论文:电子政务信息安全研究(精选13篇)
1.论文:电子政务信息安全研究 篇一
电子政务信息安全风险评估方法研究
摘要:电子政务信息系统安全的重要性与日俱增,电子政务信息安全风险评估方法层出不穷.本文对目前主要的电子政务信息安全风险评估方法进行了综述性讨论,在分析了几种重要方法的.优、缺点的基础上,提出了基于主成分BP人工神经网络评估模型,将BP神经网络的动态学习性应用于复杂的电子政务信息安全评估.作 者:雷战波 胡安阳 作者单位:西安交通大学,陕西,西安,710049 期 刊:中国信息界 Journal:CHINA INFORMATION TIMES 年,卷(期):, “”(6) 分类号:X9 关键词:电子政务信息安全 动态评估 主成分分析 BP神经网络
2.论文:电子政务信息安全研究 篇二
21世纪是信息化的时代, 信息化覆盖面广、渗透力强、带动作用明显, 是推动经济社会发展和变革的重要力量, 已成为衡量一个国家或地区经济发展和社会文明进步的重要标志。电子政务是社会信息化发展的必然, 发展电子政务对加快转变政府职能, 提高行政效率, 增强政府社会管理和公共服务能力, 具有重大的推动作用, 同时也是全面贯彻党的十七大精神, 深入落实科学发展观的重大举措。随着电子政务的发展和人们对信息依赖程度的逐步提高, 电子政务的安全问题也越来越突出, 电子政务系统中被发现的安全漏洞越来越多, 针对政府电子政务系统的攻击更是层出不穷。随着经济的发展政府在电子政务系统上的投入也在不断增多, 我国的电子政务发展日新月异, 在软硬件建设上已初具规模, 但是大部分电子政务系统都是重建设、轻安全, 系统建设完成后对系统的安全性还不能做到心中有数。进行电子政务系统安全测评是掌握已投入使用的电子政务系统安全性的必要手段。那么如何系统科学地开展电子政务系统的安全测评工作呢?本文正是围绕这个问题对电子政务系统安全测评的诸多方面进行研究分析的。
2 测评方法研究
在电子政务系统的安全测评中, 摆在我们面前的测评对象往往是一个庞大的、错综复杂的信息系统, 因此采用解决系统复杂性的科学方法是做好电子政务系统安全测评的必然选择。举例来说, 如果没有当年的系统科学工程都江堰, 就不会有现在富饶的天府之国。都江堰水利工程在2008年经历了“5.12”汶川8级毁灭性的大地震之后, 损失甚微, 这非常值得我们深思。都江堰“治水”工程中的系统科学方法之思想, 与我们今天的“治信息”的思想有着异曲同工之妙。
电子政务系统安全测评工作的最大特征就是要求测评工程师具有“系统科学”的视野和方法。在这里“系统科学”包括以下几个方面的含义:
一是系统测评中要有严肃的科学精神、严谨的工作作风和对标准严格遵守的精神。所有的测评工作都必须严格遵守国家有关标准规范并严格遵循测评工作流程, 只有这样才能体现测评结果的客观性、科学性和公正性。
二是系统测评涉及到方方面面的技术, 不是一个人就能完全驾驭的, 从事测评工作的应该是一个团队, 而不是单独的一个人, 也就是说团队协作至关重要。
三是测评对象往往不是单一的软件或硬件, 而是一个庞大复杂而且处在不断变化中的信息系统, 这就决定了我们在测评过程中不可能仅仅使用一套软件或是一种方法就能够完成任务, 我们需要使用系统科学的方法。
四是将安全测评系统科学的方法宣贯给被测评方的相关管理人员和技术人员, 即在测评过程中要贯彻“人-机合一”的系统科学思想。
本文主要按照上述的系统科学思想对电子政务系统测评中标准遵守、“人-机合一”、安全控制项的安全测评和系统整体安全测评的方法进行研究。
2.1 遵守标准
标准往往只具有指导性而缺乏可操作性, 因此要做到严格遵守标准就需要测评机构应该认真研究《信息技术安全技术信息技术安全性评估准则》、《信息安全技术信息安全风险评估规范》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》等信息安全测评方面的标准, 将其项目逐一细化为可操作性强的作业指导书, 并编写各个安全测评控制项的安全检查方法和测试用例。另外, 测评前应制定测评计划和测评实施方案等文件。
2.2 安全控制测评
系统中的各种安全控制 (如数据安全控制、主机安全控制、网络安全控制以及应用安全控制等方面的配置情况和其有效性进行访谈、检查和测试) , 是电子政务系统安全的基石, 对电子政务安全控制的测评也是对系统整体测评的基础。
安全控制测评的具体方法是访谈、检查和测试。访谈是指测评工程师通过与被测评方的相关管理和技术人员进行交流和讨论, 获取能够证明系统安全措施有效的证据。检查是指测评工程师通过对测评对象进行观察、查验和分析等活动, 获取能够证明系统安全措施有效的证据。测试是指测评工程师按照作业指导书和测试用例对测评对象进行输入的活动, 然后查看分析输出结果, 获取能够证明系统安全措施有效的证据。
如图1所示。
测评工作完成后应当出具一个包括访谈、检查和测试的整体测评技术报告。其中访谈部分的内容可以贯穿到报告的其他方面;检查报告至少要包括检查对象、检查目标、检查环境、检查方案、检查步骤、检查结论和检查人员时间等内容;测试报告应该至少应包括以下内容:测试对象、测试目标、测试环境、测试方案、测试步骤、测试分析、测试结果和测试人员时间等。
2.2.1 数据安全测评
数据安全测评主要从数据的完整性、保密性、可用性和数据备份与灾难恢复四个方面来考虑, 在测评过程中应尽可能的使用硬件或软设备来辅助工作, 这样不仅可以提高测评效率, 还有助于提高测评结果的准确性。如我们可以使用Sentinel工具来帮助我们完成数据完整性检查和测试, 检查主机是否配备了检测程序完整性受到破坏的功能, 并能够在检测到完整性错误时采取必要的恢复措施;可以使用W iresh ark、Sniffer等软件来进行数据保密性测试。
2.2.2 主机安全测评
根据相关国家标准主机安全测评包含8个主要环节, 分别为身份鉴别、自主访问控制、强制访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范和资源控制。主机安全测评的3种主要手段是安全访谈调研、主机安全现场检查、主机安全措施有效性测试。
2.2.3 网络安全测评
网络安全测评的主要方面也可以归结为8个环节, 即结构安全与网段划分、网络访问控制、拨号访问控制、网络安全审计、边界完整性检查、网络入侵防范、恶意代码防范、网络设备防护。测评方法也是对上述8个方面, 利用访谈、检查和测试等手段进行分析。
2.2.4 应用安全测评
从目前信息系统安全漏洞统计来看, 应用服务漏洞比例占据了80%。应用服务是整个信息系统的灵魂。伴随着应用服务功能的多样化, 其存在的漏洞可能性就越多, 因此应用安全测评是整个系统安全测评的重中之重。应用服务安全常规的测评对象主要由以下9个环节组成, 分别是身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错和资源控制。对于以上内容的测评方式, 可以采用前期访谈分析、现场检查应用配置安全和工具检测测评等手段。
2.3 系统整体测评
系统整体测评, 以安全控制测评为基础, 主要测评分析信息系统的整体安全性, 系统整体测评涉及到信息系统的整体拓扑、局部结构, 也关系到信息系统的具体安全功能实现和安全控制配置, 与特定信息系统的实际情况紧密相关, 内容复杂且充满系统个性。
安全控制间安全测评是指测评分析在同一区域和层面内两个或者两个以上不同安全控制之间由于存在连接、交互、依赖、协调、协同等相互关联关系而产生的安全功能增强、补充或削弱等关联作用对信息系统整体安全保护能力的影响。
层面间安全测评是指测评分析在同一区域内两个或者两个以上不同层面之间由于存在连接、交互、依赖、协调、协同等相互关联关系而产生的安全功能增强、补充或削弱等关联作用对信息系统安全保护能力的影响。
区域间安全测评是指测评分析两个或者两个以上不同物理逻辑区域之间由于存在连接、交互、依赖、协调、协同等相互关联关系而产生的安全功能增强、补充或削弱等关联作用对信息系统安全保护能力的影响。
全面地给出系统整体测评要求的完整内容、具体实施方法和明确的结果判定方法是很困难的。测评工程师应根据特定信息系统的具体情况, 在安全控制测评的基础上, 重点考虑不同安全控制之间、安全层面之间以及不同安全区域之间的相互关联关系, 发掘这些因素之间相互影响和带来的安全漏洞。在本文中我们以渗透测试为例来阐述系统整体测评。渗透测试可以通过某一个安全区域 (或安全控制或安全层面) 为立足点, 通过获取操作权限, 占领主机并以此为跳板渗透到其他区域 (或安全控制或安全层面) , 因此渗透测试不失为系统整体测试的一种好方法。
渗透测试 (penetration test) 作为一种非常规测评方法, 在得到授权后, 以黑客使用的工具、技术和攻击手段为主, 对目标网络和应用系统等进行非破坏性入侵, 使用不影响业务系统正常运行的攻击方法进行的测试, 从而发现系统存在的安全隐患, 检验业务系统的安全防护措施是否有效, 各项安全策略是否得到贯彻落实。
渗透测试的过程是一个层叠、循序渐进的过程, 其测试手段具备多样化、偶然性、累积性、针对性强的特点。
渗透测试的实施过程分为如下:
如表1所示。
渗透测试作为安全测评中的一项重要环节, 其意义主要有如下两种:
(1) 凸现最严重的安全问题。
渗透测试通过各种手段搜集获取的信息池, 分析建立系统薄弱环节, 通过利用漏洞达到入侵目的, 验证了系统严重的安全问题。
(2) 突出信息安全测评重要性。
渗透测试以最直观的形式, 以即在事实证据向被评估单位提供安全漏洞的潜在威胁风险, 起到震撼效果, 消除了部分人员对安全测评工作重要性轻视和质疑。
2.4“人-机合一”
我们在测评过程中发现有些被测评方的管理人员和技术人员对操作系统安全配置不屑一顾, 他们没有认识到信息安全遵循的“木桶原理”, 即系统安全与否主要取决于“最短板”。不法人员往往就是利用系统的短板来进行攻击和渗透。因此在测评过程中应该与被测评方进行充分有效的沟通和交流, 这样我们的安全防范能力才能有所提高。
3 结语
信息网络安全技术测评是电子政务系统安全测评的重要手段, 许多安全控制项都必须借助于技术手段来实现, 但是单独依靠技术测评还不能全面系统的分析电子政务系统的安全。实践经验证明, 仅有安全技术防范, 而无严格的安全管理体系是难以保障系统的安全的。因此在测评中我们必须对被测评方制订的一系列安全管理制度进行测评。信息安全管理的测评可以单独进行也可以穿插到技术测评当中。
随着信息技术的发展, 信息安全测评工程师面临越来越多的挑战, 为提高测评能力和效率, 应充分的发挥主观能动性, 利用各种现有的各种安全测试工具, 开发安全测试工具、报告生成工具等。信息安全测评机构以及电子政务系统的运行、维护方必须共同努力, 为我国的信息化发展保驾护航。
参考文献
[1]向宏, 傅鹂, 詹榜华, 著.信息安全测评与风险评估.北京:电子工业出版社, 2009.1.
[2]中华人民共和国国家标准, 信息系统安全等级保护测评准则, 送审稿.
3.我国电子政务信息安全问题研究 篇三
关键词:电子政务;信息安全;网络安全
中图分类号: F01 文献标识码: A 文章编号: 1673-1069(2016)25-192-2
0 引言
关于电子政务的概念,目前有着不同的解释。从现阶段的发展状况看,电子政务可以解释为,政府通过利用现代的信息技术手段,更加便捷和迅速地提供自动化信息服务。[1]电子政务在计算机和网络的帮助下,突破了时间、空间和部门分隔的瓶颈,使得政府为社会提供全方位、高效率、高质量的服务成为现实。联合国经济社会理事会将电子政务定义为,政府通过信息通信技术手段的密集性和战略性应用组织公共管理的方式,旨在提供效率、增强政府的透明度、改善财政约束、改进公共政策的质量和决策的科学性,建立良好的政府之间、政府与社会、社区以及政府与公民之间的关系,提供公共服务的质量,赢得广泛的社会参与度。
目前的电子政务可以分为两类,一类是政府部门内部的电子政务,即政府部门在内部系统中利用网络信息技术来实现政务信息化、自动化办公,提高决策的效率和可靠性;一类是政府部门外部的电子政务,即政府部门通过互联网技术,加强与社会各界的信息沟通和资源共享,同时加强社会各界对于政府部门的监督,促进政务信息透明化。我国的互联网应用起步较晚,但发展速度快。然而网络技术是一把双刃剑,在带给政府办公方便的同时,也存在着病毒、黑客、泄密等问题。电子政务在运行过程中如果受到破坏和攻击,轻者会造成政务效率受损,影响正常政府办公,重者会导致电子政务系统瘫痪,重要信息和情报泄露,危害社会的稳定和人民的安全。当民众感觉到数据信息安全受到了威胁,政府将要付出代价,即安全问题会影响民众对政府的信心,引起恐慌,导致社会动荡。[6]如何在电子政务应用的过程中,处理和解决好电子政务的信息安全问题,是我国电子政务发展的一个重要目标。
1 电子政务信息安全问题
首先,我国的电子政务相关立法薄弱。
电子政务的安全问题最终是要保护好政府和国家的机密信息。我国电子政务发展至今,颁布了一些相关法律法规,如《中华人民共和国计算机信息系统安全保护条例》等,但这些法规立法层次较低,大部分是由国务院及其部委发布。我国有关电子政务的安全立法没有一个完整的体系,内容相互交叉重复,没有形成统一的标准,一旦出现信息安全问题,将出现无法进行统一管理的混乱局面,不利于信息安全的维护。
其次,我国电子政务存在管理不善的问题。
我国的电子政务系统主要是多个部门共同进行管理,相关的管理职能也被分割,部门之间容易产生矛盾,出现多头管理或者相互踢皮球的现象。从总体上看,国家在电子政务安全上缺乏一个具有最高权威的统一机构。从局部上看,电子政务系统自身管理混乱,人员和部门彼此间无法做到协调。有些政府部门对电子政务信息的安全管理没有形成系统的管理制度,对于信息的收集、处理、传递和储存各环节无法做到全程有效监控和维护,缺乏相应的应急管理预案。当前我国的电子政务管理建设缺乏系统性和全局性,电子文件、电子档案的管理尚未真正纳入国家电子政务发展规划之中。
再次,与电子政务有关的技术发展不足。
目前国内多数电子政务设备都是从国外引进,在使用过程难免会出现一些问题,如果完全依靠自主技术难以彻底解决。缺乏自主的研发和创新技术,必然使我国的电子政务信息安全处于被动地位。在引入外国设备的同时,必然留下一定的安全隐患,如果不能对这些设备进行有效的安全监测,就极有可能使重要的情报被一些别有用心的国家窃取。一些信息技术系统存在的漏洞,也容易成为黑客的攻击目标。网络技术的不足是造成信息安全的又一隐患。
最后,我国电子政务工作人员安全意识淡薄。
电子政务信息系统涉及的部门广泛、流程复杂、对技术的要求高,这就对电子政务系统的使用人员提出了更高要求。我国许多政府电子政务工作人员没有接受过系统的信息化政务教育培训,对于电子政务信息安全缺乏正确、科学的认识。根据国家计算机网络应急技术处理协调中心发布的《中国互联网网络安全报告》统计可以看出,中国大陆政府网站被篡改的数量在逐年增长。政府网站易被篡改的主要原因是网站整体安全性差,缺乏必要的经常性维护,某些政府网站被篡改后长期无人过问,还有些网站虽然在接到报告后能够恢复,但并没有根除安全隐患,从而遭到多次篡改。
2 对策
首先,要加强相关法律法规建设。
加强相关法律法规的建设是最重要的基础,不但要完善相关法律法规的建设,还要确保法律法规的落实。在法律法规建设要从现实出发,从过去单纯的信息控制转变为信息发展服务,加强立法的主动性和前瞻性。要向国外先进的法律法规学习和借鉴,提高法律对信息社会的适应性。分析研究以往电子政务在信息安全方面出现的具体问题,有针对性地提出适当的法律议题。只有将法律的制定和标准的规范化相结合,才能使法律起到对信息安全更好地保障作用。
其次,改善以往的管理模式。
各地方政府和相关部门的安全机构,应当由国家电子政务的统一部门进行管理,从全局和整体出发,加强信息安全方面的防护,切实做好电子政务信息安全保密管理工作。电子政务的相关部门应正确界定内网与外网的区分,将信息资源的保密和公共合理分类,确保资源信息透明的同时,重要的机密信息不被泄露。要注意加强事前预警。在发生信息安全事故的最短时间内,回复网络运行和服务的正常,防止重要信息被窃取,最大程度降低安全事件的损害程度。
再次,加强网络人员的培训和教育。
许多的电子政务安全事故,并不是由于技术和设备方面的问题,而是由政府内部人员的不当操作或故意行为导致的。政府部门从事与电子政务相关的人员主要分为两类,一类是专门的电子政务安全管理人员,一类是普通的政府机关公务人员,所以要进行区分对待。对于专门的信息安全管理人员,要坚持人才的开发和培养,提高我国电子政务安全管理人员的综合素质和整体水平。对于普通的政府部门公务人员,要让他们树立信息安全保护的意识,通过学习和知识讲座,让他们了解电子政务安全的相关知识,明确安全的重要性。
最后,开发先进技术的网络技术。
我国在网络技术上落后于发达国家,在一定程度上制约了电子政务信息安全的保障。应该在保护自身机密安全的前提下,通过学习和借鉴别国的先进技术,发展自主研究,提高自身的网络科学技术,从而为信息安全的维护起到坚实的保障。应当建立起构建国家级病毒防护安全平台,目前我国初步建成了以国家计算机病毒应急处理中心为基础的病毒防护机构,但这些机构在对病毒的防护上只是提供预警、通告等形式,很少能够提供较为具体和实际的安全防护和病毒处理策略。建立国家基础网络病毒防护平台,可以为电子政务部门提供较为基础的病毒防护措施和安全预警机制,也可以对各部门的电子政务系统的病毒防护进行指导和支持。
参 考 文 献
[1] 孟薇.电子政务信息安全研究[D].天津大学,2007.
[2] 鲍捷.电子政务信息安全及防范体系研究[D].华中师范大学,2014.
[3] 阿尔温·托尔勒.权力的转移[M].北京:中信出版社,2006.
[4] 丁丽.电子政务信息安全保密管理研究[D].山东师范大学,2014.
[5] 陈兵,等.电子政务安全概述[J].电子政务.2005(17).
[6] 张晓原.中外电子政务信息安全管理对6比研究[D].西南交通大学,2008.
4.电子政务信息安全检查自查报告 篇四
我镇在市委、市政府的领导下,认真按照四川省委省政府关于电子政务工作的总体部署和要求,对电子政务外网信息安全情况作了认真检查,现将我镇电子政务工作自查情况报告如下:
一、组织及制度建设情况
一是领导重视,机构健全。我镇高度重视电子政务工作,成立了以镇长任组长、镇相关部门负责人为成员的镇电子政务工作领导小组,统一领导镇电子政务工作,研究决定镇电子政务建设中的重大问题。领导小组办公室设在镇党政综合办公室,并指定懂电脑操作、保密意识强的党政综合办公室成员具体负责信息更新及网络维护等日常工作,形成了机构健全、分工明确、责任到人的良好工作格局。二是制定制度,按章办事。根据省、市文件要求,制定了办公室自动化设备保密管理制度、电子政务工作各项管理制度及维护制度,包括专人维护、文件发布审核签发等制度。三是开展不定期检查。我镇电子政务工作领导小组不定期对电子政务工作办公室的环境安全、设备安全、信息安全、管理制度落实情况等内容进行检查,对存在的问题及时进行纠正,消除安全隐患。
二、网络和信息安全情况。
加强网络运行维护工作。加强网络运行维护队伍建设,进一步充实网络运行维护人员,镇党政综合办公室确定兼职网络信息管理员,负责及时提供和审核本部门信息内容。同时按照县安全管理要求,制定和完善了我镇电子政务安全保密措施,落实安全保密工作责任制,未发现网络异常。
三、技术防护手段建设
切实做好信息安全工作。安装了专门的杀毒、杀木马软件,互联网出口处部署了防火墙,并且定期进行漏洞扫描、病毒木马检测,有效防范了病毒、木马、黑客等网络攻击,确保了信息和网络运行安全。
四、存在的困难和不足
虽然我镇电子政务工作在有序开展,但还存在一些困难和不足之处,主要体现在:一是办公电脑设备陈旧老化,专门用于电子政务的电脑使用时间久,运行速度慢。二是机关工作人员年龄偏大,计算机知识程度不高,培训没有完全跟上。三是信息未能完全做到及时更新,电子政务管理、使用有待于进一步加强。
五、改进措施
一是努力提高业务素质。加强宣传教育,提高全镇人员对电子政务的认知水平和责任意识,积极组织人员参加全县电子政务培训,为电子政务的有效实施奠定更加坚实的基础。二是加强制度建设。完善电子政务的管理、使用等一系列规章制度,对存在的薄弱环节,制定针对性措施,并在实
5.电子病历个人信息安全 篇五
为加强本院电子病历管理,保障电子病历信息安全,维护医患双方的合法权益,保障患者隐私,制定本规定。
一、电子病历各用户应遵守保密制度,妥善保管本人用户名和口令,并定期更换口令。如因用户泄密原因引起电子病历纠纷的,按计算机记录的结果追究法律责任。
二、电子病历工作站为专机专用,不得接入光驱、软驱、U盘,严禁擅自安装任何软件。未经许可,不得随意更改工作站系统参数和软件配置。如发现违规操作,一经确认,根据情节和造成后果轻重,追究当事人的经济和法律责任。
三、保证纸质病历与电子病历内容一致,封存后的病历不允许再修改。封存的电子病历仅供病历浏览,不允许打印。
四、病人信息只允许放在医院内网,不得把病人信息放在因特网上。
五、员工未经医务处或院领导授权不得以任何形式泄密病人病历。
六、任何人员不得使用他人的用户名和密码,也不得将工作范围内可接触到的病人信息告诉其他任何未经授权人员,同时离开终端时及时关闭自己电子病历账号。
6.电子商务信息安全探究论文 篇六
一、密码设置
密码是一个人的私有信息,通过设置密码可以在一定程度上保证信息的安全性。在电子商务中会涉及到的银行账号的安全、交易信息的安全,都可以通过设置不同类型的密码来保护。在设置密码时可以设置不同的密码,增加所设密码的难度,定期修改密码,以及登陆密码和手机绑定密码等多种途径来保护账号的安全。有很大一部分人喜欢用同样的密码,这是一种不好的习惯。可能有人会说:“如果不设置相同的密码就记不住。”在这种情况下可以采取多种加密形式来保证账户安全。现在为了解决安全问题,不同的机构,包括电子商务公司、各大银行都推出许多加密设备,我们可以选用。
二、数字签名
在网络环境中,网络安全的最基本要求就是通信信息的真实和不可否认性,它要求通信双方能互相证实,以防止第三者假冒通信的一方窃取、伪造信息。在网络中实现通信真实性的方法是数字签名(DigitalSignature)。我们在教学过程中让学生能掌握的是正确使用自己的数字签名,学生走上社会做的不是科学研究,是应用型电子商务,主要包括银行账号的安全、交易账号的安全,可以使用不同的认证方法保证信息安全,数字签名就是一种很好的方法。例如,作为商业机构可以选择一家公信度较强、通过国际认证的CA认证中心,CA认证中心会对于你每次交易中数字签名进行处理,证明交易中的身份,保证签名的不可否认性,加快交易速度,节省交易时间。
三、不轻易打开网站链接
在日常店铺管理中,交易身份的假冒和网站的假冒时有发生,为了防范这种骗局,我们要做的就是不打开不信任的网站,不打开别人发来的链接。现在有一些骗子不仅是把自己伪装成购物网站去骗买家,从而盗取买家的账号、密码。也有一些骗子专门去搜索一些新开的网店去欺骗卖家,一是因为新卖家经验不足防骗知识薄弱,二是新卖家急于让店铺发生买卖,因此在交易时当这些不法分子告诉卖家自己进行的交易出现问题而发送链接时,卖家没有仔细查看确认交易就贸然打开了链接,给店铺造成了损失。
四、防火墙设置
近年来,作为保护计算机系统网络安全的重要措施,防火墙技术正日趋成熟。对于一些与防火墙相冲突的软件,需要关闭防火墙,有时网络安全有问题时,又需要启用防火墙。我们作为专业电子商务人员,要会对自己的.电脑进行防火墙设置,设置时可以通过电脑的“控制面板”找到“防火墙”,打开“防火墙”自行设置。防火墙应该一直都处于打开的状态。
五、计算机病毒防范
电子商务强调企业与商家通过网络进行实时交流,安全防护的一点疏漏就可能使计算机病毒扩散到整个企业的网络,可能感染客户的计算机。因此应对计算机病毒进行防范。要想安全、可靠地防杀病毒,至少应该进行如下的工作:选择好的防杀病毒软件保护工作站、服务器;定期进行文件备份工作;定期对网络进行病毒扫描,异常检测;尽量多用无盘工作站;对远程工作站的登陆权限实施严格控制,尽量少用超级用户登录;定期更新病毒库;对网络设备的安全隔离。
7.论文:电子政务信息安全研究 篇七
1.1 电子政务
在《现代汉语词典》中, 政务解释为“善于国家政治事件的处理, 同时也是政治管理工作的统称”。就我国实际的政治生态而言, 我们可以从广义与狭义两个层面对政务的定义与概念进行解读, 广义上的政务涉及到各类行政事务, 囊括了各级政府、政党事务、人民代表大会、政治协商会议、军队管理以及司法体系等多个领域的相关活动;狭义上的政务则专指各级政府在日常活动中, 所进行的各类管理与服务行为。在此基础上, 人们对电子政务的定义也有广义和狭义之分, 不过一致的共识是, 电子政务 (E-Government) 这一概念源自1993年美国总统办公室发布的《运用信息通信技术再造政府》, 该报告强调政府应用信息通信技术作为政府再造策略性措施, 以革新其行政效率。2001年12月, 国家信息化工作领导小组第一次会议在北京召开, 考虑到我国的政治体制, 会上确定把E-Government翻译成“电子政务”而不是“电子政府”[1]。总而言之, 电子政务是指政府部门在运作的过程中, 借助于计算机技术、信息通信技术以及互联网技术, 将各类管理活动与服务体系在网络平台上进行高度整合, 实现了政府组织架构与工作方式的调整与优化, 并最大程度突破了时间与空间的限制, 最大程度满足社会经济发展对电子政务活动的客观要求, 以电子政务为起点, 我国逐渐实现了政务活动的全方位、立体化与宽领域的格局。
1.2 信息安全
信息其本质上是消息的一种表现形式, 通过文字符号、声音、图像等形式进行展现, 具有实时性、有效性以及真伪性的特点。简单说, 信息通过不同的方式来进行相关内容的表达, 以传达出相关的消息, 满足人们相互交流的需要。信息安全则针对于信息展示过程中的不同方式, 采取针对性的手段与途径, 促进信息的安全传递。由于信息本身在表现形式与传递手段上具有一定的多样性与复杂性, 因此信息安全实际上是一个综合性的要求, 涵盖了计算机技术、网络系统、信息技术、加密技术、数据传输、数学模型等多个领域, 因此, 在构建信息安全体系的过程中, 需要从信息的保密性、准确性、真实性、复制授权等几个层面入手, 以相关技术为框架, 不断构建安全管理系统, 提升信息安全系统的硬件、软件及数据的安全属性, 降低其因受到攻击而引发数据丢失的几率, 同时在这一过程中, 增强信息安全的稳定性, 满足实际的使用需求。从信息安全自身的角度来分析, 其具有变化性、相对性、多样性以及完整性等特点。信息安全一直处于不断变化之中, 黑客技术的发展使得信息在传递过程中, 时刻面临着被获取与篡改的危险, 同时新的信息技术与系统的构建与使用, 也在一定程度上增加了信息泄露的发生几率。信息安全技术处于动态发展的过程中, 因此, 不可避免地存在一定的缺陷与不足, 这就使得信息安全有着相对性的特点, 其无法真正意义上的扭转现阶段相关技术存在的问题。信息需求的多样性, 各政府部门对于不同信息的取舍存在一定的偏向, 因而使得电子政务在发展的过程中, 也呈现出多样性的特性。信息安全自身涵盖了安全技术与管理系统等多个领域的内容, 因此, 在构建信息安全系统的过程中, 需要相关部门根据实际的使用需求, 进行科学合理的规划, 制定安全等级, 采取针对性的安全技术手段与管理方式, 以满足信息安全系统完整性的要求。
1.3 提升电子政务信息安全的现实意义
电子政务信息安全作为我国安全体系的重要构成, 在促进社会经济发展与政治体系建设方面发挥着关键性的作用。电子政务活动的开展是各级政府部门以网络平台为框架, 做出政治决策、履行自身的职责以及提供服务的重要方式。电子政务信息体系的科学构建是我国政治事务信息化与现代化的重要组成部分, 其在实践中的有序开展, 在很大程度上提升了党和国家依法治国的能力与水平, 推进了政府改革工作的深入进行, 大大提升了相关政府部门的办事能力, 真正意义上践行全心全意为人民服务的宗旨。电子政务作为一种全新的工作方式与管理体系, 各级政府以现代化的技术手段为媒介, 不断进行自身工作流程的调整与优化, 实现了工作方式的简化, 提升了自身的工作效率与服务水平[2]。电子政务的内容十分丰富, 包含了政府网络办公、服务自主化、信息的网络公布以及信息共享机制等多个方面。各级政府部门以电子政务为支撑, 大大提升了政府部门的工作效率, 充分发挥政府数据信息的资源优势, 使其更好为社会经济的发展提供服务。电子政务活动的开展使得政府工作内容得意透明化, 缩短了与公众之间的距离, 为人民群众提供更为全面更为多样化的服务, 极大便利了社会生活。同时电子政务作为我国信息化建设的核心, 其构建活动的深入进行, 扩大了电子政务体系的规模与范围, 使得政府各部门之间的联系性大大加强, 各级政府的联系性大大增强, 有效提升了政府工作的正确性。在这一过程中, 由于数据的共享, 增加了数据信息安全工作的复杂性与难度程度。
2 电子政务信息安全体系构建的情况分析
为了提升电子政务信息的安全性, 推动信息安全体系构建工作的有序进行, 需要以电子技术、信息技术以及加密技术为重点, 持续优化与调整管理体系, 并立足于信息安全工作的客观需要, 结合我国的实际制定相关法律、法规。将安全技术、管理机制以及法律法规三者有机的结合起来, 保证电子政务信息安全系统的有效建立。
2.1 国家信息安全组织保障体系初步形成
电子政务的前身是20世纪90年代开始, 为了顺应信息化的发展潮流, 我国开始进行办公自动化模式的初步探索, 不断进行办公自动化的尝试, 并取得了一定的建设经验, 从而为电子政务建设活动的开展奠定了良好的基础。我国电子政务建设活动的大规模开展, 是以1999年40多个部委信息管理部门联合进行的政府上网工程为起点, 以上网工程为基础, 我国将越来越多的政府行政单位纳入到这一体系中, 各部门根据自身的工作内容不断进行网站的设计与建设, 提升网站的服务能力与水平, 使其逐渐成为一种重要的服务手段与路径。政府上网工程的深入开展在一定程度上推进了我国政府信息化进程, 而我国正是以政府上网工程为切入点, 逐渐形成了电子政务的构建氛围, 形成独特的政治管理生态, 满足社会经济发展对于政府服务能力的客观要求。随着我国国民经济的发展与经济结构的战略性调整, 党和政府立足于经济发展的宏观趋势, 结合我国的基本国情, 在“十五”规划中前瞻性的提出了信息化带动工业化的发展理念与思路。这一观点的提出, 不仅推动了经济结构与运行模式的信息化, 也标志着电子政务在我国进入到实质性阶段, 电子政务的应用范围与规模将会不断扩张, 逐渐成现阶段为政务活动的主流。从电子政务发展的层面来看, 国电子政务已进入到全新的发展阶段, 在信息技术的推动下, 我在电子政务在发展过程中以旧有的构建成果为基础, 融合新的发展理念与管理思维, 形成新的电子政务格局。2001年8月我国成立信息化工作领导小组, 由朱镕基总理担任组长, 对全国范围内各级政府部门电子政务活动进行规范与引导, 2003年为了实现应急信息的合理把控, 实现对相关信息的科学处理、全面收集与何时, 中共中央成立计算机网络应急技术处理协调中心, 统一处理全国范围内各类应急信息, 以减少信息失真所带来的社会问题, 保证社会生活的稳定。2008年, 党和政府基于现阶段政府改革工作的客观需要, 调整原有的大部机制, 信息化办公室不再承担电子政务管理工作, 转而由工业信息化部负责相关主管工作, 从而大大简化了管理流程, 保证了电子政务工作的顺利开展。2014年2月, 中共中央成立网络安全与信息化领导小组, 领导小组以网络信息安全为宗旨, 着眼于社会经济发展与政治改革进程的实际, 协调政治、经济与文化等多个领域, 立足于我国的基本国情, 不断制定与调整网络安全与信息化建设策略。以此切实有效地推进我国信息化建设的质量与水平, 提升网络安全的级别水平, 充分满足国民经济发展与社会进步对网络安全与信息化建设的客观要求[3]。
2.2 电子政务信息管理的主客体清晰
我国电子政务的主体为各级政府部门, 其在广义上涵盖了党的组织、行政部门、立法机构、司法体系等多个层面。因此, 从广义层面来分析, 电子政务不单单是指政府部门依法履行自身的行政职责, 还包括司法系统以及其他公共部门的日常工作, 呈现出多样性与复杂性的特点。狭义的政府部门一般情况下指的是国家的权力机关的执行部门, 从目前来看其成为我国电子政务的主要实施对象。电子政务指向于各级企业事业单位以及社会公众等不同的社会团体, 在电子政务体系发展到成熟阶段, 参与电子政务体系的各主要组成部门 (即各级政府部门、企事业单位以及社会公众) 能够在进行信息数据的实时交互, 在交互过程中, 电子政务的主客体关系不断发生转变[4], 这就意味着, 行政单位在进行电子政务构建的过程中主客体关系会发生频繁的转化, 以满足信息交流的要求, 为公众提供更为全面的服务。
2.3 电子政务信息安全系统的开发和维护逐步专业化
电子政务信息安全系统的开发与维护是一个复杂的过程, 需要多个部门的协同配合与积极参与。在安全系统构建的过程中, 需要以现有的技术框架为基础, 实现计算机技术、互联网技术、信息技术以及数据传输技术的合理配置与优化, 使其成为一个高度协调的整体。以此来减少数据信息发送丢失与篡改的几率, 保证电子政务信息安全系统的科学高效构建。同时在这一过程中, 为了保证电子政务安全系统的稳定运行, 需要安排专业技术与管理人员进行系统的维护工作, 但是由于各级政府部门的编制有限, 其不可能设置专门的部门来进行维护与开发工作。因此需要各级政府部门加强与信息安全技术与网络维护公司的合作, 通过对其开发的系统软件与运行程序进行必要的审核与测试, 并交给相关资质部门进行实用性与安全性的评估, 由于电子政务系统中的应用开发、系统运行、日常维护、重要设备维护等大都涉及机密信息, 因此, 就需要电子政务信息系统在进行安全管理的过程中, 加强人才和技术队伍的建设。
3 电子政务信息安全存在的问题
3.1 法律法规和管理体制落后
从发达国家电子政务发展的经验来看, 健全的法律制度是政府电子政务快速发展的保障。如上文所述, 在电子政务的立法工作中, 近些年来我国虽然相继出台了各类法律法规, 对信息安全进行维护, 打击攻击网络, 泄露信息数据的行为, 但是从实际情况来看, 这些法律法规彼此之间缺乏必要的联系性, 结构较为单一, 无法形成完整的法律体系, 难以真正发挥法律法规在电子政务信息安全方面的作用。并且由于我国缺乏相关经验, 使得网络信息安全法规在信息跨境以及隐私保护方面存在漏洞及信息安全等相关方面的法律法规。无法真正意义上满足网络信息安全体系构建的要求, 无法为电子政务提供法律保障。由于网络信息安全法律法规体系建设的落后, 相关部门无法依法进行网络犯罪行为的打击, 这就在一定程度上增加了信息安全体系构建的压力与困难程度。信息技术的迅猛发展, 使得我国网络信息建设面临着日益严峻的挑战, 加之法律法规制度体系的不完善, 又在很大程度上增加了网络犯罪的发生几率, 给网络信息安全带来了极大地威胁, 因此, 立足于我国网络信息安全的实际, 不断完善法律法规, 就成为现阶段党和政府在电子政务构建活动中必须要解决的迫切问题。同时电子政务在发展的过程中也存在信息保密方面的问题。一方面电子政务信息管理机构在组织建设方面存在不足, 管理机制不健全, 使得自身的安全管理作用难以得到有效发挥, 从实际情况来看, 由于缺乏必要的组织协调, 同一级别的政府部门在进行电子政务信息管理的过程中, 存在着信息交互效率较低以及沟通障碍的若该问题, 政务信息很难在部门之间进行传递。另一方面电子政务信息安全机制的管理责任较为模糊, 制度建设存在误区, 现阶段虽然对电子政务信息安全管理体系的责任进行有效划分, 并逐渐进行安全管理与认证体系的构建, 但是由于各级政府部门在这一过程中, 更多的是从技术的角度上进行操作, 确保电子政务信息安全性的提高, 往往忽视了管理系统在提升电子政务信息安全性方面的重大作用。例如目前我国各级政府在进行电子政务系统安全保密管理系统构建的过程中, 对于管理的标准、工作的定位以及相关事故的处理流程缺乏准确定位, 使得管理责任无法落实到个人, 难以真正发挥信息安全管理制度的作用。
3.2 信息安全技术水平有待提升
3.2.1 基础建设和硬件的不足
电子政务的信息安全首先离不开基础建设和硬件设施。中国幅员辽阔, 地形各异, 在全国范围内推行电子政务化进程, 其必然对硬件设施建设提出了更高的要求。网络规模的进一步扩大, 不仅仅造成网络通信线路的大幅增加, 还在一定程度上了降低了通信线路的安全性与稳定性。现阶段通信技术可以分无线通信与有线通信两种, 无线通信技术由于自身技术的限制, 在一定情况下很容易被盗取以及窃听, 存在着一定的安全问题;有线通信技术由于其对基础设施依赖严重, 一旦相关通信设施收到损伤, 将无法正常工作。由于种种原因, 我国的信息化进程起步相对较晚, 很多硬件技术依赖于国外输入, 从而使得电子政务系统在建设的过程中, 绝大多数关键设备需要从国外引进, 网络信息系统硬件上的劣势, 使得我国电子政务信息系统的建设规模与安全性始终得不到有效保障, 极易发生信息泄露事件。例如Windows 98操作系统以及英特尔处理器在设计过程中, 留有后门, 这些后门的存在极易被黑客利用, 为网络攻击行为提供了极大地便捷。现阶段随着我国信息技术、计算机技术以及通信技术的迅猛发展, 逐渐形成具有中国自主知识产权的信息化产业体系, 以计算机制造为代表的信息产业获得了长足进步, 虽然这些成就在一定程度上能够满足电子政务建设过程中硬件建设的客观需求。但是中央处理这种高精间设备的研发水平依旧较低, 研发依旧依赖国外技术, 同时由于相关技术人员的素质与技能存在一定的不足, 使得自身对于外国技术的学习与改造能力存在缺陷, 无法真正的实现技术的优化与升级, 使得我国信息化进程的速度与质量受到一定的影响, 无法满足社会经济发展的客观要求。
3.2.2 软件的开发和创新能力有待提升
软件开发滞后, 安全和应用系统缺乏创新也是信息技术水平不够的一大表现。由于我国电子政务系统建设的时间较晚, 在开发过程中存在软件系统功能不够健全与更新速度较为缓慢的问题。系统架构技术的落后以及网络攻击防范措施单一化等众多原因, 使得电子政务信息安全性得不到有效保障, 在实际运行的过程中存在着高危风险。例如黑客在发动网络攻击之前, 可以利用电子政务系统内存在的漏洞, 轻而易举地攻破防火墙等防护设施, 造成系统瘫痪。系统的设计者为了方便系统的更新与维护, 通常会在系统内留有后门, 而这些后门代码一旦被其他人获取, 将会对电子政务系统的安全稳定运行带来极大危险, 大量机密信息可能被窃取, 公民个人信息可能被篡改。如熊猫烧香以及木马病毒都可以通过相关途径对电子政务系统直接发动攻击, 对系统造成破坏性作用, 这就要求在构建电子政务系统的过程中, 不断更新系统构建技术, 增强网络攻击防范能力。
3.3 电子政务系统使用人员的安全意识不高
上述客观的原因有时难以避免暂时不易解决, 但是电子政务信息安全因人为的原因出现问题则十分不应该。电子政务信息系统由于自身的工作环境与应用范围, 使得其具有流程多样、覆盖面广、用户数量多的特点, 为了保证电子政务信息系统的稳定运行, 通常需要几千台计算机进行同时工作, 来保证电子政务信息系统终端运行的流程。在这种运行模式下, 为了提升电子政务信息系统的安全性, 保证信息的稳定运行, 就需要从电子政务服务的范围、使用人员以及安全管理方式等多个层面入手, 不断提升电子政务信息系统安全性的广度与深度。将电子政务系统服务所覆盖的政府部门与工作人员均作为信息安全管理的客体, 对其日常操作行为与管理活动提出更为全面、更为严格的要求。我国电子政务建设活动起步较晚, 技术与经验积累十分有限, 因此, 使得很多政府部门的工作人员没有接受应有的电子政务系统操作与管理技能培训, 从而使大多数工作人员对于电子政务缺乏必要的、准确的认知, 无法真正发挥电子政务在实际工作中的作用, 政府工作人员电子政务专业素质与能力偏低, 在一定程度上增加了信息安全问题发生的几率, 据相关部门公布的统计数据来看, 82%左右的电子政务信息安全问题与内部工作人员的误操作或者违规操作有关。从实际情况来看, 绝大多数电子政务信息系统的工作人员希望自身能够接受更为专业化的技能培训, 以满足自动化办公的客观需要, 不断提升自身的工作效率, 这虽然说明政府工作人对于自身有着较为科学的定位, 希望能够更好地参与到工作之中, 积极推进电子政务系统的应用。但是这种想法也从侧面证明相关工作人员对于电子政务信息安全的认识不足, 没有充分认识到信息安全在开展电子政务工作中的重大意义。
一项针对美国400名科技专业人士和高级管理人员进行的调查发现, 人为错误是导致 (至少占52%) 网络安全事件的主要原因, 技术也是 (40%) 网络安全事件的主导因素。最常见的人为错误是“没能遵循政策和程序”和“粗心大意”, 42%的被调查的公司表示有过此类错误。这些公司对人为错误的担忧越来越强烈, 超过三分之一 (39%) 公司称在过去的两年里人为错误已经成为造成安全事件的一个更普遍的问题, 在大公司中这个比例还会更高。解决这个问题显而易见的方法是培训员工做好工作, 努力减少给黑客造成机会的愚蠢错误。但让人感到不可思议的是, 只有54%的被调查公司要求员工接受安全培训。当剩下的46%的公司被问到为何不提供培训时, 有三分之一说不出具体原因。
4 电子政务信息安全的完善对策
4.1 建立健全电子政务信息安全法律法规
电子政务作为我国政治经济与文化生活的重要构成, 其信息的安全性在维护社会稳定、促进国民经济发展方面发挥着十分重大的作用, 因此, 构建电子政务信息安全体系就成为现阶段党和政府必须要解决的重大问题。为了保证电子政务信息安全活动的有序开展, 需要从法律法规的角度发出, 不断构建信息安全法律体系, 形成一种法理上的规范性。由于现阶段我国没有电子政务信息安全的立法, 相关部门只能根据计算机信息系统安全保护法进行相关操作, 这就使得电子政务的法律地位较为模糊, 很难对破坏信息安全的行为进行处罚, 因此, 就需要在实际操作中不断进行立法尝试, 以为电子政务信息安全系统的构建以及相关行为进行必要的规范, 以期在完善相关法律制度的同时, 满足电子政务信息安全的客观要求。
4.2 进一步优化电子政务信息安全的管理机制
除了法律法规上的约束, 电子政务信息安全的管理机制也有待完善。首先要有计划、有步骤地提升电子政务信息系统操作以及相关管理人员的工作意识与能力, 通过加强组织领导机构的建设, 不断进行电子政务信息系统安全性与保密性的宣传工作, 培养工作人员的保密意识。为了达到这一目的, 相关部门可以采用诸如集中培训与知识竞赛等多种形式, 实现保密意识与能力培养的常态化, 通过各种形式提升电子政务工作人员的工作能力与安全意识, 从而推进电子政务信息安全系统的合理构建。
4.3 加强自主研发核心技术
子政务信息系统的运行以是计算机技术以及信息技术为主要的框架, 在提升信息安全性的工作中, 要从这两大技术入手, 不断升级优化相关硬件, 满足电子政务信息的安全性对于硬件的使用需求。为了进一步推动我国计算机技术以及信息技术的发展, 减少与发达国家之间的差距, 降低电子商务信息安全对外的依赖程度, 党和政府应立足信息技术发展的实际, 投入一定的人力与物力资源, 增加芯片密码技术等相关安全技术的研发力度, 同时建立其成熟高效的人才培养机制, 进行高科技人才的培养。在这一过程中, 为了保证相关技术的使用效果, 需要采取针对性的措施, 不断进行安全评估机制与监督审核模式的建设, 实现对电子政务信息安全系统的有效监管。一方面为了满足电子政务信息安全的现实要求, 采取应急手段, 制定一系列临时标准, 以保障信息安全工作的顺利开展。另一方面党和政府要立足于我国电子政务发展的实际情况, 对阶段性目标、建设方式以及长远目标进行理性化确认, 并以此为指导不断进行电子政务信息安全标准的制定与实施, 以全面提升信息安全的质量与水平。由于我国地域辽阔, 行政区域在数量、规模以及发展程度上存在较大差异, 因此, 在制定电子政务信息安全标准的过程中, 要充分考虑到不同地区之间的差异性, 有计划、有步骤地在不同的区域推行相关标准。为了保证电子政务信息安全标准的准确性, 需要根据实际的需要采取灵活多变的策略, 不断对其调整与优化, 使得电子政务信息安全标准能够满足实际的建设要求, 符合各个地区电子政务工作开展的实际需要, 从根本上切实有效的推进我国电子政务信息安全性的提高。
习近平总书记在中央网络安全和信息化领导小组第一次会议上指出:建设网络强国, 要有自己的技术, 有过硬的技术;要加强核心技术自主创新和基础设施建设。当前和今后一个时期, 基于云计算的电子政务公共平台正在成为新一代电子政务基础设施。进一步加强电子政务云平台核心技术设备应用, 有利于不断增强自主创新能力, 有利于全面提升电子政务技术服务水平, 有利于更好地支撑各级政务部门应用发展需求。
4.4 高效培养电子政务信息安全专业人才
伴随着我国计算机技术、信息技术的迅猛发展, 电子政务的可实践性大大提升, 加之电子政务在政治工作中的优越性, 使得其受到各级政府越来越多的重视。对技术人员的素质与工作能力提出了新的要求, 为了满足电子政务建设活动要求, 电子政务专业的以出现与发展。现阶段我国的电子政务专业虽然取得了突破性进展, 人才的数量与质量得到了有效提升, 但是其仍旧存在一系列问题, 教学方式上存在重理论轻实践的缺陷, 必将导致人才质量的实用性大大降低, 无法真正意义上满足电子政务信息安全构建活动的客观要求。基于此, 可以考虑从电子商务的发展吸取经验, 甚至是从电子商务领域聘请相关专家有针对性的对电子政务管理人员提供相应的培训。
比较西方国家而言, 电子政务在我国的发展较晚, 但是近年来在大城市蓬勃发展, 有赶超之势。当然, 从整理看, 我国电子政务的发展各个地区有别, 相应的电子政务安全也存在基础建设、硬件设备和相关主体素质的问题, 不过随着经济的发展, 电子政务的需求旺盛, 相应的电子政务信息安全会更加被重视, 专业技术人员也会增多, 假以时日, 通过各方的努力, 我国电子政务的信息安全一定会上一个新台阶。
5 结语
作为我国现代信息化体系的重要组成部分, 电子政务在信息化进程中扮演着十分重要的角色, 随着计算机技术与信息技术的日益进步, 电子政务本身也得到了蓬勃发展。初步形成了国家信息安全组织保障体系, 理清了电子政务信息管理的主体和客体, 相继出台了一系列有关信息安全的法律法规, 在电子政务信息安全系统的开发和维护的方面等取得了一定的成就。当然和欧美国家和其重要性比较而言, 仍有诸如法律法规和管理体制落后、轻视信息安全管理、信息安全技术水平不高、电子政务系统使用人员的安全意识淡薄等方面的问题, 需要进一步解决。
参考文献
[1]张翀斌, 锁延锋.信息安全技术在电子政务系统中的应用[J].信息网络安全, 2012, 15 (9) :45-46.
[2]李永忠.试论基于服务型政府的我国电子政务法律体系的构建[J].行政与法, 2011 (8) :24-27.
[3]侯卫真.电子政务的建设与发展[M].北京:中国人民大学出版社, 2006:2.
8.论文:电子政务信息安全研究 篇八
20世纪90年代以来,信息技术飞速发展,尤其是互联网技术的普遍应用,使信息化成为各国普遍关注的最重要的领域之一。2006年中共中央办公厅、国务院办公厅印发了《2006—2020年国家信息化发展战略》,提出了到2020年我国信息化发展的战略目标。同时推动了政府信息化的建设,随着电子政务所承载的信息资源的增加和开放程度的加深,逐渐地带来了不少的安全威胁和安全隐患。因此信息安全风险评估问题越来越受到人们的重视,使人们意识到寻求一种有效的解决方案来应对这些威胁和风险。
国内外信息安全风险评估研究
风险评估最早于20世纪五六十年代开始应用于欧美核电厂的安全性评估中,随后在发达国家的航天工程、化学工业、环境保护、医疗卫生、交通运输、国民经济等众多领域得到推广和应用。电子政务信息安全是经济与社会信息化的先决条件之一,是国家信息化建设的重要内容。如何保证电子政务信息安全的可靠性,国内外很多学者对信息安全问题从信息安全的不同方面和不同角度进行了研究。通过文献查阅,举例比较、分析说明几种发展比较成熟的方法的优缺点如表1所示:
表1 各种方法的比较
电子政务信息安全风险评估要素模型的改进
根据对信息安全风险评估要素模型的研究,将模型作个对比分析:国际标准ISO 13335-1 中的信息安全风险评估要素模型是个一般的信息安全风险评估要素模型,模型中简单地介绍了威胁、脆弱性、资产、安全措施、资产、影响对风险的关系;国际标准ISO 15408在ISOISO 13335-1的基础之上增加了资产的所有者因素,并将安全措施改成对策,核心讨论了资产、弱点、威胁、风险、对策之间的关系;2005年,我国国务院信息化工作办公室发布的《信息安全风险评估指南》增加了围绕资产进行的业务战略、安全事件及残余风险,并讨论了它们与资产、弱点、威胁、风险、安全需求、安全措施的关系。电子政务信息的安全不同于一般的信息安全,具有特殊性,是国家与人民关注的重点,依据ISO 13335-1、ISO 15408、《信息安全风险评估指南》对电子政务信息安全评估要素模型进行改进。改进后的评估要素关系模型,如1所示:
图1 电子政务信息安全评估要素模型的改进
电子政务信息安全风险评估指标体系的构建
电子政务信息安全风险评估目前没有一个完全统一的评估指标体系,在评估时依据评估标准进行合适的筛选,以适应评估的需要。在依据国际标准ISO/IEC 17799《信息安全风险管理细则》、NIST SP800-26《信息技术风险安全自评估指南》、NIST SP800-53《美国联邦信息系统最低安全控制准则》和我国的《信息安全风险评估指南》以及查阅相关文献,充分考虑电子政务信息安全的特殊性,并结合改进后的电子政务信息安全风险评估要素关系模型,将技术、管理、人员、软件、硬件、信息资产合理融合,建立电子政务信息安全风险评估的指标体系。
为了全面客观地评估电子政务信息安全风险,本文设计了电子政务信息安全风险评估指标体系,建立了物理环境安全(A1)(机房访问策略(A11)、物理设施(A12)、温湿度(A13)、物理监控(A14)、电源安全(A15))、网络设备安全(A2)(网线(A21)、集线器(A22)、路由器(A23)、服务器(A24)、网络接口(A25))、人员安全(A3)(人员安全管理制度(A31)、人员能力(A32)、人员安全意识(A33)、人员岗位职责(A34)、身份认证(A35)、权限管理控制(A36))、通信操作安全(A4)(防火墙控制(A41)、防病毒软件升级(A42)、介质安全(A43)、配置管理(A44)、入侵检测(A45)、网络隔离(A46)、通信加密(A47)、文档(A48)、重要信息分类(A49)、数据备份(A410))、组织安全战略(A5)(信息安全组织机构(A51)、组织安全意识(A52)、安全保障能力(A53)、预警能力(A54)、组织安全教育与培训(A55)、信息安全发展规划(A56))、系统安全(A6)(操作系统访问控制(A61)、数据库访问控制(A62)、应用系统访问控制(A63)、系统开发与维护(A64))六个维度的指标体系,较全面地反应电子政务信息安全风险评估。
指标体系的效度是评估指标对评估对象的评估程度的评估反映并反映评价目的的达成。在电子政务信息安全风险评估指标确立中,如果确立指标不能反映评估对象的特性要求,则称该指标体系不具有高的效度。效度分为内容效度和结构效度,一般评价指标效度评定使用“内容效度比”,内容效度又称表面效度或逻辑效度,它是指所设计的题项能否代表所要测量的内容或主题。内容效度评定一般通过经验判断进行,通过熟悉该领域的工作者或专家来评判,并确定所确立的指标与测量内容范畴之间关系密切程度。内容效度缩写为CVR。它的计算公式为:
(1)
式中:ne为评价主体中认为某指标能够很好表示测量对象的数量;N为评价主体总人数。
一般认为当某指标适合的评价人数超过一半时,CVR就是正值;当评价主体中认为某指标适当与不合当的人数各占一半时,CVR=0;若所有评价主体都认为某指标不适当时,则CVR=-1,反之,CVR=1。在本研究中,找到了十五位专家对评估指标进行评估,经过分析如下图所示:
图2A11-A36的CVR值
图3A41-A64 的CVR值
在研究中,取指标值大于0.4以上的,经过上面的分析显示,网线(A21),网络接口(A25)远远小于0.4,所以应该将这二个指标删除,所以电子政务信息安全风险评估的指标集为表2。
表2电子政务信息安全风险评估指标体系
基于模糊层次分析的电子政务信息安全风险评估模型
(一)基于层次分析法的电子政务信息安全风险评估模型
层次分析法是美国匹兹堡大学教授A.L.Saaty于20世纪70年代提出的一种系统分析法。1977年举行的第一届国际数学建模会议上,Saaty教授发表了《无结构决策问题的建模——层次分析理论》。AHP是一种能将定性分析与定量分析相结合的系统分析法。对于不可能建立数学模型进行定量分析,它是分析多目标、多准则的复杂大系统的有力工具,具有思路清晰、方法简便、系统性强的特点。
解决问题的思路,首先,把要解决的问题分层化,即根据问题的性质和要達到的目标,将问题分解成为不同的组成因素,按照因素之间的因素影响和隶属关系将其分层聚类组合,形成了一个递阶的、有序的层次结构模型;然后,对模型中每一层次每一因素的相对重要性,依据人们对客观现实的判断给予定量表示,再利用数学方法确定每一层次全部因素相对重要性次序的权值;最后,通过综合计算各层因素相对重要性的权值,得到最低层相对于最高层的相对重要性次序的组合权值,以此作为评价和选择方案的依据。
1、建立层次结构模型
首先将所有的因素进行分级,每一组作为一个层,按照最高层、相关的中间层和最低层的形式排列起来。最高层表示解决问题的目的,即目标层;中间层表示采用某种方法或措施来实现即定目标层所涉及的中间过程,一般又分为策略层、约束层、准则层;最低层,表示解决问题的方法或措施。
图4 递阶的层次结构模型
根据电子政务信息安全风险评估指标集,将电子政务信息安全风险评估分为三个层次:第一层次为总目标层,即电子政务信息安全风险评估(A);第二层为准则层,包括六大方面;第三层为指标层共34项。电子政务信息安全风险评估的层次结构模型如图5所示:
图5 层次结构模型
2、构造判断矩阵
判断矩阵表示针对上一层次某因素而言,本层次与之相关的各因素之间的相对重要性。假定C层中因素Ck与下一层次中因素A1,A2,......An有联系,则构造的判断矩阵如下所示:
表3判断矩阵
其中,aij是对于Ck而言,Ai对Aj的相对重要性的数值表示,通常aij 取1,2,3,...9及他们的倒数,其含义为aij=3 ,表示Ai与Aj一样重要;aij=5,表示Ai比Aj稍微重要;aij=7,表示Ai比Aj明显重要;aij=9,表示Ai比Aj绝对重要。它们之间数2,4,6,8及各数的倒数具有相应的类似意义。
采用1~9的比例标度的依据是:其一,心里学的实验表明,大多数人对不同事物在相同属性上差别的分辨能力在5~9级之间,采用1~9的标度反映了大多數人的判断能力;其二,大量的社会调查表明,1~9的比例标度已为人产所熟悉和采用;其三,科学家考察和实践表明,1~9的比例标度已完全能区分引起人感觉差别的事情的各种属性。
3、权重计算
AHP的计算根本问题就是如何计算判断矩阵的最大特征根及其对应的特征向量,可采用方根方法。
1)A的元素按行相乘;(1)
(2)
3)将方根正规化,即得特征向量W,(3)
(4)
4、一致性检验
CI为层次总排序一致性指标;RI为层次排序平均随机一致性指标;CR为层次总排序随机一致性比例。计算公式如下
(5)
RI如表所示:
表4矩阵的平均随机一致性指标
当时,认为层次总排序的计算结果具有满意的一致性。
(二)基于模糊综合评价的电子政务信息安全风险评估模型
电子政务信息安全风险的评估采用模糊数学中模糊综合评判来评估。模糊综合评判是在模糊的环境中,考虑了多种因素的影响,关于某种目的对某事物作出的综合决断或决策。
设为n种因素构成的集合,称为因素集;为m种决断所构成的集合,称为评判集。一般地,各因素对事物的影响是不一致的,故因素的权重分配可视为U上的模糊集,记为
ai表示第i个因素ui的权重,它们满足规一化条件:。
另外,m个决定也并非都是绝对的肯定和否定,因此综合后的评判也应看作为V上的模糊集,记为,其中bj反映了第j种决断在评判总体V中所占的地位。
1、确定隶属度
用隶属度分别描述各子因素相对于评判集V的隶属程度,得出单因素模糊评判矩阵
(7)
其中,表示第个一级评估指标下的第个二级指标隶属于第个评判等级的程度,为一级指标的数目,为第个一级指标下的二级指标的数目,为评判集中评语的数目,的意义及求法如下:
首先对每个被评估的子因素进行评定,然后通过统计整理的方法得到相对于子因素的若干个评语:其中包括个V1级评语,Uij2个V2级评语……,以及Uijn个Vn级评语,则子因素层指标Uij隶属于第Vk级评语的程度,即隶属度为:
(8)
则子因素层指标Uij的隶属度向量为:,由此可得。
2、综合评判
1)一级模糊综合评判——利用模糊算子确定模糊关系矩阵 ,其中,
(9)
为第个一级指标所属的二级指标的排序权重向量。
2)二级模糊综合评判——确定被评估对象的最终评估结果
若输入一个权重,则输出一个综合评判
(10)
其中,(a1,a2,...,an)为总目标下所有一级指标的排序权重向量。
3)根据最大隶属度原则,确定被评估对象所属评判等级。
,即(b1,b2,...bm)为该向量的第K个分量,则根据模糊数学的最大隶属度原则,被评估对象的评估结果属于第K等级。
电子政务信息安全风险评估涉及到多因素的综合评估问题,由于各电子政务信息安全风险因素的风险情况是由人们的主观判断确定的,而且这种评估不可避免地带有结论上的模糊性。因此,要提高电子政务信息安全风险评估的可靠度,就必须找到一种能够处理多因素、模糊性及主观判断等问题的评估方法。所以,根据层次分析法和模糊综合评价法,结合电子政务信息安全风险评估的特点,构建模糊层次评估模型,由定性分析到定量分析,实现电子政务信息安全风险评估。
(作者单位:北方民族大学 ;西安交通大学)
9.电子金融领域信息安全毕业论文 篇九
1、当前我国电子金融信息安全存在的问题
1.1国家的金融行业信息安全保护措施不足金融行业的信息安全将会直接影响到一个国家或者一个金融市场的稳定,相关人员需要做好相应的保护工作,这样才能够达到维护电子金融行业安全发展的目标。但是在实际的管理中,我国的金融行业信息安全还存在一定的问题,其安全保护措施有待发展。安全管理系统还存在比较多的漏洞,如果这些漏洞不能及时解决,将会影响到我国整个金融行业的正常发展,严重时还会降低经济的发展质量。
1.2信息安全等级保护力度不够当前我国已经制定比较多的信息安全等级保护制度,但是在实际的应用中,由于缺乏监管,使得一些制度没有起到安全保护作用,导致信息安全问题增加,许多信息存在泄漏的风险。根据我国测评机构统计,在各个单位中共发现4284项安全问题,增加了我国金融安全风险,进而影响到我国金融网络平台的发展水平。
1.3金融信息系统灾备建设与国外差距较大灾备体系在信息系统建设中有着非常重要的作用,它能够更好地维护信息和网络安全。结合国内外相关数据证明,信息系统的停机容忍时限有严格的规定,一旦这些重要系统停机,将会给国家和社会带来巨大的损失。当前我国金融信息系统灾备建设与国外相比差距较大,在维护信息系统安全上还有一定的缺陷,比如银行业务系统的`连续性规划、业务恢复机制以及风险化解状况都还比较脆弱,在运行过程中容易出现信息安全问题。
2、提升电子金融信息安全的策略
2.1提升金融行业网络信息安全技术信息技术在金融行业网络安全中起着关键性的作用,相关部门在进行金融信息系统建设时,应该要积极提升员工的信息网络安全保障技术,这样才能够达到安全保障目标。第一,要加强金融网络防火墙、加密等安全网络技术的研究,提高网络安全状态,同时还要加强信息系统、网络以及客户端的安全建设,做好身份认证技术开发,加强对不良信息的检测和屏蔽工作,从而达到维护网络信息安全的目标。第二,要做好金融大数据的开发与利用,加强相关数据的分析,做好与服务数据的存储和传输技术处理,最大限度降低信息安全风险,维护金融系统的正常运转。
2.2做好信息安全防护措施要想维护电子金融信息的安全,金融领域应该要制定比较完善的措施,规范操作人员的行为,从而最大限度降低信息系统的运行风险,维护我过生社会经济的安全与稳定。尤其是在电子金融行业,客户的信息对金融机构来说是公开的,他们能够获得客户最机密的信息。因此该行业的管理人员需要维护好客户的私人信息,并对这些信息进行科学处理,从而达到金融信息行业的发展目标。我国信息安全法律法规建设中主要包括法律、行政法规以及部门规章制度等,但是在运行的过程中由于缺乏科学的监督,使得这些制度形同虚设,不能够起到积极的作用,最终会降低电子金融信息网络运行的安全性,严重时还会影响我国经济市场的稳定。所以相关部门要加强监督管理工作,及时发现信息网络运行中存在的问题,并结合这些问题制定出完善的管理方案,提升市场运行质量。比如我国在对电子金融市场监管时,可以成立一个相对独立的电子金融监管机构,采用直接负责制,实时监测金融市场的信息安全,对于一些存在信息安全问题的机构,该部门可以对其进行提醒,责令其进行系统改造和完善,降低金融信息安全风险。
2.3加快建立金融信息系统管理服务体系完善金融信息系统管理服务体系,首先要建立量化的监控体系,在管理的过程中能对网络运行数据进行跟踪,从而制定出相应的维护措施,提高金融信息网络的稳定性与安全性。同时,政府部门也要做好金融信息的监管工作,监控的对象能够为网络系统提供科学的数据参考。其次,监控人员要做好技术分析,发现系统异常时可以及时采取措施进行处理,推进我国电子金融信息系统的建设与发展,促进我国经济的快速发展。
3、总结
10.探究电子商务中的信息安全 篇十
2.信息的篡改:当攻击者熟悉网络信息格式后,通过技术手段对网络传输信息中途修改并发往目的地,破坏信息完整性。
3.信息假冒:当攻击者掌握网络信息数据规律或解密商务信息后,假冒合法用户或发送假冒信息欺骗其他用户。
4.交易抵赖:交易抵赖包括多方面,如发信者事后否认曾发送信息、收信者事后否认曾收到消息、购买者做了定货单不承认等。
二、信息安全要求
电子商务的安全是对交易中涉及的各种信息的可靠性、完整性和可用性保护。
信息安全包括以下几方面:
1.信息保密性:维护商业机密是电子商务推广应用的重要保障。
由于建立在开放网络环境中,要预防非法信息存取和信息传输中被窃现象发生。
2.信息完整性:贸易各方信息的完整性是电子商务应用的基础,影响到交易和经营策略。
要保证网络上传输的信息不被篡改,预防对信息随意生成、修改和删除,防止数据传送中信息的失和重复并保证信息传送次序的统一。
3.信息有效性:保证信息有效性是开展电子商务前提,关系到企业或国家的经济利益。
对网络故障、应用程序错误、硬件故障及计算机病毒的潜在威胁控制和预防,以保证贸易数据在确定时刻和地点有效。
4.信息可靠性:确定要交易的贸易方是期望的贸易方是保证电子商务顺利进行的关键。
为防止计算机失效、程序错误、系统软件错误等威胁,通过控制与预防确保系统安全可靠。
三、信息安全技术
1.防火墙技术。
防火墙在网络间建立安全屏障,根据指定策略对数据过滤、分析和审计,并对各种攻击提供防范。
安全策略有两条:一是“凡是未被准许就是禁止”。
防火墙先封闭所有信息流,再审查要求通过信息,符合条件就通过;二是“凡是未被禁止就是允许”。
防火墙先转发所有信息,然后逐项剔除有害内容。
防火墙技术主要有:(1)包过滤技术:在网络层根据系统设定的安全策略决定是否让数据包通过,核心是安全策略即过滤算法设计。
(2)代理服务技术:提供应用层服务控制,起到外部网络向内部网络申请服务时中间转接作用。
代理服务还用于实施较强数据流监控、过滤、记录等功能。
(3)状态监控技术:在网络层完成所有必要的包过滤与网络服务代理防火墙功能。
(4)复合型技术:把过滤和代理服务两种方法结合形成新防火墙,所用主机称为堡垒主机,提供代理服务。
(5)审计技术:通过对网络上发生的访问进程记录和产生日志,对日志统计分析,对资源使用情况分析,对异常现象跟踪监视。
(6)路由器加密技术:加密路由器对通过路由器的信息流加密和压缩,再通过外部网络传输到目的端解压缩和解密。
2.加密技术。
为保证数据和交易安全,确认交易双方的真实身份,电子商务采用加密技术。
数据加密是最可靠的.安全保障形式和主动安全防范的策略。
目前广泛应用的加密技术有:(1)公共密钥和私用密钥:也称RSA编码法。
信息交换的过程是贸易方甲生成一对密钥并将其中一把作为公开密钥公开;得到公开密钥的贸易方乙对信息加密后再发给贸易方甲:贸易方甲用另一把专用密钥对加密信息解密。
具有数字凭证身份人员的公共密钥在网上查到或请对方发信息将公共密钥传给对方,保证传输信息的保密和安全。
(2)数字摘要:也称安全Hash编码法。
将需加密的明文“摘要”成一串密文亦称数字指纹,有固定长度且不同明文摘要成密文结果不同,而同样明文摘要必定一致。
这串摘要成为验证明文是否真身的“指纹”。
(3)数字签名:将数字摘要、公用密钥算法两种加密方法结合。
在书面文件上签名是确认文件的手段。
签名作用有两点:一是因为自己签名难以否认,从而确认文件已签署;二是因为签名不易仿冒,从而确定文件为真。
(4)数字时间戳: 电子交易中文件签署日期和签名是防止交易文件被伪造和篡改的关键性内容,数字时间戳服务能提供电子文件发表时间的安全保护。
3.认证技术。
安全认证的作用是进行信息认证。
信息认证是确认信息发送者的身份,验证信息完整性,确认信息在传送或存储过程中未被篡改。
(1)数字证书:也叫数字凭证、数字标识,用电子手段证实用户身份及对网络资源的访问权限,可控制被查看的数据库,提高总体保密性。
交易支付过程中,参与各方必须利用认证中心签发的数字证书证明身份。
(2)安全认证机构:电子商务授权机构也称电子商务认证中心。
无论是数字时间戳服务还是数字证书发放,都需要有权威性和公正性的第三方完成。
CA是承担网上安全交易认证服务、签发数字证书并确认用户身份的企业性服务机构,受理数字证书的申请、签发及对数字证书管理。
4.防病毒技术。
(1)预防病毒技术,通过自身常驻系统内存,优先获取系统控制权,监视系统中是否有病毒,阻止计算机病毒进入计算机系统和对系统破坏。
(2)检测病毒技术,通过对计算机病毒特征进行判断的侦测技术,如自身校验、关键字、文件长度变化。
(3)消除病毒技术,通过对计算机病毒分析,开发出具有杀除病毒程序并恢复原文件的软件。
另外要认真执行病毒定期清理制度,可以清除处于潜伏期的病毒,防止病毒突然爆发,使计算机始终处于良好工作状态。
四、结语
信息安全是电子商务的核心。
要不断改进电子商务中的信息安全技术,提高电子商务系统的安全性和可靠性。
但电子商务的安全运行,仅从技术角度防范远远不够,还必须完善电子商务立法,以规范存在的各类问题,引导和促进我国电子商务快速健康发展。
参考文献:
[1]谭卫:电子商务中安全技术的研究.哈尔滨工业大学,
[2]Simson Garfinkel with Cene Spaford.李国熙陈永旺译.电子商务与网络安全[M].北京.清华大学出版社,
11.论文:电子政务信息安全研究 篇十一
关键词:.NET;ASP;安全;注入式攻击
中图分类号: TP393文献标识码: A文章编号:1009-3044(2007)15-30676-03
The Research on Security of E-commerce Information Management System Based on .NET
HUANG Su-tao1, SHI Lei2, SUN Xin2
(1.The No.2 People’s Hospital of Bengbu, Bengbu 233000,China; 2.Anhui University of Finance and Economics, Bengbu 233030,China)
Abstract:At present, ASP.NET have been widely used in developing E-commerce project,as a part of Microsoft .NET framework is a popular development tools. In this article, it analyzed the security problem in E-commerce Information Management System, and indicated the deficiency of Asp technique used for the development of this system. Sql injection attack was mainly studied in this thesis, the realizing details and key technique of security in ASP.NET application program security and implementing tactics also was studied.
Key words:.NET;Asp;security;SQL injection attack
1 电子商务网站开发工具的比较
1.1 传统的开发工具Asp的缺陷
ASP(Active Serve Pages)技术曾经在Web应用系统中得到了很好的应用,但一般只在小型的Web应用系统中采用这种方案。随着Internet/Intranet的飞速发展,ASP技术的缺陷也就开始逐渐暴露,主要表现在:开发过程繁琐;不支持编程语言的全部功能;执行效率、安全性和扩展性比较差;入侵者可以通过ASP方便地入侵WebServer、窃取服务器上的文件、捕获Web数据库等系统的用户口令,甚至恶意删除服务器上的文件,造成系统损坏。
1.2 一种新的开发工具——ASP.NET
为了弥补以上ASP的一些缺点, 微软公司推出的一种Internet编程技术,即ASP.NET,它是Microsoft下一代.NET平台的动态网页技术。
1.2.1 ASP.NET的工作原理
ASP.NET是由支持它的服务器上的.NET Frame Work负责解释执行,当服务器接收到一个对某ASP+页面时,如果这是对该页面创建或修改后的第一次请求,. NET Frame Work就会把该页面中的程序语言内容先编译成MSIL( Microsoft Interme-diate Language),然后MSIL再被编译成机器码加以执行,最后将执行结果输出给浏览器。ASP+页面被编译成MSIL后,其执行代码以独立线程的方式一直存在于服务器内存中。以后对ASP+页面提出请求时,不需要重新编译,直到该页面被修改或Web应用程序重启动。
1.2.2 ASP.NET的优势
尽管客观上讲ASP.NET是ASP的升级版本,但是ASP.NET却不是ASP版本的简单升级,它所具有asp所不具有的优势,主要表现在:ASP. NET可以支持VB .C # JavaScript以及可以编译成MSIL的程序语言,真正提供了中层语音执行结构,允许各种语言的使用;执行速度较快,整体比较如下:ASP.NET网页第二次被浏览速度>ASP网页速度>ASP.NET网页第一次被浏览速度;ASP. NET通过ADO.NET技术可以访问数据库系统,ADO.NET提供的Data Grid等数据库元件可以直接和数据库联系,把数据库中的内容显示出来;ASP.NET中还引入了一种真正的组件模式,通过这种服务器端的控制以及事件触发,可以感觉到好像是在操作VB中“FORM”,这种ASP+中的新组件控制是宣告性质的,因此实际上只需写很少的代码,并且在很多情况下,可以完全不写任何代码。
此外,在服务器端控制和开发调试工具也有ASP所无法比拟的优点。
2 基于.net的电子商务网站的安全性分析
在众多的电子商务系统中,本文以网上书店系统为例,分析其中存在的安全性问题,这些安全性问题主要可以归纳:信息窃取,篡改参数,SQL注入式攻击。
2.1 信息窃取
客户在购买书籍之前肯定要根据网站要求填写一些相关信息(比如:详细地址,联系方式等),完成注册过程,在购买过程中也存在一些与数据和信息有联系的活动的发生。在ASP..NET应用中,几乎所有HTML页面的__VIEWSTATE隐藏域中都可以找到有关应用的信息,默认情况下,__VIEWSTATE数据将包含:(2)来自页面控件的动态数据。(2)开发者在VIEWSTATE中显式保存的数据。(3)上述数据的密码签字。由于__VIEWSTATE是BASE编码的, 所以常常被忽略, 但黑客可以方便地解码BASE64数据, 用不着花什么力气就可以得到__VIEWSTATE提供的详细资料。一旦这些数据被窃取,攻击者很有可能利用这些数据来从事一些非法活动。
2.2 篡改参数
用户输入的主要来源是HTML表单中提交的参数, 如果不能严格地验证这些参数的合法性,就有可能危及服务器的安全。下面的C#代码查询后端SQL SERVER数据库,假设ueser和password变量的值直接取自用户输入:
sql data Adapter my_query=new sql data adapter("select*from accounts where acc_user= ‘"+user+"’and acc_password='"+password+” ’,the_connection);从表面上看,这几行代码毫无问题,实际上却可能引来SQL注入式攻击。攻击者只要在user输入域中输入“OR 1=1”, 就可以顺利登录系统, 或者只要在查询之后加上适当的调用,就可以执行任意Shell命令:EXEC maser.xp_cmd shell(’shell command here’);
2.3 SQL注入式攻击
所谓SQL注入式攻击就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容被直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。
常见的SQL注入式攻击过程类包括:某个ASP. NET Web应用有一个登录页面,这个登录页面控制着用户是否有权访问应用,它要求用户输入一个名称和密码;登录页面中输入的内容将直接用来构造动态的SQL命令,或者直接用作存储过程的参数;服务器执行查询或存储过程,将用户输入的身份信息和服务器中保存的身份信息进行对比;由于SQL命令实际上已被注入式攻击修改,已经不能真正验证用户身份,所以系统会错误地授权给攻击者。如果攻击者知道应用会将表单中输入的内容直接用于验证身份的查询,他就会尝试输入某些特殊的SQL字符串,篡改查询来改变其原来的功能,欺骗系统授予访问权限。系统环境不同,攻击者可能造成的损害也不同,这主要由应用访问数据库的安全权限决定。如果用户的账户具有管理员或其他比较高级的权限,攻击者就可能对数据库的表执行各种他想要做的操作,包括添加、删除或更新数据,甚至可能直接删除表。
3 Asp.net的安全技术在电子商务系统中的实现策略
3.1 Asp.net安全性的实现基础
一般包括:身份验证、授权和模拟等。身份验证是从客户端获取标识凭据,如用户名和密码,并验证那些凭据的过程。在身份得到验证后,授权进程将确定该身份是否可以访问给定资源。授权是确定是否应该授予某个标识对给定资源请求的访问权限类型。有两种基本方式来授予对给定资源的访问权限:文件授权和URI授权。
不论何种情况,如果启用了模拟,则 ASP.NET应用程序会模拟所收到的任何标记。当前模拟客户的ASP.NET应用程序依赖于NTFS目录和文件中的设置来允许客户获得访问权限或拒绝其访问,所以需要将应用程序文件所在磁盘的文件格式转化为NTFS,以便可以设置访问权限。
3.2 实现ASP. NE T的安全性的策略
ASP.NET 事实上是与 IIS 集成在一起实现安全管理的,如果在局域网内部,我们更适合选择使用IIS的集成验证方法.而如果在Internet上,IIS提供的安全性认证方式可能不能完全满足我们的要求,这时候我们通常选择自己的认证方式,如使用表单认证等.ASP.NET为我们提供了这些认证的基础设施(如Form Authentication, Passport Authentication 等等),使我们开发起来更加高效. 同时ASP.NET 的工作进程 ASPNET_WP.EXE 的运行模式使 Web服务器更加安全。
3.2.1 考虑使用Window身份验证
若用户账户是存储在外部数据库中,而不是存储在Windows NT域数据库或Active Directory中;需要支持通过Intranet进行身份验证。客户端使用Netscape Navigator或其他非Microsoft浏览器;需要获得客户明文密码;及其他考虑.一般不应考虑使用集成Windows身份验证.另外,选择集成Windows身份验证时,还应考虑以下问题:NTLM和Kerberos安全级别;代理问题:Internet使用;性能可伸缩性。
3.2.2 考虑使用Passport身份验证
Passport不仅提供身份验证服务,还提供包括配置文件管理和采购服务在内的其他服务.站点要与其他启用Passport的站点结合使用,同时您希望访问这些站点的用户能够进行单一登录,不想维护用户名和密码数据库都应考虑使用Passport 身份验证. 而如果希望使用已经存储在自己的数据库或 Active Directory 中的用户名和密码;(尽管有可能使用额外的代码将 Passport ID映射为用户账户);客户端是通过编程来访问站点的其他计算机;其他考虑等不应使用Passport身份验证。
3.2.3 考虑使用窗体的 (Cookie) 身份验证
使用这个提供程序会导致使用客户端重定向功能将未经身份验证的请求重定向到一个指定的 HTML 窗体。然后用户可以提供登录凭据,再将窗体回发给服务器。如果应用程序对该请求进行了身份验证(使用应用程序特定的逻辑),则 ASP.NET 将发出一个 cookie,其中包含凭据或用于再次获得客户端身份的关键字。以后发出的请求在请求头中将带有该 cookie,这意味着以后不需要再进行手动身份验证了。可以对照不同的来源(如,SQL 数据库或 Microsoft Exchange 目录)对这些凭据做自定义检查。此身份验证模块通常在您想将一个登录页面显示给用户的时候使用。
3.2.4 考虑使用证书身份验证情况
如果所保护的数据非常敏感,需要非常安全的解决方案,需要互相身份验证。希望第三方能够管理服务器和证书拥有者之间的关系,希望实现无缝的客户端交互,例如自动B2B交易。需要考虑使用证书身份验证.以下情况下,不应考虑使用证书身份验证:发布和管理客户端证书的成本超过了增加安全性所获得的价值;及其他考虑。
3.3 基于.NET的电子商务网站安全问题的解决方案
针对电子商务系统安全问题中所面临的信息窃取,篡改参数,注入式攻击等问题可采用以下的措施:
3.3.1 保护隐藏域的安全
针对黑客可以方便地解码BASE 64数据,得到-VIEWSTATE提供的详细资料,从而达到窃取用户资料的目的,我们有以下解决方案:
设置EnableViewStat MAC="true",启用--VIEWSTATE数据加密功能。然后,将 machine Key验证类型设置为DES,要求ASP.NET用 Triple DES对 称 加 密 算 法 加 密VIEWSTAT数据。
3.3.2 使用ASP.NET域验证器
用户输入的主要来源是HTML表单中提交的参数,如果不能严格验证这些参数的合法性,就有可能危及服务器的安全。域验证器是一种让ASP.NET开发者对域的值实施限制的机制,例如,限制用户输入的域值必须匹配特定的表达式。首先要禁止引号之类的特殊字符输入,更严格些,即限定输入域的内容必须属于某个合法字符的集合。
但是为每个输入域引入验证器还不能防范所有通过修改参数实施的攻击。在执行数值范围检查之时,还要指定正确的数据类型,也就是说,在使用ASP.NET的范围检查控件时,应当根据输入域要求的数据类型指定适当的Type属性,因为Type的默认值是String,要确保输入值确实是整数,正确的办法是将Type属性指定为Integer。
3.3.3 防止注入式攻击
针对注入式攻击,可以有如下的解决方案:
第一、对于动态构造SQL查询的场合,可以使用:替换单引号,防止攻击者修改SQL命令的含义;删除用户输入内容中的所有连字符,防止攻击者构造出类如“select* from Users where login="mas"and password=""之类的查询;对于用来执行查询的数据库账户,限制其权限。
第二、调用存储过程来执行所有的查询,使用Parameters集合。
SQL参数的传递方式将防止攻击者利用单引号和连字符实施攻击。此外,它还使得数据库权限可以限制到只允许特定的存储过程执行,所有的用户输入必须遵循被调用的存储过程的安全上下文,这样就很难再发生注入式攻击。如果使用了Parameters集合,则不管恶意用户输入了什么字符,所输入的内容都将作为文本进行处理;还可以实施类型检查和长度检查,超出范围的字符值将触发异常。
第三、限制表单或查询字符串输入的长度。
如果用户的登录名字最多只有10个字符,那么不要认可表单中输入的10个以上的字符,这将大大增加攻击者在SQL命令中插入有害代码的难度。
第四、检查用户输入的合法性,确信输入的内容只包含合法的数据。
数据检查应当在客户端和服务器端都执行一一之所以要执行服务器端验证,是为了弥补客户端验证机制脆弱的安全性。 在客户端,攻击者完全有可能获得网页的源代码,修改验证合法性的脚本(或者直接删除脚本),然后将非法内容通过修改后的表单提交给服务器。因此,要保证验证操作确实已经执行,唯一的办法就是在服务器端也执行验证。你可以使用许多内建的验证对象,例如Regular Expression Validator,它们能够自动生成验证用的客户端脚本,当然你也可以插入服务器端的方法调用。如果找不到现成的验证对象,可以通过Custom Validate:自己创建一个。
第五、将用户登录名称、密码等数据加密保存。
加密用户输入的数据,然后再将它与数据库中保存的数据比较,这相当于对用户输入的数据进行了“消毒”处理,用户输入的数据不再对数据库有任何特殊的意义,从而也就防止了攻击者注入SQL命令。 System .Web. Security. Forms Authentication类有一个 Hash Password F or S to ring InConfig File,非常适合于对输入数据进行消毒处理。
第六、检查提取数据的查询所返回的记录数量。
如果程序只要求返回一个记录,但实际返回的记录却超过一行,那就当作出错处理。
参考文献:
[1]AndersonR,FrancisB.ASP.NET1.0高级编程[M].北京:清华大学出版社,2002.
[2]WorleyS.ASP.NET技术内幕[M].[s.l.]: New Riders Publishing, 2001.
[3]林煌章. ASP.NET程式设计基础篇[M].美国:微软出版社,2001.
[4]陈英学. ASP.NET完全入门[M].重庆:重庆出版社,2001.
12.论文:电子政务信息安全研究 篇十二
随着信息技术的迅猛发展,电子政务在全球快速推进,我国电子政务建设也取得了可喜的成绩。然而,在各级政府信息化和电子政务应用过程中,各类信息安全事件不断出现,政府网站被“黑”案例时有发生,2013年全国被篡改的网页也达到96729个。面对网络信息安全岌岌可危,中国已将信息安全上升为国家安全。由于各个层面的信息安全风险不断暴露,电子政务的工作内容和工作流程涉及到国家秘密与核心政务,它的安全关系到国家的安全和公众利益,所以电子政务信息安全己经成为构建过程中不可或缺的一部分。虽然目前针对电子政务信息安全从不同的角度展开的研究已经逐渐赠多,但是从宏观的角度对我国电子政务信息安全进行系统梳理的研究还比较少。本文从文献计量的角度,结合内容分析法对我国电子商务安全研究进行了客观的定量的分析与总结。
本次实施检索的时间是2014年8月10日,检索词为电子政务信息安全,得到1458条相关文献,再剔除2004年之前的文献,共得到1289篇文献为研究对象[1]。
二、电子政务信息安全文献特征分析
1、文献增长规律
根据数据处理结果,表1列出了2004年至2013年电子政务信息安全研究文献的详细数量。从表1中可以看出,从2004年到2013电子政务信息安全研究文献大致呈上升趋势,只有2007年和2011年偏低。2013年时文献达到181篇,证明电子政务信息安全已经逐步得到国家的重视。
2、作者分析
在检索到的1289篇文献中,通过考查著者发文信息,再经人工过滤筛选,最终按发文量排序整理统计出著者分布情况。此处仅列出发文4篇以上的著者情况,见表2。
从发文量排名来看,何振为最高,共发文20篇。何振,中国人民大学管理学博士,现为湘潭大学社科处处长,公共管理学院教授,行政管理专业博士生导师,行政管理、公共管理(MPA)、档案学、图书馆学等专业硕士生导师[2]。发文量排在第二的是罗贤春老师,现为广西民族大学管理学院教授。两位老师的文章主要研究电子政务信息资源的问题。与其他的学科领域相比较,我国电子政务信息安全研究领域的高产作者非常少,作者的研究成果非常有限。同时还可以看出电子政务信息安全研究在我国的发展是远远不够成熟的,需要更多的研究者参与进来并能够进行持续性的研究。
3、作者单位分析
分析所有文献的著者单位,按单位发文量排序,此处仅列出前8名,详见表3。明显可以看出,发文单位基本上集中分布在高等院校,表明电子政务信息安全研究主要力量来自高校。其中排名第一的是电子科技大学达到60篇,其次是湘潭大学和武汉大学等。我国电子政务信息安全的研究在地区分布上是不平衡的,这和西部大环境较落后、高等院校较少、科研人才较匮乏有关,也同电子政务在我国发展的实际情况有关,我国要加强对西部及偏远地区的重视,加大资金以及基础设施建设投入,使我国电子政务信息安全在全国范围内和谐健康的发展。
4、文献来源
通过对文献出版来源的考查,对来源刊物进行载文量排序,此处仅列出前20名,详见表4[3]。其中《电子政务》排名第一,总共76篇,从刊物名称可以看出,该刊物主要针对电子政务。通览前20名可以看出,出版来源主要集中在信息化及计算机方面的刊物,与政务信息公开、计算机网络化管理方向吻合。其中也涉及到了情报学和各大院校,说明电子政务信息安全在各方面领域息息相关。
5、学科类别分析
根据学科类别分析,按载文量排序,此处仅列出前7名,详见表5。文献明显集中在“行政学及国家行政管理”,其次为“计算机”和“互联网”类别,在“信息经济”、“政治学”、“新闻与传媒”也有较大的载文量。由此证明电子政务信息安全主要属于行政类,涉及计算机应用,但也与其他学科有相关联系。
三、研究总结
本文以CNKI中国学术期刊网络出版总库中我国电子政务信息安全文献数据为基础,以数据库所载1289篇论文为样本,从科学、客观、定量的角度对我国电子政务信息安全研究文献进行特征分析。总结出以下观点,我国电子政务信息安全的研究逐渐走向成熟,越来越多的研究者进入到电子政务信息安全研究领域,很多期刊非常重视电子政务信息安全的研究,但是我国电子政务信息安全的研究仍然存在着问题:作者的研究成果非常有限,需要更多的研究者持续而深入的开展研究;我国电子商务安全研究在地区分布上是不平衡的,在西部以及更偏远省份的研究论文很少甚至没有,我国需要加大对西部及偏远地区的资金和技术投入;在研究电子政务信息安全时,不应只考虑行政管理和计算机方面的问题,应进行跨学科、融入多学科知识的研究方法[4]。
13.论文:电子政务信息安全研究 篇十三
8.1 在投标截止日15日前,招标单位都可能会以补充通知的方式修改招标文件。8.2 补充通知以书面方式发给所有获得招标文件的投标单位的同时到区招标办备案,补充通知作为招标文件的组成部分,对投标单位起约束作用。任何口头解答和未经招标办备案的书面修正、补充和解答等均属无效。
部门信息
8.3 为使投标单位在编制投标文件时把补充通知内容考虑进去,招标单位可以酌情延长递交投标文件的截止日期。
三、投标报价说明
9投标价格
区属各部门各单位发布本部门本单位的信息、动态和其它情况
9.1 投标价格
9.1.1 除非合同中另有规定,具有标价的投标书和报价汇总表,以及组成工程报价分专业的工程预算应包括施工设备、劳务、管理、材料、安装、维护、保险、利润、税金、政策性文件规定及合同包含的所有风险、责任等各项应有费用。9.1.2 投标单位应根据招标单位提供的招标文件、施工图纸、答疑纪要和现场情况,自行计算工程量填写报价,进行投标。
9.1.3 工程投标报价定额依据以及市场价格信息参照标准执行前附表第5项所列标准。
9.2 投标价格采用方式
本工程投标报价采用价格固定方式。投标单位所填写的投标报价在合同实施期间不因市场变化因素而变动,除本招标文件有特殊说明外,工程造价一次包死,投标单位在计算报价时可考虑一定的风险系数。9.3 投标价格其他说明
9.3.1 报价均不包括施工过程中因施工图的重大设计变更(指结构、标准、规模)所发生的费用,不包括施工过程中遇到地下障碍物处理或者地基处理所发生费用。其上述费用发生时,承包方应依据设计部门出具的变更图纸或变更说明,按本招标
文件所采用的计价规范、标准以及现行的市场价格计算,经建设单位和监理单位确认后方可据实调整。
9.3.2 本工程一般设计变更等因素由投标单位考虑在报价内,至工程竣工不再调整。
9.3.3一旦投标单位递交了投标书将被认为投标单位已经充分了解了招标文件、补充通知、图纸、现场情况和其他影响工程施工或费用的因素,并认为已在投标报价和施工方案中做了相应的考虑。承包范围必须和招标文件规定的发包范围一致,标价为招标文件规定的承包范围的总价。如没按招标文件要求所报送的标书造成的后果,由投标人自负。
各部门根据自己的权限管理相关的信息发布及修改、删除等
9.3.4如中标单位工程量计算错误或漏项,中标单位必须按施工图纸施工。招标单位不再追加工程费用,由中标单位自负。
9.4 根据国家及市有关法律法规,施工工期应执行现行的国家工期定额。如果要求的工期比国家工期定额缩短时,投标报价中应按照定额规定计算缩短工期措施费。9.5 投标货币
投标文件报价中的单价和合价全部采用人民币表示。
专题专栏
四、投标文件的编制
10、投标文件的语言
投标文件及投标单位与招标单位之间与投标有关的来往通知、函件和文件均应使用中文。
11、投标文件的组成 11.1投标人的投标文件应由资格审查文件部分、商务标部分、技术标部分、资信标部分四部分组成。
保定高新区
11.1.1 资格审查部分应包括下列内容:
1)营业执照副本复印件(加盖投标单位红章);
由办公室提供的内部刊物
2)资质证书副本复印件(加盖投标单位红章); 3)安全生产许可证复印件(加盖投标单位红章);
4)项目经理证书及IC卡的复印件(加盖投标单位红章); 5)外地施工企业还应有“外地施工企业进津备案通知书
复印件(加盖投标单位红章)、“ 外地建筑业企业项目经理进津备案证书 ” 及IC卡的 复印件(加盖投标单位红章)
6)投标人法定代表人资格证明书原件、法定代表人身份证复印件(加盖投标单位红章);18 7)法定代表人不参加,由授权人参加时,应提交投标人法定代表人资格证明书原件,法定代表人授权委托书原件和受委托人身份证复印件(加盖投标单位红章)。
信息摘报
8)招标文件规定的其他材料。
11.1.2投标文件技术标应包括下列内容:
由信息中心搜集的一些经济、科技或其它与我区产业发展相关的信息
施工组织设计(应与前附表中的评标内容一致
:
1)拟投入的主要机械设备表(2)劳动力安排计划
(3计划开竣工日期和施工进度网络图
11.1.3投标文件商务标应包括下列内容:
高区前沿(1投标书
2)投标保证金(复印件)
由党群部发行的内部刊物
(3)投标总价汇总表
(4)各专业工程报价汇总表
(5)施工图预算报价及数据文件(电子标书)(6)投标报价说明材料(若有时)
11.2投标人提交的投标文件须使用招标文件所提供的投标文件全部格式
在线交流。11.3投标文件文本部分一律采用A4纸型编制。并采用背胶装订。
高新论坛
12、投标有效期
12.1 投标文件在本须知第17条规定的投标截止日期之后的前附表第6项所列的日历日内有效。
12.2 在原定投标有效期满之前,如果出现特殊情况,经招标管理机构核准,招标单位可以书面形式向投标单位提出延长投标有效期的要求。投标单位须以书面形式予以答复,投标单位可以拒绝这种要求而不被没收投标保证金。同意延长投标有效期的投标单位不允许修改他的投标文件,但需要相应地延长投标保证金的有效期,在延长期内本须知第13条关于投标保证金的退还与没收的规定仍然适用。
13、投标保证金及履约担保书
13.1
投标单位应提供不少于前附表第 7 项规定数额的投标保证金,此投标保证金是投标文件的一个组成部分。
根据投标单位的选择,投标保证金可以是现金、支票,并采用实名制。13.3 对于未能按要求提交投标保证金的投标,招标单位将视为不响应投标而予以拒绝。
未中标的投标单位的投标保证金将尽快退还(无息),最迟不超过规定的投标有效期期满后的
14天。13.5 提供一些项目或活动的网上调查功能
13.6 如投标单位有下列情况,将被没收投标保证金: 13.6.1 投标单位在投标有效期内撤回其投标文件;
13.6.2 中标单位未能在规定期限内提交履约保证金或签署合同协议。
13.7 为使中标单位履行合同促使工程顺利进行,中标单位的合同履约担保书(无条件担保)应
在收到中标通知书的同时报送。合同履约担保合同履约担保可由银行担保、专业担保公司担保,担保数额不得低于中标价格的 10% ;工程如能按照招标文件的要求按期竣工,履约担保书在竣工验收合格后,如数退还给施工单位。
14、投标预备会 14.1 投标单位派代表于前附表第项所述时间和地点领取招标文件、图纸和勘察工程现场并出席 投标预备会。
14.2 投标预备会的目的是澄清、解答投标单位提出的问题和组织投标单位考察现场、了解情况。
14.3 勘察现场
提供有利于本地区发展的网上留言谏言平台
14.3.1 投标单位可能被邀请对工程施工现场和周围环境进行勘察,以获得须投标单位自己负责的
有关编制投标文件和签署合同所需的所有资料。勘察现场所发生的费用由投标单位自己承担。
14.3.2 招标单位向投标单位提供的有关施工现场的资料和数据,是招标单位现有的能使投标单位
利用的资料。招标单位对投标单位由此而做出的推论、理解和结论概不负责。
14.4 投标单位提出的与投标有关的任何问题须在投标预备会召开3天前,以书面形式送达招标单位。
14.5 会议记录包括所有问题和答复的副本,将迅速提供给所有获得招标文件的投标单位。由于投
标预备会而产生的对本须知第6.1款中所列的招标文件内容的修改,由招标单位按照本须知第7条的规定,以补充通知的方式发出。
14、23
15.1 投标单位按本须知第10条的规定,编制一份投标文件“正本”和前附表第9项所述份数的“副
本”,并明确标明“投标文件正本”和“投标文件副本”。投标文件正本和副本如有不一致之处,以正本为准。
15.2 投标文件正本和副本均应使用不能擦去的墨水打印或书写,投标文件的商务标、和采用资格后审的资格审查文件,和法定代表人印鉴。商务标报价汇总表及预算书的封皮还须加盖编制人、审核人的执业资格印章,编制人应是取得注册资格的造价工程师或具有全国造价员资格证书的专业人员,审核人应是取得注册资格的造价工程师资格的人员。
15.3 全套投标文件应无涂改和行间插字,除非这些删改是根据招标单位的指示进行的,或者是投
标单位造成的必须修改的错误。修改处应由投标文件签字人签字证明并加盖印鉴。
五、投标文件的递交
16、投标文件的密封与标志 16 . 1 资格审查文件、技术标、商务标、资信标
餐饮娱乐
16.1.l投标人的资格审查文件要单独进行包封,且正本和所有副本分别先用内层包封密封
然后再用一个外层包封密封,并在内包封上正确标明“资格审查文件正本”或“资格审查文件副本”。
16.1.2 投标人的技术标要单独进行包封 , 技术标正本和所有副本先用内层包封密封 , 然后再用一个外层包封密封 ,25“技术标正本”或“技术标副本”。
16.1.3投标人的商务标要单独进行包封,且正本和所有副本文本分别先用内层包封密封然后再用一个外层包封密封,并在内包封上正确标明商务标正本“或”商务标副本
(四)网站后台管理
系统应提供功能强大、方便易用、模块化的网站后台管理平台,目标是使整个网站保持活力,降低管理员日常维护的难度和工作量。主要应提供如下功能:
1、平台需求:
(1)门户网站应建立在一个内容管理平台(CMS)之上,该平台支持多站点集群管理,各站点资源共享,统一用户认证,可分级分权管理各站点和模块。
(2)支持无限级父子频道创建和管理,频道排列顺序可动态可视化拖动调整,支持频道引用、复制、移动的管理,支持频道浏览权限、管理权限设置与继承能力,实现任意安全权限的管理,可以分别设置用户、角色组、角色的操作权限,支持父子频道权限继承管理功能。(3)支持频道模版设置与模版预览功能,实现频道随时随地的变脸的功能,支持频道隐藏、停止,实现任意复杂导航结构支持,支持频道有效期的管理。
(4)支持可视化工作流管理,可以实现对信息的采、编、发的全程信息生命周期的管理和业务内容的创建、审批、发布、审计、修订和销毁等自定义业务流程管理,工作流制定后,内容会自动按照定制的工作流程自动流转。
(5)支持对登录信息和系统管理信息进行追踪调查、记录并进行分类,具有日志记录和审计功能。
(6)支持广告管理功能,附带丰富的广告样式并可方便地进行二次开发。
2、内容管理需求:
(1)支持文章内容的录入、编辑、修改、审批(多级自定义流程审批)、删除功能。文章内容需要采用HTML编辑器进行图文混排编辑,支持视频新闻功能,支持Unicode全球文字编码,与微软Office文档格式兼容。支持发布前的预览。(2)支持信息的连载分页管理,实现文章连载功能;
(3)支持分类信息管理,支持信息的父子无限分类管理,实现信息的层级管理和信息树型结构功能管理。
(4)支持关键词管理、关键词自动信息关联管理、自动关联匹配管理。
(5)支持网站内容全文检索与分栏目检索,要求准确、快速,方便地搜索到需要的各类图文和视频信息。
(6)支持专题列表、专题排序功能。支持专题和新闻信息的关联,实现专题新闻的能力。通过该模式可以实现信息的矩阵信息结构,实现信息的一对多、多对一的管理。实现专题的增删改查功能。
(7)提供自定义的各种调查内容的在线调查统计管理,功能包括:自定义调查问题和选项、支持单选复选模式、调查排序、选项排序、有效期控制、图形显示控制、调查结果统计、图表显示、多调查管理等功能。通过网上调查可以实现公众信息反馈与收集。
(8)提供强大、通用的电子论坛的管理功能,功能包括:用户管理、版主功能(版主管理菜单和版主审批管理功能)、通用得多条件复合模糊查询搜索功能、贴子功能(贴子审核发布,帖子发表日期,帖子层次列表,不同的贴子表现模版样式,发帖积分等)、统计功能、回复认证、BBS 设置、E-mail 自动回复跟踪等功能。
(9)支持网站运行数据统计,系统应提供按时间(每天、每周、每月)、栏目等方式对网站的访问情况进行统计、对在线人数和访问者来源地等进行统计以及对管理员的工作量情况进行统计的功能。
(五操作系统和数据库
要求提供与应用软件相匹配的正版操作系统和数据库应用软件。(六软件供应商的要求
具有丰富的政府信息化项目实施经验和丰富的产品线(例如协同办公系统和信息雷达系统等),需要时可提供严谨合理的内外网隔离管理方案,产品功能完善、稳定、易管理,价
格合理,服务周到、及时。可提供面向多厂商软件产品的统一数据服务接口和数据结构说明,保证不同开发平台的编程要求。
三、防火墙设备招标要求 主要性能指标:
(一)性能指标及最大容量 1.设备吞吐率 2Gbps 2.IPSec VPN吞吐率(AES256+SHA-1 2Gbps 21.支持多个Syslog(TCP/UDP服务器
递交修改或撤回其投标文件的通知。在投标截止日期以后,不能更改投标文件。18.2 投标单位的修改或撤回通知,应按本须知第16条的规定编制、密封、标志和递交(在内层包
封标明“修改”或“撤回”字样)。
18.3 根据本通知第12条的规定,在投标截止时间与招标文件中规定的投标有效期终止日之间的这
22.段时间内,投标单位不能撤回投标文件,否则其投标保证金被没收。Email
六、开标
19、开标
23.SNMP v1/v2c/v3 19.1 在所有投标单位法定代表人或授权代表在场的情况,招标单位将于前附表第12项规定的时间
和地点举行开标会议,参加开标的投标单位代表应签名报到,以证明其出席开标会议。
19.2 开标会议在招标管理机构监督下,由招标单位组织并主持。对投标文件进行检查,确定它们
是否完整,是否按要求提供了投标保证金,文件签署是否正确,以及是否按顺序编制。如上述情况有未按照本招标文件及有关规定执行,将被视为无效标拒绝进行唱标和评标。但按规定提交合格的且主动撤回通知的投标文件不予开封。19.3
24.VPN通道监控
投标单位法定代表人或授权代表未参加开标会议的视为自动弃权。投标文件有下列情况之一
者将视为无效:
19.3.1投标人未提供合法、有效的项目法人(或者企业法人)营业执照、资质等级证书、项目经理资质证书和安全生产许可证的; 19.3.2 投标文件未按招标文件要求予以密封的;
19.3.3 投标文件未经投标人的法定代表人或者授权的代理人签字,或者未加盖投标人印章,或者投标人委托的代理人没有合法、有效的授权委托书的;
(十四)19.3.4投标文件的关键内容字迹模糊、无法辨认的; 硬件配置(支持双电源
19.3.5投标人未按招标文件的要求提供投标担保的;
19.3.6 施工企业组成联合体投标的,投标文件未附联合体各方共同投标协议的;19.3.7项目经理IC卡经核验无投标资格的 19.3.8招标文件规定投标文件无效的其他情形。
19.4 招标文件当众宣布核查结果,并宣读有效投标的投标单位名称、投标报价、修改内容、工期、25.网络接口 6×GE 质量、主要材料用量、投标保证金以及招标单位认为适当的其他内容。
七、评标
20、评标内容的保密
【论文:电子政务信息安全研究】推荐阅读:
电子信息工程教学的实践研究论文06-19
计算机系电子商务安全技术研究毕业论文模版06-26
数据挖掘技术的电子商务系统研究论文08-03
电子电子技术论文06-08
电子政务论文题目09-10
电子技能论文08-30
电子特性物理实验论文06-28
电子技术基础论文07-08
电工电子设计论文08-14
电子商务的影响论文06-13