《我国电子政务存在问题和发展趋势.docx》由会员分享,可在线阅读,更多相关《我国电子政务存在问题和发展趋势.docx(15页珍藏版)》请在优知文库上搜索。
1、我国电子政务存在问题和发展趋势第一章绪论一、研究背景和研究意义目前在我国,一方面,电子政务信息系统中有许多的安全隐患和缺陷,安全管理不到位,信息系统面临着巨大的安全威胁;另一方面,我国对于电子政务信息安全管理问题的研究尚处于初级阶段,大多数侧重于研究技术方案制定和完善,不能形成宏观与微观相结合的整体安全管理体系,从而造成了信息泄露、政务系统瘫痪等安全事件不断出现,严重影响了我国电子政务的信息安全和公共服务水平的提高。对于电子政务信息安全管理问题的研究既有重要的理论和现实意义,又具有重大的政治意义二、研究现状对电子政务信息安全管理的研究是伴随着电子政务的发展而产生的,从20世纪九十年代开始逐步扩
2、大,涉及安全标准、安全框架、安全模型、安全认证与测评等多个方面。国外关于电子政务信息安全管理标准的研究较早,在1995年英国首先提出(信息安全管理实施细则)。在这之后美国和欧洲等国也提出了有关于信息安全管理的标准规范。至2000年,逐步提出了完整的GMITS(IT安全管理方针)。信息保障技术框架(IATF),是1998年由美国国家安全局提出的,目的是为美国政府的信息基础设施提供安全防护框架和解决方案指南。它定义了一个系统进行信息保障的过程,系统中硬件和软件部件的安全需求,提供深层次防御策略”的多层次防护。在IATF3Q中将纵深防御体系划分为本地计算机环境、区域边界和基础设施。IATF强调技术并
3、提供一个框架进行多层保护,以此防护计算机威胁,该方法可以使能够攻破一层或一类保护的攻击行为无法破坏整个信息基础设施。国外在电子政务信息安全管理和体系方面的研究较为深入。而在我国,电子政务的发展还是一个较为初级的阶段,但近年来,随着政府对它的关注,我国也取得了较大的进展。从以上可以看出,我国学者对电子政务安全的研究也比较多,但主要集中在对电子政务安全问题的论述、安全技术的介绍、电子政务安全建设原则、电子政务安全安全策略、技术层面的安全体系建设等方面,缺乏更为深入的研究,尚处在初级阶段。第二章电子政务信息安全管理的概念电子政务信息安全管理有狭义和广义之分,从狭义上来讲,电子政务信息安全管理是指对人
4、员、组织和制度的管理,主要包括管理规章制度的制定,组织体系的建立,安全管理人员的培训和操作流程的管理;从广义上讲电子政务信息安全管理是指政府运用各种安全策略和手段,对电子政务实施的各个阶段进行安全管理,包括系统建设项目安全管理、入网信息安全管理、安全技术支持管理、安全运行维护管理、安全制度环境保障管理、安全基础设施平台管理等各个方面,既涉及国家的宏观层面,也涉及各个部门单位自身的微观层面。笔者在本文中所指的电子政务信息安全管理均是广义上的定义。第三章我国电子政务信息安全管理的基本现状分析一、我国电子政务信息安全环境分析(一)网络普及率有待提高从CNNIC公布的第25次中国互联网络发展状况调查统
5、计报告来看,我国互联网的普及率为28.9%,但网络发展存在明显的“东中西现象和城乡差距。由于在网络普及上存在很大差距,因而,我们可以说如果无法缩小网络发展差距,政府电子政务建设也就是“无源之水无本之木,无论政府的电子政务搞的多么完善,最终都不会实现为广大的人民服务的目的。(二)多种安全威胁并存L外部安全威胁第一,病毒破坏。病毒威胁不单是电子政务系统所面临的安全问题,也是让每个互联网用户头疼的问题。我国的电子政务网络结构大多是内外网结构,一旦内网内的一台电脑感染病毒就可能危及整个网络的安全。第二,黑客攻击和信息间谍。黑客们处于各种目的,对系统进行入侵、网络窃听、密文破译、流量分析、密钥破解等活动
6、。第四,信息恐怖活动和信息战争。主要是国与国层面的信息战争,这种威胁虽然不是经常出现,但它们常常以摧毁国家信息基础设施、制造并散布恐怖信息、发布虚假信息、窃取军事情报、攻击指挥系统及破坏社会经济等为目的。第五,自然灾害。因温度、湿度、灰尘、雷击、静电、地震等因素引起的设备损坏,一旦发生,后果往往是灾难性的。2、内部安全威胁第一,安全意识不强。这主要体现在系统管理员和大多数的网络用户身上,因为思想麻痹、经验不足及对后果的估计不足等原因,导致感染病毒或系统缺陷。第二,恶意破坏。主要是内部安全人员因为各种原因对内部服务器和网络设备所进行的破坏数据、损坏设备等活动。第三,内外勾结。主要是内部人员为了金
7、钱等利益,与外部敌对势力合作,向其出卖情报、破坏数据、破坏系统等。第四,滥用职权。非职责查看内部信息、非职权使用系统等第五,管理疏漏和操作不当。体现在管理上制度不完善、人员组织不合理、缺乏监控措施及权责不清等。第六,软、硬件故障。电磁泄露、操作系统漏洞、数据库故障、协议漏洞、设备老化等。从以上的分析,我们可以看出,我国的电子政务发展尚处在单向信息发布向“双向交流”的转变阶段,各个业务内容尚在初步建设之中。我国电子政务安全环境更是不容乐观,各种针对政府部门的攻击、病毒侵袭不断。因而,我们必须对安全问题有足够的重视。二、我国电子政务信息安全管理的情况经过二十多年的发展,我国的电子政务安全问题虽然较
8、为突出,但随着我国政府对电子政务安全的重视和资金投入的增长,我国的电子政务信息安全管理水平有了比较大的进步,在法律、管理机构、安全标准、基础设施等方面都有了较大的改进。从安全法律法规方面来讲,从上世纪90年代开始,国务院、公安部等有关部门就开始制定一系列信息系统安全方面的法规,如1992年发布的计算机软件保护条例、1994年颁布的中华人民共和国计算机信息系统安全保护条例等。在电子政务安全建设初期,这些法规是进行信息安全工作的重要依据。进入21世纪以后,随着我国电子政务事业的不断进步,我国的电子政务安全法律也在不断完善。从安全标准方面来讲,近年来,我国的电子政务相关安全标准工作也有了较大的进展,
9、2002年组建了国家电子政务标准化总体组,总体组编写了我国电子政务标准化指南,从六个方面对我国的电子政务的标准化建设指明了方向,同时参照国际标准,发表了信息安全技术网络基础安全技术要求GB/T20270-2006.信息安全技术信息系统安全管理要求GB/T20269-2006等七十多个安全标准。通过以上的分析,我们可以看出,我国电子政务信息安全管理的各个方面都取得了较大的进步,已经有了较好的安全管理基础。但我们也要看到,因为种种原因,中国的电子政务信息安全管理仍处于起步阶段,我国的电子政务信息安全管理在理论和实践上尚存在许多尚待解决的问题。第四章我国电子政务信息安全管理中存在的问题通过对电子政务
10、信息安全管理的探讨,我们知道电子政务信息安全管理是一个涉及多方面问题的概念,安全管理存在于电子政务建设和运行的各个阶段,而如果在一个环节出现弱点,则可能会影响系统的整体安全,因而我们在探讨电子政务信息安全管理时必须要从总体上去把握,这样才能事半功倍。近几年来,我国电子政务系统的安全管理得到了长足的发展,但在现有阶段,我国电子政务信息安全管理仍存在许多的问题和不足。一、电子政务安全立法滞后电子政务系统内部的流通文件、信息、指示等涉及国家核心政务,有些甚至涉及国家机密,电子政务的安全关系到国家的安全和整个社会的利益,因此电子政务安全的实施和管理必须以国家法律的形式将其固定化,规范各方面的行为,并为
11、司法提供法律依据。在我国,电子政务发展经历了二十年的发展,虽然在网络信息安全、电子政务方面颁布了一些信息安全法雷去规,取得了一定的进步,但与国际对比,立法仍较为落后,无法满足技术和系统方面的应用需求。二、信息安全管理机构建设不完善当前,我国电子政务信息安全管理的发展中,除了在管理立法方面存在着诸多的问题之外,在管理组织、机构设置和职能分配上也存在着不少的问题。(一)安全管理职能分散,协调管理能力差电子政务我国的电子政务系统大多是各个部门牵头组建,对于它的安全管理也大多存在于部门内部,而在国家层面上,对电子政务安全的管理权限分布于国家安全局、国家保密局、公安部、工业和信息化部等部门130电子政务
12、信息安全管理职能尚处在条块分割,各行其是,相互隔离的阶段,在遇到职能交叉的问题时,多头管理的现象时有发生,这样极大的妨碍了国家有关法规的贯彻执行,很难对我国的电子政务安全做统一而有效的管理。2001年成立的国家信息化领导小组虽然统领我国的电子政务工作,但在电子政务安全上缺乏一个具有最高权威的统一机构,信息安全相关的管理机构与国家信息化领域机构之间还没有充分沟通,缺乏统领全局又有具体职责和行动的国家级的安全管理机构,各部门在应急处理时,大都处于单兵作战的状态。(二)人员安全责任界定模糊电子政务信息安全管理工作是责任工程,任何参与其中的人员都必须有责任意识,在国家信息化领导小组关于加强信息安全保障
13、工作的意见(中办发200327号)中,明确指出我国信息安全保障工作必须实行信息安全责任制,要按照谁管理谁负责、谁运营谁负责的原则,将安全责任落实到人。但在实际的工作中,我们经常会发现许多部门的安全责任界定模糊,对于电子政务系统管理员、信息管理员等直接与系统接触的人员的责任规定较为严格而对于平常的公务员的安全责任的规定则较松懈;在有些部门的安全责任规定仅仅是一纸空文,并不能落到实处。三、信息安全基础设施管理薄弱电子政务是建立在Internet之上的网络系统,它需要规模巨大的基础设施的支持,对于安全而言,统一、安全、顺畅的安全基础设施的运行更是电子政务安全运行的前提和保证。就一般而言,安全基础设施
14、主要包括统一的网络安全平台、数据容灾备份中心、安全认证与测评中心、统一的安全认证PKI体系、病毒防护和应急响应机构等。安全基础设施的建设和管理就如一座大楼的地基,它的好坏直接决定了整个电子政务安全的水平。我国的安全基础设施建设和管理在最近十多年里有了巨大的进步,但也存在许多的问题。(一)安全基础设施重复建设问题突出自20世纪90年代中期以来,我国围绕“三金工程”进行了一系列的信息化基础设施建设,这为整个国家的信息化发展做出了巨大的贡献,当一前基础设施建设面临将众多的项目进行整合,推进其互联互通的工作150但目前,许多行业和部门在没有对整个国家的信息化基础设施有全面的了解的情况下,盲目上新的项目
15、,这样极易造成重复建设,资源浪费。以PKI/CA建设为例,在目前,几乎所有的大型电子政务安全解决方案中都有这样的规划,这样也造成了我国的各个CA呈现相互分割,形成了许多互不相连的孤立安全信任域,这样也就无法形成完整的PKI体系,在己建成的CA运营机构中,大多数规模偏小、利用率低,而且目前CA的建设缺乏国家法规的支持,安全标准规范在实施中问题不少,最终导致了对CA的管理问题突出。(二)应急处理能力差就我国目前的情况来看,我国初步建立了以国家计算机网络应急技术处理协调中心为主的国家应急协调体系,但在其它的安全基础设施建设中,尚未建成统一的安全认证平台、完整的安全标准体系、国家级的病毒防护安全体系,
16、这也使具体的电子政务安全项目建设陷入被动的局面,最终导致了覆盖整个国家的安全防护体系未能完全建立,而这样在出现紧急安全事件时,不能从国家层面上对整个安全体系进行统一的指挥和调度管理,也就不能对问题进行及时的处理,甚至会因为应急处理不理导致同样的安全问题一再发生。因而在总体上,我国的安全基础设施在加大统一建设力度的同时,要加强应急处理能力的建设,制定行之有效的应急预案和处理规程,从基础层面上提升我国的信息安全应急处理能力。四、信息安全项目建设质量不高在当前,一些部门的电子政务安全项目设计中,没有发展规划,也不做安全风险分析,没有建设重点和先后顺序,虽然已经开始引入了安全风险分析和评估机制,但总体而言,还是处在初级阶段。许多部门的安全系统设计都是外包给Fr公司,自己做起了甩手掌柜,而且政府在电子政务安全项目管