发布时间:2023-10-09 17:41:25
序言:作为思想的载体和知识的探索者,写作是一种独特的艺术,我们为您准备了不同风格的14篇网络安全服务体系建设,期待它们能激发您的灵感。
关键词:数字认证技术;网络安全;PKI
中图分类号:F062.5 文献标识码:A
随着信息技术的迅速发展,因特网已进入社会生活的各个领域,基于网络环境下的电子商务、电子政务、电子事务正在蓬勃迅猛的发展。信息化程度已经成为国家乃至个人现代化程度的重要标志。但网络安全一直困扰着信息化进程,缺乏诚信的网络世界充满了欺诈和风险,影响了经济发展和社会秩序。建立完善的网络信任体系,保证网络信息安全是推进信息化必须面对的课题。而电子服务认证是保证网络信息真实、完整和信息发送不可抵赖,建立起完善网上信任体系的重要手段和措施,大力发展电子认证服务对于加快信息化建设进程具有重要意义。
一、电子认证服务
1.电子认证的认证原理
电子认证服务所采用的数字证书认证技术是以密码技术为核心,在国际上广泛流行的是采用PKI(Pubic Key Infrastructure)技术。在PKI钥系统中,为每个用户生成一对相关的密钥:公开密钥和私有密钥。双方进行信息交换的过程是:发送方通过网络或其他公开途径得到接收方的公钥,然后使用该密钥对信息加密后发送给接收方;接收方用自己的私钥对收到的信息进行解密,得到信息明文。在这里,只有接收方才能成功地解密该信息,因为只有接收方拥有与之相对应的私有密钥,从而保证了信息的机密性。如果发送方在发送信息时附上自己的数字签名,则接收方通过验证数字签名可以保证信息的完整性和不可抵赖性。
PKI框架中的核心元素是数字证书;PKI的核心实施者是CA认证中心。数字证书又称为数字标识(Digital Certificate,Digital ID)。它提供了一种在网络上身份验证的方式,是用来标志和证明网络通信双方身份的数字信息文件。在网上进行电子政务和电子商务活动时,双方需要使用数字证书来表明自己的身份,并使用数字证书来进行有关的操作。
2.电子认证服务在网络信任体系中的作用
网络信任体系是以密码技术为基础,以法律法规、技术标准和基础设施为主要内容,以解决网络应用中身份认证、授权管理和责任认定等为目的的完整体系,它是网络环境下各项业务活动有序开展的基础保障。电子认证服务就是利用数字证书技术为电子商务、电子政务等网络业务提供行为主体的真实身份和控制权限,保证信息资源的真实性和可靠性的第三方服务,是建立网络信任体系的基础和核心。
二、我国电子认证服务体系的建立
1.法律法规与标准规范建设
2005年4月1日《中华人民共和国电子签名法》(简称《电子签名法》)正式实施。随后,信息产业部和为国家密码管理局出台了一系列的配套规章和标准规范,包括《电子认证服务管理办法》、《电子认证服务密码管理办法》、《电子认证业务规则规范(试行)》、《证书认证系统密码及其相关安全技术规范》。等。《电子签名法》是我国电子商务、电子认证领域的第一部法律,具有极其重要的历史意义和现实意义,它给网上数字化的商务活动以法律认同的效力和地位,这对推动我国网络经济的健康发展可谓意义重大。
2007年2月1日,国家标准化委员会《信息安全技术公钥基础设施数字证书格式》、《信息安全技术公钥基础设施特定权限管理中心技术规范》和《信息安全技术公钥基础设施时间戳规范》三项信息安全国家标准,对《电子签名法》的实施和我国网络信任体系建设将起到重要的规范作用。
2.我国电子认证服务的现状
电子认证服务在我国开展已有近10年的历史。随着因特网的普及,伴随着电子政务 、电子商务的发展,我国数字认证市场逐步从培育期走向成长发展期。《电子签名法》、《电子认证服务管理办法》等法律法规出台后,电子认证服务逐步走向规范化。截至2007年10月10日,我国已有25家电子认证服务机构获得信息产业部颁发的电子认证服务许可证获得电子认证服务资质。由于服务资质认证开始的时间不长,还有100多家认证机构未获得电子认证服务许可证。
三、我国电子认证服务体系建设存在的问题
1.法律环境体系不完善
虽然国家在2005年出台了《电子签名法》,信息产业部也相继出台了与之配套的法规和标准,但还是缺乏对认证服务过程中的一些实质性的操作进行规范和约束,也没有确定电子认证在实际应用中的基础性保障地位。其它法律法规没有做出相应的调整,无法体现数字认证在法律活动中的法律效力。
2.认证服务缺少行业整体规划,标准规范滞后
从国内电子认证服务机构开始建设至今,国家政府部门一直没有出台一个指导国内电子认证服务机构建设的总体规划和管理指南,使得电子认证服务机构建设处于无序状态。长期以来,电子认证服务业的建设和运营一直都缺少统一的标准和规范,严重影响了中国电子认证服务行业的发展。目前国内的电子认证服务机构颁发数字证书时所采用的标准和规范都不一样,证书的发放和运用范围、审核方式也不尽相同,所涉及到的信息保存及披露更是有较大的差别,导致很多用户拥有多张证书,无法交叉认证和互联互通。
3.对电子认证服务机构的作用认识不足
网络上之所以需要电子认证,是由于网络化带来的信任问题引起的。而电子认证中心正是这样一个服务机构,它提供网上实体身份标识的第三方公证服务,广泛地服务于电子政务、电子商务、网上银行、网上身份证、电子公证、安全电邮、电信、保险等领域。然而,在国内电子认证服务行业建设和发展过程中,政府、企业、个人都对电子认证服务机构的作用认识不足,对电子认证服务机构的作用认识存在偏差。
4.区域发展不平衡
电子认证服务机构应该是第三方机构,应该是社会共享资源。但是,由于缺少统一的规划和管理,国内电子认证服务机构建设过热,有一定的盲目性,重复建设和资源浪费现象严重。一些在经济欠发达的地区盲目设立的电子认证服务机构,由于当地市场容量有限,不仅不能发挥作用,甚至认证机构本身也难以维持正常的运营,长期亏损;而在经济发达地区,建设的盲目性就表现为重复建设,资源浪费严重。
5.认证业务整体发展水平偏低
技术基础问题将直接影响着中国的电子认证服务业的发展:电子认证目前使用的主要是数字签名技术,也主要是指PKI;而从技术角度看,PKI潜在问题是涉及到证书机制,对客户不透明;对证书签发后管理问题技术实现和管理方法落后,不方便客户。公钥算法的生命周期问题目前成为关注的焦点,各种算法的应用将面临挑战;PKI的核心机构就是CA,而目前信息孤岛现象比较严重,一个CA一个信任域,信息交流和互联互通是一个迫在眉睫的问题。
四、电子认证服务体系发展建议
1.建立健全法律规范,完善标准体系建设
法律法规是大力发展电子认证服务的基本保障,《电子签名法》对电子认证服务管理只是做了框架性的规定,配套的法律法规、行业规范亟待健全;技术规范是电子认证服务的安全核心,电子认证的技术标准和服务规范继续统一和完善。
2.从国家战略高度统筹规划
应该加强电子认证服务业发展的基础性研究,做好电子政务服务的整体发展规划。政府部门应该针对我国电子认证服务机构的发展现状,做出统筹规划,进行合理布局,以构建适合我国国情的电子认证技术体系、运营体系和服务体系。
3.积极提升技术水平,加强安全监控
电子认证服务机构的认证系统安全,涉及到诸多方面。政府部门和认证机构应该积极合作,密切配合,尽力消除安全隐患,提高安全强度,采取多种方式提高整个认证系统运行的安全性和稳定性。
4.积极地参与电子认证的国际合作
电子商务的本质,决定了与之相关的服务必然逐步呈现国际化的趋势,电子认证服务也不例外。从长远的角度看,电子认证在国际范围内的交叉认证、统一和标准化是一种必然趋势。
作者单位: 辽东学院 信息技术学院
参考文献:
[1]谢先江.浅论我国数字认证建设[J].现代情报,2004,(11):20-22.
[2]全国信息安全标准化技术委员会秘书处. 我国电子认证相关标准简介[J]. 信息网络安全,2007,(3):2-4.
【关键词】组织机构代码;数据安全;体系建设
Research of the Xinjiang Organization Code Data Security System Build
Ke Junfan
(Xinjiang Studio of Standardization, Urumqi 830000, China)
Abstract:Protection organization code data from malicious attacks and sabotage, Xinjiang organization code management departments must be considered and resolved the problem. The article describes the Xinjiang organization code data security system construction, and all levels to play in this system.
Keywords:Organization Code; Data Security; System Build
1、绪论
1.1组织机构代码系统面临的问题
网络的普及使计算机系统所处的环境变得日益复杂,为了提供完善的功能,大量的应用软件、服务软件安装到计算机系统中,软件本身的瑕疵和软件之间可能的冲突都成为威胁计算机安全的隐患。通过公共网络,计算机系统暴露在潜在的、形形的用户之前,非法用户的恶意攻击、合法用户的误操作都可能给计算机系统带来安全威胁。组织机构代码建设与应用系统也是如此,越来越开放的系统将面对更加复杂的工作环境,为了保障系统在新的网络环境中安全、稳定、可靠的运行,必须通过不断提高自身的安全防护技术水平,引入科学高效的安全管理,强调全面准确的安全评估等措施来实现系统整体的安全性。
1.2新疆组织机构代码安全体系建设的目标
组织机构代码的数据安全体系的研究通过部署安全系统,投入技术力量,加强网络安全管理等方式确保组织机构代码数据信息的机密性、完整性、可用性、可控性与可审查性,最终达到如下目标:
1)合理管理和分配网络资源,防止滥用网络资源导致网络瘫痪;
2)抵御病毒、恶意代码等对信息系统发起的恶意破坏和攻击,保障网络系统硬件、软件稳定运行;
3)保护重要数据的存储与传输安全,防止和防范数据被篡改,建立数据备份机制和提高容灾能力;
4)加强对重要敏感数据信息的保护,确保数据的机密性;
5)构建统一的安全管理与监控机制,统一配置、调控整个网络多层面、分布式的安全问题,提高安全预警能力,加强安全应急事件的处理能力,实现网络与信息安全的可控性;
6)建立认证体系保障网络行为的真实可信以及可审查性,并建立基于角色的访问控制机制。
2、代码数据安全体系建设中面临的风险
2.1互联网攻击
组织机构代码各类业务系统基于B/S架构开发,是面向互联网的开放式业务平台,同时对互联网用户提供公开的信息查询服务,因此很容易受到黑客的攻击,针对互联网的常见的攻击行为有:主页篡改、拒绝服务攻击、网络假冒、黑客渗透。
2.2内部破坏
与外部攻击不同,内部破坏往往由内部合法人员造成,他们具有对内部系统更多的访问权限,因此内部人员的恶意或无意破坏,对代码系统的安全、可靠运行将造成更大的影响,如:内部恶意破坏、内部无意破坏、技术缺陷。
2.3管理风险
随着组织机构代码数据库应用推广工作的开展,为社会提供更全面服务的目的,代码各类业务系统的不断增加,网络结构也在日益复杂,安全防范技术与管理方式逐渐不能适应越来越复杂的应用需求。主要表现在缺乏整体安全策略,没有统一规范的安全体系建设标准,安全职责划分不明确,各业务系统的安全防护程度不高、人员安全意识不强、缺乏统一的安全管理平台、操作流程和指导手册等。
3、代码数据安全体系建设研究的路线
新疆维吾尔自治区组织机构代码系统将现在和将来的安全建立一个安全体系框架。参考照国家信息安全等级保护相关政策与技术标准,从安全技术和安全管理两个方面进行比较,有针对性的提出现有机房基础环境、网络架构、安全保护设施和管理制度等方面的基本差距、安全漏洞和隐患。
按照体系化的设计思想从全局性策略出发,以互联互通的安全技术为保障,以平台化的管理工具为支撑,以长期可靠的安全运维保障和规范化的安全管理为辅助,结合现有管理制度,制定信息安全管理策略和制度。建立科学的安全运维服务体系,做到系统故障“三早方针”,早发现、早报告、早解决,确保系统、网络和应用的连续性、可靠性和安全运行,降低发生故障的可能性,提高整体的系统运行维护管理水平和服务保障能力,来为保障组织机构代码数据安全,搭建出真正能够有效对抗威胁的安全体系建设为目标。
4、代码数据安全体系建设
4.1物理环境安全
物理环境安全就是为组织机构代码系统提供机房、电力环境保障以及设备、设施和介质防灾、防盗、防破坏等防护措施的基础环境安全。因此物理环境安全是整个安全体系的根本。
因此代码系统数据中心机房设计应严格按照GB9361《计算机场地安全要求》、GB50173《电子信息系统机房设计规范》、GB2887《计算站场地技术条件》中的A类机房的指标进行设计、建设和实施,来符合物理环境安全的要求。物理环境安全应考虑的主要因素有环境安全防护、设备安全保护、线路安全防护和媒体介质的安全保护等四个方面。
4.2链路及网络安全
对网络集成结构规划采取满足最高使用率设计的同时全面考虑网络链路使用时的通信安全,是链路及网络安全防范工作的最终任务。链路及网络结构根据网络安全域划分方式进行网络集成方法,是提高链路及网络安全防范能力的最佳选择。新疆维吾尔自治区组织机构代码系统用户,从业务相似性、数据资源相似性、安全需求相似性、地域环境相似性等特点,分为省、地、县三级业务办理终端用户、数据安全管理用户和覆盖全疆的申报、查询等用户类型。将网络系统根据业务访问关系划分为多个安全区域,然后根据各个安全区域的特点分别有针对性地设计保护措施和安全策略,将大大提升防护的有效性,同时也能体现出数据资源的重点防范功能。因此采用基于安全域的安全设计方法是非常有效的。
4.3系统层安全
1)操作系统安全加固。主要通过对操作系统人工方式进行安全加固来实现系统层安全防护,实现文件强制访问控制、注册表强制访问控制、进程强制访问控制、服务强制访问控制、三权分立的管理、管理员登录的强身份认证、文件完整性监测等功能。
2)漏洞扫描系统。在组织机构代码数据安全网络系统核心交换区旁路部署一套漏洞扫描系统实现全网网络设备、服务器及安全设备的漏洞扫描。并提供安全建议和改进措施等功能,帮助安全管理人员控制可能发生的安全事件,最大可能的消除安全隐患。
4.4应用层安全
病毒防护是在代码数据安全架构应用层进行防护措施的关键部分,所以需要在组织机构代码数据安全系统网络核心服务器区域部署网络版防病毒中心,来实现网络安全核心服务器和终端用户计算机防病毒统一集中管理,在服务器与终端上有效查杀,威胁正常运行的木马、蠕虫病毒等恶意代码。
4.5数据安全
数据安全是实现组织机构代码数据安全体系架构的最终目的,根据所使用的SQL数据库可采用人工方式实现数据库网络加密、数据库加密和强身份验证等安全策略,并可通过数据库审计系统进一步强化数据库资源的安全管理和使用。
1)数据库人工安全加固。通过强身份验证、网络加密策略、网络传输数据完整性、存储数据完整性校验完成。
2)数据库审计系统。组织机构代码数据安全网络系统核心交换区旁路部署一套数据库安全审计系统,对代码应用系统和数据存储区域流经交换机的所有数据库操作信息进行审计,通过记录、分析所有数据库的操作、应用信息,及时、有效分析出数据库系统中发生的安全事件。
4.6安全管理
安全管理是通过全面有效的管理方式及制度,来制约在每一个安全环节中人为因素对安全架构造成的威胁及危害,安全管理主要在管理制度方面分为:中心机房管理制度、网络运维管理办法、信息系统运维管理办法、业务系统应用管理办法、数据安全事故处理应急预案等。组织机构代码数据安全体系架构中,各项管理制度的建立并实施,在安全体系建设以及运作过程中至关重要,可以说安全管理也是整个安全体系的总制度。
5、总结与展望
5.1总结
织机构代码的数据安全体系的研究通过部署安全系统,投入技术力量,加强网络安全管理等方式确保组织机构代码数据信息的机密性、完整性、可用性、可控性与可审查性,建设新疆维吾尔自治区组织机构代码数据安全系统,按照数据安全体系的设计目标,完成了物理环境安全、链路及网络安全、系统层安全、应用层安全、数据安全和安全管理等六个层面的设计内容,确保组织机构代码数据信息的机密性、完整性、可用性、可控性与可审查性的研究。
5.2展望
各类代码业务系统稳定运作,代码数据的安全、可靠的使用,实现代码数据安全体系的整体安全性,是为全区的电子政务建设提供规范、完整、实效的组织机构基础信息资源,为政府部门全面、快速、准确的掌握组织机构的社会和经济行为信息,增强宏观调控和决策能力的技术支撑,是企业、个体在社会经济行为中准确把握机遇,促进产业发展的信息源泉。
参考文献
[1]全国组织机构代码中心.组织机构代码管理信息系统建设与维护相关法规和文件选编[M].北京:中国计量出版社.2009.
关键词:电子政务 政务外网 总体设计方案
一、前言
2004年9月30日,根据中办发[2002]17号文件(《国家信息化领导小组关于我国电子政务建设指导意见》)以及中办发[2006]18号文件(《转发〈国家信息化领导小组关于推进国家电子政务网络建设的意见〉的通知》)要求,国家发展和改革委员会正式批复《国家电子政务外网项目立项》(发改高技[2004]2135号),明确该项目由国家信息中心负责组织建设。国家电子政务外网项目一期工程的主要任务包括:建设统一的网络平台,建设数据交换中心、安全保障系统,承载相关政府部门的业务应用系统,支持相关部门的专网接入,形成统一的管理服务体系等。
山西省电子政务外网是国家电子政务外网的省级节点,是国家电子政务外网项目的重要组成部分,同时也是国家要求尽快建设的项目。根据国家电子政务顶层设计要求,山西省电子政务外网(一期工程)总体方案,十分强调和突出全局观。山西省的电子政务建设是一个长期、复杂的发展过程,很多问题需要在实践中总结经验,为此,山西省提出了分期建设的思路,先行搭建统一的外网平台的基本架构,在此基础上不断完善和扩展,通过不断的探索和学习,逐步实现建设统一外网平台的任务。
图1 山西省电子政务外网总体框架
山西省在实施电子政务外网总体方案时,十分注重统筹协调电子政务建设中各个方面的关系。外网平台建设与山西省电子政务总体建设工作紧密相关,涉及的部门多、地域广、业务领域宽,为此,在进行电子政务外网建设方案设计时,通盘考虑了现实和未来各业务部门应用系统对网络支撑环境的具体要求,以保证外网平台既满足各应用系统的现实需求,又兼顾网络的可扩展性,为各业务部门的潜在需求提供必要的支持。按照这样的原则,山西省电子政务外网一期工程建设目标归纳为:“统一的网络平台、统一的应用支撑平台、统一的信息交换平台、统一的安全保障体系和服务体系”。
二、总体框架
山西省电子政务外网一期工程总体框架如图1所示。一期工程将建立标准统一的网络平台,支持相关政府部门的专网接入;建设省级外网网管中心;建设政务外网数据交换中心和外网综合门户网站,形成统一的外网服务体系;促进电子政务业务应用系统的互联互通、资源共享;建设政务外网安全保障体系,保证政务外网的信息安全和网络运行稳定。
从技术实现层面讲,山西省政务外网(一期工程)建设的整体基础架构分为基础网络层、业务实现层和应用系统层(如图2所示)。
图2 山西省电子政务外网基础技术架构
三、外网一期工程建设内容
根据项目规划,山西省电子政务外网(一期工程)将上联国家电子政务外网,横向联接省内各直属厅局,纵向联接11个市级政务外网,边界通过逻辑隔离联接Internet。
一期工程建设的工作重点是:按照国家的统一要求,利用公用基础通信设施和现有资源,建设统一的山西省电子政务外网平台,重点内容包括省级城域网和省-市广域网建设,实现山西省直属部分厅局城域网连接和山西省与下属各市的电子政务外网连接;根据国家电子政务广域网安全保障体系的统一标准,建设山西省电子政务外网安全保障体系;建设统一的数据交换中心和服务体系,推进应用服务系统建设,突出重点,实现信息共享、业务协同和网上服务。
⒈网络平台建设
构建统一的电子政务外网网络平台,以外网建设为核心,优先建设省级城域网、外网广域网,一期工程首先实现主要厅局的政务外网连接和省-市的政务外网。具体而言,包括以下内容:省级城域网、省-市广域网、省级网管中心(NIC/NOC)、大部分省直单位及市级政务外网的接入、互联网出口。
⒉安全保障体系建设
政务外网的建设,必须符合中办发[2002]17号文件的精神,满足与互联网逻辑隔离的要求,保障外网及其支撑的电子政务业务系统的安全可靠运行。因此,必须合理划分安全域,实施安全等级保护,建立政务外网的安全保障体系。基于网络建设分阶段实施和投资两方面的考虑,初步建设政务外网安全保障体系,包括如下三个方面的内容:
⑴网络安全防护体系,包括:网络防护与隔离系统,入侵防御系统,接入认证系统,业务隔离和加密传输系统,防病毒,防漏洞系统等;
⑵网络信任体系,包括:PKI/CA系统、权限管理系统和认证授权审计系统;
⑶安全管理体系,包括:按照国家安全保障体系建设标准,建设省级安全管理中心(SOC);以《国家电子政务标准化指南》为标准,贯彻执行国家已有安全法规标准,同时制订符合山西省政务外网自身特点和要求的有关规定和技术规范。
⒊管理服务体系建设
政务外网的建设,不仅是建设网络本身。政务外网的可持续发展,管理服务体系至关重要。事实上,以政务外网为核心的管理服务体系建设,是政务外网建设的重要组成部分,也是未来政务外网运行维护与可持续发展的基础。因此,管理服务体系的完善将贯穿政务外网建设的全过程。具体而言,建立的政务外网管理中心,具有以下职能:
⑴网络信息管理,包括域名注册、IP地址规划等;
⑵网络运行管理,包括网络运行监控、设备配置、故障排查等;
⑶安全管理,包括病毒防范、安全认证、授权管理、证书管理等;
⑷客户服务,包括服务受理、热线服务、接入服务、投诉处理等。
山西省经济信息中心有关部门在现有组织机构和队伍基础上,形成山西省、市二级网管中心原型,承担山西省电子政务外网管理中心的建设和今后的运行维护工作。在此基础上,按照统一的标准规范逐步推广、完善管理服务体系建设。
⒋应用服务系统建设
山西省电子政务应用系统建设应以需求为导向,以应用促发展,紧紧围绕深化经济结构调整,加快新型能源和工业基地建设,面向决策支持和面向公众服务,提高政府部门决策的准确性和科学性,建设高效、公开、勤政的公众服务系统。应用服务系统建设的主要内容包括以下方面:综合门户网站、公文交换、电子邮件、干部在线培训、网上审批、数据存储体系等系统。
山西省电子政务外网建成后,将选择宏观经济管理信息系统、山西省发展和改革委员会(简称“发改委”)的业务系统、“金”字工程项目在网上进行示范运行。例如,结合山西省发改委职能和中心工作,根据业务需求、经济结构调整以及“1311”项目急需的领域,进行业务应用服务系统建设,其主要内容是:
⑴办公业务系统的建设。公文运转系统,包括登记、分办、传批、办理、审核、督办、归档全过程的网上全程流转;文件、信函的智能交换和跟踪系统;政务信息、信息采编、管理信息系统;档案管理信息系统。
⑵综合经济管理业务应用服务系统的建设。主要包括:宏观经济管理信息系统;国民经济和社会发展规划与计划系统;价格监督信息系统;固定资产投资项目管理信息系统;高新技术项目管理信息系统;国外贷款投资及国际合作项目管理信息系统;社会发展信息管理系统;经济结构调整及“1311”项目系统。
⑶数据交换中心建设。建设政务外网数据交换中心,为政务信息资源和国家基础信息资源提供登记、备案、、交换和共享等公共服务,为有需求的部门和地方提供数据备份和托管服务。
⑷对电子政务信息资源目录体系与交换体系进行原型设计。首先,实现山西省政务信息资源和国家基础信息资源的目录服务,包括外网自身的目录(含设备、系统、管理员等信息)、国家政府部门黄页、白页、Web服务的目录(含各级政府部门机构名称、电话、邮件地址、办公地点、网址)等;其次,建立和完善政务信息分类标准、登记制度和交换制度,逐步建立完善的信息采集、登记、处理、交换、利用和平台。
⒌综合门户网站建设
初步建设“面向外网用户、以内容管理为基础”的政务外网综合门户网站。政务外网综合门户网站是政务外网用户的入口网站,是为用户提供信息服务、互动式和“一站式”服务的总门户。
⒍标准规范建设
统一标准规范是实现政务外网互联互通的基础之一。政务外网建设,要遵循统一的标准规范。首先,要遵守国家电子政务外网的标准规范,执行国务院信息化工作办公室颁布的我国电子政务相关标准;同时,依据外网建设的实际需要,采用其他国际相关标准和我国的其他有关国家标准,包括国际互联网工作组(IETF)、国际电联(ITU)、国标(GB)等有关标准。此外,在国家信息中心指导下,山西省信息中心还将结合山西省的实际情况制定有关地方规范,主要涉及外网工程实施的技术要求和规定,包括外网体系结构,IP地址、域名、路由规划,安全保障体系结构,外网接入规范,设备和软件选型参考规范等;同时,要研究制定整体框架标准,数据建模标准,数据交换标准,应用系统标准和应用集成标准等。
⒎设备选型依据
根据山西省电子政务外网建设需求,在方案和设备选型上必须遵循高性能、高可靠性、高安全性、高扩展能力、技术先进性、实用性、灵活性和可管理性等多方面因素相结合的原则。从技术角度出发,核心和骨干设备应采用国内外知名品牌(尽量与国家电子政务外网保持一致),保证质量和服务能力;全网路由器和核心交换机均应具备三层MPLS VPN特性,保证电子政务业务隔离的关键需求;全网设备需具有QoS支持,保证未来视频、语音、数据等业务的流量带宽保证和服务质量;核心网络设备均需满足2.5G核心速率的接口要求。
根据该项目的实际情况和特点,将通过多方面的比较和衡量,选择合适的网络、存储产品以及解决方案,采用高性能的服务器等;门户网站、各应用服务系统则根据具体情况选择实力强、产品适合的软件开发公司定制。
从总体上看,山西省电子政务外网建设项目既是国家电子政务外网建设不可缺少的一个重要节点,又是山西省电子政务外网建设中全局性、关键性的工程项目。统一的外网平台是山西省电子政务系统联结各部门业务系统的桥梁和纽带,是未来政务工作的“高速公路”。政务外网提供的高度集成化、一体化、规范化的服务,其本质是为各业务系统的安全、顺畅、高效的数据传输、信息交换等构造网络基础环境,它是未来实现各业务系统互联、互通、互操作以促进资源共享的基础性工作。因此,应按照统一规划,统一标准,整合资源,保障安全的原则尽快建设好山西省电子政务外网。
作者介绍:
关键词:医院;信息化;网络;安全
中图分类号:TP309.2
随着医改的不断深入,借助信息化提高医院的管理水平和服务质量已成为大势所趋,伴着网络技术的迅猛发展,Web化应用呈现出爆发式增长趋势,一方面,增强了各行业及部门间的协作能力,提高了生产效率,另一方面也不可避免的带来了新的安全威胁。从国家到地方,卫生行政主管部门非常重视医院信息安全,与公安部门联合发文,要求医院完成等级保护工作。
1 我院网络安全建设现状
1.1 医院信息系统现状
我院的信息信息系统主要有:医院信息管理系统(HIS)、医学影像信息系统(PACS)、临床实验室检验信息系统(LIS)、电子病历系统(EMR)、手术麻醉信息系统(AIMS)、医院办公自动化系统(HOA)等。随着各系统应用的不断深入,以及这些系统与医保、合疗、健康档案、财务、银行一卡通等系统的直连,安全问题已越来越突显,网络安全作为信息安全的基础,变得尤为重要。
1.2 网络安全现状与不足
1.2.1 网络安全现状
(1)我们采用内外网物理隔离,内网所有U口禁用。对开放的U口通过北信源的桌面管理软件进行管理;(2)内外网都使用了赛门铁克的网络杀毒软件,对网络病毒进行了防范;(3)与外部连接。
内网与省医保是通过思科防火墙、路由器和医保专线连接进行通信;与市医保是通过联想网御的网闸、医保路由器与医保专线连接进行通信;与合疗及虚拟桌面是通过绿盟的下一代防火墙与互联网进行通信;与健康档案是通过天融信的VPN与互联网进行通信的。另外,内网与财务专用软件、一卡通也是通过网闸及防火墙进行通信的。
另外,我们有较完善的网络安全管理制度体系,这里不再赘述。
1.2.2 网络安全存在的问题
(1)由于医院信息系统与外部业务连接不断增长,专线与安全设备比较繁杂,运维复杂度较高;(2)通过部署网络杀毒软件及安全设备,虽然提升了网络的安全性,但却带来了系统性能下降的问题,如何在不过多影响整体网络性能的前提下,又可以完善整网的安全策略的部署,是后续网络优化所需要重点关注的;(3)终端用户接入网络后所进行的网络访问行为无法进行审计和追溯。
2 医院网络层安全策略部署规划
在等级保护安全策略指导下,我们将整个医院的安全保障体系设计分为安全管理体系建设和安全技术体系建设两个方面,其中安全技术体系建设的内容包括安全基础设施(主要包括安全网关、入侵防护系统、安全审计系统等),安全管理体系建设的内容包括组织、制度、管理手段等。通过建立医院安全技术体系、安全服务体系和安全管理体系,提供身份认证、访问控制、抗抵赖和数据机密性、完整性、可用性、可控性等安全服务,形成集防护、检测、响应于一体的安全防护体系,实现实体安全、应用安全、系统安全、网络安全、管理安全,以满足医院安全的需求[1]。
在这里,我主要从安全技术体系建设方面阐述医院网络层安全策略。
网络层安全主要涉及的方面包括结构安全、访问控制、安全审计、入侵防范、恶意代码防范、网络设备防护几大类安全控制。
2.1 安全域划分[2]
2.1.1 安全域划分原则
(1)业务保障原则。安全域方法的根本目标是能够更好的保障网络上承载的业务。在保证安全的同时,还要保障业务的正常运行和运行效率;(2)适度安全原则。在安全域划分时会面临有些业务紧密相连,但是根据安全要求(信息密级要求,访问应用要求等)又要将其划分到不同安全域的矛盾。是将业务按安全域的要求强性划分,还是合并安全域以满足业务要求?必须综合考虑业务隔离的难度和合并安全域的风险(会出现有些资产保护级别不够),从而给出合适的安全域划分;(3)结构简化原则。安全域方法的直接目的和效果是要将整个网络变得更加简单,简单的网络结构便于设计防护体系。比如,安全域划分并不是粒度越细越好,安全域数量过多过杂可能导致安全域的管理过于复杂和困难;(4)等级保护原则。安全域的划分要做到每个安全域的信息资产价值相近,具有相同或相近的安全等级安全环境安全策略等;(5)立体协防原则。安全域的主要对象是网络,但是围绕安全域的防护需要考虑在各个层次上立体防守,包括在物理链路网络主机系统应用等层次;同时,在部署安全域防护体系的时候,要综合运用身份鉴别访问控制检测审计链路冗余内容检测等各种安全功能实现协防;(6)生命周期原则。对于安全域的划分和布防不仅仅要考虑静态设计,还要考虑不断的变化;另外,在安全域的建设和调整过程中要考虑工程化的管理。
2.2.2 区域划分
业务网内部根据业务类型及安全需求划分为如图1所示的几个个安全区域,也可以根据医院自己的业务实际情况,添加删减相关的安全域,网络规划拓扑图[3]如下:
图1
(1)外联区:主要与医保网、外联单位进行互联,此区域与数据中心核心交换机互联;在外联区接入处部署防火墙、IPS、硬件杀毒墙,也可以部署下一代防火墙产品,添加IPS功能模块、杀毒功能模块,通过防火墙、IPS、杀毒进行访问控制,实现安全隔离;与数据中心核心交换机处部署网闸设备,实现物理隔离;(2)运维管理区:主要负责运维管理医院信息化系统,此区域与数据中心核心交换机互联;在运维管理区与核心交换机之间部署堡垒机(SAS-H),对运维操作进行身份识别与行为管控;部署远程安全评估系统(RSAS),对系统的漏洞进行安全评估;部署安全配置核查系统,对系统的安全配置做定期检查;部署日志管理软件,对网络设备、安全设备、重要服务器的日志做收集整理和报表呈现;部署网络版杀毒系统,与硬件杀毒墙非同一品牌;部署网络审计系统,对全网所有用户行为进行网络审计;部署主机加固系统,对重要服务器定期进行安全加固,以符合等保的安全配置要求;(3)办公接入区:主要负责在住院部大楼、门急诊楼、公寓后勤楼等办公用户的网络接入;接入汇聚交换机旁路部署IDS;与核心交换机接入采用防火墙进行访问控制;重要办公用户安装桌面终端系统控制非法接入问题;(4)核心交换区:主要负责各个安全域的接入与VLAN之间的访问控制;在两台核心交换机上采用防火墙板卡,来实现各个区域的访问控制。在核心交换机旁路部署安全审计系统,对全网数据进行内容审计,可以与运维管理区的网络审计使用同一台;(5)互联网接入区:主要负责为办公区用户访问互联网提供服务,以及互联网用户访问门户网站及网上预约等业务提供服务;在互联网出口处,部署负载均衡设备对链路做负载处理;部署下一代防火墙设备(IPS+AV+行为管理),对进出互联网的数据进行安全审计和管控;在门户服务器与汇聚交换机之间部署硬件WEB应用防火墙,对WEB服务器进行安全防护;在门户服务器上安装防篡改软件,来实现对服务器的防篡改的要求;部署网闸系统,实现互联网与业务内网的物理隔离要求;(6)数据中心区:此区域主要为医院信息系统防护的核心,可分为关键业务服务器群和非关键业务服务器群,为整个医院内网业务提供运算平台;在非关键业务服务器群与核心交换区之间部署防火墙和入侵保护系统,对服务器做基础的安全防护;在关键业务服务器群与核心交换机之间部署防火墙、入侵保护系统、WEB应用防护系统,对服务器做安全防护;(7)开发测试区:为软件开发机第三方运维人员提供接入医院内网服务,与核心交换机互联;部署防火墙进行访问控制,所有的开发测试区的用户必须通过堡垒机访问医院内网;(8)存储备份区:此区域主要为医院信息化系统数据做存储备份,与核心交换机互联。
2.2 边界访问控制[1]
在网络结构中,需要对各区域的边界进行访问控制,对于医院外网边界、数据交换区边界、应用服务区域边界及核心数据区边界,需采取部署防火墙的方式实现高级别的访问控制,各区域访问控制方式说明如下:
(1)外联区:通过部署高性能防火墙,实现数据中心网络与医院外网之间的访问控制;(2)核心交换区:通过核心交换机的VLAN划分、访问控制列表以及在出口处部署防火墙实现对数据交换区的访问控制;(3)数据中心区:通过核心交换机的VLAN划分、访问控制列表以及在出口处部署防火墙实现对应用服务区的访问控制;(4)运维区:通过核心交换机的VLAN划分、访问控制列表以及在出口处部署防火墙实现对核心数据区的访问控制;(5)互联网区:与内网核心交换区采用网闸系统进行物理隔离;与互联网出口采用防火墙实现访问控制;(6)开发测试区:通过核心交换机的VLAN划分、访问控制列表以及在出口处部署防火墙实现对应用服务区的访问控制;(7)办公网接入区:通过核心交换机的VLAN划分、访问控制列表以及在出口处部署防火墙实现对应用服务区的访问控制;(8)备份存储区:通过核心交换机的VLAN划分、访问控制列表以及在出口处部署防火墙实现对应用服务区的访问控制。
2.3 网络审计[1]
网络安全审计系统主要用于监视并记录网络中的各类操作,侦查系统中存在的现有和潜在的威胁,实时地综合分析出网络中发生的安全事件,包括各种外部事件和内部事件。在数据中心核心交换机处旁路部署网络行为监控与审计系统,形成对全网网络数据的流量检测并进行相应安全审计,同时和其他网络安全设备共同为集中安全管理提供监控数据用于分析及检测。
网络行为监控和审计系统将独立的网络传感器硬件组件连接到网络中的数据汇聚点设备上,对网络中的数据包进行分析、匹配、统计,通过特定的协议算法,从而实现入侵检测、信息还原等网络审计功能,根据记录生成详细的审计报表。网络行为监控和审计系统采取旁路技术,不用在目标主机中安装任何组件。同时玩了个审计系统可以与其他网络安全设备进行联动,将各自的监控记录送往安全管理安全域中的安全管理服务器,集中对网络异常、攻击和病毒进行分析和检测。
2.4 网络入侵防范[1]
根据数据中心的业务安全需求和等级保护三级对入侵防范的要求,需要在网络中部署入侵防护产品。
入侵防护和产品通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测产品应支持深度内容检测、技术。配合实时更新的入侵攻击特征库,可检测网络攻击行为,包括病毒、蠕虫、木马、间谍软件、可疑代码、探测与扫描等各种网络威胁。当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。
入侵防护产品部署在数据中心与核心交换机之间,继防火墙边界访问控制后的第二道防线。
2.5 边界恶意代码防范[1]
根据数据中心业务风险分析和等级保护三级对边界恶意代码防范的要求,需要在互联网边界部署防病毒产品,也可以在下一代防火墙添加防病毒模块来实现此功能;防病毒产品应具备针对HTTP、FTP、SMTP、POP3、IMAP以及MSN协议的内容检查、清除病毒的能力。支持查杀引导区病毒、文件型病毒、宏病毒、蠕虫病毒、特洛伊木马、后门程序、恶意脚本等各种恶意代码,并定期提供对病毒库版本的升级。
2.6 网络设备保护[1]
对于网络中关键的交换机、路由器设备,也需要采用一定的安全设置及安全保障手段来实现网络层的控制。主要是根据等级保护基本要求配置网络设备自身的身份鉴别与权限控制,包括:登录地址、标识符、口令复杂度、失败处理、传输加密、特权用户权限分配等方面对网络设备进行安全加固。
由于不同网络设备安全配置的不同、配置维护工作繁杂,且信息安全是动态变化的,因此这里推荐通过自动化的配置核查设备,对网络层面和主机层的安全配置进行定期扫描核查,及时发现不满足基线要求的相关配置,并根据等级保护的安全配置要求提供相对应的安全配置加固指导。
3 结束语
通过以上六个方面的安全加固,重点解决了医院当前网络安全环境中面临的主要问题。随着医院数字化进程的不断深入,我们还将重点跟踪网络安全方面出现的新问题、新的技术思路和新的技术解决方案,做好医院的网络安全工作,为医院信息化建设保驾护航。
目前,网络已经深刻影响与改变现有的医疗模式[4],网络安全已成为医院信息化建设中的重中之重,它是一项复杂而艰巨的系统工程,需全方位入手,切实保障医院各信息系统安全稳定的运行、医院各项工作顺利的开展,真正为广大患者提供优质便捷的服务。
参考文献:
[1]GB/T 22239-2008,信息系统安全等级保护基本要求[S].
[2]GB/T 9387.2-1995,开放系统互连基本参考模型第2部分:安全体系结构《医疗机构》,P14-P18:安全服务与安全机制的配置[S].
[3]ISO 10181:1996 信息技术开放系统互连开放系统安全框架[S].
[4]陈理兵,陈起燕.论医院网络应用系统的安全设计[J].福建电脑,2013(11).
关键词:计算机网络;网络安全;威胁;防范措施
互联网一直不平静,近来闹得沸沸扬扬的“斯诺登事件”和“棱镜门”揭示了黑客行为不单是个人所为,还有政府组织背景。笔者无意探讨其中的是非曲折,仅结合计算机网络中的一些的安全威胁及防范措施进行分析和探讨。据《CNCERT互联网安全威胁报告》,2013年4月份我国境内感染网络病毒的终端数近371万个;被篡改网站数量为9020个,其中被篡改政府网站数量为810个;CNVD收集到系统安全漏洞732个,其中高危漏洞226个,可被利用实施远程攻击的漏洞有624个。这里指出了计算机网络常见的几大安全威胁:病毒、网络攻击、安全漏洞。下面进行讨论。
一、网络安全与主要威胁
1.关于网络安全。网络安全是指计算机网络系统的软硬件以及系统数据处于保护状态,不因自然因素或人为恶意破坏而导致系统破坏、数据被恶意地篡改和泄漏,从而保证计算机系统可以安全、可靠、稳定的运行。从该定义可以看出,“棱镜门”导致全球范围内难以计数的计算机系统受到了安全威胁,因为在人们不知不觉中个人信息可能已经泄漏出去了。
2.计算机网络主要威胁。(1)病毒威胁。按照《中华人民共和国计算机信息系统安全保护条例》给出的定义,病毒(Virus)是编写或插入计算机程序中,具有破坏计算机功能或数据,影响计算机使用并且可以自我复制的一组计算机指令或程序代码。计算机病毒可以像生物病毒那样,通过电脑硬盘、光盘、U盘、网络等途径自我复制而大量传播,也能像生物病毒对待宿主那样造成巨大破坏,例如几年前“熊猫烧香”病毒的破坏力人们记忆尤存。(2)木马威胁。木马(Trojan)源于希腊传说特洛伊木马计的故事。木马也是一种计算机程序,与病毒不同的是它一般不会自我复制,也不会感染其他文件,而常常伪装成游戏或对话框吸引用户下载,一旦进入用户计算机系统就如同施了特洛伊木马计那样,在用户电脑中破坏、盗取数据或者通过远程操控用户电脑。可见,木马的危害不亚于病毒。(3) 黑客攻击。黑客(Hacker)是指那些利用网络攻击技术攻击计算机网络中的计算机系统的人。黑客攻击目标可能是个人电脑,也可能是企业、政府部门的服务器系统,攻击所要达到的目的可以是获取商业机密,进行网络诈骗、网络钓鱼,也可能怀有某种政治目的而进行破坏,如篡改网站,攻击政府、企事业单位的网站而使其瘫痪。(4)安全漏洞。安全漏洞是指计算机系统中存在的可能被黑客利用的缺陷,它包括系统漏洞、应用软件漏洞、网络设备漏洞、安全产品漏洞(如防火墙、入侵检测系统等存在的漏洞)等。漏洞是客观存在的,而且很难完全避免,这是由计算机系统的复杂性所决定的。但有那么一些漏洞是人为设置的,如软件后门。(5)操作与管理漏洞。有些计算机用户操作不当及安全意识较差。例如无意中的操作失误,口令设置过于简单,随意将自己的帐号转借给他人或者与人共享等。部分集团用户缺乏严密的管理措施,使内部网络容易受到攻击,如一些单位的局域网、校园网为了便于资源共享,访问控制或安全通信方面有所欠缺,采用移动设备无线传输数据时不经过必要的安全检查,增加了数据泄密的几率。
3.网络威胁的后果。计算机网络中的威胁已带来许多不良影响,比较典型的后果有:一是数据丢失,对于失去重要的商业资料,其经济损失难以估量;二是系统瘫痪,对于一些经营性网站将无法提供服务;三是机密失窃,对于推行办公自动化的部门、单位而言,核心机密失窃不仅意味着巨大经济损失,而且对其以后发展可能是致命的;四是威胁社会安定,一些政府网站信息资料被篡改及传播谣言,将对社会稳定构成极大威胁。
二、计算机网络安全防范措施
1.构建网络安全防护体系。目前,网络安全的形势已不单局限于国内、某一部门、单位或个人,“棱镜门”事件说明网络安全更需要国际合作。从国内来说网络安全的法律体系尚不完善,针对网络犯罪存在一些明显的不足,例如量刑程度较粗,相比传统犯罪刑罚偏轻,所以健全法律法规体系建设是确保网络安全的基础。网络安全防护体系应由网络安全评估体系、网络安全服务体系和安全防护结构体系组成。评估体系是对网络漏洞、管理进行评估;服务体系包括应急服务体系、数据恢复服务和安全技术培训服务;防护结构体系包括病毒防护体系、网络访问控制技术、网络监控技术和数据保密技术。
2. 网络安全技术防范措施。(1) 重视安全漏洞的修补。安全漏洞意味着系统存在可预知的不足,既然如此就应当设法弥补漏洞。如系统漏洞、应用软件漏洞可借漏洞扫描软件定期扫描找出漏洞,再打足补丁。对于操作系统和应用软件应该开启实时更新功能,及时打上补丁或更新软件。(2)防范病毒。一般可通过安装防病毒软件防范病毒攻击。防病毒软件有单机版和网络版两种类型。单机版可用于个人电脑和局域网内使用,网络版可用于互联网环境。但需要注意的是,在当今网络环境中使用防病毒软件也只能提供有限度的防护,对于黑客入侵并不总有效,仍需要其他安全防护措施。(3)利用好防火墙技术。防火墙技术实质上是隔离内网与外网的屏障,避免非授权访问。使用防火墙的关键是合理配置,不少人却忽略了这一点。正确配置方案包括身份验证、口令验证级别以及过滤原则等。(4)访问控制技术。访问控制就是根据用户身份设置不同的访问权限。通过访问控制技术可阻止病毒或恶意代码入侵,减少非授权用户访问行为。(5)数据加密技术。数据加密可有效防止机密失窃,即使数据传输时被截获,信息也不会完全泄漏。数据加密方法一般可分为对称加密算法和非对称加密算法两种,前者加密与解密的密钥相同,系统安全性与密钥安全性关系较大;后者加密与解密密钥不同,且需要一一对应,安全性更高。(6)其他常用安全技术。如入侵防御技术(IPS)、入侵检测技术(IDS)、虚拟专用网技术(VPN)、网络隔离技术等。日常应加强数据备份管理,确保数据丢失、破坏后可以迅速恢复。
三、结语
计算机网络已经改变了人们的生活方式,也提升了生活质量,但无法忽略的是网络威胁也始终相伴。通过有效的管理机制、技术防范措施,可以减少网络威胁所带来的问题,然而没有绝对安全的技术,唯有不断提高安全意识和更新安全技术,才能最大限度地保障网络安全。
参考文献:
在中国,电子商务的发展还处于初级起步阶段,但我国政府已经意识到电子商务对整个社会的经济发展有着巨大推动作用,近几年电子商务在各行各业都得到较快发展,但仍然存在一些不足的问题,需要改进。随着因特网的飞速发展,电子商务对我国政府、企业、社会经济、消费者产生巨大的影响。
1.1电子商务进入规模发展阶段。中国电子商务研究中心数据显示,截止到2012年底,中国电子商务市场交易规模达7.85万亿人民币,同比增长30.83%。其中,B2B电子商务交易额达6.25万亿,同比增长27%。而2011年全年,中国电子商务市场交易额达6万亿人民币,同比增长33%,占GDP比重上升到13%;2012年,电子商务占GDP的比重已经高达15%。预计2013年我国电子商务规模将突破十万亿大关。
1.2支撑体系不断完善,逐步趋于协调发展。电子认证、在线支付、现在物流、信用等电子商务支撑体系建设全面展开,出具规模,呈现出支撑体系建设与电子商务应用相互促进、协调发展的新局面。物流专业化分工和社会程度逐步提高,物流信息化建设形成一定规模,第三方物流产业迅速发展。信用体系建设得到重视,部分地区加大了信用体系建设的力度,区域性信用信息服务体系建设步伐加快。40余项电子商务和物流标准陆续颁布,标准推广应用工作进一步深化。
二、影响电子商务发展的主要问题
2.1电子商务的社会信用体系没有形成。诚信作为中国传统社会所提倡的伦理道德观念,早已成为整个社会一个重要的道德评判标准,然而当今社会因为种种原因失信现象比较严重,特别是在网络交易中诚信问题是不容忽视,信用度的匮乏使得我国电子商务的发展举步维艰。目前网上交易中诚信的缺失主要表现有网上样品与实际销售产品不一致、假借或盗用知名企业产品品牌和商标、售后服务的不到保证、网络广告存在欺骗等。
2.2信用问题。供需双方的网上交易,相互信任是成交的根本保证。通过计算机网络来进行这些商业活动,电子商务虽然在诸多方面对传统商业交易有所改进。但在商业信用问题上仍然没有彻底得到改观,尤其我国市场还不很成熟。假冒伪劣商品泛滥。而网上交易又不能让消费者对商品亲自试用鉴别。所以有很多消费者对电子商务网而却步。
2.3电子商务法制问题不健全。完善的法律是开展电子商务的必要条件,与发达国家相比,我国的电子商务方面的法律法规还不健全,这也阻碍了电子商务的进一步发展。近年来,我国制定出台了一些涉及网络安全和因特网管理的法规,但有关发展电子商务统一指导框架和专门立法还存在空缺,首先由于电子商务的交易活动是在没有固定场所的国际信息网路环境下进行,造成国家难以控制和收取电子商务的税金。因此,根据目前的情况和未来的发展,在制定与电子商务有关的政策法规时,需要重新审视传统的税收和手段,有必要对税率和纳税方法进行规范,建立新的、有效的税收制度。其次是知识产权保护,特别是在网上直接提供的无形新产品和服务的知识产权,,如网上数据、软件、游戏、音像制品等,对电子商务的电子合同、电子签名等合法性也缺乏必要的法律条文和科学解释。
2.4电子商务的国际化问题。我国已经成为WTO的成员国,但是,目前国内很多中小企业甚至一些大企业,还没有构建自己的电子商务平台,制约了走出国门,与国际交流和合作的机会,不能适应全球经济一体化的大趋势。
2.5.电子商务人才贫缺。虽然我国目前开展电子商务教学的高校很多。但教育大多局限于计算机网络基础知识,某些语言数据库、管理信息系统或内部网络系统的教育,毕业生在短期内大都不能适应企业电子商务应用的要求。无论是系统设计者、软件设计人员,还是网络实施者都十分缺乏,这已严重阻碍了我国电子商务发展的步伐。
三、我国发展电子商务的对策
3.1建立相应机制和标准。解决信用问题采取过设置的运行机制和运行标准。确保供需双方建立商业信用。并通过某些监督机构进行监督和管理。政府应制定我国电子商务发展的相关法律、法规和政策来增强网上交易和信任与安全。是电子商务在公平、合理、高效的环境下得到健康、持续、快速的发展。
3.2注重电子商务人才培养。目前,人们的电子商务意识还很淡薄,都计算机的知识掌握不够,部门、行业信息的电子化方面力量严重不足。因此尽快普及电子商务有关知识,充分利用各种途径和手段,采用多种形式加强电子商务宣传、知识普及和安全教育工作,强化守法、诚信、自律观念的引导和宣传教育,提高社会各界对发展电子商务重要性的认识,多渠道培养、引进并合理使用好一些素质较高、层次合理、专业配套的网络、计算机及经营管理的专业人才,是一项非常重要的工作。
3.3建立相应机制,共同解决电子商务的安全问题。一个安全的电子商务系统。首先要有一个安全、可靠的通信网络,以保证交易信息安全迅速的传递;目前虽然还没有电子商务安全的完整解决方案,但是我们可以不断完善协议和操作系统的安全漏洞。同时采用加密数字签名等来增强网络安全技术内容的广泛性。最后增强网络安全设备的性能,加强监测技术的可靠性。有此形成一个全方位的安全系统。同时我国政府还应修改现行法律和制定有关的法律,从而形成为电子商务的发展提供一个相对宽松而又安全的法律保障电子商务法对电子商务发展的影响。电子商务不能忽视网络安全。如果商业机密被盗取,信息系统被破坏,大批数据丢失,都将对企业的生产带来严峻的考验,使之在竞争中处于不利地位。解决电子商务安全问题在开放网络上处理交易,如何保证数据的安全成为电子商务能否普及的最重要的因素之一。
关键词:电子政务 网络信任体系 单点登录 跨域认证 访问控制
引言
随着中国电子政务建设的不断深入,新问题、新困难接踵而来。电子政务领域中的网络要做到“安全、可信、可控、可管、有中心”,就必须加强以密码技术为基础的信息保护和网络信任体系建设。
在我国电子政务网络信任体系的建设中,各级党政部门按照国家的统一规划和相关要求,初步构建了网络信任体系,为办公人员颁发了数字证书,实现基于密码技术的身份认证、授权管理和责任认定。但是由于各部门办公网络独立建设,各级部门数据资源在互联互通和数据共享时存在跨网络域的情况,如何基于网络信任服务体系,实现跨网络、跨区域、跨部门数据资源的互联互通和共享访问控制,已经成为亟需解决的问题。
因此,解决中国电子政务领域的跨域单点登录访问控制,已经成为电子政务信任体系建设向纵深发展的关键所在。本文重点探讨跨域单点登录管理平台的支撑因素、核心组成、关键技术、应用场景等,为中国电子政务信任体系建设所面临的关键问题提出了切实可行的解决方法。
一、跨域单点登录管理平台在电子政务中的地位和作用
电子政务网络不同于互联网。互联网没有中心、没有管理、开放而安全性较低。电子政务网络的建设是为政府办公所服务,需要有一个“有中心、有管理、安全、可信、可控”的网络基础环境。
跨域单点登录管理平台就是在统一管理中心的控制与调度下,对于整体网络中的各个局域网进行统一管理,在网络信任体系的基础上,建立一个安全可信的互联互通机制。
电子政务发展至今,基于密码技术的网络信任体系建设已经覆盖许多领域。在同一个信任体系下的局域网中可以实现基于数字证书的单点登录。但是在不同的网络域之间的数据访问控制和单点登录就难以实现。究其原因,主要是各自独立建设的应用系统没有统一的管理机制,各个不同的网络没有统一的认证机制。因此,这种状况一方面阻碍了电子政务网络信任服务体系的发展,另一方面也阻碍了电子政务业务应用和数据资源的互联互通和数据共享。
跨域单点登录管理平台在网络信任体系的发展过程中起到了承上启下的作用。该管理平台解决了目前所存在的跨域访问控制的问题,为电子政务信任体系向纵深发展提供了技术支撑,为基于网络信任体系的数据资源的大规模互联互通和共享访问奠定了基础。
二、电子政务网络信任体系对跨域单点登录管理平台的支撑
跨域单点登录管理平台的建立需要网络信任体系对其提供支撑,统一的信任服务、统一的用户管理、统一的资源授权是必不可少的重要支撑。
⒈统一信任服务
统一信任服务是跨域单点登录管理平台的必要支撑。统一信任服务为电子政务网络中的所有用户提供数字证书的服务,全网内的用户使用数字证书作为网内的唯一身份标识。
⒉统一用户管理
统一用户管理为全网内所有的用户提供了统一用户服务,将用户按照部门级别以及不同的角色进行管理。跨域单点登录管理平台通过统一的用户管理对全网内所有的用户进行管理。有了统一用户管理,跨域单点登录管理平台才能将数字证书与全网用户进行对应,从而解决跨域单点登录时的身份认证问题。
⒊统一资源授权
统一资源授权对全网内所有的应用系统进行管理,将不同部门所建设的不同应用系统进行统筹。每个用户在网内所对应的权限不同,统一资源授权将对应用户权限进行管理,为每个用户在全网内分配不同的访问权限。有了统一资源授权,跨域单点登录管理平台便可以在身份认证后,为不同用户进行附权。
三、跨域单点登录管理平台的核心组成
跨域单点登录管理平台的核心组成包括全域安全认证管理中心和跨域单点登录安全认证系统。
⒈全域安全认证管理中心
如图1所示,全域安全认证管理中心对全网内所有的跨域单点登录安全认证系统进行统一的管理。全域安全认证管理中心负责调度跨域单点登录安全认证系统,是整个跨域单点登录安全认证系统的核心。
全域安全认证管理中心主要实现如下功能:
⑴以跨域单点登录安全认证系统为节点,实现网络拓扑管理
在政府某个专有网络中,一般都由多个相对独立的局域网组成,总体网络结构比较复杂。在此基础上实现跨域单点登录,就需要一个全域安全认证管理中心和多个跨域单点登录安全认证系统来实现。单点登录安全认证系统可以在网络边界处,也可以在应用系统前,甚至在一个局域网中有多个单点登录安全认证系统,所以全域的安全认证管理就非常重要。
通过全域安全认证管理中心,将全域中的所有单点登录安全认证系统管理起来。管理以网络拓扑为基础,直观地对复杂网络进行管理,实现远程配置、数据同步。
⑵以全域安全认证管理中心为核心,实现跨域认证管理
全域安全认证管理中心是整个跨域单点登录管理平台的核心。单点登录安全认证系统是节点认证设备。在用户认证过程中,需要全域安全认证管理中心对用户的信息进行在线验证。单点登录安全认证系统对外域用户的访问请求,将由全域安全认证管理中心统一管理。
⑶以组织结构为基础,实现统一用户管理
全域安全认证管理中心将全域用户进行统一管理。以部门、单位为组织基础,并定义人员角色,将跨域应用访问权限与人员、部门或者角色相关联。通过一个组织架构管理全网用户,并将用户的访问权限同步到每个跨域单点登录安全认证系。
⑷以资源信息目录为基础,实现统一授权
全域安全认证管理中心将全网所有的信息资源、应用系统进行统一管理。为了实现对于用户的统一授权,必须建立资源信息目录,将各个局域网内的信息资源进行统一管理。
⒉跨域单点登录安全认证系统
跨域单点登录安全认证系是跨域单点登录管理平台的节点设备。该设备可以部署在网络边界处,以实现网络域的跨域访问控制(如图2所示)。
该设备也可以部署在应用系统前,以实现跨域的单点登录(如图3所示)
跨域单点登录安全认证系统主要实现如下功能:
⑴以数字证书为基础,实现强身份认证
跨域单点登录安全认证系统的首要作用,就是对用户的访问请求进行身份认证。在统一信任服务的支撑下,全域用户使用数字证书作为全网内用户身份的唯一标识。通过数字证书,使用签名验签的方式进行强身份认证。在实现跨域单点登录,提高办公效率的同时,保证基础安全性。
⑵以断路式部署为要求,实现网络防攻击
跨域单点登录安全认证系统作为节点设备,可以部署在网络边界,也可以部署在应用系统前。无论部署在何处,跨域单点登录安全认证系统若进行断路式部署,都需要起到安全防护的作用,保护跨域单点登录安全认证系统后的网络资源或者应用资源,以实现网络防攻击。
⑶以应用整合为前提,实现单点登录
跨域单点登录安全认证系统部署在应用系统前,就需要对所保护的应用系统进行整合。无论本域用户还是外域用户,只要进过全域安全认证管理中心进行授权,就能对应用系统实现单点登录。
三、跨域单点登录管理平台的关键技术
跨域单点登录管理平台实现跨域的单点登录与访问控制,需要突破双向访问控制、单点登录、身份认证信息跨域传递等关键技术。
⒈双向访问控制技术
一般的安全防御设备或者安全认证设备对用户的认证,尤其是基于数字证书的身份认证都是单向的。随着电子政务信任体系建设的深入,一个网络对外域用户的进入进行身份认证、访问控制都是必不可少的,但是对于域内用户出域的访问控制的需求也越来越迫切。一般的单向访问控制设备不能满足这个要求,若部署两台设备分别做进出管理,则对网络结构进行大量调整,同时增加投资成本。因此,双向访问控制技术是解决跨域单点登录的关键技术之一。
跨域单点登录安全认证系统部署在网络边界时,通过一台设备实现双向访问控制,解决网络中安全接入与安全访问的问题,较单向访问控制设备更具普遍性与实用性。
⒉跨域单点登录技术
一般的单点登录技术已经较为成熟,能够解决网内用户的单点登录需求。而跨域的单点登录技术,需要在全网内实现,有很高的技术壁垒。
跨域单点登录管理平台实现的跨域单点登录技术,需要由全域安全认证管理中心进行统一调度,由跨域单点登录安全认证系统整合单个域内的应用资源。通过全域安全认证管理中心与一个或者多个跨域单点登录安全认证系统实现跨域单点登录。每个用户使用数字证书作为全域内唯一身份标识,由全域安全认证管理中心对用户在全域内所有的访问权限进行管理,当用户使用任何一个跨域单点登录安全认证系统进行身份认证后,就能够实现全域内的单点登录。
⒊身份认证信息跨域传递技术
为了实现跨域单点登录,身份认证信息跨域传递技术是必不可少的。全网内只有一个全域安全认证管理中心,而同时存在多个跨域单点登录安全认证系统。当用户需要访问非本域内的应用资源时,用户与该应用资源之间可能有多个跨域单点登录安全认证系统,若用户每经过一个单点登录安全认证系统就需要做一次身份认证,则整个系统的效率就非常低,同时在使用层面考量,不易被用户所接受。
单点登录安全认证系统在对用户完成身份认证后,将自动分析用户数据的目的地址,若目的地址将经过另一个单点登录安全认证系统时,则该单点登录安全认证系统将把用户身份认证的信息自动传递到下一个单点登录安全认证系统中,而下一个单点登录安全认证系统将直接认为用户可信,不再对用户进行身份认证。以下依次类推。所以,只要有了身份认证信息跨域传递技术,无论用户与被访问的应用资源之间有多少个单点登录安全认证系统,用户只需做一次身份认证,在保证安全性的同时提高了访问效率,从而实现了“一次认证、全域通行”。
四、跨域单点登录管理平台在电子政务中的应用
跨域单点登录管理平台在电子政务中的应用场景将是多种多样的。图4展示了其典型应用方式。
如图4所示,局域网1的网络边界处部署了跨域单点登录安全认证系统1;局域网2的网络边界处部署了跨域单点登录安全认证系统2;局域网2的应用系统前部署了跨域单点登录安全认证系统3;网络核心处部署了全域安全认证管理中心。
跨域单点登录安全认证系统1实现双向访问控制,保护局域网1的所有网络资源;跨域单点登录安全认证系统2实现双向访问控制,保护局域网2的所有网络资源;跨域单点登录安全认证系统3实现应用整合,保护局域网2的所有应用资源。
⑴跨域单点登录
以局域网1用户访问局域网2中的应用资源为例。
①身份认证:用户使用数字证书在跨域单点登录安全认证系统1上进行基于数字证书的强身份认证。
②身份认证信息传递:用户经过认证后,跨域单点登录安全认证系统1自动将用户的身份认证信息传递到跨域单点登录安全认证系统2,跨域单点登录安全认证系统2再将身份认证信息传递到跨域单点登录安全认证系统3。
③单点登录:此时用户便可在一次认证后,穿越各个跨域单点登录安全认证系统,直接访问局域网2中的应用资源1以及应用资源2,不需再次进行身份认证,实现跨域单点登录。
④局域网2中的用户访问局域网1中的应用资源类似。
⑵本域单点登录
以局域网2用户访问局域网2中的应用资源为例。
①身份认证:用户使用数字证书在直接跨域单点登录安全认证系统3上进行基于数字证书的强身份认证。
②单点登录:此时用户便可在一次认证后,便可直接访问局域网2中的应用资源1以及应用资源2,不需再次进行身份认证,实现本域单点登录。本域单点登录过程中与其他跨域单点登录安全认证系无关。
五、结语
跨域单点登录管理平台以网络信任体系为基础,将电子政务中的实际需求与理论研究成果相结合。在多种成熟技术的基础上,进行集成创新,在双向访问控制技术、跨域单点登录技术、身份认证信息跨域传递技术等多个关键技术保障下,突破了电子政务信任体系发展的部分瓶颈,实现了不同网络域中数据资源的互联互通和共享访问。跨域单点登录管理平台是电子政务发展的重要成果,为我国电子政务信任体系向纵深发展奠定了基础。
参考文献:
陈彦学.信息安全理论与实务[M]. 北京:中国铁道出版社,2001:350
任金强,罗红斌,李素明. 国家电子政务外网信任体系建设初探[J]. 信息网络安全,2007(8):56
邹立刊,张伟,孙海杰. 我国电子政务中的信息安全[J]. 网络安全技术与应用,2007(7):46
作者简介:
[关键词]信息化;教学;服务体系
doi:10.3969/j.issn.1673 - 0194.2015.18.179
[中图分类号]G434 [文献标识码]A [文章编号]1673-0194(2015)18-0-02
信息化教学模式明确以学生为中心,强调情境对信息化教学的重要作用,强调协作学习的关键作用,强调对学习环境的设计,强调利用各种信息资源来支持“学”。为信息化教学提供有效服务,推进学校在信息化教学方面的建设,信息化服务体系的构建和实践至关重要。
1 信息化教学服务体系的含义
1.1 信息化教学服务体系的基本内容
以现代信息技术为基础的信息化教学服务体系包括教学和支撑教学的技术服务。教学包括观念、内容、组织、资源、模式、技术、评价、环境以及管理等一系列活动。技术服务包括理念、资源、方法、人力资源和教学过程。技术服务以教学体系为依据提供大量网站教学、互动教学、兴趣教学等。
1.2 信息化教学服务体系的模式
构建信息化教学服务体系的模式在信息教学服务体系的构建中至关重要,该模式应遵循学习并不纯粹是学生被动接受的过程,而是由学生根据自己的需要建构自己的知识体系的过程。从这个观点出发,这种模式就是以学生为服务主体,强调学生主动、自觉完成知识学习的模式。
第一,以课题项目作为教学驱动模式,主要是培养学生解决问题的能力。课题项目必须是相关课程所要求的重点、难点,而且要结合一定的实践。教师必须提供足够的学习资源和各种媒体资料,提供足够的与课程相关的社会实践机会和指导。这种以完成学习任务为出发点的信息化教学服务体系的设计目的是让学生利用共享资源在信息化情景中自主探究式学习。
第二,以学生兴趣和自我发展为教学驱动模式,主要是增加教学的灵活性和开放性,实现个性化、自主化、协作式教学。学生自主选择学习课程及学习内容的难易和进度;任课教师根据学生的选择调整学习方式和进度。
第三,以综合课程学习为教学驱动模式,主要是不独立开设某一门课程,而是将其他学科相关课程的相关内容进行整合、嫁接,并通过网络建立本课程学习所要掌握的信息库。这种模式对获取知识、分析知识体系、处理和利用信息的综合能力要求很高,能全面培养学生的文化基础。
1.3 信息化教学服务体系的构建要素
从信息化教学服务体系的3种模式可以看出,构建这种体系应遵从构建角色,即学生、教师和最终教学的效果来构建。从学生服务体系出发,着重考虑如何为学生提供如学习工具软件、个人知识管理工具等数字化学习支持服务,帮助学生借助信息技术提升学习效率。从教师服务体系出发,要考虑如何为教师提供如网络课程、教育软件及虚拟团队教研等资源,如何在教学中应用信息技术促进学生学习的教学设计与咨询等支持服务。从教学效果出发,要考虑如何对教学支持服务提供情况进行及时监控和测评,保证支持服务的质量。鉴于以上分析,信息化教学服务体系应包括以下要素。
1.3.1 完备而健全的网络基础设施建设
信息化教学服务体系中网络建设起着高速网的作用。该建设应包括:数据处理、采集和共享中心、网络管理子网、数字化教学子网、学生子网和对外公共子网。数据中心提供服务器及其存储设备来运行各种管理系统、教学辅助系统、资源系统等;数据中心还要提供相关专业的技术人员为这些系统的搭建、维护提供相关的技术支持。网络管理子网提供对数据中心的保护,提供防火墙、用户访问控制、用户身份认证等。数字化教学子网指所有的教学区域,包括教学楼、图书馆、培训中心以及实验室等教学场所的网络。学生子网指学生宿舍区域的学习子网及其学生动态到达的区域子网。对外公共子网提供与外界链接的公共网络。
1.3.2 顺畅而实用的用户与教学辅助管理系统
用户管理系统应该方便所有用户的单点登录,最大限度地方便用户在一个门户系统中根据自己的个性化需求使用各种具体的业务系统。教学辅助系统的内容一般包括教务管理系统、学生选课系统、成绩查询系统、学生管理系统以及科研管理系统等。
1.3.3 全面而多样的教学信息系统
该系统应该包括综合性教学信息资源库、网络课堂及精品课堂实录系统等。各高校图书馆可根据相关单位的授权制作各种数字图书,也可直接采购各种数字图书、电子期刊、影视资料以及用于教学的多媒体课件等,从而建立起覆盖全校各学科、各专业的、符合教师和学生的思维、认知和使用习惯的教学信息资源库;网络课堂的构建主要由各高校的教务部门协调各教学院系来共同完成,内容具体包括设计系统、学习系统、测试系统及网络教学辅助系统等;精品课堂实录系统用于将教师的课堂教学的全过程内容完整地进行录像,从而可以开放式地在网络上直播课堂授课的实况,便于学生日后重新调用所录制的课堂视频进行网络学习。
2 当前信息化教学服务体系建设普遍存在的问题
虽然我国的信息化教学服务体系建设近年来取得了长足进步,但与先进国家相比还有很大差距,存在一些共性问题,主要表现在硬件和软件两个方面。
2.1 硬件经费投入不到位,网络基础设施不完善
完善的网络基础设施支撑是信息化教学服务体系构建的最基本的物质条件。目前,不少高校由于不舍得经费投入,信息化教学基础设施过于陈旧,功能有限,网络链路复杂,导致信息化教学经常出现“慢、卡、死”的状态,极大地影响了信息化教学的效果。
2.2 软件管理人员能力不足,部门协调配合不够
教务管理人员是信息化教学服务体系构建的重要组成部分,但从目前情况来看,很多教务管理人员信息素养不高,对计算机的操作能力较弱,对信息处理方面的知识掌握不够。此外,教学信息化服务体系的构建需要各部门的配合,需要统一的协调机构和组织,但目前绝大多数高校并没有这样的机构和组织,使得教学信息化还只是学校教务部门和各教学院系自己的事情,没有形成合力,造成教学信息资源浪费,阻碍教学信息化的进程。
3 构建信息化教学服务体系
3.1 加快网络基础设施建设
在校园网建设中,首先应该规划全网,分为服务器DMZ区、内部局域网和外部链接公网。统一规划和划分内部局域网的IP地址,根据功能、部门(如服务器网、行政子网、学生宿舍子网、公共区域无线网、教学科研子网)及应用等因素把全网划分成不同的VLAN。因地制宜,对不同的用户接入不同的网段,并限制每个IP地址的速度。在DMZ服务区搭建防火墙、用户计费认证系统以及信息化教育软件等。在外网和内网之间搭建流量监测、网络安全审计等设备确保整个网络的安全性。
3.2 加快教学信息系统建设
网络教学平台必须选择有较大并发、吞吐量、支持多种语言的平台。功能包括教学流程管理与监控、内容建设与共享、信息管理与以及应用系统整合等。教师可有效管理课程、制作内容、生成作业、反馈作业的检查结果、利用和共享工作成果,学生可通过平台更好地进行师生交流,及时完成作业、温习学习内容等。这种网络教学平台以“教学”“联系”“分享”为核心目标,协助学校达到与教学、交流和评价有关的重要目标。
3.3 加快教学辅助管理系统建设
学校有关教学的管理系统包括教务管理系统、科研管理系统、就业管理系统等。教务管理系统可帮助学生在网上进行选课、排课,实施教学计划、学籍管理和教材管理,录入考试成绩,最终对老师进行教学评价,作为对教师的年终考核。科研管理系统帮助科研项目管理部门、课题负责人及课题参加科研人员,通过对进度、资源、经费和成果等的全方位管理,方便课题负责人全面管理自己的项目,同时便于各级管理部门及时掌控科研院所内部所有项目的情况,将项目的各种信息结合在一起,自动为项目建立过程档案。
总之,信息化教学服务体系是一项系统工程,涉及学校的方方面面,必须进一步拓展数字化校园建设的思路,积极构建网络基础设施和教学信息系统,以及教学辅助管理系统,将学校的信息化管理水平提升到一个新的台阶。
主要参考文献
[1]何建武.现代教育技术与信息化教学环境[J].咸阳师范学院学报,2001(6).
【关键词】企业数字档案馆;安全体系;网络管理
企业档案馆的安全保障体系建设主要通过两方面途径实现。一是按照信息安全等级保护的要求,采用相应安全保障技术方法,配备必要的软硬件设施。二是建立健全数字档案馆安全管理制度,并严格遵照实施。
数字档案馆的安全体系主要包括网络平台安全、信息系统安全和档案数据安全三大方面。档案数据安全是要保证数字档案信息的可靠、可用、不泄密、不被非法更改等。系统及其网络平台安全是要保持系统软硬件的稳定性、可靠性、可控性。
一、安全技术防范措施
数字档案馆的安全技术防范措施包括:档案实体安全措施、网络安全措施、系统安全措施、应用安全措施和数据安全措施。
1.档案实体安全措施。档案实体以各种载体形式存在,并存放于档案库房。为了使档案实体达到档案安全管理的“八防”,除了采取传统的档案实体安全保管措施之外,还需利用以下现代技术手段,提高管理的有效性、智能化。(1)自动温湿度控制系统:由中央控制服务器集中自动控制档案库房的空调、除湿机、空气清新机等终端设备,为档案的存放保管提供适宜的温湿度条件。(2)视频监控系统:数字档案馆的重要出入口安装视频监控设备,重点部位(如保密库房、机房)安装红外报警、摄像联动监控,实现对所辖区域的安全监控。(3)自动消防报警及灭火系统:建设档案库房自动消防报警及灭火系统,提高档案实体对应火灾的自动高效防范能力。
2.网络安全措施。(1)防火墙:网络安全是数字档案馆整个安全体系的根基,必须放在首要位置考虑。从安全考虑,必须在整个企业局域网总入口处加载硬件防火墙,确保企业局域网的安全。企业档案馆根据实际应用,可以在防火墙上加载对应用服务的访问控制,如对档案门户网站只开放80端口服务,允许所有地址的访问;而对于综合档案信息系统,限制外网地址的访问,指定专网地址的访问。(2)入侵检测系统:为防范外网的恶意攻击和数据窃取,在企业局域网关键地点部署入侵检测系统,及时发现网络攻击事件并予以防护、向管理员发出告警。(3)网络防病毒系统:建立企业网络病毒防护系统,保证企业企业局域网免受网络病毒的侵害。
3.系统安全措施。系统平台安全管理一方面可以利用操作系统自身安全机制进行合理的配置,另一方面可以通过采用一些系统平台管理软件来实现。(1)操作系统的安全措施:操作系统的安全访问控制一方面可以通过用户账号、密码、用户组方式登录到服务器上,在服务器允许的权限内对资源进行访问、操作。另一方面可以基于TCP/IP协议,通过对文件权限的限制和对IP的选择,对登录用户的认证保护。(2)补丁程序:采用最新版本的操作系统,并及时安装补丁程序。(3)服务过滤:关闭系统上的一些不需要的服务。(4)对网络以及各个子系统管理员权限进行严格划分:严格控制操作系统用户授权,并控制每个用户的对应目录的操作权限,非必要情况下不以系统管理员的用户登录。(5)计算机口令设置:对口令的设置进行有效的管理,限制口令复杂度和有效期限。(6)安装系统加固程序:安装系统安全防范产品提升系统的安全性。如系统防病毒软件、系统漏洞检测及弥补软件、系统补丁检测和自动升级软件、系统木马检测软件等等。
4.应用安全措施。(1)权限控制:在系统中将用户分类,对各类用户的权限进行明确的设定,并进行严格的控制。系统设计时,可采用定义角色的方法,来为每一类具有相同权限的人员定义一个角色,来方便控制人员的权限。(2)日志管理:系统通过记录用户操作日志来加强系统的安全性,以便管理员可以对恶意破坏数据过程进行审计。提供登录日志、操作日志和数据访问日志三类日志。
* 用户登录日志:记录用户成功登录(退出)档案系统的事件。用户登录指用户由档案系统外成功登录进档案系统。
* 用户操作日志:记录用户在档案系统中所进行的一些重要操作事件。例如:全宗管理、部门管理、档案类型管理等。
* 数据访问日志:记录用户对档案数据本身的访问。例如,对档案数据条目的删除。对电子文件的浏览、下载等。
5.数据安全措施。(1)数据传输安全控制:综合档案管理系统需提供对电子原文的加密处理,电子文件先经过系统提供的加密功能加密,以加密状态传输;客户端利用时,采用系统专用原文浏览器,浏览器内部提供对文件解密功能,如果在传输过程中信息被截获,截获的信息如果不在我们专用原文浏览器中阅读,打开后是乱码状态,保证了电子档案在网络中传输的安全性。(2)数据接口安全控制:综合档案管理系统对提供的数据接口和WEBService服务进行安全控制:综合档案管理系统对外部系统提供相关的接口和服务,保证没有权限的人不能获取对应的服务,或者不信任的系统不能访问对应的接口。(3)电子文档防篡改:采用软件生成电子原文校验码可以及时获得被篡改文件的名字,方便快捷的找到被篡改的电子文件。对电子文件进行锁定操作(主要针对大量的office word、excel文件),用户进行篡改后,原文件内容不会彻底消失,会以批注的形式存在,方便于恢复文件内容。(4)电子文件防扩散:电子文件的防扩散功能可以为文档资料的安全防护以及非法传播提供安全保障。当档案管理系统为利用者赋了原文下载权限后,用户在下载原文时系统将下载到利用者本地的文件进行数据加密转换,转换后的电子文件必须用系统提供的阅读工具来读取,转换后的文件完全保持原文的版式,特有格式文件具有防篡改的功能。(5)数据备份和容灾恢复机制:采用主流备份存储设备和专业备份软件,为重要档案信息资源制定存储备份策略,自动/手动、本地/异地、全备份/增量备份、备份时间等。为了应对天灾等突发事情,需建立相应的预警预案,并制定相应的容灾恢复机制。
二、安全管理保障措施
在建设数字档案馆安全防护体系时,仅有安全技术防护而无严格的安全管理保障体系相配合是难以保障系统运行安全的。安全管理保障体系包括安全管理组织、安全标准体系、安全规章制度建设、安全服务体系、安全管理手段。
1.安全管理组织。建立完整的安全管理组织体系,具体负责安全保障体系建立的规范、组织实施、运维管理等工作。
2.安全标准体系。安全标准规范体系是支撑数字档案馆安全保障体系建设的需要手段,是系统互联互通、业务协调、信息共享所必须遵守的技术准则。
3.安全规章制度。数字档案馆涉及面广、情况复杂,管理的制度化程度极大地影响着整个平台的安全,数字档案馆的建设、运行、维护、管理都要严格按制度执行。安全规章制度主要有:网络、机房、服务器管理规范,数字档案信息安全存储管理规范,个人PC和客户端的安全操作规范和数字档案应用系统的安全操作规范。
随着世界经济的飞速发展,中国已然成为世界上极其重要的港口物流大国。中国的集装箱吞吐量和港口货物吞吐量均居世界的第一位,世界集装箱吞吐量前5大港口中,中国占了3个。海南省政府于2014年颁布实施《关于推进东南亚航运枢纽和物流中心建设实施意见》,明确提出,将打造面向东南亚区域经济合作示范区和航运综合试验区。港航物流产业的发展将是未来海南省经济发展的一项重要任务。信息化是未来港航业发展的重要依托。
一、海南港航物流信息化发展环境分析
(一)经济环境分析
2004年9月,海南省政府做出决定,对海南海运总公司和海口港集团公司进行合并,对马村港、海口港和海口新港进行统一管理,以此优化配置港口资源,海南港航建设从此高速发展。2004年至2013年这十年间,海南省港口货物吞吐量增加了181.23%。海南省经济发展总体态势良好,港口吞吐量快速增长。尽管如此,海南省经济发展整体水平比较落后,岛屿特性使其无法依靠周边省市资源快速发展;地理资源不丰富影响其产业结构;国际旅游岛的定位限制了部分产业的发展。
(二)政策环境分析
1、“一带一路”国家战略
2014年5月“一带一路”国家战略进入建设阶段,《关于推进港口转型升级的指导意见》中指出了港口转型发展的任务、目标、路径、措施等战略蓝图。海南省在古代就是海上丝绸之路上的重要节点。海南省的地理位置决定了海南省应当积极争取在当前的“一带一路”战略中饰演重要角色。
2、海南省的政策支持
海南作为中国最大的经济特区,拥有更加活动的体制优势,享受先行先试的宽松环境。《海南省现代物流业发展规划(2010-2020年)》明确提出,未来十年,海南省将通过提高物流产业聚集度、加强基础设施的建设、培育各类物流服务企业、推广物流技术的应用、搭建物流信息平台等五大方面来推动现代物流业的发展,积极培育现代物流企业。将海南省建设成为具有重要影响力的国家级物流产业基地和国际区域物流枢纽城市。
二、海南港航物流信息化整体发展状况
海南各主要港口的信息化建设起步虽晚,但通过近几年的信息化建设,像海口港、洋浦港、八所港等海南的主要港口企业无论在信息化基础设施建设还是应用系统、信息集成等方面都有了很大提高,各港口企业信息化框架已经基本形成。在网络通信建设基础方面,都已建成了以ATM光纤为主干网,采用先进的网络设备和通信技术,实现港内外连通的硬件平台和港区内的视音频监控系统。在港口生产应用协同管理方面,散(件)杂货,集装箱,客户轮渡这三大板块生产业务在都基本实现了信息化的管理,在港口经营管理方面,协同办工、财务管理等信息系统以成熟应用,资产设备、数据中心等经营管理系统也已在规划筹备中,港口企业采取的垂直管理模式,也迫使企业内部的纵向信息交互初具规模。
海口海关致力于建设 “电子口岸”、“电子海关”,逐步完善海关管理信息系统。海南出入境检验检疫局初步建立起信息化技术支撑体系,实现全省检验检疫网络全覆盖、全互通、全共享。海南海事局通过水监信息系统项目建设的链路,与全国海事系统实现信息传输。
海南港航物流市场的服务企业信息化水平不均衡,大部分企业处于信息化建设的中下游,少数企业拥有自己的应用系统,实现了单项业务管理计算机化,尚未形成具有一定规模的应用。另一些企业信息化基础较差,企业信息化仍处于起步阶段。货代和船代企业中,少部分搭建了初步的客户关系管理等业务管理系统,具备网络环境的企业,通过口岸单位通关系统的客户端实现了与海关、检验检疫局的部分数据交换。
三、海南港航物流信息化存在的问题
(一)港口信息服务体系缺乏整体的规划
海南港航物流信息服务建设需要打造集海洋、公路、铁路、航空“四位一体”的立体物流新格局,促进海南建设成为东南亚地区重要的综合性枢纽港,推动港口转型升级,带动产业链的整合与延伸。但是目前海南港航信息服务体系建设还缺乏整体的规划、业务流程再造和梳理,港口管理和监管部门、港口企业和物流企业的各业务信息系统仍是互相独立,符合“四位一体”建设要求的港航信息平台尚未形成。信息资源开发程度远远不够,应用系统的建设水平仍需提高。
(二)海南港航信息化基础设施需进一步完善
海南省港航物流信息化软硬件基础设施建设不同步。海南省港航物流信息化基础设施建设主要集中在网络设施上,空间数据库和核心数据库的建设明显滞后,省、地级数据中心体系还未完全形成。
(三)网络安全体系有待改善
目前,海南省港航业相关企事业单位的网络系统安全性还很弱,没有一套完整的备份、防御、安全认证及管理体系。在数据传输、数据库和应用系统的安全方面仍存在薄弱环节,缺乏网络安全管理专员,严重影响网络系统的安全。
(四)部门间协调还需进一步加强
中科网威副总裁李源在会上发表了题为《中科神威安全平台・全面助力自主可控》的主旨演讲。
他指出,我国信息安全产品的发展,正逐步进入基于国产处理器研制硬件平台以实现全面自主可控的新阶段。安全可靠的信息安全产品,特别是基于国产处理器研制的自主可控安全产品的广泛应用,符合我国的国家利益,是大势所趋。
他强调,中科网威经过多年的潜心钻研,对国内具有领先水平的国产处理器进行了审慎科学地试用、测试和比较,最终成功研制出基于“申威”处理器的硬件安全平台。
首先,该处理器采用了自主指令集,对溢出式攻击和恶意代码有天然的免疫能力,能够使硬件平台的自身安全高度自主可控,而且,通过对国产神威睿思系统、内存访问机制、网卡驱动等相关环节的深度优化,在吞吐量、数据延迟、新建并发连接等性能指标上达到了千兆级别,完全可以替换同级别采用以Intel为代表的国外x86架构处理器硬件平台。再者,该硬件平台在核心芯片组上也全面采用了国产专用的I/O套片,使SATA控制器、网卡控制器、显示控制器、SSD控制器等关键部件实现了国产化,整机国产化率达到了85%以上。未来,中科网威将以此平台为基础,建立自主可控信息安全产品研发和服务体系,助力国家信息安全在自主可控方向上的全面发展。
李源还介绍,中科网威已经率先推出了基于这款自主可控硬件安全平台的信息安全产品――中科神威NSFW-6000千兆防火墙。该防火墙产品是国内率先推出的真正采用国产处理器的千兆防火墙,已相继取得《计算机信息系统安全专用产品销售许可证》、《中国国家信息安全产品认证证书》、《信息系统产品检测证书》、《军用信息安全产品认证证书》等国家权威认证,并在军队、军工和政府等核心要害部门得以实际应用,深受好评。
在会场外设置的展台前,中科网威的技术人员细心讲解了自主可控安全平台和中科神威防火墙的有关技术细节,并结合产品样机一边现场模拟演示,一边答疑解惑,先后吸引了数百人驻足观摩交流,引起了广泛的关注。
值得一提的是,在此次大会上,中科神威防火墙荣获了“2015年度中国信息安全自主可控优选品牌”。
回顾我国网络安全产品的发展历程,迄今为止很明显地经历了两个阶段。从上世纪90年代中期到世纪之交,随着我国成功接入互联网,面对大量的网络安全问题,却只能选择软件、硬件和操作系统都是进口的网络安全产品,甚至连操作界面都是英文的。这是“中国人使用外国人的子弹和外国人的枪来保护自己安全”的阶段,很难实现真正的网络安全。
从本世纪初开始到目前,我国在网络安全产品领域陆续推出了国产化软件和全中文的操作界面,但是核心的关键部件如硬件芯片依然是国外进口。这是“中国人使用中国人的子弹和外国人的枪来保护自己安全”的阶段。国内的网络安全形势有所好转,但是硬件芯片等高智能敏感核心部件依然存在被人利用进行网络破坏的可能,网络安全依然存在风险。“棱镜门”事件就是明显的例证。
为了更好地保障我国信息化建设发展和实现真正意义上的网络安全,我国网络安全产品的发展必然进入一个全新的阶段:应用国产软件和国产硬件芯片研发安全产品来实现我国网络安全高自主可控的阶段,也就是“中国人使用中国人的子弹和中国人的枪来保护自己安全”的阶段。这其中的核心在于国产硬件芯片即国产处理器的运用。
近年来,随着国家信息化建设的不断发展,针对层出不穷的网络安全问题而研发的安全产品越来越多,越来越有针对性。同时,为了极大程度地保证各级政府的网络信息安全,国家大力推广了以等级保护为指导思想的网络信息防护体系,提出了防护要求,规定了技术手段。在这种情况下,国内网络安全产品种类不断丰富,防火墙、病毒防护、密码产品、入侵检测、终端接入控制、网络隔离、安全审计、安全管理、备份恢复等产品的研发取得明显进展,产品功能逐步向集成化、系统化方向发展。其中,据2014年的数据表明,防火墙硬件成为中国IT安全硬件市场中较大的子市场,说明防火墙还是网络安全防御体系建设中极为重要的一环,预计到2016年的市场规模将达到150亿元左右。
在此之际,中科网威旗下基于申威处理器研发的系列网络安全产品的中科神威品牌应运而生!
中科网威从2011年开始,与国家并行计算机工程技术研究中心和国家高性能集成电路(上海)设计中心合作,借鉴近年来芯片技术的最新发展,采用申威处理器及申威I/O套片等国产自主可控芯片、国产睿思操作系统和基础软件系统,构成了完整的中科神威系列安全产品的基础架构,并在此架构上研发多种应用,最终形成完善的系列安全产品,于2014年4月首先成功推出了防火墙产品即中科神威防火墙NSFW-6000。
除此以外,公司在研的产品包括中科神威入侵检测系统、中科神威入侵防御系统、中科神威漏洞扫描系统、中科神威网闸、中科神威单向导入系统、中科神威安全审计等多款产品。
中科神威系列安全产品的规划是按照国家等级保护政策的技术规范中对网络安全防护提出的设备需求来确定的,每一种产品都会有相应的潜在市场。2014年10月,有关部门印发的《关于进一步加强军队信息安全工作的意见》中,就明确提出“把建立等级保护基本制度作为规范建设管理的务实抓手”。由此可见,国家未来将更加严格在各领域推行等级保护政策,而相对应的防护设备的需求一定是刚性的。
同时,无论是军队、军工,还是金融、能源等重要行业,网络信息化建设对国产化的要求也越来越高,尤其是安全产品的自身安全性越来越受到重视,对网络安全的自主可控越来越重视。某军工集团在明年的工作计划中已明确提出网络设备要实现30%的国产化率的任务目标,用三年的时间基本实现全网国产化,网络安全产品是重中之重。
一、指导思想
全市院前急救体系建设坚持政府主导、保持公益本质,按照统一规划、合理布局的原则,着眼慈溪本地、兼顾新区、注重资源共享、融入大市体系,建立快速有序反应、就近就急抢救和网络覆盖健全的院前急救体系,以市级医院为依托实施急诊抢救,提高院前急救服务水平和应对突发公共事件的急救处置能力,保障人民群众身体健康和生命安全,促进经济社会发展。
二、总体目标
通过合理规划、加快建设,形成院前急救以市急救站为枢纽(中心),8—10个急救点为基点,市急救站统一调度、合理分布全市各个区域的院前急救网络。到年底,全市拥有30辆急救车,并建成符合规范要求的院前急救体系。
三、体系建设
(一)车辆和人员配置
全市“按每五万服务人口配备一辆救护车”的规定,合理配备急救救护车,及时更新破旧车辆;年至年每年新增4辆,年至年每年新增2辆。承担日常急救的救护车,急救站不少于5辆,急救点不少于1辆并逐步增至2辆。
每辆救护车按标准配备医生和护士各1名,配备驾驶员、担架员各1名(为辅助人员,可采取政府购买服务的方式解决)。
救护车按《浙江急救标志及色带使用规范》统一院前急救标识,安装救护用标志灯和警报器。每辆救护车按标准配置抢救生命必需的器械设备及搬运、通讯、固定等设备。
院前急救人员须取得市级及以上卫生行政部门认可的急救培训证书方能上岗,急救医生应具执业医师资格(含助理)。院前急救人员每年应参加不少于30个学时的业务培训,急救医生应每两年到二级甲等以上医院参加不少于1个月的业务轮训。
(二)急救站点设置
急救站点按院前急救服务半径、区域服务人口、参照需求量及道路拥堵因素等综合考虑,以市中心城区≤8公里(或反应时间10分钟内,最多不超过15分钟),其他镇(街道)≤15公里(或反应时间20分钟内),偏远山区≤25公里的标准设置。
急救站设在中心城区(市人民医院)。急救站内设急救医护科、通讯调度科、车辆管理科、综合宣教科等科室。
急救点在全市不同区域设置8—10个。其中,中心城区设4个点,分别为市急救站点、市中医院点、市红十字医院点、城西北点;中心城区外设4个点,分别为观海卫(二院)点、周巷(三院)点、东部片区点、北部片区点。同时,新区应设置2个点,并纳入“120”统一调度,接受慈溪市急救站业务指导。另外,或再在跨海大桥设1个点,以应对跨海大桥和沈海高速可能发生的突发事件。急救点原则上设置在二级及以上医院,挂靠医院应为急救点提供工作和生活的便利。
每个急救站(点)的用房应按相应标准具备满足车辆停放、值班调度、药械放置、人员休息及后勤服务等功能。急救站建筑面积应不少于1400平方米(其中10辆救护车以上的按每5辆增加400平方米计算),配设指挥调度、医生护理驾驶员办公、车库、洗消用房、药械库、宣教培训及示教室等业务用房,同时配设行政办公、值班室、会议接待和后勤库房等辅助用房。急救点用房一般要求有车库(洗消)60平方米、值班(调度终端)休息室50平方米、办公25平方米、辅助用房25平方米。
(三)指挥调度
市急救站统一指挥调度全市院前急救体系,建立“120”信息调度指挥系统,使用“120”专线呼救电话。
按市信息标准建立规范统一的全市急救信息网络平台,建立突发重大灾害事故现场急救实时摄像与数据传输系统。主要功能配置包括:数字程控交换机、数字录音、计算机网络、急救信息管理、急救信息(地理信息、三字段信息、手机经纬度定位信息)、受理调度、车载信息(移动通讯设备、全球定位系统及无线数据传输系统、车载图像传输系统)、急救点网络终端、网络医院、不断电电源系统(UPS)、无线对讲机、数字光处理器(DLP)大屏显示及发光二级管(LED)显示、网络安全等。
四、急救站职责
市急救站在市卫生局领导下统一管理全市院前急救体系,加强医德医风建设,重视职业素质教育,弘扬救死扶伤精神,按“就急、就近、就专科”的原则,24小时调度指挥各急救点开展院前急救,保证急救医疗安全、高效、快捷。
市急救站承担全市院前急救任务和急救业务指导及人员培训考核;接受上级急救中心的业务指导和考核;做好本辖区急救动态信息资料的登记、统计、汇总、保管及报告工作;开展急救医学知识的普及与宣传;完成市卫生行政部门和上级急救中心交付的其他急救任务。
各急救点由市急救站管理调度,承担急危、重伤病员的抢救和转运等日常院前急救任务;及时反馈社会急救现场信息;开展急救医学知识的普及与宣传。
五、保障措施
院前急救体系是公共卫生服务体系的重要组成部分,对于保障群众健康、促进社会和谐发展等都具有极为重要的意义。各地各有关部门要提高思想认识,加强协调配合,认真履行职责,把院前急救工作列入重要议事日程,切实加强我市院前急救体系建设,满足人民群众对院前急救医疗的需求。
各有关部门应按照各自职责,共同为院前急救医疗工作提供必要保障。
卫生行政部门要对院前急救体系实行属地化、全行业管理,统一规划审批、注册校验和执业监管,对未经审批、擅自从事急救工作的,依法予以查处和纠正。要加强对院前急救机构的监督,加强对急救资源的管理,禁止任何单位和个人擅自调用救护车等急救资源作为它用,禁止任何单位和个人擅自设置任何其他形式的急救车辆和急救电话,确保医疗急救工作规范、有序开展。
发展改革部门要将院前急救体系建设和发展纳入国民经济和社会发展规划,合理规划设置院前急救机构和布局急救网点,完善院前急救机构基础设施,逐步提高其软、硬件水平。
财政部门要根据财政管理体制做好院前急救体系建设管理的资金保障,人员、公用和业务经费根据核定编制、标准安排预算经费。
人事编制部门要根据本实施意见,做好院前急救机构设置及人员编制核定。
【关键词】区域信息化;运转机制;融资渠道;信息化人才
党的十明确提出要“坚持走中国特色新型工业化、信息化、城镇化、农业现代化道路”,并特别提出要大力推进信息化和工业化深度融合、工业化和城镇化良性互动、城镇化和农业现代化相互协调,促进工业化、信息化、城镇化、农业现代化同步发展。面对日益严峻的资源、能源和环境压力,加快区域信息化建设已经迫在眉睫。
一、建立信息化管理体系,完善信息化运转机制
根据信息化的发展需要,成立区域信息化领导小组,进一步加强对信息化建设与应用工作的指导和协调。同时,要成立相应的区域信息中心,并在政策、人员、经费等方面给予保证。组织制定统一的信息化发展规划,制定切实可行的实施方案;制订信息化法规,建立信息市场准入制度和交易准则;制定统一的信息化技术标准,防止各自为政,盲目建设等行为,反对信息垄断等。
坚持信息化工作统一规划、统一领导、统一管理的原则。政府信息中心与各相关部门协调一致,充分行使对信息化建设的指导、组织、管理和协调职能,做到有机构、有人员、有经费。成立区域信息化专家咨询小组,充分发挥专家在制定发展规划以及在重大项目措施中的咨询作用。每年召开区域信息化工作会议,总结部署工作。把信息化工作作为考核各部门主要领导工作实绩的重要内容,纳入目标考核。
二、优化信息化政策环境,拓展信息化融资渠道
研究、制定和完善与信息化发展需要相适应的产业政策、投资融资政策、消费政策、吸引和激励人才政策、分配政策以及其他有关政策。优化信息产业发展环境、信息技术应用环境、信息文化传播环境和信息人才培养环境,促进各行各业的信息化应用和信息产业快速、持续、健康发展。支持相关企业的发展,将从事信息技术、信息设备制造、信息资源开发、集成、运营和信息服务的企业纳入高新技术企业,享受工业园区的优惠政策。
根据省、市、县有关信息化建设项目管理要求,将信息化基础建设措施和网络建设列入区域基本建设投资计划,同时鼓励、支持企业和社会公共服务部门投资自身的信息化建设,形成以政府为先导的多元化投资体系,利用政府投资带动社会投资,实现向投资主体多元化、投资方式多样化的转变。
三、构建信息化筹资体系,提高信息化投资效益
根据经济学有关公共物品的基本原理,建立多元化投资体系势在必行。一般信息化系统有三类产品或服务:一是纯公共产品,如电子政务系统(如市、县区、乡镇三级信息网站,公共场所设立的生活用品市场行情电子显示屏,基础数据库,公共信息基础设施等),这些都是为了满足公共需要而设立,具有公益性特征,应当由政府投资兴建或提供;二是私人产品(如居民购置的电脑、网络终端,部分电子商务功能的使用等),这些属于私人专用物品,具有排它性特征,应该由私人投资或由市场提供;三是准公共产品(例如大中专教育信息化系统、医疗卫生信息化系统等),这部分产品与服务介于纯公共产品与私人产品之间,可由政府与市场共同投资兴建或提供。因此,必须根据信息化产品的性质或属性,建立政府或财政投资、民间集资、引进外资及其相结合的投资体系,以确保信息化持续、快速发展。
四、加强信息化服务体系,保障信息化安全建设
信息化服务体系纵向上与多个行政层次紧密相连,在横向上涉及科技、农业、林业、水利、气象、环保等多个行业,其服务对象涵盖所有管辖的居民。通信运营商、广电部门、应用终端设备提供商、以及应用系统开发商要结合农村分布范围比较广的特点,合理建设运营维护服务网点,明确运营维护方式和运营维护反应时间,提供方便、快捷的保障服务,确保固话、网络、数字宽带网络、无线通信网络、广播电视网络的畅通和稳定,确保网络通信、应用终端设备和应用系统出现问题时能及时反应服务,确保群众提出业务服务变化时能及时受理;同时,采取有效安全防护措施,提高对垃圾邮件、网络欺诈、手机和短信陷阱等不良信息的防范能力。
认真贯彻国家有关信息安全保密的规定,遵守“谁、谁负责”的原则,建立健全信息安全保密体系。抓好信息安全教育和岗位培训,提高全社会的信息安全意识。加强网上资源的安全保护,积极应用信息与网络的加密、识别、过滤、控制和抗干扰等安全技术和产品,加强对信息网络工程及网络安全的检查,增强信息网络的安全性。进一步加强安全制度体系建设,形成有力的安全保障机制,保障网络运行安全可靠。
五、加强信息化宣传培训,建设信息化人才队伍
充分利用大专院校、科研院所技术和人才集中的优势,分期分批选派信息人员到有关单位进行委托培训,尤其要注重培养高层次、复合型的信息化人才。加强信息管理人员的业务培训,重点搞好信息化基础知识和网络与数据库认证培训,提高信息化管理队伍整体素质。发掘多渠道培训的潜力,为信息化建设培育各种层面的人才队伍。创造条件,吸引信息化方面的专业技术人员,特别是高级技术人才参与信息化建设,为提高区域信息化水平提供人才保证。
广泛开展信息化知识宣传教育。充分利用新闻出版、广播、电视、报刊、政务网点媒体,宣传信息化知识,报道区域信息化工作动态,营造加强信息化发展的舆论氛围,提高全民信息化意识。
【参考文献】
[1]张林.系统视角下的区域规划范式研究[J].人文地理,2011(03).
区域信息生态系统是一个具有多样性、复杂性的有机系统。近几年来,我国许多区域的信息污染、信息垄断、信息超载、信息孤岛、信息侵犯、网络安全等问题较为严重。加深对区域信息生态系统及服务体系的研究,有利于其保持良性运行,也有助于信息生产和消费之间的平衡,完善媒体信息资源公益性开发机制。
区域信息生态系统概念模型
区域信息生态系统是一个在某一地区信息生态循环中,由信息人、信息和信息环境三大要素及其内部各生态因子组成的动态而开放的系统。其中,信息人不仅包括参与信息活动的单个个体,也包括从事信息工作的政府、媒体机构、民间团体、行业协会、社区等,这是信息生态系统的核心。其参与信息活动是使生态系统维持“平衡失衡平衡”螺旋式上升的主导力量。信息主要指区域内所有的数据资源,也包括与之相关的区域外信息资源,其具有价值性、时效性、传递性、可处理性、服务性、共享性、增值性等特征。信息环境涵盖信息基础设施、信息资源、信息技术、信息政策与法规等,其中,信息技术是获取、传递、处理、存储、再生和利用信息的主导因子,包括计算机技术、网络技术、通信技术、感测技术、自动控制技术、数据库技术和多媒体技术,以及由这些技术分解出的其他相关技术。区域信息生态系统内部各生态因子之间相互联系、相互作用、相互依存、共生共进。在系统中,信息人、信息与信息环境之间存在着动态的相互适应过程,持续的动态适应过程维持着系统的有序平衡。
基于上述认知,本课题建立了区域信息生态系统的概念模型(如下页图1)。
在系统中,信息人是生态的主体,信息资源是生态的客体,信息环境不仅是生态的背景和场所,而且是所有与信息相互关联的外部因素之和。信息人从其所处的信息环境中获取与利用信息资源,又发挥自己的能动性通过实践活动改造信息环境,从而实现不断变化的目标。事实上,信息社会是以信息的收集、开发、传播、利用为主要特征的,信息作用的发挥必须借助于信息技术,同时也由于信息技术的进步促进信息生态系统的改善。信息人通过一定的信息技术与外界信息环境之间进行信息交换,构成了一个信息生态循环。
区域信息生态系统服务体系构建
本课题构建的区域信息生态系统服务体系框架,包括四大平台和两大体系(如图2)。
四大平台包括:1.数字政府。改革政府行政管理方式,建设统一的政务网络平台。通过网上审批、网上审计、网上、网上监督考核等多种信息技术手段,降低行政成本,提高行政效能,实现网上互动;建设完善一批重点业务下台,并将以传统载体保存的政务信息资源数字化、网络化。2.数字企业。以建设区域先进制造业基地为目标,加快信息化带动工业化,提升产业集群、企业及产品信息化水平,加强自主创新,掌握信息化核心技术,从而促进企业生产经营和管理方式变革。3.数字城市。围绕着如何提高城市综合管理能力和公共服务水平这个目标,完善城市信息基础设施建设,发展技术含量高、关联度大的现代服务行业,促进政府公共管理、社会公共服务和便民商业服务的融合。同时注重数字图书馆建设。4.数字新农村。为了增强服务“三农”的能力,在农村建立信息网络服务体系,加快现代农业信息技术应用,并积极开展农业信息技术培训服务,不断提高农民信息应用技能,切实加强农户、农村合作社与企业的联系,促进农产品的销售、深加工,提高农民收入。
两大体系包括:1.信息安全体系。在各级政府有关部门的统一领导下,根据国家有关信息安全的法律法规,建立起信息安全监管机制及其保障体系。有关人员要提高对电子政务、电子商务、信息资源开发利用、信息服务、信息市场、资源共享等方面的安全风险管控能力,强化等级保护和风险评估,使得信息安全管理更加科学有效。2.社会诚信体系。建立涉及社会诸多领域的信用信息记录、信用产品使用、守信受益及失信惩戒的信用制度,形成各部门协同推进、社会和企业广泛参与的诚信工作格局;诚信体系覆盖信用服务产业链各个环节,包括社会信用制度建设、信用服务体系建设、个人信用联合征信系统、企业联合征信系统和信用服务行业协会等。