我國交通運輸電子政務(wù)信息安全保障體系的構(gòu)建
作者:孫革新
評論: 更新日期:2011年10月05日
2我國交通運輸電子政務(wù)平臺信息安全保障體系的構(gòu)建
當(dāng)前我國交通電子政務(wù)實施過程的兩大矛盾的解決��,依賴于安全、穩(wěn)定���、可靠的交通運輸電子政務(wù)平臺信息安全保障體系���。對于電子政務(wù)平臺實施過程中所面臨的信息安全保障問題,我國早在2003年9月頒發(fā)的《關(guān)于加強信息安全保障工作的意見》中明確提出了建立等級保護制度和風(fēng)險管理體系的要求���。2004年11月��,公安部等國家四部委聯(lián)合推出信息安全等級保護要求�、測評準則和實施指南���,為政務(wù)領(lǐng)域進一步建立政務(wù)信息系統(tǒng)風(fēng)險管理體系提供了技術(shù)基礎(chǔ)和指導(dǎo)���。交通運輸部也于2008年12月頒布的《交通運輸電子政務(wù)網(wǎng)絡(luò)及業(yè)務(wù)應(yīng)用系統(tǒng)建設(shè)技術(shù)指南》中對交通電子政務(wù)平臺的安全保障體系作了詳細的技術(shù)規(guī)范。
隨著交通政府機構(gòu)的信息安全基礎(chǔ)建設(shè)日趨完善���,建立一套信息安全管理平臺�,既滿足電子政務(wù)平臺的開放性和可訪問性����,又保證電子政務(wù)平臺的安全性��,也日益迫切�。交通電子政務(wù)信息安全保障體系可從以下幾個角度進行充分構(gòu)建:
2.1信息安全保障體系及其基本要求
信息安全保障體系是基于PKI體系而開發(fā)的為多個應(yīng)用系統(tǒng)提供統(tǒng)一認證�����、訪問控制��、應(yīng)用審計和遠程接入的應(yīng)用安全網(wǎng)關(guān)系統(tǒng)����,它可以將不同地理位置、不同基礎(chǔ)設(shè)施(主機����、網(wǎng)絡(luò)設(shè)備和安全設(shè)備等)中分散且海量的安全信息進行樣式化、匯總�、過濾和關(guān)聯(lián)分析,形成基于基礎(chǔ)設(shè)施與域的統(tǒng)一等級的威脅與風(fēng)險管理���,并依托安全知識庫和工作流程驅(qū)動,對威脅與風(fēng)險進行響應(yīng)和處理�����。信息安全保障體系的基本要求主要體現(xiàn)在以下幾個方面:
1)保密性
主要體現(xiàn)在誰能擁有信息,如何保證秘密和敏感信息僅為授權(quán)者享有�。
2)完整性
主要體現(xiàn)在擁有的信息是否正確以及如何保證信息從真實的信源發(fā)往真實的信宿,傳輸����、存儲、處理中未被刪改��、增添��、替換����。
3)可用性
主要體現(xiàn)在信息和信息系統(tǒng)是否能夠使用以及如何保證信息和信息系統(tǒng)隨時可為授權(quán)者提供服務(wù)而不被非授權(quán)者濫用。
4)可控性
主要體現(xiàn)在是否能夠監(jiān)控管理信息和系統(tǒng)以及如何保證信息和信息系統(tǒng)的授權(quán)認證和監(jiān)控管理�����。
5)不可否認性
主要體現(xiàn)在信息行為人為信息行為承擔(dān)責(zé)任�,保證信息行為人不能否認其信息行為。
總之���,信息安全保障體系的基本要求主要從技術(shù)和管理兩個層面得以實現(xiàn)�����。技術(shù)層面在實現(xiàn)信息資源的公開性�、共享性和可訪問性的同時,通過主機安全���、網(wǎng)絡(luò)安全�、物理安全�����、數(shù)據(jù)安全和應(yīng)用安全等技術(shù)要素保障信息的安全性��。管理層面則可通過安全管理機制��、安全管理制度��、人員安全管理��、系統(tǒng)建設(shè)管理以及系統(tǒng)運營管理等規(guī)范化機制得以保障信息的安全性�。
2.2交通電子政務(wù)平臺信息安全保障體系的構(gòu)建
交通電子政務(wù)平臺的信息安全保障體系,應(yīng)該由組織體系����、技術(shù)體系��、運營體系、策略體系和保障對象體系等共同組成��。以安徽省交通電子政務(wù)平臺為例���,進行構(gòu)建交通電子政務(wù)平臺的信息安全保障體系����。
2.2.1 安全組織體系
政府高度重視交通運輸信息化工作的同時�����,堅持把“積極防御����,綜合防范”放在優(yōu)先位置,首先要求成立專門的信息安全領(lǐng)導(dǎo)小組��。信息安全領(lǐng)導(dǎo)小組可由交通主管領(lǐng)導(dǎo)擔(dān)任領(lǐng)導(dǎo)小組組長主管信息安全工作�����,下設(shè)信息安全工作組�����,各管理部門負責(zé)人、業(yè)務(wù)部門負責(zé)人為成員�����。
2.2.2 安全技術(shù)體系
交通電子政務(wù)平臺的安全技術(shù)體系可搭建專業(yè)的安全管理運營中心�����,并從基礎(chǔ)設(shè)施安全和應(yīng)用安全兩個方面去搭建安全技術(shù)支撐體系���。
2.2.3 安全運營體系
交通電子政務(wù)的安全運營體系一般可由安全體系推廣與落實���、項目建設(shè)的安全管理、安全風(fēng)險管理與控制和日常安全運行與維護四個部分組成����。安全運營體系是一個完整的過程體系,在交通電子政務(wù)平臺的整個過程中�,正常的運作流程,其信息流遵循自上而下的流程����,即交通上級部門根據(jù)電子政務(wù)平臺信息安全需求的目標、規(guī)劃和控制要求做計劃,下級交通部門根據(jù)計劃進行執(zhí)行��、檢查和改進�����。而若交通電子政務(wù)平臺其安全性出現(xiàn)威脅���,影響正常的運作流程時,此時信息流則遵循自下而上的逆向過程����,下級交通部門向上級部門報送安全事件,上級部門根據(jù)其安全事件進行分析����、總結(jié)和改進。
2.2.4 安全策略體系
網(wǎng)絡(luò)安全策略是為了保護網(wǎng)絡(luò)不受來自網(wǎng)絡(luò)內(nèi)外的各種危害而采取的防范措施的總和�����,因此信息安全策略是信息安全保障體系建設(shè)和實施的指導(dǎo)和依據(jù)���,全面科學(xué)的安全策略體系應(yīng)貫穿信息安全保障體系建設(shè)的始終�����。安全策略體系���,主要包含安全政策體系����、安全組織體系��、安全技術(shù)體系和安全運行體系四個方面的要素��,在采用各種安全技術(shù)控制措施的同時��,必須制訂層次化的安全策略���,完善安全管理組織機構(gòu)和人員配備�,提高安全管理人員的安全意識和技術(shù)水平����,完善各種安全策略和安全機制,利用多種安全技術(shù)實施和網(wǎng)絡(luò)安全管理實現(xiàn)對網(wǎng)絡(luò)的多層保護�����,減小網(wǎng)絡(luò)受到攻擊的可能性,防范網(wǎng)絡(luò)安全事件的發(fā)生�����,提高對安全事件的反應(yīng)處理能力����,并在網(wǎng)絡(luò)安全事件發(fā)生時盡量減少事件造成的損失�。
2.2.5 安全保障對象體系
交通電子政務(wù)平臺,其保障對象應(yīng)該以由交通運輸政務(wù)內(nèi)網(wǎng)所承擔(dān)著涉密的政務(wù)信息傳輸作為其重中之重����,包括交通運輸系統(tǒng)內(nèi)部日常辦公業(yè)務(wù)和公文流轉(zhuǎn)系統(tǒng)、涉密政務(wù)信息報送系統(tǒng)�、部長辦公系統(tǒng)、內(nèi)部數(shù)據(jù)共享平臺�����,與全國政府系統(tǒng)業(yè)務(wù)網(wǎng)絡(luò)連接等����。
3結(jié)論
信息安全保障體系建設(shè)是交通電子政務(wù)建設(shè)不可缺少的重要組成部分。由于交通電子政務(wù)信息系統(tǒng)承載著大量事關(guān)國家政治安全����、經(jīng)濟安全�����、交通安全和社會穩(wěn)定的重要數(shù)據(jù)和信息�,網(wǎng)絡(luò)與信息安全不僅關(guān)系到交通電子政務(wù)的健康發(fā)展�,還成為服務(wù)型政府形象的重要窗口,更成為國家安全保障體系的重要組成部分����。一個完整的交通電子政務(wù)信息安全保障體系,應(yīng)在保證電子政務(wù)信息的保密性����、完整性、可用性�、可控性和不可否認性的前提下,堅持把“積極防御��,綜合防范”的應(yīng)對策略��,按照“重點突破��、自上而下�����、資源共享、統(tǒng)一規(guī)劃��、分布實施”的原則�����,從組織體系�、技術(shù)體系、運營體系���、策略體系和保障對象體系等五個安全體系建設(shè)我國的交通電子政務(wù)信息安全保障體系。只有具備安全保障體系的電子政務(wù)信息系統(tǒng)��,才是真正意義上的電子政務(wù)��。
