摘要:本文结合交通运输电子政务的安全问题,论述了我国交通运输电子政务平台面临的矛盾,从信息安全保障的基本要求出发,总结出从组织体系、技术体系、运营体系、策略体系和保障对象体系等五个安全体系构建交通运输电子政务信息安全保障体系的解决方案。
关键词:交通运输;安全保障;解决方案
引言
电子政务信息安全问题 电子政务是一个基于现代信息技术的综合性政务信息系统,涉及政府机关、各团体、企业和社会公众,其基本框架一般来说主要包括政府办公政务网、办公政务资源网、公众信息网和办公政务信息资源数据库四个部分,即“三网一库”。我国早在2002年7月《关于我国电子政务建设指导意见》中,明确“把电子政务建设作为今后一个时期我国信息化工作的重点,政府先行,带动国民经济和社会发展信息化”,2006年进一步在《2006-2020年国家信息化发展战略》中明确“电子政务”作为我国信息化发展的重点战略,实现政府“改善公共服务,加强社会管理,强化综合监管和完善宏观调控”。
1.我国交通运输电子政务平台发展现
2004年2月,交通部在其制定的《中国交通电子政务建设总体方案》中,提出了“交通政务内网、交通政务外网和电子信息资源库”的交通电子政务建设总体架构,同年12月又出台了《交通运输电子政务网络及业务应用系统建设技术指南(试行)》。在政策的指导下,我国交通电子政务平台的发展速度加快,交通电子政务平台的基础架构已经凸显规模,部(交通运输部)省(各省道路运输管理部门)道路运输管理信息系统建设,已实现了20多个省(区、市)运政系统与部联网,纵向业务系统互联互通、资源共享、整合利用的模式已初步建立。与此同时,交通电子政务平台的信息化标准规范体系也得到进一步完善。目前,网络“开放性”与政务“安全性”、网络“可访问性”与政务“稳定性”是我国交通电子政务实施过程的两大矛盾。
1.1安全性与开放性的矛盾
即电子政务的安全要求与电子政务平台的开放性要求成为交通电子政务实施过程中最难以平衡的一对矛盾。如何把握政务“安全”与网络“开放”的平衡,一方面要把握住哪些信息是交通政府部门的机密,哪些是开放;另一方面,在电子政务平台的建设过程中如何摆脱“安全绝对化”倾向,否则电子政务服务的公众性就会失去落脚点,以政务信息化带动社会信息化、企业信息化的战略意图也将难以实现。
1.2安全性与可访问性的矛盾
电子政务的安全性要求与电子政务平台的可访问性要求成为交通电子政务实施过程中另一对矛盾。电子政务平台应重视其信息安全问题,其另一层含义还应注意保持网络安全性与可访问性之间的平衡。交通电子政务平台必须易于访问,这样才能激励公众去使用它。而在提供了更好的可访问性的同时,也将交通运输的数据暴露在不断增长的病毒及未授权访问的威胁之下,导致政务平台的不安全性。
2.我国交通运输电子信息安全保障体系的构建
当前我国交通电子政务实施过程的两大矛盾的解决,依赖于安全、稳定、可靠的交通运输电子政务平台信息安全保障体系。对于电子政务平台实施过程中所面临的信息安全保障问题,我国早在2003年9月颁发的《关于加强信息安全保障工作的意见》中明确提出了建立等级保护制度和风险管理体系的要求。2004年11月,公安部等国家四部委联合推出信息安全等级保护要求、测评准则和实施指南,为政务领域进一步建立政务信息系统风险管理体系提供了技术基础和指导。交通运输部也于2008年12月颁布的《交通运输电子政务网络及业务应用系统建设技术指南》中对交通电子政务平台的安全保障体系作了详细的技术规范。
2.1信息安全保障体系及其基本要求。信息安全保障体系的基本要求主要体现在以下几个方面:
保密性。主要体现在谁能拥有信息,如何保证秘密和敏感信息仅为授权者享有。
完整性。主要体现在拥有的信息是否正确以及如何保证信息从真实的信源发往真实的信宿,传输、存储、处理中未被删改、增添、替换。
可用性。主要体现在信息和信息系统是否能够使用以及如何保证信息和信息系统随时可为授权者提供服务而不被非授权者滥用。
可控性。主要体现在是否能够监控管理信息和系统以及如何保证信息和信息系统的授权认证和监控管理。
不可否认性。主要体现在信息行为人为信息行为承担责任,保证信息行为人不能否认其信息行为。
2.2安全组织体系。政府高度重视交通运输信息化工作的同时,坚持把“积极防御,综合防范”放在优先位置,首先要求成立专门的信息安全领导小组。信息安全领导小组可由交通主管领导担任领导小组组长主管信息安全工作,下设信息安全工作组,各管理部门负责人、业务部门负责人为成员。
2.3 安全技术体系。交通电子政务平台的安全技术体系可搭建专业的安全管理运营中心,并从基础设施安全和应用安全两个方面去搭建安全技术支撑体系。
2.4安全运营体系。安全运营体系是一个完整的过程体系,在交通电子政务平台的整个过程中,正常的运作流程,其信息流遵循自上而下的流程,即交通上级部门根据电子政务平台信息安全需求的目标、规划和控制要求做计划,下级交通部门根据计划进行执行、检查和改进。而若交通电子政务平台其安全性出现威胁,影响正常的运作流程时,此时信息流则遵循自下而上的逆向过程,下级交通部门向上级部门报送安全事件,上级部门根据其安全事件进行分析、总结和改进。
2.5 安全策略体系。网络安全策略是为了保护网络不受来自网络内外的各种危害而采取的防范措施的总和,因此信息安全策略是信息安全保障体系建设和实施的指导和依据,全面科学的安全策略体系应贯穿信息安全保障体系建设的始终。安全策略体系,主要包含安全政策体系、安全组织体系、安全技术体系和安全运行体系四个方面的要素,在采用各种安全技术控制措施的同时,必须制订层次化的安全策略,完善安全管理组织机构和人员配备,提高安全管理人员的安全意识和技术水平,完善各种安全策略和安全机制,利用多种安全技术实施和网络安全管理实现对网络的多层保护。
2.6安全保障对象。交通电子政务平台,其保障对象应该以由交通运输政务内网所承担着涉密的政务信息传输作为其重中之重,包括交通运输系统内部日常办公业务和公文流转系统、涉密政务信息报送系统、部长办公系统、内部数据共享平台,与全国政府系统业务网络连接等。
3.结论
信息安全保障体系建设是交通电子政务建设不可缺少的重要组成部分。由于交通电子政务信息系统承载着大量事关国家政治安全、经济安全、交通安全和社会稳定的重要数据和信息,网络与信息安全不仅关系到交通电子政务的健康发展,还成为服务型政府形象的重要窗口,更成为国家安全保障体系的重要组成部分。一个完整的交通电子政务信息安全保障体系,应在保证电子政务信息的保密性、完整性、可用性、可控性和不可否认性的前提下,坚持把“积极防御,综合防范”的应对策略,按照“重点突破、自上而下、资源共享、统一规划、分布实施”的原则,从组织体系、技术体系、运营体系、策略体系和保障对象体系等五个安全体系建设我国的交通电子政务信息安全保障体系,只有具备安全保障体系的电子政务信息系统,才是真正意义上的电子政务。