政府信息主管部門的安全管理職責(zé)
電子政務(wù)是一個基于網(wǎng)絡(luò)技術(shù)的綜合性信息系統(tǒng),涉及政府機(jī)關(guān)、各團(tuán)體、企業(yè)和社會公眾,主要包括機(jī)關(guān)辦公政務(wù)網(wǎng)、辦公政務(wù)資源網(wǎng)、公眾信息網(wǎng)和辦公政務(wù)信息資源數(shù)據(jù)庫四個部分,簡稱“三網(wǎng)一庫”。作為政府的信息主管部門,其安全職責(zé)是保護(hù)政務(wù)信息資源價值不受侵犯,保證信息資產(chǎn)的擁有者面臨最小的風(fēng)險,從而使政務(wù)的信息基礎(chǔ)設(shè)施、信息應(yīng)用服務(wù)和信息內(nèi)容具有保密性、完整性、可用性,能夠抵御各種威脅。同時在信息安全管理上保持良好的可控性,即信息安全管理的目標(biāo)是要確保對全局的掌控,而不僅限于對局部系統(tǒng)的了解,確保整個體系的保密性、完整性和可用性;對于安全問題、事件的檢測要能夠匯總和綜合到中央監(jiān)控體系,實現(xiàn)全面支撐信息安全運營管理的目標(biāo)。
電子政務(wù)信息安全管理面臨的問題與挑戰(zhàn)
隨著電子政務(wù)信息化的不斷發(fā)展,電子政務(wù)對于信息系統(tǒng)的依賴性越來越強(qiáng),新涌現(xiàn)出來的信息安全問題成為政府信息主管部門關(guān)注的焦點。而政務(wù)系統(tǒng)作為關(guān)系國計民生的重要部分,在信息安全方面也面臨著嚴(yán)峻的挑戰(zhàn)。
首先,由于電子政務(wù)信息系統(tǒng)不斷走向開放,從原先的專有系統(tǒng)演變成為今天依賴的通用操作系統(tǒng)。絕大多數(shù)政務(wù)系統(tǒng)是通過基于TCP/IP協(xié)議的互聯(lián)網(wǎng)提供政務(wù)服務(wù)的,而互聯(lián)網(wǎng)由于自身安全性不足,給電子政務(wù)信息系統(tǒng)帶來更為嚴(yán)峻的問題。
其次,隨著國際網(wǎng)絡(luò)大環(huán)境的改變,威脅表現(xiàn)出了多樣化,多源化的特點。威脅并不是單純的來自外部,很多情況下也來自內(nèi)部,所以針對電子政務(wù)信息系統(tǒng)應(yīng)該構(gòu)建一個立體的、縱深的、全方位的解決方案。而系統(tǒng)的日趨復(fù)雜,又為可控性不斷提出挑戰(zhàn)。
在過去幾年中,有很多政府部門對自身的電子政務(wù)系統(tǒng)進(jìn)行了大量的安全建設(shè)和投入,但安全建設(shè)的主要內(nèi)容是安全設(shè)備的采購。這些設(shè)備雖然產(chǎn)生了海量的日志及報警信息,但得到的信息卻并沒有被很好的利用,許多未被明確的風(fēng)險,依然保留在信息系統(tǒng)當(dāng)中。
電子政務(wù)信息安全管理的政策要求
中辦27號文件中明確提出了建立等級保護(hù)制度和風(fēng)險管理體系的要求。今年初,公安部等國家四部委聯(lián)合推出信息安全等級保護(hù)要求、測評準(zhǔn)則和實施指南,為政務(wù)領(lǐng)域進(jìn)一步建立政務(wù)信息系統(tǒng)風(fēng)險管理體系提供了技術(shù)基礎(chǔ)和指導(dǎo)。
隨著政府機(jī)構(gòu)的信息安全基礎(chǔ)建設(shè)日趨完善,建立一套信息安全管理系統(tǒng)也日益迫切。許多政府部門已經(jīng)開始通過建立本部門的信息安全管理平臺,實現(xiàn)了信息安全管理職能,優(yōu)化了政府信息主管部門的工作。
信息安全管理平臺在電子政務(wù)系統(tǒng)中的作用
 |
| 圖1:管理層次模型 |
信息安全管理平臺在信息安全管理中具有十分重要的作用,它位于管理層次模型中人與各安全設(shè)備之間,主要由安全信息采集平臺和安全風(fēng)險管理平臺兩大部分組成,分別為技術(shù)層面、管理層面和決策層面提供相應(yīng)的用戶接口。
在技術(shù)層面,信息安全管理平臺集中管理不同的安全設(shè)備,幫助操作者綜合分析各個設(shè)備產(chǎn)生的報警信息,對重要資產(chǎn)實施完善的管理和等級保護(hù)。
在運營層面,信息安全管理平臺幫助管理者準(zhǔn)確分析現(xiàn)有系統(tǒng)面臨的威脅,并排列有限順序,理順安全事件的管理流程,制定合理的應(yīng)急響應(yīng)流程和規(guī)范。
在決策層面,電子政務(wù)信息主管可以從政務(wù)風(fēng)險層面理解安全事件,通過對風(fēng)險進(jìn)行量化,實現(xiàn)對政務(wù)系統(tǒng)的風(fēng)險監(jiān)控和管理,同時幫助信息主管計算和跟蹤安全投資回報率,便于在后期優(yōu)化信息安全投資。
啟明星辰的泰合安全管理平臺
由啟明星辰自主研發(fā)的信息安全管理平臺——泰合安全管理平臺(Security Operation Center),是針對傳統(tǒng)安全管理方式的一種重大變革。它將不同位置、不同資產(chǎn)(主機(jī)、網(wǎng)絡(luò)設(shè)備和安全設(shè)備等)中分散且海量的安全信息進(jìn)行范式化、匯總、過濾和關(guān)聯(lián)分析,形成基于資產(chǎn)/域的統(tǒng)一等級的威脅與風(fēng)險管理,并依托安全知識庫和工作流程驅(qū)動,對威脅與風(fēng)險進(jìn)行響應(yīng)和處理。一般安全管理平臺系統(tǒng)的根本模型是PDR模型,而泰合安全管理平臺就是實現(xiàn)其中的D(Detection,檢測)和R(Response,響應(yīng)),它可以極大限度地提高信息安全的可控性。
泰合安全管理平臺由“四個中心、五個功能模塊”組成。四個中心分別為漏洞評估中心、運行狀況監(jiān)控中心、事件/流量監(jiān)控中心、安全預(yù)警風(fēng)險管理中心;五個功能模塊為策略管理、資產(chǎn)管理、用戶管理、安全知識管理、自身系統(tǒng)維護(hù)管理。該安全管理平臺具有以下特點:
基于J2EE規(guī)范的三層設(shè)計,結(jié)構(gòu)靈活,定制能力強(qiáng);
符合EAL3標(biāo)準(zhǔn),支持用戶的權(quán)限劃分與審計;
內(nèi)置可定義工作流,支持應(yīng)急響應(yīng)管理;
支持的被管理設(shè)備豐富,能夠支持常用的安全設(shè)備與網(wǎng)絡(luò)設(shè)備,并且可以通過AGENT定制的方式支持新接入設(shè)備;
支持設(shè)備的報警、日志、狀態(tài)的集中管理;
支持風(fēng)險評估與安全域劃分,理念先進(jìn);
采用多層分布計算的跨平臺設(shè)計,有效的降低了本平臺網(wǎng)絡(luò)帶寬的占用,有利于未來擴(kuò)展和支持大規(guī)模網(wǎng)絡(luò)的實施;
可視化效果強(qiáng),支持豐富報表、實時監(jiān)控臺、GIS地理顯示等功能;
能夠進(jìn)行安全文檔的層次化管理;
優(yōu)化程序設(shè)計,處理能力強(qiáng)。單中心能夠同時支持50臺以上設(shè)備的管理,每秒處理的報警數(shù)量在2000條以上;
支持多級部署;
 |
| 圖2:泰合安全管理平臺體系結(jié)構(gòu)圖 |
信息安全管理平臺的實施為電子政務(wù)系統(tǒng)提供了安全保障。
首先,在電子政務(wù)系統(tǒng)中部署信息安全管理平臺能夠提升信息安全事件的處理水平。因為大量的安全事件通過安全管理平臺的過濾、歸并和排序后,降低到了一個人工能夠處理的數(shù)量級,從而極大的減輕了系統(tǒng)管理人員的工作量。另外,系統(tǒng)提供的向下挖掘機(jī)制還能夠保證系統(tǒng)管理人員可以看見最原始的信息,從而不會錯過任何重要信息。同時,系統(tǒng)自帶的統(tǒng)一的專家知識庫能夠幫助系統(tǒng)管理人員正確的處理事件,降低了安全技術(shù)門檻,從而使非專業(yè)人員也可以處理專業(yè)的安全事件。
其次,安全管理平臺采用了先進(jìn)的可視化技術(shù),用圖形化的方法表示量化后的風(fēng)險,讓系統(tǒng)管理人員在最短的時間內(nèi)感知到風(fēng)險的程度。這是一種實時性的風(fēng)險感知,大大強(qiáng)于傳統(tǒng)安全服務(wù)中所涉及的靜態(tài)風(fēng)險評估(Risk Snapshot)。
綜上所述,信息安全管理平臺具有簡便性和實時性的特點,提高了信息安全管理的可控性。
