對電子政務安全管理控制的認識

郭來軍

摘要：基于電子政務平臺信息安全管理控制，主要目的在于加強信息安全的保護，保證硬件與數據的安全，切實對電子政務平臺的風險分析并且進行應急響應和處理。

關鍵詞：電子政務平臺；安全管理控制策略；控制目標

電子政務是基于網絡的、符合Internet技術標準的面向政府機關、企業以及社會公眾的信息服務和信息處理系統。電子政務主要包括政府內部的辦公自動化，政府部門之間的信息傳遞和政府與社會通過互聯網的信息交流三個方面。電子政務是開放的、網絡化的，這兩個特征使得電子政務系統更容易受到攻擊和破壞，所以說，電子技術的進步提高了政府的工作效率，同時也伴隨著安全威脅問題，尤其在大數據時代，更應該提高電子政務的安全。電子政務安全是指電子政務系統的硬件、軟件及其系統中的數據，不受到破壞。特別強調的是電子政務安全尤其指來自網絡的攻擊破壞。

本文從電子政務平臺安全管理的現狀出發，分析電子政務平臺安全管理的策略，以及電子政務平臺安全管理的設計思路。

一、電子政務平臺管理安全控制現狀

（一）電子政務平臺管理安全控制問題

現代信息的快速發展，電子政務平臺建設與管理取得了快速發展，用戶使用訪問量大幅度增加，數據存儲需要的空間量大幅度增加，個性化模塊設置要求任務的增加，這些都給電子政務平臺管理安全控制帶來了較大的隱患。當前電子政務平臺面臨的惡意攻擊仍然存在，時刻遭受著網絡病毒和系統漏洞威脅。互聯網絡環境日趨復雜，電子政務平臺的訪問量不斷增加，使得數據管理維護難度增加，而且電子政務平臺數據信息量的成倍增加，還會帶來數據冗余、網絡資源分配不當，權限設置不清晰等問題。電子政務系統面臨的安全威脅來自兩個方面：一個方面是內部方面，內部人員對電子政務系統進行破壞或者操作失誤，如對軟硬件的惡意破壞，對政務信息的惡意操作，刪除電子文檔，致使電子政務系統癱瘓，還有使用的軟件自身存在弊病漏洞造成的安全問題；另一個方面是外部方面，比如黑客攻擊，傳輸系統被破壞，線路竊聽，截取網絡數據，散布病毒等等。還有信息交換與資源分配的難度增加，這使得電子政務平臺管理安全控制要求更高，傳統的電子政務平臺管理方式與安全控制方法已經很難滿足互聯網與移動互聯網交互使用的現實電子信息環境需求。

（二）電子政務平臺管理安全控制要求

為了提高政府的辦事效率，進一步落實簡政放權要求，實現便民服務的行政管理目標，國家近年來更加重視電子政務信息管理平臺建設，對地方電子政務信息平臺建設和管理控制提出了更高的要求，在電子政務平臺管理標準、管理制度與管理方式方法上都有更明確的要求，尤其對安全管理控制的級別、措施、技術等提出指導意見，要求地方電子政務平臺不斷進行升級，既要滿足人民群眾的使用需求，同時又要保證數據信息安全，積極提高電子政務平臺的智能性、穩定性和高質量的服務能力。要求各項管理的制度、措施和技術等必須落實，不能只喊口號，停留在墻上，如果那樣，再好的安全措施也形同虛設。比如在公文信息傳輸系統中，一定要專人負責，對相關工作人員和主管領導進行安全意識教育，使其提高安全責任感。對于公文傳輸中使用的口令、加密狗一定要妥善保管。如果因為管理不嚴格或保管不妥當，而造成其丟失、泄露或者被破解，那么一定要第一時間進行更換，以避免電子政務系統遭到損失。

（三）電子政務平臺管理安全控制作用

安全管理系統不僅是維護數據信息的安全產品，而是從互聯網的角度構建起電子政務平臺運行的安全體系，是電子政務系統的有機組成部分。電子政務的安全體系一般分為安全技術系統和安全管理系統，安全技術系統一般包括物理安全、網絡基礎平臺安全、信息資源層安全和業務應用層安全等，安全管理系統一般包括安全組織、安全組織和策略、安全標準和安全審計等。此安全體系要起到組織、運行、使用的全方位管理，這樣可以實現安全管理技術與安全管理產品有效銜接的目標。隨著我國電子信息安全管理技術水平的不斷提高，已經形成了針對全網環境的安全管理體系，注重在物理層、網絡層、系統層和應用層進行全方位的安全管理建設，能夠實現數據信息統一管理，達到在全面評估風險的基礎上，更好地做出安全管理決策，切實考慮潛在的風險因素，在充分的評估的基礎上，發揮安全管理制度與安全技術保障的重要作用。

二、電子政務平臺管理安全控制策略

安全策略是電子政務系統安全設計的目標和原則，是對應用系統完整的安全解決方案。安全策略要根據信息傳輸、發布和處理過程中面臨的安全威脅制定，要綜合幾方面來確定：系統的整體安全性，這是由應用環境和用戶需求決定的，包括各個安全機制的子系統的安全目標和性能指標；用戶界面的友好性和使用方便性，還有要利于擴展，有可擴展的編程接口，以利于系統的更新和升級；制定具體的安全協議，將安全服務配置到具體的協議里，安全體制和密碼等技術本身不能解決信息安全問題，必須在一個完整、全面和安全的安全協議里來實現。安全協議是安全策略的最終實現形式，構成整個系統的安全環境。

（一）訪問控制策略

訪問控制主要指的是通過技術措施保證用戶只能對電子政務平臺的數據庫信息進行授權范圍的操作，目的是有效地控制用戶與電子政務平臺的信息交換，控制用戶在受權范圍內訪問特定的內容，這樣可以保證數據信息安全，同時提高數據信息的完整性與保密性。只有在全面保證訪問客體按照要求訪問，才能保證信息的完整安全。具體來說主要包括控制哪一類用戶可以訪問登錄服務器，并且對授權用戶的操作加以控制。包括用戶名、用戶賬號、賬號缺省檢查等，通過用戶驗證賬號、授權令、用戶注冊信息、口令輸入等方式來進行權限設置。電子政務平臺還要對非授權網絡操作進行控制，并且對用戶的操作行為進行判斷。并且將用戶與某類文件的權限對應，制定根據用戶使用權的訪問目錄，這樣可以極大地提高電子政務平臺的安全性。我們需要在電子政務系統中建立證書認證中心，用來負責證書的簽發和管理，證書認證中心由WEB服務器、策略服務器、證書簽發服務器、密碼服務系統以及信息安全防御系統等等組成，以提供數字證書的管理功能。endprint

（二）訪問需求分析

訪問需求分析是提高電子政務平臺運行效率，保證電子政務平臺安全穩定運行的重要技術手段，只有對用戶的訪問需求進行分析，才能提高電子政務平臺的伸縮性、可行性和擴展性。訪問需求分析是在登錄模塊、驗證模塊基礎上對電子政務平臺使用者的需求進行智能化分析并且給其提高信息的重要環節。用戶的需求分析需要圍繞著電子平臺的管理、統計、檢索等內容進行設計，注重根據不同的用戶級別設置不同的使用權限，同時還要鑒定用戶的需求，在全面審核的基礎上為用戶提供相關的涉及個人隱私的信息。因此在電子政務平臺的智能化與個性化的發展道路上，必須注重發揮電子政務平臺管理安全控制的需求分析功能建設，注重對網絡用戶的實時監控，這樣才能達到全面控制的目標。

三、電子政務平臺管理安全控制設計

（一）總體設計目標

在保證電子政務平臺安全的總目標下，需要建立完善的電子政務平臺管理安全控制具體標準，注重在安全共享基本原則下，實現數據信息的規范運行。具體來說要解決傳統電子政務平臺系統中存在的基礎設施、信息資源與業務數據使用權限界定不清晰的問題，要在全面界定應用權限的基礎上分析出現信息安全事件的概率，同時解決不同部門電子政務信息和資源使用中的問題。電子政務管理安全控制平臺還要圍繞安全服務支撐、授權管理、認證、數據防護安全等方面進行具體管理，實現信息系統交互服務的目標。

（二）設計思路

電子政務安全保護體系通常包括四個部分，他們分別是安全管理體系，如國家的法律法規，標準規范和制度；安全組織體系，如國家安全部，國家保密局，國家安全協調小組等；安全基礎設施，如網絡檢測中心，安全產品評測中心和計算機病毒防治中心等，還有就是安全技術體系，如網絡安全，防火墻，入侵檢測，漏洞檢測，身份識別和認證等。電子政務平臺管理安全控制的設計必須建立統一設計思路，注重圍繞著網絡聯接入點，部門數據的互相融通，模塊數據的可管可控進行有效的設計。電子政務安全管理中心的工作職責是領導整個安全隊伍，分配任務并審計執行情況，負責上報安全狀況或進一步向其他組織尋求援助和咨詢，管理中心體系中的部門各司其職，如入侵預警小組，其職責是預防網絡入侵，漏洞掃描小組，其職責是通過各種工具進行系統漏洞掃描，包括操作系統的漏洞和數據庫漏洞以及應用的漏洞，還有跟蹤小組，負責對入侵者進行跟蹤。具體要根據各部門數據信息實現自主管控，建立起滿足安全等級和升級完善等要求的具體設計。

安全管理中心應當把居于不同位置的分散信息進行整合，實現數據信息過濾、收集和關聯分析的設計，達到從全局角度進行安全風險和安全事件管控，形成分級的科學安全控制體系。安全管理系統的設計必須注重綜合性服務，能夠圍繞虛擬信息系統、數據挖掘系統、智能瀏覽、多元數據整合等多級數據交換進行設計，這樣才能構成綜合化的信息系統，實現立體性的電子政務平臺安全管理控制目標。電子政務安全管理平臺的設計還要實現數據接口的優化，注重滿足用戶與其他管理系統或平臺數據信息的配置，這樣才能實現數據的統一管理。而且還要能夠對電子政務平臺相關信息進行采集，實現對硬件、網絡環境、主機和其他安全產品的控制。總的來說，安全管理系統的建立要由應用環境和用戶需求決定，來達到安全目標和指標，如對系統的運行造成的負荷的性能指標，方便網絡管理人員進行控制、管理的指標。

（三）結構組成

電子政務平臺管理安全控制中心由數據采集、數據業務管理、數據展示控制等不同層面構成。并且通過數據接口、實時數據監控和文件接口、其他接口等組成。電子政務平臺控制管理中心負責對數據的運行狀態、實時性能、風險預警、故障分析、安全情況報告等進行具體的操作。在技術保障上，要對信息基礎實施進行多層防護，包括網絡和基礎設施防護、邊界防護、計算機防護等等。分別涉及到網絡的可用性、無線網絡安全框架，系統互連和虛擬網，遠程訪問、多級安全、終端用戶環境和系統應用程序的安全。具體來說，分析層是安全管理平臺的核心，主要負責核心數據的安全管理，并且根據實時風險，采用有效的信息安全策略，對信息進行有效控制，一般有防火墻、入侵檢測系統、漏洞掃描系統、病毒防止系統和數據庫安全等組成，是安全網絡系統的組成部分，用以保障電子系統的安全。如PMI（授權管理基礎設施）是一種輕量級的數字證書，包含證書所有人的ID、發行證書所有人的ID、發行證書ID及有效期等信息。PMI主要負責向應用系統提供與應用相關的授權服務管理，通常采用PMI與PKI（公鑰基礎設施）結合來有效提高授權控制能力。物理層負責物理連接方面的安全，尤其是指不同密級之間網絡的連接規范，保證物理結構上的安全。比如，電子政務系統涉及密網與非密網絡的連接，政府內部與外網的連接，接入方式有物理隔離、邏輯隔離、基于物理隔離的數據交換等幾種不同的形式，辦公單位與數據中心的連接均用防火墻進行邏輯隔離，保證可信的數據傳輸及對非法訪問的拒絕。數據采集主要對信息系統的安全數據進行采用和網絡設備的檢測，并且制定具體的數據管理措施，實現數據信息的全面管控。

電子政務平臺管理安全控制主要由數據控制中心按照數據運行的過程進行控制，著力圍繞著用戶的使用需求，保證電子政務平臺高效運營。同時，還要做好安全評估工作，評估政務系統中的不同子系統是否有潛在的威脅，威脅的程度如何，威脅會造成什么后果；做好系統安全審計工作，對安全標準執行情況、取得的各類數據進行審查，最終確保電子政務系統的安全。endprint