淺談我國(guó)交通運(yùn)輸電子政務(wù)信息安全保障體系的構(gòu)建

1、<p>　　淺談我國(guó)交通運(yùn)輸電子政務(wù)信息安全保障體系的構(gòu)建</p><p>　　摘要：信息技術(shù)的發(fā)展越來(lái)越深刻地影響著我國(guó)電子政務(wù)的發(fā)展。本文結(jié)合交通運(yùn)輸電子政務(wù)的安全需求，分析了我國(guó)交通運(yùn)輸電子政務(wù)平臺(tái)的發(fā)展現(xiàn)狀及其面臨的矛盾，從信息安全保障體系的基本要求出發(fā)，給出了從組織體系、技術(shù)體系、運(yùn)營(yíng)體系、策略體系和保障對(duì)象體系等五個(gè)安全體系構(gòu)建交通運(yùn)輸電子政務(wù)信息安全保障體系的解決方案。 </p>

2、;<p>　　關(guān)鍵詞：交通運(yùn)輸；電子政務(wù)；信息化；安全保障體系 </p><p>　　0引言：電子政務(wù)信息安全問(wèn)題 </p><p>　　電子政務(wù)是一個(gè)基于現(xiàn)代信息技術(shù)的綜合性政務(wù)信息系統(tǒng)，涉及政府機(jī)關(guān)、各團(tuán)體、企業(yè)和社會(huì)公眾，其基本框架一般來(lái)說(shuō)主要包括政府辦公政務(wù)網(wǎng)、辦公政務(wù)資源網(wǎng)、公眾信息網(wǎng)和辦公政務(wù)信息資源數(shù)據(jù)庫(kù)四個(gè)部分，即“三網(wǎng)一庫(kù)”。我國(guó)早在2002年7月《關(guān)于我國(guó)

3、電子政務(wù)建設(shè)指導(dǎo)意見(jiàn)》中，明確“把電子政務(wù)建設(shè)作為今后一個(gè)時(shí)期我國(guó)信息化工作的重點(diǎn)，政府先行，帶動(dòng)國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展信息化”，2006年進(jìn)一步在《2006-2020年國(guó)家信息化發(fā)展戰(zhàn)略》中明確“電子政務(wù)”作為我國(guó)信息化發(fā)展的重點(diǎn)戰(zhàn)略，實(shí)現(xiàn)政府“改善公共服務(wù)，加強(qiáng)社會(huì)管理，強(qiáng)化綜合監(jiān)管和完善宏觀調(diào)控”。電子政務(wù)上升到國(guó)家信息化的發(fā)展戰(zhàn)略，其帶給政府的意義在于不斷促使政府公共服務(wù)創(chuàng)新，建設(shè)服務(wù)型政府。 </p><p&g

4、t;　　而隨著政府電子政務(wù)信息化的不斷發(fā)展，電子政務(wù)對(duì)于信息系統(tǒng)的依賴性越來(lái)越強(qiáng)，不斷涌現(xiàn)出來(lái)的信息安全問(wèn)題成為政府信息主管部門關(guān)注的焦點(diǎn)。據(jù)CNCERT/CC監(jiān)測(cè)顯示， 2010年中國(guó)大陸有近3.5萬(wàn)個(gè)網(wǎng)站被黑客篡改，數(shù)量較2009年下降21.5%，但其中被篡改的政府網(wǎng)站高達(dá)4635個(gè)，比2009年上升67.6%。政府網(wǎng)站及其政務(wù)平臺(tái)安全防護(hù)的薄弱性，不僅影響了政府形象和電子政務(wù)工作的開(kāi)展，還給不法分子發(fā)布虛假信息或植入網(wǎng)頁(yè)木馬以可乘

5、之機(jī)。因此，政府信息化主管部門如何在其信息化過(guò)程中，既能創(chuàng)新政府公務(wù)服務(wù)實(shí)現(xiàn)服務(wù)性政府職能，又能保障其電子政務(wù)平臺(tái)的信息安全，保護(hù)其政務(wù)信息資源價(jià)值不受侵犯，保證信息資產(chǎn)的擁有者面臨最小的風(fēng)險(xiǎn)，保障政務(wù)平臺(tái)的信息基礎(chǔ)設(shè)施、信息應(yīng)用服務(wù)和信息內(nèi)容具有機(jī)密性、完整性、不可修改性、可用性，能夠抵御各種威脅，并在信息安全管理上保持良好的可控性，已成為政府在建設(shè)其電子政務(wù)平臺(tái)過(guò)程中的重要課題。 </p><p>　　本文將

6、結(jié)合交通運(yùn)輸電子政務(wù)平臺(tái)，分析其信息安全保障體系建設(shè)的基本要求和構(gòu)建框架。 </p><p>　　1我國(guó)交通運(yùn)輸電子政務(wù)平臺(tái)的發(fā)展現(xiàn)狀及面臨的矛盾 </p><p>　　2004年2月，交通部在其制定的《中國(guó)交通電子政務(wù)建設(shè)總體方案》中，提出了“交通政務(wù)內(nèi)網(wǎng)、交通政務(wù)外網(wǎng)和電子信息資源庫(kù)”的交通電子政務(wù)建設(shè)總體架構(gòu)。為進(jìn)一步規(guī)范交通電子政務(wù)的建設(shè)，交通部于2008年12月出臺(tái)了《交通運(yùn)輸電

7、子政務(wù)網(wǎng)絡(luò)及業(yè)務(wù)應(yīng)用系統(tǒng)建設(shè)技術(shù)指南（試行）》。在政策的指導(dǎo)下，我國(guó)交通電子政務(wù)平臺(tái)的發(fā)展速度加快，交通電子政務(wù)平臺(tái)的基礎(chǔ)架構(gòu)已經(jīng)凸顯規(guī)模，部（交通運(yùn)輸部）?。ǜ魇〉缆愤\(yùn)輸管理部門）道路運(yùn)輸管理信息系統(tǒng)建設(shè)，已實(shí)現(xiàn)了20多個(gè)?。▍^(qū)、市）運(yùn)政系統(tǒng)與部聯(lián)網(wǎng)，縱向業(yè)務(wù)系統(tǒng)互聯(lián)互通、資源共享、整合利用的模式已初步建立。與此同時(shí)，交通電子政務(wù)平臺(tái)的信息化標(biāo)準(zhǔn)規(guī)范體系也得到進(jìn)一步完善。交通部先后制訂頒布了覆蓋公路、水路交通行業(yè)主要業(yè)務(wù)領(lǐng)域的公路、港

8、口、航道、船舶、道路運(yùn)輸、水路運(yùn)輸、船員、建設(shè)項(xiàng)目、交通統(tǒng)計(jì)、船舶檢驗(yàn)、船載客貨、收費(fèi)公路等10多項(xiàng)交通信息基礎(chǔ)數(shù)據(jù)元標(biāo)準(zhǔn)，頒布了公路水路交通信息資源業(yè)務(wù)分類和元數(shù)據(jù)標(biāo)準(zhǔn)以及道路運(yùn)輸管理與服務(wù)系統(tǒng)技術(shù)要求和接口規(guī)范等標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)的出臺(tái)對(duì)于規(guī)范行業(yè)信息化發(fā)展，推動(dòng)交通電子政務(wù)建設(shè)，促進(jìn)交通信息資源整合發(fā)揮重要的支撐保障作用。 </p><p>　　在我國(guó)交通電子政務(wù)的信息化進(jìn)程中，實(shí)現(xiàn)部、省交通部門辦公自動(dòng)化、電

9、子化、網(wǎng)絡(luò)化；實(shí)現(xiàn)信息網(wǎng)絡(luò)寬帶化，網(wǎng)絡(luò)間實(shí)現(xiàn)高速互聯(lián)互通；建立交通信息資源數(shù)據(jù)庫(kù)，整合、開(kāi)發(fā)信息資源，形成面向社會(huì)的政府公眾信息服務(wù)網(wǎng)等信息化建設(shè)，是交通電子政務(wù)建設(shè)的重點(diǎn)，這些重點(diǎn)建設(shè)內(nèi)容均與信息技術(shù)相關(guān)，離不開(kāi)網(wǎng)絡(luò)的支撐。網(wǎng)絡(luò)的“開(kāi)放性”與政務(wù)的“安全性”、網(wǎng)絡(luò)的“可訪問(wèn)性”與政務(wù)的“穩(wěn)定性”成為當(dāng)前我國(guó)交通電子政務(wù)實(shí)施過(guò)程的兩大矛盾。 </p><p>　　1.1平臺(tái)的安全性與開(kāi)放性之間的矛盾 </p

10、><p>　　即電子政務(wù)的安全要求與電子政務(wù)平臺(tái)的開(kāi)放性要求成為交通電子政務(wù)實(shí)施過(guò)程中最難以平衡的一對(duì)矛盾。如何把握政務(wù)“安全”與網(wǎng)絡(luò)“開(kāi)放”的平衡,一方面要把握住哪些信息是交通政府部門的機(jī)密，哪些是開(kāi)放；另一方面，在電子政務(wù)平臺(tái)的建設(shè)過(guò)程中如何擺脫“安全絕對(duì)化”傾向，否則電子政務(wù)服務(wù)的公眾性就會(huì)失去落腳點(diǎn)，以政務(wù)信息化帶動(dòng)社會(huì)信息化、企業(yè)信息化的戰(zhàn)略意圖也將難以實(shí)現(xiàn)。 </p><p>　　

11、1.2平臺(tái)的安全性與可訪問(wèn)性之間的矛盾 </p><p>　　電子政務(wù)的安全性要求與電子政務(wù)平臺(tái)的可訪問(wèn)性要求成為交通電子政務(wù)實(shí)施過(guò)程中另一對(duì)矛盾。電子政務(wù)平臺(tái)應(yīng)重視其信息安全問(wèn)題，其另一層含義還應(yīng)注意保持網(wǎng)絡(luò)安全性與可訪問(wèn)性之間的平衡。交通電子政務(wù)平臺(tái)必須易于訪問(wèn)，這樣才能激勵(lì)公眾去使用它。而在提供了更好的可訪問(wèn)性的同時(shí)，也將交通運(yùn)輸?shù)臄?shù)據(jù)暴露在不斷增長(zhǎng)的病毒及未授權(quán)訪問(wèn)的威脅之下，導(dǎo)致政務(wù)平臺(tái)的不安全性。 &

12、lt;/p><p>　　2我國(guó)交通運(yùn)輸電子政務(wù)平臺(tái)信息安全保障體系的構(gòu)建 </p><p>　　當(dāng)前我國(guó)交通電子政務(wù)實(shí)施過(guò)程的兩大矛盾的解決，依賴于安全、穩(wěn)定、可靠的交通運(yùn)輸電子政務(wù)平臺(tái)信息安全保障體系。對(duì)于電子政務(wù)平臺(tái)實(shí)施過(guò)程中所面臨的信息安全保障問(wèn)題，我國(guó)早在2003年9月頒發(fā)的《關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》中明確提出了建立等級(jí)保護(hù)制度和風(fēng)險(xiǎn)管理體系的要求。2004年11月，公安部等國(guó)

13、家四部委聯(lián)合推出信息安全等級(jí)保護(hù)要求、測(cè)評(píng)準(zhǔn)則和實(shí)施指南，為政務(wù)領(lǐng)域進(jìn)一步建立政務(wù)信息系統(tǒng)風(fēng)險(xiǎn)管理體系提供了技術(shù)基礎(chǔ)和指導(dǎo)。交通運(yùn)輸部也于2008年12月頒布的《交通運(yùn)輸電子政務(wù)網(wǎng)絡(luò)及業(yè)務(wù)應(yīng)用系統(tǒng)建設(shè)技術(shù)指南》中對(duì)交通電子政務(wù)平臺(tái)的安全保障體系作了詳細(xì)的技術(shù)規(guī)范。 </p><p>　　隨著交通政府機(jī)構(gòu)的信息安全基礎(chǔ)建設(shè)日趨完善，建立一套信息安全管理平臺(tái)，既滿足電子政務(wù)平臺(tái)的開(kāi)放性和可訪問(wèn)性，又保證電子政務(wù)平臺(tái)的

14、安全性，也日益迫切。交通電子政務(wù)信息安全保障體系可從以下幾個(gè)角度進(jìn)行充分構(gòu)建： </p><p>　　2.1信息安全保障體系及其基本要求 </p><p>　　信息安全保障體系是基于PKI體系而開(kāi)發(fā)的為多個(gè)應(yīng)用系統(tǒng)提供統(tǒng)一認(rèn)證、訪問(wèn)控制、應(yīng)用審計(jì)和遠(yuǎn)程接入的應(yīng)用安全網(wǎng)關(guān)系統(tǒng)，它可以將不同地理位置、不同基礎(chǔ)設(shè)施（主機(jī)、網(wǎng)絡(luò)設(shè)備和安全設(shè)備等）中分散且海量的安全信息進(jìn)行樣式化、匯總、過(guò)濾和關(guān)聯(lián)分

15、析，形成基于基礎(chǔ)設(shè)施與域的統(tǒng)一等級(jí)的威脅與風(fēng)險(xiǎn)管理，并依托安全知識(shí)庫(kù)和工作流程驅(qū)動(dòng)，對(duì)威脅與風(fēng)險(xiǎn)進(jìn)行響應(yīng)和處理。信息安全保障體系的基本要求主要體現(xiàn)在以下幾個(gè)方面： </p><p><b>　　1）保密性 </b></p><p>　　主要體現(xiàn)在誰(shuí)能擁有信息，如何保證秘密和敏感信息僅為授權(quán)者享有。 </p><p><b>　　2）完

16、整性 </b></p><p>　　主要體現(xiàn)在擁有的信息是否正確以及如何保證信息從真實(shí)的信源發(fā)往真實(shí)的信宿，傳輸、存儲(chǔ)、處理中未被刪改、增添、替換。 </p><p><b>　　3）可用性 </b></p><p>　　主要體現(xiàn)在信息和信息系統(tǒng)是否能夠使用以及如何保證信息和信息系統(tǒng)隨時(shí)可為授權(quán)者提供服務(wù)而不被非授權(quán)者濫用。 <

17、;/p><p><b>　　4）可控性 </b></p><p>　　主要體現(xiàn)在是否能夠監(jiān)控管理信息和系統(tǒng)以及如何保證信息和信息系統(tǒng)的授權(quán)認(rèn)證和監(jiān)控管理。 　5）不可否認(rèn)性 </p><p>　　主要體現(xiàn)在信息行為人為信息行為承擔(dān)責(zé)任，保證信息行為人不能否認(rèn)其信息行為。 </p><p>　　總之，信息安全保障體系的基本要求

18、主要從技術(shù)和管理兩個(gè)層面得以實(shí)現(xiàn)。技術(shù)層面在實(shí)現(xiàn)信息資源的公開(kāi)性、共享性和可訪問(wèn)性的同時(shí)，通過(guò)主機(jī)安全、網(wǎng)絡(luò)安全、物理安全、數(shù)據(jù)安全和應(yīng)用安全等技術(shù)要素保障信息的安全性。管理層面則可通過(guò)安全管理機(jī)制、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理以及系統(tǒng)運(yùn)營(yíng)管理等規(guī)范化機(jī)制得以保障信息的安全性。信息安全保障體系的基本要求如下圖所示： </p><p>　　圖1 信息安全保障體系的基本要求 </p><

19、;p>　　2.2交通電子政務(wù)平臺(tái)信息安全保障體系的構(gòu)建 </p><p>　　交通電子政務(wù)平臺(tái)的信息安全保障體系，應(yīng)該由組織體系、技術(shù)體系、運(yùn)營(yíng)體系、策略體系和保障對(duì)象體系等共同組成。以安徽省交通電子政務(wù)平臺(tái)為例，進(jìn)行構(gòu)建交通電子政務(wù)平臺(tái)的信息安全保障體系。 </p><p>　　2.2.1 安全組織體系 </p><p>　　政府高度重視交通運(yùn)輸信息化工作的

20、同時(shí)，堅(jiān)持把“積極防御，綜合防范”放在優(yōu)先位置，首先要求成立專門的信息安全領(lǐng)導(dǎo)小組。信息安全領(lǐng)導(dǎo)小組可由交通主管領(lǐng)導(dǎo)擔(dān)任領(lǐng)導(dǎo)小組組長(zhǎng)主管信息安全工作，下設(shè)信息安全工作組，各管理部門負(fù)責(zé)人、業(yè)務(wù)部門負(fù)責(zé)人為成員。 </p><p>　　2.2.2 安全技術(shù)體系 </p><p>　　交通電子政務(wù)平臺(tái)的安全技術(shù)體系可搭建專業(yè)的安全管理運(yùn)營(yíng)中心，并從基礎(chǔ)設(shè)施安全和應(yīng)用安全兩個(gè)方面去搭建安全技術(shù)支

21、撐體系。 </p><p>　　2.2.3 安全運(yùn)營(yíng)體系 </p><p>　　交通電子政務(wù)的安全運(yùn)營(yíng)體系一般可由安全體系推廣與落實(shí)、項(xiàng)目建設(shè)的安全管理、安全風(fēng)險(xiǎn)管理與控制和日常安全運(yùn)行與維護(hù)四個(gè)部分組成。安全運(yùn)營(yíng)體系是一個(gè)完整的過(guò)程體系，在交通電子政務(wù)平臺(tái)的整個(gè)過(guò)程中，正常的運(yùn)作流程，其信息流遵循自上而下的流程，即交通上級(jí)部門根據(jù)電子政務(wù)平臺(tái)信息安全需求的目標(biāo)、規(guī)劃和控制要求做計(jì)劃，下級(jí)

22、交通部門根據(jù)計(jì)劃進(jìn)行執(zhí)行、檢查和改進(jìn)。而若交通電子政務(wù)平臺(tái)其安全性出現(xiàn)威脅，影響正常的運(yùn)作流程時(shí)，此時(shí)信息流則遵循自下而上的逆向過(guò)程，下級(jí)交通部門向上級(jí)部門報(bào)送安全事件，上級(jí)部門根據(jù)其安全事件進(jìn)行分析、總結(jié)和改進(jìn)。 </p><p>　　2.2.4 安全策略體系 </p><p>　　網(wǎng)絡(luò)安全策略是為了保護(hù)網(wǎng)絡(luò)不受來(lái)自網(wǎng)絡(luò)內(nèi)外的各種危害而采取的防范措施的總和，因此信息安全策略是信息安全保障

23、體系建設(shè)和實(shí)施的指導(dǎo)和依據(jù)，全面科學(xué)的安全策略體系應(yīng)貫穿信息安全保障體系建設(shè)的始終。安全策略體系，主要包含安全政策體系、安全組織體系、安全技術(shù)體系和安全運(yùn)行體系四個(gè)方面的要素，在采用各種安全技術(shù)控制措施的同時(shí)，必須制訂層次化的安全策略，完善安全管理組織機(jī)構(gòu)和人員配備，提高安全管理人員的安全意識(shí)和技術(shù)水平，完善各種安全策略和安全機(jī)制，利用多種安全技術(shù)實(shí)施和網(wǎng)絡(luò)安全管理實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的多層保護(hù)，減小網(wǎng)絡(luò)受到攻擊的可能性，防范網(wǎng)絡(luò)安全事件的發(fā)生，

24、提高對(duì)安全事件的反應(yīng)處理能力，并在網(wǎng)絡(luò)安全事件發(fā)生時(shí)盡量減少事件造成的損失。 </p><p>　　圖4 安全策略體系 </p><p>　　2.2.5 安全保障對(duì)象體系 </p><p>　　交通電子政務(wù)平臺(tái)，其保障對(duì)象應(yīng)該以由交通運(yùn)輸政務(wù)內(nèi)網(wǎng)所承擔(dān)著涉密的政務(wù)信息傳輸作為其重中之重，包括交通運(yùn)輸系統(tǒng)內(nèi)部日常辦公業(yè)務(wù)和公文流轉(zhuǎn)系統(tǒng)、涉密政務(wù)信息報(bào)送系統(tǒng)、部長(zhǎng)辦公系

25、統(tǒng)、內(nèi)部數(shù)據(jù)共享平臺(tái)，與全國(guó)政府系統(tǒng)業(yè)務(wù)網(wǎng)絡(luò)連接等。 </p><p>　　圖5 交通運(yùn)輸電子政務(wù)安全保障對(duì)象體系 </p><p><b>　　3結(jié)論 </b></p><p>　　信息安全保障體系建設(shè)是交通電子政務(wù)建設(shè)不可缺少的重要組成部分。由于交通電子政務(wù)信息系統(tǒng)承載著大量事關(guān)國(guó)家政治安全、經(jīng)濟(jì)安全、交通安全和社會(huì)穩(wěn)定的重要數(shù)據(jù)和信息，網(wǎng)

26、絡(luò)與信息安全不僅關(guān)系到交通電子政務(wù)的健康發(fā)展，還成為服務(wù)型政府形象的重要窗口，更成為國(guó)家安全保障體系的重要組成部分。一個(gè)完整的交通電子政務(wù)信息安全保障體系，應(yīng)在保證電子政務(wù)信息的保密性、完整性、可用性、可控性和不可否認(rèn)性的前提下，堅(jiān)持把“積極防御，綜合防范”的應(yīng)對(duì)策略，按照“重點(diǎn)突破、自上而下、資源共享、統(tǒng)一規(guī)劃、分布實(shí)施”的原則，從組織體系、技術(shù)體系、運(yùn)營(yíng)體系、策略體系和保障對(duì)象體系等五個(gè)安全體系建設(shè)我國(guó)的交通電子政務(wù)信息安全保障體系