电子政务及安全

电子政务及安全综述研究报告

一、电子政务

(一) 概述

电子政务是指国家机关在政务活动中,全面应用现代信息技术、网络技术以及办公自动化技术等进行办公、管理和为社会提供公共服务的一种全新的管理模式。广义电子政务的范畴应包括所有国家机构在内,而狭义的电子政务主要包括直接承担管理国家公共事务、社会事务的各级行政机关。电子政务通过精简、优化、整合和重组政府内部和外部的管理和服务职能,将其在线实现,从而彻底转变传统工作模式,打破时间、空间以及部门分隔的制约,为社会公众以及政府自身提供高效、优质和廉洁的管理和服务。

二、网络规范

(一) 网络结构

国家电子政务网络由基于国家电子政务传输网的政务内网和政务外网组成。统一的国家电子政务传输骨干网由各级电子政务传输骨干网共同形成。政务内网和政务外网都是电子政务的业务网络,政务内网与外网及互联网之间不直接连接,以确保信息安全。

(二) 主要特性

电子政务网络安全主要包括以下五个方面的特性:

  • 保密性:信息不泄露给非授权用户、实体或过程,或供其利用的特性。
  • 完整性:数据在存储或传输过程中保持不被修改、不被破坏和丢失的特性。
  • 可控性:对信息的传播及内容具有控制能力。
  • 可审查性:在出现安全问题时提供依据与手段。
  • 可用性:在需要时能存取所需的信息,防止拒绝服务攻击、破坏网络和有关系统的正常运行。

(三) 全方位的安全体系

电子政务网络安全体系包括以下几个方面:

  • 访问控制:通过对特定网段和服务建立访问控制体系,将绝大多数攻击阻止在到达攻击目标之前。
  • 安全漏洞检查:通过对安全漏洞的周期检查,确保即使攻击可到达攻击目标,也可使绝大多数攻击无效。
  • 用户身份认证:采用先进的身份认证技术,确保用户身份的真实性和可靠性。
  • 网络权限控制:对网络设备和系统进行权限管理,防止未经授权的访问和操作。
  • 客户端安全防护:在客户端安装安全防护软件,防止恶意软件和病毒的侵入。

三、政务应急平台的内容

背景

政务应急平台是为了应对各种突发事件和紧急情况而建立的。随着自然灾害、公共卫生事件和网络攻击等频繁发生,政府需要一个高效的应急管理平台来及时响应和处理这些事件。

目标

  • 提高政府应对突发事件的能力和效率。
  • 实现信息的快速传递和共享。
  • 提供实时监测和预警。
  • 保障公众的生命财产安全。

主要内容

监测与预警

  • 网络安全态势感知平台:实时监测网络安全状况,发现潜在威胁,及时预警,确保电子政务系统的安全。
  • 应急预警系统:监测各类突发事件的预兆,通过多种渠道发布预警信息,提醒相关部门和公众做好应对准备。

应急处置能力

  • 应急预案制定:制定详细的应急预案,明确各部门的职责和应急处置流程,确保在突发事件发生时能够迅速响应和处理。
  • 应急演练:定期开展应急演练,提高各部门的应急响应能力和协同作战能力。

安全防护能力

  • 多层次防护体系:采用多种安全技术和管理措施,如可信计算技术、自主可控的密码技术、安全检测技术等,构建多层次的防护体系。
  • 应急资源储备:建立应急物资储备库,确保在突发事件发生时能够迅速调配和使用。

事件响应机制

  • 分类和级别:明确不同类型安全事件的分类和级别,根据事件的严重程度采取相应的应急措施。
  • 上报和处理流程:规定事件的上报、调查和处理流程,确保各部门能够迅速响应和协同处理。

四、政务安全的内容

背景

政务安全是保障电子政务系统正常运行的重要环节。随着电子政务的普及,网络安全威胁和信息泄露问题日益突出,亟需采取有效措施保障政务安全。

目标

  • 保护政务信息的安全和隐私。
  • 防止系统被攻击和篡改。
  • 提高政务系统的稳定性和可靠性。

主要内容

数据隐私和个人信息保护

  • 数据加密:对敏感数据进行加密,防止数据在传输和存储过程中被窃取和泄露。
  • 隐私保护政策:制定严格的隐私保护政策,确保用户个人信息的安全,防止信息滥用。

系统漏洞管理

  • 漏洞扫描:定期进行系统漏洞扫描,及时发现和修复漏洞,防止被恶意利用。
  • 补丁管理:及时更新系统补丁,修复已知漏洞,确保系统的安全性和稳定性。

恶意软件防护

  • 防病毒软件:在所有终端和服务器上安装防病毒软件,防止恶意软件和病毒的侵入。
  • 恶意软件检测和清除:定期进行恶意软件检测,及时清除发现的恶意软件,确保系统的安全性。

网络安全风险评估

  • 风险评估方法:采用多种风险评估方法,如定性评估和定量评估,对潜在风险进行系统分析和评估。
  • 风险管理策略:根据评估结果,制定相应的风险管理策略,采取有效的控制措施,降低安全风险。

五、电子政务安全管理的内容

背景

电子政务安全管理是确保电子政务系统安全稳定运行的重要保障。随着信息技术的发展,电子政务系统面临的安全威胁不断增加,安全管理工作也日益重要。

目标

  • 建立健全的安全管理体系。
  • 提高员工的安全意识和能力。
  • 快速响应和处理安全事件。
  • 确保系统的安全稳定运行。

主要内容

安全策略和政策制定

  • 安全目标:明确电子政务系统的安全目标,包括保护关键信息资产、网络和系统安全、用户权限管理等。
  • 安全政策:制定详细的安全政策,涵盖访问控制、数据保护、系统安全、网络安全等方面,确保安全管理的全面性和系统性。

安全培训和意识提升

  • 安全培训计划:制定定期的安全培训计划,对员工进行全面的安全培训,提高员工的安全意识和技能。
  • 安全意识宣传:通过多种形式的宣传活动,增强员工的安全意识,减少人为因素导致的安全风险。

事件响应和风险管理

  • 事件响应机制:建立完善的事件响应机制,明确安全事件的分类和级别,规定事件上报、调查和处理的流程。
  • 风险管理体系:建立系统的风险管理体系,对潜在风险进行识别、评估和管理,采取有效的控制措施降低风险。

实时监测和安全评估

  • 安全监测系统:通过安全监测系统实时监控网络流量、日志和用户行为,及时发现和处理安全威胁。
  • 安全评估:定期进行安全评估,发现系统存在的安全漏洞和风险,及时采取相应的措施进行修复和改进。

六、电子政务信息安全等级保护、电子政务认证和权限管理的应用

信息安全等级保护

背景

信息安全等级保护是国家信息安全保障的重要制度,是根据信息系统的重要性和受破坏后对国家安全、社会秩序和公共利益的影响程度,对信息系统进行分级保护的制度。

目标

  • 保障国家重要信息系统的安全。
  • 提高信息系统的防护能力。
  • 预防和应对信息安全事件。

分级保护制度:

  • 自主保护级:适用于一般信息系统,主要依靠系统自我保护。

  • 指导保护级:适用于重要信息系统,需接受主管部门的指导和监督。

  • 监督保护级:适用于非常重要的信息系统,需接受主管部门的监督和管理。

  • 强制保护级:适用于特别重要的信息系统,需接受国家主管部门的强制保护。

  • 特别保护级:适用于涉及国家安全的信息系统,需接受特别严格的保护
    安全保护措施:

  • 物理安全:确保信息系统的物理安全,包括机房安全、设备安全等

  • 网络安全:确保网络的安全稳定运行,包括网络隔离、入侵检测、防火墙等措施

  • 主机安全:确保主机系统的安全,包括操作系统加固、安全配置管理等

  • 应用安全:确保应用系统的安全,包括应用程序安全开发、安全测试等

  • 数据安全:确保数据的安全性和完整性,包括数据加密、备份和恢复等措施

电子政务认证和权限管理

背景:

认证和权限管理是保障电子政务系统安全的重要手段,通过对用户身份的认证和访问权限的控制,确保只有授权用户才能访问系统资源

目标:

  • 确保用户身份的真实性和可靠性。
  • 防止未经授权的访问和操作。
  • 保护系统和数据的安全

主要内容:

认证技术:

  • 多因素认证:采用多因素认证技术,如密码、智能卡、指纹识别等,确保用户身份的真实性和可靠性

  • 加密技术:采用VPN、IPSec等加密技术,确保数据传输的安全性,防止数据在传输过程中被窃取和篡改
    权限管理:

  • 访问控制:通过严格的访问控制策略,限制用户对系统和数据的访问权限,确保只有授权用户才能进行操作

  • 角色权限控制:根据用户的角色分配不同的访问权限,通过角色权限控制和动态调控,确保权限管理的灵活性和安全性

  • 统一认证系统:建立统一的认证系统,提供单点登录认证机制,确保用户在获得授权后才能访问系统资源

七、政务信息交换的安全机制

(一)政务信息共享数据安全国家标准

  为进一步保障政务数据应用的安全,解决政务信息共享交换环节数据泄露、数据滥用等数据安全问题,2020 年 11 月,由全国信息安全标准化技术委员会归口上报及执行的 GB/T 39477—2020《信息安全技术 政务信息共享 数据安全技术要求》(以下简称标准)获批正式发布(2021 年 6 月正式实施),标准规范了政务信息共享交换过程的数据安全技术要求,指导政务信息共享交换数据安全体系建设,增强政务信息共享交换的数据安全保障能力。

1.标准解读

  标准核心从政务信息共享模型中所涉及的三方(共享数据提供方、共享数据交换服务方与共享数据使用方)及三阶段(共享数据准备、共享交换和共享数据使用)分析政务数据在共享流转过程中所存在的安全风险,并基于安全风险提出了 144 项安全技术要求,覆盖政务信息共享数据安全技术要求框架,共享数据准备、共享数据交换、共享数据使用阶段及相关基础设施的安全技术要求。
image

(1)明确定义了涵盖三方三阶段的政务信息共享模型

  标准的核心目的是用于指导各地方政务信息共享交换数据安全体系的建设,因此在标准中对政务信息共享业务模型进行了重新梳理,其核心基于三方与三阶段梳理了业务模型如图 2所示,明确每方在每个阶段所涉及的业务管理行为,其对各方理解政务信息共享的业务有直观的指导作用。
image

(2)安全技术要求涵盖政务信息共享的全生命周期

  标准围绕数据共享阶段划分为三个阶段,分别是准备阶段、交换阶段和使用阶段,而从数据的全生命周期维度来看,即从数据采集、治理、存储、使用及销毁等核心环节,这些环节的要求在三个阶段中均有不同维度的体现,如在数据共享准备阶段,即包含了数据采集、数据治理、数据存储的要求;在数据使用阶段包含了对数据治理、使用及销毁等要求,基本可覆盖数据的全生命周期。另外,从数据的重要性来看,标准主要还是按照一般数据及敏感数据进行大的分类,针对敏感数据会提出更有针对性的安全要求,但在对敏感数据的划分上,标准中并未有明确的指出。

(3)安全技术要求上更加强调国家密码的应用

  针对各阶段的数据安全技术应用,标准提出包括数据加密、数据脱敏、数据水印、数据溯源、身份认证、安全传输等安全技术要求,而在涉及使用密码学技术层面的要求上,标准中特别强调要符合 GM/T 0054—2018 等国家相关标准规定的密码技术,一是推进国密算法的应用;二是通过使用国密算法亦能进一步确保底层核心技术的安全性。另外在安全技术要求上,标准中首次提出了数据召回的概念,希望能通过召回技术对失效或敏感数据进行管控,进一步保障在使用过程中的安全,但在标准中未明确如何实现召回的要求。

2.信息安全机制

在电子政务系统中主要采用的信息安全机制包括:

  • 访问控制机制
  • 数据加密机制
  • 数字签名机制
  • 身份认证机制
  • 病毒防护机制
  • 数据备份与灾难恢复机制

参考文献

  1. 陈晓红. 电子政务安全管理[M]. 北京: 电子工业出版社, 2015.
  2. 王卫东. 网络安全技术与应用[M]. 上海: 上海交通大学出版社, 2017.
  3. 刘伟. 信息系统安全保护[M]. 北京: 清华大学出版社, 2018.
  4. 李强. 电子政务概论[M]. 北京: 人民邮电出版社, 2019.
  5. 张勇. 网络安全风险评估与管理[M]. 北京: 机械工业出版社, 2020.
posted @ 2024-05-26 21:38  20211428谷丰宇  阅读(9)  评论(0编辑  收藏  举报