目錄/提綱:……
一、保障電子政務(wù)內(nèi)_全的意義4
二、政務(wù)內(nèi)_全問題分析5
三、政務(wù)內(nèi)_全保密工作的目標(biāo)和原則8
五、結(jié)語17
一、保障電子政務(wù)內(nèi)_全的意義
二、政務(wù)內(nèi)_全問題分析
三、政務(wù)內(nèi)_全保密工作的目標(biāo)和原則
五、結(jié)語
……
**市科技情報調(diào)研項目
調(diào)研報告
電子政務(wù)內(nèi)網(wǎng)的安全b_m研究
——以**市科委系統(tǒng)電子政務(wù)網(wǎng)絡(luò)為例
**市科技信息研究院
二零一三年十二月
目 錄
引言 4
一、保障電子政務(wù)內(nèi)_全的意義 4
二、政務(wù)內(nèi)_全問題分析 5
2.1. 電子政務(wù)網(wǎng)的安全觀念 5
2.2安全風(fēng)險分析 5
2.2.1.物理安全風(fēng)險 6
2.2.2.網(wǎng)絡(luò)邊界安全風(fēng)險 6
2.2.3.內(nèi)部應(yīng)用安全風(fēng)險 6
2.2.4.信息安全風(fēng)險 7
2.2.5.管理安全風(fēng)險 8
三、政務(wù)內(nèi)_全b_m工作的目標(biāo)和原則 8
3.1總體目標(biāo) 8
3.2安全b_m工作的基本原則 8
四,加強政務(wù)內(nèi)_全工作的建議 9
4.1安全體系建設(shè) 9
4.1.1分級保護的安全規(guī)劃 9
4.1.2.安全體系設(shè)計 11
4.2.電子政務(wù)內(nèi)_全的實施策略建議 11
4.2.1.物理安全防護 12
4.2.2.網(wǎng)絡(luò)邊界安全防護 12
4.2.3.應(yīng)用安全防護 13
4.2.4.信息安全防護 15
4.2.5.管理安全措施 16
五、結(jié)語 17
參考文獻: 17
引言
信息安全在電子政務(wù)的建設(shè)中一直是倍受關(guān)注的問題,特別是近年來,隨著社會經(jīng)濟的快速發(fā)展,政務(wù)信息化進程向深化發(fā)展,電子政
……(新文秘網(wǎng)http://m.jey722.cn省略1016字,正式會員可完整閱讀)……
還停留在“兩網(wǎng)”的錯誤觀念而產(chǎn)生的。政務(wù)內(nèi)網(wǎng)本身存在的如下一些特點,使加強安全性和b_m性的建設(shè)顯得尤為迫切和重要。
。1)網(wǎng)絡(luò)聯(lián)結(jié)情況復(fù)雜。
科委系統(tǒng)各部門和下屬各單位的電子政務(wù)內(nèi)網(wǎng)建設(shè)發(fā)展不平衡,屬于不同發(fā)展階段的網(wǎng)絡(luò)統(tǒng)一接入后,整個系統(tǒng)網(wǎng)絡(luò)架構(gòu)情況復(fù)雜。委系統(tǒng)內(nèi),電子政務(wù)網(wǎng)絡(luò)架構(gòu)分為“政務(wù)內(nèi)網(wǎng)”、“政務(wù)專網(wǎng)”和“政務(wù)外網(wǎng)”,政務(wù)內(nèi)網(wǎng)、政務(wù)專網(wǎng)分別與其他網(wǎng)絡(luò)物理隔離,政務(wù)外網(wǎng)與互聯(lián)網(wǎng)邏輯隔離。而下屬單位中,有些還按照“兩網(wǎng)”概念建設(shè),政務(wù)內(nèi)網(wǎng)與政務(wù)專網(wǎng)只是邏輯隔離。
(2)工作秘密和內(nèi)部敏感信息的存放情況復(fù)雜。
部分單位政務(wù)專網(wǎng)中存儲的信息種類復(fù)雜,除了一般性的工作信息外,還有較多雖不屬于國家秘密,但也不宜公開的工作秘密和單位內(nèi)部敏感信息,這就對信息的分類保護帶來很大難度。
2.2安全風(fēng)險分析
網(wǎng)絡(luò)a全具體風(fēng)險層次一般可分為:物理層安全風(fēng)險、網(wǎng)絡(luò)層安全風(fēng)險、系統(tǒng)層安全風(fēng)險、應(yīng)用層安全風(fēng)險。[ 袁津生,吳硯農(nóng).計算機網(wǎng)絡(luò)a全基礎(chǔ)[M].北京:人民郵電出版社,2006.]在對科委系統(tǒng)政務(wù)網(wǎng)絡(luò)現(xiàn)狀具體分析的基礎(chǔ)上,本文從五個層面:物理安全、網(wǎng)絡(luò)邊界安全、內(nèi)部應(yīng)用安全、信息安全、管理安全,一一分析其存在的風(fēng)險。
2.2.1.物理安全風(fēng)險
物理安全主要指網(wǎng)絡(luò)運行的物理環(huán)境的安全,既包括發(fā)生自然災(zāi)害的極端情況下應(yīng)急防護,此外,還包括關(guān)鍵部門如中心機房等,人員出入和活動的控制,服務(wù)器不間斷連續(xù)運行的電力供應(yīng),空氣調(diào)節(jié)和其他設(shè)施的故障修復(fù),以保障電子政務(wù)系統(tǒng)持續(xù)正常運行。**市科委系統(tǒng)電子政務(wù)機房符合A類機房標(biāo)準(zhǔn),
供電、空調(diào)都具備冗余考慮,物理安全方面的不足主要有:
在人員不足的情況下對機房無法實現(xiàn)全時情況監(jiān)控,機房UPS故障,空調(diào)設(shè)施故障無法及時修復(fù)風(fēng)險,樓內(nèi)內(nèi)供水設(shè)施滲漏風(fēng)險。
2.2.2.網(wǎng)絡(luò)邊界安全風(fēng)險
網(wǎng)絡(luò)邊界一般是指內(nèi)網(wǎng)與外網(wǎng)的結(jié)合部位,是內(nèi)網(wǎng)的安全門戶。
政務(wù)網(wǎng)與外網(wǎng)有時要進行數(shù)據(jù)交換,由于外網(wǎng)連接著國際互聯(lián)網(wǎng),加大了對專網(wǎng)的威脅,包括黑客的入侵,病毒的傳播等?莆娮诱⻊(wù)系統(tǒng)雖然部署了網(wǎng)絡(luò)版的防病毒及防火墻系統(tǒng),但仍然面臨一定的安全風(fēng)險,主要存在于以下幾個方面:
(1)整個網(wǎng)絡(luò)操作系統(tǒng)的可靠性是政務(wù)網(wǎng)絡(luò)a全的重要基礎(chǔ),所有應(yīng)用程序和安全措施(包括防火墻,防病毒,入侵檢測,等等)都依賴于底層操作系統(tǒng)提供支持。而目前大多數(shù)操作系統(tǒng)的設(shè)計都沒有把安全放在與提高信息處理效率同等重要的地位加以考慮,各種操作系統(tǒng)都存在種種安全隱患。
。2)通信與網(wǎng)絡(luò)設(shè)備本身的弱點。目前,大多數(shù)電子政務(wù)系統(tǒng)都采用的TCP / IP網(wǎng)絡(luò)協(xié)議,通過這些網(wǎng)絡(luò)協(xié)議進行的服務(wù)本身可能存在許多潛在安全威脅。
。3)缺乏有效的攻擊實時檢測和病毒主動防御手段。
2.2.3.內(nèi)部應(yīng)用安全風(fēng)險
應(yīng)用系統(tǒng)的安全性涉及到許多方面,應(yīng)用類型不斷擴展,與此同時,越來越復(fù)雜的系統(tǒng)帶來了不斷增加的脆弱性。在用戶應(yīng)用軟件層面,其安全性能主要取決于開發(fā)應(yīng)用軟件過程中對安全問題的設(shè)計與實現(xiàn),如商家提供的OA系統(tǒng)大都是克隆產(chǎn)品,功能不完善,運行中會出現(xiàn)數(shù)據(jù)丟失等問題。[ 李思偉,蘇忠等.信息網(wǎng)絡(luò)的安全風(fēng)險分析與防范策略[J].計算機安全,2010,(6):36—37.]因此,需要隨著網(wǎng)絡(luò)的發(fā)展動態(tài)調(diào)整設(shè)置,不斷完善,以保證應(yīng)用系統(tǒng)的安全性。目前的應(yīng)用系統(tǒng)的安全問題包括以下幾個方面:
(1)訪問控制
身份驗證和授權(quán)是確保只有授權(quán)的用戶才能讀取,修改或刪除數(shù)據(jù)的安全技術(shù)。 科委系統(tǒng)18個部門專網(wǎng)系統(tǒng)中有11個在訪問控制方面存在一定隱患。如有的系統(tǒng)內(nèi)部網(wǎng)絡(luò)使用過于簡單的密碼,有的系統(tǒng)沒有嚴(yán)格的分級訪問控制,低權(quán)限用戶只要進入系統(tǒng)就可以任意訪問敏感信息。
(2)資源共享控制
對共享軟硬件資源的安全管理力度不夠,18個部門中有7個存在這方面的漏洞,例如軟件系統(tǒng)沒有經(jīng)正確流程及時升級,當(dāng)一個新的攻擊手段或病毒出現(xiàn)時,往往由于升級和補丁安裝設(shè)置的滯后而造成損失。軟件、設(shè)備更新頻繁時,文件共享、打印機共享等缺少必要的分級訪問控制,造成政務(wù)專網(wǎng)與應(yīng)隔離的政務(wù)外網(wǎng),互聯(lián)網(wǎng)混用共享軟硬件的漏洞。
。3)安全規(guī)劃和審計
多個部門缺乏一套完整的信息安全管理規(guī)劃。18個部門中有14個存在這方面的隱患,對用戶上網(wǎng)行為缺少有效監(jiān)控和事后審計手段,如某個用戶由于感染木馬向外部大量傳輸垃圾信息造成網(wǎng)絡(luò)癱瘓,或因內(nèi)部錯誤操作而導(dǎo)致重要信息丟失等,缺乏事后取證記錄和應(yīng)急預(yù)案。
2.2.4.信息安全風(fēng)險
信息或者說數(shù)據(jù),無疑是整個政務(wù)網(wǎng)絡(luò)應(yīng)用服務(wù)的核心,安全地存儲與傳遞信息,是網(wǎng)絡(luò)運行安全的基礎(chǔ),信息的安全風(fēng)險主要存在于以下三個方面:
(1)信息的存儲安全
目前還沒有具備絕對安全性的網(wǎng)絡(luò)數(shù)據(jù)庫和個人終端安全保護措施,各種對數(shù)據(jù)庫及個人終端的攻擊都有可能突破安全系統(tǒng)的抵御進入內(nèi)部信息系統(tǒng)。一旦不法分子以非法手段竊得重要信息數(shù)據(jù)庫的操作權(quán)限,對存儲于網(wǎng)絡(luò)中的信息會造成非常嚴(yán)重的影響和損失。
(2)信息的傳輸安全
同級局域網(wǎng)和上下級網(wǎng)絡(luò)數(shù)據(jù)傳輸線路之間都存在信息泄露的風(fēng)險,如利用電磁泄漏建立隱蔽通道截取機密信息,或通過對信息流向、流量、通信頻度等參數(shù)的 ……(未完,全文共12000字,當(dāng)前僅顯示2855字,請閱讀下面提示信息。
收藏《電子政務(wù)內(nèi)網(wǎng)的安全b_m研究》)