电子政务系统中的技术管理,技术管理

4.3.2　技术管理

技术管理主要是指对保障电子政务信息安全所涉及技术实体的管理。一般来说，主要是指涉密介质管理、软件系统管理、密钥管理以及技术档案管理等。

1.涉密介质管理

涉密介质主要是指能够传播涉密媒体的载体。媒体包括各种文件、数据等，载体泛指一切可以用电子信号存储的东西，如U盘、移动硬盘、MP3等。涉密介质在信息系统安全中对系统的恢复、信息的保密，甚至在防止病毒诸方面都起着十分关键的作用。因此，必须要十分重视对涉密介质的管理。具体管理如下:

(1)涉密介质根据其中信息的最高密级决定介质的密级。

(2)涉密介质应按照同密级纸制文件的管理要求进行登记、审批、收发、传递、存放，由专人负责保管。

(3)涉密介质维修由专人负责，外送维修必须经主管领导审批同意，到国家保密主管部门指定维修点维修。

(4)发现涉密介质遗失应立即向本单位及上级保密部门报告，并组织查处，及时将查处情况报告国家保密单位。

(5)涉密介质销毁须报主管领导审批同意，由两人以上监督销毁，并做好销毁记录。

2.软件系统管理

软件系统管理主要是指对涉及电子政务系统的操作系统、网络系统、设备驱动程序、数据库系统、应用软件系统等软件的管理。由于计算机软件系统本身存在着安全漏洞，因此对软件系统的管理同样不可忽视。软件系统的安全管理包含以下几方面的内容:

(1)保护软件系统的完整，防止软件被丢失、被破坏、被篡改、被伪造等，其管理问题涉及软件的选择和开发规程、软件安全保密测试、系统漏洞检测与修补、软件加密、反动态跟踪等方面。

(2)保证软件的存储安全，包括保密存储、压缩存储、备份存储，以及系统恢复等重要措施。

(3)保障软件的通信安全，包括软件的安全传输、加密传输、安全下载、用户识别、审计与追踪等。

(4)保障软件的使用安全，包括合法的使用和合理的使用、用户合法性的管理、授权访问、系统的访问控制、防止软件滥用、防止被窃取非法复制等。

3.密钥管理

密钥管理主要是指对涉及电子政务信息安全的密钥进行的管理。密钥的泄露将直接导致明文内容的泄露，并且从密钥管理的角度寻找突破比密码破译的代价要小得多，因此在电子政务系统管理中，密钥管理是十分重要的一部分。密钥管理涉及密钥自产生到最终销毁的整个过程，包括系统的初始化、密钥的产生、存储、备份/恢复、装入、分配、保护、更新、控制、丢失、吊销、销毁等内容。要达到密钥管理的安全的要求，一是要使密钥难以被窃取;二是密钥有使用范围和使用时间的限制;三是密钥的分配和更换过程对用户透明，而用户不需要亲自掌管密钥。基于上述三点基本要求，应主要在以下几个环节上加强管理:

(1)对于密钥的生成，首先应有专门的密钥管理部门或授权人负责;其次应由随机数生成器产生密钥，并且密钥生成的算法应由有关机构审批。

(2)对于密钥的分发，可以人工分发，也可自动分发，或人工与自动相结合。在分发过程应采用安全的信道。密钥的传送方式可以是集中传送，也可以分散传送，即将密钥分解成多个部分，用秘密分享的方法传递，到达后再还原。

(3)对于密钥的验证，不仅应检验密钥是否出错，还应查收密钥传递时附带一个用该密钥加密的密文(接受者已知明文)。

(4)密钥的保存是密钥管理的重要内容，因为密钥在多数时间是静态的。它可以整体保存，也可以分散保存。

(5)对于密钥的销毁，则要有相应的管理和仲裁机制。

4.技术档案管理

技术档案管理主要是指对系统设计研判、开发、运行、维护中所有技术问题文字描述的管理。它反映了系统构造原理，表达了系统的实现方法，为系统维护、修改和进一步开发提供了依据。因此，对它的管理十分重要。具体包括:

(1)借阅、复制技术文档要履行相应的手续，包括申请、审批、登记、归档等必要环节，并明确各环节当事人的责任和义务。

(2)对秘密级以上的重要技术文档应考虑双份以上的备份，并存放于异地。

(3)对报废的技术文档，要有严格的销毁、监视销毁的措施。

(4)各级安全管理机构应制定技术文档的管理制度，要明确管理制度的责任人，对于管理制度要严格执行，对于违反规定的人员要一律加以处罚。