梁曉雁

摘 要：該課題主要是基于電子政務(wù)公共平臺(tái)信息安全管理的設(shè)計(jì)與研究，是基于信息安全等級(jí)保護(hù)，保障基礎(chǔ)設(shè)施、硬件和重要信息系統(tǒng)的安全，以為電子政務(wù)公共平臺(tái)提供有效的安全技術(shù)和安全管理保障施，實(shí)現(xiàn)信息安全保障工作實(shí)施的重大的現(xiàn)實(shí)和戰(zhàn)略意義。信息安全管理基于平臺(tái)不同位置、不同安全系統(tǒng)的分散且海量的單一安全事件進(jìn)行采集、分析、匯總、過濾、收集和關(guān)聯(lián)分析，總結(jié)分析全局角度的安全風(fēng)險(xiǎn)事件，并形成統(tǒng)一的安全決策對(duì)安全事件進(jìn)行響應(yīng)和處理。

關(guān)鍵詞：信息安全管理 等級(jí)保護(hù) 數(shù)據(jù)采集 日志管理

中圖分類號(hào)：TP39 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-3791（2015）11（c）-0007-02

我國電子政務(wù)建設(shè)正處在高速發(fā)展期，從中央到省市各級(jí)政府部門都投入了大量的人力和財(cái)力來推進(jìn)信息化工作。電子政務(wù)公共平臺(tái)的頂層設(shè)計(jì)和實(shí)施建成，較大程度地提高了政府信息政務(wù)公開和共享等的工作效率和服務(wù)質(zhì)量。電子政務(wù)公共平臺(tái)穩(wěn)定和安全運(yùn)行已經(jīng)構(gòu)成了政府運(yùn)轉(zhuǎn)連續(xù)性的重要保障之一。 因此，電子政務(wù)公共平臺(tái)的安全保障工作已經(jīng)成為政府信息化工作成敗的關(guān)鍵因素。信息安全的管理需要在各個(gè)層面為電子政務(wù)提供機(jī)密性、完整性、可用性、鑒別等安全服務(wù)。該文基于信息安全等級(jí)保護(hù)，從安全基礎(chǔ)設(shè)施、訪問控制策略、安全防御、安全監(jiān)控、安全審計(jì)和安全響應(yīng)恢復(fù)等研究信息安全研究電子政務(wù)的安全管理體系。從而從整體上提高電子政務(wù)公共平臺(tái)信息安全管理全面性。

1 研究思路

基于電子政務(wù)公共平臺(tái)服務(wù)的戰(zhàn)略定位、統(tǒng)籌規(guī)劃和實(shí)施路徑的總體把握，按照基于等級(jí)保護(hù)技術(shù)要求，并根據(jù)電子政務(wù)信息化服務(wù)業(yè)務(wù)安全需求，為信息化綜合服務(wù)提供安全支撐服務(wù)，從而使得平臺(tái)可以安全、穩(wěn)定、可連續(xù)的進(jìn)行信息化服務(wù)。重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全，實(shí)現(xiàn)信息安全服務(wù)支撐工作的有效安全技術(shù)和管理措施要求，以實(shí)現(xiàn)信息安全等級(jí)保護(hù)實(shí)施的重大的現(xiàn)實(shí)和戰(zhàn)略意義。

2 總體設(shè)計(jì)目標(biāo)

（1）電子政務(wù)公共平臺(tái)安全管理建設(shè)的總體目標(biāo)是統(tǒng)一技術(shù)標(biāo)準(zhǔn)，共建共享信息安全基礎(chǔ)設(shè)施，建立統(tǒng)一的公共密鑰基礎(chǔ)設(shè)施（PKI），實(shí)現(xiàn)跨系統(tǒng)的身份認(rèn)證機(jī)制等。

（2）解決傳統(tǒng)信息化系統(tǒng)建設(shè)中，電子政務(wù)公共平臺(tái)基礎(chǔ)設(shè)施、信息資源與業(yè)務(wù)系統(tǒng)因所有權(quán)、使用權(quán)和管理權(quán)界定不清晰，存在基礎(chǔ)設(shè)施和業(yè)務(wù)應(yīng)用的管理權(quán)限難以分離管理，責(zé)任權(quán)限過大或者過小，造成設(shè)備利用率不高，或容易出現(xiàn)信息安全事件的情況。

（3）解決不同的政府部分因不同的職能/服務(wù)導(dǎo)致的電子政務(wù)基礎(chǔ)設(shè)施和資源的重復(fù)建設(shè)和資金浪費(fèi)問題。

（4）解決信息化綜合服務(wù)的安全服務(wù)支撐，實(shí)現(xiàn)各級(jí)信息系統(tǒng)的授權(quán)管理、認(rèn)證服務(wù)、鑒別服務(wù)、訪問控制和數(shù)據(jù)防護(hù)的安全服務(wù)支撐，最終實(shí)現(xiàn)各級(jí)信息系統(tǒng)互聯(lián)互通的信息化服務(wù)。

3 設(shè)計(jì)分析

3.1 設(shè)計(jì)思路

（1）電子政務(wù)公共平臺(tái)安全管理建設(shè)統(tǒng)一管理電子政務(wù)邊界安全防護(hù)系統(tǒng)，集中建設(shè)互聯(lián)網(wǎng)接入點(diǎn)，實(shí)現(xiàn)部門互聯(lián)網(wǎng)的安全接入和可管可控可剝離等。

（2）電子政務(wù)公共平臺(tái)安全管理基于安全技術(shù)體系下，根據(jù)各自信息安全等級(jí)，建設(shè)、升級(jí)、完善安全系統(tǒng)等。

（3）電子政務(wù)公共平臺(tái)安全管理中心系統(tǒng)將不同位置、不同安全系統(tǒng)中分散且海量的單一安全事件進(jìn)行匯總、過濾、收集和關(guān)聯(lián)分析，以全局角度分析信息安全風(fēng)險(xiǎn)和信息安全事件，形成分層次分區(qū)域的安全策略，以對(duì)安全事件進(jìn)行響應(yīng)和處置的綜合性信息安全管理平臺(tái)。

（4）電子政務(wù)公共平臺(tái)安全管理是一個(gè)跨系統(tǒng)、跨部門的綜合性服務(wù)信息系統(tǒng)，由虛擬資源管理系統(tǒng)、數(shù)據(jù)挖掘與智能瀏覽、虛擬資源隔離系統(tǒng)、信息資源目錄與交換系統(tǒng)、基于SOA的業(yè)務(wù)協(xié)同、多元數(shù)據(jù)融合與集成系統(tǒng)、數(shù)據(jù)庫資源整合與綜合應(yīng)用、多級(jí)數(shù)據(jù)交換系統(tǒng)、信息服務(wù)資源運(yùn)營管理平臺(tái)、信息化綜合服務(wù)管理平臺(tái)信息中心構(gòu)成的完整獨(dú)立體系構(gòu)成等。

（5）電子政務(wù)公共平臺(tái)信息安全管理是按照其保障工作流程，依次分為數(shù)據(jù)采集層、分析層、展示層等。

（6）電子政務(wù)公共平臺(tái)安全管理設(shè)計(jì)研究多種分類的數(shù)據(jù)接口，一方面滿足與用戶已有或后續(xù)建設(shè)的其他管理系統(tǒng)或平臺(tái)集成整合，另一方面，安全管理中心還提供了相關(guān)數(shù)據(jù)接口和配置接口，可對(duì)相關(guān)安全產(chǎn)品進(jìn)行統(tǒng)一配置和管理等。

（7）電子政務(wù)公共平臺(tái)安全管理的數(shù)據(jù)采集層針對(duì)重要信息系統(tǒng)進(jìn)行信息安全數(shù)據(jù)采集，包括關(guān)鍵業(yè)務(wù)系統(tǒng)環(huán)境相關(guān)的網(wǎng)絡(luò)設(shè)備、主機(jī)、安全產(chǎn)品等信息。

（8）電子政務(wù)公共平臺(tái)安全管理的分析層是安全運(yùn)行管理的核心，負(fù)責(zé)對(duì)數(shù)據(jù)采集的信息進(jìn)行分析處理，并對(duì)相關(guān)的信息安全風(fēng)險(xiǎn)和信息安全事件進(jìn)行預(yù)警和響應(yīng)等。

（9）電子政務(wù)公共平臺(tái)主要功能包括了安全監(jiān)控、預(yù)警、告警、響應(yīng)、信息安全策略管理和系統(tǒng)管理等。

（10）電子政務(wù)公共平臺(tái)安全管理的數(shù)據(jù)展示層提供了安全運(yùn)行管理可視化界面，分為管理員界面和為客戶提供的可視化界面。管理員通過管理界面，對(duì)電子政務(wù)公共平臺(tái)整體信息安全態(tài)勢、管理和配置進(jìn)行管理操作，主要包括網(wǎng)絡(luò)、系統(tǒng)運(yùn)行、事件報(bào)警等展示和策略配置管理；為電子政務(wù)服務(wù)提供定制化全網(wǎng)的安全信息和安全狀態(tài)分析展示，包括風(fēng)險(xiǎn)預(yù)警、告警事件、故障分析、策略發(fā)布、報(bào)表報(bào)告等數(shù)據(jù)分析和展示功能等。

3.2 設(shè)計(jì)模型

（1）電子政務(wù)公共平臺(tái)安全管理中心系統(tǒng)。

①組成：數(shù)據(jù)采集層、數(shù)據(jù)和業(yè)務(wù)管理層、數(shù)據(jù)展示層等；

②通過數(shù)據(jù)接口連接外部產(chǎn)品管理接口，諸如，實(shí)時(shí)數(shù)據(jù)接口、文件接口、數(shù)據(jù)庫接口、其他接口等。

（2）電子政務(wù)公共平臺(tái)安全管理中心系統(tǒng)數(shù)據(jù)展示層。

①風(fēng)險(xiǎn)展現(xiàn)管理：包括，拓?fù)湔故尽⑦\(yùn)行狀態(tài)、實(shí)時(shí)性能、風(fēng)險(xiǎn)預(yù)警、告警事件、故障分析、策略發(fā)布、報(bào)表報(bào)告等。

②通過采集探針Probe整合，以Portal的方式進(jìn)行多系統(tǒng)數(shù)據(jù)展示整合。

（3）電子政務(wù)公共平臺(tái)安全管理中心系統(tǒng)分析層。

①分析層是安全運(yùn)行管理平臺(tái)的核心，由信息安全核心服務(wù)器和數(shù)據(jù)庫構(gòu)成等。

②負(fù)責(zé)對(duì)前端信息安全數(shù)據(jù)采集的風(fēng)險(xiǎn)點(diǎn)進(jìn)行分析，并對(duì)根據(jù)信息安全策略對(duì)安全目標(biāo)進(jìn)行預(yù)警和響應(yīng)等。

③負(fù)責(zé)安全監(jiān)控、預(yù)警、告警、響應(yīng)、信息安全策略管理和系統(tǒng)管理等。

④組成：應(yīng)用引擎平臺(tái)、業(yè)務(wù)邏輯子層、數(shù)據(jù)邏輯子層、資源管理（KBP）、數(shù)據(jù)管理（KPI）、南向適配（配置、性能、事件數(shù)據(jù)元素整形適配器）、采集調(diào)試管理等。

⑤業(yè)務(wù)邏輯子層通過工單交互、知識(shí)庫交互等，與企業(yè)整體的運(yùn)維管理系統(tǒng)實(shí)現(xiàn)雙向接口等。

⑥數(shù)據(jù)邏輯子層通過CMDB復(fù)用等，以統(tǒng)一CMDB的形式與網(wǎng)管、運(yùn)維系統(tǒng)整合等。

（4）電子政務(wù)公共平臺(tái)安全管理中心系統(tǒng)采集層。

①數(shù)據(jù)采集層針對(duì)重要信息系統(tǒng)進(jìn)行信息安全數(shù)據(jù)采集，包括關(guān)鍵業(yè)務(wù)系統(tǒng)環(huán)境相關(guān)的網(wǎng)絡(luò)設(shè)備、主機(jī)、安全產(chǎn)品等信息。

②設(shè)計(jì)部署采集管理控制臺(tái)統(tǒng)一進(jìn)行信息采集，并設(shè)計(jì)采集任務(wù)分發(fā)給相對(duì)應(yīng)的采集點(diǎn)。

③設(shè)計(jì)可定制化的采集的策略，包括采集范圍對(duì)象、采集頻度、采集數(shù)量等。

3.3 數(shù)據(jù)模型分析

數(shù)據(jù)采集層設(shè)計(jì)采用以下網(wǎng)絡(luò)協(xié)議進(jìn)行數(shù)據(jù)采集，列舉主要的安全管理中心應(yīng)用的協(xié)議和技術(shù)實(shí)施例。

4 研究案例與成果

信息安全保障技術(shù)是為管理做技術(shù)支持，管理和技術(shù)并重。信息安全管理的策略設(shè)計(jì)與運(yùn)行實(shí)施才是安全管理落地的根本，從運(yùn)行和維護(hù)的信息安全角度，總結(jié)信息安全管理主要工作主要包括了：（1）建立完善的電子政務(wù)服務(wù)身份認(rèn)證和訪問控制機(jī)制，規(guī)范管理電子政務(wù)服務(wù)信息安全標(biāo)準(zhǔn)規(guī)范和相關(guān)協(xié)議的合規(guī)性作業(yè)流程；（2）信息安全的管理運(yùn)行分級(jí)分域進(jìn)行信息安全管理，即采取分級(jí)控制和按業(yè)務(wù)類型重要程度分域的管理，并對(duì)運(yùn)維人員的職責(zé)范圍明確劃分；（3）設(shè)立以政府為主導(dǎo)的第三方監(jiān)督審計(jì)機(jī)構(gòu)，對(duì)電子政務(wù)服務(wù)安全性、合規(guī)性監(jiān)督測評(píng)；（4）定期開展信息安全培訓(xùn)，加強(qiáng)人員的信息安全意識(shí)，健全內(nèi)部機(jī)制，增強(qiáng)政府服務(wù)的安全防范意識(shí)和風(fēng)險(xiǎn)管理能力。

5 結(jié)語

該文研究信息安全管理系統(tǒng)滿足電子政務(wù)業(yè)務(wù)的安全事件集中收集和處理能力，構(gòu)筑了基于資產(chǎn)安全屬性（CIA）和安全域的業(yè)務(wù)安全風(fēng)險(xiǎn)管理體系，通過關(guān)聯(lián)分析和客戶化關(guān)聯(lián)分析規(guī)則定義，實(shí)現(xiàn)準(zhǔn)確的事件定位，形成了統(tǒng)一的安全知識(shí)共享體系，可實(shí)現(xiàn)多級(jí)不同管理模式的功能，具備安全管理中心的高容錯(cuò)性、高可用性和高冗余可靠性。該研究成果具有良好安全管理中心的可擴(kuò)展性，包括多級(jí)擴(kuò)展、功能擴(kuò)展，滿足級(jí)保護(hù)三級(jí)—— 監(jiān)督保護(hù)級(jí)要求，并遵循《關(guān)于印發(fā)<信息安全風(fēng)險(xiǎn)評(píng)估指南>的通知》（國信辦【2006】9號(hào)）進(jìn)行資產(chǎn)、弱點(diǎn)、威脅和采取的控制措施進(jìn)行評(píng)估的要求。

參考文獻(xiàn)

[1] 周曉斌，董瑞陽.電子政務(wù)信息安全十大問題[N].計(jì)算機(jī)世界，2009-06-29.

[2] 唐珂.淺談我國電子政務(wù)建設(shè)及信息安全管理問題檔案學(xué)研究，2004（6）：38-47.

[3] 劉邦凡，王靜.論基于云計(jì)算的電子政務(wù)信息安全[J].電子商務(wù)，2013（11）：32-33.