电子政务及安全
一、电子政务
1. 电子政务的定义
- 电子政务是指国家机关在政务活动中,全面应用现代信息技术、网络技术以及办公自动化技术等进行办公、管理和为社会提供公共服务的一种全新的管理模式。电子政务是政府在国民经济和社会信息化的背景下,以提高政府办公效率,改善决策和投资环境为目标,将政府的信息发布、管理、服务、沟通功能向互联网上迁移的系统解决方案。同时也提供了结合振幅管理流程再造,构建和优化政府内部管理系统、决策支持系统、办公自动化系统,为政府信息管理、服务水平的提高提供强大的技术和咨询支持。
与传统政府的公共服务相比,电子政务除了具有公共物品属性,如广泛性、公开性、非排他性等本质属性外,还具有直接性、便捷性、低成本性以及更好的平等性等特征。
2. 电子政务的内容
- 1.政府从网上获取信息,推进网络信息化
2.加强政府的信息服务,在网上设有政府自己的网站和主页,向公众提供可能的信息服务,实现政务公开
3.建立网上服务体系,使政务在网上与公众互动处理,即“电子政务”
4.将电子商业用于政府,即“政府采购电子化”。
- 充分利用政务网络,实现政府“无纸化办公”。
- 政府知识库。
3. 网络规范
-
网络结构
国家电子政务网络由基于国家电子政务传输网的政务内网和政务外网组成。统一的国家电子政务传输骨干网由各级电子政务传输骨干网共同形成。政务内网和政务外网都是电子政务的业务网络。政务内网与政务外网之间不连接,政务内网与互联网之间不连接;政务外网是电子政务的专用业务网络,政务外网可与互联网之间安全连接。 -
网络安全
-
环境和设备安全
-
传输骨干网网络安全
-
业务网络网络安全
-
电子政务外网安全管理规范
政务外网省至地(市)广域网和省级、地(市)级城域网应达到安全等级保护第三级要求,地(市)级至区县广域网和地(市)以下城域网应至少达到安全等级保护第三级的要求。政务在省、市(地)分别建设两级安全接入平台,形成政务外网安全接入体系。县级可通过市级平台接入。 -
IPSecVPN隧道接入:主要应用于非专线接入政务外网的单位,采用网关对网关接入进行组网以及远程终端接入进行长时间连接、数据上报、视频会议等非WEB方式访问的业务。对于专线接入单位,当专线发生故障时,应急情况下也可采用网关对网关接入方式,通过Internet或移动通信网的VPDN实现业务的不中断传输。
-
SSL VPN安全接入:主要应用于接入终端WEB方式接入政务外网,访问业务系统、远程桌面管理、远程办公等。
-
VPDN接入:专线接入用户可使用智能终端通过VPDN专线接入,VPDN专线接入和Internet接入类似,统一从政务外网安全接入平台入口进入。各级安全接入平台依据用户所要访问的业务应用系统的安全情况应采取IPSec VPN或SSL VPN网关对传输链路进行加密。
二、政务应急平台
政府应急平台综合应用系统(简称综合应用系统)要求满足日常应急值守和处置突发事件的需要,系统以计算机网络、主机存储、支撑软件等基础支撑系统为软硬件平台,以数据库系统为运行基础,提供强大的数据和业务管理能力。主要由面向业务应用的应急值守、综合业务管理、预案管理、应急资源管理、一张图辅助决策、一张图监测预警、一张图应急处置、一张图协同会商、应急评估、手机工作平台后台管理系统及后台智能服务助手等11个业务应用系统组成;专题应用系统、在线会商系统、风险隐患监控分析系统及数据交换与共享系统等5个系统/产品作为辅助应用部分。
三、政务安全
-
- 电子政务安全
电子政务安全是指保护电子政务网络及其服务不受未经授权的修改、破坏或泄漏,防止电子政务系统资源和信息资源受自然和人为有害因素的威胁和危害,电子政务安全就是电子政务的系统安全和信息安全。由于电子政务的工作内容和工作流程涉及到国家秘密与核心政务,它的安全关系到国家的主权、安全和公众利益,所以电子政务安全的实施和保障是非常重要的。
电子政务安全的目标是满足政务业务的安全需要—电子政务系统的功能性安全要求和应对信息技术带来的信息安全威肋、—电子政务系统的自身安全要求。也就是保护政务信息资源价值不受侵犯,保证信息资产的拥有者面临最小的风险和获取最大的安全利益,使政务的信息基础设施、信息应用服务和信息内容为抵御上述威肋、而具有保密性、完整性、真实性、可用性和可控性的能力。
- 电子政务安全
-
- 电子政务的安全威胁
目前大部分的网络都遭受过来自内部和外部的双重攻击,包括对网络中数据信息的危害和对网络设备的危害。威肋、电子政务安全的因素有非人为和人为的两个方面。非人为的威肋、主要是如地震、火灾等的自然灾难和由于技术的局限性造成的破坏,如操作系统的安全隐患、硬件设备的设计漏洞等。人为的威肋、主要有内部人员安全威肋、被动攻击、主动攻击、邻近攻击和分发攻击等5类。据统计,75%以上的安全问题是由内部人员引起的,已成为最大的安全隐患。内部人员安全威肋、分为恶意和非恶意两种。恶意攻击是指内部人员出于某种目的对所使用的政务系统实施的攻击。无意的攻击是指操作者由于误操作,对重要数据、文件等发送或存储到不安全的设备上,以及对数据造成严重的损害。
- 电子政务的安全威胁
- 被动攻击:主要包括被动攻击者监视、接收、记录开放的通信信道上的信息传送。
- 主动攻击:指攻击者主动对信息系统所实施的攻击,包括企图避开安全保护、引入恶意代码,及破坏数据和系统的完整性。如破坏数据的完整性、越权访问、冒充合法用户、插入和利用恶意代码、拒绝服务攻击等。
- 邻近攻击:指攻击者试图在地理上尽可能接近被攻击的网络、系统和设备,目的是修改、收集信息,或者破坏系统。
- 分发攻击:是指攻击者在电子政务软件和硬件的开发、生产、运输和安装阶段,恶意修改设计、配置的行为。
电子政务安全管理
1. 电子政务和网络规范
- 电子政务是指政府利用信息技术手段,提供公共服务、管理公共事务、推进政府治理的一种方式。
- 网络规范是指在网络空间中,人们应该遵循的一些基本行为准则,如不泄露个人信息、不传播虚假信息等。
2. 政务应急平台
- 政务应急平台是指政府为了应对突发事件而建立的一套信息化系统,包括预警、指挥、调度、应急响应等功能。
- 政务应急平台的建设需要考虑信息安全问题,如防止黑客攻击、保护敏感信息等。
3. 子政务安全
- 子政务是指政府机构内部的各个部门,子政务安全是指保护这些部门的信息系统和数据安全。
- 子政务安全需要考虑内部员工的安全意识和行为,如定期培训、加强权限管理等。
4. 电子政务安全管理
- 电子政务安全管理是指政府对电子政务系统和数据进行安全管理的一系列措施,包括风险评估、安全策略制定、安全技术措施等。
- 电子政务安全管理需要考虑信息安全等级保护、认证和权限管理等问题。
5. 电子政务信息安全等级保护、认证和权限管理
- 信息安全等级保护是指根据信息的重要程度和安全需求,对信息进行分级保护。
- 电子政务认证是指通过身份验证等方式,确保用户的身份和权限。
- 权限管理是指对用户的权限进行控制,确保用户只能访问其需要的信息和功能。
- 政务信息交换的安全机制包括加密、数字签名等技术,确保信息在传输过程中不被篡改或泄露。
五、电子政务信息安全等级保护
-
- 电子政务信息安全等级保护的原则
重点保护原则
电子政务等级保护要突出重点。对关系国家安全、经济命脉、社会稳定等方面的重要电子政务系统,应集中资源优先建设。
“谁主管谁负责、谁运营谁负责”原则
电子政务等级保护要贯彻“谁主管谁负责、谁运营谁负责”的原则,由各主管部门和运营单位依照国家相关法规和标准,自主确定电子政务系统的安全等级并按照相关要求组织实施安全保障。
分区域保护原则
电子政务等级保护要根据各地区、各行业电子政务系统的重要程度、业务特点和不同发展水平,分类、分级、分阶段进行实施,通过划分不同的安全区域,实现不同强度的安全保护。
同步建设原则
电子政务系统在新建、改建、扩建时应当同步建设信息安全设施,保证信息安全与信息化建设相适应。
动态调整原则
由于信息与信息系统的应用类型、覆盖范围、外部环境等约束条件处于不断变化与发展之中,因此信息与信息系统的安全保护等级需要根据变化情况,适时重新确定,并相应调整对应的保护措施。
- 电子政务信息安全等级保护的原则
-
- 电子政务安全等级的层级划分
第一级为自主保护级,适用于一般的信息和信息系统,其受到破坏后,会对公民、法人和其他组织的权益有一定影响,但不危害国家安全、社会秩序、经济建设和公共利益。
第二级为指导保护级,适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成一定损害。
第三级为监督保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成较大损害。
第四级为强制保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成严重损害。
第五级为专控保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。
- 电子政务安全等级的层级划分