您现在的位置是:首页 > 政务 > 电子政务专题 > 电子政务技术
字体显示:
 关键词
标题 全文
电子政务信息安全的概念框架
2003-11-06
 
    作者:曹鸿强、刘艳、毛克峰、赵利军

    电子政务信息安全的必要性

  电子政务所涵盖的信息系统是政府机构用于执行政府职能的信息系统。政府机构从事的行业性质跟国家紧密联系,所涉及的众多信息都带有保密性,所以信息安全问题尤其重要。例如敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等,都将对电子政务系统的正常运行构成威胁。为保证电子政务的信息安全,有必要对其信息和网络系统进行专门的安全设计。 

  本文尝试从技术角度为实现电子政务的信息安全提供一个概念框架。
 
  电子政务的信息安全目标

  信息系统信息安全的宗旨是通过在实现信息系统时充分考虑到自身、伙伴和客户的信息风险,确保组织能够完成它的全部使命和目标。进而言之,电子政务系统信息安全的宗旨就是通过在实现信息系统时充分考虑信息风险,从而确保一个政府部门能够有效地完成法律所赋予的政府职能。 

  为此,电子政务系统必须实现如下的信息安全目标:
 
  1.可用性目标 

  可用性目标是指确保电子政务系统有效率地运转并使授权用户得到所需信息服务。通常,可用性目标是电子政务系统的首要信息安全目标。
 
  2.完整性目标 

  完整性目标包括两个方面:数据完整性和系统完整性。通常,完整性目标是电子政务系统除了可用性目标之外最重要的信息安全目标。 

  3.保密性目标 

  保密性目标是指不向非授权个人和部门暴露私有或者保密信息。通常,对于大多数电子政务系统而言,保密性目标在信息安全的重要程度排序中仅次于可用性目标和完整性目标。然而,对于某些特定的电子政务系统和数据,保密性目标是最重要的信息安全目标。 

  4.可记账性目标 

  可记账性目标是指电子政务系统能够如实记录一个实体的全部行为。通常,可记账性目标是政府部门的一种策略需求。可记账性目标可以为拒绝否认、威慑违规、隔离故障、检测和防止入侵、事后恢复和法律诉讼提供支持。
 
  5.保障性目标 

  保障性是电子政务系统信息安全的信任基。保障性目标突出了这样的事实:对于希望做到安全的信息系统而言,不仅需要提供预期的功能,而且需要保证不会发生非预期的行为。

  具体而言,保障性目标是指:提供并正确实现需要的电子政务功能;在用户或者软件无意中出现差错时,提供充分保护;在遭受恶意的系统穿透或者旁路时,提供充足防护。
 
  上述五个信息安全目标是相互依赖的。很少有电子政务系统可以达成某个目标而不考虑其它目标。
 
  电子政务的信息安全机制

  电子政务的信息安全机制是指实现信息安全目标的支持元素。
 
  1.支撑机制 

  作为大多数信息安全能力的共同基础,支撑机制是最常用的安全机制。而且,支撑机制总是和其它机制相互关联。支撑机制包括:标识和命名、密钥管理、安全管理、系统保护。

  2.防护机制 

  防护机制被用于防止安全事故的发生。防护机制包括:受保护的通讯、身份鉴别、授权、访问控制、拒绝否认、事务隐私。 

  检测和恢复机制

  因为不存在完美无缺的信息安全防护机制组合,所以在电子政务系统中有必要检测安全事故的发生并采取措施减少安全事故的负面影响。检测和恢复机制包括:审计、入侵检测和容忍、完整性验证、安全状态重置。 

  电子政务的信息安全技术分层体系结构

  ? 电子政务系统的全部信息安全服务最终都依赖于操作系统安全服务。
 
  ? 系统保证是电子政务系统实现全部安全能力的一个关键的基础要素。 

  ? 系统管理是电子政务系统实现有效的安全能力的另一个重要方面。
 
  1. 系统保证 

  作为电子政务系统的一种基础安全特性,系统保证描述了某个实体完成预定功能的受信程度。为得到用户的充分信任,安全的系统实现必须正确运用各种安全机制,并能恰当响应有意的入侵或者无意的误操作。
 
  2. 系统管理 

  系统管理强调在电子政务系统的运行阶段正确配置和使用各种安全服务和工具。系统管理的范围主要包括:性能管理、记账管理、安全管理。 

  其余的安全服务还包括:操作系统安全服务、跨层安全服务、底层安全服务、中间件安全服务、应用安全服务。 

  电子政务信息安全域

  信息安全域包括如下的要素:一组主体,如人员、进程、设备等;一组客体,它们是主体操作的数据对象;一组安全策略,决定了主体访问客体的规则。 

  对于电子政务系统,信息安全域的确定通常要重点考虑两个因素:物理因素,例如建筑、园区、地区等;业务因素,例如立法、司法、行政等。 

  结束语

  信息安全对于电子政务的成败具有举足轻重的作用。本文试图从技术角度为电子政务信息安全提供一个概念框架,包括:电子政务的信息安全目标、信息安全机制、信息安全服务分层体系结构,以及信息安全域的划分建议。
 
  由于电子政务是一个系统工程,信息安全问题贯穿了电子政务系统的整个系统生命周期,所以我们认为本文讨论的概念框架在电子政务系统的各个阶段(设计、开发、实现、运行、维护、报废)都具有一定的参考意义。需要强调指出的是:信息安全,三分技术、七分管理。因此,技术安全手段应当服从于和服务于管理安全手段。具体而言,技术手段只有和规章制度的有效执行相配合,才能产生信息安全效益。
来源: 电子政务工程服务网


  相关文章: