梁曉雁

摘 要：該課題主要是基于電子政務(wù)公共平臺信息安全管理的設(shè)計與研究，是基于信息安全等級保護，保障基礎(chǔ)設(shè)施、硬件和重要信息系統(tǒng)的安全，以為電子政務(wù)公共平臺提供有效的安全技術(shù)和安全管理保障施，實現(xiàn)信息安全保障工作實施的重大的現(xiàn)實和戰(zhàn)略意義。信息安全管理基于平臺不同位置、不同安全系統(tǒng)的分散且海量的單一安全事件進行采集、分析、匯總、過濾、收集和關(guān)聯(lián)分析，總結(jié)分析全局角度的安全風險事件，并形成統(tǒng)一的安全決策對安全事件進行響應(yīng)和處理。

關(guān)鍵詞：信息安全管理 等級保護 數(shù)據(jù)采集 日志管理

中圖分類號：TP39 文獻標識碼：A 文章編號：1672-3791（2015）11（c）-0007-02

我國電子政務(wù)建設(shè)正處在高速發(fā)展期，從中央到省市各級政府部門都投入了大量的人力和財力來推進信息化工作。電子政務(wù)公共平臺的頂層設(shè)計和實施建成，較大程度地提高了政府信息政務(wù)公開和共享等的工作效率和服務(wù)質(zhì)量。電子政務(wù)公共平臺穩(wěn)定和安全運行已經(jīng)構(gòu)成了政府運轉(zhuǎn)連續(xù)性的重要保障之一。 因此，電子政務(wù)公共平臺的安全保障工作已經(jīng)成為政府信息化工作成敗的關(guān)鍵因素。信息安全的管理需要在各個層面為電子政務(wù)提供機密性、完整性、可用性、鑒別等安全服務(wù)。該文基于信息安全等級保護，從安全基礎(chǔ)設(shè)施、訪問控制策略、安全防御、安全監(jiān)控、安全審計和安全響應(yīng)恢復等研究信息安全研究電子政務(wù)的安全管理體系。從而從整體上提高電子政務(wù)公共平臺信息安全管理全面性。

1 研究思路

基于電子政務(wù)公共平臺服務(wù)的戰(zhàn)略定位、統(tǒng)籌規(guī)劃和實施路徑的總體把握，按照基于等級保護技術(shù)要求，并根據(jù)電子政務(wù)信息化服務(wù)業(yè)務(wù)安全需求，為信息化綜合服務(wù)提供安全支撐服務(wù)，從而使得平臺可以安全、穩(wěn)定、可連續(xù)的進行信息化服務(wù)。重點保護基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全，實現(xiàn)信息安全服務(wù)支撐工作的有效安全技術(shù)和管理措施要求，以實現(xiàn)信息安全等級保護實施的重大的現(xiàn)實和戰(zhàn)略意義。

2 總體設(shè)計目標

（1）電子政務(wù)公共平臺安全管理建設(shè)的總體目標是統(tǒng)一技術(shù)標準，共建共享信息安全基礎(chǔ)設(shè)施，建立統(tǒng)一的公共密鑰基礎(chǔ)設(shè)施（PKI），實現(xiàn)跨系統(tǒng)的身份認證機制等。

（2）解決傳統(tǒng)信息化系統(tǒng)建設(shè)中，電子政務(wù)公共平臺基礎(chǔ)設(shè)施、信息資源與業(yè)務(wù)系統(tǒng)因所有權(quán)、使用權(quán)和管理權(quán)界定不清晰，存在基礎(chǔ)設(shè)施和業(yè)務(wù)應(yīng)用的管理權(quán)限難以分離管理，責任權(quán)限過大或者過小，造成設(shè)備利用率不高，或容易出現(xiàn)信息安全事件的情況。

（3）解決不同的政府部分因不同的職能/服務(wù)導致的電子政務(wù)基礎(chǔ)設(shè)施和資源的重復建設(shè)和資金浪費問題。

（4）解決信息化綜合服務(wù)的安全服務(wù)支撐，實現(xiàn)各級信息系統(tǒng)的授權(quán)管理、認證服務(wù)、鑒別服務(wù)、訪問控制和數(shù)據(jù)防護的安全服務(wù)支撐，最終實現(xiàn)各級信息系統(tǒng)互聯(lián)互通的信息化服務(wù)。

3 設(shè)計分析

3.1 設(shè)計思路

（1）電子政務(wù)公共平臺安全管理建設(shè)統(tǒng)一管理電子政務(wù)邊界安全防護系統(tǒng)，集中建設(shè)互聯(lián)網(wǎng)接入點，實現(xiàn)部門互聯(lián)網(wǎng)的安全接入和可管可控可剝離等。

（2）電子政務(wù)公共平臺安全管理基于安全技術(shù)體系下，根據(jù)各自信息安全等級，建設(shè)、升級、完善安全系統(tǒng)等。

（3）電子政務(wù)公共平臺安全管理中心系統(tǒng)將不同位置、不同安全系統(tǒng)中分散且海量的單一安全事件進行匯總、過濾、收集和關(guān)聯(lián)分析，以全局角度分析信息安全風險和信息安全事件，形成分層次分區(qū)域的安全策略，以對安全事件進行響應(yīng)和處置的綜合性信息安全管理平臺。

（4）電子政務(wù)公共平臺安全管理是一個跨系統(tǒng)、跨部門的綜合性服務(wù)信息系統(tǒng)，由虛擬資源管理系統(tǒng)、數(shù)據(jù)挖掘與智能瀏覽、虛擬資源隔離系統(tǒng)、信息資源目錄與交換系統(tǒng)、基于SOA的業(yè)務(wù)協(xié)同、多元數(shù)據(jù)融合與集成系統(tǒng)、數(shù)據(jù)庫資源整合與綜合應(yīng)用、多級數(shù)據(jù)交換系統(tǒng)、信息服務(wù)資源運營管理平臺、信息化綜合服務(wù)管理平臺信息中心構(gòu)成的完整獨立體系構(gòu)成等。

（5）電子政務(wù)公共平臺信息安全管理是按照其保障工作流程，依次分為數(shù)據(jù)采集層、分析層、展示層等。

（6）電子政務(wù)公共平臺安全管理設(shè)計研究多種分類的數(shù)據(jù)接口，一方面滿足與用戶已有或后續(xù)建設(shè)的其他管理系統(tǒng)或平臺集成整合，另一方面，安全管理中心還提供了相關(guān)數(shù)據(jù)接口和配置接口，可對相關(guān)安全產(chǎn)品進行統(tǒng)一配置和管理等。

（7）電子政務(wù)公共平臺安全管理的數(shù)據(jù)采集層針對重要信息系統(tǒng)進行信息安全數(shù)據(jù)采集，包括關(guān)鍵業(yè)務(wù)系統(tǒng)環(huán)境相關(guān)的網(wǎng)絡(luò)設(shè)備、主機、安全產(chǎn)品等信息。

（8）電子政務(wù)公共平臺安全管理的分析層是安全運行管理的核心，負責對數(shù)據(jù)采集的信息進行分析處理，并對相關(guān)的信息安全風險和信息安全事件進行預(yù)警和響應(yīng)等。

（9）電子政務(wù)公共平臺主要功能包括了安全監(jiān)控、預(yù)警、告警、響應(yīng)、信息安全策略管理和系統(tǒng)管理等。

（10）電子政務(wù)公共平臺安全管理的數(shù)據(jù)展示層提供了安全運行管理可視化界面，分為管理員界面和為客戶提供的可視化界面。管理員通過管理界面，對電子政務(wù)公共平臺整體信息安全態(tài)勢、管理和配置進行管理操作，主要包括網(wǎng)絡(luò)、系統(tǒng)運行、事件報警等展示和策略配置管理；為電子政務(wù)服務(wù)提供定制化全網(wǎng)的安全信息和安全狀態(tài)分析展示，包括風險預(yù)警、告警事件、故障分析、策略發(fā)布、報表報告等數(shù)據(jù)分析和展示功能等。

3.2 設(shè)計模型

（1）電子政務(wù)公共平臺安全管理中心系統(tǒng)。

①組成：數(shù)據(jù)采集層、數(shù)據(jù)和業(yè)務(wù)管理層、數(shù)據(jù)展示層等；

②通過數(shù)據(jù)接口連接外部產(chǎn)品管理接口，諸如，實時數(shù)據(jù)接口、文件接口、數(shù)據(jù)庫接口、其他接口等。

（2）電子政務(wù)公共平臺安全管理中心系統(tǒng)數(shù)據(jù)展示層。

①風險展現(xiàn)管理：包括，拓撲展示、運行狀態(tài)、實時性能、風險預(yù)警、告警事件、故障分析、策略發(fā)布、報表報告等。

②通過采集探針Probe整合，以Portal的方式進行多系統(tǒng)數(shù)據(jù)展示整合。

（3）電子政務(wù)公共平臺安全管理中心系統(tǒng)分析層。

①分析層是安全運行管理平臺的核心，由信息安全核心服務(wù)器和數(shù)據(jù)庫構(gòu)成等。

②負責對前端信息安全數(shù)據(jù)采集的風險點進行分析，并對根據(jù)信息安全策略對安全目標進行預(yù)警和響應(yīng)等。

③負責安全監(jiān)控、預(yù)警、告警、響應(yīng)、信息安全策略管理和系統(tǒng)管理等。

④組成：應(yīng)用引擎平臺、業(yè)務(wù)邏輯子層、數(shù)據(jù)邏輯子層、資源管理（KBP）、數(shù)據(jù)管理（KPI）、南向適配（配置、性能、事件數(shù)據(jù)元素整形適配器）、采集調(diào)試管理等。

⑤業(yè)務(wù)邏輯子層通過工單交互、知識庫交互等，與企業(yè)整體的運維管理系統(tǒng)實現(xiàn)雙向接口等。

⑥數(shù)據(jù)邏輯子層通過CMDB復用等，以統(tǒng)一CMDB的形式與網(wǎng)管、運維系統(tǒng)整合等。

（4）電子政務(wù)公共平臺安全管理中心系統(tǒng)采集層。

①數(shù)據(jù)采集層針對重要信息系統(tǒng)進行信息安全數(shù)據(jù)采集，包括關(guān)鍵業(yè)務(wù)系統(tǒng)環(huán)境相關(guān)的網(wǎng)絡(luò)設(shè)備、主機、安全產(chǎn)品等信息。

②設(shè)計部署采集管理控制臺統(tǒng)一進行信息采集，并設(shè)計采集任務(wù)分發(fā)給相對應(yīng)的采集點。

③設(shè)計可定制化的采集的策略，包括采集范圍對象、采集頻度、采集數(shù)量等。

3.3 數(shù)據(jù)模型分析

數(shù)據(jù)采集層設(shè)計采用以下網(wǎng)絡(luò)協(xié)議進行數(shù)據(jù)采集，列舉主要的安全管理中心應(yīng)用的協(xié)議和技術(shù)實施例。

4 研究案例與成果

信息安全保障技術(shù)是為管理做技術(shù)支持，管理和技術(shù)并重。信息安全管理的策略設(shè)計與運行實施才是安全管理落地的根本，從運行和維護的信息安全角度，總結(jié)信息安全管理主要工作主要包括了：（1）建立完善的電子政務(wù)服務(wù)身份認證和訪問控制機制，規(guī)范管理電子政務(wù)服務(wù)信息安全標準規(guī)范和相關(guān)協(xié)議的合規(guī)性作業(yè)流程；（2）信息安全的管理運行分級分域進行信息安全管理，即采取分級控制和按業(yè)務(wù)類型重要程度分域的管理，并對運維人員的職責范圍明確劃分；（3）設(shè)立以政府為主導的第三方監(jiān)督審計機構(gòu)，對電子政務(wù)服務(wù)安全性、合規(guī)性監(jiān)督測評；（4）定期開展信息安全培訓，加強人員的信息安全意識，健全內(nèi)部機制，增強政府服務(wù)的安全防范意識和風險管理能力。

5 結(jié)語

該文研究信息安全管理系統(tǒng)滿足電子政務(wù)業(yè)務(wù)的安全事件集中收集和處理能力，構(gòu)筑了基于資產(chǎn)安全屬性（CIA）和安全域的業(yè)務(wù)安全風險管理體系，通過關(guān)聯(lián)分析和客戶化關(guān)聯(lián)分析規(guī)則定義，實現(xiàn)準確的事件定位，形成了統(tǒng)一的安全知識共享體系，可實現(xiàn)多級不同管理模式的功能，具備安全管理中心的高容錯性、高可用性和高冗余可靠性。該研究成果具有良好安全管理中心的可擴展性，包括多級擴展、功能擴展，滿足級保護三級—— 監(jiān)督保護級要求，并遵循《關(guān)于印發(fā)<信息安全風險評估指南>的通知》（國信辦【2006】9號）進行資產(chǎn)、弱點、威脅和采取的控制措施進行評估的要求。

參考文獻

[1] 周曉斌，董瑞陽.電子政務(wù)信息安全十大問題[N].計算機世界，2009-06-29.

[2] 唐珂.淺談我國電子政務(wù)建設(shè)及信息安全管理問題檔案學研究，2004（6）：38-47.

[3] 劉邦凡，王靜.論基于云計算的電子政務(wù)信息安全[J].電子商務(wù)，2013（11）：32-33.