电子政务的安全管理
- 格式:doc
- 大小:14.50 KB
- 文档页数:5
电子政务的安全管理
电子政务中的安全管理,应该分为两个层次:一个层次是从国家强制角度的安全管理,这就是立法和制定相关的技术标准,由执法机关来监督实施;另一个层次是应用系统使用单位自身的管理。从整体上看,应该在以下的几个方面考虑电子政务的安全管理:一、电子政务体系中各层面上的安全管理;
二、电子政务系统中维护的安全管理;
三、证书中心的安全管理;四、安全技术与产品的安全管理。
认证中心的安全管理问题
电子政务活动中,传统白纸黑字的认证方式已不存在,网上的身份认证是必需的。证书中心的安全管理是整个电子政务系统安全的关键环节。
证书中心的任务是要解决以下的问题:1.身份认证服务。为进行电子政务业务的实体定义惟一的电子身份标识,并通过该标识进行身份认证,保证身份的真实性。2.数据完整性服务。保证收发双方数据的一致性,防止信息被非授权修改。3.不可否认服务。为第三方验证信息源的真实性和信息的完整性提供证据,它有助于责任机制的建立,为解决电子政务中的争议提供法律证据。
所以证书中心本身的安全,是电子政务乃至所有网上活动安全的关键环节。必须解决证书中心应该由谁来建,怎样建,谁来管理的问题。因此,应该从立法的角度对证书中心的建设与运管及责任与义务作出规定。证书中心建设的立项和审批必须通过公安信息网络安全监察部门,未得到公安部门安全许可的单位不得建立这样的认证中心。
证书中心所采用的技术,目前来说已经不是问题,但采取什么样的技术,采用谁的技术这是个问题。证书中心必须建立在我们自己的技术平台上,这是一个关系到国家主权和安全的问题,也应该从立法的角度予以明确。
证书中心的安全管理是极为重要的,否则安全就得不到保障。应该由公安部门对证书中心进行严格的日常监管,必须有严格的人员审查机制和日常的管理机制。
维护中的安全管理问题
电子政务中的应用开发、系统运行、日常维护、重要设备维护等大都涉及信息安全,“电子政务信息安全管理的核心要素是高素质的人和技术队伍”。
电子政务的大力加强,必然导致系统维护工作量的大大增加,但是目前的公务员队伍只有极少数的人具有一定的计算机技术知识,有相当多的人不懂计算机,这是目前政府实现电子政务中极为突出的矛盾。另外,从事业的发展角度来看,这些维护性工作全由政府部门自己包起来的做法也不妥当。一方面政府会增
大开资,而另一方面,一个单独的政府部门也难以在某一领域内进行深入的研究,所以也不能更好地使电子政务事业得到发展。而专业的维护公司,可根据自身的经济与技术实力,加大研究的力度,可以更好地为电子政务系统服务,也会为政府节约相当大的开支。但这样就会产生一个矛盾,即维护外包与信息安全之间的矛盾。
从政府的某一个部门,很难解决这样的矛盾,但可以从行政法规进行某种规定,从立法的角度来解决这一问题。对这种从事所谓“电子物业”的公司进行相关的管理。从事这类服务的公司或其他单位应该具有以下的条件:有较强的经济技术实力;内部有较好的管理机制;所有的员工均在接受由公安部门进行的安全培训并在公安部门备案;由公安、服务委托方(政府的某部门)和受托公司签安全保密协议;受托方公司的每一员工也要签相关的安全保密协议,知道自己应该承担的义务;公安部门对受托公司委约的不定期的检查;制定相应的罚则。
安全产品的安全管理问题
计算机信息系统安全专用产品,是实现计算机信息系统安全的技术保证,电子政务系统的建设也离不开安全产品的使用,对安全产品的管理应该在目前的水平上进行加强。
1.安全产品选择的管理
安全产品同其他计算机产品一样,也存在着安全漏洞、后门、隐蔽信道等问题,所以在安全产品选择和采购等方面要进行
管理。应该有明确的规定,安全专用产品的采购除了必须符合国家各方面的相关规定,如公安部的许可证,国家保密局对涉及国家秘密网络使用安全产品的规定等外,还必须选择有我国自主知识产权的安全产品。
2.经销环节的管理
安全产品不同于网络产品或其他计算机产品,服务是非常重要的。安全体系建设应该是个性化的,要根据用户的“应用”来制定完全个性的安全策略,并构建安全体系。对于相同的行业用户,即使是有相同的“应用”,也要考虑采取不同的安全策略。现在有一种做法,许多行业和部门,为了降低费用,往往采取从上至下选择同一种安全产品。这实际上存在着一种弊端,行业外的用户攻击我们可能会有较好的防护,但在行业内,掌握相同安全策略的人在不同的部门中会有很多。就会出现,多个防盗门用的是同样的锁、同样的钥匙,而这样的钥匙且掌握在多个人手中。
这种根据“应用”来制定安全策略的方针,实际上是建立在风险分析基础上的。不同的网络应用对风险所造成后果的容忍程度是不一样的,应该基于风险分析得出的结论来制定一个合理的安全策略。寻找风险与安全投入的一个最佳的平衡点,也就是说这种策略的制定应该是合理的。不合理的安全策略,不仅浪费了投资,同时也会造成安全隐患。
后期服务与升级。安全产品的售后服务是十分重要的,对一般的计算机产品可能有备机、备份的数据、备份的系统,就可以完成一般的灾难恢复。但是,对于安全产品的后期服务来说,就不能靠单纯的备机来实现,除非是硬件损坏。如果出现如黑客攻击造成的灾害时,安全策略的重新制定就是必需的.