新疆科技電子政務系統安全體系研究

（新疆科技發展戰略研究院，烏魯木齊市，830011）宋勇

新疆科技電子政務系統安全體系研究

（新疆科技發展戰略研究院，烏魯木齊市，830011）宋勇

近年來網絡安全形勢日益惡化，網絡攻擊技術和手段不斷趨于復雜和隱蔽，來自境內外違法犯罪分子和組織以及外國敵對勢力、恐怖組織和民族分裂勢力等等的網絡攻擊活動從未停止，信息安全問題成為我區信息化建設過程中的亟待解決的重要問題之一。本文根據我區科技電子政務系統的實際情況，按照接人點各部分的應用和特點分別進行安全分析和設計，將我區電子政務系統的安全體系提升到較高的安全級別，確保整個網絡安全、穩健的運行。

電子政務；信息安全；安全體系

1 背景研究

隨著我國政務信息公開力度的不斷加大，電子政務信息系統日前普及。電子政務系統幫助我國政府機關實現網上辦公、管理，以及提供各種公共服務，大大地推進了我國的信息化進程。然而近年來網站被黑、服務器被攻擊等現象頻繁發生，信息安全問題日益成為全球關注的焦點。如何利用信息安全的技術、手段和方法，確保政府部門正確、流暢地發揮部門職能，進而維護國家形象、維護社會穩定和國家安全，成為電子政務工作中的關鍵問題。特別是我區7.5事件后，網絡安全形勢日益惡化，網絡攻擊技術和手段不斷趨于復雜和隱蔽，來自境內外違法犯罪分子和組織以及外國敵對勢力、恐怖組織和民族分裂勢力等等的網絡攻擊活動從未停止，信息安全問題更是成為我區信息化建設過程中的亟待解決的重要問題之一。根據我區科技電子政務系統的實際情況，按照接人點各部分的應用和特點分別進行安全分析和設計，對機房安全、設備安全、介質安全三個方面進行物理安全部署，對結構安全和網段劃分、邊界安全、網絡訪問控制、網絡入侵檢測、惡意代碼防范、網絡設備防護、網絡安全審計和傳輸安全等需要控制的七項網絡安全內容進行逐一地規劃與實施，通過部署主機審計系統、主機入侵檢測系統等安全產品來實現訪問控制、安全審計、入侵防范、資源控制、通信完整性、保密性等安全功能，將我區電子政務系統的安全提升到較高的安全級別，確保整個網絡安全、穩健的運行。

2 面臨的主要威脅

2.1 物理層安全威脅

設備的被盜、惡意破壞、線路截獲監聽、電磁干擾、電源掉線以及設備的損壞等。這些都對整個網絡的基礎設備及上層的各種應用有著嚴重的安全威脅。

2.2 網絡層安全威脅

網絡層是網絡入侵者進攻信息系統的渠道和通路。許多安全問題都集中體現在網絡的安全方面。大型網絡系統內運行的TCPIP協議并非專為安全通訊而設計，所以網絡系統存在大量安全隱患和威脅。

2.3 系統層安全威脅

系統層的安全威脅主要是操作系統平臺的安全威脅。由于現代操作系統的代碼龐大，從而在不同程度上都存在一些安全漏洞。操作系統自身的脆弱性將直接影響到其上所有的應用系統的安全性。

2.4 應用層安全威脅

應用層安全是指用戶在網絡上的應用系統的安全，包括郵件系統、WEB、DNS以及各種業務系統等。雖然應用系統復雜多樣，但都存在一些廣為人知的漏洞，容易被人作為攻擊的切入點。

2.5管理層安全威脅

沒有完善的網絡與安全人員管理制度；沒有定期對現有的操作管理人員進行安全培訓；網絡或安全設備的登陸密碼安全策略強度不符合要求；沒有及時獲知安全狀態及最新安全漏洞的途徑；對于可能出現的安全問題，沒有一套完整的處理流程。

3 對策建議

我區科技電子政務系統安全體系框架針對電子政務系統面臨的五個層面安全威脅分析進行設計，對電子政務系統提供保護的整體策略集合，包括運行管理安全、物理環境保障、數據安全、資源可信和網絡及系統安全等內容。安全體系框架在物理環境安全的保障下，提供數據安全、資源可信和網絡及系統安全三大類安全支撐，確保用戶環境、應用與數據環境和網絡基礎環境的安全，同時運行管理安全貫穿其中，共同為我區科技電子政務系統提供多級別、多層面的保護。

3.1 安全域的劃分

安全域的規劃是通過對業務資源的分析，確定其保護的范圍和等級，并采取相應的保護措施，主要包括安全定級、安全域劃分和安全策略配置三部分內容。

3.2 安全技術體系設計

我區科技電子政務系統安全技術體系由安全支撐平臺和安全應用支撐平臺兩部分構成。安全支撐平臺以密碼技術為基礎，為安全應用支撐平臺和電子政務系統提供信息保護、身份認證、訪問控制等安全服務。安全應用支撐平臺以呼叫控制、業務控制、媒體控制和業務管理為主要內容，為電子政務系統提供可信的呼叫控制、應用整合、媒體控制和資源管理等應用支撐服務，并以用戶為中心提供基本網絡業務服務。

3.3 安全管理體系設計

我區科技電子政務系統，僅僅靠技術手段難以防范所有的安全隱患，還需要建立相應的安全管理體系。安全管理體系主要包括有安全策略、安全組織和安全制度。

3.3.1 安全策略

做到全面、靈活使用，必須對信息系統進行全面細致的調查、評估之后，結合我區科技電子政務的業務流程，制定出符合實際情況的安全策略體系。安全策略體系包括安全方針、主策略、子策略和電子政務系統日常管理所需要的制度。

3.3.2 安全組織

為保障我區科技電子政務系統信息的安全，需要在條件合適的時候建立合適的安全管理組織框架，以保證在組織內部開展和控制信息安全的實施。建立具有管理權的適當的信息安全管理委員會來批準信息安全方針、分配安全職責并協調組織內部信息安全的實施。如有必要，應在組織內建立提供信息安全建議的專家小組并使其有效。

3.3.3 安全制度

電子政務系統是一個安全性要求非常高的系統，所以安全制度要求也很嚴格。必須由管理層制定切實可行的日常安全保密制度、審計制度、機房管理、操作規程管理、系統維護管理等，明確定義日常安全審計的例行制度、實施日程安排與計劃、報告的形式及內容、達到的目標等。

3.4 安全服務體系設計

電子政務系統安全服務體系設計強調以“安全人”為核心，包括以下安全服務內容。

3.4.1 安全評估審計服務

定期檢查電子政務系統的安全現狀，以便動態的調整安全防護策略。

3.4.2 安全增強加固服務

針對安全狀況的動態變化，及時彌補最新出現的各類安全漏洞、安全隱患。

3.4.3 安全信息通告服務

過郵件、WEB網站或電話等方式，為我區科技電子政務系統提供及時的、有針對性的各類安全信息，信息系統維護人員及時了解最新安全動態。

3.4.4 安全應急響應服務

針對我區科技電子政務系統隨機出現的重大、疑難安全故障進行及時的專家安全響應和恢復，提高政務系統應對重大安全事故的能力，保障系統各業務網絡的業務連續性。

3.4.5 專業安全培訓服務

電子政務系統的長期安全保障必須依賴各類人員的安全技能和安全意識水平的提高，進行專業安全培訓是提高安全技能和安全意識水平的最佳方式之一。

4 結語

無論采用什么樣的網絡結構和應用體系，對于電子政務系統來說，安全總是第一位的。因此，信息安全是電子政務的頭等大事，加強和提高信息安全管理能力和水平，防范信息安全風險，保障政務系統安全穩定運行，對電子政務信息安全體系研究，對于推動我區科技電子政務建設具有重大的現實意義。

[1]王歡喜，王正明.我國電子政務發展現狀與對策研究[J].《人間》.2015，（15）:198

[2]李曉明，電子政務安全保障體系[J].《通訊世界》.2015，（6）:219-220

[3]劉揚.淺談電子政務安全保障體系的構建. [J]..《計算機光盤軟件與應用》，2014，(24):204～205

TP391

B

1008-0899（2016）02-0024-02