网络信息安全电子政务(精选12篇)
网络信息安全电子政务 第1篇
网络信息安全的技术特征
从技术角度来看, 网络信息的安全性主要体现在信息和网络两个层面。
1信息层面的安全性
信息层面的安全性主要由以下几个指标来评价: (1) 保密性:指信息
只能为授权用户使用, 不能被非授权的用户或实体利用; (2) 完整性:指信息在传输过程中不能被非授权用户进行添加、修改、删除等改变信息特性的操作; (3) 不可否认性:指在信息的传输过程中, 保证所有的参与者都不能否认自己曾经完成的操作。
2网络层面的安全性
网络层面的安全性主要由以下几个指标来评价: (1) 可靠性:指系统能在期望的时间内完成指定的功能; (2) 可用性:是指信息服务在需要时, 能够允许授权用户使用; (3) 可控性:指系统对信息的内容及传播具有控制能力, 并不允许不良信息通过公共的网络进行传输。
电子政务的网络信息安全面临的威胁
影响电子政务的网络信息安全的因素有很多, 除了技术因素外, 还包括管理制度和立法等因素。
1技术和设备存在缺陷
我国多数电子政务系统都是按照分别建设公共网、外网和内网设计的, 但这三种网络的网络环境都是采用TCP/I P协议建立的, 该协议在服务模式、协议规划和网络管理等方面均缺乏安全性的设计, 所以基于其建立的政务信息系统先天就存在着安全隐患。我国具有自主知识产权的设备较少, 如微机主板、骨干路由器和计算机芯片等基本都要从国外进口, 且对引进的技术和设备缺乏必要的改造, 这些设备本身就可能是安全隐患。这些技术的隐患直接导致非法和敌对分子有机可乘, 对系统进行攻击, 主要包括监听消息内容或业务流程的被动攻击和中断、篡改和伪造信息的主动攻击。
2安全管理薄弱
我国电子政务系统自身对内部人员的操作基本没有进行实时的记录和监控, 更没有阻断相应的非法操作, 这都是安全管理薄弱的表现。总的来说, 安全管理薄弱表现在三个方面: (1) 管理制度不完善:政务系统的建设偏重技术上的安全保障措施, 却忽略了管理制度的建设, 主要表现为管理制度欠完备和管理权限不清, 导致出现安全事故时, 责任牵扯不清, 故障定位不准; (2) 工作人员安全意识薄弱:目前, 内部人员行为造成的泄密事故占全部泄密事故的70%以上, 这都是工作人员安全防范意识缺乏导致的, 比如, 将涉密信息在内网中进行共享、人离开后没有及时关闭信息系统等; (3) 网络管理人员业务素质不高:管理政务系统的公务人员的计算机和网络的相关知识水平较低, 知识面较窄, 没有技术上的危机意识, 导致信息系统轻易就会遭受攻击。
3相关立法有欠缺
虽然近年来国家出台了一些有关网络信息相关的法律, 但没有形成体系, 立法方面仍然存在欠缺, 主要表现在以下三个方面: (1) 相关法律空白:电子政务的立法可以分为三个层面, 即维护网络安全的法规、个人信息保护的法规和数字签名的法规, 现行的大部分法规都是针对电子政务网络安全的, 没有一部完整保护电子政务网络信息安全的纲领性法规; (2) 相关法律相互抵触:由于电子政务系统的特殊性, 多部从技术或管理等方面维护信息安全的法律对其都适用, 这些法规中有一部分是相互抵触的; (3) 相关立法滞后:互联网技术飞速发展, 但电子政务立法却不能同步跟进, 地方政府构建自身电子政务系统的纲领性文件还是现有的法规, 使得其具有巨大的安全隐患。
提高电子政务中的网络信息安全的解决方案
1建立健全预警防护体系
建立预警防护体系主要可以从两个方面入手:: ( (11) ) 建全安全检测体系, 即发现潜在的或正在发生的安全问题, 比如监控政府内部人员非法法外外联联的的行行为为、、自自动动检检测测政政务务信信息息网网络络部部署署的的漏漏洞洞、、自自动动检检测测非非法法入入侵行为并根据最新的安全事故的案例对防护手段进行更新调整; (2) 建全网络信息安全防护体系, 其是网络信息最直接的保护伞, 是电子政务系统技术设计的重点之一, 包括身份认证、防火墙、系统访问控制等。
2完善电子政务法律体系
建立健全电子政务法律体系可以从以下几个方面入手: (1) 发展科学的网络信息安全保护理念:立法应该站在保护电子政务网络健康稳定发展的角度进行; (2) 法律的制定应具有前瞻性:由于信息技术的快速发展, 涉及电子政务网络信息安全的法规应为技术的发展预留足够的空间, 而不能将其现定于现有认识范围的框架中; (3) 加强法律的可执行性:需要建立对电子政务网络信息安全事故的快速反应的机制和执法队伍, 并明确执法队伍的职责, 以便依法管理和决策。
3提高信息安全管理水平
安全保障体系的高效运转依赖于安全管理体系的支撑, 提高信息安全管理可以从体制建设和具体实施两个方面入手。体制建设方面, 应应根根据据当当前前电电子子政政务务的的具具体体情情况况制制定定贯贯彻彻于于整整个个网网络络系系统统的的统统一一管管理理制制度度, , 分分为为统统一一的的部部署署规规划划、、规规章章制制度度的的建建立立、、安安全全管管理理组组织织的的建建设设和工作人员安全意识的强化四个方面的内容;具体实施方面, 主要包括风险评估、策略的制定、标准的执行、安全审计、应急响应和安全培训等方面的工作, 其贯穿于信息系统的整个生命周期。
结语
本文首先分析了电子政务网络信息安全的技术特征, 然后分别从技术、立法和管理三个方面对网络信息安全进行了深入的探讨, 对电子政务网络信息安全管理有一定的参考意义。
电子商务网络信息安全问题 第2篇
2.加强网络安全管理。我国网络安全管理除现有的部门分工外,要建立一个具有高度权威的信息安全领导机构。只有在中央建立起这样一个组织,才能有效地统一、协调各部门的职能,研究未来趋势,制定宏观政策,实施重大决定。对于计算机网络使用单位,要严格执行《中华人民共和国计算机信息系统安全保护条例》与《计算机信息网络安全保护管理办法》,建立本单位、本部门、本系统的组织领导管理机构,明确领导及工作人员责任,制定管理岗位责任制及有关措施,严格内部安全管理机制。具体的安全措施如:把好用户入网关、严格设置目录和文件访问的权限,建立对应的属性措施,采用控制台加密封锁,使文件服务器安全可靠;用先进的材料技术,如低阻材料或梯性材料将隔离设备屏蔽起来,降低或杜绝重要信息的泄露,防止病毒信息的入侵;运用现代密码技术,对数据库与重要信息加密;采用防火墙技术,在内部网和外部网的界面上构造保护层。
3.加快网络安全专业人才的培养。我国需要大批信息安全人才来适应新的网络安全保护形势。高素质的人才只有在高水平的研究教育环境中迅速成长,只有在高素质的队伍保障中不断提高。应该加大对有良好基础的科研教育基地的支持和投入,多出人才,多出成果。在人才培养中,要注重加强与国外的经验技术交流,及时掌握国际上最先进的安全防范手段和技术措施,确保在较高层次上处于主动。要加强对内部人员的网络安全培训,防止堡垒从内部攻破。
4.开展网络安全立法和执法。一是要加快立法进程,健全法律体系。自1973年世界上第一部保护计算机安全法问世以来,各国与有关国际组织相继制定了一系列的网络安全法规。我国政府也十分重视网络安全立法问题,成立的国务院信息化工作领导小组曾设立政策法规组、安全工作专家组,并和国家保密局、安全部、公安部等职能部门进一步加强了信息安全法制建设的组织领导与分工协调。我国已经颁布的网络法规如:《计算机软件保护条例》、《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国信息网络国际联网安全管理暂行规定》、《计算机信息网络国际联网管理办法》、《计算机信息系统国际联网保密管理规定》等。10月1日起生效的新《刑法》增加了专门针对信息系统安全的计算机犯罪的规定:违犯国家规定,侵入国家事务、国防建设、尖端科学领域的计算机系统,处三年以下有期徒刑或拘役;违犯国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机系统不能正常运行,后果严重的处五年以下有期徒刑,后果特别严重的处五年以上有期徒刑;违犯国家规定,对计算机信息系统存储、处理或者传输的数据与应用程序进行删除、修改、增加操作,后果严重的应负刑事责任。这些法规对维护网络安全发挥了重要作用,但不健全之处还有许多。一是应该结合我国实际,吸取和借鉴国外网络信息安全立法的先进经验,对现行法律体系进行修改与补充,使法律体系更加科学和完善;二是要执法必严,违法必纠。要建立有利于信息安全案件诉讼与公、检、法机关办案的制度,提高执法的效率和质量。
5.抓紧网络安全基础设施建设。一个网络信息系统,不管其设置有多少道防火墙,加了多少级保护或密码,只要其芯片、中央处理器等计算机的核心部件以及所使用的软件是别人设计生产的,就没有安全可言;这正是我国网络信息安全的致命弱点。国民经济要害部门的基础设施要通过建设一系列的信息安全基础设施来实现。为此,需要建立中国的公开密钥基础设施、信息安全产品检测评估基础设施、应急响应处理基础设施等。
6.把好网络建设立项关。我国网络建设立项时的安全评估工作没有得到应有重视,这给出现网络安全问题埋下了伏笔。在对网络的开放性、适应性、成熟性、先进性、灵活性、易操作性、可扩充性综合把关的同时,在立项时更应注重对网络的可靠性、安全性评估,力争将安全隐患杜绝于立项、决策阶段。
7.建立网络风险防范机制。在网络建设与经营中,因为安全技术滞后、道德规范苍白、法律疲软等原因,往往会使网络经营陷于困境,这就必须建立网络风险防范机制。为网络安全而产生的防止和规避风险的方法有多种,但总的来讲不外乎危险产生前的预防、危险发生中的抑制和危险发生后的补救。有学者建议,网络经营者可以在保险标的范围内允许标保的财产进行标保,并在出险后进行理赔。
8.强化网络技术创新。如果在基础硬件、芯片方面不能自主,将严重影响我们对信息安全的监控。为了建立起我国自主的信息安全技术体系,利用好国内外两个资源,需要以我为主,统一组织进行信息安全关键技术攻关,以创新的思想,超越固有的约束,构筑具有中国特色的信息安全体系。特别要重点研究关键芯片与内核编程技术和安全基础理论。
9.注重网络建设的规范化。没有统一的技术规范,局部性的网络就不能互连、互通、互动,没有技术规范也难以形成网络安全产业规模。目前,国际上出现许多关于网络安全的技术规范、技术标准,目的就是要在统一的网络环境中保证信息的绝对安全。我们应从这种趋势中得到启示,在同国际接轨的同时,拿出既符合国情又顺应国际潮流的技术规范。
10.建设网络安全研究基地。应该把我国现有的从事信息安全研究、应用的人才很好地组织起来,为他们创造更优良的工作学习环境,调动他们在信息安全创新中的积极性。一是要落实相关政策,在收入、福利、住房、职称等方面采取优惠政策;二是在他们的科研立项、科研经费方面采取倾斜措施;三是创造有利于研究的硬环境,如仪器、设备等;四是提供学习交流的机会。
11.促进网络安全产业的发展。扶持具有中国特色的信息安全产业的发展是振兴民族信息产业的一个切入点,也是
维护网络安全的必要对策。为了加速发展我国的信息安全产业,需要尽快解决资金投入、对外合作、产品开发、安全评测、销售管理、采购政策、利益分配等方面存在的问题。
【参考文献】
[1]屈云波.电子商务[M].北京:企业管理出版社,.
[2]赵立平.电子商务概论[M].上海:复旦大学出版社,.
[3]赵战生.我国信息安全及其技术研究[J].中国信息导报,1999,(8):5-7.
[4]郭晓苗.Internet上的信息安全保护技术[J].现代图书情报技术,2000,(3):50-51.
[5]吉俊虎.网络和网络安全刍议[J].中国信息导报,1989,(9):23-24.
[6]郭炎华.网络信息与信息安全探析[J].情报杂志,,(4):44-45.
浅析电子政务信息安全 第3篇
近年来,政府电子政务安全体系建设受到各级政府的高度重视。在各类电子政务系统建设中,安全无不被提高到战略高度对待。政府部门或从技术手段出发,采用各类信息安全技术来保障电子政务安全,或是辅之以信息安全的制度保障,从技术加管理的角度来落实安全措施。
一、电子政务安全需求
电子政务是由政务内网、政务外网和互联网三级网络构成的,政务内网为政府部门内部的关键业务管理系统和核心数据应用系统,政务外网为政府部门内部以及部门之间的各类非公开应用系统,所涉及的信息应在政务外网上传输,与互联网相联的网络。电子政务所涵盖的信息系统是政府机构用于执行政府职能的信息系统。政府机构从事的行业性质跟国家紧密联系,所涉及的众多信息都带有保密性,所以信息安全问题尤其重要。
电子政务安全主要表现在技术层面的安全机制和社会人文环境、道德伦理方面的保障体系。在电子政务实践中人们的安全需求主要有三点:一是扫除信息网络安全隐患;二是打击违法犯罪活动;三是保障国家信息领域。
二、加强电子政务信息安全管理对策
电子政务网络安全是指信息安全和系统安全两部分。信息安全包括“保障计算机及其相关的和配套的设备、设施(网络)的安全,运行环境的安全,保障信息安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全”。系统安全包括物理安全与传输安全、操作系统安全、网络结构安全、信息传递过程安全、身份鉴别与访问控制、标准时间源、病毒保护、数据备份与容灾等几个方面,其中操作系统安全、网络结构安全和信息传递过程安全成为重点。加强电子政务信息安全管理对策如下:
1使用网页防篡改系统构建安全网站。
针对政府机关Web安全性的要求,可选用网页防篡改系统来构建安全网站。网页防篡改系统实时监控Web站点,当Web站点上的文件受到破坏时,能迅速恢复被破坏的文件,并及时提交报告给系统管理员,从而保护政务网每个Web站点的数据安全。做好服务器的安全策略配置,及时升级补丁程序;正确配置防火墙、入侵检测设备策略,通过以防火墙为政府网站的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上,对网络存取和访问进行监控审计。既注重外部防范。又要加强内部管理,在政务内网与外网之间采用物理方式隔离,政务外网与互联网之间采用逻辑方式隔离。
2使用漏洞扫描系统弥补缺陷。
目前,我国的信息安全形势严峻,被列入防护能力最低的国家之一。所有的政务应用和安全措施都依赖操作系统提供支持,操作系统的漏洞或配置不当将有可能导致整个安全体系的崩溃。在电子政务设计建设中,使用具有自主知识产权且代码对政府公开的产品是信息安全的根本,但由于我国没有掌握CPU等核心技术,未能建立独立自主的信息安全产业,在操作系统安全设计方面必须布置漏洞扫描系统以弥补操作系统无自主产权的缺陷。利用漏洞扫描工具采取时间策略定时扫描整个网络地址网段,对多种来自通讯、服务、设备、系统等的漏洞进行扫描。采用模拟攻击的手段去检测网络上隐藏的漏洞。且对网络不做任何修改或造成任何危害,并提供漏洞检测报告和解决方案,从而有效检查网络系统的可靠性和安全性。
3使用隔离网闸技术整合网络结构。
电子政务实践中往往产生内网与专网、外网间的信息交换需求,然而基于内网数据保密性的考虑,我们又不希望内网暴露在对外环境中。解决该问题的有效方式是设置安全岛,通过安全岛来实现信息的过滤和两个网络间的物理隔离,从而实现安全的数据交换。隔离网闸技术是实现安全岛的关键技术,通过添加VPN通信认证、加密、入侵检测和对数据的病毒扫描,就可构成一个在物理隔离基础上实现安全数据交换的信息安全岛。在此基础上,隔离网闸作为代理从外网的网络访问包中抽取出数据然后通过反射开关转入内网。完成数据中转。另一方面,由于隔离网闸仅抽取数据交换进内网,因此,内网不会受到网络层的攻击,这就在物理隔离的同时实现了数据的安全交换。
4使用PKI技术进行加密认证。
PKl是公钥基础设施(Public Key In-frastructure)的简称,是一个用非对称密码算法原理和技术来实现并提供安全服务的、具有通用性的安全基础设施。在电子政务和电子商务的建设中,PKI实际上是提供了一整套的、遵循标准的密钥管理基础平台。PKI技术通过第三方的可信任机构认证中心CA把用户的公钥和用户的其他标识信息(如名称、E-mail、身份证号等)捆绑在一起,通过数字身份证、数据签名、用户名及其访问口令。进行身份鉴别及访问权限的控制,防止非法人员对网络的登录,保证网络资源的使用安全性。在加密过程将密钥分解为公开密钥和私有密钥,公开密钥用于加密,私有密钥用于解密,私有密钥只能由生成密钥的交换方掌握,公开密钥可广泛公布。但它只对应于生成密钥的交换方。认证中心CA是PKI的核心执行机构,承担认证服务、签发数字证书,由受信任的第三方权威机构担当,验证并标识证书申请者的身份,对证书申请者的信用度、申请证书的目的、身份的真实可靠性等问题进行审查,确保证书与身份绑定的正确性,具有唯一性和权威性。
三、结束语
浅析电子商务网络信息安全 第4篇
1 电子商务网络信息的特征
1) 网络信息的鉴别性。参与电子商务各方的身份信息, 可通过信息技术的手段予以鉴别。
2) 网络信息的保密性。涉及电子商务的消费者信息属于个人隐私信息, 而商家和金融机构等部门的信息则属于商业秘密信息。
3) 网络信息的完整性。在信息流动过程中, 如果人为造成的或网络系统导致的信息的变更, 从而可能会导致交易失败, 所以要保持信息的完整性。
4) 网络信息的多源性。电子商务的信息流动不只是在客户和商家之间进行的, 而是围绕每一笔交易流动的。
5) 网络信息的开放性。参与电子商务的商家、消费者、金融机构、认证中心等, 只要公开了自己的网址, 便可接受任何人或组织的访问。
2 电子商务网络信息的安全
2.1 网络信息安全方面
1) 网络信息的截获和窃取:如果采用加密措施不够, 攻击者通过互联网或其他方式, 获取机密信息或通过对信息流量、流向、通信频度和长度分析, 则可推测出有用信息。
2) 网络信息的篡改:当攻击者熟悉网络信息格式后, 通过技术手段对网络传输信息中途修改并发往目的地, 破坏信息完整性。
3) 网络信息的假冒:当攻击者掌握网络信息数据规律或解密商务信息后, 假冒合法用户或发送假冒信息欺骗其他用户。
2.2 电子商务交易方面
1) 身份的不确定问题。由于电子商务的实现需要借助于虚拟的网络平台, 攻击者可以通过非法的手段盗窃合法用户的身份信息, 仿冒合法用户的身份与他人进行交易。
2) 交易的抵赖问题。有些用户可能对自己发出的信息进行恶意的否认, 以推卸自己应承担的责任。
3) 交易的修改问题。交易文件是不可修改的, 否则必然会影响到另一方的商业利益。
3 电子商务网络信息的安全技术对策
1) 安装高性能的防火墙———在应用防火墙技术时, 还要考虑两个方面:首先, 防火墙是不能防病毒的, 工作站是病毒进人网络的主要途径, 所以应该在工作站上安装防病毒软件。其次, 防火墙技术的另外一个弱点在于数据在防火墙之间的更新, 如果延迟过大将无法支持实时服务请求。
2) 采用数据加密技术———分为对称密钥加密技术和非对称密钥加密技术, 对称密钥加密技术在发送方和接收方使用相同的密钥, 对数据使用相同的密钥进行加密和解密, 如DES加密算法。在非对称密钥技术中, 数据加解密的双方使用不同的密钥, 但两个密钥之间拥有一个特定的关系:可以使用其中一个密钥进行加密, 使用另外一个密钥进行解密, 如RSA加密算法。
3) 采用访问控制———从计算机系统的处理能力方面对信息提供保护, 它按照事先确定的规则决定主体对客体的访问是否合法。当主体试图非法使用一个未经授权的资源时, 访问控制机制将拒绝这一企图, 并将这一事件报告给审计跟踪系统。审计跟踪系统将给出报警, 并记入日志档案。
4) 使用网络监测和锁定监控———网络管理员应对网络实施监控, 服务器应记录用户对网络资源的访问, 对非法的网络访问, 服务器应以图形或文字或声音等形式报警, 以引起网络管理员的注意。通过分析记录数据, 可以发现可疑的网络活动, 并采取措施预先阻止今后可能发生的入侵行为。
5) 对通信端口和通信线路进行保护———远程终端和通信线路是安全的薄弱环节, 对目前已有各种各样的端口保护专用设备, 要选择符合实际需要的技术先进的产品。
6) 采用信息流安全控制———掩盖通信的频度、掩盖报文的长度、掩盖报文的形式、掩盖报文的地址, 具体方法是填充报文和改变传输路径。
4 电子商务网络信息的安全协议
1) SSL协议, 主要用于提高应用程序之间的数据的安全系数。SSL安全协议主要提供三方面的服务:一是用户和服务器的合法性保证;二是加密数据以隐藏被传递的数据;三是维护数据的完整性。
2) SET是为在线交易设立的一个开放的、以电子货币为基础的电子付款系统规范。SET协议要达到五个目标:保证电子商务参与者信息的相应隔离;保证信息在互联网上安全传输, 防止数据被黑客或被内部人员窃取;解决多方认证问题;保证网上交易的实时性, 使所有的支付过程都是在线的;效仿BDZ贸易的形式, 规范协议和消息格式, 促使不同厂家开发的软件具有兼容性与交互操作功能, 并且可以运行在不同的硬件和操作系统平台上。
3) S-HTTP协议依靠密钥的加密, 保证We b站点间的交换信息传输的安全性。该协议向互联网的应用提供完整性、可鉴别性、不可抵赖性及机密性等安全措施。
4) STT将认证与解密在浏览器中分离开, 以提高安全控制能力。
5) UN/EDIFACT的安全措施通过集成式与分离式两种途径来实现。
网络信息安全是电子商务发展的基础, 是电子商务的核心。随着网络技术的发展, 网络信息安全技术应用和安全管理策略将不断改进提高。电子商务的安全运行, 仅从技术角度防范远远不够, 还必须完善电子商务立法, 以规范存在的各类问题, 引导和促进我国电子商务快速健康发展。
参考文献
[1]许晋军, 倪波.网络信息安全研究, 现代图书情报技术, 2001.
[2]周均.电子商务信息安全的政策法律研究[J].科技文献信息管理, 2004.
[3]郭晓苗.Internet上的信息安全保护技术[J].现代图书情报技术, 2000.
网络信息安全电子政务 第5篇
摘 要:随着我国电子政务建设的深入,电子政务信息数量已经日趋庞大,且在持续增长之中,其如何归档成为各档案馆面临的突出问题、本文分析了电子政务信息归档前管理格局与技术状况,简要剖析了现有的电子政务信息归档技术方法――转换介质法、脱机存储法、数字介质目录管理法、光盘塔全文检索管理法,在此基础之上探索性地提出了一种电子政务信息网络化归档的管理技术解决方案。
关键词:电子政务 归档 信息管理
随着我国电子政务建设的深入,电子政务信息数量已经日趋庞大,且在持续增长之中,其如何归档成为各档案馆面临的突出问题。目前,一些发达国家已经开始为电子政务信息归档制定了有关的法规与管理规章,划定不同类别的电子政务信息的保留时间,以及备份级别。如,美国就已出台了相当数量的法规条例,规范电子政务信息的存储、可用性和处置方式。电子政务信息归档前的状态分析
1.1 管理层面:各部门信息离散割据格局
我国一些政府部门在进行电子政务信息资源建设时,习惯性地沿用了传统行政体系管理思路,将部门之间的信息界限首先划分清楚,从而不可避免地导致了电子政务信息格局的离散型,离散型电子政务信息格局阻碍着电子政务的纵深发展。与此同时,电子政务信息资源的所有权、采集权、开发权、经营权的归属、转移及相关管理原则还不明确,造成了不少政府部门将电子政务信息资源的产权归属部门化,这又在一定程度上导致了电子政务信息资源的部门割据局面。
1.2 技术层面:多类文件格式共生状态
在电子政务建设的大前提下,政府各职能部门的电子政务建设并不是同时开展的,而且基于业务职能及其工作流程的不同,各政府部门所选用的硬件、系统软件、应用软件也不完全相同,这必然造成各部门产生的电子政务信息在文件类型和存储内容格式方面存在差异。由此,电子政务信息在归档前,不可避免地会存在着“多类文件格式共生”状态。其信息类型与常见文件格式主要有:
1.2.1 常用静态文件类。典型常用的静态文件,是以写字板、文本编辑器、图像编辑软件以及Mi-crosoft公司office系列软件编辑产生的文本文件或静态的图像文件。常见的文本静态文件格式有TXT、DOC、WSP、RTF、HTML等,常见的图像静态文件有GIF、JPEC、TIFF、PNG等。这类文件信息很难用同一种编辑器进行统一浏览,很难采用同一种格式来存储。
1.2.2 应用依赖型图文档类。一些政府部门的办公自动化软件采用IBM公司的Lotus Note开发平台、Super Base以及其他商用软件的数据库前台开发工具等,其电子图文信息存储在这些厂家自定义的数据格式文件中,有些电子政务信息内容可以通过此类厂家提供的接口程序转换成为较为通用的文件格式,有的则无法转换,必须采用其特定的应用环境才能打开。这就在电子政务信息资源中存在着一部分特殊的文件格式,必须依赖于特定的应用环境才能识别读取。
1.2.3 关系型数据库文件类。关系型数据库文件主要包括两大类型:一是以单机桌面数据库,如Ac―CCSS、FoxPro等;二是大型网络化关系型数据库,如Oracle、SQLServer、Informix及DB2存储的数据库文件信息。政府各部门的信息系统采用的数据库类别不完全相同,虽然这些数据库厂商大都提供了能够转换为统一格式的接口程序,但转换不一定能保证100%数据的正确无误。
1.2.4电路、工程设计等特定图形文件类。电路、工程设计等特定图形文件与电路设计、工程设计所采用的绘图平台密切相关,甚至与当时所使用的统一画图工具的版本相关,可以说这些文件离开这些特定的设计环境平台是没有任何价值和意义的。
1.2.5 数字音视频文件类。目前常见的音频文件格式有WAV、RM、WMA、MP3、MIDI等,视频文件格式有ASF、RM、QuickTime、AVI、MEPG、MPG、DAT等。音视频信息在储存归档过程中涉及到数据取样、压缩和编码等方式有关的算法及标准,以及与数字音视频信息的应用平台和环境直接相关的背景信息。随着多媒体技术的迅速发展和日益普及,数字音视频资源占信息资源的比重越来越大,因此在电子政务信息资源建设中,也得到了越来越多的关注。现有电子政务信息归档方式的分析
随着电子政务建设的深入开展,电子政务信息大量产生,如何归档成为各档案馆面临的突出问题。随着问题的产生,一些档案工作者和研究人员开始着手探讨这一具有重要现实意义的前沿性问题的解决方案。下文首先将现有几种尝试性的电子政务信息归档技术解决方法进行简要归纳与分析,从中吸取可兹借鉴的经验与教训:
2.1 转换介质法。这是很多档案馆到现在一直采用的归档方式,其优点是档案工作按部就班,不会出现很大的失误。但随着电子政务建设的逐渐开展,以及社会公众对数字档案查询率的提高和利用深度的增大,这种单一机械式的归档模式容易受到冲击,并且难以满足发展需求。
2.2 脱机存储法。这也是我国起初制定电子文件归档标准中要求的基本方式。这种归档方式的缺点是每张光盘上存储的真正有价值的档案信息比较少,并且利用效率不高,在对归档的电子政务信息进行查询利用时,必须安装各类背景应用环境软件,然后才能够浏览其全部信息内容。
2.3 数字介质目录管理法。条件好的单位将数字介质的目录信息采用计算机的单机、局域网、专网、广域网等方式管理起来,使利用者通过查询数字档案目录信息了解档案资源的概况,但如需查阅数字档案全文信息还必须亲自到档案馆按照管理规定借阅利用。在实际工作中,很多单位为了查询方便,并减少光盘的磨损度,将光盘中的内容打印出来同时以纸质档案保存起来,这就是目前很多档案馆常采用的“双轨制”归档方式。但是,很多单位采用这种“双轨制”归档方式之后,几乎很难真正长久实施下去,由于属于归档范围的电子政务信息数量过于庞大,不可能全部打印出来,即使打印出来,以现有档案馆的有限库房容量也难以满足这种持续膨胀的信息存储空间要求,2.4 光盘塔全文检索管理法。“光盘塔全文检索”,就是引进自动化操作光盘库的电子设备,以光盘目录管理为核心,建立搜索引擎,通过检索光盘目录并访问到光盘上存储的原文信息。这种管理方式在一些经济实力雄厚的省市级档案馆已经有应用案例。但是,如果要推广到所有档案保管单位存在一定的难度,存在难度的原因还在于资金和技术两方面,而且在光盘及其存储内容的管理上工作量比较大。电子政务信息网络化归档解决方案的构建
在前文分析电子政务信息的归档前状况以及现有的四种尝试性归档技术方法的基础之上,本文意在探讨一种电子政务信息网络化归档的解决方案,主要内容如下图所示:
如上图所示,电子政务信息网络化归档解决方案包括了管理层面与技术层面两方面的内容:
3.1 管理层面:“政务信息中心一文件服务中心―档案中心”归档管理体系
电子政务信息网络化归档解决方案,在管理层面上可以体现为“信息中心―文件服务中心―档案中心”关联归档管理体系,其主要内容包括:
3.1.1 在归档管理体系上,首先,可以考虑在电子政务系统内部设立“政务信息中心”,负责收集电子政务系统即时产生的各种电子政务信息,并管理经过系统化、知识化处理的政务信息并提供利用;其次,在档案馆中可以考虑建立综合处理归档电子政务信息的“文件服务中心”,负责接收“政务信息中心”移交的电子政务信息资源,进行信息存储和提供利用等活动;最后,就是各档案馆现在已经存在的档案中心,该中心可以负责对文件中心移交的归档电子政务信息进行有关的分类、鉴定、整理、保存或销毁等系统化整理工作,形成具有知识属性的电子政务档案信息资源库。这样一来,“政务信息中心”、“文件服务中心”与“档案中心”就关联互动起来,如此循环往复,电子政务信息就可以在电子政务应用系统与档案馆之间有序地流动,形成一个信息及时流转、有序存储的电子政务信息归档系统。
3.1.2 在归档管理流程上,相比较而言,传统档案业务流程是一个紧密衔接、环环相扣、顺序和时间不可逆性的单一性的线性流程。然而,电子政务信息由于其处于全新的技术平台之上,具有区别于纸质文件的特性,传统的档案管理理念和工作方式已经不再完全适用于电子政务信息归档和管理。电子政务信息业务流程因此具有明显的非线性特征,各业务环节的流程和内容发生了变化,如,在传统档案环境下是先鉴定后归档再著录,而电子政务环境下在文件现行阶段就需要进行赋予标识、分类、著录等业务工作,并且在此之后的流程和工作中也是不断地相互穿插和衔接。
3.2 技术层面:“目录全文关联归档”技术方案
电子政务信息网络化归档解决方案,在技术层面上可以体现为“目录全文关联归档”技术方案,这是针对现有“双轨制”归档技术模式而采取的一种改良的可行归档方法,主要内容就是将电子政务信息分门别类,整理成方便检索的目录信息,并将电子原文与电子目录进行关联挂接,将电子政务信息的目录与电子政务信息的全文进行捆绑,将目录信息存放在关系型数据库中,而电子全文可以选择存放在文件服务器或数据库的二进制存储对象类中的任何一种。此处值得一提的是,前文中所分析过的电子政务信息归档前所呈现的五种主要技术格式的电子政务信息,其中除关系型数据库文件信息外,其余四种都可以选择以文件服务器方式来存储。
利用者可以通过查询到目录信息而了解电子政务信息归档状况,如需查阅归档电子政务信息全文,可以通过向信息管理人员申请信息利用权限,获取信息利用权限之后,就可以通过在线数据库系统直接调阅利用。在实际工作中,出于信息安全的考虑,会将数据库中的内容多种方式备份,比如在线异地备份、光盘备份、有选择性地打印出有重大价值的电子政务信息全文。电子政务信息“目录全文关联归档”技术方案,立足于档案利用者的需求,分析电子政务信息的生命周期,在实践应用中了解电子政务信息被利用的范围、特点和频率,同时结合归档业务员以及档案管理者的工作需要,对电子政务信息网络化归档进行合理技术规划,体现“以客户为中心”管理理念。结语
电子政务是信息技术与现代管理体制的有机融合,其本质是以网络为工具,以用户为中心,以应用为灵魂,以便民为目的的现代化政府管理模式。从长远来看,电子政务不能仅仅停留在发布与政府有关的静态信息上,而要最终实现政府信息资源与社会信息资源的无缝集成,从而使政府真正实现管理信息化和决策科学化的新型管理模式;而与此同时,就我国目前情况看,档案作为一种重要的原生性资源,却长期不为社会所重视。实施电子政务信息网络化归档解决方案,可以构建一个管理与技术平台,让电子政务信息通过档案部门经过归类整理之后提供给社会公众利用,并同时对归档电子政务信息进行备份保管,这将是电子政务纵深发展与数字档案信息资源建设的合理途径与必然趋势。
电子商务网络信息筛选方法初探 第6篇
一、电子商务网络信息的基本种类
电子商务网络信息种类繁多。根据新浪网站2009年1月的报道,全球互联网网页数量突破160亿,信息不仅数量大,其类型亦多种多样。例如,按活化程度分类,互联网信息分为现实信息和潜在信息;按加工程度分类,互联网信息包括原始信息、加工信息;按信息内部结构分类,互联网信息有编码信息、非编码信息之别;按载体分类,互联网信息包括传统文献信息、电子技术信息等类型;按检索途径,互联网信息又可以细分为如下五类:联机联合目录、联网数据库、数字图书馆、各种工具书、社会服务性、公益性信息等。
二、电子商务网络信息的基本组织方式
电子商务网络信息的组织是将分散无序的信息,通过描述、揭示和报道信息特征,再现、重组电子商务网络信息联系,规范控制电子商务网络信息流向,便于用户有效利用的过程。根据人们的使用习惯,电子商务网络信息具有如下基本组织形式。
1.文件方式
这是较为古老的信息组织方式,其优点是简单方便,适合于存储非结构化信息,不足之处是增加网络负载,对结构化信息组织显得力不从心,文件本身需要作为对象来管理。
2.主题树方式
它是信息组织中常见的方法,拥有基于数据浏览的、简单易用的电子商务网络信息检索与利用界面。信息检索遵循范畴分类体系,目的性强,查准率高,具有比较严密的系统性和良好的可扩充性。
3.数据库方式
这是近年来比较流行的电子商务网络信息组织方式。这种方式对大量的结构化数据的处理效率很高,大大降低了网络传输的负载。同时,大量信息系统的建立,为电子商务网络信息系统的构建,提供了现成的数据和经验模式。但是,这种方式对非结构化信息的处理难度较大,不能提供数据信息之间的知识关联,无法处理日益复杂的信息单元,缺乏直观性和人机交互性。
4.超媒体方式
超媒体技术是以超链接的方式,将位于不同页面上的信息进行有效地链接、组织。这时,信息是由许多页面及其上面的各种信息形式(如文字、表格、图像、声音、动画等)组成的。以超媒体技术组织信息,可以使信息系统得到任意收缩,具有良好的包容性和可扩充性,可以组织各类媒体的信息,方便描述和建立各媒体信息之间的语义联系,超越了媒体类型对信息组织与检索的限制。通过链接浏览的方式搜寻所需信息,具有较高的灵活性。由于超媒體技术的种种优点,它已成为互联网上占主流地位的信息组织与检索方式。
三、电子商务网络信息的基本使用工具
按照电子商务网络信息选择的要求,基本上是运用互联网网络信息的使用工具,主要是借助于网络的搜索引擎、管理机构、信息评估、网站评估等工具。
1.搜索引擎选择
搜索引擎是提供给用户进行关键词、词组或自然语言检索的工具。简言之,搜索引擎就是一种在互联网上查找信息的工具。用户提出检索要求,搜索引擎代替用户在数据库中进行检索并将检索结果反馈给用户。许多搜索引擎对评估的网站进行分级,常用的分级方法是根据网站的重要性,分为从0到5颗星的级别。这些报告和分级结果是组织数字化信息资源的重要依据。例如,不列颠百科全书,互联网指南用5颗星“*****”代表最好的站点;用4颗星“****”代表超级站点;用3颗星“***”代表优秀站点;用2颗星“**”代表编辑人员推荐的值得一看的站点;用1颗星“*”代表可作为一般的、看一看的站点,无星级标识是没有排序的站点,不作推荐。
2.互联网管理机构选择
权威管理机构是人们应该选择的互联网管理机构。中国互联网络信息中心(CNNIC),是国际上、特别是华文社区最具权威的互联网管理机构之一,是最具权威的测评站点。它是非营利性的官方管理与服务机构,行使国家管理互联网络信息的职责,向全国各站点提供网站访客流量统计认证工作。自1997年10月开始至2002年1月期间,中国互联网络信息中心(CNNIC)先后举办了9次互联网网络网站影响力调查活动。其中,在第5次中国互联网网络网站影响力调查活动中,评选出“中国互联网网络影响力十大网站名单”,包括新浪(www.sina.com)、搜狐(www.sohu.com)、网易(www.163.com)、雅虎(cn.yahoo.com)等。
3.专门信息评估站点的选择
人们根据不同需求,选择专门的、专业的、综合的信息站点。以中文为例,中国精选网(www.cool-web.net)提供中文网站权威认证,倡导、推荐精品网站,是国内比较知名的网站认证站点,提出认证站点的导航式分类。中华排行榜(www.china-union.com)评选最受欢迎的中文网站,该排行榜不但有每日会员站点的得票数和原始累计得票总数,还有会员站点在排行榜中被点击数和原始被点击累计总数。
4.大型门户网站的选择
大型门户网站是受众最广的网站,广为选择。在互联网上,网易中文网站排行版是著名的排行榜站点,它以累计总名次、每周名次、每月名次、国家地区、电脑网络、休闲娱乐、生活资讯等多种分类,按照访问流量排出热门站点,是具有较高参考价值的门户网站选择方法之一。
四、电子商务网络信息的基本检索方法
电子商务网络信息的检索方法,是指运用相应的工具,进行有效地浏览、检索、增值服务等。根据工作需求,一般采用浏览器书签、检索路径、增值服务、虚拟馆藏、特定数据库等方法。
1.可以建立浏览器书签
目前常用的互联网浏览器,如网络应用服务器(Netscape Navigator)、互联网搜索(Internet Explorer),都有书签(Bookmark)功能。用户遇到自己感兴趣的网点,可把它们加入到书签中,下次访问时,只需打开书签选择以前的网点即可。这种方法比较适合于个人。由于书签所包含的网站数量有限,在更新浏览器版本时容易丢失。
2.可以记录检索路径和提示
当检索者以一个节点为入口查找信息时,能够记下他所游历的路线及邻近分支,对检索者可以在已经浏览过的节点做出特殊标记,并根据要求保存该节点的信息概要或片段。这样,可以避免检索者花费大量时间浏览信息之后仍然一无所获,使用户由于即兴欣赏一些与主题无关的节点内容而偏离了检索目标时,依然可以根据记录下来的浏览路径或提示调整到原来的检索方向,而不必从起点重新游历一遍。例如,笔记卡片(NoteCard)系统能够提供类似“过程记录表”的功能。
3.可以开展电子商务网络信息的增值服务
通过网络信息服务、专题分析研究服务、专题检索代理服务,以及针对特定用户群的需要进行创造性的信息产品深度加工服务,使得网络信息资源的利用在数量和质量方面获得较大的提高,使网络信息得到增值。例如,针对用户需求提供知识信息查询服务,揭示知识信息的网络来源,开展网络咨询业务,有针对性地编制网上导读系统、文摘、综合信息等,通过各种交流途径传递、报道,及时提供给用户,对特定用户进行专业性电子商务网络信息资源的跟踪服务。根据用户不同时期的需求,在深入了解用户课题研究内容和范围的基础上,考察网络资源查询热点与核心,主动、及时地提供新颖、准确、有价值、实用的专业性信息资源,包括对专业性电子商务网络信息资源进行分析加工、整理后,编制出有针对性的、具有较高参考价值的研究报告或建议,提高电子商务网络信息的有效使用价值。
4.可以建立个性特色的虚拟馆藏
一般用户可能没有全面掌握和熟悉网络检索工具的检索技巧,一般只能在终端上获得表层信息。为了满足用户对信息的深层次需求,电子商务网络信息资源开发利用的重点,从提供参考性的信息线索转向具体内容和直接获取信息。目前,具有学术价值而没有出版的原始文献,越来越多地通过互联网以电子出版物的形式发布和交流。因此,根据特定用户的需求,有计划地组织信息资源和“链接”互联网信息服务器,通过过滤、整理网上信息资源,提高电子商务网络信息的有序化程度,形成一个用户特需的信息群,如同虚拟图书馆藏书一般。
5.可以建立特定用途的数据库
网络信息大多是一次文献,质量参差不齐,难以满足单位或个人的特定需要。因此,对于用户来说,需要从用户的行业或业务出发,对从网上选取的信息进行重新加工和组织,“去粗取精,去伪存真”,形成内容充实、查询效率更高的“一次文献”数据库。例如,各种相关统计数据、名录、索引等,都可作为自己数据库中的内容。这种方法的优点是适应用户自身的需求,可以大大提高信息的查询效率,但需要较多的专业信息人员,成本较高。一个比较好的办法是由专业信息机构对专业信息进行加工,扩大共享用户的数量,从而减低单个用户的信息开发成本。
五、电子商务网络信息的基本价值观
为了获取知识和信息,古人崇尚“皓首穷经”,赞赏“博闻强记”。如今,当信息急剧增长,出现如钱学森先生在《现代科技技术的发展》一书中所说的景况,“现在光浏览一下世界上一年内发表的有关化学的论文和著作,一个化学家如果他每周看40个小时,也要读48年”,个人的阅读能力与信息总量的反差,已成几何级数的增长。因此,人们有选择地使用信息,建立起电子商务网络信息的权威性、真实性、时效性、直观性、适用性等基本效用价值观。
1.电子商务网络信息的权威性(authority)
电子商务网络信息的权威性与网站、建站机构的权威性与知名度直接相关。通常情况下,权威机构或知名机构(人士)发布的信息,在质量与可靠性方面,具有较高保障。著名的大学、研究机构和政府机构的网站,它们具有较多的信息资源、较高的技术水平、较强的责任感,一般在发布前已对信息做过较为严格的审查、筛选,保证了信息具有较强的权威性。例如,中国互联网络信息中心(CNNIC)、美国白宫的官方网站www.whitehouse.gov)所发布的信息,都具有较高的权威性等。
2.电子商务网络信息的真实性(truth)
网络发布的信息是电子商务网络信息资源评估中最重要的标的物,真实性是网络信息的基本要求。网络发布的信息应当做到以下几点要求:第一,客观公正,不能带有政治倾向或个人偏见,避免夸大其词或大事化小。第二,来源清晰,在引用其他信息来源时应当注明出处,确保引用事实和数据的准确,也便于用户做进一步地考查。第三,文章切题,标题清晰、组织规范、逻辑性强;信息应当有明确的范围和边界,具有足够的广度和深度,能满足用户的需要。第四,特色鲜明,突出特色,同种主题往往会有许多站点,网络发布的原始信息要避免雷同,如有些网络主要以发布原始信息为主,有些则可能更多的是有关该主题链接的集合,還有的是专业信息的反映。
3.电子商务网络信息的时效性(currency)
市场经济条件下,讲究“时间就是金钱,效率就是生命”。信息时代,互联网上的电子商务信息,时效性正是它的价值的生命线。因此,一个好的网站内容及其链接,应当十分新颖,应当明确地说明其创建期和最近的更新期,更新间隔不能太长。网站内容所引用的文献、数据,应当有明确的日期,对于过时的信息应当及时清除。
4.电子商务网络信息的直观性(design)
为了提高电子商务网络信息的使用效率,提高电子商务网络信息价值,电子商务网络信息内容应当直观明了,便于采用。网页设计应当简练、精炼、精美,不仅是美观,更要注重用户使用是否方便。网页的设计,应当尽量减少用户屏幕卷动的次数,具有友好的界面,比较直观,不易引起歧义。对于链接和交互性内容,应有必要的说明,网页的各个组成部分都能运行,网页之间的切换应方便快捷,在任何一个网页上均有返回主页的链接。网站能够充分利用多媒体功能,将文本、图像、声频、视频信息有机的集成于一体,能够克服页面的传输速度问题。
5.电子商务网络信息的适用性(adaptability)
每个网站都是为一定的用户群接收而发布信息的。因此,每个网络都有自己的目标用户,网络发布的信息能够满足特定用户的需要,信息的专业化程度能够适应不同用户的水平。那些被重要机构或学科专家链接的网络所提供的信息,一般比较可靠和重要。通过互联网可以了解其链接的网络的信息质量,它把各个学科重要的信息网络进行链接。这是数字化资源的一个现成信息源,可以予以很好地利用。
六、电子商务网络信息收集的基本策略
信息收集是信息价值体现的一个重要环节。如果信息收集广泛、有效,那么,信息就具有更大的价值。信息的有效收集,需要有一个科学的收集策略,有效的信息收集策略决定了信息在人类生产体系中作用的大小。因此,人们在收集信息时,必须讲究策略。当前,人们常用的基本策略如图1所示。
图1电子商务网络信息收集基本策略图
从图1中,就可以清楚了解电子商务网络信息收集的基本策略。首先,要确定所要筛选的信息主题。也就是说,在开始信息筛选之前,要确定目标信息是什么。其次,根据这一主题,选择不同类型的网络资源。例如,需要从其期刊、论文等资源中寻找信息时,就自觉会到中国期刊网、维普等知名的网站寻找信息。这样的好处在于,通过确定主题,缩小了所要筛选网络的范围,提高了效率,使人们在应用网络筛选信息时,更为快速、高效。
网络信息安全电子政务 第7篇
由于网络技术、电子技术、无线网络、移动通信技术、信息计算技术的快速发展, 信息网络正在从各个方面向人与人、人与物以及物与物之间渗透, 形成无所不在的泛在网络环境, 随着经济的发展及社会信息化水平的日益提高, 构建可以在任何时间、任何地点、任何人、任何空间都能通信的泛在网络, 从而带动信息产业的整体发展, 已经成为一些发达国家和城市所追求的目标[1]。可以推断, 泛在政务必将是未来电子政务发展的主流方向, 也是适应泛在网络环境的必然要求。
2 电子政务信息安全概述
随着“泛在网络”、“智能社会”等一系列的关于社会信息化的理念越来越深入人们的生活, 人们正朝着一个无所不在的高度信息化的网络社会迈进。国民经济的运行日益依赖于信息系统, 由于这些网络系统的开放性、跨越性、自由性等特征, 信息交换自由度过高, 所产生的信息安全问题对国家安全的影响日益增加。特别是近年来, 伴随着移动互联网、云计算、大数据等技术的快速发展, 信息安全问题更加突出。2013年6月的“棱镜门”事件, 在世界范围引起了人们对网络环境下信息安全的极大关注[2]。据普华永道2014年11月26日发布的《全球信息安全状况调查报告》, 年收益超过10亿美元的大型企业检测到的信息安全事件比2013年增加了44%[3]。
信息安全是任何国家、政府、部门、行业都必须充分重视的问题, 属于国家安全战略的范畴。政府单位所涉及的机密信息, 安全问题突出, 如发生敏感信息泄露、黑客入侵、网络资源非法使用、病毒入侵等, 都会对政府机构的信息安全构成严重威胁。通常而言, 信息安全包括两个方面的含义, 一是信息内容的安全, 二是信息系统的安全。狭义的信息安全主要是指信息内容的安全。据国际标准化组织的定义, 信息安全性的含义主要是指信息的完整性、可用性、保密性和可靠性[4]。
3 电子政务信息安全风险分析
不同于某一专门行业的信息, 电子政务信息涵盖面广, 往往涉及到许多个人信息、部分政治信息、部分金融信息、法律信息等多个方面, 其信息安全需要符合以下特征。一是完整性, 指信息在传输、存储的过程中, 应保持不被添加、删除、修改、伪造等破坏和丢失, 应保持信息的正确生成、存储和传输, 未经特别授权不可更改。二是保密性, 电子政务信息包括一些机密信息甚至是绝密信息, 要保证内容真实有效, 并不被泄露给非授权用户。三是身份的真实性, 电子政务信息建立政府部门之间、政府与个人之间的政务管理与服务, 需保证用户身份的真实性。四是信息的可控性, 政务信息和数据是经过科学统计和核算得出, 不能随意发布, 且需要进行控制, 敏感或有价值的信息不能被人随便传播利用[5]。
引发信息安全问题的因素很多, 从信息系统自身来看, 可分成内部因素和外部因素;从产生的问题来源, 则可分为人为因素和自然因素。内部因素主要包括系统自身的问题和缺陷。黑客和竞争对手被认为是主要的外部因素。自2006年Google首次提出“云计算”的概念后, 各国都在积极应用云计算。据报道, 美国联邦、州、地方各级政府已全面运用云技术, 美国国防部、安全局、国家航空航天局等已成功开展了云计算的应用[6]。2013年9月12日, 我国工业和信息化部公布了《首批基于云计算的电子政务公共平台建设和应用试点示范地区名单》, 鼓励地方政府建立区域统一的电子政务云平台[7]。
云平台为数以万计的用户提供服务, 存储着海量的数据资源, 一旦遭到入侵破坏将造成无法预估的损失, 政府、军队等机要部门更是无法承受哪怕仅仅一次泄密带来的损失。因此, 各国都十分重视电子政务云平台的安全建设, 其根本目的是使内部信息不受内部、外部、自然等因素的威胁。常见的电子政务信息安全风险主要有以下几种:
3.1 隐私泄露。
泛在网络环境下信息系统所具备的动态性和开放互联性, 使得与系统参与者密切相关的数据信息变得更加易于被获取和累积, 且这些数据通常包含大量的隐私信息。而大数据技术的出现, 使得这种隐私泄露变得更加危险。一旦隐私发生泄露并被一些不良商家利用, 不仅会暴露个人信息 (如姓名、电话、家庭住址、工作单位、银行账户信息、个人社交网络信息等等) , 给个人带来财产、名誉的损害, 还严重威胁着社会生活的正常秩序。
3.2 信息篡改。
在现代通信技术当中, 除有线通信之外, 一些无线电通信, 如短波、超短波、微波、卫星等也越来越广泛地应用到生产和生活当中。传输信息的方式也很多, 有计算机局域网、互联网、分布式数据库、蜂窝式无线、分组交换式无线、卫星等等。这些信息在存储、处理和交换过程中, 都存在泄密或被截收、窃听、窜改和伪造的可能。国外敌对势力为了窃取中国的政治、军事、经济、科学技术等方面的秘密, 运用侦察台、侦察船、侦察机、卫星等手段, 截取中国通信传输中的信息[8]。一旦信息发生篡改, 将对我国的经济社会发展造成不可挽回的损失, 甚至威胁到我国的安全。
3.3 信息丢失。
信息丢失是指数据被盗或者是数据灭失、损坏, 其产生有自然灾害和人为损坏两种原因。自然灾害包括洪水、地震等原因。人为损坏涉及的可能情况很多, 有误操作, 也有故意行为。如火灾、病毒、恶意软件、黑客入侵、磁场干扰、碰撞、软硬件设备缺陷或故障、突然断电、电压不稳等等, 这些都有可能损害到信息系统及设备, 有时会造成数据丢失或者毁坏, 甚至摧毁整个信息系统。据身份失窃资源中心 (ITRC) 统计, 2007年全球共有1.27亿条数据记录遭泄露[9]。
为保证政务网络系统的安全, 有必要进行专门的安全设计。信息网络中的硬件、软件及其系统中的数据都需要受到特别的保护, 不能因偶然的或者恶意的破坏等原因而损坏, 保证政务系统的连续、可靠运行[10]。
4 电子政务信息安全策略及关键技术
随着网络信息安全技术的快速发展, 防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等, 在电子政务信息安全保护中发挥了重要作用。目前, 针对电子政务安全体系结构、安全协议, 现代密码理论、信息分析和监控技术在电子政务中的应用研究, 也在不断地深入。目前常用的安全保护技术主要包括:a.数据加密, 包括常规密钥密码、数据加密标准DES、对称加密、非对称加密、对称密钥管理等技术, 是最常用的也是研究最多的。b.数字证书和数字签名, 主要包括个人数字证书、单位数字证书、单位员工数字证书、服务器证书、VPN证书、WAP证书、代码签名证书和表单签名证书等类型。c.身份认证, 保证操作者的物理身份与数字身份一致。d.防火墙技术, 主要由服务访问政策、验证工具、包过滤和应用网关四个部分组成, 避免非法用户的侵入。e.安全套接层协议SSL和安全电子交易协议SET。下面分别对这些技术进行详细说明。
4.1 信息安全的系统整体架构。
面对着越来越复杂、越来越频繁的混合式攻击, 单一的信息安全防护设备或措施已经不能满足要求, 必须建立一个安全可信的系统整体架构, 整合软硬件产品, 提供更全面的解决方案。建立电子政务的网络信息安全整体框架, 应对有关电子政务安全工作进行科学分类, 在安全管理模块中, 应具有网络数据备份和灾难恢复系统、网络安全的技术人员和管理人员培训、网络安全监察监测系统等部分;在安全服务模块中, 应防止个人隐私信息的泄露;在安全应用模块, 要做好有关安全产品的选购、使用和管理, 对电子政务平台后台安全操作的规范管理。电子政务安全系统整体架构如图1所示。
4.2 数据加密技术。
数据加密技术主要是指在信息系统的传输过程或存储过程中对信息数据进行的加密和解密。密码学作为信息安全的关键技术, 一直都是信息安全行业研究的热点, 近年来, 认证理论、密钥管理等的研究也蓬勃发展。由于计算机运算速度的不断提高, 各种密码算法面临着新的密码体制, 如量子密码、DNA密码、混沌理论等新技术正处于探索之中。
信息传递过程的加密, 是指通过对传递信息的编码和解码来达到安全传递的目的。电子政务系统传送的数据包括政府内部办公和面向公众的信息, 政府内部办公包含了各部门之间、上下级之间、地区之间的信息交换和传递, 往往涉及国家机密, 必须对整个信息传递过程进行加密来保证信息传送的安全。
信息存储过程的加密, 按照实现手段可以分为四种:主机软件加密、加密存储安全交换机、嵌入式专门加密设备以及基于存储层的存储设备提供加密。主机软件加密成本低但容易被破解;加密存储安全交换机可扩展性好、性能优越, 但成本较高;嵌入式专门加密设备灵活性高, 但由于一对一的加密方式使得扩展性差且成本高昂;基于存储层的存储设备加密可扩展性好, 但不同厂家的异构性带来管理困难等问题。
一个综合的数据安全保护系统, 要求能够实现数据文档的透明加解密保护, 可指定类型文件加密、指定程序创建文件加密, 并能实现数据文档的强制访问控制和统一管理控制、敏感文件及加密密钥的冗余存储备份, 包括权限管理、用户管理、共享管理、外发管理、备份管理、审计管理等。对政府的各种敏感数据, 能实现有效的保护。
4.3 数字证书和数字签名。
数字证书技术可以帮助鉴别数据信息的真实度, 防止不法分子的伪造、篡改、调换。服务型的电子政务逐步成为主流, 数字证书因为可以同时为电子政务中的各类人员、计算机服务系统等实体进行认证而得到广泛应用。数字证书作为能在网络世界证明这些实体的合法身份的标识, 在日常的应用管理中, 应做好电子证书的签发管理、证书撤销列表的签发和发布管理、证书审核注册中心的设立审校及管理。
数字签名是通过某种密码运算生成一系列符号及代码组成电子密码, 且该签名可以进行准确的技术验证, 是目前电子商务、电子政务中应用最普遍、技术最成熟的、可操作性最强的一种电子签名方法, 用于鉴定签名人的身份以及对一项电子数据内容的认可。数字签名是附加在数据单元上的一些数据, 或是对数据单元所作的密码变换, 这种数据和变换允许接收者用以确认数据单元来源和完整性, 并保护数据, 防止被人 (例如接收者) 进行伪造[11]。它包括签名过程和验证签名两个过程。
4.4 安全认证。
信息安全与隐私保护是保障泛在网络信息服务质量的一项支撑技术, 如何设置网络内部和异构网络间的安全认证机制、建立并管理信任域, 是信息安全与隐私保护所面临的一项技术挑战。在泛在网络中, 不同网络间的业务使用非常频繁, 这就要求泛在网除了网络与用户之间的相互认证之外, 还必须进行异构网络间的相互认证以及用户与服务终端之间的相互认证。
安全认证技术被用来确定访问或介入信息系统用户或者设备身份的合法性, 典型的手段有用户名口令、身份识别、公钥基础设施PKI证书和生物认证等。在操作者识别及授权方面, 可采用身份认证技术来确认身份, 并对其进行正确的授权。目前常用双因素身份认证, 将两种认证方法结合起来, 如动态口令牌+静态密码、USB KEY+静态密码、二层静态密码等方法。
4.5 防火墙技术。
防火墙是网络防护技术的一种, 网络防护技术还包括联合威胁管理UTM、入侵检测防御系统等。它是一种位于内部网络与外部网络之间的防护网关, 依照特定的规则, 允许或限制传输的数据通过, 防止系统受到外来的侵袭。防火墙在本质上是一种隔离技术, 可以是硬件、固件或软件。从防护层级来分, 防火墙可分成4种类型:硬件防火墙、数据包过滤型、电路层网关和应用级网关, 安全性能高的防火墙系统组合运用了多种类型的防火墙。从防护的层级来看, 有网络层防火墙、应用层防火墙、数据库防火墙三种。防火墙技术可以联合访问控制技术和网络隔离技术, 确保不同密级信息的隔离, 控制不同等级用户对不同密级信息的访问。
4.6 安全协议。
在应用层和系统层的防护技术上, 主要通过安全协议进行。如应用程序接口安全技术、安全检测与监控技术, 对政务信息系统中的流量以及应用内容进行网络协议的第二至第七层的检测, 并进行监管和控制, 避免垃圾信息和有害信息的传播。
近年来常用的安全协议主要有:a.安全超文本传输协议 (S-HTTP) , 依靠密钥对的加密, 保障Web站点间的信息传输的安全性。b.安全套接层协议 (SSL) , 对计算机之间整个会话进行加密的协议, 提供了加密、认证服务和报文完整性, 采用了公开密钥和私有密钥两种加密方法, 能够对个人信息提供较强的保护。c.安全交易技术协议 (STT) , 将认证和解密在浏览器中分离开, 用以提高安全控制能力。d.安全电子交易协议 (SET) , 在网络传输层之上提供一种基于RSA和对称加密算法, 用于浏览器和Web服务器之间的安全连接, 用来提供两个应用之间通信的保密、可信和身份认证。保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份及可操作性, 其核心技术主要有公开密钥加密、电子数字签名、电子信封、电子安全证书等。电子政务安全体系与协议层次结构见图2。
4.7 管理措施。
不难发现, 仅靠技术手段很难保证电子政务信息的安全, 在综合应用各种信息保密技术的同时, 还需要通过管理和行政的手段, 实现信息安全的目标。
4.7.1 建立健全法律法规。
建立健全政务信息安全相应的法律法规, 制定安全等级保护制度, 加强网络监管制度等措施, 使信息安全有章可循, 有法可依。制定网络的安全使用和惩罚措施, 加强制定新科技的使用规范。针对不同类型的信息, 制定与其相适应的安全等级保护、安全评估制度。制定政府信息管理制度, 制定访问权限制度, 对政务系统的内网、外网、专网等多级网络, 应实行物理隔离。规范涉密信息系统的使用管理, 防止无关人员接触到存有重要数据的设备。同时, 要加强执法监督, 确保各项法律法规能够真正发挥作用[12]。完善信息安全认证标准与体系, 加快研究制定基于云计算的电子政务标准规范, 主要包括系统架构、技术标准等, 应用分类服务标准、应用迁移标准、数据管理标准等服务性标准规范, 公共平台安全规范、应用安全规范、信息安全规范、服务安全规范等信息安全保障标准规范, 绩效评价标准、平台和信息管理标准、技术服务管理规范等管理性标准规范。推进安全存储、数据备份与恢复、主动防护、安全事件监控、恶意代码防范等信息安全保障。
4.7.2 加强政务信息人员的管理。
通过各种渠道, 提高各级政务工作人员的信息安全意识, 进行信息安全知识教育。积极开展安全策略及政策研究, 大力提高相关工作人员的法律意识和责任心。教育工作人员及用户采用安全级别较高的密码, 在安全性较高的网络上进行访问。2011年, 美国政府把加强信息安全作为振兴美国经济和国家安全的重大战略, 成立网络司令部, 把加强信息安全教育和人才队伍培养列为保障网络空间安全战略顺利实施的重要保障[13]。应通过组织各种专题讲座和培训班, 培养电子政务信息安全维护人员, 以确保各种防护技术能够有效利用。相关人员要做好相关数据的逻辑访问控制, 对重要的信息及数据进行备份, 避免数据丢失。同时, 要及时修复系统中的漏洞, 杜绝网络入侵, 并做好病毒检测和清除工作。
4.7.3 加强信息安全的研究。
中国信息安全产业与国际先进水平相比差距很大, 美国、法国、英国、日本等国家信息安全产业发展水平较高。从国内信息安全技术的开发和应用情况看, 我国还没有自主的、可控的安全体系。目前, 我国对芯片、元器件、网络设备、通用协议和标准等安全产品, 90%还依赖进口, 防火墙、加密机等信息安全产品有65%来自进口。核心技术与高端设备难以自主、网络管理与安全服务受制于人、供应链安全风险的存在, 对我国的信息安全是一种威胁。
5 结论
泛在网络是一个以人为本的网络, 其节点的动态性和智能性, 可以实现多种接入方式和多种承载方式的融合。云计算、物联网、移动互联网等新技术的迅速普及, 使得电子政务的信息安全需求增大。有效建立安全管理机制和控制访问权限、对政务信息进行安全操作和监控、避免各种不安全因素的风险是我国电子政务发展急需解决的问题。就技术而言, 要加强信息安全新技术、新算法的研究, 以及技术集成的开发;从管理与行政来看, 要建立和健全法律法规、加强信息安全教育与培训、促进公众信息安全意识的牢固建立, 营造电子政务信息安全的社会环境。
摘要:泛在网络环境深入影响到当今社会生活的方方面面, 也极大地影响了政务工作的模式和效率。由于其自由性和开放性, 安全性能较差, 目前仍没有很好的保障机制。以泛在网络环境为背景, 在信息安全技术发展现状的基础上, 从隐私泄露、信息篡改、信息丢失三个角度分析了电子政务存在的安全风险因素, 分析了提高电子政务信息安全的关键技术和安全策略, 包括技术层面、管理和行政层面。
浅谈电子商务网络信息安全关键技术 第8篇
关键词:电子商务,网络信息安全,关键技术
1 防火墙技术
防火墙装置为软件或硬件设备组合而成, 是由一个或一组在两个网络之间实施特定访问控制策略的系统组成。在网络中布置防火墙可以一定程度上提高网络的安全性, 保护内部数据不被破坏或者盗窃, 并监控记录发生的地点、时间和操作。防火墙包括: (1) 包过滤防火墙; (2) 应用级网关; (3状态监视器; (4) 代理防火墙; (5) 双宿网关防火墙; (6) 屏蔽子网防火墙。防火墙技术是一种有效的网络安全机制, 从国内外各种网络安全产品采购的数量来看, 防火墙均居于首位。它能根据商务的安全政策控制出入网络的信息, 组织非法信息对呗保护网络的破坏, 且本身具有较强的抗攻击能力能够保证电子邮件、远程登录、文件传输以及特定系统间信息交换的安全。防火墙这种基础设施能够提供信息安全服务、实现网络和信息, 为电子商务的实现提供了很大的安全保障。要一个防火墙生效, 所有经过Internet的信息都必须经过防火墙, 接受其的检查。防火墙只允许授权的信息通过另外防火墙本身也必须能够免于渗透, 防火墙系统一旦被攻击突破或者迂回, 就不能对系统提供任何保护了。可以说, 防火墙是电子商务的第一道屏障。
2 加密技术
加密技术是网络信息安全领域的一种很基本的、保证网络信息安全的核心技术。现代的加密技术是为了适应网络安全的需要而开发的, 为我们进行电子商务活动提供了安全保障, 例如在网络中进行的文件传输, 进行合同文本的签署等重要而且敏感的信息, 防止被人盗窃和泄密事件的发生。加密是一种主动的信息安全保护措施, 它的基本原理是运用一定的加密算法, 将明文转换成不能理解的密文, 防止非法用户获取和理解原始数据, 以保证信息的保密性。
因此加密技术是最常用的保护信息安全的有效方法, 是实现数据的保密性、可用性、完整性和网络安全性的核心。数据加密不但可以用于数据、文件加密, 而且也是第三方认证、数字签名等安全技术的基础。数据加密被认为是最可靠的安全保障形式, 通过使用不同密钥, 可用同意加密算法, 将同一明文加密成完全不一样的密文, 它可以从根本上满足信息安全性的要求。加密技术通常分为两类:对称加密技术和非对称加密技术。在实际应用中, 通常是把对称加密和非对称加密联合起来, 首先用对称密钥对输入的数据进行加密, 而后用公钥对非对称密钥进行加密。因此它不仅保证了加密的高强度性, 而且保证了加密的高效性。
3 虚拟专用网技术
虚拟专用网VPN是利用开放性的网络作为用户媒体, 通过附加的信息加密、隧道封装、用户认证等技术完成对信息在传输过程中的安全保护, 从而保证电子商务网络信息的安全性能。它是构建在公网之上但是又像一个专用网络, 故此被称为“虚拟专用网络”。虚拟专用网具有以下功能: (1) 加密数据, 保证通过网络传输的信息就算是被他人截获也不会泄露信息; (2) 信息认证和身份认证, 保障信息的合法性、完整性和鉴别用户的身份; (3) 访问控制, 对于不同的用户给与不同的访问权限。关键技术是 (1) 安全隧道技术; (2) 用户认证技术; (3) 访问控制技术。虚拟专用网能够通过Internet及其它公共互联网络的基础设施为用户创建隧道, 还能提供与专用网络一样的安全和功能保障。隧道技术是指数据包不是在网上公开传输, 而是通过先加密确保安全, 而后通过VPN封装成IP包的模式, 由隧道在网上传输。虚拟专用网是通过一个私有的隧道在公共网络上来创建一个安全的私有连接, 接公司的业务伙伴、公司分支机构远程用户等企业网连接起来, 形成一个扩展的公司企业网, 省掉了用专线数据网络传输数据的巨额经费。
4 访问控制技术
访问控制技术规定了主体对客体访问的限制, 除规定自主访问控制的权限外, 还规定了强制访问权限, 既是分配给用户一个安全属性, 规定了改属性下可以做的操作。王宝义研究了影响电力市场运营系统安全运行关键技术—访问控制技术, 提出并设计了一个具有时空约束的基于角色的访问控制模型并设计出了访问控制算法仿真验证了该模型和算法可以满足电力市场的安全访问控制要求。访问控制技术的主要目的是采取各种措施保证网络信息系统不被非法访问和使用, 一般采用基于资源和目的地址的过滤管理、资源的集中式控制以及网络签证等技术来实现。
5 身份认证技术
身份认证 (Authentication) 实际上是系统核查用户身份证明的过程, 是查明用户是否具有它所请求资源的存储使用权, 它至少包括授权协议和验证协议。在计算机系统和网络中的各种应用中都需要通过身份认证来确认合法性, 而后确定它的特定权限和个人数据。对于该系统来讲, 合法用户的身份是否易于被别人冒充是最重要的技术指标。用户的身份被冒充, 不但可能损害用户自身的利益, 而且可能损害其他用户和整个系统。只有有效的身份认证, 才能够确保安全审计、入侵防范、访问控制等安全机制的有效实施, 身份认证技术主要有以下几种:基于密钥的认证鉴别技术、基于生物特征识别的认证技术、基于口令的认证技术、基于智能卡和智能密码钥匙。在互联网上, 引进了证书概念来加强身份认证。证书是个人身份的数字证明, 是数字化的护照或身份证, 内有一个唯一的私密密钥与证书对应, 它由证书持有者本人保管, 不能向他人泄露。只有用于该公约对应的私钥才能解开用公钥加密的信息。
6 数字签名技术
数字签名 (Digital Signature) 技术是将摘要用发送者的私钥加密, 与原文一起传送给接受者。接收者只有在知道发送者的公钥的情况下才能解密被加密的摘要。在传统贸易中, 交易的双方是通过契约、合同或是贸易单据等书面文件上手写签名或盖印章来鉴别贸易数据, 并确定这些资料在法律上的有效性, 同时预防抵赖行为的发生。数字签名是使用某人的私钥加密特定消息摘要散列值而得到结果, 由此把人同特定的网络信息联系起来。这样可以阻止在电子商务交易中电子信息被修改;或发出信件后又加以否认;或冒用别人的名义发送信息。常用的签名方案有RSA和DSA。
随着网络技术的日益普及, 网络信息面临的威胁也越来越明显了, 需要我们不断开发出新的安全技术。目前我国的信息安全技术与国际相比相差甚远。相信在不久的未来信息安全问题一定会得到圆满的解决。
参考文献
[1]江和平.浅谈网络信息安全技术[J].现代情报, 2004 (12) .
[2]薛元霞, 张荣强, 罗星.浅谈电子商务安全技术[J].农业网络信息, 2009 (10) .
网络信息安全电子政务 第9篇
1 加强电子商务企业信息安全的整个交易过程的防范
电子商务活动的信息安全防范不仅是某个环节的防范,而是全过程、各个交易阶段的安全防范。
1.1 第一个阶段是信息交流阶段
对于商家来说,此阶段为发布信息阶段。即企业对于新开发的产品要进行网上展示、推介,来实现与消费者搜寻商品信息的对接。从实物商品成为网上商品过程,是一个将实物信息录入、网上信息美工的过程,这个过程是一个技术层面的问题,需要一定的时间来完成,一旦网上信息公布就会成为消费者注视的关注点,尤其对于新产品来说有可能成为商品热点,给企业带来巨大的经济效益。所以在信息上网中,如果在商品所有权信息公布之前,一旦出现信息失窃就会造成商品被仿冒,或产品的初创权、初始经营权受到侵犯,造成难以挽回的经济损失和不良的社会影响。所以信息录入过程中要加强网络数据的安全防范,通过在信息公布前设置文档密码、专人管理等方式做好安全保密。
1.2 第二阶段商品交易前的合同签订阶段
商品的合同涉及产品种类、规格、价格、交易时间、送货方式、付款方式、客户信息等,这些合同信息对于企业竞争的重要商品交易参数,所以,无论合同签订是否完成信息上传过程,其合同传输过程的内容保密以及合作双方都是不宜公开的内容,所以,防范合同签订阶段的网络传输环节的保密是非常重要的。
1.3 第三阶段是商品交接、资金结算阶段
这一阶段是整个商品交易很关键的阶段,不仅要涉及到资金在网上的正确、安全到位,同时也要涉及到商品配送的准确、按时到位。在这个阶段有银行业、配送系统的介入,在技术上、法律上、标准上等等方面有更高的要求,网上交易的成功与否就在这个阶段。所以,网络此阶段应将商品配送技术信心、配送方式、资金交易账户作为网上传输安全防范的重点。
2 加强电子商务企业信息安全的全面技术防范
电子商务企业的安全防范涉及诸多的范围、内容和方面,通常要从以下内容和范围考虑。
2.1 防止传输数据被破坏
电子商务数据对外传输中由于非法操作等原因,可能造成信息的丢失、重复或次序的差异,所以要防止非法操作,同时也要防止非法用户在网络的传输上,通过不正当手段,非法拦截会话数据获得合法用户的有效信息,导致合法用户的一些核心业务数据泄密,更要防止非法用户对截获的交易文件数据进行一些恶意篡改,如增加、减少和删除等操作,从而使交易文件信息失去真实性和完整性,导致合法用户无法正常交易。
2.2 防止虚构身份的欺骗
电子商务是基于虚拟的交易平台从事贸易往来活动,身份的确认需要一定的技术措施来完成。所以,攻击者可以通过非法的手段窃取合法用户的身份信息,仿冒合法用户的身份与他人进行交易,从中获得非法收入,或冒充他人消费、假借主机管理欺骗交易对象骗取经济利益。所以,防止假身份用户就成为电子商务中的一个重要内容。
2.3 防止黑客攻击
很多非法用户通过计算机、网络中的漏洞,运用特定的程序,侵入交易双方网络,窃取企业情报和交易信息,或挂马电子商务网站、篡改企业网站信息内容,恶意攻击对方的网络硬件和软件,甚至造成电子商务企业的网络瘫痪。所以,防止网络黑客,及时修补网络补丁就成为企业信息安全防范中的重点内容之一。
2.4 防止网络病毒
网络病毒是一种具有自动侵犯、复制功能的程序,它由人为蓄意制造和产生,长期以来,防范病毒成为网络的普遍问题,对于电子商务企业来说,由于其携带大量的商务信息,网络病毒的危害更大,可能导致网络的瘫痪,或网络信心的篡改或丢失,所以应将其作为日常性的防范内容,以减少由此可能带来的巨大损失。
2.5 重点防范电子商务企业的服务器
因为电子商务企业服务器,是企业网络的中枢和核心,上面安装了大量的与电子商务有关的软件和商业秘密信息,一旦出现安全问题,可能造成不可挽回的损失。防止服务器接受非法用户请求、非法链接,成为电子商务企业信息安全防范的关键。
3 加强电子商务企业信息安全的全方位防范
电子商务企业往来贸易是一个多环节、多步骤的过程,要实现其信息安全,加强技术防范和管理防范,是应当采取的必然策略。
3.1 在技术防范策略方面
(1)运用加密技术进行防范。加密是基于编码技术的一种保存、传输、验证的手段。它通过对数据保存、数据访问、数据修改进行密码设定,来保护传输的数据的安全,同时在传输过程中采取加密路径、加密传输、加密接收等保证传输中安全,最后通过设定加密身份确定来实现接收数据终端方接收权限,从而达到对电子商务企业的信息传输的目的。现代技术的发展,将网络传输信息加密已经升级到了电子证书阶段,同时与现代通信技术结合,加强了电子商务企业的信息安全系数,确保了传输数据的原始性、保密性。
(2)安装防火墙进行防范。防火墙是一种按照预先设定的访问规则的软件,它外界信息和程序访问电子商务企业的通道和认证系统,也是外界进入电子商务企业的门禁系统,符合预先设定访问规则的程序、请求可以进入,否则就会被拒之门外,所以防火墙的功能就是对进出的数据进行有选择的过滤,所以可以有效地避免对其进行的有意或无意的攻击,从而保证了专用私有网的安全。
(3)充分利用身份验证技术。常规的技术是利用数字证书来进行身份的验证,只有拥有数字证书“钥匙”使用权限的管理者,才可通过数字证书的验证。电子商务安全交易的基础是数字证书,它主要应用于资金结算对象、货物投递方向等关键性交易操作环节。
(4)注重电子商务企业常规网络信息安全防范。采用安全交换机、重要数据的备份、使用代理网关、确保操作系统的安全、使用主机防护系统和入侵检测系统等等常规措施的安全防范。对某些特别敏感的软件,应在设计时有所准备,能够在故障后给出一个快速恢复的过程。
3.2 在管理防范策略方面
(1)加强电子商务企业信息安全体制建设。作为电子商务企业要树立信心,制定安全防范的规划,建立健全内部管理法规,加强员工教育和安全防范制度落实与监督,保证建立起信息安全管理队伍
(2)做好电子商务企业网络计算机人员的管理。要不断提高网络计算机人员的专业技术,加强他们的职业操守教育和监督,保证他们在技术上能够防范和处置信息安全事故,在思想上坚持服务于企业信息管理和信息安全。
(3)建立电子商务企业信息安全预警机制。在网络建设与经营中,为了防止电子商务陷于困境,这就必须建立网络风险防范预警机制,做好日常的信息安全检测、预警与应对防范与演练工作,一旦出现信息安全事故,要立即启动处置方案。建议网络经营者可以在保险标的范围内允许标保的财产进行标保,并在出险后进行理赔。
摘要:电子商务企业信息安全应当着眼于其全过程防范、全内容的防范和采取全方位的技术,管理防范策略,即在电子商务活动中,要进行全局的信息安全防范。
关键词:电子商务,网络计算机技术,全局信息安全
参考文献
[1]肖建傲.电子商务的安全问题[J].软件导刊,2009(8).
网络信息安全电子政务 第10篇
在互联网广泛应用的今天,信息化在给我们带来种种物质和文化享受的同时,我们也正受到日益严重的来自网络的安全威胁,如黑客的侵袭、网络的数据盗窃、病毒的传播等。尽管我们广泛地使用各种复杂的软件技术,针对各种来自网上的安全威胁,怎样才能确保网络信息的安全性,尤其是网络上重要的数据安全,是当务之急。
二、影响电子商务网络安全的主要因素
(1)固有的安全漏洞。新的操作系统或应用软件刚一上市,漏洞就已被找出,没有任何一个系统可以排除漏洞的存在,如缓冲区溢出、拒绝服务等。
(2)网络系统在稳定性和可扩充性方面存在问题。由于设计的系统不规范、不合理以及缺乏安全性考虑,因而使其受到影响。
(3)网络硬件的配置不协调。一是文件服务器,它是网络的中枢,其运行稳定性、功能完善性直接影响网络系统的质量。网络应用的需求没有引起足够的重视,设计和选型考虑欠周密,从而使网络功能发挥受阻,影响网络的可靠性、扩充性和升级换代。二是网卡用工作站选配不当导致网络不稳定。
(4)缺乏安全策略。许多站点在防火墙配置上无意识地扩大了访问权限,忽视了这些权限可能会被其他人员滥用。
(5)管理制度不健全,网络管理、维护不当。
三、电子商务网络安全的防范措施
尽管电子商务网络信息安全受到威胁,但是采取恰当的防护措施也能有效地保护网络信息的安全。
1. 合理设计网络系统结构
全面分析网络系统设计的每个环节是建立安全可靠的计算机网络工程的首要任务,应在认真研究的基础上下大气力抓好网络运行质量的设计方案。在总体设计时采用网络分段技术将从源头上杜绝网络的安全隐患问题。因为局域网采用以交换机为中心、以路由器为边界的网络传输格局,再加上基于中心交换机的访问控制功能和三层交换功能,所以采取物理分段与逻辑分段两种方法,来实现对局域网的安全控制,其目的就是将非法用户与敏感的网络资源相互隔离,从而防止非法侦听,保证信息的安全畅通。另外,以交换式集线器代替共享式集线器的方式将不失为解除隐患的又一方法。
2. 隐藏IP地址
IP地址在网络安全上是一个很重要的概念,如果攻击者知道了IP地址,等于为他的攻击准备好了目标,他可以向这个IP发动各种进攻。隐藏IP地址的主要方法是使用代理服务器。使用代理服务器后,其他用户只能探测到代理服务器的IP地址,而不是用户的IP地址,这就实现了隐藏用户IP地址的目的,保障了用户上网安全。
3. 更换管理员账户
Administrator账户拥有最高的系统权限,一旦该账户被人利用,后果不堪设想。黑客入侵的常用手段之一就是获得Administrator账户的密码,所以我们要重新配置Administrator账号。首先是为Administrator账户设置一个强大复杂的密码,然后重命名Administrator账户,再创建一个没有管理员权限的Administrator账户欺骗入侵者,这样,入侵者就很难搞清哪个账户真正拥有管理员权限,也就在一定程度上减少了危险性。
4. 防范网络病毒
在网络环境下,病毒传播扩散快,仅用单机防病毒产品已经很难彻底清除网络病毒,必须有合适的全方位防病毒产品。如果是内部局域网,就需要一个基于服务器操作系统平台的防病毒软件和针对各种桌面操作系统的防病毒软件。如果与互联网相连,就需要网关的防病毒软件,加强上网计算机的安全。如果在网络内部使用电子邮件进行信息交换,还需要一套基于邮件服务器平台的邮件防病毒软件,识别出隐藏在电子邮件和附件中的病毒。
5. 配置防火墙
利用防火墙,在网络通讯时执行一种访问控制尺度,允许防火墙同意访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。防火墙是一种行之有效且应用广泛的网络安全机制,防止Internet上的不安全因素蔓延到局域网内部,所以防火墙是网络安全的重要一环。
6. 采用入侵检测系统
入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。在入侵检测系统中利用审计记录,入侵检测系统能够识别出任何不希望有的活动,从而限制这些活动,以保护系统的安全。在内部局域网中采用入侵检测技术,最好采用混合入侵检测。
7. 利用网络监听维护子网系统安全
对于网络外部的入侵可以通过安装防火墙来解决,但是对于网络内部的侵袭则无能为力。在这种情况下,我们可以采用对各个子网做一个具有一定功能的审计文件,为管理人员分析自己的网络运作状态提供依据。设计一个子网专用的监听程序,该软件的主要功能为长期监听子网络内计算机间相互联系的情况,为系统中各个服务器的审计文件提供备份。
8. 提高安全防范意识,制定安全管理制度
管理是保证网络安全的重要组成部分,是防止来自内部网络入侵的必须部分。责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。通过建立管理员条例和用户使用条例来规范操作行为,防止计算机病毒的侵入和破坏,在制度上保障网路的安全运行。
四、结束语
电子商务网络安全是一个系统的工程,不能仅仅依靠防火墙等单个的系统,而需要仔细考虑系统的安全需求,并将各种安全技术,如密码技术等结合在一起,才能生成一个高效、通用、安全的网络系统。
参考文献
[1]陈爱民.计算机的安全与保密[M].北京:电子工业出版社,2002.189-191.
[2]殷伟.计算机安全与病毒防治[M].合肥:安徽科学技术出版社,2004.88-94.
电子政务信息安全分析与防范 第11篇
关键词:电子政务;信息安全;防范
中图分类号:TP399文献标识码:A文章编号:1007-9599 (2010) 13-0000-01
E-government Information Security Analysis and Prevention
Shen Wentong
(Software Institute of Minjiang University,Fuzhou350011,China)
Abstract:Our E-government information security risks mainly concepts,technology,management and legal aspects;analysis several aspects of the problems and propose preventive measures.
Keywords:E-government;Information security;Prevention
电子政务是运用信息与通信技术,打破行政机关的组织界限,重组行政组织结构,改善公共管理模式,实现政府办公自动化、业务流程信息化,为公众、企业和社会提供广泛、高效和个性化服务的一个过程[1]。然而,要保障电子政务为公众提供优质服务的根本前提是信息安全的有效保障。因为政务网络中运行国家涉密信息、高度敏感内容、核心办公业务数据,它涉及到政府各部门乃至整个国家的利益,甚至涉及国家安全。解决电子政务信息安全问题在电子政务建设与发展的过程中,要作为首要任务。
一、电子政务信息安全的涵义
从本质上分析,信息安全就是网络上的信息安全,指的是网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的窃取、破坏、更改、泄露,系统连续、可靠、正常地运行,网络服务不中断;从广义上讲,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是信息安全所要研究的领域[2];
二、电子政务信息安全分析
现阶段,电子政务信息安全风险主要存在4个方面。
(一)观念方面
自从1999年政府启动上网工程以来[2],网络系统建设越来越得到重视,但是有些地方对信息安全工作未引起足够重视。首先是政府公务员对信息安全问题关注不够,信息安全意识淡薄;其次是对信息安全往往有不正确的认识,认为安装了相应的技术产品就能够保障系统的安全;第三是认为安全问题应该由信息部门来解决。
(二)技术方面
首先,我国在信息设备的核心硬件上严重依赖于进口产品,在软件方面尤其是在系统安全和安全协议的研究和应用方面也是沿用国外的产品和标准。一旦有重大情况发生,那些软硬件激活某种秘密指令,造成我国电子政务关键系统的瘫痪。
其次,计算机系统本身具有脆弱性,在某些特殊情况下可能产生硬件故障或者物理损害,这些危害会损害操作系统设备,有时会丢失或破坏数据,甚至毁掉整个系统。
(三)管理方面
从国内外的信息安全经验和案例分析,信息安全问题的绝大部分来自人为因素,包括内部工作与管理人员、外部人员侵入,其中内部工作与管理人员引起的安全问题又占了70%以上。而这些问题要采取技术措施来解决,将非常的困难,特别是针对内部工作和管理人员引起的安全问题,仅仅依靠技术手段将不可能解决安全问题。
(四)法律方面
近年来,信息安全问题已经引起了国家的高度重视和社会各界的广泛关注。我国在信息安全立法方面的體现主要有两点:
一方面,国务院和中央各部委已经出台了一系列与信息安全有关的法律法规,主要有国务院发布的《中华人民共和国计算机信息系统安全保护条例》、《计算机软件保护条例》、《商用密码管理条例》;公安部发布的《计算机信息网络国际联网安全保护管理办法》、《公安部关于对国际联网的计算机信息系统进行备案工作的通知》;国家保密局发布的《计算机信息系统国际联网保密管理规定》,《计算机信息网络国际联网安全保护管理规定》等。
另一方面,由于相关工作涉及包括公安部、国家安全部、国家保密局、商用密码管理办公室等部门,在信息安全上出现了各部委各有各的法律规章、条块分割进行管理的现象。在数量上形成了一定规模。然而众多的法律法规还没有形成一个条理清晰的体系。缺乏整体的立法。
三、电子政务信息安全的防范策略[3]
(一)强化信息安全文化建设
信息安全文化建设具有几个作用:强化每个人安全意识;激励每个人的安全行为;约束每个人的违规行为。因此在组织内部开展信息安全文化建设是解决电子政务信息安全问题的一种软对策。
(二)完善安全制度建设
健全的规章制度是电子政务安全管理有效实施的保障。只有制定合理的安全制度,并保证有效的执行,才能解决管理方面所带来的安全问题
(三)加快国内信息产业的发展,完善我国信息安全基础设施
拥有独立自主的信息产业和信息安全产品国产化是保证电子政务信息安全的根本。在建设电子政务的时候应该大力扶持国内信息安全产业的发展,力争在核心设备和系统安全、安全协议的研究和应用方面有重大突破。实现政务系统的软硬件国产化。
我国信息安全基础设施主要有信息安全标准、信息安全认证等方面的内容。电子政务的发展需要有标准和安全认证基础设施的支持。
(四)健全电子政务信息安全法律法规
针对我国电子政务信息安全立法方面的问题,要进一步完善我国信息安全保障的法律体系,主要体现在以下几点:确立法制建设为信息化发展提供全面服务的理念;构建完备的信息安全法律体系;信息安全法律应表现对信息技术的主动规范性和前瞻性;信息安全的法律法规必须具有国际化的属性[1]。
参考文献:
[1]江源富,赵经纬,程德林.电子政务[M].北京:国家行政学院出版社,2005
[2]赵国俊.电子政务[M].北京:电子工业出版社,2009
网络信息安全电子政务 第12篇
1.1 电子商务中所涵盖的信息
电子商务涉及的领域极其广泛, 因此, 在进行交易的过程中面临风险的可能性就大大增加。除了商品购买的交易过程, 还包括相关的推销广告、信息咨询内容、银行能够提供的服务、网络在线支付等等, 电子商务都将其有机结合起来了。在这种种服务之中, 涵盖了大量的信息内容, 比如:商家所卖商品的相关信息, 同行业之间的竞争信息, 网上交易之间卖家和买家的个人信息等等。由于这些信息内容复杂并且数量庞大, 导致维护和管理起来遇到很多困难。
1.2 电子商务信息安全的重要性
电子商务在服务大众的同时, 就应该将维护公众的信息安全和基本利益作为重中之重。信息安全着重体现在四个方面:完整性、保密性、可用性、可靠性。这关乎着在网络背景下, 电子商务在涉及的众多领域中是否能够保证各方的信息安全。
(1) 完整性。电子商务能够被大众所接受, 很大一部分原因是因为它的便捷。而完成双方交易的前提便是保证信息的完整性。信息在传输的过程中如果被修改甚至是删除, 对交易的双方都会造成无法估计的损失。
(2) 保密性。电子商务在交易的过程中涉及到各个相关主体的信息是必不可免的, 但是这些信息的数量庞大并且复杂。如果在电子商务的过程中, 商业机密被泄露或者是被非法者获取信息, 对个体和公众都会造成损失。
(3) 可用性。双方交易之间提供的信息必须是可用的, 在这样的前提下交易的结果才会是有效的。但是针对电子商务所处的大环境, 非人为故障就成为了保证信息可用性的阻碍, 比如相关的网络故障、软件开发不完善、计算机中病毒等等。
(4) 可靠性。电子商务在进行交易的过程中会面临种种不安全因素, 只有尽量减少这些不安全因素, 让双方的交易得到好的完成, 电子商务的发展才能更进一步。
2 电子商务过程中存在的安全问题
2.1 网络环境本身存在的安全问题
2.1.1 系统自身存在的漏洞问题
系统自身存在的漏洞问题是不可避免的, 只能尽可能地减少。这个问题是由相关的技术研发人员所造成的, 在开发过程中没能考虑完善的应对措施, 或者是在实践的过程中没有进行多方面调测, 都有可能造成系统自身的漏洞问题。然而当这些没有提前预估的错误发生时, 就会造成电子商务的不安全隐患发生。同时, 对交易的双方也造成了一定程度上的损失, 包括个人隐私信息被不法分子获取, 商业机密遭到泄露等等。
2.2.2网络自身存在的缺陷
电子商务所处的环境是网络, 而网络本身也存在着缺陷。比如:因为网络协议的限制性, 导致在传输数据的过程中被监听和窃取相关信息。这些缺陷都增加了电子商务的不安全性, 同时也埋下了很多隐患。
2.2黑客入侵及病毒感染
电子商务进行交易所处的环境是网络, 而网络的开放性也给相关的不法分子提供了机会。破坏力强的网络病毒不仅能干扰正常的交易过程, 还能够窃取相关的私密信息, 比如用户的个人隐私、同行业之间的商业机密等等。
2.3 电子商务信息安全的相关技术落后
电子商务的系统因素也关系着信息的安全性。但是反观当前, 目前我国的电子商务所用系统大多还停留在相对较落后的现状。因为技术的落后, 导致所需的相关元器件和设备都需要依赖进口。这就导致了重要的技术以及维护都不是本国所掌握, 在一定程度上也加大了电子商务自身的不安全性。
2.4 信息存储的不安全性
在网络开放的大环境下, 电子商务的信息存储安全存在以下几点问题:
(1) 内部不安全因素。内部不安全因素主要针对企业内部。比如:部分顾客在没有得到授权的情况下查看、调用甚至是修改、删减相关的信息。
(2) 外部不安全因素。外部不安全因素主要针对企业外部。外部人员在非法入侵计算机的过程中, 同样在没有得到授权的情况下, 对相关信息做出查看、调用、修改、删减等行为。这些非法行为不仅会导致商业机密泄露, 还会造成同行业之间恶性竞争的局面。
2.5 信息传输过程中的不安全性
信息在交易中的传输安全即为信息传输安全。在信息传输过程中存在的不安全性有:传输的信息被窃取, 在传输过程中遭到非法者的恶意修改或者是伪造等等。
2.6 网上交易过程中的不安全性
电子商务这种新型的交易方式, 不仅打破了传统, 也给人们的日常生活带来了便捷。但是, 这种交易方式在被人们所接受的同时, 也避免不了大众会对其安全性抱着怀疑的态度。
(1) 买方信息存在不安全性。因为网络的开放性, 电子商务交易中的买方并不受限制。无论是个人还是公司或者是银行等, 都可以成为交易中的买方。在交易中买方信息存在的不安全性主要体现在以下几个方面:首先, 买方的信息被非法分子窃取后, 可能会导致交易信息泄露, 或者是假冒买方进行交易。其次, 因为交易信息的不完整, 导致买方实际并没有收到商品。除此之外, 如果计算机被病毒感染或者是遭到黑客攻击, 都会导致个人信息丢失或被窃取。在这种情况下, 无论是钱财还是个人基本权益, 都对买方造成了很大程度的损失。
(2) 卖方信息存在不安全性。在交易中卖方信息存在的不安全性主要体现在以下几个方面:首先, 非法分子通过窃取卖方的信息从而达到同行业之间恶性竞争的目的。其次, 非法分子通过冒名而做出很多非法行为。比如无故导致交易活动中断, 这不仅伤害了买方的权益, 也对卖方的信誉造成了损失。除此之外, 黑客入侵也会导致商业机密泄露, 或者是虚假信息影响卖方的正常销售等等。
3 针对电子商务中的不安全性提出的措施
电子商务在给人们带来便捷的同时, 也给交易双方带来了很多不安全因素。如果不能很好地解决信息安全的问题, 对各个相关主体所造成的损失则是无法估量的。因此, 在网络背景下, 保证电子商务的信息安全就成为了当前亟需解决的问题。针对怎样减少系统的漏洞, 怎样防止黑客的入侵和病毒的感染, 怎样防止商业机密和个人信息被泄露等现状, 主要提出以下几点措施。
3.1 研发相关的技术
电子商务信息安全能否得到保障的前提就是系统自身的安全性能。因此, 需要对相关技术加大研发力度。
3.1.1 数据的加密技术
因为网络协议的限制, 导致数据流在传输的过程中是不加密的。正因为此, 才导致数据在传输过程中容易被窃听和盗取。因此, 数据的加密技术如果能够得到很好的发展, 就能够在一定程度上保证信息在交易过程中的完整性和安全性。
3.1.2 身份识别技术
身份识别需要对发送者和接收者进行双重识别。在这种双重确认下, 不仅能够验证信息是否安全, 还能够确认信息的完整性和正确性。比如:信息传输双方可以通过相关的数字证书来证明身份, 从而获取相关的访问权限。除此之外, 还可以通过电子商务认证中心的签发协议, 来限制能够进行信息交易的对象范围。
3.1.3 防病毒技术
黑客的入侵和病毒的感染都会对交易过程造成极大的破坏力, 并且在短时间内不能够完全恢复。因此, 也需要加大防病毒技术的研发力度。首先, 可以在开发软件的过程中, 尽量减少漏洞, 或者是将预防病毒相关软件事先植入系统内部, 实时监测是否有病毒入侵, 从而在病毒入侵最初阶段就将可能造成的损失降到最低。其次, 当病毒入侵后, 怎样在最短的时间内恢复原文件以及让系统恢复正常, 也是值得关注的。
3.2 加强网络安全的基础设施建设
因为我国电子商务系统的相关技术发展落后, 对于基本的元器件和技术不能够满足需求, 而计算机芯片等核心部件以及相关软件技术都掌握在他国的手里, 这本身就限制和威胁了我国电子商务的发展。因此, 做好网络安全基础设施建设的相关工作, 对电子商务的发展具有重大意义。
3.3 完善电子商务相关的法律法规
3.3.1 交易安全方面的法律规定
开放的网络环境, 为电子商务的交易提供了便捷, 也增加了其不稳定和不安全性。由于电子商务处于初期阶段, 相关的法律条文并不完善和明确, 导致用户信息不能够得到保证。如果国家能够完善相关的法律法规, 不仅支持了电子商务的发展, 也在一定程度上震慑了不法分子。除此之外, 在交易过程中产生的纠纷也能够有所具体的参考, 从而得到解决。
3.3.2 电子支付方面的法律规定
电子商务提供的网上交易方便了人们的生活, 让人们可以足不出户就可以买到所需的用品。但是, 交易的不安全性让电子支付存在不明的隐患。因此, 需要针对这个问题出台相关的法律规定, 规定需详细指出在面对金额遇到伪造、赊账等问题时的具体处理办法。
电子商务的信息安全不仅被公众所关注, 也成为了目前电子商务发展中的最大阻碍之一。面对新的市场和契机, 如果能够很好地解决信息安全的问题, 一定能够让电子商务的发展步入一个新的时代。全球信息化早已与人们的日常生活息息相关, 紧跟时代的发展, 更好地适应群众的需求, 加大相关信息安全技术的研发力度, 都能让人们在使用电子商务进行交易时更有信心。而出台相关的法律法规, 加大法律监管力度, 一方面体现了国家对电子商务发展的支持, 另一方面也是为电子商务的保驾护航。
4 结语
网络是一把双刃剑, 在便捷人们日常生活的同时也给人们的生活带来了很多不安全因素。电子商务能够得到发展是因为其涉及的领域广泛, 但是如果不能很好地解决信息安全的问题, 则又在一定程度上限制了它的发展。因此, 加大科技研发力度和法律支持都是必不可少的。希望在新的措施的调和下, 电子商务能够迈入新的时代。
参考文献
【网络信息安全电子政务】相关文章:
网络信息安全电子政务论文04-18
网络信息安全电子政务论文提纲09-02
电子政务网络信息论文04-25
电子政务网络信息论文提纲10-10
电子信息网络综合分析论文04-17
电子商务网络信息论文04-25
电子政务网络信息论文参考文献09-27
电子信息网络综合分析论文提纲08-07
电子商务网络信息论文提纲08-14
网络信息资源电子技术论文04-19