您的位置:360文档中心› 《电子政务等级保护安全保障体系研究》

《电子政务等级保护安全保障体系研究》

合集下载

优化黑龙江省“互联网+政务服务”,实现更智慧的政府治理

优化黑龙江省“互联网+政务服务”,实现更智慧的政府治理
作者简介:王莉(1982.04-),女,本科,政工师,主要研 究方向为政工人事工作。
(上接第184页)和上海市的做法,政府部门设置完备的专业 培训体系,定期开展信息技术培训,转变思想观念,提升工作 效率,激发工作热情,在职业道德修养、政务工作和现代化工 具使用等多方面打造综合本领过硬的专业人才。借鉴青岛市 的做法,成立专门的电子政务发展机构来吸引人才,培养全 能型人才队伍。也可以从其他部门借调有熟悉业务流程、实 践经验的工作人员参与工作,还可发挥研究机构、行业协会 的作用,加强国际交流与合作,共同打造专业的政务平台运 营团队,使之适应新时期电子政务管理的需求,最终促进更 高质量的服务型政府建设。
优化黑龙江省“互联网+政务服务”, 实现更智慧的政府治理
文/东北农业大学李杨
摘要:随着互联网的广泛应用,民众对政府的服务质量 和效率要求日益增加。大力推进"互联网+政务服务”,是移 动互联网产业发展的必然趋势。近年来,黑龙江省电子政务 蓬勃发展,但也存在着很多问题。文章借鉴了中西方的发展 优势,着重分析发展现状,归纳总结发展问题,探索改革方 案,实现更智慧的政府治理。
(一)加强政务平台的联动机制建设,实现服务创新 目前,我国省级网上政务服务平台体系已全部建成, "一网通”成为政府提供政务服务的主要形式。政府应当加 快政务服务从中央进一步向地方延伸的步伐,尽快实现"互 联网+政务服务”省、市、县、乡镇、村全覆盖,加强政务平台 的联动机制建设,推动业务融合、数据融合,打通信息壁垒, 构建全国信息资源共享休系。黑龙江省也可以参考部分政 府在选择政企合作运作模式和管理手段时探索形成的多种 实现方式,以及在基础设施建设、运维服务、政务信息资源 利用等方面积累的经验。 "服务型政府”以为民众提供合理、合法、优质的公共服 务为目标。政务服务平台应充分利用大数据系统,通过热点 话题讨论、在线问答、微直播等形式,倾听民意、了解民生, 根据自身优势及目标受众的特点,推进服务标准化和实用 性,以打造政务新媒体传播力、服务力为追求,及时更新平 台信息,打造精品内容,传达受众真正关心的事,推进电子 政务高标准建设、公共服务高质量发展。黑龙江省各级政府 也可根据情况需要进行服务创新,例如疫情防控阶段开通 专门的防疫网站和应用程序,向公众及时准确提供疫情的 官方最新信息。 (-)建立健全法律法规体系,保护公众的电子信息安全 "互联网+政务服务”需具有良好的法制环境,才能实 现长远有序的发展。借鉴美国、日本等国的经验,国家应出台 政务平台的法律制度保障措施,出台《电子政务法》《电子政 务安全法》等基本法,明确电子政府的法律地位、主管部门职 责;出台《信息公开法》《网络信息安全法》等配套法律,保护 公众的电子信息安全。国内一些省市的法律法规也为黑龙江 省提供了经验借鉴,例如浙江省《信息安全等级保护管理办 法》、安徽省《5联网+政务服务办法》等。总之,黑龙江省要 建立高质量的网络安全防护网,为数据开放和数据保护提供 制度保障,消除安全隐患,更好地践行为人民服务的宗旨。 (三)建设高质量人才队伍,打造政务平台专业运营团队 人才对于"互联网+政务服务”优势的充分发挥具有决 定性作用o政府可以借鉴新加坡政府的经验,委托科研机构、 高校等单位培养电子政务人才。借鉴安徽省(下转第192页)

新时期下电子政务信息资源共建与共享的信息安全保障研究

新时期下电子政务信息资源共建与共享的信息安全保障研究

互联 网流通 , 如网上远程审批、 电子公文流转等。 电子政务信息安全是 护法 》2 0 ,0 1年 1月 又 发 布 了“ 护 信 息 系 统 国 家 计 划 ”至 今 已通 过 的 保 , 指 政 务 数 据 信 息在 接 受 、 生 、 理 、 发 、 档 等 覆 盖 文 件 生 命 周 期 涉及 计 算 机 、 联 网 和信 息 安 全 问题 的 法 律 文 件 就 多 达 3 7个 。 为保 产 处 分 存 互 9
2 电子 政 务 信 息 安 全 的 基 本 内 涵
法 律 和 法 规 是 保 证 电子 政 务 信 息 资 源 共 建 共 享 中 信 息 安 全 的 基 本 力 量 。 目前 , 界 上 很 多 国 家 制 定 了相 应 的 法律 法 规 来 加 强 信 息 安 世
电子 政 务 是 指 各 级 政 府 部 门 以互 联 网 络 为 平 台 完 成 日常 的 公 共 全 的法 律保 护 。如 : 国 的 《 方信 息保 护 法 》俄 罗 斯 的 《 邦 信 息 、 英 官 ; 联 信 管 理 和 内部 事 务 处 理 。 电子 政 务 运 行 过 程 的 显 著 特 点 是 公 务 信 息 通 过 息化 和 信 息 保 护 法 》美 国 早 在 1 7 ; 9 5年 就 制 定 了《 邦 计 算 机 系 统 保 联
政 务 信 息 安 全 机 制 来 保 障 共 建 共 享 的 信 息 安 全 。 理 制 度 包 括 系 统 运 管
行 维 护 管 理 制 度 、 档 资 料 管 理 制 度 、 房 安 全 管 理 制 度 、 期 检 查 与 文 机 定 政 管 理 、 务 处 理 的 电子 政 务 。 电子 政 务 运 行 过程 的 显 著 特 点 是 公 务 监 督 制 度 、 络 通 信 安 全 管 理 制 度 、 全 等 级 保 护 制 度 等 。 事 网 安 数 据 信 息 通 过 互 联 网流 通 , 网上 远 程 审 批 、 如 电子 公 文 流 转 等 。 的推 它 33 加 强 电 子 政 务 信 息 安 全 标 准 化 建 设 - 行 降低 了政 府 运 作 成 本 , 高 了行 政 效 率 , 政 务 信 息 实 现 了 跨 地 区 、 提 使 在 信 息 化 社 会 , 准 化 是 实 现 互 联 互 通 、 源 共 享 、 务 协 同 的 基 标 资 业 跨 国界 快 速 而 自由 的流 动 ; 同时 经 由政 务 网 络传 输 的 政 府 间 敏 感 的 但 石。 信息安全这一特殊高技术领域, 有标准, 在 没 国家 有 关 的 立 法 、 法 执 涉密 数 据 信 息 吸引 了 更 多 的来 自互 联 网 的计 算 机 病 毒 入 侵 和 非 授 权 就 会 因 缺 乏 相 应 的技 术 尺 度 而 失 之 偏 颇 , 终 会 给 国家 信 息 安 全 的 管 最 访 问攻 击 , 而 给 政 务 系 统 带 来 严 重 的安 全 威 胁 。 从 近年 来 , 务 系 统 受 政 理 带 来 严 重 后 果 。缺 乏 安 全 标 准 不 但 会 造 成 管理 上 的混 乱 , 且 也 会 而 破 坏 带 来 的信 息 安 全 问题 越 来 越 尖 锐 , 已经 成 为社 会 各 界 关 注 的 重 要 使攻 击 者更 容 易 得 手 。 此 为 保 障 电 子 政 务 信 息 资 源 共 建 与 共 享 过 程 因 课 题 , 不 能 有 效 保 障 电 子 政 务 系 统 的 安 全 运 行 , 仅 关 系 到 电 子 政 能 不 中 的 信 息 安 全 , 须 要 解 决 共建 与 共 享 的 标 准 化 建 设 问题 , 其 是 信 息 必 尤 务 系 统 本 身 能 否 切 实 得 到 应 用 . 系 到 政 府 工 作 模 式 的 如 愿 转 变 和 工 关 安全 标 准 化 问 题 。 作 效 率 的提 升 ; 同时 更 深 层 次 地 关 系 到 国家 的 信 息 安 全 与 稳 定 。 34 建立 健 全 电 子 政务 信 息安 全 法 律保 障 体 系 .

构建政务网平台安全保障体系

构建政务网平台安全保障体系
的管理和控 制 。同时 ,按信 息安全等级保 护的要求 ,必须
安全管理 平 台的一 个再要作 用是 用于收集设 备运行 目 志 ,但不 同厂 家 V志格式没有 统一标准 ,导 致安管平 台无 I
法兼 容 ,只能通过 定制 ,针对不 同厂家设备一一 定制 ,一
旦系 统升级 ,定制 部分面临重新开 发的问题 ,阻碍 了平台
设 之初 ,就 应 该考 虑 电子政 务 安全 体 系建设 ,就 必须 把
于复 杂 ,会给今后管理 带来很大不 便 ;在划分 的保证 各个 安全域之 间路 由或者交换跳数不应该过多 。
另外 ,安 全域 划 分 的 目的是 发挥 安 全 产品 的 整 体效
安 全 保障 作 为首 要任 务 。安全 体 系 的设 计和建 设应 按 照
44 从 国 家有 关 法 律 、法 规 、安 全 保 密 要 求 .遵
去 。山西省 电子政 务外 网K 中心 也是 国家 电子政务外 网 A C 信任体系 的省 级注册节 点 ,由国家统一规划与安排 。在 A 向市级节点 的延 伸工作 中 ,将根据业 务系统建设 的进展情
在电子政务 的安全保 障体系建设 和运维过程 中要严格
与 实践 的磨合 ,山西省 电子政务外 网在 等级保护测评 和风 险评估方 面是走在省级 平台前列 的,但在 工作开展过程 中 也发现 了一 些问题 :如按 照相关要求进行 安全整改 ,要 求
统外 ,还建 立 了业 务监控系 统主 要负责对 应用业务 的监控
和 管理 , 网络层 、服务层 、 用层三个方 面综合考 虑 , 从 应 网络管理 、 务管理 、业务管理 一个都不 能少 ,实现 了网 服 络 的融合 、业 务的融合 、管理 的融合 ,形成 涵盖物理层 到

电子政务信息安全等级保护实施指南

电子政务信息安全等级保护实施指南

电子政务信息安全等级保护实施指南(试行)国务院信息化工作办公室2005年9月目录1 引言 (1)1.1 编写目的 (1)1.2 适用范围 (1)1.3 文档结构 (1)2 基本原理 (2)2.1 基本概念 (2)2.1.1 电子政务等级保护的基本含义 (2)2.1.2 电子政务安全等级的层级划分 (3)2.1.3 电子政务等级保护的基本安全要求 (4)2.2 基本方法 (4)2.2.1 等级保护的要素及其关系 (4)2.2.2 电子政务等级保护实现方法 (5)2.3 实施过程 (6)2.4 角色及职责 (9)2.5 系统间互联互通的等级保护要求 (10)3 定级 (10)3.1 定级过程 (11)3.2 系统识别与描述 (11)3.2.1 系统整体识别与描述 (11)3.2.2 划分子系统的方法 (12)3.2.3 子系统识别与描述 (13)3.3 等级确定 (13)3.3.1 电子政务安全属性描述 (13)3.3.2 定级原则 (13)3.3.3 定级方法 (16)3.3.4 复杂系统定级方法 (17)4 安全规划与设计 (18)4.1 系统分域保护框架建立 (18)4.1.1 安全域划分 (18)4.1.2 保护对象分类 (19)4.1.3 系统分域保护框架 (21)4.2 选择和调整安全措施 (22)4.3 安全规划与方案设计 (24)4.3.1 安全需求分析 (24)4.3.2 安全项目规划 (24)4.3.3 安全工作规划 (25)4.3.4 安全方案设计 (25)5 实施、等级评估与运行 (25)5.1 安全措施的实施 (25)5.2 等级评估与验收 (25)5.3 运行监控与改进 (26)附录A术语与定义 (27)附录B 大型复杂电子政务系统等级保护实施过程示例 (27)B.1 大型复杂电子政务系统描述 (27)B.2 等级保护实施过程描述 (28)B.3 系统划分与定级 (29)B.3.1 系统识别和子系统划分 (29)B.3.2 系统安全等级确定 (29)B.3.3 系统分域保护框架 (30)B.4 安全规划与设计 (33)B.4.1 安全措施的选择与调整 (33)B.4.2 等级化风险评估 (34)B.4.3 等级化安全体系设计 (34)B.4.4 安全规划与方案设计 (36)B.5 安全措施的实施 (39)图表目录图2-1电子政务等级保护的实现方法 (6)图2-2电子政务等级保护的基本流程 (7)图2-3等级保护过程与新建和已建系统生命周期对应关系 (9)图3-1定级工作流程 (11)图4-1安全规划与设计过程 (18)图4-2电子政务的保护对象及信息资产 (20)图4-3系统分域保护框架示意图 (22)图4-4确定安全措施的过程 (22)图4-5系统安全需求 (24)图5-1安全措施的实施 (25)图5-2等级保护的运行改进过程 (26)表2-1电子政务系统五个安全等级的基本内容 (3)表3-1电子政务安全等级在安全属性方面的描述 (15)表4-1安全措施的调整因素和调整方式 (23)电子政务信息安全等级保护实施指南(试行)1 引言1.1 编写目的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号,以下简称“27号文件”)明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。

山西省电子政务外网标准规范体系建设研究

山西省电子政务外网标准规范体系建设研究

山西省电子政务外网标准规范体系建设研究【摘要】本文结合山西省电子政务外网标准规范体系建设实践,从标准规范的总体框架、建设内容、指标选取、编制经验等方面介绍了如何制定一套适用于全省电子政务外网建设和运维管理的标准规范体系。

【关键词】标准规范;电子政务电子政务外网是国家电子政务网络的重要组成部分,是在信息化条件下支撑各级政务部门行使职能的重要基础设施,而标准化是电子政务外网建设的基础,是电子政务系统实现互联互通、信息共享、业务协同和安全可靠的重要前提。

“统一标准,保障安全”是我国电子政务建设重要的工作原则之一。

标准化是支撑电子政务的重要手段。

为规范山西省电子政务外网平台建设,指导各级、各政府部门更好地推进电子政务建设,促进山西省电子政务外网的健康发展,根据省发改委《关于山西省电子政务外网(一期)工程初步设计的批复》内容,在山西省政务外网建设的同时,进行了有关标准规范的编制。

一、山西省电子政务外网标准规范体系总体框架本标准规范总体框架分为技术标准、管理规范和附录三部分,涉及网络、安全、应用、管理和机房五个方面15项(山西省电子政务外网技术标准和管理规范总体框架如图1所示)。

其中:网络方面的标准规范是本项目建设的重点内容。

内容涵盖网络总体标准、网络基础设施标准和网络管理标准;安全方面的标准规范主要内容是如何确保网络和应用系统的安全运行。

其技术标准和管理规范以直接采用为主;应用方面的标准规范主要内容在目前省电子政务外网应用需求情况下,参考相关电子政务应用标准制定;管理方面的标准规范,涉及外网网络基础设施、应用等各层面的技术和运营管理,主要包括在外网项目建设阶段直接采用国家有关项目管理的相关标准、规范以及建立在外网项目运行维护阶段需要的相关标准、规范等。

图1 《山西省电子政务外网技术标准和管理规范》总体框架图二、本标准规范体系主要内容(一)内容选择原则《山西省电子政务外网技术标准和管理规范》主要内容选择的原则是:坚持国家已有标准为主、制定为辅的原则:所选指标元素都要求符合国家统一的技术路线、符合国家外网体系标准要求。

电子政务涉密信息系统的分级保护建设

电子政务涉密信息系统的分级保护建设

电子政务涉密信息系统的分级保护建设作者:姜楚江来源:《信息化建设》2009年第01期当前,我国电子政务建设取得了显著成效。

同时,由于国际国内形势特点,信息安全保密问题日益突出,病毒、木马、网络攻击等越来越多,给国家安全带来威胁。

很多单位开始准备涉及国家秘密的信息系统(以下简称涉密信息系统)建设,但由于对政策的不了解,加之建设标准的复杂和操作难度等问题,导致一些单位感到无从下手,建设进度缓慢。

本文从涉密信息系统准备、实施、测评、监管等方面作了阐述,供大家参考。

2003年9月7日,中共中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强国家信息安全保障工作的意见》,明确提出了开展信息安全等级保护的任务,指出涉密信息系统要按照党和国家的有关保密规定进行保护。

中央保密委员会于2004年12月23日下发了《关于加强信息安全保障工作中保密管理若干意见》,明确提出要建立健全涉密信息系统分级保护制度。

2006年1月17日,公安部等四部门下发了《信息安全等级保护管理办法(试行)》,其中规定:涉密信息系统应当依据国家信息安全等级保护的基本要求,按照涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。

从广义上来讲, 涉密信息系统分级保护是信息安全等级保护的一个重要内容和组成部分,但两者有区别也有联系,从表一可以看出,涉密信息系统分级保护三个等级的防护水平不低于国家等级保护的第三、四、五级要求。

涉密信息系统分级保护是指建设使用单位根据分级保护管理办法和有关标准,对涉密信息系统分等级实施保护,各级保密工作部门根据涉密信息系统的保护等级实施监督管理,确保系统和信息安全。

按照处理信息的最高密级确定,涉密信息系统由低到高划分为秘密、机密和绝密三个等级。

绝密级信息系统应限定在封闭、安全可控的独立建筑群内。

下面谈下建设过程。

一、涉密信息系统分级保护实施过程(一)学习相关文件和标准。

近年来,由于信息安全技术的快速发展,涉密信息系统的建设标准也不断变化。

政府行业电子政务平台数据安全方案

政府行业电子政务平台数据安全方案

行业电子政务平台数据安全方案第一章数据安全概述 (3)1.1 数据安全重要性 (3)1.2 电子政务平台数据安全现状 (3)第二章数据安全法律法规与政策 (4)2.1 国家相关法律法规 (4)2.1.1 法律层面 (4)2.1.2 行政法规层面 (4)2.2 政策标准与规范 (5)2.2.1 政策层面 (5)2.2.2 标准与规范层面 (5)2.3 行业数据安全要求 (5)第三章数据安全组织架构与职责 (6)3.1 组织架构设计 (6)3.1.1 建立数据安全领导小组 (6)3.1.2 设立数据安全管理机构 (6)3.1.3 建立数据安全责任体系 (6)3.2 数据安全管理职责 (6)3.2.1 数据安全领导小组职责 (7)3.2.2 数据安全管理机构职责 (7)3.2.3 各部门职责 (7)3.3 数据安全培训与考核 (7)3.3.1 数据安全培训 (7)3.3.2 数据安全考核 (7)第四章数据安全风险识别与评估 (8)4.1 数据安全风险类型 (8)4.2 风险识别方法 (8)4.3 风险评估与处理 (8)第五章数据安全防护技术 (9)5.1 数据加密技术 (9)5.1.1 加密算法选择 (9)5.1.2 加密技术应用 (9)5.2 数据访问控制 (9)5.2.1 访问控制策略 (9)5.2.2 访问控制实施 (10)5.3 数据备份与恢复 (10)5.3.1 备份策略 (10)5.3.2 备份存储 (10)5.3.3 恢复策略 (10)第六章数据安全监测与预警 (11)6.1 监测系统设计与实施 (11)6.1.1 监测系统设计原则 (11)6.2 预警机制建设 (11)6.2.1 预警机制设计原则 (11)6.2.2 预警机制建设内容 (12)6.3 应急预案制定 (12)6.3.1 应急预案编制原则 (12)6.3.2 应急预案编制内容 (12)第七章数据安全事件处理与应急响应 (13)7.1 数据安全事件分类 (13)7.1.1 按影响范围分类 (13)7.1.2 按紧急程度分类 (13)7.1.3 按攻击类型分类 (13)7.2 应急响应流程 (13)7.2.1 事件发觉与报告 (13)7.2.2 事件评估 (14)7.2.3 应急响应启动 (14)7.2.4 应急处置 (14)7.2.5 事件调查与原因分析 (14)7.2.6 事件总结与改进 (14)7.3 数据安全事件通报与总结 (14)7.3.1 事件通报 (14)7.3.2 总结报告 (14)第八章数据安全审计与合规 (14)8.1 审计制度与流程 (14)8.1.1 审计制度的建立 (14)8.1.2 审计流程的设计 (15)8.2 数据安全合规性评估 (15)8.2.1 评估指标的设定 (15)8.2.2 评估方法的选择 (15)8.2.3 评估结果的运用 (15)8.3 审计报告与应用 (16)8.3.1 审计报告的编制 (16)8.3.2 审计报告的提交与审批 (16)8.3.3 审计报告的应用 (16)第九章数据安全培训与文化建设 (16)9.1 培训体系构建 (16)9.1.1 培训目标 (16)9.1.2 培训内容 (16)9.1.3 培训方式 (17)9.2 数据安全文化建设 (17)9.2.1 文化内涵 (17)9.2.2 文化建设策略 (17)9.3 数据安全意识提升 (17)9.3.1 意识提升目标 (17)第十章数据安全国际合作与交流 (18)10.1 国际数据安全法规与标准 (18)10.2 国际合作与交流平台 (18)10.3 数据安全国际发展趋势与应对策略 (19)第一章数据安全概述1.1 数据安全重要性在当今信息化社会,数据已成为国家、企业和个人重要的战略资源。

电子政务外网安全等级保护基本要求(试行)

电子政务外网安全等级保护基本要求(试行)

电子政务外网安全等级保护基本要求(试行)附件 2:国家电子政务外网安全等级保护基本要求(试行)Baseline for classified protection of National E-Government Network国家电子政务外网管理中心二○一一年十二月目次前言 .............................................................................................................................................................. (1)引言 (2)适用范围 (3)2. 规范性引用文件 (3)3. 术语和定义 (3)4. 政务外网资产、威胁分析和脆弱性 (5)4.1. 资产分析 (5)4.2. 威胁分析 (6)4.3. 脆弱性分析 (7)5. 政务外网安全等级保护概述 (8)5.1. 政务外网安全保护等级 (8)5.2. 不同等级的安全保护能力 (8)6. 第二级基本要求 (9)6.1. IP 承载网96.1.1. 广域网 (9)6.1.2. 城域网 (9)6.1.3. 用户局域网 (10)6.2. 业务区域网络 (10)6.2.1. 公用网络区 (10)6.2.2. 互联网接入区 (10)6.3. 管理区域网络 (11)6.3.1. 网络管理区 (11)6.3.2. 安全管理区 (11)7. 第三级基本要求 (11)7.1. IP 承载网117.1.1. 广域网 (11)I7.1.2. 城域网 (12)7.1.3. 用户局域网 (13)7.2. 业务区域网络 (14)7.2.1. 公用网络区 (14)7.2.2. 互联网接入区 (14)7.2.3. 专用网络区 (15)7.3. 管理区域网络 (15)7.3.1. 网络管理区 (15)7.3.2. 安全管理区 (16)7.3.3. 电子认证区 (16)II为了贯彻国家信息安全相关法律法规,落实信息安全等级保护相关技术要求,根据国家标准GB/T 22239-2008 《信息系统安全等级保护基本要求》的要求,为规范国家电子政务外网安全等级保护的工作,针对政务外网的具体情况,特制定本要求。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

精品文章
《电子政务等级保护安全保障体系研究》
摘要。随着5g网络通信技术的发展,万物互联逐步形成,网络
攻击行为越来越频繁和多样化,构建符合等级保护2.0技术要求、主
动防御网络攻击行为的电子政务安全保障体系,尤为重要。
关键词:电子政务;等级保护;安全保障体系;区域边界安全
随着5g网络通信技术的发展,万物互联正逐步形成,每个被接
入网络的点都有可能被黑客利用,网络攻击的行为越来越频繁,攻击
方式越来越多样化;政府大力推进“一网办”,电子政务网作为“一网
办”的承载体,安全保障体系尤为重要。本文以市级电子政务网为例,
结合实际工作,阐述如何构建具有主动防御功能的安全保障体系。
1电子政务主动防御体系
2电子政务安全等级确定
按照《ga/t1389-xx信息安全技术网络安全等级保护定级指南》,
从业务信息安全和系统服务安全两个方面对电子政务网进行定级。电
子政务网承载了政府办公业务以及公众服务业务,业务安全级别较高;
一旦业务数据遭受攻击,将影响政府办公、公众办理业务,更严重者,
可能导致政府决策信息泄露或数篡改,影响社会秩序和公共利益,不
影响国家安全。在系统安全服务层面,电子政务保障了各业务系统正
常被访问,数据正常传输,安全级别较高;一旦电子政务遭受攻击,
导致网络中断,影响社会秩序和公共利益,不影响国家安全。综合业
务信息安全和系统服务安全两个方面的认识,根据定级指南,电子政
务定级为三级。
精品文章
3电子政务等级保护安全总体设计
针对电子政务按照不同的区域以及行业进行分域保护,充分考虑
到电子政务发展中的不同类别、阶段以及等级等,将其划分为相应的
安全区域进行管理[2]。电子政务等级保护安全总体设计,遵循等级保
护2.0技术标准,从技术和管理两个方面构建,技术方面包括安全通
信网络、安全区域边界、安全计算环境和安全管理中心等五个方面;
管理方面包括安全管理制度、安全管理机构、安全管理人员、安全建
设管理和安全运维管理等五个方面。由此构建电子政务的安全保障机
制[3]。
4电子政务等级保护安全保障体系构建
构建电子政务的安全保障体系,根据《gb/t22239-xx信息安全技
术网络安全等级保护基本要求》,形成一个中心三重防护,建立以计
算环境安全为基础,以区域边界安全、通信网络安全为保障,以安全
管理中心为核心的信息安全整体保障体系。
4.1建立电子政府分域保护框架。按照等级保护三级技术要求,
网络架构应划分不同的网络区域,并按照方便管理和控制的原则为各
网络分配地址,且重要网络区域与其他网络区域之间应采用可靠的技
术手段隔离。由此将安全保障机制划分为5域15区机制[4]。5域包
括基础设施域、通信网络域、区域边界域、计算环境域和安全管理
域;15区包括非涉密机房区、网络边界区、核心数据区、托管服务区、
业务系统区、业务测试区、涉密机房区、电子政务内网区、电子政务
外网区、终端边界区、资源共享交换区、办公区、安全管理区、安全
精品文章
服务区、安全运维区。
4.2建立主动防御的保障体系。按照电子政务网的定级标准以及
《gb/t22239-xx信息安全技术网络安全等级保护基本要求》技术要求,
从基础设施安全、安全区域边界、安全通信网络和安全计算环境等几
个方面构建主动防御的保障体系。
4.2.1加强基础设施安全。基础设施安全主要包括机房访问控制、
机房环境、设备与介质管理等。机房访问控制中对机房的外来人员制
定访问条件,由专人对外来访问人员进行审批,为其设置方位授权目
标。按照gb50174-xx中的相应要求设置机房中的墙壁、装修方式、门、
天花板等,并在机房中安装配置ups、过电压防护设备、并行电路、
供电线路上配置稳压器等。在机房中安装火灾自动消防系统以及精密
空调。设备与介质管理过程中,为系统安装防盗报警系统、监控系统,
将一些较为敏感的安全业务信息安装在较为安全的区域内。并为机房
管理建立环境监控制度以及出入管理制度[5]。
4.2.2加强区域边界安全。电子政务网分内网和外网,加强外网
与内网之间的隔离;在外网与内网之间加强不同安全域的安全边界设
置。加强边界设置的完整性,在电子政务使用过程中阻断非法网络接
入行为、非法外联行为的进攻,构成可信接入网络。由终端网络准入、
边界网络接入构成网络可信接入,由移动客户端、pc客户端共同构
成终端网络准入,为系统运行建立认证、安全隧道、访问权限控制等
多种机制。建立有效的边界入侵防范机制,在电子政务系统运行内部
建立多手段检测方式,使得系统运行中能够抵御外部多项网络的入侵
精品文章
与攻击。并对此能够及时识别并建立相应的报警机制。
4.2.3构建安全通信网络。保证通信的完整性和保密性。部署系
统保证数据传输的完整性和保密性。利用安全隧道、认证、访问权限
控制、分域防控等安全机制,实现政务网络互联安全、移动办公安全、
重点区域的边界防护安全。安装部署网络堡垒机对网络设备运维人员
进行usbkey+密码进行身份鉴别,对网络设备管理员登录地址进行限
制,加密会话,并且记录及审计操作日志,以便进行责任认定与事件
跟踪。
4.2.4加强计算环境安全。统一身份管理与授权管理系统。统一
身份管理与授权管理系统作为安全管理中心的一部分,部署于安全管
理域。统一身份认证与授权管理系统完成用户统一身份认证、授权管
理等功能。身份管理和授权管理是访问控制的前提,身份管理对用户
的身份进行标识与鉴别;授权管理对用户访问资源的权限进行标识与
管理。通过采用统一身份认证、统一授权管理和访问控制等安全机制,
结合应用系统的工作流访问控制,解决了政务办公系统的信息传输安
全、身份鉴别、系统使用权限控制与信息访问权限控制等安全问题。
5结语
网络安全是电子政务建设过程中首先考虑的重要因素之一,在运
行过程中严格践行一个中心、三重防护的安全保障体系,建立电子政
府分域保护框架,建立安全技术体系,加强基础设置安全,加强区域
边界安全,加强计算环境安全,构建主动防御的安全保障体系。
参考文献
精品文章
[1]丁震.为电子政务护航建立安全管理体系——国家计委完成等
级保护试点[j].信息网络安全,xx(5):
[2]宋丽丽.基于sse-cmm的重庆市电子政务安全风险评估与信
息安全保障体系的构建与实现[d].重庆:重庆大学,xx.
[3]王靖.构建符合国家安全标准要求的市级金保工程安全体系[j].
中国新通信,xx,20(7):14-149.
[4]黄晓波,尚艳伟,林细君.基于等级保护设计要求下的移动业
务系统安全防御体系[j].中国信息化,xx(4):78-79.
[5]李兆君,张建,宋宸.地铁票务系统信息安全等级保护建设方
案探讨[j].设备管理与维修,xx(15):105-107.
内容仅供参考

相关文档
最新文档