電子政務信息化建設中安全方案設計策略

郭兵

【摘要】? ? 圍繞著便利和快捷使用體驗的安全問題始終應作為各類信息化系統(tǒng)建設的重中之重，如何在系統(tǒng)建設的立項研究階段就開始著重系統(tǒng)的進行安全系統(tǒng)部分的規(guī)劃設計的問題，是各級項目建設單位、審批單位和設計及實施單位應重點關注的。

【關鍵詞】? ? 電子政務? ? 安全系統(tǒng)? ? 設計策略

一、系統(tǒng)的定級和備案

國家《關于加強信息安全保障工作的意見》指出，實行等級保護是信息安全保障的基本政策，各部門、各單位都要根據(jù)等級保護制度的要求，結合各自的特點，建立相應的安全保護策略、計劃和措施。通過將等級化方法和安全體系方法有效結合，建設等級化的信息安全保障體系。所以在項目立項建設方案編制中應明確提出本次項目中信息系統(tǒng)的安全保護等級定級的級別。

二、安全風險的分析

（1）劃分安全邊界。基于邊界的安全隔離與訪問控制是傳統(tǒng)安全防護的重要原則，依賴于區(qū)域間的區(qū)域邊界，需要著重考慮對不同要求的安全區(qū)域設置差異化的安全防護策略。

（2）穩(wěn)定可靠要求更高。現(xiàn)在信息化建設中的各業(yè)務系統(tǒng)對于穩(wěn)定性和可靠性的運行要求越來越高，這就對項目建設中的系統(tǒng)平臺服務的穩(wěn)定性、安全策略部署、容災恢復能力和事件處理審計等更多的關注。

（3）數(shù)據(jù)安全問題。在傳統(tǒng)信息化系統(tǒng)網絡中各種應用服務的標準流量和突發(fā)流量有跡可循，流量模型設計相對較為規(guī)范、簡單，如果對于云平臺等虛擬化環(huán)境下，同類型存儲或者應用服務器的規(guī)模增長較快，應考慮依托統(tǒng)一架構的基礎網絡來承載，配置性能指標更高的安全設備，還要考慮用戶的數(shù)據(jù)存儲、處理、網絡傳輸?shù)扰c虛擬化系統(tǒng)有關的安全要求，以及多用戶共存帶來的潛在風險;確保面向使用者的身份鑒別、認證管理和訪問控制等安全機制符合用戶的需求。

三、安全策略部署原則

（1）遵循國家、地方、行業(yè)相關法規(guī)和標準;（2）貫徹等級保護和分域保護的原則;（3）管理與技術并重，互為支撐，互為補充，相互協(xié)同，形成有效的綜合防范體系;（4）充分依托已有的信息安全基礎設施，加快、加強信息安全保障體系建設。（5）相對應級別的安全的信息系統(tǒng)應具備對信息和系統(tǒng)進行基于安全策略強制的安全保護能力。（6）在技術策略方面，相對應級別的安全要求按照確定的安全策略，實施強制性的安全保護，使數(shù)據(jù)信息免遭非授權的泄露和破壞，保證較高安全的系統(tǒng)服務。（7）對計算機、網絡的設備、環(huán)境和介質采用較嚴格的防護措施，確保其為信息系統(tǒng)的安全運行提供硬件支持，防止由于硬件原因造成信息的泄露和破壞。（8）通過對局域計算環(huán)境內各組成部分采用網絡安全監(jiān)控、安全審計、數(shù)據(jù)、設備及系統(tǒng)的備份與恢復、集中統(tǒng)一的病毒監(jiān)控體系、兩種鑒別方式組合實現(xiàn)的強身份鑒別、細粒度的自主訪問控制、滿足安全系統(tǒng)定級要求的操作系統(tǒng)和數(shù)據(jù)庫、較高強度密碼支持的存儲和傳輸數(shù)據(jù)的加密保護、客體重用等安全機制，實現(xiàn)對局域計算環(huán)境內的信息安全保護和系統(tǒng)安全運行的支持。（9）采用分區(qū)域保護和邊界防護，在不同區(qū)域邊界統(tǒng)一制定邊界訪問控制策略，實現(xiàn)不同安全等級區(qū)域之間安全互操作的較嚴格控制。（10）按照系統(tǒng)化的要求和層次化結構的方法設計和實現(xiàn)安全系統(tǒng)，增強各層面的安全防護能力，通過安全管理中心，在統(tǒng)一安全策略下對系統(tǒng)安全事件集中審計、集中監(jiān)控和數(shù)據(jù)分析，并做出響應和處理，從而構建較為全面的動態(tài)安全體系。（11）在管理策略方面，應建立完整的信息系統(tǒng)安全管理體系，對安全管理過程進行規(guī)范化的定義。根據(jù)實際安全需求，成立安全管理機構，配備專職的安全管理人員，落實各級領導及相關人員的責任。

四、安全方案體系架構設計建議圖

安全系統(tǒng)的信息安全體系涉及到物理安全、網絡安全、主機安全、數(shù)據(jù)安全和應用安全五個層面，涵蓋身份認證、訪問控制、內容安全、監(jiān)控審計、備份恢復的內容。

結論：近年來各類政務信息化建設項目的建設要求越來越迫切，通過對電子政務信息化建設方案內的安全系統(tǒng)進行全面和系統(tǒng)的設計，可以保證項目立項研究申報階段對于項目中涉及的安全系統(tǒng)部署的策略和方案最大可能的全面和優(yōu)化，進而要求和指導后期的項目采購、建設和運行，保障電子政務各類應用安全可靠的運行。