电子政务的安全保障体系设计与实现

[摘要]电子政务系统面临着多层次的安全威胁,影响了电子政务系统功能的发挥。本文首先分析了电子政务系统的安全需求;在此基础上提出了电子政务系统的安全体系框架和安全域的划分;同时指出必须从安全支撑平台体系设计和安全应用支撑平台体系设计两方面构建电子政务安全技术体系,在安全技术体系设计的基础上构建安全管理体系和安全服务体系。

[关键词]电子政务 安全体系 技术体系 管理体系 服务体系

[中图分类号]TP393.08[文献标识码]A[文章编号]1009-5349(2010)06-0118-02

电子政务是指政府运用现代计算机和网络技术,实现其公共管理和服务职能的数字化和网络化,重组优化政府组织结构和工作流程,向社会提供高效优质、规范透明和全方位的管理与服务。它使得政府事务变得公开、高效、透明、廉洁和信息共享。但是由于网络的开放性和公开化,电子政务系统安全问题日益突出和严重,影响了电子政务信息系统功能的发挥,甚至对政府部门和社会公众产生危害,严重的还将对国家信息安全乃至国家安全产生威胁。

一、电子政务系统面临多层次的安全威胁

(一)物理层安全威胁

这个层次面临的安全威胁主要包括有:设备的被盗、恶意破坏、线路截获监听、电磁干扰、电源掉线以及设备的损坏等。这些都对整个网络的基础设备及上层的各种应用有着严重的安全威胁。

(二)网络层安全威胁

网络层是网络入侵者进攻信息系统的渠道和通路,许多安全问题都集中体现在网络的安全方面。大型网络系统内运行的TCP\IP协议并非专为安全通讯而设计,所以网络系统存在大量安全隐患和威胁。

(三)系统层安全威胁

系统层的安全威胁主要是操作系统平台的安全威胁。由于现代操作系统的代码庞大,从而在不同程度上都存在一些安全漏洞。操作系统自身的脆弱性将直接影响到其上所有的应用系统的安全性。

(四)应用层安全威胁

应用层安全是指用户在网络上的应用系统的安全,包括邮件系统、WEB、DNS以及各种业务系统等。虽然应用系统复杂多样,但都存在一些广为人知的漏洞,容易被人作为攻击的切入点。

(五)管理层安全威胁

其威胁包括:没有完善的网络与安全人员管理制度;没有定期对现有的操作管理人员进行安全培训;网络或安全设备的登陆密码安全策略强度不符合要求;没有及时获知安全状态及最新安全漏洞的途径;对于可能出现的安全问题,没有一套完整的处理流程。

二、电子政务系统安全体系框架

电子政务系统的安全体系框架是针对电子政务系统面临的五个层面安全威胁分析进行设计的,是对电子政务系统提供保护的整体策略集合,包括:运行管理安全、物理环境保障、数据安全、资源可信和网络及系统安全五个层面的内容,其体系框架如图2.1所示。安全体系框架在物理环境安全的保障下,提供数据安全、资源可信和网络及系统安全三大类安全支撑,确保用户环境、应用与数据环境和网络基础环境的安全,同时运行管理安全贯穿其中,共同为电子政务系统提供多级别、多层面的保护。

三、电子政务系统安全域的划分

安全域的规划是通过对业务资源的分析,确定其保护的范围和等级,并采取相应的保护措施,主要包括安全定级、安全域划分和安全策略配置三部分内容。

(一)安全定级

电子政务系统的安全定级是指定制电子政务系统的安全等级,根据电子政务系统在国家安全、社会稳定和保护公共利益等方面的重要程度,结合系统面临的风险等因素,将其划分成不同的安全等级,采取相应的安全措施,保障安全。

(二)安全域的划分

安全域划分是指从安全的角度出发,对电子政务系统进行结构化的分解,划分成为不同类别的保护对象,形成不同的安全区域,保证网络中用户的可信、设备的可信和服务的可信,并以可管为目的实现多个安全域之间的互联互通和业务协同。

(三)安全策略配置

根据安全体系框架和安全定级、安全域划分,来为电子政务系统各安全域配置安全策略,如全国信息系统的安全策略配置如下:网络接入区:采用数据可信传输、边界防御、实时监控等措施,防止非法用户和非法数据进入网络;业务数据区:采用信息保密、注册鉴权、强身份认证、访问控制和病毒防护等措施,保护数据和应用的安全;安全服务区:采用符合国家规定的机房物理保护措施。

四、电子政务系统安全技术体系设计

电子政务系统安全技术体系由安全支撑平台和安全应用支撑平台两部分构成。安全支撑平台以密码技术为基础,为安全应用支撑平台和电子政务系统提供信息保护、身份认证、访问控制等安全服务。安全应用支撑平台以呼叫控制、业务控制、媒体控制和业务管理为主要内容,为电子政务系统提供可信的呼叫控制、应用整合、媒体控制和资源管理等应用支撑服务,并以用户为中心提供基本网络业务服务。

五、电子政务系统安全管理体系设计

在电子政务系统中,仅仅靠技术手段难以防范所有的安全隐患,还需要建立相应的安全管理体系。安全管理体系主要包括有安全策略、安全组织和安全制度。

(一)安全策略

安全策略是管理体系的灵魂,要做到全面、灵活使用,必须在对信息系统进行全面细致的调查、评估之后,结合电子政务的业务流程,制定出符合实际情况的安全策略体系。安全策略体系包括安全方针、主策略和子策略和电子政务系统日常管理所需要的制度。

(二)安全组织

为保障电子政务系统信息的安全,需要在条件合适的时候建立合适的安全管理组织框架,以保证在组织内部开展和控制信息安全的实施。建立具有管理权的适当的信息安全管理委员会来批准信息安全方针、分配安全职责并协调组织内部信息安全的实施。如有必要,应在组织内建立提供信息安全建议的专家小组并使其有效。

(三)安全制度

电子政务系统是一个安全性要求非常高的系统,所以安全制度要求也很严格。必须由管理层制定切实可行的日常安全保密制度、审计制度、机房管理、操作规程管理、系统维护管理等,明确定义日常安全审计的例行制度、实施日程安排与计划、报告的形式及内容、达到的目标等。

六、电子政务系统安全服务体系设计

电子政务安全服务体系设计强调以“安全人”为核心,包括以下安全服务内容:

(一)安全评估审计服务。定期检查电子政务信息系统的安全现状,以便动态地调整安全防护策略。

(二)安全增强加固服务。主要是针对安全状况的动态变化,及时弥补最新出现的各类安全漏洞、安全隐患。

(三)安全信息通告服务。通过邮件、WEB网站或电话等方式,为电子政务信息系统提供及时的、有针对性的各类安全信息,帮助信息系统维护人员及时了解最新安全动态。

(四)安全应急响应服务。针对电子政务信息系统随机出现的重大、疑难安全故障进行及时的专家安全响应和恢复,提高信息系统应对重大安全事故的能力,保障系统各业务网络的业务连续性。

(五)专业安全培训服务。电子政务信息系统的长期安全保障必须依赖各类人员的安全技能和安全意识水平的提高,进行专业安全培训是提高安全技能和安全意识水平的最佳方式之一。

七、总结

电子政务系统的安全目标是保护政务信息资源价值不受侵犯,保证信息资产的拥有者面临最小的风险和获取最大的安全利益,使政务的信息基础设施、信息应用服务和信息内容为抵御上述威胁而具有保密性、完整性和不可否认性的能力。因此本文从全局来构建电子政务安全保障的体系框架,以保证电子政务的健康发展。

【参考文献】

[1]王东霞,赵刚.安全体系结构与安全标准体系[J].计算机工程与应用,2005(8).

[2]电子政务安全问题.www.省略/news/getnews-content.action.

[3]电子政务系统信息安全建设方案.www.省略/article/5/95/2006/.

[4]褚峻.构建电子政务安全管理体系研究.