電子政務是壹個基於網絡技術的綜合性信息系統,涉及政府機關、各團體、企業和社會公眾,主要包括機關辦公政務網、辦公政務資源網、公眾信息網和辦公政務信息資源數據庫四個部分,簡稱“三網壹庫”。作為政府的信息主管部門,其安全職責是保護政務信息資源價值不受侵犯,保證信息資產的擁有者面臨最小的風險,從而使政務的信息基礎設施、信息應用服務和信息內容具有保密性、完整性、可用性,能夠抵禦各種威脅。同時在信息安全管理上保持良好的可控性,即信息安全管理的目標是要確保對全局的掌控,而不僅限於對局部系統的了解,確保整個體系的保密性、完整性和可用性;對於安全問題、事件的檢測要能夠匯總和綜合到中央監控體系,實現全面支撐信息安全運營管理的目標。
電子政務信息安全管理面臨的問題與挑戰
隨著電子政務信息化的不斷發展,電子政務對於信息系統的依賴性越來越強,新湧現出來的信息安全問題成為政府信息主管部門關註的焦點。而政務系統作為關系國計民生的重要部分,在信息安全方面也面臨著嚴峻的挑戰。
首先,由於電子政務信息系統不斷走向開放,從原先的專有系統演變成為今天依賴的通用操作系統。絕大多數政務系統是通過基於TCP/IP協議的互聯網提供政務服務的,而互聯網由於自身安全性不足,給電子政務信息系統帶來更為嚴峻的問題。
其次,隨著國際網絡大環境的改變,威脅表現出了多樣化,多源化的特點。威脅並不是單純的來自外部,很多情況下也來自內部,所以針對電子政務信息系統應該構建壹個立體的、縱深的、全方位的解決方案。而系統的日趨復雜,又為可控性不斷提出挑戰。
在過去幾年中,有很多政府部門對自身的電子政務系統進行了大量的安全建設和投入,但安全建設的主要內容是安全設備的采購。這些設備雖然產生了海量的日誌及報警信息,但得到的信息卻並沒有被很好的利用,許多未被明確的風險,依然保留在信息系統當中。
電子政務信息安全管理的政策要求
中辦27號文件中明確提出了建立等級保護制度和風險管理體系的要求。今年初,公安部等國家四部委聯合推出信息安全等級保護要求、測評準則和實施指南,為政務領域進壹步建立政務信息系統風險管理體系提供了技術基礎和指導。
隨著政府機構的信息安全基礎建設日趨完善,建立壹套信息安全管理系統也日益迫切。許多政府部門已經開始通過建立本部門的信息安全管理平臺,實現了信息安全管理職能,優化了政府信息主管部門的工作。
信息安全管理平臺在電子政務系統中的作用
信息安全管理平臺在信息安全管理中具有十分重要的作用,它位於管理層次模型中人與各安全設備之間,主要由安全信息采集平臺和安全風險管理平臺兩大部分組成,分別為技術層面、管理層面和決策層面提供相應的用戶接口。
在技術層面,信息安全管理平臺集中管理不同的安全設備,幫助操作者綜合分析各個設備產生的報警信息,對重要資產實施完善的管理和等級保護。
在運營層面,信息安全管理平臺幫助管理者準確分析現有系統面臨的威脅,並排列有限順序,理順安全事件的管理流程,制定合理的應急響應流程和規範。
在決策層面,電子政務信息主管可以從政務風險層面理解安全事件,通過對風險進行量化,實現對政務系統的風險監控和管理,同時幫助信息主管計算和跟蹤安全投資回報率,便於在後期優化信息安全投資。