相关热词搜索:
电子政务信息安全研究论文
电子政务信息安全研究论文 1电子政务信息安全的总体要求 随着电子政务应用的不断深入,信息安全问题日益凸显,为了高效安全的 进行电子政务,迫切需要搞好信息安全保障工作。电子政务系统采取的网络安全 措施[2][3]不仅要保证业务与办公系统和网络的稳定运行,另一方面要保护运行 在内部网上的敏感数据与信息的安全,因此应充分保证以下几点:1.1基础设施的可用性:运行于内部专网的各主机、数据库、应用服务器 系统的安全运行十分关键,网络安全体系必须保证这些系统不会遭受来自网络的 非法访问、恶意入侵和破坏。
1.2数据机密性:对于内部网络,保密数据的泄密将直接带来政府机构以 及国家利益的损失。网络安全系统应保证内网机密信息在存储与传输时的保密性。
1.3网络域的可控性:电子政务的网络应该处于严格的控制之下,只有经过 认证的设备可以访问网络,并且能明确地限定其访问范围,这对于电子政务的网 络安全十分重要。
1.4数据备份与容灾:任何的安全措施都无法保证数据万无一失,硬件故障、 自然灾害以及未知病毒的感染都有可能导致政府重要数据的丢失。因此,在电子 政务安全体系中必须包括数据的容灾与备份,并且最好是异地备份。
2电子政务信息安全体系模型设计 完整的电子政务安全保障体系从技术层面上来讲,必须建立在一个强大的 技术支撑平台之上,同时具有完备的安全管理机制,并针对物理安全,数据存储 安全,数据传输安全和应用安全制定完善的安全策略 在技术支撑平台方面,核心是要解决好权限控制问题。为了解决授权访问 的问题,通常是将基于公钥证书(PKC)的PKI(PublicKeyInfrastructure)与基 于属性证书(AC)的PMI(PrivilegeManagementInfrastructure)结合起来进行安全 性设计,然而由于一个终端用户可以有许多权限,许多用户也可能有相同的权限 集,这些权限都必须写入属性证书的属性中,这样就增加了属性证书的复杂性和 存储空间,从而也增加了属性证书的颁发和验证的复杂度。为了解决这个问题, 作者建议根据X.509标准建立基于角色PMI的电子政务安全模型。该模型由客户端、验证服务器、应用服务器、资源数据库和LDAP目录服务器等实体组成,在 该模型中:
2.1终端用户:向验证服务器发送请求和证书,并与服务器双向验证。
2.2验证服务器:由身份认证模块和授权验证模块组成提供身份认证和访 问控制,是安全模型的关键部分。
2.3应用服务器:与资源数据库连接,根据验证通过的用户请求,对资源 数据库的数据进行处理,并把处理结果通过验证服务器返回给用户以响应用户请 求。
2.4LDAP目录服务器:该模型中采用两个LDAP目录服务器,一个存放公 钥证书(PKC)和公钥证书吊销列表(CRL),另一个LDAP目录服务器存放角 色指派和角色规范属性证书以及属性吊销列表ACRL。
安全管理策略也是电子政务安全体系的重要组成部分。安全的核心实际上 是管理,安全技术实际上只是实现管理的一种手段,再好的技术手段都必须配合 合理的制度才能发挥作用。需要制订的制度包括安全行政管理和安全技术管理。
安全行政管理应包括组织机构和责任制度等的制定和落实;
安全技术管理的内容 包括对硬件实体和软件系统、密钥的管理。
转贴于中国论文下载中心https://www 3电子政务信息安全管理体系中的风险评估 电子政务信息安全等级保护是根据电子政务系统在国家安全、经济安全、 社会稳定和保护公共利益等方面的重要程度。等级保护工作的要点是对电子政务 系统进行风险分析,构建电子政务系统的风险因素集。
3.1信息系统的安全定级信息系统的安全等级从低到高依次包括自主保护 级、指导保护级、监督保护级、强制保护级、专控保护级五个安全等级。对电子 政务的五个安全等级定义,结合系统面临的风险、系统特定安全保护要求和成本 开销等因素,采取相应的安全保护措施以保障信息和信息系统的安全。
3.2采用全面的风险评估办法风险评估具有不同的方法。在 ISO/IECTR13335-3《信息技术IT安全管理指南:IT安全管理技术》中描述了风险评估方法的例子,其他文献,例如NISTSP800-30、AS/NZS4360等也介绍了风险 评估的步骤及方法,另外,一些组织还提出了自己的风险评估工具,例如OCTAVE、 CRAMM等。
电子政务信息安全建设中采用的风险评估方法可以参考ISO17799、 OCTAVE、CSE、《信息安全风险评估指南》等标准和指南,从资产评估、威胁 评估、脆弱性评估、安全措施有效性评估四个方面建立风险评估模型。其中,资 产的评估主要是对资产进行相对估价,其估价准则依赖于对其影响的分析,主要 从保密性、完整性、可用性三方面进行影响分析;威胁评估是对资产所受威胁发 生可能性的评估,主要从威胁的能力和动机两个方面进行分析;脆弱性评估是对 资产脆弱程度的评估,主要从脆弱性被利用的难易程度、被成功利用后的严重性 两方面进行分析;安全措施有效性评估是对保障措施的有效性进行的评估活动, 主要对安全措施防范威胁、减少脆弱性的有效状况进行分析;安全风险评估就是 通过综合分析评估后的资产信息、威胁信息、脆弱性信息、安全措施信息,最终 生成风险信息。
在确定风险评估方法后,还应确定接受风险的准则,识别可接受的风险级 别。
4结语 电子政务与传统政务相比有显著区别,包括:办公手段不同,信息资源的 数字化和信息交换的网络化是电子政务与传统政务的最显著区别;行政业务流程 不同,实现行政业务流程的集约化、标准化和高效化是电子政务的核心;与公众 沟通方式不同,直接与公众沟通是实施电子政务的目的之一,也是与传统政务的 重要区别。在电子政务的信息安全管理中,要抓住其特点,从技术、管理、策略 角度设计完整的信息安全模型并通过科学量化的风险评估方法识别风险和制定 风险应急预案,这样才能达到全方位实施信息安全管理的目的。
