认证主体:遵化市龙源小区微传网络工作室
IP属地:河北
统一社会信用代码/组织机构代码
92130281MA09U3NC1M
1、构建完善的电子政务系统安全体系冰霞轩前言随着政府信息化的积极推进和深入发展,国家积极推动、政府稳步建设、厂商广泛参与等诸多因素使得我国电子政务建设取得了快速发展和显著成就。2003年是中国的电子政务年,无论从整体规模、实际成效还是对IT产业的拉动等方面都有了较大进展。从投资规模看,电子政务应用整体市场规模为332.1亿元,其中政府对硬件产品采购额为222.6亿元,软件产品采购额为54.2亿元,信息服务投资额为55.3亿元,与2002年相比,分别增长了约33.9亿元、8.5和10.1亿元。同时,包括人口、法人单位、宏观经济、地理信息在内的四大数据库和以包括金财、金税、金审在内的十二金工程
3、法规的制定和颁布更是将安全作为重点要求和严格规范的组成部分。因此可以说,安全问题是我国电子政务建设过程中非常值得深入研究和认真总结的问题。本文将从电子政务系统安全体系的角度,说明如何在电子政务建设过程中,构建完善和全面的电子政务系统安全体系。本文第二部分从宏观角度阐述了电子政务系统安全体系,说明了全方位、多层次的、完善的安全体系整体框架;第三部分在阐述构建电子政务系统安全体系应遵循原则的基础上,重点就安全体系整体框架中的物理安全、网络安全、数据安全、应用系统安全、安全制度建设、安全教育和培训这六个组成部分进行详细的说明;最后给出结论。电子政务系统安全体系概述电子政务系统安全体系方面的研究
5、全体系,或者从物理、网络、主机、应用角度设计;或者从物理隔离、基础平台安全、应用平台安全和安全管理四个方面进行总体考虑。对电子政务安全体系研究的角度不同,最终获得的安全体系框架和组成部分也会有所不同,当然类似的研究成果和实践案例还有很多。本文旨在针对电子政务系统安全问题研究如何构建完善的、全面、多层次的电子政务系统安全体系,其总体框架如下面图由上图,电子政务系统安全体系主要包括六个部分:物理安全、网络安全、数据安全、系统安全、安全制度建设、安全教育与培训。其中网络安全可以划分为传输网络安全和业务网络安全,数据安全可以分为数据存储安全、数据传输安全、数据库安全;应用系统安全可以分为用户身
7、应用系统安全、安全制度建设、安全教育和培训等方面对完善的电子政务安全体系进行说明。(1)构建电子政务系统安全体系的基本原则参照我国电子政务建设指导意见并结合电子政务安全体系方面的研究,我们认为:构建电子政务系统安全体系应当遵循以下原则:全面设计、整体部署:电子政务系统安全体系设计要全面,应充分考虑到电子政务系统环境各个方面的风险,从物理、网络、数据、应用系统等多个方面进行综合考虑和设计并作整体部署,同时加强安全制度建设和教育培训。只有做到不忽视或漏掉电子政务系统中任何一个安全环节,才能够保证整个系统的安全性。统一标准,加强管理:电子政务系统安全体系设计应遵循统一的技术标准和管理标准,除了采
12、用拨号用户身份认证等加强对拨号用户的安全验证,对拨号用户实现统一管理,采用加密手段对关键数据加密后进行传输,防止数据泄漏和被非法窃取;严格限制拨号上网用户能访问的系统信息和系统资源,防止非法用户拨号进入电子政务系统所在网络。防火墙设置问题:在电子政务系统运行所在专网和外网之间、不同安全域之间需要根据需要设置防火墙,依据安全政策对出入网络的信息流进行控制,有条件地允许、拒绝、检测或过滤。防火墙设置需要综合考虑电子政务系统所要求的速度、性能、管理、便易性和性价比等各个方面,进行周密设计和总体规划;另外应注意加强安全管理,采取一些必要的措施保证较高的安全性,比如防火墙要安装在不同的介质上
13、,尽量使用不同的服务器提供不同性质的服务,对于重要系统的出口应重点配置防火墙,在实际配置和实施时应该关闭不需要的服务,要经常检查防火墙的日志,发现异常应该及时处理,采取多层防御、冗余防御等多种方法和措施。关于防病毒问题:在电子政务系统中,需要基于业务需求建立多层次病毒防卫体系。无论是B/S还是C/S结构,均需要在电子政务系统每一个安装或运行点强调安装反病毒软件,在电子政务系统中的业务处理终端和服务器端应同时提供对应的防病毒保护措施。防病毒工作是一个长期的工作,应及时进行防病毒软件或系统的升级、换代工作。另外除了采用各种防病毒产品以外,还应建立和实施完善的综合安全性操作程序,该操作程序应包
14、括各种安全措施,如定期数据备份、关键信息加密保护等。控制与公网互连的问题:在电子政务系统中,数据传输的方式一般包括纸质传输、介质传输和网络传输,因此对于公网传输的情况应加强安全方面的管理和控制。电子政务系统要求内外网物理隔离,一般可以采用双穴主机及类似措施,在严格控制与公网互连的前提下,妥善解决公网与专网之间的数据传输问题。关于防止黑客问题:随着网络规模的扩张和信息技术的飞速发展,黑客技术也不断发展,其攻击的范围和层次也不断扩张。电子政务系统作为我国政府信息化的重要项目(比如四库建设、十二金工程、网站建设等)也有可能成为某些恶意黑客的攻击对象。因此在设计和实施电子政务系统安全体系时,应加强
15、采用入侵检测技术防范黑客入侵和侵袭,并在必要的时候采取证据记录、跟踪恢复、强制断开等措施保证业务网络的安全。网络安全管理和监测:网络安全管理和监测是电子政务系统安全设施和安全机制有效发挥作用的重要保证,主要包括安全规范的制定和实施、各类操作用户的安全管理、安全体系的运营监控、应急处理和安全控制等。(4)电子政务系统安全体系之数据安全电子政务系统一般将需要采集、整理、处理、传输、统计、分析等所对应的数据进行安全分级,比如有些系统将数据分为一般数据、重要数据和关键数据三级,有些系统将数据分为自主保护、审计保护、标记保护、结构化保护和验证保护五级等,然后对于不同级别的数据采用不同的安全措施。
16、根据数据的处理形式不同,安全体系之数据安全可以分为数据传输安全、数据存储安全、数据库安全三个方面。数据传输安全:电子政务系统中的数据传输根据传输方式的不同可以分为介质传输、纸质传输、网络传输三类,其中网络传输按照传输网络的不同又可以分为公网传输和专网传输两种。在信息化办公环境较差的单位,可能还需要采用纸质传输数据,也即通过报送纸质报表方式来传递数据,该类数据则需要通过人为因素保证传输数据的安全性,纸质报表上的数据由信息化环境较好的上级单位负责数据的录入工作。在网络环境较差的电子政务系统应用单位,需要采用介质传输的方式传递数据。介质传输是指将需要传输的数据按照一定的格式存储于介质之上进行传
19、理系统本身提供的数据库加密存储、权限控制等安全机制之外,根据数据的安全分级,一般数据可以直接采用明文存储或者明文加上验证码存储,对于重要数据和关键数据则除了附加验证码之外,还需要先加密后存储以防止数据被非法窃取或篡改。数据库安全:数据库安全直接由提供数据存储和访问的数据库管理系统来保证。数据库管理系统能够提供多级数据库的安全机制,并能支持数据加密存储和传输以及冗余控制,对管理的数据和资源提供的安全保护一般包括物理完整性、逻辑完整性、元素完整性、用户鉴别、可获得性、可审计性等,其中物理完整性是数据能够免于物理方面破坏的问题,如掉电、火灾等;逻辑完整性是指能够保持数据库的结构如对一个字段的修改