时间:2023-06-12 14:46:22
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇电子政务的安全风险,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
0引言
随着电子政务不断推进,社会各阶层对电子政务的依赖程度越来越高,信息安全的重要性日益突出,在电子政务的信息安全管理问题中,基于现实特点的电子政务信息安全体系设计和风险评估[1]模型是突出的热点和难点问题。本文试图就这两个问题给出分析和建议。
1电子政务信息安全的总体要求
随着电子政务应用的不断深入,信息安全问题日益凸显,为了高效安全的进行电子政务,迫切需要搞好信息安全保障工作。电子政务系统采取的网络安全措施[2][3]不仅要保证业务与办公系统和网络的稳定运行,另一方面要保护运行在内部网上的敏感数据与信息的安全,因此应充分保证以下几点:
1.1基础设施的可用性:运行于内部专网的各主机、数据库、应用服务器系统的安全运行十分关键,网络安全体系必须保证这些系统不会遭受来自网络的非法访问、恶意入侵和破坏。
1.2数据机密性:对于内部网络,保密数据的泄密将直接带来政府机构以及国家利益的损失。网络安全系统应保证内网机密信息在存储与传输时的保密性。
1.3网络域的可控性:电子政务的网络应该处于严格的控制之下,只有经过认证的设备可以访问网络,并且能明确地限定其访问范围,这对于电子政务的网络安全十分重要。
1.4数据备份与容灾:任何的安全措施都无法保证数据万无一失,硬件故障、自然灾害以及未知病毒的感染都有可能导致政府重要数据的丢失。因此,在电子政务安全体系中必须包括数据的容灾与备份,并且最好是异地备份。
2电子政务信息安全体系模型设计
完整的电子政务安全保障体系从技术层面上来讲,必须建立在一个强大的技术支撑平台之上,同时具有完备的安全管理机制,并针对物理安全,数据存储安全,数据传输安全和应用安全制定完善的安全策略
在技术支撑平台方面,核心是要解决好权限控制问题。为了解决授权访问的问题,通常是将基于公钥证书(PKC)的PKI(PublicKeyInfrastructure)与基于属性证书(AC)的PMI(PrivilegeManagementInfrastructure)结合起来进行安全性设计,然而由于一个终端用户可以有许多权限,许多用户也可能有相同的权限集,这些权限都必须写入属性证书的属性中,这样就增加了属性证书的复杂性和存储空间,从而也增加了属性证书的颁发和验证的复杂度。为了解决这个问题,作者建议根据X.509标准建立基于角色PMI的电子政务安全模型。该模型由客户端、验证服务器、应用服务器、资源数据库和LDAP目录服务器等实体组成,在该模型中:
2.1终端用户:向验证服务器发送请求和证书,并与服务器双向验证。
2.2验证服务器:由身份认证模块和授权验证模块组成提供身份认证和访问控制,是安全模型的关键部分。
2.3应用服务器:与资源数据库连接,根据验证通过的用户请求,对资源数据库的数据进行处理,并把处理结果通过验证服务器返回给用户以响应用户请求。
2.4LDAP目录服务器:该模型中采用两个LDAP目录服务器,一个存放公钥证书(PKC)和公钥证书吊销列表(CRL),另一个LDAP目录服务器存放角色指派和角色规范属性证书以及属性吊销列表ACRL。
安全管理策略也是电子政务安全体系的重要组成部分。安全的核心实际上是管理,安全技术实际上只是实现管理的一种手段,再好的技术手段都必须配合合理的制度才能发挥作用。需要制订的制度包括安全行政管理和安全技术管理。安全行政管理应包括组织机构和责任制度等的制定和落实;安全技术管理的内容包括对硬件实体和软件系统、密钥的管理。
3电子政务信息安全管理体系中的风险评估
电子政务信息安全等级保护是根据电子政务系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度。等级保护工作的要点是对电子政务系统进行风险分析,构建电子政务系统的风险因素集。
3.1信息系统的安全定级信息系统的安全等级从低到高依次包括自主保护级、指导保护级、监督保护级、强制保护级、专控保护级五个安全等级。对电子政务的五个安全等级定义,结合系统面临的风险、系统特定安全保护要求和成本开销等因素,采取相应的安全保护措施以保障信息和信息系统的安全。
3.2采用全面的风险评估办法风险评估具有不同的方法。在ISO/IECTR13335-3《信息技术IT安全管理指南:IT安全管理技术》中描述了风险评估方法的例子,其他文献,例如NISTSP800-30、AS/NZS4360等也介绍了风险评估的步骤及方法,另外,一些组织还提出了自己的风险评估工具,例如OCTAVE、CRAMM等。
电子政务信息安全建设中采用的风险评估方法可以参考ISO17799、OCTAVE、CSE、《信息安全风险评估指南》等标准和指南,从资产评估、威胁评估、脆弱性评估、安全措施有效性评估四个方面建立风险评估模型。其中,资产的评估主要是对资产进行相对估价,其估价准则依赖于对其影响的分析,主要从保密性、完整性、可用性三方面进行影响分析;威胁评估是对资产所受威胁发生可能性的评估,主要从威胁的能力和动机两个方面进行分析;脆弱性评估是对资产脆弱程度的评估,主要从脆弱性被利用的难易程度、被成功利用后的严重性两方面进行分析;安全措施有效性评估是对保障措施的有效性进行的评估活动,主要对安全措施防范威胁、减少脆弱性的有效状况进行分析;安全风险评估就是通过综合分析评估后的资产信息、威胁信息、脆弱性信息、安全措施信息,最终生成风险信息。
在确定风险评估方法后,还应确定接受风险的准则,识别可接受的风险级别。
4结语
电子政务与传统政务相比有显著区别,包括:办公手段不同,信息资源的数字化和信息交换的网络化是电子政务与传统政务的最显著区别;行政业务流程不同,实现行政业务流程的集约化、标准化和高效化是电子政务的核心;与公众沟通方式不同,直接与公众沟通是实施电子政务的目的之一,也是与传统政务的重要区别。在电子政务的信息安全管理中,要抓住其特点,从技术、管理、策略角度设计完整的信息安全模型并通过科学量化的风险评估方法识别风险和制定风险应急预案,这样才能达到全方位实施信息安全管理的目的。
参考文献:
[1]范红,冯国登,吴亚非.信息安全风险评估方法与应用.清华大学出版社.2006.
关键词:电子政务风险 电子政务项目 应对建议
一、现状
电子政务建设作为国民经济信息化的重要组成部分,在现阶段对于带动国民经济和社会信息化,提高国民信息化意识,进一步扩大信息化需求,推动信息技术在全社会各个领域的普及应用,都具有十分重要的现实意义。随着对电子政务投资的增加以及应用的深入。信息系统的规划、建设和运行的难度和风险因素剧增。通常,信息化项目都存在高风险,成功率平均只有30%左右,电子政务更不例外,而且相对一般信息化(如企业信息化)项目,电子政务项目更复杂,不确定性更大,经验更少。如果对潜在的困难和风险估计不足,或不能有效化解这些风险,将可能造成损失。因此应充分估计风险和困难,并通过加强全过程的管理来化解电子政务风险,提高项目的成功率。
二、电子政务风险简析
风险是指预期结果偏离期望值的可能性。风险一般可分为外部风险和内部风险。外部风险主要是指与项目本身没有直接关系,但又会影响到项目实施效果的客观因素即环境因素造成的风险;内部风险是指与项目本身直接相关的人或事对项目产生的影响所造成的风险。
(一)外部风险
外部风险作用于项目全过程,充分认识和正确处理外部风险是电子政务项目成功的重要前提。
首先,政策和法律风险是电子政务外部风险的基础性风险。在政策方面,政府可能颁布与为项目提供支持依据的条文产生冲突的法规、文件,或者为项目提供支持依据的条文失效;在法律方面,项目实施单位与政府部门在签订合同时未仔细审核合同条文、明确责权,或在一些涉及技术部分的条文方面存在信息不对称的情况,致使合作双方在许可权、专利等方面发生合同失效、诉讼等情况。
其次,转变和调整的风险,即部门发展战略的改变也会给电子政务带来风险。如果遇到大的人动或者大的政策变化,一个部门的整体战略会因此而受到影响,从而可能会要求电子政务系统的建设发生变化。
再次,领导特别是高层领导主要关注系统的表现,为确保系统表现稳定准确,一些隐蔽工程就可能放在上线后实施。由于需求变化的不可控性,会使项目不能在预期的时间内完成。我们把这样的风险称为进度风险。
最后,自然灾害、电信故障等不可抗力所引起的风险也是电子政务不可忽视的风险。
(二)内部风险
内部风险是可控风险,对电子政务项目能否成功具有决定性作用。按风险的来源分析,内部风险主要包括三个维度:协调性风险,技术性风险,实施与运行风险。
第一,协调性风险。协调性风险是合作主体即电子政务实施单位和政府部门之间的矛盾所造成的。对目标的期望和认识不一致,责任与信息不对称,文化意识差异和沟通矛盾等问题都是这种风险存在的原因。由于国内电子政务建设实践时间不长,加上缺少深入研究和经验不足。难以真正把握其本质和发展规律。一些人简单地认为只有加大信息化投资就可以实现跨越式发展,只有建设业务系统就是信息化,只要实现了网络化、数字化就可以开展电子政务。这种对信息化和电子政务的片面认识,会导致忽视行政改革、盲目建设等问题。系统设计时未充分考虑政府部门间的相互影响,在实施过程中受到其它强力部门以不符合某方面规划等理由而提出系统更改要求;需要多部门配合的系统可能会涉及到某个或某几个部门的既得利益,在建设和推广过程中,项目可能会受到阻挠。实施单位与政府部门之间缺乏有效沟通而造成的理解偏差所引起的风险,实质上是文化意识差异或不同沟通方式矛盾的外在表现。
第二,技术性风险。技术性风险是由对实施方案、软件开发工具和技术的选择及对软件和硬件设备的采购等涉及技术层面的问题所引起的风险。规划是电子政务建设的基础和主要工作,但由于对电子政务认识的局限性以及目前的行政体制和投融资体制等原因,很多项目在没有总体规划的情况下,临时策划并建设,出现了项目目标模糊、贪大求全、急于求成、脱离需求等问题。即使制定了规划,也可能是多个项目的简单罗列,不能切实针对电子政务的阶段要求,结合区域经济社会发展需要,紧密配合行政业务改革,有系统、有层次、有选择地规划电子政务项目。不能统筹各类信息化资源,致使已建成项目的相关性、集成度存在不足,效率低下。另外,系统设计时,对一些问题没有预见,使得设计错误影响项目的实施。开发软件环境没有准备好或与实际环境不同,导致产品无法装载到运行环境,或因为运行环境和产品开发环境的差异,尤其是开发机器与服务器硬件配置存在差异,从而造成部署困难。
由于政府采购需要一定的时间周期,当系统需要上线时必需的设备、软件不能按时到货,采购的产品不能满足系统升级或兼容其他政务平台的要求,或在选择开发工具时没有考虑技术的发展趋势与其它开发工具的协作性,从而导致信息孤岛的出现。项目建设中,涉及到对旧有异构数据和系统的整合时,由于在实施前没有做充分调查,不了解相关技术细节、采用比较成熟和稳定的整合方案,并制定接口规范,使得整合后系统不能正常使用或运行不稳定。
第三,实施与运行风险。人员组合不恰当与变动造成团队涣散,项目审批与监理存在问题,实施与运营没有很好交接,双方的信息沟通不畅等问题,都会影响电子政务的建设与应用。在资金使用方面,由于缺乏对部门资金的有效监督,使得浪费严重,建设成本不断攀升,并出现了不断攀比建设规模的现象;另外,如果没有合理的成本分析,或没有考虑到优化开发或创新管理以减少成本,会使项目缺少后续资金;项目在建设和运行阶段资金被挪用,造成进一步建设和运行困难。电子政务项目的效益主要体现在内部办公效率、对外服务能力等社会效益方面,并且缺少有效的测评指标及办法,因而难以量化考评。由于上述原因,电子政务项目在应用效益、资金使用与控制方面产生了潜在的风险。在建设和实施电子政务的时候,可能会需要再造旧有的政务运作模式,组织架构业绩考评体系。如果不对政务流程进行优化、简化,可能造成已建成的电子政务平台得不到很好应用,甚至完全不能使用。项目组成人员流动比较频繁,交接不顺利或管理不到位,使项目的进度和质量受到影响。开发团队内部或多个开发团队之间沟通与协调不够,导致程序员对系统设计的理解上出现偏差。实施方与政府部门交接时,开发人员与维护人员没有全而细致的工作沟通,造成一定时期内的维护困难。当电子政务平台进入使用阶段后,不少项目存在稳定性、安全性、可靠性等方面的不足,随着部分业务广泛且深度地利用信息系统,系统的任何不稳定、不安全、不可靠运行,都可能造成损失。对信息资源没有有效开发,对政务信息没有
按照信息标准的要求或不及时,都会造成不良影响。在电子政务建设中。由于资金规模膨胀对部门有利,且缺少项目评价办法,造成项目评价越来越模糊,责任无从分清,更无法追究。结果,电子政务项目规模越来越大,而效益问题却越来越模糊。这种“大投入、软约束、轻责任”,权利和责任不对称的情况将进一步增加电子政务建设的风险。
三、应对措施
(一)主管部门应加强宣传,使政府部门工作人员树立“用电子、重政务”的观念,对电子政务的本质有准确把握,明白在电子政务中,电子是工具,政务是目的。在选择电子政务方案时,要以“重政务”的态度,采用效果评估的方式,对到底要通过电子政务压缩多少流程,提高多少服务以及如何调整下属各部门的职能等方面进行摸底,认真分析。
(二)将电子政务曲建设和实施制度化、流程化。建立项目沟通机制,做好电子政务项目的前期咨询工作,对项目做专业的前期评估,认真分析功能需求及经费需求。电子政务主要是政府的事情,要充分发挥政府在电子政务项目建设过程中的积极作用。
(三)制定严密的操作程序,确定项目审核标准,加强监理。规范采购行为,对实施企业的选择实行透明化操作,鼓励竞争,提高财政资金的使用效率。
(四)鼓励合理的政务运作模式,转变政府职能,不断完善和提高政府内部管理水平,促进建设责任政府、法制政府、服务型政府以及洁、高效、公正、透明的政府。
第1章绪论
一.一钻研违景及意义
在网络愈来愈普及的今天,信息传布的效力愈来愈高,人们足不出户便能随时患上知外界即时产生的首要事件,网络的优势愈来愈显明。为了知足人民的需求,适应高速发展的信息化时期,提高办公效力,迅速处理政务事务,各政府已经经建成或者正在建设电子政务系统。各电子政务系统通过网络进行连接,构成了庞大的电子政务网络。电子政务网络的建成,有益于建立政府的威信,对于社会的繁华以及经济发展都拥有重大意义。电子政务网络是各党政机关办公、传递文件、处理事件的网络,是社会最症结的机构的首要工具,因其特殊性所以极容易受到不法份子的袭击。电子政务系统遭到袭击,不管是作用规模仍是严重程度上都会遭遇极大的影响。例如武汉市电子政务内网遭病毒沾染,整个网络瘫痪二四小时,对于社会造成为了严重影响。又例如英美等国家的情报人员通过截获网络数据的方式获取政府下达的首要决策及施行方案,对于国家安全造成为了严重的要挟。以上种种,都表明了对于电子政务网络安全性的保证,是电子政务建设的重中之重。电子政务网络的结构必需加以完美,这样才能保证系统运行的高效性以及持久性;数据传输进程必需釆用安全高效的加密方式,才能在传输速度不受显明影响的情况下,即便网络数据包被非法获取,有效信息也不会暴露。不仅要对于现有的网络进行改良,在不断发展以及建设的新型网络结构中,也要树立相应的安全规范,只有依照公道的规范进行网络建设,方能在方方面面从根本上保证电子政务网络的安全。
一.二国内外钻研现状
目前,国内外都组建了比较成型的电子政务网络,其中每一个子网络包含电子办公系统、数据存储系统、门户网站等等系统,各个子网络均拥有必定的安全措施,总体的政务网络也有相应的安全标准。自从一九九三年-1美国首先提出电子政务的概念,一九九六年美国率先开始建设电子政务系统以来,欧洲的英国、法国,美洲的加拿大、巴西,亚洲的日本、新加坡等经济发达国家接踵启动了建设电子政务网络的规划。电子政务网络的树立赐与上的1些国家不管从经济上仍是事务管理上都带来了优势,我国也对于电子政务网络也逐步注重起来。于是,在一九九九年一月,由中国电信与多家党政机关、部委进行联合,共同协商,开始建设电子政务网络,早期目标是实现各级政府在网络长进行互联,实现公然信息、官民互动、网上报税、远程服务等项目。仅仅1年时间,在全国规模内的各级党政机关、部委申请的域名就到达二四00多个,办公效力大大晋升,可见电子政务网络对于提高政务处理能力、实现管理水平现代化都拥有重大意义。对于屯子政务网络采用的安全措施是其高效持久运转的根本保证。每一个独立的系统,都拥有完全的安全部系;电子政务网络的总体,也拥有相应的安全技术。其中安全部系包含物理环境安全、网络环境安全、操作系统安全、利用系统安全以及系统的安全管理等。物理环境安全是指承载电子政务系统的装备所在物理环境的安全情况,包含路线铺设、机房防火情况等。网络环境安全是指系统所处的网络种别的安全性,分为单独布网以及共用同1网络等。操作系统安全是指承载装备所运行的操作系统的安全机能。利用系统安全是电子政务系统安全性的核心,它的安全性抉择了电子政务系统总体的安全机能。安全管理包含人员管理、数据管理、操作规范管理和相应法律法规的束缚等。安全技术包含身份认证、防火墙、入侵防护、网络隔离等。身份认证能够对于用户公道分类,不同级别的用户拥有不同的权限,保证走访安全。防火墙能够过滤病毒以及木马等拥有损坏性的歹意程序。入侵防护能够分析用户行动,对于正常操作进行维护而过滤掉歹意行动,如网络渗入、歹意重复走访等。网络隔离可以将不同安全级别的网络环境进行物理或者逻辑上的隔离,使安全级别较高的数据患上到更为严密的维护。
第2章电子政务内网网络结构分析
二.一电子政务网络整体框架分析
网络袭击手腕包含网络窃听、入侵窃密以及木马“摆渡”等法子。网络窃听是在未授权的情况下,侦听或者栏截网络通讯传输信道或者服务器、路由器等网络装备中转发的通讯信息,用于窃听的嗅探器安装于主要网络节点上。入侵窃密是应用系统的漏洞或者安全防护的薄弱环节,应用木马以及口令破解等手腕进入内部网络,栏截网络上传输的信息、袭击目标计算机或者盗取其中存储的信息。木马“摆渡”是1种比较隐蔽的非法获守信息手腕。将木马暗藏并植入挪动存储装备,在与计算机进行数据交流时沾染目标,然后在计算机中也会隐秘行迹,扫描系统症结文件并传送至挪动存储装备中或者通过网络发送到袭击人的地址。计算机硬件风险包含终端硬件风险以及网络互联装备风险。终端硬件风险是计算机在制造以及使用进程中,因为技术或者人为缘由,存在必定安全漏洞。软件病毒应用计算机硬件的漏洞可以直接损坏计算机硬件系统,比如1度獗的CIH病毒就是比较典型的例子。CIH应用主板设计时留下的漏洞,通过向BIOS写入垃圾信息,致使某个型号主板完整破坏,造成为了硬件的损坏。网络连装备风险有播送风暴现象危及网络安全、安全保密度不高、网络互连装备的转发策略引发数据丢失、动态路由风险、IP冒用风险、远程保护漏洞。
二.二电子政务内网网络结构
部门内部网络以交流机为核心,通过封装在数据帧中的主机IP地址来实现数据转发的功能。交流机中存在1个IP地址列表,将网内所有主机的IP地址与端口保留起来,在进行数据转发寸,交流机首先从IP表中找到接管到的数据帖源主机,然后找到与目的地址相对于应的端口,进行数据转发,是1个独立运行的进程,不会影响网内其它主机。安全管理是电子政务网络免遭入侵的必要前提,管理安全风险可以从安全意识、组织领导、项目建设、运营保护以及法规轨制5个方面进行分析。安全意识上,目前政府以及个人常常看重网络带来的便利与高效,对于网络安全漏洞存在烧幸心理,没有构成主动防护、踊跃应答的意识;组织领导机构不健全,没有明确的电子政务发展目标,也没有相应的安全计划,一样会发生电子政务的安全隐患;项目建设进程中,电子政务计划设计的不足、相干主体利益的冲突、信息不对于称等都会致使项目施行的失败;系统建设完成后的运营保护阶段缺少相干投入,极大地要挟了电子政务网络的安全。另外,电子政务法规轨制的不健全以及相对于滞后,也会造成良多安全管理漏洞。
【关键词】电子政务 信息公开 信息安全
电子政务是现代政府管理观念和信息技术相融合的产物,面对全球范围内的国际竞争和知识经济的挑战,许多国家政府都把电子政务作为优先发展战略。随着电子信息技术的不断发展,特别是国际互联网的普及应用,电子政务以其特有的方便、快捷、高效等诸多优点,掀起了一场前所未有的政务革命。它的出现改变了传统的运作模式,在互联网上实现政府组织结构和工作流程的优化重组,向社会提供优质和全方位的、规范而透明的、符合国际标准的管理和服务。近年来,电子政务发展十分迅速。目前互联网已成为重要的信息基础设施,积极利用互联网进行电子政务建设,既能提高效率、扩大服务的覆盖面,又能节约资源、降低成本。但是另一方面,利用开放的互联网开展电子政务建设,面临着计算机病毒、网络攻击、信息泄漏、身份假冒等安全威胁和风险,应该高度重视信息安全。本文从电子政务建设中存在的问题出发,分析了问题所在,并提出相关预防策略。
1 电子政务建设中存在的问题
(1)部分领导干部对加快电子政务建设的重要性认识不到位,弱化了对此项工作的领导,一定程度上影响了电子政务建设的发展步伐。
(2)低水平重复建设现象普遍存在,投入不足与资源整合矛盾十分突出,严重制约了电子政务建设的质量和水平。部分基层的经办人员业务不熟习,操作不规范,使用中问题较多。
(3)信息化专业人才严重缺乏,技术相对落后,制约了电子政务建设。大多数单位没有专业技术人员,建设规范的网络和日常维护技术问题的处理是靠机关内部对电脑知识相对丰富的人员兼任,很难满足电子政务发展的需要。
(4)政府信息公开工作的运行机制尚不完善,加之政府信息公开的工作量大,多数部门存在信息搜集整理不全的现象。
(5)电子政务信息安全体系建设有待进一步加强。构建电子政务信息安全体系信息安全是电子政务工程中不可缺少的重要组成部分。要认真贯彻落实国家保密要求、安全规定和工程实施规范,做到信息安全建设与网络应用系统建设同步规划、同步建设、同步验收。要加大信息安全的投入力度,切实保证信息安全设施的运行维护。
基于互联网电子政务系统的政务应用主要分为政务办公、公共服务等。政务办公的内容主要包括:政府部门内部的业务处理,如政府部门间的公文流转、公文交换、公文处理、办公管理和数据共享等。安全防护的重点主要包括对的身份认证、政务资源的授权访问和数据传输保护等方面。公共服务的内容主要包括:面向社会公众提供信息公开、在线办事、互动交流等服务,安全防护的重点应放在系统和信息的完整性和可用性方面,特别要防范对数据的非法修改。
2 基于互联网电子政务安全需求与实施原则
基于互联网电子政务网络相对于电子政务专网模式风险更大,这些风险主要来自于身份假冒、信息窃取、内容篡改、病毒侵袭等造成的破坏。基于互联网的电子政务面临的信息安全威胁主要有以下几个方面。
2.1 身份假冒、口令窃取威胁
身份鉴别是网络安全的基本要求,互联网拥有大量用户,系统很难分辨哪些是合法用户,哪些是非法用户,存在身份假冒等威胁。一旦政务办公人员的身份被假冒,将影响到政府的办公系统,一旦政务网站信息员或专家的身份被别有用心者假冒,将无法保证信息的真实可信。
2.2 信息窃取或篡改威胁
基于互联网电子政务系统存在大量不宜公开的内部信息,如政务办公系统的待办公文等,互联网作为高度开放的网络,内部数据在传输过程中极易被窃取和监听,内部数据要面对高水平黑客和别有用心者,信息泄漏的威胁更大。
2.3 系统面临恶意攻击的威胁
基于互联网建设电子政务系统,遭到恶意攻击的风险更大,特别是为企业和百姓服务的系统,允许从互联网上直接访问,虽然提高了服务范围,方便了大众,但是相对局域网而言,也面临着更多来自互联网的威胁。若不能保持服务窗口的良好稳定运行,势必对系统的可用性造成威胁,影响政府形象。
2.4 病毒传播和扩散威胁
互联网上存在大量的资源和服务,人们在获取资源和享受服务的同时,也极易将病毒带回来。如今,病毒种类多、更新速度快,常常呈指数级的速度扩散,这将影响依托互联网建设的政务网络服务器的正常运行。
在基于互联网电子政务系统建设过程中,除需要考虑内部安全以外,还要应对来自互联网攻击的防范,其安全需求主要包括:
(1)需要实现安全接入与安全互联,在互联网上构建安全的电子政务网络;
(2)需要实现强的安全认证、授权管理与访问控制机制,确保电子政务系统的安全访问;
(3)需要采取分类分域防护措施,加强综合防范和安全管理,进行不同类别信息和系统的有效保护。
基于互联网电子政务信息安全风险应对的基本原则包括:
(1)信息不上网。基于互联网电子政务系统不得传输、处理、存储涉及国家秘密的信息。有关安全保密问题要严格遵循国家保密有关规定。
(2)适度安全、综合防范。基于互联网的电子政务建设应当根据应用系统的安全需求,合理配置信息安全资源,采取适当的安全措施,进行有效的安全管理,从管理、技术等各个方面进行综合防范。
(3)分域控制、分类防护。实施分域边界防护和域间访问控制,保证信息的安全隔离和安全交换;针对不同类别的信息采用不同的安全防护措施。
综上所述,政府网站区别于普通网站的最大特点在于其公布政府信息的准确性、全面性、及时性与权威性。通过政府网站,民众应该能够最有效地获得政府信息。因此,应该充分利用因特网公布政府信息。在目前阶段,可以考虑设定一定的标准,对政府网站的公开性进行社会评价,以促进政府上网工程向纵深发展。从长远考虑,应该深入研究因特网给政府信息公开所带来的新问题,包括技术的快速更新对信息保存方式的挑战,信息的分类与定义,信息的公开与信息安全,信息来源多元化问题等等。只有对这些问题进行深入的研究,才可以趋利避害,充分发挥因特网公开政府信息的作用。
参考文献
[1]GB/T 19715.信息技术第2部分:管理和规划信息技术安全,信息技术安全管理指南,2005.
[2]GB/T 20270.信息安全技术.网络基础安全技术要求,2006.
[3]GB/T 20274.信息安全技术.信息系统安全保障评估框架,2006.
关键词 电子政务 信息安全体系 安全支撑体系
中图分类号:TP393 文献标识码:A
新时期的经济、文化、生态文明建设等都离不开电子政务的支撑。在对电子政务系统进行建设中,由于其自身发展的不完善,以及各种有意无意的电子政务违法犯罪行为,利益集团在电子政务上的利益博弈,进而使得电子政务安全问题频频发生。
1电子政务系统安全介绍
1.1电子政务系统的信息安全及其重要性
由于电子政务系统建立在互联网基础平台上,包含政务外网、内网和门户网。而互联网是有很多缺陷的全球网络,自身的安全风险隐患很多,使在互联网上开展的电子政务应用面临着严峻的挑战。
电子政务系统的信息安全是指一个国家的政府信息资源不受外来的侵害与威胁,信息资源不被故意的或偶然的非法授权泄漏、更改,防止信息被非法入侵者辨识、窃取、控制、利用等。信息安全成为如今政府信息化中的关键问题。安全问题是电子政务建设中的重中之重。信息安全包括:存储传输、系统风险管理、审计跟踪、备份与恢复、应急响应等方面的安全内容。
电子政务直接涉及到各级政府的重要核心政务,必须要求电子政务实施的过程具有极高的可靠性和安全性。电子政务系统中的信息安全还涉及到了公众权益、个人信息保密,甚至国家利益、社会稳定和国家安全等重要的问题。
1.2电子政务系统的信息安全意义
信息安全主要是采取各种措施,保证信息的机密性、完整性、一致性和不可否认性等。信息安全技术广泛应用于电子政务,规范了政务处理的流程,加快了信息流动,提高了政务处理效率,给政务工作方式带来了全新的变化。
当今,我国电子政务中信息安全技术主要有:数据加密技术、认证技术与数字签名、信息安全分级等级保护方法、入侵检测安全技术、政务系统安全域划分技术、虚拟专网技术、防火墙技术。
2电子政务系统结构模型及其系统安全体系的分析
2.1电子政务系统结构模型
我国电子政务系统结构从“三网一库”到政务内外网结构,使得数据信息能够实时快速的进行交换处理,地方政府尤其是基层政府对群众的服务需求的反应更加迅速。内外网结构模型,如图1所示。
2.2电子政务系统安全体系的分析设计
保障电子政务系统安全各组成部分构成电子政务系统安全体系。它包括电子政务安全支撑部分与电子政务安全法律法规部分,而电子政务安全支撑部分又由安全基础设备与设施、信息安全技术、安全管理、安全应急响应系统组成。
要建立全方位、多层次的、完善的电子政务系统安全体系,需要从这电子政务安全支撑部分的四个部分与电子政务安全法律法规部分这些方面来设计构造电子政务系统安全体系的框架模型。
3电子政务安全支撑结构构建
3.1电子政务系统安全的隐患介绍
电子政务系统安全性被破坏,造成机密的信息暴露或丢失,或网络被攻击导致系统功能毁坏等安全事件,带来的后果必然极为严重,不堪设想,电子政务信息系统也必然成为信息间谍、黑客等各类违法犯罪分子攻击的目标。电子政务系统安全主要包括以下方面的隐患:物理安全、系统安全、网络安全、应用安全及管理安全。
3.2电子政务安全支撑构建分析
根据电子政务系统安全隐患,电子政务安全支撑部分主要由以下部分组成:安全基础设备与设施;信息安全技术;安全管理;安全应急响应系统。
(1)电子政务建设的安全基础设备与设施
电子政务系统安全基础设备与设施是指能够为电子政务系统提供安全保障的物理硬件环境、设施设备和软件环境。它的具体内容主要包括以下方面:
①保护电子政务物理硬件设备、设施以及其它硬件媒体免遭水灾、地震、火灾等环境事故,人为操作的失误或错误,及各种计算机犯罪行为导致的破坏物理硬件环境、设施设备。
②能够为电子政务系统中的通信、交易各方提供共同信任的权限授予、握手协议、秘钥的分发和身份认证的公共第三方安全基础设施,它包括基于PKI技术的CA认证中心、可信的时间戳服务中心、密码秘钥管理中心、基于PMI的授权管理设施、信任策略库等安全基础设施。
(2)信息安全技术
电子政务安全技术是指保护电子政务系统正常安全工作的安全方法、原则、规则等。安全技术是由保障电子政务系统安全工作的技术组成的总和,电子政务安全技术主要由信息安全技术构成。信息安全技术广泛的应用在对电子政务系统起安全防护作用及起基础安全支撑作用等其他辅助作用的系统中,它负责电子政务系统的网络安全、局部计算的环境安全、区域边界安全等方面的保护以及能够为电子政务系统中的通信、交易各方提供共同信任的权限授予、握手协议、秘钥的分发和身份认证的基础安全支撑,它包括应用在防火墙系统、漏洞扫描系统、入侵监测系统、路由器、Web防篡改系统、DNS服务器安全系统、网络防病毒系统、基于PKI技术的CA认证中心、密码秘钥管理中心、基于PMI的授权管理设施等设施或系统中的信息安全技术。
(3)安全管理
保障电子政务系统安全的一个重要核心是安全管理,安全管理是确保安全技术得以有效实施的重要保障。依据电子政务系统的安全需求及系统所出现的问题,安全管理部分应该包括以下内容:安全管理的组织机构的设立、安全管理的规章制度的制定、对安全技术的管理、对系统工作人员的管理与培训、安全管理技术体系、对安全基础设备设施的管理、安全策略的制定与管理、对系统安全问题的管理、对从事电子政务系统安全工作的单位与个人的资质证书的认证等、对系统安全性能风险的评估与安全资产价值的评估、对安全管理的组织及其管理工作人员的工作职责的监督审查等。
(4)安全应急响应系统
安全应急预案又称为安全事件预警与应急响应方案,它是建立起应对安全突发事件的综合系统,电子政务安全应急响应系统是指通过整体部署入侵检测、安全性能风险评估、预警与响应等的应用,作为有效的技术支撑手段,建立起以安全工作人员队伍为基础、技术服务队伍为后备,构建组织管理,制定制度规范标准、预案流程等综合措施,以便尽早分析、发现和确认将要发生或己发生的有严重危害的网络安全和计算机突发事件,并对其进行应急响应,采取有效应对措施,以尽可能降低将要造成的危害和损失的综合安全系统。
安全应急响应服务指当安全事件发生后,安全运维服务团队根据安全突发事件及预案快速应急响应。应急响应预案应按照准备、检测、抑制、根除、恢复、跟踪等一系列标准措施制定,保证网络安全无忧,预防危险发生。应急处理和灾难恢复。这是电子政务建设近期迫切需要的。
(5)电子政务安全法律法规
国家相关部门最新数据显示,中国遭受境外网络攻击的情况日趋严重,仅今年前两个月,就有境外5324台主机通过植入后门对中国境内11421个网站实施远程控制,此外,针对中国网上银行、支付平台、网上商城等的钓鱼网站有96%位于境外,中国境内遭受网络攻击的情况十分严重。因此面对如此严峻形势,需要国家相关部门尽快出台国家信息安全战略,确保网络空间有法可依,并加大网络违法犯罪打击力度,整合部门、企业、社会组织等构建国家网络安全综合防御体系,切实维护网络安全,尤其是保障电子政务网络的安全。
4总结
如何保障电子政务安全,做好电子政务安全建设,成为各国政府亟待解决的问题。作为一个庞大的系统工程,电子政务系统安全体系的建设是其中的一个极为重要的复杂的系统工程,信息安全支撑部分是电子政务系统安全体系中的重要组成部分,也是保障电子政务系统安全的极为重要的手段。通过对电子政务系统信息安全支撑系统进行介绍,进而为构建安全电子政务系统提供一定借鉴意义。
参考文献
[1] 张剑锋.电子政务安全体系研究[J].数字技术与应用,2013(11).
论电子政务中的信息安全
我市电子政务发展战略框架研究
政府信息化与电子政务发展研究
“三网”环境下电子政务系统的安全性研究
我国电子政务发展应用研究
电子政务与电子商务的关系探讨
通过电子政务来拉动电子商务的分析研究
我国电子政务标准化研究
电子政务发展中非技术问题探讨与对策
电子政务如何推进政府管理的进步
关于我国电子政务现状、问题及发展方向的讨论
电子政务与水利政务信息化建设讨论研究
中国电子政务的现状与发展对策
高校电子政务系统的建设研究
电子政务对公共行政的影响研究
电子政务的内涵及其发展
政府上网与电子政务的实现研究
电子政务与办公自动化的方案研究
电子政务与电子文件保护
我国电子政务的发展特征及存在问题
基于电子政务的知识管理研究
基于电子政务的行政管理研究
电子政务安全体系结构的研究
电子政务建设中的几个宏观问题研究
电子政务相关法律问题探讨
电子政务与政府行政管理研究
应用于电子政务的知识管理中间件平台研究
电子政务的实现条件研究
电子政务安全保障体系研究
电子政务建设中的安全集成研究
PKI技术在电子政务中的应用研究
电子政务系统在无线电管理工作中的应用研究
电子政务中安全中间件的应用研究
软件重用技术在电子政务中的应用研究
电子政务与档案信息化建设研究
电子政务与行政文化和行政决策的关系研究
档案工作与电子政务建设研究
电子政务系统中动态工作流技术的应用研究
公安电子政务系统的实现研究
电子政务外包及其实施过程中的网络安全技术的应用
工作流技术在电子政务领域中的应用研究
电子政务全球透视与我国电子政务的发展现状的研究
关于电子政务中安全域和网络划分与控制的研究
国家电子政务网络安全应急处理体系的研究
关于电子政务机房一体化的研究
我国电子政务建设中的机遇和挑战
电子政务中数字证书实现身份认证技术的应用
电子政务的发展阶段研究与发展趋势的展望
基于三层体系结构的电子政务系统的研究
电子政务中分布式知识管理的实现
对电子政务的多视角思考
我国电子政务实施中的难点与解决方案
电子政务的廉政意义探讨
电子政务的技术风险与管理误区的防范
电子政务系统中的数据交换平台设计
基于MPLS-VPN的电子政务系统的网络平台的构建
电子政务与依法行政的关系的研究
电子政务网络安全风险研究
基于技术的电子政务系统设计
面向电子政务的决策支持系统研究
电子政务的安全审计相关研究
环保电子政务系统方案设计
电子政务中网络划分与安全保密研究
安全电子政务信息系统的开发研究
面向电子政务的公文管理系统的设计
我国电子政务标准体系结构的探讨
电子政务建设中的有关技术问题研究
电子政务中的数据库建设研究
空间信息支持下的电子政务及其发展前景
电子政务空间辅助决策环境的研究
电子政务中的人口空间管理和分析研究
电子政务、信息网建设思路及技术方案研究
UML的活动图及其在电子政务中的应用研究
适用于我国电子政务系统的访问控制策略研究
一种基于角色网络模型的电子政务系统的实现
电子政务发展对政府公务员的挑战与新要求
我国电子政务的市场预测分析研究
电子政务管理模式研究
摘 要: 通过研究云计算的三类服务模式:软件即服务(SaaS)、平台即服务(PaaS)和基础设施即服务(IaaS),结合当前云计算在电子政务领域的应用现状,分析了当前政务云面临的监管能力受限、数据管理困难、责任界定不清三类安全风险,最后提出了针对安全风险的应对措施。
关键词: 云计算; 政务云; 安全风险; 应对措施
中图分类号:TP393 文献标志码:A 文章编号:1006-8228(2016)07-24-03
Analysis of information security of E-government cloud
Shen Xiaohui, Bao Ke, Liu Xiaoli
(Zhejiang Provincial Testing Institute of Electronic information Products, Hangzhou, Zhejiang 310007, China)
Abstract: By studying the three service models of cloud computing: Software as a Service (SaaS), Platform as a Service (PaaS), and Infrastructure as a Service (IaaS), combined with the current application status of cloud computing in the field of E-government, three types of security risks E-government cloud faced, i.e. the regulatory capacity is limited, the data is difficult to manage and the responsibility is not clearly defined, are analyzed. Finally, the countermeasures are put forward.
Key words: cloud computing; E-government cloud; security risk; countermeasures
0 引言
在电子政务“十二五”规划及相关政策的影响下,云计算在我国各地电子政务领域的应用越来越广泛。电子政务云的产生,有助于实现政务信息的横向拉通,推动信息资源整合,实现重要信息系统的跨部门协同与资源共享;同时云计算技术的应用有助于加速业务信息系统的建设和提升应用效果,进一步提高设备资源的利用率和运行维护的专业水准,避免重复建设、重复投资。云计算使电子政务更加高效化、集约化和节约化,同时也伴随着诸多安全问题,信息安全问题是政府面临的前所未有的挑战。作为一种新的管理模式,电子政务云有很长的路要走,我们有必要发现和探寻政务云潜在的风险,并做好风险评估和脆弱性评估[1]。
本文首先介绍了政务云的体系架构和云计算的三种服务模式,包括软件即服务(SaaS)、平台即服务(PaaS)和基础设施即服务(IaaS);其次分析了在政府单位采用政务云后面临的监管能力受限、数据管理困难、责任界定不清等安全风险;最后提出了应对政务云信息安全风险的相应措施。
1 政务云体系架构
云计算是指一种用于计算的信息技术模式,包括Internet或私有网络上进行开发及交付云服务所需的所有IT组件(硬件、软件、网络以及服务)[2]。根据云服务商提供的资源类型不同,云计算的服务模式主要可分为三类[3]:
⑴ 软件即服务(SaaS):在SaaS模式下,云服务商向客户提供的是运行在云基础设施之上的应用软件,如电子邮件系统、协同办公系统等[3]。
⑵ 平台即服务(PaaS):在PaaS模式下,云服务商向客户提供的是云基础设施之上的软件开发和运行平台,如:标准语言与工具、通用接口等[3]。
⑶ 基础设施即服务(IaaS):在IaaS模式下,云服务商向客户提供虚拟计算机、存储、网络等计算资源,提供访问云基础设施的服务接口[3]。
电子政务云以电子政务为基础,通过云计算超大规模、虚拟化、高可扩展性等性能提升政府在服务社会、内部管理、部门间协同等方面的能力,有利于资源整合和合理利用,提高政府工作效率,加强政府公共服务能力。其服务平台框架由客户端、SaaS、PaaS、IaaS四部分组成,并通过管理和业务支撑、开发工具进行联通。电子政务云体系架构如图1所示。
2 政务云面临的安全风险
政务云建设涉及多个部门和多个服务对象的协同、海量的信息收集和处理,以及多层次的信息安全保障等需求,其带来便利的同时也产生了新的网络安全和风险:用户对数据、系统的控制管理能力减弱;云平台的复杂性增加,对其控制和监管的手段不足;云平台之间的互联互通极其困难,用户数据和业务迁移到云计算平台后容易形成对服务商的过度依赖等。因此,在各地城市政务云建设中容易产生“机制瓶颈”、“条块分割”、“信息孤岛”等诸多问题。CSA云安全联盟(2010)指出“云计算应用面临七大安全威胁:云计算非法利用、伪装的云底层接口及API、管理人员违法操作、物理设施共享、数据来源不确定、云账户被盗取、以及非传统的安全风险”[4]。
本文主要从政府单位选择政务云后面临的监管能力减弱、数据管理困难、责任界定不清等安全风险进行分析。
⑴ 监管能力减弱
在传统模式下,政府单位的硬件设施(云平台包括服务器、防火墙、存储器等)和软件(数据和业务系统等)都部署在单位的机房,可直接进行管理和控制。但采用政务云后,政府单位将本单位的数据和业务系统迁移到云服务商的云计算平台上,无法对硬件设施和软件进行直接控制,同时无法对设备所处的物理位置进行控制管理。
一方面,硬件设施存放在云服务商的机房中,其归属权是云服务商的。通常,云服务商把云平台的安全措施及状况视为知识产权和商业秘密,政府单位无法掌握云平台的实施情况和运行情况,难以对这些安全措施进行有效的监督和管理。另一方面,在业务系统运行过程中生成、获取的数据受到云服务商的直接控制,云服务商具有访问、利用或操作数据的能力,政府单位失去了对其数据的直接管控,增加了政府单位数据和业务的安全风险。
⑵ 数据管理困难
胡水晶、李伟等人[5]指出政府云服务的优势备受关注,但数据安全性是政府采用云服务的前提。首先,政府单位将数据迁移至云计算平台之前要考虑哪些数据可以迁移。政府单位的数据很多可能会涉及到民生问题、社会建设、行业发展等敏感信息,因此政府单位需梳理自身业务和数据,选择迁移到云平台上业务。其次,数据迁移至云计算平台后,本身独立的、不敏感的信息通过大数据运算和分析可能产生新的其他信息,而新产生的信息由云服务商掌握,但新信息的使用权和归属权无明确规定。最后,政府单位想要更换云服务商或退出云服务也很困难。云服务商之间的接口往往是不同的,基于商业机密等原因,云服务商之间的技术也不可能完全共享,更换云服务商技术上是否可实现,目前还未验证。如果政府单位想终止服务,由于云平台的虚拟化存储,一家单位的数据可能分散存储在多个云存储中,在没有云服务商的配合下很难独自将数据迁出,数据的迁出和保护变得很困难,客户的数据存在被“绑架”的风险。
⑶ 责任界定不清的安全风险
客户与云服务商之间的责任难以界定。传统模式下,按照谁主管谁负责、谁运行谁负责的原则,信息安全责任相对清晰。云服务模式下,云计算平台的管理和运行主体与数据安全的责任主体不同,相互之间的责任如何界定,缺乏明确的规定[6]。一些单位采购云服务后,由于数据和业务的外包而放松安全管理,易形成数据和系统安全责任由云服务商全权承担的误解,事实上,采购方仍是数据和系统安全的最终责任人。此外,政府单位在采购云服务时由于选择的服务模式不同,可能涉及到多家云服务商。例如,2013年丽水市智慧政务云试点项目中,涉及到的云服务商有三家,分别为北京中软国际信息技术有限公司、浙江华通云数据科技有限公司和阿里云计算有限公司,由这三家公司合作提供基于SaaS、PaaS和IaaS三位一体的全方位云服务。不同的服务模式和部署模式、云计算环境的复杂性使各单位承担的责任难以清晰界定。一旦出现安全事件,存在无法明确追究责任主体的安全风险。
3 政务云安全风险应对措施
针对本文提出的政务云面临的三方面安全风险,提出以下几点应对措施。
⑴ 完善相应法律法规建设
目前保障云平台安全的应对措施主要是技术手段,但监管政策和法律法规作为上层建筑,从宏观层面影响着云平台上所承载的具体业务。尤其是近期云平台数据集中存储所带来的个人隐私泄露、数据泄露等事件层出不穷,更需要从国家层面对于云服务进行统一监管,将其纳入法律条文,并制定一系列规范云平台的数据收集、数据存储与保护、数据使用与维护、数据的传输与披露、数据销毁等方面的法律法规,明确对云服务商关于云平台中数据使用不当或泄漏等行为的处罚措施,从宏观层面给予云平台服务的安全性更加全面、有力的法律保障。对政府及重要行业采购云服务做出明确规定,有利于提高云计算服务的安全水平和服务质量,保障政务应用的安全性和可靠性。
云服务采购与传统政府采购模式不同,传统政府采购已较成熟,采购流程也较规范,而云服务采购是购买一种服务,它是区别与传统政府采购的一种新颖的、不规范的采购形式。建议制定标准定义具体的服务内容与基本质量(可用性)、安全条款、服务交付模式和采购指南等,并将评估认证纳入采购监管环节中,有利于指导各部门进行云服务采购,同时不断完善政府采购云服务标准体系,推动政府采购云服务的持续开展。
⑵ 加快安全监管机构建立
由于云计算服务市场还未成熟,采购云服务的单位缺少相应的人力资源和技术水平去管理迁移至云平台上的业务和数据。首先,通过引入安全专业团队作为第三方的安全监管,协助云服务采购方进行数据安全的日常监管,是履行数据安全责任主体不变的一种强有力的手段。其次,各省市成立云计算服务网络安全审查的领导小组和工作组,具体负责开展云计算服务网络安全审查工作,对各云服务提供商的安全级别进行评价,包括云应用的迁移验证有效性、政务云基础设施运行性能、云平台安全监测机制的有效性以及计费监控方式的合理性等,为政府部门采购云服务提供有效的合格供应商白名单。将云平台的安全评估认证纳入强制推行的安全审查工作中,对保障云服务采购方的利益,消除不同云服务提供商之间的技术壁垒具有重要意义。
⑶ 提高政府单位相关人员技术实力
政府部门在将信息部署或迁移到云计算平台之前,需要内部人员对采用云服务的效益和风险进行综合分析,对本部门的信息和业务根据重要性、敏感性进行分类,确定信息的类型和业务部署的优先级。通过与云服务商的沟通,了解公开信息和敏感信息的存储方式、逻辑隔离情况和对信息的保护措施。在此基础上,政府部门应归纳梳理形成信息和业务分类的指导文档和相关的程序文件。此外,政府部门需对云计算服务的需求进行分析,提出各项功能、性能及安全指标,并研究《云计算服务合同》的签订。这要求技术人员对本部门的数据、业务信息有深刻的认识,并对云计算服务有一定的了解。
政府部门在将信息部署或迁移到云计算平台之后,需要有专门的人员负责云平台上业务的运行情况。迁到云平台上后,虽然政府部门失去了对业务和数据直接控制能力,但应要求云服务商提供监管接口,对运行状态、重大变更、策略更新、流量使用等情况进监管。如遇到安全事件,需协同云服务商共同处理,对本单位的业务和数据安全负责。因此,提高相关人员的技术水平对政务云的安全运行至关重要。
4 结束语
随着云计算技术的不断发展,政务云作为一种新型的电子政务模式,它必将为电子政务带来新的变革。如何确保政务云平台安全可信,本文针对目前政务云面临的监管能力减弱、数据管理困难、责任界定不清等安全风险,提出了三点应对措施:完善相应法律法规建设、加快安全监管机构建立和提高政府单位相关人员技术实力。这些措施对保障政府单位切身利益、降低采购云服务的安全风险、推动政府采购云服务的持续开展有着积极作用。在今后的学习、探索中,将不断加强政务信息安全风险的研究,并提出切实有效的应对措施。
参考文献(References):
[1] LIANG J. Government cloud:enhancing efficiency of
e-government and providing better public services; proceedings of the Service sciences(IJCSS), 2012 international joint conference on, F, 2012[C]. IEEE.
[2] 刘戈舟,杨泽明,许俊峰译.云计算安全[M].机械工业出版社,
2013.
[3] GB/T 31167-2014信息安全技术云计算服务安全指南.
[4] 云安全联盟著.云计算关键领域安全指南.
[5] 胡水晶,李伟.政府公共云服务中的数据及其保障策略
探讨[J].情报杂志,2013.9:157-162
关键词:信贷;风险管理;G2B;电子政务;信息需求
中图分类号:F830文献标识码:A文章编号:1006-1428(2007)03-0048-03
一、银行贷款风险管理面临的挑战
控制信贷资产风险是各商业银行的重要工作之一,其目的是降低商业银行的经营风险,保证信贷业务收益最大化。按照资金流动过程,我们将银行信贷业务划分为两个阶段:贷前资金审批阶段和贷后资金跟踪阶段。贷前资金审批是指商业银行根据企业的贷款用途和还款能力对企业资信情况进行评估,决定是否放贷的过程;贷后资金跟踪阶段主要是对借款企业某阶段内对贷款资金使用的合理性及还款能力进行风险评估,我国商业银行目前主要使用的风险评估方法是五级分类风险管理法。
根据我国《贷款通则》和《商业银行法》,商业银行在贷前调查和贷后跟踪过程中,主要需要评估的信息报告以下六个方面:企业财务信息、企业存量贷款信用信息、企业纳税信息、生产经营信息、经营者素质信息、企业贷款担保信息等。目前,我国商业银行主要通过分析企业提交的各项材料以及现场调查作为获取企业信用信息的主要渠道。然而,由于企业贷款申请和贷后跟踪过程中往往面临大量的虚假信息和欺骗行为,导致了信贷风险管理的源头信息不具有真实性和可靠性,给信贷业务风险管理带来了许多困难。
通过与银行监管部门工作人员、商业银行信贷部门工作人员的访谈以及相关网站和资料的查询,发现现有银行贷款管理面临着以下挑战:
1.缺乏一个系统、可靠的信用调查评估系统。银行对企业经营状况、财务状况、信誉状况等方面的调查基本是通过查阅相关资料和现场观察获取的,所获取的表面现象较多,评估的主观性很大,信用分析过程化,对提供虚假信息和具有欺骗行为的借款企业不能及时发现,给银行信贷资产的安全性留下了隐患(蒋建华,2004)。
2.银行对贷款抵(质)押物状态了解不够清晰,一户多保、连环保、互保或抵押不足、重复抵押,擅自处理抵押物,此贷彼还等现象屡屡发生,使贷款在放款时就出现风险(刘滨燕,2002)。
3.内部控制机制不完善,缺乏有效制约“逆向”信贷审批的操作流程(蒋建华,2004)。“逆向”审批流程是指企业申请贷款时,不是先向信贷部门提出申请,逐级上报审批,而是托关系、找人情,直接找主管领导,再由领导指派具体经办人员进行办理,甚至帮助企业制造虚假材料,造成了必要的审批流程“走过场”,为和假公济私创造了可乘之机。
4.不能严格实施贷后跟踪机制。目前,我国发生的银行业金融机构违法案件,很多都属于恶意串通、内外勾结作案,由于现有的贷后跟踪流程和档案不足以反映这些问题的存在,贷款实际用途与申请用途不符情况严重,尤其是在信贷人员与企业内外勾结、恶意串通的情况下,即使银行监管机构也无法从商业银行的贷后跟踪资料中发现真实的信息报告(刘明康,2006)。
由上可知,由于信息的不完善性,仅仅从银行内部流程来控制信贷资产风险就具有一定的局限性,本文提出了利用跨组织电子政务系统来获取相关企业信息,通过银行信息系统和电子政务系统的互动,将内部控制和外部监管结合起来,将政府提供的企业信息与银行调查信息结合起来,建立规范的贷前审批和贷后调查流程,健全信贷调查审批档案管理。
二、银行贷款风险管理的G2B电子政务信息需求及其分布研究
政府职能部门是拥有准确和详细的企业经济活动信息的源头部门,在电子政务建设过程中,这些信息不仅仅在政府职能部门内部使用,也越来越多地为社会公众和企业所需要(王浣尘,2005)。而长期以来,我国拥有企业经济活动信息的政府部门由于职能赋予的权力将所采集的企业信息作为保密信息垄断,受诸多规定的影响使信息不能共享,尤其是不能够向商业机构提供信息,导致了商业银行与政府职能部门之间缺乏明确的信息共享协议,信息重复采集且准确性不高,极大限制了政府信息资源的潜在价值(Aldrich,2002)。
银行贷款风险管理的G2B(Government to Business)电子政务需求是指:依据国家相关法律法规,借助于电子政府系统和银行贷款管理信息系统的结合,利用政府机构拥有的一切有利于信贷调查决策的信息资源,包括金融监管、工商、税务、审计、海关、出入境检疫等部门的企业经济金融活动信息,提高贷款审批信用评估的可靠度,降低贷款源头风险。
贷前调查和贷后跟踪的目的都是通过掌握企业申请人生产经营状况、财务状况、信誉状况、发展前景和管理中存在的问题,分析借款人的偿债能力和贷款潜在风险,为贷款决策提供准确的信息和依据,是贷款信用调查中最为基础和重要的环节。根据我国《贷款通则》和《商业银行法》,信贷部门可以通过以下方式获取企业财务信息、企业存量贷款信用信息、企业纳税信息、生产经营信息、经营者素质信息、企业贷款担保信息等六个方面的信息:
1.查阅信贷综合管理系统有关资料和信贷档案,了解申请人存量贷款质量和还本付息情况,掌握借款人信誉状况和偿债能力变化情况。
2.查阅借款人提交的有关资料和近三年的财务报表,了解客户生产经营和资金使用情况,分析客户生产经营变化趋势和资金变化情况。
3.深入实地,查阅客户有关报表和账簿,调查客户提交的有关资料是否真实,了解客户主要产品生产、销售及盈亏情况,判断客户生产经营是否正常、资金结构和资金使用是否合理。
4.与客户有关职能部门负责人和工作人员交谈,了解客户的生产经营和日常管理情况,分析客户经营管理现状和存在的问题。
5.通过各种报刊、杂志获取有关行业和客户发展的信息。
6.查阅有关抵押物、质押物的相关资料,必要时进行现场调查,分析抵(质)押物的可变现情况。
7.利用以上调查了解、掌握的资料和有关指标,对借款人即期信用等级进行评定并测度贷款风险度。
在以上调查方式中,信贷人员主要通过查阅大量的资料和现场观察来判断关于企业资信的各项指标。这种方式存在较大的缺陷,一方面,资料来源的权威性不够,判断的主观性较大,难以避免“逆向审批”和“内外串通”等问题;另一方面,调查周期较长和成本较高。
而在信息技术和电子政务职能不断发展的环境下,政务有责任依照一定法律法规,在信息安全的情况下为企业和个人提供G2B方式的信息查询服务。我们将商业银行从系统中获取企业信息并支持决策的活动称为企业信用调查的辅助流程,与分析报表资料及现场调查等流程结合,形成整合的信用调查流程,尽量获取准确的企业信息指标,从而为信贷调查形成客观、公正的信息支持。表1分析了银行信贷风险管理过程中对G2B电子政务信息的需求项目以及可能利用的各政务信息资源系统及信息指标。
表1 银行信贷资产风险管理的G2B电子政务信息需求及分布
以对企业存量贷款的信用信息需求为例,利用人民银行企业资信系统可以查询某企业在全国各家银行的贷款记录,形成贷款机构、贷款用途、还款记录、贷款金额、付息金额等指标,为信贷员评价企业存量贷款的信用提供支持,这种方式在我国大多数省市已经开始实施。
再如对企业纳税信息需求,通过税务部门纳税信息系统查询企业近期财务信息和纳税信息,形成纳税日期、纳税金额、不良纪录等指标,一方面可以考察企业的纳税信誉,另一方面,可以比较企业提交给银行的财务信息与提交给税务部门的财务信息是否一致,为评价企业的纳税状况提供支持。
因此,可以通过以上各种途径依次从电子政务系统或中介机构系统获取企业的财务信息,生产经营信息,经营者素质信息及担保信息,并形成相应指标辅助信贷人员进行评价。
三、G2B电子政务信息需求的利用方式及其特点
(一)G2B电子政务信息需求的利用方式
1.信息直接用于决策:通过电子政务信息系统收集到的信息可以直接用于决策,如利用人民银行的企业资信系统收集企业现有的贷款历史和贷款质量,直接对企业信用状况评估(如图1)。
图1 信息直接用于决策
2.信息间接用于决策:通过电子政务信息系统收集到的信息并不直接用于决策,而是通过与企业所提供的信息进行比较,考察企业的信用问题,确认企业提供信息的真实性(如图2),如企业提交于银行的财务信息与提交于审计部门的财务信息有明显不符时,信贷人员可作适当的分析找出原因。
图2 信息间接用于决策
(二)G2B电子政务信息需求的特点
1.通过电子政务系统获得政府相关机构的企业信息,提高了信贷调查信息的可靠度和准确性,为整个贷款业务从源头上降低了风险。
2.系统可将从电子政务系统获得的信息与企业提交的信息进行对比,减少了申请企业弄虚作假的可能性。
3.通过电子政务系统直接得到各项信息及指标,结合信贷人员查阅资料和现场考察所获取的信息,为企业的各项指标评级,提高了贷款调查的效率,降低了主观判断因素。
4.建立银行贷款管理信息系统和电子政务系统的内外互动流程,银行监管机构可以通过贷款审批系统的各个关键环节及审批文档来监督银行信贷人员是否按照规定的流程进行审批,一定程度上抑制贷款的“逆向”操作。
当然,从电子政务系统获取信贷管理所需信息的主要难点在于缺乏相关法律法规的支持,以及政府部门是否愿意提供此项服务和服务成本问题,这些问题都有待进一步研究。
参考文献:
[1]蒋建华.商业银行内部控制与稽核[M].北京大学出版社,2004
[2]刘滨燕.当前人民银行贷款非现场监管中存在的问题及建议[J].武汉金融,2002,(8):12-13
[3]吴伟,王浣尘.电子政务系统环节下的技术扩散[J].系统工程理论方法应用,2005,14(5)11-16
【关键词】政府;电子政务;网络安全系统;设计
电子政务网络安全体系的设计对政府工作的信息化,促进政务信息公开、提高政府办公效率以及构建和谐社会等都具有十分重要的作用和价值,特别是近年来,随着政务信息化的快速发展,政府管理工作和政府信息化系统的日益复杂化,给政务网络的安全性带来了诸多的挑战,加强电子政务网络安全体系的设计和建设,对推动电子政务的发展具有重要的意义。
一、电子政务网络安全的重要性
电子政务是政府管理和服务的重要手段,如果电子政务网络的安全度不高,引起信息的泄密或者网络的瘫痪,不仅会给政府日常管理工作和社会的稳定带来影响,严重的还会给国家安全带来危害。所以必须重视对承载着政务信息的电子政务网络安全体系的设计。
电子政务网络信息安全不仅能保证政务信息化建设工作的顺利开展,还是抵抗信息侵略和霸权主义的重要举措,目前电子政务网络安全已经成为影响经济竞争力和综合国力以及生存能力的重要的组成部分[1]。
二、影响电子政务网络安全的重要因素
首先分析影响电子政务网路安全的几个重要要因素,然后针对问题提出设计电子政务网络安全体系的关键点,以期提高电子政务网络的安全性、可靠性和稳定性。
影响电子政务网络安全的重要因素有以下几点:
(1)政务网络硬件设备的软件系统出现漏洞
任何一个网络设备软件系统或网络上的终端设备如计算机操作系统和都具有或多或少的缺陷,需要进行及时的补丁以及更新程序操作,特别是对于一些用非正版软件和操作系统建立起来的电子政务网络系统,将会存在更大的风险和漏洞。在电子政务网络系统中,一些信息的泄露主要由软件的进程或者是操作系统的漏洞造成的。所以在建立电子政务网络系统时,应该选择正版的操作系统和应用软件,保证电子政务系统健康完善[2]。
(2)黑客和病毒的入侵
在电子政务网络系统中,黑客和病毒是目前最常见且最大的网络安全风险,病毒的种类随着计算机、电子和网络技术的发展而变化,如蠕虫以及变异性病毒等严重威胁着电子政务网络系统的安全,所以在进行电子政务网络安全体系设计时,应该注意防黑客和防病毒体系的设计。
(3)管理人员和工作人员的问题
电子政务网络安全不仅与硬件设备的软件系统有着很大的关联,而且与管理人员和工作人员也有着非常大的联系,主要表现在:一是电子政务网络安全管理人员没有根据政务信息化发展的趋势及时控制网络中存在的安全隐患;二是工作人员缺乏对网络及信息安全方面更多知识的了解,以及对电子政务网络的管理混乱、责权不明确和制度不完善等。以上这些都是造成电子政务网路不安全的重要因素。
三、电子政务网络安全体系的设计
(1)电子政务网络硬件系统的安全设计
虽然有很多的电子政务网络硬件设备以及计算机系统存在较多的漏洞和缺陷,但是只要保持对网络设备软件系统的更新、安装最新的安全补丁以及在电子政务网络系统中设置较高的安全级别,并且定期或者不定期地变换口令和检查安全日志,这都可以大大提高电子政务网络系统的安全性。
(2)入侵监测和防火墙设备的设计
在电子政务网络系统中,入侵监测设备的配置主要是为了防止外部人员(即黑客)的非法入侵,防火墙的配置主要是为了能够加强对网络的访问控制,防火墙能够对两个或者两个以上网络之间传输的数据的安全性根据一定的安全策略进行检查,并具有监视网络是否安全运行的作用,两者结合能够有效的防止外部人员采用不正当的手段访问网络系统中的资源和信息。从而保护政务网络系统中信息以及资源的安全。入侵监测和防火墙设备都是保护网络安全环境的特殊设备。
在电子政务网络系统中,防火墙是网络安全体系中最根本的措施,防火墙处于电子政务网络层的安全技术的最低层,网络之间的通信以及相互访问等都要通过防火墙进行安全认证。随着科学技术的进步,网络安全技术的发展,防火墙系统逐渐向网络层之外的安全层次进行发展,并且还能够为网络的应用提供安全服务,因此在电子政务网络安全体系设计中,防火墙是必不可少的一种技术[3]。
(3)计算机病毒的防护设计
计算机病毒对网络具有灾难性的影响,为了防止计算机病毒对电子政务网络系统造成损害,应该在电子政务网络系统中建立病毒防护体系,不仅应该在客户机中安装防病毒软件,在网关中安装防病毒软件,而且应该在服务器中安装防病毒软件。良好的杀毒软件不仅能够有效的查杀病毒,而且可以实时监控网络端口,对网络攻击、木马程序以及非法进程的阻挡等具有非常好的作用。
(4)应用层信息安全设计
①身份验证是最常用的一种网络安全防范措施,通过在电子政务中设定网络用户名和密码,这样不仅能够防止无关人员的登陆,而且能够阻止对电子政务信息的访问。但是由于黑客的技术水平也在不断地提高,所以在电子政务网络安全体系设计中不仅应该使用最新的口令技术,还应该结合其他的先进技术和科学手段一起来保护电子政务网络系统的安全性。
②采用权限矩阵措施。对于电子政务网络系统的登陆一般分为管理人员和普通人员两种登陆方式,不同的身份对应电子政务系统中不同的内容,具有不同的访问权限。所以在进入系统后,管理人员可以在权限之内对电子政务网络系统中的内容进行访问、修改以及删除等操作,负责对电子政务系统的日常管理和维护,而普通人员只能够对系统中的信息和内容查看,没有对信息进行修改或者其他操作的权力[4]。在电子政务系统中使用这种管理能够很大程度保障信息以及数据的安全性。
(5)建立安全管理策略
电子政务网络系统的安全关系到国家的安全、以及公众的利益。因此电子政务网络的安全性设计和建设必须考虑以下几方面的事项:一是参照国家法律法规,成为电子政务网络安全设计建设和运行的重要准则;二是为了保证电子政务网络系统的安全性,应该建立完善的政务网络安全管理制度;三是加大对电子政务网络系统安全运行的管理措施;四是必须明确电子政务网络日常运行维护部门和应用系统使用部门人员的责任和权力;五是应该在电子政务网络系统安全体系设计时,完善涉及资源以及信息的安全管理规定;六是对信息的产生、储存、传输以及处理等各个环节进行控制管理,从而保证信息的安全性。
(6)提高人员的综合素质和业务能力
在电子政务网络安全设计和建设中,应该建立对网络安全管理人员和使用人员的培训和考核制度,培训内容包括网络日常使用维护知识、风险检测分析技术、紧急事件的处理能力等,通过培训提高网络安全管理人员和工作人员的综合素质和业务水平,从而保证电子政务网络系统的安全性和可靠性。
四、总结
电子政务网络安全体系设计是一项复杂并且涉及面广的综合性的系统工程,况且网络的安全事关国家经济、政治、文化和军事的安全,对社会稳定也具有重要的作用,因此必须加强对电子政务网络安全体系设计的研究,不断建立健全网络安全体系,提高管理人员和工作人员的综合素质和业务能力,这对保障政务网络安全和高效地运行起着重要的作用,对促进社会和谐发展也具有重大的意义。
参考文献
[1]张达旭.构建网络安全体系,保障电子政务畅通[J].北方交通,2008(5):228-229.
[2]梁明君.浅谈电子政务网络安全体系的建设[J].网络与信息,2007(8):2-3.
【关键词】电子政务 安全云 云计算 安全框架设计
一、引言
电子政务云的安全问题是当前各方最关注的问题之一。为大力推动电子政务云安全平台的建设和广泛应用,来实施面对电子政务云平台所面临的安全隐患,使电子政务安全云的平台建设应用的安全工作能够落到实处。
二、云计算安全体系架构
云安全联盟在基于云计算的三种服务模式,给出了云计算的安全框架。IaaS层位于云服务的最底层,是保证云计算体系安全的核心环节,该层能够为云应用提供基础的IT资源服务工作。IaaS层大量使用了虚拟化技术,保证虚拟化软件、虚拟化服务器的安全,尽量降低虚拟化技术所面临的安全风险,降低了安全隐患。在IaaS层中,云服务能够为服务商提供最基本的服务设施和抽象层的安全防护。PaaS处于云服务的中间层,主要起着承上启下的作用,该中间层一方面为IaaS层平台提供基础的信息资源,此外,该中间层还能为最上层SaaS提供基本的应用服务。PaaS所面临的安全风险主要为分布式文件和数据库安全,用户接口和应用安全。在云服务的中间层中,主要负责云服务和应用程序的安全问题,而应用平台和软件开发的主要安全性主要由使用用户来进行负责。SaaS层处于云服务的第一层,大部分的云服务用户主要为系统软件平台提供数据资源信息。多租户技术是保证顺利解决该问题的关键要素,但是同时存在数据信息资源隔离、客户端设备的配制问题。服务提供商对云服务的SaaS层的安全需要承担主要责任。
(一)IaaS云计算安全框架设计
1、IaaS简介
IaaS服务的核心思想是以服务产品的形式向用户交付各种能力,而这些能力直接来自各种资源池,因此,IaaS服务提供商需要完成资源池化、服务和产品设计与组装以及服务产品交付等方面的工作。IaaS的技术架构是以数据中心IT基础架构为基础,以满足用户需求的特定IT基础架构为交付物的服务交付过程的层次化模型。在IaaS的技术架构中,通过采用资源池构建、资源调度、服务封装等手段,可以将IT资产迅速转变为可交付的IT服务,从而实现了IaaS云的随需自服务、资源池化、快速扩展和服务可度量等特性。
2、IaaS的信息安全系统
从表面上看,云计算更注重共享与弹性,对于安全云的构建需要充分考虑信息封闭和权限两方面问题。IaaS系统安全体系主要是对安全域所面临的安全风险进行分析,从而形成安全、可靠的IaaS的信息安全系统。IaaS云计算功能架构,主要为接入层:指提供给用户访问云系统或用于为其他服务提供调用接口的软硬件系统。虚拟资源层:指虚拟机、虚拟存储设备、虚拟交换机、虚拟服务器等虚拟化的实体。虚拟化平台层:指服务器虚拟化软件,存储虚拟化软件,网络虚拟化软件。硬件资源层:指各种服务器,存储设备及存储网络、网络设备及连接等资源。管理层:指提供IaaS服务管理、系统运行管理及安全管理功能相关软硬件系统。
(二)IaaS云计算安全框架
1、接入层安全,云服务是一种基于Web的服务模式,同时相关管理工作也通过Web方式来管理。因此,web安全包括Web 应用系统本身的安全和web内容安全。
2、API安全,API安全主要指IaaS作为云资源,除了可以直接为用户所使用外,也可以被PaaS云服务商所使用。因此,在进行服务调用对API的验证成为一个关注的问题。
3、虚拟资源层安全,虚拟资源层安全指资源被虚拟化为虚拟资源的安全风险。
4、虚拟化平台层安全,虚拟化平台层安全指虚拟化相关软件的安全风险,各种虚拟化软件引入了新的攻击界。
5、硬件资源层安全,服务器安全主要指云计算系统中的主机服务器、维护终端在内的所有计算机设备在操作系统和数据库的层面安全性。
6、物理安全,物理安全是整个云计算系统安全的前提,主要包括物理设备的安全、网络环境的安全等,以保护云计算系统免受各种自然及人为的破坏。
三、云计算数据中心的运维对象
对于云计算的数据信息资源中心的运维管理,实际上为数据中心信息服务相关的管理工作的总称。云计算的数据信息中心的运维对象主要有:
(一)机房环境基础设施部分:该运维对象是保证云计算数据信息中心所管理设备,在正常运行过程中所包括的网络通信资源、电力资源、环境资源等。云计算数据信息管理设备对于使用用户而言,数据信息是透明的,因此,大部分的用户大多数都会关注环境因素。
(二)在提供IT服务过程中所应用的各种设备,包括存储、服务器、网络设备、安全设备等硬件资源。这类设备主要功能是为云计算的安全提供基本的数据信息资源的计算、存储以及数据通信等功能,是保证IT服务正常运行的物理载体。
(三)系统和数据资源,该单元主要包括:操作系统、数据库、中间件、应用程序等资源;除此之外,数据资源主要包括业务数据、配置文件、日志等。
(四)管理工具,主要包括基础设施监控软件管理、工作流管理、报表管理和短信管理平台等。管理工具主要是辅助管理主体能明显提高管理数据信息资源中心,以及各种管理对象,除此之外,管理工具主要负责软硬件设施的维护。
(五)人员,主要是指云计算数据信息资源的技术人员、运维人员和系统管理人员,除此之外,还包括能够提供基础服务的厂商工作人员。其中,服务厂商的工作人员是保证IT服务正常运作的基础。
参考文献:
[1]陈江.电子政务信息安全评估与防御研究[J].现代教育.2012(09)
[2]汪玉凯.电子政务需要政务云[J].信息系统工程.2012(06)
[3]汪玉凯.电子政务需要政务云-2012年中国电子政务展望[J].信息化建设.2012(01)
[关键词]电子政务 协同学 协同模型
[分类号]G253
2008年12月12日,工业和信息化部在杭州召开的“深化地方电子政务信息共享和业务协同工作座谈会”,表明我国政务信息资源共享与业务协同向深度发展的实践趋势。作为电子政务核心任务和终极目标的政务信息资源共享与业务的协同在实践上的快速发展,迫切需要理论的指导。本文试从协同学的角度,构建电子政务信息资源共享子系统与业务子系统的协同模型,将两者协同纳入到电子政务建设的宏观环境和微观的运行机制中,旨在抛砖引玉,希望对协同有更深入的探讨和认识。
协同学的基本理论是协同系统在外参量的驱动下和子系统之间的相互作用下,以自组织的方式在宏观尺度上形成空间、时间或功能有序结构的条件、特点及其演化规律。电子政务系统中电子政务信息资源共享和业务子系统的协同符合协同学的协同所需具备的基本条件,因而符合协同学的基本规律。
1 电子政务系统的性质
电子政务这个大系统是一个开放的处于非平衡态的系统。所谓开放性,是指系统能够与环境进行物质、能量、信息交换的属性。电子政务系统的环境是一切与之有关联的其他因素的集合,电子政务系统必须从环境中获取从事所必需的信息和物质资源。作为非平衡系统,电子政务处于不断地与环境进行资源交流的常态。政务信息资源共享和业务是隶属于电子政务系统的子系统,两者的协同作用将使电子政务系统发生非平衡相变,在序参量、涨落等的共同作用下,达到自组织状态。
2 电子政务所遵循的协同学基本概念
2.1 序参量
子系统总是存在自发的无规则的独立运动,同时又存在子系统之间关联而形成的协同运动。在临界点前,子系统之间的关联弱到不能束缚子系统独立运动的程度,系统呈现无序状态。随着控制参量的不断变化,当系统靠近临界点时,子系统之间所形成的关联便逐渐增强,同时子系统无规则的独立运动相对变弱;当控制参量达到“阈值”时,子系统之间的关联和子系统的独立运动从均势转变到关联起主导地位,出现由关联所决定的子系统之间的协同运动。序参量便是系统相变前后所发生的质的飞跃的最突出的标志。序参量来源于子系统间的协同合作,同时又起支配子系统行为的作用。子系统之间的协同合作产生宏观的有序结构,这是“协同”的第一层含义。有时在临界点处系统中有几个序参量同时存在,每个序参量都企图独立主宰系统,但由于天时地利的条件差不多,彼此处于均势状态。在这种情况下,序参量之间便自动形成妥协,合作起来协同一致地控制系统,共同决定系统的宏观结构。此时,序参量之间的协同合作决定系统的有序结构,这是“协同”的第二层含义。
电子政务系统中信息资源共享子系统和业务子系统之间的协同合作产生序参量,同时又受序参量的影响,这是两者协同的第一个层次。电子政务初始建设的无序化使公共服务变得苍白无力,无序化建设的原因就是信息孤岛的丛生,这也是信息资源不能共享的原因所在。因此,找出序参量,推动电子政务建设的有序化,就成为关键。笔者从电子政务建设的影响因素出发寻找序参量。
电子政务的发展主要受外部和内部因素的影响,其中外部因素包括政府改革、经济和社会发展、技术进步和法律法规,内部因素包括领导力、业务需求、技术能力、标准、管理手段和信息安全。按照哈肯的理论:环境条件的稍微变化可以引起完全新的序参量或序参量系统,其前提条件是先有一个新种类的序参量。外部因素都是环境条件,不是序参量,但对序参量有影响,是推动电子政务过程涨落的外部力量。
内部因素是否全部是序参量呢?笔者认为内部因素中的领导力、技术能力、标准、信息安全和管理手段是序参量,而业务需求只属于系统中的能量输入。电子政务系统依赖于业务流的输入和输出。作为能量输入,业务需求是推动业务流中的信息资源不断被应用,从而实现输出的一个流程,是信息资源进行不停交换的动力。这个交换过程,需要电子政务信息资源共享子系统与业务子系统在领导力、技术能力、标准、信息安全和管理手段一系列因素上协同合作,构成支配电子政务系统从无序向有序发展的序参量。这是信息资源共享与业务协同的第二个层次,即序参量之间的协同。
2.2 涨落
子系统的独立运动以及各种可能产生的局部耦合,加上环境条件的随机波动等,都反映在系统的宏观量的瞬时位经常会偏离它的平均值而出现的起伏上,这种偏离平均值的起伏现象就叫涨落。每个涨落都包含着一种宏观结构的“胚芽状态”。只有得到大多数子系统很快响应的涨落,由局部波及系统,得到了放大,成为推动系统进入新的有序状态的巨涨落,这种涨落的内容就是序参量。
我国电子政务系统建设大致经历了基础设施建设和应用系统建设两个阶段,目前已在发展第三阶段,即信息资源整合阶段。该阶段的核心是信息资源共享平台建设,表现在政务信息资源目录体系与交换体系的建设上,是实现信息共享和业务协同的重要基础。
2006年,国务院“全国政务信息资源目录体系与交换体系研讨会”的召开,促进了我国建设政务信息资源共享体系热潮;国家标准局的《政务信息资源交换体系》、《政务信息资源交换体系》两个标准也应需而出,表明国家对各地建设政务信息资源共享体系的高度重视,并为之提供理论及技术上的指导框架。电子政务发展较快的地区如北京、杭州、深圳等地纷纷开始政务资源共享体系的建设,并配套颁布“信息资源共享条例”等制度。
2.3 自组织
自组织结构是在一定的环境条件下由系统内部自身组织起来的,并通过各种形式的信息反馈来控制和强化这种组织的结果。在一定的环境条件下,自组织结构的实现需要环境提供能量流和物质流作保证。当系统处在同一种结构上时是一种有序性,那么怎样维持和发展序参量,就是如何稳定模式的中心问题了。一方面,序参量是通过自组织状态来维持的;另一方面,序参量支配子系统、有序结构和自组织的规律。要建立一个描述各种系统中出现的自组织原理,就不得不借助于信息、控制这种普遍的概念和方法。系统的信息作用体现在序参量的变化上,当序参量变化时它会通过信息反馈来控制子系统的行为,序参量是通过正的信息反馈才使系统维持在这种结构上的。
电子政务系统中,电子政务信息资源共享子系统与业务子系统之间的协同所维持的序参量需要业务信息的不断输入以及对业务信息的不断需求,使序参量
得以强化。而事实上,各地政务资源共享体系建设无一例外地存在以下情况:开发建设容易,实施应用很难;设计规划美好,建后成效不大。其原因在于没有得到正的信息反馈,具体表现如下:①信息提供不积极、不全面。由于种种原因,各参与部门各有各的业务,各有各的分管上级,负责建设的信息化主管部门难以对他们进行实质上的约束,各部门提供信息时不主动积极,大多“缺斤少两”,也不会有人检查它是否规范。②信息更新不及时。同上原因,信息更新因没有监督,共享信息与部门内部业务信息很难做到同步。业务信息发生变化时,不能及时更新共享信息,导致共享信息不准确。③使用不通畅。使用共享信息时,通常是通过应用系统接口进行,这就需要共享系统提供较易使用的信息共享服务。如果此类服务没有规范标准约束,很难为各种各类的应用提供信息共享服务;同时对信息使用的用途也无法跟踪。
分析上述原因,可知序参量没有得到正的信息反馈的最主要原因就是信息领导力不够强,不能制约各参与部门积极提供属于各部门业务的信息。另外,还存在管理体系、制度不够完善的问题,缺乏监管以及信息寻租利益的存在,都有待于得到规范,从而为序参量的发展提供一个合适的环境。
2.4 协同模型构建
起初,各部门、各行业的电子政务系统建设是各自孤立的,呈无序状态;在一定的外界环境(服务型政府的建设,政府改革)条件下,在一定的业务需求推动下,电子政务领导力的逐渐增强和融合、技术的成熟、标准的应用、管理手段等的提高等,推动跨部门、跨行业的电子政务系统的发展,从而由上述序参量协同作用形成新的有序状态的巨涨落。序参量通过业务需求信息的不断输入及业务应用信息的不断输出,不断地通过正反馈维持自组织的现行结构,并会通过新的涨落来获得发展。电子政务系统信息资源共享子系统与业务子系统之间的协同模型见图1。
3 基于协同模型的协同实现
3.1 服务型政府是协同实现的前提之一
服务型政府是在国际上电子政府建设大潮出现之后才成为公共行政管理的理论热点和实践重心的。正是由于电子政府建设,政府利用信息网络技术整合政府资源,形成跨部门的“一站式”服务。在我国,党的十七大做出加快行政管理体制改革、建设服务型政府的重要战略部署,将建设服务型政府作为我国深化行政管理体制改革的核心目标,并贯穿于我国全面建设小康社会的整个历史进程。服务型政府的建设将继续促进我国电子政务的发展。
3.2 加强技术的自主开发,鼓励国产技术的选择
缺乏自主研发的电子政务技术一向是我国电子政务建设的软肋。我国电子政务建设发展的20年间,使用的软硬件技术大多是国外公司提供的,随着我国电子政务建设向纵深层次的发展,遇到深层次业务需求时,国外提供的软硬件技术就无法真正予以满足,一旦国外软件公司的产品全面升级,则又面临着是跟着升级还是报废的两难境地。因此,加强电子政务技术的自主研发,鼓励选择国产化电子政务技术,建立适合国情的软硬件环境,是推动国家电子政务建设向深层次发展的另一重要前提。
3.3 强化CIO的领导权和决策权,尤其强化统一的领导权和决策权
在我国由技术驱动转变为业务驱动,在政务信息资源共享与电子政务业务协同的背景下,必须重新审视CIO们的能力,即如何将IT与政府业务流程结合起来的领导能力。
我国传统的政府信息资源共享模式是“信息中心”的模式。这种模式下的CIO没有领导权和决策权,更别说统一的领导权和决策权。因此,尽管我国的电子政务既不缺乏技术也不缺乏理念,更不缺乏决心和资金,也不乏沟通和合作,但由于人员变动和部门利益的关系,很少成功。强化CIO的领导权和决策权及其统一将有利于上述问题的解决,从而加快电子政务建设速度,提高电子政务建设水平。
3.4 完善政府业务流程标准化和规范化
电子政务实现与信息资源共享基于标准的协同的关键点在于电子政务业务系统与信息系统的协同。信息系统的完善依赖于电子政务业务流程的日益清晰及业务流程标准化和规范化的不断完善。
回顾我国电子政务发展史,我国在电子政务标准化工作中已取得不少成绩,但仍存在着诸多问题,如目前已经构建的电子政务系统基本上是异构的。这种现象就是由电子政务业务系统不统一所引起的,表现为业务系统缺乏标准,信息资源结构格式混乱不堪。要解决这个问题,就要首先梳理业务流程,确定业务流程的标准化格式,在此前提基础上,将通过业务流的信息流加以标准化,形成通畅的业务流程。当然,业务流程的确立是建立在需求调研的基础上的。在标准化的协同方面,以业务需求为前提,完善业务系统,在发展中寻求以绩效为前提的标准的统一。
3.5 建立信息安全风险管理和应急体系
我国已经初步建立了信息安全保障体系,进一步健全了信息安全管理的法律法规体系,制定和引进了一批重要的信息安全管理标准。但同时也要看到我国信息化总体水平与世界发达国家相比所存在的巨大差距,包括关键信息技术自主创新能力不足,信息技术应用水平落后于实际需求,信息安全问题比较突出,体制机制改革有待继续深化,信息化法制建设需要进一步加快等。对信息安全所存在的风险进行管理并建立风险应急体系,成为解决信息安全的关键。
3.6 严格遵循各项管理标准是协同实现的保障
我国在技术标准、信息安全管理标准等方面都取得了长足进步,近期又出台了《中国服务型政府电子政务运维管理规范》等,表明信息资源建设与电子政务运维都能找到工作依据,关键是在信息资源共享与电子政务建设中,各部门以及各参与人员应当严格执行各项规范,以使规范能最大限度地发挥效用。
1.1什么是信息安全
信息是一种资产,它像其他重要的资产一样,具有很大价值,因此需要给予适当的保护.信息安全的目的就是要保护信息免受各方面的威胁,以确保业务的持续性并尽可能地减少损失.信息能够以多种形式存在.它可以打印(或写)在纸上,可以以电子形式存储,可以通过邮寄方式(或使用电子方式)传播,也可以显示在胶片上,或用语言表达.信息无论以什么形式存在,或以何种方式共享和储存,它都应该进行适当的保护,这就是信息安全学科的主要任务.信息安全具有以下三个主要特征:
(1)保密性:确保信息只被授权人访问.换句话说,保密性就是对抗对手的被动攻击,保证信息不被泄漏给未经授权的人。
(2)完整性:保护信息和信息处理方法的准确性和原始性.换句话说,完整性就是对抗对手主动攻击,防止信息被未经授权的篡改。
(3)可用性:确保授权的用户在需要时可以访问信息.换句话说,可用性就是保证信息及信息系统确实在任何需要时可为授权使用者所用。
此外,可控性(对信息及信息系统实施安全监控)也是信息安全需要特别关注的特性之一。
信息安全可以通过实行一套适当的控制措施来实现。这些控制措施至少包括:安全策略、工作条例、程序、组织结构和软件功能等。信息安全学科是由数学、计算机科学与技术和通信工程等学科交叉而成的一门综合性学科.目前主要研究领域涉及现代密码学、计算机系统安全、计算机与通信网络安全、信息系统安全、电子商务/电子政务系统安全、信息隐藏与伪装等。
密码学是信息安全的核心,密码手段为信息安全提供了可靠的保证.比如,使用密码对信息加密是保证信息保密性的最有效办法;基于密码的数字签名和身份认证技术是当前保证信息完整性的最主要方法之一;利用密码进行系统登录管理和存取授权管理是解决信息可用性问题的有效办法:通过密码和密钥管理也可保旺信息的可控性。
1.2为何需要信息安全
信息是重要的资产.信息的保密性、完整性和可用性对维持相关机构的竞争优势、现金流动、盈利性、合法性和商业形象等至关重要。
当前,信息系统正面临着来自各方面越来越多的安全威胁,如,计算机诈骗、间谍、阴谋、破坏和火灾或水灾等.特别是计算机病毒、黑客袭击和拒绝服务攻击等对信息系统的损害已变得越来越巨大;安全事件越来越普遍;安全保障的任务越来越艰巨;安全防护人员的业务水平要求越来越高。
随着社会信息化步伐的加快,人们对信息系统和信息服务的依赖性也越来越强,这意味着信息系统更容易受到安全威胁的攻击,而且,一旦被攻击,造成的影响也就越来越大.公众网与专用网的互连互通,各种信息资源的共享,又加大了实现信息安全访问控制的难度.分布式计算的趋势,在很大程度上,减弱了集中式安全控制的有效性。
很多信息系统在设计时都没有充分考虑安全问题,实际上,如果在需求说明书中和设计阶段就把信息安全控制措施考虑进去,那么,信息安全的实施就会更加经济有效.通过纯粹的技术手段也很难实现完整的安全保障体系,还应该有适当的管理和程序支持.有效的安全控制措施既需要周密的总体规划,同时,也不能忽略某些细节问题。
1.3确定安全需求、评估安全风险
确定安全需求是建立安全保障体系的首要步骤,实施安全措施的开销不应该超过安全事故导致的损失.安全需求的确定至少应该考虑以下三个方面:
(1)对组织本身所面临的风险进行评估.通过风险评估,分析具体信息系统可能面临的威胁,确定系统的脆弱性和风险发生的可能性,并估计其潜在的影响.(2)在确定安全需求时,还需要充分考虑相关法律和法规的具体要求(比如,并不是任何人在任何系统中都可以随意使用密码技术),当然还要考虑相关机构和人员的特殊需求.(3)安全需求应该适应相关信息处理原则、目标和需求.安全仅仅是为信息系统服务的一个方面。
安全风险评估的对象既可以是整个信息系统,也可以仅仅是某些局部系统或特定的组件或服务.风险评估需要综合考虑以下内容:(1)安全事故可能造成的损失,特别是信息的保密性、完整性或可用性被破坏后所造成的潜在后果.(2)在已有安全控制措施的条件下,系统面临的主要威胁和脆弱性在哪里,由此引发安全事故的可能性有多大.对于信息安全风险的管理和为避免风险而实行的控制措施来说,风险评估结果将有助于指导和确定合适的管理措施和优先级.评估风险与选择控制措施的过程有可能需要进行若干次,以便涵盖各个信息系统.对可能的安全风险和已实施安全控制措施的有效性进行定期评审是很重要的,它有助于根据以前的评估结果和可接受的风险级别,安全评估的层次应该有所差别.风险评估通常先在高层次上进行,以便优先为高风险领域提供资源,然后在更细的层次上进行,以解决具体的风险。
1.4选择安全控制措施
安全需求确定后,就应该选择相应的安全控制措施并加以实施,以确保安全风险降低到一个可以接受的程度.安全控制措施的选择既要考虑与降低风险相关的实施成本和潜在经济损失,又要考虑非经济方面的因素(如:名誉损失)等.从法律角度来看,有效的安全控制措施应该包括:数据保护和个人信息隐私、审计记录的保护、知识产权.一般的通用信息安全控制措施至少包括:信息安全策略、信息安全责任分配、信息安全教育与培训、报告安全事故、业务持续性管理等.这些控制措施适用于大多数信息系统和大多数环境。
1.5信息安全保障体系
从技术角度讲,信息安全保障体系就是通过一定的技术手段,提高系统的入侵检测能力、事件反应能力和遭破坏后的快速恢复能力.信息保障有别于传统的加密、身份认证、访问控制、防火墙等技术,它强调信息系统整个生命期的主动防御,预警(early-Warning)、保护(Protect)、检测(Detect)、响应(Response)、恢复(Recover)和反制(Counterattack),涵盖了对现代信息系统安全保障的各个方面,构成了一个完整的体系(WPDRRC),使信息安全构筑在一个更加坚实的基础之上.信息安全保障体系的范围更宽,动态性更强,信息保障是安全加可信。
2 我国信息安全产业现状及发展趋势
2.1信息安全市场分析
2.1.2经济效益指标分析由于社会需求的迅速扩大,信息安全已经在全世界范围内形成了一个新兴的产业.据了解,目前全球信息安全产品和服务的产值约为232亿美元,其中美国为127亿美元、欧盟为58亿美元.我国信息化建设已进入全面推进和加快发展的重要时期.近年来,我国信息产业迅速发展,已成为重要的经济增长点和支柱产业.国内信息安全市场也达到了一定的规模.目前,在国内大约有专门从事信息安全产业的企业1300多家,其中有自主研发能力的企业390多家,有自主产品的企业190多家,从事信息安全服务的企业有300余家.国内信息安全产业的总产值增长速度也很快,1999年、2000年、2001年、2002年、和2003年,国内信息安全产业的总产值分别为9亿、19亿、40亿、90亿、120亿.但是,我国信息安全产业在整个信息产业中所占的比率太小,仅仅是大约2%~3%.对此,国务院信息办网络及安全专家组组长何德全院士指出,信息安全产业滞后于信息产业是正常的,但如果两者之间的差距过大,信息安全问题就会显得突出.因此,信息安全产业在整个信息产业中所占比率的增长空间还很大.比如,根据中办发[2003]17号文件要求,国家电子政务建设将建设和整合统一的电子政务网络.电子政务网络由政务内网和政务外网构成,两网之间物理隔离,政务外网与互联网之间逻辑隔离.启动人口基础信息库、法人单位基础信息库、自然资源和空间地理基础信息库、宏观经济数据库的建设.建设和完善金关、金税和金融监管(含金卡)、宏观经济管理、金财、金盾、金审、社会保障、金农、金质、金水等12金工程.据估计,电子政务市场规模将达到1200亿元人民币.这些电子政务工程的启动,需要建设相应的信息安全基础设施来保障政务信息安全,由此产生的信息安全市场规模,按照电子政务市场10%计算,将达到120亿元人民币。
2.1.2社会效益指标分析加强国家信息安全保障工作,是我国经济发展到一定阶段的客观要求.我国信息化建设已经进入全面推进和加快发展的重要时期.近年来,我国信息产业迅速发展,已经成为重要的经济增长点和支柱产业.目前,信息技术已经在经济和社会的各个领域得到广泛应用.金融、电力、税收、交通、教育、社会保障和社会治安等系统越来越依赖于网络,现代企业特别是跨国经营的企业越来越离不开网络,各级政府的行政管理和公共服务越来越多地通过网络实现.信息系统已经成为能源、交通、金融等国家关键基础设施的神经中枢,系统的安全直接影响到关键基础设施的正常运转.一旦发生信息安全问题,导致能源、金融、交通、通信、社会服务保障等的大面积瘫痪,一些局部和地区性热点问题很容易通过网络扩散为全局性问题;一些群体性事件也很容易通过网络引发跨地区的连锁反应,从而大大增加危害程度和处置难度,严重影响社会稳定,不仅会严重影响人们正常的生产生活,还会严重干扰正常的社会经济秩序,造成重大经济损失和社会影响.事实证明,信息化程度越高,信息安全问题就越突出,信息安全保障工作就越重要,就越需要一支过硬的队伍来提供技术支持.只有有了掌握了过硬技术的队伍,才能保障信国家的信息安全,推进信息化的进一步发展,以信息化带动工业化,提高国民经济运行效率和社会生产力水平,促进我国经济的跨越式发展和全面建设小康社会宏伟目标的实现。
3 我国信息安全产业急待解决的关键技术问题
中央27号文指出“要集中力量,加强对密码技术、安全隔离与审计、病毒防范、网络监管、检测与应急处理、信息安全测试与评估、取证、卫星防攻击等关键技术以及相关技术的研究开发.”经过深入分析我国信息安全,特别是分析电子政务安全领域的现状,当前急待解决的关键技术问题有:
(1)以密码技术为基础的信任体系建设.特别是在较大范围内,将各个信任体系整合为一个更大范围的信任体系.如,在国家桥CA建设的基础上,展开信任体系的关键技术研究,为电子政务网络提供全面的信任体系解决方案,建立电子政务安全支撑基础设施与服务,为其运行提供安全监控解决方案.
(2)安全域理论以及安全域之间的隔离、访问控制和审计问题.基于安全域构建信息安全保障体系是信息安全领域中一个重要的方法.
(3)大范围爆发的蠕虫、病毒等恶意代码的防范问题.当前,对于各行各业信息化威胁最大的安全问题就是蠕虫大规模爆发问题:在2003年和2004年上半年,一些全球性的大规模蠕虫爆发事件已经给我国电子政务和相关行业的信息化应用带来的较为重大的损失.
(4)大机构和大系统的风险评估问题.风险评估是信息安全保障体系建立过程中的重要的评价方法和决策机制.没有准确及时地风险评估,会使得各个机构对于信息安全的状况做出错误的判断;风险评估应当成为各个机构建立信息安全保障体系中的优先步骤.在深入研究信息安全风险评估的理论、方法、标准、技术和工具的基础上,积极准备,为国家开展基础信息网络和重要信息系统的信息安全风险评估检查工作提供技术储备.比如,为国家电子政务建设提供包括方案设计、工程实施、工程运行等整个生命周期的全程的信息安全风险评估.
(5)网络监控体系的建设.面对高速、多媒体海量信息,如何监控信息流,获取和判断信息内容,是一个复杂且难度极高的技术问题.发达国家一般运用最新最快的计算机来进行监控管理.我国也应该在国家级监控管理层次上研究发展必要的技术手段.在电子政务领域,也应当建立相应的监控体系.
(6)应急技术研究.随着信息化的推进,我国许多重要信息都在网络上,在方便工作的同时,也存在安全的隐患.一旦发生灾难,信息的安全和恢复就会存在问题.应急是信息安全的最后一道防线.国家基础网络和重要信息系统必须有相应的应急预案,才能在灾难来临时,不会出现混乱、业务停止等问题.国外在这方面研究比较早,也取得了很大成绩,我国在充分借鉴国外先进成果的基础上,必须研发有自主知识产权的应急与冗灾理论、技术和产品.比如,应该深入研究信息系统的应急和灾备恢复体系,为国家基础网络和重要信息系统,特别是国家电子政务系统提供相应的应急预案,确保在灾难发生时系统能够正常地运行。
(7)等级保护是信息安全保障体系建设的一个重要原则和方法。
(8)反入侵和取证技术.(9)物理隔离和逻辑隔离问题,以及内外网信息交换问题。
(10)建设一体化的、高度集成的、智能化的信息安全平台.当前的信息安全防范体系是各种不同的安全产品和技术简单叠加组成的.由于不同的产品来自不同的厂家,产品的性能、规格、功能等都存在很大的差异.这些产品的简单叠加,相互之间没有任何联动的途径和机制,不能做到整个安全防范系统的简单、易用和高效,还有可能带来新的安全问题,整体的安全性如何更难以保证.国家基础信息网络和重要信息系统,特别是电子政务,急需一体化的、高度集成的、智能化的安全平台,把网络系统中的防火墙、入侵检测系统、防病毒系统、信息加密、认证系统、审计系统、响应系统、备份系统等多种安全产品和技术,进行智能化地高度集成,形成一个一体化的解决方案.各种不同的安全技术和产品,通过这一安全平台可以更好地协同工作、密切联动,从而使整个系统的安全性、效率、可管理性等。
上述关键技术问题是我国信息安全保障方面,特别是电子政务安全领域中亟待解决的关键技术问题.对于这些关键技术问题的解决,再加上良好的信息安全保障体系价值链,将这些关键点串联起来,就可以有效地提高我国信息安全保障体系的水平.此外,我国的信息安全整体水平在国际上还属于比较落后的地位.为了进一步加快我国信息安全保障体系水平的提升,需要在可控的范围内加强国际合作。
4 我国信息安全产业的发展战略
(1)信息安全产品客户化.当前国内信息安全产品种类过度集中,低水平重复较为严重,产业结构失调,资源配置不当,缺乏竞争力.从功能角度看,产品高度集中在网络周边防护和密码设备上,而身份识别和信息审计等产品相对较少.从领域角度看,安全产品主要集中在电信网、电视网和互联网的局域网系统设备、应用和用户设备的安全方面,骨干网(特别是电信骨干网和电视骨干网)的安全产品几乎是空白.由于不同行业用户有不同的安全威胁、安全环境、安全技术、安全培训和安全维护等,因此,其安全需求也各不相同.产品客户化既能够提供量身订制的服务,又能够充分发挥国内企业的优势.国内信息安全企业应该重点选择政府、金融、财政、税收、工商、电信、广电、电力、民航、交通等行业做好客户化工作.(2)信息安全技术标准化和平台化.通过标准化和平台化实现各个厂商的安全产品互连、互通、互操作,从而,易于形成协同的安全防护体系,既增加系统的安全性又增强企业产品的竞争力。
(3)信息安全产业规模化.当前国内信息安全企业的规模普遍偏小,既缺乏市场竞争力,又难以解决融资困难.必须通过市场机制,实现中小企业的快速成长,通过企业兼并等手段培养出我国自己的信息安全大型企业。
(4)信息安全产业资本投资多元化.当前,国内信息安全企业的资本结构主要以国家投资、地方政府投资和民营投资为主体.投资单一化,缺少投资机构的支持.实现投资多元化的方法很多:在可控的条件下吸引外国投资家的资本、鼓励金融中介机构入股信息安全企业、成立投资委员会帮助信息安全企业多方融资,扩展资产规模。
(5)信息安全产品市场法制化与规范化.信息安全产品与普通的民用产品并不完全相同,国家已经颁布了许多法律和法规来规范信息安全产品的研制、生产和销售等环节,但是,在法制化和规范化方面仍然还有许多工作要做,比如,政府部门的多头管理给企业造成过重的经济负担,需要尽早建设信息安全产业的统一管理机构;与许多法律和法规相配套的可操作细则也要尽早出台等。
参考文献:
[ 1] 李彦旭, 马大志, 成立.网络信息安全技术综述[ J] .半导体技术, 2002(10):9-10 .
[ 2] 杨义先, 方滨兴.网络信息安全成果大阅兵[ J] .通信学报, 2002 , 23(5):2-3 .
[ 3] 曾志峰, 杨义先.网络安全的发展与研究[ J] .计算机工程与应用, 2000(10):1-3.
杨义先
(北京邮电大学 信息安全中心)
