前言:本站為你精心整理了電子政務(wù)安全保障體系范文,希望能為你的創(chuàng)作提供參考價(jià)值,我們的客服老師可以幫助你提供個(gè)性化的參考范文,歡迎咨詢。
電子政務(wù)涉及對(duì)國家秘密信息和高敏感度核心政務(wù)的保護(hù),設(shè)計(jì)維護(hù)公共秩序和行政監(jiān)管的準(zhǔn)確實(shí)施,涉及到為社會(huì)提供公共服務(wù)的質(zhì)量保證。電子政務(wù)是黨委、政府、人大、政協(xié)有效決策、管理、服務(wù)的重要手段,必然會(huì)遇到各種敵對(duì)勢(shì)力、恐怖集團(tuán)、搗亂分子的破壞和攻擊。尤其電子政務(wù)是搭建在基于互聯(lián)網(wǎng)技術(shù)的網(wǎng)絡(luò)平臺(tái)上,包括政務(wù)內(nèi)網(wǎng)、政務(wù)外網(wǎng)和互聯(lián)網(wǎng),而互聯(lián)網(wǎng)的安全先天不足,互聯(lián)網(wǎng)是一個(gè)無行政主管的全球網(wǎng)絡(luò),自身缺少設(shè)防和安全隱患很多,對(duì)互聯(lián)網(wǎng)犯罪尚缺乏足夠的法律威懾,大量的跨國網(wǎng)絡(luò)犯罪給執(zhí)法帶來很大的難度。所有上述分子利用互聯(lián)網(wǎng)進(jìn)行犯罪則有機(jī)可乘,使基于互聯(lián)網(wǎng)開展的電子政務(wù)應(yīng)用面臨著嚴(yán)峻的挑戰(zhàn)。
對(duì)電子政務(wù)的安全威脅,包括網(wǎng)上黑客入侵和犯罪、網(wǎng)上病毒泛濫和蔓延、信息間諜的潛入和竊密、網(wǎng)絡(luò)恐怖集團(tuán)的攻擊和破壞、內(nèi)部人員的違規(guī)和違法操作、網(wǎng)絡(luò)系統(tǒng)的脆弱和癱瘓、信息產(chǎn)品的失控等,應(yīng)引起足夠警惕,采取安全措施,應(yīng)對(duì)這種挑戰(zhàn)。
電子政務(wù)的安全目標(biāo)和安全策略
電子政務(wù)的安全目標(biāo)是,保護(hù)政務(wù)信息資源價(jià)值不受侵犯,保證信息資產(chǎn)的擁有者面臨最小的風(fēng)險(xiǎn)和獲取最大的安全利益,使政務(wù)的信息基礎(chǔ)設(shè)施、信息應(yīng)用服務(wù)和信息內(nèi)容為抵御上述威脅而具有保密性、完整性、真實(shí)性、可用性和可控性的能力。
為實(shí)現(xiàn)上述目標(biāo)應(yīng)采取積極的安全策略:
國家主導(dǎo)、社會(huì)參與。電子政務(wù)安全關(guān)系到政府的辦公決策、行政監(jiān)管和公共服務(wù)的高質(zhì)量和可信實(shí)施的大事,必須由國家統(tǒng)籌規(guī)劃、社會(huì)積極參與,才能有效保障電子政務(wù)安全。
全局治理、積極防御。電子政務(wù)安全必須采用法律威懾、管理制約、技術(shù)保障和安全基礎(chǔ)設(shè)施支撐的全局治理措施,并且實(shí)施防護(hù)、檢測(cè)、恢復(fù)和反制的積極防御手段,才能更為有效。
等級(jí)保護(hù)、保障發(fā)展。要根據(jù)信息的價(jià)值等級(jí)及所面臨的威脅等級(jí),選擇適度的安全機(jī)制強(qiáng)度等級(jí)和安全技術(shù)保障強(qiáng)壯性等級(jí),尋求一個(gè)投入和風(fēng)險(xiǎn)可承受能力間的平衡點(diǎn),保障電子政務(wù)系統(tǒng)健康和積極的發(fā)展。
電子政務(wù)安全保障體系框架
電子政務(wù)安全采取“國家推動(dòng)、社會(huì)參與、全局治理、積極防御、等級(jí)保護(hù)、保障發(fā)展”的策略,鑒于電子政務(wù)的信息安全面臨的是一場高技術(shù)的對(duì)抗,是一場綜合性斗爭,涉及法律、管理、標(biāo)準(zhǔn)、技術(shù)、產(chǎn)品、服務(wù)和基礎(chǔ)設(shè)施諸多領(lǐng)域,所以電子政務(wù)安全,還要從全局來構(gòu)建其安全保障的體系框架,以保障電子政務(wù)的健康發(fā)展。
電子政務(wù)安全保障體系由六要素組成,即安全法規(guī)、安全管理、安全標(biāo)準(zhǔn)、安全服務(wù)、安全技術(shù)產(chǎn)品和安全基礎(chǔ)設(shè)施等安全要素。
要素一安全法律與政策
電子政務(wù)的工作內(nèi)容和工作流程涉及到國家秘密與核心政務(wù),它的安全關(guān)系到國家的主權(quán)、國家的安全和公眾利益,所以電子政務(wù)的安全實(shí)施和保障,必須以國家法規(guī)形式將其固化,形成全國共同遵守的規(guī)約,成為電子政務(wù)實(shí)施和運(yùn)行的行為準(zhǔn)則,成為電子政務(wù)國際交往的重要依據(jù),保護(hù)守法者和依法者的合法權(quán)益,為司法和執(zhí)法者提供法律依據(jù),對(duì)違法、犯法者形成強(qiáng)大的威懾。
《中華人民共和國保護(hù)國家秘密法》已實(shí)施十多年,已不完全適應(yīng)我國當(dāng)前保密工作的現(xiàn)狀,特別是電子政務(wù)的發(fā)展,亟待修訂。
政務(wù)信息公開是電子政務(wù)的重要原則,為了拉近政府和公眾的距離,使公眾具有知情權(quán)、參與權(quán)、監(jiān)督權(quán)和享用政府服務(wù)的權(quán)利,為公眾提供良好的信息服務(wù),充分挖掘政務(wù)信息的最大效益,開放政務(wù)信息資源(非國家涉密和適宜公開部分)服務(wù)于民是電子政務(wù)的重要特征。盡快制訂政務(wù)信息公開法,適度的解密和規(guī)范開放的規(guī)則,保護(hù)政府部門間信息的正常交流,保護(hù)社會(huì)公眾對(duì)信息的合法享用,打破對(duì)政務(wù)信息資源的壟斷和封鎖,提高政府行政透明度和民主進(jìn)程是非常有利的和必需的。
電子政務(wù)亟待電子簽章和電子文檔的立法保護(hù),國際已有近20多個(gè)國家對(duì)數(shù)字簽名和電子文檔進(jìn)行了立法,使數(shù)字簽名和電子文檔在電子政務(wù)和電子商務(wù)運(yùn)行中具有法律效力。這將大大促進(jìn)電子政務(wù)和電子商務(wù)的健康發(fā)展,使電子政務(wù)原來的雙軌制走向單軌制,這有利于簡化程序、降低成本,充分顯示電子政務(wù)效益是非常有利的。
個(gè)人數(shù)據(jù)保護(hù)(隱私法)的需求伴隨電子政務(wù)的發(fā)展日顯突出。電子政務(wù)在實(shí)施行政監(jiān)管和公眾服務(wù)中有大量的個(gè)人信息(自然人和法人),如戶籍、納稅、社保、信用等信息大量進(jìn)入了政府網(wǎng)絡(luò)信息數(shù)據(jù)庫,它對(duì)完成電子政務(wù)職能發(fā)揮巨大作用。但是這些個(gè)人信息如果保護(hù)不力或無意被泄漏,而被非法濫用,就可能成為報(bào)復(fù)、盜竊、推銷、討債、盯梢的工具。在國外已經(jīng)出現(xiàn)將盜用的個(gè)人隱私信息作為非法商品出售,以牟取暴利的情況,這樣直接損害個(gè)人的利益,甚至危及個(gè)人的生命安危。因此加快個(gè)人數(shù)據(jù)保護(hù)法的制訂,是必要的。
還有很多法規(guī)的制訂都直接關(guān)系到電子政務(wù)的健康發(fā)展,加快制訂這些法規(guī),勢(shì)在必行。
要素二安全組織與管理
我國信息安全管理職能的格局已經(jīng)形成,如國家安全部、國家保密局、國家密碼管理委員會(huì)、信息產(chǎn)業(yè)部、總參……分別執(zhí)行各自的安全職能,維護(hù)國家信息安全。電子政務(wù)安全管理涉及到上述眾多的國家安全職能部門,其安全管理職能的協(xié)調(diào)需要由國家信息化領(lǐng)導(dǎo)機(jī)構(gòu),如國家信息化領(lǐng)導(dǎo)小組及其辦公室、國家電子政務(wù)協(xié)調(diào)小組、國家信息安全協(xié)調(diào)小組等來進(jìn)行。各地區(qū)和部委建立相應(yīng)的信息安全管理機(jī)構(gòu),以完成和強(qiáng)化信息安全的管理,形成自頂向下的信息安全管理組織體系,是電子政務(wù)安全實(shí)施的必要條件。
制訂頒發(fā)電子政務(wù)安全相關(guān)的各項(xiàng)管理?xiàng)l例,及時(shí)指導(dǎo)電子政務(wù)建設(shè)的各種行為,從立項(xiàng)、承包、采購、設(shè)計(jì)、實(shí)施、運(yùn)行、操作、監(jiān)理、服務(wù)等各階段入手,保障電子政務(wù)系統(tǒng)建設(shè)全程的安全和安全管理工作的程序化和制度化。
電子政務(wù)信息安全域的劃分與管理是至關(guān)重要的。電子政務(wù)有辦公決策、行政監(jiān)管和公共服務(wù)等三種類型業(yè)務(wù),其業(yè)務(wù)信息內(nèi)容涉及國家機(jī)密、部門工作秘密、內(nèi)部敏感信息和開放服務(wù)信息。既要保護(hù)國家秘密又要便于公開服務(wù),因此對(duì)信息安全域的科學(xué)劃分和管理,將有益于電子政務(wù)網(wǎng)絡(luò)平臺(tái)的安全設(shè)計(jì),有益于電子政務(wù)的健康和有效的實(shí)現(xiàn)。
制訂電子政務(wù)工程集成商的資質(zhì)認(rèn)證管理辦法、工程建設(shè)監(jiān)理機(jī)構(gòu)的管理辦法、工程外包商的管理機(jī)制和辦法,以確保電子政務(wù)工程建設(shè)的質(zhì)量和安全,特別是對(duì)于電子政務(wù)系統(tǒng)的外包制更要有嚴(yán)格的制約和管理手段。對(duì)于電子政務(wù)中涉密系統(tǒng)工程的承建,還必須有國家保密局頒發(fā)的涉密系統(tǒng)集成資質(zhì)證書,其他部分應(yīng)具有國家或省市相應(yīng)的系統(tǒng)集成商的資質(zhì)證書。對(duì)于電子政務(wù)涉密部分,不允許托管和外包運(yùn)行,電子政務(wù)其他部分將按相關(guān)管理?xiàng)l例執(zhí)行。
電子政務(wù)工程中使用的信息安全產(chǎn)品,國家將制訂相應(yīng)的采購管理政策,涉及密碼的信息安全產(chǎn)品需有國家密碼主管部門的批準(zhǔn)證書,信息安全產(chǎn)品應(yīng)有通過國家測(cè)評(píng)主管機(jī)構(gòu)的安全測(cè)評(píng)的證書,維護(hù)信息安全產(chǎn)品的可信性。
電子政務(wù)系統(tǒng)信息內(nèi)容根據(jù)管理需求,可以實(shí)施對(duì)信息內(nèi)容的安全監(jiān)控管理,以保護(hù)政務(wù)信息安全,防止由于內(nèi)部違規(guī)或外部入侵可能造成的網(wǎng)絡(luò)泄密,同時(shí)也阻止有害信息內(nèi)容在政務(wù)網(wǎng)上傳播。
制訂電子政務(wù)系統(tǒng)的人員管理、機(jī)構(gòu)管理、文檔管理、操作管理、資產(chǎn)與配置管理、介質(zhì)管理、服務(wù)管理、應(yīng)急事件管理、保密管理、故障管理、開發(fā)與維護(hù)管理、作業(yè)連續(xù)性保障管理、標(biāo)準(zhǔn)與規(guī)范遵從性管理、物理環(huán)境管理等各種條例,確保電子政務(wù)系統(tǒng)的安全運(yùn)行。
要素三安全標(biāo)準(zhǔn)與規(guī)范
信息安全標(biāo)準(zhǔn)有利于安全產(chǎn)品的規(guī)范化,有利于保證產(chǎn)品安全可信性、實(shí)現(xiàn)產(chǎn)品的互聯(lián)和互操作性,以支持電子政務(wù)系統(tǒng)的互聯(lián)、更新和可擴(kuò)展性,支持系統(tǒng)安全的測(cè)評(píng)與評(píng)估,保障電子政務(wù)系統(tǒng)的安全可靠。
國家已正式成立“信息安全標(biāo)準(zhǔn)化委員會(huì)”,近期成立了信息安全標(biāo)準(zhǔn)體系與協(xié)調(diào)工作組(WG1)、內(nèi)容安全分級(jí)及標(biāo)識(shí)工作組(WG2)、密碼算法與密碼模塊/KMI/VPN工作組(WG3)、PKI/PMI工作組(WG4)、信息安全評(píng)估工作組(WG5)、操作系統(tǒng)與數(shù)據(jù)庫安全工作組(WG6)、身份標(biāo)識(shí)與鑒別協(xié)議工作組(WG9)、操作系統(tǒng)與數(shù)據(jù)庫安全工作組(WG10),以開展電子政務(wù)安全相關(guān)標(biāo)準(zhǔn)的研制工作,支撐電子政務(wù)安全對(duì)標(biāo)準(zhǔn)制訂的需求。
還將制訂下列標(biāo)準(zhǔn):涉密電子文檔密級(jí)劃分和標(biāo)記格式、內(nèi)容健康性等級(jí)劃分與標(biāo)記、內(nèi)容敏感性等級(jí)劃分與標(biāo)記、密碼算法標(biāo)準(zhǔn)、密碼模塊標(biāo)準(zhǔn)、密鑰管理標(biāo)準(zhǔn)、PKI/CA標(biāo)準(zhǔn)、PMI標(biāo)準(zhǔn)、信息系統(tǒng)安全評(píng)估和信息安全產(chǎn)品測(cè)評(píng)標(biāo)準(zhǔn)、應(yīng)急響應(yīng)等級(jí)、保護(hù)目標(biāo)等級(jí)、應(yīng)急響應(yīng)指標(biāo)、電子證據(jù)恢復(fù)與提取、電子證據(jù)有效性界定、電子證據(jù)保護(hù)、身份標(biāo)識(shí)與鑒別、數(shù)據(jù)庫安全等級(jí)、操作系統(tǒng)安全等級(jí)、中間件安全等級(jí)、信息安全產(chǎn)品接口規(guī)范、數(shù)字簽名……。
要素四安全保障與服務(wù)
1.電子政務(wù)系統(tǒng)建設(shè),要構(gòu)建其技術(shù)安全保障架構(gòu),對(duì)大型電子政務(wù)系統(tǒng)要建立縱深防御體系。
·設(shè)置政務(wù)內(nèi)網(wǎng)的安全與控制策略;
·設(shè)置政務(wù)外網(wǎng)的安全與控制策略;
·設(shè)置進(jìn)入互聯(lián)網(wǎng)的安全服務(wù)與控制策略;
·設(shè)置租用公網(wǎng)干線的安全服務(wù)與控制策略,包括有線通信、無線通信和衛(wèi)星通信的安全服務(wù)與控制策略;
·設(shè)置政務(wù)計(jì)算環(huán)境的安全服務(wù)與機(jī)制。
采用縱深防御和多級(jí)設(shè)防,是電子政務(wù)安全保障的重要原則,通過全局性的安全防護(hù)、安全檢測(cè)、快速響應(yīng)、集成的安全管理與安全設(shè)施的聯(lián)動(dòng)控制,以達(dá)到系統(tǒng)具有防護(hù)、檢測(cè)、反應(yīng)與恢復(fù)能力。
2.推廣電子政務(wù)信息系統(tǒng)安全工程(ISSE)的控制方法,全面實(shí)現(xiàn)安全服務(wù)要求。
電子政務(wù)安全系統(tǒng)的設(shè)計(jì),首先要做好系統(tǒng)資產(chǎn)價(jià)值的分析,如物理資產(chǎn)的價(jià)值(系統(tǒng)環(huán)境、硬件、系統(tǒng)軟件)、信息資產(chǎn)的價(jià)值、其數(shù)據(jù)與國家利益和部門利益的關(guān)聯(lián)度;其業(yè)務(wù)系統(tǒng)(模型、流程、應(yīng)用軟件)正常運(yùn)行后果所產(chǎn)生的效益,從而確定系統(tǒng)安全應(yīng)保護(hù)的目標(biāo),在上述分析的基礎(chǔ)上提出整個(gè)安全系統(tǒng)的安全需求,進(jìn)一步定義達(dá)到這些安全需求所應(yīng)具有的安全功能,然后探索系統(tǒng)可能面臨的威脅類型,并找出系統(tǒng)自身的脆弱性,這些威脅和脆弱性有:
·網(wǎng)上黑客與計(jì)算機(jī)犯罪;
·網(wǎng)絡(luò)病毒的蔓延與破壞;
·機(jī)要信息流失與信息間諜潛入;
·網(wǎng)上恐怖活動(dòng)與信息戰(zhàn);
·內(nèi)部人員違規(guī)與違法;
·網(wǎng)上安全產(chǎn)品的失控;
·網(wǎng)絡(luò)與系統(tǒng)自身的漏洞與脆弱性。
在這些威脅面前,要分析哪些威脅是本系統(tǒng)主要面臨的威脅,哪些是次要的,對(duì)系統(tǒng)和任務(wù)造成的影響程度如何。進(jìn)行定性和定量的分析,提出系統(tǒng)安全對(duì)策,確定承受風(fēng)險(xiǎn)的能力,尋找投入和風(fēng)險(xiǎn)承受能力間的平衡點(diǎn),然后確定系統(tǒng)所需要的安全服務(wù)及對(duì)應(yīng)的安全機(jī)制(見表一),從而配置系統(tǒng)的安全要素。在工程的生命周期中要進(jìn)行風(fēng)險(xiǎn)管理、風(fēng)險(xiǎn)決策流程(見圖2),這種風(fēng)險(xiǎn)管理是要對(duì)電子政務(wù)全程進(jìn)行的。
系統(tǒng)投入運(yùn)行要對(duì)其安全性進(jìn)行有效評(píng)估,即評(píng)估者給出的評(píng)估證據(jù)和建設(shè)者采用的技術(shù)保障設(shè)施,的確能使系統(tǒng)擁有者確信已選用技術(shù)對(duì)策,確實(shí)減少了系統(tǒng)的安全風(fēng)險(xiǎn),滿足必要的風(fēng)險(xiǎn)策略(風(fēng)險(xiǎn)策略可以是“零”風(fēng)險(xiǎn)策略、最小風(fēng)險(xiǎn)策略、最大可承受風(fēng)險(xiǎn)策略或不計(jì)風(fēng)險(xiǎn)策略),使其達(dá)到保護(hù)系統(tǒng)資產(chǎn)價(jià)值所必需的能力(見圖3)。上述有效評(píng)估過程可用安全技術(shù)保障強(qiáng)壯性級(jí)別(IATRn)來描述:
IATRn=f(Vn,Tn,SMLn,EALn)
Tn:威脅等級(jí)
Vn:資產(chǎn)價(jià)值等級(jí)
SMLn:安全機(jī)制強(qiáng)度等級(jí)
EALn:評(píng)估保障等級(jí)
要素五安全技術(shù)與產(chǎn)品
1.加強(qiáng)安全技術(shù)和產(chǎn)品的自主研制和創(chuàng)新。
由于電子政務(wù)的國家涉密性,電子政務(wù)系統(tǒng)工程的安全保障需要各種有自主知識(shí)產(chǎn)權(quán)的信息安全技術(shù)和產(chǎn)品,全面推動(dòng)自主研發(fā)和創(chuàng)新這些技術(shù)和產(chǎn)品是電子政務(wù)安全的需要。這些產(chǎn)品和技術(shù)可以分為六大類:
·基礎(chǔ)類:風(fēng)險(xiǎn)控制、體系結(jié)構(gòu)、協(xié)議工程、有效評(píng)估、工程方法;
·關(guān)鍵類:密碼、安全基、內(nèi)容安全、抗病毒、IDS、VPN、RBAC、強(qiáng)審計(jì)、邊界安全隔
離;
·系統(tǒng)類:PKI、PMI、DRI、網(wǎng)絡(luò)預(yù)警、集成管理、KMI;
·應(yīng)用類:EC、EG、NB、NS、NM、WF、XML、CSCW;
·物理與環(huán)境類:TEMPEX、物理識(shí)別;
·前瞻性:免疫技術(shù)、量子密碼、漂移技術(shù)、語義理解識(shí)別。
2.電子政務(wù)安全產(chǎn)品的選擇。
整個(gè)電子政務(wù)的安全,涉及信息安全產(chǎn)品的全局配套和科學(xué)布置,產(chǎn)品選擇應(yīng)充分考慮產(chǎn)品的自主權(quán)和自控權(quán)。
產(chǎn)品可涉及安全操作系統(tǒng)、安全硬件平臺(tái)、安全數(shù)據(jù)庫、PKI/CA、PMI、VPN、安全網(wǎng)關(guān)、防火墻、數(shù)據(jù)加密機(jī)、入侵檢測(cè)(IDS)、漏洞掃描、計(jì)算機(jī)病毒防治工具、強(qiáng)審計(jì)工具、安全Web、安全郵件、安全設(shè)施集成管理平臺(tái)、內(nèi)容識(shí)別和過濾產(chǎn)品、安全備份、電磁泄漏防護(hù)、安全隔離客戶機(jī)、安全網(wǎng)閘。
要素六安全基礎(chǔ)設(shè)施
信息安全基礎(chǔ)設(shè)施是一種為信息系統(tǒng)應(yīng)用主體和信息安全執(zhí)法主體提供信息安全公共服務(wù)和支撐的社會(huì)基礎(chǔ)設(shè)施,方便信息應(yīng)用主體安全防護(hù)機(jī)制的快速配置,有利于促進(jìn)信息應(yīng)用業(yè)務(wù)的健康發(fā)展,有利于信息安全技術(shù)和產(chǎn)品的標(biāo)準(zhǔn)化和促進(jìn)其可信度的提高,有利于信息安全職能部門的監(jiān)督和執(zhí)法,有利于增強(qiáng)全社會(huì)信息安全移師和防護(hù)技能,有利于國家信息安全保障體系的建設(shè)。因此,推動(dòng)電子政務(wù)的發(fā)展,應(yīng)重視相關(guān)信息安全基礎(chǔ)設(shè)施的建設(shè)。
信息安全基礎(chǔ)設(shè)施有兩大類。
1.社會(huì)公共服務(wù)類
·基于PKI/PMI數(shù)字證書的信任和授權(quán)體系;
·基于CC/TCSEC的信息安全產(chǎn)品和系統(tǒng)的測(cè)評(píng)與評(píng)估體系;
·計(jì)算機(jī)病毒防治與服務(wù)體系;
·網(wǎng)絡(luò)應(yīng)急響應(yīng)與支援體系;
·災(zāi)難恢復(fù)基礎(chǔ)設(shè)施;
·基于KMI的密鑰管理基礎(chǔ)設(shè)施。
2.行政監(jiān)管執(zhí)法類
·網(wǎng)絡(luò)信息內(nèi)容安全監(jiān)控體系;
·網(wǎng)絡(luò)犯罪監(jiān)察與防范體系;
·電子信息保密監(jiān)管體系;
·網(wǎng)絡(luò)偵控與反竊密體系;
·網(wǎng)絡(luò)監(jiān)控、預(yù)警與反擊體系。
電子商務(wù) 電子政務(wù)論文 電子技術(shù) 電子畢業(yè) 電子專業(yè) 電子政務(wù)的安全風(fēng)險(xiǎn) 電子貨幣論文 電子論文 電子工程論文 電子政務(wù) 紀(jì)律教育問題 新時(shí)代教育價(jià)值觀