摘要:信息技术的发展越来越深刻地影响着我国电子政务的发展。本文结合交通运输电子政务的安全需求,分析了我国交通运输电子政务平台的发展现状及其面临的矛盾,从信息安全保障体系的基本要求出发,给出了从组织体系、技术体系、运营体系、策略体系和保障对象体系等五个安全体系构建交通运输电子政务信息安全保障体系的解决方案。
关键词:交通运输;电子政务;信息化;安全保障体系
0引言:电子政务信息安全问题
电子政务是一个基于现代信息技术的综合性政务信息系统,涉及政府机关、各团体、企业和社会公众,其基本框架一般来说主要包括政府办公政务网、办公政务资源网、公众信息网和办公政务信息资源数据库四个部分,即“三网一库”。我国早在2002年7月《关于我国电子政务建设指导意见》中,明确“把电子政务建设作为今后一个时期我国信息化工作的重点,政府先行,带动国民经济和社会发展信息化”,2006年进一步在《2006-2020年国家信息化发展战略》中明确“电子政务”作为我国信息化发展的重点战略,实现政府“改善公共服务,加强社会管理,强化综合监管和完善宏观调控”。电子政务上升到国家信息化的发展战略,其带给政府的意义在于不断促使政府公共服务创新,建设服务型政府。
而随着政府电子政务信息化的不断发展,电子政务对于信息系统的依赖性越来越强,不断涌现出来的信息安全问题成为政府信息主管部门关注的焦点。据CNCERT/CC监测显示, 2010年中国大陆有近3.5万个网站被黑客篡改,数量较2009年下降21.5%,但其中被篡改的政府网站高达4635个,比2009年上升67.6%。政府网站及其政务平台安全防护的薄弱性,不仅影响了政府形象和电子政务工作的开展,还给不法分子发布虚假信息或植入网页木马以可乘之机。因此,政府信息化主管部门如何在其信息化过程中,既能创新政府公务服务实现服务性政府职能,又能保障其电子政务平台的信息安全,保护其政务信息资源价值不受侵犯,保证信息资产的拥有者面临最小的风险,保障政务平台的信息基础设施、信息应用服务和信息内容具有机密性、完整性、不可修改性、可用性,能够抵御各种威胁,并在信息安全管理上保持良好的可控性,已成为政府在建设其电子政务平台过程中的重要课题。
本文将结合交通运输电子政务平台,分析其信息安全保障体系建设的基本要求和构建框架。
1我国交通运输电子政务平台的发展现状及面临的矛盾
2004年2月,交通部在其制定的《中国交通电子政务建设总体方案》中,提出了“交通政务内网、交通政务外网和电子信息资源库”的交通电子政务建设总体架构。为进一步规范交通电子政务的建设,交通部于2008年12月出台了《交通运输电子政务网络及业务应用系统建设技术指南(试行)》。在政策的指导下,我国交通电子政务平台的发展速度加快,交通电子政务平台的基础架构已经凸显规模,部(交通运输部)省(各省道路运输管理部门)道路运输管理信息系统建设,已实现了20多个省(区、市)运政系统与部联网,纵向业务系统互联互通、资源共享、整合利用的模式已初步建立。与此同时,交通电子政务平台的信息化标准规范体系也得到进一步完善。交通部先后制订颁布了覆盖公路、水路交通行业主要业务领域的公路、港口、航道、船舶、道路运输、水路运输、船员、建设项目、交通统计、船舶检验、船载客货、收费公路等10多项交通信息基础数据元标准,颁布了公路水路交通信息资源业务分类和元数据标准以及道路运输管理与服务系统技术要求和接口规范等标准。这些标准的出台对于规范行业信息化发展,推动交通电子政务建设,促进交通信息资源整合发挥重要的支撑保障作用。
在我国交通电子政务的信息化进程中,实现部、省交通部门办公自动化、电子化、网络化;实现信息网络宽带化,网络间实现高速互联互通;建立交通信息资源数据库,整合、开发信息资源,形成面向社会的政府公众信息服务网等信息化建设,是交通电子政务建设的重点,这些重点建设内容均与信息技术相关,离不开网络的支撑。网络的“开放性”与政务的“安全性”、网络的“可访问性”与政务的“稳定性”成为当前我国交通电子政务实施过程的两大矛盾。
1.1平台的安全性与开放性之间的矛盾
即电子政务的安全要求与电子政务平台的开放性要求成为交通电子政务实施过程中最难以平衡的一对矛盾。如何把握政务“安全”与网络“开放”的平衡,一方面要把握住哪些信息是交通政府部门的机密,哪些是开放;另一方面,在电子政务平台的建设过程中如何摆脱“安全绝对化”倾向,否则电子政务服务的公众性就会失去落脚点,以政务信息化带动社会信息化、企业信息化的战略意图也将难以实现。
1.2平台的安全性与可访问性之间的矛盾
电子政务的安全性要求与电子政务平台的可访问性要求成为交通电子政务实施过程中另一对矛盾。电子政务平台应重视其信息安全问题,其另一层含义还应注意保持网络安全性与可访问性之间的平衡。交通电子政务平台必须易于访问,这样才能激励公众去使用它。而在提供了更好的可访问性的同时,也将交通运输的数据暴露在不断增长的病毒及未授权访问的威胁之下,导致政务平台的不安全性。
2我国交通运输电子政务平台信息安全保障体系的构建
当前我国交通电子政务实施过程的两大矛盾的解决,依赖于安全、稳定、可靠的交通运输电子政务平台信息安全保障体系。对于电子政务平台实施过程中所面临的信息安全保障问题,我国早在2003年9月颁发的《关于加强信息安全保障工作的意见》中明确提出了建立等级保护制度和风险管理体系的要求。2004年11月,公安部等国家四部委联合推出信息安全等级保护要求、测评准则和实施指南,为政务领域进一步建立政务信息系统风险管理体系提供了技术基础和指导。交通运输部也于2008年12月颁布的《交通运输电子政务网络及业务应用系统建设技术指南》中对交通电子政务平台的安全保障体系作了详细的技术规范。
随着交通政府机构的信息安全基础建设日趋完善,建立一套信息安全管理平台,既满足电子政务平台的开放性和可访问性,又保证电子政务平台的安全性,也日益迫切。交通电子政务信息安全保障体系可从以下几个角度进行充分构建:
2.1信息安全保障体系及其基本要求
信息安全保障体系是基于PKI体系而开发的为多个应用系统提供统一认证、访问控制、应用审计和远程接入的应用安全网关系统,它可以将不同地理位置、不同基础设施(主机、网络设备和安全设备等)中分散且海量的安全信息进行样式化、汇总、过滤和关联分析,形成基于基础设施与域的统一等级的威胁与风险管理,并依托安全知识库和工作流程驱动,对威胁与风险进行响应和处理。信息安全保障体系的基本要求主要体现在以下几个方面:
1)保密性
主要体现在谁能拥有信息,如何保证秘密和敏感信息仅为授权者享有。
2)完整性
主要体现在拥有的信息是否正确以及如何保证信息从真实的信源发往真实的信宿,传输、存储、处理中未被删改、增添、替换。
3)可用性
主要体现在信息和信息系统是否能够使用以及如何保证信息和信息系统随时可为授权者提供服务而不被非授权者滥用。
4)可控性
主要体现在是否能够监控管理信息和系统以及如何保证信息和信息系统的授权认证和监控管理。 5)不可否认性
主要体现在信息行为人为信息行为承担责任,保证信息行为人不能否认其信息行为。
