梁曉雁

摘 要：該課題主要是基于電子政務(wù)公共平臺信息安全管理的設(shè)計與研究，是基于信息安全等級保護(hù)，保障基礎(chǔ)設(shè)施、硬件和重要信息系統(tǒng)的安全，以為電子政務(wù)公共平臺提供有效的安全技術(shù)和安全管理保障施，實現(xiàn)信息安全保障工作實施的重大的現(xiàn)實和戰(zhàn)略意義。信息安全管理基于平臺不同位置、不同安全系統(tǒng)的分散且海量的單一安全事件進(jìn)行采集、分析、匯總、過濾、收集和關(guān)聯(lián)分析，總結(jié)分析全局角度的安全風(fēng)險事件，并形成統(tǒng)一的安全決策對安全事件進(jìn)行響應(yīng)和處理。

關(guān)鍵詞：信息安全管理 等級保護(hù) 數(shù)據(jù)采集 日志管理

中圖分類號：TP39 文獻(xiàn)標(biāo)識碼：A 文章編號：1672-3791（2015）11（c）-0007-02

我國電子政務(wù)建設(shè)正處在高速發(fā)展期，從中央到省市各級政府部門都投入了大量的人力和財力來推進(jìn)信息化工作。電子政務(wù)公共平臺的頂層設(shè)計和實施建成，較大程度地提高了政府信息政務(wù)公開和共享等的工作效率和服務(wù)質(zhì)量。電子政務(wù)公共平臺穩(wěn)定和安全運(yùn)行已經(jīng)構(gòu)成了政府運(yùn)轉(zhuǎn)連續(xù)性的重要保障之一。 因此，電子政務(wù)公共平臺的安全保障工作已經(jīng)成為政府信息化工作成敗的關(guān)鍵因素。信息安全的管理需要在各個層面為電子政務(wù)提供機(jī)密性、完整性、可用性、鑒別等安全服務(wù)。該文基于信息安全等級保護(hù)，從安全基礎(chǔ)設(shè)施、訪問控制策略、安全防御、安全監(jiān)控、安全審計和安全響應(yīng)恢復(fù)等研究信息安全研究電子政務(wù)的安全管理體系。從而從整體上提高電子政務(wù)公共平臺信息安全管理全面性。

1 研究思路

基于電子政務(wù)公共平臺服務(wù)的戰(zhàn)略定位、統(tǒng)籌規(guī)劃和實施路徑的總體把握，按照基于等級保護(hù)技術(shù)要求，并根據(jù)電子政務(wù)信息化服務(wù)業(yè)務(wù)安全需求，為信息化綜合服務(wù)提供安全支撐服務(wù)，從而使得平臺可以安全、穩(wěn)定、可連續(xù)的進(jìn)行信息化服務(wù)。重點保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全，實現(xiàn)信息安全服務(wù)支撐工作的有效安全技術(shù)和管理措施要求，以實現(xiàn)信息安全等級保護(hù)實施的重大的現(xiàn)實和戰(zhàn)略意義。

2 總體設(shè)計目標(biāo)

（1）電子政務(wù)公共平臺安全管理建設(shè)的總體目標(biāo)是統(tǒng)一技術(shù)標(biāo)準(zhǔn)，共建共享信息安全基礎(chǔ)設(shè)施，建立統(tǒng)一的公共密鑰基礎(chǔ)設(shè)施（PKI），實現(xiàn)跨系統(tǒng)的身份認(rèn)證機(jī)制等。

（2）解決傳統(tǒng)信息化系統(tǒng)建設(shè)中，電子政務(wù)公共平臺基礎(chǔ)設(shè)施、信息資源與業(yè)務(wù)系統(tǒng)因所有權(quán)、使用權(quán)和管理權(quán)界定不清晰，存在基礎(chǔ)設(shè)施和業(yè)務(wù)應(yīng)用的管理權(quán)限難以分離管理，責(zé)任權(quán)限過大或者過小，造成設(shè)備利用率不高，或容易出現(xiàn)信息安全事件的情況。

（3）解決不同的政府部分因不同的職能/服務(wù)導(dǎo)致的電子政務(wù)基礎(chǔ)設(shè)施和資源的重復(fù)建設(shè)和資金浪費(fèi)問題。

（4）解決信息化綜合服務(wù)的安全服務(wù)支撐，實現(xiàn)各級信息系統(tǒng)的授權(quán)管理、認(rèn)證服務(wù)、鑒別服務(wù)、訪問控制和數(shù)據(jù)防護(hù)的安全服務(wù)支撐，最終實現(xiàn)各級信息系統(tǒng)互聯(lián)互通的信息化服務(wù)。

3 設(shè)計分析

3.1 設(shè)計思路

（1）電子政務(wù)公共平臺安全管理建設(shè)統(tǒng)一管理電子政務(wù)邊界安全防護(hù)系統(tǒng)，集中建設(shè)互聯(lián)網(wǎng)接入點，實現(xiàn)部門互聯(lián)網(wǎng)的安全接入和可管可控可剝離等。

（2）電子政務(wù)公共平臺安全管理基于安全技術(shù)體系下，根據(jù)各自信息安全等級，建設(shè)、升級、完善安全系統(tǒng)等。

（3）電子政務(wù)公共平臺安全管理中心系統(tǒng)將不同位置、不同安全系統(tǒng)中分散且海量的單一安全事件進(jìn)行匯總、過濾、收集和關(guān)聯(lián)分析，以全局角度分析信息安全風(fēng)險和信息安全事件，形成分層次分區(qū)域的安全策略，以對安全事件進(jìn)行響應(yīng)和處置的綜合性信息安全管理平臺。

（4）電子政務(wù)公共平臺安全管理是一個跨系統(tǒng)、跨部門的綜合性服務(wù)信息系統(tǒng)，由虛擬資源管理系統(tǒng)、數(shù)據(jù)挖掘與智能瀏覽、虛擬資源隔離系統(tǒng)、信息資源目錄與交換系統(tǒng)、基于SOA的業(yè)務(wù)協(xié)同、多元數(shù)據(jù)融合與集成系統(tǒng)、數(shù)據(jù)庫資源整合與綜合應(yīng)用、多級數(shù)據(jù)交換系統(tǒng)、信息服務(wù)資源運(yùn)營管理平臺、信息化綜合服務(wù)管理平臺信息中心構(gòu)成的完整獨立體系構(gòu)成等。

（5）電子政務(wù)公共平臺信息安全管理是按照其保障工作流程，依次分為數(shù)據(jù)采集層、分析層、展示層等。

（6）電子政務(wù)公共平臺安全管理設(shè)計研究多種分類的數(shù)據(jù)接口，一方面滿足與用戶已有或后續(xù)建設(shè)的其他管理系統(tǒng)或平臺集成整合，另一方面，安全管理中心還提供了相關(guān)數(shù)據(jù)接口和配置接口，可對相關(guān)安全產(chǎn)品進(jìn)行統(tǒng)一配置和管理等。

（7）電子政務(wù)公共平臺安全管理的數(shù)據(jù)采集層針對重要信息系統(tǒng)進(jìn)行信息安全數(shù)據(jù)采集，包括關(guān)鍵業(yè)務(wù)系統(tǒng)環(huán)境相關(guān)的網(wǎng)絡(luò)設(shè)備、主機(jī)、安全產(chǎn)品等信息。

（8）電子政務(wù)公共平臺安全管理的分析層是安全運(yùn)行管理的核心，負(fù)責(zé)對數(shù)據(jù)采集的信息進(jìn)行分析處理，并對相關(guān)的信息安全風(fēng)險和信息安全事件進(jìn)行預(yù)警和響應(yīng)等。

（9）電子政務(wù)公共平臺主要功能包括了安全監(jiān)控、預(yù)警、告警、響應(yīng)、信息安全策略管理和系統(tǒng)管理等。

（10）電子政務(wù)公共平臺安全管理的數(shù)據(jù)展示層提供了安全運(yùn)行管理可視化界面，分為管理員界面和為客戶提供的可視化界面。管理員通過管理界面，對電子政務(wù)公共平臺整體信息安全態(tài)勢、管理和配置進(jìn)行管理操作，主要包括網(wǎng)絡(luò)、系統(tǒng)運(yùn)行、事件報警等展示和策略配置管理；為電子政務(wù)服務(wù)提供定制化全網(wǎng)的安全信息和安全狀態(tài)分析展示，包括風(fēng)險預(yù)警、告警事件、故障分析、策略發(fā)布、報表報告等數(shù)據(jù)分析和展示功能等。

3.2 設(shè)計模型

（1）電子政務(wù)公共平臺安全管理中心系統(tǒng)。

①組成：數(shù)據(jù)采集層、數(shù)據(jù)和業(yè)務(wù)管理層、數(shù)據(jù)展示層等；

②通過數(shù)據(jù)接口連接外部產(chǎn)品管理接口，諸如，實時數(shù)據(jù)接口、文件接口、數(shù)據(jù)庫接口、其他接口等。

（2）電子政務(wù)公共平臺安全管理中心系統(tǒng)數(shù)據(jù)展示層。

①風(fēng)險展現(xiàn)管理：包括，拓?fù)湔故尽⑦\(yùn)行狀態(tài)、實時性能、風(fēng)險預(yù)警、告警事件、故障分析、策略發(fā)布、報表報告等。

②通過采集探針Probe整合，以Portal的方式進(jìn)行多系統(tǒng)數(shù)據(jù)展示整合。

（3）電子政務(wù)公共平臺安全管理中心系統(tǒng)分析層。

①分析層是安全運(yùn)行管理平臺的核心，由信息安全核心服務(wù)器和數(shù)據(jù)庫構(gòu)成等。

②負(fù)責(zé)對前端信息安全數(shù)據(jù)采集的風(fēng)險點進(jìn)行分析，并對根據(jù)信息安全策略對安全目標(biāo)進(jìn)行預(yù)警和響應(yīng)等。

③負(fù)責(zé)安全監(jiān)控、預(yù)警、告警、響應(yīng)、信息安全策略管理和系統(tǒng)管理等。

④組成：應(yīng)用引擎平臺、業(yè)務(wù)邏輯子層、數(shù)據(jù)邏輯子層、資源管理（KBP）、數(shù)據(jù)管理（KPI）、南向適配（配置、性能、事件數(shù)據(jù)元素整形適配器）、采集調(diào)試管理等。

⑤業(yè)務(wù)邏輯子層通過工單交互、知識庫交互等，與企業(yè)整體的運(yùn)維管理系統(tǒng)實現(xiàn)雙向接口等。

⑥數(shù)據(jù)邏輯子層通過CMDB復(fù)用等，以統(tǒng)一CMDB的形式與網(wǎng)管、運(yùn)維系統(tǒng)整合等。

（4）電子政務(wù)公共平臺安全管理中心系統(tǒng)采集層。

①數(shù)據(jù)采集層針對重要信息系統(tǒng)進(jìn)行信息安全數(shù)據(jù)采集，包括關(guān)鍵業(yè)務(wù)系統(tǒng)環(huán)境相關(guān)的網(wǎng)絡(luò)設(shè)備、主機(jī)、安全產(chǎn)品等信息。

②設(shè)計部署采集管理控制臺統(tǒng)一進(jìn)行信息采集，并設(shè)計采集任務(wù)分發(fā)給相對應(yīng)的采集點。

③設(shè)計可定制化的采集的策略，包括采集范圍對象、采集頻度、采集數(shù)量等。

3.3 數(shù)據(jù)模型分析

數(shù)據(jù)采集層設(shè)計采用以下網(wǎng)絡(luò)協(xié)議進(jìn)行數(shù)據(jù)采集，列舉主要的安全管理中心應(yīng)用的協(xié)議和技術(shù)實施例。

4 研究案例與成果

信息安全保障技術(shù)是為管理做技術(shù)支持，管理和技術(shù)并重。信息安全管理的策略設(shè)計與運(yùn)行實施才是安全管理落地的根本，從運(yùn)行和維護(hù)的信息安全角度，總結(jié)信息安全管理主要工作主要包括了：（1）建立完善的電子政務(wù)服務(wù)身份認(rèn)證和訪問控制機(jī)制，規(guī)范管理電子政務(wù)服務(wù)信息安全標(biāo)準(zhǔn)規(guī)范和相關(guān)協(xié)議的合規(guī)性作業(yè)流程；（2）信息安全的管理運(yùn)行分級分域進(jìn)行信息安全管理，即采取分級控制和按業(yè)務(wù)類型重要程度分域的管理，并對運(yùn)維人員的職責(zé)范圍明確劃分；（3）設(shè)立以政府為主導(dǎo)的第三方監(jiān)督審計機(jī)構(gòu)，對電子政務(wù)服務(wù)安全性、合規(guī)性監(jiān)督測評；（4）定期開展信息安全培訓(xùn)，加強(qiáng)人員的信息安全意識，健全內(nèi)部機(jī)制，增強(qiáng)政府服務(wù)的安全防范意識和風(fēng)險管理能力。

5 結(jié)語

該文研究信息安全管理系統(tǒng)滿足電子政務(wù)業(yè)務(wù)的安全事件集中收集和處理能力，構(gòu)筑了基于資產(chǎn)安全屬性（CIA）和安全域的業(yè)務(wù)安全風(fēng)險管理體系，通過關(guān)聯(lián)分析和客戶化關(guān)聯(lián)分析規(guī)則定義，實現(xiàn)準(zhǔn)確的事件定位，形成了統(tǒng)一的安全知識共享體系，可實現(xiàn)多級不同管理模式的功能，具備安全管理中心的高容錯性、高可用性和高冗余可靠性。該研究成果具有良好安全管理中心的可擴(kuò)展性，包括多級擴(kuò)展、功能擴(kuò)展，滿足級保護(hù)三級—— 監(jiān)督保護(hù)級要求，并遵循《關(guān)于印發(fā)<信息安全風(fēng)險評估指南>的通知》（國信辦【2006】9號）進(jìn)行資產(chǎn)、弱點、威脅和采取的控制措施進(jìn)行評估的要求。

參考文獻(xiàn)

[1] 周曉斌，董瑞陽.電子政務(wù)信息安全十大問題[N].計算機(jī)世界，2009-06-29.

[2] 唐珂.淺談我國電子政務(wù)建設(shè)及信息安全管理問題檔案學(xué)研究，2004（6）：38-47.

[3] 劉邦凡，王靜.論基于云計算的電子政務(wù)信息安全[J].電子商務(wù)，2013（11）：32-33.