夫唯域名网简述如何构建电子政务网站的内容架构
电子政务涵盖对国家机密信息及高敏感政务核心的保护,确保公共秩序与行政监管的精准执行,以及公共服务质量的保障。电子政务是党委、政府、人大、政协科学决策、高效管理、优质服务的关键工具,不可避免地会遭受敌对势力、恐怖组织、破坏分子的破坏和攻击。尤其是电子政务依托于互联网技术平台,涵盖政务内网、政务外网及互联网,而互联网本身存在安全缺陷,是一个无政府管理的全球网络,缺乏防护措施和安全隐患众多,对网络犯罪的打击缺乏法律震慑,跨国网络犯罪给执法带来巨大挑战。上述分子利用网络犯罪存在可乘之机,使基于互联网的电子政务应用面临严峻挑战。
电子政务所面临的安全威胁包括网络黑客攻击、病毒传播、信息间谍活动、网络恐怖主义攻击、内部人员违规操作、网络系统脆弱性、信息产品失控等,需引起高度重视,并采取相应安全措施应对挑战。
电子政务的安全目标与策略
电子政务的安全目标在于保障政务信息资源不受侵犯,降低信息资产拥有者的风险,最大化安全利益,确保政务信息基础设施、应用服务和内容具备保密性、完整性、真实性、可用性和可控性。
为实现上述目标,应采取以下积极的安全策略:
国家主导、社会参与。电子政务安全涉及政府办公决策、行政监管和公共服务的高质量、可信实施,需国家统筹规划、社会积极参与,以有效保障电子政务安全。
全面治理、积极防御。电子政务安全需采取法律威慑、管理制约、技术保障和安全基础设施支撑的全面治理措施,并实施防护、检测、恢复和反制的积极防御手段,以更有效地保障安全。
等级保护、保障发展。根据信息价值等级和威胁等级,选择适当的安全机制强度等级和安全技术保障强度等级,寻求投入与风险平衡点,保障电子政务系统健康和积极发展。
电子政务安全保障体系框架
电子政务安全采取“国家推动、社会参与、全面治理、积极防御、等级保护、保障发展”的策略。鉴于电子政务信息安全面临高科技对抗和综合性斗争,涉及法律、管理、标准、技术、产品、服务和基础设施等领域,电子政务安全还需从全局构建安全保障体系框架,保障电子政务健康发展。
电子政务安全保障体系由六要素组成,即安全法规、安全管理、安全标准、安全服务、安全技术产品和安全基础设施等。
要素一:安全法律与政策
电子政务涉及国家秘密和核心政务,其安全关系到国家主权、安全和公众利益,因此,电子政务的安全实施和保障需以国家法规形式固化,形成全国共同遵守的规范,成为实施和运行的行为准则,成为国际交往的重要依据,保护守法者和依法者的合法权益,为司法和执法者提供法律依据,对违法者形成强大威慑。
《中华人民共和国保护国家秘密法》已实施十多年,不完全适应我国当前保密工作现状,特别是电子政务发展,亟待修订。
政务信息公开是电子政务的重要原则,为拉近政府和公众距离,保障公众知情权、参与权、监督权和享用政府服务的权利,提供优质信息服务,充分挖掘政务信息效益,开放政务信息资源(非国家涉密和适宜公开部分)服务于民是电子政务的重要特征。尽快制定政务信息公开法,适度解密和规范开放规则,保护政府部门间信息交流,保障社会公众对信息的合法享用,打破对政务信息资源的垄断和封锁,提高政府行政透明度和民主进程具有重要意义。
电子政务亟待电子签章和电子文档的立法保护,国际已有近20多个国家对数字签名和电子文档进行立法,使数字签名和电子文档在电子政务和电子商务运行中具有法律效力。这将极大促进电子政务和电子商务健康发展,使电子政务从双轨制走向单轨制,有利于简化程序、降低成本,充分显示电子政务效益。
个人数据保护(隐私法)的需求随着电子政务发展日益凸显。电子政务在实施行政监管和公众服务中涉及大量个人信息(自然人和法人),如户籍、纳税、社保、信用等信息大量进入政府网络信息数据库,对完成电子政务职能发挥巨大作用。但这些个人信息如保护不力或无意泄露,可能被非法滥用,成为报复、盗窃、推销、讨债、监视的工具。在国外,盗用个人隐私信息作为非法商品出售,以谋取暴利的情况已出现,这直接损害个人利益,甚至危及生命安全。因此,加快个人数据保护法的制定是必要的。
还有很多法规的制定直接关系到电子政务健康发展,加快制定这些法规,势在必行。
要素二:安全组织与管理
我国信息安全管理职能格局已形成,如国家安全部、国家保密局、国家密码管理委员会、信息产业部、总参等,分别执行各自安全职能,维护国家信息安全。电子政务安全管理涉及众多国家安全职能部门,其安全管理职能协调需由国家信息化领导机构,如国家信息化领导小组及其办公室、国家电子政务协调小组、国家信息安全协调小组等来进行。各地区和部委建立相应的信息安全管理机构,以完成和强化信息安全的管理,形成自顶向下的信息安全管理组织体系,是电子政务安全实施的必要条件。
我国信息安全管理职责的架构已确立,诸如国家安全部、国家保密局、国家密码管理委员会、信息产业部、总参等,各自承担其安全职责,确保国家信息安全。电子政务安全管理涉及上述众多国家安全部门,其职责协调需由国家信息化领导机构,如国家信息化领导小组及其办公室、国家电子政务协调小组、国家信息安全协调小组等来执行。各地区和部委设立相应的信息安全管理机构,以完善和加强信息安全的管理,构建自上而下的信息安全管理组织体系,是电子政务安全实施的必要条件。
颁布电子政务安全相关的各项管理规定,及时指导电子政务建设的各项活动,从立项、承包、采购、设计、实施、运行、操作、监理、服务等各阶段入手,保障电子政务系统建设全过程的安仝和安全管理工作的程序化和制度化。
电子政务信息安全领域的划分与管理至关重要。电子政务有办公决策、行政监管和公共服务等三种类型业务,其业务信息内容涉及国家机密、部门工作秘密、内部敏感信息和开放服务信息。既要保护国家秘密又要便于公开服务,因此对信息安全领域的科学划分和管理,将有利于电子政务网络平台的安全设计,有利于电子政务的健康和有效实施。
颁布电子政务工程集成商的资质认证管理规定、工程建设监理机构的管理规定、工程外包商的管理机制和办法,以确保电子政务工程建设的质量和安仝,特别是对于电子政务系统的外包制更要有严格的制约和管理手段。对于电子政务中涉密系统工程的承建,还必须有国家保密局颁发的涉密系统集成资质证书,其他部分应具有国家或省市相应的系统集成商的资质证书。对于电子政务涉密部分,不允许托管和外包运行,电子政务其他部分将按相关管理规定执行。
电子政务工程中使用的信息安全产品,国家将制定相应的采购管理规定,涉及密码的信息安全产品需有国家密码主管部门的批准证书,信息安全产品应有通过国家测评主管机构的安全测评的证书,维护信息安全产品的可信性。
电子政务系统信息内容根据管理需求,可以实施对信息内容的安全监控管理,以保护政务信息安全,防止由于内部违规或外部入侵可能造成的网络泄密,同时也阻止有害信息内容在政务网上传播。
制定电子政务系统的人员管理、机构管理、文档管理、操作管理、资产与配置管理、介质管理、服务管理、应急事件管理、保密管理、故障管理、开发与维护管理、作业连续性保障管理、标准与规范遵从性管理、物理环境管理等各种规定,确保电子政务系统的安全运行。
要素三安全标准与规范
信息安全标准有利于安全产品的规范化,有利于保证产品安全可信性、实现产品的互联和互操作性,以支持电子政务系统的互联、更新和可扩展性,支持系统安全的测评与评估,保障电子政务系统的安全可靠。
国家已正式成立“信息安全标准化委员会”,近期成立了信息安全标准体系与协调工作组(WG1)、内容安全分级及标识工作组(WG2)、密码算法与密码模块/KMI/VPN工作组(WG3)、PKI/PMI工作组(WG4)、信息安全评估工作组(WG5)、操作系统与数据库安全工作组(WG6)、身份标识与鉴别协议工作组(WG9)、操作系统与数据库安全工作组(WG10),以开展电子政务安全相关标准的研制工作,支撑电子政务安全对标准制定的需求。
还将制定下列标准:涉密电子文档密级划分和标记格式、内容健康性等级划分与标记、内容敏感性等级划分与标记、密码算法标准、密码模块标准、密钥管理标准、PKI/CA标准、PMI标准、信息系统安全评估和信息安全产品测评标准、应急响应等级、保护目标等级、应急响应指标、电子证据恢复与提取、电子证据有效性界定、电子证据保护、身份标识与鉴别、数据库安全等级、操作系统安全等级、中间件安全等级、信息安全产品接口规范、数字签名……。
要素四安全保障与服务1.电子政务系统建设,要构建其技术安全保障架构,对大型电子政务系统要建立纵深防御体系。
·设置政务内网的安全与控制策略;
·设置政务外网的安全与控制策略;
·设置进入互联网的安全服务与控制策略;
·设置租用公网干线的安全服务与控制策略,包括有线通信、无线通信和卫星通信的安全服务与控制策略;
·设置政务计算环境的安全服务与机制。
采用纵深防御和多级设防,是电子政务安全保障的重要原则,通过全局性的安全防护、安全检测、快速响应、集成的安全管理与安全设施的联动控制,以达到系统具有防护、检测、反应与恢复能力。
2.推广电子政务信息系统安全工程(ISSE)的控制方法,全面实现安全服务要求。
电子政务安全系统的设计,首先要做好系统资产价值的分析,如物理资产的价值(系统环境、硬件、系统软件)、信息资产的价值、其数据与国家利益和部门利益的关联度;其业务系统(模型、流程、应用软件)正常运行后果所产生的效益,从而确定系统安全应保护的目标,在上述分析的基础上提出整个安全系统的安全需求,进一步定义达到这些安全需求所应具有的安全功能,然后探索系统可能面临的威胁类型,并找出系统自身的脆弱性,这些威胁和脆弱性有:
·网上黑客与计算机犯罪;
·网络病毒的蔓延与破坏;
·机要信息流失与信息间谍潜入;
·网上恐怖活动与信息战;
·内部人员违规与违法。
·内部人员违规与违法;
·网络安全产品的失控;
·网络与系统自身的缺陷与薄弱性。
面对这些挑战,需辨识哪些是本系统主要面临的威胁,哪些是次要的,以及它们对系统和任务的影响程度。进行定性与定量分析,提出系统安全措施,评估风险承受力,寻求投入与风险承受之间的平衡点,进而确定所需的安全服务及相应的安全机制(见表一),以此配置系统的安全要素。在项目的整个生命周期中,需进行风险管理、风险决策流程(见图2),这种风险管理应贯穿电子政务的全程。
系统投入运行后,需对其安全性进行有效评估,即评估者提供的评估证据和建设者采用的技术保障措施,确实能使系统所有者确信已采取技术对策,确实降低了系统的安全风险,满足了必要的风险策略(风险策略可以是“零”风险策略、最小风险策略、最大可承受风险策略或不计风险策略),使其具备保护系统资产价值所必需的能力(见图3)。上述有效评估过程可用安全技术保障强度级别(IATRn)来描述:
IATRn=f(Vn,Tn,SMLn,EALn)
Tn:威胁等级
Vn:资产价值等级
SMLn:安全机制强度等级
EALn:评估保障等级
要素五:安全技术与产品
1.强化安全技术和产品的自主研发与创新。
鉴于电子政务的国家保密性,电子政务系统工程的安全保障需要具备自主知识产权的信息安全技术和产品,全面推动这些技术和产品的自主研发和创新是电子政务安全的必要条件。这些产品和技术可分为六大类:
·基础类:风险控制、架构设计、协议工程、有效评估、工程方法;
·关键类:密码学、安全基础、内容安全、防病毒、入侵检测系统(IDS)、虚拟专用网络(VPN)、基于角色的访问控制(RBAC)、强审计、边界安全隔离;
·系统类:公钥基础设施(PKI)、物理安全基础设施(PMI)、数据恢复基础设施(DRI)、网络安全预警、集成管理、知识管理基础设施(KMI);
·应用类:电子商务(EC)、电子政务(EG)、网络银行(NB)、网络安全(NS)、网络安全管理(NM)、工作流(WF)、可扩展标记语言(XML)、计算机支持的协同工作(CSCW);
·物理与环境类:温度和湿度控制(TEMPEX)、物理识别;
·前瞻性:免疫技术、量子密码、漂移技术、语义理解识别。
2.电子政务安全产品的选择。
电子政务的整体安全涉及信息安全产品的全面配套和科学布局,产品选择应充分考虑产品的自主权和自控权。
产品可能包括安全操作系统、安全硬件平台、安全数据库、公钥基础设施/证书授权中心(PKI/CA)、物理安全基础设施(PMI)、虚拟专用网络(VPN)、安全网关、防火墙、数据加密机、入侵检测(IDS)、漏洞扫描、计算机病毒防治工具、强审计工具、安全Web、安全邮件、安全设施集成管理平台、内容识别和过滤产品、安全备份、电磁泄漏防护、安全隔离客户机、安全网闸。
要素六:安全基础设施
信息安全基础设施是为信息系统应用主体和信息安全执法主体提供信息安全公共服务和支撑的社会基础设施,便于信息应用主体快速配置安全防护机制,有利于信息应用业务的健康发展,有利于信息安全技术和产品的标准化和可信度提升,有利于信息安全职能部门的监督和执法,有利于增强全社会信息安全意识和防护技能,有利于国家信息安全保障体系建设。因此,推动电子政务的发展,应重视相关信息安全基础设施的建设。
信息安全基础设施分为两大类。
1.社会公共服务类
·基于公钥基础设施/证书授权中心(PKI/PMI)数字证书的信任和授权体系;
·基于可信计算机系统评估标准(CC/TCSEC)的信息安全产品和系统的测评与评估体系;
·计算机病毒防治与服务体系;
·网络安全应急响应与支援体系;
·灾难恢复基础设施;
·基于知识管理基础设施(KMI)的密钥管理基础设施。
2.行政监管执法类
·网络信息内容安全监控系统;
·网络犯罪监察与防范体系;
·电子信息保密监管体系;
·网络侦控与反窃密体系;
·网络监控、预警与反击体系。
简述网络营销策略实施的步骤
1. 明确负责部门、人员、职能及营销预算
网络营销属于营销工作,通常由营销部门负责,在营销副总经理的领导下工作。一般应设立专门部门或工作小组,成员由网络营销人员和网络技术人员组成,即使在初期考虑精简,也应确保有专人负责。初期的工作包括调查、规划、协调和组织,任务繁重,兼职难以保证工作的完成。
-
综合各部门意见,构建网站交互平台
公司网站作为网络营销的主要载体,其质量直接影响网络营销的水平。同时,网站不仅仅是营销功能,还包括企业形象展示、客户服务、公司管理及文化建设、合作企业交流等功能。只有在广泛征求公司各方面意见的基础上,才能逐步建立起满足要求的网站平台。
-
制定网站推广方案并实施
拥有了一个好的网站平台后,接下来应进行网站推广。网站推广的过程也是品牌和产品推广的过程。
-
网络营销效果评估及改进
网站推广后,我们将获得更多的网上反馈,借此进行网络营销效果的初步评估,以使工作迈上新的台阶。
-
全面网络营销实施
在此阶段,我们将全面、有计划地进行网上营销。如开展面向潜在客户的市场调查、资料收集、面向用户单位的网上公关、面向现有用户的网上使用咨询、客户服务、面向同行的竞争资料收集及监控、面向开发人员的技术交流、面向经销商的调查及管理等等。我们将充分利用现有条件开展可行的营销活动。
-
使网络营销与公司管理融为一体
网络营销和网络营销的有效运用将对公司其他部门的运行产生积极影响,同时也影响到公司的整体运营管理。作为网络信息条件经营方式的探索,它将极大地推动公司走向新经济的步伐。
