信息安全体系电子政务论文

1电子政务信息安全的要求

从这个规定可以看出，在电子政务环境下，信息安全主要包括系统实体安全、人员安全、应用软件安全、运行安全和数据安全。电子政务系统中的实体是指系统运行所需要的计算机设备、网络设备设施等，实体安全就是保证这些设施不受自然因素和人为因素破坏和影响，保证设备的正常运行，通常分为人员安全、运行安全和数据安全三部分。人员安全是指使用电子政务系统的政府工作人员、系统管理员的安全技能、安全意识和法律意识等；电子政务系统中开发了大量的应用软件，要确保操作系统不存在安全漏洞和缺陷，能够抵制外来的破坏；运行安全是指电子政务系统在运行过程中的安全，包括系统不受病毒和网络黑客的攻击等；数据安全是指电子政务系统中的数据和信息不被非法访问、更改和破坏，包括数据加密解密、数据备份与恢复、审计跟踪、访问控制、网络安全和数据库安全等。

2电子政务信息安全保障体系

从电子政务系统安全的总需求来看，其中的网络安全、信息内容安全等可以通过开放系统互连安全体系提供的安全服务、安全机制及其管理获得，但所获得的这些安全性只解决了与通信和互连有关的安全问题，而涉及与信息系统构成组件，运行环境安全有关的其他问题(如物理安全、系统安全等)等，还需要从技术措施和管理措施两个方面来考虑解决方案。一个完整的电子政务信息安全体系包括基础设施体系、技术保障体系和管理体系三部分组成，如图1所示:

2.1基础设施体系

电子政务系统的基础设施包括政务内网、政务外网、电子政务信息专用网三部分。政务内网用于运行内部办公系统、基础数据和业务数据存储管理，通过路由器接入电子政务信息专网；电子政务信息专网，实现国家、省、市、县四级政府部门的信息共享与交换；政务外网通过防火墙接入国际互联网，为社会提供电子政务信息服务。电子政务系统的内网是整个政务信息化的基础，负担了大部分的政务信息和政务信息系统。电子政务内网与外部网络通过网络物理隔离，存在的安全威胁主要来自内部区域的不安全因素，内网安全集中表现在应用系统的安全和数据信息的安全上。安全域是由一系列相互信任，具有相同的信息安全需求的终端或系统等组成的逻辑网络区域，为达到安全目的，安全域基于信息安全标准，从系统信息安全的角度划分，可将电子政务网络划分为多个安全域。即使用交换机或者网络结构划分为不同的子网或VLAN，并对不同的子网或VLAN进行安全策略设置，防止不同安全域之间的非授权互访。电子政务网络安全域划分后，同一安全域的终端或系统相互信任，并具有相同信息安全访问控制策略和边界控制策略。

2.2技术保障体系

信息安全体系的建设是一个复杂的系统工程，需要从多角度、多层次进行分析和控制，根据电子政务网络的不同层次，采取有针对性的技术措施，主要包括物理层安全、网络层安全、系统层安全和应用层安全等。物理层安全是指电子政务系统运行的物理环境的安全。通过对电力供应设备以及信息系统组成的抗电磁干扰和电磁泄露性能的选择性措施；通过物理机械强度标准的控制使信息系统的建筑物、机房条件及硬件设备条件满足信息系统的机械防护安全。网络层安全就是确保该层的交换机，路由器、防火墙等设备的安全性。通常采取的技术措施包括：网络访问控制、远程接入控制、内容安全等相关控制措施。网络访问控制是在网络层实现访问控制措施，以限制主体对客体资源的访问，适当的访问控制能够阻止未经许可的用户有意或无意地获取敏感信息。远程接入建议选择较为安全的VPN接入方式，如果采用拨号接入，则建议在拨号后结合采用VPN进行远程连接，然后通过对安全策略的统一管理和设置，确保所提供的安全功能得到有效地实施。内容安全包括对恶意代码及垃圾邮件等通过正常协议传输的恶意信息的过滤、拦截，可采用统一威胁管理、入侵防护系统、防火墙等安全措施措施。系统层安全是指电子政务平台下操作系统的安全。它通过对信息系统与安全相关组件的操作系统的安全性选择措施或自主控制，使信息系统安全组件的软件工作平台达到相应的安全等级。一方面阻止任何形式的非授权行为对信息系统安全组件的入侵或接管系统管理权；另一方面避免操作平台自身的脆弱性和漏洞引发的风险。应用层安全主要是指电子政务平台的安全和运行在此平台上的各应用系统的安全。它主要采取身份认证、访问控制等安全措施，保证应用系统自身的安全性，以及与其他系统进行数据交互时所传输数据的安全性；采取审计措施在安全事件发生前发现入侵企图或在安全事件发生后进行审计追踪。

2.3管理体系

电子政务信息安全管理体系的关键在于建立一个有效的安全管理组织机构和管理制度。管理机构以单位主管信息工作的负责人为首，有行使国家安全、公共安全、机要和保密职能的部门负责人和信息系统主要负责人参与组成。主要负责是规划并协调各方面力量实施信息系统的安全方案，制定、修改安全策略，处理安全事故等。安全管理制度包括安全责任制度、系统运行维护管理制度、计算机处理控制管理制度、文档资料管理制度、管理和操作人员管理制度、机房安全管理制度、定期安检与安监管理制度、网络通信安全管理制度、病毒防治管理制度、信息保护制度等。

3结语

无论采用什么样的网络结构和应用体系，对于电子政务来说，安全总是第一位的。因此，信息安全是电子政务的头等大事，加强对电子政务信息安全体系的研究，对于推动我国电子政务建设具有重大的现实意义。

作者：牛朋飞 单位：喜科（上海）软件系统有限公司