目錄/提綱:……
一、保障電子政務(wù)內(nèi)_全的意義4
二、政務(wù)內(nèi)_全問(wèn)題分析5
三、政務(wù)內(nèi)_全保密工作的目標(biāo)和原則8
五、結(jié)語(yǔ)17
一、保障電子政務(wù)內(nèi)_全的意義
二、政務(wù)內(nèi)_全問(wèn)題分析
三、政務(wù)內(nèi)_全保密工作的目標(biāo)和原則
五、結(jié)語(yǔ)
……
**市科技情報(bào)調(diào)研項(xiàng)目
調(diào)研報(bào)告
電子政務(wù)內(nèi)網(wǎng)的安全b_m研究
——以**市科委系統(tǒng)電子政務(wù)網(wǎng)絡(luò)為例
**市科技信息研究院
二零一三年十二月
目 錄
引言 4
一、保障電子政務(wù)內(nèi)_全的意義 4
二、政務(wù)內(nèi)_全問(wèn)題分析 5
2.1. 電子政務(wù)網(wǎng)的安全觀念 5
2.2安全風(fēng)險(xiǎn)分析 5
2.2.1.物理安全風(fēng)險(xiǎn) 6
2.2.2.網(wǎng)絡(luò)邊界安全風(fēng)險(xiǎn) 6
2.2.3.內(nèi)部應(yīng)用安全風(fēng)險(xiǎn) 6
2.2.4.信息安全風(fēng)險(xiǎn) 7
2.2.5.管理安全風(fēng)險(xiǎn) 8
三、政務(wù)內(nèi)_全b_m工作的目標(biāo)和原則 8
3.1總體目標(biāo) 8
3.2安全b_m工作的基本原則 8
四,加強(qiáng)政務(wù)內(nèi)_全工作的建議 9
4.1安全體系建設(shè) 9
4.1.1分級(jí)保護(hù)的安全規(guī)劃 9
4.1.2.安全體系設(shè)計(jì) 11
4.2.電子政務(wù)內(nèi)_全的實(shí)施策略建議 11
4.2.1.物理安全防護(hù) 12
4.2.2.網(wǎng)絡(luò)邊界安全防護(hù) 12
4.2.3.應(yīng)用安全防護(hù) 13
4.2.4.信息安全防護(hù) 15
4.2.5.管理安全措施 16
五、結(jié)語(yǔ) 17
參考文獻(xiàn): 17
引言
信息安全在電子政務(wù)的建設(shè)中一直是倍受關(guān)注的問(wèn)題,特別是近年來(lái),隨著社會(huì)經(jīng)濟(jì)的快速發(fā)展,政務(wù)信息化進(jìn)程向深化發(fā)展,電子政
……(新文秘網(wǎng)http://m.120pk.cn省略1016字,正式會(huì)員可完整閱讀)……
還停留在“兩網(wǎng)”的錯(cuò)誤觀念而產(chǎn)生的。政務(wù)內(nèi)網(wǎng)本身存在的如下一些特點(diǎn),使加強(qiáng)安全性和b_m性的建設(shè)顯得尤為迫切和重要。
。1)網(wǎng)絡(luò)聯(lián)結(jié)情況復(fù)雜。
科委系統(tǒng)各部門(mén)和下屬各單位的電子政務(wù)內(nèi)網(wǎng)建設(shè)發(fā)展不平衡,屬于不同發(fā)展階段的網(wǎng)絡(luò)統(tǒng)一接入后,整個(gè)系統(tǒng)網(wǎng)絡(luò)架構(gòu)情況復(fù)雜。委系統(tǒng)內(nèi),電子政務(wù)網(wǎng)絡(luò)架構(gòu)分為“政務(wù)內(nèi)網(wǎng)”、“政務(wù)專(zhuān)網(wǎng)”和“政務(wù)外網(wǎng)”,政務(wù)內(nèi)網(wǎng)、政務(wù)專(zhuān)網(wǎng)分別與其他網(wǎng)絡(luò)物理隔離,政務(wù)外網(wǎng)與互聯(lián)網(wǎng)邏輯隔離。而下屬單位中,有些還按照“兩網(wǎng)”概念建設(shè),政務(wù)內(nèi)網(wǎng)與政務(wù)專(zhuān)網(wǎng)只是邏輯隔離。
(2)工作秘密和內(nèi)部敏感信息的存放情況復(fù)雜。
部分單位政務(wù)專(zhuān)網(wǎng)中存儲(chǔ)的信息種類(lèi)復(fù)雜,除了一般性的工作信息外,還有較多雖不屬于國(guó)家秘密,但也不宜公開(kāi)的工作秘密和單位內(nèi)部敏感信息,這就對(duì)信息的分類(lèi)保護(hù)帶來(lái)很大難度。
2.2安全風(fēng)險(xiǎn)分析
網(wǎng)絡(luò)a全具體風(fēng)險(xiǎn)層次一般可分為:物理層安全風(fēng)險(xiǎn)、網(wǎng)絡(luò)層安全風(fēng)險(xiǎn)、系統(tǒng)層安全風(fēng)險(xiǎn)、應(yīng)用層安全風(fēng)險(xiǎn)。[ 袁津生,吳硯農(nóng).計(jì)算機(jī)網(wǎng)絡(luò)a全基礎(chǔ)[M].北京:人民郵電出版社,2006.]在對(duì)科委系統(tǒng)政務(wù)網(wǎng)絡(luò)現(xiàn)狀具體分析的基礎(chǔ)上,本文從五個(gè)層面:物理安全、網(wǎng)絡(luò)邊界安全、內(nèi)部應(yīng)用安全、信息安全、管理安全,一一分析其存在的風(fēng)險(xiǎn)。
2.2.1.物理安全風(fēng)險(xiǎn)
物理安全主要指網(wǎng)絡(luò)運(yùn)行的物理環(huán)境的安全,既包括發(fā)生自然災(zāi)害的極端情況下應(yīng)急防護(hù),此外,還包括關(guān)鍵部門(mén)如中心機(jī)房等,人員出入和活動(dòng)的控制,服務(wù)器不間斷連續(xù)運(yùn)行的電力供應(yīng),空氣調(diào)節(jié)和其他設(shè)施的故障修復(fù),以保障電子政務(wù)系統(tǒng)持續(xù)正常運(yùn)行。**市科委系統(tǒng)電子政務(wù)機(jī)房符合A類(lèi)機(jī)房標(biāo)準(zhǔn),
供電、空調(diào)都具備冗余考慮,物理安全方面的不足主要有:
在人員不足的情況下對(duì)機(jī)房無(wú)法實(shí)現(xiàn)全時(shí)情況監(jiān)控,機(jī)房UPS故障,空調(diào)設(shè)施故障無(wú)法及時(shí)修復(fù)風(fēng)險(xiǎn),樓內(nèi)內(nèi)供水設(shè)施滲漏風(fēng)險(xiǎn)。
2.2.2.網(wǎng)絡(luò)邊界安全風(fēng)險(xiǎn)
網(wǎng)絡(luò)邊界一般是指內(nèi)網(wǎng)與外網(wǎng)的結(jié)合部位,是內(nèi)網(wǎng)的安全門(mén)戶(hù)。
政務(wù)網(wǎng)與外網(wǎng)有時(shí)要進(jìn)行數(shù)據(jù)交換,由于外網(wǎng)連接著國(guó)際互聯(lián)網(wǎng),加大了對(duì)專(zhuān)網(wǎng)的威脅,包括黑客的入侵,病毒的傳播等?莆娮诱⻊(wù)系統(tǒng)雖然部署了網(wǎng)絡(luò)版的防病毒及防火墻系統(tǒng),但仍然面臨一定的安全風(fēng)險(xiǎn),主要存在于以下幾個(gè)方面:
(1)整個(gè)網(wǎng)絡(luò)操作系統(tǒng)的可靠性是政務(wù)網(wǎng)絡(luò)a全的重要基礎(chǔ),所有應(yīng)用程序和安全措施(包括防火墻,防病毒,入侵檢測(cè),等等)都依賴(lài)于底層操作系統(tǒng)提供支持。而目前大多數(shù)操作系統(tǒng)的設(shè)計(jì)都沒(méi)有把安全放在與提高信息處理效率同等重要的地位加以考慮,各種操作系統(tǒng)都存在種種安全隱患。
。2)通信與網(wǎng)絡(luò)設(shè)備本身的弱點(diǎn)。目前,大多數(shù)電子政務(wù)系統(tǒng)都采用的TCP / IP網(wǎng)絡(luò)協(xié)議,通過(guò)這些網(wǎng)絡(luò)協(xié)議進(jìn)行的服務(wù)本身可能存在許多潛在安全威脅。
。3)缺乏有效的攻擊實(shí)時(shí)檢測(cè)和病毒主動(dòng)防御手段。
2.2.3.內(nèi)部應(yīng)用安全風(fēng)險(xiǎn)
應(yīng)用系統(tǒng)的安全性涉及到許多方面,應(yīng)用類(lèi)型不斷擴(kuò)展,與此同時(shí),越來(lái)越復(fù)雜的系統(tǒng)帶來(lái)了不斷增加的脆弱性。在用戶(hù)應(yīng)用軟件層面,其安全性能主要取決于開(kāi)發(fā)應(yīng)用軟件過(guò)程中對(duì)安全問(wèn)題的設(shè)計(jì)與實(shí)現(xiàn),如商家提供的OA系統(tǒng)大都是克隆產(chǎn)品,功能不完善,運(yùn)行中會(huì)出現(xiàn)數(shù)據(jù)丟失等問(wèn)題。[ 李思偉,蘇忠等.信息網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)分析與防范策略[J].計(jì)算機(jī)安全,2010,(6):36—37.]因此,需要隨著網(wǎng)絡(luò)的發(fā)展動(dòng)態(tài)調(diào)整設(shè)置,不斷完善,以保證應(yīng)用系統(tǒng)的安全性。目前的應(yīng)用系統(tǒng)的安全問(wèn)題包括以下幾個(gè)方面:
(1)訪(fǎng)問(wèn)控制
身份驗(yàn)證和授權(quán)是確保只有授權(quán)的用戶(hù)才能讀取,修改或刪除數(shù)據(jù)的安全技術(shù)。 科委系統(tǒng)18個(gè)部門(mén)專(zhuān)網(wǎng)系統(tǒng)中有11個(gè)在訪(fǎng)問(wèn)控制方面存在一定隱患。如有的系統(tǒng)內(nèi)部網(wǎng)絡(luò)使用過(guò)于簡(jiǎn)單的密碼,有的系統(tǒng)沒(méi)有嚴(yán)格的分級(jí)訪(fǎng)問(wèn)控制,低權(quán)限用戶(hù)只要進(jìn)入系統(tǒng)就可以任意訪(fǎng)問(wèn)敏感信息。
。2)資源共享控制
對(duì)共享軟硬件資源的安全管理力度不夠,18個(gè)部門(mén)中有7個(gè)存在這方面的漏洞,例如軟件系統(tǒng)沒(méi)有經(jīng)正確流程及時(shí)升級(jí),當(dāng)一個(gè)新的攻擊手段或病毒出現(xiàn)時(shí),往往由于升級(jí)和補(bǔ)丁安裝設(shè)置的滯后而造成損失。軟件、設(shè)備更新頻繁時(shí),文件共享、打印機(jī)共享等缺少必要的分級(jí)訪(fǎng)問(wèn)控制,造成政務(wù)專(zhuān)網(wǎng)與應(yīng)隔離的政務(wù)外網(wǎng),互聯(lián)網(wǎng)混用共享軟硬件的漏洞。
。3)安全規(guī)劃和審計(jì)
多個(gè)部門(mén)缺乏一套完整的信息安全管理規(guī)劃。18個(gè)部門(mén)中有14個(gè)存在這方面的隱患,對(duì)用戶(hù)上網(wǎng)行為缺少有效監(jiān)控和事后審計(jì)手段,如某個(gè)用戶(hù)由于感染木馬向外部大量傳輸垃圾信息造成網(wǎng)絡(luò)癱瘓,或因內(nèi)部錯(cuò)誤操作而導(dǎo)致重要信息丟失等,缺乏事后取證記錄和應(yīng)急預(yù)案。
2.2.4.信息安全風(fēng)險(xiǎn)
信息或者說(shuō)數(shù)據(jù),無(wú)疑是整個(gè)政務(wù)網(wǎng)絡(luò)應(yīng)用服務(wù)的核心,安全地存儲(chǔ)與傳遞信息,是網(wǎng)絡(luò)運(yùn)行安全的基礎(chǔ),信息的安全風(fēng)險(xiǎn)主要存在于以下三個(gè)方面:
(1)信息的存儲(chǔ)安全
目前還沒(méi)有具備絕對(duì)安全性的網(wǎng)絡(luò)數(shù)據(jù)庫(kù)和個(gè)人終端安全保護(hù)措施,各種對(duì)數(shù)據(jù)庫(kù)及個(gè)人終端的攻擊都有可能突破安全系統(tǒng)的抵御進(jìn)入內(nèi)部信息系統(tǒng)。一旦不法分子以非法手段竊得重要信息數(shù)據(jù)庫(kù)的操作權(quán)限,對(duì)存儲(chǔ)于網(wǎng)絡(luò)中的信息會(huì)造成非常嚴(yán)重的影響和損失。
(2)信息的傳輸安全
同級(jí)局域網(wǎng)和上下級(jí)網(wǎng)絡(luò)數(shù)據(jù)傳輸線(xiàn)路之間都存在信息泄露的風(fēng)險(xiǎn),如利用電磁泄漏建立隱蔽通道截取機(jī)密信息,或通過(guò)對(duì)信息流向、流量、通信頻度等參數(shù)的 ……(未完,全文共12000字,當(dāng)前僅顯示2855字,請(qǐng)閱讀下面提示信息。
收藏《電子政務(wù)內(nèi)網(wǎng)的安全b_m研究》)