电子政务系统信息安全保障体系建设研究

2013-10-21 09:40黎丹
卷宗 2013年12期
关键词:保障体系电子政务信息安全

黎丹

摘 要:我国的电子政务建设已覆盖到金融、外贸、社会保障、税务等多个领域,因电子政务系统的特殊性等因素,其稳定性和数据安全都显得至关重要。开展电子政务信息系统的安全保障工作就是保障电子政务的生命线。本文重点研究了如何建立电子政务信息系统的安全保障体系,并使其发挥应用的作用。

关键词:电子政务;信息安全;保障体系

说起电子政务,大家也许首先想到的就是各级政府门户网站,认为电子政务就是通过政府门户网站提供的便民公共查询窗口查询信息或是通过网上办事通道办理申请或审批业务。这是狭隘的理解,门户网站只是电子政务的一部分,并不是电子政务的全部。电子政务是“运用计算机、网络和通信等现代信息技术手段,实现政务组织结构和工作流程的优化重组,超越时间、空间和部门分隔的限制,简称一个精简、高效、廉洁、公平的政府运作模式,以便全方位地向社会提供优质、规范、透明、符合国际水准的管理与服务。”

简单讲,电子政务就是政府通过现代通信技术手段组建一个优于传统模式的政府运作模式,并向社会提供管理与服务。其实,电子政务离我们并不遥远,它已经深入到了我们的日常生活中。举个例子,我国于1993年开始启动“金卡工程”,它以计算机、通信等现代科技为基础,以银行卡等为介质,通过计算机网络系统,以电子信息转帐形式实现货币流通。如今,我们使用带有银联标志的金融卡可以在任意标有银联标志的商户进行消费,我们可以通过银行ATM机办理同城或异地,同行或跨行转账汇款等业务,使用银行卡进行消费、转帐、结算正逐渐成为一种时尚,“金卡工程”实现了“一卡在手、走遍神州”,为企业和个人提供了方便、快捷、安全的支付和消费手段,与此同时,它使企业和个人的交易、转帐、消费和税收纳入国家统计体系之内,加强了国家的监管。又如我国于2001年开始启动的“金关工程”,它在实现海关内部作业流电子化的同时,利用现代信息技术,依托国家电信公网,将进出口业务信息流、资金流、货物流信息集中存放在一个公共数据中心,监管部门可以进行跨部门、跨行业的联网数据核查,企业可以上网办理出口退税、报关申报、转关申报等多种进出口手续。

1 电子政务系统安全保障的重要性

电子政务已覆盖到我国金融、进出口贸易、社会保障、税务、公安、财政审计等多个领域,电子政务系统的稳定和数据安全关系重大,我国对电子政务的信息安全工作非常重视,中央办公厅于2003年下发了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、公安部于2004年9月发布了《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)、国信办于2005年9月发布了《电子政务信息安全等级保护实施指南(试行)》(国信办[2005]25号),供各级党政机关在新建电子政务系统和已建电子政务系统中开展信息安全等级保护工作参考。保证电子政务系统实现其功能和保证电子政务系统的数据安全是电子政务系统安全保障的两项基本任务。

2 信息安全管理体系建设

电子政务的安全保障是依托对电子政务信息系统的安全保障实现的,信息安全管理应该建立在一套完备的安全管理体系基础之上的,由电子政务信息系统的建设维护单位自上而下的开展。

2.1 信息安全管理体系建设的内容

安全管理体系应该包括安全方针、信息安全组织、资产管理、人力资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统获取开发和维护、信息安全事件管理、业务连续性管理和符合性等内容。具体要求参见我国2008年发布的《信息技术 安全技术 信息安全管理体系 要求》(GB/T 22080-2008)。

2.2 信息安全管理体系建设的意义

建立完善的信息安全管理体系,使得电子政务信息系统能够有专门的组织或机构负责其安全管理,有了明确的职责划分和责任认定,有助于顺利开展组织的信息安全管理工作。在信息系统全生命周期内对构成信息系统的各要素的安全管理进行规范化管理,形成制度体系,以便其落地实施,会使电子政务信息系统的安全管理更加科学化、规范化和标准化。

3 安全基础设施建设

电子政务信息系统的建设和运行需要基础设施的支撑,电子政务面向社会公众或特定人群提供服务,首先要搭建与互联网对接的网络系统,再解决互联网络上的用户身份鉴别问题,此外还要根据国家信息安全等级保护的有关要求,结合电子政务所在的行业以及提供服务的性质,考虑系统和数据的容灾备份。

3.1 网络建设与安全域划分

电子政务往往需要建设专有网络系统,以便将业务覆盖到本行业的下一级乃至更下一级的业务部门,如“金保工程”将建立三级网络纳为其建设内容,即搭建中央、省、市三级安全高效的网络系统;“金关工程”中也包含主干网建设内容。電子政务信息系统建设单位可以根据电子政务所处行业、服务和管理内容等,制定网络建设规划,并根据电子政务信息系统的安全保护级别相对应的要求划分网络安全域。

3.2 公钥基础设施(PKI)

公钥基础设施PKI利用数字证书标识密钥持有人的身份,通过对密钥的规范化管理,构建和维护一个可信赖的系统环境,为应用系统提供身份认证、数据保密性和完整性、抗抵赖等各种必要的安全保障。电子政务需要面向社会群众或特定群体通过网络提供服务,就需要解决网络环境下的身份鉴别与抗抵赖性问题,即解决如何验证用户为合法用户,以及如何防止用户否认其行为的问题。公钥基础设施(PKI)就能够很好的解决上述问题。税务系统和电子口岸就采用了PKI技术,在电子政务信息系统中应用PKI,在保证电子政务系统安全的前提下,解决了电子政务系统中的抗抵赖性问题。

3.3 系统与数据容灾备份

电子政务信息系统应根据其信息安全保护等级和业务连续性要求选择是否建设灾备系统,以防止因系统终止提供服务而对用户的正常生产生活产生影响,甚至造成社会影响;电子政务信息系统应根据其数据的重要程度制定数据备份策略,以防止因数据丢失而造成损失。

4 信息安全防护体系建设

电子政务信息系统依托现代技术建设,其安全防护体系应围绕着它的基础设施、硬件设备(主机、存储、网络设备、安全设备等)和人(建设人员、维护人员、使用人员等)构建。

4.1 个体安全防护

硬件设备是构成电子政务信息系统的最小单元,针对硬件本身进行的安全防护可看做是个体安全防护。个体安全防护的目标是提升个体的安全防护能力。针对不同类型的硬件设备,有不同的安全防护手段或技术。例如:应针对不同操作系统和版本的主机设置安全加固配置基线,统一管理主机安全配置;部署Windows操作系统的服务器需要安装防病毒软件;及时更新系统补丁;加强个体的账号管理和访问控制;部署第三方加固软件等。

4.2 区域安全防护

电子政务信息系统的网络依据其功能和互联需求划分为不同的安全区域,安全域是指同一环境内有相同的安全保护需求、相互信任、并具有相同的安全访问控制和边界控制策略的网络或系统。例如:有与互联网联通需求的网络需要划分专门区域用于接入互联网。

区域安全防护包括边界安全防护和区域安全管理两部分。不同安全域之间以及内部网与外部网之间形成的界限称为边界,边界安全防护的目标是阻止未被允许的访问,具体可通过防火墙、交换机、入侵防御、防病毒网关等实现;区域安全管理的目标是掌握区域内的安全状态,及时处置区域内产生的安全事件,具体可通过漏洞扫描、安管中心、安全审计等实现。

4.3 基础设施安全防护

电子政务信息系统最为关键的基础设施是运行机房,机房内运行着所有的硬件资产和软件资产,其安全防护工作包括机房电磁屏蔽、消防、电气、空调、防盗等等。

4.4 信息安全审计

将信息安全审计作为单独一条是用来强调它的重要性,电子政务信息系统的建设和运维都离不开人,对人员的安全管理是保障安全方针策略得到有效执行的关键。“堡垒最容易从内部攻破”,再安全的外部防御也无法抵挡由内而外的攻击。电子政务系统往往会因其特殊的应用而产生许多敏感数据,这些数据大多涉及个人及企业团体的基本信息数据及其生产数据等,部分还会涉及商业秘密,一旦发生人为的泄密、数据盗取、后门等安全事件,其后果将不堪设想。因此需要电子政务信息系统建设维护单位建立完善的信息安全审计体系,对系统建设和维护的关键环节实施信息安全审计,通过制度宣贯和技术手段起到威慑的作用,让人员有“伸手必备捉”的危机感。

5 明确第三方服务保障

电子政务信息系统的建设离不开第三方的支持,网络线路需要向运营商申请并由其保障线路通信质量,软硬件设备需要向供应商采购并由其提供维保服务和技术支持,部分单位的电子政务信息系统是委托第三方开发建设的或有委托第三方进行运行维护的,等等。第三方的服务保障质量、对已掌握的资源是否严格管理等问题关系到电子政务信息系统的安全,因此有必要與第三方签订明确的服务保障合同,确定第三方的责任和义务、提出第三方的保障要求并签订相应的保密协议。

6 结语

我国电子政务的建设还将不断持续下去,已建的或正在筹建的电子政务都应重视电子政务的信息安全保障问题,认真思考建立适合的信息安全防护体系,为电子政务提供安全可靠的支撑平台。

参考文献

[1] 侯卫真 《电子政务的建设与发展》[M] 中国人民大学出版社 2006.3

[2] 程桯 《PKI技术在电子政务中的应用研究》[D] 2004.10

[3] GB/T 22080-2008《信息技术安全技术信息安全管理体系要求》[S] 2008

猜你喜欢
保障体系电子政务信息安全
论基于云的电子政务服务平台构建
ETC关键设备准入标准及运行保障体系构建
保护信息安全要滴水不漏
关于构建战区联合作战后勤聚合保障体系的思考
高校信息安全防护
保护个人信息安全刻不容缓
电子政务工程项目绩效评价研究
构建更安全可靠的机房电源保障体系
健全大数据安全保障体系研究
信息安全