郭兵

【摘要】? ? 圍繞著便利和快捷使用體驗的安全問題始終應(yīng)作為各類信息化系統(tǒng)建設(shè)的重中之重，如何在系統(tǒng)建設(shè)的立項研究階段就開始著重系統(tǒng)的進行安全系統(tǒng)部分的規(guī)劃設(shè)計的問題，是各級項目建設(shè)單位、審批單位和設(shè)計及實施單位應(yīng)重點關(guān)注的。

【關(guān)鍵詞】? ? 電子政務(wù)? ? 安全系統(tǒng)? ? 設(shè)計策略

一、系統(tǒng)的定級和備案

國家《關(guān)于加強信息安全保障工作的意見》指出，實行等級保護是信息安全保障的基本政策，各部門、各單位都要根據(jù)等級保護制度的要求，結(jié)合各自的特點，建立相應(yīng)的安全保護策略、計劃和措施。通過將等級化方法和安全體系方法有效結(jié)合，建設(shè)等級化的信息安全保障體系。所以在項目立項建設(shè)方案編制中應(yīng)明確提出本次項目中信息系統(tǒng)的安全保護等級定級的級別。

二、安全風(fēng)險的分析

（1）劃分安全邊界?；谶吔绲陌踩綦x與訪問控制是傳統(tǒng)安全防護的重要原則，依賴于區(qū)域間的區(qū)域邊界，需要著重考慮對不同要求的安全區(qū)域設(shè)置差異化的安全防護策略。

（2）穩(wěn)定可靠要求更高?，F(xiàn)在信息化建設(shè)中的各業(yè)務(wù)系統(tǒng)對于穩(wěn)定性和可靠性的運行要求越來越高，這就對項目建設(shè)中的系統(tǒng)平臺服務(wù)的穩(wěn)定性、安全策略部署、容災(zāi)恢復(fù)能力和事件處理審計等更多的關(guān)注。

（3）數(shù)據(jù)安全問題。在傳統(tǒng)信息化系統(tǒng)網(wǎng)絡(luò)中各種應(yīng)用服務(wù)的標(biāo)準流量和突發(fā)流量有跡可循，流量模型設(shè)計相對較為規(guī)范、簡單，如果對于云平臺等虛擬化環(huán)境下，同類型存儲或者應(yīng)用服務(wù)器的規(guī)模增長較快，應(yīng)考慮依托統(tǒng)一架構(gòu)的基礎(chǔ)網(wǎng)絡(luò)來承載，配置性能指標(biāo)更高的安全設(shè)備，還要考慮用戶的數(shù)據(jù)存儲、處理、網(wǎng)絡(luò)傳輸?shù)扰c虛擬化系統(tǒng)有關(guān)的安全要求，以及多用戶共存帶來的潛在風(fēng)險;確保面向使用者的身份鑒別、認證管理和訪問控制等安全機制符合用戶的需求。

三、安全策略部署原則

（1）遵循國家、地方、行業(yè)相關(guān)法規(guī)和標(biāo)準;（2）貫徹等級保護和分域保護的原則;（3）管理與技術(shù)并重，互為支撐，互為補充，相互協(xié)同，形成有效的綜合防范體系;（4）充分依托已有的信息安全基礎(chǔ)設(shè)施，加快、加強信息安全保障體系建設(shè)。（5）相對應(yīng)級別的安全的信息系統(tǒng)應(yīng)具備對信息和系統(tǒng)進行基于安全策略強制的安全保護能力。（6）在技術(shù)策略方面，相對應(yīng)級別的安全要求按照確定的安全策略，實施強制性的安全保護，使數(shù)據(jù)信息免遭非授權(quán)的泄露和破壞，保證較高安全的系統(tǒng)服務(wù)。（7）對計算機、網(wǎng)絡(luò)的設(shè)備、環(huán)境和介質(zhì)采用較嚴格的防護措施，確保其為信息系統(tǒng)的安全運行提供硬件支持，防止由于硬件原因造成信息的泄露和破壞。（8）通過對局域計算環(huán)境內(nèi)各組成部分采用網(wǎng)絡(luò)安全監(jiān)控、安全審計、數(shù)據(jù)、設(shè)備及系統(tǒng)的備份與恢復(fù)、集中統(tǒng)一的病毒監(jiān)控體系、兩種鑒別方式組合實現(xiàn)的強身份鑒別、細粒度的自主訪問控制、滿足安全系統(tǒng)定級要求的操作系統(tǒng)和數(shù)據(jù)庫、較高強度密碼支持的存儲和傳輸數(shù)據(jù)的加密保護、客體重用等安全機制，實現(xiàn)對局域計算環(huán)境內(nèi)的信息安全保護和系統(tǒng)安全運行的支持。（9）采用分區(qū)域保護和邊界防護，在不同區(qū)域邊界統(tǒng)一制定邊界訪問控制策略，實現(xiàn)不同安全等級區(qū)域之間安全互操作的較嚴格控制。（10）按照系統(tǒng)化的要求和層次化結(jié)構(gòu)的方法設(shè)計和實現(xiàn)安全系統(tǒng)，增強各層面的安全防護能力，通過安全管理中心，在統(tǒng)一安全策略下對系統(tǒng)安全事件集中審計、集中監(jiān)控和數(shù)據(jù)分析，并做出響應(yīng)和處理，從而構(gòu)建較為全面的動態(tài)安全體系。（11）在管理策略方面，應(yīng)建立完整的信息系統(tǒng)安全管理體系，對安全管理過程進行規(guī)范化的定義。根據(jù)實際安全需求，成立安全管理機構(gòu)，配備專職的安全管理人員，落實各級領(lǐng)導(dǎo)及相關(guān)人員的責(zé)任。

四、安全方案體系架構(gòu)設(shè)計建議圖

安全系統(tǒng)的信息安全體系涉及到物理安全、網(wǎng)絡(luò)安全、主機安全、數(shù)據(jù)安全和應(yīng)用安全五個層面，涵蓋身份認證、訪問控制、內(nèi)容安全、監(jiān)控審計、備份恢復(fù)的內(nèi)容。

結(jié)論：近年來各類政務(wù)信息化建設(shè)項目的建設(shè)要求越來越迫切，通過對電子政務(wù)信息化建設(shè)方案內(nèi)的安全系統(tǒng)進行全面和系統(tǒng)的設(shè)計，可以保證項目立項研究申報階段對于項目中涉及的安全系統(tǒng)部署的策略和方案最大可能的全面和優(yōu)化，進而要求和指導(dǎo)后期的項目采購、建設(shè)和運行，保障電子政務(wù)各類應(yīng)用安全可靠的運行。