电子政务安全体系
- 格式:pptx
- 大小:1.97 MB
- 文档页数:89


2011年第8期 福建 电脑 13
电子政务网站群安全防护体系研究
林宁思.赖建华
(福建省科学技术信息研究所(福建省信息网络重点实验室)福建福州350003)
【摘要】:电子政务网站群面临诸多安全威胁,本文从电子政务网站群安全威胁及其脆弱性分析入
手,有针对性地提出了网站群安全防护的安全总体策略,并从安全基础设施建设及安全运维两个角度设计
了安全防护体系。
【关键词】:网站群安全网站安全运维 网站安全加固PDCA
一、背景
电子政务网站群。是指以政府门户网站为核心。以
部门网站和所辖下一级政府的门户网站为基础的政府
网站集群。通过网站群的建设,可以有效整合各部门网
站的信息资源。实现各网站之间的互联互通、信息共
享、协同应用。有利于提高各级政府的公共服务能力,
创建平安和谐的社会环境。
然而,当前网络与信息安全的现状却不容乐观。电
子政务信息化进程中伴生的威胁和挑战与日俱增。监
测显示.2010年中国内地共有近3.5万家网站被黑客
篡改,其中被篡改的政府网站达4635个.即全国有约
十分之一的政府网站都遭到黑客篡改.数量比2009年
上升67.6%。
显然,政府网站安全防护总体较为薄弱。政府网站
安全性不高不仅影响了政府形象和电子政务工作的开
展.还给不法分子发布虚假信息或植入网页木马以可
乘之机,造成更大的危害。国家互联网应急中心分析认
为,政府网站易被篡改的原因是:网站整体安全性差.
缺乏必要的经常性维护.某些政府网站被篡改后也长
期无人过问,未能消除安全隐患。
二、网站群安全风险分析
在网络病毒、木马及黑客攻击日益猖獗的今天.网
站的管理部门及维护人员越来越感受到了安全管理的
压力。我们从网站常见威胁和网站常见漏洞两个方面
来分析一下网站的安全风险。
1、网站安全威胁分析
(1)网站被渗透
攻击者利用漏洞入侵网站。获取后台管理权限。甚
至掌握了操作系统控制权。典型表现为:网站被篡改.
网站被植入木马,网站数据泄露甚至被破坏。
电子政务的安全保障体系设计与实现 陶 梅 (广州工商职业技术学院 510850) 【摘 要】首先分析了电子政务系统的安全需求;在此基础上提出了电 子政务系统的安全体系框架和安全域的划分;同时指出必须从安全支 撑平台体系设计和安全应用支撑平台体系设计两方面构建电子政务安 全技术体系,在安全技术体系设计的基础上构建安全管理体系和安全 服务体系。 【关键词】电子政务;安全体系;技术体系;管理体系;服务体系 电子政务是指政府运用现代计算机和网络技术,实现其公共管 理和服务职能的数字化和网络化,重组优化政府组织结构和工作流 程,向社会提供高效优质、规范透明和全方位的管理与服务。它使 得政府事务变得公开、高效、透明、廉洁和信息共享。但是由于网络 的开放性和公开化,电子政务系统安全问题日益突出和严重,影响 了电子政务信息系统功能的发挥,甚至对政府部门和社会公众产生 危害,严重的还将对国家信息安全乃至国家安全产生威胁。 1 电子政务系统面临的多层次的安全威胁 (1)物理层安全威胁。这各层次面临的安全威胁主要包括有: 设备的被盗、恶意破坏、线路截获监听、电磁干扰、电源掉线以及设 备的损坏等。这些都对整个网络的基础设备及上层的各种应用有 着严重的安全威胁。 (2)网络层安全威胁。网络层是网络入侵者进攻信息系统的 渠道和通路。许多安全问题都集中体现在网络的安全方面。大型 网络系统内运行的TCP\IP协议并非专为安全通讯而设计,所以 网络系统存在大量安全隐患和威胁。 (3)系统层安全威胁。系统层的安全威胁主要是操作系统平 台的安全威胁。由于现代操作系统的代码庞大,从而在不同程度 上都存在一些安全漏洞。操作系统自身的脆弱性将直接影响到其 上所有的应用系统的安全性。 (4)应用层安全威胁。应用层安全是指用户在网络上的应用 系统的安全,包括邮件系统、WEB、DNS以及各种业务系统等。虽 然应用系统复杂多样,但都存在一些广为人知的漏洞,容易被人作 为攻击的切入点。 (5)管理层安全威胁。其威胁包括:没有完善的网络与安全人 员管理制度;没有定期对现有的操作管理人员进行安全培训;网络 或安全设备的登陆密码安全策略强度不符合要求;没有及时获知 安全状态及最新安全漏洞的途径;对于可能出现的安全问题,没有 一套完整的处理流程。 2电子政务系统安全体系框架 电子政务系统的安全体系框架是针对电子政务系统面临的五 个层面安全威胁分析进行设计的,是对电子政务系统提供保护的 整体策略集合,包括:运行管理安全、物理环境保障、数据安全、资 源可信和网络及系统安全五个层面的内容。安全体系框架在物理 环境安全的保障下,提供数据安全、资源可信和网络及系统安全三 大类安全支撑,确保用户环境、应用与数据环境和网络基础环境的 安全,同时运行管理安全贯穿其中,共同为电子政务系统提供多级 别、多层面的保护。 3电子政务系统安全域的划分 安全域的规划是通过对业务资源的分析,确定其保护的范围 和等级,并采取相应的保护措施,主要包括安全定级、安全域划分 和安全策略配置三部分内容。 4电子政务系统安全技术体系设计 电子政务系统安全技术体系由安全支撑平台和安全应用支撑平 台两部分构成。安全支撑平台以密码技术为基础,为安全应用支撑平 台和电子政务系统提供信息保护、身份认证、访问控制等安全服务。 安全应用支撑平台以呼叫控制、业务控制、媒体控制和业务管理为主 要内容,为电子政务系统提供可信的呼叫控制、应用整合、媒体控制和 资源管理等应用支撑服务,并以用户为中心提供基本网络业务服务。 5电子政务系统安全管理体系设计 在电子政务系统中,仅仅靠技术手段难以防范所有的安全隐 患,还需要建立相应的安全管理体系。安全管理体系主要包括有 安全策略、安全组织和安全制度。 (1)安全策略是管理体系的灵魂。要做到全面、灵活使用,必须在 对对信息系统进行全面细致的调查、评估之后,结合电子政务的业务 流程,制定出符合实际情况的安全策略体系。安全策略体系包括安全 方针、主策略和子策略和电子政务系统日常管理所需要的制度。 (2)安全组织。为保障电子政务系统信息的安全,需要在条件 合适的时候建立合适的安全管理组织框架,以保证在组织内部开 展和控制信息安全的实施。建立具有管理权的适当的信息安全管 理委员会来批准信息安全方针、分配安全职责并协调组织内部信 息安全的实施。如有必要,应在组织内建立提供信息安全建议的 专家小组并使其有效。 (3)安全制度。电子政务系统是一个安全性要求非常高的系 统,所以安全制度要求也很严格。必须由管理层制定切实可行的 日常安全保密制度、审计制度、机房管理、操作规程管理、系统维护 管理等,明确定义日常安全审计的例行制度、实施日程安排与计 划、报告的形式及内容、达到的目标等。 6电子政务系统安全服务体系设计 电子政务安全服务体系设计强调以“安全人”为核心,包括以 下安全服务内容: (1)安全评估审计服务。定期检查电子政务信息系统的安全 现状,以便动态的调整安全防护策略。 ・ (2)安全增强加固服务。主要使针对安全状况的动态变化,及 时弥补最新出现的各类安全漏洞、安全隐患。 (3)安全信息通告服务。通过邮件、WEB网站或电话等方式, 为电子政务信息系统提供及时的、有针对性的各类安全信息,帮组 信息系统维护人员及时了解最新安全动态。 (4)安全应急响应服务。针对电子政务信息系统随机出现的 重大、疑难安全故障进行及时的专家安全响应和恢复,提高信息系 统应对重大安全事故的能力,保障系统各业务网络的业务连续性。 (5)专业安全培训服务。电子政务信息系统的长期安全保障 必须依赖各类人员的安全技能和安全意识水平的提高,进行专业 安全培训是提高安全技能和安全意识水平的最佳方式之一。 【参考文献】 [1]王东霞,赵刚.安全体系结构与安全标准体系[-J'1.计算机工程与应 用,2005(8). [2]电子政务安全问题.http://www-esca.cn/news/getnews--content.action. [3]电子政务系统信息安全建设方案.http://www [4]褚峻.构建电子政务安全管理体系研究.
电子政务网络安全体系的标准规范
在电子政务信息系统安全保障体系结构中,首先要健全系统安全保障的法律法规,强化电子政务信息系统安全的法制管理。迄今为止,世界上很多国家制定了与网络安全有关的法律法规,一些国家还制定了专门的政府网络安全保护方面的法律法规,我国虽然颁发了一些与网络安全有关的法律法规,如《计算机信息系统安全保护条例》、《计算机信息系统国际联网保密管理规定》、《计算机信息系统保密管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》,却很零散,还缺乏关于电子政务网络安全的专门法规。今后,在完善电子政务网络安全法律法规的同时,还应该加大执法力度严格执法,为电子政务网络安全提供法律保障。这一目标的实现不仅需要政府组织的努力,更要国家立法机构的参与和支持。
在电子政务信息系统安全保障体系结构中,首先要健全系统安全保障的法律法规,强化电子政务信息系统安全的法制管理。迄今为止,世界上很多国家制定了与网络安全有关的法律法规,一些国家还制定了专门的政府网络安全保护方面的法律法规,如英国的《官方信息保护法》,俄罗斯的《联邦信息、信息化和信息保护法》等。我国虽然颁发了一些与网络安全有关的法律法规,如《计算机信息系统安全保护条例》、《计算机信息系统国际联网保密管理规定》、《计算机信息系统保密管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》,却很零散,还缺乏关于电子政务网络安全的专门法规。今后,在完善电子政务网络安全法律法规的同时,还应该加大执法力度,严格执法,为电子政务网络安全提供法律保障。这一目标的实现不仅需要政府组织的努力,更要国家立法机构的参与和支持。
建立健全网络安全组织管理制度,明确负责安全管理的主要领导、主管部门、技术支持部门和宣传、保卫部门。发达国家一般都建立有网络安全管理机构,美国安全委员会下设了国家保密政策委员会和信息系统安全保密委员会;英法等国家建立了“国家网络安全委员会”;德国成立了“国家网络安全局”。在我国,安全职能部门包括国家公安部、国家安全局、国家保密局、国家密码管理委员会、信息产业部、中央军委总参谋部等。国家信息化工作领导小组负责对网络安全的国家总体发展战略进行规划、设计、研究,组织、协调等工作,配合有关部门进行立法调研。但地方政府和重点保护的重要领域相应的组织机构还很不健全;《计算机信息系统安全保护条例》中确立了由公安部主管全国计算机信息系统安全保护工作,但由于机构编制等原因,许多地方公安机关没有成立专门的计算机信息系统安全保护机构,适应计算机信息技术高速发展的警力配备不足等。建议组建国家网络安全委员会,组织和协调国家安全、公安、保密等职能部门,在信息化建设中网络安全领域进行分工协作,对国家网络安全政策统一步调、统筹规划。
电子政务网络安全解决方案
1.1 电子政务网络安全概述
以Internet为代表的全球性信息化浪潮日益深刻, 信息网络技术的应用正日益普及和广泛, 应用层次正在深入, 应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展,
典型的如行政部门业务系统、金融业务系统、政府机关商务系统等。伴随网络的普及, 安全日益成为影响网络效能的重要问题, 而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时, 对安全提出了更高的要求。如何使信息网络系统不受黑客和工业间谍的入侵, 已成为政府机构、企事业单位信息化健康发展所要考虑的重要事情之一。
1.1.1 网络规划
(一)各级网络
利用现有线路及网络进行完善扩充, 建成互联互通、标准统一、结构简单、功能完善、安全可靠、高速实用、先进稳定的级别分明却又统一的网络。
(二)数据中心
建设集中的数据中心, 对所有的信息资源、空间、信用等数据进行集中存放、集中管理。为省及各市部门、单位的关键应用及关键设施提供机房、安全管理与维护。
1.1.2 网络总体结构
政府机构从事的行业性质是跟国家紧密联系的, 所涉及信息可以说都带有机密性, 所以其信息安全问题, 如敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等。都将对政府机构信息安全构成威胁。为保证政府网络系统的安全, 有必要对其网络进行专门安全设计。
所谓电子政务就是政府机构运用现代计算机技术和网络技术, 将其管理和服务的职能转移到网络上完成, 同时实现政府组织结构和工作流程的重组优化, 超越时间、空间和部门分隔的制约, 向全社会提供高效、优质、规范、透明和全方位的管理与服务。
实现电子政务的意义在于突破了传统的工业时代“一站式”的政府办公模式, 建立了适应网络时代的“一网式”和“一表式”的新模式, 开辟了推动社会信息化的新途径, 创造了政府实施产业政策的新手段。电子政务的出现有利于政府转变职能, 提高运作效率。