新疆科技電子政務(wù)系統(tǒng)安全體系研究

（新疆科技發(fā)展戰(zhàn)略研究院，烏魯木齊市，830011）宋勇

新疆科技電子政務(wù)系統(tǒng)安全體系研究

（新疆科技發(fā)展戰(zhàn)略研究院，烏魯木齊市，830011）宋勇

近年來網(wǎng)絡(luò)安全形勢日益惡化，網(wǎng)絡(luò)攻擊技術(shù)和手段不斷趨于復(fù)雜和隱蔽，來自境內(nèi)外違法犯罪分子和組織以及外國敵對勢力、恐怖組織和民族分裂勢力等等的網(wǎng)絡(luò)攻擊活動(dòng)從未停止，信息安全問題成為我區(qū)信息化建設(shè)過程中的亟待解決的重要問題之一。本文根據(jù)我區(qū)科技電子政務(wù)系統(tǒng)的實(shí)際情況，按照接人點(diǎn)各部分的應(yīng)用和特點(diǎn)分別進(jìn)行安全分析和設(shè)計(jì)，將我區(qū)電子政務(wù)系統(tǒng)的安全體系提升到較高的安全級別，確保整個(gè)網(wǎng)絡(luò)安全、穩(wěn)健的運(yùn)行。

電子政務(wù)；信息安全；安全體系

1 背景研究

隨著我國政務(wù)信息公開力度的不斷加大，電子政務(wù)信息系統(tǒng)日前普及。電子政務(wù)系統(tǒng)幫助我國政府機(jī)關(guān)實(shí)現(xiàn)網(wǎng)上辦公、管理，以及提供各種公共服務(wù)，大大地推進(jìn)了我國的信息化進(jìn)程。然而近年來網(wǎng)站被黑、服務(wù)器被攻擊等現(xiàn)象頻繁發(fā)生，信息安全問題日益成為全球關(guān)注的焦點(diǎn)。如何利用信息安全的技術(shù)、手段和方法，確保政府部門正確、流暢地發(fā)揮部門職能，進(jìn)而維護(hù)國家形象、維護(hù)社會穩(wěn)定和國家安全，成為電子政務(wù)工作中的關(guān)鍵問題。特別是我區(qū)7.5事件后，網(wǎng)絡(luò)安全形勢日益惡化，網(wǎng)絡(luò)攻擊技術(shù)和手段不斷趨于復(fù)雜和隱蔽，來自境內(nèi)外違法犯罪分子和組織以及外國敵對勢力、恐怖組織和民族分裂勢力等等的網(wǎng)絡(luò)攻擊活動(dòng)從未停止，信息安全問題更是成為我區(qū)信息化建設(shè)過程中的亟待解決的重要問題之一。根據(jù)我區(qū)科技電子政務(wù)系統(tǒng)的實(shí)際情況，按照接人點(diǎn)各部分的應(yīng)用和特點(diǎn)分別進(jìn)行安全分析和設(shè)計(jì)，對機(jī)房安全、設(shè)備安全、介質(zhì)安全三個(gè)方面進(jìn)行物理安全部署，對結(jié)構(gòu)安全和網(wǎng)段劃分、邊界安全、網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)入侵檢測、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)、網(wǎng)絡(luò)安全審計(jì)和傳輸安全等需要控制的七項(xiàng)網(wǎng)絡(luò)安全內(nèi)容進(jìn)行逐一地規(guī)劃與實(shí)施，通過部署主機(jī)審計(jì)系統(tǒng)、主機(jī)入侵檢測系統(tǒng)等安全產(chǎn)品來實(shí)現(xiàn)訪問控制、安全審計(jì)、入侵防范、資源控制、通信完整性、保密性等安全功能，將我區(qū)電子政務(wù)系統(tǒng)的安全提升到較高的安全級別，確保整個(gè)網(wǎng)絡(luò)安全、穩(wěn)健的運(yùn)行。

2 面臨的主要威脅

2.1 物理層安全威脅

設(shè)備的被盜、惡意破壞、線路截獲監(jiān)聽、電磁干擾、電源掉線以及設(shè)備的損壞等。這些都對整個(gè)網(wǎng)絡(luò)的基礎(chǔ)設(shè)備及上層的各種應(yīng)用有著嚴(yán)重的安全威脅。

2.2 網(wǎng)絡(luò)層安全威脅

網(wǎng)絡(luò)層是網(wǎng)絡(luò)入侵者進(jìn)攻信息系統(tǒng)的渠道和通路。許多安全問題都集中體現(xiàn)在網(wǎng)絡(luò)的安全方面。大型網(wǎng)絡(luò)系統(tǒng)內(nèi)運(yùn)行的TCPIP協(xié)議并非專為安全通訊而設(shè)計(jì)，所以網(wǎng)絡(luò)系統(tǒng)存在大量安全隱患和威脅。

2.3 系統(tǒng)層安全威脅

系統(tǒng)層的安全威脅主要是操作系統(tǒng)平臺的安全威脅。由于現(xiàn)代操作系統(tǒng)的代碼龐大，從而在不同程度上都存在一些安全漏洞。操作系統(tǒng)自身的脆弱性將直接影響到其上所有的應(yīng)用系統(tǒng)的安全性。

2.4 應(yīng)用層安全威脅

應(yīng)用層安全是指用戶在網(wǎng)絡(luò)上的應(yīng)用系統(tǒng)的安全，包括郵件系統(tǒng)、WEB、DNS以及各種業(yè)務(wù)系統(tǒng)等。雖然應(yīng)用系統(tǒng)復(fù)雜多樣，但都存在一些廣為人知的漏洞，容易被人作為攻擊的切入點(diǎn)。

2.5管理層安全威脅

沒有完善的網(wǎng)絡(luò)與安全人員管理制度；沒有定期對現(xiàn)有的操作管理人員進(jìn)行安全培訓(xùn)；網(wǎng)絡(luò)或安全設(shè)備的登陸密碼安全策略強(qiáng)度不符合要求；沒有及時(shí)獲知安全狀態(tài)及最新安全漏洞的途徑；對于可能出現(xiàn)的安全問題，沒有一套完整的處理流程。

3 對策建議

我區(qū)科技電子政務(wù)系統(tǒng)安全體系框架針對電子政務(wù)系統(tǒng)面臨的五個(gè)層面安全威脅分析進(jìn)行設(shè)計(jì)，對電子政務(wù)系統(tǒng)提供保護(hù)的整體策略集合，包括運(yùn)行管理安全、物理環(huán)境保障、數(shù)據(jù)安全、資源可信和網(wǎng)絡(luò)及系統(tǒng)安全等內(nèi)容。安全體系框架在物理環(huán)境安全的保障下，提供數(shù)據(jù)安全、資源可信和網(wǎng)絡(luò)及系統(tǒng)安全三大類安全支撐，確保用戶環(huán)境、應(yīng)用與數(shù)據(jù)環(huán)境和網(wǎng)絡(luò)基礎(chǔ)環(huán)境的安全，同時(shí)運(yùn)行管理安全貫穿其中，共同為我區(qū)科技電子政務(wù)系統(tǒng)提供多級別、多層面的保護(hù)。

3.1 安全域的劃分

安全域的規(guī)劃是通過對業(yè)務(wù)資源的分析，確定其保護(hù)的范圍和等級，并采取相應(yīng)的保護(hù)措施，主要包括安全定級、安全域劃分和安全策略配置三部分內(nèi)容。

3.2 安全技術(shù)體系設(shè)計(jì)

我區(qū)科技電子政務(wù)系統(tǒng)安全技術(shù)體系由安全支撐平臺和安全應(yīng)用支撐平臺兩部分構(gòu)成。安全支撐平臺以密碼技術(shù)為基礎(chǔ)，為安全應(yīng)用支撐平臺和電子政務(wù)系統(tǒng)提供信息保護(hù)、身份認(rèn)證、訪問控制等安全服務(wù)。安全應(yīng)用支撐平臺以呼叫控制、業(yè)務(wù)控制、媒體控制和業(yè)務(wù)管理為主要內(nèi)容，為電子政務(wù)系統(tǒng)提供可信的呼叫控制、應(yīng)用整合、媒體控制和資源管理等應(yīng)用支撐服務(wù)，并以用戶為中心提供基本網(wǎng)絡(luò)業(yè)務(wù)服務(wù)。

3.3 安全管理體系設(shè)計(jì)

我區(qū)科技電子政務(wù)系統(tǒng)，僅僅靠技術(shù)手段難以防范所有的安全隱患，還需要建立相應(yīng)的安全管理體系。安全管理體系主要包括有安全策略、安全組織和安全制度。

3.3.1 安全策略

做到全面、靈活使用，必須對信息系統(tǒng)進(jìn)行全面細(xì)致的調(diào)查、評估之后，結(jié)合我區(qū)科技電子政務(wù)的業(yè)務(wù)流程，制定出符合實(shí)際情況的安全策略體系。安全策略體系包括安全方針、主策略、子策略和電子政務(wù)系統(tǒng)日常管理所需要的制度。

3.3.2 安全組織

為保障我區(qū)科技電子政務(wù)系統(tǒng)信息的安全，需要在條件合適的時(shí)候建立合適的安全管理組織框架，以保證在組織內(nèi)部開展和控制信息安全的實(shí)施。建立具有管理權(quán)的適當(dāng)?shù)男畔踩芾砦瘑T會來批準(zhǔn)信息安全方針、分配安全職責(zé)并協(xié)調(diào)組織內(nèi)部信息安全的實(shí)施。如有必要，應(yīng)在組織內(nèi)建立提供信息安全建議的專家小組并使其有效。

3.3.3 安全制度

電子政務(wù)系統(tǒng)是一個(gè)安全性要求非常高的系統(tǒng)，所以安全制度要求也很嚴(yán)格。必須由管理層制定切實(shí)可行的日常安全保密制度、審計(jì)制度、機(jī)房管理、操作規(guī)程管理、系統(tǒng)維護(hù)管理等，明確定義日常安全審計(jì)的例行制度、實(shí)施日程安排與計(jì)劃、報(bào)告的形式及內(nèi)容、達(dá)到的目標(biāo)等。

3.4 安全服務(wù)體系設(shè)計(jì)

電子政務(wù)系統(tǒng)安全服務(wù)體系設(shè)計(jì)強(qiáng)調(diào)以“安全人”為核心，包括以下安全服務(wù)內(nèi)容。

3.4.1 安全評估審計(jì)服務(wù)

定期檢查電子政務(wù)系統(tǒng)的安全現(xiàn)狀，以便動(dòng)態(tài)的調(diào)整安全防護(hù)策略。

3.4.2 安全增強(qiáng)加固服務(wù)

針對安全狀況的動(dòng)態(tài)變化，及時(shí)彌補(bǔ)最新出現(xiàn)的各類安全漏洞、安全隱患。

3.4.3 安全信息通告服務(wù)

過郵件、WEB網(wǎng)站或電話等方式，為我區(qū)科技電子政務(wù)系統(tǒng)提供及時(shí)的、有針對性的各類安全信息，信息系統(tǒng)維護(hù)人員及時(shí)了解最新安全動(dòng)態(tài)。

3.4.4 安全應(yīng)急響應(yīng)服務(wù)

針對我區(qū)科技電子政務(wù)系統(tǒng)隨機(jī)出現(xiàn)的重大、疑難安全故障進(jìn)行及時(shí)的專家安全響應(yīng)和恢復(fù)，提高政務(wù)系統(tǒng)應(yīng)對重大安全事故的能力，保障系統(tǒng)各業(yè)務(wù)網(wǎng)絡(luò)的業(yè)務(wù)連續(xù)性。

3.4.5 專業(yè)安全培訓(xùn)服務(wù)

電子政務(wù)系統(tǒng)的長期安全保障必須依賴各類人員的安全技能和安全意識水平的提高，進(jìn)行專業(yè)安全培訓(xùn)是提高安全技能和安全意識水平的最佳方式之一。

4 結(jié)語

無論采用什么樣的網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用體系，對于電子政務(wù)系統(tǒng)來說，安全總是第一位的。因此，信息安全是電子政務(wù)的頭等大事，加強(qiáng)和提高信息安全管理能力和水平，防范信息安全風(fēng)險(xiǎn)，保障政務(wù)系統(tǒng)安全穩(wěn)定運(yùn)行，對電子政務(wù)信息安全體系研究，對于推動(dòng)我區(qū)科技電子政務(wù)建設(shè)具有重大的現(xiàn)實(shí)意義。

[1]王歡喜，王正明.我國電子政務(wù)發(fā)展現(xiàn)狀與對策研究[J].《人間》.2015，（15）:198

[2]李曉明，電子政務(wù)安全保障體系[J].《通訊世界》.2015，（6）:219-220

[3]劉揚(yáng).淺談電子政務(wù)安全保障體系的構(gòu)建. [J]..《計(jì)算機(jī)光盤軟件與應(yīng)用》，2014，(24):204～205

TP391

B

1008-0899（2016）02-0024-02