电子保障范文(精选12篇)
电子保障 第1篇
电子政务信息安全风险分析
电子政务信息资源是在政务活动中产生的, 既有政府部门在实施行政监管和公众服务中产生的大量的个人信息 (自然人和法人) , 也有涉及核心政务和国家安全的机密信息。这些信息一旦泄露或是被非法滥用, 小则侵犯个人隐私, 大则关系到政府部门、各大系统乃至整个国家的利益。电子政务信息安全面临的风险主要有以下六个方面:
1. 法律法规不完善
信息安全法律法规的健全与否直接关系着电子政务信息资源共享的安全, 关系着国家利益和公众利益。目前我国已经出台了《中华人民共和国保守国家秘密法》、《中华人民共和国电子签名法》、《中华人民共和国政府信息公开条例》、《中华人民共和国计算机信息系统安全保护条例》等相关的法律法规。但电子政务信息资源共享是一项系统、复杂的大工程, 它涉及多部门、多地区、多阶层, 在实践工作中, 法律法规的缺位和不到位现象时常出现, 信息安全的立法还存在相当多的盲区。此外, 由于网络犯罪存在隐蔽性和高科技性的特点, 给侦破和审理工作都带来了极大的困难, 最终造成执法部门的打击力度有限, 使一些违法情况及当事人并得不到应有的处理和制裁。
2. 安全管理不规范
在电子政务建设过程中, 由于部分工作人员安全意识不高、安全管理体制机制制定不完善等原因导致出现的信息安全问题不在少数。一个单位对网络的安全等级和防护能力的重视程度决定了其工作人员的工作态度的优劣和网络安全意识的高低。
根据对现有的网络攻击和入侵事件的一项统计报告显示:国外政府入侵的安全风险指数为21%, 黑客入侵的安全风险指数为48%, 竞争对手入侵的安全风险指数为72%, 组织内部不满雇员入侵的安全风险指数为89%。据调查, 在已有的网络安全攻击事件中, 约70%是来自内部网络的侵犯。这种侵犯可以分为两种:一种是由于内部人员安全意识不强而导致的无意失误;另一种则是人为有意破坏。在我国公安部门破获的网络入侵案件中, 90%以上的案件都是可以通过加强和规范管理来避免的。
3. 计算机、网络技术局限性
信息技术、计算机网络技术的广泛应用, 是电子政务建设的前提, 为电子政务信息资源的管理和应用带来了极大的便捷。但是, 网络技术本身并不是十全十美的, 它也存在漏洞和缺陷, 这些都为电子政务信息的窃取、盗用、非法增删及各种扰乱、破坏创造了条件。
首先, 软件本身缺乏安全性, 包括操作系统、应用平台和应用系统的安全性。目前, 操作系统的设计一般着重于提高信息处理的能力和效率, 对于安全只作为一项附带条件加以考虑;数据库服务器、电子邮件服务器等应用平台也存在大量的安全隐患, 很容易受到病毒、黑客攻击;直接面向用户的应用系统也存在着信息泄露、信息篡改、信息抵赖、信息假冒等威胁。
其次, 我国具有自主知识产权的信息设备、技术、产品较少, 计算机芯片、骨干路由器和微机主板等基本上都是从国外进口, 对发达国家信息设备和技术存在很大依赖性, 并且对引进的技术和设备缺乏必要的技术改造, 这也给电子政务信息资源共享带来了严重的安全隐患。
最后, 由于网络基础设施不完善带来的网络安全隐患, 主要表现在:物理通路损坏和窃听对物理通路的攻击;窃听网络链路传送的数据;拦截或监听非法用户与非授权客户非法使用造成的网络路由错误信息。
4.自然灾害影响
电子政务系统是在一定的地域环境下运行的, 使它无法避免的会遭受自然灾害的影响, 水灾、火灾、地震、闪电、雷击等自然灾害都有可能给系统造成灾难性的破坏。
此外, 计算机系统本身的温湿度变化、磁场、污染、供电不正常等影响都可能造成系统不能正常运行, 从而造成数据的丢失。
5.专业人才匮乏
电子政务信息资源共享的安全离不开专业技术人员的保障, 我国信息安全人才的培养才刚刚起步, 人才储备远远不足, 精通信息安全理论和从事信息安全研究的尖端人才缺乏, 并且国家在信息安全教育方面的宣传和普及力度不够。
建立健全电子政务信息安全机制的对策建议
为了保障电子政务信息资源共享安全, 从国家到地方, 都必须建立健全电子政务信息资源共享安全机制, 包括安全管理体系、安全组织体系、安全技术体系和安全基础设施, 涉及从管理到组织, 从网络到数据, 从法规标准到基础设施等各个方面。
1.加强国家总体协调
电子政务信息安全保障工作是一个综合性的国家行为和政府行为, 不是某个地区、某个部门能独立完成的, 需要统一领导、统筹规划、统一标准、条块协调、共同防御。
目前, 我国负责信息安全工作的机构有国家安全部、国家保密局、国家密码管理委员会、工信部等多个部门, 由于职责分工不清晰, 在许多具体实施的过程中缺乏统一性。因此, 必须从法律上明确国家信息安全工作的管理机构以及各个机构的职责范围, 在各个层面上都力求做到分工明确, 各司其责。
从我国目前情况看, 建议组建国家信息安全委员会, 并在各省市建立垂直管理机构, 组织国家安全、公安、保密等职能部门, 明确电子政务建设中信息安全的分工, 对国家信息安全政策统一步调、统筹规划。只有周密部署从国家到地方、从横向到纵向的安全管理组织网络, 才能真正实现电子政务信息资源共享的全面安全等级保护。
2.健全信息安全方面的法律法规
法律是保障电子政务信息安全的最有力手段, 发达国家已经在政府信息安全立法方面积累了成功的经验, 如美国的《情报自由法》和《阳光下的政府法》、英国的《官方信息保护法》、俄罗斯的《联邦信息、信息化和信息保护法》等。我国立法部门应加快立法进程, 吸取和借鉴国外网络信息安全立法的先进经验, 尽快制定和颁布与个人隐私保护、网络信息安全、预防和打击计算机犯罪、网上知识产权等相关的法律法规, 以完善我国的网络信息安全的法律体系, 使电子政务信息安全管理走上法制化轨道。在制定信息安全法律法规时, 要把信息安全法制保障的重点从单纯的“规范”、“控制”转移到为信息化的建设与发展“扫清障碍”上来, 由规范发展达到保障发展, 由保障发展实现促进发展, 同时在立法思路和具体法律法规的制定上, 要与国际接轨, 做到与国际信息安全的法律体系相契合。另外, 相关执法部门要进一步严格执法, 提高执法水平, 对各种违法犯罪情况要严加追究, 绝不姑息, 对各种隐患要及时加以预防和制止。
3. 加强技术研发和标准化建设
技术保障是电子政务信息资源共享安全保障的基础, 只有加强核心技术的研发, 尽快拥有自主知识产权和关键技术, 才能从根本上摆脱对外国技术的依赖, 确保我国电子政务的安全。有关部门要加大科技投入力度, 尽快发展有自主产权的信息安全产业, 建立信息安全技术的创新中心, 加强安全技术的研究与开发, 增强电子政务信息资源共享安全保障的能力。
目前, 在电子政务信息资源共享安全方面应加强以下三种技术的研究:一是能逐步改善信息安全状况、带有普遍性的关键技术, 如密码技术、鉴别技术、病毒防御技术、入侵检测技术等;二是创新性强、可发挥杠杆作用的突破性技术, 如网络侦察技术、信息监测技术、风险管理技术、测试评估技术和TEMPEST技术等;三是能形成“撒手锏”的战略性技术, 如操作系统、密码专用芯片和安全处理器等。还要狠抓技术及系统的综合集成, 以确保电子政务信息系统的安全可靠。
此外, 信息安全的标准化建设也是电子政务安全保障体系的重要组成部分。美国从20世纪70年代初就开始制定信息技术的安全标准, 现在已经形成了由国家标准化协会制定的国家标准 (ANSI) 、由国家标准局制定的联邦信息处理安全标准 (FIPS) 以及由国防部制定的信息安全指令和标准 (DOD) 三位一体的国家信息安全标准体系, 从不同角度规范国家的信息安全。为了保障我国电子政务信息资源共享安全, 也要加紧制定一套具有中国特色的电子政务信息安全标准体系, 只有这样, 才能真正保证标准的统一性、权威性和可行性。
4. 完善信息安全管理制度
安全管理制度可以在很大程度上防止由人为因素导致的安全问题的产生, 为了保障电子政务信息资源共享安全, 各级政府及政府各个部门都要严格按照《中华人民共和国计算机信息系统安全保护条例》和《计算机信息网络安全保护管理办法》的规定, 在国家、省安全管理部门的指导下, 建立本单位、本部门、本系统的组织领导管理机构, 明确领导及工作人员的责任, 制定管理岗位责任制及有关措施, 严格内部安全管理机制, 并对破坏电子政务信息安全的事件进行调查和处理, 确保网络信息的安全。制定政府部门内部的安全管理制度主要从文档资料的管理、安全等级的保护、灾难响应与应急处理、系统运行环境的安全管理、人员安全的管理等几个方面入手。
5. 加强信息安全人才队伍建设
电子政务信息安全人员的安全意识、素质水平、创新能力直接影响到电子政务信息的安全。美国非常重视信息安全人才的教育和培养, 2002年2月, 美国政府通过了《网络安全研究与开发法案》, 该法案使美国对网络安全人才的培养进入了法制化, 并明确规定国家有义务资助其开展研究工作。该法案要求美国政府在未来5年内投资8.78亿美元, 用于计算机和网络安全人才的培养, 重点支持网络安全专业博士生和博士后进行研究的项目。我国应该充分发挥教育资源优势, 联合高校培养信息安全高级人才, 同时通过大众传播媒介、远程教育组织各种专题讲座和培训班, 逐步提高信息安全人才的专业素质。同时, 不断加强对政府各级人员的教育、培养和管理, 增强各级人员的信息安全意识、遵纪守法意识, 提高其保障信息安全的能力。
电子商务发展战略与体制保障论文 第2篇
摘要:基于我国经济发展进入“新常态”,电子商务成为经济增长的新动力,因此如何在经济新常态下完善电子商务发展战略与体制是当前电子商务发展的重要任务之一。本文以经济新常态下我国电子商务发展的重要地位作为论述切入点,阐述经济新常态下电子商务发展战略与体制保障的策略。
关键词:经济新常态;电子商务;战略;体制
我国经济新常态发展背景下电子商务作为“互联网+”战略的重要组织部分,不断发挥电子商务的创新优势,以创新思维推动产业转型与升级,为经济增长提供强大的动力,为经济可持续发展提供了重要的支撑。在经济新常态下,我国要进一步完善电子商务发展战略、优化体制保障,以此推动电子商务的健康发展。
一、经济新常态下电子商务发展的重要地位
我国正处于从传统经济增长点向供给侧结构性改革方向发展,其中电子商务是新兴产业的重要组成部分。我国电子商务交易额超过20万亿元,其中跨境电商交易规模到达6.3万亿元。随着电子商务的快速发展,电子商务已经融入社会的各个领域,例如电子商务与农业产业的对接、电子商务与物流行业的对接以及电子商务与金融体系的融合等等。电子商务在经济新常态发展体系中占据重要的地位。首先,电子商务是产业升级及供给侧结构性改革的.重要举措。通过电子商务的快速发展,有效地解决了产能过剩的问题;通过电子商务可以帮助企业及时了解市场并对生产能力进行准确的调整,从而降低企业的盲目生产性。其次,电子商务推动我国经济可持续发展。在“互联网+”模式下,电子商务助推地方经济打造了新的发展模式,尤其是越来越多的企业采用“线上线下”相结合的模式,实现了产业经济的可持续发展,提高了地方经济的科技创新能力,电子商务已经成为引领经济常态发展的重要因素。
二、经济新常态下电子商务发展战略
(一)加强电子商务人才培养
一是加大人才引进力度,采取任期聘任、项目承包等多种形式引进海内外高层次电子商务人才,推动我国电子商务人才梯队建设。要强化高端人才生活保障、创新创业良好环境,提供高水平公共服务产品,让高端电子商务人才“留得住、用得上”。二是引导电子商务企业加强内部培训,提高企业员工岗位工作水平,强化员工信息化知识和应用技能能力提升,满足企业发展对电子商务人才的需要。三是深化电子商务产学研合作,加快培养电子商务人才。通过深化高校教学改革,高等院校、职业院校强化政、行、企、校合作育人机制建设,加大校企合作力度,加快电子商务专业人才的培养。
(二)进一步加快网络基础设施的建设
电子商务的商务活动开展基于信息网络通信的建设,以必要的信息基础设施建设作为支撑。基础设施建设涵盖多样化的信息技术开发、信息传输网络建设、信息传输设备开发等一系列基本的建设。目前从电子商务发展的形式来看,需要达到实际环节的实时互联网交易,必须要求网络的匹配速度和相应的带宽,由此需要硬件水平对网络速度的支持。当前,我国网络的基础设施建设仍与企业发展需要、人民消费需要之间还存在较大的差距。有些地方的基础设施建设相对落后,已经形成的网络水平也十分低下,公众出的使用费用相对较高,网络的速度还有巨大的提高空间,距离快的响应还有一定的差距。这就需要进一步加强基础设施建设的力度和水平,这也是我国顺利实施电子商务战略的重中之重。
(三)完善电子商务贸易体系
经济新常态下我国电子商务的发展,需要完善电子商务贸易体系。通常,一个完整的电子商务贸易体系包括:电子合同有效性、交易双方的合法性,以及监督管理的实效性等问题,这些是规范电子商务有序发展的关键所在。经济新常态下促进我国电子商务的发展,需要完善电子商务交易体系,并通过多种途径确保电子商务贸易能够安全稳定开展就显得非常重要。电子商务贸易体系建设与物流发展关系密切。当前,随着多年的发展,以邮政物流、顺风物流、圆通物流、中通物流等企业为主体,我国的物流体系已经初步建成,但是整体的实力还不够强,还需要继续完善、提升质量,从而满足电子商务快速发展的需要。在这种背景条件下,我们就需要充分运用好企业和政府各自的资源优势,逐渐构建一个充分竞争、对外开放的物流配送体系,满足更加多元的物流运输需求,为电子商务的发展创造更好的条件。
三、经济新常态下电子商务发展的体制保障
(一)电子商务的信用制度保障
电子商务从出现到现在,信用体系建设一直没有达到理想的发达程度,交易双方的信用问题没有得到很好的解决,因此要进一步完善信用制度建设。首先,要建立职业道德体系。通过规范职业监管、社会监管以及个人的信用评价,从而营造一种长治久安的信任制度。其次,建立相应的法律法规体系。要继续完善电子商务法律法规体系,为保障电子商务企业经营、消费者权益和整个交易体系运行发展提供良好的法律环境。在目前我国法律法规还不是十分完善的情况下,通过第三方机构的权威性来保证电子商务的正常开展也是重要的手段之一。
(二)建立电子商务税务制度
政府应当进行全面深入研究,制定促进我国电子商务的税收政策。首先,要研究如何通过税收优惠政策促进电子商务的健康发展,同时带动相应的高新科技产业发展。如免征电子商务的营业税、对通过电子商务进行服务业的免征营业税、利用电子商务进行国际贸易的可以增加出口退税等。其次,根据不同的电子商务模式来建立税务登记制度。根据电子商务的不同模式来区别对待,建立电子商务的税务登记制度。
(三)强化电子商务安全体制保障
电子商务的安全主要包括网络安全、数据安全以及支付安全。加强电子商务安全体系保障,必须要建立电子商务市场准入,强化政府主体监督责任和企业主体责任,提高电子商务体系的安全保障。同时,还要完善相应的法律制度体系,发展电子商务安全技术,全面保障电子商务的安全。
参考文献:
[1]王娟娟,秦炜.一带一路战略区电子商务新常态模式探索[J].中国流通经济,.
[2]孙春光.关于企业电子商务发展战略的思考[J].环球市场,(28).
“一体化云”保障扬州电子政务安全 第3篇
前,正值“十二五”承上启下的关键时期,国家电
子政务发展面临新的环境和要求,新形势下必须清醒地认识到电子政务发展中存在着一系列严峻挑战。
而以云计算技术为基础,开展国家电子政务公共平台顶层设计,充分发挥既有资源的作用和新一代信息技术潜能,是加快电子政务发展创新、减少重复浪费、避免信息孤岛、创建技术系统的必然选择。《国家电子政务“十二五”规划》明确提出“制定电子政务云计算标准规范、鼓励向云计算模式迁移”的发展目标。
据此,扬州市自2011年起,按照基于云技术的电子政务信息安全一体化保障理念,相继组织开展党政机关网站集群化、互联网接入统一化和桌面办公虚拟化管理的探索实践,进一步提升了当地电子政务信息安全保障能力,确保政府信息系统安全可靠运行。
“一体化”解决“老大难”
目前,扬州市电子政务建设存在三大层面的问题:在桌面终端层,因终端种类繁多,桌面环境和需求不尽相同,其分布性有碍资源集中、利用率提升和成本降低,伴随着巨量分散风险,终端安全不容乐观;在接入访问层,存在接入分散、接入点量多、安全管理和防护措施参差不齐、安全隐患日益突出等现实问题;在业务应用层,政务信息系统的使用有分布式办公、移动办公、异地办公等不同条件下安全高效的协同办公需求。
以往,终端安全、接入安全和应用访问安全耗费大量人力和物力。引入云计算后,将“基于云技术的电子政务安全一体化保障”作为新的突破口。由此,完成基于云技术的电子政务信息安全一体化保障顶层设计,确定一体化保障的规划、设计、建设、实施、运行和终止等安全周期的安全制度措施和安全管理机制,降低一体化保障建设和运维风险、提高保障防护的量化目标,确定一体化保障的安全框架和安全功能。
基于“适度安全、综合防范”原则,扬州市着力推动基于云技术的电子政务信息系统安全一体化保障建设,以实现保障用户“端”业务与信息到“云”间的安全隔离,推动电子政务信息安全风险由分散转为集中,并全部由云平台提供技术支撑、运维服务和安全保障。
扬州市利用云安全技术,建设了四个基础一体化,即身份认证一体化、授权管理一体化、等级保护一体化、风险评估一体化,构建安全一体化保障的基础平台。在这些基础平台上,从三个层面保障电子政务安全:自身安全涉及本身的物理环境、网络、主机、所承载数据和支撑业务软件等方面的安全;应用访问安全将安全保障以服务的形式提供,如安全网站群、安全办公云,用户按需选择并安全访问业务应用;接入安全是内外部的终端、网络和应用接入云平台涉及的安全。此外,还从资源安全保障、安全实施、安全运维、安全管理四个维度,对自身软硬件资源、对外提供的服务以及接入安全,提出相应安全技术和管理保障要求。
拓展“一体化”实践成果
安全网站群案例
“中国扬州”政府门户网站群于2011年采用了云计算模式,整合了109个党政机关部门网站,之所以未构建于集群化平台上,主要是因集群不利于扩展、不能按需分配及难以运维管理。基于云计算、虚拟化的网站群体系架构,为实现业务扩展需求提供了一条可用技术路线。
系统架构:首先,集成云计算所需的基础设施,搭建云计算平台,即在物理机上安装虚拟化系统和云计算资源管理系统,纳入云计算资源,形成IaaS。而后,在其上部署支持网站群运行的基础软件, 形成PaaS,部署支持网站群建设和管理的应用软件,形成SaaS。最终,在云计算资源管理平台支持下,为用户提供子站服务。
设计与实践:一是建设基于虚拟化技术的安全防护体系,提供计算存储和应用资源的合理分配,并利用虚拟化之间的逻辑隔离实现子站间的信息安全;二是采用安全服务中心应对无边界的安全防护,和传统安全模型强调边界安全不同,由于资源高度整合,使得云模式下的安全只能基于逻辑划分并隔离,不存在物理边界。同时,应建立安全通道保障信息交换链路的安全。实践表明,高效集中式的安全防护体系能够充分保障网站安全。
互联网安全集中接入案例
系统架构:充分利用市政府云计算中心实现互联网接入统一化。从技术和管理两方面入手,基于云技术建设党政机关统一的互联网接入平台,解决互联网电子政务的信息安全问题,实现应用与安全两利。
设计与实践:按照“电子政务外网统一建设、互联网统一接入、公共服务统一开展、安全管理统一实施”的原则,统筹规划和整合全区各机关部门的互联网接入口,建立统一的安全防护策略和措施,实施集中统一的安全监控,达到统一互联网接入口、优化带宽使用、减少信息安全风险、降低互联网接入费用的目的。
将市级党政机关统一接入到云计算中心,通过移动、电信、联通、广电等四大出口并采用负载均衡、冗余备份、智能DNS解析等方式集中接入互联网;采用防火墙加强边界防护,采用网络入侵防御系统和网络审计系统,加强安全防护;以市电子政务网站及重要信息系统安全监测平台为技术支撑,加强对云平台各应用的实时监测与预警处置。
安全办公云案例
体系架构:依托市政府云计算中心搭建安全办公云平台,建立统一的协同办公综合数据库;应用系统安全集成,集成各部门业务应用系统,满足协同办公的安全需求。基于服务器虚拟化技术、桌面虚拟化技术、电子政务CA认证体系等安全手段,保证网上协同办公信息的完整性、可用性、可靠性和不可抵赖性。
设计与实践:安全办公云分虚拟存储层、虚拟服务器层、管理和应用层、虚拟桌面层四个层次。虚拟存储系统是在共享存储系统的基础上整体建立服务器集群,使用更少的冗余部件的同时,自动检测故障;利用虚拟存储层和服务器集群层提供硬件资源池,建立虚拟机资源;在管理和应用层,建立管理服务和用户认证等管理功能;通过虚拟桌面技术,办公数据由之前零散存放转移到了在更有保障的机房环境中进行集中存放,由专业技术人员统一运维管理。
安全办公云模式使得传统数据的安全性得到有效提升,实现了对数据的绝对控制,做到了终端数据流访问,充分保证信息、资料不外泄。假设用户申请应用系统,仅需用预置好的模板初始化系统,只需几分钟就可以重新部署;系统也可对资源进行更颗粒化的划分,进一步提高了硬件资源利用率,有效节约成本。
今后,扬州市还将在目前已经形成的信息安全工作“适度安全、综合防范、省市联动”的良好格局基础上,按照《国家电子政务“十二五”规划》要求,深入研究云计算模式在电子政务发展中的作用,全面分析新技术对电子政务公共平台发展的影响和全方位业务协同、信息资源共享及信息安全保障对电子政务公共平台发展的需求,拓展一体化保障实践成果,创新开展以云计算为基础的电子政务公共平台顶层设计试点工作,以智慧政务领航智慧扬州建设。
电子文件管理安全保障策略探究 第4篇
关键词:电子文件,管理,策略
一、电子文件安全管理现状
电子文件管理工作是整个管理部门工作中最基础的一项,这也是整个部门工作中不能丢失的一项工作,责任重大,但长时间内,还是会出现一些不和谐的现象,使得文件的利用率得不到提高,大跌眼镜,这也从一定意义上反映出了工作人员的办事效率,使得丰富的电子文件资源不能很好的被应用。根据调查所得的数据和掌握的有关情况,发现在电子文件管理上与国家的标准相比之下还有一定的距离。主要的问题是出于软件和硬件上,软件上是电子存储相关电子软件安全的问题,硬件上是设备落后和存储环境的问题,这都需要我们加紧完善改革的步伐,防患于未然。具体体现在:
一是电子文件管理队伍素质不高。在电子文件管理的过程中,管理人员的素质高低很大程度上决定了电子文件管理的好坏。通过我们对各电子文件管理部门的调研,得出一个结论:只有管理人员的素质提高了,电子文件管理的水平才能提高。这个结论证明了管理人员的素质与电子文件的有效管理是息息相关的。随着电子文件管理的水平不断的提高,电子技术的不断更新,使得文件管理的过程也都有新技术的身影出现,现在的电子文件管理已经形成了一门学科,备受关注。
二是电子文件保存设备及场所设施不够完善。如:没有文件保管场所安全保护措施,针对本地易发生天灾的防范应急措施以及另外不可预知的风险防范措施。电子文件存放室内的设施还不够齐全,很多必要的设备都陈旧甚至完全不存在,这使得电子文件安全管理出现了很大的漏洞,隐患危机一直存在,要想改良这些设施设备必须加强对电子文件安全管理的重视,从根本上去解决问题,引入先进的设施在硬件或者是软件上,争取提高电子文件安全管理水平。
三是信息化管理不完善,安全保密工作有待提高。电子文件管理的安全性需要管理员不怕一万,只怕万一的精神,不在任何情况下放松警惕,这是一名合格的文件管理人员的必备素质素养。现如今,电子文件管理上表现出的是信息化管理不够完善,安全保密工作还不够到位。针对现在的电子文件安全管理工作,窃取机密信息者是通过计算机和软件上的漏洞,对电子文件进行窃取的,因此这也是电子文件安全需要引起高度重视的一个方面。在人员方面,我们也要加强安全保密的学习,电子文件安全保密法规必须全部掌握,要做到安全防护,抓漏补漏。
二、电子文件管理安全保障策略创新
一是加强电子文件安全宣传教育,提高管理队伍安全素养。进行电子文件安全管理工作最重视的就是对工作的细心、认真,相反,粗心大意,毛手毛脚就会招致很大的祸患。对于电子文件管理的新员工应强化其“做事细心、认真,电子文件管理安全事关重大”的思想。认真、细心的进行电子文件安全工作是国家对文件管理工作的基本要求,因此我们必须要对电子文件管理工作负责。我们要采取“以防为主,防治结合”的方针,来贯彻实施电子文件管理工作。“防”就是要在每个文件管理人员的安全意识和技能上有所提高。“治”,即是等事情发生后要想尽一切办法降低事情影响力或破坏程度,以达到减少损失的目的。除了对文件管理人员进行电子文件安全知识宣传教育,还要对群众开展相关的安全知识宣传教育,进行电子文件安全知识教育与宣传可以通过举办讲座等形式进行。对电子文件管理人员严格要求,并进行不定期检查整理历年积存的文件,以求在问题出现之前找到问题,并进行解决。使电子文件管理人员养成对管理工作的忧患意识,以此来达到提高电子文件安全意识的目的。在减少电子文件管理隐患的同时,又可以提高文件管理的管理安全意识和能力。这不失为电子文件管理的好办法。
二是大力推进电子文件存放馆建设,建好文件安全保管基地。要使电子文件安全有一个基本保证需要建设一个标准的电子文件存放室。电子文件馆舍的建设对于一个要使电子文件资源得到很好利用的部门来说,是很有必要的。一个标准的电子文件保存馆可以使文件管理工作有序进行,并得到很好的保存。例如,前几年在国家财政的支持下,政府的电子文件馆库楼建设得到扩建,使得我县的电子文件安全管理工作有条不紊的进行。电子文件管理部门不仅要在建设上要符合规范,其馆内的配备设施也是很重要的。现代化科技的更新速度是很快的,采用现代科技手段是很有必要的。安装电子监控报警系统现在都已经是很普遍的了,这也是一种确保电子文件安全的现代重要科技设施。把它安装在馆内的一些重要地方,就可以记录或收看所进出的人员,对馆内的一些重要设施和贵重物品、重要文件起到一个很好的保护作用。在备齐这些必要的电子文件安全保管设施设备外,还要注意一些电子文件管理的基本常识,在平时要注意每天检查库房的线路、电压等等。
三是加强信息化过程管理,确保电子文件信息安全保密。如今,我们生活在一个信息化时代,电脑技术飞速发展,加强对电子文件信息化管理是时代的需要,也是相关管理部门的基础性工作。这也要求了电子文件工作要实现现代化、信息化。另外,确保文件安全体系需要我们对计算机的各项功能和操作熟练掌握以及加强电子文件安全保密工作。针对这些问题,电子文件管理部门应实行管理部门的内部局域网,并且对公开文件目录实行身份认证,进入时设有防火墙,对数据和内容设有备份等安全防护措施,只有这样,电子文件的安全保密工作才能确保万无一失。
三、结语
总而言之,针对相关部门出现的管理团队素质低,设备设施不完备,信息化管理不完善,信息保密性差等问题,加强内部管理团队的培养,配备完善设施设备,提高信息保密和管理工作是健全电子文件安全管理措施和制度的基本保证,是跟上时代发展的必经之路,电子文件安全管理工作的好坏从一定意义上说也反映了管理部门的内在素质和管理水平。只有科学的电子文件安全管理才能使管理工作轻松快捷,安全实用。
参考文献
[1]张玉森.电子档案安全性面临的挑战与对策[J].四川档案,2008.2.
[2]葛家澍.保证电子文件的长久性[J].档案学通讯,2005.6.
[3]汤乐平.电子文件管理理论与实践[J].档案管理,2003_4.
电子保障 第5篇
20xx年,国务院发布的《关于深化医药卫生体制改革的意见》中首次明确要以电子病历为重点,推进医院信息化建设。基于网络信息系统所具有的便捷性特点,电子病历是实现远程医疗的重要保障,也是提升医疗服务水平的有效途径, 可以成为解决当前“看病难”问题的主要措施。电子病历的电子版也可以作为病历原件,由此可以实现无纸化办公。但无纸化既是电子病历的优点同时也是其缺乏“真实性”的劣势所在;同时,网络信息系统的安全问题,也让电子病历的真实性受人质疑。以上造成电子病历“真实性”缺乏的因素影响了其在实践中的推广运用。鉴此,电子病历的真实性必须得到保障。
一、电子病历的法律内涵和价值。
根据国家卫生信息化的要求,医院用电子病历代替传统的纸质病历已是大势所趋,而电子病历的法律内涵和法律价值直接决定了其真实性具有极其重要的作用。
(一)电子病历的法律内涵。
“电子病历”是指以电子化文件方式制作、储存及运用的病历,它还具有为使用者提供临床支持及连接医疗信息网站等功能; 电子病历包括医护人员记录、检(查)验报告及影像,以及其他医务人员执行业务所制作之记录等,这些记录是对病患过去、现在和未来以及生理与心理等状况的记录, 是医院对病患施行医疗过程的“神经枢纽性”的管理系统。从记录的内容来看,电子病历仅是将传统纸质记录转化为电子方式记录, 并借助相关电子咨询设备和技术进行存储与利用。根据原卫生部所颁布的《电子病历基本规范(试行)》(以下简作《电子病历规范》)的规定,“电子病历”是指医务人员在医疗活动过程中,使用医院信息系统生成的文字、符号、图表、图形、数据、影像等数字化信息,并能实现存储、管理、传输和重现的医疗记录,是病历的一种记录形式。
因此,根据原卫生部所颁布的《病历书写基本规范》(以下简作《病历书写规范》)第三十一条的规定,使用Word、WPS 等软件制作后打印在纸张上并手写签名的打印病历,不属于电子病历。此外,医院通过专门研发的卫生信息化系统,并利用该系统记录、存储、管理和使用医疗信息的病历,在信息化管理水平上可能很高,可能具备电子病历的全部功能要件,但由于该系统并不具备我国《电子签名法》和《电子病历规范》等法律规范对电子病历的资质要求,因此此类病历在本质上仍然属于“打印病历”范畴。综上,电子病历必须完全符合《电子签名法》《电子病历规范》对电子数据在法律性质上的要求;电子病历的电子版本就是法律上的证据原件,法律意义上的电子病历不存在打印难度, 其电子信息本身就是病历原件。
(二)电子病历的法律价值。
电子病历从本质而言只是病历的一种形式,其证据效力体现在两个方面:一是病历本身是真实的;二是病历所表达的内容对待证事实能够起到证明作用。就内容而言,电子病历既可证明医患之间诊疗关系的客观存在,直接证明该医疗行为的主要事实,又可证明整个医疗行为的客观过程,具有很强的针对性。电子病历作为医院及医务人员对患者诊疗过程的真实记录,无论是进行医疗纠纷侵权诉讼,还是进行医疗损害鉴定或医疗事故技术鉴定,都可作为证据使用,其重要性不言而喻;对于患者而言,通过电子病历也可以实现自己在医疗活动中的知情同意权。因此,电子病历所具有的重要法律价值,决定了一方面医务人员必须坚持尊重科学、认真负责、实事求是和注重客观的原则如实记录病历, 另一方面也决定了必须要有相应的制度来保障电子病历的.真实性。
二、电子病历真实性的法律审查。
电子病历在医院的推广使用可以提高医院的营运效率和医疗质量,减少医疗事故和减轻医务人员、病患及其家属的负担,尤其可以减少重复试验和化验、协助不同专科医师对疑难病症进行协调治疗。电子病历的有效推广使用必须基于其真实性能得到充分的保障, 而以网络存储为特点的电子病历容易给人以不真实的感觉。鉴此,必须对如何保障电子病历的真实性作出制度安排。本文所讨论的“法律审查”就是从法律层面对电子病历的真实性进行法律效力的考查。
(一)电子病历真实性的审查重点。
在医疗纠纷侵权案件中, 病历的法律效力一直是医患双方争议的焦点。病历在医疗纠纷发生之前大多处于医方的掌控中, 因此其真实性更容易受到患方的质疑, 这一问题在电子病历上体现得更为突出。从法律角度讲,审查电子病历真实性的重点在于审查电子病历有没有被非法操作。根据电子病历的特点,对其真实性的审查重点应主要包括:
1、电子病历操作主体。
审查主要针对电子病历的操作人员是否具有法定权限、是否是其亲自记录的电子病历等。
2、电子病历记录过程。
审查主要针对电子病历的任何修改是否属于法律所规定的可修改的范围、是否符合法定的修改程序、是否有明确的修改时间记录等。
3、电子病历存储情况。
审查主要针对电子病历的存储介质是否符合法定要求、电子病历的锁定是否符合法定程序等。
(二)电子病历真实性的审查障碍。
与传统的纸质病历相比, 基于其网络存储的特点,电子病历在修改、封存和使用方面有了很大的变化,这使得其真实性难以得到有效保障。如电子病历的修改比传统纸质病历更容易且不易显示修改痕迹、医生不用手写签名和电子病历签名可批量处理等。我国现行的法律法规对病历真实性的保障措施——无论是对病历的签名、修改和复印等的规定,还是鉴定方面对病历的要求, 基本都是以纸质病历为版本。
例如国务院所颁布的《医疗事故处理条例》规定:“严禁涂改、隐匿、销毁或者抢夺病历资料。”又如《病历书写规范》要求:“病历书写应该使用蓝黑墨水、碳素墨水,病历应该按照规定的内容书写,并且有相应的医务人员签名。”但电子病历网络存储的特性,使得对其真实性的审查存在较大的障碍,这直接影响到了其法律价值的实现。现实中就曾发生在医疗纠纷侵权诉讼中, 原告对电子病历的真实性提出鉴定的案例。
三、保障电子病历真实性的法律思考。
我国自从20xx年开展电子病历试点以来,电子病历的应用已日益广泛。但在实践中,电子病历信息管理系统往往由各医院自行建立, 而各医院电子病历系统的运行情况、性能水平并不一致。20xx年,针对医疗纠纷案件审理中发现的问题, 北京市朝阳区人民法院曾向国家卫生和计划生育委员会(以下简称“国家卫计委”)发出司法建议函,建议其完善《电子病历规范》, 特别是要明确各种病历的完成时限、电子病历的锁定方式和流程等, 以此减少病历瑕疵及病历异议的发生。随后,国家卫计委办公厅向朝阳法院正式复函, 表示对司法建议的有关内容进行了认真研究,并将根据法院反映的问题,逐步健全病历管理相关规范及程序,提高病历质量和管理水平,保障医患双方的合法权益。由此可见,如何保障电子病历的真实性已成为一个急需解决的问题, 笔者拟就该问题的部分内容作如下分析。
(一)电子病历的电子签名。
“电子签名”是指数据电文中以电子形式所附的用于识别签名人身份, 同时表明该签名人已经确认其中内容的数据;它是证明电子病历内容完整、不可篡改,签名者身份真实可靠,签名行为不可抵赖的有效手段。《电子签名法》第十四条规定:“可靠的电子签名与手写签名或者盖章具有同等的法律效力。”实践中的普遍做法是, 患者出院或死亡时医院才会打印完整病历并手写签名(这更类似于基于信息系统的病历),或是对电子病历的签名批量处理,这就存在医院伪造、篡改或不提供电子病历的可能。鉴此,为保障电子病历的真实性, 电子签名应该做到以下几点:
其一,电子病历上要有医务人员的电子签名,且该电子签名必须符合《电子签名法》第十三条所规定的“可靠的电子签名”的标准;在电子签名的同时,还应固化签名时间,即加盖时间戳。
其二, 在电子病历上任何需要签名的地方都需要使用可靠的电子签名和可信的时间戳, 且应在电子病历的记录全过程中予以使用, 严禁在患者出院或死亡时批量处理。即,电子病历必须根据诊疗过程予以全程记录,对任一部分的记录,医生都需加盖其自己的电子签名——电子签名不仅能够表明电子病历的内容能由当前签名的医生确定, 并且能够确保电子病历在内容上的任何修改都能被发现; 完成电子签名后,再加盖时间戳,就将病历记录人、记录时间和病历内容绑定在了一起, 由此保证自某年某月某时、某医生提交该电子病历起,电子病历中的任何数据内容都已经被固化。
其三, 电子签名应涵盖该签名者所负责的所有病历的内容。因此,不能仅对电子病历的索引、编号、页码或是部分内容做电子签名。
其四,电子签名要进行电子认证。原卫生部发布了《卫生系统电子认证服务管理办法(试行)》《卫生系统电子认证服务规范(试行)》等一系列规范性文件, 其中对于电子病历的电子签名及其对应的电子认证设定了具体的应用规范与要求; 各医院应选择依法设立的符合卫生行业规范的电子认证服务机构进行电子认证, 以此保障包括电子病历在内的各类系统的合法与安全。
其五, 电子签名应为专人所用且不易被他人获取。可以采取指纹确认等方法确保使用人和电子签名一致,杜绝纸质病历的代签和签名章代盖的现象,由此实现操作人员对本人身份标识的使用负责。
综上,对电子病历采取电子签名,有利于保证医务人员在电子病历记录上的独立性, 有利于保护电子病历内容的真实性,更在发生医疗纠纷时,可以减少对电子病历内容真实性的争议; 即使对电子病历进行司法鉴定, 也会因电子签名的存在而变得简单易行,由此节约了鉴定的时间和费用。
(二)电子病历的存储、锁定和使用。
电子病历的存储必须基于信息网络进行, 且必须归档; 而归档存储后的电子病历应严格控制其修改,即便修改也应有安全的程序。电子病历的锁定,是将电子病历信息系统中的某一部分内容以信息技术手段导出并固化于某一电子信息载体, 其主要应适用于已经采用了可靠的电子签名的电子病历,其目的在于确保电子病历的所有内容能完全固化而不被修改,从而为证据保全提供保障。电子病历的使用包括复制、查阅等行为,电子病历的复制是为了保障患方知情权的实现, 电子病历的查阅一般是基于科研、诊断和保险等方面的需要。为保障电子病历的真实性,对电子病历的存贮、锁定和复制应该做到以下几点:
其一,建立信息安全保密制度。首先,应根据工作性质和要求的不同, 设定不同人员对电子病历进行调阅、复制和打印的不同权限;其次,建立使用日志,以此记录使用人员、使用的内容和使用时间等所有信息;再次,必须严格控制电子病历归档后的再修改,例如规定只有上级医生对下级医生、执业医生对实习医生的病历才有修改权限;最后,任一相关人员都应有独用的登录名和密钥, 以此确保任何修改电子病历的行为能查找到修改人。
其二,患方有权随时了解电子病历的记录内容,这也是对医疗过程的监督。《医疗事故处理条例》规定, 病历资料分为主观病历资料和客观病历资料,而患方只能复印客观病历资料。据此,患方查阅电子病历也应只限于客观病历资料;但从监督的角度看,对主观病历资料的锁定也是很有必要的——这涉及到患方不认可锁定的电子病历时的鉴定问题。
其三,电子病历要有备份系统。该系统可以保证在电子病历所记录的数据在丢失后, 能通过还原系统及时予以恢复。同时,对电子病历的记录、备份和修改的时间应予以明确限制, 如可对住院病历实现每晚备份,对门诊病历实现实时备份。
其四,严格控制电子病历的使用、调阅和复制。首先,电子病历的使用必须基于正当目的,例如疾病调查等,且必须经过申请程序。其次,应将电子病历的调阅、复制权限制于医患双方、公安机关、保险机构及相关被授权人;未经授权,其他任何单位和个人都不得擅自调阅、复制电子病历。
其五,在医患双方均在场的情况下,电子病历方可复制和锁定。首先,应同时打印一份纸质病历并经医患双方签字确认;其次,电子病历锁定后应该确保放置在安全的存储空间并原则上禁止对其修改;最后,电子病历的解锁也应由医患双方共同实施完成,例如电子病历锁定密码可由医患双方共同掌握。
综上所述,在完善相关法律法规的情况下,医院对电子病历的存贮、锁定和使用进行严格的规范,才能最大程度地减少患方对电子病历真实性的争议,进而避免启动电子病历的司法鉴定程序。
(三)对电子病历真实性的认定。
在医疗侵权纠纷诉讼案件中,根据举证规则,医方须提交病历以证明在诊疗过程中自己无过错;因此, 病历材料作为医疗过错鉴定或医疗事故技术鉴定的最为重要的证据材料, 对案件的处理结果起着决定性的作用。但电子病历和传统纸质病历相比,社会民众对其接受度还不高; 尤其是电子病历存在于虚拟空间,更改数据更容易。如果说纸质病历可通过笔迹鉴定等方式鉴别其真伪的话, 那么能否通过鉴定确定已经锁定的电子病历是否有删减、修改和补充等加工处理,则令人怀疑。尽管医方强调电子病历记录完成后未经允许不可随意更改, 但在医院保管电子病历的情况下, 电子病历的可信度仍难以得到保证。基于以上情况,笔者认为对电子病历真实性的认定应考虑以下几个方面:
其一,根据我国《侵权责任法》第五十八条的规定, 在医院有隐匿或者拒绝提供与纠纷有关的病历资料,或伪造、篡改或者销毁病历资料行为,且患者有损害的情况下,可推定医院有过错。因此,一旦发现医院伪造、篡改或者销毁电子病历而使电子病历不真实的,医院将可能承担法律责任。
其二, 法院在审理医疗纠纷案件或是进行医疗损害鉴定之前, 应要求医院提供有关电子病历真实性的确认材料。如患方对电子病历存在疑义,可以委托第三方专业信息鉴定机构对其真实性加以鉴定。
其三,在诉讼过程中,如果需要由医院对电子病历的真实性进行举证, 那么首先医院应举证证明其提供的电子病历的每一步操作——包括记录、修改和存储等操作——都留有痕迹或都记录在案;其次,在患方同意的前提下,由律师、法官或相关专业技术人员作为监督, 可查看电子病历真实性认定的操作流程。
浅谈电子政务安全保障体系的构建 第6篇
关键词:电子政务;安全体系;构建技术
中图分类号:TP393.08
在电子政务系统日益发展的今天,其网络信息安全问题也成为了一大挑战,同时在很大程度上影响了电子政务在国内的应用和发展。作为传统行政模式的创新与改革,电子政务系统关系到国家机密信息与敏感政务的保护,关系到公共安全与行政监管的准确实施,关系到为广大人民群众提供更加良好的公共服务。所以,我们应当结合电子政务系统的实际功能和需要,强化安全保障体系的构建,从而确保电子政务系统的持续发展。
1 设备环境安全
设备环境安全可以说是电子政务系统安全的基础和前提,主要是确保各种计算机硬件设备设施和其他的一些硬件设施免受自然灾害或者人为失误而导致的损害。电子政务系统安全保障体系中,设备环境安全措施一般划分为环境安全、设备安全以及媒体安全,关系到电子政务系统应用范围的方方面面。其中,环境安全属于对电子政务系统运行环境的保护,例如说区域保护与灾难保护,详细可遵循国标GBGB50173、GB2887-89以及GB9361-88等进行设计;而设备安全指的是各种数据存储、传输以及电子政务系统运行所需要的硬件设备的防盗措施、防磁措施、防干扰措施等;媒体安全指的是存储媒体自身的安全性能以及对其中的数据进行保护。
2 系统安全
操作系统是计算机终端、服务器以及工作站安全稳定运行的平台,因此操作系统安全至关重要。Linux系统是随着互联网技术发展而逐渐产生的一个由全球电脑爱好者共同进行开发的操作系统,这一系统在功能实现上大大超越了其他很多商业操作系统,Linux系统便理所当然的成为了电子政务系统的首选对象。当然,按照应用环境的不同安全需求,电子政务系统也可以选择其他一些操作系统,但重要的服务器与工作站必须保证选择安全性较高的系统,例如说windows2000sever、HP Unix等[1]。
在电子政务系统内部,必须要构建全方位的病毒防护体系,不管是B/S或者C/S结构,都必须在其中各个运行点安装好杀毒软件,在电子政务系统内的业务处理终端以及服务器端必须要做好防毒工作。反病毒属于一项长期性的工作,必须要定期对杀毒软件进行升级更新,此外还必须要构建全面的安全操作程序,其中必须包含不同的安全措施,例如说数据自动备份、重要信息加密等。
3 网络安全
保障网络安全是电子政务系统安全保障体系中的重要内容,它可以有效的抵御黑客利用网络漏洞而对系统实施的攻击,从网络层面上进行防范,通常我们所采取的网络安全保障措施主要有防火墙、物理隔离技术以及VPN技术等。
应用防火墙技术能够有效保障内外网的安全代理,在电子政务系统内部的专用网络与外网之间以及各个安全域之间都必须要设置好防火墙。防火墙的设置必须要全方位的考虑到电子政务系统所需求的速度、性能以及管理等不同方面,对防火墙进行周密而科学的设计;同时还应当要强化安全管理措施,通过一系列的有效的手段来确保其安全性能,例如说防火墙应当安装于不同的介质之上,尽可能的利用不同的服务器来实现不同的功能与服务,对于关键的系统出口应当设置主要防火墙,在进行配置的过程中必须要关闭一部分不需要的服务,要定期对防火墙记录日志进行检查,如果发现存在问题应第一时间作出处理,利用多层防御和冗余防御等方式来保障系统安全。
利用物理隔离技术我们能够保障电子政务系统内外数据信息的安全交换,根据我国相关政策法规的要求,政府部门上网应当明确划分内外网,从而实现内外网的物理隔离。这也是处理政府办公信息化中关于机密信息安全的有效措施,对电子政务系统的内外网实施隔离要求在保障系统安全的前提下实现数据的交换[2]。
VPN即是虚拟专业网络,它属于近年来比较流行的安全技术,能够给予我们一种利用公用网络的形式来保障电子政务系统中专用网络实施远程访问的安全连接手段。要实现VPN连接,在系统网络中应该设置一台VPN服务器,这一服务器不仅与电子政务系统的专用网络相连接,同时也与互联网相连接,换句话说VPN服务器应当具备一个公用IP地址,如果客户机通过VPN连接和专用网络内部的计算机进行通信时,首先会由ISP把全部数据传输到VPN服务器内,之后再通过VPN服务器把数据信息传输到目标计算机中,从而实现数据的安全保护功能。
4 数据安全
电子政务系统中的网络传输可以根据传输网络的差异划分为公网传输以及专网传输两种类型。公网传输通常情况下存在公网中的政府系统中相关单位要向在专网中的电子政府系统中的政府机构传输数据的情况。按照传输数据安全等级的差异,应该在公网内传输的数据必须进行验证时间戳、数据摘要和验证等方式来确保数据信息的完整全面;对部分关键信息来说,可以采取进行交叉认证的方式来确保安全性。网络传输内的专网传输通常情况下出现在同时处于专网中的不同业务系统间的数据信息传输时。在电子政务系统内部通常需要建立数据信息传输平台,有差异的电子政府系统或者内部数据信息的传输能够在这一平台上有效的实现安全传输作业。在电子政务系统和数据平台之间传输信息的过程中,对重要的核心数据信息,我们能够选择数字签名、验证或者签名回执、数据加密等方式来确保数据信息的安全,在有必要时也能够选择交叉认证的手段来获取更高的安全等级,或者对关键信息采取设置加密机或其他硬件安全保障工具的方式来提升安全性能。
5 管理制度安全
无论是电子政务系统的设备环境安全,还是其数据信息安全,在各个安全层的保障体系构建过程中都必须要依靠管理来实现。有效的管理和完善的安全保障制度是确保电子政务系统安全运行的基础和前提。电子政务系统的安全体系构建的核心在于人的管理而非是安全软件的使用。若我们仅仅有安全技术设备而缺少全面有效的管理计划和管理制度,电子政务系统的安全保障仍然是纸上谈兵。安全管理制度的完善需要一系列的规章制度和管理措施来实现,例如说制定网络使用规范管理制度、机房管控制度、网络维护制度以及应急预案;强化对相关操作人员的安全培训工作同时招聘更加专业的人员来管理网络;必要时可以聘请安全顾问给予一定的技术支持;对电子政务系统网络管理人员进行严格的管理。笔者建议,必要时可以通过完善相关立法来保障电子政务系统的安全,以法律的形式强制性的进行控制,从而确保电子政务系统功能的充分发挥[3]。
6 结语结束语
总之,电子政务系统的广泛应用可以在很大程度上促进政府管理职能的转变,推进政务工作方式改变,极大提升政府部门工作效率,为政府部门构建一套高效有序的管理体制,进一步实现办公信息化和自动化,最大限度的提升政府部门管理水平与科学决策水平。而电子政务系统安全保障体系的构建是在计算机安全技术与互联网信息技术的支持下,采取各种途径的安全技术措施,来保障電子政务系统的运行安全,确保政府部门职能的有效发挥,确保电子政务系统的安全稳定运行。
参考文献:
[1]杨霁轩.电子政务安全体系结构设计中分域防护思想的融入[J].电子制作.,2014((18))::95.
电子病历的法律地位与技术保障 第7篇
1 病历和电子病历的概念
1.1 病历的定义
《医疗机构病历管理规定》和《病历书写基本规范(试行)》对病历给予了明确定义:“病历是指医务人员在医疗过程中形成的文字、符号、图表、影像、切片等资料的总和,包括门诊、急诊病历和住院病历”[1,2]。很显然病历中文字、符号、图表、影像、切片等均可实现数字化。
1.2 电子病历的定义
电子病历(Electronic Medical Record,EMR)也叫计算机化的病历系统或称基于计算机的病人记录,它是采用计算机手段采集、加工、存储、传输和服务的数字化病人医疗记录。它反映了病人整个医疗过程,储存了病人全部的医疗信息,包括纸张病历的医嘱、病程记录、各种检查结果、影像资料、手术记录、护理信息等内容[3]。
2 电子病历的法律地位
传统的纸张病历是具有法律效力的,它可以根据笔迹和签名来鉴定,以确认数据的真实性,而且鉴定技术成熟可靠,国家也颁布了相关的法律保证了签名和笔迹鉴定结果的法律效力。特别是2002年先后颁布并实施的《病历书写基本规范(试行)》和《医疗事故处理条例》,对病历作了极为严谨的要求,认定病历可作为处理医疗纠纷、审理医疗官司的重要证据,医疗机构应当严格病历管理。这些法律法规在肯定传统的纸张病历法律地位的同时,也提出了更高要求—能提供反映病人整个医疗过程、储存病人全部医疗信息的完整病历。电子病历为此创造了条件。
2.1《中华人民共和国电子签名法》(以下简称《电子签名法》)颁布前电子病历的法律地位
数据电文是指以电子、光学、磁或类似手段生成、发送、接收或者储存的消息[3]。电子病历符合数据电文的这一含义。《电子签名法》颁布之前,从诉讼证据的理论和立法精神角度来看,数据电文应该是民事诉讼证据的一种,它被生效法律文书确认之前,应称为电子证明材料,因其属于计算机储存的能证明事实的数据和资料,对照《中华人民共和国民事诉讼法》第六十三条的规定,可将其归入“视听资料”类。由此我们可以确定,数据电文可以作为证据被采纳。《中华人民共和国民事诉讼法》第六十九条规定:“人民法院对视听资料,应当辨别真伪,并结合本案的其他证据,审查确定能否作为认定事实的根据。”可见,视听资料不能单独、直接地证明待证事实,电子病历的法律地位属间接证据的范畴。
2.2《电子签名法》颁布后电子病历的法律地位
《电子签名法》所称的电子签名是指:“数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据”[4]。由此可见《电子签名法》的出台明确了电子签名与传统的手写签名和盖章具有同等法律效力,进一步保证了电子病历的合法身份。同时电子病历要成为民事诉讼的证据,还必须符合“证据三性”原则。所谓证据,是指以法律规定的形式表现出来的,能够证明民事案件真实情况的一切事实,是诉讼活动的核心、灵魂。所以证据必须具有合法性、客观性、关联性,即“证据三性”,只有具备这3个特性的证据才能够作为定案的根据,具有可采性。
2.2.1 电子病历的合法性认定
电子病历制作主体是取得医疗执业资格的医护人员,制作的内容、格式、程序、签署医学用语以及用量单位等必须符合卫生法规、规章制度和技术规范,反映了证据采用的合法性原则。《电子签名法》第三条还规定,电子签名、数据电文不适用于以下文书,不具有法律效率:“(1)涉及婚姻、收养、继承等人身关系的;(2)涉及土地、房屋等不动产权益转让的;(3)涉及停止供水、供热、供气、供电等公用事业服务的;(4)法律、行政法规规定的不适用电子文书的其他情形”[4]。而电子病历不属于以上4种情况的任何一种,它属于数据电文。《电子签名法》中还规定了数据电文的法律地位:“能够有形地表现所载内容,并可以随时调取查用的数据电文,视为符合法律、法规要求的书面形式。”“数据电文不得仅因为其是以电子、光学、磁或者类似手段生成、发送、接收或者存储的而被拒绝作为证据使用”[4]。因此在《电子签名法》实施后电子病历合法性不存在法律障碍,具有证据的合法性。
2.2.2 电子病历的客观性认定
⑴生成阶段的客观性认定首先,是硬件设备和系统的认定,电子病历只要保证计算机系统及其他类似设备所有关键时刻均处于正常运行状态,或者即便不处于正常运行状态,但其不正常运行的事实并不影响电子记录的完整性则可认定客观性。现在的信息网络技术是可以完全保障的。其次,是录入准确性认定,电子病历的录入必须要及时、客观、系统、完整,违反此项规定的当事人将受到严肃处理,电子病历的录入具有证据的客观性。
⑵存储阶段的客观性认定电子病历若作为司法依据,其客观性是重中之重。电子病历以信息技术为依托,很少受主观因素影响,能够比较准确反映客观性原则。然而计算机信息是用二进制数据表示的,以数字信号的方式存在,并以数字编码的形式储存于介质之中。人为对电子病历故意进行涂改、删节、剪接等操作相对容易,这就要求在存储环境可认定为真实的情况下,电子病历在存储的每个阶段的任何改动都必须留下痕迹,这一点从目前的技术上是可行的。
《电子签名法》也对电子病历改动提出了法律要求,第十三条规定:“电子签名同时符合下列条件的,视为可靠的电子签名:电子签名制作数据用于电子签名时,属于电子签名人专有;签署时电子签名制作数据仅由电子签名人控制;签署后对电子签名的任何改动能够被发现;签署后对数据电文内容和形式的任何改动能够被发现。当事人也可以选择使用符合其约定的可靠条件的电子签名”[4]。可以看出,一份电子病历证据要得到法律的认可,医师须按规定时限完成并签名,同时此后的任何改动都必须能够被发现。由此可以认定电子病历存储阶段的客观性。
⑶数据交换阶段的客观性认定这主要是针对在广域网中电子病历数据交换过程真实性的认定,XML(Extensible Markup language)技术的出现使数据交换阶段真实性的认定问题的得以解决。XML即可扩展标识语言,是一种元语言,它是国际互联网联盟(W3C)开发的用于网络环境下数据交换、数据管理和网页设计的新技术[5,6]。
2.2.3 电子病历的关联性认定
电子病历记载的是具体病人就医的全部经过和医学专业信息,是再现和查证病人就医过程的重要资料,是查清具体医疗纠纷案件具体情节的重要证据,它较其他任何证据都更直接、更专业,因而反映了证据可采性的关联性原则。
由此可见,电子病历可作为法律上最可靠的证据,是病人是否受到伤害、伤害的程度和医务人员应承担何种法律责任的重要依据。
3 电子病历法律地位的技术保障
3.1 电子病历软件安全性的技术保障
3.1.1 电子病历机密数据的加密技术
电子病历数据分两类,一类是像药品名、价格、费用等非机密数据;另一类是出于安全性考虑的机密数据,如登陆系统的用户名、密码、病历内容等。将机密的数据利用一定的加密算法,将明文转化成为毫无意义的密文,阻止非法用户理解原始数据,从而确保数据的机密性。公共密钥(Public Key)数据加密技术能很好保障电子病历安全。公共密钥又称非对称密钥加密系统,它需要一对密钥来分别完成加密和解密操作:一个公开发布,即公开密钥;另一个由用户自己秘密保存,即私用密钥。信息发送者用公开密钥加密,而信息接收者用私用密钥去解密。目前,公钥体制已广泛地用于CA认证、数字签名和密钥交换等领域。另外数字时间戳(Digital Timestmp,DTS)也是一种有效的安全加密技术,它是一个经过加密后形成的凭证文档,其内容包括记录和修改病历的权威时间。当医生对电子病历内容进行记录或修改后,他们的行为必须是不可抵赖的。验证数字时间戳既可得到医生的签名时间,也可得到医生行为发生的时间,给《电子签名法》规定的任何改动都留下痕迹提供了技术保障。
3.1.2 电子病历的访问权限控制
有了成熟数据的加密技术,还要加入不同用户的权限管理,使他们只能看到在权限允许范围内的信息。什么人、什么部门、在何种情况下有权使用,需要详细明确并设定严格的权限。以医生为例,对于主治医师和主任医师,除了对于自己的病人具有操作权限之外,对于自己下级医生的病历也具有修改和批阅的权限,但任何的修改都必须在系统中留下记录[8]。
3.1.3 用户管理
对待用户管理问题,可引入IC卡和指纹识别器技术以实现高安全性能的多重认证。系统连续空闲一段时间后,将自己进入保护状态,若再次进入系统还要由IC卡和指纹同时进行身份确认。
3.2 电子病历硬件安全性的技术保障
(1)使用局域控制器网络,并捆绑客户端的MAC地址,防止未授权的计算机接入使用院内网络资源。(2)对局域网内的电脑进行安全分级管理,保证一般的网络客户端的软盘驱动器、光盘驱动器、可连接其他外部储存设备的端口等不能使用,只有授权用户才能拥有。网络中任何程序的安装都要经过管理部门的认证权。(3)尽可能保持内外网的“物理隔离”,纯粹的“物理隔离”不可能实现,至少医院需要与医保中心进行联网,而且共享性是电子病历的主要特性之一。(4)安装网络版杀毒软件和防火墙来封闭不必要的端口,这是阻挡外部网络攻击的有效方法。(5)对网络及电子病历系统中风险高或者难以恢复的部分要有容错的设施和应急方案。建议电子病历服务器至少要使用带有UPS的双机容错方案及异地备份,保证电子病历不受意外的损毁,保障电子病历的安全。
3.3 建立电子病历管理委员会
由电子病历管理委员会对电子病历的修改、查阅、输出、交流等权责进行划分。
现今的信息技术手段为电子病历的法律地位提供了保障,特别是《电子签名法》的颁布与实施给电子病历的应用提供了广阔的前景。在电子病历的实际操作中还会遇到各种各样的情况,只要以合法性、客观性、关联性三个原则去判断就一定能够去伪存真,保护病人和医院的合法权益。
参考文献
[1]国家中医药管理局卫医发[2002]193号,医疗机构病历管理规定[S].卫生部,2002-8-2.
[2]国家中医药管理局卫医发[2002]190号,病历书写基本规范(试行)[S].卫生部,2002-8-16.
[3]王江,张鑫,等.电子病历编控系统的研发与应用[J].中华医院管理杂志,2005,21(1):53-54.
[4]中华人民共和国电子签名法[S].2004-08-28.
[5]王兴林.电子病历潜在的法律责任分析及研究[J].中华医院管理杂志,2007,23(2):140-142.
[6]郑重,薛万国.XML签名在电子病历系统安全中的应用[J].计算机系统应用,2005(2):14-17.
[7]上海市医院计算机信息网络安全策略(暂行)[S].上海市卫生局信息中心,2003-8-30.
试论电子政务安全保障体系 第8篇
1 电子政务内网安全保障体系
党务内网中存在大量涉及国家秘密信息, 内网的安全保障体系包含管理要求和技术体系两个方面内容, 国家针对涉及国家秘密的信息系统有明确的管理和技术要求
1.1 管理要求
根据国家保密局颁发的《涉及国家秘密的信息系统分级保护管理规范》中关于按照最高密级进行管理的要求, 将电子政务内网 (党务内网) 市级平台定为“机密”级, 县 (市、区) 网络定为“秘密”级, 并按《涉及国家秘密的信息系统分级保护管规范》规定的相应密级防护要求进行安全保密建设和管理。所有需要进行数据交换的信息主体均应有相应的密级标识, 密级标识应与信息主体不可分离, 其自身不可篡改。对于以数字文件方式在线或离线存储的涉密信息, 应将存储、处理和管理涉密信息的计算机、网络、存储备份及输入输出硬件系统进行密级标识。凡是存储了党委系统涉密信息的硬盘、光盘或磁带等离线存储介质必须按照《涉及国家秘密的信息系统分级保护管理规范》进一步加强统一的标识和管理。
1.2 安全技术体系
构建安全系统已经迫在眉睫, 然而值得注意的是:单一安全产品越来越难以满足企业安全需要。安全系统不允许有“短板”存在, 党务内网构建了涵盖物理安全、网络安全、系统安全、应用安全和数据安全五个层次的全方位党务内网的安全技术体系。
2 物理安全
物理安全是系统安全的最基本要求, 主要从设备放置安全、通信线路安全、环境安全、出入控制措施几个方面考虑:
党务内网的核心设备全部放在符合国家标准GB50174-1993标准的专用机房中。机房实行24小时监控并使用屏蔽机柜。通信线路采用移动公司的专用传输线路, 设备和线路独立于其它网络, 并对传输线路进行链路加密和线路屏蔽。通过物理分隔明确区域划分, 为防护设备提供安全的外部环境;对安全区域按照保护级别实行全方位的控制, 结合身份鉴别与认证技术, 强化出入控制措施。通过以上多种措施的综合保障党务内网相关设备的物理安全, 避免出现系统运行安全事件和泄密事件。
3 网络安全
网络安全是信息安全技术体系中的重点内容之一, 主要通过高性能防火墙、入侵防御、入侵检测、防病毒网关、密码机等安全保密设备核心交换机连接, 即保证数据的保密性, 又要保证数据的安全性。
3.1 访问控制
访问控制是网络系统安全防范和保护的主要策略之一, 它的主要任务是保证系统资源不被非法使用, 是系统安全、保护网络资源的重要手段。而安全访问控制的前提是必须合理的建立安全域, 根据不同的安全访问控制需求建立不同的安全域。
党务内网按照信息资源的涉密等级、同时参照基础架构的功能和角色划分为4个安全域, 分别为:市级网络中心、市委办公室局域网、市直单位用户终端、县级网络中心。
市级网络中心分为应用与安全服务支撑区、公共应用服务器区、运维管理区三个安全区, 通过一台多端口防火墙实现安全区的边界防护。市委办公室局域网是市委机关的核心区域之一, 网络边界配置防火墙。全市市直单位, 通过防火墙、密码机和运营商城域网连接到市委涉密安全域, 网络边界配置防火墙。县级网络中心涉密网络区域配置防火墙1台, 负责县 (市、区) 委用户终端的安全防护和网络接入。
3.2 边界完整性检查
市级电子政务内网网络边界完整性检查包括两个层面:一是应用网络设备的访问控制对非法外来接入进行检查和阻断;二是通过终端安全管理系统对非法外联行为进行监督和控制。
综合运行防火墙技术、交换机或路由器的ACL和802.1x协议、隔离网闸等安全访问控制手段, 对接入网络的用户进行严格的身份检查, 拒绝一切未授权自私非法接入电子政务内网的用户终端。桌面终端安全管理技术能够有效地防止用户私自非法接入政务内网以外的其它网络。利用终端安全管理系统为每个用户分配在线策略和离线安全策略, 详细分配用户的访问权限和授权访问资源, 禁止多网卡和非法路由、红外接口、蓝牙、1394接口、USB接口等可能产生外联行为连接方式, 并对非法外联时产生的非法路由信息进行详细的记录, 要能够记录非法外联用户、时间等, 以备审查。
3.3 安全审计
审计系统能够真实地记录用户的操作或系统/设备在运行过程中触发自身日志功能而产生的事件数据;当发现不符合规定的越权操作时, 能及时告警或同时阻断;通过系统提供的审计记录能迅速地查找出违规者的真实身份。审计系统所记录的所有日志信息, 均应储存在自身存储系统中, 以备能够根据日志记录进行数据分析或生成审计报表。审计记录不得轻易删除或修改, 审计系统自身必须具备用户权限控制机制。
党务内网的网络审计系统采用网络旁路侦听的方式对网络数据流进行采集、分析和识别, 并对应用层协议进行完整还原, 根据制定的安全审计策略进行审计响应。网络旁路监听不改变用户的网络结构, 不影响用户的网络性能和应用业务, 能根据用户或服务进行网络流量统计分析, 便于管理员及时发现网络异常流量。
3.4 入侵防范
网络入侵检测和防御技术是对网络入侵行为的检测和控制。它通过监视计算机网络数据报文, 并对这些报文进行协议分析和模式匹配, 从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象, 一旦发现攻击能够发出报警并采取相应的措施, 如阻断、跟踪和反击等。目前最新的网络入侵检测系统还引入全面流量监测发现异常, 结合地理信息显示入侵事件的定位状况, 应用入侵和漏洞之间具有对应的关联关系, 给出入侵威胁和资产脆弱性之间的关联风险分析结果, 从而有效地管理安全事件并进行及时处理和响应。
3.5 恶意代码防范
根据国家相关安全技术要求, 病毒网关应具备查杀当时流行的病毒和木马的能力, 其病毒库应能够在线或离线及时更新, 更新周期不应超过一周, 遇紧急情况或国际、国内重大病毒事件时, 能够及时更新。网络边界恶意代码的防范主要是采用边界防病毒网关过滤技术, 主要有入侵防御、防病毒网关、一体化安全网关技术等, 通过防病毒网关对数据进行深层次的安全代码检查, 将可疑恶意代码进行隔离、查杀和过滤。
3.6 网络设备防护
各种网络设备、安全设备、服务器系统、交换机、路由器、网络安全审计等都必须具备管理员身份鉴别机制, 可以采用帐号、静态口令、动态口令、KEY、数字证书等方式或两种以上组合方式进行身份鉴别。网络设备应限制远程登陆管理IP地址范围或禁止远程管理, 必要时只允许少数或管理域的IP主机方可以管理权限通过网络登陆设备配置和维护操作, 通过网络远程配置管理必须采用加密方式 (如:SSH或HTTPS) 建立连接, 以防连接会话被窃听或篡改。所有操作必须有审计员帐号监督审计, 审计管理员可随时查看系统管理员对网络设备所做的操作。
4 系统安全
系统安全包括:系统配置安全 (包括操作系统安全) 、主机防病毒、非法外联监控、安全审计、主机与介质管理 (补丁分发、终端安全管理、介质管理等) , 其中主机防病毒、非法外联监控、安全审计、主机与介质管理 (补丁分发、终端安全管理、介质管理等) 要求与省级网络中心部署的相应系统对接。
通过采用正版安全系统, 系统加固, 定期安全评估发现漏洞, 及时安装漏洞补丁, 基于主机的入侵检测等保证操作系统安全。通过桌面安全管理系统 (补丁分发、终端检查、接口管理、非法外联接入管理) 、信息安全综合强审计系统 (系统账号管理、操作系统使用权限管理) 来实现, 禁止用户用公用账户登录系统。在网络的应用与安全支撑服务区配置一部网络杀病毒软件服务器, 负责所有接入网络的服务器、终端计算机的病毒查杀管理和病毒库更新。在网络的安全支撑区部署一套违规外联监控系统。在所有接入网络的终端上配置违规外联监控系统客户端。及时发现并阻断违规外联行为, 并向网络管理人员发出报警。加强主机及移动介质的管理、硬件资产管理 (登记计算机硬件配置, 防止私开机箱) 、移动存储介质管理 (涉密存储介质登记注册, 规范使用) 、便携式计算机管理等。
5 应用安全
建立与省级网络中心体系一致的二级安全应用支撑平台, 与省内网管理中心完成对接。包括市级证书认证和查询验证系统, 同时接入市级身份认证节点和省级证书认证和查询验证系统, 为市级网络平台提供证书服务;市级可信时间服务系统, 与省级保持一致;身份认证系统、统一用户管理系统、访问控制权限管理系统、单点登录系统及信息保护和应用管理系统实现对业务应用的安全保障, 与省内网管理中心的系统完成对接。
5.1 电子身份认证基础设施
党务内网市级网络中心的应用和安全支撑服务区建设数字证书注册审批分中心 (RA, Registration Authority) 。市委RA系统对证书发放、管理, 负责本市及所辖县、区委的证书申请者的信息录入、审核以及证书发放等工作;同时, 对发放的证书完成相应的管理功能。发放的数字证书存放于USB-KEY中。依托省内网中心的应用和安全支撑服务区建设数字证书注册审批分中心, 并保证和其对接。
5.2 可信时间服务系统
在市级网络平台的应用与安全支撑服务区部署1套可信时间服务系统, 防止用户对自己的网络访问行为进行否认, 在应用系统设计过程中结合PKI/CA系统实现。
5.3 统一用户管理
通过体系一致的统一用户管理系统, 对系统内所需要的用户信息进行统一管理, 对不同安全域的用户信息进行同步, 保障用户身份的安全和一致性。按照省委办公厅统一规划建设。
5.4 身份认证与访问控制
通过体系一致的身份认证系统, 实现省电子政务内网 (党务内网) 用户的身份鉴别。用户访问受保护的业务系统时, 采用基于数字证书的身份认证进行用户身份鉴别。建设单点登录系统, 实现应用系统的单点登录功能, 根据用户的身份及访问权限, 对用户访问网络、应用、资源的行为进行识别和控制。
6 数据安全
数据是信息系统的核心, 数据安全主要包括数据完整性和数据的备份与恢复两个方面内容。
6.1 数据完整性
数据完整性是数据安全的基本要点之一。主要包括传输、存储信息或数据的过程中, 确保信息或数据不被未授权的篡改或在篡改后能够被迅速发现。要求数据在传输或存储过程中使用数字签名或散列函数对密文进行保护。接收方在收到数据的同时也收到该数据的数字签名, 接收方依据数据签名验证数据的真实性和完整性。
6.2 备份和恢复
数据备份是数据在受损后恢复最快的数据安全措施, 要求将系统重要数据利用光盘库、磁带机、磁带库或其它存储设备, 复制数据的副本, 并且将备份介质异地存放;数据备份方式可以选择海量备份、增量备份或差分备份, 在首次对系统数据进行备份时, 必须选择海量备份方式, 要求每天对数据进行一次增量备份, 每周对数据进行一次差备份。重要数据传输网络和数据系统包括硬件部分, 要采冗余结构, 确保数据的高可用性。必要时使用存储区域网 (SAN) 模式进行异地存储备份。
7 小结
信息安全问题不是一个孤立的问题, 而是一个安全保障体系。为保证电子政务内网 (党务内网) 的安全、高效运行, 除了强有力的技术保障体系, 还必须有稳定合理、分工明晰的安全运行维护组织。根据各地区各部门实际情况, 建立或指定专门机构, 并结合各单位的实际情况, 配备相关的管理人员、技术人员、操作人员, 负责运行维护工作, 执行安全运行维护职能, 保证电子政务内网 (党务内网) 的效能得到最大程度发挥。
参考文献
[1]戴黍, 刘劲宇著.电子政务管理导论[M].北京:高等教育出版社, 2011 (11) .
[2]李湘江.网络安全技术与管理[J].现代图书馆技术, 2002 (02) .
电子保障 第9篇
一、电子公文公布与开放利用的法律基础
目前, 我国虽然尚未制定出一部专门针对电子公文公布与开放利用的法律法规, 但在我国的《宪法》、《档案法》、《电子签名法》、《政府信息公开条例》等法律章程的条款中均包含与电子公文公布与开放利用有关的内容, 这为电子公文的公布与开放利用提供了法律依据。
1. 宪法基础
我国《宪法》条文的具体规定充分体现了电子公文的公布与开放利用是具有宪法基础的。
首先, 我国《宪法》确立的人民主权原则要求电子公文必须开放。我国是人民民主专政的社会主义国家, 人民主权原则是我国宪法的一项基本原则。《宪法》第二条规定:“中华人民共和国的一切权利属于人民”。因此, 将政务信息向人民公开, 将电子公文向人民开放, 使人民了解国家政治活动的过程及其结果, 是人民应有的权利, 也是人民民主中不可缺少的重要组成部分。
其次, 利用电子公文是公民行使知情权的主要内容。公民的知情权是现代法治社会的基石, 是公民实现其他权利的前提。《宪法》虽然没有明确使用“知情权”的概念, 但作为我国公民基本权利的知情权, 在宪法上还是有根据的。其中, 第二、二十七、三十五、四十一条都包含了涉及公民知情权的内容, 要行使这些法律赋予的自由权利, 知情是必备的前提。因此, 为保证公民知情权的有效行使, 政务信息必须公开, 电子公文必须开放。
第三, 宪法中有关的具体规定体现了对电子公文开放的要求。《宪法》第二条规定:“人民依照法律规定, 通过各种途径和形式, 管理国家事务, 管理经济和文化事业, 管理社会事务。”作为国家权力主体的公民要实现人民当家作主的宪法要求, 就应当参与到政府行使行政权的过程中, 以防止行政权的滥用。这里所说的参与, 并不是人人都去行使政府的行政权, 而是要行使有效的监督权。要进行有效的监督, 就必须要让公民充分了解和通晓政府运作过程中每个环节的信息, 这就要求公开政务信息, 开放电子公文。
2. 行政法、立法法与行政许可法基础
行政信息是政务信息的重要组成部分, 行政机关公开行政信息、开放行政电子公文是依法行政的基本要求和保障人权的现实需要。
首先, 公布与开放电子公文是《行政法》的基本原则。行政公开原则是20世纪中叶以后迅速发展和推广的一项行政法基本原则, 它的基本含义是政府行为除依法应保密的以外, 应一律公开进行。这里的“行政公开”包含了行政信息的公开, 而行政信息的重要承载物就是电子公文。因此, 电子公文的公布与开放是实现行政公开的重要方式。
其次, 公布与开放电子公文是《立法法》的潜在规定。《立法法》规定:“法律、行政法规、地方性法规、自治条例、部门规章和地方政府规章等, 在签署公布后, 应及时在相应级别和发行范围的公报、报纸上刊登。”这一规定明确指出, 各类应当让大家执行或周知的法律、法规和行政规章等, 一定要公诸于众。因此, 公布和开放这类电子公文是让公众及时了解并执行相应法律法规的有效方式之一。
第三, 公布与开放电子公文是《行政许可法》的必然要求。《行政许可法》规定:“设定和实施行政许可, 应当遵循公开、公平、公正的原则”, “有关行政许可的规定应当公布;未经公布的, 不得作为实施行政许可的依据。行政许可的实施和结果, 除涉及国家秘密、商业秘密或者个人隐私的外, 应当公开”。这些规定明确了凡是有关行政许可的法规、事项、过程和结果都应当公开, 而实现行政许可公开的必要条件就是将有关行政许可的电子公文向社会公布与开放。
3. 档案法基础
电子文件是电子档案的前身, 二者是同一事物的不同发展阶段。因此, 已归档保存的电子公文也需要对社会开放利用。
首先, 《档案法》允许电子档案的开放利用。《档案法》规定:“国家档案馆保管的档案, 一般应当自形成之日起满三十年向社会开放”, “档案馆应当定期公布开放档案的目录, 并为档案的利用创造条件, 简化手续, 提供方便”, “中华人民共和国公民和组织持有合法证明, 可以利用已经开放的档案”。电子档案是以数字形式存在的档案, 是信息社会档案家族中不可缺少的重要成员, 当然也需要向社会开放利用。
其次, 《档案法实施办法》进一步明确了电子档案开放利用的有效性。《档案法实施办法》明确规定:“各级国家档案馆保管的档案应当按照《档案法》的规定, 分期分批地向社会开放。并同时公布开放档案的目录”, “经济、科学、技术、文化等类档案, 可以随时向社会开放”。电子公文中有关经济、科学、技术、文化等政府信息, 按照规定应随时向社会开放。“各级各类档案馆提供利用的档案, 应当逐步实现以缩微品代替原件”。“档案缩微品和其他复制形式的档案载有档案收藏单位法定代表人的签名或者印章标记的, 具有与档案原件同等的效力”。电子公文不同于其他电子档案的关键之处就在于它是政府施政的工具, 其上附有代表政府法定权威的电子签名或电子印章, 这一规定使得电子公文这一特殊档案的法律效力得到了有力保障。
4. 电子签名法基础
《电子签名法》是我国第一个为电子文件的法律效力而确立的法规。它从法律上规范了电子签名的行为, 确立了电子签名的法律效力, 并为电子公文、电子签名的法律有效性消除了法律障碍。《电子签名法》明确规定:“电子签名是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据;数据电文是指以电子、光学、磁或者类似手段生成、发送、接收或者存储的信息。”由此可知, 附有电子签名的电子公文完全适用于该法律。《电子签名法》还规定, “能够有形地表现所载内容, 并可以随时调取查用的数据电文, 视为符合法律、法规要求的书面形式”, “数据电文不得仅因为其是以电子、光学、磁或者类似手段生成、发送、接收或者存储的而被拒绝作为证据使用”, “可靠的电子签名与手写签名或盖章具有同等的法律效力”。这些规定表明, 《电子签名法》认可了电子签名与手写签名和盖章具有同等的法律效力, 从而确立了电子公文的合法身份, 保障了电子公文公布与开放利用工作的顺利进行。
5. 政府信息公开条例基础
2008年5月1日起执行的《中华人民共和国政府信息公开条例》 (以下简称《条例》) 首次对我国政府信息公开的范围和主体、方式和程序、监督和保障等内容作了全面系统的规定。《条例》的颁布为政务公开提供了法律依据, 为电子公文的公布与开放利用提供了法律保障。
首先, 《条例》要求电子公文开放, 规定“行政机关应当及时、准确地公开政府信息”, “行政机关应当建立健全政府信息发布协调机制”。这里所指的政府信息是指“行政机关在履行职责过程中制作或者获取的、以一定形式记录、保存的信息”。电子公文是电子政务环境下政府施政的主要手段, 承载着政府信息, 所以电子公文的发布应本着公正、公平、便民的原则及时向公众开放, 并做到真实、完整和准确。
其次, 《条例》规定了电子公文开放的内容。要求行政机关对符合下列基本要求之一的政府信息应当主动公开, 即“涉及公民、法人或者其他组织切身利益的;需要社会公众广泛知晓或者参与的;反映本行政机关机构设置、职能、办事程序等情况的;其他依照法律、法规和国家有关规定应当主动公开的。但是行政机关不得公开涉及国家秘密、商业秘密、个人隐私的政府信息”。这一规定明确了电子公文的开放范围:只要关乎民生、涉及民意的都应当向公众开放, 且公开的电子公文不得泄露国家秘密、商业秘密和个人隐私。
第三, 《条例》明确了通过互联网公布电子公文的方式。为保障公民、法人和其他组织及时、准确地获取政府信息, 提高政府信息公开的实效性, 要求“行政机关应当将主动公开的政府信息, 通过政府公报、政府网站、新闻发布会以及报刊、广播、电视等便于公众知晓的方式公开”。《条例》首次提出政府可以通过网站公布公开的政府信息这一新的公布方式, 拓宽了政府信息公开的渠道, 也使得电子公文通过网站公布有了法律保障。
第四, 《条例》丰富了电子公文的利用形式。规定“除了规定的行政机关主动公开的政府信息外, 公民、法人或者其他组织还可以根据自身生产、生活、科研等特殊需要, 向国务院部门、地方各级人民政府及县级以上地方人民政府部门申请获取相关政府信息”。这就使得公众合法获取政府信息的渠道更为畅通, 电子公文的利用形式也更为丰富。
二、电子公文公布与开放利用的法律缺陷
1.《保密法》相关规定严重滞后
电子公文公开的目的是促进政治民主、经济发展和社会进步, 保密是为了维护国家的安全和利益, 从这个意义上来讲, 两者的目标是一致的。但是公开和保密在价值取向上毕竟是互相矛盾的。1989年5月1日起实施的《保密法》对保密范围和密级确定做了原则性的规定, 在保证国家信息安全、维护国家利益等方面发挥了积极的作用。但该法颁布实施距今已超过15年, 与实际工作状态存在一定脱节。《保密法》的“以不公开为原则、以公开为特例”的原则与如今的《政府信息公开条例》的“以公开为原则、以不公开为例外”原则相矛盾。《保密法》定密范围偏宽、密级偏高、解密期偏长, 给政府机关及其工作人员留下了极大的自由裁量的空间, 工作人员为避免承担泄密责任, 在确定公文能否公开时往往会选择保密。对于定密、解密、泄密处罚等方面的制度设置也落后于时代的需要。此外, 该法适用于印刷类信息, 对于电子类信息包括电子公文存在法律真空。
2.《档案法》对电子档案的操作性不强
首先, 《档案法》对电子档案的开放利用缺乏规范。电子档案的价值决定其需要对社会开放, 但是《档案法》对于电子档案的公开内容、公开方式、公开范围等未作出明确规定, 没有形成一个细化的标准;加之电子档案的开放利用存在着很多安全隐患, 给电子档案的安全管理带来了一定难度。上述原因造成了实际工作中对电子档案的开放利用执行力度差。
其次, 《档案法》对电子档案的开放利用规定缺乏时效性。开放电子公文的目的就在于提高政府工作的透明度, 充分发挥政府信息对人民群众生产、生活和经济社会活动的服务作用, 因此, 提供的电子公文必定是“正在执行”的文件。一旦文件过了时效期, 它对社会的有用性也就大打折扣。电子公文成为电子档案后, 只要它对社会仍然“有用”, 也同样需要开放。然而《档案法》规定, 档案在原机关单位一般需经历10至20年时间才向档案馆移交, 在档案进馆后还要等封闭期满后, 方能向社会开放。这导致同一电子公文其内容在文件阶段已经“首次向社会公开”, 而到了档案阶段却还要等待封闭期满后再经档案馆向社会开放。尽管在《档案法实施办法》中规定经济、科学、技术、文化等类档案可随时向社会开放, 但电子公文所包含的内容远不止这些, 因此仍然存在同一电子公文在不同阶段存在开放时间矛盾的问题, 从而造成了部分电子档案开放利用缺乏时效性。
3.《电子签名法》存在适用局限性
《电子签名法》规范了电子签名的行为, 但对于电子签名的适用范围并不明晰。从这部法律的各项条款来看, 它主要适用于电子商务领域, 而电子签名不仅仅局限于这个领域, 电子政务以及几乎所有网络信息资料的传递等领域都可以采用电子签名, 尤其是代表制发机关法定权威的电子公文更需要通过电子签名来确保其真实性、完整性和可靠性。虽然法案使用“电子签名法”这一概念, 但在内容上却不能完全包括所有的电子签名行为, 这就使得其在法律名称和法律调整范围方面具有不周延性。
4.《政府信息公开条例》制约性较弱
从立法技术角度分析, 《政府信息公开条例》仅是一部行政法规, 相对于法律而言, 效力层次不高、制约性较弱。由行政机关自己规定自己行为准则, 反映了宪政中的监督原则和人民主权原则的贯彻在某种程度上的不彻底性。作为国务院制定的行政法规, 《条例》可以保证国务院有效地约束下级部门和政府但国务院作为行政机关, 自我约束的动能则有所不足。政府信息公开的范围限于政府行政机关、经授权具有管理公共事务职能的组织、公共企事业单位等, 立法机关、司法机关未能包含在内, 无法对审判公开、检务公开等加以限制。从更广泛的意义上讲, 除各级行政机关之外, 应当公开信息的主体还应包括党委、政协、立法机关、司法机关以及法律、法规所授权的具有管理公共事务职能的组织。因此可以说, 《条例》仅具有过渡性的地位。
综上所述, 尽管我国电子政务及政府职能上网已得到普遍认可, 但是与此相关的法律制度还不够完善, 导致电子公文法律体系存在缺失, 电子公文公布与开放利用没有得到法律的规制而缺乏规范化。虽然《宪法》、《档案法》、《电子签名法》等法律为电子公文公布与开放利用提供了一些法律依据, 特别是《政府信息公开条例》对信息公开作出规定, 填补了法律空白, 使得以政府信息为主要内容的电子公文公开有法可依。但这些法律法规都不是专门针对电子公文公布与开放利用的法律法规, 其对电子公文公布与开放利用所作的规定缺乏专业性与全面性, 因而有必要建立一个统一完整的针对电子公文的法律体系, 健全和完善电子公文公布与开放利用的管理和监督机制, 使电子公文公布与开放利用做到真正有法可依。
摘要:电子公文是电子政务的产物, 电子公文的公布与开放利用既是电子政务服务社会的重要内容, 也是信息时代信息公开的重要手段。随着我国信息公开步伐的不断加快, 有必要从法律角度对电子公文的公布与开放利用加以探讨。
关键词:电子公文,公布,开放利用,法律
参考文献
[1].程军.我国现行文件开放法制化的几点思考[J].档案管理, 2006.2
[2].姜明安.行政法与行政诉讼法[M].北京:高等教育出版社, 1999
电子保障 第10篇
关键词:电子信息工程,现状,保障措施
电子信息技术指的就是电子技术部分和通讯信息技术部分的融合, 能够为大家的生产生活方面给予一定的方便。电子信息工程是现在发展进程中最为核心的一种技术, 为相关信息产业给予了一定的动力。伴随着现在工业的迅速发展, 从事电子产品的生产、开发企业和销售企业逐渐增多, 这在一定程度上使得对专业人才需求增大, 所以对这一行业的发展和管理方式进行剖析研究很有必要。
1 新时代背景下电子信息工程技术的剖析
当今社会, 因为相关网络的灵活性, 造成网络逐渐变成了电子信息工程长期发展的核心方式[1]。较为先进的技术不断发展, 造成了关于信息实际操作部分的处理区域合理化和科学化。针对电子信息技术来说, 对于相关数据的具体剖析, 必须要充分考虑关于电子信息工程分布比较广泛的特点, 所以需要充分分析电子信息工程存在不足之处, 提出较为合理化的计划, 才能够让电子信息工程能够长期稳定发展。
2 电子信息工程发展现状
2.1 电子信息工程技术简述
电子信息工程技术指的就是集中电子技术部分、信息技术部分和通信技术部分作为一体化的相关应用, 最重要的就是运用计算机对于信息技术进行一定的收集、开发、处理和控制环节, 对于相关电子信息设备和信息体系的开发部分、设计部分、集成部分进行了一系列的剖析和研究。
2.2 电子信息工程发展现状
1) 核心技术匮乏。和经济较为发达的国家相比较, 我们国家电子信息技术的起步阶段发展较为缓慢, 相关技术水平有所落后, 大部分较为先进的技术都是引进其他国家的, 并没有形成自身的技术发展体系, 缺乏核心技术和创新意识, 创新能力比较薄弱, 缺乏有影响力的品牌和产品, 在国际竞争中处于劣势地位[2]。
2) 专业技术人才缺少。技术人才是电子信息技术发展的基础, 是推动电子信息技术进步的关键因素。我国电子信息产业起步较晚, 电子信息人才的发展培养相对较晚, 缺乏高水平的专业人才。专业技术人员的缺乏严重影响电子信息工程的发展, 特别是企业的技术人员缺乏, 限制了企业的经济效益和发展速度。
3) 知识产权保护不利。知识产权保护是每个行业要关注的问题, 也是每个行业的高发病率问题。电子信息市场环境存在假冒伪劣的电子信息产品泛滥, 使得市场环境不利于电子信息工程的良好发展。
3 电子信息工程发展的具体保障措施
3.1 重点培养专业型人才
建立“以人为本”的价值观, 培养良好科学素养的人才, 通过加大对人才培养的经费投入, 完善人才培养机制, 激发核心技术人员主动发展新技术, 扩大新工业区人才的积极性, 实现人才在知识、能力、素质方面的协调发展。
3.2 增强技术创新能力
要使电子信息产业的发展, 就必须在市场上保持新的增长点, 拥有自己的核心技术, 推动企业和服务模式的创新。因此在一定程度上提升相关电子技术和产品的创新。以技术创新为基础, 完善电子信息工程产业核心技术, 增强自主创新意识, 推动产品部分和服务部分的集中和具体创新, 增加公司的核心竞争力。政府有关部门可以拓宽电子信息产业的融资渠道和投资渠道, 促进电子技术的资金突破, 加强信息工程技术发展的引导力量。
3.3 优化产业结构
关于产业结构的优化升级就是要进一步实现经济方面的增长。信息化的发展并不是一个转瞬即逝的行业, 以促进社会就业、拉动经济增长、调整产业结构有着不可替代的作用[4]。加强国家宏观调控, 优化投资结构, 促进产业升级, 奠定了电子信息产业的稳定发展, 通过对政府政策的调整, 优化资源配置和产业实现协调发展的过程中, 推动产业化, 为企业在激烈的市场竞争中赢得先机, 站稳脚跟, 获得可观的发展。
4 结束语
综上所述, 现代科学技术和电子信息工程的快速发展, 使得电子信息产业的发展已逐渐成为国家的核心型产业, 对我们国家经济发展具有至关重要的推进作用。
参考文献
[1]张金菊.浅析电子信息工程的现代化技术[J].经贸实践, 2015, (9) :65.
[2]夏长林, 陈见辉.研究电子信息工程现代化技术的发展[J].山东工业技术, 2015, (21) :32.
[3]蔡磊.电子信息工程的现代化技术应用浅谈[J].信息通信, 2015, (11) :33.
电子保障 第11篇
关键词:电子信息工程;发展现状;保障措施
中图分类号:TN0-4
随着电子信息进入人们的生活,使人们的生活发生了巨大的改变,电子信息有效的加快了国民经济的发展,而电子信息技术理所应当的成为了高新产业,电子信息工程只有短短几十年的发展史,但发展的速度却十分惊人,成为了国家不可缺少的高新产业。随着科技的发展对电子信息工程的要求也在逐渐提高,这样才能做到与时俱进,适应时代的发展。虽然电子信息工程有相当多的优点,但是还是需要进一步的完善,这样才能更好的服务于我国人民。
1 浅谈电子工程相关的内容
1.1 电子信息工程的概念。所谓电子信息工程就是通过计算机一系列高新技术来完成对电子信息的处理和控制,电子信息技术包括信息技术和电子技术等,电子信息技术是一项十分复杂的技术。电子信息工程作为一项工程,就是让学生掌握一些电子信息技术和一些基本的知识,并且还要能够胜任设计和研究以及开发电子信息类的工作,电子信息工程就是对信息技术的处理和获取进行研究,以及对电子设备进行开发、设计和应用。例如,电子信息技术在军事中也有非常广泛的应用,比如秘密文件就离不开电子信息技术的应用,电子信息工程还属于朝阳产业,此专业成了热门专业,很多人乐于学习电子信息技术,立志成为高级工程技术开发方面的人才[1]。
1.2 电子信息工程在社会中的作用。由于电子信息技术的快速发展使其成为了新时代高新产业的代表,电子商务也受其影响加快了发展的速度,由近几年电子信息的发展情况,电子信息工程的重点是发展电子信息产品的制造、软件产业的制造,并且电子信息工程还拓展了其他的产业。例如,通讯业务、多媒体等业务。如今更是推出了网络游戏的业务,使电子信息进入了巅峰的发展时代,大量的电子技术产品也应运而生,因为产生大量的电子技术产品,所以也增加了许多开发其产品的企业,因而对我国市场经济的发展起到了促进的作用。目前,为了市场经济的进一步发展,我国需要大量的电子信息技术开发人才。所以对人才的要求也非常的高,需要同时具有应用型技术和管理技术的人才,只有这样才可以保证电子信息产业的可持续发展,为人们提供更加优秀的电子信息产品,方便人们的生活,并且,能够提高我国经济的增长[2]。
2 我国电子信工程发展的现状
我国电子信息工程的起步与其他国家相比起来较晚,但是发展的速度却相当快,最近几年,我国电子信息的技术近乎于成熟,已经形成一个完整的工业生产体系。近乎达到了世界电子信息的发展水平,我国进入21世界的电子信息时代后,我国的国民经济已经严重的依赖于电子信息产业,电子信息在我国民经济的总值中所占比例也在不断的增高。我国电子信息正在向良性方向发展,更加注重电子信息产品品质、技术、附加值的高度。电子信息产品的企业也逐步壮大,成为大型的股份制企业。电子信息产品的企业有着科学的产业结构,形成了电子信息产业的基地。对我国信息产业整体素质的提高有着非常大的影响,并且有利于电子信息工程的发展[3]。
虽然这些年电子信息工程处于良好的发展状态,但是由于现代社会的发展对电子信息工程的要求也逐渐的提高,现在一些电子信息工程技术还有一些地方存在不足,下面笔者对其进行简单的分析。开发的电子产品不能做到与时俱进,缺乏创新,这影响了产业的进一步发展,电子信息作为新型的朝阳产业,电子信息产业发展的速度大概高于经济发展速度的两倍。虽然信息发展的速度并没有减慢,但是我们必须合理的分析电子信息产业发展过程中所存在的问题[4]。
3 电子信息工程发展的保障措施
3.1 建立完善的电子产业体系以及运行制度。目前,我国电子信息市场并没有明确的制度规范,因而导致我国电子市场没有竞争力,所以我国发布相关的制度和政策,以保证知识产权不受侵害,保证国内电子信息市场的竞争力,对盗版软件进行一定的打击,鼓励大中型企业整合企业自身的资源,加强企业在国际市场中的竞争力,这样可以使我国的产品真正走入国际化市场,并且大中型企业还应该与小企业相合作,有助于提高产业的整体实力,可以使产业在世界中的地位得到有效的保障,所以我国应该加大对电子信息产业保护的力度,颁布相关的法律制度,滚翻电子产业体系以及运行制度,使其有一个良好的发展环境[5]。
3.2 培养和选拔优秀的人才。电子信息产业处于我国经济产业的领先地位,我国又面临着高端人才资源的缺失,所以应该进一步完善我国优秀人才的选拔和培养机制,对以往的激励制度和方法进行完善,帮助我国挑选出更加优秀的人才。并借鉴国外的成功案例,结合我国的实际情况,制定适合我国情况的培养体系。
3.3 电子信息技术投资力量需要加大。想要开发好的电子信息产品,需要资金和技术的支持,这样才可以开发出较高质量的电子产品,为了更好的促进现代的工程信息的技术的建设和发展,还需要不断增强资金的投入量,充分利用资金以及融资的渠道,对信息工程的发展起到促进和保障性的作用。
我国现在已经掌握了高新的电子信息技术,但仅仅只是高新电子信息技术的主要部分,我国只是一味的模仿国外的先进技术而没有自己的电子信息工程技术的体系。导致我国电子信息技术一直处于被动的状态,生产的产品在世界电子信息中缺少竞争力,国外电子产品在我国的销售业绩非常可观,而我国电子信息产业靠替国外做电子产品而获得加工的利润,长期下去,将导致我国电子信息技术的发展止步不前,并且,我国的市场竞争环境相对较差,只有良好的市场竞争环境才能保证电子信息产业基本的生存和发展。但是,我国市场还存在着大量假冒的电子产品,侵犯他人的智力成果,倒卖盗版产品的情况时有发生,这些都因为没有相关法律制度的约束,这就严重的影响了我国市场竞争力。
国内缺少开发电子信息类产品的人才,人才的缺失直接影响我国电子信息产业的进步和发展,由于电子信息技术有较高的难度并且十分复杂,如果想要开发既创新又高质量的产品十分困难,要求开发人员必须掌握的知识和技术较为全面,并且还有具有相当高的创新灵感。我国电子信息技术发展相对较晚,虽然发展速度特别的快,但是避免不了落后于其他国家,所以更需要我国高度重视电子信息人才的培养。
4 结束语
本文电子信息工程发展现状及其保障措施进行了分析和探讨,通过本文的阐述我们还可以了解到,电子信息工程对国民经济的发展有着非常重要的作用,电子信息工程在社会中占有重要的位置。电子信息有效的加快了国民经济的发展,电子信息技术就成为了高新产业之一,电子信息工程经历几十年的发展,所取得的成果却是非常大的,电子信息成为了世界国家经济发展的高新产业。伴随科技的发展,电子信息工程的要求也需要不断的提升,这样才能让信息工程做到适合时代的发展,对我国的经济发展起到保障性的作用。
参考文献:
[1]邱磊,郭湘军,陈忠思.我国电子信息工程发展现状及保障措施探讨[J].电子制作,2011(04).
[2]李金宏.关于电子信息工程发展现状及保障措施的研究[J].黑龙江科技信息,2013(05).
[3]杨光关.于电子信息工程发展现状及保障措施的研究[J].科技與企业2011(04).
[4]刘延风.彭桦我国电子信息工程发展现状及保障措施探讨[J].产业与科技论坛,2011(03).
电子招投标系统安全保障实践与思考 第12篇
目前, 网上招投标系统建设正如火如荼地开展,部分地区已经实现了全流程、全范围(施工、监理等类别)的网上招投标,极大地提高了工作效率,节约了社会资源,方便了当事人。但是,正如开放的互联网面临着潜在的风险, 网上招投标系统也需要健全的安全保障措施,特别是全面使用电子化招投标系统的单位,由于不再要求提供纸质件备案,一旦系统出现故障导致电子文件丢失,将造成严重的后果。因此,有必要多角度,全方位地分析网上招投标系统所面临的安全风险,并结合实际制定全面完整的安全风险防范机制与措施。目前,绝大多数与网上招投标系统安全保障建设有关的文章主要着力于阐述怎样利用PKI(公共秘钥基础结构)技术来保障招投标文件制作、传输、存储的安全,以及进行身份认证、完整性校验及抗抵赖验证等。本文试图从系统管理的角度,结合本地实践,对网上招投标系统的安全管理措施进行归纳总结,并对在此过程中存在的问题做一些探讨。
2 网上招投标系统安全保障措施
随着网上招投标系统的不断发展,其覆盖面也在不断提高,大有取代传统纸质评标之势。因此,对于网上招投标系统,不能单单将其视为一种工具,而应将其视为生产资料不可分割的组成部分,从安全生产的角度对网上招投标系统进行评估、建设与维护。文章将通过不同的安全子系统分别阐述相应的保障措施, 需要注意的是, 这些安全子系统都必须具有合乎现实要求的健壮性,否则就如木桶原理所言,短板的存在可能导致整个系统的严重安全风险。
2.1 网络机房的安全保障
网上招投标系统安全措施从最初的数据库备份,到架设防火墙,再到后来的架设防毒墙、IDS、IPS、运维审计系统等,其基础都离不开环境的安全,如果没有基础环境的安全,一切安全措施都将是空中楼阁。
机房物理环境安全一般应考虑几点。
(1) 电力供应的连续性是否有保障 , 是否配备了UPS,停止供电致系统关闭后 ,重新提供服的时间是否在可接受范围内。
(2) 是否安装了空调系统以及空调系统的连续工作能力。
(3)消防设施是否安装到位。是否安装了监控设施并有专人负责管理,监控文件的保存是否安全。
(4)机房边界(天花板,地板等)强度是否达标。公众访问区与核心业务区是否隔离,是否建立了门禁系统等。
2.2 硬件系统安全保障
这里的硬件系统安全主要指服务器系统及存储系统的安全。由于服务器系统是24小时不间断运行,其单个部件发生故障的概率很高, 特别是存储系统中的磁盘,目前存储冗余系统一般采用RAID技术构建RAID5系统, 此级别冗余系统最多可容许同时两块硬盘故障,但由于访问频率很高,读写操作频繁,两块磁盘同时发生故障的概率也很高。为此,在单位建立了巡检制度,每周对机房进行两次巡检,发现故障及时处理解决。通过巡检, 我们及时处理了磁盘故障、RAID控制卡故障、CPU故障、内存故障、主板故障等多类硬件故障。今后 ,可以考虑将服务器资源及存储资源进行云托管,进一步保障服务的稳定性。
2.3 网络环境安全保障
为应对日渐增多的网络攻击, 保障网络通信安全,需要建立基本的网络保障体系,在架设防火墙、防毒墙、IPS/IDS之后 , 更重要的是根据实际情况做好合理的配置。在交换机上做好VLan的划分,防止网络风暴,对需要数据交互服务的业务,建立安全的VPN隧道。可以通过架设前置服务器, 以保障网络数据交互的便捷性、连续性及稳定性,减少核心业务服务器的计算负担。还要做好URL过滤,防止未经授权的Web访问。
2.4 软件系统环境安全保障
与专业网络公司合作,定期对系统进行扫描,及时发现恶意代码及系统漏洞,进行风险评估后形成扫描报告, 对于较为严重的威胁及系统漏洞必须及时处理,必要时可召开联席会议商讨对策。对于对外提供服务的网站系统,可自行模拟黑客攻击,检测网站的健壮性和抗攻击能力。服务器端杀毒软件必须及时更新,通过光驱USB接口或邮件服务器读入系统的电子文件必须首先进行扫描。
2.5 数据备份安全保障
根据制定的备份策略定期备份数据库文件,以便在出现灾难或媒介失效的情况下恢复信息,保证开评标的正常进行。
要选择合适的备份地点和备份方法,有条件的应当同时进行异地备份。在备份方法上,全数据备份对所有选择备份的数据进行备份。全数据备份比其他备份方式需要更多的时间和数据存储容量, 但它是数据恢复最简单和容易的方法。增量备份是对上次备份后所有发生变化的数据进行备份。增量备份比其他方法需要更少的时间和数据存储容量, 但它的数据恢复方式最复杂。差异备份对上一次全数据备份发生变化的数据进行备份。它比全数据备份需要更少的时间和数据存储容量,比增量备份对数据的恢复更简单和容易。考虑到数据恢复时间及目前存储介质成本较低的情况,推荐采用全数据备份。
2.6 运维安全保障
网上招投标系统往往采用第三方软件公司开发的模式,由建设单位自行开发的比例较少,由于程序更新系统维护的需要,相关人员必然要登陆服务器或网络设备进行操作,为了防止程序开发人员、系统维护人员对系统的恶意篡改或无意识地错误更改,避免开发人员的非授权操作,我们建立了运维监控系统。只对特定的管理者开放接口,通过架设运维管理机,对授权管理者的操作行为进行全程监控记录,可以有效地防止开发公司人员的非法操作,同时也是对相关人员的保护。
2.7 日志安全审计及权限管理
定期巡检时,认真查看操作系统、网络设备等底层系统产生的日志,分析用户活动记录、异常情况和信息安全事件的审计日志 ,如登录和退出、成功的和被拒绝的对系统尝试访问的记录、特殊权限的使用、网络地址和协议、访问控制措施系统引发的警报等。在应用层,通过对网上招投标系统嵌入安全审计机制,记录数据的访问更改和删除、页面的访问甚至按钮的操作,这样在今后的事件回溯中,可以做到有据可查。
除对系统事件及用户行为记录外,还应对用户的权限做合理的配置,按部门、岗位、角色等要素分配工作需要的功能,禁止用户的越权操作。严格限制管理员权限的分配及使用,因为特殊权限的不当使用会对系统造成重大影响。
还应当要求用户在选择及使用口令时,遵循良好的安全习惯,如用户初次登录必须修改初始口令,必须建立强度满足要求的口令,系统口令策略应强于用户口令策略等。
3 网上招投标系统安全管理存在的问题及对策
3.1 建立健全安全标准规范,加强网上招投标系统安全评审力度
应在较高层级制定统一的网上招投标系统安全标准规范,并对各地网上招投标系统的安全性组织专家评审,评审通过后方可正式投入使用。
2012年11月份, 江苏省招投标行政管理机构印发了《江苏省建设工程招标投标信息系统安全管理规定》(试行 )(以下简称《规定》),对安全管理的各项措施做了较为细致的规定,并在安全管理方面对各地招投标管理机构及交易中心的职责进行了划分, 明确了双方的责任,规定招投标管理机构负责有关招投标信息安全的管理、监督、检查和指导培训工作,交易中心负责有关系统和网络的运行、维护、服务、检查和培训工作。
但是,由于各地的信息化建设水平不一,在要求各地执行安全管理规定的同时,上级管理部门应给予相应的指导。《规定》要求招投标管理机构应定期检查指导工作,但由于管理机构技术力量缺乏,不利于更好地开展工作。因此,应充分发挥交易中心专业技术力量优势,主管部门出台相关政策文件,鼓励与高校及系统安全技术企业展开合作,逐步构建符合安全管理规定的安全管理体系。同时,主管部门应进一步组织专家对网上招投标系统进行安全保障评审,确保系统安全性。
另一方面,国家信息中心信息安全评估处相关人员表示,政府正在推行信息安全绩效考核,将其纳入政府部门的工作考评中。作为招投标管理部门,也应将网上招投标系统的安全保障纳入绩效考核体系。
3.2 进一步加强对信息处理权力的平衡与制约
网上招投标系统不仅仅是标书的电子化、评标的电子化, 也包含了工作流程的电子化, 审批流程的电子化,行政监察的电子化。就目前的现状而言,系统仍在不断的发展完善之中, 承担具体系统建设任务的信息部门,其责任、权力及风险也在不断加大。事实上,多数的数据变更及特殊事项的处理均是由信息部门完成 ,理论上说, 信息部门可以修改其认为必要修改的任意数据。虽然具有数据库的日志系统以及应用层的操作审计系统, 但操作审计的粒度大小以及数据日志本身的可修改 性导致无 法必然保 证每一操 作记录的 完整性,因此,如果发生安全事件,极易发生当事人“用事实证明事实的不存在”。从各地实践看, 也发生过软件开发公司人员接受商业贿赂, 向投标单位泄露应当保密的信息事件。因此, 必须建立完备的监督制衡机制,防止监守自盗。除数据变更的双层审核机制外,任一有关安全系统的密码均不应由一人掌握,也就是说,对任一敏感数据的访问或更改,均应由两人以上知晓。由于电子招投标系统的快速发展, 经常性的数据变更不可避免,这就更需要信息部门提高安全意识,切实执行各项安全管理制度。
3.3 进一步加强对信息安全管理人员的激励
《规定》要求“各单位须成立信息系统安全领导小组,并指定专(兼)职的安全员”,对“未按本规定加强招投标信息系统和网络安全管理造成安全事故的, 安全领导小组负责人与安全员共同承担有关责任”。实践中,安全员往往由信息部门工作人员担任,由于招投标市场关注度高, 利益相关群体组成复杂, 利益诉求多元, 致使访问量较大的网上招投标系统容易成为攻击的对象。系统安全人员承受着巨大的心理压力,招投标系统的安全虽极为重要,但并不是各单位的核心业务,加之目前各事业单位普遍实行绩效工资体系, 有较为明晰的考核标准, 系统安全管理人员面临着这样一种环境:即不出问题则无法感知其存在,出现问题则面临较大压力。按照赫茨伯格的双因素理论,组织应当更加注重“激励因素”的提供,包括认可、成就和责任以及更为完善的绩效标准等, 以更好地发挥系统安全管理人员的价值。
3.4 以审慎的态度加强在线支付的安全管理
在线支付在电子商务领域已被广泛应用,招投标业务因牵涉到各类费用(招标文件费、招投标工具使用费、交易平台使用费等)的收取及划转,全面应用在线支付可以极大地方便当事人,这是大势所趋。但由此产生的支付安全等问题也应当引起我们的重视。
首先对第三方支付平台的选择应持审慎态度。目前市场上存在许多第三方支付平台,这些平台基本上是企业化运作,国家对其运作的监管并不完善,事实上,也发生过第三方平台的商业欺诈行为。因此,选择一家信誉好、实力强的企业就十分必要,否则一旦第三方平台任意挪用款项甚至卷款而逃,给招投标当事人带来的损失将是巨大的。
其次,要搭建网上招投标系统与支付平台的安全网关,保障交易数据的安全性,资金交易的数据应是加密的,不可读取的,投标人(支付人)的信息也应当在一定时期内是加密的或隐藏的。
再次,对错误的交易信息或异常的交易指令应有处理措施。如费用的重复支付、账号错误、指令的异常丢失等,要能够实时监测或有补救措施,对于财务部门应具有对账功能,保障招投标各方当事人的支付安全。
3.5 进一步增强全体员工的安全意识
网上招投标系统的安全除应在技术措施上做好保障外,还应在系统使用者的因素上进一步加强全体员工的安全意识。
一是加强法律法规的学习,特别是招投标领域的法律法规, 因网上招投标系统与法律法规结合的十分紧密,只有对法律法规有较为深刻的认识,才能在工作中明确什么是应当做的,什么是不能做的。
二是要对基本的计算机安全有一定了解,主动加强主机安全。如果客户端中毒或被植入木马,网上招投标中的敏感数据就有可能泄露。
三是进一步增强拒腐防变的意识,特别是关键岗位人员,由于其可以了解报名情况、资格审查情况或具体评标情况,往往是投标单位的关注对象,这些人员尤其应增强安全意识,加强对自身的要求。
4 结束语
网上招投标系统的安全管理是一项系统工程,对招投标活动的正常开展具有重要意义,因为网上招投标系统本身就是信息技术与招投标活动的结合,所以其安全管理就必然包括技术、管理、人员等多个方面。随着信息技术的不断发展以及招投标管理体制的不断创新,网上招投标系统的安全管理也应当与时俱进, 不断发展,其最终目的是为了更好的方便招投标各方当事人,有力保障各方当事人的合法权益。
摘要:在电子招投标系统的开发建设中,一方面是要完成系统的功能需求,另一方面,保障系统的安全稳定运行是基本要求。文章首先介绍了电子招投标系统安全保障方面的实践,之后结合实际对实践过程中存在的五个方面问题进行了归纳分析,并提出了建立健全安全标准规范、加强对信息处理权力的平衡与制约、加强对信息安全管理人员的激励、加强在线支付的安全管理、增强全体员工的安全意识等对策。
【电子保障】相关文章:
电子公文安全保障管理论文04-18
电子公文安全法律保障管理论文04-10
电子公文安全保障管理论文提纲08-07
电子公文安全保障管理论文参考文献08-25
如何用加密方法 保障电子邮件系统安全08-26
电子信息工程发展现状及保障措施的研究02-09
试论电子档案长期保存中如何保障其可用性09-12
浅谈电子商务发展下的民商法保障措施09-10
激励保障05-08