電子政務論文精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的電子政務論文主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:電子政務論文范文
1.信息化的操作方式
電子政務日趨完善的發展,促使政府管理方式與社會經濟等政策的調控開始面向信息化發展方向。在運用電子政務的時代背景下,政府對社會經濟進行管理與調控的重要手段,例如,市場經濟調節、通貨膨脹調控與行政系統管理等,都需要通過電子網絡對各種各樣的社會、政治、經濟等信息進行收集、研究與處理,并通過網絡信息平臺對政府的各種反饋消息進行及時。電子政務的運用可以促進政府更為迅速精準地管理與調控各種社會矛盾沖突與利益糾紛等,并有助于管理和調控目標的高效完成。
2.虛擬化的應用對象
當今社會出現了很多虛擬化的主體,例如,虛擬的公司、虛擬的家庭、虛擬的朋友、虛擬的創業、虛擬的工作等,這些虛擬主體組成了電子政務管理與調控的重要對象。當然,實體性的主體依然存在于電子政務的管理對象中,但是,從長遠發展去看,隨著信息、網絡與科技的迅猛發展,以及電子政務對實體性主體的重要引導功能的日漸凸顯,使得電子政務的管理對象必將朝著虛擬化的主體方向發展。
3.基層化的權力實施
電子政務要求政府實權的下放,即需要將一些實際權力下放給基層政府部門。這是因為基層政府部門對于基層的實際情況最為清楚,因此,將管理基層的權力交給基層政府部門是非常必要的,基層政府部門只有具備了實職實權,才能更加有效的部署工作。從某種角度去看,電子政務催生出了“第三政府”模式,這一模式可以促進政府與企業在運作過程中最大程度的發揮自己的優勢。政府積極整合資源,然后以民主方式進行社會分工;企業則負責產品與勞務的組織生產。
二、結語
第2篇:電子政務論文范文
隨著電子政務應用的不斷深入,信息安全問題日益凸顯,為了高效安全的進行電子政務,迫切需要搞好信息安全保障工作。電子政務系統采取的網絡安全措施[2][3]不僅要保證業務與辦公系統和網絡的穩定運行,另一方面要保護運行在內部網上的敏感數據與信息的安全,因此應充分保證以下幾點:
1.1基礎設施的可用性:運行于內部專網的各主機、數據庫、應用服務器系統的安全運行十分關鍵,網絡安全體系必須保證這些系統不會遭受來自網絡的非法訪問、惡意入侵和破壞。
1.2數據機密性:對于內部網絡,保密數據的泄密將直接帶來政府機構以及國家利益的損失。網絡安全系統應保證內網機密信息在存儲與傳輸時的保密性。
1.3網絡域的可控性:電子政務的網絡應該處于嚴格的控制之下,只有經過認證的設備可以訪問網絡,并且能明確地限定其訪問范圍,這對于電子政務的網絡安全十分重要。
1.4數據備份與容災:任何的安全措施都無法保證數據萬無一失,硬件故障、自然災害以及未知病毒的感染都有可能導致政府重要數據的丟失。因此,在電子政務安全體系中必須包括數據的容災與備份,并且最好是異地備份。
2電子政務信息安全體系模型設計
完整的電子政務安全保障體系從技術層面上來講,必須建立在一個強大的技術支撐平臺之上,同時具有完備的安全管理機制,并針對物理安全,數據存儲安全,數據傳輸安全和應用安全制定完善的安全策略
在技術支撐平臺方面,核心是要解決好權限控制問題。為了解決授權訪問的問題,通常是將基于公鑰證書(PKC)的PKI(PublicKeyInfrastructure)與基于屬性證書(AC)的PMI(PrivilegeManagementInfrastructure)結合起來進行安全性設計,然而由于一個終端用戶可以有許多權限,許多用戶也可能有相同的權限集,這些權限都必須寫入屬性證書的屬性中,這樣就增加了屬性證書的復雜性和存儲空間,從而也增加了屬性證書的頒發和驗證的復雜度。為了解決這個問題,作者建議根據X.509標準建立基于角色PMI的電子政務安全模型。該模型由客戶端、驗證服務器、應用服務器、資源數據庫和LDAP目錄服務器等實體組成,在該模型中:
2.1終端用戶:向驗證服務器發送請求和證書,并與服務器雙向驗證。
2.2驗證服務器:由身份認證模塊和授權驗證模塊組成提供身份認證和訪問控制,是安全模型的關鍵部分。
2.3應用服務器:與資源數據庫連接,根據驗證通過的用戶請求,對資源數據庫的數據進行處理,并把處理結果通過驗證服務器返回給用戶以響應用戶請求。
2.4LDAP目錄服務器:該模型中采用兩個LDAP目錄服務器,一個存放公鑰證書(PKC)和公鑰證書吊銷列表(CRL),另一個LDAP目錄服務器存放角色指派和角色規范屬性證書以及屬性吊銷列表ACRL。
安全管理策略也是電子政務安全體系的重要組成部分。安全的核心實際上是管理,安全技術實際上只是實現管理的一種手段,再好的技術手段都必須配合合理的制度才能發揮作用。需要制訂的制度包括安全行政管理和安全技術管理。安全行政管理應包括組織機構和責任制度等的制定和落實;安全技術管理的內容包括對硬件實體和軟件系統、密鑰的管理。
轉貼于中國論文下載中心www
3電子政務信息安全管理體系中的風險評估
電子政務信息安全等級保護是根據電子政務系統在國家安全、經濟安全、社會穩定和保護公共利益等方面的重要程度。等級保護工作的要點是對電子政務系統進行風險分析,構建電子政務系統的風險因素集。
3.1信息系統的安全定級信息系統的安全等級從低到高依次包括自主保護級、指導保護級、監督保護級、強制保護級、專控保護級五個安全等級。對電子政務的五個安全等級定義,結合系統面臨的風險、系統特定安全保護要求和成本開銷等因素,采取相應的安全保護措施以保障信息和信息系統的安全。
3.2采用全面的風險評估辦法風險評估具有不同的方法。在ISO/IECTR13335-3《信息技術IT安全管理指南:IT安全管理技術》中描述了風險評估方法的例子,其他文獻,例如NISTSP800-30、AS/NZS4360等也介紹了風險評估的步驟及方法,另外,一些組織還提出了自己的風險評估工具,例如OCTAVE、CRAMM等。
電子政務信息安全建設中采用的風險評估方法可以參考ISO17799、OCTAVE、CSE、《信息安全風險評估指南》等標準和指南,從資產評估、威脅評估、脆弱性評估、安全措施有效性評估四個方面建立風險評估模型。其中,資產的評估主要是對資產進行相對估價,其估價準則依賴于對其影響的分析,主要從保密性、完整性、可用性三方面進行影響分析;威脅評估是對資產所受威脅發生可能性的評估,主要從威脅的能力和動機兩個方面進行分析;脆弱性評估是對資產脆弱程度的評估,主要從脆弱性被利用的難易程度、被成功利用后的嚴重性兩方面進行分析;安全措施有效性評估是對保障措施的有效性進行的評估活動,主要對安全措施防范威脅、減少脆弱性的有效狀況進行分析;安全風險評估就是通過綜合分析評估后的資產信息、威脅信息、脆弱性信息、安全措施信息,最終生成風險信息。
在確定風險評估方法后,還應確定接受風險的準則,識別可接受的風險級別。
4結語
電子政務與傳統政務相比有顯著區別,包括:辦公手段不同,信息資源的數字化和信息交換的網絡化是電子政務與傳統政務的最顯著區別;行政業務流程不同,實現行政業務流程的集約化、標準化和高效化是電子政務的核心;與公眾溝通方式不同,直接與公眾溝通是實施電子政務的目的之一,也是與傳統政務的重要區別。在電子政務的信息安全管理中,要抓住其特點,從技術、管理、策略角度設計完整的信息安全模型并通過科學量化的風險評估方法識別風險和制定風險應急預案,這樣才能達到全方位實施信息安全管理的目的。
參考文獻:
[1]范紅,馮國登,吳亞非.信息安全風險評估方法與應用.清華大學出版社.2006.
[2]李波杰,張緒國,張世永.一種多層取證的電子商務安全審計系統微型電腦應用.2007年05期.
第3篇:電子政務論文范文
關鍵詞:電子政務;服務經濟;服務社會
1美國“全球電子商務框架”概要
隨著信息技術的迅速發展,電子政務與電子商務被提上日程,并取得顯著成效,電子政務與電子商務的協調成為信息化發展的一大趨勢。電子政務與電子商務協同實現的整體效應必然對國民經濟和社會的發展與進步產生積極而深刻的影響。
1997年7月1日,克林頓總統頒布了聯邦政府促進、支持電子商務發展的“全球電子商務框架”。該框架確立了聯邦政府政策的基本框架,對于美國乃至世界各國電子商務的發展產生了積極影響。
在“全球電子商務框架”中,聯邦政府提出了發展電子商務的原則和建議。發展電子商務主要原則包括因特網發展是市場驅動的所以私營部門必須發揮主導作用、在通過因特網進行產品或者服務買賣并達成合法協議的過程中政府應該避免對電子商務的不當限制、政府必須參與時政府參與的目標應該是支持和創造一種可以預測的、受影響最小的、持續簡單的法律環境為商業發展營造合適的環境、政府必須深化對因特網的特性的認識從而對現有的一些可能阻礙電子商務發展的法律法規重新進行審議、修改或者廢止、打破網上交易的法律框架的地區、國家和國際之間的界限促進電子商務在全球范圍內發展。
電子商務與電子政務表現為互動關系,經過研究發現美國“全球電子商務框架”對我國電子政務的改革提供了參考。
2“全球電子商務框架”對我國電子政務改革的啟示
2.1做好災備方案,確保信息安全
經濟社會中存在大量數據,WestWorld公司的報告指出,在每500個數據中心中就有1個每年要經歷一次災難。電子政務建設離不開數據,數字信息是源頭活水。劉家真教授提出了制定網絡環境下的電子文件管理規范,必須考慮管理者的責任和辦公自動化網絡上運行的電子消息必須作為憑證加以管理。劉家真教授在調研的基礎上分析了我國文獻的檔案數據面臨的風險,根據國情提出文獻的檔案數據宜采用同城異地備份與遠端異地儲存其離線備份的災備方案,并對遠端異地離線災備基地的建設、管理與可持續運作提出了建議。劉家真教授還深入研究了更新與遷移在檔案保護中的廣泛應用,以及更新與遷移可能帶來的檔案內容信息損失風險,并提出了如何規避這類風險的管理策略。這些策略對于信息的更新與遷移過程中的丟失可以起到“防患于未然”的作用。劉家真教授指出,“保護數字文獻的關鍵在于維護數字信息的長期可存取性,為維護數字信息的長期可存取,還提出了3M策略:數字媒體的選擇與維護、科學管理以及技術遷移。”因此,要建立信息安全平臺,保護網上政務資源。搭建安全支撐平臺和安全應用支撐平臺。電子政務的數據處理與保護必須放在第一位,數據丟失了,或者被刪改了,起不到應有作用,甚至會起到負作用。
2.2政府市場聯動,強化信息管理
電子政務信息共享已成為公務員及社會公眾日益緊迫的需求。然而,由于行政體制、管理模式等方面的原因,電子政務信息共享面臨著一系列的障礙和問題。為了提高電子政務信息共享的效率,各級政府部門應當針對這些原因和表現,采取相應的對策。因此必須強化電子政務的信息管理。
電子政務的信息管理要引入市場機制、把握好電子政務的市場定位、確立客戶關系管理和贏利模式大力推進電子政務市場化建設。電子政務建設中要發揮多方面的作用,尤其要讓第三部門、企業集團甚至民間組織加入,讓他們成為電子政務建設的主體之一。
電子政務信息管理是一個巨大工程,短期的規劃是注重解決眼下必須解決的問題,同時要制訂中長遠規劃,做好成本效益分析。建造電子政務的經濟效益模型,熟練掌握電子政務對經濟效益影響的幾種主要方式和內容,間接影響至少要考慮建設、管理和服務等方面的效益,直接影響應考慮到電子政務對政府、相關企業及咨詢機構等方面的影響。
電子政務信息管理的好壞標準要交給市場而不是政府,這樣政府才能牢牢抓住主動權。國內外信息化的實踐證明,信息化建設必須有標準化的支持,尤其要發揮標準化的導向作用,以確保技術上的協調一致和整體效能的實現。
電子政務推進標準化必須進行正確的策略選擇。為電子政務標準選擇正確的類型、級別與形式就有著特殊重要的作用。要明確電子政務標準化在標準類型歸屬、標準級別劃定與標準形式確定方面的特殊要求,正確選擇我國電子政務標準類型、級別與形式。2.3協同政務建設,攻克關鍵技術
政務主要包括行政決策、行政執行、行政監督三個環節,要從行政決策組織、行政決策活動、行政執行組織、行政執行活動、行政監督組織、行政監督活動、公務員培訓等幾個方面探討電子政務的協同發展以降低行政成本的機理。如公務員的部分培訓內容可以在網上進行降低培訓成本。
降低政務成本要推進協同電子政務建設,協同電子政務是對政府自身運作能力的強化,協同電子政務有助于政府組織實現職能整合、信息整合、業務整合、流程整合,最終實現政務工作和服務的全面提高。推進協同電子政務建設中要注意解決好政府和開發商之間存在的利益沖突問題,必須設計好有效的激勵機制。
我國電子政務建設中的主要問題是國產軟硬件的相對不成熟,在集成時出現不兼容的問題,在現有的國產軟硬件的基礎上,要經過反復測試和優化形成一套真正運行穩定、切實可行的國產軟硬件的集成應用方案,確保應用國產的關鍵技術。
知識產權和隱私的保護技術急需攻克并同步更新。應當從提高公民個人信息隱私權意識,提高電子政務信息管理者道德,以及加強電子政務信息資源系統的管理方面來保護電子政務信息系統中的個人信息隱私權。
我國知識產權電子政務建設的起點和國外比較差不多。國外知識產權類網站的開發者主要是國際協會或組織,行政管理網站占據主要地位。我國是以中央的知識產權信息網站帶動地方的知識產權信息網站建設,實現各知識產權信息庫的資源共享。要保證電子政務信息資源權利人享有合法權利。
2.4依法管理政務,制度職能創新
電子政務呼喚新的管理理念。要把以人為本的管理理念貫穿電子政務的全過程,要運用信息時代的人本思維重塑政府管理模式,推動電子政務的發展。推進電子政務實際上是要達到政府行政管理領域內新的制度平衡。
電子政務始終要以依法行政為大前提。電子政務立法的宗旨應當是推動政府信息公開、推進政務信息化建設、提高政務辦公效率。電子政務的法律框架,本質是為電子政務提供公平、透明、和諧的環境。電子政務要立法。立法中的核心問題是立法模式、立法層次、立法效力等。電子政務的運行必須在法律監督之下,電子政務的發展也必須基于信息法律的保障,電子政務的實施有利于建設法制社會。電子政務發展需要健全的法律環境。從電子政務的建設和應用的流程角度來看,電子政務發展應完善:與政務信息有關的行政法律法規問題、電子政務建設管理和應用的法律法規問題、電子政務建設的技術標準。
電子政務的本質是對政府職能的轉變和創新。電子政務不僅在公共行政領域,而且在人類生活的各個領域都產生了影響。電子政務是信息時代各級政府治理不可缺少的工具,為構建服務型地方政府提供了現實條件。
電子政務是現代政府管理創新工具。電子政務提高了行政效率,降低了成本,提高了政府公共服務水平。但也存在一定不足。這就要求各級政府轉變觀念,統籌規劃各部門網站,制定相關法律、法規,積極推進電子政務發展,利用電子政務推進行政管理體制改革的深化,逐步形成新型政府管理模式,增強公共管理與服務功能,全面提升行政能力。
要重點解決好電子政務建設中的深層次問題。要引入IT治理的思想,對電子政務中實施IT治理,找到實現電子政務制度與技術協同發展的有效途徑。
2.5高效優質服務、狠抓績效評估
我國電子政府績效評估實踐已在各級政府和部門中逐漸開展起來,并引起社會各界的普遍關注,電子政務績效評估需要得到進一步的大發展。
電子政務績效是政府績效的重要組成部分。電子政務正在成為現代政府運作的主要方式,成為政府更好的實現其管理、服務職能的重要手段。而在大規模的投入和建設后,電子政務能否真正取得預期的成效已經成為一個重大問題。
我國目前的電子政務建設狀況不容樂觀,巨大的資金投后,實際效果卻與預期相距甚遠。究其原因,缺乏與電子政務運行特點相符合的績效評估體系是造成這一局面的重要原因。
要形成我國自己的電子政務績效評估模式。可以把電子政務的績效劃分為產出、結果和影響三個層次,提倡綜合應用模式,突破產出層次。我國的電子政務績效評估應突出“重在政務”和“政務為民”的戰略選擇,同時緊密結合電子政務建設和行政改革的進程,做好戰略規劃。從政府網站建設,基礎設施建設,政務基礎信息數據庫建設,重點政務業務系統建設四個方面構建指標體系,穩步推動我國電子政務的發展,同時促進政府績效的提高。
參考文獻
[1]劉家真.數據丟失的風險與對策[J].機電兵船檔案,2004,(01).
[2]劉家真.網絡環境下的電子文件管理要求[J].檔案管理,1999,(01).
[3]劉家真,倪麗娟.創建我國文獻的檔案數據災備基地的構想[J].檔案學研究,2006,(04).
[4]劉家真.更新與遷移中的風險管理策略[J].北京檔案,2005,(10).
[5]劉家真.保護數字信息的長期存取策略[J].武漢大學學報(人文社會科學版),1999,(04).
[6]李綱,彥.電子政務信息安全平臺分析[J].中國圖書館學報,2006,(01).
第4篇:電子政務論文范文
一、電子政務培訓的機構建設應予重視
由于電子政務是信息社會出現的涉及多學科的新事物,一些地方的教育培訓單位,如各級黨校、行政學院等還沒有專門的電子政務研究培訓機構,而是把電子政務培訓任務掛靠在現有部門,如管理教研部、計算機教研部等。由于機構的缺位或不到位,不能有專門人員研究、策劃電子政務培訓的總體規劃和具體實施細則,使電子政務培訓受到一定程度的制約和影響;由于現有教研部門工作職責、職權范圍所限,教學人員與當地政府信息化部門缺乏緊密聯系和直接往來,教學單位對于當地電子政務的發展現狀、前沿性政策及技術問題等缺乏有效、及時的了解溝通,信息不靈。因此,各省、市級電子政務教學培訓主管單位組建相應的專門機構,根據當地電子政務發展狀況及技術前沿課題,適當參與相關的科研及建設實施實踐,對于提高培訓質量、效益以及有效組織各級擴散培訓是十分必要的。目前來看,政府部門對電子政務培訓工作給予了重視,各地大都完善、建立了電子政務培訓硬件設施,如設備完善的計算機房和網絡設備,多媒體教室等,為電子政務培訓工作提供了必要的物質條件。在此基礎上,各地電子政務教學主管單位應加強和完善培訓單位的機構建設,從機構設置上為電子政務培訓提供保障,以便有專門培訓機構承擔各省、市級電子政務培訓的具體實施工作,如了解并根據當地電子政務發展現狀和技術條件進行培訓規劃的制定、培訓課程的設計、擴散培訓的指導;參與科研和技術攻關,不斷改進、完善教學內容,提高教學質量,增強培訓的針對性、適用性和有效性;協調培訓與政府電子政務建設實施對人才和技術的需求關系等。
二、首先要加緊電子政務師資培訓
電子政務的成效在很大程度上取決于電子政務培訓的廣度和深度。由于電子政務是一門新興的綜合性學科,具有很電子商務資料庫!1;5+*96*)15%)"強的政策性、理論性和實踐性,電子政務培訓教師必須具備相關的多學科綜合知識以及電子政務建設和發展的宏觀戰略和相關政策、技術,但是目前現有師資隊伍尚不足以勝任電子政務培訓教學需要。一方面教師現有的專業知識單一,很難將電子政務的理論從多學科綜合的角度加以概括和領悟;另一方面教師沒有電子政務實踐經驗,對相關政策把握不足,對建設的宏觀規劃和具體步驟了解不夠,在教學和技術上均無經驗可言。依現有師資進行電子政務培訓可能會出現一些問題,如理論與實際相脫節;培訓內容缺乏系統性、實效性。要使教師盡快掌握電子政務學科理論以及培訓必備知識,有效推進電子政務培訓,師資培訓是當務之急。目前國家權威性培訓大多針對較高層次和級別的領導干部,尚未擴展到師資培訓。而對于地方廣大領導干部和公務員的培訓來說,則主要依靠地方培訓教師進行。因此各地必須抓緊電子政務師資培訓,并將培訓與資格確認統一協調起來,參與電子政務擴散培訓的教師應當首先取得電子政務培訓教師資格,師資資格培訓是各地電子政務培訓的當務之急.
三、電子政務培訓必須標準化、規范化
電子政務建設的統一規范有賴于電子政務培訓的標準化。目前電子政務培訓尚處于起步階段,由于培訓機構的不完備,師資力量不足,當前電子政務培訓存在著課程設置不規范的問題,有些地方尚不能嚴格按照國家統一的培訓內容,針對不同層次的培訓對象有側重地進行課程設置。對于黨政領導干部的培訓從內容和形式上應區別于普通公務員培訓,課程設置應有區別。隨著電子政務工作的開展,領導干部將擔負起電子政務建設的領導工作,他們是電子政務建設和實施的決策者,對于領導干部的培訓,應側重在電子政務理念以及電子政務的系統規劃與管理上,通過培訓使廣大干部加深對推進信息化和電子政務工作重大戰略意義的認識,明確責任,理清建設思路,提高推進電子政務工作的水平和實際應用能力。對于專業技術管理干部還應通過培訓,使其具有評估和鑒別各種最新的信息技術的能力,掌握電子政務的新的應用發展和實踐效果,以便辨識新技術給政府現代化帶來的新的機會和可能出現的問題,不斷適應信息化與電子政務發展的需要。而對于普通公務員則應把重點放在電子政務辦公能力培訓上,主要培訓桌面系統應用、OA辦公自動化應用、網絡平臺應用等操作技能。
目前,一些地方培訓課程的設置不夠理想,比如,對領導干部的培訓與普通公務員的培訓選用同樣的教材;將大部分學時分配為計算機基礎操作培訓;將電子政務培訓僅作為一種烘托。這顯然偏離了國家培訓要求和實際需要,如此往復將會形成以計算機培訓代替電子政務培訓的局面,達不到應有效果,影響電子政務的建設和實施。其次,由于培訓師資緊缺、實驗環境和條件的局限,培訓課程受到影響,比如,培訓單位不同程度地存在因人(教師)設課問題。設置培訓課程的時候一般按照現有教師可以勝任的課程(如計算機課程等)安排。在進行電子政務培訓實驗環節的設計上,由于目前沒有電子政務模擬系統,所以培訓的實驗環節只好安排為計算機基本操作:操作系統、office辦公軟件的操作等,使電子政務的培訓變為計算機基礎操作培訓。目前的電子政務培訓尚未實現與全國統一考試同步實施,因此電子政務培訓,從內容、標準和效果上不能得以確認。
四、重視電子政務培訓與電子政務建設實踐的統一性
教學——科研——建設是三位一體的有機體,三者在電子政務實踐過程中缺一不可,通過科研這個中間環節把理論教學與建設實踐聯系在一起。電子政務培訓與電子政務建設實踐密切相關。一方面,電子政務培訓為電子政務建設實踐提供人才保障,另一方面,對電子政務建設實踐也將促進電子政務人才培訓水平和質量的提高。因此,各省、市電子政務培訓主辦單位的師資應積極參與本地區電子政務的科研和建設實施工作。參與科研攻關、了解當地電子政務建設實踐進程對于培訓師資是非常重要的,假如培訓師資不參與電子政務的科研和建設實踐,就像醫學院的教師不臨床一樣,理論與實際相脫節,如何可以搞好電子政務培訓呢?因此,為深入了解本地區電子政務的發展戰略、建設規劃、電子政務的總體結構和框架體系等,各省、市電子政務培訓主管單位的師資應積極參與本地區電子政務的科研和建設實踐,以便更加貼近實際地進行培訓課程設計、開發與研究,編寫比較權威、實用的培訓教材和課件,使培訓更好地配合本地區電子政務的實際需要,確保電子政務培訓的有效性,為本地區信息化建設和電子政務實踐提供人才保障。
五、利用模擬環境提高電子政務培訓質量和效果
電子政務是應用現代信息和通信技術,將管理和服務的具體業務通過網絡技術進行集成,在網絡上實現組織結構和工作流程的優化重組,向社會提供管理和服務,同時電子政務也是一門應用性很強的學科。因此電子政務的培訓應該在一個模擬環境下進行。模擬環境的主要意義有兩個:
第一,這個模擬環境可以開發為電子政務成熟階段電子商務資料庫(.44,1+06&1".-(的模式,目前我國電子政務的建設和實施基本處于電子政務發展的初級階段,由于基礎信息建設尚未完成,機構調整問題、電子政務的立法問題;電子政務安全數字鴻溝等問題還沒有完全解決,我國電子政務的建設和實施還無法做到成熟的水平。因此人們無法看到電子政務成熟階段的形態,從而對電子政務有一個完整的、形象的認識。但是電子政務在模擬環境的建立中可以屏蔽許多目前我國電子政務建設中的難點和制約因素(比如:基礎信息平臺尚未建成,政府部門之間信息系統的一體化以及中央與地方政府之間信息系統的一體化問題,機構改革問題,數字鴻溝問題等)。建立虛擬的基礎信息環境(如政府信息平臺,即:電子支付、電子紀錄、電子文件以及電子簽名;國家基礎信息系統:如人口信息系統、企業管理信息系統);按照理想的政府機構的結構和政府運行方式,建立模擬的一體化電子政務體系等。這個模擬環境的建立可以將最成熟的電子政務理念、最成熟的電子政務技術、最完善的電子政務方法集成到一起,力求使培訓者通過這個環境深入理解電子政務對政府管理產生的影響;電子政務給政府管理模式帶來的變化;電子政務成熟階段政府的組織結構以及業務流程等。政府角色及與公眾關系的改變;政府管理的有限虛擬和虛實并舉的新型態;信息時代新型的政府組織形態,最終了解成熟的電子政務的整體模式、實施過程,掌握電子政務這門新興學科。
第5篇:電子政務論文范文
在這樣的形勢下,不考慮BYOD融入的電子政務應用平臺,那將大大降低系統的可用性與延展性,嚴重影響系統功能的實際使用效能,造成明顯的局限性,所以BYOD融入是綜合辦公應用的必經歷程,是非常重要的建設內容。隨著物聯網與智能終端的迅速發展,BYOD的兩種情況,即“BringYourOwnDevice”和“BecomeYourOfficeDevice”,都將在電子政務應用中出現。首先,是“BringYourOwnDevice”,即攜帶自己的智能移動終端設備參與辦公的情況。它已經普遍發生,無論是個人電腦還是手機、平板等,現在都能非常便捷地聯入互聯網或私有網絡,訪問政府提供的信息或郵箱等簡單辦公功能,且不受時間、地點、設備、人員和網絡環境的限制,大大提高了人們信息交互的頻率與辦公應用的效率。接下來,隨著電子政務應用的擴展,兩者的結合逐步深入,人們在自己的設備上安裝了特定的政務辦公軟件,以便可以使用已完成整合形成交換的政務信息資源。此時,BYOD從“BringYourOwnDevice”轉變成了第二種情況“BecomeYourOfficeDevice”,也就是在自己的設備上安裝內部應用,以便使用內部資源。融入BYOD,能更好地從主流技術、系統的易用性、系統的開放性與可擴展性等幾個方面提升綜合辦公系統性能,大大提高了系統的總體質量與效能,真正實現電子政務綜合辦公系統的應用交互。
二、BYOD在江西電子政務應
用中的管理思路電子政務建設中的BYOD融入已勢在必行,系統管理層已不再考慮是否接入BYOD的問題,而是必須研究如何科學、合適地進行統一管理,考慮方便快捷、安全穩定、應用多樣、政策環境、管理規范、投入模式以及政治風險等各方面因素,所以筆者認為,電子政務中的BYOD應用應突出“平衡”兩字。
1.BYOD應用在接入管理上的平衡
首先,要考慮接入覆蓋與準入控制的平衡。政務信息網是以物理線路建設為主的網絡,要實現全覆蓋式的BYOD接入,必須主動建設專用的政務信息網無線覆蓋網絡,同時減少或杜絕其他形式不可控的無線接入方式。同時,配備支持多廠商、多品牌終端的網絡準入管理系統,將終端設備與網絡資源對應、使用者與終端設備對應、訪問權限與認證策略對應等方面,配合相對平衡的準入策略,在盡可能不降低系統易用性的前提下進行統一管理,從第一個環節開始進行平衡掌控。
2.BYOD應用在安全管理上的平衡
政務信息網不同于企業網絡,就拿江西省政務信息網為例,其分為與互聯網出口對接的政務外網和物理隔離的政務內網。根據網絡功能側重點的不同,其安全管理的要求與目標也不同。政務外網是互聯互通的綜合性業務網絡,且與互聯網邏輯隔離,是專用無線網絡覆蓋的主要區域,也是BYOD應用的主要平臺,其定位決定了它承載應用的多樣性與復雜性,同時其安全級別相對內網更低,對安全管理的平衡也有更高的要求。首先,必須先制定規范細致的安全計劃與執行策略;然后,在檢查移動設備時,針對不同類型的用戶與應用需求配備相應的訪問策略,隔離不信任的終端或行為,同時還需具備全程監控的能力,實現合法用戶訪問內部資源的安全管理與流程監控,并審計取證備查漏網的非法訪問。這就需要綜合辦公系統具備相應的地址定向、流量引導、策略觸發、安全性檢測、權限分配及資源收放等功能,做到“可用、可控、可審計、可回收”。政務內網是獨立建設的內部政務網絡,是安全級別更高的專項政務業務網絡平臺,其業務多為跨區域或跨部門的大范圍應用,將來也會有更多對信息安全要求較高的電子政務應用在內網上部署,所以內網中BYOD的融入需要更加慎重與全面的計劃。首先,必須采用定制專用移動終端的方式,從用戶層面提高安全性,所以在安全管理上側重于“BecomeYourOfficeDevice”,除了主要安全管理思路與政務外網相似之外,還需要考慮特定用戶需要訪問不同應用資源的管理問題,內網中不同應用部署在不同的虛擬專用網絡(VPN)中,而部分用戶可能存在單一終端訪問多個業務資源的需求,這就需要從應用系統、VPN認識策略、網絡資源管理、傳輸協議統一等方面進行綜合管理,以實現應用的平衡。
3.BYOD安全管理的延伸問題
電子政務綜合辦公的BYOD融入管理,平衡的是效能,側重的是安全,除技術方面的各種措施,更需要延伸至包括移動設備管理(MDM)、移動安全管理(MSM)、移動應用管理(MAM)、移動郵件管理(MEM)、移動內容管理(MCM)等方面。總體來說,BYOD安全管理的延伸應遵循“TREND”原則,即Trusted:要有可信的設備;Role-based:能夠基于政府角色進行安全防護;Enforced:各種策略必須能強制部署到任何位置;Networkbesecure:網絡應該是安全、無邊界的;Dynamic:政務應用隨需而動,實現服務化。從構建安全的無邊界網絡,制定較完整且可強制實施的BYOD策略、選擇適合的數據隔離技術、建設政府級AppStore幾個方面,可確保安全策略和技術隨網絡及電子政務應用的共同延伸。
三、結語
第6篇:電子政務論文范文
社會主義政治文明建設的深化,對政治透明、政務公開提出了更高的要求。隨著政府組織建設和作風建設等工作的深入開展,優化政府組織結構和政府工作效益評估結構,進行政務信息化建設已成為政務公開的必然要求。目前由于政務上的信息資源開發與利用水平還不是很高,信息資源數字化、共享化程度低等不足,信息化建設還達不到政務公開的要求。發展電子政務可以加強政府與民眾的溝通,帶動政府體制改革。然而,電子政務也面臨著信息繁雜、格式混亂、沒有統一規范、開放程度低等問題與挑戰。在電子信息技術繁榮發展的現代社會,利用計算能力強的云計算進行電子政府信息資源共享系統建設具有重要現實意義和實用價值。
2電子政務信息資源共享存在的問題
2.1對電子政務信息資源共享問題認識不清政府對電子政務信息資源共享的認識還不夠客觀科學,表現在:僅將電子政務信息資源共享當做政績來完成,而忽視了電子政務信息資源共享系統的橋梁作用;信息資源僅在本部門本單位內流通,而沒有進行外部大范圍的資源共享;采用老套的政務信息管理辦法,而沒有創新管理理念、引用先進設備。信息資源私有化等狹隘的電子政務信息資源管理觀念不利于實現資源共享。
2.2電子政務信息資源共享系統建設不完善電子政務信息資源的共享是一個系統工程,需要綜合考慮投入與建設、開放性與安全性等多方面的內容。目前我國的電子政務信息資源共享系統建設并不完善,表現在:一是重分析云計算的電子政務信息資源共享系統建設探究文/解海燕政治文明要求政務公開,優化政府職能。發展電子政務是實現政務公開的重要手段。建設云計算背景下的電子政務信息資源共享系統可以有效地將政務透明化。這一實踐需要考量理論和技術等方面的可行性,本文就我國目前電子政務信息資源共享系統建設存在的一些問題做簡要分析,并對基于云計算的電子政務信息資源共享系統建設的提出一些建議。摘要復建設與投入不足的矛盾。由于系統建設缺乏統一的規劃和有效的協調,出現了盲目建設問題。政府將精力放在了工程建設而非系統運行技術上,造成資金資源的浪費,而實際上政務公開卻收效甚微。二是系統安全性與信息開放性的矛盾。大部門政府部門的信息安全管理還比較薄弱,人才配備不足,技術設備不完善,沒有形成標準統一的數據管理平臺,信息開放過程中安全性又得不到保障。
2.3電子政務信息資源共享的建設各自為政有的政府部門在進行電子政務信息管理時,只注重眼前利益和局部利益。各級政府之間相互獨立,各自為政,造成電子政務信息資源共享系統的封閉、落后,流于形式。系統中分化出一個個獨立的信息孤島,不利于與外界溝通。
3云計算的電子政務信息資源共享系統建設的對策
3.1基于云計算的電子政務信息資源共享系統的模型設計建設云計算的電子政務信息資源共享系統需要進行統籌規劃。按照政府工作的要求以及民眾對政務信息的需求來制定電子政務信息資源共享云計算模式方案,首先需要構建一個由資源層、管理層、虛擬層和服務層等組成的云計算實現理論模型。如圖1所示。資源層由物理資源層和資源池層組成,是云計算實現資源整合和資源共享的基礎。在資源層中,通過軟硬件資源的優化配置,加強了信息輸入輸出的有效性,減少浪費。虛擬層用于為電子政務信息資源共享系統為信息管理以及信服務提供虛擬存儲器、虛擬服務器等,有利于提供資源利用率,靈活調配政務信息。管理層可以對實現電子政務信息的資源、用戶和任務等的全面管理,為電子政務信息資源共享系統規劃信息容量并進行實時監控,保證系統安全和資源開放功能并存。服務層為電子政務信息資源共享系統提供服務接口、注冊、查找、訪問等各種服務,是信息資源共享的實現層。
3.2對原有的電子政務信息資源進行封裝處理目前,由于達不到信息共享的技術要求,也沒有形成統一的標準,電子政務信息資源共享系統建設面臨著普遍存在異構數據庫的難題。在建設云計算的電子政務信息資源共享系統,如果采用封裝處理原有的電子政務信息資源,則可以避免資源共享的障礙。具體做法如下:首先,全面普查電子政務信息資源的共享情況,針對技術及規范沒有形成統一要求的問題,分析其根源并通過管理方式轉變處理其中不合規范的技術和標準。其次,不斷完善電子政務信息資源共享的技術和規范,制定統一的規劃的標準,協調區域間政務信息共享,擴大信息資源的開放范圍。最后,根據以上制定的標準,將原有的電子政務信息資源分類封裝,形成統一標準的信息鏈,方便調用電子政務信息資源。
3.3為電子政務信息資源共享搭建云接入平臺云計算的電子政務信息資源共享系統要想得到廣泛運用還需要搭建一個便捷、實用的云介入平臺,讓各級政府及民眾都能接入系統了解政務。除了要求方便快捷、難度系數低,云接入平臺還要安全可靠,云接入平臺應與管理等相互配合,實現電子政務信息資源安全共享。
4結束語
第7篇:電子政務論文范文
(1)可以達到政務業務系統之間相互聯通和相互操作的要求。除了許多系統部件之間的協同工作是電子政務所涉及的內容之外,這些部件之間的操作接口同樣也是電子政務所涉及的內容,由此可見,電子政務建設是一項非常復雜的工程。如果接口標準和規范無法達成統一,則很可能對整合系統的順利運行造成影響。因此,我國電子政務標準化建設的最終目的就是實現電子政務系統的相互聯通和相互操作,充分保證來自不同廠商的系統能夠在統一的接口標準規范下很好地協同工作。
(2)能夠推動相關技術產業化。對于電子政務相關技術的產業化而言,標準和規范工作具有非常明顯的推動作用。在標準標準和規范的框架下,可以促使更多的廠商參與到市場競爭當中來,從而能夠在較短的時間內形成基本的產業規模,使整個產業鏈快速閉合。在越來越激烈的市場競爭環境當中,可以使得產品的成本得到非常有效的控制,有助于技術產業化目標的實現。
(3)是保護自主知識產權的關鍵技術。一直以來,標準和規范是保護關鍵技術所有者權利的關鍵手段。在全球經濟一體化趨勢下,我國在IT產業方面的整體水平還比較低,因而通過標準化的方式來保護自主知識產權的關鍵技術顯得尤為重要。在我國電子政務建設過程中,尤為強調產品在系統中的全面應用和自主知識產權的關鍵技術。目前,我國許多核心技術仍然需要依靠國外,因而采用這些基于自主知識產權的技術是非常有必要的,能夠為電子政務系統的穩定運行提供全面保障。
2電子政務標準化建設的工作框架
2.1電子政務標準化建設的技術路線方向
以下兩個方面是我國電子政務標準化建設工作的技術路線所包含的主要內容:建立起標準規范框架,并確保其完整性。首先應該經常關注國外相關領域內的所取得的新成果,并且將我國的實際發展情況充分結合起來,努力建立起完整的通用框架體系和電子政務業務規范標準體系,為今后的相關工作提供理論參考和實踐指導。嚴格遵循緊密結合應用和急用先行的基本原則。我國電子政務標準化建設工作應該密切結合重大專項工程和國家級的電子政務應用示范工程,以便及時將應用成果轉化為業務規范和技術規范,然后再通過實踐檢驗使其上升為正式標準,這樣的工作模式不僅能夠將應用示范工程的示范效應充分發揮出來,同時能夠使標準化的工作流程得到有效縮短,從而能夠更加針對性地開展標準化工作。
2.2電子政務標準化工作框架的內容
以下幾個方面是我國電子政務標準化工作的主要內容:規范我國電子政務的總體框架。在現階段,我國電子政務系統的建設指南和體系結構是電子政務標準化工作框架的主要內容。電子政務服務的技術標準體系。該體系的重點是使我國電子政務建設過程中所需要的各種關鍵技術變得越來越規范,其具體內容主要包括國家電子政務的數據格式標準系列和安全技術標準系列等等。對外服務業務規范體系。從該體系的重點來看,主要是規范對外電子政務服務系統的業務流程,并且應該在政務服務技術標準體系的基礎之上,使業務的通用流程規范得到更進一步的明確,從而為外部政務服務系統之間的相互聯通和相互操作提供重要支持。
2.3電子政務標準化工作的主要目標
從目前的實際情況來看,絕大多數政府信息系統形成了一個個信息孤島,處于相對孤立的狀態,我國電子政務建設工作將以現行的政府信息系統為基礎,以標準化為紐帶,發揮自己的最大努力構建出我國的電子政務公眾服務系統。同時,在我國電子政務建設工作中,所有的電子政務業務規范和相關的技術標準都應該為建設國家自主知識產權的電子政務業務應用系統提供有效的標準支持,并確保其正常運行,規范和指導電子政務業務系統建設過程中的產品研發工作和所必需的而各種關鍵技術,推動科研成果向產業化發展,實現業務系統之間的互聯、互通以及互操作。同時,由于業務技術標準規范是向全社會開放的,因而我國電子政務將會在全國范圍內得到廣泛應用,并且通過實施技術標準不斷推動我國自主知識產權的電子政務業務系統的發展。
3電子政務中的標準化技術
3.1總體標準
以下幾點是總體標準所包含的的具體內容主要:術語標準。設置術語標準的主要目的是為了使所獲得術語集更加標準化,使術語集當中所包含的所有術語和相關概念形成一個良好的對應,最大限度避免出現歧義,使人們產生誤解。在我國電子政務領域當中,術語標準主要是將該領域所涉及到的技術和所使用的通用術語匯集起來,比如數據處理、各種信息技術以及漢語信息處理等等,并且對其進行定義,不僅需要定義術語的本質特征,還需要對其進行相應的解釋。中文信息處理標準。從全球范圍內來看,為了便于應用,絕大多數國家和地區制定都已經制定出了相應的內碼體系,并且設置了相應的編碼標準。要想實現我國電子政務的標準化建設工作,首先必須對中文信息進行科學有效的處理,尤其是漢語信息和漢字信息的處理是不可或缺的兩大重要部分。
3.2信息安全標準
以下兩個方面是信息安全標準的具體內容表現:密碼算法標準。密碼技術是保護信息安全的重要手段,信息交互雙方可以自己的實際需要在交換信息階段使用。從嚴格意義上來說,密碼技術屬于一種交叉性學科,該技術將眾多的學科有機地結合在了一起,其中,最主要的有通信、科學以及計算機等等,除了具有確保信息機密性的信息加密功能以外,還具有系統安全、秘密分存、身份驗證以及數字簽名等功能。密鑰管理標準。密碼系統主要包括兩大基本要素,密鑰管理是其中一大要素,另外一大要素則是加密算法。由于密碼系統通常會被反復多次的使用,因此,如果僅僅只是依靠密碼算法根本無法充分保證信息的安全性。密鑰是對解密算法和加密算法進行有效控制的關鍵信息,密鑰系統能夠為加密信息的安全性提供重要保障。
3.3網絡基礎設施標準
網絡基礎設施標準的具體內容主要包括以下兩點:網絡建設規范。網絡建設規范的基礎是建立“三網一庫”,具體而言,就是在政府機關的內部建立起辦公業務網,并且在條件允許的情況下,與其辦公業務網之間實現相互連通,最終建立起一個地區級的政務專網,從而使政府內部的信息能夠實現共享。因此,網絡建設規范除了需要包括電子政務公眾服務網建設規范以外,同時,還必須包括電子政務辦公業務網建設規范。網絡維護管理規范。通信網絡的建設是信息高速公路不可或缺的重要部分,而電子政務運行于信息高速公路之上必然也離不開網絡的建設。目前,國家電聯、國際標準化組織以及部分民間團體均已經制定出了一系列網絡管理標準,極大地推動了網絡管理標準化的進程。當然,在電子政務領域中,由于電子政務系統具有特殊性,因而應該在充分借鑒這些標準的基礎上,努力制定出對電子政務外網、內網以及專網等的管理標準。
3.4應用支撐標準
第8篇:電子政務論文范文
云計算(cloudcomputing)的核心概念是指從遠程位置通過互聯網按需地提供計算服務,而不是通過部署個人電腦,筆記本,移動手持設備或甚至本地企業服務器來達到相同目的。通過將計算機硬件架構,軟件框架、存儲服務器和應用資源封裝在“云端”,客戶通過互聯網按需獲取數據處理、數據共享和管理的服務。所以“‘云’是指各種虛擬化的計算資源池,它包括各種用于構造應用程序的基礎設施,以及在這些基礎設施上具體云計算應用”。通常認為,云計算服務包括“軟件作為服務”(SaaS,SoftwareasaService)、“平臺作為服務”(PaaS,PlatformasaService)以及“基礎設施作為服務”(IaaS,InfrastructureasaService)。
2.云計算下電子政務平臺的數據庫整合與共享
2.1改革思想,深化危機意識
各級政府部門需要重新定位,深化改革意識,提升對信息孤島危害的認識,產生消除信息孤島的原動力。唯有觀念上的轉變,改變政府部門間的協作模式,打破各自為政和互不關聯的“孤島”式管理模式,對數據多頭使用、重復輸入輸出和大量冗余產生極大的效率代償有充分的認識,才能可能積極對縱向和橫向的數據資源整合與共享,從而推進云計算服務框架下電子政府的改革發展。
2.2整合調研,制定標準
產生信息孤島的原因之一是政府機構在電子政務不同發展時期所采用的硬件設施和數據庫版本互不兼容;或者不同政府部門缺乏戰略規劃與合作,獨立采購不同公司的硬件架構和數據庫類型,導致不同時期不同政府機構的數據碎片化嚴重,形成一座座孤島,無法交流以及共享。所以在搭建云計算之前,需要調研、分析、提煉和抽象出數據共享范圍內各個機構的數據結構,數據關系以及數據用途,為標準化做準備。接著需要根據調研結果制定數據庫存放標準和共享機制。具體來說,應該包括數據庫的總體規范,數據格式標準,交換共享標準以及管理規范等。
2.3電子政務云數據庫整合
雖然云計算的概念結合當代信息技術的發展在趨向逐漸清晰和統一的過程中眾說紛紜,但是可以認為是前文中提到的核心概念的引申或者具體化。在消除電子政務信息孤島問題的環境中,具體化的云計算定義應該是:縱向層級的政府機構和橫向劃分的職能政府部門中應用在電子政務中的計算機基礎服務設施、軟件和數據庫部的開發、部署、維護和升級等由標準化的第三方計算力服務提供商供給,或者建立專門的CIO(chiefinformationofficer)機制,通過制定標準化的數據整合和共享機制,將來自不同部門的數據按照標準整合,最終得到能夠為各個部門所用共享型數據。而不再是一個委,一個局或者一個街道辦就采用一套IT設施,實行各自一套不通用和難以共享的數據庫標準。基于云計算的電子政務信息系統能夠將“分布式存儲,分布式訪問”的計算機系統整合到統一標準的硬件軟件框架和數據庫,從而實現資源和數據統一管理和共享,不單只能夠實現云平臺的資源最大化,還可以充分消除一個個信息孤島。
根據制定的數據共享規范,在云計算框架下建立統一的數據信息共享和管理平臺。為了達到數據共享的目的,需要重點設計共享型數據庫和數據倉庫的模型。傳統的“萃取、轉置、加載”(ETL,Extract、Transform、Load)的開發理念可以將不同數據源的數據進行萃取轉換和整合到一個統一的數據倉庫中。這是數據共享的前提和重要的一步。數據轉換整合的幾個步驟包括:元素化,標準化,校驗,匹配和文檔化等。通過現有的數據庫,規范化設計出執行于云端的,可以為各個不同來源和不同類型的數據提供數據整合、存儲、分析,以打造共享的數據分享平臺這最終目的。
3.總結
第9篇:電子政務論文范文
電子政務系統的應用軟件一般規模比較大,軟件在應用過程中面向的用戶較多,系統結構和業務流程相對復雜,以Web應用為主要實現方式。因而,系統安全常見的風險主要有Web應用的SQL注入漏洞、表單繞過漏洞、上傳繞過漏洞、權限繞過漏洞、數據庫下載漏洞等。同時也常常存在應用系統管理員賬戶空口令或弱口令、未設置應用賬戶口令復雜度限制、無應用系統登錄和操作日志等風險。在軟件應用安全層面,安全方面的保證沒有統一的方法和手段。在保證整個系統安全運行過程中針對信息安全的部分,如對數據庫訪問安全,訪問控制,加密與鑒別等應用層面的安全防護,主要從客戶端避免和減少人為非法利用應用程序,從應用軟件設計、實現到使用維護,以及應用軟件對系統資源、信息的訪問等方面保證安全。
二、軟件應用安全要求與技術防護
2.1身份鑒別與訪問控制
用戶身份認證是保護信息系統安全的一道重要防線,認證的失敗可能導致整個系統安全防護的失敗。電子政務系統的用戶對系統資源訪問之前,應通過口令、標記等方式完成身份認證,阻止非法用戶訪問系統資源。從技術防護的角度來說,軟件應保障對所有合法用戶建立賬號,并在每次用戶登錄系統時進行鑒別。軟件應用管理員應設置一系列口令控制規則,如口令長度、口令多次失敗后的賬戶鎖定,強制口令更新等,以確保口令安全。軟件應用中對用戶登錄全過程應具有顯示、記錄及安全警示功能。用戶正常登錄后,為防止長時間登錄而被冒用等情況,系統應有自動退出等登錄失效處理功能。此外,應用系統需要及時清除存儲空間中關于用戶身份的鑒別信息,如客戶端的cookie等。系統軟件應用中的文件、數據庫等客體資源不是所有用戶都允許訪問的,訪問時應符合系統的安全策略。系統中許多應用軟件在設計和使用過程中經常會有權限控制不精確,功能劃分過于籠統等現象,影響了系統的安全使用。目前,從應用軟件的研發和技術實現來看,授權訪問控制機制多采用數據庫用戶和應用客戶端用戶分離的方式,訪問控制的粒度達到主體為用戶級,客體為文件、數據庫表級。在分配用戶權限時,用戶所具有的權限應該與其需使用的功能相匹配,不分配大于其使用功能的權限,即分配所謂“最小授權”原則。對于系統的一些特殊用戶或角色(如管理和審計)如分配的權限過大,則系統安全風險將過于集中,因此,應將特別權限分配給不同的用戶,并在他們之間形成相互制約的關系。
2.2通信安全
電子政務系統應用軟件的設計、研發以及應用過程中,需要重點關注通信安全,特別是對通信完整性的保護。除應用加密通信外,通信雙方還應根據約定的方法判斷對方信息的有效性。在信息通信過程中,為使通信雙方之間能正確地傳輸信息,需要建立一整套關于信息傳輸順序、信息格式和信息內容等的約定,因為僅僅使用網絡通信協議仍然無法對應用層面的通信完整性提供安全保障,還需在軟件層面設計并實現可自定義的供雙方互為驗證的工作機制。而且,為防止合法通信的抵賴,系統應具有在請求的情況下為數據原發者或接收者提供數據原發或數據接收證據的功能。為保障信息系統通信的保密性,應用軟件需具備在通信雙方建立連接之前,首先利用密碼技術進行會話初始化驗證,以確保通信雙方的合法性的能力。其次,在通信過程中,能保證選用符合國家有關部門要求的密碼算法對整個報文或會話過程進行加密。通信雙方約定加密算法,對信息進行編碼和解碼。此外,應用軟件中需設置通話超時和自動退出機制,即當通信雙方中有一方在一段時間內未做任何響應,這表明可能存在通信異常情況,另一方能夠自動結束會話,以免造成信息在通信過程中的泄露。
2.3安全審計
安全審計通過采集各種類型的日志數據,提供對日志的統一管理和查詢,使用特定規則,對系統軟件應用狀態實時監視,生成安全分析報告。安全審計的應用,能夠規范系統用戶的軟件應用行為,起到預防、追蹤和震懾作用。安全審計應用要覆蓋所有用戶,記錄應用系統重要的安全相關事件,包括重要用戶行為、系統資源的異常使用和重要系統功能的執行等。記錄包括事件的日期和時間、用戶、事件類型、事件是否成功,及其他與審計相關的信息,并有能力依據安全策略及時報警和中斷危險操作。此外,審計記錄應受到妥善保護,避免受到未預期的刪除、修改或覆蓋等操作,可追溯到的記錄應不少于一年。在日常審計的基礎上,應通過分析審計記錄,及時發現并封堵系統漏洞,提升系統安全強度,定位網絡安全隱患的來源,舉證系統使用過程中違法犯罪的法律、刑事責任。電子政務系統軟件應用安全審計可結合網絡審計、數據庫審計、應用和運維日志審計進行,幾乎全部需要定制開發。
2.4系統資源控制
電子政務系統的資源使用主要體現在CPU、內存、帶寬等資源的使用上,在這個過程中,除了系統軟件以外,應用軟件也需要建立一組能夠體現資源使用狀況的指標,來判斷系統資源是否能滿足軟件應用的正常運行要求,當系統資源相關性能降低到預先規定的最小值時,應能及時報警。并對資源使用的異常情況進行檢測,及時發現資源使用中的安全隱患。系統資源應保證優先提供給重要、緊急的軟件應用。因此,在資源控制的安全策略上應設定優先級,并根據優先級分配系統資源,從而確保對關鍵軟件應用的支持。技術實現上設計用戶登錄系統時,軟件為其分配與其權限相對應的連接資源和系統服務,為防止系統資源的重復分配,應禁止同一用戶賬號在同一時間內并發登錄,并且,在用戶登錄后防止長時間非正常占用系統資源,而降低系統的性能或造成安全隱患,通常設計根據安全策略設置登錄終端的操作超時鎖定和鑒別失敗鎖定,并規定解鎖或終止方式。同樣,系統對發起業務的會話分配所用到的資源,也采用根據安全屬性(用戶身份、訪問地址、時間范圍等)允許或拒絕用戶建立會話連接,對一個時間段內可能的并發會話連接數和單個用戶的多重并發會話數量進行限制。在系統整體資源的使用上,對最大并發會話連接數進行限制。此外,對電子政務系統被刪除的文件等的剩余信息,特別是涉及國家秘密、敏感信息的內容,一定要重點關注并加強安全保護。可采用下列技術實現保護:(1)采用先進的磁盤讀寫技術對磁盤的物理扇區進行多次反復的寫操作,直到擦寫過后的磁盤扇區內數據無法恢復;(2)根據不同的分區格式進行采用不同的數據銷毀處理算法,對文件在磁盤上所有存放位置進行逐個清除,確保文件不會在磁盤上留下任何痕跡;(3)進行目錄、剩余磁盤空間或整個磁盤的數據銷毀,銷毀后的目錄、剩余磁盤空間或者整個磁盤不存在任何數據,無法通過軟件技術手段恢復。
2.5軟件代碼安全
在電子政務系統應用軟件開發之前,要制定應用程序代碼編寫安全規范,要求開發人員遵從規范編寫代碼。應用程序代碼自身存在的漏洞被利用后可能會危害系統安全。因此,應對應用軟件代碼進行安全脆弱性分析,以幫助其不斷改進完善,從而有效降低軟件應用的安全風險。研發工作結束后,應及時對程序代碼的規范性進行審查,以查找其設計缺陷及錯誤信息。代碼審查一般根據需要列出所需資料清單,由應用軟件使用方收集并提供相應的材料。代碼測試人員與開發人員書面確認測試內容和過程,配置運行環境,對代碼進行預編譯操作,確認可執行使用。然后使用特定的測試工具進行代碼的安全測試操作,對測試結果進行分析。對發現的問題進行風險分析和估算,制作軟件缺陷、問題簡表,撰寫測試報告并交付開發方修改,并對已經整改的部分進行復測。值得注意的是,那些已經通過安全測試的代碼,還需要運行在通過安全測試的支撐平臺、編譯環境中才能實現真正的安全運行。
2.6軟件容錯
電子政務系統中應用軟件的高可用性是保障系統安全、平穩運行的基礎。軟件容錯的原理是通過提供足夠的冗余信息和算法程序,使系統在實際運行時能夠及時發現錯誤,并能采取補救措施。對系統軟件應用安全來說,應充分考慮到軟件自身出現異常的可能性。軟件在應用過程中,除設計對軟件運行狀態的監測外,當故障發生時能實時檢測到故障狀態并報警,防止軟件異常的進一步蔓延,應具有自動保護能力,即當故障發生時能夠自動保存當前所有狀態。此外,操作人員對應用軟件的操作可能會出現失誤。因此,系統應對輸入的數據、指令進行有效性檢查,判斷其是否合法、越權,并能及時進行糾正。關鍵功能應支持按照操作順序進行功能性撤銷,以避免因誤操作而導致的嚴重后果。
三、結語
