電子政務(wù)信息化建設(shè)中安全方案設(shè)計(jì)策略

郭兵

【摘要】? ? 圍繞著便利和快捷使用體驗(yàn)的安全問題始終應(yīng)作為各類信息化系統(tǒng)建設(shè)的重中之重，如何在系統(tǒng)建設(shè)的立項(xiàng)研究階段就開始著重系統(tǒng)的進(jìn)行安全系統(tǒng)部分的規(guī)劃設(shè)計(jì)的問題，是各級(jí)項(xiàng)目建設(shè)單位、審批單位和設(shè)計(jì)及實(shí)施單位應(yīng)重點(diǎn)關(guān)注的。

【關(guān)鍵詞】? ? 電子政務(wù)? ? 安全系統(tǒng)? ? 設(shè)計(jì)策略

一、系統(tǒng)的定級(jí)和備案

國(guó)家《關(guān)于加強(qiáng)信息安全保障工作的意見》指出，實(shí)行等級(jí)保護(hù)是信息安全保障的基本政策，各部門、各單位都要根據(jù)等級(jí)保護(hù)制度的要求，結(jié)合各自的特點(diǎn)，建立相應(yīng)的安全保護(hù)策略、計(jì)劃和措施。通過將等級(jí)化方法和安全體系方法有效結(jié)合，建設(shè)等級(jí)化的信息安全保障體系。所以在項(xiàng)目立項(xiàng)建設(shè)方案編制中應(yīng)明確提出本次項(xiàng)目中信息系統(tǒng)的安全保護(hù)等級(jí)定級(jí)的級(jí)別。

二、安全風(fēng)險(xiǎn)的分析

（1）劃分安全邊界?；谶吔绲陌踩綦x與訪問控制是傳統(tǒng)安全防護(hù)的重要原則，依賴于區(qū)域間的區(qū)域邊界，需要著重考慮對(duì)不同要求的安全區(qū)域設(shè)置差異化的安全防護(hù)策略。

（2）穩(wěn)定可靠要求更高。現(xiàn)在信息化建設(shè)中的各業(yè)務(wù)系統(tǒng)對(duì)于穩(wěn)定性和可靠性的運(yùn)行要求越來越高，這就對(duì)項(xiàng)目建設(shè)中的系統(tǒng)平臺(tái)服務(wù)的穩(wěn)定性、安全策略部署、容災(zāi)恢復(fù)能力和事件處理審計(jì)等更多的關(guān)注。

（3）數(shù)據(jù)安全問題。在傳統(tǒng)信息化系統(tǒng)網(wǎng)絡(luò)中各種應(yīng)用服務(wù)的標(biāo)準(zhǔn)流量和突發(fā)流量有跡可循，流量模型設(shè)計(jì)相對(duì)較為規(guī)范、簡(jiǎn)單，如果對(duì)于云平臺(tái)等虛擬化環(huán)境下，同類型存儲(chǔ)或者應(yīng)用服務(wù)器的規(guī)模增長(zhǎng)較快，應(yīng)考慮依托統(tǒng)一架構(gòu)的基礎(chǔ)網(wǎng)絡(luò)來承載，配置性能指標(biāo)更高的安全設(shè)備，還要考慮用戶的數(shù)據(jù)存儲(chǔ)、處理、網(wǎng)絡(luò)傳輸?shù)扰c虛擬化系統(tǒng)有關(guān)的安全要求，以及多用戶共存帶來的潛在風(fēng)險(xiǎn);確保面向使用者的身份鑒別、認(rèn)證管理和訪問控制等安全機(jī)制符合用戶的需求。

三、安全策略部署原則

（1）遵循國(guó)家、地方、行業(yè)相關(guān)法規(guī)和標(biāo)準(zhǔn);（2）貫徹等級(jí)保護(hù)和分域保護(hù)的原則;（3）管理與技術(shù)并重，互為支撐，互為補(bǔ)充，相互協(xié)同，形成有效的綜合防范體系;（4）充分依托已有的信息安全基礎(chǔ)設(shè)施，加快、加強(qiáng)信息安全保障體系建設(shè)。（5）相對(duì)應(yīng)級(jí)別的安全的信息系統(tǒng)應(yīng)具備對(duì)信息和系統(tǒng)進(jìn)行基于安全策略強(qiáng)制的安全保護(hù)能力。（6）在技術(shù)策略方面，相對(duì)應(yīng)級(jí)別的安全要求按照確定的安全策略，實(shí)施強(qiáng)制性的安全保護(hù)，使數(shù)據(jù)信息免遭非授權(quán)的泄露和破壞，保證較高安全的系統(tǒng)服務(wù)。（7）對(duì)計(jì)算機(jī)、網(wǎng)絡(luò)的設(shè)備、環(huán)境和介質(zhì)采用較嚴(yán)格的防護(hù)措施，確保其為信息系統(tǒng)的安全運(yùn)行提供硬件支持，防止由于硬件原因造成信息的泄露和破壞。（8）通過對(duì)局域計(jì)算環(huán)境內(nèi)各組成部分采用網(wǎng)絡(luò)安全監(jiān)控、安全審計(jì)、數(shù)據(jù)、設(shè)備及系統(tǒng)的備份與恢復(fù)、集中統(tǒng)一的病毒監(jiān)控體系、兩種鑒別方式組合實(shí)現(xiàn)的強(qiáng)身份鑒別、細(xì)粒度的自主訪問控制、滿足安全系統(tǒng)定級(jí)要求的操作系統(tǒng)和數(shù)據(jù)庫(kù)、較高強(qiáng)度密碼支持的存儲(chǔ)和傳輸數(shù)據(jù)的加密保護(hù)、客體重用等安全機(jī)制，實(shí)現(xiàn)對(duì)局域計(jì)算環(huán)境內(nèi)的信息安全保護(hù)和系統(tǒng)安全運(yùn)行的支持。（9）采用分區(qū)域保護(hù)和邊界防護(hù)，在不同區(qū)域邊界統(tǒng)一制定邊界訪問控制策略，實(shí)現(xiàn)不同安全等級(jí)區(qū)域之間安全互操作的較嚴(yán)格控制。（10）按照系統(tǒng)化的要求和層次化結(jié)構(gòu)的方法設(shè)計(jì)和實(shí)現(xiàn)安全系統(tǒng)，增強(qiáng)各層面的安全防護(hù)能力，通過安全管理中心，在統(tǒng)一安全策略下對(duì)系統(tǒng)安全事件集中審計(jì)、集中監(jiān)控和數(shù)據(jù)分析，并做出響應(yīng)和處理，從而構(gòu)建較為全面的動(dòng)態(tài)安全體系。（11）在管理策略方面，應(yīng)建立完整的信息系統(tǒng)安全管理體系，對(duì)安全管理過程進(jìn)行規(guī)范化的定義。根據(jù)實(shí)際安全需求，成立安全管理機(jī)構(gòu)，配備專職的安全管理人員，落實(shí)各級(jí)領(lǐng)導(dǎo)及相關(guān)人員的責(zé)任。

四、安全方案體系架構(gòu)設(shè)計(jì)建議圖

安全系統(tǒng)的信息安全體系涉及到物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、數(shù)據(jù)安全和應(yīng)用安全五個(gè)層面，涵蓋身份認(rèn)證、訪問控制、內(nèi)容安全、監(jiān)控審計(jì)、備份恢復(fù)的內(nèi)容。

結(jié)論：近年來各類政務(wù)信息化建設(shè)項(xiàng)目的建設(shè)要求越來越迫切，通過對(duì)電子政務(wù)信息化建設(shè)方案內(nèi)的安全系統(tǒng)進(jìn)行全面和系統(tǒng)的設(shè)計(jì)，可以保證項(xiàng)目立項(xiàng)研究申報(bào)階段對(duì)于項(xiàng)目中涉及的安全系統(tǒng)部署的策略和方案最大可能的全面和優(yōu)化，進(jìn)而要求和指導(dǎo)后期的項(xiàng)目采購(gòu)、建設(shè)和運(yùn)行，保障電子政務(wù)各類應(yīng)用安全可靠的運(yùn)行。