电子政务是一个基于网络技术的综合性信息系统,涉及政府机关、各团体、企业和社会公众,主要包括机关办公政务网、办公政务资源网、公众信息网和办公政务信息资源数据库四个部分,简称“三网一库”。作为政府的信息主管部门,其安全职责是保护政务信息资源价值不受侵犯,保证信息资产的拥有者面临最小的风险,从而使政务的信息基础设施、信息应用服务和信息内容具有保密性、完整性、可用性,能够抵御各种威胁。同时在信息安全管理上保持良好的可控性,即信息安全管理的目标是要确保对全局的掌控,而不仅限于对局部系统的了解,确保整个体系的保密性、完整性和可用性;对于安全问题、事件的检测要能够汇总和综合到中央监控体系,实现全面支撑信息安全运营管理的目标。
电子政务信息安全管理面临的问题与挑战
随着电子政务信息化的不断发展,电子政务对于信息系统的依赖性越来越强,新涌现出来的信息安全问题成为政府信息主管部门关注的焦点。而政务系统作为关系国计民生的重要部分,在信息安全方面也面临着严峻的挑战。
首先,由于电子政务信息系统不断走向开放,从原先的专有系统演变成为今天依赖的通用操作系统。绝大多数政务系统是通过基于TCP/IP协议的互联网提供政务服务的,而互联网由于自身安全性不足,给电子政务信息系统带来更为严峻的问题。
其次,随着国际网络大环境的改变,威胁表现出了多样化,多源化的特点。威胁并不是单纯的来自外部,很多情况下也来自内部,所以针对电子政务信息系统应该构建一个立体的、纵深的、全方位的解决方案。而系统的日趋复杂,又为可控性不断提出挑战。
在过去几年中,有很多政府部门对自身的电子政务系统进行了大量的安全建设和投入,但安全建设的主要内容是安全设备的采购。这些设备虽然产生了海量的日志及报警信息,但得到的信息却并没有被很好的利用,许多未被明确的风险,依然保留在信息系统当中。
电子政务信息安全管理的政策要求
中办27号文件中明确提出了建立等级保护制度和风险管理体系的要求。今年初,公安部等国家四部委联合推出信息安全等级保护要求、测评准则和实施指南,为政务领域进一步建立政务信息系统风险管理体系提供了技术基础和指导。
随着政府机构的信息安全基础建设日趋完善,建立一套信息安全管理系统也日益迫切。许多政府部门已经开始通过建立本部门的信息安全管理平台,实现了信息安全管理职能,优化了政府信息主管部门的工作。
信息安全管理平台在电子政务系统中的作用
图1:管理层次模型
信息安全管理平台在信息安全管理中具有十分重要的作用,它位于管理层次模型中人与各安全设备之间,主要由安全信息采集平台和安全风险管理平台两大部分组成,分别为技术层面、管理层面和决策层面提供相应的用户接口。
在技术层面,信息安全管理平台集中管理不同的安全设备,帮助操作者综合分析各个设备产生的报警信息,对重要资产实施完善的管理和等级保护。
在运营层面,信息安全管理平台帮助管理者准确分析现有系统面临的威胁,并排列有限顺序,理顺安全事件的管理流程,制定合理的应急响应流程和规范。
在决策层面,电子政务信息主管可以从政务风险层面理解安全事件,通过对风险进行量化,实现对政务系统的风险监控和管理,同时帮助信息主管计算和跟踪安全投资回报率,便于在后期优化信息安全投资。
启明星辰的泰合安全管理平台
由启明星辰自主研发的信息安全管理平台--泰合安全管理平台(Security Operation Center),是针对传统安全管理方式的一种重大变革。它将不同位置、不同资产(主机、网络设备和安全设备等)中分散且海量的安全信息进行范式化、汇总、过滤和关联分析,形成基于资产/域的统一等级的威胁与风险管理,并依托安全知识库和工作流程驱动,对威胁与风险进行响应和处理。一般安全管理平台系统的根本模型是PDR模型,而泰合安全管理平台就是实现其中的D(Detection,检测)和R(Response,响应),它可以极大限度地提高信息安全的可控性。
泰合安全管理平台由“四个中心、五个功能模块”组成。四个中心分别为漏洞评估中心、运行状况监控中心、事件/流量监控中心、安全预警风险管理中心;五个功能模块为策略管理、资产管理、用户管理、安全知识管理、自身系统维护管理。该安全管理平台具有以下特点:
基于J2EE规范的三层设计,结构灵活,定制能力强;
符合EAL3标准,支持用户的权限划分与审计;
内置可定义工作流,支持应急响应管理;
支持的被管理设备丰富,能够支持常用的安全设备与网络设备,并且可以通过AGENT定制的方式支持新接入设备;
支持设备的报警、日志、状态的集中管理;
支持风险评估与安全域划分,理念先进;
采用多层分布计算的跨平台设计,有效的降低了本平台网络带宽的占用,有利于未来扩展和支持大规模网络的实施;
可视化效果强,支持丰富报表、实时监控台、GIS地理显示等功能;
能够进行安全文档的层次化管理;
优化程序设计,处理能力强。单中心能够同时支持50台以上设备的管理,每秒处理的报警数量在2000条以上;
支持多级部署;
图2:泰合安全管理平台体系结构图
信息安全管理平台的实施效果
信息安全管理平台的实施为电子政务系统提供了安全保障。
首先,在电子政务系统中部署信息安全管理平台能够提升信息安全事件的处理水平。因为大量的安全事件通过安全管理平台的过滤、归并和排序后,降低到了一个人工能够处理的数量级,从而极大的减轻了系统管理人员的工作量。另外,系统提供的向下挖掘机制还能够保证系统管理人员可以看见最原始的信息,从而不会错过任何重要信息。同时,系统自带的统一的专家知识库能够帮助系统管理人员正确的处理事件,降低了安全技术门槛,从而使非专业人员也可以处理专业的安全事件。
其次,安全管理平台采用了先进的可视化技术,用图形化的方法表示量化后的风险,让系统管理人员在最短的时间内感知到风险的程度。这是一种实时性的风险感知,大大强于传统安全服务中所涉及的静态风险评估(Risk Snapshot)。
综上所述,信息安全管理平台具有简便性和实时性的特点,提高了信息安全管理的可控性。