电子政务安全
综述电子政务的内容和网络规范的内容
随着电子政务的快速发展,电子政务应用业务范围越来越广泛,与此同时电子政务信息系统也面临越来越严峻的安全风险,归纳起来主要包括以下方面:
- 数据泄露:互联网是开放的网络,基于互联网开展的电子政务信息应用在传输过程中易被窃取和监听,造成信息泄露,对电子政务的信息构成严重威胁;
- 数据篡改:对于电子政务信息系统而言,发布的内容往往是政府的政令等内容,数据的完整性就显得十分重要。一旦数据被篡改极可能造成不可预料的严重后果。因此,需要在数据传输、存储、处理过程中提供完整性保护;
- 身份欺骗:是指从一个伪造的数据源向网络发送消息,包括攻击者模拟授权实体创建消息,也包括攻击者模拟消息接收者发送消息确认消息等情形。对于政务系统而言,可靠的身份是实现信息保护、责任认定以及授权管理的前提,一旦政务人员的身份被假冒,将影响到整个信息系统业务处理的可信性;
- 越权访问:电子政务信息系统对数据的处理有严格的权限要求,出现超越权限的访问是很严重的安全威胁;
- 行为抵赖:包括原发方抵赖和接收方抵赖。电子玫务利用信息系统处理政务业务,相关行为人可能否认其所执行的操作、发送或接收到的数据等,一旦发生事故,无法有效建立责任认定机制。
电子政务系统的安全风险和主要防护措施的对应关系如下:
电子政务应急平台
通常提到的“应急联动系统”、“应急指挥平台”和“应急信息系统”等,都从不同侧面对“应急平台”进行了描述。四个不同的概念反映了我们对应急管理范围和深度等认识的变化,一个完备而健全的应急平台:
- 不仅仅是信息平台:信息平台只能提供“过去”和“现时”的状态数据,应急平台需要提供“未来”灾害发展趋势、预期后果、干预措施、应急决策、预期救援结果评估,以及全方位监测监控,具有发现潜在威胁的预警功能;
- 不仅仅是指挥平台:应急平台是为应急管理服务的,包括“平时”以及“战时”,应急平台能对突发公共事件进行科学预测和危险性评估,能动态生成优化的事故处置方案和资源调配方案,形成实施应急预案的交互式实战指南,为应急管理提供便捷的工具,为指挥决策提供辅助支持手段。
所以,应急平台是以公共安全科技为核心,以信息技术为支撑,软硬件相结合的突发公共事件应急保障技术系统,是实施应急预案的工具;具备日常管理、风险分析、监测监控、预测预警、动态决策、综合协调、应急联动与总结评估等功能。
应急平台建设是应急管理的一项基础性工作,对于建立和健全统一指挥、功能齐全、反应灵敏、运转高效的应急机制,预防和应对自然灾害、事故灾难、公共卫生事件和社会安全事件,减少突发公共事件造成的损失,具有重要意义。
应急平台的组成
应急平台由基础支撑系统和综合应用系统两大部分组成,即硬件支撑和核心应用。支撑系统包括:通信系统、计算机网络系统、图像接入系统、视频会议系统、移动应急平台、安全支撑系统和容灾备份系统等;应用系统包括:综合业务管理系统、风险隐患监测防控系统、预测预警系统、智能方案系统(即数字预案系统)、指挥调度系统、应急资源管理和保障系统、应急评估系统、模拟演练系统和数据库系统。
按照核心功能划分,应急平台也可以看作由三个部分组成,分别是:信息获取系统、应急智能系统和决策指挥系统。具备以下主要功能:⑴日常公共安全数据信息的汇集与报送;⑵数字化应急预案的管理与完善;⑶隐患分析和风险评估;⑷特别重大或者重大突发公共事件的接报与现场信息的实时获取与分析;⑸灾害事故的发展预测和影响分析;⑹预警分级与信息发布;⑺应急方案的优化确定与启动;⑻动态的应急决策指挥和资源、力量调度;⑼事故过程的再现与分析;⑽应急行动的总体功效评估和应急能力评价等。
综述电子政务安全管理的内容
我国电子政务电子认证服务活动应当依托国家密码管理局批准的电子政务电子认证基础设施开展。国家电子政务电子认证基础设施的总体架构采用树状结构,包括电子政务电子认证源点和认证结点两部分。
电子认证服务通过签发数字证书,为用户提供数字证书申请、签发、更新、撤销等生命周期服务,并面向用户和应用系统提供应用集成支持服务、信息服务和使用支持服务等。
综述电子政务信息安全等级保护、电子政务认证和权限管理的应用、政务信息交换的安全机制的相关内容
需求
政务信息资源的共享与交换平台是建立一种体系,建立信息交换、信息共享的一种机制,是一种新型的政务模式,是重大的政务信息化工程。整个平台具有以下特点:
- 用户来源多样化:包括政府机关的各级工作人员;
- 数据资源数量众多,覆盖范围广:可能涉及所有政府机关的重要信息资源,包括人口、法人、空间和自然资源以及经济社会等很多重要基础信息数据库及其应用;
- 信息访问受控要求高:敏感信息比较多,需按国家相关法律、法规,严格控制使用范围。
安全性需求
身份认证需求
- 政务信息资源共享交换平台中的身份包括人员、机构、网络、设备、应用系统等等,如果这些身份的真实性不能保证,很容易让非法用户进入平台,进行重要资源的窃取、修改、甚至破坏,冒充的设备或者应用系统也会骗取真实用户,从而盗取用户信息及敏感信息。因此,有必要对政务信息资源共享交换平台中的身份进行真实性认证。
用户管理要求
- 政务信息资源共享交换平台的用户来源多样化,这就使得用户在交换平台下的各种应用、业务、网络中具备各种身份,如果不对用户的各种身份进行统一管理,用户需要记忆多个身份凭证信息,登录多个应用系统,才能完成相关业务操作,对用户、管理员来说都会增加使用和管理的负担,管理的混乱有可能会导致信息的被窃取、修改。因此,有必要对政务信息资源共享交换平台中的用户进行统一管理。
授权管理需求
- 政务信息资源共享交换平台的用户来源的多样化,使得用户的复杂性很大,如果用户的权限不得到明确,则某些只能特定的用户查看的敏感信息都有可能被所有用户访问、修改甚至破坏,而多个应用系统管理起来也会非常复杂,往往容易因为个人的原因造成安全性损失。因此,有必要对政务信息资源共享交换平台中的用户进行授权管理。
数据交换安全需求
- 政务信息资源共享交换平台中的信息要在多个应用系统、设备中传输,如果信息在传输过程中没有得到很好的加密保护,则信息很容易被窃取、修改、破坏,则整个平台的信息共享机制就会被破坏。因此,有必要对信息的传输与共享进行安全保护。
解决
为解决政务范围内应用所面临的安全认证问题,政务资源共享交换平台建设了专用的统一认证管理系统,采用了方便、灵活的各单位自主授权管理模式,一方面为最终用户提供兼容口令及证书的身份认证及单点登录功能,另一方面以各个使用单位为基本管理单元,实现单位内部的用户管理、机构管理、应用管理、角色设置、访问控制、资源授权等,达到多级自主授权管理、两级平台协同认证的目标。
参考资料:GMT00072012电子政务电子认证服务应用指南