿众多隐秘环节、危害性大,对于电子政务系统这种重要信息系统而言,其危害尤为严重。
3电子政务系统安全防护策略
前文介绍,电子政务系统的风险成因主要分为两个层面,一是管理层面,二是技术层面。因此,要想较为完善的对电子政务系统进行安全防护也应从管理层面和技术层面两个角度进行展开。
3.1管理层面的安全防护策略
首先,各级政府应该对于电子政务系统的安全问题给予高度重视,要根据本地区的系统建设情况制定系统运维、系统应急保障等安全管理制度,同时要严格确保制度地有效执行。对于一些重要的单位或者部门,应该大力引进专业人才,或者从本单位中培养优秀的懂管理和懂技术的人才。在实际的工作中,需要建设系统安全管理责任制,由第一负责人对安全负责,同时建立考核和奖惩机制,提高工作人员的信息安全意识。其次,要对各级政府网站、各职能部门网站进行备案,要求这些网站必须实名认证,其中省市政府牵头对所有单位以及部门的官网予以实名认证并进行防伪。要建立政府统一管理的网络数字认证部门,进行证书发放,下属政府网站需要紧密配合,确保相应的网站都具有数字证书。最后在省市政府引领下对政务系统信息安全予以级别评定,并健全保护措施。笔者认为,从安全等级来看,电子政务系统必须处在二级以上,这样的系统两年测评一次。若是三级电子政务系统则需要每年测评一次。
3.2技术层面的安全防护策略
从技术层面上讲,电子政务系统在建设时应建立起安全的架构体系,将服务器以不同功能予以区别划分,使其能够匹配相应的安全区域,能够对病毒、木马等有效隔离。要遵循最小安装原则来建立操作系统、信息系统平台,需要建立动态的漏洞修复工作机制,保障操作系统和信息系统的安全。目前,大部分的电子政务系统采用的是Windows操作系统,对于政务系统而言,应加快研发国产系统和国产软件的进度,减轻对国外产品和服务的依赖性。常用的安全架构如下图l所示:
其次,政务系统要加强对入侵行为和恶意代码的检测、防护与报警。需要积极地在网络边界设置防火墙,而且在检测上需要结合政务系统网络架构赋予不同检测程序,确保病毒入侵时得到有效反映,予以病毒隔离。而从系统设置方面来说,要将防病毒软件设置在服务器操作系统当中,要确保其动态更新提升防毒杀毒能力。从应用层面来讲,要及时对于应用程序本身的漏洞进行修改,同时也要对应用程序的配置漏洞进行修改。
最后,电子政务系统应对数据信息做好及时地备份工作,提高政务系统的容灾性能。对于重要的数据信息,至少要每周备份一次,每日一次差异备份操作,备份硬盘需要专门存放,对于备份的数据需要每年进行两次以上的校验,要确保数据数据信息的可用性和完整性。另外,在实际的政务系统运行过程中,网络的安全维护也要加大力度,要加强安全监控和安全监测的力度,各地区各部门应制定合适的应急处理措施,同时对于系统的外包工作进行严格的监控管理。
4结束语
在信息化时代中,电子政务系统不仅仅是一套单纯的政务办公系统,它也是政府与民众进行信息交流的重要平台。电子政务系统涉及的信息有关国计民生、有关政治安全国家安全和人民的生命财产安全,因此,政务系统的安全防护工作必须引起重视。政务系统的安全性威胁一般是由于管理层面和技术层面的不足引起的,对于管理层面的不足,政府及其相关部门要加大制度建设,同时加大资金投入,建立起安全的系统运行环境,若这两个方面的工作能做好,政务系统的安全性将大大提高。
参考文献:
[1]王冬冬,吴珍珍,麻仁俊,等.电子政务系统网络安全的防护策略[J].数字技术与应用,2019(6).
[2]王大鹏.电子政务网络安全风险及预防策略简议[J].通讯世界,2019(4).
[3]陈青民,方莉莉.构建电子政务网络安全運营体系[J].中国信息安全,2019(3).
【通联编辑:谢媛媛】
关键词:电子政务系统;安全风险;防护策略
中图分类号:TP393 文献标识码:A
文章编号:1009-3044(2019)36-0268-02
1电子政务概述
随着互联网信息技术的不断进步,政务处理也在向着信息化的方向迈进。目前,国外一些专家学者对于电子政务定义为:政府利用现代化计算机以及网络技术来将企业、社会组织、公民有机连接,促进信息交融提高政府工作效率同时,实现管理最大社会效益。从我国国情出发,我国政府及其相关部门的主要职能为经济管理、市场监督、社会管理和公共服务,从本质上讲,电子政府即是将政府及其相关部门的四大职能进行电子化、网络化和信息化。基于此,有学者指出,所谓电子政府,是利用现代信息技术以及互联网技术,实现数字化服务的一种工作模式,其是管理型政府向服务型政府转变的一个体现。一般意义上电子政府主要包括了:实时信息的公布、政府资源共享、网上民意调查、视频会议等等。
从上述定义可以看出,电子政府实际上就是习近平总书记提出的“互联网 ”的一种政府工作互联网思维,其利用了信息技术为代表的现代技术,将传统受时间、空间影响的部门服务予以整合,使其转变为服务各方主体的全新政府信息管理平台,可以实现行政决策、工作动态监督以及提供公共服务的服务型政府,使得政府和公众充分互动。
2电子政务系统风险分析
电子政务系统是为提升政府等相关单位的工作效率和工作质量而专门研发的办公系统,因此,电子政务系统接触到的都是有关国计民生的重要信息,提高其系统安全性是至关重要的。否则造成信息泄露,不仅给政府带来危机,也会导致企业、组织以及公民信息泄露。在黑客活动日益猖獗的今天,作为政府与民众之间的交互平台,其面临的风险是多种多样的,如网页被篡改、系统内部数据泄露、系统瘫痪等等。电子政府系统之所以会面临众多的风险,一方面,是由于信息技术的不断进步,网络安全问题已成为信息社会普遍面临的问题,加之电子政府系统信息的重要性,电子政务系统面临的攻击往往带有很复杂的社会性。另一方面,从管理层面来讲,地方政府或者相关部门对于网络安全重视程度低,这也导致了很多非技术安全问题的产生。
2.1电子政务系统常见风险
电子政务系统常见的风险有网页被篡改、系统内部数据泄露、系统瘫痪等。
政府网站是政府发布重大信息、新闻动态、法律法规的重要信息平台,一旦网页被篡改,不仅会对民众产生错误信息引导,而且还有损政府形象,甚至造成政治事件。信息技术的发展方便了民众表达自己的想法及心意,但是一些缺乏理性的民众很容易被一些不法组织利用,对政府网站发起攻击。另外,一些境外的黑客或出于某些政治目的,也会对政府网站造成威胁。
系统内部数据信息泄露对于电子政务系统来讲是较为严重的一类风险。电子政务系统往往包括政府网站、办公系统、内网信息平台等多个子系统,这些子系统中涉及的数据往往都是很重要的数据,如人口信息、企业信息等,这些数据不仅涉及公众隐私,而且涉及商业、政治机密,一旦泄露,其对民众、企业以及社会政治造成的危害是不可估量的。
电子政务系统瘫痪往往是由两方面的原因引起的,一方面是内部的原因,即系统的硬件或者软件出现了问题,系统无法正常工作,这一类的风险对于电子政务办公的影响较小,只要采取合适的预防和恢复措施,可以在很快的时间内恢复系统的使用。另一方面则是由于外部的攻击引起的,对于电子政务系统来讲,其一般分为系统内网和系统外网,内网往往是与外网相对安全隔离的独立网络,而外网与互联网则进行逻辑隔离。当系统受到外部攻击时,若系统没有安全有效地隔离措施或者访问控制权限,则就有可能导致整个系统瘫痪。
2.2电子政务系统管理层面的风险成因
从本质上讲,电子政务系统是政府及其下属机构进行办公及提供服务的现代化工具,当管理人员或者工作人员管理操作不当时,就会使得政务系统处于危险之中,或者当政务系统遭受威胁警告时,若管理人员没有采取合适的措施,则亦有可能造成危害的产生。从管理层面上来讲,该系统风险主要因素如下:
第一,地方政府网络安全意识淡薄。电子政务系统是在近些年随着信息技术的不断发展而逐步深入应用的,虽然各个地区的应用范围逐步扩大,但是人们对于信息安全的意识却没有得到太大的提升。因此,這导致很多地方的电子政务系统的软硬件安全防护没有做到位。普遍的安全意识低也导致了政府在电子政务系统安全方面的经费投入较少,很多信息安全的防护工作不能及时地开展。
缺乏专业的技术人员。在工作人员的配备方面,信息安全技术人员严重匮乏,导致在网络建设过程中重视技术应用而对于安全比较轻视,某些子系统在设计建设时,往往只注重工作的业务需要,而忽视系统安全保护措施,加之没有专业的安全防护技术人员,这导致系统的运行存在很大的风险。某些政府单位的网络维护工作都是交给第三方单位,虽然其具有技术高的优势,不过相对来说缺乏管理经验,而单位内部的管理人员却缺乏较强的专业技术和专业能力,这导致了政务系统安全防护的一对矛盾。
法律法规及制度建设缺乏。现阶段,有关于计算机安全的法律法规不足,电子政务系统的安全标准体系也没有统一的标准,对于一些经济欠发达的偏远地区,地方政府还没有建立起合适的信息安全保密管理制度,这些问题都给电子政务系统安全管理工作设置了阻碍。
2.3电子政务系统技术层面的风险成因 抛开管理层面的风险问题不讲,单从技术层面分析,电子政务系统面临着众多网络系统共同面对的安全问题,其主要包括以下几个方面。
第一,恶意软件的威胁。当今时代的网络信息复杂多变,互联网中的病毒、蠕虫、木马等恶意软件无处不在。在日常的工作中,如果某一台计算机感染了病毒,病毒则可以利用一些媒介进行广泛传播,例如exe、com等进行病毒复制,或者局域网侵袭其他电脑,甚至于通过优盘病毒来实现供给。
第二,DDoS攻击。该种攻击十分常见,其中当属Synflood攻击最为普遍,其对计算机连锁资源进行消耗,中断使用者访问网页操作。再者还存在UDPFlood和PingFlood的攻击方式,其通过占用网宽来达成影响正常访问的目的。
第三,APT攻击。APT攻击技术是指高级持续性威胁攻击技术,与其说是一种攻击技术,不如说是一种攻击模式。APT攻击往往是由技术强大的团队进行协作完成的,其攻击持续时间长、贯穿众多隐秘环节、危害性大,对于电子政务系统这种重要信息系统而言,其危害尤为严重。
3电子政务系统安全防护策略
前文介绍,电子政务系统的风险成因主要分为两个层面,一是管理层面,二是技术层面。因此,要想较为完善的对电子政务系统进行安全防护也应从管理层面和技术层面两个角度进行展开。
3.1管理层面的安全防护策略
首先,各级政府应该对于电子政务系统的安全问题给予高度重视,要根据本地区的系统建设情况制定系统运维、系统应急保障等安全管理制度,同时要严格确保制度地有效执行。对于一些重要的单位或者部门,应该大力引进专业人才,或者从本单位中培养优秀的懂管理和懂技术的人才。在实际的工作中,需要建设系统安全管理责任制,由第一负责人对安全负责,同时建立考核和奖惩机制,提高工作人员的信息安全意识。其次,要对各级政府网站、各职能部门网站进行备案,要求这些网站必须实名认证,其中省市政府牵头对所有单位以及部门的官网予以实名认证并进行防伪。要建立政府统一管理的网络数字认证部门,进行证书发放,下属政府网站需要紧密配合,确保相应的网站都具有数字证书。最后在省市政府引领下对政务系统信息安全予以级别评定,并健全保护措施。笔者认为,从安全等级来看,电子政务系统必须处在二级以上,这样的系统两年测评一次。若是三级电子政务系统则需要每年测评一次。
3.2技术层面的安全防护策略
从技术层面上讲,电子政务系统在建设时应建立起安全的架构体系,将服务器以不同功能予以区别划分,使其能够匹配相应的安全区域,能够对病毒、木马等有效隔离。要遵循最小安装原则来建立操作系统、信息系统平台,需要建立动态的漏洞修复工作机制,保障操作系统和信息系统的安全。目前,大部分的电子政务系统采用的是Windows操作系统,对于政务系统而言,应加快研发国产系统和国产软件的进度,减轻对国外产品和服务的依赖性。常用的安全架构如下图l所示:
其次,政务系统要加强对入侵行为和恶意代码的检测、防护与报警。需要积极地在网络边界设置防火墙,而且在检测上需要结合政务系统网络架构赋予不同检测程序,确保病毒入侵时得到有效反映,予以病毒隔离。而从系统设置方面来说,要将防病毒软件设置在服务器操作系统当中,要确保其动态更新提升防毒杀毒能力。从应用层面来讲,要及时对于应用程序本身的漏洞进行修改,同时也要对应用程序的配置漏洞进行修改。
最后,电子政务系统应对数据信息做好及时地备份工作,提高政务系统的容灾性能。对于重要的数据信息,至少要每周备份一次,每日一次差异备份操作,备份硬盘需要专门存放,对于备份的数据需要每年进行两次以上的校验,要确保数据数据信息的可用性和完整性。另外,在实际的政务系统运行过程中,网络的安全维护也要加大力度,要加强安全监控和安全监测的力度,各地区各部门应制定合适的应急处理措施,同时对于系统的外包工作进行严格的监控管理。
4结束语
在信息化时代中,电子政务系统不仅仅是一套单纯的政务办公系统,它也是政府与民众进行信息交流的重要平台。电子政务系统涉及的信息有关国计民生、有关政治安全国家安全和人民的生命财产安全,因此,政务系统的安全防护工作必须引起重视。政务系统的安全性威胁一般是由于管理层面和技术层面的不足引起的,对于管理层面的不足,政府及其相关部门要加大制度建设,同时加大资金投入,建立起安全的系统运行环境,若这两个方面的工作能做好,政务系统的安全性将大大提高。
参考文献:
[1]王冬冬,吴珍珍,麻仁俊,等.电子政务系统网络安全的防护策略[J].数字技术与应用,2019(6).
[2]王大鹏.电子政务网络安全风险及预防策略简议[J].通讯世界,2019(4).
[3]陈青民,方莉莉.构建电子政务网络安全運营体系[J].中国信息安全,2019(3).
【通联编辑:谢媛媛】