關(guān)于我國交通運輸電子政務(wù)信息安全保障體系的構建

摘要：信息技術(shù)的發(fā)展越來(lái)越深刻地影響著(zhù)我國電子政務(wù)的發(fā)展。本文結合交通運輸電子政務(wù)的安全需求，分析了我國交通運輸電子政務(wù)平臺的發(fā)展現狀及其面臨的矛盾，從信息安全保障體系的基本要求出發(fā)，給出了從組織體系、技術(shù)體系、運營(yíng)體系、策略體系和保障對象體系等五個(gè)安全體系構建交通運輸電子政務(wù)信息安全保障體系的解決方案。

關(guān)鍵詞：交通運輸；電子政務(wù)；信息化；安全保障體系

0引言：電子政務(wù)信息安全問(wèn)題

電子政務(wù)是一個(gè)基于現代信息技術(shù)的綜合性政務(wù)信息系統，涉及政府機關(guān)、各團體、企業(yè)和社會(huì )公眾，其基本框架一般來(lái)說(shuō)主要包括政府辦公政務(wù)網(wǎng)、辦公政務(wù)資源網(wǎng)、公眾信息網(wǎng)和辦公政務(wù)信息資源數據庫四個(gè)部分，即“三網(wǎng)一庫”。我國早在2002年7月《關(guān)于我國電子政務(wù)建設指導意見(jiàn)》中，明確“把電子政務(wù)建設作為今后一個(gè)時(shí)期我國信息化工作的重點(diǎn)，政府先行，帶動(dòng)國民經(jīng)濟和社會(huì )發(fā)展信息化”，2006年進(jìn)一步在《2006-2020年國家信息化發(fā)展戰略》中明確“電子政務(wù)”作為我國信息化發(fā)展的重點(diǎn)戰略，實(shí)現政府“改善公共服務(wù)，加強社會(huì )管理，強化綜合監管和完善宏觀(guān)調控”。電子政務(wù)上升到國家信息化的發(fā)展戰略，其帶給政府的意義在于不斷促使政府公共服務(wù)創(chuàng )新，建設服務(wù)型政府。

而隨著(zhù)政府電子政務(wù)信息化的不斷發(fā)展，電子政務(wù)對于信息系統的依賴(lài)性越來(lái)越強，不斷涌現出來(lái)的信息安全問(wèn)題成為政府信息主管部門(mén)關(guān)注的焦點(diǎn)。據CNCERT/CC監測顯示， 2010年中國大陸有近3.5萬(wàn)個(gè)網(wǎng)站被黑客篡改，數量較2009年下降21.5%，但其中被篡改的政府網(wǎng)站高達4635個(gè)，比2009年上升67.6%。政府網(wǎng)站及其政務(wù)平臺安全防護的薄弱性，不僅影響了政府形象和電子政務(wù)工作的開(kāi)展，還給不法分子發(fā)布虛假信息或植入網(wǎng)頁(yè)木馬以可乘之機。因此，政府信息化主管部門(mén)如何在其信息化過(guò)程中，既能創(chuàng )新政府公務(wù)服務(wù)實(shí)現服務(wù)性政府職能，又能保障其電子政務(wù)平臺的信息安全，保護其政務(wù)信息資源價(jià)值不受侵犯，保證信息資產(chǎn)的擁有者面臨最小的風(fēng)險，保障政務(wù)平臺的信息基礎設施、信息應用服務(wù)和信息內容具有機密性、完整性、不可修改性、可用性，能夠抵御各種威脅，并在信息安全管理上保持良好的可控性，已成為政府在建設其電子政務(wù)平臺過(guò)程中的重要課題。

本文將結合交通運輸電子政務(wù)平臺，分析其信息安全保障體系建設的基本要求和構建框架。

1我國交通運輸電子政務(wù)平臺的發(fā)展現狀及面臨的矛盾

2004年2月，交通部在其制定的《中國交通電子政務(wù)建設總體方案》中，提出了“交通政務(wù)內網(wǎng)、交通政務(wù)外網(wǎng)和電子信息資源庫”的交通電子政務(wù)建設總體架構。為進(jìn)一步規范交通電子政務(wù)的建設，交通部于2008年12月出臺了《交通運輸電子政務(wù)網(wǎng)絡(luò )及業(yè)務(wù)應用系統建設技術(shù)指南（試行）》。在政策的指導下，我國交通電子政務(wù)平臺的發(fā)展速度加快，交通電子政務(wù)平臺的基礎架構已經(jīng)凸顯規模，部（交通運輸部）?。ǜ魇〉缆愤\輸管理部門(mén)）道路運輸管理信息系統建設，已實(shí)現了20多個(gè)?。▍^、市）運政系統與部聯(lián)網(wǎng)，縱向業(yè)務(wù)系統互聯(lián)互通、資源共享、整合利用的模式已初步建立。與此同時(shí)，交通電子政務(wù)平臺的信息化標準規范體系也得到進(jìn)一步完善。交通部先后制訂頒布了覆蓋公路、水路交通行業(yè)主要業(yè)務(wù)領(lǐng)域的公路、港口、航道、船舶、道路運輸、水路運輸、船員、建設項目、交通統計、船舶檢驗、船載客貨、收費公路等10多項交通信息基礎數據元標準，頒布了公路水路交通信息資源業(yè)務(wù)分類(lèi)和元數據標準以及道路運輸管理與服務(wù)系統技術(shù)要求和接口規范等標準。這些標準的出臺對于規范行業(yè)信息化發(fā)展，推動(dòng)交通電子政務(wù)建設，促進(jìn)交通信息資源整合發(fā)揮重要的支撐保障作用。

在我國交通電子政務(wù)的信息化進(jìn)程中，實(shí)現部、省交通部門(mén)辦公自動(dòng)化、電子化、網(wǎng)絡(luò )化；實(shí)現信息網(wǎng)絡(luò )寬帶化，網(wǎng)絡(luò )間實(shí)現高速互聯(lián)互通；建立交通信息資源數據庫，整合、開(kāi)發(fā)信息資源，形成面向社會(huì )的政府公眾信息服務(wù)網(wǎng)等信息化建設，是交通電子政務(wù)建設的重點(diǎn)，這些重點(diǎn)建設內容均與信息技術(shù)相關(guān)，離不開(kāi)網(wǎng)絡(luò )的支撐。網(wǎng)絡(luò )的“開(kāi)放性”與政務(wù)的“安全性”、網(wǎng)絡(luò )的“可訪(fǎng)問(wèn)性”與政務(wù)的“穩定性”成為當前我國交通電子政務(wù)實(shí)施過(guò)程的兩大矛盾。

1.1平臺的安全性與開(kāi)放性之間的矛盾

即電子政務(wù)的安全要求與電子政務(wù)平臺的開(kāi)放性要求成為交通電子政務(wù)實(shí)施過(guò)程中最難以平衡的一對矛盾。如何把握政務(wù)“安全”與網(wǎng)絡(luò )“開(kāi)放”的平衡，一方面要把握住哪些信息是交通政府部門(mén)的機密，哪些是開(kāi)放；另一方面，在電子政務(wù)平臺的建設過(guò)程中如何擺脫“安全絕對化”傾向，否則電子政務(wù)服務(wù)的公眾性就會(huì )失去落腳點(diǎn)，以政務(wù)信息化帶動(dòng)社會(huì )信息化、企業(yè)信息化的戰略意圖也將難以實(shí)現。

1.2平臺的安全性與可訪(fǎng)問(wèn)性之間的矛盾

電子政務(wù)的安全性要求與電子政務(wù)平臺的可訪(fǎng)問(wèn)性要求成為交通電子政務(wù)實(shí)施過(guò)程中另一對矛盾。電子政務(wù)平臺應重視其信息安全問(wèn)題，其另一層含義還應注意保持網(wǎng)絡(luò )安全性與可訪(fǎng)問(wèn)性之間的平衡。交通電子政務(wù)平臺必須易于訪(fǎng)問(wèn)，這樣才能激勵公眾去使用它。而在提供了更好的可訪(fǎng)問(wèn)性的同時(shí)，也將交通運輸的數據暴露在不斷增長(cháng)的病毒及未授權訪(fǎng)問(wèn)的威脅之下，導致政務(wù)平臺的不安全性。

2我國交通運輸電子政務(wù)平臺信息安全保障體系的構建

當前我國交通電子政務(wù)實(shí)施過(guò)程的兩大矛盾的解決，依賴(lài)于安全、穩定、可靠的交通運輸電子政務(wù)平臺信息安全保障體系。對于電子政務(wù)平臺實(shí)施過(guò)程中所面臨的信息安全保障問(wèn)題，我國早在2003年9月頒發(fā)的《關(guān)于加強信息安全保障工作的意見(jiàn)》中明確提出了建立等級保護制度和風(fēng)險管理體系的要求。2004年11月，公安部等國家四部委聯(lián)合推出信息安全等級保護要求、測評準則和實(shí)施指南，為政務(wù)領(lǐng)域進(jìn)一步建立政務(wù)信息系統風(fēng)險管理體系提供了技術(shù)基礎和指導。交通運輸部也于2008年12月頒布的《交通運輸電子政務(wù)網(wǎng)絡(luò )及業(yè)務(wù)應用系統建設技術(shù)指南》中對交通電子政務(wù)平臺的安全保障體系作了詳細的技術(shù)規范。

隨著(zhù)交通政府機構的信息安全基礎建設日趨完善，建立一套信息安全管理平臺，既滿(mǎn)足電子政務(wù)平臺的開(kāi)放性和可訪(fǎng)問(wèn)性，又保證電子政務(wù)平臺的安全性，也日益迫切。交通電子政務(wù)信息安全保障體系可從以下幾個(gè)角度進(jìn)行充分構建：

2.1信息安全保障體系及其基本要求

信息安全保障體系是基于PKI體系而開(kāi)發(fā)的為多個(gè)應用系統提供統一認證、訪(fǎng)問(wèn)控制、應用審計和遠程接入的應用安全網(wǎng)關(guān)系統，它可以將不同地理位置、不同基礎設施（主機、網(wǎng)絡(luò )設備和安全設備等）中分散且海量的安全信息進(jìn)行樣式化、匯總、過(guò)濾和關(guān)聯(lián)分析，形成基于基礎設施與域的統一等級的威脅與風(fēng)險管理，并依托安全知識庫和工作流程驅動(dòng)，對威脅與風(fēng)險進(jìn)行響應和處理。信息安全保障體系的基本要求主要體現在以下幾個(gè)方面：

1）保密性

主要體現在誰(shuí)能擁有信息，如何保證秘密和敏感信息僅為授權者享有。

2）完整性

主要體現在擁有的信息是否正確以及如何保證信息從真實(shí)的信源發(fā)往真實(shí)的信宿，傳輸、存儲、處理中未被刪改、增添、替換。

3）可用性

主要體現在信息和信息系統是否能夠使用以及如何保證信息和信息系統隨時(shí)可為授權者提供服務(wù)而不被非授權者濫用。

4）可控性

主要體現在是否能夠監控管理信息和系統以及如何保證信息和信息系統的授權認證和監控管理。 5）不可否認性

主要體現在信息行為人為信息行為承擔責任，保證信息行為人不能否認其信息行為。 總之，信息安全保障體系的基本要求主要從技術(shù)和管理兩個(gè)層面得以實(shí)現。技術(shù)層面在實(shí)現信息資源的公開(kāi)性、共享性和可訪(fǎng)問(wèn)性的同時(shí)，通過(guò)主機安全、網(wǎng)絡(luò )安全、物理安全、數據安全和應用安全等技術(shù)要素保障信息的安全性。管理層面則可通過(guò)安全管理機制、安全管理制度、人員安全管理、系統建設管理以及系統運營(yíng)管理等規范化機制得以保障信息的安全性。信息安全保障體系的基本要求如下圖所示：

圖1 信息安全保障體系的基本要求

2.2交通電子政務(wù)平臺信息安全保障體系的構建

交通電子政務(wù)平臺的信息安全保障體系，應該由組織體系、技術(shù)體系、運營(yíng)體系、策略體系和保障對象體系等共同組成。以安徽省交通電子政務(wù)平臺為例，進(jìn)行構建交通電子政務(wù)平臺的信息安全保障體系。

2.2.1 安全組織體系

政府高度重視交通運輸信息化工作的同時(shí)，堅持把“積極防御，綜合防范”放在優(yōu)先位置，首先要求成立專(zhuān)門(mén)的信息安全領(lǐng)導小組。信息安全領(lǐng)導小組可由交通主管領(lǐng)導擔任領(lǐng)導小組組長(cháng)主管信息安全工作，下設信息安全工作組，各管理部門(mén)負責人、業(yè)務(wù)部門(mén)負責人為成員。

2.2.2 安全技術(shù)體系

交通電子政務(wù)平臺的安全技術(shù)體系可搭建專(zhuān)業(yè)的安全管理運營(yíng)中心，并從基礎設施安全和應用安全兩個(gè)方面去搭建安全技術(shù)支撐體系。

2.2.3 安全運營(yíng)體系

交通電子政務(wù)的安全運營(yíng)體系一般可由安全體系推廣與落實(shí)、項目建設的安全管理、安全風(fēng)險管理與控制和日常安全運行與維護四個(gè)部分組成。安全運營(yíng)體系是一個(gè)完整的過(guò)程體系，在交通電子政務(wù)平臺的整個(gè)過(guò)程中，正常的運作流程，其信息流遵循自上而下的流程，即交通上級部門(mén)根據電子政務(wù)平臺信息安全需求的目標、規劃和控制要求做計劃，下級交通部門(mén)根據計劃進(jìn)行執行、檢查和改進(jìn)。而若交通電子政務(wù)平臺其安全性出現威脅，影響正常的運作流程時(shí)，此時(shí)信息流則遵循自下而上的逆向過(guò)程，下級交通部門(mén)向上級部門(mén)報送安全事件，上級部門(mén)根據其安全事件進(jìn)行分析、總結和改進(jìn)。

2.2.4 安全策略體系

網(wǎng)絡(luò )安全策略是為了保護網(wǎng)絡(luò )不受來(lái)自網(wǎng)絡(luò )內外的各種危害而采取的防范措施的總和，因此信息安全策略是信息安全保障體系建設和實(shí)施的指導和依據，全面科學(xué)的安全策略體系應貫穿信息安全保障體系建設的始終。安全策略體系，主要包含安全政策體系、安全組織體系、安全技術(shù)體系和安全運行體系四個(gè)方面的要素，在采用各種安全技術(shù)控制措施的同時(shí)，必須制訂層次化的安全策略，完善安全管理組織機構和人員配備，提高安全管理人員的安全意識和技術(shù)水平，完善各種安全策略和安全機制，利用多種安全技術(shù)實(shí)施和網(wǎng)絡(luò )安全管理實(shí)現對網(wǎng)絡(luò )的多層保護，減小網(wǎng)絡(luò )受到攻擊的可能性，防范網(wǎng)絡(luò )安全事件的發(fā)生，提高對安全事件的反應處理能力，并在網(wǎng)絡(luò )安全事件發(fā)生時(shí)盡量減少事件造成的損失。

圖4 安全策略體系

2.2.5 安全保障對象體系

交通電子政務(wù)平臺，其保障對象應該以由交通運輸政務(wù)內網(wǎng)所承擔著(zhù)涉密的政務(wù)信息傳輸作為其重中之重，包括交通運輸系統內部日常辦公業(yè)務(wù)和公文流轉系統、涉密政務(wù)信息報送系統、部長(cháng)辦公系統、內部數據共享平臺，與全國政府系統業(yè)務(wù)網(wǎng)絡(luò )連接等。

圖5 交通運輸電子政務(wù)安全保障對象體系

3結論

信息安全保障體系建設是交通電子政務(wù)建設不可缺少的重要組成部分。由于交通電子政務(wù)信息系統承載著(zhù)大量事關(guān)國家政治安全、經(jīng)濟安全、交通安全和社會(huì )穩定的重要數據和信息，網(wǎng)絡(luò )與信息安全不僅關(guān)系到交通電子政務(wù)的健康發(fā)展，還成為服務(wù)型政府形象的重要窗口，更成為國家安全保障體系的重要組成部分。一個(gè)完整的交通電子政務(wù)信息安全保障體系，應在保證電子政務(wù)信息的保密性、完整性、可用性、可控性和不可否認性的前提下，堅持把“積極防御，綜合防范”的應對策略，按照“重點(diǎn)突破、自上而下、資源共享、統一規劃、分布實(shí)施”的原則，從組織體系、技術(shù)體系、運營(yíng)體系、策略體系和保障對象體系等五個(gè)安全體系建設我國的交通電子政務(wù)信息安全保障體系。只有具備安全保障體系的電子政務(wù)信息系統，才是真正意義上的電子政務(wù)。