政务是政府为实现公众利益,维护社会秩序,提供公共服务所进行的工作和活动。政务是指政府在行使职权和履行管理职责过程中所涉及的各项事务,而我们该如何写一篇较为完美的总结呢?以下是小编为大家收集的政务工作范文,供大家参考学习。
论文电子政务信息安全研究(优秀17篇)篇一
摘要:电子档案是随着时代发展而产生的新型档案形式,在大部分高校处于起步阶段,发展尚不成熟。本文阐述了高校电子档案管理的重要性,分析了管理工作中存在的问题,并提出加强管理的若干举措,以期对我国高校电子档案管理工作提供有益参考。
关键词:高校;电子档案;管理;问题;举措。
随着高等学校事业的不断发展,传统的纸质档案管理越来越不适应时代发展要求,也在一定程度上影响了高校各项工作的开展。信息技术的快速发展和广泛应用,催生了电子档案管理的产生。在高校中推行电子档案管理,将会大大促进高校档案管理工作的发展,同时也会给高校其他管理工作带来极大的便利。
一、高校电子档案。
高校电子档案是指高校在开展教学、科研、学生管理、后勤管理等各类工作中产生的形式多样、具有一定保存价值和再利用价值的电子文件及相关的电子软件,如电子公文、电子报刊、电子音像等等。与传统纸质档案相比,电子档案具备以下几个特性:一是与载体的可分离性,电子档案可在保持内容不变的情况下被复制、修改或删除。二是对设备的高度依从性,电子档案依附于计算机等设备存在。三是保存条件的特殊性,电子文档易受磁场、湿度、温度等物理条件影响。
二、高校电子档案管理的意义。
电子档案是顺应时代发展而产生的新型档案种类,高等学校启动并逐步推行电子档案管理工作,势在必行。1.有利于提高档案管理效率。随着高校办学规模不断扩大,各项事业不断发展,学校各级各类档案数量逐步增加,传统纸质档案管理工作耗费越来越多的劳动量,档案的归档和查询利用等各环节都不能适应时代的发展。电子档案的出现,能够有效破解档案管理遇到的发展瓶颈,大大提高工作效率,更好为学校发展保驾护航。2.有利于实现档案快捷利用。传统纸质档案依附于纸质载体,存储需要实地空间,对其分类归档不能达到理想化状态,查询利用也过多依靠人工。电子档案通过网络技术,实现了对档案更加精密化的分类,查询利用环节也更快更高效,使得档案的利用更为方便快捷。3.有利于提高档案管理的稳定性。与传统纸质档案管理相比,电子档案主要利用基于计算机的硬盘、u盘、内存卡等设备储存和传递信息,外界对其干扰性较小,使得电子档案存储的稳定性大为增强。
三、高校电子档案管理存在的问题。
1.缺乏管理意识高校电子档案作为新生事物,对管理模式、管理队伍及技术条件都有一定程度的要求,很多高校特别是一些落后地区的高校在短时间内还不能接受,对其重要性的认识还欠缺,重视程度远远不够。2.服务对象受限很多高校虽开始推行电子档案管理工作,但多局限于个别部门,如党委办公室、校长办公室等核心行政部门,而对业务量大的师生业务口却难以启动。一是这部分电子档案的归档工作庞杂,在短期内难以上线,二是对师生的宣传力度也不够,没有形成迫切需求。3.技术水平落后由于高校对电子档案的重视程度不够,绝大部分高校档案管理人员对电子档案管理缺乏清晰的认识,也没有接受过系统的相关技能培训。而有的高校还未引进设备和软件用以支撑电子档案管理,或引进的设备不够先进,不能满足实际需求。4.归档工作不科学大部分高校虽已开始着手进行电子档案管理,但是归档工作颇为毛糙,缺乏科学性。往往把归档文件一锅端式的存储到既有设备中,期间不进行有效整理与鉴别。如此操作,容易将没有价值的档案予以归档,造成资源浪费,也会给查询利用带来诸多不便。5.安全性有待提高由于载体的特殊性,电子档案存在被复制、篡改甚至盗窃的潜在隐患,与传统纸质档案相比,其安全性有待提高。如电子档案使用网络进行传输,信息被拦截、窃取的可能性会更高。可见,电子档案的.安全性急需引起高度重视,在管理环节应采取必要措施予以防范。
四、加强高校电子档案管理的举措。
1.提高管理意识工作推行,意识先行。高校的领导及档案管理部门应大加强对电子档案管理的重视程度,出台电子档案管理相关制度及配套实施办法,实现对电子档案管理的制度化、常态化。同时要配齐电子档案管理相关设施设备,成立专门的管理队伍进行运作,从人力、物力、财力诸方面有力保障电子档案管理。2.提高服务效能服务效能是检验服务工作的重要标尺。提高电子档案管理服务效能,一是从服务主体入手,档案管理人员应主动创新服务理念,提高服务意识,真正让电子档案管理工作入脑、上手。二是从服务内容着手,管理人员要对服务对象的需求进行全面的调查了解,并不断创新服务类型,通过多样化的服务满足多样化的需求,着力提升电子档案管理服务的实效性。3.提高队伍专业素质加强管理队伍建设是加强电子档案管理的关键。管理人员不仅要对电子档案管理的重要性有充分的认识,同时还要具备良好的业务能力,包括计算机知识、档案业务知识及创新能力。一是管理人员要主动学习相关的专业知识和技能,不断拓展知识领域,提高综合素质。二是高校也应对管理人员进行必要的业务培训或提供进修机会。4.提高归档科学性归档工作是电子档案管理工作的先锋和关口,把好这一关,可以大大提高电子档案管理的科学性和实用性。在归档过程中,应避免“眉毛胡子一把抓”,要对档案内容进行有效鉴定和甄别,真正提取有价值的档案,再对备选文档根据其使用价值进行分类,以利于更好地查询利用。5.提高管理安全性安全性是档案工作的生命线。提高电子档案管理安全性的首要任务就是保证存储设备的安全,为此,一是存档计算机要做到专机专用,切勿掺和其他工作,并定期更新系统,确保其始终处于安全状态;二是要对档案进行备份,以备丢失后替代。三是要对网络进行高级加密,防止档案在传输过程中丢失或被窃取。四是采取有效措施对电子档案的管理系统进行安全防护。电子档案的出现是高校档案管理工作中的一次大变革,也是高校档案管理工作的发展趋势。电子档案管理,是一项系统工程。只有高校自上而下逐步推行,并从人力、物力、财力等方面予以充分保障,才能促使电子档案管理工作更加高效的开展。
参考文献:
[1]丁海斌.电子文件与电子档案管理[m].辽宁大学出版社,.
[2]杨大伟.浅谈高校电子档案管理工作[j].黑龙江档案,2014(4):97.[3]关芳.浅议信息时代高校电子档案管理[j].经济视野,2013(15).
论文电子政务信息安全研究(优秀17篇)篇二
摘要:随着电子商务的迅猛发展,电子支付成为网络交易的主要手段,然而网络自身的特点给电子支付带来诸多的安全风险,既包括技术上的安全问题,也包括法律层面的安全问题。电子支付面临的法律安全风险主要包括计算机病毒、电脑网路入侵者等外来攻击风险,第三方支付平台交易风险,盗窃、欺诈等犯罪行为风险等。为应对电子支付法律安全风险,政府主管机构应规范第三方支付平台的发展,明确、协调电子支付各参与方之间的法律关系,加强网络领域犯罪的力度,保障网络交易的安全。
关键词:电子支付;网上银行;网络交易安全。
0引言。
根据有关数据显示,前三季度,中国互联网支付市场(即线上交易)总规模达到了7255亿元。许多人实现了足不出户便能完成购物、交费等行为。但是,电子支付的迅猛发展也带来了许多安全隐患。因此,如何保障电子支付中的安全问题,成为商家、用户、政府乃至学者们重点关注的问题[1]。
1电子支付概述。
电子支付是指单位、个人直接或授权他人通过电子终端发出支付指令,实现货币支付与资金转移的行为。电子支付的类型按电子支付指令发起方式分为网上支付、电话支付、移动支付、销售点终端交易、自动柜员机交易和其他电子支付。206月,为了规范金融体系、加强金融监管、稳定金融秩序,央行发布了《非金融机构支付服务管理办法》(以下简称《办法》),《办法》规定“未经央行批准,任何非金融机构和个人不得从事或变相从事支付业务”。这意味着从此第三方支付平台将纳入国家金融管理秩序之中。年4月,在央行报备的第三方支付企业有130多家,根据央行最新公告信息,最终进入央行首批名单的只有17家。
论文电子政务信息安全研究(优秀17篇)篇三
爱因斯坦讲:“我们不能用产生问题的同一思维水平来解决当前的问题”,这就提示我们应当跑出习惯性思维的圈子,从更基本的理论来反省我们的信息共享观念,更多地研究事实,更多地研究实际经验,提升对新规律的认识能力。在这一过程中,经济学的观念与视角无疑会是一种有力的工具。
电子政务的信息共享不是一件短期行为,而是一项长期服务的业务,对于一项长期业务而言,短期起作用的因素经常会被相反的因素抵消,我们需要透过复杂纷纭的暂时性因素来分析决定系统能否长久生存发展的深层次动力,而经济学思考正好能帮助我们透过现象来看到更本质的东西。
2.长期业务可持续生存的基础。
电子政务中的信息共享不是一个静态工程,而是一项长久的信息服务业务,它可能会十年、二十年、三十年地生存下去。这样一种长期服务的业务,其运行维护的费用将是巨大的,几十年地维护、完善某种信息共享的服务,对于任何机构来讲都将是一个沉重的包袱,如果这项服务不能带来合理的效益,它将很难持续下去。因此,决定电子政务信息共享服务能否持续的并不是开始的多大决心,而是有无长久的经济合理性,即电子政务信息共享带来的益处能否胜过其带来的长期运行维护的成本负担。
作为长期服务的电子政务业务,其经济学上的合理性至关重要。人们经常强调电子政务是“一把手工程”,以强调行政领导在推动电子政务项目启动中的关键作用,但是开始的推动者却无法担保项目的长久成功,因为电子政务业务的生命周期经常会有二十年、三十年,要比领导的任期长许多倍,每位后来的“一把手”都有可能来终止、修正前人留下来的做法,唯有经济上合理的业务、收益远远大于成本的业务才可能持续的生存。
影响电子政务信息资源共享的因素很多,有些是短期起作用的因素,例如起步资金,技术手段等等,这些都很重要,但有了问题还可以在后面纠正,倒是有一些因素看起来没有那么强的作用,但是影响力却非常持久,例如系统运行成本与共享效益不成比例,部门关系失调,缺少有效的社会监督,缺乏自我改善的动力与激励等,这些因素慢慢地产生作用使系统逐渐地瘫痪,这些因素才是影响信息资源系统生存力的关键点。
总之,对于一个长期运行的业务系统而言,经济学上的合理性是生存的基础,经济学讲究以较少的资源消耗来争取更多的社会与经济效率,而一个得不偿失的系统是不可能长久生存的。我们必须要认真地审视共享方案的经济学合理性,才能保证信息共享的可持续。
3.信息共享的方案选择是经济效率的选择。
信息共享本身就是一个经济效率选择问题。信息共享不是目的,对于电子政务而言,信息共享只是实现政务目标的工具,一个工具使用到什么程度以及什么时候要换另一种工具,要视工具应用的效率而定,政务目标才是核心,工具的应用完全视其对目标的贡献与成本的关系。由于长期以来,信息技术企业对信息共享过头的宣传使得人们对信息共享的认识绝对化了,人们将信息共享作为一种理想的目标来追求,其结果则必然会迷失原来电子政务的目标。失去了政务目标的信息共享必然失去了其价值评价的标准,信息共享成为超脱于政务目标之上的追求,必然会破坏整体的价值平衡,信息共享成为无效益的奢侈品。
信息共享是有代价的,随着共享内容的扩大、共享紧密程度的提升,信息共享的成本将是直线上升的,但是共享信息带来的经济、社会效益却会边际效益递减,这样就存在一个转折点,即共享超过一定程度之后就会变成经济上不合算的事情。共享对工作带来的好处将抵不过共享建设、运行、维护成本的增长。将信息共享控制在合理的程度之内将是所有信息共享系统的设计者必须考虑的问题。
另一个必须强调的问题是资料本身的共享价值是大不一样的。每种信息资料都会有其替代信息来源,这些信息资料的利用价值还要受用户的许多其他条件来决定。另外,不同的信息资料收集、加工的成本也大不一样,应用的价值也随用用户不同而大不相同。所以我们不要设想能够建立一个信息共享的统一大平台,让各路资料一并发挥作用。真正有效的信息共享是一个精确设计的过程,我们需要针对不同的应用与不同的资源而具体设计。一个一个资料地挑选,怎样使最有用的、最有价值的资料处于最方便使用的位置,这也是一个经济学的选择问题,选择是一种智慧劳动的投入,没有精心地设计,精心地建设,精心地改进,任何有效率的信息共享都是不能实现的。信息共享系统不存在一劳永逸的方案,而是一项一项合理的经济学选择的积累。
二、四种不同的信息资源共享模式。
对电子政务信息共享问题分析过于笼统是未能很好理解信息共享问题的一个原因。不同的信息共享业务类型在用户特点、经济模式、运行机制上都有很大的差别。因此,分开来进行讨论是非常重要的。在这里,我们重点讨论以下四种主要的政府信息资源的共享模式。
1、政府信息公众开放系统。
政府信息公众开放系统是向公众提供免费信息服务的系统,主要提供以下三类信息内容:
(1)公告性内容:政府认为应当让公众了解的规范化信息,如政府公告,各种法律、规章、统计数据、政府工作报告,工作规划,司法解释、案例,…各种需要公众理解、配合的情况等等。
(2)服务性内容:帮助政府改善对社会服务效率的信息服务内容。公众需要与政府打交道的事情很多,例如出生、死亡、婚姻、出入境、纳税、上学、工商登记、办理许可申请,…良好的网上信息沟通渠道会大大提高政府服务的效率,节省公众的大量时间。
(3)透明性内容:用以提高政府工作的透明度,有。
利于接受公众的监督,防止政府的腐败。通过公开的政府网站,公众可以查寻政府的工作流程、工作进度,可以了解政府对某些事情的态度,决策过程经费的使用状况,并接收来自公众的批评,除了网络信息提供外,还应有其他一些方式支持公众依申请来取得其有权获取的资料。
政府的信息公众开往系统是最重要、最基础的政府信息资源的共享系统,政府的各种重要文件、资料、统计数据都会利用这一渠道免费向全社会发布,推动这些重要信息资料的全社会共享,这也是政府向社会信息开放的最重要的渠道。
政府信息是开放系统强调的是社会效益,要强调对社会的公平,让公众普遍受益。这样的以社会效益为中心的系统考虑的核心应是预定社会效益目标的实现率,特别是实现服务的普遍性,要让尽量多的公众满意。而这对于象中国这样网络、电脑普及率并不高的国家做起来并不容易。我们还必须要考虑其它辅助性的信息服务与沟通的办法,让政务改革造福于更多的人群。
政府信息向公众的开放是政府所能做的最大信息共享,它将带动各种信息共享模式,取得更大的社会、经济效益。
2、政府信息资源的增值服务。
政府拥有国家最完整、最庞大的统计系统,在巨大的政府管理业务中,又成为最大规模的工作数据的积累者。政府积累的数据资料遍及各个方面,从地理数据、自然资源到生产、市场、消费、进出口,从出生、求学、就业、卫生、交通到出入境管理…这些大量的数据资料如果能够被社会充分利用,将会对社会经济的发展带来巨大的贡献。
但是,大部分政府积累的数据资源,并没有为社会很好地利用,这是一种极大的社会资源浪费。
造成这类信息资源长期闲置的原因很多,首先是政府缺乏向社会提供信息服务的积极观念,很多政府官员并不认识帮助企业发展就是帮助国家经济发展。很多人并没有将改善信息服务与提升国民经济运行效率结合在一起,这导致了这类信息资料的长期闲置。造成政府信息资源闲置的另一个重要原因是没有找到利用这些数据资源进行增值服务的良好模式,无法实现政府信息资源增值服务的规模效益。
将潜在的信息资源开发成为有规模、有效益的可持续的信息服务产业经常是十分困难的。对某信息资源的一次非常成功有效的利用并不能表示这类的业务就是可持续经营下去的业务。将政府信息资源的个别的应用推进为一项有规模的服务产业完全是一种企业家的创新行为。只有企业家才能非常有效地沟通数据资源与应用需求的联系,进而能创造出有效益的信息服务规模经济。我们可以看到政府信息资源增值服务中的一些难点:
(3)政府虽然熟悉数据,但缺乏应用知识。政府的机制缺乏企业家的创新能力以及缺少持续改进、完善一种变化性很大产品的激励机制。政府无法有效地完成从数据收集直到为最终用户服务的全过程。
这些问题非常明确的告之我们:在政府信息资源向社会提供增值服务的整个过程中,政府一包到底地提供服务是不经济的。在这个产业链上,政府的优势是做好数据采集端的工作,确保数据的可靠、稳定。而对于这些数据资料的增值应用,则应当交由信息企业、中介机构来做,这些机构有着更好的应用感觉,有着更好的创新能力与企业家机制,而这些特点正是开发应用端业务所不可缺的。政府必须要采取与企业分工合作的方式,才会创造政府信息资源增值服务的高效益。
3、政策研究信息共享系统。
政策研究信息共享系统是政府内部使用的信息共享系统,服务的对象是各级领导干部、政策研究人员、写作班子以及各有关工作人员,它也成为各级干部学习、提高业务水平的重要工具。政府工作人员利用本系统的目的主要是以下三个方面:
(1)阅读新闻,认清形势。政府工作人员,特别是领导干部必须有很好的大局感,需要及时了解全球、全国本地区的整体形势。以往这种感觉是通过报刊、电视等传统媒体建立的,但在网络上可以有更综合、更省时、更有效的渠道。一个简洁、重点突出的新闻系统经常是内部网上使用率最高的系统。
(2)业务学习与专题研究:政府领导机构的工作人员,要用很多的时间来进行政策理论的学习与研究。工作人员除了深入实际调查研究外,还要以大量的来阅读文献、资料、文件及来自有关部门的报告。良好的信息资源共享系统能够把资料的收集、挑选的效率提高许多倍。将那些最重要、最权威的资料集中得好将会得到更大升值。
(3)工具性资料查询:在政府的日常工作中,会碰到大量的资料查阅、数据引用、文件、讲话的摘引核对,以及历史资料、国际资料的查找工作,这些工作虽然是辅助性的,但也要耗去工作人员大量的工作时间,一个良好的办公数据库系统对于提高领导与研究机构的日常工作效率是很重要的。
工作人员希望政策研究信息系统要有更多的知识性和启发性。因为政策的确定不是就事论事,并不在于有更多的.细节数据,而在于对于相关的问题有着更深刻的理解,重要的是要有见地。领导处事不能头痛医头,脚痛医脚,政策经常是牵一发而动全身的。如果没有对事物的各方面的相互关系深入理解;将无法提出更有效的处理原则。因此,政研信息系统的主要作用是提升人们对问题的理解能力。对问题的理解并不是简单的信息判断,那种以为信息收齐全了,领导就可以对着荧光屏决策了的想法是可笑的。对问题的深入理解是一个思考、领悟的过程,领导人的见识在其中发挥着极大的作用。信息资源系统要成为提高人们见识的重要工具,成为启迪人们思考的重要工具。
降,很多耗时的应用变成经济上不合算的,而对时间紧缺的工作人员,政策研究信息系统越来越存在着被冷落的危险。这是在告诉我们,面对着时间昂贵的领导者,降低应用成本的核心是节约用户时间。我们需要一个“以人为本”的系统,以提高最稀缺的资源利用率为核心,即以节省领导人时间为核心来设计系统,让人看得快、看得少,看得精,而不是以资料为核心,提供大量细节,无视用户的时间浪费。
总之,从用户的立场上来摆正什么是最需节约的稀缺资源,依用户的价值观来设计系统,才能使政策研究信息资源系统成为一个倍受欢迎的系统。
4.政府业务自动管理系统。
这类系统主要用于政府规范性业务的处理过程中,由基层操作人员来使用。政府的规范性业务很多,例如税收,工商登记、年审,进出口管理,出入境管理、驾驶执照管理等等,一个规范化的自动管理系统会大大提高基层工作人员的工作效率,确保工作质量的规范性,大大减少工作中的失误与漏洞。
在政府业务自动管理系统中,良好的信息共享与综合能力是提高政府管理能力、提高服务质量的重要武器。在很多情况下,欺骗行为得到了有效的抑制,因为政府系统信息核对能力的增强有效地堵住了很多滋生欺骗行为的漏洞。这使得假增值税、假出口的案件大大减少。同时,信息共享也提高了对用户服务的效率,例如用户用不着反复地输入相同的数据。
政府业务自动管理中的信息共享与为宏观政策研究的信息共享有着非常不同的特性,设计方法也完全不一样,主要的特点是:
(1)微观性。业务自动管理中的信息共享是对具体微观对象数据的有效提供。不同的业务系统,信息共享是针对特定主体的相关数据的提供。例如在工商管理中针对每个企业,在驾照管理系统中,针对每个人的行车违章记录。
(2)流程性。
论文电子政务信息安全研究(优秀17篇)篇四
爱因斯坦讲:“我们不能用产生问题的同一思维水平来解决当前的问题”,这就提示我们应当跑出习惯性思维的圈子,从更基本的理论来反省我们的信息共享观念,更多地研究事实,更多地研究实际经验,提升对新规律的认识能力。在这一过程中,经济学的观念与视角无疑会是一种有力的'工具。
电子政务的信息共享不是一件短期行为,而是一项长期服务的业务,对于一项长期业务而言,短期起作用的因素经常会被相反的因素抵消,我们需要透过复杂纷纭的暂时性因素来分析决定系统能否长久生存发展的深层次动力,而经济学思考正好能帮助我们透过现象来看到更本质的东西。
2.长期业务可持续生存的基础。
电子政务中的信息共享不是一个静态工程,而是一项长久的信息服务业务,它可能会十年、二十年、三十年地生存下去。这样一种长期服务的业务,其运行维护的费用将是巨大的,几十年地维护、完善某种信息共享的服务,对于任何机构来讲都将是一个沉重的包袱,如果这项服务不能带来合理的效益,它将很难持续下去。因此,决定电子政务信息共享服务能否持续的并不是开始的多大决心,而是有无长久的经济合理性,即电子政务信息共享带来的益处能否胜过其带来的长期运行维护的成本负担。
作为长期服务的电子政务业务,其经济学上的合理性至关重要。人们经常强调电子政务是“一把手工程”,以强调行政领导在推动电子政务项目启动中的关键作用,但是开始的推动者却无法担保项目的长久成功,因为电子政务业务的生命周期经常会有二十年、三十年,要比领导的任期长许多倍,每位后来的“一把手”都有可能来终止、修正前人留下来的做法,唯有经济上合理的业务、收益远远大于成本的业务才可能持续的生存。
影响电子政务信息资源共享的因素很多,有些是短期起作用的因素,例如起步资金,技术手段等等,这些都很重要,但有了问题还可以在后面纠正,倒是有一些因素看起来没有那么强的作用,但是影响力却非常持久,例如系统运行成本与共享效益不成比例,部门关系失调,缺少有效的社会监督,缺乏自我改善的动力与激励等,这些因素慢慢地产生作用使系统逐渐地瘫痪,这些因素才是影响信息资源系统生存力的关键点。
总之,对于一个长期运行的业。
[1][2][3]。
论文电子政务信息安全研究(优秀17篇)篇五
摘要:随着信息技术的发展及电脑、手机等电子设备的普及,电子商务逐渐成为现代经济生活的重要组成部分。电子商务作为一种信息化、网络化的商贸手段在全球经济一体化的进程中发挥着重要作用。网络作为电子商务的交易平台,在电子商务的交易过程中涉及财产与信息交易,需要对其的安全有所保障。本文将结合电子商务的信息安全需求对其信息安全技术展开讨论。
电子商务的网络化及信息化优势使得电子商务在激烈的交易市场竞争中发展起来,电子商务通过充分利用互联网平台的传播优势以及银行方便快捷的电子支付形成整个交易体系,不仅能使得卖方平等竞争,买方也能方便地择优而选。与传统的交易形式相比,电子商务所具备的交易虚拟、成本低廉、交易范围广等优势都更符合现代经济的发展。
论文电子政务信息安全研究(优秀17篇)篇六
2.1电子支付的高效性与安全性相比于传统的支付方式,电子支付具有成本低、效率高的优势,因此被许多企业和个人接纳并得到世界各国的大力发展。有关研究显示,银行卡支付的成本只有纸基支付的1/3到1/2,如果一个国家从纸基支付全面转向卡基支付,节约的总成本至少相当于gdp的1%,并且支付周期将大大缩短。但是,电子支付对安全性的要求比传统支付方式更高。这是因为信息网络的发展给支付带来便利的同时也带来了高度危险性。首先,资金在公网中流转,存在着权益人无法控制的时间差,还有众多的病毒、木马等程序窃取用户的银行帐号和密码。
其次,在电子支付中,双方无法互相了解对方的支付能力,这也带来一定风险。同时,电子支付平台也成为犯罪分子bianx或洗钱的“帮手”。从经济学角度分析,电子支付的安全性必须计算到交易成本中。如果片面追求快捷而忽视安全,电子支付发展之路必定不会长远。在社会生活中,资金的安全直接关系到人们的切身经济利益,因此公众对支付的安全性尤为关心。
2.2法律层面上的电子支付安全风险从广义上看,电子支付安全包括两个层面:技术安全与法律安全。技术安全是指从技术角度能够保证指令人对资金的划拨安全地到达收款人的账户。这种安全仅指电子支付的瞬间动态安全。法律安全,则是指指令人能够完全控制和支配账户内的资金,不受外来因素的影响。这种安全是一种稳定的权益保障的状态。电子支付发展到今天,包括银行系统提供的网上银行和第三方支付平台在内,在技术上并没有出现安全问题。
当前电子支付中存在的法律安全危险主要有如下3种。
2.2.1外来攻击。
外来的种种攻击行为,使指令人失去了对账户的控制,主要有钓鱼式欺诈、计算机病毒及电脑网路入侵者三种。
1)钓鱼式欺诈。这在我国已经发生多起,通常表现为利用仿冒的电子邮件和网站——例如仿造一个网上银行的网站——欺骗用户登陆并留下银行卡帐号和密码,然后通过真正的网上银行划拨用户资金。
2)计算机病毒。以来,全球已经发现了多种专门针对网上银行服务的计算机病毒。该类病毒常驻用户电脑,当用户使用网上银行等业务的时候,能够自动记录账号、密码等信息并发送出去,造成用户的网上银行资料被盗。
3)电脑网路入侵者。世界上没有绝对安全的物理网络系统,电脑网路入侵者可能攻陷网上银行的数据库,直接将用户的资金划走。
这种行为一旦发生,将给网上银行和用户造成巨额损失[3]。
2.2.2网上银行与第三方支付平台的破产与其他经济危机网上银行与第三方支付平台遭遇破产或者其他严重危机时,用户的资金账户可能脱离用户的控制,安全面临极大威胁。相比之下,我国网上银行几乎都由传统金融机构开设,此种风险较小。而第三方支付平台却如雨后春笋般一拥而上,现在已达到一百多家,在缺乏严格的市场准入机制下,公司规模大小参差不齐,随着市场竞争的加剧,不少企业面临破产危险,用户存放在其账户内的资金安全问题便尤为突出。可喜的是,央行于2010年6月发布了《非金融机构支付服务管理办法》,规定经营第三方支付平台业务须申领许可证,并设定了相应的准入门槛,如注册资本最低要求为3000万元人民币、连续两年盈利等,我国境内第三方支付平台将重新洗牌。
2.2.3盗窃、诈骗等违法犯罪行为传统的盗窃、诈骗等违法犯罪活动已将用户的电子货币作为新的目标。不少犯罪分子利用电子支付的便捷性,将盗窃与诈骗等行为的目标瞄准到用户网络银行账户内的资金。近几年频繁发生盗取网上银行帐号后转移用户账号资金的案件;利用短信诈骗,利用银行提供的atm自动柜员机转账的便利,诱导用户使用转账,使得不少用户上当受骗。
3.1规范第三方支付平台的发展第三方支付平台与用户之间的关系,应当是一种民事上的合同关系。亦即,用户与第三方支付平台达成协议,使用该平台来支付,第三方支付平台根据用户指令完成相关行为。因此,根据契约自由这一合同法上的基本理念,同时为了促进电子支付的发展,应当允许银行之外的第三方支付平台从事电子支付业务。但是,第三方支付平台所提供的服务会涉及用户资金的大量往来和一定时期的代管,这些都类似于金融业务,如果不加以监管,资金的安全将会大受威胁。据此,对第三方支付平台的电子支付业务应当进行严格规范,其要求在某些方面应当比银行更加严苛。
首先,应当提高第三方支付平台的市场准入条件。对于第三方支付平台的市场准入不能以普通公司注册,而是应当设立一个较高的注册资本门槛,保证其信用度;同时履行特定的审批程序,由专门的机构来主管,可以由人民银行以类似于金融机构的方式进行管理。这样有利于避免第三方支付平台因注册资本太低、抵抗市场经营风险的能力太小而出现的破产或其他经济危机,造成用户资金的不安全。
其次,应当提高对第三方支付平台的规范要求。从事电子支付业务的第三方支付平台与银行相似,均关系到用户的资金安全,如果行为不当,可能给用户造成重大损失。因此,在允许第三方支付平台从事电子支付业务的同时,必须加强业务规范。
为配合2010年6月21日颁布的《非金融机构支付服务管理办法》(以下简称《办法》)的实施,中国人民银行于2010年12月1日制定并颁布了《非金融机构支付服务管理办法实施细则》。
《办法》和细则对非金融机构支付服务业务(即第三方支付服务)主体资格的申请和批准、经营活动的监督和管理作了详细的规定:1)准入制度《办法》实施前对已经从事支付业务的非金融机构,应该在209月1日前申请取得《支付业务许可证》,没有取得许可证的,将不得继续从事支付业务。支付机构依法接受中国人民银行的监督管理。未经中国人民银行批准,任何非金融机构和个人不得从事或变相从事支付业务。
2)严格准入门槛。
非金融机构提供支付服务应具备的条件主要包括:(1)商业存在。申请人必须是在我国依法设立的有限责任公司或股份有限公司,且为非金融机构法人。(2)资本实力。申请人申请在全国范围内从事支付业务的,其注册资本至少为1亿元;申请在同一省(自治区、直辖市)范围内从事支付业务的,其注册资本至少为3千万元人民币,且均须为实缴货币资本。(3)主要出资人要求。申请人的主要出资人(包括拥有其实际控制权和10%以上股权的出资人)均应符合关于公司制企业法人性质、相关领域从业经验、一定盈利能力等相关资质的要求(。4)反洗钱措施。申请人应具备国家反洗钱法律法规规定的反洗钱措施,并于申请时提交相应的验收材料。(5)支付业务设施。
申请人应在申请时提交必要支付业务设施的技术安全检测认证证明。(6)资信要求。申请人及其高管人员和主要出资人应具备良好的资信状况,并出具相应的无犯罪证明材料。
3)限定服务范围。
根据《办法》,非金融机构支付服务主要包括网络支付、预付卡的发行与受理、银行卡收单以及央行确定的其他支付服务。网络支付业务是指非金融机构依托公共网络或专用网络在收付款人之间转移货币资金的行为,包括货币汇兑、互联网支付、移动电话支付、固定电话支付、数字电视支付等;预付卡是指以营利为目的发行的、在发行机构之外购买商品或服务的预付价值,包括采取磁条、芯片等技术以卡片、密码等形式发行的预付卡。银行卡收单是指通过销售点(pos)终端等为银行卡特约商户代收货币资金的行为。
4)严格货币资金管理。
支付机构不得转让、出租、出借《支付业务许可证》。支付机构之间的货币资金转移应当委托银行业金融机构办理,不得通过支付机构相互存放货币资金或委托其他支付机构等形式办理。支付机构不得办理银行业金融机构之间的货币资金转移。
对于备付金,支付机构接受的客户备付金不属于支付机构的`自有财产。支付机构只能根据客户发起的支付指令转移备付金。
禁止支付机构以任何形式挪用客户备付金。支付机构的实缴货币资本与客户备付金日均余额的比例,不得低于10%。
5)退出机制。
支付机构有下列情形之一的,中国人民银行及其分支机构有权责令其停止办理部分或全部支付业务:(一)累计亏损超过其实缴货币资本的50%;(二)有重大经营风险;(三)有重大违法违规行为。
3.2明确、协调电子支付各参与方之间的法律关系参与电子支付过程的各方主体,包括指令人(即用户)、收款人、网上银行以及第三方支付平台等,他们之间的法律关系即各自的权利义务必须以法律来明确。
从法理角度分析,电子支付各参与方之间的法律关系是一种合同关系。因此,在世界范围内,许多国家并没有用专门的法律规范来调整电子支付的法律关系,而是用侵权法和合同法来规制。有些国家即使出台了专项立法,也未形成一个新型的法律关系。就我国而言,可以在现行《电子支付指引(第一号)》对指令人(即用户)与银行之间的合同关系的确认基础之上,进一步细化相关规定,并对其他参与方之间的法律关系作出明确规范。
首先,应当对指令人(即用户)与银行之间的关系作出更加全面的规范。在传统观点中,要求银行对未经用户授权的电子支付承担责任的可能性非常小,因为在认领银行卡或者账号的协议中有明确约定,由客户对其所拥有的银行卡交易负责。但是从国外的经验来看,一些国家逐渐倾向于由银行对未经用户授权的支付行为承担一定的责任。例如,美国《电子资金划拨法》及其实施细则e条例规定,用户对未经授权的电子资金划拨承担有限制的责任。按此规定,如果信用卡是经过消费者授权而使用的,消费者应当承担卡划拨所产生的法律后果,但是,如果该卡的使用是未经授权的,则条例将持卡人的责任限制在50美元以内,如果持卡人通知发卡人时未授权划拨造成的损失少于50美元,那么持卡人的责任以承担该损失为限。如果发卡人未能告知持卡人的权利,信用卡不能识别使用者,或者发卡人没有提供给持卡人一个将其损失通知给发卡人的方法,则持卡人对未经授权的划拨所造成的损失不承担任何责任。
其次,应当对收款人、第三方支付平台等其他参与方在电子支付中的法律地位及权利义务作出明确规定。
收款人与指令人之间的关系属于普通的民事关系,在电子支付过程中并不具备特殊性,用合同法、侵权法等已有法律即可规范。但是收款人与银行、第三方支付平台之间的关系比较复杂,例如当指令人与银行/第三方支付平台约定向收款人进行支付而银行/第三方支付平台未支付时,收款人有无权利直接向他们(而非向指令人)提出支付请求?严格来说,这个问题在传统社会中也存在,亦应在法律中作出规定。但是,电子支付存在的一个重要目的即为使支付更为便捷,如果在电子支付中这个问题得不到解决,将势必妨碍便捷目标的实现。
因此,本文认为,鉴于电子支付的特殊性,我们不妨在此种情形下赋予收款人以直接的支付请求权。当然,该项权利的行使应当具有严格条件,例如必须存在指令人的事先明确认可等等,以防止收款人假借名义侵害指令人的合法权益。
至于第三方支付平台在电子支付中的法律地位,可以类推适用网上银行的规定,使其在与指令人、收款人之间的法律关系中享有明晰的权利,承担确定的义务。
3.3加强打击网络领域金融犯罪的力度网上盗窃、诈骗的犯人罪行为猖獗,使广大消费者遭受了极大的损失,也严重影响整个电子商务的健康发展。为创造一个良好的电子商务环境,使电子支付手段成为既便捷又安全的支付手段,国家立法机关、司法机关应从立法和执法多个层面加大打击网络犯罪的力度,最大限度保障网络交易安全。(责编杨晨)。
参考文献:
[2]中国人民银行.电子支付指引(第一号)第2条.
论文电子政务信息安全研究(优秀17篇)篇七
加密技术主要是通过密码算法对明文数据进行转换的信息安全技术,加密算法对应的加密密钥不尽相同,打开明文时需要输入对应的密钥,很大程度上增强了用户的信息安全性。信息加密技术实现了保存数据完整性的功能,阅读被加密的明文只能通过输入对应密钥来实现,是一种主动防窃的加密行为。密钥因其使用方式还分为对称密钥和非对称密钥两类密钥加密方式,对称密钥加密在加密与解密时都使用同一密钥,具有运算量小及速度快的优点,但是一但密钥被泄露,加密功能也就消失了;非对称密钥加密中的加密密钥和解密密钥不同,用户自己设置保存解密密钥并将加密密钥公开发送给明文接收方,保密性较对称密钥加密技术好,但运算量较大。
2.2认证技术。
信息及身份认证技术是信息安全加密技术中重要的保密方式,普通的加密技术还有很多缺陷,认证技术在加密技术的基础上辅助信息安全工作更好地执行。信息及身份认证技术主要有数字签名、数字信封、数字摘要及数字证书四种,数字签名是用来确认用户身份的绝佳技术手段之一,不同于普通加密技术的密钥传递,数字签名能有效保证用户本人执行工作的真实性,数字签名下进行的密钥传递就如同发送者的亲笔签名一样,只被发送者持有的私钥才是真实有效的解密密钥,数字签名在密钥的基础上,能够对源文件进行鉴别保证文件的真实性并能保持文件的完整不被破坏;数字信封则是保证只有发送对象才能接收文件的有效手段,同样是建立在密钥的基础上,通过非对称密钥与对称密钥相结合的方式,即文件接收者先用私钥解开文件获取对称密钥从而获取全部文件内容,这样使得信息安全更有保障;数字摘要技术主要通过单向哈希函数进行转换运算后取得摘要编码实现信息安全保障的,可有效保持文件完整性;数字证书相当于用户的数字身份证,确保电子商务交易中的身份认证的真实性,并在交易中产生数据从而确保交易不可否认,确保交易数据的安全性,确保电子签名的可靠性。
2.3防火墙技术。
防火墙的主要作用是阻挡对防火墙内部资源的访问,通常情况下会将公共数据和服务设置放在防火墙外侧,有人访问时只能访问外侧的内容,对内部资源的访问会被限制。防火墙具备简单实用的特点,其中的滤波技术能有效地降低网络性能,作为一种实用的信息安全技术还具备透明度高的特点,保证在不修改原有的软件运行环境的情况下起到保护信息安全的作用,但存在无法保护精确的信息安全的缺陷。
3结论。
电子商务在现代经济生活中起到了无可替代的作用,在逐渐取代线下商务的发展情况下,电子商务相关技术的研究、发展及完善就要受到足够的重视,确保能提供给人们一个健康安全的交易环境,促进电子商务更好地发展。现今电子商务中的信息安全技术存在或多或少的缺陷,需要相关工作人员投入研究并将其完善,从而更好地保障用户的信息安全。
作者:吕汶洁陈薛镅李丹丹单位:沈阳理工大学。
参考文献:。
[1]胡晓超.电子商务网络信息安全技术的研究[j].计算机光盘软件与应用,(13):180,182.
[2]叶连杰.电子商务中计算机安全技术的应用[j].信息技术与信息化,2014(11):174~175.
[3]全石峰.计算机安全技术在电子商务中的应用探讨[j].微型电脑应用,,29(11):63~65.
论文电子政务信息安全研究(优秀17篇)篇八
本文从前期的调研选题,到最终的撰写完成,无不凝聚着导师向茂生研究员的心血。向老师孜孜以求的敬业精神、富有前瞻性的敏锐眼光、统观全局的决策能力、求真务实的严谨学风,给每一个认识他的人都留下了极其深刻的印象,也使我从中汲取了宝贵的.经验,所有这一切都将让我受益终身。
同时向以……研究员为代表的电子学研究所诸位老师一并表示敬意,他们数年如一日地坚守于工作岗位,义无反顾地投身于科研事业,以其高尚之风行影响着学生的人生观,激励着我们在追逐梦想的路上不断前进。
非常感谢实验室的……老师和。。。师姐,以及研究生办公室的……老师,她们用自己的滴滴汗水为大家创造了优越的工作环境。
特别感谢……师兄和……师姐,他们以丰富的科研经验指导我解决了很多学习与工作中遇到的问题;感谢实验室的其他师兄、师姐和同学,与他们在一起的两年求学生涯是人生至此最快乐也最有意义的时光。
感谢……以及好友……等曾经关心、帮助过我的朋友,他们是我生命中最宝贵的财富,在此无法一一写出他们的姓名,愿他们能接受来自我心底的一份谢意。
棘心夭夭,母氏劬劳。学生从出生至今,走出之寸步皆离不开父母之无私付出;父母爱吾至深至切而时过二十余载仍无以相报,每念及此辄倍感自责。自悟乃唯有一心向前,己所拥有之一切,皆毫无疑问是对父母哺育之恩的答谢。言至此,再次对含辛茹苦的父母致以最崇高之敬意,并祝全天下之父母都身体健康,永远幸福!
论文电子政务信息安全研究(优秀17篇)篇九
随着internet的快速发展,电子商务也在迅速地崛起。
电子商务因为其高效率、低成本等特性而深受广大消费者的青睐,已经有越来越多的人选择了这一种足不出户的购物方式。
但是internet本身的开放性、共享性、无缝连通性,使得以它为平台的电子商务交易随时都面临着来自安全方面的威胁,因此安全问题是电子商务交易过程中的关键与核心问题。
只有网上交易的安全性得到较好的保证,才能使这种新兴的商务运作模式得到进一步的发展,才能确保电子商务成为新的经济增长点。
电子商务安全从整体上可划分为两大部分:计算机网络安全与电子商务交易安全。
计算机网络安全实际上就是指电子商务网站的安全,包括计算机网络设备安全、计算机网络系统安全、数据库安全等,威胁计算机网络安全的主要因素有软件系统与网络协议潜在的漏洞、黑客的恶意攻击等。
商务交易安全主要是针对交易在互联网上进行时所产生的各种安全问题,是在传统计算机网络安全的基础上顺利进行电子商务交易的安全保障。
攻击者通常经过窃取与纂改交易信息、假冒他人身份等方式来破坏交易的通信过程,为自己非法谋取利益。
因此商务交易安全要求实现交易信息的保密性、真实性、完整性和不可抵赖性。
计算机网络安全与电子商务安全相辅相成,不可分割。
计算机网络安全是电子商务交易安全的基础保障,电子商务交易安全是计算机网络安全的扩展延伸。
2计算机网络安全策略。
计算机网络本身的安全性是电子交易能否顺利安全进行的基础,为了保证电子商务基础平台的安全性,通常需要采取以下技术手段:
(1)防火墙系统。
防火墙系统是当今为保证网络安全所采取的主要技术手段,通常由一系列的软件和硬件构成。
防火墙通过监控进出内部网络的数据包和链接方式,在内部网络和外部网络的交界处建立起一道安全屏障,使未经授权的用户难以访问专用网络的资源,从而降低内部网络遭到外部袭击的风险。
为做到这一点,防火墙必须是内部网络和外部网络的唯一通道,并且可以由用户自行设置过滤规则,从而实现对所有来自于外部的访问的控制与监测。
由于防火墙只能监视osi2层到7层之间的网络活动状况,因此防火墙系统也存在着一定的局限性,例如:不能防止来自内部网络的攻击、不能保证网络免遭病毒攻击、不能抵御数据驱动型攻击等。
(2)vlan。
vlan技术通过将服务器置于内部网络独立的广播域中以防止内部主机通过扫描、监听、arp欺骗等手段获取自己权限以外的服务器信息,在一定程度上弥补了防火墙不能防止内部攻击的弱点,同时也降低了外部攻击者利用内部防御薄弱的主机发动内部攻击的危险。
(3)入侵检测系统。
在单纯的防火墙技术已经不能再从容地应对日益提高的网络安全风险的今天,入侵检测系统成为了防火墙之后的第二道安全闸门。
在不影响网络性能的前提下,入侵检测系统监控内部网络的运行状态,可以在攻击即将发生时提醒系统管理员,并追踪相关攻击的源头。
因此入侵检测系统能够提供对内部攻击、外部攻击和误操作的实时监控,能够有效地检测并防止非法行为的发生。
(4)侵扰模拟器。
应用比较广泛的软件包有cops和tamu-figer。
(5)数据库安全技术。
电子商务网站的买家和卖家信息、产品信息、交易信息等都存放在后台的数据库中,因此数据库颇受攻击者的亲睐。
审计追踪和部分敏感数据加密等。
这些技术手段通常结合起来使用,为数据库系统的安全运行保驾护航。
(1)数据加密技术。
在信息传输中,为了实现对敏感数据的保密,原始数据(明文)经过特定的加密函数和加密密钥运算后发往目的地,接收方收到处理过的数据(密文)后用相应的解密函数和解密密钥运算,使数据恢复成原始状态,这样即使信息在传输过程中被非法截获也难以被攻击者识别。
加密算法通常分为两类:对称算法和公开密钥算法。
对称算法的加密密钥和解密密钥之间可以相互推导,甚至使用一对相同的加密密钥和解密密钥。
这种算法虽然运算速度快,但密钥管理困难,一旦泄露,数据的保密性将受到严重威胁。
公开密钥算法的加密密钥和解密密钥相互匹配,但在合理假定的长时间内不可相互推导。
每个节点所拥有的一对密钥中一个公开另一个则需保密,公开的密钥可以像电话号码一样公布,解决了对称算法中密钥分发难的问题,目前已被广泛应用于安全和认证领域。
但是这种算法运算复杂,运算时间长,面对着电子商务中大批量的敏感数据更是显得力不从心。
(2)数字摘要。
对一段明文进行哈希运算后得到唯一一个与之相对应的结果,这个运算结果就是该明文的数字摘要。
由于数字摘要是相对应明文的唯一标识,并且无法通过对数字摘要进行逆运算得到明文,因此数字摘要可验证信息的完整性。
发送方通常把数字摘要一起发送,接收方在收到数据后用哈希函数对其进行运算,通过比较运算结果和收到的数字摘要是否相同来验证数据的完整性。
但是数字摘要无法确定消息的真实性,无法验证发送者的真实身份。
(3)数字签名。
数字签名是信息认证中的一种重要技术,它建立在公开密钥算法和数字摘要这两种技术的基础上,能够很好地验证数据的真实性,并保证信息的不可抵赖性,目前被广泛运用于电子商务的身份认证机制中。
考虑到公开密钥算法较为复杂,要是对整段消息加密会浪费很多时间,因此发送方用私钥对数字摘要加密,得到发送方的数字签名,然后把密文和数字签名一起发给接收方,接收方先用发送方事先公布的公钥对数字签名解密得到数字摘要,再用哈希函数运算解密后得到的明文,把运算结果和数字摘要进行比较。
由于只有发送方的公钥才能解开其私钥加密的数据,因此可以验证消息的真实性,且发送方不可否认或难以否认自己曾发送过这样一段消息的事实。
(4)数字证书。
上述几种技术均无法确认交易双方的合法身份,所以就需要数字证书来保证参与方的公钥是可信有效的。
ca(certificateauthority)是负责认证用户身份的合法性的权威认证机构,当用户的真实合法身份被ca确认后,ca会为用户分配一个唯一的名字并签发数字证书,数字证书上有用户名字、用户公钥以及ca的数字签名等信息。
通信双方就可以通过验证对方数字证书上的签名来判定对方身份的合法性。
(5)动态安全的实现技术。
若运算结果与数字摘要相同,则消息的完整性未受损害,否则消息在传送的过程中已被纂改。
已经广泛应用于电子商务体系中的ssl协议和set协议就是对动态安全综合实现技术的具体运用。
ssl协议建立在可靠的传输层协议上,它提供数字认证、数据加密、数字摘要等功能,且由于ssl协议对应用层协议具有独立性,因此高层的应用层协议(例如http、ftp等)可以与之无缝对接,透明地建立在ssl协议之上。
但是ssl协议缺少了买家对商家的认证,随着商家数量的增多,各商家的信誉度也参差不齐,这一问题也日益突出,于是出现了一种新的安全协议set。
与ssl的安全范围仅限于买家到商家的信息交流不同,set协议对所有参与交易的成员(包括持卡人、商家、支付网关等)都制定了严格的身份认证程序,并对他们之间的信息流采取了一系列保护措施。
一般公认set协议的安全性要高于ssl协议,set协议的采用率也有不断提高之势,但set协议也存在着一些缺陷与漏洞,仍然需要进一步改进。
4结语。
本文对电子商务中的安全问题以及安全策略进行了分析,并模拟了动态安全综合实现技术的实现过程,现有安全技术存在的一些漏洞,仍然有待于今后进一步解决。
电子商务给经济发展提供了新途径,但同时也带来了种种安全方面的挑战,这些安全问题能否得到解决直接决定了电子商务能否健康快速地发展,能否继续为广大消费者带来愉快和便利。
论文电子政务信息安全研究(优秀17篇)篇十
伴随着计算机通信技术的广泛应用,信息化时代迅速到来。社会信息化给政府事务管理提出了新的要求,行政管理的现代化迫在眉睫。电子政务在发达国家取得长足进展,为了提高政府的行政效能和行政管理水平,我国正在加快对电子政务网的建设。在新的时代条件下,开放和互联的发展带来信息流动的极大便利,同时,也带来了新的问题和挑战。电子政务系统上所承载的信息的特殊性,在网络开放的条件下,尤其是公共部门电子政务信息与资产,如果受到不法攻击、利用,则有可能给国家带来损失,也可能危及政府、企业和居民的安全。作为政府信息化工作的基本手段,电子政务网在稳定性、安全性方面,比普通信息网要求更高。对信息安全风险进行评估,是确定与衡量电子政务安全的重要方式。研究确定科学的安全风险评估标准和评估方法及模型,不仅有助于维护政府信息安全,也有助于防止现实与潜在的风险。
二、国内外研究状况。
当前,国内外尚未形成系统化的电子政务网络信息安全的评估体系与方法。目前主要有风险分析、系统安全工程能力成熟度模型、安全测评和安全审计等四类。
(一)国外研究现状。在风险评估标准方面,1993年,美、英、德等国国家标准技术研究所与各国国家安全局制定并签署了《信息技术安全通用评估准则》。形成了信息安全通用准则2.0版,形成了cc2.1版,并被当作国际标准(150/iec15408)。cc分为eali到eal7共7个评估等级,对相关领域的研究与应用影响深远。之后,风险评估和管理被国际标准组织高度重视,作为防止安全风险的手段,他们更加关注信息安全管理和技术措施,并体现在相继于和发布的《信息技术安全管理指南》(150/iectr13335标准)和《信息技术信息安全管理实用规则》(150/iec177799)中。与此同时,全球在信息技术应用和研究方面较为发达的国家也纷纷研发符合本国实际的风险管理标准。如美国国家标准与技术局自1990年以来,制定了十几个相关的风险管理标准。进入二十一世纪初,美国又制定发布了《it系统风险管理指南》,细致入微地提出风险处理的步骤和方法。与,美国防部相继公布了《信息(安全)保障》指示(8500l)及更加完备的《信息(安全)保障实现))指令(55002),为国家防务系统的安全评估提供了标准和依据。随着信息安全标准的广泛实施,风险评估服务市场应运而生。继政府、社会研究机构之后,市场敏锐的产业界也投入资金出台适应市场需求风险评估评估体系和标准。例如美国卡内基梅隆大学的octave方法等。在风险评估方法方面,目前许多国内外的学者运用神经网络、灰色理论、层次分析法、贝叶斯网络、模糊数学、决策树法等多种方法,系统研究并制定与开发了不同类型、不同用途的风险评估模型,这些模型与方法虽然具备一定的科学依据,在不用范围和层面的应用中取得一定成果,但也存在不同程度的不足,比如计算复杂,成本高,难以广泛推广。
(二)国内相关研究现状。我国的研究较之国外起步稍晚,尽管信息化浪潮对各国的挑战程度不同,但都深受影响。20世纪90年代末,我国信息安全标准和风险评估模型的研究已广泛开展。但在电子政务网上的应用却是近几年才开始引发政府、公众及研究机构的关注。任何国家都十分重视对信息安全保障体系的宏观管理。但政府依托什么来宏观控制和管理呢?实际上就是信息安全标准。所以在股价战略层面看,用哪个国家的标准,就会带动那个国家的相关产业,关系到该国的经济发展利益。标准的竞争、争夺、保护,也就成为各国信息技术战场的重要领域。但要建立国内通行、国际认可的技术标准,却是一项艰巨而长期的任务。我国从20世纪80年代开始,就组织力量学习、吸收国际标准,并逐步转化了一批国际信息安全基础技术标准,为国家安全技术工作的发展作出了重要贡献。信息安全技术标准的具体研究应用,首先从最直接的公共安全领域开始的。公安部首先根据实际需要组织制定和颁布了信息安全标准。19颁布了《计算机信息系统安全保护等级划分准则》(gb17859一);援引cc的gb/t18336一,作为我国安全产品测评的标准;在此基础上,20完成了《风险评估规范第1部分:安全风险评估程序》、《风险评估规范第2部分:安全风险评估操作指南》。同时,公安部以上述国家标准为依据,开展安全产品功能测评工作,以及安全产品的性能评测、安全性评测。在公安部的带动下,我国政府科研计划和各个行业的科技项目中,都列出一些风险评估研究项目,带动行业技术人员和各部门研究人员加入研究行列,并取得一些成果。这些成果又为风险评估标准的制定提供了丰富的材料和实践的依据。同时,国家测评认证机构也扩展自己的工作范围,开展信息系统的安全评测业务。204月15日,全国信息安全标准化技术委员会正式成立。为进一步推进工作,尽快启动一批信息安全关键性标准的研究工作,委员会制定了《全国信息安全标准化技术委员会工作组章程(草案)》,并先后成立了信息安全标准体系与协调工作组(wg1)、内容安全分级及标识工作组(wg2)等10个工作组。经过我国各部门和行业的长期研究和实践,积累了大量的成果和经验,在现实需求下,制定我国自己的风险评估国家标准的条件初步成熟。,国信办启动了我国风险评估国家标准的制定工作。该项工作由信息安全风险评估课题组牵头制定工作计划,将我国风险评估国家标准系列分为三个标准,即《信息安全风险管理指南》、《信息安全风险评估指南》和《信息安全风险评估框架》。每个标准的内容和规定各不相同,共同组成国家标准系列。《信息安全风险管理指南》主要规定了风险管理的基本内容和主要过程,其中对本单位管理层的职责予以特别明确,管理层有权根据本单位风险评估和风险处理的结果,判断信息系统是否运行。《信息安全风险评估指南》规定,风险评估包括的特定技术性内容、评估方法和风险判断准则,适用于信息系统的使用单位进行自我风险评估及机构的评估。《信息安全风险评估框架》则规定,风险评估本身特定的概念与流程。
三、研究的难点及趋势。
电子政务网的`用户与管理层不一定具备计算机专业的技能与知识,其操作行为与管理方式可能造成安全漏洞,容易构成网络安全风险问题。目前存在的风险评估体系难以适应电子政务安全运行的基本要求,因此结合电子政务网涉密性需求,需要设计一种由内部提出的相应的评估方法和评估准则,制定风险评估模型。当前存在的难点主要有:一是如何建立风险评估模型体系来解决风险评估中因素众多,关系错综复杂,主观性强等诸多问题,是当前电子政务网络信息安全评估研究的重点和难点。二是评估工作存在评估误差,也是目前研究的难点和不足之处。误差的不可避免性,以及其出现的随机性和不确定性,使得风险评估中风险要素的确定更加复杂,评估本身就具有了不确定性。从未来研究趋势看,一是要不断改进风险评估方法和风险评估模型。有研究者认为,要充分借鉴和利用模糊数学的方法,建立octave电子政务系统风险评估模型。它可以有效顾及评估中的各项因素,较为简易地获得评估结果,并消除其中存在的主观偏差。二是由静态风险评估转向动态风险评估。动态的风险评估能够对电子政务信息安全评估进行较为准确的判断,同时可以及时制止风险进一步发生。在动态模型运用中,研究者主要提出了基于主成分的bp人工神经网络算法,通过对人工神经网络算法的进一步改进,实现定性与定量的有效结合。
参考文献:
[3]余洋.电子政务系统风险评估模型设计与研究[d].成都理工大学,
[5]赵磊.电子政务网络风险评估与安全控制[d].上海交通大学,2011。
[6]汪洋.自动安全评估系统的分析与设计[d].北京邮电大学,2011。
[8]陈伟奇.政府网络安全风险评估[j].信息安全,,9:144~145。
论文电子政务信息安全研究(优秀17篇)篇十一
在我国,信息安全人才培养分为学历和非学历两种方式,二者既密切联系又有区别,是我国现有信息安全人才教育培养体系的两个重要组成部分。
学历教育为非学历教育提供必要的基本文化科学知识,非学历教育为学历教育提供发展的方向性引导。从70年代开始,我国普通高校已开始培养信息安全人才,武汉大学于获得教育部批准,次年建立了我国第一个信息安全本科专业,截至,全国已有80多所高校设置了信息安全本科专业,经过多年发展,我国信息安全人才已形成从本科、硕士到博士的完成体系。信息安全非学历教育主要分为继续教育和职业培训两种形式。继续教育或职业培训是以培养信息安全岗位技能型人才为目的的,主要包括技术和技能的学习和提升,这是普通高校本专科教育无法独立完成的,必须由高校以外的社会机构所提供的非学历教育和培训来承担。
据工信部20预测,未来5年我国从事信息安全应用的专业人才的需求将达到60到100万,而现有的信息安全专业人才总数不足20万,信息安全方面的专业人才不足已成为一大瓶颈。而同时,随着信息化建设的逐渐普及和网络的深入应用,企业或政府部门的网站、主机或服务器面临的网络攻击风险越来越高,因此,加大和掌握网络安全知识成为必要知识。通过十多年的发展,我国信息安全继续教育形成了以各种认证为核心,各种职业技能培训为辅的培养模式。如由国家信息化工程师认证考试管理中心与美国国家通信系统工程师协会(nacse)合作的认证考试,考生通过国家信息安全技术水平考试后,可获得相应证书;另外由中国信息安全测评中心的推出“注册信息安全专业专家”(cisp)资质认证项目,系国家对信息安全人员资质的最高认可。
信息科技已发展成为当今影响力最为深远的技术,无论工作、生活还是学习,人们对其依赖性越来越强,网络科技在给我们带来便利和提升效率的同时,如果安全防范措施和手段没有到位,产生的后果将不堪设想。年美国斯诺登引爆的“监控门”事件引起世界舆论一片哗然,包括中国在内的多个国家都受到美国情报部门的监听,可以说信息安全问题已成为影响到国家政局的稳定、经济的发展和国防的建设,是社会稳定发展的关键问题。当前信息技术发展迅速,这对信息部门人员,尤其是信息安全技术人员提出了更高的要求,而仅仅通过高校学历教育远远不够,还必须借助相关职业培训和继续教育,在此过程中,信息安全培训是成本最低、效果最快、最显著的信息安全管理措施。
信息安全涉及两个方面:信息安全技术和信息安全管理。传统上信息安全技术培训易得到重视,而信息安全规划与管理工作往往被管理层忽视。另外从实践中来看,信息安全首先是一项管理工作,其次才是一项技术工作,而管理工作的效果最终由具体实施人员的素质水平决定,因此我们提出更要从部门或组织全局的角度对信息安全进行规划与管理,建立科学信息安全保障计划,才能做到信息安全技术操作有细致周密的.规划。同时加强对信息安全人员在国家法律法规、岗位职责、保密意识和管理流程等信息安全管理方面的培训和继续教育工作。
信息技术或信息安全自身就具有很强的实践属性,主要原因在于,信息技术的变化和更新迅速,这要求相关知识的能快速更新,另外信息技术属于工程领域学科,必然有高的实践性要求。因此在信息安全培训或继续教育课程的设计中,要多结合学员的实际工作情况,多采用案例教学的方式,不能光停留在理论层面的解读,而要将信息安全实际运作过程中碰到的技术或管理问题。
3.3加强人才培养产学研相结合。
信息安全人才的培养可在政府的鼓励和支持下,以企业的实际需求为核心,通过政产学研合作的方式加以培养。信息安全的诸多问题来自企业和政府部门,在这个过程中,政府主要从政策、环境方面营造氛围,充分发挥高校和科研机构的重点实验室、工程研究中心等资源,以企业带动,将问题、需求、资源和人力有效地整合,必将提升信息安全人才培养的效果。
进一步完善学历教育和非学历教育的信息安全人才培养体系,建立以高等学历教育为主,以继续教育、职业培训为辅的信息安全人才培养体系。信息安全人才培养要得到保障,加强信息安全学科的重要性是重要一环,因此,在学科建设上,要努力提高信息安全学科的重要性,争取把信息安全学科提升为一级学科,同时进一步完善信息安全专业的本硕博的学科建设;另外政府在信息安全认证培训方面应加强立法,规范信息安全培训的市场行为,比如可强制规定哪些安全技术岗位的人员必须持什么样的信息安全证书,以及必须接受何种培训的管理等。
随着信息安全逐渐得到包括政府、企事业单位等各级部门的重视,社会对信息安全人才的需求在不断增强,市场缺口非常大,信息安全相关人才培训将具有广阔的市场前景。我们可以看到信息安全培训不仅社会效益显著,同时也兼具经济效益,其本身就是一个产业,该产业将包括师资、教材、发证、人才就业等多个领域。因此我们有必要以市场化的眼光和出发点,挖掘信息安全人才培训的市场潜力,在依托政府有关部门政策支持的基础之上,更多的以市场化的方法构建信息安全人才培训体系,营造自身良性造血功能,只有这样才能真正使信息安全人才培养处于良性、可持续的发展过程中。
论文电子政务信息安全研究(优秀17篇)篇十二
(一)随着社会的不断发展和进步,同时也改变了我们的网络时代,相比十几年前医院信息环境的滞后,如今医院的网络信息也跟随着时代的发展在不断的前进。但是由于网络信息的发展并不是那么健全和发达,网络信息对于医院也会存在一些信息安全的隐患,因此加强对医院信息化的安全管理还是很有必要的,它可以更有效的促进医院的发展和经营。
(二)同过去相比网络规模相对来说比较小,用户群的计算机水平普遍来说不高,所以比较容易管理,随着网络信息的发展,医院网络架构也在不断变化。i医院网络信息化从不成熟到不断的加强改进,许多大型的办公自动化系统也得到了成功应用,包括病区里也建立了无限网络的应用。高速网络和高度的信息化网络使医院像一个巨大的工厂在不断的全天运行着。
(三)要从各个方面着手医院的网络信息安全问题,尽可能周全的了解信息安全网络系统,要能够杜绝安全隐患问题的发生。在医院建立常规化,系统化,有效化的系统,防止医院信息的泄露,因为网络系统的建设安全直接关系到患者利益和医院的效率,所以不可小觑。伴随着社会信息化的发展和进步,为了更好的加强对医院的管理,医院的信息化建设对于医院与现代化的进程有着不可忽略的重要作用。
(一)自然环境的因素。
因为考虑到医院环境的湿度及温度等原因的问题,供电电源的不稳定及雷击,静电,都会影响系统的正常运作,以及医院环境的过低或者太高时都会对网络信息安全产生影响,甚至影响电路下降或者绝缘的现象发生。机器原件的损伤和信息数据的丢失,都会给我们的医院和患者带来伤害。
(二)人为因素。
人为因素主要分为两个方面而言来说:一个是人为的无意攻击,一个是人为的恶意攻击,计算机的安全系统需要加强对人为因素的一个重视,因为一个数据的丢失和泄露,严重的话会使整个医院系统瘫痪,使医院的系统崩塌。导致无意攻击网络信息系统的一般是医院内部的人员,例如程序设计问题,操作失误的问题等等,安全配置问题的漏洞导致口令的泄露,就会给整个医院网络信息安全问题带来风险。相比人为的无意攻击来讲,人为的恶意攻击带来的危害和影响更为严重和深远。网络上的黑出于好玩或者挑战的目的,往往通过计算机的病毒或者是计算机的犯罪等行为,对网络信息安全发起人为的挑战,这种方式给医院带来了网络信息安全风险,以及机密数据的篡改和泄露都会带来一定的风险,其后果将会是不堪设想。
(三)网络信息软件的漏洞。
在计算机软件以及计算机硬件安全系统上都会或多或少存在一些安全上的漏洞和有机可乘,这些漏洞和有机可乘导致黑在还没有被授权的情况下侵入系统进行恶意破坏和攻击。尽管我们不能保证任何软件没有百分之一百的漏洞,但是恰恰是我们存在的这些漏洞成了黑侵入的首选目标,给整个医院带来信息安全上的问题。
医院这个行业相比其它行业来说它其实还是相对来说是一个比较特殊的一个领域,一旦医院网络信息的安全存在一些隐患,对医院的医疗数据来说会是一个不小的冲击。因为目前医院对医院的网络信息的安全的意识还不是很高,所以相对来说采取的措施也不是相对完善,安全隐患也是随处可见,甚至有些非常严重。所以制定严格的规章制度,从医院的管理层方面把关,让管理人员意识到网络信息的威胁也可能来源于网络内部。切切实实实行规章制度,不要把规章制度成为一纸空文。
四、加大投资完善安全系统。
如今的医院的`运行离不了完善的安全信息管理系统,医院的主要负责人员也要意识到医院网络信息安全的重要性,加大投入,不断更新医院系统的软件,从而强化其系统的功能。对于硬件设施的配置一定有保障有质量的设备,特别是对于比较重要的硬件设施要有储存备份的功能,具有一定抗病毒和自我修复功能,在一些信息系统发生异常时也能够找回,以免数据的丢失对医院造成一些不可挽回的损失,尽可能从最大的程度上减少信息化管理系统带来的一些客观原因。
时代的发展同时带来的也必定是科技的发展和进步,不论是面对一些网络信息安全内部因素的挑战还是一些外力因素的挑战,对于我们来说网络信息安全问题是一个值得我们去不断思考和反思的课题,医院的受众群体是我们的老百姓,所以不仅是为了医院的利益还有更是为了我们人民群众的个人利益,这不仅是我个人的心声我想也是我们所有患者的心声。也希望时代发展和进步的时候,我们的网络信息安全问题能够更高更好质量的服务大家。面对未来更加复杂的网络环境和更加海量的信息化,摆在网络安全信息管理员面前的考验将是更加严峻。
参考文献:
[2]丁飞.当前医院网络信息化建设中的安全问题及保障之策探讨[j].硅谷,2014,(22):165+159.
[3]王涛.浅析当前医院网络信息安全的问题及对策[j].中国外资,2012,(13):78.
论文电子政务信息安全研究(优秀17篇)篇十三
从目前情况看,相当数量的电力企业在信息操作系统及数据库系统等方面存在许多安全漏洞,如不引起重视,这些漏洞将会对电力系统带来严重影响。相关数据的流失、特定网络协议的错误等将给电力企业带来不同程度的损失。
2.2网络协议存在的安全问题。
计算机网络协议是电力系统计算机网络信息安全的重要根源。但也存在一定的安全问题,电力系统中常见的telnet、ftp、smtp等协议中,主要是面向信息资源共享的,在信息传输过程中安全性得不到有效保障。
2.3计算机病毒的侵害。
计算机网络的运行过程中,受到病毒的侵害在所难免,但如果没有形成相配套的防护措施,那么计算机病毒带来的危害将不可限量。计算机病毒不仅具有很强的复制能力,能够在相应文件及程序之间快速蔓延,而且还具有其他一些共性,一个被污染的程序本身也是传送病毒的载体,危害性大。
文档为doc格式。
论文电子政务信息安全研究(优秀17篇)篇十四
摘要:当今国内绝大多数医院已具备一定信息化程度,作为一个医疗机构其信息化系统中必定存储着大量的病患身份、诊疗信息。随着整个社会环境对于保护个人信息私密性的需要越来越高,对医院来说保障信息安全的重要性越发突出。该文主要介绍了目前医疗机构一些较普遍的信息安全管理缺陷,重点提出了对内部用户的身份鉴别、权限控制、行为审计等管理行为和如何引入一套标准化信息管理平台来提高信息管理效率、改善管理难题。
关键词:信息安全;标准化信息管理平台。
1现有的问题。
在许多医院特别是三级甲等医院常备的信息系统维护部门早已经具备,防火墙、网闸之类的边界防护设备也早已经是标准配置,对由外部网络对内部局域网的访问隔离等功能亦是非常完备。然而纵观近年来的各种官方、非官方渠道公布的各类医疗信息泄露事件,再结合自身的多年的信息系统管理实践,笔者无奈地发觉,安全事件的发生,完全由黑电脑的人等群体从外部攻破防火墙等防护措施的事例实在是九牛一毛,在绝大多数事件中,都有医院内部人员的身影,或独自、或内外勾结窃取医院数据用以牟利。当然,这并不是说想说明机构内部的员工是多么的不可信,绝大多数的同志还是好同志。笔者只是想指出系统内部的信息安全防护应该与外部边界防护一样重要。归纳了一些个人觉得较为普遍的安全问题如下。(1)网络内部访问终端数量庞大,有限人力下难以保证终端设备合法性和安全性。(2)缺乏标准化管理工具,导致管理效率不高。(3)对内部员工信任较高,对于其访问权限管理粗放。(4)由于使用者对本身私有账户概念的不重视,私有账户成了公共账户,导致身份鉴别如同虚设。(5)相关管理制度缺失,或制度执行不到位,导致空有技术手段,却无法部署到位。表面上看这是一个个独立的问题,深入了看能发现这些问题背后是有关联性的。出于各种原因,大部分医院的信息部门可能只有寥寥数人,一人身负数职,难以做到专人专管,基于医院的规模大量的人力都投入在了日常繁琐的各类系统维护中。此既上述提到的第一点问题,结合第二点缺乏有效的管理工具,使得管理人员难以有精力对数量庞大的员工账户进行细致的权限分级管理。账户权限管理的混乱、低效,加上缺乏相关的管理制度及执行力又间接导致了员工为了完成工作相互“借用”账号。长此以往恶性循环。
2解决方案与实现。
为了解决这些问题,走出这个死胡同,笔者对这些问题进行了讨论分析。制度缺失及使用者对私有账户重视的问题并非一朝一夕能够解决,但现阶段可以通过有效的技术手段来尽量弥补,那目前最为行之有效的方案是引入一套标准化信息管理平台来改进多年来的网络信息管理模式,帮助人们改善现状。一套标准化管理平台需要具备哪些功能才能够达到人们的需求,结合资料收集及多次实地调研,笔者总结出以下一些想法。
2.1网络准入控制。
准入控制室此平台应该必须具有的基本功能,是为用户接入局域网的第一道关卡。其实传统的802.1x协议也能实现此功能,但并不能全面满足实际需求,实际部署时802.1x协议往往要求准入系统、交换机、客户端均出自同一厂商,才能有较好的准入效果。其次它不支持多种终端类型,一般支持主流的windows系统,对于其他非主流桌面操作系统的支持非常有限,难以保证各类型终端的合法性和安全性。同时它不支持非pc类终端,例如网络打印机、网络摄像机、ip电话等。首先,理想的准入控制系统应该能支持多种准入协议方式,如:802.1x、dhcp准入、ipam准入、snmp准入、rdp准入、网关准入等,这些准入方式可以在用户环境中任意组合使用,提供更细颗粒度的.安全策略。达到灵活的部署方式和全面部署的可能。支持各类主流操作系统。其次,尽可能不用更新网络设备、不用改变现有网络拓扑结构,尤其是主干结构的情况下,实现系统的灵活部署。再则,应能支持外部认证源,如:ldap/ca/radius/ad域认证。这里提一下在上海市交通大学医院最后实现的实际应用场景中,认证功能与该院原有的ad域用户认证系统完美的结合。目前在该院实现了一套账户各个应用平台通用的状态,包括局域网准入系统;院内邮箱系统;人事信息系统;办公报告系统;his系统等。尤其是结合了人事信息系统后,由于其内嵌的工资查询、个人信息等私密度较高的模块,使得账户使用人对于自身私有账户的管理保密程度有了大幅度的提升,从技术层面上很大程度地解决了原先一个制度层面上的问题。多平台的账户通用也使得员工免去了对多套系统不同账户密码记忆上的繁琐和困难,从而对新系统的接受度大大提高。最后,应能探测到终端设备的各类信息:ip、mac、操作系统版本、上联交换机端口等。通过多元素结合判定终端是否为合法合规设备,不符合安全要求的,将被隔离或者阻断。
2.2终端安全管理。
终端安全管理是指对计算机类终端的强控制,应能实现资产管理、外设管理、软件下发、远程协助等主要功能。各功能描述如下:终端健康检查:检查终端硬件信息、防病毒软件、病毒库版本、系统补丁、系统弱口令检查等。终端外联控制:可实现控制计算机的多种外联方式,例如3g/4g网卡、各种拨号、多网卡、代理服务、静态路由等,并可以与准入控制功能联动隔离非法计算机终端。终端资产管理:自动收集计算机终端的硬件和软件信息,管理员可以对计算机终端的硬件和安装的软件进行查询,软硬件信息变更告警和审计。终端外设管理:控制计算机终端硬件外设的使用,启用或者禁用光驱、usb设备、打印机、modem、串行并行口等等。终端软件分发:可以向计算机终端分发指定的补丁、各种类型的安装包、自定义文件。文件分发带宽优化及控制,可自定义并发分发数量。终端远程协助:管理员可以发起远程协助,在用户授权后,登录用户计算机终端桌面进行维护。
2.3网络访问控制。
网络访问控制既是可以针对不同用户/用户组实现不同的访问权限分配,达到不同员工的不同访问需求。一般有两种实现方式,一种是通过客户端软件实现,集成在安装在终端上的客户端软件内,以安全策略形式实现基于用户、终端、子网定义访问控制。另一种是通过准入系统实现,系统服务器端在终端接入准入系统是直接向计算机终端下发访问控制策略.
2.4实名制行为审计。
这又是一个标准化信息管理平台需要具备的一个基础功能,对用户的准入、退网、访问目的、访问端口等重要事件和时间节点进行记录,结合目前日趋普及的堡垒机的操作行为录像记录功能,为网络安全事件分析和审计、追溯提供重要的手段和依据。同时也应该要能提供包含安全事件、违规事件、入网用户、入网终端、终端检查等各类情况生产的可导出的统计报表。
2.5局域网可视化管理。
这个功能主要是帮助管理人员提高工作效率,省却部分命令行管理方式的负担,在人力资源相对紧张的信息部门必不可少。实时网络发现:自动化网络数据收集,对接入局域网的设备进行实时或定期监视,能够发现各种主流网络类设备、服务类设备、终端类设备。自动化技术减轻管理员的工作量。ip地址管理:实时有效地对全网的ip地址进行管理和监控,简化ip地址管理,减少手工ip管理工作。发现非法或者异常使用ip地址时,可以给出安全告警信息,供管理员分析、定位和排障使用。丰富的ip分配记录和报表,以及灵活方便的搜索功能,提高ip地址管理效率。交换机管理:图形化方式管理交换机端口,兼容snmpv1/2/3协议,自动化显示交换机端口下接的终端和设备信息。让管理员一目了然的掌握端口的连接类型:uplink、单台终端、连接hub等。与准入功能结合,即可提供端口级别的合规管理。与ip地址管理结合,可以提供故障、威胁定位的管理。
2.6局域网运行数据实施展现。
许多网络管理员可能都会碰到这样的情况,大家管理着局域网,但对于局域网常常处于一种模糊的认识状态。人们不能非常明确地知道局域网内现在有多少人、多少终端、什么人正在使用;不知道主干链路带宽占用率现在是多少;不知道ip地址的使用情况;不知道是否有不合规的网络设备(如:私带的路由器、无线ap等)正在局域网内运行。当然人们可以通过使用不同的管理工具,使用多条操作指令分别去获取所需要的数据,但如果有这样一个平台能自动化记录一些这类的网络主要运行数据,并实时展示,能一目了然地查看比较,显然大家会很欢迎。
3结语。
通过上述总结出功能需求,以此为据,经过多次、较长时间调查研究,测试试用,笔者最终确定了一套最大限度符合预计想法的标准化信息管理平台。该院于初正式将这套系统上线。经过半年多的使用,目前这套管理平台运行平稳,并从根本上改变着该院的网络管理模式,改善了曾经的管理难点。展望未来,会有越来越多的类似信息管理平台涌现,功能更强大、策略颗粒性更细致化、与堡垒机整合实现更丰富的行为审计能力。更甚至吸收越来越多的单一管理工具的功能,实现统一界面接口的多领域的多元化的管理方式,自动化技术更多的引入,使运维人员的工作方式日趋便捷。这,也许正是一种趋势。
参考文献。
[1]冯国登.计算机通信网络安全[m].清华大学出版社,.
[2]赵树升.信息安全原理与实现[m].清华大学出版社,.
论文电子政务信息安全研究(优秀17篇)篇十五
摘要:在科学技术水平高速发展的今天,信息安全已经深入人心,信息安全技术也被广泛的应用在各个方面,文章主要针对以数字证书为核心的这一信息安全技术进阐述。
在交通运输部中国海事局近期推广的“海事协同管理平台”中,除了账号密码验证登录以外,还加入了数字证书验证系统。每一名海事执法人员在“海事系统管理平台”中都有其独一无二的数字证书,并与其账号绑定。通过通过数字证书验证登录,不但操作简便,而且安全性也有了很大的提高,受到了广大海事执法人员的一直好评。作者就以数字证书为核心的信息安全技术进行简要的分析研究。
1关于数字证书的特征分析。
在社会环境的影响下、科学水平的变化下,第三方证书的授权按中心(ca)签发了数字证书,其主要的作用需要通过因特网得以体现,其作为是数字信息的一种文件,是被用来证明和标志网络通信双方的身份。从数字证书定义中可以看出,其是权威性电子文档的一种,无论是公共密匙文件的内容,还是公共密匙的持有者身份信息都属于文档内容的范畴。在互联网中,我们可以借助数字证书的作用对身份进行验证。“公匙体质”是数字证书工作的基本原理,简单讲就是在信息认证、加密解密以及数字签名等过程中需要利用到相互配对的密匙。另外,私有密匙和公共密匙是“公匙体质”的主要划分,其中私有密匙是包括在个人用户的领域,用户可以读自己私有的传递信息进行签名或解密,在这样的操作下信心传输的完整性、安全性和准确性是可以得到保障的;公开的密匙则是由多人或一组共享,主要作用是认证和加密信息。
1.1唯一性。
根据用户身份和需求的不同,数字证书可以进行不同网络资源的权限设置,即是用户只有在申请通过以后,才可以正常的使用经过设置后的网络密匙,这样一来唯一性的数字证书便得到了保证。
1.2方便性。
数字证书无论是在开通、申请,还是在使用等环节都能体现出方便性,用户即使不具备任何的专业性知识,依然可以掌握它。并且后期维护数字证书的工作具有难度低,量小的优点,因而不需要特别专业的人也能够对其应用自如。现如今,其广泛被使用在网上办公、发送电子邮件以及网上交易等活动中。
1.3安全性。
信息安全技术若是将数字证书作为核心,其能够有效的对网络信息进行认证、加密以及数字签名等操作,即使是在传输信息的过程中出现丢失或恶意拦截的现象,用户依然可以借助数字证书的作用保证他们不会盗用信息,这样也讲过安全的信传输过程提高了。
2关于数字证书在信息安全技术中的`重要性。
2.1基础设施的授权管理。
在pki的支撑下可以安全、稳定的进行基础设施授权管理(pmi)操作,其能够从应用系统中将授权管理的功能分离出来,向网络提供管理和访问控制的权限,并能够进一步开发和维护权限管理系统以及简化访问控制的工作。另外,属性证书是pmi权限设置和授权结果的凭证,用户访问资源的权限可以通过属性证书中相关内容的作用被相关的网络信息安全平台控制,而用户系统应用的控制又可以通过业务系统中相关权限的策略被应用该系统控制。
2.2公匙基础设施。
公匙基础设施(pki)作为网络密匙管理平台的一种,是遵循既定标准形成的,在pki的作用下,用户可以实现数字签名、信息加密等内容。对于一些大型的电子政务和电子商务来讲,数字证书的注销、申请、换证和认证等内容都包括在pki中。
2.3应用数字证书的子系统。
为了将数字证书在信息安全技术中的核心作用发挥出来,就需要间数字证书的一个应用平台建立起来,也就是应用子系统,其能够完成对网络信息的认证、加密以及数字签名等内容。一般情况下,我们将数字证书应用的子系统分成两个部分进行研究,分别是应用系统和平台接口以及整体框架。
(1)应用数字证书的整体框架。
总是将应用服务区域、客户区域以及代理服务区域等三部分归纳到数字证书应用的体系框架范畴。代理服务区域主机被认证权限控制以后,数字信息的权限、加密以及认证等内容也会被控制,此时在客户区域内的信息就可以借助服务器的作用被安全的在应用服务区域中传输。对于存在宝贵数据资源的数据信息在传输过程中需要通过服务器的作用,将所有的重要信息都在安全网络的环境下进行保护。我们有专门的一个系统的以数字证书作为核心的信息安全技术控制的机制,首先需要做的是在客户端安全代理程序的作用下将申请用户的身份信息记录到认证系统中,待请求查询通过以后就可以使用,随后需要通过上下文身份认证信息的随机码签字系统来验证用户的有效信息,由于有大量的英文字母和数字存在于数字证书中,因而有效认证用户身份信息的工作必须通过数字证书的作用来实现。在数字证书中能够将128位身份验证码生成,并且每一个验证码都具有显著差异性,即是生成的这也个密码不但是唯一的,而且的复杂的,这样才能够使在网络传输过程中数据信息的保密性和安全性能获得保证。
(2)数字证书应用系统和平台接口。
在信息安全技术中存在的数字证书能够将一个开发性的接口提供给应用程序中的服务器端口和客户端口,其接口的形式主要有四类,分别是com、java、windows以及dll。对于数字证书用用系统和平台之间的接口而言,主要有几个方面的功能得以实现,如:验证签名、查询数字证书状态、加密数据信息、数字签名以及用户身份认证等。
3总结。
总的来讲,以数字证书为核心的安全信息技术其主要是通过认证、加密以及签字等内容来实现的,从而使准确性、安全性和完整性的互联网信息传输的工作得到保证。另外,由于使用者不需要熟练掌握任何的操作技能和专业性知识就能够良好的控制操作流程,可见,其具有维护简单、操作难度小等有点,这样一来以数字证书作为核心的安全信息技术也能够取得更广阔的发展前景。文章主要是通过对数字证书在信息安全技术中应用方面的研究,研究的内容涉及到多个方面,如:建立实施数字证书的应用子系统、公匙基础设施以及授权管理的基础设施等,其目的是为了向日后同行业者的相关研究提供有效理论依据。
参考文献:。
[2]刘志坚.出版业ca系统的研究与开发[d].北方工业大学,.
[3]李宏建.无线mesh网络安全关键技术研究[d].国防科学技术大学,.
[4]曹亚南.基于证书的erp系统用户分级控制研究[d].大连海事大学,.
[5]林钇霖.基于pki的身份认证系统研究[d].重庆理工大学,2012.
论文电子政务信息安全研究(优秀17篇)篇十六
该系统包括安全事件管理模块、安全业务模块、控制中心、安全策略库、日志数据库、网间协作模块。
1.1安全事件管理模块。
1.1.1安全事件收集子模块。
能够通过多种方式收集各类信息安全设备发送的安全事件信息,收集方式包含几种:(1)基于snmptrap和syslog方式收集事件;(2)通过0dbc数据库接口获取设备在各种数据库中的安全相关信息;(3)通过opsec接口接收事件。在收集安全事件后,还需要安全事件预处理模块的处理后,才能送到安全事件分析子模块进行分析。
1.1.2安全事件预处理模块。
通过几个步骤进行安全事件的预处理:(1)标准化:将外部设备的日志统一格式;(2)过滤:在标准化步骤后,自定义具有特别属性(包括事件名称、内容、产生事件设备ip/mac等)的不关心的安全事件进行丢弃或特别关注的安全事件进行特别标记;(3)归并:针对大量相同属性事件进行合并整理。
1.1.3安全事件分析子模块。
关联分析:通过内置的安全规则库,将原本孤立的实时事件进行纵向时间轴与历史事件比对和横向属性轴与其他安全事件比对,识别威胁事件。事件分析子模块是soc系统中最复杂的部分,涉及各种分析技术,包括相关性分析、结构化分析、入侵路径分析、行为分析。事件告警:通过上述过程产生的告警信息通过xml格式进行安全信息标准化、规范化,告警信息集中存储于日志数据库,能够满足容纳长时间信息存储的需求。
1.2安全策略库及日志库。
安全策略库主要功能是传递各类安全管理信息,同时将处理过的.安全事件方法和方案收集起来,形成安全共享知识库,为培养高素质网络安全技术人员提供培训资源。信息内容包括安全管理信息、风险评估信息、网络安全预警信息、网络安全策略以及安全案例库等安全信息。安全日志库主要功能是存储事件管理模块中收集的安全日志,可采用主流的关系性数据库实现,例如oracle、db2、sqlserver等。
1.3安全业务模块。
安全业务模块包括拓扑管理子模块和安全风险评估子模块。拓扑管理子模块具备的功能:(1)通过网络嗅探自动发现加入网络中的设备及其连接,获取最初的资产信息;(2)对网络拓扑进行监控,监控节点运行状态;(3)识别新加入和退出节点;(4)改变网络拓扑结构,其过程与现有同类soc产品类似,在此不再赘述。目前按照国标(gb/t20984-信息安全风险评估规范),将信息系统安全风险分为五个等级,从低到高分别为微风险、一般风险、中等风险、高风险和极高风险。系统将通过接收安全事件管理模块的分析结果,完成资产的信息安全风险计算工作,进行定损分析,并自动触发任务单和响应来降低资产风险,达到管理和控制风险的效果。
1.4控制中心模块。
该模块负责管理全网的安全策略,进行配置管理,对全网资产进行统一配置和策略统一下发,改变当前需要对每个设备分别下方策略所带来的管理负担,并不断进行优化调整。控制中心提供全网安全威胁和事故的集中处理服务,事件的响应可通过各系统的联动、向第三方提供事件信息传递接口、输出任务工单等方式实现。该模块对于确认的安全事件可以通过自动响应机制,一方面给出多种告警方式(如控制台显示、邮件、短信等),另一方面通过安全联动机制阻止攻击(如路由器远程控制、交换机远程控制等)。各系统之间联动通过集合防火墙、入侵监测、防病毒系统、扫描器的综合信息,通过自动调整安全管理中心内各安全产品的安全策略,以减弱或者消除安全事件的影响。
1.5网间协作模块。
该模块的主要功能是根据结合自身的工作任务,判定是否需要其它soc的协同。若需要进行协同,则与其它soc之间进行通信,传输相关数据,请求它们协助自己完成安全威胁确认等任务。
2结束语。
本文提出了一种协同式安全管理中心的实现方法。充分利用了各soc的协同处理能力,在某个soc发现疑似信息安全威胁但又不能准确判定时,结合其它soc的处理能力和已掌握的疑似信息安全威胁,进行更加全面的判定,提高了发现威胁的准确率,同时在信息安全威胁转变为信息安全风险并造成更大危害之前能够更早地发现威胁,为后续安全事故的响应处理赢得更多时间。
论文电子政务信息安全研究(优秀17篇)篇十七
武陵山片区经济正迅猛发展,许多地方大兴土木,如修路、修房子、修桥梁等。由于地势复杂,工程浩大,许多该片区许多工程技术都需要利用实验数据做支撑。吉首大学虽然位于该片区核心位置,但由于土木专业办学较晚,起步较低,尚未形成实验教学为地方建设服务的规模和水平,促使许多工程项目负责人舍近求远,到发达地区的高水平院校进行相关实验。由于实验教学依附于理论教学体系而存在,加之课时量偏少,学生对实验教学重视程度不够,少部分学生在实验过程中敷衍了事,没有认真完成,没有达到实验目的。个别课程的实验项目验证型实验较多,综合和创新性实验项目不够。整体而言,实验教学尚未形成自己的明确风格和特色。
土木工程属硬工科学科,必须理论联系实践,注重学生实践能力培养,增强基础实验课程和专业实验课程教学效果,构建具有前瞻性、可操作性的土木工程专业系列实验教学平台。为此,学校不断加大对土木工程实验教学平台的建设力度,至今已经投入了近一千万元。
土木工程实验教学平台的构成既要考虑到人才培养的需要,又要结合各学校实验室建设的特点科学构建。实验平台的相关实验内容要按专业需要设置将其系列化,各门课程相互融合,不断更新项目内容。我校土木工程实验教学平台包括四部分:基础实验室、专业实验室、规划与设计实验室、虚拟现实与模型制作实验室。土木工程基础实验室包括大学物理分室和基础力学实验设备。建筑面积80平方米,设备总值40万元。主要承担《大学物理》、《材料力学》等课程的实验教学。土木工程专业实验室包括建筑材料实验室、工程结构实验室、土力学实验室、检测实验室、流体力学实验室、材料力学实验室。规划与设计基础实验室包括工程制图实验室、测量实验室、计算机辅助设计实验室等。虚拟现实与模型制作实验室主要用来设计、制作、演示各类结构模型。
针对学生特点,我校实验教学平台分为三个层次:基础性实验平台、综合性实验平台、设计创新性实验平台。三类平台具有一定的内在联系,即由面到点,由面向全体学生到精英学生,由验证型向创新型,逐级过渡和深入。基础性实验平台面向全体土木学生。学生要完成各门课程(专业课和学科基础课)关键的单一验证型实验,如大学物理各类实验、材料力学中钢筋拉伸实验、土力学中土的含水率测定等。该类实验平台中,实验内容较浅显,实验仪器小而多,实验步骤较简单。基础性实验主要培养学生的观察力和动手操作能力,帮助加深学生对课本理论知识的理解。综合性实验平台针对部分实践能力强的学生。实施的多为选修性质的实验项目。综合性实验涉及一些大型的、功能复杂的仪器设备,需要专门的实验教师在旁边讲解和指导。综合性实验往往实验周期长,实验内容复杂,实验步骤多,需要学生付出一定的时间、体力和精力。如混凝土力学性能的测定,包含从最初的.水泥性质测定(安定性、细度)、配合比的设计、混凝土人工搅拌、坍落度和扩展度的测定、试件养护到最后的抗压测定等步骤。涉及仪器众多,有水泥细度负压筛析仪、煮沸箱、雷氏夹、雷氏夹膨胀值测定仪、水泥净浆搅拌机、湿气养护箱、量水器、天平等较小仪器设备,也有大型加载设备。综合性实验考验的是学生对所学知识的融会贯通能力。学生要提前预习,熟悉所有实验仪器的使用,并清楚实验全过程。设计创新性实验平台则是为学有余力且爱好钻研、动手能力强的创新性学生开放的。一般一位指导老师带3~5名学生,结合教师的科研项目或学科竞赛试题进行创新性研究。如绿色生态混凝土配合比设计,自密实混凝土,高性能生态透水混凝土,防爆抗冲击仿生混凝土材料的研发等。
(3)建立开放式、独立设置式实验教学平台。
学校大力抓实验教学,成立了“实验室与设备管理中心”,专门负责全校各类实验室(包括本科生教学实验室、研究生教学实验室、学科平台实验室、科研平台实验室、大学生专业创新训练中心及重点实验室等)平台建设与管理、实验教学组织与管理、公共共享平台建设与管理、教学科研大型仪器设备管理和协助负责实验技术队伍建设与管理。近期,土木工程专业申请了一批开放式实验项目和独立设置式实验课程。开放式实验项目如纤维混凝土中不同掺量纤维对其抗压强度影响的实验、钢筋拉伸试验、autodeskrevit软件的初阶应用、剪切模量测定实验、基于小波包方法的梁式结构损伤识别研究等;独立设置实验课程如材料力学、土木工程材料等。依托此类实验项目和课程,激发学生参与实验的热情,培养学生的动手实践能力,同时带动教师科研项目的深入研究。
近年来,我校利用现有土木工程实验教学平台,积极组织学生参加国家级、省级、校级的结构设计、力学、混凝土设计等学科竞赛活动,并依托此平台开展了一批大学生创新性实验项目,取得了非常不错的成绩,调动了一大批土木专业学生参与实验、实践的积极性,提高了学生学以致用的兴趣。譬如,,我校土木专业9名学生参加了湖南省第二届结构设计竞赛,取得了1项一等奖、2项二等奖的好成绩;,土木专业6名学生参加“苏博特”杯第三届全国大学生混凝土材料设计大赛,获得了实践技能奖2项;20,3名同学参加全国第八届大学生结构设计竞赛,获得了一等奖1项。此外,土木系老师指导的“防爆抗冲击仿生混凝土材料的研发”获得了2014年全国大学生创新性研究项目立项。