新疆科技电子政务系统安全体系研究
2016-04-10新疆科技发展战略研究院乌鲁木齐市830011宋勇
(新疆科技发展战略研究院,乌鲁木齐市,830011)宋勇
新疆科技电子政务系统安全体系研究
(新疆科技发展战略研究院,乌鲁木齐市,830011)宋勇
近年来网络安全形势日益恶化,网络攻击技术和手段不断趋于复杂和隐蔽,来自境内外违法犯罪分子和组织以及外国敌对势力、恐怖组织和民族分裂势力等等的网络攻击活动从未停止,信息安全问题成为我区信息化建设过程中的亟待解决的重要问题之一。本文根据我区科技电子政务系统的实际情况,按照接人点各部分的应用和特点分别进行安全分析和设计,将我区电子政务系统的安全体系提升到较高的安全级别,确保整个网络安全、稳健的运行。
电子政务;信息安全;安全体系
1 背景研究
随着我国政务信息公开力度的不断加大,电子政务信息系统日前普及。电子政务系统帮助我国政府机关实现网上办公、管理,以及提供各种公共服务,大大地推进了我国的信息化进程。然而近年来网站被黑、服务器被攻击等现象频繁发生,信息安全问题日益成为全球关注的焦点。如何利用信息安全的技术、手段和方法,确保政府部门正确、流畅地发挥部门职能,进而维护国家形象、维护社会稳定和国家安全,成为电子政务工作中的关键问题。特别是我区7.5事件后,网络安全形势日益恶化,网络攻击技术和手段不断趋于复杂和隐蔽,来自境内外违法犯罪分子和组织以及外国敌对势力、恐怖组织和民族分裂势力等等的网络攻击活动从未停止,信息安全问题更是成为我区信息化建设过程中的亟待解决的重要问题之一。根据我区科技电子政务系统的实际情况,按照接人点各部分的应用和特点分别进行安全分析和设计,对机房安全、设备安全、介质安全三个方面进行物理安全部署,对结构安全和网段划分、边界安全、网络访问控制、网络入侵检测、恶意代码防范、网络设备防护、网络安全审计和传输安全等需要控制的七项网络安全内容进行逐一地规划与实施,通过部署主机审计系统、主机入侵检测系统等安全产品来实现访问控制、安全审计、入侵防范、资源控制、通信完整性、保密性等安全功能,将我区电子政务系统的安全提升到较高的安全级别,确保整个网络安全、稳健的运行。
2 面临的主要威胁
2.1 物理层安全威胁
设备的被盗、恶意破坏、线路截获监听、电磁干扰、电源掉线以及设备的损坏等。这些都对整个网络的基础设备及上层的各种应用有着严重的安全威胁。
2.2 网络层安全威胁
网络层是网络入侵者进攻信息系统的渠道和通路。许多安全问题都集中体现在网络的安全方面。大型网络系统内运行的TCPIP协议并非专为安全通讯而设计,所以网络系统存在大量安全隐患和威胁。
2.3 系统层安全威胁
系统层的安全威胁主要是操作系统平台的安全威胁。由于现代操作系统的代码庞大,从而在不同程度上都存在一些安全漏洞。操作系统自身的脆弱性将直接影响到其上所有的应用系统的安全性。
2.4 应用层安全威胁
应用层安全是指用户在网络上的应用系统的安全,包括邮件系统、WEB、DNS以及各种业务系统等。虽然应用系统复杂多样,但都存在一些广为人知的漏洞,容易被人作为攻击的切入点。
2.5管理层安全威胁
没有完善的网络与安全人员管理制度;没有定期对现有的操作管理人员进行安全培训;网络或安全设备的登陆密码安全策略强度不符合要求;没有及时获知安全状态及最新安全漏洞的途径;对于可能出现的安全问题,没有一套完整的处理流程。
3 对策建议
我区科技电子政务系统安全体系框架针对电子政务系统面临的五个层面安全威胁分析进行设计,对电子政务系统提供保护的整体策略集合,包括运行管理安全、物理环境保障、数据安全、资源可信和网络及系统安全等内容。安全体系框架在物理环境安全的保障下,提供数据安全、资源可信和网络及系统安全三大类安全支撑,确保用户环境、应用与数据环境和网络基础环境的安全,同时运行管理安全贯穿其中,共同为我区科技电子政务系统提供多级别、多层面的保护。
3.1 安全域的划分
安全域的规划是通过对业务资源的分析,确定其保护的范围和等级,并采取相应的保护措施,主要包括安全定级、安全域划分和安全策略配置三部分内容。
3.2 安全技术体系设计
我区科技电子政务系统安全技术体系由安全支撑平台和安全应用支撑平台两部分构成。安全支撑平台以密码技术为基础,为安全应用支撑平台和电子政务系统提供信息保护、身份认证、访问控制等安全服务。安全应用支撑平台以呼叫控制、业务控制、媒体控制和业务管理为主要内容,为电子政务系统提供可信的呼叫控制、应用整合、媒体控制和资源管理等应用支撑服务,并以用户为中心提供基本网络业务服务。
3.3 安全管理体系设计
我区科技电子政务系统,仅仅靠技术手段难以防范所有的安全隐患,还需要建立相应的安全管理体系。安全管理体系主要包括有安全策略、安全组织和安全制度。
3.3.1 安全策略
做到全面、灵活使用,必须对信息系统进行全面细致的调查、评估之后,结合我区科技电子政务的业务流程,制定出符合实际情况的安全策略体系。安全策略体系包括安全方针、主策略、子策略和电子政务系统日常管理所需要的制度。
3.3.2 安全组织
为保障我区科技电子政务系统信息的安全,需要在条件合适的时候建立合适的安全管理组织框架,以保证在组织内部开展和控制信息安全的实施。建立具有管理权的适当的信息安全管理委员会来批准信息安全方针、分配安全职责并协调组织内部信息安全的实施。如有必要,应在组织内建立提供信息安全建议的专家小组并使其有效。
3.3.3 安全制度
电子政务系统是一个安全性要求非常高的系统,所以安全制度要求也很严格。必须由管理层制定切实可行的日常安全保密制度、审计制度、机房管理、操作规程管理、系统维护管理等,明确定义日常安全审计的例行制度、实施日程安排与计划、报告的形式及内容、达到的目标等。
3.4 安全服务体系设计
电子政务系统安全服务体系设计强调以“安全人”为核心,包括以下安全服务内容。
3.4.1 安全评估审计服务
定期检查电子政务系统的安全现状,以便动态的调整安全防护策略。
3.4.2 安全增强加固服务
针对安全状况的动态变化,及时弥补最新出现的各类安全漏洞、安全隐患。
3.4.3 安全信息通告服务
过邮件、WEB网站或电话等方式,为我区科技电子政务系统提供及时的、有针对性的各类安全信息,信息系统维护人员及时了解最新安全动态。
3.4.4 安全应急响应服务
针对我区科技电子政务系统随机出现的重大、疑难安全故障进行及时的专家安全响应和恢复,提高政务系统应对重大安全事故的能力,保障系统各业务网络的业务连续性。
3.4.5 专业安全培训服务
电子政务系统的长期安全保障必须依赖各类人员的安全技能和安全意识水平的提高,进行专业安全培训是提高安全技能和安全意识水平的最佳方式之一。
4 结语
无论采用什么样的网络结构和应用体系,对于电子政务系统来说,安全总是第一位的。因此,信息安全是电子政务的头等大事,加强和提高信息安全管理能力和水平,防范信息安全风险,保障政务系统安全稳定运行,对电子政务信息安全体系研究,对于推动我区科技电子政务建设具有重大的现实意义。
[1]王欢喜,王正明.我国电子政务发展现状与对策研究[J].《人间》.2015,(15):198
[2]李晓明,电子政务安全保障体系[J].《通讯世界》.2015,(6):219-220
[3]刘扬.浅谈电子政务安全保障体系的构建. [J]..《计算机光盘软件与应用》,2014,(24):204~205
TP391
B
1008-0899(2016)02-0024-02