相关热词搜索:
电子政务安全风险分析与对策
电子政务安全风险分析与对策 近几年来,随着以移动技术为代表的云计算、物联网、大数据等新一代信 息技术的不断发展,和政府治理理念及方式的转变,电子政务的形态也正在发生 深刻的变化。而这种变化,也给至关重要的电子政务安全管理,带来了新的风险, 提出了更高的要求。1“互联网+”时代的电子政务安全面临的新问题 1.1云端储存对数据安全带来的影响 在“互联网+”时代,电子政务的建设更加依托于大数据、云储存,以实现 数据资源的开放、整合和利用。但事物总是具有两面性,大数据因其前所未有的 大规模、开放性与复杂性,也给电子政务带来了不容忽视的信息安全风险,其安 全性其实面临着更为严峻的考验,如平台整体安全性要求更高。平台硬件性能要 求更高及平台运维管理要求更高。
1.2政务服务流程越来越O2O化带来的安全新问题 云计算技术改变了传统的网络服务模式,但网络安全防护技术并不会自动 随之提高,由于电子政务系统内用户越来越众多,各类业务越来越整合化,各部 门安全管理水平不一,就很容易出现某个部门被病毒或攻击突破,就出现大范围、 大规模的感染,影响整个网络安全的事件。
1.3多元化的创新政务服务带来的安全新问题 Web2.0时代,越来越多的政务服务新模式涌现,据不完全统计,我国政 务类APP约有400个左右,通过微信、360手机助手、政府网站等平台下载总量超 5000万次。但这些新型的政务工具,在给我们带来高效和便利的同时,无疑也带 来了前所未有的风险,如政府安全监控相对减弱的风险,公共平台自身的软硬件 安全风险,运维管理安全风险等。
2“互联网+”时代的电子政务安全建设的理念 构建符合“互联网+”时代要求的网络安全体系,在设计理念上要坚持以下 几个原则:2.1整体性原则 万物互联之下,安全将渗透到业务链中的每一个环节。首先要构建一套在 线政务的标准化体系,形成数据高度集中,具有高等级的管理、统筹权限的云端 信息中心,采取统一的模式进行建设、管理、维护。
2.2共享性原则 “互联网+”的关键是“开放互通,合作共享”,基于“互联网+”的电子政务构 建安全保障体系也需要各个机构和事业单位联合应对,共享先进的技术和在应对 安全问题中积累的经验,共建安全的政务云环境。
2.3持续发展原则 信息技术的更新是非常迅猛的,对信息安全构成负面影响的技术手段也是 日新月异,构建电子政务安全在任何时候都要保持一种动态发展的趋势,吸纳和 培养优秀的技术人才,不断吸收和借鉴先进技术经验,这样才能增强我们的“免 疫”能力,以适应问题在不断演变的外部环境。
3“互联网+”时代的电子政务安全对策研究 3.1技术层面 云安全技术是“互联网+”时代信息安全科技的最新体现,是在云计算、云 存储技术大量应用的2.0网络环境下应运而生的安全配套体系。它充分利用云平 台的共享资源和分布式任务处理等优势,把网络内的海量客户端通过连接云端的 安全防御服务,变普通的计算机客户端为具备云端智慧的安全防护设备。在云安 全技术中,群中的用户既是这个安全网络的贡献者,也是这个安全网络的享用者。
3.2管理层面 3.2.1在服务提供商方面 保证服务提供商的安全资质和职业操守是基础,首先要建立和完善服务商 身份认证、准入和退出机制,制定并严格遵循云计算相关服务的行业标准规范;
采用分权分级管理,通过身份验证、访问管理技术进行实时的用户身份监控、权 限分级控制和证书检查来实现数据的访问控制。还应根据政务云和其他企业云的 不同,使用可信云计算技术,建设可信云计算数据中心,提供可信云用户终端,以保证数据和信息的安全。
3.2.2在系统内用户方面 建立日常培训机制,提高所有用户的安全意识和防护能力。技术人员应根 据不同信息资源保密性要求的差别,部署到不同安全等级的云数据中心。建立报 告反馈机制,任何一个电子政务终端发现异常,就将样本报告给云端进行分析, 若确认问题则立即将解决措施通知到所有客户端,防止其在云内蔓延,并迅速更 新云端病毒特征库。建立定期交流机制,加强机关单位与服务提供商等之间在信 息安全管理方面的沟通和合作。建立一套统一的政务安全绩效评估体系,及时发 现问题,并提出对策或改进意见。如2014年9月,全国信息安全标准化委员会已 出台了《信息安全技术云计算服务安全指南》(GB/T31167-2014)、《信息安全 技术云计算服务安全能力要求》(GB/T31168-2014)两项国家标准,前者对使用 云服务的政府机构和其他企事业单位提供安全使用指导,后者则对服务提供商应 具备的安全技术水平提出要求。
3.3法律规章层面 目前,针对“互联网+”时代的网络信息安全,与欧盟、美国、日本等这方 面发展先进的国家相比,我国在这方面的法律法规,诸如《关于维护互联网安全 的决定》、《信息网络传播权保护条例》等,还存在较多不足。主要问题有,一 是法律层面上的少,部门规章、地方条款层面上的多,总体层级偏低;
二是重管 制轻保护,侧重于规定网络服务提供者和使用者的责任和义务,对于网络使用权、 虚拟财产权、网络信息隐私权等在网络空间产生的新型权利的保护,处于一个真 空地带。亟待出台一部具有指导性、系统性的高层级信息安全法律,从法律层面 重塑“互联网+”时代的网络社会秩序。
4结束语 在这个网络技术转型期,我们应当抓住机遇,从提高技术水平,完善安全 管理,制定相应的法律法规和标准三方面,切实转变我国“局部强于整体”的电子 政务信息安全保障现状,满足“互联网+”时代电子政务的安全需求。
作者:魏敏 单位:杭州市科技信息研究院
