简述如何划分电子政务网站的内容结构
电子政务面临的安全威胁,包括网络黑客和犯罪、网络病毒泛滥和传播、信息间谍和窃取机密、网络恐怖组织的攻击和破坏、内部人员的非法操作、网络系统的脆弱和瘫痪、信息产品的失控等。,应该引起足够的警惕,采取安全措施应对这一挑战。
电子政务的安全目标和安全策略
电子政务的安全目标是保护政府信息资源的价值不受侵犯,确保信息资产的所有者面临最小的风险,获得最大的安全收益,使政府信息基础设施、信息应用服务和信息内容具有保密性、完整性、真实性、可用性和可控性,以抵御上述威胁。
为了实现上述目标,应采取积极的安全策略:
国家主导和社会参与。电子政务的安全关系到政府的办公决策、行政监督和公共服务的优质可信实施。只有国家统筹规划,社会积极参与,才能有效保障电子政务的安全。
全球治理和积极防御。为了更加有效,电子政务安全必须采取法律威慑、管理制约、技术支持和安全基础设施支持的整体治理措施,实施保护、检测、恢复和反制的主动防御手段。
等级保护,保障发展。应根据信息的价值水平及其面临的威胁水平,选择合适的安全机制强度水平和安全技术支持健壮性水平,在投资和风险承受能力之间寻求平衡,确保电子政务系统健康积极发展。
电子政务安全保障体系框架
电子政务安全采取“国家推动、社会参与、全面治理、积极防御、分级保护、保障发展”的策略。鉴于电子政务的信息安全面临着高技术对抗和综合斗争,涉及法律、管理、标准、技术、产品、服务、基础设施等诸多领域,有必要从全局出发构建其安全体系框架,以确保电子政务的健康发展。
电子政务的安全体系由六个要素组成,即安全法规、安全管理、安全标准、安全服务、安全技术产品和安全基础设施。
要素1:安全法律和政策
电子政务的工作内容和工作流程涉及国家机密和核心政务,其安全性关系到国家主权、国家安全和公共利益。因此,电子政务的安全实施和保障必须以国家法律法规的形式固化下来,形成电子政务实施和运行的行为准则,成为电子政务国际交流的重要基础,保护守法者和守法者的合法权益,为司法者和执法者提供法律依据,打破。
《中华人民共和国保守国家秘密法》已实施十余年,已不完全适应当前我国安全工作特别是电子政务发展的形势,亟待修订。
政府信息公开是电子政务的重要原则。为了拉近政府与公众的距离,使公众对政府服务享有知情权、参与权、监督权和享受权,为公众提供良好的信息服务,充分挖掘政府信息的最大效益,开放政府信息资源(非涉密、适宜公开)为人民服务,是电子政务的重要特征。尽快制定《政府信息公开法》,适当解密和规范公开规则,保障政府部门之间正常的信息交流,保障公众合法享有信息,打破政府信息资源的垄断和封锁,提高政府行政管理的透明度和民主进程,是十分有益和必要的。
电子政务迫切需要对电子签名和电子文件进行立法保护。近20个国家对数字签名和电子文档进行了立法,使其在电子政务和电子商务的运作中具有法律效力。这将极大地促进电子政务和电子商务的健康发展,使电子政务原有的双轨制走向单轨制,有利于简化程序,降低成本,充分展示电子政务的效益。
随着电子政务的发展,对个人数据保护(隐私法)的需求日益突出。电子政务在实施行政监管和公共服务过程中存在大量的个人信息(自然人和法人),如户籍、纳税、社保、信用等信息,这些信息大量进入政府网络信息库,对完成电子政务的各项功能发挥着巨大的作用。但这些个人信息如果保护不当或无意泄露、非法滥用,就可能成为报复、盗窃、推销、讨债、盯梢的工具。在国外,已经出现了将窃取的个人隐私信息作为非法商品出售牟取暴利的情况,直接损害个人利益,甚至危及个人生命安全。因此,有必要加快制定《个人数据保护法》。
有许多法律法规直接关系到电子政务的健康发展,因此加快这些法律法规的制定势在必行。
要素2安全组织和管理
中国信息安全管理职能的格局已经形成,如国家安全部、国家保密局、国家密码管理委员会、信息产业部、总参谋部...履行各自的安全职能,维护国家信息安全。电子政务安全管理涉及上述多个国家安全职能部门,其安全管理职能的协调需要由国家信息化领导机构进行,如国家领导小组及其办公室、国家电子政务协调小组、国家信息安全协调小组等。各地区、各部委有必要建立相应的信息安全管理机构,完善和加强信息安全管理,形成自上而下的信息安全管理组织体系。
制定出台与电子政务安全相关的各项管理规定,及时指导电子政务建设的各种行为,从项目立项、发包、采购、设计、实施、运营、监管、服务等阶段入手,确保电子政务系统建设全过程的安全和安全管理。
电子政务信息安全领域的划分和管理非常重要。电子政务有办公决策、行政监督和公共服务三类业务,其业务信息涉及国家秘密、部门工作秘密、内部敏感信息和公开服务信息。出于保护国家机密和方便公众服务的需要,信息安全域的科学划分和管理将有利于电子政务网络平台的安全设计和电子政务的健康有效实现。
制定电子政务工程集成商资质认证管理办法、工程建设监理机构管理办法和工程外包商管理机制和办法,确保电子政务工程建设特别是电子政务系统外包体系的质量和安全。电子政务涉密系统工程建设,还必须有国家保密局颁发的涉密系统集成资质证书,其他部分要有国家或省市相应系统集成商的资质证书。对于电子政务的保密部分,不允许托管和外包,电子政务的其他部分将按照相关管理规定执行。
对于电子政务项目中使用的信息安全产品,国家将制定相应的采购管理政策。涉及密码的信息安全产品需要有国家密码管理局的认可证书,信息安全产品要有国家测评机构的安全测评证书,以维护信息安全产品的可信度。
根据管理要求,可以对电子政务系统的信息内容进行安全监控和管理,以保护政府信息的安全,防止内部违规或外部入侵可能造成的网络泄密,防止有害信息内容在政府网络上传播。
制定人员管理、组织管理、文档管理、运行管理、资产和配置管理、媒体管理、服务管理、应急管理、保密管理、故障管理、开发维护管理、运行连续性保障管理、标准规范合规管理、物理环境管理等各项规章制度。确保电子政务系统的安全运行。
要素3安全标准和规范
信息安全标准有利于安全产品的标准化,保证产品的安全性和可信性,实现产品的互联互通,支持电子政务系统的互联互通、更新和可扩展性,支持系统安全性的评估和评价,保障电子政务系统的安全可靠。
中国已正式成立信息安全标准化委员会,近期成立了信息安全标准体系与协调(WG1)、内容安全分类与识别(WG2)、密码算法与密码模块/KMI/VPN (WG3)、PKI/PMI (WG4)、信息安全评估(WG5)、操作系统与数据库安全(WG6)、身份识别与认证协议(WG9)等工作组。操作系统和数据库安全工作组(WG10),制定电子政务安全相关标准,支持电子政务安全对标准制定的要求。
还将制定以下标准:涉密电子文件的分类与标记格式、内容健康的分类与标记、内容敏感的分类与标记、密码算法标准、密码模块标准、密钥管理标准、PKI/CA标准、PMI标准、信息系统安全评估与信息安全产品评估标准、应急响应等级、保护目标等级、应急响应指标、电子证据恢复与提取、电子证据有效性定义、电子证据保护、身份识别与认证、数据库安全等级、操作系统安全等级、中间件安全等级、信息安全产品接口规范、数字签名。
要素4安全和服务1。在电子政务系统建设中,需要构建其技术安全框架,建立大型电子政务系统的纵深防御体系。
制定政府内网的安全和控制策略;
建立政府外网的安全与控制策略;
设置访问互联网的安全服务和控制策略;
设置租用公网干线的安全服务和控制策略,包括有线通信、无线通信和卫星通信的安全服务和控制策略;
设置政府计算环境的安全服务和机制。
采用深度防御和多层次防御是电子政务安全的重要原则。通过整体安全防护、安全检测、快速响应、综合安全管理和安全设施的联动控制,系统可以实现防护、检测、响应和恢复的能力。
2.推广电子政务信息系统安全工程(ISSE)控制方法,全面实现安全服务要求。
在电子政务安全体系设计中,首先要分析系统资产的价值,如实物资产(系统环境、硬件、系统软件)的价值,信息资产的价值,以及其数据与国家利益、部门利益的相关性;其业务系统(模型、流程、应用软件)将从正常运行中受益,从而确定系统安全保护的目标。在上述分析的基础上,提出了整个安全系统的安全需求,并进一步明确了满足这些安全需求应具备的安全功能。然后探究系统可能面临的威胁类型,找出系统本身的脆弱性。这些威胁和漏洞如下:
互联网黑客和计算机犯罪;
网络病毒的传播和破坏;
机密信息的丢失和情报间谍的渗透;
网络恐怖主义和信息战;
内部人员违反规章制度;
在线安全产品失控;
网络和系统自身的漏洞和弱点。
面对这些威胁,需要分析哪些威胁是这个系统面临的主要威胁,哪些是次要的,对系统和任务的影响有多大。进行定性和定量分析,提出系统安全对策,确定风险容忍度,找到投入和风险容忍度的平衡点,进而确定系统所需的安全服务和相应的安全机制(见表1),从而配置系统的安全要素。风险管理和风险决策过程应该在项目的生命周期中进行(见图2)。这种风险管理应该贯穿于电子政务的全过程。
在系统投入运行时,需要对其安全性进行有效评估,即评估者给出的评估证据和构建者采用的技术支持设施能够真正让系统所有者相信技术对策已经选定,真正降低了系统的安全风险,符合必要的风险策略(风险策略可以是“零”风险策略、最小风险策略、最大可容忍风险策略或无风险策略),使其达到保护系统资产价值的必要能力(见图3)。上述有效的评估过程可以用安全技术支持健壮性级别(IATRn)来描述:
IATRn=f(Vn,Tn,SMLn,EALn)
Tn:威胁等级
Vn:资产价值等级
SMLn:安全机制的强度等级
EALn:评估支持水平
要素5:安全技术和产品
1.加强安全技术和产品的自主研究和创新。
由于电子政务的保密性,电子政务系统工程的安全需要各种具有自主知识产权的信息安全技术和产品,全面推进这些技术和产品的自主研发和创新是电子政务安全的需要。这些产品和技术可以分为六类:
基础类:风险控制、架构、协议工程、有效评估、工程方法;
关键类别:密码、安全基础、内容安全、防病毒、IDS、VPN、RBAC、强审计、边界安全屏障。
离开;
系统类:PKI、PMI、DRI、网络预警、综合管理、PMI;
应用类别:EC、EG、NB、NS、NM、WF、XML、CSCW;;
物理与环境:TEMPEX,物理鉴定;
前瞻:免疫技术,量子密码,漂移技术,语义理解和识别。
2.电子政务安全产品的选择。
整个电子政务的安全涉及信息安全产品的整体配套和科学安排,产品选择要充分考虑产品自主性和自主可控权。
产品可以涉及安全操作系统、安全硬件平台、安全数据库、PKI/CA、PMI、VPN、安全网关、防火墙、数据加密机、入侵检测(IDS)、漏洞扫描、计算机病毒防范工具、强审计工具、安全Web、安全电子邮件、安全设施综合管理平台、内容识别和过滤产品、安全备份、电磁泄漏防护、安全隔离客户端和安全网关。
要素6:安全基础设施
信息安全基础设施是为信息系统应用主体和信息安全执法主体提供信息安全服务和支持的一类社会基础设施。有利于信息应用主体安全保护机制的快速配置,促进信息应用业务的健康发展,有利于信息安全技术和产品的标准化,促进其可信度的提高,有利于信息安全职能部门的监管和执法,提升全社会的信息安全传递和保护技能,有利于国家信息安全保障体系的建设。因此,要推动电子政务的发展,就要重视相关信息安全基础设施的建设。
有两类信息安全基础设施。
1.社会公共服务
基于PKI/PMI数字证书的信任授权系统:
基于CC/TCSEC的信息安全产品和系统评估与评价体系:
计算机病毒预防和服务系统;
网络应急响应和支持系统;
灾难恢复基础设施;
基于KMI的密钥管理基础设施。
2.行政监督和执法
网络信息内容安全监控系统;
网络犯罪监控与预防系统;
电子信息安全监管系统;
网络检测控制和防盗系统;
网络监控、预警和反击系统。