前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的电子政务研究论文主题范文,仅供参考,欢迎阅读并收藏。
关键词:电子政务;体系结构
0引言
电子政务e-Governmentaffair是政府在其管理和服务职能中运用现代信息和通信技术,实现政府组织结构和工程流程的重组优化,超越时间、空间、和部门分割的制约,全方位地向社会提供优质、规范、透明的服务,使政府管理手段的变革。这里,介绍一下这个信息系统体系的结构,并提出自己的一点看法,旨在抛砖引玉,与各位导师、同学、同仁商榷。
1该市电子政务信息系统的技术介绍
导师与本小组接手的该市电子政务公共信息平台的建设规划,这个电子政务系统通过采用当前的先进技术,将软硬件集成起来,以克服体系结构不同及软件自身不成熟造成的影响。具体技术路线是:采用J2EE技术,保障系统的可伸缩性、可扩展性和开放性;系统采用框架体系设计,数据库采用高可用容技术,应用中间件采用cluster(集群)技术,保证平台从信息存储到信息都具有较高的稳定性、开放性和高集成性;系统采用B/S+C/S结构,底层为数据层,存取关系型数据、文档型数据和其他业务系统数据,中间层基于应用服务器,各种业务组件注册在应用服务器上进行管理,采用XML进行数据的组织,通过JSP构造好用户访问界面并把各种业务逻辑连接起来,通过WEB服务层响应客户端的请求,客户端采用浏览器方式进行访问。该电子政务系统的主要建设过程和结构如下:
2该市电子政务信息系统的功能结构介绍
该市国产化电子政务平台正常运转一年多,平台上已经实现了市政府门户网站及90多个部门的分网站的、“诚信企业”企业信用数据交换系统、公务员的电子邮件系统、远程办公信息交换系统、办公信息资源管理系统、网上市民对话服务系统、网上电子表单下载系统等多项应用。
2.1政府门户网站。政府门户网站是该市国产化电子政务平台上第一项应用,网站分简体中文、繁体中文、英文、日文、韩文五种语言版本,设有烟台概况、政务、经济、投资、生活、科教、择业、旅游、参政、在线服务、县市区、数字地图、政府信箱等13个主栏目;今日新闻、政务动态、诚信动态、市民手册、政府文件、政务公开、电子商务等18个板块栏目和市民、企业、农民、投资者、旅游者、学生、公务员、弱势群体等8个定制频道。总信息量达两百多万条,日访问量超过两万多人次。
2.2该市政府部门网站。该市电子政务平台上运行着90多个政府部门和单位的网站。政府门户网站与各部门网站之间统一通过平台进行连接、与管理。各部门的对外的数据、信息由平台统一管理,形成较完整的政务公共信息资源数据库。这种数据的高度集中存放,为信息资源的深度开发和综合利用打下了良好的基础。
2.3“诚信企业”企业信用数据交换系统。该市电子政务平台上运行的“诚信烟台”企业信用数据交换系统,实现了与工商局、人民银行、国税局、地税局、质监局、海关、法院、公安局、环保局、劳动保障局、建设局、信息产业局等部门和单位的实时数据交换,初步形成全市统一的企业信用信息数据库。
2.4远程办公信息交换系统。该市电子政务平台上运行的远程办公信息交换系统,解决了分布办公的部门之间、部门内部的文件及资料传递问题,实现了办公信息交换无纸化。远程办公信息交换系统具有用户管理、发文管理、收文管理、系统设置、文件库管理、在线帮助等功能。
2.5办公信息资源管理系统。该市电子政务平台上运行的办公信息资源管理系统是针对各类管理部门的具体业务需求而开发的,集文件管理、信息管理、业务管理、协同管理、知识管理等办公功能于一体,是具备与业务系统、门户网站接口的新型管理信息系统。该系统是实现办公信息资源的整合、提高办公效率和领导决策支持的有效工具。
2.6公务员电子信箱服务。该市电子政务平台采用国产的红旗WebMail分级多域的邮件系统,为70多个部门和单位的3000多用户提供电子邮件服务,日完成数万封邮件的收发和传递。
2.7网上市民对话服务系统。该市电子政务平台上运行的网上市民对话服务系统是政府部门与市民沟通、交流的平台。
2.8网上电子表单下载系统。该市电子政务平台上运行的网上电子表单下载系统,提供了30多个部门的280多项行政审批事项的表单下载服务,50多个部门的580多项办事指南,实现了网上纳税和部分业务网上申报等功能。
3该市电子政务信息系统的层次结构
考虑到政府门户建设的现在和发展需求,系统应用平台具备跨平台、支持多种数据库环境的能力,采用构件化设计方式,易于扩展和维护。
从逻辑体系架构来看,如上图,办公信息系统分为多个层次:
3.1用户层:与系统连接的外部实体。用户通过浏览器访问管理信息系统。具有交互功能,进行填写信息、提交请求的操作,请求结果返回在客户端显示。
3.2权限控制层:按照用户管理和权限控制列表,审核用户的合法性和访问权限,保证系统和信息安全。用户个性化界面控制。
3.3表示层:对最终用户提供友好的界面,更好地为系统用户提供优质服务。
3.4信息接入层:这层中的Web服务器用于对外提供基本的静态信息传递服务,向后台应用服务器提供客户请求信息并接收返回的信息。
3.5应用层:完成业务的逻辑控制和流程处理,进行初步的应用安全控制和权限检查,记录原始的交易日志,进行交易的存储转发等。
3.6数据访问层:采用统一的方法访问后台数据。这层中的数据库系统用于结构化信息的存储和处理,是系统的数据核心。邮件服务器用于提供系统的邮件支持。
3.7系统层:提供应用系统的运行环境平台和对硬件系统的管理操作。
3.8硬件层:提供整个系统的硬件平台,确保系统正常运行。
4总结
该市电子政务公共信息平台按照“以实际应用为主导,以资源整合为主线,优先使用国产产品,全面引入市场机制”的建设思路,注重实效,力求实现政府部门通过一个统一的平台,及时各类政策法规和政务信息,提高政府公共服务水平和社会管理能力。
参考文献:
【关键词】电子商务;税收征管;影响;对策
一、电子商务概述
中国已经是世界上最为繁荣,也是最具潜力的商品贸易市场。正因其最为繁荣、最具潜力,在危机肆虐的当下诸多品牌的竞相登陆中国市场,使得中国贸易市场的竞争极其激烈,各种商品的价格都会有不同幅度的变化。如何应对快速变化的市场需求和市场价格,保持合理的经销库存,整合物流、信息流、资金流,使其达到最优化配置,已是商品生产商、经销商关注的当务之急。在信息化,电子商务盛行的今天,很多企业选择了网络化、实时化、集中式、互动式的网络分销管理。
对依靠电子商务实现营销的众多网商而言,如何通过网络平台快速找到充分货源、尽快发现买家和大量出货成为有效开展业务的重大挑战。渠道分销在传统营销中扮演重要角色,尤其是中国这样的多元市场中。这种重要性同样也体现在网络交易中。近期,ShopEx正式推出的B2B产品“分销王”正给网络分销带来一种新的模式。它可以帮助商家快速搭建有发展代销和批发业务能力的在线网店系统。过去,这家公司主要提供网店软件,帮助商家用下载的方式低成本建设独立网店,并在7年中成为国内市场占有率最高的网店软件提供商。借助ShopEX的开放型电子商务平台和建站系统(即网店软件),帮助网商迅速建立起有独立域名的个性化网店,一个具有独立域名和品牌形象的网店对那些着眼于长远并最终希望在用户中间建立品牌忠诚度的商家来说有很强的吸引力。这是区别于淘宝网、拍拍网上的封闭型电子商务平台上的网店建设模式。但这并不是它唯一的模式。比如“分销王”,实际上是一个网络营销的渠道管理系统。
首先,它帮助网店迅速找到数量众多的分销渠道。从多达百万的网络分销商中找到合适资源,以1%来计,也能找到1万家的网络分销商,这是个可观的数字。
其次,它对网店的上下游环节有管理和分析功能,帮助网店更了解自己的供应商和用户行为,搭建起更有效的分销渠道,并筛选更理想的合作对象。
第三,借助ShopEx的分析工具对加入到网络分销系统的分销商的质量进行评估和认证,比如分销能力、网络销售经验等等,以达到降低分销渠道的寻找和管理成本的目的。
分销王主要通过三个环节体现价值:售前阶段帮助网商快速建站,有效设定营销规则和商等级;售中阶段通过商品同步上架、多支付接口等实现轻松交易;售后则通过有效的渠道管理和统计随时掌握商品销量,帮助网商有效管理货品情况。
所以,它是一个强大的集网络建站、信息、下游渠道管理功能集一身的专业平台管理系统。其商业模式的奥妙之处就在于低成本、快速、有效地为网店找到数量众多的渠道商,依靠集团而非单兵作战,有效确保了网店足够的销量和可观的营收。既解决了传统分销渠道建设的高成本和管理风险,也规避了象淘宝网店等封闭型网店缺乏自有域名和品牌形象的弊端,正好占领了传统分销渠道和封闭型网店之间的市场空隙。事实上,电子商务不应只停留在一个简单的交易层面,电子商务企业更多的应是渗进传统行业,对于传统行业的上下游有一个充分的了解。在他看来,中国的一些中小企业将会成为B2C电子行业最大的客户,只不过目前这些传统行业的观念还是没有完全转变过来。
二、电子商务对税收征管的影响
在中国,电子商务征税问题早在互联网刚刚兴起的上世纪九十年代末就开始被提出并讨论,只是由于当时电子商务规模非常小,同时也基于扶持电子商务发务的目的而被搁置。但近两年来随着电子商务的蓬勃发展,工商部门开始把征税细则提上日程,并且在具体操作上进行区域性试水。
(1)2007年7月,全国首例个人利用B2C网站交易逃税案宣判,被告张黎的公司通过网上交易,但以不开具发票、不记账的方式,偷逃税款11万余元,被判有期徒刑2年,缓刑2年,罚金6万元,其所在公司被处罚金10万元。(2)2008年7月,北京工商局出台了电子商务监管意见,《意见》规定从8月1日起,北京的所有营利性网店必须先取得营业执照后才能经营。该《意见》不仅针对传统意义上的经营者,对个人卖家同样生效。(3)2008年11月10日,北京市地税局公布虚拟货币交易税征收细则,根据个人是否能提供收入证明,按利润的20%或交易全额的3%两种税率征税。(4)2009年两会前夕,国家税务总局官方公开信息显示,国税总局正在同相关部门共同调研电子商务税收征管问题,希望建立电子商务的税收征管法律框架,以推进《税收征管法》的修订和完善。尽管电子商务征税存在许多老大难问题,但提上议事日程是顺应趋势的一种必然结果。有鉴于电子商务征税的难度,目前的议程,或许只是万里迈出的第一步,等待法规的完善以及有效的操作,将会有一个漫长的过程。
三、必要性探析
对于电子商务应不应该征税的问题,我想答案是明确的,无论是国家财政还是行业健康发展都需要一套行之有效的税收法案。
(1)电子商务税额相当可观,据调查,2008年中国电子商务市场交易额达到24000亿元,同比增值达到41.2%。如果按照3%的税率征收交易税,理论上国家税务部门可增加720亿元税收。(2)电子商务具有交易范围广,无地域限制等特点,因此在商品流通过程中,发展中国家的商品及服务容易受到发达国家的冲击,如果没有税收把关,发展中国家商品市场极易受到影响,因此从保护本国企业发展的角度出发,针对电子商务征税也亟待解决。(3)电子商务日益成为避税的温床。国内企业通过B2C、C2C电子商务平台出售商品,往往不开具发票,而网购者也没有索要发票的自觉,或者是店主直接把税率转嫁给消费者,以致大量税收流失。不仅如此,一些大型企业、包括进出口企业,也利用电子商务的隐蔽性进行避税行为。
电子商务免税所导致的诸多隐患以及矛盾,都严重威胁着国家的经济利益,因此立法对电子商务征税,是势在必行的。但是电子商务作为新兴的行业,它彻底颠覆了传统的商务模式,课税存在许多难题。
首先,电子商务不是发生在某个物理地点,而是发生在网络空间的虚拟世界里。在网络交易中,凭证、帐册和报表都可以在计算机中以电子形式填制,可以轻易地被修改且不留任何线索、痕迹,并采用了电子加密技术。由于网络交易具有无纸化、无形化、即时性、隐蔽性的特点,游离于税收监控之外,造成了征税点的扩散,令税务局难以获取充分的征管信息,造成了税收征管的新盲区。
其次,也就是业内人士最担忧的问题,即对电子商务征税,是否扼杀电子商务的发展。因此,对哪些主体征税?起征点是多少?税收政策与扶持政策如何相辅相成?根据电子商务发展的方向,一般分为B2B、B2C、C2C三种类型,其中C2C的主要构成为个体店主,C2C目前在淘宝等电子商务平台的带动下,正呈快速发展的态势,一旦对C2C征税,那么网购价格低廉的优势或将荡然无存,税收政策如何做到适度有效,将极大地考验立法者的智慧。
电子商务的高流动性,隐蔽性也削弱了税务机关获取交易信息的能力,也对各国的税收协调与合作提出了更高的要求。国际社会应进行广泛的税收协调,消除因各国的税收管辖权的行使而形成的国际贸易和资本流动的障碍。今后的税收协调不应局限在消除关税壁垒上,重复征税上,而是各国税务当局互通情报,信息资源共享,在稽查技术,手段上取得一致,尽量避免避税的可能性。
我们应该提高税收干部队伍素质,加快税务机关的信息化建设,建立电子税务,以适应信息经济发展的需要。我们要加强对电子商务的税收管理,就要培养出一大批精通网络经济知识的业务骨干,实现网上办公,网上征管,网上稽查和网上服务,使税务干部队伍的整体素质能够适应信息经济时代的新需要。
参考文献
>> 服务型政府电子政务的建设研究 基于电子政务视域下服务型政府建设研究的探讨 论电子政务对建立服务型政府的影响 加快电子政务建设 构建服务型政府 推进电子政务 构建服务型政府 电子政务与公共服务型政府 电子政务: 服务型政府渐行渐近 电子政务与服务型政府 关于服务型政府电子政务构建探究 电子政务促进服务型政府构建 青岛电子政务打造服务型政府 国外服务型政府电子政务建设现状分析及经验总结 以建设服务型政府为导向的电子政务研究 服务型政府电子政务绩效评估存在的问题及对策 服务型政府理念下的电子政务建设 电子政务环境下建设服务型政府的问题与对策 大力发展电子政务 促进奎屯市服务型政府的打造 浅析服务型政府导向下的电子政务体系 我国服务型政府视域下的电子政务建设 服务型政府导向的电子政务绩效评估述评 常见问题解答 当前所在位置:l.
[4] Shareef M A, Kumar V, Kumar U, et al. E-government adoption model (GAM): differing service maturity levels[J]. Government information quarterly, 2011, 28(1): 17-35.
[5] Hsieh P H, Huang C S, Yen D C. Assessing Web services of emerging economies in an eastern country: Taiwan’s e-government[J]. Government information quarterly, 2013, 30(3): 267-276.
[6] Huang Z, Benyoucef M. Usability and credibility of e-government websites[J]. Government information quarterly, 2014, 31(4): 584-595.
[7] DeLone W, McLean E. The DeLone and McLean model of information systems success: a ten-year update[J]. Journal of management information systems, 2003, 19(4): 9-30.
[8] KUNSTELJ M, VINTAR M. Evaluating the progress of e-government development: a critical analysis[J]. Information polity, 2004, 9(3): 131-148.
[9] JANSEN A. Assessing e-government progress: why and what?[ED/OB]. [2016-09-11]. https:///publication/228618143_Assessing_E-government_progress-why_and_what.
[10] Accenture. E-government leadership: engaging the customer[R/OL]. [2016-09-11]. http://umic.pt/images/stories/publicacoes/eGovernment%20Leadership%20Engaging%20the%20Customer.pdf.
[11] ALANEZI M A, KAMIL A, BASRI S. A proposed instrument dimensions for measuring e-government service quality[J]. International journal of u- and e- service, science and technology, 2010, 3(4): 1-18.
[12] KIM G, SHIN B, GROVER V. Investigating two contradictory views of formative measurement in information systems research[J]. MIS quarterly, 2010, 34(2): 345-365.
[13] 成福, 唐钧. 电子政务绩效评估的模式研究[J]. 电子政务, 2005(24): 38-44.
[14] 石会昌, 万道濮, 王彦慧. 电子政务绩效评估指标体系设计[J]. 电子政务, 2008(10): 14-23.
[15] 马静, 徐晓林, 陈涛. 电子政务绩效评估研究――基于服务型政府的视角[J]. 河南社会科学, 2012(2): 70-74.
[16] 闫培宁. 基于AHP与过程结果模型的电子政务公共服务绩效实证研究[J]. 中国行政管理, 2012(4):104-108.
[17] 李纯青, 孙瑛, 郭承运. E-服务质量决定因素与测量模型研究[J]. 运筹与管理, 2004(3): 132-136.
[18] 熊曙初, 罗毅辉. 零售企业公开信息对顾客感知-满意-忠诚关系的影响[J]. 中国软科学, 2008(6): 99-108.
作者贡献说明:
熊曙初:提出研究思路与方法,设计研究方案,采集与处理数据,检验与分析模型,撰写与审核修订论文;
罗毅辉:参与数据采集与处理、模型检验与分析和论文修改。
Study on the Impact Paths of the Effect for E-government Based on the Perspective of Service-oriented Governance
Xiong Shuchu Luo Yihui
Computer and Information College, Hunan University of Commerce, Changsha 410205
摘 要: 分析了公钥基础设施(PKI)的安全框架,引入改进算法构建更加安全的容侵PKI,并将该改进的安全框架技术引入到电子政务体系中。首先构建电子政务安全模型,再用容侵PKI分层进行数字签证,逐级回溯,通过安全认证建立数据信息通道,使电子政务在保密性、认证性、网络安全、事务处理等方面有所改善。
关键词: 电子政务; PKI; 容侵CA; 安全策略
中图分类号:TP399 文献标志码:A 文章编号:1006-8228(2016)07-42-03
Application of intrusion tolerance PKI in the E-government
Hu Hengwu, Na Zhiguang
(School of Information Enineering, Guangdong Medical University, Dongguan, Guangdong 523808, China)
Abstract: In this paper, the security framework of public key infrastructure (PKI) is analyzed, the improved algorithm is introduced to construct a more secure intrusion tolerance PKI, and the improved security framework technology is introduced into the E-government system. E-government security model is first constructed, and then the intrusion tolerance PKI is used to make layered digital signature, and recalling back step by step, establishes a data channel through the security certification, so as to improve E-government in confidentiality, authenticity, network security, transaction processing and so on.
Key words: E-government; PKI; intrusion tolerance CA; security strategy
0 引言
近年来,电子政务飞速发展,正朝着标准化、平台化、联合办公的集群式方向发展[1]。电子政务是政府组织机构根据工作流程和公众的服务需求,利用计算机技术,构建在互联网上,整合政府组织机构信息资源,实现政务电子化、信息数据传递与交换电子化等功能的新型工作模式[2]。
由于电子政务是建立在互联网基础之上的,很容易受到网络安全威胁(比如,窃听攻击、伪造攻击、恶意攻击、否认发送等),如何保障政府组织机构实施电子政务过程中的安全就成为一个不可回避的问题。另外,随着电子政务市场化和社会化的深入,电子政务系统成为一个大规模大数据的系统,系统的开放性和复杂性迅速扩大,其安全性将面临着更加严峻的考验[3-5]。
这里引入算法改进公钥基础设施(PKI),构建带容侵CA功能的PKI安全框架,将其应用到电子政务安全体系中。首先构建电子政务的容侵PKI安全模型,再用容侵CA进行分层进行数字签证,通过层级安全认证建立数据信息通道,提升电子政务实施过程中的安全性能。
1 容侵PKI
1.1 PKI
PKI(Public Key Infrastructure )即公钥基础设施,其指的是用公钥技术提供安全服务的基础设施[6]。PKI系统包括证书服务CA、数字证书库、注册机构RA等。其中CA是PKI系统的可信机构,是数字证书的颁发机构,在整个体系中具有核心地位。数字证书库系统存储节点所有的合法证书,任意节点都可查询。RA提供用户和CA之间的接口功能,它能获取并认证用户的身份,并向CA提出证书请求服务。
CA一般有两类,分为集中式CA和分层式CA。一般使用树状结构来描述分层式CA,在树状结构中,一个叶子节点表示一个用户,枝节点表示次级CA,树的根节点代表顶级CA(它是系统中的最高证书实体)。如图1所示,低级CA、次级CA和用户,箭头指向表示颁发证书。
一个顶级CA的信任范围是包括它下面的所有节点,即表示用户的叶子节点和次级CA节点。该信任范围中的所有节点都信任顶级CA。表示用户的叶子节点,它们的数字证书由邻近各自的父节点的CA进行签署。顶级CA使用自己的私钥签署数字,然后由高一级的CA给低一级的CA签署数字证书,由此层层下行,其信任范围包括整个系统。
用户进行服务前需要验证数字证书。首先确认服务双方是否有共同的CA,如果是则直接用该CA的公钥验证证书;如果不是,则向更高级的CA追溯,直到找到一个共同的CA,然后依次验证连接该CA和用户节点的路径上所有节点的证书是否有效。
1.2 容侵PKI
一般,CA处在互联网上自动地提供相应的证书服务,而互联网遭受网络攻击是不可避免的。在这里采用“RSA公钥算法和(T,N)门限密码技术”[7],引入入侵容忍技术改善CA,使PKI系统在遭受攻击时,仍能为用户提供申请的服务,这样就得到了容侵PKI。如图2所示容侵CA。
通过把CA私钥分割成多个份额在服务器集群中进行分配,并结合分阶段签名方案,使得私钥在任何时候都无需重构,最后一步由签名通过综合计算得出最终签名。
2 电子政务安全策略
需考虑到电子政务发展迅速,电子政务的信息数据资源庞大,互联网拓扑结构纷繁复杂,网络攻击手段层出不穷等因素。要尽力确保用户同电子政务系统的数据通信不泄漏给非法用户;有效地防止蓄意攻击;保证传输的信息数据的完整而不被篡改;对身份进行数字认证以杜绝否认行为;给用户提供稳定的电子政务服务,避免拒绝服务。我们采用改进的带容侵CA的PKI方式来满足政府电子政务的安全需求。
2.1 解决方案
采用容侵PK实现电子政务的安全,方案内容包括:①采用基于RSA公钥算法和(T,N)门限密码技术的容侵PKI技术实现电子政务服务双方的身份认证和建立对称的通话密钥,还可保证传输数据的完整和不可否认性,通过引入入侵容忍技术,提供可靠的电子政务服务;②通过第三方传输协议,建立可靠稳定的服务通道,均衡性调用资源及处理大量用户的服务需求,对用户所获数据进行追踪并记录,作为事故处理依据;③服务通道建立后生成即时对称密钥实现数据通信的保密。电子政务服务中使用对称密钥原则是:一次通话使用一个对称密钥,服务结束则该通话密钥失效。
2.2 安全模型
引入容侵PKI/CA构建电子政务控制中心(Electronic Government Control Authority,EGCA)作为最高证书机构,构建电子政务认证管理系统(Electronic Government Certificate and Management Authority,EGCMA)作为次级CA机构以及服务对象即用户,形成图3所示的电子政务安全模型。
EGCA和EGCMA都有一对公钥和私钥,其中公钥用来加密数据信息和验证数字签名,私钥用来给数据信息解密和数字签名。另外,EGCA和EGCMA都用“RSA公钥算法和(T,N)门限密码技术”构建入侵容忍的私钥数字签名。
EGCA是安全模型中所有节点的顶级CA,安全模型中所有EGCMA节点的数字证书由EGCA用它的私钥签署,接着EGCMA为它下面节点的用户颁发证书。
2.3 电子政务安全服务过程
电子政务安全服务过程如图4所示。其中用户包括个人用户和组织用户,是电子政务的请求者和使用者;电子政务服务指政府组织机构提供的社会化服务,为用户提供信息查询、业务办理、业务管理、支付、事务处理等服务;EGCA和EGCMA介于电子政务和用户之间,对电子政务服务进行安全认证,并对服务纠纷进行认定及处理。
电子政务安全服务过程为:政府组织机构(包括职能部门)向EGCA、EGCMA发送注册服务信息和提供具体的电子政务服务内容;EGCA、EGCMA对申请的电子政务服务内容进行安全认证,将其加载到服务列表;用户向EGCA、EGCMA发出包含具体电子政务服务内容的申请;EGCA、EGCMA从服务列表中选择相应的服务返回给用户,并建立通信连接处理该事项;若服务中发生事故,EGCA、EGCMA对用户和电子政务服务提供方进行责任认定,并作出处理;用户在首次通过EGCA、EGCMA取得电子政务服务后,在办理过程中每次都需要重新向EGCA、EGCMA发出服务通道连接申请,由EGCA、EGCMA生成即时的对称密钥,用于用户和电子政务系统间的数据通信和服务。
3 结束语
电子政务已被政府组织机构广泛应用,其安全性在实施过程中有着非常重要的地位。借鉴PKI的安全框架结构,利用算法改进CA,形成带容侵CA功能的PKI安全框架,构建了新型的电子政务安全策略,在电子政务实施过程中进行分层进行数字签证,逐级回溯,通过安全认证建立数据信息通道,来改善保密性、认证性、网络安全、事务处理。相信容侵PKI在电子政务的安全体系中发挥重大的作用,但是,在电子政务服务过程安全事故的界定、认证及处理等需要进一步展开研究,完善安全框架。
参考文献(References):
[1] 范冰冰.电子政务框架体系结构[J].计算机应用,2004.24(2):
82-84
[2] 康汶,何耀光,詹先信,邓伦强.跨部门数据共享平台总体架构
与功能分析[J].计算机与现代化,2011.3:38-43
[3] 陈荣艺.电子政务中信息安全技术的应用研究[D].广东工业
大学硕士学位论文,2013.
[4] 游银辉.电子政务的网络信息安全研究[D].天津大学硕士学
位论文,2013.
[5] 鲍捷.电子政务信息安全及防范体系研究[D].华中师范大学
硕士学位论文,2014.
[6] Akyildiz I F,Ekici E,Bender M D.MLSR:a novel routing
algorithm for multilayered satellite IP netwworks[J].IEEE/ACM Transactions on Networking,2002.10(3):411-424
1 电子政务服务整合概念界定
目前国内外学者给出了一些跟电子政务整合相关的定义,商宪丽〔1〕定义了“基于集成的电子政务信息服务”,王卫国〔2〕、Zhou JS〔3〕等定义了电子政务“一站式”服务,DibakarRay〔4〕等学者给出了基于技术层面上的服务整合的定义,Lim〔5〕、Ronald E〔6〕等给出了整合的定义。但目前学术界尚未给出电子政务服务整合的明确定义。基于以上研究,本文对电子政务服务整合进行如下定义,即以用户需求为核心,利用Web 服务技术,对政府部门的业务功能进行封装和集成,实现政府组织结构和工作流程的优化重组,超越时间和空间及部门之间的分隔限制,向社会提供优质和全方位的、规范而透明的管理和服务。
2 电子政务服务整合的类型
由于研究角度和关注点的不同,对电子政务整合的类型划分也有多种标准,有根据整合对象进行的划分,有根据技术进行的划分,还有按整合的层次或其他类型进行的划分,在查阅国内外文献的基础上,本文列出了常见的几种分类。
2. 1 国内分类
陈勇跃把电子政务整合分为技术方面的整合和非技术方面的整合,对电子政务资源整合从数据整合、接口整合、应用系统整合、业务过程整合、基于 Web 服务系统整合、人的整合几个维度进行研究〔7〕。刘寅斌把电子政务的整合分为,基于数据交互与数据共享的信息整合( 数据集成) 、面向过程的信息整合( 工作流管理) 、面向服务的信息整合( Web 集成)〔8〕。史超则依据整合的方向,把电子政务中的整合分为横向整合和纵向整合,然后依据整合后原有系统的价值,分为替代性整合和非替代性整合〔9〕。刘奎把整合分为点到点的系统整合、基于中间件的系统整合和面向服务的整合〔10〕。
2. 2 国外分类
Chiu,D. K. W. 等按不同深度为电子政务整合分类,将其分为前台整合、后台整合和前后台跨边界整合〔11〕。Lü,X 根据语义应用不同的层面,把电子政务整合分为事务整合和结构整合〔12〕。Jaeger 等根据政府工作的不同层面把电子政务整合分为水平整合和垂直整合〔13〕。Ronald E. Giachetti 根据整合框架将整合划分为网络层、数据层、应用层、业务流程层这几个层次的整合〔14〕。
3 电子政务整合现状
3. 1 国内研究现状
在查找国内相关资料时,用“电子政务”、“政务信息”与“整合”、“集成”分别相组合,在 CNKI 的中国期刊全文数据库的核心期刊进行题名检索,检索出本文相关核心期刊记录 44篇,相关的硕博论文40 篇。因其他一些领域也涉及到整合的应用,所以将“服务”、“信息”与“整合”、“集成”分别组合,在CNKI 的中国期刊全文数据库的核心期刊进行题名检索,得到2008 - 2010 年总共 263 条记录,其中与本文相关的文献有 21条,对这些文章进行内容分析。我国自1999 年起就开始对电子政务整合进行了关注,从2004 年开始,公开发表的论文急剧增多,研究力度不断加强,电子政务整合开始得到广泛的重视〔15〕。国内学者在研究电子政务整合时,集中于从管理角度和技术角度这两个方面来进行研究。
3. 1. 1 从管理的角度进行的研究
这类研究大都从电子政务整合的含义、必要性、可行性,困境、方法、规范、框架几个方面对电子政务整合进行研究。王德欣从电子政务信息资源整合与共享的涵义和必要性及实现所具备的条件进行了探讨〔16〕; 黄萃认为产生离散型信息分隔的原因是部门经济利益和部门政治利益,这些造成了政务信息架构之下信息交换与整合应用在电子政务信息资源开发规划、电子政务管理体系、电子政务信息应用服务等领域的困局,并在研究中提出了破解和整合困局的政策建议〔17〕;李宇探讨了信息资源不能得到有效共享的制约因素并提出了具体的解决措施〔18〕; 肖荣莲提出应认真梳理电子政务信息流结构,通过数据整合和信息系统集成建立具有综合业务处理能力的网络信息平台,并最终实现政务信息流在系统内的快速流转〔19〕; 洪伟达提出把电子政府信息资源增值开发机制作为电子政务信息资源整合的重要手段,增值电子政务服务,整合电子政务流程,促进政府体制转型〔20〕; 周毅在一般结构层次基础上,从政府信息服务整合平台建设的原则、实现策略等方面提出了面向基础信息的政府信息服务整合平台和面向增值信息的政府信息服务整合平台的相关建设思路〔21〕。
3. 1. 2 从技术角度进行的研究
这类研究是把一种或多种技术方法、架构应用于电子政务整合,来实现电子政务中异构数据、异构数据库、异构系统、不同组织之间的数据共享和信息交换。夏立新针对区域信息一体化建设和城市间电子政务系统数据整合的问题,通过对关系型数据库的解析、OAI 元数据收割、主题图自动生成与合并技术来实现城市圈电子政务系统的异构数据库整合〔22〕; 孟祥宏提出了基于语义 Web 服务的政务数据集成框架( SWSEDIF) ,以北京奥运城市综合信息服务项目为例进行了实证分析,解决了异构数据源的集成〔23〕; 王军豪通过对 Struts + Hibernate + Spring 这 3 种技术整合的研究,提出用 Struts 架构系统的表示层、Spring 架构的业务层和Hiber - nate 架构的持久层来形成统一的架构进行 Web 开发,实现了同一网络内部异构系统的整合〔24〕; 姜仕田用 Web Serv-ice、SOA 等技术方法实现了法人信息库系统在服务总线上的应用集成〔25〕。综上,针对国内电子政务整合,从管理角度对整合进行的研究,较少考虑我国电子政务的网络现状,提出的方法缺乏可操作性; 从技术角度进行的研究,偏重于政务信息数据层面的整合,从政府管理信息资源的角度来整合资源,从普通用户层面关注服务整合的研究较少,并且对整合、集成的研究也以同一网络内异构数据源整合、内部异构系统整合为主,研究跨网整合的几乎没有。
3. 2 国外研究现状
在查找国外相关资料时,用“E - government”与“integra-tion”组合,“service”与“integration”组合,在 CSA、ISI、IEEEX-PLORE、ProQuest 中进行搜索,得到相关度较高文献 80 余篇。国外关于服务整合的研究较多,但多集中在企业服务整合和商业服务整合方面,关于电子政务整合的文章相对较少,对电子政务整合方面的研究偏重于从技术的层面进行,将一种或多种方法应用于电子政务服务整合。
3. 2. 1 基于 CRM 和 ERP 方法的研究
Themistocleous 等的研究指出,英国很多地方政府在整合系统的过程中采取客户关系管理( CRM) 和企业资源规划( ERP) 软件包来改进它们的服务,CRM 的应用使当地政府能使用核心数据支持跨越多种访问渠道的服务传递,并且创造市民关系的单一视图,对当地政府而言,CRM 通过鼓励较高质量的市民交互和整合内部业务实现无缝内部操作来提高市民的服务,英国政府已认识到 CRM 的重要性,在制定地方电子政府战略时都会对其进行声明。Jia Xiao - Xia 将 CRM 和ERP 的方法引入到对政府内部资源和外部服务整合研究中,构建了基于 ERP 和 CRM 的电子政务一体化框架〔26〕。
3. 2. 2 基于 SOA 体系架构的研究
Martin Nussbaumer 等提出了基于跨组织的业务流程基础的 SOA 概念和技术集成的一种结构化、模型驱动的通过元模型和过程模型来具体描述的方法,研究重点讨论了服务设计规范和随后的公共服务实施活动〔27〕。Lukasz Budnik 等提出了基于 SOA 的动态配置框架,该框架基于 OSGi 规范,提供了一个根据应用逻辑不用重新启动的接口,该研究实现了创建从服务构建应用程序的功能完备的平台,在该平台上可以动态添加,删除和连接服务以获得所需的功能,进一步的研究工作将集中在扩大目录服务和增加对 TCP / IP 支持的沟通机制上〔28〕。
3. 2. 3 基于 EAI 方法的研究
Kamal MM,Weerakkody V,Jones S 对威尔士当地政府的信息技术结构集成的项目研究表明,不采用 Enterprise Appli-cation Integration ( EAI) 集成方法,给当地的电子政务集成造成了长期的困难,通过对比说明了采用 EAI 集成方法的优点〔29〕。Muhammad Mustafa Kamal 等调查了伦敦南部的地方政府部门,在审查了一些研究之后,决定采取 EAI 的架构为核心发展一个可管理的同质的信息技术结构,由于这种方法花费较大,没有在整个政府内部全面采用,只是采用了这种方法整合了几个部门的电子文档记录管理,通过这种架构为员工和市民提供了有形的帮助〔30〕。Themistocleous 等用企业应用集成( EAI) 框架整合遗留系统和电子政务应用,并对 EAI 能被怎样用于发展电子政务整合进行了研究,通过 EAI 技术和原有信息系统整合的一个儿童项目的分析与介绍,认为公共机构可以在企业应用技术( EAI) 中加入它们自己的系统和流程,从而实现目标,以实现效益最大化〔31〕。
3. 2. 4 基于语义的研究
Yuh - Min Chen 等开发一个基于本体的知识集成方法,能够处理异质性和知识来源形式的动态分布变化,成果包括:( 1) 基于 Web 服务的知识集成框架( 2) 知识集成基于本体的知识架构( 3) 基于本体的知识集成方法,这项研究结果有助于通过产品知识集成和共享分布式产品的工艺开发〔32〕。FarzadSanati 等提出了被称为 E - 服务集成方法论( e - SIM) 的电子服务组合项目可重复方法的详细描述,该方法明确定义了过程中所有的任务和活动,并提供了对这些任务和活动的有效管理控制,并用 E - SIM 模型作为一种简化的电子服务概念验证的集成解决方案〔33〕。Peter Bednar 等根据居民和商业用户的需要,参照需求驱动方式的应用来设计电子政务服务接口,该案例使用服务的语义标注作为整合的基础,在 WSML本体语言上开发电子政府服务的概念模型,该研究存在一些问题,但这个方法适合作为一个框架来支持由地理分布的管理办公室提供的异构政府服务的交互〔34〕。Hua Fang Tan 等展示了用语义网系统匹配到现实世界里遗留系统集成问题的研究结果,表明在信息技术项目中,采用基于语义的智能工具工作能极大提高生产率,在业务流程整合项目里这种生产率的提高,能很快被转化为时间与资金〔35〕。
3. 2. 5 基于网格的研究
Youn - Gyou Kook 等的研究提出 GMDR( 政府元数据注册) 和电子政务网格系统,作为问题一种可能的解决方案,该方案克服了语法和语义的句子异质性,用一组连接数据库和系统的网格中间件组成的网格环境作为基础来轻松利用分散的遗留系统,以提供无缝的公共服务〔36〕。Binge Cui 等研究设计并实施了新的科学计算资源集成框架,该研究定义了一个XML 模式来描述应用程序接口的功能,并用网格服务管理、公开这些应用描述,用户可以根据请求类型利用适配器来调用相应的应用程序来使用网格服务,由于遗留系统和网格服务之间的松耦合性质,该集成框架有较好的灵活性和可扩展性,研究还提出了用动态加载的类池解决内存空间的浪费〔37〕。
3. 2. 6 基于混合方法的研究
Votis K 等提出了用基于本体原则的面向服务的架构来管理和集成电子政务网络中分散的节点,该设计的目标是利用面向服务技术,本体技术、web services 技术提高服务的有效性和一致性,用一个两层的语义中间件模型来提供实体和实际信息图的描述,开发一个原型系统来管理亚加亚、希腊辖区分布的教育董事会,通过测试表明该方法的使用不仅提高了决策的效率,还挖掘出了原来被隐藏在当地政务结构中的信息〔38〕。Anwar M 等提出了用多技术和 Web 本体语言的服务加强Web service 的架构,以消除Web service 本身特征不利于异构服务互操作的限制,建议延长的 WSDL( Web 服务描述语言) 来表示语义信息〔39〕。Radoslava D 等指出虽然 OGSA 一直是作为构造网格的主导的网格结构,但 OGSA 作为一种标准并没有完成,很多网格环境并不执行 OGSA,由于要用不同方法访问不同网格,这样就为开发网格和用户同步使用不同类型的网格资源带来了一些问题,研究提出用服务导向( SOA) 的方法这种概念模式整合异构网格,并选择 Globus Toolkit 4 和 g -Lite 这两种异构网格进行测试〔40〕。Carmela Comito 等采用了用于增强数据网格的数据集成服务中间件的统一架构方法,把在自治数据库中的分布查询过程作为网格资源,采用包装器中间件方法建立这种数据库的语义连接的分布模型,结合已存在的语义数据整合方法来查询网格分布数据库,研究建立了一个基于 OGSADQP 分布式查询处理器和 XMAP 重新查询算法的基础之上远程访问网格数据源的实际行为的原型,通过实际的应用和测试,结果表明有较好的实际应用前景〔41〕。
综上,国外对电子政务整合的研究主要集中于: 基于 ERP和 CRM 方法、EDI 、EAI 、SOA、语义、网格、多这几个方面的服务整合,近年多采用集中方式结合来解决整合问题。但每一种技术、方法都有其优势与不足,如 Agent 对于从理论上研究异构系统间信息集成具有相当的优势,但规模应用的周期长,制定符合某类应用固有属性的协议规范是需要经过理论和实际应用若干反复,兼顾从应用到网络底层通信能力〔42〕从协议到应用软件接口的开发和测试需要耗费大量的时间和人力〔43〕; ERP 和 CRM 方法也是较为理想的系统集成整合方法,但对企业要求较高,操作起来较难,也很费时〔44〕; WebServices 提出了面向服务的分布式计算框架,具有松散耦合、与平台无关、易于集成等优点,但是它的安全性〔45〕和介入大量工作流程后的复杂性问题仍值得考虑〔46〕,〔47〕; EAI 能将多个应用系统的过程、软件、标准和硬件集成起来,但是 EAI 投资成本高〔48〕; 网格能解决异构、异种平台系统之间的集成问题,但网格的隐私控制与不同网格之间服务的传递存在争议,如何选择合适的技术方案仍有待研究。
论文关键词:SOA;面向服务;电子政务
1 引言
随着计算机网络的迅速普及,国家加快了电子政务建设的进程,全国各地政府机关随之加快了信息化、网络化平台的建设。政府在管理企业和公民的相关事务上,也需要不同部门、不同级别的机构、不同地域的机构协同办公才能完成特定审批、核查等相关业务,这样使得办公的分散化和办公的协同成为电子政务发展的主要需求之一。如何去合理构建新一代的电子政务系统,以提高政府的公共服务效率和质量,政府、学术界都为此进行了大量的探索和研究。
面向服务的架构(SOA)作为新一代的分布式应用集成架构,其目标在于让IT变得更有弹性,以更快地响应业务单位的需求,实现实时效能,这也正是电子政务所需提高的方向。因此,本文以北京市海淀区政府协同办公系统项目为载体,介绍了如何利用面向服务的架构(SOA)进行电子政务协同办公系统的设计与开发。
2 面向服务的架构SOA
到目前为止,关于SOA还没有一个统一的、被广泛认可的定义,从不同的角度,SOA有不同的定义。从体系结构的角度可以认为: SOA 是一种松散耦合的软件体系结构,在这种体系结构中,由各自独立可复用的服务去构成系统功能。这些服务向外公布有意义明确的接口,软件的开发是通过对这些实现透明的接口的调用来完成。
面向服务的体系结构中的角色包括:
(1)服务使用者。
服务使用者是一个应用程序、一个软件模块或需要一个服务的另一个服务。它发起对注册中心中服务的查询,通过传输绑定服务,并且执行服务功能。服务使用者根据接口契约来执行服务。
(2)服务提供者。
服务提供者是一个可通过网络寻找的实体,它接受和
执行来自使用者的请求。它将自己的服务和接口契约到服务注册中心,以便服务使用者可以发现和访问该服务。
(3)服务注册中心。
服务注册中心是服务发现的支持者。它包含一个可用服务的存储库,并允许感兴趣的服务使用者查找服务提供者接口。
服务请求者、服务提供者以及服务者,通过3种基本操作相互作用,如图1所示。
:服务提供者向服务者服务。包括注册自己的功能和访问接口。
查找:服务请求者通过服务者查找所需的服务,并绑定到这些服务上。
绑定:服务提供者和服务请求者之间可以交互,并使服务请求者能够真正使用服务提供者提供的服务。
与传统开发方法相比,SOA具有标准化、松散耦合、共享服务和粗粒度等特点,其优势具体表现为:
易于集成现有系统;
具有标准化的架构;
提升开发效率;
降低开发维护复杂度。
3 基于SOA的电子政务系统
3.1 电子政务系统分析
服务型电子政务建设的目标是要通过信息共享实现政府各部门间的协同办公,方便用户获取政务信息。这就要求对政务信息从服务的角度进行整合。基于服务的政务信息资源整合往往需要连接几十个政府部门,涉及大量的部门业务信息库、专题信息库和基础信息库。这些信息库运行在不同的软硬件环境下,需要一个跨平台、松耦合、可扩展的技术架构来支撑。而传统电子政务系统主要是从部门内部自身业务需要出发,缺乏统一的标准。且基于传统技术构建的电子政务应用系统,因技术手段制约,共享实现常以点对点的信息共享和交换方式为主,这种模式存在方法欠灵活、可扩展性差,而且部署的难度与费用高等问题。
SOA架构模式以服务驱动为核心理念,按需连接系统资源,通过将原有应用中的零散功能整理包装为具有互操作性的标准服务,实现服务的快速组合和重用,保证应用敏捷性与扩展性以及政府业务发展的需要。与传统架构相比,SOA不仅可以实现资源的重复使用和整合,而且能够跨越各种硬件平台和软件平台的开放标准,实现不同政务资源和应用的互联互通。通过标准的协议,这些服务可以由内部政务系统或外部政务系统的其他服务调用。因此,SOA的技术属性与电子政务的宗旨十分吻合,SOA 架构可以为服务型电子政务建设提供良好的技术平台。
3.2 基于SOA的电子政务系统的设计
要构建基于SOA的电子政务系统,分散于异构电子政务系统上的信息资源进行整合,建立统一的软硬件基础平台和应用支撑平台,并根据业务需求在此平台之上构建多个应用子系统,各个子系统按照功能模块可划分为一系列的服务。通过单点登录、个性化桌面的形式展现给用户,以及短信平台进行多渠道信息沟通。系统总体结构按四个层次内容进行划分,如图2所示:
3.3 基于SOA的电子政务系统的实现
基于SOA的电子政务系统的实现的核心在于围绕服务的一系列步骤:
服务发现:服务发现的主要任务,是确定在一定范围内(通常是企业范围,或若干关键业务流程范围内)可能成为服务的候选者列表。
服务规约:服务规约阶段的主要任务是规范性地描述服务各个方面的属性,其中,既包括输入、输出消息等功能属性,服务安全约束和响应时间等服务质量约束,以及服务在业务方面的诸多属性,如涉及的业务规则、业务事件、时间、人员消耗等。
服务实现: 为了将服务契约落在实地,服务实现阶段通过差距分析,并结合传统方法学完成每个服务的实现。
服务注册:服务开发完毕后首先需要注册到服务总线,这样所有的客户就可以根据需要访问到所需服务。服务注册是指将服务注册到企业服务总线,供用户或应用程序调用。
服务调用:客户端可以Web页面发起请求,例如通过URL /RegistDemo?AppName= 注册业务系统名访问服务系统。通过URL /RegistDemo?AppName=workflow访问BPIP工作流系统。
关键词: 电子政务; 安全风险评估; OCTAVE; 自适应法
中图分类号:TP393.08 文献标志码:A 文章编号:1006-8228(2016)11-38-03
Analysis of information security risk assessment in E-government
Liu Feifei
(Department of Information, Business College of Shanxi University, Taiyuan, Shanxi 030031, China)
Abstract: In view of the security risk assessment in E-government system, the current situation of E-government system and the related concepts of information security risk assessment are introduced; The characteristics of risk assessment methods are analyzed, including OCTAVE method, SSE-CMM method and adaptive method being commonly used in E-government system; And the problems that need to be solved are discussed in order to provide reference for the security risk assessment of E-government.
Key words: E-government; security risk assessment; OCTAVE; adaptive method
0 引言
随着计算机与网络技术的飞速发展,我国各行各业信息化程度提高,电子政务也不例外。电子政务系统能够及时、动态地对信息进行更新,有利于政府信息的公开与共享;同时,建立一个良好的业务服务平台和信息互动平台,可以确保信息和服务的实效性,提高政府服务的效率和质量。电子政务系统涉及政府敏感或秘密信息,系统的稳定性与安全性成为政府工作的必要保障。电子政务系统安全是一项系统工程,传统的信息安全技术及设备不能带来真正的安全,因此,对系统进行各阶段的信息安全风险评估和管理是十分必要的。
1 电子政务系统现状
1.1 网络基本结构
电子政务是一个面向政府职能部门、企业以及民众的复杂的多层次的服务系统,其结构如图1所示[1]。内网是政府内部日常办公网络,实现内部信息的交流与处理,如文件传送、邮件收发等;专网主要用于实现政府内辖的职能部门之间的信息的互通,用以协作完成相关的项目申请、审批等主管业务;外网也指公众信息网是面向社会民众提供信息和服务的综合性网站,可以帮助公众了解最新的政策动态,提供网络服务等;信息库,为三网服务提供数据和所需的资源。
1.2 系统安全风险
电子政务系统网络结构复杂,业务繁多,数据机密性高,同时具有很大的开放性,所以势必面临各型各色的安全风险。主要体现在以下几个方面。
⑴ 物理安全风险
由环境(如水灾、火灾、湿度等)或系统自身物理特性(如设备线路老化、电磁泄漏干扰等)引起的系统不可用的风险。物理安全是系统安全的前提和保障,应做好相关的隔离与保护工作。
⑵ 网络安全风险
网络结构规划或安全部署不合理会带来来自内部和外部的安全缺陷;路由器、三层交换机、网关等网络设备自身配置及安全存在漏洞,会影响系统的安全性;另外,网络中使用的互连、路由协议的不健全,也会给网络带来安全威胁。
⑶ 管理安全风险
管理是防范网络内部攻击的主要手段,是电子政务网络安全的不可或缺的一部分。目前,管理和监管机制还不健全,不规范,缺乏可操作性,都会引起不可避免的安全风险。
2 信息安全风险评估概述
依据国际或国内的标准,使用相关的方法技术,标识系统中的核心资产及业务,识别存在的安全威胁及脆弱性,估算安全事件发生的可能性及带来的损失,同时,制定安全防护加固策略,这就是信息安全风险评估。其中风险分析计算是关键,计算原理如图2所示[2]。
常见的风险分析的方法有定量分析和定性分析。定量分析利用财务评估等手段来测算核心资产的实际价值,使用可量化的数值来估算系统的损失及风险等级,评估结果直观有效,但是资产价值的核算和风险计算复杂;常用的定量分析有决策树、聚类分析等[3]。定性分析通常依据评估者的知识经验,采用文字或假定的数值范围来评定风险等级,主观性强,结论不够严密;典型的分析方法有:德尔菲法、历史比较法等。通常会在定性分析的基础上,结合使用定量分析来实施风险的分析评估,如层次分析、概率分析等。
3 电子政务系统风险评估方法
目前,电子政务系统风险评估的方法主要有:OCTAVE方法、SSE-CMM方法及基于免疫的自适应法。
3.1 OCTAVE评估方法
OCTAVE(Operationally Critical Asset and Vulnerability Evaluation)可操作的关键资产、威胁评估法,它遵循自主的原则,从被评估组织中选调业务及信息技术人员组建团队,以定性分析为主,提供一个可操作的、规范的技术框架[4]。它围绕关键资产进行评估,评估人员要充分认识关键资产、资产所受威胁及系统存在脆弱性之间的关系。OCTAVE方法实施过程如图3所示。首先,组建评估团队,标识关键资产及存在威胁;其次,标识与关键资产相关的子系统及组件存在的脆弱性;最后,进行风险分析计算,确定风险等级,制定防护策略计划。
OCTAVE法从组织内部调配人员参与评估,会使得评估的内容更加全面,更具有可操作性,不同的组织根据自身的需求,可以通过多种不同的形式来实践执行。但是它依赖人为因素,只能粗略评估系统可能遭受的风险。
3.2 SSE-CMM评估方法
SSE-CMM(Systems Security Engineering Capability Maturity Model)系统工程能力成熟度模型,在安全工程中,针对不同的安全目标,定义了相应的模块化过程,并能够对组织执行特定过程的能力做出量化的评定,从而帮助寻找实现最终目标的最优途径。它将信息系统的安全过程分为3个模块化过程,通过11个过程域PA(Process Area)和5个能力成熟度级别来描述:风险评估过程,分析安全系统中存在的威胁;工程实施过程,利用相关措施解决/处理威胁可能带来的问题;信任度评估过程,评估执行者解决问题的能力。为了实现风险评估过程目标,SSE-CMM法定义了威胁评估、脆弱性评估、事件影响评估及系统风险评估等四个子过程。
SSE-CMM法指出了系统安全评估过程中的关键过程及必需的基本实施,同时能够量化评定每个过程的可行性,削弱了评估中的主观性;但是其没有规定过程的执行流程和步骤,可操作性差。
3.3 自适应评估方法
自适应评估法的关键在于系统的安全“免疫”子系统(也就是系统中的实时安全监控系统),它要求“免疫”系统能够区分无害的自体和有害的非自体,并能够根据需要及时地清理系统中的非自体;同时可以根据“免疫”系统受到的破坏实时动态地进行风险评估,实施防护。它要在“免疫”系统中定义“免疫”细胞,当出现黑客攻击、病毒等外来威胁时,“免疫”系统就会根据受侵害的程度发生动态变化,做出具体的响应,如禁止服务、关闭端口、关机等。另外,如果系统中的任意一台主机被攻击,都会迅速通知其他主机,使整个系统的安全得到最大的保障。
自适应风险评估法可以快速地识别系统中现有的风险,实施实时防护,并动态调整防护系统,更好地提高系统的安全性,是未来的发展趋势。但是它的实施难度较大,系统成本较高。
电子政务系统风险评估是一项复杂的大工程,一般采用可操作性较强的OCTAVE方法,但是OCTAVE方法是定性分析的,主观性较强,评估结果较为粗略。所以,在实际的评估过程中经常将层次分析、模糊数学、熵理论、D-S证据理论及BP神经网络等应用到OCTAVE方法中,来降低对于人为主观性的依赖,优化评估的结果[5]。
4 结束语
伴随各种移动电子政务业务的出现,使得电子政务系统的安全形势更加严峻,针对电子政务系统开展信息安全风险评估,我们可以发现,系统在建设、实施和运行过程中存在的威胁、脆弱性及风险,而部署防护及加固安全策略,可以为电子政务提供安全可靠的网络环境。
目前,电子政务系统信息安全风险评估还需要在以下方面加强研究:适应电子政务行业需求的风险评估方法及模型的研究;适用于风险评估不同阶段的自动化评估工具的开发;动态风险评估方法的设计与应用。
参考文献(References):
[1] 李煜川.电子政务系统信息安全风险评估研究―以数字档案
馆为例[D].苏州大学硕士学位论文,2011.
[2] 唐作其,陈选文,戴海涛,郭峰.多属性群决策理论信息安全风
险评估方法研究[J].计算机工程与应用,2011.47(15):104-107
[3] 李增鹏,马春光,李迎涛.基于层次分析信息系统风险评
估[J].理论研究,2014.3:80-86
[4] 赵磊.电子政务网络风险评估与安全控制[D].上海交通大学
硕士学位论文,2011.
关键词:云计算;电子政务;WEB2.0;系统平台
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)14-0249-02
Research on E-government Service Platform System Based on Cloud Computing
WANG Xing-guo, WANG Qing-fu
(Liaoning Academy of Governance, Shenyang 110161,China)
Abstract: In modern society, with the development of computer technology, cloud computing has become a symbol for the development of modern science and technology, the Internet, cloud computing development and application is more and more quickly, the development of network information, generate large amounts of data, cloud computing can to a large amount of data processing, favored by the industry. The literature of case study method, based on cloud computing technology and e-government are combined as the main research object, analyzes the development and characteristics of cloud computing e-government service platform system based on based on cloud computing e-government service platform system model and construction were studied.
Key words: Cloud computing; e-government; WEB2.0; system platform
1 基于云计算的电子政务服务平台系统研究意义
云计算是在国内外的计算机领域是一个很火热的技术,云计算是新型的网络服务模式,基于云计算电子政务提高政府服务执政能力,克服传统电子政务的缺陷,减少电子政务的失败,节约政府资金成本,提高工作效率统一各地政府服务体系,提供一种面向服务的全新的服务体系结构。给政府的办公自动化提供一个大规模的网络数据平台,使政府信息资源实现共享。
在国外,云计算技术首先是在美国被应用,可以说美国是世界云计算技术的开发者和推广者,经过多年的发展,美国的云计算技术已经发展到成熟时期,比其他国家的技术水平都要领先,在美国最先研究云计算技术的有微软、谷歌等大IT行业的巨头,云计算技术为IT行业带来了技术上的变革,云计算技术在美国以及全世界都在被积极推广,美国政府部门对云计算技术也开始高度的重视,在美国的政府部门已经把云计算技术运用到政府办公自动化当中,政府办公云服务的时代已经到来,大多政务部门开始制定云服务的平台系统,在云服务的资金投入和技术支持上,受到政府部门的高度重视,美国政府部门已经建立了成熟的基于云计算的电子政务服务平台系统。在国内,杭州富阳市政府是我国第一个运用云计算电子政府系统的政府部门,并建立了自己的数据中心和政府服务中心。基于云计算的电子政府服务中心可以为政府在决策上提供大量的数据资料和数据分析,政府在决策的科学性上得到了提高,越来越多的政府部门开始把云计算应用到电子政府服务中来,建立了自己的基于云计算的电子政务服务平台系统。国内对基于云计算的电子政务研究还是处于起步阶段,云计算技术的发展,带动了基于云计算的电子政务发展,基于云计算的电子政务是一个新名词,在国内关于基于云计算电子政务的期刊论文研究资料较少,没有完整的体系结构。我国的基于云计算的电子政务是政府办公的虚拟平台,提高大量的信息存储空间存储政府信息资源,与传统电子政务相比减少人力物力投入,减少资金成本,为用户提供全面的网络服务平台,为政务执行职务能力方面提供重要保障,基于云计算的电子政务在信息安全方面提出了更好的要求,因为政府政务信息涉及公民和政府的隐私较多,这在一定程度上需要有较高的安全性和保密性。云计算电子政务提供数据资源的共享,建立虚拟的数据服务器,应用云计算技术处理电子政务的相关业务,提供数字认证。在我国基于云计算电子政务的推广是可行的,在未来的政务信息数据处理方面云计算是应用的主要技术,提高政府信息资源的利用率,在我国的服务型政府建设的推进方面,基于云计算电子政务的云计算的应用具有很大的意义。
2 基于云计算的电子政务服务平台系统特点
基于云计算的电子政务服务平台系统是以云计算作为系统平台的技术支持,云计算的特点就是快速的数据运算能力和强大的数据存储能力,为数据安全和数据共享提供服务,云计算服务的基础设施都是虚拟的,可以为政府减少资金的投入。云计算提供安全的数据中心,保护电子政府数据共享资源的安全性,云计算的信息资源共享方式是传统的电子政府所没有的功能,电子政务数据安全是电子政府发展的重要的问题,传统的电子政务服务没有完整的数据服务管理体系,这样政府部门的信息很容易被窃取,对信息的安全构成了威胁。云计算为电子政务提供了一个安全的数据服务中心,政府部门只需要购买云服务就可以享受云服务的强大功能,而且政府信息都集中在数据服务中心,这样方便维护人员平时的信息维护工作,政府部门可以通过云服务的权限来配置信息资源的共享权限,保证信息资源在传输过程中的安全性。基于云计算的电子政务服务平台系统减少了政府在软件和硬件上的投资,节约成本。政府部门在以往使用的办公自动化软件需要购买的成本,使用时产品的升级和维护费用的支出,费用的开销比较大,基于云计算的电子政务服务平台系统不需要购买大量的软件系统和硬件基础设施,政府只需要购买服务就可以,在云计算服务的后台的软件和硬件的管理和维护上交给云服务的提供商就可以了,在使用中出现任何的问题都交给云计算服务提供商进行维修,节约政府软件系统和硬件基础设施的成本,在很大程度上提高了政府部门的工作效率。基于云计算的电子政务服务平台系统扩大了政府部门信息资源共享和使用的范围,加强了各地区政府部门之间的合作,从整体上提高了政府部门的办事效率。目前我国的电子政务系统是独立的,对数据中心的资源使用要访问不同的数据库,这样各地区政府部门的信息资源形成了信息的孤岛,不同数据库中的信息资源不能互通,不方便用户的使用。基于云计算的电子政务服务平台系统使不同的数据库之间的信息资源形成了共享,建立了一个综合的数据信息资源服务中心,用户只对不同部门和不同数据库的访问变得非常快捷,这样总技术上加强了电子政务的服务能力,提高了政府电子政务的整体工作效率。电子政务是政府机构部门处理事务的主要的办公自动化平台,云计算和电子政务的结合,可以提高政府机关的办事效率,为群众提供一个与政府沟通的平台。云计算电子政务就是在政府的自动化办公,政府网站服务建设等信息化应用云计算技术。
3 基于云计算的电子政务服务平台模型构建
云计算计算机技术和网络发展的产物,云计算的发展和研究的平台都是基于互联网的,政府的电子政务服务是把信息技术和网络技术应用到政府公共服务领域,云计算和电子政务相结合提高了电子政务的工作效率。基于云计算的电子政务服务平台系统模型中心是为公共需求服务的,把政务服务范围进行拓展,为公众提供公平透明的政务服务,在模型的设计上要按照安全性、实用性的原则。电子政务是政府部门提供快速服务的一种重要的工具,方便公众用户对政府信息资源进行查询,主要是便民服务,节约办事时间,提高办事效率。公众作为电子政务服务的客户,公众的满意度作为电子政务服务的统一标准,电子政务也是表达公众需求的一种服务方式,在对基于云计算的电子政务服务平台系统模型进行设计的时候要满足公众服务需求的要求。基于云计算的电子政务服务平台系统模型设计图如图1所示。
图1 基于云计算的电子政务服务平台系统模型设计图
在基于云计算的电子政务服务平台系统模型图中我们可以看出平台由基础设施层、数据资源层、管理层和服务层四层组成,平台基础设施层主要是为平台系统提供虚拟的软件和硬件设施,提供虚拟的存储设备、服务器集群,提供统一服务器系统。平台数据资源层主要是提供信息服务的,包括信息描述、信息配置、信息调度、信息、数据压缩、数据加密备份、数据采集和重复数据删除功能。平台管理层主要是提供用户管理、安全管理、任务管理和平台运行环境管理等。平台服务层书要是提供用户的门户网站,桌面的应用软件、计算机和用户的统一接口、用户权限管理、用户注册和网络服务等。
基于云计算的电子政务服务平台模型构建主要包括三个阶段,分别是基础设施虚拟阶段、平台系统构建阶段、平台系统服务使用阶段。基础设施阶段是平台构建的基础,也是整个平台的基础;平台构建阶段关系到整个平台搭建是否成功的关键阶段,功能要完善;平台服务阶段是直接面向用户的,关系到公众对电子政务服务的满意度。
4 总结
云计算具有超强的计算能力,数据存储能力和信息资源共享能力,云计算服务具有很高的安全性,在电子政务服务系统平台中应用云计算技术具有重要的意义,从理论上和实践上分析,云计算应用于电子政务系统是科学的、可行的。
参考文献:
[1]刘甲学.“云计算”环境下的政府信息资源开发与利用研究[J].经济研究导刊,2010(32).
论文关键词 电子政务 隐私权 侵权形式 归责原则
近几年来,随着科技不断的创新,网络技术不断发展并普及大众,现实中出现了大量诸如政府泄漏公民身份资料等电子政务隐私权侵权的行为,现行的《侵权责任法》已经无法适应其特殊的侵权主体和不同的侵权形式。本文尝试通过研究其不同的侵权形式,以及应适用不同的归责原则,给现行的《侵权责任法》存在无法解决电子政务隐私权侵权困境提出新的看法。
一、何谓电子政务隐私权
所谓的电子政务,是指代表国家行使行政权的各级政府或其它机构(以下统称“政府部门”)通过网络的形式进行日常工作事务处理。“电子政务的目的是使政府机构在管理和服务职能中运用现代信息技术,建成精简高效廉洁和公平的政府运作模式。”
随着电子政务的技术不断成熟,所收集到的公民的个人信息也越来越多,大量的个人信息储存在政府部门的电子政务数据库中。其中,电子政务所涵盖的主体主要有:政府部门、司法机关对于犯罪行为记录的部门、税务部门、公办学校以及银行、医院等等。因此,我认为,电子政务隐私权是指公民在电子政务过程中对于所收集、保存、利用的个人信息依法享有的隐私权。
二、我国电子政务隐私权立法现状
近年来,我国的电子政务发展迅速,但并没有对电子政务隐私权保护进行专门的立法,总体上主要依赖于政府部门的自律。尽管是其上位概念的网络隐私权立法,我国现状仍然是不同法根据需要进行分别规制,而其中的大部分还是存在于一些效力比较低的规章办法当中,导致立法十分散乱,没能系统、有效地保护网络隐私权。例如,我国《计算机信息网络国际联网安全保护管理办法》第7条规定:“用户的通信自由和通信秘密受法律保护。任何单位和个人不得违反法律规定,利用国际联网侵犯用户的通信自由和通信秘密”等,对于案例处理没有起到任何实际解决的指导作用。
尽管我国《侵权责任法》第36条首次对网络环境下的侵权行为在法律上做出明确规定,但是由于立法时的网络环境发局限,只是对网络用户和网络服务提供者以一般侵权行为(采用过错归责原则)追究其责任,很难适用于电子政务这种比较特殊的侵权主体的案件。
三、探讨我国电子政务隐私权保护方式
笔者认为,应该把《侵权责任法》第36条的侵权主体扩充为:政府部门、网络服务提供者和网络用户。其中,针对政府部门的电子政务隐私权特殊性,就会存在不同的侵权形式,根据侵权法归责原则的配置理念,理应适用不同的归责原则,而不能直接适用第36条所规定的一般过错责任。
(一)电子政务隐私权侵权的特殊性
一方面,在电子政务过程中,政府部门和公民的权利差距悬殊。在我国,政府部门在处理各种公务时有权要求公民提供相关的信息,若公民刻意隐瞒真实情况必须追究法律责任。据统计,“在我国,高达到80%的公民个人信息被政府掌控。政府可以依靠公权力的支配,任意收集、使用和公民的个人信息。”因此,在实践中政府部门的工作人员很容易违法获得公民个人信息。
另一方面,我国的政府部门对于维护公民个人信息隐私权没有完善的内部机制,也没有统一的电子政务管理办法。与一般的网络服务提供者侵权所不同,政府部门没有市场的利益导向,公民不能通过市场的竞争促使其完善隐私权保护的制度。因此,在权力过大、没有法律规制情况下,在侵权责任的归责时仅采用过错原则是不合理的。
(二)侵犯电子政务隐私权的表现形式
笔者认为,应分为收集阶段、保存阶段和利用阶段对隐私权的三大不同的侵权形式:
1.收集公民个人信息过程中的违法形式。一般会存在无法律授权、违法法定程序和超越法律授权三种情况。虽然我国对于电子政务中的个人信息收集范围没有进行统一的规定,但根据我国学界主流观点,笔者认为,电子政务中对于个人信息的收集界限,要符合“使用目的明确且告知、收集需征得本人同意、公开告知使用范围和最少程度使用”等标准。
2.保存公民个人信息过程中的违法形式。政府部门在收集了公民个人信息以后,形成大量的信息数据库,应该承担对数据库的安全妥善保管的责任。譬如,工作人员由于缺乏相关安全保障的法律意而疏忽大意,甚至以权谋私、故意进行非法操作,从而导致大范围的个人信息数据泄漏等等。
当然,实践中政府部门还应承担保证公民个人信息精确性的义务。如果公民发现自己在电子政务中的个人信息存在瑕疵,无论是出于公民个人还是政府部门的原因,理应对此进行增加、修改、删除,此时若存在工作人员没有充分的理由而不予配合,也属于保存过程中的一种违法形式。
3.利用公民个人信息过程中的违法形式。所谓利用过程中的违法,即是指“未经数据主体的许可,将收集到的个人数据用于在收集数据时所述明的用途之外的其他用途和目的。”根据工作人员的主观心态不同,大体可区分为故意违法利用和过失违法利用两种。
(三)适用不同的归责原则
所谓归责原则,即“归责”的原理,是指一个侵权行为的发生后,立法者认定把责任归于受害方还是加害方,其理由(或称正当性)就是归责原则。由于电子政务隐私权侵权的表现形式复杂,根据侵权责任法的立法精神所分配的责任也不同。
1.对于收集公民个人信息过程中的违法形式,应该适用一般的过错归责原则。过错责任原则,“是立法者对自己制定出的过错责任这种责任要件的正当性的说明,它要解决的是为什么行为人要对符合过错责任构成要件的行为负责的问题”。在日常生活中,对于人们的各种各样极大概率出现事故的行为,过错归责原则的出现,就会责成其为此做出相应的防止行为,促使行为人权衡事故责任和防止成本的利弊,这就是过错责任原则的正当性。
在电子政务中,工作人员收集个人信息无论是无权、越权或者是违反程序,均属于非正当性的行为,同时,公民与工作人员在信息收集的过程中,是处于相对平等的地位,公民较容易发现工作人员的不当性行为,予以拒绝提供不应提供的个人信息;若其利用职权来对公民的合法应获得权利进行侵犯时,还可以提起行政复议或行政诉讼等救济程序,因此,适用过错责任原则而非过错推定责任原则。
2.对于保存公民个人信息过程中的违法形式,应适用无过错归责原则。所谓无过错责任,又称危险责任。与过错责任原则不同,无过错责任原则惩罚的是“危险”本身,而非行为人,即惩戒人类社会存在很大可能或者必然会导致事故的一种风险。政府部门由于行政行为获取公民大量个人信息所形成的个人信息数据库,其本身就是一个巨大的“危险源”,由于我国电子政务的建设水平还处于起步阶段,在日常工作中,系统或人为的问题导致个人信息数据库泄漏的可能性较大,因此,笔者认为,政府部门对于保存过程中的泄漏承担无过错责任,是因为达到我国侵权责任法对于特殊侵权行为“危险源”状态的标准。
而之所以认为无过错责任不适用于收集过程中,是考虑到此时公民存在一定的知情权;不适用于利用过程中,是兼顾政府部门工作的积极性,否则一律采用无过错原则,很大可能滋生政府不作为或者懈怠的现象。
3.对于利用公民个人信息过程中的违法形式,其故意的主观心态应承担过错责任,而过失的主观心态应承担过错推定责任。我认同中国有一部分学者对无过错责任持有的另一种观点,“是指行为人在确实没有过错的情况下承担的民事责任。如果有证据证明行为人有过错,则应当承担过错责任”。因此,对于故意利用公民个人信息的违法形式,其主观心态决定其存在侵权法上的“过错”要件,应适用过错原则。
过错推定,是一种推定行为人存在过错、由其证明其没有过错或者其他事由的证据证明规则。因而对于过错推定原则,由于立法者的价值判断也是“有过错才有责任”,但是由于加害方和受害方所处的地位不同,往往受害方很难甚至不可能证明加害方存在过错,而加害方很容易取得自己无过错的证据,即给加害方强加责任。所以,在过失违法利用公民个人信息时,此时公民往往很难收集到政府部门侵权的相关证据,甚至于有时还不能及时发现具体的侵权主体,把证明责任分配予政府部门,均衡二者的诉讼证据证明地位。