政府信息主管部門的安全管理職責
電子政務是一個基于網絡技術的綜合性信息系統,涉及政府機關、各團體、企業和社會公眾,主要包括機關辦公政務網、辦公政務資源網、公眾信息網和辦公政務信息資源數據庫四個部分,簡稱“三網一庫”。作為政府的信息主管部門,其安全職責是保護政務信息資源價值不受侵犯,保證信息資產的擁有者面臨最小的風險,從而使政務的信息基礎設施、信息應用服務和信息內容具有保密性、完整性、可用性,能夠抵御各種威脅。同時在信息安全管理上保持良好的可控性,即信息安全管理的目標是要確保對全局的掌控,而不僅限于對局部系統的了解,確保整個體系的保密性、完整性和可用性;對于安全問題、事件的檢測要能夠匯總和綜合到中央監控體系,實現全面支撐信息安全運營管理的目標。
電子政務信息安全管理面臨的問題與挑戰
隨著電子政務信息化的不斷發展,電子政務對于信息系統的依賴性越來越強,新涌現出來的信息安全問題成為政府信息主管部門關注的焦點。而政務系統作為關系國計民生的重要部分,在信息安全方面也面臨著嚴峻的挑戰。
首先,由于電子政務信息系統不斷走向開放,從原先的專有系統演變成為今天依賴的通用操作系統。絕大多數政務系統是通過基于TCP/IP協議的互聯網提供政務服務的,而互聯網由于自身安全性不足,給電子政務信息系統帶來更為嚴峻的問題。
其次,隨著國際網絡大環境的改變,威脅表現出了多樣化,多源化的特點。威脅并不是單純的來自外部,很多情況下也來自內部,所以針對電子政務信息系統應該構建一個立體的、縱深的、全方位的解決方案。而系統的日趨復雜,又為可控性不斷提出挑戰。
在過去幾年中,有很多政府部門對自身的電子政務系統進行了大量的安全建設和投入,但安全建設的主要內容是安全設備的采購。這些設備雖然產生了海量的日志及報警信息,但得到的信息卻并沒有被很好的利用,許多未被明確的風險,依然保留在信息系統當中。
電子政務信息安全管理的政策要求
中辦27號文件中明確提出了建立等級保護制度和風險管理體系的要求。今年初,公安部等國家四部委聯合推出信息安全等級保護要求、測評準則和實施指南,為政務領域進一步建立政務信息系統風險管理體系提供了技術基礎和指導。
隨著政府機構的信息安全基礎建設日趨完善,建立一套信息安全管理系統也日益迫切。許多政府部門已經開始通過建立本部門的信息安全管理平臺,實現了信息安全管理職能,優化了政府信息主管部門的工作。
信息安全管理平臺在電子政務系統中的作用
 |
| 圖1:管理層次模型 |
信息安全管理平臺在信息安全管理中具有十分重要的作用,它位于管理層次模型中人與各安全設備之間,主要由安全信息采集平臺和安全風險管理平臺兩大部分組成,分別為技術層面、管理層面和決策層面提供相應的用戶接口。
在技術層面,信息安全管理平臺集中管理不同的安全設備,幫助操作者綜合分析各個設備產生的報警信息,對重要資產實施完善的管理和等級保護。
在運營層面,信息安全管理平臺幫助管理者準確分析現有系統面臨的威脅,并排列有限順序,理順安全事件的管理流程,制定合理的應急響應流程和規范。
在決策層面,電子政務信息主管可以從政務風險層面理解安全事件,通過對風險進行量化,實現對政務系統的風險監控和管理,同時幫助信息主管計算和跟蹤安全投資回報率,便于在后期優化信息安全投資。
啟明星辰的泰合安全管理平臺
由啟明星辰自主研發的信息安全管理平臺——泰合安全管理平臺(Security Operation Center),是針對傳統安全管理方式的一種重大變革。它將不同位置、不同資產(主機、網絡設備和安全設備等)中分散且海量的安全信息進行范式化、匯總、過濾和關聯分析,形成基于資產/域的統一等級的威脅與風險管理,并依托安全知識庫和工作流程驅動,對威脅與風險進行響應和處理。一般安全管理平臺系統的根本模型是PDR模型,而泰合安全管理平臺就是實現其中的D(Detection,檢測)和R(Response,響應),它可以極大限度地提高信息安全的可控性。
泰合安全管理平臺由“四個中心、五個功能模塊”組成。四個中心分別為漏洞評估中心、運行狀況監控中心、事件/流量監控中心、安全預警風險管理中心;五個功能模塊為策略管理、資產管理、用戶管理、安全知識管理、自身系統維護管理。該安全管理平臺具有以下特點:
基于J2EE規范的三層設計,結構靈活,定制能力強;
符合EAL3標準,支持用戶的權限劃分與審計;
內置可定義工作流,支持應急響應管理;
支持的被管理設備豐富,能夠支持常用的安全設備與網絡設備,并且可以通過AGENT定制的方式支持新接入設備;
支持設備的報警、日志、狀態的集中管理;
支持風險評估與安全域劃分,理念先進;
采用多層分布計算的跨平臺設計,有效的降低了本平臺網絡帶寬的占用,有利于未來擴展和支持大規模網絡的實施;
可視化效果強,支持豐富報表、實時監控臺、GIS地理顯示等功能;
能夠進行安全文檔的層次化管理;
優化程序設計,處理能力強。單中心能夠同時支持50臺以上設備的管理,每秒處理的報警數量在2000條以上;
支持多級部署;
 |
| 圖2:泰合安全管理平臺體系結構圖 |
信息安全管理平臺的實施為電子政務系統提供了安全保障。
首先,在電子政務系統中部署信息安全管理平臺能夠提升信息安全事件的處理水平。因為大量的安全事件通過安全管理平臺的過濾、歸并和排序后,降低到了一個人工能夠處理的數量級,從而極大的減輕了系統管理人員的工作量。另外,系統提供的向下挖掘機制還能夠保證系統管理人員可以看見最原始的信息,從而不會錯過任何重要信息。同時,系統自帶的統一的專家知識庫能夠幫助系統管理人員正確的處理事件,降低了安全技術門檻,從而使非專業人員也可以處理專業的安全事件。
其次,安全管理平臺采用了先進的可視化技術,用圖形化的方法表示量化后的風險,讓系統管理人員在最短的時間內感知到風險的程度。這是一種實時性的風險感知,大大強于傳統安全服務中所涉及的靜態風險評估(Risk Snapshot)。
綜上所述,信息安全管理平臺具有簡便性和實時性的特點,提高了信息安全管理的可控性。
