我國(guó)交通運(yùn)輸電子政務(wù)信息安全保障體系的構(gòu)建
作者:孫革新
評(píng)論: 更新日期:2011年10月05日
2我國(guó)交通運(yùn)輸電子政務(wù)平臺(tái)信息安全保障體系的構(gòu)建
當(dāng)前我國(guó)交通電子政務(wù)實(shí)施過程的兩大矛盾的解決���,依賴于安全���、穩(wěn)定���、可靠的交通運(yùn)輸電子政務(wù)平臺(tái)信息安全保障體系。對(duì)于電子政務(wù)平臺(tái)實(shí)施過程中所面臨的信息安全保障問題�����,我國(guó)早在2003年9月頒發(fā)的《關(guān)于加強(qiáng)信息安全保障工作的意見》中明確提出了建立等級(jí)保護(hù)制度和風(fēng)險(xiǎn)管理體系的要求����。2004年11月,公安部等國(guó)家四部委聯(lián)合推出信息安全等級(jí)保護(hù)要求�����、測(cè)評(píng)準(zhǔn)則和實(shí)施指南�,為政務(wù)領(lǐng)域進(jìn)一步建立政務(wù)信息系統(tǒng)風(fēng)險(xiǎn)管理體系提供了技術(shù)基礎(chǔ)和指導(dǎo)。交通運(yùn)輸部也于2008年12月頒布的《交通運(yùn)輸電子政務(wù)網(wǎng)絡(luò)及業(yè)務(wù)應(yīng)用系統(tǒng)建設(shè)技術(shù)指南》中對(duì)交通電子政務(wù)平臺(tái)的安全保障體系作了詳細(xì)的技術(shù)規(guī)范���。
隨著交通政府機(jī)構(gòu)的信息安全基礎(chǔ)建設(shè)日趨完善���,建立一套信息安全管理平臺(tái),既滿足電子政務(wù)平臺(tái)的開放性和可訪問性��,又保證電子政務(wù)平臺(tái)的安全性,也日益迫切����。交通電子政務(wù)信息安全保障體系可從以下幾個(gè)角度進(jìn)行充分構(gòu)建:
2.1信息安全保障體系及其基本要求
信息安全保障體系是基于PKI體系而開發(fā)的為多個(gè)應(yīng)用系統(tǒng)提供統(tǒng)一認(rèn)證、訪問控制�、應(yīng)用審計(jì)和遠(yuǎn)程接入的應(yīng)用安全網(wǎng)關(guān)系統(tǒng),它可以將不同地理位置����、不同基礎(chǔ)設(shè)施(主機(jī)、網(wǎng)絡(luò)設(shè)備和安全設(shè)備等)中分散且海量的安全信息進(jìn)行樣式化�����、匯總�����、過濾和關(guān)聯(lián)分析���,形成基于基礎(chǔ)設(shè)施與域的統(tǒng)一等級(jí)的威脅與風(fēng)險(xiǎn)管理����,并依托安全知識(shí)庫(kù)和工作流程驅(qū)動(dòng)�����,對(duì)威脅與風(fēng)險(xiǎn)進(jìn)行響應(yīng)和處理。信息安全保障體系的基本要求主要體現(xiàn)在以下幾個(gè)方面:
1)保密性
主要體現(xiàn)在誰(shuí)能擁有信息���,如何保證秘密和敏感信息僅為授權(quán)者享有。
2)完整性
主要體現(xiàn)在擁有的信息是否正確以及如何保證信息從真實(shí)的信源發(fā)往真實(shí)的信宿�,傳輸、存儲(chǔ)�����、處理中未被刪改��、增添���、替換���。
3)可用性
主要體現(xiàn)在信息和信息系統(tǒng)是否能夠使用以及如何保證信息和信息系統(tǒng)隨時(shí)可為授權(quán)者提供服務(wù)而不被非授權(quán)者濫用。
4)可控性
主要體現(xiàn)在是否能夠監(jiān)控管理信息和系統(tǒng)以及如何保證信息和信息系統(tǒng)的授權(quán)認(rèn)證和監(jiān)控管理�����。
5)不可否認(rèn)性
主要體現(xiàn)在信息行為人為信息行為承擔(dān)責(zé)任��,保證信息行為人不能否認(rèn)其信息行為。
總之�����,信息安全保障體系的基本要求主要從技術(shù)和管理兩個(gè)層面得以實(shí)現(xiàn)�����。技術(shù)層面在實(shí)現(xiàn)信息資源的公開性����、共享性和可訪問性的同時(shí),通過主機(jī)安全���、網(wǎng)絡(luò)安全���、物理安全、數(shù)據(jù)安全和應(yīng)用安全等技術(shù)要素保障信息的安全性���。管理層面則可通過安全管理機(jī)制����、安全管理制度�、人員安全管理����、系統(tǒng)建設(shè)管理以及系統(tǒng)運(yùn)營(yíng)管理等規(guī)范化機(jī)制得以保障信息的安全性�。
2.2交通電子政務(wù)平臺(tái)信息安全保障體系的構(gòu)建
交通電子政務(wù)平臺(tái)的信息安全保障體系,應(yīng)該由組織體系��、技術(shù)體系����、運(yùn)營(yíng)體系����、策略體系和保障對(duì)象體系等共同組成。以安徽省交通電子政務(wù)平臺(tái)為例�����,進(jìn)行構(gòu)建交通電子政務(wù)平臺(tái)的信息安全保障體系��。
2.2.1 安全組織體系
政府高度重視交通運(yùn)輸信息化工作的同時(shí)�,堅(jiān)持把“積極防御,綜合防范”放在優(yōu)先位置�����,首先要求成立專門的信息安全領(lǐng)導(dǎo)小組。信息安全領(lǐng)導(dǎo)小組可由交通主管領(lǐng)導(dǎo)擔(dān)任領(lǐng)導(dǎo)小組組長(zhǎng)主管信息安全工作�,下設(shè)信息安全工作組,各管理部門負(fù)責(zé)人����、業(yè)務(wù)部門負(fù)責(zé)人為成員。
2.2.2 安全技術(shù)體系
交通電子政務(wù)平臺(tái)的安全技術(shù)體系可搭建專業(yè)的安全管理運(yùn)營(yíng)中心�����,并從基礎(chǔ)設(shè)施安全和應(yīng)用安全兩個(gè)方面去搭建安全技術(shù)支撐體系�����。
2.2.3 安全運(yùn)營(yíng)體系
交通電子政務(wù)的安全運(yùn)營(yíng)體系一般可由安全體系推廣與落實(shí)���、項(xiàng)目建設(shè)的安全管理�����、安全風(fēng)險(xiǎn)管理與控制和日常安全運(yùn)行與維護(hù)四個(gè)部分組成�。安全運(yùn)營(yíng)體系是一個(gè)完整的過程體系����,在交通電子政務(wù)平臺(tái)的整個(gè)過程中�����,正常的運(yùn)作流程���,其信息流遵循自上而下的流程,即交通上級(jí)部門根據(jù)電子政務(wù)平臺(tái)信息安全需求的目標(biāo)�����、規(guī)劃和控制要求做計(jì)劃�,下級(jí)交通部門根據(jù)計(jì)劃進(jìn)行執(zhí)行���、檢查和改進(jìn)���。而若交通電子政務(wù)平臺(tái)其安全性出現(xiàn)威脅,影響正常的運(yùn)作流程時(shí)�,此時(shí)信息流則遵循自下而上的逆向過程,下級(jí)交通部門向上級(jí)部門報(bào)送安全事件�����,上級(jí)部門根據(jù)其安全事件進(jìn)行分析、總結(jié)和改進(jìn)���。
2.2.4 安全策略體系
網(wǎng)絡(luò)安全策略是為了保護(hù)網(wǎng)絡(luò)不受來自網(wǎng)絡(luò)內(nèi)外的各種危害而采取的防范措施的總和�����,因此信息安全策略是信息安全保障體系建設(shè)和實(shí)施的指導(dǎo)和依據(jù)�����,全面科學(xué)的安全策略體系應(yīng)貫穿信息安全保障體系建設(shè)的始終���。安全策略體系,主要包含安全政策體系����、安全組織體系、安全技術(shù)體系和安全運(yùn)行體系四個(gè)方面的要素�����,在采用各種安全技術(shù)控制措施的同時(shí)���,必須制訂層次化的安全策略�����,完善安全管理組織機(jī)構(gòu)和人員配備���,提高安全管理人員的安全意識(shí)和技術(shù)水平�,完善各種安全策略和安全機(jī)制���,利用多種安全技術(shù)實(shí)施和網(wǎng)絡(luò)安全管理實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的多層保護(hù)�����,減小網(wǎng)絡(luò)受到攻擊的可能性����,防范網(wǎng)絡(luò)安全事件的發(fā)生���,提高對(duì)安全事件的反應(yīng)處理能力,并在網(wǎng)絡(luò)安全事件發(fā)生時(shí)盡量減少事件造成的損失�。
2.2.5 安全保障對(duì)象體系
交通電子政務(wù)平臺(tái),其保障對(duì)象應(yīng)該以由交通運(yùn)輸政務(wù)內(nèi)網(wǎng)所承擔(dān)著涉密的政務(wù)信息傳輸作為其重中之重���,包括交通運(yùn)輸系統(tǒng)內(nèi)部日常辦公業(yè)務(wù)和公文流轉(zhuǎn)系統(tǒng)�、涉密政務(wù)信息報(bào)送系統(tǒng)、部長(zhǎng)辦公系統(tǒng)����、內(nèi)部數(shù)據(jù)共享平臺(tái),與全國(guó)政府系統(tǒng)業(yè)務(wù)網(wǎng)絡(luò)連接等����。
3結(jié)論
信息安全保障體系建設(shè)是交通電子政務(wù)建設(shè)不可缺少的重要組成部分。由于交通電子政務(wù)信息系統(tǒng)承載著大量事關(guān)國(guó)家政治安全��、經(jīng)濟(jì)安全��、交通安全和社會(huì)穩(wěn)定的重要數(shù)據(jù)和信息���,網(wǎng)絡(luò)與信息安全不僅關(guān)系到交通電子政務(wù)的健康發(fā)展���,還成為服務(wù)型政府形象的重要窗口,更成為國(guó)家安全保障體系的重要組成部分�。一個(gè)完整的交通電子政務(wù)信息安全保障體系,應(yīng)在保證電子政務(wù)信息的保密性��、完整性��、可用性�����、可控性和不可否認(rèn)性的前提下,堅(jiān)持把“積極防御�����,綜合防范”的應(yīng)對(duì)策略��,按照“重點(diǎn)突破�����、自上而下���、資源共享��、統(tǒng)一規(guī)劃����、分布實(shí)施”的原則���,從組織體系、技術(shù)體系�、運(yùn)營(yíng)體系����、策略體系和保障對(duì)象體系等五個(gè)安全體系建設(shè)我國(guó)的交通電子政務(wù)信息安全保障體系�����。只有具備安全保障體系的電子政務(wù)信息系統(tǒng)�����,才是真正意義上的電子政務(wù)���。
