石常海 胡曼麗

新疆維吾爾自治區(qū)標(biāo)準(zhǔn)化研究院 新疆 830004

0 前言

組織機(jī)構(gòu)代碼是對中華人民共和國內(nèi)依法注冊、依法登記的機(jī)關(guān)、企、事業(yè)單位、社會團(tuán)體和民辦非企業(yè)單位頒發(fā)一個(gè)在全國范圍內(nèi)惟一的、始終不變的代碼標(biāo)識。組織機(jī)構(gòu)代碼作為連接政府各職能部門之間信息管理系統(tǒng)的橋梁和信息傳輸紐帶，具有不可替代的先天優(yōu)勢，以組織機(jī)構(gòu)代碼為索引，對各部門信息資源進(jìn)行整合與優(yōu)化，建立跨部門的橫向信息聯(lián)合檢索，連接各部門專業(yè)信息庫，能夠有效地發(fā)揮政務(wù)信息資源的整體效能，極大地增強(qiáng)政府在市場、金融、稅務(wù)、海關(guān)等領(lǐng)域的監(jiān)管力度，提高監(jiān)管水平和對突發(fā)事件的快速響應(yīng)能力，同時(shí)，通過分析、研究組織機(jī)構(gòu)代碼信息資源的構(gòu)成和發(fā)展趨勢，能夠?yàn)檎暧^決策和指導(dǎo)組織機(jī)構(gòu)的經(jīng)濟(jì)行為提供科學(xué)的信息咨詢服務(wù)。

近年來，根據(jù)《關(guān)于自治區(qū)開展企業(yè)基礎(chǔ)信息共享工作的實(shí)施意見(草案)》和《新疆維吾爾自治區(qū)電子政務(wù)建設(shè)總體規(guī)劃實(shí)施意見》，自治區(qū)經(jīng)濟(jì)信息化委員會組織開展了以政府公共網(wǎng)絡(luò)為統(tǒng)一平臺，在我區(qū)逐步建立以工商部門企業(yè)基礎(chǔ)信息為基礎(chǔ)，以全國統(tǒng)一的組織機(jī)構(gòu)代碼為惟一標(biāo)識的企業(yè)基礎(chǔ)信息庫，協(xié)調(diào)統(tǒng)一我區(qū)工商、質(zhì)監(jiān)、國稅、地稅四部門通過企業(yè)基礎(chǔ)信息交換平臺進(jìn)行在線實(shí)時(shí)的信息交換，進(jìn)一步促進(jìn)新疆政府信息資源共享和互用，提高政府的工作效率和質(zhì)量，消除信息“孤島”。為了保障組織機(jī)構(gòu)代碼數(shù)據(jù)在基礎(chǔ)信息交換平臺中安全、穩(wěn)定、可靠的運(yùn)行，加強(qiáng)對組織機(jī)構(gòu)代碼數(shù)據(jù)安全防護(hù)建設(shè)是非常必要的，我們在充分考慮組織機(jī)構(gòu)代碼系統(tǒng)的開放性和可擴(kuò)充性前提下，詳細(xì)分析了組織機(jī)構(gòu)代碼系統(tǒng)建設(shè)的整體構(gòu)架、網(wǎng)絡(luò)設(shè)計(jì)、軟硬件構(gòu)成、數(shù)據(jù)庫建設(shè)、信息交換與共享流程、數(shù)據(jù)庫管理和應(yīng)用系統(tǒng)軟件功能等內(nèi)容，據(jù)此開展了我區(qū)的組織機(jī)構(gòu)代碼數(shù)據(jù)安全體系建設(shè)研究工作。

1 組織機(jī)構(gòu)代碼數(shù)據(jù)安全體系建設(shè)的總體目標(biāo)

組織機(jī)構(gòu)代碼的數(shù)據(jù)安全體系建設(shè)就是通過部署安全系統(tǒng)，投入技術(shù)力量，加強(qiáng)網(wǎng)絡(luò)安全管理等方式確保組織機(jī)構(gòu)代碼數(shù)據(jù)的機(jī)密性、完整性、可用性、可控性與可審查性，最大限度的發(fā)揮信息資源的整體效能，促進(jìn)新疆政府信息資源共享和互用，為各級政府和行業(yè)部門提高宏觀管理能力提供技術(shù)支持，同時(shí)推動政務(wù)公開，為社會提供廣泛、準(zhǔn)確、動態(tài)的信息咨詢服務(wù)。最終達(dá)到如下目標(biāo)：

(1) 合理管理和使用組織機(jī)構(gòu)代碼數(shù)據(jù)資源，為社會提供必要服務(wù)的同時(shí)要確保數(shù)據(jù)的機(jī)密性；

(2) 抵御病毒、惡意代碼等對組織機(jī)構(gòu)代碼系統(tǒng)發(fā)起的惡意破壞和攻擊，保障組織機(jī)構(gòu)代碼系統(tǒng)硬件、軟件穩(wěn)定運(yùn)行；

(3) 保護(hù)組織機(jī)構(gòu)數(shù)據(jù)的存儲與傳輸安全，防范數(shù)據(jù)被篡改，建立數(shù)據(jù)備份機(jī)制和提高容災(zāi)能力；

(4) 構(gòu)建統(tǒng)一的安全管理與監(jiān)控機(jī)制，統(tǒng)一配置、調(diào)控整個(gè)系統(tǒng)多層面、分布式的安全問題，提高安全預(yù)警能力，加強(qiáng)安全應(yīng)急事件的處理能力，實(shí)現(xiàn)組織機(jī)構(gòu)代碼數(shù)據(jù)安全的可控性；

(5) 建立認(rèn)證體系保障組織機(jī)構(gòu)代碼數(shù)據(jù)訪問行為的真實(shí)可信以及可審查性，并建立基于角色的訪問控制機(jī)制。

2 組織機(jī)構(gòu)代碼數(shù)據(jù)安全體系建設(shè)的研究內(nèi)容

組織機(jī)構(gòu)代碼數(shù)據(jù)安全體系建設(shè)是一項(xiàng)較為復(fù)雜的系統(tǒng)工程，要按照系統(tǒng)工程的要求，采用系統(tǒng)工程的概念，原理，技術(shù)和方法來研究和實(shí)施，使之成為一個(gè)可持續(xù)的動態(tài)發(fā)展的過程。只有技術(shù)，規(guī)劃，管理等因素有機(jī)結(jié)合，組織機(jī)構(gòu)代碼系統(tǒng)安全建設(shè)才能真正邁入穩(wěn)定發(fā)展正軌。在體系建設(shè)中綜合采用加密、認(rèn)證、訪問控制、安全檢測、安全監(jiān)控、安全審計(jì)管理，電磁屏蔽，防病毒等技術(shù)，來增強(qiáng)新疆組織機(jī)構(gòu)代碼數(shù)據(jù)整體的安全性。主要研究內(nèi)容如下：

(1) 研究影響組織機(jī)構(gòu)代碼數(shù)據(jù)安全的各種因素(包括物理環(huán)境、網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫等)及應(yīng)對措施，確定組織機(jī)構(gòu)代碼安全體系架構(gòu)。

(2) 改建新疆組織機(jī)構(gòu)代碼管理中心的數(shù)據(jù)機(jī)房，依據(jù)相關(guān)標(biāo)準(zhǔn)實(shí)現(xiàn)機(jī)房硬件基礎(chǔ)設(shè)施安全。

(3) 根據(jù)組織機(jī)構(gòu)代碼系統(tǒng)的運(yùn)行現(xiàn)狀，科學(xué)合理選擇信息安全軟硬件設(shè)備，進(jìn)行有機(jī)的配置整合，全面提升代碼系統(tǒng)的安全性。

(4) 完成組織機(jī)構(gòu)代碼數(shù)據(jù)安全管理制度建設(shè)。

(5) 建立組織機(jī)構(gòu)基礎(chǔ)信息CA認(rèn)證管理系統(tǒng)。

(6) 依托全自治區(qū)統(tǒng)一信息交換與共享平臺，建立組織機(jī)構(gòu)基礎(chǔ)信息交換系統(tǒng)，實(shí)現(xiàn)組織機(jī)構(gòu)信息跨部門整合，對組織機(jī)構(gòu)代碼數(shù)據(jù)進(jìn)行挖掘、分析，面向政府職能部門和社會公眾提供信息咨詢服務(wù)。

3 組織機(jī)構(gòu)代碼數(shù)據(jù)安全體系架構(gòu)

組織機(jī)構(gòu)代碼數(shù)據(jù)安全體系架構(gòu)包括：物理環(huán)境安全、鏈路及網(wǎng)絡(luò)安全、系統(tǒng)層安全、應(yīng)用層安全、數(shù)據(jù)安全和安全管理等六個(gè)層面的內(nèi)容，其體系結(jié)構(gòu)如圖1所示。

圖1 組織機(jī)構(gòu)代碼數(shù)據(jù)安全體系架構(gòu)

3.1 物理環(huán)境安全

保證組織機(jī)構(gòu)代碼系統(tǒng)各種設(shè)備的物理安全是整個(gè)系統(tǒng)安全的前提，通過物理環(huán)境安全建設(shè)來保護(hù)服務(wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)存儲等免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故，人為操作失誤或錯(cuò)誤，各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過程，它主要包括以下4個(gè)方面：

(1) 環(huán)境安全，對系統(tǒng)所在環(huán)境(主要指計(jì)算機(jī)機(jī)房)的安全保護(hù)，主要是依據(jù) GB50173《電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范》、GB2887《計(jì)算站場地技術(shù)條件》、GB9361《計(jì)算站場地安全要求》等標(biāo)準(zhǔn)來設(shè)計(jì)、建設(shè)和實(shí)施。

(2) 設(shè)備安全，主要包括設(shè)備的防盜、防毀、防電磁信息輻射泄露、抗電磁干擾及電源保護(hù)等，保證整個(gè)系統(tǒng)的高可用性，主要包括主要服務(wù)器、網(wǎng)絡(luò)設(shè)備、UPS設(shè)備等的雙機(jī)備份及主要線路冗余備份的建設(shè)。

(3) 物理線路安全，主要依據(jù)GB/T 50311《建筑與建筑群綜合布線系統(tǒng)工程設(shè)計(jì)規(guī)范》和新疆信息安全相關(guān)政策要求來進(jìn)行建設(shè)。

(4) 媒體安全，包括媒體數(shù)據(jù)的安全及媒體本身的安全，對計(jì)算機(jī)機(jī)房及重要信息存儲授權(quán)訪問。

3.2 鏈路及網(wǎng)絡(luò)安全

由于網(wǎng)絡(luò)是承載組織機(jī)構(gòu)代碼系統(tǒng)的載體，它的安全是十分重要的，對網(wǎng)絡(luò)安全的建設(shè)從訪問控制、入侵檢測、安全掃描、安全審計(jì)等方面來進(jìn)行。

在組織機(jī)構(gòu)代碼網(wǎng)絡(luò)中，針對不同的業(yè)務(wù)需求及應(yīng)用系統(tǒng)安全需求，對其進(jìn)行安全域劃分，通過配備防火墻并制定嚴(yán)格的安全策略實(shí)現(xiàn)不同安全域之間的隔離與訪問控制。

網(wǎng)絡(luò)配置入侵檢測系統(tǒng)，通過實(shí)時(shí)偵聽網(wǎng)絡(luò)數(shù)據(jù)流，尋找網(wǎng)絡(luò)違規(guī)行為和未授權(quán)的網(wǎng)絡(luò)訪問嘗試，當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)行為和未授權(quán)的網(wǎng)絡(luò)訪問時(shí)，入侵檢測系統(tǒng)能夠根據(jù)系統(tǒng)安全策略做出反應(yīng)(阻斷、報(bào)警、發(fā)送 E-mail)，防止針對網(wǎng)絡(luò)的攻擊與犯罪行為。

安全掃描是采用模擬攻擊的形式對工作站、服務(wù)器、交換機(jī)、數(shù)據(jù)庫應(yīng)用、操作系統(tǒng)等各種對象可能存在的已知安全漏洞進(jìn)行逐項(xiàng)檢查，然后根據(jù)掃描結(jié)果向系統(tǒng)管理員提供詳細(xì)可靠的安全分析報(bào)告，以此作為提高網(wǎng)絡(luò)安全整體水平的重要依據(jù)。

審計(jì)是記錄用戶使用計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行所有活動的過程，它是提高安全性的重要工具。它不僅能夠識別哪些用戶訪問了系統(tǒng)，還能指出系統(tǒng)正被他們怎樣地使用。另外，通過對安全事件的不斷收集與積累并加以分析，有選擇性地對其中的用戶進(jìn)行審計(jì)跟蹤，以便對發(fā)現(xiàn)或可能產(chǎn)生的破壞性行為提供有力的證據(jù)。

3.3 系統(tǒng)層安全

系統(tǒng)安全問題來自系統(tǒng)內(nèi)使用操作系統(tǒng)的安全，如Windows 2003，Windows 200，Linux等。主要表現(xiàn)在三個(gè)方面：一是操作系統(tǒng)本身的缺陷帶來的不安全因素，主要包括身份認(rèn)證、訪問控制、系統(tǒng)漏洞等；二是對操作系統(tǒng)的安全配置問題；三是病毒對操作系統(tǒng)的威脅。通過嚴(yán)格制定操作系統(tǒng)管理制度，定期檢查系統(tǒng)配置和日志，用“最小適用性原則”配置系統(tǒng)以提高系統(tǒng)安全性，及時(shí)安裝系統(tǒng)安全補(bǔ)丁程序來提高系統(tǒng)層的安全。

3.4 應(yīng)用層安全

應(yīng)用安全主要是指應(yīng)用系統(tǒng)的安全，即用戶在使用系統(tǒng)時(shí)必須依照一定的安全策略進(jìn)行相應(yīng)的操作，從應(yīng)用層面上來保證系統(tǒng)的安全。根據(jù)組織機(jī)構(gòu)代碼業(yè)務(wù)，采用身份認(rèn)證技術(shù)、安全授權(quán)機(jī)制、防病毒技術(shù)以及對各種應(yīng)用服務(wù)的安全性增強(qiáng)配置服務(wù)來保障系統(tǒng)在應(yīng)用層的安全。

3.5 數(shù)據(jù)安全

組織機(jī)構(gòu)代碼數(shù)據(jù)可劃分為兩個(gè)不同的安全域：公眾服務(wù)數(shù)據(jù)域和組織機(jī)構(gòu)代碼基礎(chǔ)數(shù)據(jù)域。

公眾服務(wù)數(shù)據(jù)是對社會公眾提供組織機(jī)構(gòu)代碼查詢服務(wù)的，是可公開的數(shù)據(jù)，不存在保密性，只是對數(shù)據(jù)的安全性、完整性、不可篡改性方面有要求。對此安全域可采取以下安全措施：通過對組織機(jī)構(gòu)數(shù)據(jù)的抽取、整理形成可對外提供服務(wù)的公眾服務(wù)數(shù)據(jù)，放在一個(gè)專門對外提供服務(wù)的前置服務(wù)器中，利用防火墻、入侵檢測、安全掃描、網(wǎng)絡(luò)防病毒等安全手段對其進(jìn)行保護(hù)，使其不會受到非法攻擊和入侵，以保證數(shù)據(jù)的完整性、不可篡改性、真實(shí)性等。

組織機(jī)構(gòu)代碼基礎(chǔ)數(shù)據(jù)，由新疆組織機(jī)構(gòu)代碼管理中心監(jiān)管和維護(hù)，具有較高的秘密性，對此安全域除了采取以上安全措施外，還要采取嚴(yán)格的CA身份認(rèn)證機(jī)制，通過CA認(rèn)證的人員才能訪問相應(yīng)的數(shù)據(jù)，并利用安全審計(jì)系統(tǒng)對數(shù)據(jù)訪問歷史進(jìn)行記錄、審計(jì)，使其處于更加安全的保護(hù)之下。

在這兩個(gè)安全域間還要采取防火墻、入侵檢測、安全審計(jì)等手段，對組織機(jī)構(gòu)代碼數(shù)據(jù)進(jìn)行保護(hù)。

3.6 安全管理

新疆組織機(jī)構(gòu)代碼中心建立數(shù)據(jù)安全組織，明確指定專人負(fù)責(zé)組織機(jī)構(gòu)代碼數(shù)據(jù)安全工作，安全人員應(yīng)具備相關(guān)專業(yè)技術(shù)背景、工作經(jīng)歷和國家要求的信息安全從業(yè)資質(zhì)，同時(shí)根據(jù)新疆組織機(jī)構(gòu)代碼管理實(shí)際情況制定具體的安全管理規(guī)章制度，包括資產(chǎn)安全管理制度(軟硬件設(shè)備管理制度等)，運(yùn)行維護(hù)管理(機(jī)房安全管理制度，防病毒管理制度，系統(tǒng)運(yùn)行安全管理制度等)。

4 結(jié)束語

近年來，隨國家電子政務(wù)建設(shè)的日益普及和深入，各部門對組織機(jī)構(gòu)代碼數(shù)據(jù)應(yīng)用需求不斷擴(kuò)大，應(yīng)用領(lǐng)域也從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展，網(wǎng)絡(luò)環(huán)境也日益復(fù)雜，如何讓組織機(jī)構(gòu)代碼數(shù)據(jù)不受惡意攻擊和破壞，已成為新疆組織機(jī)構(gòu)代碼管理部門所必需考慮和解決的重要問題。為了保障組織機(jī)構(gòu)代碼系統(tǒng)安全、穩(wěn)定、可靠的運(yùn)行，必須通過不斷提高自身的安全防護(hù)技術(shù)水平，引入科學(xué)高效的安全管理，強(qiáng)調(diào)全面的安全體系建設(shè)等措施來實(shí)現(xiàn)系統(tǒng)整體的安全性。該項(xiàng)目的實(shí)施，將為全區(qū)的電子政務(wù)建設(shè)提供規(guī)范、完整、實(shí)效的組織機(jī)構(gòu)基礎(chǔ)信息資源，為政府部門全面、快速、準(zhǔn)確的掌握組織機(jī)構(gòu)的社會和經(jīng)濟(jì)行為信息，增強(qiáng)宏觀調(diào)控和決策能力提供了技術(shù)支撐，提高政府和行業(yè)部門的管理和服務(wù)質(zhì)量，同時(shí)在應(yīng)對開放式網(wǎng)絡(luò)環(huán)境中各種安全威脅的挑戰(zhàn)方面發(fā)揮重要的作用。