APP下载

“互联网+政务”信息安全评价探究

2017-03-10刘高明罗京亚

网络安全技术与应用 2017年9期
关键词:政务信息政务信息安全

◆刘高明 罗京亚

(长沙职业技术学院 湖南 410217)

“互联网+政务”信息安全评价探究

◆刘高明 罗京亚

(长沙职业技术学院 湖南 410217)

本文从“互联网+政务”信息安全的内涵、面临的风险、安全需求等方面入手,对“互联网+政务”信息安全的评价指标进行筛选,从信息安全评价这一角度对“互联网+政务”信息安全进行探究,为加强“互联网+政务”的信息安全提供参考,从而保障“互联网+政务”系统的正常运行。

互联网+;电子政务;信息安全评价

0 引言

从2015年李克强总理在两会工作报告中提出“互联网+”这一概念开始,“互联网+”在不少领域都得到应用。从第十二届全国人民代表大会上正式提出“互联网+政务服务”概念,到2016年4月26日《推进“互联网+政务服务”开展信息惠民试点的实施方案》(下称《实施方案》)正式发文,明确提出要加快推进“互联网+政务服务”[1],“互联网+政务”已经成为电子政务发展的新阶段,为政务服务带来新变革。

我国“互联网+政务服务”起步时间较短,目前仍有许多问题有待解决,例如信息安全问题。《实施方案》中也指出,推进过程中要采取必要的管理和技术手段,落实国家信息安全等级保护制度要求,完善身份认证和授权管理机制,加强数据安全管理,强化安全保障体系建设,切实保护国家信息安全及公民个人隐私。

对“互联网+政务”系统来说,解决信息安全的首要问题是要识别所面临的风险,明确安全需求,然后进行充分的分析与评价。只有采用正确的方法对“互联网+政务”信息安全进行全面评价,才能掌握“互联网+政务”系统的整体安全状况,有针对性的采取有效的安全措施,健全信息安全保障体系,保证“互联网+政务”系统的正常运行。

1 “互联网+政务”的信息安全

1.1 “互联网+政务”信息安全的内涵

只有对“互联网+政务”信息安全的内涵进行充分了解,才能更好地对其进行评价研究。目前学术界对信息安全尚无统一和公认的定义,具有代表性的定义主要是从两个角度出发:一是信息安全的层面,例如国内学者普遍认同的信息安全的层次模型——数据(信息)安全、运行(系统)安全、物理(实体)安全;二是信息安全的属性,例如国外学者认同“信息安全金三角”(CIA,Confidentiality-Integrity-Availability)——机密性、完整性、可用性[2]。

通过文献分析法对前人研究进行综合分析可以得出,“互联网+政务”信息安全包括物理(实体)安全、网络安全、应用安全、数据安全、运行安全、管理安全等方面,涉及到信息的机密性、完整性、可用性、可控性、真实性、不可抵赖性等属性。

1.2 “互联网+政务”面临的安全威胁

基于互联网的“互联网+政务”系统面临着来自互联网的各种威胁,相对于过去电子政务的专网模式风险更大[3]。对“互联网+政务”所面临的安全威胁进行分析,有助于构建合理有效的信息安全保障体系和评价机制。

“互联网+政务”面临的信息安全威胁来自各个方面,具体包括:①自然灾害(雷击、火灾、地震、洪水等);②环境干扰(温度不适宜、电压异常波动、电磁辐射干扰等);③系统故障(设备老化、零部件磨损等);④技术缺陷(因技术水平和能力的限制而造成的威胁,如操作系统漏洞等);⑤内部疏忽(内部管理制度不完善或工作人员操作失误、安全意识薄弱等导致的威胁);⑥内部攻击(“互联网+政务”内部人员对系统进行蓄意攻击,窃取信息或非法越权访问);⑦外部攻击(“互联网+政务”外部攻击者通过各种手段对系统发动攻击,破坏系统、窃取或篡改信息等)。

1.3 “互联网+政务”的信息安全需求

由于“互联网+政务”系统的主要目的是政府机构执行政府公职,涉及政府机密信息,“互联网+政务”对信息安全有着更高的要求。在“互联网+政务”系统建设和运行的过程中,除了需要应对来自互联网的攻击,还要考虑内部安全隐患。

具体来说,“互联网+政务”的安全需求包括:①政务信息的保密性(明确信息公开的范围和密级,确保信息在传输和使用过程中不被非授权获取或使用、非法泄露或扩散[4]);②政务信息的完整性(确保信息在存储和传输的过程中不被修改、破坏或丢失);③政务信息的真实性(保证接收方获得的信息是真实的,未被篡改);④政务信息的不可否认性(要求信息交换过程中所有参与者都不能否认所做过的操作和承诺);⑤政务信息的可用性(保证经过授权的用户可以顺利正常地访问和使用信息[5]);⑥政务信息的可控性(确保对政务信息的传播路径、范围及其内容有足够的管理和控制能力);⑦系统的可靠性(确保网络和信息系统随时可用,运行过程中不出现故障[6]);⑧设备安全(保证系统和网络设备实施的质量和安全以及设备备份等);⑨管理安全(包括健全的法律法规,完善的规章制度,专业可靠、具有安全意识的管理团队和操作人员等)。

2 “互联网+政务”信息安全评价指标

对“互联网+政务”的信息安全进行评价要从实际出发综合考虑所涉的多个方面。本文遵循评价指标的选取原则,在充分的文献调研和分析的基础上,从管理安全、物理安全、网络安全、数据安全、系统安全、应用安全这六个方面对“互联网+政务”的信息安全进行评价。

2.1 管理安全

管理安全是指“互联网+政务”信息安全相关的组织管理、人员管理、制度管理等管理举措,在整个信息安全保障过程中起到指导、规范的作用。具体指标包括:①有无专门的组织机构;②有无安全责任体系;③有无监督与检查措施;④有无负责安全的专职人员;⑤人员安全意识;⑥有无人员安全教育与培训;⑦决策人员素质;⑧人员技术保障能力;⑨有无应急响应预案;⑩有无安全管理规章制度。

2.2 物理安全

物理安全是指“互联网+政务”系统的机房、计算机设备及管理人员工作场所内外的环境条件必须满足安全要求。具体指标包括:①有无恒温恒湿设备;②有无不间断电源保障;③有无灾难保护设施;④有无设备防盗、防毁措施;⑤有无防电磁信息辐射泄露措施;⑥有无抗电磁干扰设备;⑦是否采用门禁控制系统;⑧有无摄像头在线监控;⑨有无电源保护;⑩有无应急灾难备份恢复。

2.3 网络安全

网络安全是指“互联网+政务”网络系统的硬件、软件、数据等安全,确保网络系统、服务正常运行。主要指标包括:①有无网络安全设计;②有无网络安全检测;③有无计算机病毒防范措施;④有无入侵检测与防御措施;⑤有无网络访问控制措施,⑥有无防火墙系统;⑦有无VPN技术及其应用;⑧有无应急灾难备份恢复;⑨有无网络审计与监控;⑩有无路由安全措施。

2.4 数据安全

数据安全是指要保证“互联网+政务”系统中的数据是安全的,不被截获、篡改、盗用,免遭破坏、丢失、泄露,包括数据传输安全和数据存储安全。主要指标包括:①有无数据加密措施;②有无数据完整性鉴别措施;③有无防抵赖措施;④有无身份认证措施;⑤有无数据存取控制措施;⑥有无数据库安全防护措施;⑦有无异地容灾措施;⑧有无数据存储备份恢复系统;⑨有无数据审计与监控。

2.5 系统安全

系统安全是指“互联网+政务”操作系统、数据库系统和主机系统的安全。主要指标包括:①有无病毒防范体系;②有无口令设置和权限配置;③系统安全检测;④系统实时入侵探测技术;⑤有无漏洞扫描和补丁分发系统;⑥有无系统审计与分析。

2.6 应用安全

应用安全是指“互联网+政务”应用系统和应用程序的安全。①有无应用系统安全设计;②有无网页防篡改系统;③有无访问控制措施;④有无追溯审计措施;⑤是否对应用代码进行安全管理;⑥有无电子邮件系统安全措施;⑦有无网络攻击防护措施;⑧有无应用系统容错容灾措施。

3 结语

“互联网+政务”涉及的是政府机密信息,对信息安全有着更高的要求。因此,全方位杜绝对“互联网+政务”的信息安全威胁,不仅要提高系统、网络的防范能力,加强数据存储和传输的安全性,还要从管理角度入手,建立健全规章制度,提高管理人员安全意识和能力。

本文从“互联网+政务”信息安全的内涵、面临的风险、安全需求等方面入手,对“互联网+政务”信息安全的评价指标进行筛选,从信息安全评价这一角度对“互联网+政务”信息安全进行探究,为加强“互联网+政务”的信息安全提供参考,从而保障“互联网+政务”系统的正常运行。

[1]周民,贾一苇.推进“互联网+政务服务”,创新政府服务与管理模式[J].电子政务,2016.

[2]雷万云.信息安全保卫战:企业信息安全建设策略与实践[M].北京:清华大学出版社,2013.

[3]信息安全技术基于互联网电子政务信息安全实施指南(GB/Z 24294-2009) [S].国家质量监督检验检疫总局, 2009.

[4]柏晶.我国电子政务信息安全体系研究[D].吉林大学,2007.

[5]唐一冰.电子政务信息安全的评价体系探究[J].电子测试,2015.

[6]任秀萍.信息安全中消息层次的讨论[J].科技情报开发与经济,2003.

2017 年度(上半年)长沙市哲学社会科学规划项目《长沙“互联网+政务服务”信息安全管理的问题与对策研究》,项目编号:2017csskkt33。

猜你喜欢

政务信息政务信息安全
山西省交通运输行业政务信息资源整合与共享开放的挑战与思考
信息安全专业人才培养探索与实践
保护信息安全要滴水不漏
政务云上看政情
关于陈某政务公开申请案的启示
高校信息安全防护
二维码让政务公开更直接
权力清单制度的施行对政务信息传播的影响
纵深推进 提质增效 推动国土政务信息公开迈上新台阶
内蒙古自治区国土资源厅政务信息网上公开连续3年获国土资源部省级测评前5位