电子政务信息安全保障体系有哪些案例,安全标准保障

4.5.3　安全标准保障

标准是技术性法规，作为一种依据和尺度，没有标准就没有测评认证。在信息安全这一特殊的高技术领域，如果没有标准，国家有关的立法、执法就会因缺乏相应的技术尺度而失之偏颇，最终会给国家信息安全的管理带来非常严重的后果。例如，对信息安全产品的生产管理、对产品的市场准入管理、对社会各类信息系统的安全管理、对电子网络违法犯罪行为的司法管理等，都需要依据相应的标准。

我国信息安全标准化工作起步较晚，但近十多年来发展较快，在国家质量技术监督局领导下，全国信息化标准委员会及其下属的信息安全分技术委员会在制定我国信息安全标准方面做了大量的工作，国标、国军标、行业标准对信息安全领域均有涉及。

完善我国未来信息安全标准化工作，联合统一和分级保护两个重要环节应值得注意。

国内外信息安全工作实践表明，信息安全保障体系的建设是一个动态的、复杂的系统工程，作为其重要基础设施的标准化建设也是一项系统工程，它包括标准管理、标准制定、标准的宣传贯彻、监督检查等一系列工作。

信息安全还是一个高投入的系统工程。据国内外许多部门的测算，信息系统的安全保障部分的建设费用应占系统总费用的10%～15%，有些甚至高达20%，因此在制定信息安全标准时必须考虑安全功能和安全投入的相对关系，采取风险管理与适度安全的原则，这就要求标准必须划分等级，以便按需定级，防止投入不足或投入过大。

本章小结

信息安全包含了信息环境、信息网络和通信基础设施、数据、信息内容、媒体、信息应用等多个方面的安全。信息安全具有真实性、可靠性、完整性、保密性、可用性、不可篡改性等基本特征。为了实现信息安全，需要实现的保障措施包括物理安全、加密技术、入侵检测、防病毒技术、防火墙技术、安全认证技术等。

电子政务的安全管理需要建立保障体系进行管理。这个保障体系包括技术保障体系，即通过物理、网络和系统及应用层面的安全技术来保障电子政务系统的安全;安全运行管理体系，即通过对人员、技术和制度的管理来保障电子政务各系统的安全运行;社会服务体系，即通过测评认证、应急响应和教育培训服务等来实现电子政务的安全。还有信息安全基础设施体系，即通过PKI认证平台、法律法规及安全标准等来保障电子政务的安全。

关键术语

数据加密入侵检测安全认证隔离技术涉密介质密钥管理测评认证PKI

练习与思考题

1.电子政务信息安全保障体系由哪些部分组成?

2.目前电子政务信息安全保障核心技术有哪些?

3.如何理解电子政务安全保障的关键在于管理?

4.社会专业机构如何更好地为电子政务安全提供外部服务?

5.电子政务信息安全基础设施支撑体系有哪些?

案例

江门市电子政务信息安全规范及管理^[3]

随着电子政务的不断推进，电子政务信息安全问题已成为各地政府深入开展工作的绊脚石。2004年江门市被国务院信息化工作办公室列为基于开放互联环境下电子政务开展信息安全保障工作的试点城市。在国信办和广东省信息产业厅的大力支持和指导下，江门市围绕电子政务信息安全做了大量的工作。

明确电子政务信息安全保障工作的目标

为了解决电子政务在对公众服务过程中可能遇到的网络信任、管理安全风险、互联网的安全威胁等问题，克服因电子政务服务和应用发展可能引发的数据安全、大量用户访问瓶颈等障碍，江门市制定了《江门市基于开放互联环境下电子政务信息安全规划》(下称《规划》)，确定了今后电子政务信息安全保障工作的目标:在两年内通过技术应用和管理创新，建立江门市在开放互联环境下电子政务信息安全保障体系，探索地级市政府高效便民、安全可靠的一体化电子政务服务模式。

规范电子政务的信息安全管理

按照国信办《电子政务信息安全等级保护实施指南》(征求意见稿)的工作要求，江门市制定了《江门市电子政务等级保护试点总体安全方案》，对电子政务信息安全等级保护进行了明确的界定:根据电子政务系统在国家安全、社会稳定、经济秩序和公共利益等方面的重要程度，结合系统面临的风险、安全保护要求和成本等因素，将其划分成不同的安全保护等级，采取相应等级的安全保护措施，以保障信息和信息系统的安全。此外，还编制了《江门市电子政务信息安全组织管理规范》、《江门市公务员使用安全管理规范》、《江门市电子政务第三方人员安全管理规范》、《江门市电子政务网络安全管理办法》、《江门市电子政务应用系统安全规范》、《江门市电子政务等级保护实施规范》和《江门市电子政务安全事件应急预案》，从全方位保障电子政务信息安全，推进电子政务的安全发展。

安全管理制度和规范实施的具体举措

建立安全保护的组织结构，规定相应流程、相应人员的信息安全责任，定期进行培训和沟通。制定江门市电子政务专网接入管理办法，明确规定各单位接入网络边界及网络环境内的病毒防范要求。制定和发布桌面安全管理规范、病毒防范管理规范、主机系统和应用系统日志审计管理规范、主机系统和数据备份与恢复管理规范。编写系统管理人员运维手册，明确要求系统管理人员定期对桌面端进行漏洞扫描及评估，规定系统管理人员每日、每周、每月的病毒管理内容、主机系统和应用系统审计管理内容、数据备份与恢复管理内容等。定期实施安全策略中的用户安全意识培训，使桌面用户了解补丁管理与漏洞控制方面的责任。建设全市数字证书管理中心和RA中心，在政府部门OA系统和重点政务应用系统上应用数字证书。定期进行安全评估。委托安全服务专业公司定期对电子政务平台网络系统、服务器系统以及业务应用系统的安全性进行评估，根据评估结果进行系统加固。此外，还定期进行系统安全巡检、安全信息通告和紧急事件响应等措施，江门市已与联想网御公司签订安全服务外包协议，并于今年一季度开始实施。建立信息安全防范体系，制定信息安全应急处理预案，按照应急处理预案，定期进行预演。

请思考:

1.江门市电子政务信息管理体系有哪几部分组成?

2.结合案例，指出江门市电子政务信息管理体系的优势和不足之处。

【注释】

[1]焦宝文:《政府CIO战略管理与技术设施》，清华大学出版社2004年版，第146页。

[2]“时间戳”能证明使用人在什么时间拥有一个什么样的电子文件(数据电文)。它是具有法律效力的电子凭证，是各种类型的电子文件(数据电文)在时间、权属及内容完整性方面的证明。主要用在商业秘密保护、工作文档的责任认定、著作权保护、原创作品、软件代码、发明专利、学术论文、试验数据、电子单据等方面。我国的时间戳服务中心(Time Stamp Authority)简称TSA。

[3]改编自陈家昌:《浅析江门市电子政务信息安全保障的做法》，http://www.puyang.gov.cn/zwx/show.asp?id=11926，2006-12-11。