张洸瑀
赤峰市松山区人民政府办公室 内蒙 赤峰市 024000
摘要:电子政务是信息化时代政府工作和管理方式的一次重大改革。近年来,政府大力加强信息化建设,积极推进政府行政管理方式改革。2016年9月,国务院发布《关于加快推进“互联网+政务服务”工作的指导意见》,就推进政务信息公开、加强网络和信息安全保护,建立健全“互联网+政务服务”安全保障体系做出多项指示。本文根据作者多年工作经验,对信息安全在电子政务工作中的应用谈了一些作者自己的观点和看法,共大家参考和借鉴。
关键词:信息安全;电子政务工作;应用
1、引言
政府信息安全事关国家安全和社会稳定,也是网络攻击的重点。在科学技术飞速发展进步的当代,信息技术在政府政务OA得到了广泛应用。但是,在网络环境下,政府信息存在许多安全隐患。政府信息系统自身漏洞、信息交流以及信息管理等因素,都会影响政府信息安全。对政府信息存在的安全隐患,政府要积极采取相应措施,保证信息安全。
随着电子政务的普遍应用,政府党政机关内部网络的建设发展并进入实质性的运用,,在安全措施上也采取了一些措施进行保护,如:防火墙、入侵检测系统、防病毒系统、安全网关等等。从不同的层面,维护着用户的网络系统及数据安全。尽管如此,但是依然不能有效解决内部网络安全和泄密的问题。大家发现内部网络的安全问题日益突出,如网络资源被滥用造成的网络阻塞,重要信息的非法拷贝和传播等,机密泄露、数据丢失、身份冒认、非法入侵层出不穷,给政府党政机关造成了重大的损失。
2、网络信息安全概述
网络信息系统安全面临的威胁非常广泛,包括信息泄露、重传、篡改、拒绝服务、欺诈、非法使用、窃听、传播病毒和木马等。需要解决的相关问题包括:防范与响应、病毒与后门措施、实体保护与访问控制、保密与加密、攻击和检测、漏洞和监测、备份与恢复等。网络信息安全主要包含了三层内容:一是系统安全,即系统实体和系统运行安全;二是系统中信息安全,即对计算机用户进行权限划分、控制,对信息数据进行加密等,确保数据不被非法获取或篡改;三是管理安全,即通过各种手段和约束对信息资源和系统安全运行进行有效管理。
3、网络信息安全现状
3.1制度层面制约
目前,我国涉及计算机网络信息安全的法规主要包括《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》、《互联网信息服务管理办法》、《计算机病毒防治管理办法》等国务院条例和部门规章,我国的信息立法目前仍在起步阶段,政策法规难以适应网络发展的需要,不完善的制度滋长了网络管理者和内部人员自身的违法行为,许多网络非法行为就是因为内部联网计算机和系统管理制度疏于监管而得逞的。
3.2安全保护意识薄弱
病毒、网络攻击、非法入侵是影响网络信息安全的主要手段。很多政府部门建立的技术防御措施相对简单,个别单位的信息系统没有采取任何安全保护技术措施。有的单位没有建立相应的计算机网络安全保护制度,网络信息安全管理协调机制任务不明、职责不清,缺乏对潜在威胁、薄弱环节和各类风险情况的处置预案。在单位中网络使用者的水平也参差不齐,只顾图自己使用中的方便,对网络安全问题认识不到位,存在泄密的隐患。
3.3安全防御能力不强
政府部门在信息化建设中,重技术建设、轻安全保护问题比较突出,在进行信息系统规划时主要考虑了业务需求和系统技术性能要求,没有将系统的安全保护措施一并考虑,造成安全保护工作相对滞后。最近几年,政府机关中局域网发展迅速,但网管人员很多是兼职或转岗人员,缺乏相应的专业技术能力,造成网络安全配置和管理不规范,重要的业务应用平台、信息系统的装备系统的防护措施不到位,为业务系统的正常运行和信息保密带来隐患。
3.4信息安全建设经费没有保障
网络设备及安全防护设备的购置、更新换代、软件升级和技术支持都需要不小的经费开销,花的钱又放在看不见的地方。政府部门负责人,特别是单位“一把手”领导难免会对网络信息不安全的事实认识不足,造成对安全领域的投入和管理很难满足安全防范的要求,同时,因为没有设立标准的专项安全经费制度,用于对安全设备的更新升级和运行维护的费用就没有保障。总体上看,政府机关网络信息安全仍处于被动的封堵漏洞状态,从上到下普遍存在侥幸心理,没有形成主动防御、积极应对的全局意识,更无法从根本上提高网络监测、防护、响应、恢复和抗击能力。
4、信息安全在电子政务工作中的应用
4.1信息安全防护系统的结构优化应用
通过与政府信息中心的多次深入交流,在充分了解其政务信息安全防护需求后,任子行制定了在不影响网络结构的前提下,旁路部署任子行RT网络安全行为审计设备,通过系统自带的应用控制、流量分析、数据审计等功能,为用户提供全时段的上网行为记录及审计,满足用户对于法规政策监管审计的需求。
同时,利用系统所提供的应用内容审计和行为控制功能,可帮助用户实现保护内网信息安全,防御异常网络攻击及违规行为。系统内置的丰富多元化统计报表,使得管理者可以更有针对性加强网络管理,为规范网络环境秩序、保障政务信息安全提供切实有效依据。
.png)
(1)准入控制系统
边界完整性检查:禁止非法内连/非法外连行为,有效阻止非法终端恶意接入敏感数据区,敏感数据区恶意外接其他网络。
身份鉴别:提供基于USBkey硬件身份识别及Windows用户绑定,对系统登录身份进行唯一识别。
结构安全:通过准入控制的动态授权访问,将内网系统划分多个安全域,安全域之间实现不同的安全策略访问。
(2)桌面安全管理系统
桌面安全管理:进行统一终端安全漏洞检查、安全加固,安全隔离体系;
访问控制:实现主体对客体的访问控制,依据安全策略的控制,对设置敏感标记的重要信息文件赋予相应的读、写、另存权限,且对系统默认共享权限进行控制。
数据安全管理:实现对数据泄密途径的严防管控,主要针对存储数据外发行为(移动存储介质拷贝、打印、违规外连、光驱刻录行为、3G网卡拨号、随身wifi热点等行为)、网络外发行为(http网络外发、邮件外发、即时通讯工具外发等行为)进行管控;
安全审计:基于自建用户,对操作系统上的所有文件操作记录都可审计,包括重要敏感信息。象U盘直接拷贝、邮件发送、网络文件共享、光驱刻录、打印、网络外发等用户行为进行审计。
(3)数据交换系统
可以实现在多个网络间进行数据文件交换,避免了一机两用的情况发生,确保了网络安全,且可以对交换的文件进行审查和审计。 内置防病毒软件,可以进行安全检查,防止病毒、木马侵害内网。
通过部署任子行上网行为管理设备,有效地封堵了内部不规范的上网行为,对政府单位上网安全起到了重要管理作用。系统所提供了丰富的网络行为控制功能,协助管理者实现网络规范管理和有序控制的功能,不仅保障了政务信息系统安全,也促进了政府办公效率的提高。
4.2加强信息保护政策,提升信息安全???
面对我国信息安全管理方面的薄弱问题,我们要严格实施人员管理制度,制定相关的比较严格的监督政策,定期进行数据备份,避免由于管理疏忽导致黑客成功入侵破坏数据的情况,并且在各个部门之间都要设置权限和监督,面对涉及的重要机密问题,使用内部网络访问的管理办法限制信息获取人员的数量,进而减少信息泄露的概率。我们还可以通过在信息访问过程中添加网络域访问控制、人员身份识别等加密方式,尽可能地进行信息保护。另外,我们还需要提升政府人员对于信息保密的认识,给员工们进行定期的相关信息安全知识培训,从潜移默化中保证工作人员重视信息安全问题,让从事电子政务的人员能具备比较强的安全意识。给各个部门不同的访问权限,让各个部门人员各司其职,控制数据文件的操作能力,并能在每一次数据操作后都能留下记录。政府也需要从高校中大量招收专业技术过硬的人才,进行信息安全专业人员的补充,从主观层面上提升电子政务安全级别。
5、结束语
随着互联网技术的不断发展,在电子政务不断完善的过程中首先要完成的是对于信息安全保护方面框架的建设。只有在电子政务系统中保持信息的安全,才能让政府办公的时候进一步提升办公透明度以及事务处理效率
参考文献:
[1]电子政务系统中信息安全技术应用探讨[J].刘晓英.电子技术与软件工程.2015(20)
[2]电子政务系统中信息安全技术应用探讨[J].张瑞祥,王鹏宇. 电子技术与软件工程.2015(07)
[3]浅谈信息安全技术在电子政务系统中的应用[J].张继鹏. 企业技术开发. 2015(05)张洸瑀
赤峰市松山区人民政府办公室 内蒙 赤峰市 024000
摘要:电子政务是信息化时代政府工作和管理方式的一次重大改革。近年来,政府大力加强信息化建设,积极推进政府行政管理方式改革。2016年9月,国务院发布《关于加快推进“互联网+政务服务”工作的指导意见》,就推进政务信息公开、加强网络和信息安全保护,建立健全“互联网+政务服务”安全保障体系做出多项指示。本文根据作者多年工作经验,对信息安全在电子政务工作中的应用谈了一些作者自己的观点和看法,共大家参考和借鉴。
关键词:信息安全;电子政务工作;应用
1、引言
政府信息安全事关国家安全和社会稳定,也是网络攻击的重点。在科学技术飞速发展进步的当代,信息技术在政府政务OA得到了广泛应用。但是,在网络环境下,政府信息存在许多安全隐患。政府信息系统自身漏洞、信息交流以及信息管理等因素,都会影响政府信息安全。对政府信息存在的安全隐患,政府要积极采取相应措施,保证信息安全。
随着电子政务的普遍应用,政府党政机关内部网络的建设发展并进入实质性的运用,,在安全措施上也采取了一些措施进行保护,如:防火墙、入侵检测系统、防病毒系统、安全网关等等。从不同的层面,维护着用户的网络系统及数据安全。尽管如此,但是依然不能有效解决内部网络安全和泄密的问题。大家发现内部网络的安全问题日益突出,如网络资源被滥用造成的网络阻塞,重要信息的非法拷贝和传播等,机密泄露、数据丢失、身份冒认、非法入侵层出不穷,给政府党政机关造成了重大的损失。
2、网络信息安全概述
网络信息系统安全面临的威胁非常广泛,包括信息泄露、重传、篡改、拒绝服务、欺诈、非法使用、窃听、传播病毒和木马等。需要解决的相关问题包括:防范与响应、病毒与后门措施、实体保护与访问控制、保密与加密、攻击和检测、漏洞和监测、备份与恢复等。网络信息安全主要包含了三层内容:一是系统安全,即系统实体和系统运行安全;二是系统中信息安全,即对计算机用户进行权限划分、控制,对信息数据进行加密等,确保数据不被非法获取或篡改;三是管理安全,即通过各种手段和约束对信息资源和系统安全运行进行有效管理。
3、网络信息安全现状
3.1制度层面制约
目前,我国涉及计算机网络信息安全的法规主要包括《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》、《互联网信息服务管理办法》、《计算机病毒防治管理办法》等国务院条例和部门规章,我国的信息立法目前仍在起步阶段,政策法规难以适应网络发展的需要,不完善的制度滋长了网络管理者和内部人员自身的违法行为,许多网络非法行为就是因为内部联网计算机和系统管理制度疏于监管而得逞的。
3.2安全保护意识薄弱
病毒、网络攻击、非法入侵是影响网络信息安全的主要手段。很多政府部门建立的技术防御措施相对简单,个别单位的信息系统没有采取任何安全保护技术措施。有的单位没有建立相应的计算机网络安全保护制度,网络信息安全管理协调机制任务不明、职责不清,缺乏对潜在威胁、薄弱环节和各类风险情况的处置预案。在单位中网络使用者的水平也参差不齐,只顾图自己使用中的方便,对网络安全问题认识不到位,存在泄密的隐患。
3.3安全防御能力不强
政府部门在信息化建设中,重技术建设、轻安全保护问题比较突出,在进行信息系统规划时主要考虑了业务需求和系统技术性能要求,没有将系统的安全保护措施一并考虑,造成安全保护工作相对滞后。最近几年,政府机关中局域网发展迅速,但网管人员很多是兼职或转岗人员,缺乏相应的专业技术能力,造成网络安全配置和管理不规范,重要的业务应用平台、信息系统的装备系统的防护措施不到位,为业务系统的正常运行和信息保密带来隐患。
3.4信息安全建设经费没有保障
网络设备及安全防护设备的购置、更新换代、软件升级和技术支持都需要不小的经费开销,花的钱又放在看不见的地方。政府部门负责人,特别是单位“一把手”领导难免会对网络信息不安全的事实认识不足,造成对安全领域的投入和管理很难满足安全防范的要求,同时,因为没有设立标准的专项安全经费制度,用于对安全设备的更新升级和运行维护的费用就没有保障。总体上看,政府机关网络信息安全仍处于被动的封堵漏洞状态,从上到下普遍存在侥幸心理,没有形成主动防御、积极应对的全局意识,更无法从根本上提高网络监测、防护、响应、恢复和抗击能力。
4、信息安全在电子政务工作中的应用
4.1信息安全防护系统的结构优化应用
通过与政府信息中心的多次深入交流,在充分了解其政务信息安全防护需求后,任子行制定了在不影响网络结构的前提下,旁路部署任子行RT网络安全行为审计设备,通过系统自带的应用控制、流量分析、数据审计等功能,为用户提供全时段的上网行为记录及审计,满足用户对于法规政策监管审计的需求。
同时,利用系统所提供的应用内容审计和行为控制功能,可帮助用户实现保护内网信息安全,防御异常网络攻击及违规行为。系统内置的丰富多元化统计报表,使得管理者可以更有针对性加强网络管理,为规范网络环境秩序、保障政务信息安全提供切实有效依据。
图1 信息中心内网结构图
(1)准入控制系统
边界完整性检查:禁止非法内连/非法外连行为,有效阻止非法终端恶意接入敏感数据区,敏感数据区恶意外接其他网络。
身份鉴别:提供基于USBkey硬件身份识别及Windows用户绑定,对系统登录身份进行唯一识别。
结构安全:通过准入控制的动态授权访问,将内网系统划分多个安全域,安全域之间实现不同的安全策略访问。
(2)桌面安全管理系统
桌面安全管理:进行统一终端安全漏洞检查、安全加固,安全隔离体系;
访问控制:实现主体对客体的访问控制,依据安全策略的控制,对设置敏感标记的重要信息文件赋予相应的读、写、另存权限,且对系统默认共享权限进行控制。
数据安全管理:实现对数据泄密途径的严防管控,主要针对存储数据外发行为(移动存储介质拷贝、打印、违规外连、光驱刻录行为、3G网卡拨号、随身wifi热点等行为)、网络外发行为(http网络外发、邮件外发、即时通讯工具外发等行为)进行管控;
安全审计:基于自建用户,对操作系统上的所有文件操作记录都可审计,包括重要敏感信息。象U盘直接拷贝、邮件发送、网络文件共享、光驱刻录、打印、网络外发等用户行为进行审计。
(3)数据交换系统
可以实现在多个网络间进行数据文件交换,避免了一机两用的情况发生,确保了网络安全,且可以对交换的文件进行审查和审计。 内置防病毒软件,可以进行安全检查,防止病毒、木马侵害内网。
通过部署任子行上网行为管理设备,有效地封堵了内部不规范的上网行为,对政府单位上网安全起到了重要管理作用。系统所提供了丰富的网络行为控制功能,协助管理者实现网络规范管理和有序控制的功能,不仅保障了政务信息系统安全,也促进了政府办公效率的提高。
4.2加强信息保护政策,提升信息安全???
面对我国信息安全管理方面的薄弱问题,我们要严格实施人员管理制度,制定相关的比较严格的监督政策,定期进行数据备份,避免由于管理疏忽导致黑客成功入侵破坏数据的情况,并且在各个部门之间都要设置权限和监督,面对涉及的重要机密问题,使用内部网络访问的管理办法限制信息获取人员的数量,进而减少信息泄露的概率。我们还可以通过在信息访问过程中添加网络域访问控制、人员身份识别等加密方式,尽可能地进行信息保护。另外,我们还需要提升政府人员对于信息保密的认识,给员工们进行定期的相关信息安全知识培训,从潜移默化中保证工作人员重视信息安全问题,让从事电子政务的人员能具备比较强的安全意识。给各个部门不同的访问权限,让各个部门人员各司其职,控制数据文件的操作能力,并能在每一次数据操作后都能留下记录。政府也需要从高校中大量招收专业技术过硬的人才,进行信息安全专业人员的补充,从主观层面上提升电子政务安全级别。
5、结束语
随着互联网技术的不断发展,在电子政务不断完善的过程中首先要完成的是对于信息安全保护方面框架的建设。只有在电子政务系统中保持信息的安全,才能让政府办公的时候进一步提升办公透明度以及事务处理效率
参考文献:
[1]电子政务系统中信息安全技术应用探讨[J].刘晓英.电子技术与软件工程.2015(20)
[2]电子政务系统中信息安全技术应用探讨[J].张瑞祥,王鹏宇. 电子技术与软件工程.2015(07)
[3]浅谈信息安全技术在电子政务系统中的应用[J].张继鹏. 企业技术开发. 2015(05)