|
|
摘要:信息网络安全是指防止信息网络本身及其采集、加工、存储、传输的信息数据被故意或偶然的非授权泄露、更改、破坏或使信息被非法辨认、控制,即保障信息的可用性、机密性、完整性、可控性、不可抵赖性。
关键词:政府;信息化;信息网络;网路安全
中图分类号:TP393.08 文献标识码:A 文章编号:1001-9599 (2011) 23-0000-02
Suggestion of Government Information Network Security Application
Wang Fengjuan
(Zhenjiang Xinchuang Computer System Integration Co., Ltd.,Zhenjiang 212001,China)
Abstract:Information network security is to prevent the information network itself and its collection,processing,storage,transmission of information and data to be intentional or accidental unauthorized disclosure,alteration,destruction,or the information is illegal to identify,control,is to protect the availability of information,confidentiality,integrity, controllability,non-repudiation.
Keywords:Government;Informatization;Information network;Network security
政府信息化,是应用现代信息和通信技术,将管理和服务通过网络技术进行集成,以及对政府需要的和拥有的信息资源的开发和管理,来提高政府的工作效率、决策质量、调控能力、廉洁程度、节约政府开支,改进政府的组织结构、业务流程和工作方式,全方位地向社会民众提供超越时间、空间与部门分隔的限制的优质、规范、透明、符合国际水准的管理和服务。
政府信息化的网络安全,是国家网络安全的基石,也是针对未来的信息战来加强国防建设的重要基础。一般来说,安全性越高,其实现就越复杂,费用也相应的越高。对于政府部门来说,就需要对网络中需保护的信息和数据进行详细的经济性评估,决定投资强度。
一、问题与表现
近年来,政府信息安全受到威胁的案例有主见增多的迹象,信息网络面临的威胁主要来自:电磁泄露、雷击等环境安全构成的威胁,软硬件故障和工作人员误操作等人为或偶然事故构成的威胁,利用计算机实施盗窃、诈骗等违法犯罪活动的威胁,网络攻击和计算机病毒构成的威胁,以及信息战的威胁等。
我国信息安全管理目前存在的一些问题主要表现在:(1)信息安全管理现状仍还比较混乱,缺乏一个国家层面上的整体策略。实际管理力度不够,政策的执行和监督力度不够。部分规定过分强调部门的自身特点,而忽略了在国际政治经济的大环境下体现中国的特色。部分规定没有准确地区分技术、管理和法制之间的关系,以管代法,用行政管技术的做法仍较普遍,造成制度的可操作性较差。(2)具有我国特点的、动态的和涵盖组织机构、文件、控制措施、操作过程和程序以及相关资源等要素的信息安全管理体系还未建立起来。(3)具有我国特点的信息安全风险评估标准体系还有待完善,信息安全的需求难以确定,要保护的对象和边界难以确定,缺乏系统、全面的信息安全风险评估和评价体系以及全面、完善的信息安全保障体系。(4)信息安全意识缺乏,普遍存在重产品、轻服务,重技术、轻管理的思想。(5)专项经费投入不足,管理人才极度缺乏,基础理论研究和关键技术薄弱,严重依赖国外,对引进的信息技术和设备缺乏保护信息安全所必不可少的有效管理和技术改造。( )技术创新不够,信息安全管理产品水平和质量不高,尤其是以集中配置、集中管理、状态报告和策略互动为主要任务的安全管理平台产品的研究与开发还很落后。(1)缺乏权威、统一、专门的组织、规划、管理和实施协调的立法管理机构。(8)我国自己制定的信息安全管理标准太少,大多沿用国际标准。
综合上面来看,信息网络自身的脆弱性主要包括:在信息输入、处理、传输、存储、输出过程中存在的信息容易被篡改、伪造、破坏、窃取、泄漏等不安全因素;在信息网络自身在操作系统、数据库以及通信协议等存在安全漏洞和隐蔽信道等不安全因素;在其他方面如磁盘高密度存储受到损坏造成大量信息的丢失,存储介质中的残留信息泄密,计算机设备工作时产生的辐射电磁波造成的信息泄密。
二、信息安全应用的要求与技术要点
一个信息网络的总体安全策略,可以概括为“实体可信,行为可控,资源可管,事件可查,运行可靠”,总体安全策略为其它安全策略的制定提供总的依据。
(一)实体可信
实体指构成信息网络的基本要素,主要有网络基础设备、软件系统、用户和数据。保证构建网络的基础设备和软件系统安全可信,没有预留后门或逻辑炸弹。保证接入网络的用户是可信的,防止恶意用户对系统的攻击破坏。保证在网络上传输、处理、存储的数据是可信的,防止搭线窃听,非授权访问或恶意篡改。
(二)行为可控
保证用户行为可控,即保证本地计算机的各种软硬件资源 ( 例如:内存、中断、I/O端口、硬盘等硬件设备,文件、目录、进程、系统调用等软件资源 ) 不被非授权使用或被用于危害本系统或其它系统的安全。保证网络接入可控,即保证用户接入网络应严格受控,用户上网必须得到申请登记并许可。保证网络行为可控,即保证网络上的通信行为受到监视和控制,防止滥用资源、非法外联、网络攻击、非法访问和传播有害信息等恶意事件的发生。
(三)资源可管
保证对路由器、交换机、服务器、邮件系统、目录系统、数据库、域名系统、安全设备、密码设备、密钥参数、交换机端口、IP地址、用户账号、服务端口等网络资源进行统一管理。
(四)事件可查
保证对网络上的各类违规事件进行监控记录,确保日志记录的完整性,为安全事件稽查、取证提供依据。
(五)运行可靠
保证网络节点在发生自然灾难或遭到硬摧毁时仍能不间断运行,具有容灾抗毁和备份恢复能力。保证能够有效防范病毒和黑客的攻击所引起的网络拥塞、系统崩溃和数据丢失,并具有较强的应急响应和灾难恢复能力。
三、信息网络安全应用的措施与对策
(一)在领导体系方面建立“国家信息安全委员会”
作为国家机构和地方政府以及私营部门之间合作的主要联络人和推动者,负责对跨部门保护工作做全面协调,尽快建立具有信息安全防护能力、隐患发现能力、网络应急反应能力和信息对抗能力的国家信息安全保障体系。
(二)加强信息安全策略的研究、制定和执行工作
以开放、发展、积极防御的方式取代过去的以封堵、隔离、被动防御为主的方式,狠抓内网的用户管理、行为管理、内容控制和应用管理以及存储管理,坚持“多层保护,主动防护”的方针。加强信息安全策略的研究、制定和执行工作。国家信息安全主管部门和标准委员会应该为组织制定信息安全策略提供标准支持,保证组织能够以很低的费用制定出专业化的信息安全策略,提高我国的整体信息安全管理水平。
(三)完善国家互联网应急响应管理体系的建设
实现全国范围内的统一指挥和分工协作,全面提高预案制定水平和处理能力。在建立象SARS一样的信息分级汇报制度的同时,在现有公安系统中建立一支象现在的“110”和“119”一样的“信息安全部队”,专门负责信息网络方面安全保障、安全监管、安全应急和安全威慑方面的工作。对关键设施或系统制定好应急预案,并定期更新和测试信息安全应急预案。
(四)加快信息安全立法和实施监督工作
建议成立一个统一、权威、专门的信息安全立法组织与管理机构,对我国信息法律体系进行全面规划、设计与实施监督与协调,加快具有我国特点的信息安全法律体系的建设,并按信息安全的要求修补已颁布的各项法律法规。尽快制定出信息安全基本法和针对青少年的网上保护法以及政府信息公开条例等政策法规。尤其是为配合《电子签名法》的实施和落实《国务院办公厅关于加快电子商务发展的若干意见》,应抓紧研究电子交易、信用管理、安全认证、在线支付、税收、市场准入、隐私权保护、信息资源管理等方面的法律法规问题,尽快提出制定相关法律法规;推动网络仲裁、网络公证等法律服务与保障体系的建设。
(五)加快信息安全标准化的制定和实施工作
尽早制定出基于ISO/IEC 11199国际标准的、并适合我国的信息安全管理标准体系,尤其是建立与完善信息安全风险评估规范标准和管理机制,对国家一些关键基础设施和重要信息系统,如经济、科技、统计、银行、铁路、民航、海关等,要依法按国家标准实行定期的自评估和强制性检查评估。
(六)加强组织或企业内部人员的信息安全知识培训与教育
坚持“防内为主,内外兼防”的方针,通过各种会议、网站、广播电视、报纸等媒体加大信息安全普法和守法宣传力度,提高全民信息安全意识,尤其是加强组织或企业内部人员的信息安全知识培训与教育,提高员工的信息安全自律水平。在国家关键部门和企事业单位中,明确地指定信息安全工作的责职,建议由党政一把手作为本单位信息安全工作责任人,在条件允许的企业里增设 CSO(首席安全官)职位,形成纵向到底、横向到边的领导管理体制。
(七)制定优惠政策,设立信息安全管理专项基金
鼓励风险投资,提高信息安全综合管理平台、管理工具、网络取证、事故恢复等关键技术的自主研究能力与产品开发水平。
(八)重视和加强信息安全等级保护工作
对重要信息安全产品实行强制性认证,特定领域用户必须明确采购通过认证的信息安全产品。
(九)加强信息安全管理人才与执法队伍的建设工作
特别是加大既懂技术又懂管理的复合型人才的培养力度。
总之,我国政府信息网络安全,还有很长的路要走。应建立完善而有效的法律制度及相关规范并且真正落到实处,加强计算机及网络系统的管理。如:访问控制、系统安全监控、数据加密、系统的软硬件的安全、计算机网络安全等。
参考文献:
[1]王和生.信息安全管理在政府信息化建设中的运用[J].成都行政学院学报,2005年10月第13卷第15期。
[2]于海峰.政府信息化建设中的信息安全管理[J].计算机世界,2003
转载注明来源:http://www.ybaotk.com |
上一篇:公立医院股份制改革中信息部门发展浅析下一篇:面向对象技术在物流信息化系统中的应用研究
|
发表于 2020-5-28 12:04:32
中发现Ni:
中发现Ni:
中发现Ni:
中发现Ni:
中发现Ni:
中发现Ni:
发表于 2020-5-28 12:05:19
QQ登录
