您好,欢迎访问三七文档
当前位置:首页 > 办公文档 > 其它办公文档 > 电子政务的信息安全与保障建设讲座
1电子政务的信息安全与保障建设讲座安徽行政学院王邦元第一部分电子政务的信息安全概述主要讲两方面的内容:我国信息安全管理现状,电子政务建设的信息安全。一、我国信息安全管理现状国家为了适应以信息化带动工业化这个基本发展策略,把信息化作为我们抓住战略机遇,建设小康社会的重要战略举措。中央在十五发展规划的建议里,关于信息化的描述是这样的,“大力推进国民经济和社会信息化,是覆盖现代化建设全局的战略举措。以信息化带动工业化,发挥后发优势,实现生产力的跨越式发展。”在未来的几十年内,信息化是我们国家将紧紧抓住的发展机遇。在信息化的发展过程中,如何保障,妥善处理好网络与信息安全的问题,使得我们在信息技术的使用上能够趋利避害,使信息内容的发展能够健康,积极向上,符合三个代表的思想。中央在十五规划建议里对信息安全问题做了明确的论述,明确提出要强化信息网络的安全保障体系,为国家信息化的发展保驾护航。最近几年,国家采取了多方面的措施:•国家加大了宏观管理力度。2001年8月,中央政治局常委决定,成立我们国家最高层次的国家信息化领导机构,重新组建了国家信息化领导小组,综合协调我们国家政治、经济、文化、军事等各个领域的信息化和信息安全工作。•强化信息安全管理体系。党和国家长期以来一直十分重视安全保密工作,并且从敏感性,特殊性和战略性的高度把安全保密工作自始至终置于党和国家的绝对领导之下。中央机要管理部门,国家安全机关,公安机关和国家保密主管部门分工协作,各司其职,形成了维护国家信息安全的管理体系。上述各部门在最近五到八年期间都针对信息化的发展,在自己的职责范围内积极、主动地做了大量信息安全管理工作。•加强了基础设施建设,强化国家对信息安全的管理。这五年内,中央批准成立了两个非常重要的机构,一个是国家信息安全测评认证中心,负责管理和运行国家信息安全的测评认证体系,对信息安全产品,信息系统,对提供信息安全服务的单位以及提供信息安全服务的人员进行测试,考试和认证。第二个重要机构是国家计算机网络与信息安全管理中心,负责管理和运行国家计算机网络的内容监控和应急协调工作。这两个机构目前都在国家信息安全管理中发挥着技术支撑的作用。•重视信息安全技术,积极推动产业化。国家把信息产业的核心技术,包括硬件和软件的研究与开发放在了优先发展的战略地位,大力发展具有自主产权的信息技术。信息安全作为信息技术的重要技术,这些年来也得到了快速的发展。首2先是基础研究获得了空前的重视。科技部的863计划,973计划都将信息安全作为重要的主题予以支持。国家计委,信息产业部也在大力推进信息安全技术的产业化。同时,国家也在积极的制定相应的技术标准,以适应加入WTO以后的新的形势。信息安全的学术研究也非常活跃,大家从媒体上能够直观的感受到这一点。我们做了一个总结,国内在下面十项主要的技术上取得了进展,而且目前已经有成熟的,可以利用的产品。(1)加解密技术。传统的密码技术结合网络环境提出了新的加解密技术和相应的设备。(2)防火墙和访问控制技术。在网络上防止非法访问的技术。(3)识别和鉴别技术。在网络上解决你是谁,你有什么权限,你做什么等等识别和鉴别技术。(4)防病毒技术。(5)入侵防范和检测技术。(6)安全性测试和评估技术。(7)内容监测和监控技术。怎么能方便看到想要监视的内容。比如单位的员工是不是一天都在网络上看不健康的内容,或者说利用政府的资源在做自己的事情?对人们在网络上的这些行为,一定要有相应的技术的手段来全面掌握。(8)信息审计和取证技术。谁在网络上做了些什么,应该有相应的记录而且能够取得到相应的证据。(9)网络隔离技术。怎么把保密的网络和非保密的网络用一种技术的方法,把它隔相对离开,能够保证机密的信息不至于通过网络泄露出去。(10)PKI/CA技术。网络信任机制。网络上的授权、网络上发身份证,发工作证等这样的技术。•国家条例和管理办法。国家推行了一项与信息安全相关的管理条例和办法。在2002年之前,国家在过去的法规的基础上,新颁布了商用密码管理条例;颁布了互联网信息服务管理办法;颁布了电信管理条例;尤其重要的是,2000年12月29号,全国人大常委会通过了关于网络安全和信息安全的决定,决定从保障互联网的运行安全,维护国家安全和社会稳定;维护社会主义市场经济秩序和社会管理秩序;保护个人、法人和其他组织的人身、财产等合法权利等四个方面界定了构成犯罪,依照刑法有关规定追究刑事责任的十五种行为。这是2000年底以来,国家安全机关,公安机关,依法打击网络犯罪的有利武器。•出台相应的管理政策。仅2002年4月至8月,广电总局,文化部,信息产业部,公安部,新闻出版总署等部门,针对网络和信息安全,公布了相应的管理规定。•部署网络与信息安全的应急工作。3针对2002年我们国内互联网络和广电网络以及重要的应用业务系统上相继出现的一些安全事件,国家网络与信息安全协调小组统一部署协调了全国的安全应急工作,提出了“谁主管谁负责,谁经营谁负责”的信息安全的基本原则。并且加强了对互联网的内容安全,广电网络的播出安全,基础通信网络的传输安全和重要应用系统运行安全等方面的工作,起到了很好的效果。•开展信息安全专项治理。互联网安全的专门的治理,如北京蓝极速网吧失火案发生以后,对全国的网吧经营活动进行了专项治理;去年对卫星接收和发射的设备设施进行了专项治理;同时对IP电话业务的非法经营所带来的信息安全问题也进行了专项的治理。•推动信息安全保障工作。包括成立国家技术安全标准委员会,加强网络信息安全的管理,推进信息安全基础设施的建设,强化电子政务的安全保障,完善相应的法律和法规,推动相应的高校建立信息安全专业人才的培养等等,从方方面面推进信息安全保障工作。二、电子政务的信息安全1.电子政务概况电子政务建设是我国信息化发展的龙头。电子政务建设的主要内容,是要使政府行政办公实现信息网络化;政府对社会服务和对社会的管理要实现信息网络化。能不能够保障网络和信息的安全,确实是至关重要的。国务院信息办作为推动电子政务的主导单位,对电子政务建设提出了四项原则,叫做“需求主导,推出重点;统一规划,加强领导;统一标准,保障安全;整合资源,拉动产业”。其中第三项就提到了保障安全。电子政务建设的主要任务,第一期工作里主要是“两个平台,一个门户;四个数据库;十二个业务系统和基础性的工作”。为了讲安全,我们需要了解一下网络的拓朴结构。各部委现在讲信息电子政务,无非牵扯到两个大的领域,一个就是各部委的电子政务建设,一个就是各省市地区电子政务建设。部委和地方政府都有一个分级构建的基本结构,安全问题和这个结构是分不开的。目前是中央政府,省政府和地方政府这三层网络结构,我们的安全也要覆盖到这三个层次。2.需要保护的网络资源从安全保密的角度讲,需要保护的资源包括政府使用的硬件,软件,政府管理产生的数据,公务员用户,正常的政府业务,政府的网上业务。3.电子政务系统安全威胁这个三级网络结构里面的用户资源,都要进行保护。因为电子政务系统面临着诸多的安全威胁。包括黑客的攻击,计算机病毒,包括陷门和隐蔽通道,包括电子嗅探,电子欺骗,口令攻击等等,前面讲到的信息网络可能面临的威胁,在电子政务的网络里毫无例外的都会遇到。4从现在我们了解的情况看来,无论是部委还是地方建设电子政务,比较普遍的安全隐患有以下几个方面:一个是安全保密措施不太得力,难以抵御常规性的网络攻击。二是内部管理控制不严格,失密,泄密难以防范。三是不知道采用什么样的信息安全策略,技术措施五花八门,今天买这个,明天买那个,但是效果不是很好。四是工程管理缺乏严格的安全保障和质量保障体系,有的业务外包,有的工程外包,技术防线没有真正建立起来,这也造成了很大的隐患。最后一点是对技术安全把握不够,普遍反映对安全问题心中没有数。很多信息中心主任谈的最多的一点就是,到底怎么样才安全,实在是没有底。很多年前有一位领导曾经讲过,讲到信息安全时就像茫茫夜空中望着星星一样,深不见底。现在这个情况在电子政务建设中比较普遍。电子政务最常见的安全问题,有这几个:第一个是网站被黑。这是首当其冲的一个,尽管它的危害不是很大,但是作为一个政府门户,政府网站,涉及到权威性,涉及到政府的威信,如果很容易被别人黑掉,对政府的形象是个很大的影响。第二个是数据被篡改。政府的管理数据,包括工商、税务、行政命令等等,如果出现了更改,会产生非常严重的后果。第三个是数据被偷窃。偷一个文件还能够发现的,偷一个数据,给你拷走一份,原来的那一份还在,难以发现。第四个是秘密泄露。政府的政务信息通过网络泄露。第五个是越权浏览。就是看文件,该是局长看的,可能处长他也能看到,甚至科长也能够看到。第六个是非法删除。就是对某一位公务员或者对某一位职工不好的记录,他可能进入到这个机器里,把对他不利的一些内容删除掉。第七个是病毒感染。第八个是系统故障。电子政务的信息安全除了技术以外,在管理方面也有相当详细的要求,包括组织体系,包括标准法规,包括各种保障措施。4.电子政务安全体系框架。根据国务院信息办和国家发布的有关建设电子政务文件的要求,对电子政务的信息安全提一个体系框架,包括下面几个方面:第一方面,安全策略。安全策略就是“国家推动,社会参与,全局治理,积极防御,保障发展,适度安全”。这是电子政务信息安全的基本的策略。国家推动是指国家要从政策法规方面有一个引导,同时,需要社会广泛的参与。因为信息化是一个全社会共同参与的进程,电子政务也不例外。全局治理,积极防御是指信息网络是一个全网全程的概念,电子政务是把各级政府,各个部门通过信息技术联系在一起,是提高政府办事效率,增加政府管理透明度,更好为社会服务的现代化手段。所以,它的安全保障不是局部的,不是头痛医头,脚痛医脚,必须是全局的,综合的治理。而且也不能是被动的,要积极防御,既要有效控制现有的安全风险,又要有相应的手段防止可能出现的安全性问题。保障发展和适度安全是说安全没有绝对的,永远也没有绝对的安全,一定要处理好发展和安全的关系。5发展是第一位的,安全是为发展提供保障和支持。我们抓信息安全,不是要制约信息化的发展,不是要影响,阻止电子政务的发展,而是要有效的保障,促进电子政务的发展以及信息化的发展。信息安全工作的最根本的目的,是要使我们国家的信息化建设和电子政务建设能健康,可靠,安全。这是基本的安全策略。第二方面,安全法规。现在,我们已经有了一些相应的法律和法规,但是还需要适应信息化和电子政务的发展,制定新的法规。国务院法制办和国务院信息办会同有关部门正在积极就保密与公开,电子文档的合法性,电子签名,隐私权的保护等等制定相应的法律和法规。第三方面,安全管理。要按照中发17号文件的规定,对涉密网和非涉密网,对涉密信息和非涉密信息,对安全域和非安全域要进行安全性划分。对电子政务的工程建设要进行监理和监督。对信息安全产品的采购要进行管理。辅助性的支持机制,也要逐步的建立起来。电子政务中安全保密和公共服务的关系是正三角和倒三角的关系,是相互各有侧重和相互弥补的关系。从中央权力机构到省级权力机构,到地级,到市局,安全保密的范围要求是逐步缩小。对公共服务,是公开的,服务是越来越大的。在电子政务建设中,很多人会遇到安全域的问题,安全域是以信息涉密程度划分的网络空间。涉密域就是涉及国家秘密的网络空间。非涉密域就是不涉及国家的秘密,但是涉及到本单位,本部门或者本系统的工作秘密的网络空间。公共服务域是指不涉及国家秘密也不涉及工作秘密,是一个向互联网络完全开放的公共信息交换空间。17号文严格规定,政务的内网和政务的外网要实行严格的物理隔离。政务的外网和互联网络要实行逻辑隔离。按照安全域的划分,政府的内网就是涉密域,政府的外网就是非涉密域,互联网就是公共服务域。国家有关研究机构已经研究了安全网闸技术,以后根据需求,还会有更好的网闸技术出现。通过安全网闸,把内网和外网联系起来。政务内网和外网的划分原则。政务内网是指副省级以上政务部门的办公网,与副省级以下政务部门的办公网是物理隔离的。政务外网就是各政府的业务专网,主要运行政府部门面向社会的专业
本文标题:电子政务的信息安全与保障建设讲座
链接地址:https://www.777doc.com/doc-3739054 .html