电子政务安全管理与法制建设BBS交流摘要
电子政务安全管理与法制建设BBS交流摘要
交流场次:2013100802
开始时间:2013-10-08 19:00
主持属系:经管部
主持教师:张杰
交流主题:电子政务安全管理与法制建设
今天我们可以围绕电子政务的信息安全、电子政务安全的目标、安全的措施、法制环境的建设等等方面展开交流和讨论。 当然也欢迎结合自己的工作实际来谈谈
1.科学技术是一把双刃剑
早在2001年中美黑客大战期间,在遭受美国黑客攻击的我国大陆网站中,政府网站占了41.5%。 也就是说政府网站成为重点攻击对象。
2.电子政务的类型
电子政务包括三种类型:政府部门的内部网络,主要是部门内部的网络化、电子化办公系统;政府部门间的信息共享与通信网络,主要是跨部门的实时通信与信息共享;
政府部门面向公众的信息网络,主要是政府部门发布信息网站及网上接受公众投诉、领导人电子信箱、网上招标、网上招聘。 对照安全标准来衡量,中央国家部委的涉密网络有一半以上未达到安全保密要求。棱镜门事件可以看作是政务的安全问题。技术是一把双刃剑新型社会关系不断出现相应的法律制度一时还难以制定。
3.电子政务给经济模式、政治模式、文化模式带来了信息技术的冲击
电子政务带来了网络安全、信息安全、个人隐私安全、国家安全问题。结合实际来看,我国电子政务最常见的安全问题,有这几个:
第一个是网站被黑。这是首当其冲的一个,尽管它的危害不是很大,但是作为一个政府门户,政府网站,涉及到权威性,涉及到政府的威信,如果很容易被别人黑掉,对政府的形象是个很大的影响。
第二个是数据被篡改。政府的管理数据,包括工商、税务、行政命令等等,如果出现了更改,会产生非常严重的后果。
第三个是数据被偷窃。偷一个文件还能够发现的,偷一个数据,给你拷走一份,原来的那一份还在,难以发现。
第四个是秘密泄露。政府的政务信息通过网络泄露。
第五个是越权浏览。就是看文件,该是局长看的,可能处长他也能看到,甚至科长也能够看到。
第五个是越权浏览。就是看文件,该是局长看的,可能处长他也能看到,甚至科长也能够看到。
第六个是非法删除。就是对某一位公务员或者对某一位职工不好的记录,他可能进入到这个机器里,把对他不利的一些内容删除掉。
第七个是病毒感染。 第八个是系统故障。
电子政务的信息安全除了技术相对滞后以外,我国电子政务在管理方面也存在一些问题,包括组织体系,包括标准法规,包括各种保障措施等不健全。
第一方面,安全策略。安全策略就是“国家推动,社会参与, 全局治理 ,积极防御,保障发展,适度安全”。这是电子政务信息安全的基本的策略。国家推动是指国家要从政策法规方面有一个引导,同时,需要社会广泛的参与。
第二方面,安全法规。现在,我们已经有了一些相应的法律和法规,但是还需要适应信息化和电子政务的发展,制定新的法规。国务院法制办和国务院信息办会同有关部门正在积极就保密与公开,电子文档的合法性,电子签名,隐私权的保护等等制定相应的法律和法规。
第三方面,安全管理。要按照中发17号文件的规定,对涉密网和非涉密网,对涉密信息和非涉密信息,对安全域和非安全域要进行安全性划分。对电子政务的工程建设要进行监理和监督。对信息安全产品的采购要进行管理。辅助性的支持机制,也要逐步的建立起来。
说得对,很多时候制度都赶不上问题出现的速度
第四方面,安全标准。国家成立了信息安全技术委员会,正在就安全管理,PKI,信息安全产品接口,电子文档的 密级 分级与标识,电子签名,应急处理等涉及到电子政务的这些方面的标准也在紧锣密鼓地进行制定中。
第五方面,安全服务。包括安全评估,风险分析,系统设计,测评,人员培训等等这些服务,也在国家相关职能部门的努力下,积极开展。
第六方面,安全基础设施。为了运行电子政务的内网,外网,国家还需要建设一些信息安全的基础设施,除了国家计算机网络与信息安全管理中心、国家信息安全测评认证中心以外,还会建立 PKI/KMI这样的中心,应急处理与灾难恢复中心,病毒防治与服务体系,安全测评与认证体系。就像工业化社会的公路传输网络,需要相应的配套设施来支持它正常运转一样,电子政务也需要相应的安全基础设施来支撑它的正常运行。
4.电子政务安全风险问题
电子政务比其他信息化领域更加依赖于优化的法制环境。 在电子政务环境中,政府的运行是开放和交互的。为了维护电子政务的安全,各国政府不仅需要采取一些技术性的对策,更需要通过法制手段从根本上解决问题。 20世纪90年代开始,我国开始出台一部分有关信息化方面的法规,到目前已建立起了一个初步的法规体系。其主要涉及的领域包括:知识产权保护、信息安全、网络管理、网络服务、网络域名管理等方面,当然也还存在各种不足。5电子政务的安全目标
一是保护政务信息资源价值不受侵犯。
二是保证信息资产的拥有者(政务主体)面临最小的风险和获取最大的安全利益。
三是使政务的信息基础设施、信息应用服务和信息内容具有保密性、完整性、真实性、可用性和可控性的能力。
6.我国电子政务法律法规
与发达国家相比,我国电子政务发展起步较晚,其相应的立法还处于探索发展阶段,先后出台了一些与规范电子政务发展有关的法律法规。 根据这些法律法规与电子政务发展和建设的关系可归纳为4类:(1)计算机法,主要是有关计算机系统安全和保密的法律规范以及计算机软件保护法,如《计算机系统安全保护条例》、《计算机软件保护条例》等。
(2)互联网法,主要是针对国际互联网的接入、安全、设施、经营以及主管部门等事项做出规定,如《关于维护互联网安全的规定》、《互联网服务管理办法》、《中国互联网域名注册暂行规定》等。
(3)信息法,主要是有关政府信息化的法律和规章,如《北京市政务和公开服务信息化工程建设管理条例》等。
(4)政务公开法,主要是对政府有关业务流程和政策制定、执行及结果的公开,如《政府信息公开条例(草案)》、《行政许可法》、《政府采购信息公告管理办法》等。
总体上说,我国电子政务立法还处于“无纲领性立法、无确定立法规则、无有效的立法评价及监督机制”的三无状态,现有法律法规的法律效力层次低,规章占大多数,至今我国尚未出台关于电子政务的纲领性立法以及明确的立法规则,更不用说评价及监督机制。
7.电子政务的安全措施
先进的信息技术+完善的制度体系。
总的来说,电子政务安全措施的三个方面:
一是物理层的安全防护措施。主要通过制定物理层面的管理规范和措施来保证计算机网络设备、设施及数据信息免遭自然灾害、人为操作失误或错误、计算机犯罪行为导致的物理实体被破坏、服务中断、数据遗失。
二是技术措施。它是利用计算机网络产品和技术服务实现的,包括技术规范、技术方案、技术实施等内容。
三是管理措施。包括管理体系,管理制度和法律保障。
8.电子政务安全的风险分析
一是 物理风险—比如自然灾害,电力供应突然中断,静电、强磁场破坏硬件设备以及设备老化等引起的风险。
二是无意错误风险---是指由于人为或系统错误而影响信息的完整性、机密性和可用性。
三是有意破坏—指内部和外部人员有意通过物理手段破坏信息系统而影响信息的机密性、完整性、可用性和可控性。比如:有意破坏基础设施、扩散计算机病毒、电子欺骗等。
第四还有风险管理,它是指因为口令和密钥管理不当、制度遗漏,岗位、职责设置不全面等因素引起信息泄露、系统无序运行等。
随着知识产权在国际经济竞争中的作用日益上升,越来越多的国家都已经制定和实施了知识产权战略。面对国际上知识产权保护的发展趋势和中国在开放条件下面临的知识产权形势,中国必须加紧制定和实施知识产权战略保护国家的技术安全,促进国内的自主创新能力和限制跨国公司的知识产权滥用。
9.电子政务的基本原则
从电子政务的人员管理来看,需具备四项基本原则:
1、多人负责原则----每一项与安全有关的活动,都必须有两人或多人在场。
2、任期有限原则 ——任何人最好不要长期担任与安全有关的职务,以免使他认为这个职务是专有的或永久的。
3.是最小权限原则 ——每个人只负责一种事务,只有一种权限。
4、职责分离原则——在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情,除非系统主管领导批准。
互联网络出现以后,政府内部的“失窃”案件逐年增多,一个原因就是我们一些政府网站、电子政务系统的建设,在没有安全保障的前提下就仓促上网了。
感谢大家的参与。
衡阳电大蔡余生老师以及行政管理专业学员参与了本次讨论
用户登录