论文部分内容阅读
摘 要:本文从以下几个方面讲述了电子政务信息安全改善方案的研究:建立有效的信息安全管理机构、统一规划、同步建设信息安全系统、制定切实可行的规章制度。
关键词:电子政务;信息安全;改善
信息安全管理体系是信息安全保障的重要支撑环境,由于信息管理涉及到人事、组织机构、法律法规和技术标准等各方面,所以要采用系统管理的思想进行构建。做好信息安全工作既需要好的组织体系,也需要好的管理模式,两者缺一不可。建立信息安全管理体系要从符合法律法规、组织利益的角度,注重整体性原则,涉及电子政务体系的各个层面,建立电子政务信息安全保密管理的整体框架。根据现有电子政务的实际情况,为提高信息安全保密意识、强化信息安全管理,要制定统一、可行的管理制度并在整个网络系统中贯彻施行。具体来说,可从以下几个方面进行:
1. 建立有效的信息安全管理机构
信息安全管理涉及方面多、范围广,需要政府各部门各单位与社会各单位各阶层之间加强沟通合作,需要有统一的领导管理机构,以保证异常情况下能迅速反应并制定防范措施。我国已经建立了中央网络安全和信息化领导小组,负责统筹协调涉及经济、政治、文化、社会及军事等各个领域的网络安全和信息,但还未有具体文件谈及如何加强完善互联网的管理体制,这方面还有待具体措施的落实。可通过建立分工、责任更为明确的主协部门,以加强各单位之间的沟通与合作,现实情况下可采取以国家安全机关或公安机关为中心,其他部门互相协作的方式,进行联合管理。
2. 统一规划、同步建设信息安全系统
“凡事预则立,不预则废”,为避免重复建设,保障安全,在信息化建设初期,就应当认真遵照国家信息化领导小组制定的总体规划和统一部署,整体规划信息安全工作,统一安全标准和规范,并嚴格贯彻落实。处理好发展与安全的关系,综合比较安全成本和效益,制定完善电子政务信息安全管理体系。强调建立分层防御的信息安全保密管理体系,可让具备资质的信息安全机构提供信息安全规划与实施方案,从全局性、整体性出发,从信息流经的各个系统层面进行安全管理防御。建设阶段与运行维护阶段是电子政务信息安全系统生命的两个阶段,而从管理学的角度,电子政务信息安全管理则包括两种管理类型——项目管理和运营管理。信息安全系统的建设是先于系统的维护的,因此系统建设的好坏直接影响着系统的健壮性以及系统应用后的运行和维护。因此,电子政务安全项目的规划对整个电子政务系统安全程度起着重要作用。
一是正确划分政务内网与政务外网,重点抓好内网建设与应用中的保密管理。在电子政务建设的初期,有关政务部门就应与保密工作部门相结合,做好整体规划,根据实际需要,正确界定涉密网络与非涉密网络,做好政务内网与政务外网的划分,正确界定信息资源的“密”与“非密”,以正确把握信息的保密与公开。政务内网安全保密系统的规划与建设要与政务内网信息系统同步规划、同步建设、同步运行,要做为政务内网建设的重要组成部分,并保证进行安全保密建设所需的经费。政务内网的设计与建设要选择具有涉密信息系统集成资质的单位来承担,同时要从实施能力、安全理念和保密制度等多方面对涉密信息系统集成资质单位的安全资质进行严格审查,加强监督管理,掌握项目管理的主动权。有关政务部门要正确掌握建设标准,做好内网建设安全保密方案的设计和科学论证,尽量降低由于方案不足而带来的安全风险。政务内网信息系统投入使用前要通过国家保密行政管理部门授权的测评机构的安全保密测评,并通过具有审批权限的保密行政管理部门审批之后方能存储、处理国家秘密信息。
二是做好电子政务项目的规划。我国电子政务安全建设中,现有文件大多是纲领性的,缺少对具体设计和实施工作有指导意义的总体规划,因此,在信息安全问题上,我国应成立一个权威性的信息安全管理机构,建立与国家信息化进程相一致的信息安全工程规划。规划要体现在对建设目标的明确性、项目风险的预测上,合理的规划是保证电子政务项目建设得以顺利实施的基本条件,可以避免项目进行中遇到的问题。处理好安全需求分析、项目实施安全管理、项目的交付与使用等各个方面的问题,优化电子政务项目安全管理流程。(一)对项目安全做好风险评估。由于所处环境的多样性及信息技术的复杂性,电子政务系统面临着多方面、多层次的安全威胁,主要包括物理安全风险、网络层安全风险、通信传输风险、区域边界风险、管理安全风险以及其他可能危及政府信息系统中信息的保密性、完整性、可用性和系统正常运行的风险等。有效的安全风险评估,能保证安全系统项目建设的顺利进行,也可为消除安全系统所面对的威胁提供预案。(二)制定、实施策略。根据项目安全风险评估,制定工程实施中的安全策略。首先选择是降低或是避免或是转嫁或是接受风险的风险管理方式,再选择控制的方式和明确风险控制目标。安全策略包括电子政务安全等级和安全域的划分、安全问题的报告、对应安全等级措施的要求、应急措施和紧急情况的处理,可通过建立制度、实施安全工程等执行。(三)制定和执行标准。安全标准包括软硬件、人员、数据备份、系统物理安全和系统安全等,它是以政府信息系统具体的安全等级为对象制定的。电子政务安全策略是安全标准制定的指导思想,安全标准是电子政务系统的产品和设计的参考依据。安全标准执行的方式是实行认证制度,为确保电子政务信息安全,可建立相应的测评体系。(四)安全审计。安全审计贯穿于电子政务系统的整个过程,包括外部审计与内部审订。外部审计是为了检查国家相关标准和政策是否得到落实;内部审计则指单位本身为确保信息系统相关技术和策略动态发展,核查系统的运行状态、软硬件、人员操作记录及相关信息。(五)应急和响应。其作用一是明确响应主体,做好预防,以便在发生安全事故时,能采取有效措施降低损失,一是为了便于事故发生后的处理,及时加固安全薄弱环节。
三是有完善的安全系统设计。电子政务系统的主要目的是为政府及社会公众提供优质、透明、高效的服务和管理,在保证电子政务系统安全的同时,还必须考虑开放性和应用效率。安全系统设计阶段是将安全需求进行细化阶段,此阶段主要是设计和分析系统的逻辑结构和物理结构。要从不同层面对安全系统进行设计:从安全特性上,安全设计包括身份鉴别、数据保密、数据完整性、访问控制、防病毒等;从系统层面上,安全设计包括网络安全、数据安全和系统软件安全等。
3. 制定切实可行的规章制度
在信息系统安全管理工作中,制度建设的作用是根本性、指导性和全局性的。信息安全管理机构应建立切实可行的管理制度,使其有章可循。规章制度的建立要从电子政务所处环境及满足其应用的具体方面,遵循信息安全相关的法律法规和相应的标准及规范,以保证电子政务网络可操作、可管理。
一是制定信息安全责任制度。按照“谁主管、谁负责”的原则,实行分类分级管理。明确信息安全管理的职能,逐层落实信息安全工作责任制,加强组织领导,实行“一把手负总责、分管领导详细抓、分管人员抓落实”的责任体制,人人签订责任书,层层落实、责任到人。二是制定系统运行维护制度。结合实际情况,建立包括系统维修与报废、软件安装管理、备份与恢复、系统配置变更管理等方面的应用系统安全管理制度。
关键词:电子政务;信息安全;改善
信息安全管理体系是信息安全保障的重要支撑环境,由于信息管理涉及到人事、组织机构、法律法规和技术标准等各方面,所以要采用系统管理的思想进行构建。做好信息安全工作既需要好的组织体系,也需要好的管理模式,两者缺一不可。建立信息安全管理体系要从符合法律法规、组织利益的角度,注重整体性原则,涉及电子政务体系的各个层面,建立电子政务信息安全保密管理的整体框架。根据现有电子政务的实际情况,为提高信息安全保密意识、强化信息安全管理,要制定统一、可行的管理制度并在整个网络系统中贯彻施行。具体来说,可从以下几个方面进行:
1. 建立有效的信息安全管理机构
信息安全管理涉及方面多、范围广,需要政府各部门各单位与社会各单位各阶层之间加强沟通合作,需要有统一的领导管理机构,以保证异常情况下能迅速反应并制定防范措施。我国已经建立了中央网络安全和信息化领导小组,负责统筹协调涉及经济、政治、文化、社会及军事等各个领域的网络安全和信息,但还未有具体文件谈及如何加强完善互联网的管理体制,这方面还有待具体措施的落实。可通过建立分工、责任更为明确的主协部门,以加强各单位之间的沟通与合作,现实情况下可采取以国家安全机关或公安机关为中心,其他部门互相协作的方式,进行联合管理。
2. 统一规划、同步建设信息安全系统
“凡事预则立,不预则废”,为避免重复建设,保障安全,在信息化建设初期,就应当认真遵照国家信息化领导小组制定的总体规划和统一部署,整体规划信息安全工作,统一安全标准和规范,并嚴格贯彻落实。处理好发展与安全的关系,综合比较安全成本和效益,制定完善电子政务信息安全管理体系。强调建立分层防御的信息安全保密管理体系,可让具备资质的信息安全机构提供信息安全规划与实施方案,从全局性、整体性出发,从信息流经的各个系统层面进行安全管理防御。建设阶段与运行维护阶段是电子政务信息安全系统生命的两个阶段,而从管理学的角度,电子政务信息安全管理则包括两种管理类型——项目管理和运营管理。信息安全系统的建设是先于系统的维护的,因此系统建设的好坏直接影响着系统的健壮性以及系统应用后的运行和维护。因此,电子政务安全项目的规划对整个电子政务系统安全程度起着重要作用。
一是正确划分政务内网与政务外网,重点抓好内网建设与应用中的保密管理。在电子政务建设的初期,有关政务部门就应与保密工作部门相结合,做好整体规划,根据实际需要,正确界定涉密网络与非涉密网络,做好政务内网与政务外网的划分,正确界定信息资源的“密”与“非密”,以正确把握信息的保密与公开。政务内网安全保密系统的规划与建设要与政务内网信息系统同步规划、同步建设、同步运行,要做为政务内网建设的重要组成部分,并保证进行安全保密建设所需的经费。政务内网的设计与建设要选择具有涉密信息系统集成资质的单位来承担,同时要从实施能力、安全理念和保密制度等多方面对涉密信息系统集成资质单位的安全资质进行严格审查,加强监督管理,掌握项目管理的主动权。有关政务部门要正确掌握建设标准,做好内网建设安全保密方案的设计和科学论证,尽量降低由于方案不足而带来的安全风险。政务内网信息系统投入使用前要通过国家保密行政管理部门授权的测评机构的安全保密测评,并通过具有审批权限的保密行政管理部门审批之后方能存储、处理国家秘密信息。
二是做好电子政务项目的规划。我国电子政务安全建设中,现有文件大多是纲领性的,缺少对具体设计和实施工作有指导意义的总体规划,因此,在信息安全问题上,我国应成立一个权威性的信息安全管理机构,建立与国家信息化进程相一致的信息安全工程规划。规划要体现在对建设目标的明确性、项目风险的预测上,合理的规划是保证电子政务项目建设得以顺利实施的基本条件,可以避免项目进行中遇到的问题。处理好安全需求分析、项目实施安全管理、项目的交付与使用等各个方面的问题,优化电子政务项目安全管理流程。(一)对项目安全做好风险评估。由于所处环境的多样性及信息技术的复杂性,电子政务系统面临着多方面、多层次的安全威胁,主要包括物理安全风险、网络层安全风险、通信传输风险、区域边界风险、管理安全风险以及其他可能危及政府信息系统中信息的保密性、完整性、可用性和系统正常运行的风险等。有效的安全风险评估,能保证安全系统项目建设的顺利进行,也可为消除安全系统所面对的威胁提供预案。(二)制定、实施策略。根据项目安全风险评估,制定工程实施中的安全策略。首先选择是降低或是避免或是转嫁或是接受风险的风险管理方式,再选择控制的方式和明确风险控制目标。安全策略包括电子政务安全等级和安全域的划分、安全问题的报告、对应安全等级措施的要求、应急措施和紧急情况的处理,可通过建立制度、实施安全工程等执行。(三)制定和执行标准。安全标准包括软硬件、人员、数据备份、系统物理安全和系统安全等,它是以政府信息系统具体的安全等级为对象制定的。电子政务安全策略是安全标准制定的指导思想,安全标准是电子政务系统的产品和设计的参考依据。安全标准执行的方式是实行认证制度,为确保电子政务信息安全,可建立相应的测评体系。(四)安全审计。安全审计贯穿于电子政务系统的整个过程,包括外部审计与内部审订。外部审计是为了检查国家相关标准和政策是否得到落实;内部审计则指单位本身为确保信息系统相关技术和策略动态发展,核查系统的运行状态、软硬件、人员操作记录及相关信息。(五)应急和响应。其作用一是明确响应主体,做好预防,以便在发生安全事故时,能采取有效措施降低损失,一是为了便于事故发生后的处理,及时加固安全薄弱环节。
三是有完善的安全系统设计。电子政务系统的主要目的是为政府及社会公众提供优质、透明、高效的服务和管理,在保证电子政务系统安全的同时,还必须考虑开放性和应用效率。安全系统设计阶段是将安全需求进行细化阶段,此阶段主要是设计和分析系统的逻辑结构和物理结构。要从不同层面对安全系统进行设计:从安全特性上,安全设计包括身份鉴别、数据保密、数据完整性、访问控制、防病毒等;从系统层面上,安全设计包括网络安全、数据安全和系统软件安全等。
3. 制定切实可行的规章制度
在信息系统安全管理工作中,制度建设的作用是根本性、指导性和全局性的。信息安全管理机构应建立切实可行的管理制度,使其有章可循。规章制度的建立要从电子政务所处环境及满足其应用的具体方面,遵循信息安全相关的法律法规和相应的标准及规范,以保证电子政务网络可操作、可管理。
一是制定信息安全责任制度。按照“谁主管、谁负责”的原则,实行分类分级管理。明确信息安全管理的职能,逐层落实信息安全工作责任制,加强组织领导,实行“一把手负总责、分管领导详细抓、分管人员抓落实”的责任体制,人人签订责任书,层层落实、责任到人。二是制定系统运行维护制度。结合实际情况,建立包括系统维修与报废、软件安装管理、备份与恢复、系统配置变更管理等方面的应用系统安全管理制度。