论我国电子政务信息系统安全问题与对策管理类学士学位论文.docx
《论我国电子政务信息系统安全问题与对策管理类学士学位论文.docx》由会员分享,可在线阅读,更多相关《论我国电子政务信息系统安全问题与对策管理类学士学位论文.docx(13页珍藏版)》请在冰豆网上搜索。
论我国电子政务信息系统安全问题与对策管理类学士学位论文
XXXX大学
高等教育自学考试本科生毕业论文
论我国电子政务信息系统安全问题与对策
学生姓名:
考籍号:
年级专业:
指导老师及职称:
学院:
XX省·XX市
提交日期:
XXXX大学成人高等教育本科生毕业论文(设计)
诚信声明
本人郑重声明:
所呈交的本科毕业论文(设计)是本人在指导老师的指导下,进行研究工作所取得的成果,成果不存在知识产权争议。
除文中已经注明引用的内容外,本论文不含任何其他个人或集体已经发表或撰写过的作品成果。
对本文的研究做出重要贡献的个人和集体在文中均作了明确的说明并表示了谢意。
本人完全意识到本声明的法律结果由本人承担。
毕业论文(设计)作者签名:
日期:
目录
摘要:
4
关键词4
1前言4
2我国电子政务信息安全存在的问题4
2.1法律问题5
2.2管理问题5
2.3技术问题5
2.3.1维护国家利益6
2.3.2正确执行政策6
2.3.3宣传导向6
3电子政务信息安全策略6
3.1健全法律保障体系7
3.2建立安全管理体系7
3.2.1统一规划8
3.2.2组织建设8
3.2.3制度建设8
3.2.4人员意识强化8
4健全预警检测体系8
4.1侵检测8
4.2漏洞检测8
4.3外联和接入检测8
5健全安全防护体系9
5.1防火墙9
5.2身份认证与系统访问控制9
6建立响应恢复体系9
7结束语9
参考文献:
10
致谢11
论我国电子政务信息系统安全问题与对策
学生:
李达飞
指导老师:
王明宇
(湖南农业大学信息科学技术学院,长沙410128)
摘要:
本文从法律、管理以及技术等层面分析了网络安全问题,分析了电子政务信息安全的重要性,从健全法律保障体系、建立安全管理体系、健全预警检测体系、健全安全防护体系和建立响应恢复体系等方面阐述了电子政务网络安全策略。
关键词:
电子政务;信息安全;网络安全
1前言
最近几年,我国电子政务建设发展迅速。
电子政务的本质是走向公共政府,也就是政府将自己变成一个服务型政府。
电子政务的高速发展对于促进政府职能转变、增加行政透明度、提高办事效率、减少行政成本等都有着十分重要的意义[1]。
电子政务是新时期增强执政能力不可或缺的信息化手段。
胡锦涛总书记在十七大报告中提出了“健全政府职责体系,完善公共服务体系,推行电子政务,强化社会管理和公共服务”的重要论述,明确了电子政务是加快行政管理体制改革、建设服务型政府的重要手段[2]。
温家宝总理在十一届全国人大一次会议上作的政府工作报告中也提出“推进政务公开,完善新闻发布制度,加强电子政务建设”。
随着电子政务的高速发展,电子政务中的安全问题日益凸现,必须引起我们的高度重视。
由于电子政务的运行主要是通过网络和信息技术来支撑的,所以电子政务安全的核心内容就是信息安全问题。
信息安全是指信息在采集、存储、处理、传播和运用过程中,信息的自由性、秘密性、完整性、共享性等能否得到良好保护的一种状态。
电子政务信息安全是指政务数据信息在接受、产生、处理、分发、存档等过程中不被窃取、篡改等,它涉及到信息环境、信息网络和通信基础设施、媒体、数据、信息内容、信息应用等多方面的安全需要[3]。
电子政务中信息安全的具体内容包括:
网络上信息的保密性——保证信息不会泄漏给XX的用户或被其利用;完整性——防止信息被XX的人篡改,保证真实的信息从真实的信源无失真地到达真实的信宿;可用性——保证信息及信息系统确实为授权使用者所用,防止由于计算机病毒或其他人为因素造成网络和系统无法正常运行而拒绝服务或为敌手所用;可控性——对信息内容及信息系统实施安全监控管理,防止非法修改;不可否认性——保证信息行为人不能否认自己的行为,利用数字签名、数字邮戳、数字凭证和数字认证等技术和手段构成安全的网络系统,使得个人行为具有可信度[4]。
2我国电子政务信息安全存在的问题
威胁电子政务信息安全的主要行为有非法使用资源、恶意破坏、盗窃数据,等等。
目前我国电子政务中的信息安全方面也存在着一些问题,电子政务网络比较脆弱,各种安全隐患普遍存在。
同时,病毒破坏、黑客入侵、重要信息泄漏等危害越来越大。
此外,我国部分政府官员和公务员对信息技术、网络技术和计算机技术还接触不多,所以对高新信息技术应用方面的能力也比较欠缺,整体素质与电子政务建设的要求还有一定的距离,等等。
导致我国电子政务信息安全系统薄弱的原因是多方面的,具体地说,有法律、管理、技术等因素[5]。
2.1法律问题
就电子政务立法而言,尽管近年来我国已出台了一系列与网络信息有关的法律法规,并取得了较好的成效,但是这些法律法规尚未形成体系。
随着信息技术的发展,信息安全问题越来越复杂,现有的信息安全法律框架已经难以适应电子政务发展的要求。
因此加快相关立法建设已成为一项非常紧迫的任务。
网络犯罪活动与网络信息法制不完善是密不可分的。
一方面,尽管我国已经出台了一些与网络安全有关的法律法规,但现行政策法规仍难以适应网络发展的需要,信息立法还存在相当多的空白。
个人隐私保护法、数据库保护法、数字媒体法、数字签名认证法、计算机犯罪法等法规急需制定。
由于法规不健全,信息市场交易秩序的维护、信息犯罪的惩处等无法可依,使信息犯罪有空子可钻。
另一方面,由于网络作案手段新、时间短、不留痕迹等特点,给网上犯罪案件的侦破和审理带来了极大的困难。
虽然我国针对电脑病毒、信息侵权和网络犯罪等非法信息行为制定了一些政策法规,但由于执行不力,效果并不明显[6]。
2.2管理问题
从大的范围上来看,目前国家缺乏一个具有最高权威的信息安全规划管理机构,能够承担与国家信息
化进程相一致的信息安全工程规划管理。
开展电子政务建设的关键就是要搞好整体规划,避免重复建设与
发展不均衡。
从局部范围上来看,电子政务自身存在着内部管理薄弱的问题,很多电子政务系统自身管理混乱,没有实时对内部人员的操作进行监控和记录,更没有对非法操作进行屏蔽和阻断。
虽然目前很多电子政务系统采取了内外网隔离、专用网与互联网隔离的办法,但仍不能够完全消除管理隐患。
由此可见,完善的内部管理制度和人员责任制度对于确保信息安全也是非常必要的环节。
总体而言,我国信息安全管理与保卫工作是滞后的。
很多单位没有从管理制度、人员和技术上建立相应的信息化业务安全防范机制,缺乏行之有效的安全检查保护措施。
管理上的漏洞,使网络罪犯有机可乘。
许多网络犯罪行为尤其是非法操作都是利用联网电脑管理制度上的漏洞而得逞的。
另外,网络管理者自身的违法行为,网络管理者利用管理用户的地址目录之便,很容易就以某一用户的身份登录、查看和复制用户的信息,甚至以用户的名义发送报文[7]。
2.3技术问题
从技术角度看,信息安全问题由两点引起,一是现有信息系统自身的技术脆弱性,二是目前国内信息安全产品的研发和应用。
目前,主流的操作系统都存在着不同程度的网络安全漏洞,而大多数网络通信协议也并非专为安全通信而设计,操作系统在为用户提供方便的通信功能和共享设置的同时,也为不法分子提供了可乘之机,他们往往利用这些安全漏洞来对网络进行频繁攻击、窃取或破坏数据,等等。
此外,网络技术本身存在缺陷,计算机内的信息可以通过电磁波形式泄漏出去,任何人都可以借助不复杂的设备在一定区域范围内收到它而造成信息失密。
通信与网络存在弱点,通信线路易遭受物理破坏,易被搭线窃听,无线通信易遭截获、监听,等等。
目前,世界上还缺乏统一的操作系统、计算机网络系统和数据库管理系统,缺乏统一的信息安全标准、密码算法和协议。
在安全性与网络性能、效率之间难以两全。
从信息安全产品的研发和应用这一角度来看,由于我国的信息安全研究起步较晚,整体安全防范技术水平低下,对发达国家信息设备和信息技术存在着很强的依赖性。
我国的信息化设备严重依赖国外,对引进技术和设备缺乏必要的信息管理和技术改造。
尤其是在系统安全和安全协议的研究和应用方面,我国与发达国家的差距较大。
无论是硬件还是软件方面,采用的产品有相当一部分是缺乏自主知识产权的产品,在核心技术方面更是受制于人,许多架构在国外技术和产品基础之上的电子政务方案,安全性方面无法得到可靠保障。
三、电子政务信息安全的重要性[8]。
2.3.1维护国家利益
在一定的社会环境下,由信息和网络技术与国家安全因素的相关性构成国家安全的一种态势,这种态势描述了国家免受国外信息和网络优势威胁的能力,以信息维护国家综合安全的能力和以信息手段维护国家安全的能力。
2.3.2正确执行政策
电子政府运用信息及通信技术构建一个电子化的平台,使人们可从互联网获得政府的信息及服务,也使政府部门之间及政府与社会各界之间可以经由各种电子化渠道进行相互沟通,并依据公众的需求、适当的形式、公众要求的时间及地点,提供各种不同的服务选择。
也就是说,电子政务主要是通过电子化手段传递政策和信息,以联系与沟通社会各界人士。
随着网络的普及和信息技术的迅速发展,作为社会主要信息的收集者和发布者,电子政务如果不能安全运行,其政策与信息的发送、传输难免大打折扣,甚至走样,以致无法形成良好的社会效应,致使决策者的意旨无法实现,进而影响到国家整体利益的实现。
2.3.3宣传导向
互联网技术日新月异,网络媒体也随之迅速发展壮大起来,以其传播速度快、传播范围广及互动性强等特点,正在成为仅次于电视和报纸的信息传播新锐力量,给信息宣传带来了良好的机遇。
与此同时,也带来了相应的弊端:
因其无障碍浏览而加大了信息宣传工作的复杂性和难度。
从已发生的一些事件来看,网络上负面信息的传播力度也很大,放大效应极为惊人。
电子政务中的信息安全成为正确宣传导向的有力保障之一。
3电子政务信息安全策略
影响电子政务信息安全的因素有很多,所以,保证电子政务信息安全的策略也不是单一的,而是需要多种策略的综合运用,需要多项对策和措施协调、合作,构成一个有机的网络安全防范体系。
计算机信息系统的社会化、网络化和跨时空化,本质上决定了信息安全保护工作要法律化、科学化和规范化。
对我国电子政务信息安全的保护主要应从法律、管理和技术3个方面着手。
在这三者之间,法律法规是根本,管理是基础,技术手段是保障[9]。
3.1健全法律保障体系
加强计算机网络安全法规建设,提高执法水平。
法律是电子政务信息安全的第一道防线。
要使电子政务安全运行,信息安全传递,需要加强必要的法律建设,以法制来强化网络信息安全,以法制来保护信息安全。
这主要涉及网络规划与建设的法律、网络管理与经营的法律、网络安全的法律、用户数据的法律保护、计算机犯罪与刑事立法、计算机证据的法律效力等法律问题。
同时,还要有法必依,有法必行。
在我国,虽然当前各种网络信息犯罪还远不及西方发达国家突出,但近几年来计算机盗窃、信用卡犯罪、滥用电话网等犯罪活动日趋严重。
可以预料,随着网络和信息技术的迅速发展,在不久的将来,将会有更多的信息犯罪发生,从而有可能成为我国社会危害性最大的一种犯罪。
因此,站在社会发展与稳定的高度,在信息网络化起步阶段积极探索信息犯罪及其法律对策,对国家来说具有极其重要的意义,其当务之急不仅仅是要通过信息立法来预防外国的信息侵略和电脑“黑客”的入侵,为打击各类信息犯罪活动提供法律依据,而且更要教育接触信息网络的中国公民遵纪守法,警戒那些试图进行信息犯罪的不法分子,以在信息领域形成一种良好的氛围。
国外一些国家制定了专门的政府信息安全保护方面的法律法规,如英国的《官方信息保护法》、俄罗斯的《联邦信息、信息化和信息保护法》等。
我国近几年也颁布了政府信息安全的相关法规,如1999年颁布的《关于加强政府上网信息保密管理的通知》,2000年1月国家保密局发布的《计算机信息系统国际联网保密管理规定》。
虽然我国已经颁布了一些与电子政务信息安全有关的法律法规,但仍不完善,而且立法层次不高,现行有关信息安全的法律规范大多只是国务院制定的行政法规或国务院部委制定的行政规章,而且规定之间不完全统一,立法理念和立法技术相对滞后。
因此,要进一步完善我国信息安全的法律保障体系。
由于信息化是建筑在网络的国际互联基础之上的,人类信息社会是全球范围内的各国一体的信息化。
因此,信息的政策和法律就必然具有国际化的属性。
我们在制订信息安全政策和法律的时候,要特别注意和现有国际规则的兼容,包括在立法思想、方式方法和具体法律规定等各方面的相互兼容,要积极主动地参与国际规则的创设,主动融入国际大环境,以维护我国的实际利益[10]。
3.2建立安全管理体系
安全管理体系的建立必须符合法律法规,符合组织使命与组织利益。
建立健全安全管理体系最重要的是针对电子政务的现有情况制定统一的行政管理制度,并在整个网络系统中贯彻执行,以此来强化计算机网络安全管理,增加网络安全意识。
电子政务中的信息安全管理体系可以分为4个层次的内容:
统一规划、组织建设、制度建设和人员意识强化[11]。
3.2.1统一规划
电于政务中的信息安全建设必须按照国家信息化领导小组的统一部署,制定总体规划,避免重复建设。
要统一标准,切实保障安全。
制定统一的电子政务信息安全标准规范,大力推进统一标准的贯彻落实。
要正确处理发展与安全的关系,综合平衡安全成本和效益,在推进电子政务建设的过程中,紧抓信息安全,制定并完善电子政务网络与信息安全保障体系。
3.2.2组织建设
组织建设问题,即指有关信息安全管理机构的建设。
信息安全管理包括安全规划、安全责任划分、安全教育培训、安全认证等多个方面,因此,需要建立政府各个部门的合作关系,以及政府多个部门与社会各单位的合作关系,一旦出现异常情况,政府与社会部门能及时采取必要的防范措施。
另外,还要对相关部门明确责任,有牵头部门,有协同部门,他们之间要有明确的分工。
在这一方面,可以以公安机关为中心,其他部门协作,联合管理。
3.2.3制度建设
要建立切实可行的规章制度,使信息安全管理机构有章可循。
规章制度的建立要遵循相应的信息安全法律法规和标准规范,符合当地电子政务网络的实际情况和具体应用,能够保证可管理性与可操作性。
3.2.4人员意识强化
有了组织机构和相应的安全制度,还需要领导的重视和安全责任人的重视。
这需要进行网络信息安全意识的教育,提高相关人员网络安全意识和法律观念,引起人们对信息安全问题的高度重视,尤其需要对电子政务方面的主管领导和计算机系统管理员、操作员进行信息安全法律法规和安全技术知识的培训,使相关人员增强计算机安全意识,在信息安全方面做到知法、懂法、守法。
4健全预警检测体系
预警检测体系是电子政务信息安全的前沿防线。
它能有效地发现潜在的安全威胁,有助于安全管理人员防患于未然,消除安全隐患,切实维护电子政务的信息安全。
预警检测体系包括入侵检测、漏洞检测、外联和接入检测等[12]。
4.1侵检测
入侵检测系统是目前最为主要的也被最广泛应用的技术手段。
利用网络入侵检测系统可以了解网络的运行状况和发生的安全事件,根据安全事件来调整安全策略和防护手段,同时改进实时响应和事后恢复的有效性,为定期的安全评估和分析提供依据,从而提高网络安全的整体水平。
4.2漏洞检测
电子政务信息网络需要部署漏洞检测系统。
漏洞检测系统一般包括漏洞扫描引擎、控制中心、报表和显示中心,以及管理控制台等功能组件。
4.3外联和接入检测
外联和接入检测能对内部人员的非法外联行为进行实时监控,对物理隔离措施或安全限制规定进行有效性检查。
在电子政务网络系统内,防火墙等安全手段往往被一些违反安全策略的行为所破坏。
这些违反规定的非法外联行为使电子政务网络系统内的个人计算机毫无防范地接入外部网络,一些机密信息及数据文件可能泄漏,由此危害整个电子政务网络的安全。
非法外联监控技术正是为了防范上述安全问题而设计的[13]。
5健全安全防护体系
安全防护是电子政务信息安全的直接保障,也是信息安全最直接的保护伞。
信息安全防护体系包括防火墙、身份认证与系统访问控制等内容[14]。
5.1防火墙
防火墙指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,它是安装在特定网络边界的,实施网间访问控制。
它在内部网络与外部网络之间形成一道安全保护屏障,防止非法用户访问内部网络上的资源和非法向外传递内部信息。
防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成。
5.2身份认证与系统访问控制
身份认证往往是网络系统的第一道安全屏障,也是实施访问控制的基础,具有十分重要的作用。
因此身份认证机制的强度如何将直接关系到整个系统的安全度。
口令与令牌相结合的身份验证方式可以为大多数的场合提供足够的安全性。
访问控制包括自主访问控制和强制访问控制两种。
6建立响应恢复体系
响应恢复体系是电子政务信息安全的救火队员。
电子政务的信息安全正面临着越来越多的挑战与威胁,在采取了上述策略外仍有可能出现异常情况。
一旦出现异常情况,响应恢复体系就会显现出它的价值,它能保证电子政务系统发生安全事故后能够及时做出有效响应,采取合适的应急措施处理事故,快速地修复异常,恢复正常。
响应恢复体系包括应急响应和业务连续性计划两个方面。
应急响应系统随时记录电子政务信息系统的运行态势,一旦发生安全事件,应急响应系统可以调出安全事件发生前的数据,进行恢复,使电子政务信息系统回复到安全事件发生以前的态势,并能抑制、根除安全威胁,进而确保电子政务信息系统的业务连续性。
业务连续性计划是与信息安全相关,且与业务关系非常紧密的一项内容[15]。
7结束语
电子政务的信息安全问题引起了越来越多的重视。
国办发〔2006〕104号文件明确要求“有效提升安全保障能力”,指出要按照电子政务安全规范和技术要求,完善政府网站的安全基础设施,制定完备的安全策略和应急预案,加强安全技术和手段的应用。
安全是应用的保障,安全是为应用服务的。
在进行电子政务信息安全体系的设计时,应该从实际应用出发,从科学的角度出发,充分考虑到现有的安全保护基础,合理利用现有的安全设备,在综合考虑系统的风险、需求与保护成本的前提下,增加必要的技术手段。
通过法律为安全保驾护航,通过加强管理来保障安全,更重要的是技术手段的合理运用。
采取管理与技术相结合的手段,提高电子政务信息系统的整体防御能力,使电子政务的信息安全得到切实的保证。
此外,还应该加强自主知识产权安全设备的研发,加快安全设备的国产化进程,改变对国外安全技术设备的依赖局面。
参考文献:
[1]《中国共产党十七大报告》.2007年(10).
[2]谢先江.电子政务信息外网安全平台建设基本问题初探[J].电子政务,2005(8).
[2]谢先江.电子政务信息外网平台信息资源构建研究[J].情报科学,2005(11).
[3]谢先江.省级电子政务信息外网平台网络安全措施实证研究[J].电子政务,2005(3/4).
[4]国务院办公厅关于加强政府网站建设和管理工作的意见[EB/OL].[2009-12-18].
[5]《电子政务原理》.北京大学出版社.2005年(3).
[6]戴.政务背景下电子文件信息安全挑战与对策研究[J].云南档案,2009.(11):
37-38
[7]邓密何,黎明.电子政务信息安全的技术策略[J].安全视窗,2010,
(2):
43
[8]《信息网络安全》2007年第8期
[9]《网络安全技术与应用》.2007(8).-61-62,51
[10]电子政务外网·国家电子政务外网建设概括·2008年第7期(总第73期)
[11]《浅谈电子政务网络安全体系建设》.梁明君.网络与信息.2007,21(8).-3-3.73/100
[12]《适合电子政务的等级化安全体系模型构建》.谢红标,中国科技信息.2007(17).-123-124.75/100
[13]《电子政务基础知识读本》汪玉凯电子工业出版社2008年
[14]《物理隔离交换技术在电子政务网中的应用》,曲宏山,河南科学.2007,25
(1).-137-139
[15]《电子政务与信息安全》.王键.中国教育信息化.2007(07S).-22-27
致谢
本文是在王明宇讲师的悉心指导下完成的,期间得到唐小勇、曾炼成老师大力帮助,在此表示衷心的感谢!
他严谨的治学精神,精益求精的工作作风,深深地感染和激励着我。
从课题的选择到最终完成论文,王明宇讲师都始终给予我细心的指导和不懈的支持。
在此我向王明宇讲师致以诚挚的谢意和崇高的敬意。
通过毕业论文的准备,使我对近两年所学到的知识有了一个全面的、综合的提升,个人能力和专业水平得到明显的提高,感谢所有帮助过我的人。
升级会员 