電子政務公共平臺安全管理系統設計與研究

梁曉雁

摘 要：該課題主要是基于電子政務公共平臺信息安全管理的設計與研究，是基于信息安全等級保護，保障基礎設施、硬件和重要信息系統的安全，以為電子政務公共平臺提供有效的安全技術和安全管理保障施，實現信息安全保障工作實施的重大的現實和戰略意義。信息安全管理基于平臺不同位置、不同安全系統的分散且海量的單一安全事件進行采集、分析、匯總、過濾、收集和關聯分析，總結分析全局角度的安全風險事件，并形成統一的安全決策對安全事件進行響應和處理。

關鍵詞：信息安全管理 等級保護 數據采集 日志管理

中圖分類號：TP39 文獻標識碼：A 文章編號：1672-3791（2015）11（c）-0007-02

我國電子政務建設正處在高速發展期，從中央到省市各級政府部門都投入了大量的人力和財力來推進信息化工作。電子政務公共平臺的頂層設計和實施建成，較大程度地提高了政府信息政務公開和共享等的工作效率和服務質量。電子政務公共平臺穩定和安全運行已經構成了政府運轉連續性的重要保障之一。 因此，電子政務公共平臺的安全保障工作已經成為政府信息化工作成敗的關鍵因素。信息安全的管理需要在各個層面為電子政務提供機密性、完整性、可用性、鑒別等安全服務。該文基于信息安全等級保護，從安全基礎設施、訪問控制策略、安全防御、安全監控、安全審計和安全響應恢復等研究信息安全研究電子政務的安全管理體系。從而從整體上提高電子政務公共平臺信息安全管理全面性。

1 研究思路

基于電子政務公共平臺服務的戰略定位、統籌規劃和實施路徑的總體把握，按照基于等級保護技術要求，并根據電子政務信息化服務業務安全需求，為信息化綜合服務提供安全支撐服務，從而使得平臺可以安全、穩定、可連續的進行信息化服務。重點保護基礎信息網絡和重要信息系統安全，實現信息安全服務支撐工作的有效安全技術和管理措施要求，以實現信息安全等級保護實施的重大的現實和戰略意義。

2 總體設計目標

（1）電子政務公共平臺安全管理建設的總體目標是統一技術標準，共建共享信息安全基礎設施，建立統一的公共密鑰基礎設施（PKI），實現跨系統的身份認證機制等。

（2）解決傳統信息化系統建設中，電子政務公共平臺基礎設施、信息資源與業務系統因所有權、使用權和管理權界定不清晰，存在基礎設施和業務應用的管理權限難以分離管理，責任權限過大或者過小，造成設備利用率不高，或容易出現信息安全事件的情況。

（3）解決不同的政府部分因不同的職能/服務導致的電子政務基礎設施和資源的重復建設和資金浪費問題。

（4）解決信息化綜合服務的安全服務支撐，實現各級信息系統的授權管理、認證服務、鑒別服務、訪問控制和數據防護的安全服務支撐，最終實現各級信息系統互聯互通的信息化服務。

3 設計分析

3.1 設計思路

（1）電子政務公共平臺安全管理建設統一管理電子政務邊界安全防護系統，集中建設互聯網接入點，實現部門互聯網的安全接入和可管可控可剝離等。

（2）電子政務公共平臺安全管理基于安全技術體系下，根據各自信息安全等級，建設、升級、完善安全系統等。

（3）電子政務公共平臺安全管理中心系統將不同位置、不同安全系統中分散且海量的單一安全事件進行匯總、過濾、收集和關聯分析，以全局角度分析信息安全風險和信息安全事件，形成分層次分區域的安全策略，以對安全事件進行響應和處置的綜合性信息安全管理平臺。

（4）電子政務公共平臺安全管理是一個跨系統、跨部門的綜合性服務信息系統，由虛擬資源管理系統、數據挖掘與智能瀏覽、虛擬資源隔離系統、信息資源目錄與交換系統、基于SOA的業務協同、多元數據融合與集成系統、數據庫資源整合與綜合應用、多級數據交換系統、信息服務資源運營管理平臺、信息化綜合服務管理平臺信息中心構成的完整獨立體系構成等。

（5）電子政務公共平臺信息安全管理是按照其保障工作流程，依次分為數據采集層、分析層、展示層等。

（6）電子政務公共平臺安全管理設計研究多種分類的數據接口，一方面滿足與用戶已有或后續建設的其他管理系統或平臺集成整合，另一方面，安全管理中心還提供了相關數據接口和配置接口，可對相關安全產品進行統一配置和管理等。

（7）電子政務公共平臺安全管理的數據采集層針對重要信息系統進行信息安全數據采集，包括關鍵業務系統環境相關的網絡設備、主機、安全產品等信息。

（8）電子政務公共平臺安全管理的分析層是安全運行管理的核心，負責對數據采集的信息進行分析處理，并對相關的信息安全風險和信息安全事件進行預警和響應等。

（9）電子政務公共平臺主要功能包括了安全監控、預警、告警、響應、信息安全策略管理和系統管理等。

（10）電子政務公共平臺安全管理的數據展示層提供了安全運行管理可視化界面，分為管理員界面和為客戶提供的可視化界面。管理員通過管理界面，對電子政務公共平臺整體信息安全態勢、管理和配置進行管理操作，主要包括網絡、系統運行、事件報警等展示和策略配置管理；為電子政務服務提供定制化全網的安全信息和安全狀態分析展示，包括風險預警、告警事件、故障分析、策略發布、報表報告等數據分析和展示功能等。

3.2 設計模型

（1）電子政務公共平臺安全管理中心系統。

①組成：數據采集層、數據和業務管理層、數據展示層等；

②通過數據接口連接外部產品管理接口，諸如，實時數據接口、文件接口、數據庫接口、其他接口等。

（2）電子政務公共平臺安全管理中心系統數據展示層。

①風險展現管理：包括，拓撲展示、運行狀態、實時性能、風險預警、告警事件、故障分析、策略發布、報表報告等。

②通過采集探針Probe整合，以Portal的方式進行多系統數據展示整合。

（3）電子政務公共平臺安全管理中心系統分析層。

①分析層是安全運行管理平臺的核心，由信息安全核心服務器和數據庫構成等。

②負責對前端信息安全數據采集的風險點進行分析，并對根據信息安全策略對安全目標進行預警和響應等。

③負責安全監控、預警、告警、響應、信息安全策略管理和系統管理等。

④組成：應用引擎平臺、業務邏輯子層、數據邏輯子層、資源管理（KBP）、數據管理（KPI）、南向適配（配置、性能、事件數據元素整形適配器）、采集調試管理等。

⑤業務邏輯子層通過工單交互、知識庫交互等，與企業整體的運維管理系統實現雙向接口等。

⑥數據邏輯子層通過CMDB復用等，以統一CMDB的形式與網管、運維系統整合等。

（4）電子政務公共平臺安全管理中心系統采集層。

①數據采集層針對重要信息系統進行信息安全數據采集，包括關鍵業務系統環境相關的網絡設備、主機、安全產品等信息。

②設計部署采集管理控制臺統一進行信息采集，并設計采集任務分發給相對應的采集點。

③設計可定制化的采集的策略，包括采集范圍對象、采集頻度、采集數量等。

3.3 數據模型分析

數據采集層設計采用以下網絡協議進行數據采集，列舉主要的安全管理中心應用的協議和技術實施例。

4 研究案例與成果

信息安全保障技術是為管理做技術支持，管理和技術并重。信息安全管理的策略設計與運行實施才是安全管理落地的根本，從運行和維護的信息安全角度，總結信息安全管理主要工作主要包括了：（1）建立完善的電子政務服務身份認證和訪問控制機制，規范管理電子政務服務信息安全標準規范和相關協議的合規性作業流程；（2）信息安全的管理運行分級分域進行信息安全管理，即采取分級控制和按業務類型重要程度分域的管理，并對運維人員的職責范圍明確劃分；（3）設立以政府為主導的第三方監督審計機構，對電子政務服務安全性、合規性監督測評；（4）定期開展信息安全培訓，加強人員的信息安全意識，健全內部機制，增強政府服務的安全防范意識和風險管理能力。

5 結語

該文研究信息安全管理系統滿足電子政務業務的安全事件集中收集和處理能力，構筑了基于資產安全屬性（CIA）和安全域的業務安全風險管理體系，通過關聯分析和客戶化關聯分析規則定義，實現準確的事件定位，形成了統一的安全知識共享體系，可實現多級不同管理模式的功能，具備安全管理中心的高容錯性、高可用性和高冗余可靠性。該研究成果具有良好安全管理中心的可擴展性，包括多級擴展、功能擴展，滿足級保護三級—— 監督保護級要求，并遵循《關于印發<信息安全風險評估指南>的通知》（國信辦【2006】9號）進行資產、弱點、威脅和采取的控制措施進行評估的要求。

參考文獻

[1] 周曉斌，董瑞陽.電子政務信息安全十大問題[N].計算機世界，2009-06-29.

[2] 唐珂.淺談我國電子政務建設及信息安全管理問題檔案學研究，2004（6）：38-47.

[3] 劉邦凡，王靜.論基于云計算的電子政務信息安全[J].電子商務，2013（11）：32-33.