數據作為系統最終的元素是信息安全保障的根本,對電子政務而言更為重要,它涉及國家機密、部門工作秘密、內部敏感信息和開放服務信息。其主要安全隱患是竊取、篡改、假冒、抵賴、銷毀。政務公開與網絡安全本身就是壹對矛盾,“政務公開”要求通暢信息網絡交流,而“網絡安全”則要求嚴格控制信息訪問權限,這是由於各種信息交流可能直接引起網絡的連通,連通則會引起信息安全問題。同時,電子政務系統壹般都是涉密系統,黑客很可能因為某種目的滲透到政府部門,很容易通過網絡安全防護不嚴密的環節直接攻擊系統漏洞,利用漏洞竊取涉密信息,或篡改、假冒用戶身份,阻塞正常的網絡信息服務等。
此外,操作系統也存在來自 Internet 的黑客攻擊;內部工作人員不分網絡性質,隨意利用辦公網絡終端與 Internet 聯接,加上惡意病毒無規律性的連續侵襲等,這些都形成了目前電子政務安全的主要隱患。
1 建設行業電子政務信息安全問題現狀分析
建設事業主要包括城市建設、村鎮建設和工程建設三大領域;建築業、房地產業、市政公用事業和勘察設計咨詢業四大行業。各級建設行政主管部門大力推進信息技術為核心的科技興省工作要求,按照建設部提出的《建設事業“十五”發展規劃》和《建設事業信息化“十五”計劃》,堅持“統籌規劃,資源***享,應用主導,面向市場,安全可靠,務求實效”的建設行業信息化發展方針,積極組建局域網絡,基本實現了與 Internet 的連接,如江蘇省建設行政主管部門 1996 年就完成了百兆局域網絡、10 兆帶寬信息交換到桌面的建設任務。先後構建了“蘇建設信息網”、“蘇工程建設網”、“蘇建築業網”等電子政務信息平臺,開發完成了“蘇省建築企業資質網上申報系統”、“蘇省建設工程監理企業資質管理系統”和 “蘇省建設工程承發包管理信息系統”等。同時,根據網絡信息安全保密的要求,制定了計算機信息安全和保密規定,並將網絡區分為內外兩個獨立的體系,即內網和外網,其中,內網運行的是機關內部辦公自動化(OA)系統和視頻點播系統。機要部門的涉密信息與省委、省政府政務內網相連,並嚴格實施內、外網物理隔離,以確保涉密信息安全可靠地進行交換。
通過上述分析可以看出,目前建設行業網絡信息安全的防護能力仍處於初級階段,許多應用系統處於低級別的設防狀態。僅網站和郵件系統就曾多次遭到黑客的攻擊或侵入、或被篡改頁面、或數據庫數據被破壞、或遭受尼姆達(Nimda)等壹波接壹波的病毒攻擊,這些都造成了大量重要數據資料的損壞,部分業務系統的癱瘓。網絡中心有時只得被迫關閉服務器進行系統恢復、殺毒和治理,導致網站系統服務中斷,給用戶造成了很大不便和不良影響。當前建設行業的信息網絡安全工作研究,還處在忙於封堵現有信息系統的安全漏洞階段。要徹底解決這些迫在眉睫的問題,歸根結底取決於信息安全策略的制定和技術保障體系的建設。目前,迫切需要從建設行業信息安全體系整體規劃著手,在建立全方位的防護體系的同時,建立壹整套完善的網絡信息安全管理制度,只有這樣,才能保證建設行業電子政務健康發展,確保涉密信息的安全存儲和交換。建設行業網絡信息安全主要存在 4 個方面的隱患:
(1)數據庫服務器和 Web 服務器在同壹臺服務器上,網站壹旦遭受黑客攻擊,作為電子政務的核心-數據庫將遭受滅頂之災。
(2)整個局域網都在壹個子網內,沒有實現網段劃分,局域網內部任何壹臺電腦感染了采用黑客攻擊方式發出的病毒,就會威脅到所有局域網內部的所有的工作站。
(3)盡管網絡中心通過防火墻實現了內部局域網與 internet 連接安全區分隔,但由於局域網 internet訪問與外部連接***享同壹網絡通道,壹旦防火墻被攻破,缺乏有效網絡安全手段的內部局域網及重要資源將暴露在黑客面前,後果不堪設想。
(4)局域網內互聯網與局域網之間沒有裝備網絡入侵偵測系統。對於網絡內部和外部用戶的誤操作,資源濫用和惡意行為都不能有效阻止和報警,即使裝有防火墻和殺毒軟件,也不能解決根本問題。只有安裝網絡入侵偵測系統和防火墻,才能對信息網絡破壞行為進行阻止和報警。
因此,各級建設行政部門要建立高效的電子政務系統,首先需要確保信息網絡的安全,沒有安全的網絡做保障,要建立壹個能為社會公眾提供“高效、便捷、優質”服務的電子政務信息平臺就無從談起。
2 建設行業電子政務建設中的信息安全策略
根據國家信息化領導小組提出的“堅持積極防禦、綜合防範”的方針,借鑒浙江等兄弟省市的網絡信息安全管理經驗,提出建設行業電子政務網絡信息安全工作應當遵循“管理為上、策略聯動、層層設防、立體防護”的原則。
(1)管理為上原則。“三分技術,七分管理”,在電子政務的安全建設中管理的作用至關重要。網絡提供多種便捷的應用,幫助人們提高工作的效率,而同時因為許多管理上的原因,使信息網絡不安全、不穩定。特別是在電子政務建設過程中網絡的安全問題,由於政府工作人員對信息網絡安全方面警惕性
不高,這樣就導致了運行效率的低下,浪費了投資,嚴重時會引起泄密事件。
(2)策略聯動原則。管理及技術解決方案的策略聯動是壹個最好的途徑。首先,要在壹個總體安全及管理的方針下對各部門的安全管理策略進行協調,使這個系統在保證其安全性的時候,又能夠最大限度的保證其運行效率。其次,在產品和技術的層面上又能夠使壹種技術與另壹種技術相互聯系,取長補短,達到真正的有機結合,實現全面防護和管理。
(3)層層設防原則。在安全管理時要考慮到多層次的問題,包括管理層面和技術層面。管理層面涉及到管理策略和管理方法 2 個方面,壹是要制定出壹個符合實際需要的策略,並用高效、經濟的方法來實現。二是在黑客破壞或入侵某個系統時采取多種方法,包括搭線竊聽、IP 偽裝、利用網絡協議和應用漏洞等。這些地方都需要得到良好地保護,而壹個安全方法和安全技術是無法實現全部防護的,所以,需要全面規劃,層層設防。
(4)立體防護原則。在策劃和實施壹個網絡安全及管理系統的時候,需要站在全局和長遠的角度去設計。要使這個網絡安全及管理系統跟隨目前安全與管理發展的潮流,解決目前和將來可能會出現的安全與管理問題,這樣就需要在網絡安全及管理系統設計之初就使這個系統是多維的、可擴展的系統,以適應目前的需求和將來的發展。其次,還要對系統進行分割,決定哪些是迫切需要的,需馬上實施;哪些是長遠考慮的,需有步驟有計劃地實施。
3 建設行業電子政務信息安全技術保障體系
電子政務的安全目標是:保護政務信息資源價值不受侵犯,保證信息資產的擁有者面臨最小的風險和獲取最大的安全利益,使電子政務的信息基礎設施、信息應用服務和信息內容為抵禦上述威脅而具有保密性、完整性、真實性、可用性和可控性的能力[3]。鑒於電子政務的信息安全面臨的是壹場高技術的對抗,涉及法律、規章、標準、技術、產品服務和基礎設施等諸多領域[4]。結合目前建設行業電子政務網絡建設結構特點,提出以下電子政務網絡安全技術保障體系。
3.1 物理層安全解決方案
從物理環境角度講,地震、水災、火災、雷擊等環境事故,電源故障,人為操作失誤或錯誤,電磁幹擾,線路截獲等,都對信息系統的安全構成威脅,保證計算機信息系統各種設備的物理安全是保障整個網絡系統安全的前提。物理層的安全設計應從環境安全、設備安全、線路安全 3 個方面考慮。采取的措施包括:機房屏蔽、電源接地、布線隱蔽、數據傳輸加密和數據安全存儲等。另外,根據中央保密委有關文件規定,凡是計算機同時具有內網和外網的應用需求,必須采取網絡安全隔離技術,在計算機終端安裝隔離卡,使內網與外網之間從根本上實現物理隔離,防止涉密信息通過外網泄漏。
更多關於工程/服務/采購類的標書代寫制作,提升中標率,您可以點擊底部官網客服免費咨詢:/#/?source=bdzd