对电子政务安全管理控制的认识
2017-11-09郭来军
郭来军
摘要:基于电子政务平台信息安全管理控制,主要目的在于加强信息安全的保护,保证硬件与数据的安全,切实对电子政务平台的风险分析并且进行应急响应和处理。
关键词:电子政务平台;安全管理控制策略;控制目标
电子政务是基于网络的、符合Internet技术标准的面向政府机关、企业以及社会公众的信息服务和信息处理系统。电子政务主要包括政府内部的办公自动化,政府部门之间的信息传递和政府与社会通过互联网的信息交流三个方面。电子政务是开放的、网络化的,这两个特征使得电子政务系统更容易受到攻击和破坏,所以说,电子技术的进步提高了政府的工作效率,同时也伴随着安全威胁问题,尤其在大数据时代,更应该提高电子政务的安全。电子政务安全是指电子政务系统的硬件、软件及其系统中的数据,不受到破坏。特别强调的是电子政务安全尤其指来自网络的攻击破坏。
本文从电子政务平台安全管理的现状出发,分析电子政务平台安全管理的策略,以及电子政务平台安全管理的设计思路。
一、电子政务平台管理安全控制现状
(一)电子政务平台管理安全控制问题
现代信息的快速发展,电子政务平台建设与管理取得了快速发展,用户使用访问量大幅度增加,数据存储需要的空间量大幅度增加,个性化模块设置要求任务的增加,这些都给电子政务平台管理安全控制带来了较大的隐患。当前电子政务平台面临的恶意攻击仍然存在,时刻遭受着网络病毒和系统漏洞威胁。互联网络环境日趋复杂,电子政务平台的访问量不断增加,使得数据管理维护难度增加,而且电子政务平台数据信息量的成倍增加,還会带来数据冗余、网络资源分配不当,权限设置不清晰等问题。电子政务系统面临的安全威胁来自两个方面:一个方面是内部方面,内部人员对电子政务系统进行破坏或者操作失误,如对软硬件的恶意破坏,对政务信息的恶意操作,删除电子文档,致使电子政务系统瘫痪,还有使用的软件自身存在弊病漏洞造成的安全问题;另一个方面是外部方面,比如黑客攻击,传输系统被破坏,线路窃听,截取网络数据,散布病毒等等。还有信息交换与资源分配的难度增加,这使得电子政务平台管理安全控制要求更高,传统的电子政务平台管理方式与安全控制方法已经很难满足互联网与移动互联网交互使用的现实电子信息环境需求。
(二)电子政务平台管理安全控制要求
为了提高政府的办事效率,进一步落实简政放权要求,实现便民服务的行政管理目标,国家近年来更加重视电子政务信息管理平台建设,对地方电子政务信息平台建设和管理控制提出了更高的要求,在电子政务平台管理标准、管理制度与管理方式方法上都有更明确的要求,尤其对安全管理控制的级别、措施、技术等提出指导意见,要求地方电子政务平台不断进行升级,既要满足人民群众的使用需求,同时又要保证数据信息安全,积极提高电子政务平台的智能性、稳定性和高质量的服务能力。要求各项管理的制度、措施和技术等必须落实,不能只喊口号,停留在墙上,如果那样,再好的安全措施也形同虚设。比如在公文信息传输系统中,一定要专人负责,对相关工作人员和主管领导进行安全意识教育,使其提高安全责任感。对于公文传输中使用的口令、加密狗一定要妥善保管。如果因为管理不严格或保管不妥当,而造成其丢失、泄露或者被破解,那么一定要第一时间进行更换,以避免电子政务系统遭到损失。
(三)电子政务平台管理安全控制作用
安全管理系统不仅是维护数据信息的安全产品,而是从互联网的角度构建起电子政务平台运行的安全体系,是电子政务系统的有机组成部分。电子政务的安全体系一般分为安全技术系统和安全管理系统,安全技术系统一般包括物理安全、网络基础平台安全、信息资源层安全和业务应用层安全等,安全管理系统一般包括安全组织、安全组织和策略、安全标准和安全审计等。此安全体系要起到组织、运行、使用的全方位管理,这样可以实现安全管理技术与安全管理产品有效衔接的目标。随着我国电子信息安全管理技术水平的不断提高,已经形成了针对全网环境的安全管理体系,注重在物理层、网络层、系统层和应用层进行全方位的安全管理建设,能够实现数据信息统一管理,达到在全面评估风险的基础上,更好地做出安全管理决策,切实考虑潜在的风险因素,在充分的评估的基础上,发挥安全管理制度与安全技术保障的重要作用。
二、电子政务平台管理安全控制策略
安全策略是电子政务系统安全设计的目标和原则,是对应用系统完整的安全解决方案。安全策略要根据信息传输、发布和处理过程中面临的安全威胁制定,要综合几方面来确定:系统的整体安全性,这是由应用环境和用户需求决定的,包括各个安全机制的子系统的安全目标和性能指标;用户界面的友好性和使用方便性,还有要利于扩展,有可扩展的编程接口,以利于系统的更新和升级;制定具体的安全协议,将安全服务配置到具体的协议里,安全体制和密码等技术本身不能解决信息安全问题,必须在一个完整、全面和安全的安全协议里来实现。安全协议是安全策略的最终实现形式,构成整个系统的安全环境。
(一)访问控制策略
访问控制主要指的是通过技术措施保证用户只能对电子政务平台的数据库信息进行授权范围的操作,目的是有效地控制用户与电子政务平台的信息交换,控制用户在受权范围内访问特定的内容,这样可以保证数据信息安全,同时提高数据信息的完整性与保密性。只有在全面保证访问客体按照要求访问,才能保证信息的完整安全。具体来说主要包括控制哪一类用户可以访问登录服务器,并且对授权用户的操作加以控制。包括用户名、用户账号、账号缺省检查等,通过用户验证账号、授权令、用户注册信息、口令输入等方式来进行权限设置。电子政务平台还要对非授权网络操作进行控制,并且对用户的操作行为进行判断。并且将用户与某类文件的权限对应,制定根据用户使用权的访问目录,这样可以极大地提高电子政务平台的安全性。我们需要在电子政务系统中建立证书认证中心,用来负责证书的签发和管理,证书认证中心由WEB服务器、策略服务器、证书签发服务器、密码服务系统以及信息安全防御系统等等组成,以提供数字证书的管理功能。endprint
(二)访问需求分析
访问需求分析是提高电子政务平台运行效率,保证电子政务平台安全稳定运行的重要技术手段,只有对用户的访问需求进行分析,才能提高电子政务平台的伸缩性、可行性和扩展性。访问需求分析是在登录模块、验证模块基础上对电子政务平台使用者的需求进行智能化分析并且给其提高信息的重要环节。用户的需求分析需要围绕着电子平台的管理、统计、检索等内容进行设计,注重根据不同的用户级别设置不同的使用权限,同时还要鉴定用户的需求,在全面审核的基础上为用户提供相关的涉及个人隐私的信息。因此在电子政务平台的智能化与个性化的发展道路上,必须注重发挥电子政务平台管理安全控制的需求分析功能建设,注重对网络用户的实时监控,这样才能达到全面控制的目标。
三、电子政务平台管理安全控制设计
(一)总体设计目标
在保证电子政务平台安全的总目标下,需要建立完善的电子政务平台管理安全控制具体标准,注重在安全共享基本原则下,实现数据信息的规范运行。具体来说要解决传统电子政务平台系统中存在的基础设施、信息资源与业务数据使用权限界定不清晰的问题,要在全面界定应用权限的基础上分析出现信息安全事件的概率,同时解决不同部门电子政务信息和资源使用中的问题。电子政务管理安全控制平台还要围绕安全服务支撑、授权管理、认证、数据防护安全等方面进行具体管理,实现信息系统交互服务的目标。
(二)设计思路
电子政务安全保护体系通常包括四个部分,他们分别是安全管理体系,如国家的法律法规,标准规范和制度;安全组织体系,如国家安全部,国家保密局,国家安全协调小组等;安全基础设施,如网络检测中心,安全产品评测中心和计算机病毒防治中心等,还有就是安全技术体系,如网络安全,防火墙,入侵检测,漏洞检测,身份识别和认证等。电子政务平台管理安全控制的设计必须建立统一设计思路,注重围绕着网络联接入点,部门数据的互相融通,模块数据的可管可控进行有效的设计。电子政务安全管理中心的工作职责是领导整个安全队伍,分配任务并审计执行情况,负责上报安全状况或进一步向其他组织寻求援助和咨询,管理中心体系中的部门各司其职,如入侵预警小组,其职责是预防网络入侵,漏洞扫描小组,其职责是通过各种工具进行系统漏洞扫描,包括操作系统的漏洞和数据库漏洞以及应用的漏洞,还有跟踪小组,负责对入侵者进行跟踪。具体要根据各部门数据信息实现自主管控,建立起满足安全等级和升级完善等要求的具体设计。
安全管理中心应当把居于不同位置的分散信息进行整合,实现数据信息过滤、收集和关联分析的设计,达到从全局角度进行安全风险和安全事件管控,形成分级的科学安全控制体系。安全管理系统的设计必须注重综合性服务,能够围绕虚拟信息系统、数据挖掘系统、智能浏览、多元数据整合等多级数据交换进行设计,这样才能构成综合化的信息系统,实现立体性的电子政务平台安全管理控制目标。电子政务安全管理平台的设计还要实现数据接口的优化,注重满足用户与其他管理系统或平台数据信息的配置,这样才能实现数据的统一管理。而且还要能够对电子政务平台相关信息进行采集,实现对硬件、网络环境、主机和其他安全产品的控制。总的来说,安全管理系统的建立要由应用环境和用户需求决定,来达到安全目标和指标,如对系统的运行造成的负荷的性能指标,方便网络管理人员进行控制、管理的指标。
(三)结构组成
電子政务平台管理安全控制中心由数据采集、数据业务管理、数据展示控制等不同层面构成。并且通过数据接口、实时数据监控和文件接口、其他接口等组成。电子政务平台控制管理中心负责对数据的运行状态、实时性能、风险预警、故障分析、安全情况报告等进行具体的操作。在技术保障上,要对信息基础实施进行多层防护,包括网络和基础设施防护、边界防护、计算机防护等等。分别涉及到网络的可用性、无线网络安全框架,系统互连和虚拟网,远程访问、多级安全、终端用户环境和系统应用程序的安全。具体来说,分析层是安全管理平台的核心,主要负责核心数据的安全管理,并且根据实时风险,采用有效的信息安全策略,对信息进行有效控制,一般有防火墙、入侵检测系统、漏洞扫描系统、病毒防止系统和数据库安全等组成,是安全网络系统的组成部分,用以保障电子系统的安全。如PMI(授权管理基础设施)是一种轻量级的数字证书,包含证书所有人的ID、发行证书所有人的ID、发行证书ID及有效期等信息。PMI主要负责向应用系统提供与应用相关的授权服务管理,通常采用PMI与PKI(公钥基础设施)结合来有效提高授权控制能力。物理层负责物理连接方面的安全,尤其是指不同密级之间网络的连接规范,保证物理结构上的安全。比如,电子政务系统涉及密网与非密网络的连接,政府内部与外网的连接,接入方式有物理隔离、逻辑隔离、基于物理隔离的数据交换等几种不同的形式,办公单位与数据中心的连接均用防火墙进行逻辑隔离,保证可信的数据传输及对非法访问的拒绝。数据采集主要对信息系统的安全数据进行采用和网络设备的检测,并且制定具体的数据管理措施,实现数据信息的全面管控。
电子政务平台管理安全控制主要由数据控制中心按照数据运行的过程进行控制,着力围绕着用户的使用需求,保证电子政务平台高效运营。同时,还要做好安全评估工作,评估政务系统中的不同子系统是否有潜在的威胁,威胁的程度如何,威胁会造成什么后果;做好系统安全审计工作,对安全标准执行情况、取得的各类数据进行审查,最终确保电子政务系统的安全。endprint