構建電子政務安全管理體系研究
來源:
作者:
發布時間: 2005-11-04
[摘要]本文首先強調了保障電子政務安全的關鍵在于管理。然后,指出了構建電子政務的安全管理體系應從四個方面著手:技術保障體系、運行管理體系、社會服務體系和基礎設施建設,并具體分析了這四方面的主要內容。
[關鍵詞]電子政務 安全管理 體系構建
發展電子政務,就是要充分應用現代信息技術,大力推進政府信息化的進程。然而,在這一進程中,安全問題成為阻礙其發展的重要因素之一。病毒、黑客侵襲信息網絡系統的例子不勝枚舉。這些破壞行為會帶來巨大的經濟損失,尤其對于政府網絡系統而言,除了經濟損失外,還會帶來國家安全、社會穩定,甚至是人類生存等重大問題。具體而言,在維護電子政府的良好形象、保證政務系統的安全運行、保護涉密政務信息的內容和傳輸安全、控制政務系統中的權限、認證政務活動中的身份、保障政務信息存儲安全、系統的安全備份與恢復機制等諸多方面,電子政務有著強烈的安全需求,
1.管理是保障電子政務安全的關鍵
保障電子政務安全的重要性不容置疑。首先,這是一個國家安全的問題,關系到國家的生死存亡。電子政務安全是在一定的社會環境下,由信息和網絡技術與國家安全因素的相關性所構成的國家安全的一種態勢,這種態勢描述了國家免受國外信息和網絡優勢威脅的能力和以信息維護國家綜合安全的能力和以信息手段維護國家安全的能力。其次,電子政務安全是國家各種利益得以保證的基礎。發展電子政務是政府轉變職能、轉換運行機制、提高決策效率與科學性、提升政府的社會服務職能、增加政府行政管理的透明度、促進政府信息資源的共享等方面的共同需求,它所代表的不僅僅是政府部門的利益,更代表了企業和廣大民眾的利益,因此保障電子政務安全是維護國家各階層利益的基本前提。第三,電子政務安全是社會穩定的基本保障。如上所述,電子政務大大增強了政務的社會服務職能,使得企業的經營和廣大民眾的生活都越來越依賴于電子政務系統的安全運行。一旦某個環節出了問題,勢必造成社會秩序的混亂。
但是,解決電子政務的安全問題不能僅僅依靠技術,關鍵還是在于“管理”。技術是一把“雙刃劍”,從發展角度來看,安全的防范技術與破壞技術總是“勢均力敵”、“相互促進”的。就破壞者而言,從技術上尋找突破口,遠比從管理上尋找突破口的代價要大的多。反過來說,作為防范者就更應該在安全防范的管理上下更大的工夫,安全防范技術只是作為安全管理體系的一部分。
實際上,電子政務的安全保障是一個復雜的系統工程,電子政務的安全管理不僅僅是各機構各部門內部的事情,也是一個國家層面的事情,因為政務信息的安全涉及到不同國家之間、不同政治集團之間的利益關系,它的安全保障問題需要從國家范圍來統一規劃,以抵御來自外部的信息安全威脅。因此,電子政務的安全管理體系應該是一個多層次、多方面的保障體系,涉及技術、管理、服務等多個領域的問題。
2.構建電子政務安全管理體系
從國家范圍來看,構建電子政務安全管理體系應從以下4個方面考慮:技術保障體系、運行管理體系、社會服務體系和基礎設施平臺。如圖1所示。
2.1技術保障體系
技術保障體系是安全管理體系的重要組成部分。它涉及到兩個層面的問題,一是信息安全的核心技術和基本理論的研究與開發,二是信息安全產品和系統構建綜合防護系統。
2.1.1核心技術的研發
信息安全的核心技術主要包括數據加密技術、信息隱藏技術和信息認證技術。
數據加密是把有意義的信息編碼為偽隨機性的亂碼,以實現信息保護的目的,實際上它包含了加密和解密兩個方面。加/解密的算法有很多種,安全性就依賴于算法的強度如何,因此,需要不斷地開發新的、高強度的算法。尤其應用于電子政務領域的系統采用的加密算法必須由國家有關密碼管理部門審批。
信息隱藏是國際信息安全技術研究領域出現的一個新的分支,該技術是利用多媒體信息本身存在的冗余性和人的感官對一些信息的掩蔽效應而形成的。其含義是,把一個有意義的信息隱藏在另一個稱為載體的信息中,形成隱秘載體,非授權者不知道這個信息中是否隱藏了其他的信息,即便知道,也難以提取或去除隱藏的信息。電子政務領域可用隱藏技術實現穩蔽信道、匿名通信、信息(簽名或紅印)隱寫、版權標記等功能。
認證技術在電子政務系統中是非常重要的。當某個實體聲稱具有一個特定的身份(例如,一個特定的用戶名)時,認證服務所能提供的證實這一聲明是正確的方法和手段。當前的認證技術主要采用數字簽名技術和身份認證技術兩類,它們又包括多種具體的技術手段。
2.1.2信息安全防護體系
目前,主要的信息安全的產品和系統包括防病毒軟件、防火墻、入侵檢測系統、漏洞掃描、安全審計系統、物理隔離系統等。這些系統可提供的安全防患措施包括:對特定網段、服務建立訪問控制體系,將絕大多數攻擊阻止在到達攻擊目標之前;對安全漏洞的周期檢查,使絕大多數攻擊無效;對特定網段、服務建立攻擊監控體系,可實時檢測出絕大多數攻擊,并采取相應的行動,如斷開網絡連接、記錄攻擊過程、跟蹤攻擊源等;建立多層防御體系,攻擊者在突破第一道防線后,延緩或阻斷其到達攻擊目標;建立良好的認證體系可防止攻擊者假冒合法用戶;建立良好的備份和恢復機制,可在攻擊造成損失時,盡快地恢復數據和系統服務;設立安全監控中心,為信息系統提供安全體系管理、監控、維護及緊急情況服務等。就電子政務安全而言,需要考慮如何充分利用這些系統合理的組織安全防護體系,如何全面的、綜合的設計解決方案,而不是各個子系統的簡單集合。
2.2運行管理體系
2.2.1安全行政管理
電子政務的安全行政管理應包括:1)建立安全組織機構,其目的是統一規劃各級網絡系統的安全、制定完善的安全策略和措施、協調各方面的安全事宜,主要職責包括制定整體安全策略、明確規章制度、落實各項安全措施實施,以及制訂安全應急方案和保密信息的安全策略;2)安全人事管理,其主要內容包括:人事審查與錄用、崗位與責任范圍的確定、工作評價、人事檔案管理、提升、調動與免職、基礎培訓等;3)制定和落實安全責任制度,包括系統運行維護管理制度、計算機處理控制管理制度、文檔資料管理制度、操作和管理人員管理制度、機房安全管理制度、定期檢查與監督制度、網絡通信安全管理制度、病毒防治管理制度、安全等級保護制度、對外交流安全維護制度,以及對外合作制度等。
2.2.2安全技術管理
電子政務的安全技術管理可以從3個方面著手,一是對硬件實體的安全管理,其目的是保護計算機和網絡設備、設施免遭地震、水災、火災以及人為等因素的破壞,主要涉及環境安全、設備安全和存儲媒體安全三個方面。二是對軟件系統的安全管理,具體包括保護軟件系統的完整性,防止軟件丟失、被破壞、被篡改、被偽造;保證軟件的存儲安全,如保密存儲、壓縮存儲、備份存儲,以及系統恢復等重要措施;保障軟件的安全傳輸、加密傳輸、安全下載、用戶識別等要素;保障軟件的合法使用和合理使用、用戶合法性的管理、授權訪問、系統的訪問控制、防止軟件濫用、防止被竊取被非法復制、按規程操作等。三是密鑰管理,包括系統的初始化、密鑰的產生、存儲、備份/恢復、裝入、分配、保護;更新、控制、丟失、吊銷、銷毀等內容。安全的密鑰管理要求:一是密鑰難以竊取;二是密鑰有使用范圍和使用時間的限制;三是密鑰的分配和更換過程對用戶透明,而用戶不需要親自掌管密鑰。
2.2.3風險管理
風險管理是對項目風險的識別、分析和應對過程。它包括對正面事件效果的最大化及對負面事件影響的最小化。電子政務安全風險管理的主要任務是風險評估和風險緩解,前者是識別并分析系統中的風險因素,估計可能造成的損失,后者是選擇和實施安全控制,將風險降低到一個可接受的水平。因此,電子政務安全風險管理的關鍵職能有4個方面:管理現有的安全控制措施、定期評估風險、通過實現和有效的監控安全保護和控制來緩解風險、風險評估和戰略規劃。
2.3社會服務體系
2.3.1安全管理服務
信息安全管理服務是一個正在崛起的業態模式。目前,一些信息安全管理服務提供商(Managed Security Service Providers,MSSP)正在逐步形成,它們有的是專門從事安全管理服務達到增值目的的,有的是一些軟件廠商為彌補其軟件系統的不足而附加一些服務的,有的是一些從IT集成或咨詢商發展而來提供信息安全咨詢的。當前,MSSP所能提供的服務內容有:安全咨詢服務,包括系統安全策略咨詢、安全解決方案咨詢,安全規范、安全制度等管理方面的咨詢;安全技術管理服務,如對網絡系統的入侵監測、網絡周邊掃描、VPN/防火墻的監視與管理、防病毒內容保護、數據/文件的加密服務等;數據安全分析服務,MSSP事先建立自己的知識庫,通過知識庫來分析數據中是否隱藏攻擊行為及其攻擊模式,并判斷威脅的嚴重性級別;安全管理評估服務,定期的評估報告可以幫助客戶及時調整安全策略、彌補安全漏洞、更新安全系統、改進管理措施等。此外,有些MSSP把即時的安全事件響應也列入服務范圍之內。
2.3.2安全測評服務
測評認證的實質是由一個中立的權威機構,通過科學、規范、公正的測試和評估向消費者、購買者即需方,證實生產者或供方所提供的產品和服務,符合公開、客觀和先進的標準。由于信息安全直接涉及國家利益、安全和主權,各國政府對信息產品、信息系統安全性的測評認證要比對其他產品更為嚴格。首先,在市場準入上,發達國家為嚴格進出口控制,通過頒布有關法律、法規和技術標準,推行安全認證制度,以控制國外進口產品和國內出口產品的安全性能。其次,對國內使用的產品,實行強制性認證,凡未通過強制性認證的安全齊品一律不得出廠、銷售和使用。第三,對信息技術和信息安全技術中的核心技術,由政府直接控制,如密碼技術和密碼產品,多數發達國家都嚴加控制,即使政府允許出口的密碼產品,其關鍵技術仍然控制在政府手中。第四,在國家信息安全各主管部門的支持和指導下,由標準化和質量技術監督主管部門授權,并且依托專業的職能機構提供技術支持,形成政府的行政管理與技術支持相結合、相依賴的管理體制。
2.3.3應急響應服務
應急響應是計算機或網絡系統遇到安全事件 (如黑客入侵、網絡惡意攻擊、病毒感染和破壞等)時,所能夠提供的緊急的響應和快速的救援與恢復服務。1988年,Morris蠕蟲程序破壞事件,直接導致了計算機網絡應急服務組織的誕生。在我國,一些政府機關和大型企業已經成立了計算機網絡安全技術與管理部門,負責自身的計算機網絡安全與應急處理工作,但目前大都處于籌建階段或運行的初期,尚不足以提供全面的計算機網絡安全與應急處理服務。而一些中小型的企業受限于規模,沒有自己的安全技術隊伍,同時也沒有條件承擔組建這支隊伍所需要的經費,因此他們迫切希望能有專業組織來提供商業性的安全與應急處理服務。
專家們認為:開展應急處理工作的必要性已毋庸置疑,當務之急是著手建立全國性的應急處理體系,并制定出工作綱要及相應的管理辦法。為統一協調和管理全國的應急處理工作,國信安辦聯合了職能部門、技術部門和用戶部門的7個單位組成了我國計算機網絡應急處理協凋小組,共同負責我國應急處理體系的建設工作。初步形成了我國應急處理的基本構架,將“積極預防、及時發現、快速響應、確保恢復”作為我國應急處理工作的基本方針,本著自由、自主、自愿的原則,將行業安全組織和商業化的救援服務機構很好地融入到我國的應急處理體系中來,充分調動各方面的積極性,盡快建立并完善我國的應急處理體系。
2.3.4安全培訓服務
根據不同層次的人才需求,社會化的信息安全人才培養體系應分為專業型教育、應用型教育和安全素養教育三個層次。專業型教育主要是培養信息安全領域的專業研發、工程技術、戰略管理等方面的人才。我國在這方面已初步形成一定基礎,上海交通大學、山東大學、四川大學、武漢大學等高校已經建立了信息安全科學研究及人才培養基地,它們開設了以計算機網絡安全技術為核心的理論性和技術性課程體系。應用型(半專業)教育則是以從事現代信息管理工作的人作為對象,培養目標是要求學生具備信息安全的基本知識、網絡和信息系統安全防范技能、組織機構或系統安全管理的能力等。這種應用型的信息安全教育要求受教育對象數量要多,覆蓋面要廣,基本信息技能要強。從需求的角度看,這類人才的需求量是最大的,包括信息安全觀念培訓、安全技術培訓、安全管理培訓等。最基礎的部分應該是信息安全素養教育,面向所有社會成員的,通過課程、講座、宣傳等多種形式,達到讓每一個人都具備必要的安全意識和常規的信息安全自我防范技術的目的。要求企事業單位領導應具備必要信息安全意識和安全知識;信息管理人員應具備一定的信息安全知識和基本技能;從事信息服務或信息安全服務的有關人員應具備必要的信息安全知識和技術基礎等。
2.4基礎設施平臺
2.4.1法規基礎建設
相關的法規建設主要有以下幾方面:
1)在國家憲法和各部門法中對各類法律主體的有關信息活動涉及國家安全的權利和義務進行規范,形成國家關于信息及信息安全的總則性、普適性的法規體系;
2)針對各類計算機和網絡犯罪。制訂直接約束各社會成員的信息活動的行為規范,形成計算機、網絡犯罪監察嶼防范體系;
3)對信息安全技術、信息安全產品(系統)的授權審批應制訂相應的規定,形成信息安全審批與監控體系;
4)針對信息內容的安全與保密問題,制訂相應規定,形成信息內容的審批、監控、保密體系;
5)從國家安全的角度,制訂網絡信息預警與反擊體系等。
2.4.2標準基礎建設
標準是技術性法規。在信息安全這一特殊高技術領域,沒有標準,國家有關的立法、執法就會因缺乏相應的技術尺度而失之偏頗,最終會給國家信息安全的管理帶來嚴重后果。我國信息安全標準化工作起步較晚,但是近10年來發展較快,在國家質量技術監督局領導下,全國信息化標準委員會及其下屬的信息安全分技術委員會在制訂我國信息安全標準方面做了大量的工作,國標、國軍標、行業標準對信息安全領域均有涉及,初步形成了我國信息安全測評認證的基礎。
隨著我國信息安全測評認證制度的建立與推進,以及有關主管部門管理力度的加大,信息安全標準化建設任務將更為艱巨。需盡快完成信息系統安全性評價準則及測試規范、商用密碼產品安全技術要求、信息安全服務評估準則、信息安全工程質量管理要求、交換機安全技術要求、PBX安全技術要求、電子商務產品安全測評規范、電子商務認證中心 (CA)安全評估要求等應用急需的標準,并進一步完善國家信息安全標準體系。
2.4.3 PKI認證平臺
PKI是公鑰基礎設施(Public Key lnfrastructure)的簡稱,是一個用非對稱密碼算法原理和技術來實現并提供安全服務的、具有通用性的安全基礎設施。在電子政務和電子商務的建設中,PKI實際上是提供了一整套的、遵循標準的密鑰管理基礎平臺。用戶可以利用PKI平臺進行安全通信,因為 PKI能夠為所有網絡應用透明地提供采用加密和數字簽名等密碼服務所必需的密鑰和證書管理。
公鑰基礎設施包括:―整套的數字簽名和加密技術,一個在地理上合理分布的、有相當數量的證書管理機構位,以及一個包括發方、收方和證書管理機構在內的數據通信網絡(軟、硬件設備)。建立這樣一個公鑰基礎設施,顯然不僅需要投入大量的人力、物力和財力,而且與整個電子政務的安全和有效運轉息息相關。由于電子政務、電子商務和電子社區的建設均有賴于數字簽名的實現,公鑰基礎設施的重要性及對其龐大的需求是顯而易見的。
[作者簡介]褚峻,男,1971年生、博士,中國人民大學政務信息管理系講師,發表論文10余篇。
[關鍵詞]電子政務 安全管理 體系構建
發展電子政務,就是要充分應用現代信息技術,大力推進政府信息化的進程。然而,在這一進程中,安全問題成為阻礙其發展的重要因素之一。病毒、黑客侵襲信息網絡系統的例子不勝枚舉。這些破壞行為會帶來巨大的經濟損失,尤其對于政府網絡系統而言,除了經濟損失外,還會帶來國家安全、社會穩定,甚至是人類生存等重大問題。具體而言,在維護電子政府的良好形象、保證政務系統的安全運行、保護涉密政務信息的內容和傳輸安全、控制政務系統中的權限、認證政務活動中的身份、保障政務信息存儲安全、系統的安全備份與恢復機制等諸多方面,電子政務有著強烈的安全需求,
1.管理是保障電子政務安全的關鍵
保障電子政務安全的重要性不容置疑。首先,這是一個國家安全的問題,關系到國家的生死存亡。電子政務安全是在一定的社會環境下,由信息和網絡技術與國家安全因素的相關性所構成的國家安全的一種態勢,這種態勢描述了國家免受國外信息和網絡優勢威脅的能力和以信息維護國家綜合安全的能力和以信息手段維護國家安全的能力。其次,電子政務安全是國家各種利益得以保證的基礎。發展電子政務是政府轉變職能、轉換運行機制、提高決策效率與科學性、提升政府的社會服務職能、增加政府行政管理的透明度、促進政府信息資源的共享等方面的共同需求,它所代表的不僅僅是政府部門的利益,更代表了企業和廣大民眾的利益,因此保障電子政務安全是維護國家各階層利益的基本前提。第三,電子政務安全是社會穩定的基本保障。如上所述,電子政務大大增強了政務的社會服務職能,使得企業的經營和廣大民眾的生活都越來越依賴于電子政務系統的安全運行。一旦某個環節出了問題,勢必造成社會秩序的混亂。
但是,解決電子政務的安全問題不能僅僅依靠技術,關鍵還是在于“管理”。技術是一把“雙刃劍”,從發展角度來看,安全的防范技術與破壞技術總是“勢均力敵”、“相互促進”的。就破壞者而言,從技術上尋找突破口,遠比從管理上尋找突破口的代價要大的多。反過來說,作為防范者就更應該在安全防范的管理上下更大的工夫,安全防范技術只是作為安全管理體系的一部分。
實際上,電子政務的安全保障是一個復雜的系統工程,電子政務的安全管理不僅僅是各機構各部門內部的事情,也是一個國家層面的事情,因為政務信息的安全涉及到不同國家之間、不同政治集團之間的利益關系,它的安全保障問題需要從國家范圍來統一規劃,以抵御來自外部的信息安全威脅。因此,電子政務的安全管理體系應該是一個多層次、多方面的保障體系,涉及技術、管理、服務等多個領域的問題。
2.構建電子政務安全管理體系
從國家范圍來看,構建電子政務安全管理體系應從以下4個方面考慮:技術保障體系、運行管理體系、社會服務體系和基礎設施平臺。如圖1所示。
2.1技術保障體系
技術保障體系是安全管理體系的重要組成部分。它涉及到兩個層面的問題,一是信息安全的核心技術和基本理論的研究與開發,二是信息安全產品和系統構建綜合防護系統。
2.1.1核心技術的研發
信息安全的核心技術主要包括數據加密技術、信息隱藏技術和信息認證技術。
數據加密是把有意義的信息編碼為偽隨機性的亂碼,以實現信息保護的目的,實際上它包含了加密和解密兩個方面。加/解密的算法有很多種,安全性就依賴于算法的強度如何,因此,需要不斷地開發新的、高強度的算法。尤其應用于電子政務領域的系統采用的加密算法必須由國家有關密碼管理部門審批。
信息隱藏是國際信息安全技術研究領域出現的一個新的分支,該技術是利用多媒體信息本身存在的冗余性和人的感官對一些信息的掩蔽效應而形成的。其含義是,把一個有意義的信息隱藏在另一個稱為載體的信息中,形成隱秘載體,非授權者不知道這個信息中是否隱藏了其他的信息,即便知道,也難以提取或去除隱藏的信息。電子政務領域可用隱藏技術實現穩蔽信道、匿名通信、信息(簽名或紅印)隱寫、版權標記等功能。
認證技術在電子政務系統中是非常重要的。當某個實體聲稱具有一個特定的身份(例如,一個特定的用戶名)時,認證服務所能提供的證實這一聲明是正確的方法和手段。當前的認證技術主要采用數字簽名技術和身份認證技術兩類,它們又包括多種具體的技術手段。
2.1.2信息安全防護體系
目前,主要的信息安全的產品和系統包括防病毒軟件、防火墻、入侵檢測系統、漏洞掃描、安全審計系統、物理隔離系統等。這些系統可提供的安全防患措施包括:對特定網段、服務建立訪問控制體系,將絕大多數攻擊阻止在到達攻擊目標之前;對安全漏洞的周期檢查,使絕大多數攻擊無效;對特定網段、服務建立攻擊監控體系,可實時檢測出絕大多數攻擊,并采取相應的行動,如斷開網絡連接、記錄攻擊過程、跟蹤攻擊源等;建立多層防御體系,攻擊者在突破第一道防線后,延緩或阻斷其到達攻擊目標;建立良好的認證體系可防止攻擊者假冒合法用戶;建立良好的備份和恢復機制,可在攻擊造成損失時,盡快地恢復數據和系統服務;設立安全監控中心,為信息系統提供安全體系管理、監控、維護及緊急情況服務等。就電子政務安全而言,需要考慮如何充分利用這些系統合理的組織安全防護體系,如何全面的、綜合的設計解決方案,而不是各個子系統的簡單集合。
2.2運行管理體系
2.2.1安全行政管理
電子政務的安全行政管理應包括:1)建立安全組織機構,其目的是統一規劃各級網絡系統的安全、制定完善的安全策略和措施、協調各方面的安全事宜,主要職責包括制定整體安全策略、明確規章制度、落實各項安全措施實施,以及制訂安全應急方案和保密信息的安全策略;2)安全人事管理,其主要內容包括:人事審查與錄用、崗位與責任范圍的確定、工作評價、人事檔案管理、提升、調動與免職、基礎培訓等;3)制定和落實安全責任制度,包括系統運行維護管理制度、計算機處理控制管理制度、文檔資料管理制度、操作和管理人員管理制度、機房安全管理制度、定期檢查與監督制度、網絡通信安全管理制度、病毒防治管理制度、安全等級保護制度、對外交流安全維護制度,以及對外合作制度等。
2.2.2安全技術管理
電子政務的安全技術管理可以從3個方面著手,一是對硬件實體的安全管理,其目的是保護計算機和網絡設備、設施免遭地震、水災、火災以及人為等因素的破壞,主要涉及環境安全、設備安全和存儲媒體安全三個方面。二是對軟件系統的安全管理,具體包括保護軟件系統的完整性,防止軟件丟失、被破壞、被篡改、被偽造;保證軟件的存儲安全,如保密存儲、壓縮存儲、備份存儲,以及系統恢復等重要措施;保障軟件的安全傳輸、加密傳輸、安全下載、用戶識別等要素;保障軟件的合法使用和合理使用、用戶合法性的管理、授權訪問、系統的訪問控制、防止軟件濫用、防止被竊取被非法復制、按規程操作等。三是密鑰管理,包括系統的初始化、密鑰的產生、存儲、備份/恢復、裝入、分配、保護;更新、控制、丟失、吊銷、銷毀等內容。安全的密鑰管理要求:一是密鑰難以竊取;二是密鑰有使用范圍和使用時間的限制;三是密鑰的分配和更換過程對用戶透明,而用戶不需要親自掌管密鑰。
2.2.3風險管理
風險管理是對項目風險的識別、分析和應對過程。它包括對正面事件效果的最大化及對負面事件影響的最小化。電子政務安全風險管理的主要任務是風險評估和風險緩解,前者是識別并分析系統中的風險因素,估計可能造成的損失,后者是選擇和實施安全控制,將風險降低到一個可接受的水平。因此,電子政務安全風險管理的關鍵職能有4個方面:管理現有的安全控制措施、定期評估風險、通過實現和有效的監控安全保護和控制來緩解風險、風險評估和戰略規劃。
2.3社會服務體系
2.3.1安全管理服務
信息安全管理服務是一個正在崛起的業態模式。目前,一些信息安全管理服務提供商(Managed Security Service Providers,MSSP)正在逐步形成,它們有的是專門從事安全管理服務達到增值目的的,有的是一些軟件廠商為彌補其軟件系統的不足而附加一些服務的,有的是一些從IT集成或咨詢商發展而來提供信息安全咨詢的。當前,MSSP所能提供的服務內容有:安全咨詢服務,包括系統安全策略咨詢、安全解決方案咨詢,安全規范、安全制度等管理方面的咨詢;安全技術管理服務,如對網絡系統的入侵監測、網絡周邊掃描、VPN/防火墻的監視與管理、防病毒內容保護、數據/文件的加密服務等;數據安全分析服務,MSSP事先建立自己的知識庫,通過知識庫來分析數據中是否隱藏攻擊行為及其攻擊模式,并判斷威脅的嚴重性級別;安全管理評估服務,定期的評估報告可以幫助客戶及時調整安全策略、彌補安全漏洞、更新安全系統、改進管理措施等。此外,有些MSSP把即時的安全事件響應也列入服務范圍之內。
2.3.2安全測評服務
測評認證的實質是由一個中立的權威機構,通過科學、規范、公正的測試和評估向消費者、購買者即需方,證實生產者或供方所提供的產品和服務,符合公開、客觀和先進的標準。由于信息安全直接涉及國家利益、安全和主權,各國政府對信息產品、信息系統安全性的測評認證要比對其他產品更為嚴格。首先,在市場準入上,發達國家為嚴格進出口控制,通過頒布有關法律、法規和技術標準,推行安全認證制度,以控制國外進口產品和國內出口產品的安全性能。其次,對國內使用的產品,實行強制性認證,凡未通過強制性認證的安全齊品一律不得出廠、銷售和使用。第三,對信息技術和信息安全技術中的核心技術,由政府直接控制,如密碼技術和密碼產品,多數發達國家都嚴加控制,即使政府允許出口的密碼產品,其關鍵技術仍然控制在政府手中。第四,在國家信息安全各主管部門的支持和指導下,由標準化和質量技術監督主管部門授權,并且依托專業的職能機構提供技術支持,形成政府的行政管理與技術支持相結合、相依賴的管理體制。
2.3.3應急響應服務
應急響應是計算機或網絡系統遇到安全事件 (如黑客入侵、網絡惡意攻擊、病毒感染和破壞等)時,所能夠提供的緊急的響應和快速的救援與恢復服務。1988年,Morris蠕蟲程序破壞事件,直接導致了計算機網絡應急服務組織的誕生。在我國,一些政府機關和大型企業已經成立了計算機網絡安全技術與管理部門,負責自身的計算機網絡安全與應急處理工作,但目前大都處于籌建階段或運行的初期,尚不足以提供全面的計算機網絡安全與應急處理服務。而一些中小型的企業受限于規模,沒有自己的安全技術隊伍,同時也沒有條件承擔組建這支隊伍所需要的經費,因此他們迫切希望能有專業組織來提供商業性的安全與應急處理服務。
專家們認為:開展應急處理工作的必要性已毋庸置疑,當務之急是著手建立全國性的應急處理體系,并制定出工作綱要及相應的管理辦法。為統一協調和管理全國的應急處理工作,國信安辦聯合了職能部門、技術部門和用戶部門的7個單位組成了我國計算機網絡應急處理協凋小組,共同負責我國應急處理體系的建設工作。初步形成了我國應急處理的基本構架,將“積極預防、及時發現、快速響應、確保恢復”作為我國應急處理工作的基本方針,本著自由、自主、自愿的原則,將行業安全組織和商業化的救援服務機構很好地融入到我國的應急處理體系中來,充分調動各方面的積極性,盡快建立并完善我國的應急處理體系。
2.3.4安全培訓服務
根據不同層次的人才需求,社會化的信息安全人才培養體系應分為專業型教育、應用型教育和安全素養教育三個層次。專業型教育主要是培養信息安全領域的專業研發、工程技術、戰略管理等方面的人才。我國在這方面已初步形成一定基礎,上海交通大學、山東大學、四川大學、武漢大學等高校已經建立了信息安全科學研究及人才培養基地,它們開設了以計算機網絡安全技術為核心的理論性和技術性課程體系。應用型(半專業)教育則是以從事現代信息管理工作的人作為對象,培養目標是要求學生具備信息安全的基本知識、網絡和信息系統安全防范技能、組織機構或系統安全管理的能力等。這種應用型的信息安全教育要求受教育對象數量要多,覆蓋面要廣,基本信息技能要強。從需求的角度看,這類人才的需求量是最大的,包括信息安全觀念培訓、安全技術培訓、安全管理培訓等。最基礎的部分應該是信息安全素養教育,面向所有社會成員的,通過課程、講座、宣傳等多種形式,達到讓每一個人都具備必要的安全意識和常規的信息安全自我防范技術的目的。要求企事業單位領導應具備必要信息安全意識和安全知識;信息管理人員應具備一定的信息安全知識和基本技能;從事信息服務或信息安全服務的有關人員應具備必要的信息安全知識和技術基礎等。
2.4基礎設施平臺
2.4.1法規基礎建設
相關的法規建設主要有以下幾方面:
1)在國家憲法和各部門法中對各類法律主體的有關信息活動涉及國家安全的權利和義務進行規范,形成國家關于信息及信息安全的總則性、普適性的法規體系;
2)針對各類計算機和網絡犯罪。制訂直接約束各社會成員的信息活動的行為規范,形成計算機、網絡犯罪監察嶼防范體系;
3)對信息安全技術、信息安全產品(系統)的授權審批應制訂相應的規定,形成信息安全審批與監控體系;
4)針對信息內容的安全與保密問題,制訂相應規定,形成信息內容的審批、監控、保密體系;
5)從國家安全的角度,制訂網絡信息預警與反擊體系等。
2.4.2標準基礎建設
標準是技術性法規。在信息安全這一特殊高技術領域,沒有標準,國家有關的立法、執法就會因缺乏相應的技術尺度而失之偏頗,最終會給國家信息安全的管理帶來嚴重后果。我國信息安全標準化工作起步較晚,但是近10年來發展較快,在國家質量技術監督局領導下,全國信息化標準委員會及其下屬的信息安全分技術委員會在制訂我國信息安全標準方面做了大量的工作,國標、國軍標、行業標準對信息安全領域均有涉及,初步形成了我國信息安全測評認證的基礎。
隨著我國信息安全測評認證制度的建立與推進,以及有關主管部門管理力度的加大,信息安全標準化建設任務將更為艱巨。需盡快完成信息系統安全性評價準則及測試規范、商用密碼產品安全技術要求、信息安全服務評估準則、信息安全工程質量管理要求、交換機安全技術要求、PBX安全技術要求、電子商務產品安全測評規范、電子商務認證中心 (CA)安全評估要求等應用急需的標準,并進一步完善國家信息安全標準體系。
2.4.3 PKI認證平臺
PKI是公鑰基礎設施(Public Key lnfrastructure)的簡稱,是一個用非對稱密碼算法原理和技術來實現并提供安全服務的、具有通用性的安全基礎設施。在電子政務和電子商務的建設中,PKI實際上是提供了一整套的、遵循標準的密鑰管理基礎平臺。用戶可以利用PKI平臺進行安全通信,因為 PKI能夠為所有網絡應用透明地提供采用加密和數字簽名等密碼服務所必需的密鑰和證書管理。
公鑰基礎設施包括:―整套的數字簽名和加密技術,一個在地理上合理分布的、有相當數量的證書管理機構位,以及一個包括發方、收方和證書管理機構在內的數據通信網絡(軟、硬件設備)。建立這樣一個公鑰基礎設施,顯然不僅需要投入大量的人力、物力和財力,而且與整個電子政務的安全和有效運轉息息相關。由于電子政務、電子商務和電子社區的建設均有賴于數字簽名的實現,公鑰基礎設施的重要性及對其龐大的需求是顯而易見的。
[作者簡介]褚峻,男,1971年生、博士,中國人民大學政務信息管理系講師,發表論文10余篇。
- 上一篇: 電子政務新視點 跨部門信息共享平臺
- 下一篇: 十一五電子政務規劃建設 期待和諧的共贏力量
首屆數字全民國防教育高峰論壇在京舉行
第四屆信息技術及應用創新人才發展交流大會暨中國信息協會第三屆信息技術服務業應用技能大賽頒獎典禮在京隆重召開
2023(第五屆)中國電子政務安全大會在京成功召開
中國信息協會首次職業技能等級認定考試在黑龍江省舉行
- 協會要聞
- 通知公告
-
- • 關于召開中國信息協會第七屆會員代表大會的通知
- • 首屆數字全民國防教育高峰論壇在京舉行
- • 關于舉辦網絡安全體系建設、安全能力評估與攻防實戰培訓的通知
- • 2023(第五屆)全國政務熱線發展論壇在武漢隆重召開
- • 首屆數字全民國防教育高峰論壇將于10月13日在京舉辦
- • 關于舉辦新一代信息技術在數字檔案館(室)建設中的應用暨檔案信息化管理高級培訓班的通知
- • 第四屆信息技術及應用創新人才發展交流大會暨中國信息協會第三屆信息技術服務業應用技能大賽頒獎典禮在京隆重召開
- • 2023(第五屆)中國電子政務安全大會在京成功召開
- • 2023(第五屆)全國政務熱線發展論壇將于9月20-21日在武漢舉辦
- • 關于舉辦2023信息技術應用創新博覽會的通知