浅谈淮北电视台新闻非编制作网的搭建 |
|
|
摘要:长期以来,在电子政务信息安全建设方面,存在着重技术轻管理的问题。信息安全并不是技术过程,而是一个综合防范的过程,安全技术应由适当的安全管理体系来支持。在信息安全保障工作中必须管理与技术并重,进行综合防范,才能有效保障安全。本文旨在提出了一种电子政务安全解决方案。首先,分析了电子政务面临的威胁和挑战;其次,对电子政务安全保障体系进行探讨;再次,讨论了电子政务安全等级保护思想和风险评估方法。 关键词:电子政务 信息安全 0 引言 随着电子政务不断推进,社会各阶层对电子政务的依赖程度越来越高,信息安全的重要性日益突出,在电子政务的信息安全管理问题中,基于现实特点的电子政务信息安全体系设计和风险评估[1]模型是突出的热点和难点问题。本文试图就这两个问题给出分析和建议。 1 电子政务信息安全的总体要求 随着电子政务应用的不断深入,信息安全问题日益凸显,为了高效安全的进行电子政务,迫切需要搞好信息安全保障工作。电子政务系统采取的网络安全措施[2][3]不仅要保证业务与办公系统和网络的稳定运行,另一方面要保护运行在内部网上的敏感数据与信息的安全,因此应充分保证以下几点: 1.1 基础设施的可用性:运行于内部专网的各主机、数据库、应用服务器系统的安全运行十分关键,网络安全体系必须保证这些系统不会遭受来自网络的非法访问、恶意入侵和破坏。 1.2 数据机密性:对于内部网络,保密数据的泄密将直接带来政府机构以及国家利益的损失。lOcAlHoST网络安全系统应保证内网机密信息在存储与传输时的保密性。 1.3 网络域的可控性:电子政务的网络应该处于严格的控制之下,只有经过认证的设备可以访问网络,并且能明确地限定其访问范围,这对于电子政务的网络安全十分重要。 1.4 数据备份与容灾:任何的安全措施都无法保证数据万无一失,硬件故障、自然灾害以及未知病毒的感染都有可能导致政府重要数据的丢失。因此,在电子政务安全体系中必须包括数据的容灾与备份,并且最好是异地备份。 2 电子政务信息安全体系模型设计 完整的电子政务安全保障体系从技术层面上来讲,必须建立在一个强大的技术支撑平台之上,同时具有完备的安全管理机制,并针对物理安全,数据存储安全,数据传输安全和应用安全制定完善的安全策略 在技术支撑平台方面,核心是要解决好权限控制问题。为了解决授权访问的问题, 通常是将基于公钥证书(pkc)的pki(public key infrastructure)与基于属性证书(ac)的pmi(privilege management infrastructure)结合起来进行安全性设计,然而由于一个终端用户可以有许多权限, 许多用户也可能有相同的权限集, 这些权限都必须写入属性证书的属性中, 这样就增加了属性证书的复杂性和存储空间, 从而也增加了属性证书的颁发和验证的复杂度。为了解决这个问题,作者建议根据x.509标准建立基于角色pmi的电子政务安全模型。该模型由客户端、验证服务器、应用服务器、资源数据库和ldap 目录服务器等实体组成,在该模型中: 2.1 终端用户:向验证服务器发送请求和证书, 并与服务器双向验证。 2.2 验证服务器:由身份认证模块和授权验证模块组成提供身份认证和访问控制,是安全模型的关键部分。 2.3 应用服务器: 与资源数据库连接, 根据验证通过的用户请求,对资源数据库的数据进行处理, 并把处理结果通过验证服务器返回给用户以响应用户请求。 2.4 ldap目录服务器:该模型中采用两个ldap目录服务器, 一个存放公钥证书(pkc)和公钥证书吊销列表(crl),另一个ldap 目录服务器存放角色指派和角色规范属性证书以及属性吊销列表acrl。 安全管理策略也是电子政务安全体系的重要组成部分。安全的核心实际上是管理,安全技术实际上只是实现管理的一种手段,再好的技术手段都必须配合合理的制度才能发挥作用。需要制订的制度包括安全行政管理和安全技术管理。安全行政管理应包括组织机构和责任制度等的制定和落实;安全技术管理的内容包括对硬件实体和软件系统、密钥的管理。 3 电子政务信息安全管理体系中的风险评估 电子政务信息安全等级保护是根据电子政务系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度。等级保护工作的要点是对电子政务系统进行风险分析,构建电子政务系统的风险因素集。 3.1 信息系统的安全定级 信息系统的安全等级从低到高依次包括自主保护级、指导保护级、监督保护级、强制保护级、专控保护级五个安全等级。对电子政务的五个安全等级定义,结合系统面临的风险、系统特定安全保护要求和成本开销等因素,采取相应的安全保护措施以保障信息和信息系统的安全。 3.2 采用全面的风险评估办法 风险评估具有不同的方法。在iso/iec tr13335-3《信息技术it安全管理指南:it安全管理技术》中描述了风险评估方法的例子,其他文献,例如nist sp800-30、as/nzs 4360等也介绍了风险评估的步骤及方法,另外,一些组织还提出了自己的风险评估工具,例如octave、cramm等。 电子政务信息安全建设中采用的风险评估方法可以参考iso17799、octave、cse、《信息安全风险评估指南》等标准和指南,从资产评估、威胁评估、脆弱性评估、安全措施有效性评估四个方面建立风险评估模型。其中,资产的评估主要是对资产进行相对估价,其估价准则依赖于对其影响 [1] [2] 下一页
|
|
上一个论文: 基于CMMI的软件项目质量管理框架 下一个论文: 入侵检测系统规则分析及其创建研究
|
|
|
看了《浅谈淮北电视台新闻非编制作网的搭建》的网友还看了:
[法律论文]浅谈我国经济犯罪死刑的废止 [法律论文]浅谈农村基层组织工作人员渎职罪主体资格探析 [法律论文]浅谈文化迁徙与思想政治教育环境的关系 [法律论文]浅谈渣滓洞看守所被关押人员被捕原因略考 [法律论文]浅谈马锡五审判方式对现代司法制度的影响 [法律论文]浅谈在《东盟宪章》下解决当前法律问题 [法律论文]浅谈破除制约瓶颈、拓展路径空间,不断开创消防法 [法律论文]浅谈有关司法实践中风俗习惯的适用分析 [法律论文]浅谈对歌曲作品的认定以及对歌曲作品权利主体的认 [电子机械]浅谈中小企业电子信息安全技术研究
|
|