信息服務安全
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇信息服務安全范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
信息服務安全范文第1篇
安全評估管理規定
第一條為規范開展互聯網新聞信息服務新技術新應用安全評估工作,維護國家安全和公共利益,保護公民、法人和其他組織的合法權益,根據《中華人民共和國網絡安全法》《互聯網新聞信息服務管理規定》,制定本規定。
第二條國家和省、自治區、直轄市互聯網信息辦公室組織開展互聯網新聞信息服務新技術新應用安全評估,適用本規定。
本規定所稱互聯網新聞信息服務新技術新應用(以下簡稱“新技術新應用”),是指用于提供互聯網新聞信息服務的創新性應用(包括功能及應用形式)及相關支撐技術。
本規定所稱互聯網新聞信息服務新技術新應用安全評估(以下簡稱“新技術新應用安全評估”),是指根據新技術新應用的新聞輿論屬性、社會動員能力及由此產生的信息內容安全風險確定評估等級,審查評價其信息安全管理制度和技術保障措施的活動。
第三條互聯網新聞信息服務提供者調整增設新技術新應用,應當建立健全信息安全管理制度和安全可控的技術保障措施,不得、傳播法律法規禁止的信息內容。
第四條國家互聯網信息辦公室負責全國新技術新應用安全評估工作。省、自治區、直轄市互聯網信息辦公室依據職責負責本行政區域內新技術新應用安全評估工作。
國家和省、自治區、直轄市互聯網信息辦公室可以委托第三方機構承擔新技術新應用安全評估的具體實施工作。
第五條鼓勵支持新技術新應用安全評估相關行業組織和專業機構加強自律,建立健全安全評估服務質量評議和信用、能力公示制度,促進行業規范發展。
第六條互聯網新聞信息服務提供者應當建立健全新技術新應用安全評估管理制度和保障制度,按照本規定要求自行組織開展安全評估,為國家和省、自治區、直轄市互聯網信息辦公室組織開展安全評估提供必要的配合,并及時完成整改。
第七條有下列情形之一的,互聯網新聞信息服務提供者應當自行組織開展新技術新應用安全評估,編制書面安全評估報告,并對評估結果負責:
(一)應用新技術、調整增設具有新聞輿論屬性或社會動員能力的應用功能的;
(二)新技術、新應用功能在用戶規模、功能屬性、技術實現方式、基礎資源配置等方面的改變導致新聞輿論屬性或社會動員能力發生重大變化的。
國家互聯網信息辦公室適時新技術新應用安全評估目錄,供互聯網新聞信息服務提供者自行組織開展安全評估參考。
第八條互聯網新聞信息服務提供者按照本規定第七條自行組織開展新技術新應用安全評估,發現存在安全風險的,應當及時整改,直至消除相關安全風險。
按照本規定第七條規定自行組織開展安全評估的,應當在應用新技術、調整增設應用功能前完成評估。
第九條互聯網新聞信息服務提供者按照本規定第八條自行組織開展新技術新應用安全評估后,應當自安全評估完成之日起10個工作日內報請國家或者省、自治區、直轄市互聯網信息辦公室組織開展安全評估。
第十條報請國家或者省、自治區、直轄市互聯網信息辦公室組織開展新技術新應用安全評估,報請主體為中央新聞單位或者中央新聞宣傳部門主管的單位的,由國家互聯網信息辦公室組織開展安全評估;報請主體為地方新聞單位或者地方新聞宣傳部門主管的單位的,由省、自治區、直轄市互聯網信息辦公室組織開展安全評估;報請主體為其他單位的,經所在地省、自治區、直轄市互聯網信息辦公室組織開展安全評估后,將評估材料及意見報國家互聯網信息辦公室審核后形成安全評估報告。
第十一條互聯網新聞信息服務提供者報請國家或者省、自治區、直轄市互聯網信息辦公室組織開展新技術新應用安全評估,應當提供下列材料,并對提供材料的真實性負責:
(一)服務方案(包括服務項目、服務方式、業務形式、服務范圍等);
(二)產品(服務)的主要功能和主要業務流程,系統組成(主要軟硬件系統的種類、品牌、版本、部署位置等概要介紹);
(三)產品(服務)配套的信息安全管理制度和技術保障措施;
(四)自行組織開展并完成的安全評估報告;
(五)其他開展安全評估所需的必要材料。
第十二條國家和省、自治區、直轄市互聯網信息辦公室應當自材料齊備之日起45個工作日內組織完成新技術新應用安全評估。
國家和省、自治區、直轄市互聯網信息辦公室可以采取書面確認、實地核查、網絡監測等方式對報請材料進行進一步核實,服務提供者應予配合。
國家和省、自治區、直轄市互聯網信息辦公室組織完成安全評估后,應自行或委托第三方機構編制形成安全評估報告。
第十三條新技術新應用安全評估報告載明的意見認為新技術新應用存在信息安全風險隱患,未能配套必要的安全保障措施手段的,互聯網新聞信息服務提供者應當及時進行整改,直至符合法律法規規章等相關規定和國家強制性標準相關要求。在整改完成前,擬調整增設的新技術新應用不得用于提供互聯網新聞信息服務。
服務提供者拒絕整改,或整改后未達法律法規規章等相關規定和國家強制性標準相關要求,而導致不再符合許可條件的,由國家和省、自治區、直轄市互聯網信息辦公室依據《互聯網新聞信息服務管理規定》第二十三條的規定,責令服務提供者限期改正;逾期仍不符合許可條件的,暫停新聞信息更新;《互聯網新聞信息服務許可證》有效期屆滿仍不符合許可條件的,不予換發許可證。
第十四條組織開展新技術新應用安全評估的相關單位和人員應當對在履行職責中知悉的國家秘密、商業秘密和個人信息嚴格保密,不得泄露、出售或者非法向他人提供。
第十五條國家和省、自治區、直轄市互聯網信息辦公室應當建立主動監測管理制度,對新技術新應用加強監測巡查,強化信息安全風險管理,督導企業主體責任落實。
第十六條互聯網新聞信息服務提供者未按照本規定進行安全評估,違反《互聯網新聞信息服務管理規定》的,由國家和地方互聯網信息辦公室依法予以處罰。
信息服務安全范文第2篇
在檔案信息服務中保護隱私權的意義不僅僅在于維護當事人的合法權益,而且在于為檔案事業的發展營造良好的社會氛圍,推動檔案信息化進程,促進檔案社會價值的發揮。
(一)個人資料收集中的隱私權問題
檔案是一種重要的原始信息,且具有保密性。其中包括公民的一些重要的個人信息,大多數鮮為人知。雖然檔案法對保密檔案的管理和利用、密級的變更和解密都作了嚴格的規定,同時制定了檔案的開放期限,但其法律相對方主要是機關、團體、企事業單位,對于個人重要檔案信息沒有給予明確的說明。事實上,在檔案所有人向檔案館移交、捐贈、寄存或檔案館自行收集關于公民的檔案之初,就應妥善處理好隱私權問題。
隱私權保護問題在傳統的個人資料收集過程中并不太引人注目,但在網絡化的今天,檔案館通過網絡收集個人資料變得快捷化、自動化、詳細化,隱私權問題相對也就更加突出。比如,檔案網站在接受訪問時往往要求用戶提供若干個人資料,包括年齡、性別、身份證號、職業、收入、工作單位、研究方向、聯系電話、傳真、電子信箱等;檔案網站可以利用一些追蹤軟件來持續掌握用戶的網上行為,判斷他們的檔案信息消費特點。
檔案網站采用先進的技術手段收集個人資料并非出于惡意,目的是通過對個人資料的分析與挖掘,找出可能連用戶自己都沒有意識到的檔案信息消費習慣或消費需求,改進服務工作,這是網絡環境中檔案信息服務和信息產品開發“量身定制”的個性化、多樣化的要求。但是,檔案網站在用戶毫不知情或無可奈何的情況下(例如有的網站拒絕為不提供個人資料的用戶服務)收集個人資料,就會侵犯用戶對其個人資料的占有權和支配權。
(二)個人資料傳輸和貯存中的隱私權問題
檔案信息傳輸和貯存過程中所涉及的隱私權問題,主要出現在檔案信息網絡化過程中。
網絡本身的安全性并不十分可靠,這是檔案信息網絡化服務中可能產生隱私權問題的又一個原因。由于技術的不完善,第三方(如“黑客”等)對當事人隱私權的侵犯既可以發生在檔案館與用戶通過網絡傳送個人資料或不同的檔案網站之間共享個人資料的某個環節,也可以發生在檔案網站貯存個人資料的過程中。比如,第三方可以直接侵入檔案網站的用戶數據庫,觀看、篡改、傳播個人資料,如果這種行為是出于惡意,那么當事人的隱私權無疑將受到極大的威脅。
(三)個人資料利用中的隱私權問題
不恰當地利用個人資料是檔案信息服務中可能產生隱私權問題的第三個原因。
檔案利用與隱私權保護之間存在著矛盾,檔案利用必然涉及到公民的隱私權保護問題。如果涉及隱私的檔案被自由利用,就可能導致政治與經濟活動的混亂,使社會公民產生生活危機感,給社會的安寧團結帶來不利因素。因此,如何認識和正確處理好檔案利用與保護公民隱私權問題,是檔案利用工作在改革開放過程中的一個重要課題。由于這種侵權往往涉及到檔案館的管理職能及檔案館對個人資料的常規使用,所以控制和防止此種侵權的困難較大。
由于各種原因,目前在檔案開放利用工作中公民的隱私權得不到應得的保護甚至被人們所忽視,這無疑給檔案信息服務工作帶來了一定隱患。在目前我國隱私權的觀念尚未深入人心,在人們普遍缺乏隱私權保護意識的情況下,檔案部門在開放利用中忽視隱私權保護的行為還能被社會所容忍。但伴隨著我國法制化建設的進程,公民隱私權意識的加強,檔案部門在實際工作中如不能很好地貫徹法律的規定,忽視了對公民隱私權的保護,那么將會在很大程度上影響檔案信息服務工作的開展。
二、檔案信息服務中保護隱私權的對策
要使得公民的隱私權在檔案信息服務過程中得到保護,必須走依法治檔的道路,進行相關方面的檔案法律建設。目前我國《檔案法》中沒有明確規定檔案信息所涉及的隱私權問題,僅在部分條款中作有類似說明。
在檔案信息服務過程中,檔案利用是涉及隱私權的一個關鍵環節,在利用時應區別對待,通過控制使用這些涉及私人權益的檔案,限制其利用范圍,使隱私權受到必要的保護,做到合法利用。
做好檔案信息服務中的隱私權保護,檔案界和檔案館還應采取以下對策:
(一)制定檔案行業的隱私權保護政策
1997年9月27日,國家檔案局、國家保密局聯合頒發了《各級國家檔案館館藏檔案解密和劃分控制使用范圍的暫行規定》。該文件對于有效預防在檔案開放利用工作中發生對個人隱私的侵權,起到非常重要的作用。
(二)加強對個人檔案隱私權的管理與技術保護
1.在檔案管理中采取措施
這是合法利用檔案信息的前提條件,要求對涉及公民隱私權的檔案進行鑒定與區分,使之與一般檔案區別對待,分開保管,做到有關檔案的完整、安全和保密。目前,檔案法規對涉及公民隱私權檔案的劃分并不十分明確,在實際工作中不易操作,這種狀況亟待改善。
2.網絡化過程中的保護手段
相對于傳統的紙質檔案而言,在檔案信息網絡化過程中,可以采取的技術保護手段可謂多種多樣。現在已經有了Cookies軟件管理工具、個人隱私偏好平臺(P3P)、加密軟件、自動刪除個人資料軟件等由用戶自己保護個人資料的技術。檔案網站保護個人資料的技術也有很多種,比如:檔案館為了禁止未獲授權的人截取或查閱個人資料,可以通過設置本網站運行的服務器,自動使電子郵件傳輸到一個預先指定的服務器目錄機密郵箱,只供獲得授權的人查閱。
(三)提高檔案館保護隱私權的自律性
“自律”是檔案館保護隱私權的一條重要原則,即通過檔案館采取自律措施來規范自己在個人資料收集、存貯、傳輸利用中的行為,達到保護隱私權的目的。
1.檔案館應開展檔案開放利用的鑒定工作
組織鑒定小組及時鑒定需要開放利用的檔案,著重分析檔案涉及隱私的內容和本館檔案的類型,從而確定哪些檔案涉及個人隱私,屬于控制范圍。對個人資料的重要程度劃分等級,以決定采取不同的保護措施。檔案館還要建立一些規章制度,避免使所有的檔案館人員都能接觸到敏感的個人資料(如出身、種族、政治傾向、、犯罪記錄等),確保只有經過批準的檔案館人員才能收集、查閱、傳播這些個人資料。對于已到開放期的檔案,要嚴格按照《各級國家檔案館開放檔案辦法》、《各級國家檔案館館藏檔案解密和劃分控制使用范圍的暫行規定》中的相關規定,對擬開放檔案組織認真鑒定,以決定包含個人資料的檔案的開放時間、開放方式和范圍。
2.檔案工作者要注意保護他人隱私
信息服務安全范文第3篇
【Key words】Cloud computing; Digital library; Information resources; Security policy
0 引言
圖書館擁有大量的紙質資料、電子資源、文獻資料和多媒體資源等,充分利用圖書館的這些資源盡可能發揮出最大的利用價值。隨著當今時代計算機和網絡技術的快速發展,傳統的圖書館服務模式難以跟上步伐,基于云計算的數字圖書館應用而生,這種全新的服務模式可以將圖書館中分散的數字信息進行有效的整合、調度和分配,為用戶提供最便捷的使用方式,可以最大程度的滿足用戶的需求。但于互聯網本身潛在的安全隱患、黑客的惡意攻擊和病毒的傳播等,使得數字圖書館資源安全面臨風險。建立切實可信的信息安全策略和手段,使數字圖書館系統工作能夠穩定有序的進行。
1 云計算
云計算是將分布式處理、并行處理、虛擬化和網格計算以及互聯網相結合的一種先進的資源服務模式,它將計算工作分布在多個的服務器構成的資源池上,使用戶能夠按所需獲取計算能力、存儲空間和信息服務。一般由存儲與計算機服務器、寬帶資源等大型服務器的集群,通過專門的軟件進行自動管理,同時也可以進行自我的維護,無需人工參與。云計算中,軟件和硬件可以成為資源而提供給用戶使用,用戶可以動態申請所需資源,云計算對軟件和硬件資源可以進行很好的分配,用戶能夠更加專注自己的業務,提高工作效率和降低成本。由于云計算具備動態擴展、伸縮特性,隨著用戶的不斷增長,云計算可以根據不斷對系統進行擴展。此外,云計算的物理資源利用率高,使得其運行管理成本大幅度降低,使其在數字圖書館構建中擁有非常好的性能價格比。云計算的層次架構可分為三層,其結構層次及提供服務如下圖1所示:
云計算的主要特點有:(1)穩定性:具備良好的容錯能力,當某個節點發生故障時,云計算平臺能快速找到故障并恢復;(2)高擴展性:云計算平臺具有高擴展性和靈活的彈性,能夠動態地滿足用戶規模的增長和需要;(3)虛擬化:云計算通過虛擬化技術將分布式的物理和數字資源進行虛擬化,統一存放在數據中心,用戶可以在任何地方使用終端來獲取服務;(4)通用性:云計算環境下可以構造出各種功能的應用,滿意用戶的大部分需求(5)成本低廉:云平臺的特殊容錯機制可以采用極其廉價物理資源,資源成本低。且具有強大的軟硬件資源,并有專業的維護團隊,維護成本大大降低。
2 數字圖書館的特點
數字圖書館是采用高新數字技術處理和存儲紙質圖書、電子文獻、多媒體資料等的圖書館。它把各個不同區域、不同形式的信息資源通過數字技術存儲,以便于跨區域的傳播和服務用戶,它涉及信息資源加工、存儲、檢索、傳輸和利用的全過程。數字圖書館改變了傳統圖書館的服務模式,擴大了信息處理的數字化服務平臺,體現了高科技在圖書館管理工作中的重要性,使圖書館管理工作能安全智能的運作。數字圖書館具有智能化、信息化、一體化等特點。近年來,云計算技術在數字圖書館的建設中得到大力推廣,提高了圖書館數據庫的可用性,實現了信息安全系統的多功能改造。
數字圖書館的主要特點有:(1)占用空間小且易保存:將重要紙質資料存放在磁盤或硬盤中,所占用的物理資源相對較少,同時通過計算機設備查閱,避免了翻閱過多和保存過久而損壞;(2)檢索快捷:采用了高科技的數字圖書館能提供一站式服務,用戶通過統一的界面操作就能夠快速地查詢到自己所需的信息;(3)資源共享:數字圖書館的信息資源可以一份供多人共享,且不受地理位置和時間的限制,實現了資源共享,提高了資源利用率;(4)資源定制能力增強:數字圖書館成為信息資源主體和客體,更具個性化定制能力;(5)動態集成性:數字圖書館利用各種技術對各種信息進行整合,使各種異構資源形成一個有機整體。
3 云計算環境下數字圖書館存在的安全隱患
基于云計算的數字圖書館是虛擬的,是在網絡環境下超大規模的、分布式的、可以實現跨庫鏈接的知識檢索中心。面對復雜的網絡環境和越來越多的黑客,云計算環境下的數字圖書館存在一些安全風險問題,它主要體現在以下幾個方面:
(1)用戶認證的安全:數字圖書館采用了數字化技術、虛擬化分布式技術技術等,系統管理員個人技能水平有限會造成系統數據的泄露和損壞。同時由于系統管理員有權限對數字圖書館云服務平臺進行操作,可以蓄意泄露或破壞信息資源。(2)數據的安全:在云計算環境下的數字圖書館系統中,信息資源都處于共享狀態,在傳輸和存儲過程中即使采用了數據加密方案,也無法確保做到萬無一失。同時在很多情況下數據加密方法并不是有效的,且加密后會降低系統的效率。(3)系統的安全:數字圖書館云服務平臺上系統安全漏洞和應用軟件的安全性不足都是潛在的安全隱患。隨著圖書館典藏規模的不斷壯大和用戶數量的不斷增加,圖書館內檢索終端、服務器節點、監控設備數量持續增長,系統處理數據速率降低,數據處理過程易受到限制,這些都會降低圖書館云服務平臺的服務效率。
4 云計算環境下的安全策略
基于以上提出的數字圖書館云平臺存在的安全問題,可以采用一些安全可信的技術手段,確保數字圖書館云平臺正常提供服務的同時,還能最大程度的保障圖書館信息資源的完整性、一致性和保密性。本次對于數字圖書館云平臺的安全問題主要從應用層安全、數據安全和網絡層安全三個方面進行設計。
4.1 應用層安全
應用層是提供用戶交互和各個應用軟件服務的接口,應用層是保障數字圖書館云平臺能夠高效、快速和穩定的服務。該層是數字圖書館云服務平臺的入口,采用web形式向用戶提供提供統一的服務界面。在數字圖書館云服務平臺中,影響到應用層安全的主要因素有超級管理員的權限、一般管理員、圖書館管理員和普通用戶等幾個方面,所有用戶登錄到數字圖書館云服務平臺都需要通過身份驗證才能對數據庫的進行操作。本次設計的數字圖書館云服務平臺對于用戶的權限也進行了劃分,如表1所示:
超級管理員具有最高權限,能對任何用戶進行增刪改。以外,要確保管理員操作和維護的安全性,也就要確保數字圖書館云服務平臺的安全。這就要求管理人員要具備相應的專業技能外和良好的職業素質。
4.2 數據安全
數據的安全是數字圖書館云服務平臺最重要的內容,但是考慮到系統自身的漏洞和應用軟件的漏洞會使數字的安全遭到威脅,目前最佳的解決方案是利用云計算的分布式特點,將圖書館的個人數據和其他用戶的數據隔離開來,同時對一些機密敏感的體,服務模式發展呈現多樣化。由于自身的學數據進行加密存儲。考慮到數據以靜態和動態并存的方式存在,對于信息的加密應從傳輸和存儲兩個方面來加密重要數據。在傳輸數據時,設計采用 ESA非對稱加密算法進行加密,保證了傳輸信息的安全性。對于存儲的靜態信息的加密是一個復雜的過程,主要作用就是防止重要數據丟失,即使黑客通過非法的手段得到加密后的數據,也不能獲得原數據。另外,云計算會是比較復雜的平臺,即容易發生無法預估的系統運行故障和數據丟失情況,我們必須定期做好數據的備份和恢復工作,最大程度地確保系統穩定的運行。
4.3 網絡層安全
由于數字圖書館云服務平臺是完全在互聯網環境下運行的,如果在系統和外部傳輸數據時采用傳統的HTTP傳輸方式,系統端口就很容易遭網絡攻擊,從而造成圖書館數據資源泄露,應用層的安全也就難以得到保障。針對上述情況,可以采用超文本傳輸協議HTTPS 進行傳輸,對于數字圖書館云服務平臺和外部鏈接的一些端口,通過安全域把虛擬機組合到一起,通過云計算平臺的端口過濾功能限制用戶對域的訪問。數字圖書館云服務平臺的網絡安全架構如圖2所示:
信息服務安全范文第4篇
【關鍵詞】電子政務;信息安全;策略
一般來說,電子政務是政府機構為了適應經濟全球化和信息網絡化的需要,應用現代信息技術,將政務處理、政府管理、政府服務等各項職能通過網絡實現有機結合,并通過流程優化創新,實現提高政府管理效能,降低管理成本,改進政府服務水平,以適應信息化時代需要的現代政府公共管理實務中關于政務信息和管理的平臺。為了打造服務型政務,實現政務公開,接受各方面的監督,必然要求在政務管理中推行電子政務,達到最大限度降低政府運作成本,提高了政府行政效率。
電子政務推行過程中的信息安全問題是政務運行的中心問題。這里的信息安全主要是指各類政務信息不得遭受偶然和惡意原因而受到破壞、更改、泄露。信息安全要求嚴格保護政務系統中信息網絡的硬件、軟件及其系統中的數據,切實做到系統連續、穩定、可靠正常地運行。
在當前信息技術飛速發展,各類黑客等破解軟件系統的技術層出不窮,各級政府和商務網站收到攻擊并導致癱瘓的事件時有發生,政務系統中的信息安全問題越來越尖銳,信息保護和防范的要求也越來越高。信息安全問題直接關系到政務信息及時和有效共享、政令暢通等,有些甚至更深層次地關系到國家的信息安全與穩定。
一、我國電子政務信息安全存在的問題
電子政務是一種全新的基于網絡技術的綜合性政府管理方式,其系統運行中的信息安全問題主要表現為管理和技術兩個方面。電子政務運行過程中信息的技術問題是根本性問題,管理問題是基礎和保障方面的問題,二者共同作用于電子政務平臺的建設和發展。
1、管理方面問題
電子政務是利用先進的信息技術作為工具,幫助政府更好地履行管理職能。就具體運行過程看來,政府電子政務信息管理存在的問題主要包括以下幾個方面:
(1)信息安全意思薄弱。電子政務在我國發展的起點低,很多政府工作人員對電子政務沒科學、正確的認識,不適應信息化辦公的要求。很多人將網絡用于學習、工作和娛樂等,無暇顧及網絡信息的安全性,安全意識薄弱。
(2)規范化信息安全管理制度嚴重缺乏。一直以來,各級政府為了保證信息安全,各級政府在電子政務的信息安全方面只從技術方面上采取了保障措施,嚴重缺乏規范的管理體制的建設。電子政務的信息安全要求制定并落實安全責任制,并且配備相應的完備的信息安全管理和認證機制等。而我國目前的電子政務系統在信息安全管理方面缺乏統一協調性,對故障定位不夠準確,對安全責任的追查更加困難,一旦造成信息泄露的安全事故就無法應對。
(3)信息安全立法滯后。發達國家的經驗表明,政府電子政務的快速發展必須要有健全的法制保障。當前,我國與電子政務相關的信息安全方面的相關法律法規非常欠缺。在全球范圍內縱橫交錯的信息網絡中,考慮到國內的電子政務系統與國際互聯網直接連接,各種信息安全問題都會發生,即使有全面的技術規范,也難以避免各種不法侵害。當前,我國在電子政務信息安全方面立法滯后,也非常不完備,急需一些保障電子政務信息安全的配套的法律法規,以推動電子政務的普及,減少各類造成電子政務信息信息安全問題的障礙。
2、技術方面
電子政務發展的實踐表明,技術是電子政務發展的最關鍵而又受到制約的重要因素。在電子中,盡管有著 “三分技術、七分管理”的說法,但是沒有先進的技術做支撐,管理問題無從談起,沒有技術就更無從談其發展問題。一旦技術出了問題,電子政務的發展就會面臨重大困難。當前,電子政務的技術方面的問題主要表現在以下幾個方面。
(1)不成熟的網絡技術導致安全隱患。政府運用電子政務進行網絡化辦公,必然導致政府工作對網絡具有很強的依賴性,這些依賴性必然產生脆弱性,包括技術的脆弱性、社會的脆弱性、人的脆弱性等等。這些脆弱性更多是由于網絡技術不成熟,加上網絡設置不科學導致的。網絡技術自身不成熟,加上電子政務系統采用的網絡設置不夠科學,在信息安全技術方面存在很多安全弱點或隱患,例如,網絡硬件設備的弱點、操作平臺的弱點等各種安全問題。這些安全弱點迫切需要我們努力利用先進的網絡技術來消除這些威脅。
(2)網絡安全規劃不到位導致網絡結構的不合理性。由于信息技術發展過快,政府電子政務網絡建設經常缺乏資金,加上網絡建設規劃缺少安全設計,更缺少前瞻性的系統規劃。在電子政務的具體運行中,由于多個瓶頸限制網絡流量,缺乏統一規劃的IP 地址,更嚴重的是子網故障隔離性差,重要政務信息因流量缺乏,缺少服務質量保證等系列問題。在處理信息安全問題過程,不能立即收到應有的效果,只能修修補補的解決。
(3)未掌握關鍵核心技術,基礎信息網絡和重要信息系統存在安全隱患。我國對發達國家信息設備和信息技術存在很強的依賴性,信息化核心設備嚴重依賴國外,對引進的技術和設備缺乏必要的信息管理和技術改造。尤其是在系統安全和安全協議的研究和應用方面與發達國家的差距很大。目前組成我國電子政務網絡的計算機網絡系統所用各種硬件、軟件、網絡設備、服務器等基本上都是國外公司的產品,完全具有自主知識產權的產品基本沒有。這些因素使我國的電子政務網絡安全性能大大降低,使我國的經濟和社會發展面臨著重大風險。
二、政府電子政務信息安全管理工作的具體要求
電子政務在技術和管理上對信息安全提出了較高要求,具體而言,要求政府在電子政務信息安全管理方面,具體做好以下幾點工作。
1、在政府機關內部加強電子政務信息安全和保密工程項目審批、監督和管理
政府部門在實施重大電子中由相關保密主管部門嚴格執行電子政務信息管理的安全和保密工作,具體包括使用登記后認可的專用密碼,密碼管理必須征求主管部門的審批和授權;涉及國家秘密的電子政務系統,接受有關主管部門的保密檢查和信息安全檢查。若發生重大問題,如泄密、遭到入侵、受到病毒攻擊等,必須向有關主管部門報告。
2、遵守國家有關信息安全的技術標準和管理規范
相關信息安全技術、設備和應用系統的使用必須經過嚴格認證和測評,信息安全方案必須和國家總體方案和確定的技術標準相融合。
3、從事電子政務應用系統研發的單位,必須具有資質認證
對于開發涉及國家秘密的電子政務系統,還應具有國家保密主管部門頒發的特殊資質認證。
4、建立嚴格的內部電子政務系統運行管理制度
電子政務系統涉及的計算機設備的維護、電子政務信息和與數據有關的網絡管理等必須符合國家有關主管部門的管理制度。關于電子政務信息處理設備的采購、運行、維修、報廢、銷毀等管理工作,必須按該設備所處理的電子政務信息的密級,并遵循最高密級的原則實施管理。對外托管等必須得到國家有關主管部門的審批,符合國家有關主管部門的安全、保密管理要求。
三、電子政務信息安全的應對策略
針對電子政務在管理和技術兩方面問題,切實保障電子政務的信息安全,促進電子政務健康發展,結合政府在電子政務實際運行過程和信息安全管理中的問題,可采取以下策略。
1、建立功能完善的電子政務網絡安全體系
建立功能完善的電子政務網絡安全體系,首先要建立有完善的安全管理保障體系,穩固的基礎安全服務設施;其次,還必須要有強大的科學合理的安全技術響應與恢復機制與安全技術支撐平臺,這些安全技術的實現可以通過設置網絡域訪問控制,設置身份識別/認證機制,設置內部網的Internet訪問策略,通訊加密,防病毒設置等等。
2、完善和規范信息安全的體制機制
通過明確責任、強化制度約束和規范從業人員的操作規范等形式,建立嚴格的、可操作性強的安全管理制度,在政府電子政務網絡系統內部建立體系化的安全防御策略,另外加強工作人員的安全意識、信息素養和業務培訓,保證安全管理制度的良好貫徹和執行。
3、加強網絡核心技術研發,培養電子政務專業人才
當前,我國電子政務的信息設備和技術對發達國家的依賴性較強,為了提高電子政務系統的安全,必須組成核心攻堅團隊,成立專門的電子政務網絡系統的技術研發機構,及時解決各種信息安全問題。另外,還急需培養大批的電子政務專業人才,從事電子政務系統安全的診斷、預防和處理。
4、實施電子政務系統的風險評估和等級保護制度
針對電子政務系統的信息安全問題,必須營造縱深防御的安全保護環境,切合實際的開展電子政務信息系統安全風險評估,加強安全等級保護,有針對性的采取一整套切實有效的應對措施來保障電子政務信息系統的安全。
四、結語
電子政務信息安全的保障是一項關系多領域的綜合工程,管理和技術兩個層面是最根本的要達到絕對的安全是不可能的,應該從實際出發,從綜合的角度出發,根據具體問題采取切實有效的措施,將電子政務信息安全隱患會降到最低。
信息服務安全范文第5篇
亨達公司已取得了國家信息安全測評中心信息安全服務二級(全國最高等級)、注冊信息安全專業培訓(CISP)授權機構、國家信息安全認證中心信息安全集成二級、應急服務二級、風險評估二級、公安部等級保護測評、工業和信息化部通信信息網絡系統集成甲級、計算機網絡系統集成三級、國家計算機應急技術協調處理中心(CNCERT/CC)信息安全服務技術支撐單位以及貴陽市國家保密局信息設備維修等一系列完善的通信與網絡信息安全專業服務資質,通過了ISO9001:2008質量管理體系認證、ISO14001:2004環境管理體系認證和OHSAS18001:2007職業健康安全管理體系認證。
亨達集團先后被評為 “貴州省通信行業協會副理事長單位”、“貴州省通信體育協會副主席單位”,連續五年被省工商行政管理局評為“重信用、守合同”單位,并獲得“全國十佳誠信單位”稱號。目前已建成了集網絡信息安全監控、網絡攻防演練、信息安全培訓、軟件開發以及信息安全產品測評認證于一體的信息化綜合服務保障平臺。
亨達集團自2011年底取得等級保護測評資質以來,配合貴州省公安廳推進信息系統等級保護測評工作,開展了近百家單位共計500多個信息系統的安全等級保護測評,包括貴州省財政廳、貴州省統計局、貴州省交通廳、中國工商銀行貴州分行、中國建設銀行貴州分行、貴陽銀行、貴陽海關、貴州省農村商業銀行、遵義商行、貴州省人民醫院、貴州省腫瘤醫院、貴陽醫學院等各大單位重要信息系統。
基于亨達集團作為貴州省優秀通信建設與網絡信息安全服務企業,長期以來,一直與貴州省通信管理局保持著密切的合作與良好的溝通。公司自2009年起即已被國家計算機應急技術協調處理中心和省通信管理局確立為大區級技術支撐單位。
