时间:2023-04-12 15:22:00
本文通过电子政务的表现形式,阐述了电子政务的核心与本质的内容,并在研究、分析影响电子政务建设的信息全等因素的基础上,阐述了如何通过信息安全等级保护制度的实施及其过程中必须遵循的一些原则,按阶段、分级别提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展。
论文关键词:等级保护;信息安全;电子政务
0引言
当代信息技术和互联网技术的迅猛发展,使得电子政务成为信息化建设最重要的领域之一。电子政务是借助信息技术和通信技术,将的管理和服务职能进行集成,实现组织结构和工作流程的优化重组,向社会提供优质和全方位的、规范而透明的政务活动。其目的是提高办公效率,增强的透明度、改进政策的质量和决策的科学性,建立良好的各部门之间、与企业之间以及与公民之间的关系,提高公共服务的质量,赢得广泛的社会参与。电子政务实质上是利用信息技术和其他相关技术对现有形态的一种改造,以便构造更适合信息时代的结构和运行方式。一个信息化的已经成为一个国家或地区的竞争力要素。
电子政务是以核心业务流为主线的,其最核心、最本质的内容是用现代信息技术支持以最有效的方式完成其业务活动,履行其职责,实行其法定功能,即实行各种支持核心业务的业务应用系统。一般而言,电子政务的内容主要包括三个方面:一是部门内部的网络化办公;二是部门之间通过网络而进行的信息交换;三是部门通过网络与民众之间进行的信息交流。电子政务是管理模式的革命,由于它的方便性和快捷性,电子政务在实际工作中发挥着越来越重要的作用。
电子政务是我们国家信息化建设的重点,而随着电子政务建设的推进,信息安全问题显得越来越重要。电子政务作为信息化建设的一个特殊应用领域,其信息安全关系到国家安全、经济发展、社会稳定和公众利益。电子政务的实施意味着有相当多的重要信息在网络上流转,其中不乏高机密性的数据、直接涉及到的核心机密,如果这些信息的安全得不到保障,将对国家利益带来严重威胁,因此信息安全是制约电子政务发展的核心问题之一。
引发信息安全的因素有多种,如技术不过关、管理跟不上、缺乏信息安全意识、信息安全人才不够、法律法规不健全等等,其中管理不善引发的信息安全问题占八成以上,所以说信息安全问题七分在管理,三分在技术。信息安全保障的主要是保证信息的完整性、机密性、可用性、合法性、可控性和不可否认性,保护信息系统本身的业务连续性不受破坏和影响,保护网络和信息系统所依赖的运行环境、基础设施以及存储媒介的安全。
2003年,中办、国办转发了国家信息化领导小组关于加强信息安全保障工作的意贝(中办发[2003]27号),其明确指出“实行信息安全等级保护”。“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制制定信息安全等级保护的管理办法和技术指南”。2004年9月,公安部、国家保密局、国家密码管理委员会办公室、国务院信息办联合下发了(《关于信息安全等级保护工作的实施意见》,对信息安全等级保护的基本制度框架进行了规划,明确了信息安全等级保护的重要意义、原则、基本内容、职责分工、实施计划200年1月,四部委又下发了馆息安全等级保护管理办法(试行)》,开始具体搭建信息安全等级保护制度,该办法试行一年后于2007年6月正式发布实施。
1信息安全等级保护
信息安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法,是维护国家信息安全的根本保障。通过开展信息安全等级保护工作,可以有效地解决我国信息安全面临的主要问题,按照“明确重点、突出重点、保护重点”的原则,将有限的财力、物力、人力投入到重要信息系统的安全保护中去。通过实施信息安全等级保护制度,信息系统运营使用单位和主管部门都能按照标准进行安全建设、整改、管理运行。
信息安全等级保护的总体思路是:根据信息系统的重要程度以及信息系统受到破坏后的危害程度等因素,依据国家规定的等级划分标准确定不同的安全保护等级,并按照所定:等级自主进行信息系统安全建设和安全管理,落实安全责任和安全措施。
信息系统安全等级保护将电子政务系统安全保护划分为五个级别:
第一级:自主保护级。适用于一般的电子政务系统。在其遭到破坏后会对政务机构履行其政务职能造成较小的负面影响,对机构财产、人员造成较小的负面影响,不会损害国家安全、社会秩序和公共利益。本级完全由用户自己参照国家标准来决定如何对资源进行保护。
第二级:指导保护级。适用于处理日常政务信息和提供一般政务服务的电子政务系统,在其遭到破坏后,会对政务机构履行其政务职能造成中等程度的负面影响,对机构财产、人员造成中等程度的负面影响,但不损害国家安全。本级的安全保护机制要求在主管部门的指导下按照国家标准自主进行保护。
第三级:监督保护级。适用于处理重要政务信息和提供重要政务服务的电子政务系统。在其遭到破坏后,会对政务机构履行其政务职能造成较大的负面影响,对机构财产、人员造成较大的负面影响,可能对国家安全造成一定程度的损害。本级要求在主管部门的监督下,严格按国家标准落实各项保护措施来进行保护。
第四级:强制保护级。适用于涉及国家安全、社会秩序、经济建设和公共利益的重要电子政务系统,在其遭到破坏后,会对政务机构履行其政务职能造成严重的负面影响,对机构财产、人员造成严重的负面影响,可能对国家安全造成较大损害。本级要求在主管部门的强制监督和检查下,严格按国家标准落实各项措施来进行保护。
第五级:专控保护级。适用于关系国家安全、社会秩序、经济建设和公共利益的核心电子政务系统,在其遭到破坏后,会对政务机构履行其政务职能造成极其严重的负面影响,对机构财产、人员造成极其严重的负面影响,对国家安全造成严重损害。本级要求根据安全需求,由主管部门和运营单位对系统进行专门的控制和保护。
信息安全等级保护的建设过程是一个系统工程,主要分三个阶段:
第一阶段是系统定级阶段。定级是等级保护工作的首要环节,是后续工作的重要基础。要深入分析所要定级的电子政务系统,根据定级指南进行系统识别与描述,子系统划分以及对于系统总体和子系统进行定级。
第二阶段是规划与设计阶段。根据第一阶段确定的安全等级和系统的特殊要求来确定安全需求,进行安全管理体系和安全技术体系两方面的安全方案设计,包括系统分域保护框架建立、选择和调整所选等级的基本安全要求、安全规划和方案设计。
第三阶段是实施、等级评估与改进阶段。本阶段主要是对等级保护的具体实施,根据第二阶段制定的安全方案选择合适的安全产品进行安全建设。实施完成后,按照等级保护的标准,由专门机构来评估系统是否满足相应的等级保护要求,并对等级保护建设的最终结果进行验收。
实施等级保护的各种安全措施后,需要对系统运行进行监控,评估系统的安全状况。如果系统及其运行环境发生了变化,原有的安全等级已不适用,则应重新进行系统定级,并根据新的安全等级调整和改进相应的安全措施。为防止信息泄漏,对于过时和弃用的信息系统要专门进行系统终止阶段的处理。主要包括对信息的转移或清除,对设备的迁移和废弃,对存储介质的清除或销毁等。
2信息安全等级保护原则电子政务信息安全等级保护必须遵循以下原则:
(1)重点保护原则要突出重点,集中资源优先建设和保护关系国家安全、经济命脉、社会稳定等方面的重要电子政务系统。.
(2)“谁主管谁负责、谁运营谁负责”原则由各主管部门和运营单位依照国家相关法规和标准,自主确定电子政务系统的安全等级并按照相关要求组织实施安全保障。
(3)分区域保护原则要根据各地区、各行业电子政务系统的重要程度、业务特点和不同发展水平,分类、分级、分阶段进行实施,通过划分不同的安全区域,实现不同强度的安全保护。
(4)同步建设原则在新建、改建、扩建时应当同步建设信息安全设施,保证信息安全与信息化建设相适应。
(5)动态调整原则信息与信息系统的安全保护等级需要根据变化情况适时重新确定,并相应调整对应的保护措施。
解决电子政务信息安全问题,要从管理和技术两个层面人手。强调等级保护制度,坚持管理与技术并重,建立健全安全管理组织体系,明确安全管理责任制,制定安全保障方案,实施安全宣传教育、安全监管和安全服务。要正确处理安全与发展的关系,以安全促发展,在发展中求安全,统筹规划,突出重点,强化基础性工作。充分体现“适度安全,促进应用,综合防范”的要求,在进行电子政务信息安全保护的设计时,应该从实际应用出发,从科学的角度出发,充分考虑到现有的安全保护基础,合理利用现有的安全设备,做到适度保护,而不是过度保护,这样既可以满足安全设备,做到适度保护,而不是过度保护,这样既可以满足安全的需求也可以节省投人。要充分认识到安全只是应用的保障,安全是为应用服务的,并不是安全措施越多越好,不能为了安全而安全,应该根据系统的安全等级采用适度安全措施。在综合考虑系统的风险、需求与保护成本的前提下,增加必要的技术手段,通过安全等级和安全域的划分,对不同等级信息系统和安全域的安全保护采取管理与技术相结合的手段,实现适度的安全保障,提高信息系统的整体防御能力.通过综合防范,构建有效的安全体系,使得电子政务既安全又好用。
3结束语
总之要从思想上充分认识到电子政务信息安全等级保护工作的必要性、重要性和长期性,积极主动地开展等级保护工作,通过采取一定的安全管理措施,形成一个分工明确、重点突出、执行有序的信息安全等级保护工作的安全管理机制,真正有效地保障和促进电子政务的健康发展。
免责声明以上文章内容均来源于其他网络渠道,仅供欣赏,不代表本站观点,与本站立场无关,仅供学习和参考。如有涉及到您的权益,请来信告知(email:qsllxy@163.com),我们核实后会立刻删除。