|
如何規(guī)劃電子政務的內(nèi)部安全建設(shè)
資源天下 2019/8/22 8:51:31
一個典型的電子政務辦公網(wǎng)���,按功能來分大約可以分成下面幾個部分:
內(nèi)網(wǎng)業(yè)務系統(tǒng):在內(nèi)部網(wǎng)上實現(xiàn)的各種網(wǎng)絡(luò)應用���,數(shù)據(jù)庫,辦公系統(tǒng)等�����。
公文流轉(zhuǎn)系統(tǒng):在外部網(wǎng)上實現(xiàn)公文異地傳輸��,信息傳遞等����。
網(wǎng)上發(fā)布系統(tǒng):信息在因特網(wǎng)上發(fā)布,成為企業(yè)與大眾的溝通的渠道����。
毫無疑問,信息安全對企業(yè)來說是至關(guān)重要的,政務系統(tǒng)的網(wǎng)上正常運轉(zhuǎn)��,需要各個方面的安全保證����。通常,從技術(shù)上來說����,信息系統(tǒng)的安全有三個方面的問題:
網(wǎng)絡(luò)安全:防止非法的外來訪問者對信息資源的破壞。
系統(tǒng)安全:防止病毒�����、后門等代碼對信息系統(tǒng)的破壞����。
應用安全:防止來自內(nèi)外部的有意或者無意的竊聽、篡改和破壞�����。
相比起前兩類安全問題來���,應用安全的隱患其隱蔽性更深�����、破壞性更大�、綜合防范更為復雜���。國內(nèi)外的應用經(jīng)驗表明����,大量的數(shù)字犯罪通常來自于內(nèi)部��。
應用安全問題�,實質(zhì)上是個管理問題。產(chǎn)生安全問題的原因是�,
機構(gòu)是有結(jié)構(gòu)的,每個人只能在自己的職責范圍內(nèi)行使職責���,進行相關(guān)的業(yè)務��;
機構(gòu)是有層次的����,每個人只能獲取自己所在層面應得的信息��,嚴格防止業(yè)務越權(quán)。
信息資源是有安全層次的����,不同層次的信息只能被相應層次的人所訪問。
從根本上講,這是一個管理與控制的問題�����。管理包括對人的管理和對資源的管理以及對網(wǎng)絡(luò)的管理�����。比如人的管理����,就是確認一個人的有效身份、授權(quán)以及訪問控制��;而信息資源的管理����,應該是針對信息存儲和傳輸過程中的機密性、完整性�����、真實性、不可抵賴性的管理
像網(wǎng)絡(luò)管理���,我們認為就是網(wǎng)絡(luò)域管理��、網(wǎng)絡(luò)行為監(jiān)控管理(網(wǎng)絡(luò)警察)����、網(wǎng)絡(luò)流量管理�、
個人計算機管理等��。
目前網(wǎng)絡(luò)上的大部分信息都是在明文傳輸����,而網(wǎng)絡(luò)上到處可以見到的竊聽工具,對網(wǎng)上辦公的信息安全產(chǎn)生了威脅�����。由于竊聽的隱蔽性���、被動性和難以探知等特點���,使得我們在做信息系統(tǒng)的安全設(shè)計的時候���,應該主動采取安全措施,防范傳輸過程中可能出現(xiàn)的竊聽����。
隨著網(wǎng)上辦公的廣泛開展,越來越多的重要信息也開始在網(wǎng)上傳輸�。對于這類信息,必須嚴格保證它們的完整性�。任何對數(shù)據(jù)進行有意或無意的改變,都可能影響信息的有效性�����,甚至最終導致決策上的重大偏差和失誤����。
身份鑒別是進行權(quán)限管理的基礎(chǔ),也是實施資源控制的前提��。
現(xiàn)在多數(shù)系統(tǒng)的身份是由驗證用戶和口令來實現(xiàn)的�����。隨著應用的深入���,傳統(tǒng)的用戶和密碼驗證身份的方式���,越來越不能適應業(yè)務系統(tǒng)的要求�。
猜試用戶口令密碼的軟件工具網(wǎng)上到處可見����,容易使用,一個稍微有點計算機基礎(chǔ)的人���,大約幾分鐘就可以學會使用���,幾十分鐘就可以把用戶和密碼猜試出來�。
如果經(jīng)常的改換口令又給應用帶來了無法容忍的麻煩——網(wǎng)上應用越來越多,有Notes辦公系統(tǒng)����,有數(shù)據(jù)庫系統(tǒng),有電子郵件系統(tǒng)��,還會有財務系統(tǒng)�����,人事系統(tǒng)等等等等。尤其是領(lǐng)導�����,需要經(jīng)常訪問各種系統(tǒng)�����,以全面掌握機構(gòu)運做情況�。要對眾多的應用經(jīng)常改換口令以保證應用安全的話,需要經(jīng)常記憶大量的口令�,稍有不慎,就會發(fā)生因口令記憶錯誤而導致的系統(tǒng)不能進入�����、應用不能訪問的問題����,
迫切需要采用新的技術(shù)、用更高安全性的方法來取代傳統(tǒng)的口令密碼方式���,來解決身份認證問題�����。
尤其關(guān)鍵的是�,口令帶來了人員管理的難度,因為口令并不能代表一個人的身份����!
身份鑒別不僅用來控制訪問者的權(quán)限,更可以使信息提交者對其行為負責����。在網(wǎng)絡(luò)辦公環(huán)境中,起草的報告和作出的批示就象傳統(tǒng)文件一樣需要簽名��,以示對所簽署的內(nèi)容負責��。有了數(shù)字簽名的文件才能在行政和法律上分清責任����。
但在傳統(tǒng)方式中���,文件和簽名是可以分離���,因此可以偽造簽名;而網(wǎng)絡(luò)環(huán)境中�,數(shù)字簽名應與文件本身結(jié)合得更緊密一些��。
信息化的建設(shè)需要4A的服務(anyone anytime anywhere anthing),就是說任何人在任何時候任何地方都能訪問到其權(quán)限內(nèi)的應用和資源�����。移動和遠程辦公對于提高企業(yè)的效率����,實現(xiàn)統(tǒng)一的管理十分重要����。由于移動辦公一般都采用INTERNET的資源,所以其安全方面至少要保障:文件的機密傳輸(建立安全通道)以及身份認證和訪問控制��。
江蘇天益網(wǎng)絡(luò)信息有限公司以成熟�����、先進的PKI體系為技術(shù)基礎(chǔ)��,采用管理+控制的先進理念來保障內(nèi)部應用系統(tǒng)的信息安全�����。通過PKI體系來確定一個人的身份和權(quán)限、通過加密和簽名的手段來保障文件的安全管理�����。
尤其可貴的是���,江蘇天益網(wǎng)絡(luò)信息有限公司將復雜難懂的PKI體系以產(chǎn)品的方式提供給用戶�����,在用戶不需要了解任何技術(shù)細節(jié)以及不對原來系統(tǒng)做任何改動的前提下�����,輕松實現(xiàn):人員的集中管理�����、權(quán)限的集中管理以及資源的安全管理�����,并實現(xiàn)集中的訪問控制。(未完���,下一頁)
|