(一)安全管理贯穿整个电子政务安全防护体系,对电子政务安全实施起指导作用
安全管理体系包括:法律政策、规章制度和标准规范。安全管理体系的建立应符合组织使命,符合组织利益。
信息安全标准有利于安全产品的规范化,有利于保证产品安全可信性、实现产品的互联和互操作性,以支持电子政务系统的互联、更新和可扩展性,支持系统安全的测评与评估,保障电子政务系统的安全可靠。电子政务网络安全标准规范包括电子文档密级划分和标记格式、内容健康性等级划分与标记、内容敏感性等级划分与标记、密码算法标准、密码模块标准、密钥管理标准、PKI/CA标准、PMI标准、信息系统安全评估和网络安全产品测评标准等方面的内容。
省市或部门内部应通过全面推行信息安全等级保护制度,逐步将信息安全等级保护制度落实到信息系统安全规划、建设、测评、运行维护和使用等各个环节,使省市信息安全保障状况得到基本改善。通过加强和规范信息安全等级保护管理,不断提高、省市信息安全保障能力,为维护信息网络的安全稳定,促进信息化发展服务。
电子政务信息系统存在着来自社会环境、技术环境和物理自然环境的安全风险,其安全威胁无时无处不在。对于电子政务信息系统的安全问题,不能企图单凭利用一些集成了信息安全技术的安全产品来解决,而必须建立电子政务信息系统安全管理体系,考虑技术、管理和法律的因素,全方位地、综合解决系统安全问题。
(二)安全技术体系是利用技术手段实现技术层面的安全保护,是对电子政务安全防护体系的完善
安全技术体系包括网络安全体系和数据安全传输与存储体系,功能主要是通过各种技术手段实现技术层次的安全保护。
网络安全体系包括网闸、入侵检测、漏洞检测、外联和接入检测、补丁管理、防火墙、身份鉴别和认证、系统访问控制、网络审计等;数据安全与传输与存储体系包括数据备份恢复、PKI/CA、PMI等。整个电子政务的安全,涉及信息安全产品的全局配套和科学布置,产品选择应充分考虑产品的自主权和自控权。
(三)安全组织体系是安全管理的实施主体,是电子政务安全实施的必要条件
发达国家一般都建立有网络安全管理机构,美国安全委员会下设了国家保密政策委员会和信息系统安全保密委员会;英法等国家建立了“国家网络安全委员会”。我国信息安全管理职能的格局已经形成,包括国家安全部、国家保密局、国家密码管理委员会、信息产业部、信息化领导小组、国家电子政务协调小组和国家安全协调小组等,尽管能各司其责,责权明确,但在许多的具体实施过程中缺乏统一性。
应建立健全网络安全组织管理制度,明确负责安全管理的主要领导、主管部门、技术支持部门等等。安全管理职能的协调需要由国家信息化领导机构,各地区和部委建立相应的信息安全管理机构,以完成和强化信息安全的管理。只有建设一个国家到省市纵向和横向各部委、厅局架构的安全管理组织,才能真正实现全面的安全等级保护。
(四)安全基础设施为电子政务安全防护体系提供服务和支撑,为电子政务安全实施提供前提