石常海 胡曼丽
新疆维吾尔自治区标准化研究院 新疆 830004
组织机构代码是对中华人民共和国内依法注册、依法登记的机关、企、事业单位、社会团体和民办非企业单位颁发一个在全国范围内惟一的、始终不变的代码标识。组织机构代码作为连接政府各职能部门之间信息管理系统的桥梁和信息传输纽带,具有不可替代的先天优势,以组织机构代码为索引,对各部门信息资源进行整合与优化,建立跨部门的横向信息联合检索,连接各部门专业信息库,能够有效地发挥政务信息资源的整体效能,极大地增强政府在市场、金融、税务、海关等领域的监管力度,提高监管水平和对突发事件的快速响应能力,同时,通过分析、研究组织机构代码信息资源的构成和发展趋势,能够为政府宏观决策和指导组织机构的经济行为提供科学的信息咨询服务。
近年来,根据《关于自治区开展企业基础信息共享工作的实施意见(草案)》和《新疆维吾尔自治区电子政务建设总体规划实施意见》,自治区经济信息化委员会组织开展了以政府公共网络为统一平台,在我区逐步建立以工商部门企业基础信息为基础,以全国统一的组织机构代码为惟一标识的企业基础信息库,协调统一我区工商、质监、国税、地税四部门通过企业基础信息交换平台进行在线实时的信息交换,进一步促进新疆政府信息资源共享和互用,提高政府的工作效率和质量,消除信息“孤岛”。为了保障组织机构代码数据在基础信息交换平台中安全、稳定、可靠的运行,加强对组织机构代码数据安全防护建设是非常必要的,我们在充分考虑组织机构代码系统的开放性和可扩充性前提下,详细分析了组织机构代码系统建设的整体构架、网络设计、软硬件构成、数据库建设、信息交换与共享流程、数据库管理和应用系统软件功能等内容,据此开展了我区的组织机构代码数据安全体系建设研究工作。
组织机构代码的数据安全体系建设就是通过部署安全系统,投入技术力量,加强网络安全管理等方式确保组织机构代码数据的机密性、完整性、可用性、可控性与可审查性,最大限度的发挥信息资源的整体效能,促进新疆政府信息资源共享和互用,为各级政府和行业部门提高宏观管理能力提供技术支持,同时推动政务公开,为社会提供广泛、准确、动态的信息咨询服务。最终达到如下目标:
(1) 合理管理和使用组织机构代码数据资源,为社会提供必要服务的同时要确保数据的机密性;
(2) 抵御病毒、恶意代码等对组织机构代码系统发起的恶意破坏和攻击,保障组织机构代码系统硬件、软件稳定运行;
(3) 保护组织机构数据的存储与传输安全,防范数据被篡改,建立数据备份机制和提高容灾能力;
(4) 构建统一的安全管理与监控机制,统一配置、调控整个系统多层面、分布式的安全问题,提高安全预警能力,加强安全应急事件的处理能力,实现组织机构代码数据安全的可控性;
(5) 建立认证体系保障组织机构代码数据访问行为的真实可信以及可审查性,并建立基于角色的访问控制机制。
组织机构代码数据安全体系建设是一项较为复杂的系统工程,要按照系统工程的要求,采用系统工程的概念,原理,技术和方法来研究和实施,使之成为一个可持续的动态发展的过程。只有技术,规划,管理等因素有机结合,组织机构代码系统安全建设才能真正迈入稳定发展正轨。在体系建设中综合采用加密、认证、访问控制、安全检测、安全监控、安全审计管理,电磁屏蔽,防病毒等技术,来增强新疆组织机构代码数据整体的安全性。主要研究内容如下:
(1) 研究影响组织机构代码数据安全的各种因素(包括物理环境、网络、操作系统、数据库等)及应对措施,确定组织机构代码安全体系架构。
(2) 改建新疆组织机构代码管理中心的数据机房,依据相关标准实现机房硬件基础设施安全。
(3) 根据组织机构代码系统的运行现状,科学合理选择信息安全软硬件设备,进行有机的配置整合,全面提升代码系统的安全性。
(4) 完成组织机构代码数据安全管理制度建设。
(5) 建立组织机构基础信息CA认证管理系统。
(6) 依托全自治区统一信息交换与共享平台,建立组织机构基础信息交换系统,实现组织机构信息跨部门整合,对组织机构代码数据进行挖掘、分析,面向政府职能部门和社会公众提供信息咨询服务。
组织机构代码数据安全体系架构包括:物理环境安全、链路及网络安全、系统层安全、应用层安全、数据安全和安全管理等六个层面的内容,其体系结构如图1所示。
图1 组织机构代码数据安全体系架构
保证组织机构代码系统各种设备的物理安全是整个系统安全的前提,通过物理环境安全建设来保护服务器、网络设备、数据存储等免遭地震、水灾、火灾等环境事故,人为操作失误或错误,各种计算机犯罪行为导致的破坏过程,它主要包括以下4个方面:
(1) 环境安全,对系统所在环境(主要指计算机机房)的安全保护,主要是依据 GB50173《电子信息系统机房设计规范》、GB2887《计算站场地技术条件》、GB9361《计算站场地安全要求》等标准来设计、建设和实施。
(2) 设备安全,主要包括设备的防盗、防毁、防电磁信息辐射泄露、抗电磁干扰及电源保护等,保证整个系统的高可用性,主要包括主要服务器、网络设备、UPS设备等的双机备份及主要线路冗余备份的建设。
(3) 物理线路安全,主要依据GB/T 50311《建筑与建筑群综合布线系统工程设计规范》和新疆信息安全相关政策要求来进行建设。
(4) 媒体安全,包括媒体数据的安全及媒体本身的安全,对计算机机房及重要信息存储授权访问。
由于网络是承载组织机构代码系统的载体,它的安全是十分重要的,对网络安全的建设从访问控制、入侵检测、安全扫描、安全审计等方面来进行。
在组织机构代码网络中,针对不同的业务需求及应用系统安全需求,对其进行安全域划分,通过配备防火墙并制定严格的安全策略实现不同安全域之间的隔离与访问控制。
网络配置入侵检测系统,通过实时侦听网络数据流,寻找网络违规行为和未授权的网络访问尝试,当发现网络违规行为和未授权的网络访问时,入侵检测系统能够根据系统安全策略做出反应(阻断、报警、发送 E-mail),防止针对网络的攻击与犯罪行为。
安全扫描是采用模拟攻击的形式对工作站、服务器、交换机、数据库应用、操作系统等各种对象可能存在的已知安全漏洞进行逐项检查,然后根据扫描结果向系统管理员提供详细可靠的安全分析报告,以此作为提高网络安全整体水平的重要依据。
审计是记录用户使用计算机网络系统进行所有活动的过程,它是提高安全性的重要工具。它不仅能够识别哪些用户访问了系统,还能指出系统正被他们怎样地使用。另外,通过对安全事件的不断收集与积累并加以分析,有选择性地对其中的用户进行审计跟踪,以便对发现或可能产生的破坏性行为提供有力的证据。
系统安全问题来自系统内使用操作系统的安全,如Windows 2003,Windows 200,Linux等。主要表现在三个方面:一是操作系统本身的缺陷带来的不安全因素,主要包括身份认证、访问控制、系统漏洞等;二是对操作系统的安全配置问题;三是病毒对操作系统的威胁。通过严格制定操作系统管理制度,定期检查系统配置和日志,用“最小适用性原则”配置系统以提高系统安全性,及时安装系统安全补丁程序来提高系统层的安全。
应用安全主要是指应用系统的安全,即用户在使用系统时必须依照一定的安全策略进行相应的操作,从应用层面上来保证系统的安全。根据组织机构代码业务,采用身份认证技术、安全授权机制、防病毒技术以及对各种应用服务的安全性增强配置服务来保障系统在应用层的安全。
组织机构代码数据可划分为两个不同的安全域:公众服务数据域和组织机构代码基础数据域。
公众服务数据是对社会公众提供组织机构代码查询服务的,是可公开的数据,不存在保密性,只是对数据的安全性、完整性、不可篡改性方面有要求。对此安全域可采取以下安全措施:通过对组织机构数据的抽取、整理形成可对外提供服务的公众服务数据,放在一个专门对外提供服务的前置服务器中,利用防火墙、入侵检测、安全扫描、网络防病毒等安全手段对其进行保护,使其不会受到非法攻击和入侵,以保证数据的完整性、不可篡改性、真实性等。
组织机构代码基础数据,由新疆组织机构代码管理中心监管和维护,具有较高的秘密性,对此安全域除了采取以上安全措施外,还要采取严格的CA身份认证机制,通过CA认证的人员才能访问相应的数据,并利用安全审计系统对数据访问历史进行记录、审计,使其处于更加安全的保护之下。
在这两个安全域间还要采取防火墙、入侵检测、安全审计等手段,对组织机构代码数据进行保护。
新疆组织机构代码中心建立数据安全组织,明确指定专人负责组织机构代码数据安全工作,安全人员应具备相关专业技术背景、工作经历和国家要求的信息安全从业资质,同时根据新疆组织机构代码管理实际情况制定具体的安全管理规章制度,包括资产安全管理制度(软硬件设备管理制度等),运行维护管理(机房安全管理制度,防病毒管理制度,系统运行安全管理制度等)。
近年来,随国家电子政务建设的日益普及和深入,各部门对组织机构代码数据应用需求不断扩大,应用领域也从传统的、小型业务系统逐渐向大型、关键业务系统扩展,网络环境也日益复杂,如何让组织机构代码数据不受恶意攻击和破坏,已成为新疆组织机构代码管理部门所必需考虑和解决的重要问题。为了保障组织机构代码系统安全、稳定、可靠的运行,必须通过不断提高自身的安全防护技术水平,引入科学高效的安全管理,强调全面的安全体系建设等措施来实现系统整体的安全性。该项目的实施,将为全区的电子政务建设提供规范、完整、实效的组织机构基础信息资源,为政府部门全面、快速、准确的掌握组织机构的社会和经济行为信息,增强宏观调控和决策能力提供了技术支撑,提高政府和行业部门的管理和服务质量,同时在应对开放式网络环境中各种安全威胁的挑战方面发挥重要的作用。