郭來(lái)軍

摘要：基于電子政務(wù)平臺(tái)信息安全管理控制，主要目的在于加強(qiáng)信息安全的保護(hù)，保證硬件與數(shù)據(jù)的安全，切實(shí)對(duì)電子政務(wù)平臺(tái)的風(fēng)險(xiǎn)分析并且進(jìn)行應(yīng)急響應(yīng)和處理。

關(guān)鍵詞：電子政務(wù)平臺(tái)；安全管理控制策略；控制目標(biāo)

電子政務(wù)是基于網(wǎng)絡(luò)的、符合Internet技術(shù)標(biāo)準(zhǔn)的面向政府機(jī)關(guān)、企業(yè)以及社會(huì)公眾的信息服務(wù)和信息處理系統(tǒng)。電子政務(wù)主要包括政府內(nèi)部的辦公自動(dòng)化，政府部門之間的信息傳遞和政府與社會(huì)通過互聯(lián)網(wǎng)的信息交流三個(gè)方面。電子政務(wù)是開放的、網(wǎng)絡(luò)化的，這兩個(gè)特征使得電子政務(wù)系統(tǒng)更容易受到攻擊和破壞，所以說，電子技術(shù)的進(jìn)步提高了政府的工作效率，同時(shí)也伴隨著安全威脅問題，尤其在大數(shù)據(jù)時(shí)代，更應(yīng)該提高電子政務(wù)的安全。電子政務(wù)安全是指電子政務(wù)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)，不受到破壞。特別強(qiáng)調(diào)的是電子政務(wù)安全尤其指來(lái)自網(wǎng)絡(luò)的攻擊破壞。

本文從電子政務(wù)平臺(tái)安全管理的現(xiàn)狀出發(fā)，分析電子政務(wù)平臺(tái)安全管理的策略，以及電子政務(wù)平臺(tái)安全管理的設(shè)計(jì)思路。

一、電子政務(wù)平臺(tái)管理安全控制現(xiàn)狀

（一）電子政務(wù)平臺(tái)管理安全控制問題

現(xiàn)代信息的快速發(fā)展，電子政務(wù)平臺(tái)建設(shè)與管理取得了快速發(fā)展，用戶使用訪問量大幅度增加，數(shù)據(jù)存儲(chǔ)需要的空間量大幅度增加，個(gè)性化模塊設(shè)置要求任務(wù)的增加，這些都給電子政務(wù)平臺(tái)管理安全控制帶來(lái)了較大的隱患。當(dāng)前電子政務(wù)平臺(tái)面臨的惡意攻擊仍然存在，時(shí)刻遭受著網(wǎng)絡(luò)病毒和系統(tǒng)漏洞威脅?；ヂ?lián)網(wǎng)絡(luò)環(huán)境日趨復(fù)雜，電子政務(wù)平臺(tái)的訪問量不斷增加，使得數(shù)據(jù)管理維護(hù)難度增加，而且電子政務(wù)平臺(tái)數(shù)據(jù)信息量的成倍增加，還會(huì)帶來(lái)數(shù)據(jù)冗余、網(wǎng)絡(luò)資源分配不當(dāng)，權(quán)限設(shè)置不清晰等問題。電子政務(wù)系統(tǒng)面臨的安全威脅來(lái)自兩個(gè)方面：一個(gè)方面是內(nèi)部方面，內(nèi)部人員對(duì)電子政務(wù)系統(tǒng)進(jìn)行破壞或者操作失誤，如對(duì)軟硬件的惡意破壞，對(duì)政務(wù)信息的惡意操作，刪除電子文檔，致使電子政務(wù)系統(tǒng)癱瘓，還有使用的軟件自身存在弊病漏洞造成的安全問題；另一個(gè)方面是外部方面，比如黑客攻擊，傳輸系統(tǒng)被破壞，線路竊聽，截取網(wǎng)絡(luò)數(shù)據(jù)，散布病毒等等。還有信息交換與資源分配的難度增加，這使得電子政務(wù)平臺(tái)管理安全控制要求更高，傳統(tǒng)的電子政務(wù)平臺(tái)管理方式與安全控制方法已經(jīng)很難滿足互聯(lián)網(wǎng)與移動(dòng)互聯(lián)網(wǎng)交互使用的現(xiàn)實(shí)電子信息環(huán)境需求。

（二）電子政務(wù)平臺(tái)管理安全控制要求

為了提高政府的辦事效率，進(jìn)一步落實(shí)簡(jiǎn)政放權(quán)要求，實(shí)現(xiàn)便民服務(wù)的行政管理目標(biāo)，國(guó)家近年來(lái)更加重視電子政務(wù)信息管理平臺(tái)建設(shè)，對(duì)地方電子政務(wù)信息平臺(tái)建設(shè)和管理控制提出了更高的要求，在電子政務(wù)平臺(tái)管理標(biāo)準(zhǔn)、管理制度與管理方式方法上都有更明確的要求，尤其對(duì)安全管理控制的級(jí)別、措施、技術(shù)等提出指導(dǎo)意見，要求地方電子政務(wù)平臺(tái)不斷進(jìn)行升級(jí)，既要滿足人民群眾的使用需求，同時(shí)又要保證數(shù)據(jù)信息安全，積極提高電子政務(wù)平臺(tái)的智能性、穩(wěn)定性和高質(zhì)量的服務(wù)能力。要求各項(xiàng)管理的制度、措施和技術(shù)等必須落實(shí)，不能只喊口號(hào)，停留在墻上，如果那樣，再好的安全措施也形同虛設(shè)。比如在公文信息傳輸系統(tǒng)中，一定要專人負(fù)責(zé)，對(duì)相關(guān)工作人員和主管領(lǐng)導(dǎo)進(jìn)行安全意識(shí)教育，使其提高安全責(zé)任感。對(duì)于公文傳輸中使用的口令、加密狗一定要妥善保管。如果因?yàn)楣芾聿粐?yán)格或保管不妥當(dāng)，而造成其丟失、泄露或者被破解，那么一定要第一時(shí)間進(jìn)行更換，以避免電子政務(wù)系統(tǒng)遭到損失。

（三）電子政務(wù)平臺(tái)管理安全控制作用

安全管理系統(tǒng)不僅是維護(hù)數(shù)據(jù)信息的安全產(chǎn)品，而是從互聯(lián)網(wǎng)的角度構(gòu)建起電子政務(wù)平臺(tái)運(yùn)行的安全體系，是電子政務(wù)系統(tǒng)的有機(jī)組成部分。電子政務(wù)的安全體系一般分為安全技術(shù)系統(tǒng)和安全管理系統(tǒng)，安全技術(shù)系統(tǒng)一般包括物理安全、網(wǎng)絡(luò)基礎(chǔ)平臺(tái)安全、信息資源層安全和業(yè)務(wù)應(yīng)用層安全等，安全管理系統(tǒng)一般包括安全組織、安全組織和策略、安全標(biāo)準(zhǔn)和安全審計(jì)等。此安全體系要起到組織、運(yùn)行、使用的全方位管理，這樣可以實(shí)現(xiàn)安全管理技術(shù)與安全管理產(chǎn)品有效銜接的目標(biāo)。隨著我國(guó)電子信息安全管理技術(shù)水平的不斷提高，已經(jīng)形成了針對(duì)全網(wǎng)環(huán)境的安全管理體系，注重在物理層、網(wǎng)絡(luò)層、系統(tǒng)層和應(yīng)用層進(jìn)行全方位的安全管理建設(shè)，能夠?qū)崿F(xiàn)數(shù)據(jù)信息統(tǒng)一管理，達(dá)到在全面評(píng)估風(fēng)險(xiǎn)的基礎(chǔ)上，更好地做出安全管理決策，切實(shí)考慮潛在的風(fēng)險(xiǎn)因素，在充分的評(píng)估的基礎(chǔ)上，發(fā)揮安全管理制度與安全技術(shù)保障的重要作用。

二、電子政務(wù)平臺(tái)管理安全控制策略

安全策略是電子政務(wù)系統(tǒng)安全設(shè)計(jì)的目標(biāo)和原則，是對(duì)應(yīng)用系統(tǒng)完整的安全解決方案。安全策略要根據(jù)信息傳輸、發(fā)布和處理過程中面臨的安全威脅制定，要綜合幾方面來(lái)確定：系統(tǒng)的整體安全性，這是由應(yīng)用環(huán)境和用戶需求決定的，包括各個(gè)安全機(jī)制的子系統(tǒng)的安全目標(biāo)和性能指標(biāo)；用戶界面的友好性和使用方便性，還有要利于擴(kuò)展，有可擴(kuò)展的編程接口，以利于系統(tǒng)的更新和升級(jí)；制定具體的安全協(xié)議，將安全服務(wù)配置到具體的協(xié)議里，安全體制和密碼等技術(shù)本身不能解決信息安全問題，必須在一個(gè)完整、全面和安全的安全協(xié)議里來(lái)實(shí)現(xiàn)。安全協(xié)議是安全策略的最終實(shí)現(xiàn)形式，構(gòu)成整個(gè)系統(tǒng)的安全環(huán)境。

（一）訪問控制策略

訪問控制主要指的是通過技術(shù)措施保證用戶只能對(duì)電子政務(wù)平臺(tái)的數(shù)據(jù)庫(kù)信息進(jìn)行授權(quán)范圍的操作，目的是有效地控制用戶與電子政務(wù)平臺(tái)的信息交換，控制用戶在受權(quán)范圍內(nèi)訪問特定的內(nèi)容，這樣可以保證數(shù)據(jù)信息安全，同時(shí)提高數(shù)據(jù)信息的完整性與保密性。只有在全面保證訪問客體按照要求訪問，才能保證信息的完整安全。具體來(lái)說主要包括控制哪一類用戶可以訪問登錄服務(wù)器，并且對(duì)授權(quán)用戶的操作加以控制。包括用戶名、用戶賬號(hào)、賬號(hào)缺省檢查等，通過用戶驗(yàn)證賬號(hào)、授權(quán)令、用戶注冊(cè)信息、口令輸入等方式來(lái)進(jìn)行權(quán)限設(shè)置。電子政務(wù)平臺(tái)還要對(duì)非授權(quán)網(wǎng)絡(luò)操作進(jìn)行控制，并且對(duì)用戶的操作行為進(jìn)行判斷。并且將用戶與某類文件的權(quán)限對(duì)應(yīng)，制定根據(jù)用戶使用權(quán)的訪問目錄，這樣可以極大地提高電子政務(wù)平臺(tái)的安全性。我們需要在電子政務(wù)系統(tǒng)中建立證書認(rèn)證中心，用來(lái)負(fù)責(zé)證書的簽發(fā)和管理，證書認(rèn)證中心由WEB服務(wù)器、策略服務(wù)器、證書簽發(fā)服務(wù)器、密碼服務(wù)系統(tǒng)以及信息安全防御系統(tǒng)等等組成，以提供數(shù)字證書的管理功能。endprint

（二）訪問需求分析

訪問需求分析是提高電子政務(wù)平臺(tái)運(yùn)行效率，保證電子政務(wù)平臺(tái)安全穩(wěn)定運(yùn)行的重要技術(shù)手段，只有對(duì)用戶的訪問需求進(jìn)行分析，才能提高電子政務(wù)平臺(tái)的伸縮性、可行性和擴(kuò)展性。訪問需求分析是在登錄模塊、驗(yàn)證模塊基礎(chǔ)上對(duì)電子政務(wù)平臺(tái)使用者的需求進(jìn)行智能化分析并且給其提高信息的重要環(huán)節(jié)。用戶的需求分析需要圍繞著電子平臺(tái)的管理、統(tǒng)計(jì)、檢索等內(nèi)容進(jìn)行設(shè)計(jì)，注重根據(jù)不同的用戶級(jí)別設(shè)置不同的使用權(quán)限，同時(shí)還要鑒定用戶的需求，在全面審核的基礎(chǔ)上為用戶提供相關(guān)的涉及個(gè)人隱私的信息。因此在電子政務(wù)平臺(tái)的智能化與個(gè)性化的發(fā)展道路上，必須注重發(fā)揮電子政務(wù)平臺(tái)管理安全控制的需求分析功能建設(shè)，注重對(duì)網(wǎng)絡(luò)用戶的實(shí)時(shí)監(jiān)控，這樣才能達(dá)到全面控制的目標(biāo)。

三、電子政務(wù)平臺(tái)管理安全控制設(shè)計(jì)

（一）總體設(shè)計(jì)目標(biāo)

在保證電子政務(wù)平臺(tái)安全的總目標(biāo)下，需要建立完善的電子政務(wù)平臺(tái)管理安全控制具體標(biāo)準(zhǔn)，注重在安全共享基本原則下，實(shí)現(xiàn)數(shù)據(jù)信息的規(guī)范運(yùn)行。具體來(lái)說要解決傳統(tǒng)電子政務(wù)平臺(tái)系統(tǒng)中存在的基礎(chǔ)設(shè)施、信息資源與業(yè)務(wù)數(shù)據(jù)使用權(quán)限界定不清晰的問題，要在全面界定應(yīng)用權(quán)限的基礎(chǔ)上分析出現(xiàn)信息安全事件的概率，同時(shí)解決不同部門電子政務(wù)信息和資源使用中的問題。電子政務(wù)管理安全控制平臺(tái)還要圍繞安全服務(wù)支撐、授權(quán)管理、認(rèn)證、數(shù)據(jù)防護(hù)安全等方面進(jìn)行具體管理，實(shí)現(xiàn)信息系統(tǒng)交互服務(wù)的目標(biāo)。

（二）設(shè)計(jì)思路

電子政務(wù)安全保護(hù)體系通常包括四個(gè)部分，他們分別是安全管理體系，如國(guó)家的法律法規(guī)，標(biāo)準(zhǔn)規(guī)范和制度；安全組織體系，如國(guó)家安全部，國(guó)家保密局，國(guó)家安全協(xié)調(diào)小組等；安全基礎(chǔ)設(shè)施，如網(wǎng)絡(luò)檢測(cè)中心，安全產(chǎn)品評(píng)測(cè)中心和計(jì)算機(jī)病毒防治中心等，還有就是安全技術(shù)體系，如網(wǎng)絡(luò)安全，防火墻，入侵檢測(cè)，漏洞檢測(cè)，身份識(shí)別和認(rèn)證等。電子政務(wù)平臺(tái)管理安全控制的設(shè)計(jì)必須建立統(tǒng)一設(shè)計(jì)思路，注重圍繞著網(wǎng)絡(luò)聯(lián)接入點(diǎn)，部門數(shù)據(jù)的互相融通，模塊數(shù)據(jù)的可管可控進(jìn)行有效的設(shè)計(jì)。電子政務(wù)安全管理中心的工作職責(zé)是領(lǐng)導(dǎo)整個(gè)安全隊(duì)伍，分配任務(wù)并審計(jì)執(zhí)行情況，負(fù)責(zé)上報(bào)安全狀況或進(jìn)一步向其他組織尋求援助和咨詢，管理中心體系中的部門各司其職，如入侵預(yù)警小組，其職責(zé)是預(yù)防網(wǎng)絡(luò)入侵，漏洞掃描小組，其職責(zé)是通過各種工具進(jìn)行系統(tǒng)漏洞掃描，包括操作系統(tǒng)的漏洞和數(shù)據(jù)庫(kù)漏洞以及應(yīng)用的漏洞，還有跟蹤小組，負(fù)責(zé)對(duì)入侵者進(jìn)行跟蹤。具體要根據(jù)各部門數(shù)據(jù)信息實(shí)現(xiàn)自主管控，建立起滿足安全等級(jí)和升級(jí)完善等要求的具體設(shè)計(jì)。

安全管理中心應(yīng)當(dāng)把居于不同位置的分散信息進(jìn)行整合，實(shí)現(xiàn)數(shù)據(jù)信息過濾、收集和關(guān)聯(lián)分析的設(shè)計(jì)，達(dá)到從全局角度進(jìn)行安全風(fēng)險(xiǎn)和安全事件管控，形成分級(jí)的科學(xué)安全控制體系。安全管理系統(tǒng)的設(shè)計(jì)必須注重綜合性服務(wù)，能夠圍繞虛擬信息系統(tǒng)、數(shù)據(jù)挖掘系統(tǒng)、智能瀏覽、多元數(shù)據(jù)整合等多級(jí)數(shù)據(jù)交換進(jìn)行設(shè)計(jì)，這樣才能構(gòu)成綜合化的信息系統(tǒng)，實(shí)現(xiàn)立體性的電子政務(wù)平臺(tái)安全管理控制目標(biāo)。電子政務(wù)安全管理平臺(tái)的設(shè)計(jì)還要實(shí)現(xiàn)數(shù)據(jù)接口的優(yōu)化，注重滿足用戶與其他管理系統(tǒng)或平臺(tái)數(shù)據(jù)信息的配置，這樣才能實(shí)現(xiàn)數(shù)據(jù)的統(tǒng)一管理。而且還要能夠?qū)﹄娮诱?wù)平臺(tái)相關(guān)信息進(jìn)行采集，實(shí)現(xiàn)對(duì)硬件、網(wǎng)絡(luò)環(huán)境、主機(jī)和其他安全產(chǎn)品的控制。總的來(lái)說，安全管理系統(tǒng)的建立要由應(yīng)用環(huán)境和用戶需求決定，來(lái)達(dá)到安全目標(biāo)和指標(biāo)，如對(duì)系統(tǒng)的運(yùn)行造成的負(fù)荷的性能指標(biāo)，方便網(wǎng)絡(luò)管理人員進(jìn)行控制、管理的指標(biāo)。

（三）結(jié)構(gòu)組成

電子政務(wù)平臺(tái)管理安全控制中心由數(shù)據(jù)采集、數(shù)據(jù)業(yè)務(wù)管理、數(shù)據(jù)展示控制等不同層面構(gòu)成。并且通過數(shù)據(jù)接口、實(shí)時(shí)數(shù)據(jù)監(jiān)控和文件接口、其他接口等組成。電子政務(wù)平臺(tái)控制管理中心負(fù)責(zé)對(duì)數(shù)據(jù)的運(yùn)行狀態(tài)、實(shí)時(shí)性能、風(fēng)險(xiǎn)預(yù)警、故障分析、安全情況報(bào)告等進(jìn)行具體的操作。在技術(shù)保障上，要對(duì)信息基礎(chǔ)實(shí)施進(jìn)行多層防護(hù)，包括網(wǎng)絡(luò)和基礎(chǔ)設(shè)施防護(hù)、邊界防護(hù)、計(jì)算機(jī)防護(hù)等等。分別涉及到網(wǎng)絡(luò)的可用性、無(wú)線網(wǎng)絡(luò)安全框架，系統(tǒng)互連和虛擬網(wǎng)，遠(yuǎn)程訪問、多級(jí)安全、終端用戶環(huán)境和系統(tǒng)應(yīng)用程序的安全。具體來(lái)說，分析層是安全管理平臺(tái)的核心，主要負(fù)責(zé)核心數(shù)據(jù)的安全管理，并且根據(jù)實(shí)時(shí)風(fēng)險(xiǎn)，采用有效的信息安全策略，對(duì)信息進(jìn)行有效控制，一般有防火墻、入侵檢測(cè)系統(tǒng)、漏洞掃描系統(tǒng)、病毒防止系統(tǒng)和數(shù)據(jù)庫(kù)安全等組成，是安全網(wǎng)絡(luò)系統(tǒng)的組成部分，用以保障電子系統(tǒng)的安全。如PMI（授權(quán)管理基礎(chǔ)設(shè)施）是一種輕量級(jí)的數(shù)字證書，包含證書所有人的ID、發(fā)行證書所有人的ID、發(fā)行證書ID及有效期等信息。PMI主要負(fù)責(zé)向應(yīng)用系統(tǒng)提供與應(yīng)用相關(guān)的授權(quán)服務(wù)管理，通常采用PMI與PKI（公鑰基礎(chǔ)設(shè)施）結(jié)合來(lái)有效提高授權(quán)控制能力。物理層負(fù)責(zé)物理連接方面的安全，尤其是指不同密級(jí)之間網(wǎng)絡(luò)的連接規(guī)范，保證物理結(jié)構(gòu)上的安全。比如，電子政務(wù)系統(tǒng)涉及密網(wǎng)與非密網(wǎng)絡(luò)的連接，政府內(nèi)部與外網(wǎng)的連接，接入方式有物理隔離、邏輯隔離、基于物理隔離的數(shù)據(jù)交換等幾種不同的形式，辦公單位與數(shù)據(jù)中心的連接均用防火墻進(jìn)行邏輯隔離，保證可信的數(shù)據(jù)傳輸及對(duì)非法訪問的拒絕。數(shù)據(jù)采集主要對(duì)信息系統(tǒng)的安全數(shù)據(jù)進(jìn)行采用和網(wǎng)絡(luò)設(shè)備的檢測(cè)，并且制定具體的數(shù)據(jù)管理措施，實(shí)現(xiàn)數(shù)據(jù)信息的全面管控。

電子政務(wù)平臺(tái)管理安全控制主要由數(shù)據(jù)控制中心按照數(shù)據(jù)運(yùn)行的過程進(jìn)行控制，著力圍繞著用戶的使用需求，保證電子政務(wù)平臺(tái)高效運(yùn)營(yíng)。同時(shí)，還要做好安全評(píng)估工作，評(píng)估政務(wù)系統(tǒng)中的不同子系統(tǒng)是否有潛在的威脅，威脅的程度如何，威脅會(huì)造成什么后果；做好系統(tǒng)安全審計(jì)工作，對(duì)安全標(biāo)準(zhǔn)執(zhí)行情況、取得的各類數(shù)據(jù)進(jìn)行審查，最終確保電子政務(wù)系統(tǒng)的安全。endprint