新疆組織機構代碼系統安全體系建設的研究

石常海 胡曼麗

新疆維吾爾自治區標準化研究院 新疆 830004

0 前言

組織機構代碼是對中華人民共和國內依法注冊、依法登記的機關、企、事業單位、社會團體和民辦非企業單位頒發一個在全國范圍內惟一的、始終不變的代碼標識。組織機構代碼作為連接政府各職能部門之間信息管理系統的橋梁和信息傳輸紐帶，具有不可替代的先天優勢，以組織機構代碼為索引，對各部門信息資源進行整合與優化，建立跨部門的橫向信息聯合檢索，連接各部門專業信息庫，能夠有效地發揮政務信息資源的整體效能，極大地增強政府在市場、金融、稅務、海關等領域的監管力度，提高監管水平和對突發事件的快速響應能力，同時，通過分析、研究組織機構代碼信息資源的構成和發展趨勢，能夠為政府宏觀決策和指導組織機構的經濟行為提供科學的信息咨詢服務。

近年來，根據《關于自治區開展企業基礎信息共享工作的實施意見(草案)》和《新疆維吾爾自治區電子政務建設總體規劃實施意見》，自治區經濟信息化委員會組織開展了以政府公共網絡為統一平臺，在我區逐步建立以工商部門企業基礎信息為基礎，以全國統一的組織機構代碼為惟一標識的企業基礎信息庫，協調統一我區工商、質監、國稅、地稅四部門通過企業基礎信息交換平臺進行在線實時的信息交換，進一步促進新疆政府信息資源共享和互用，提高政府的工作效率和質量，消除信息“孤島”。為了保障組織機構代碼數據在基礎信息交換平臺中安全、穩定、可靠的運行，加強對組織機構代碼數據安全防護建設是非常必要的，我們在充分考慮組織機構代碼系統的開放性和可擴充性前提下，詳細分析了組織機構代碼系統建設的整體構架、網絡設計、軟硬件構成、數據庫建設、信息交換與共享流程、數據庫管理和應用系統軟件功能等內容，據此開展了我區的組織機構代碼數據安全體系建設研究工作。

1 組織機構代碼數據安全體系建設的總體目標

組織機構代碼的數據安全體系建設就是通過部署安全系統，投入技術力量，加強網絡安全管理等方式確保組織機構代碼數據的機密性、完整性、可用性、可控性與可審查性，最大限度的發揮信息資源的整體效能，促進新疆政府信息資源共享和互用，為各級政府和行業部門提高宏觀管理能力提供技術支持，同時推動政務公開，為社會提供廣泛、準確、動態的信息咨詢服務。最終達到如下目標：

(1) 合理管理和使用組織機構代碼數據資源，為社會提供必要服務的同時要確保數據的機密性；

(2) 抵御病毒、惡意代碼等對組織機構代碼系統發起的惡意破壞和攻擊，保障組織機構代碼系統硬件、軟件穩定運行；

(3) 保護組織機構數據的存儲與傳輸安全，防范數據被篡改，建立數據備份機制和提高容災能力；

(4) 構建統一的安全管理與監控機制，統一配置、調控整個系統多層面、分布式的安全問題，提高安全預警能力，加強安全應急事件的處理能力，實現組織機構代碼數據安全的可控性；

(5) 建立認證體系保障組織機構代碼數據訪問行為的真實可信以及可審查性，并建立基于角色的訪問控制機制。

2 組織機構代碼數據安全體系建設的研究內容

組織機構代碼數據安全體系建設是一項較為復雜的系統工程，要按照系統工程的要求，采用系統工程的概念，原理，技術和方法來研究和實施，使之成為一個可持續的動態發展的過程。只有技術，規劃，管理等因素有機結合，組織機構代碼系統安全建設才能真正邁入穩定發展正軌。在體系建設中綜合采用加密、認證、訪問控制、安全檢測、安全監控、安全審計管理，電磁屏蔽，防病毒等技術，來增強新疆組織機構代碼數據整體的安全性。主要研究內容如下：

(1) 研究影響組織機構代碼數據安全的各種因素(包括物理環境、網絡、操作系統、數據庫等)及應對措施，確定組織機構代碼安全體系架構。

(2) 改建新疆組織機構代碼管理中心的數據機房，依據相關標準實現機房硬件基礎設施安全。

(3) 根據組織機構代碼系統的運行現狀，科學合理選擇信息安全軟硬件設備，進行有機的配置整合，全面提升代碼系統的安全性。

(4) 完成組織機構代碼數據安全管理制度建設。

(5) 建立組織機構基礎信息CA認證管理系統。

(6) 依托全自治區統一信息交換與共享平臺，建立組織機構基礎信息交換系統，實現組織機構信息跨部門整合，對組織機構代碼數據進行挖掘、分析，面向政府職能部門和社會公眾提供信息咨詢服務。

3 組織機構代碼數據安全體系架構

組織機構代碼數據安全體系架構包括：物理環境安全、鏈路及網絡安全、系統層安全、應用層安全、數據安全和安全管理等六個層面的內容，其體系結構如圖1所示。

圖1 組織機構代碼數據安全體系架構

3.1 物理環境安全

保證組織機構代碼系統各種設備的物理安全是整個系統安全的前提，通過物理環境安全建設來保護服務器、網絡設備、數據存儲等免遭地震、水災、火災等環境事故，人為操作失誤或錯誤，各種計算機犯罪行為導致的破壞過程，它主要包括以下4個方面：

(1) 環境安全，對系統所在環境(主要指計算機機房)的安全保護，主要是依據 GB50173《電子信息系統機房設計規范》、GB2887《計算站場地技術條件》、GB9361《計算站場地安全要求》等標準來設計、建設和實施。

(2) 設備安全，主要包括設備的防盜、防毀、防電磁信息輻射泄露、抗電磁干擾及電源保護等，保證整個系統的高可用性，主要包括主要服務器、網絡設備、UPS設備等的雙機備份及主要線路冗余備份的建設。

(3) 物理線路安全，主要依據GB/T 50311《建筑與建筑群綜合布線系統工程設計規范》和新疆信息安全相關政策要求來進行建設。

(4) 媒體安全，包括媒體數據的安全及媒體本身的安全，對計算機機房及重要信息存儲授權訪問。

3.2 鏈路及網絡安全

由于網絡是承載組織機構代碼系統的載體，它的安全是十分重要的，對網絡安全的建設從訪問控制、入侵檢測、安全掃描、安全審計等方面來進行。

在組織機構代碼網絡中，針對不同的業務需求及應用系統安全需求，對其進行安全域劃分，通過配備防火墻并制定嚴格的安全策略實現不同安全域之間的隔離與訪問控制。

網絡配置入侵檢測系統，通過實時偵聽網絡數據流，尋找網絡違規行為和未授權的網絡訪問嘗試，當發現網絡違規行為和未授權的網絡訪問時，入侵檢測系統能夠根據系統安全策略做出反應(阻斷、報警、發送 E-mail)，防止針對網絡的攻擊與犯罪行為。

安全掃描是采用模擬攻擊的形式對工作站、服務器、交換機、數據庫應用、操作系統等各種對象可能存在的已知安全漏洞進行逐項檢查，然后根據掃描結果向系統管理員提供詳細可靠的安全分析報告，以此作為提高網絡安全整體水平的重要依據。

審計是記錄用戶使用計算機網絡系統進行所有活動的過程，它是提高安全性的重要工具。它不僅能夠識別哪些用戶訪問了系統，還能指出系統正被他們怎樣地使用。另外，通過對安全事件的不斷收集與積累并加以分析，有選擇性地對其中的用戶進行審計跟蹤，以便對發現或可能產生的破壞性行為提供有力的證據。

3.3 系統層安全

系統安全問題來自系統內使用操作系統的安全，如Windows 2003，Windows 200，Linux等。主要表現在三個方面：一是操作系統本身的缺陷帶來的不安全因素，主要包括身份認證、訪問控制、系統漏洞等；二是對操作系統的安全配置問題；三是病毒對操作系統的威脅。通過嚴格制定操作系統管理制度，定期檢查系統配置和日志，用“最小適用性原則”配置系統以提高系統安全性，及時安裝系統安全補丁程序來提高系統層的安全。

3.4 應用層安全

應用安全主要是指應用系統的安全，即用戶在使用系統時必須依照一定的安全策略進行相應的操作，從應用層面上來保證系統的安全。根據組織機構代碼業務，采用身份認證技術、安全授權機制、防病毒技術以及對各種應用服務的安全性增強配置服務來保障系統在應用層的安全。

3.5 數據安全

組織機構代碼數據可劃分為兩個不同的安全域：公眾服務數據域和組織機構代碼基礎數據域。

公眾服務數據是對社會公眾提供組織機構代碼查詢服務的，是可公開的數據，不存在保密性，只是對數據的安全性、完整性、不可篡改性方面有要求。對此安全域可采取以下安全措施：通過對組織機構數據的抽取、整理形成可對外提供服務的公眾服務數據，放在一個專門對外提供服務的前置服務器中，利用防火墻、入侵檢測、安全掃描、網絡防病毒等安全手段對其進行保護，使其不會受到非法攻擊和入侵，以保證數據的完整性、不可篡改性、真實性等。

組織機構代碼基礎數據，由新疆組織機構代碼管理中心監管和維護，具有較高的秘密性，對此安全域除了采取以上安全措施外，還要采取嚴格的CA身份認證機制，通過CA認證的人員才能訪問相應的數據，并利用安全審計系統對數據訪問歷史進行記錄、審計，使其處于更加安全的保護之下。

在這兩個安全域間還要采取防火墻、入侵檢測、安全審計等手段，對組織機構代碼數據進行保護。

3.6 安全管理

新疆組織機構代碼中心建立數據安全組織，明確指定專人負責組織機構代碼數據安全工作，安全人員應具備相關專業技術背景、工作經歷和國家要求的信息安全從業資質，同時根據新疆組織機構代碼管理實際情況制定具體的安全管理規章制度，包括資產安全管理制度(軟硬件設備管理制度等)，運行維護管理(機房安全管理制度，防病毒管理制度，系統運行安全管理制度等)。

4 結束語

近年來，隨國家電子政務建設的日益普及和深入，各部門對組織機構代碼數據應用需求不斷擴大，應用領域也從傳統的、小型業務系統逐漸向大型、關鍵業務系統擴展，網絡環境也日益復雜，如何讓組織機構代碼數據不受惡意攻擊和破壞，已成為新疆組織機構代碼管理部門所必需考慮和解決的重要問題。為了保障組織機構代碼系統安全、穩定、可靠的運行，必須通過不斷提高自身的安全防護技術水平，引入科學高效的安全管理，強調全面的安全體系建設等措施來實現系統整體的安全性。該項目的實施，將為全區的電子政務建設提供規范、完整、實效的組織機構基礎信息資源，為政府部門全面、快速、準確的掌握組織機構的社會和經濟行為信息，增強宏觀調控和決策能力提供了技術支撐，提高政府和行業部門的管理和服務質量，同時在應對開放式網絡環境中各種安全威脅的挑戰方面發揮重要的作用。