政务外网信息安全管理策略初探.pdfVIP

第 3期 董 舟，等：政务外网信息安全管理策略初探 89 访问操作 ，不但要受用户 自身安全属性的限制 ，还要受 3 信息安全管理 数据安全属性的严格限制。 3．1 针对管理不 当的信息安全管理对策 3．3 针对业务系统的信息安全管理对策 (1)建立完善的安全管理体系。在制定并发布信 各业务系统面临的主要安全风险主要来 自非授权 息安全管理规范的基础上 ，建立信息安全管理组织体 的数据访问，以及 由此造成 的信息泄密和 内部人员权 系 ，以可靠的组织体系保障信息安全措施 的落实 以及 力滥用。为解决业务系统的信息安全 问题 ，首先要解 信息安全体系 自身 的不断完善 。一个详细的信息安全 决用户的标识 、认证等问题 。 规划可以减少人为 因素带来 的信息安全问题 。最基本 (1)用户——基于公钥证书的统一身份认证。对 的安全管理过程包括 ：采用科学 的信息资产评估和风 用户进行身份认证是信息保密的前提。社会人员只能 险分析模型，设计完备的信息系统动态安全模型，建立 浏览公共信息服务 区中的公开信息，这基本上属于匿 科学可行的安全策略，采取规范的安全防范措施 ，选用 名访问，无需认证。对于作为业务系统用户的政府工 可靠稳定的安全产品等 。 作人员，需根据不同业务部 门、不 同岗位 ，对不 同类别 (2)提高管理部门各层级人员的安全意识。在构 的信息设计操作权 限。因此 ，相应用户必须有严格 的 建信息网络安全防护的过程 中，不能忽视对人的行为 身份认证机制 ，以防止身份假 冒导致 的信息泄密或数 的规范 。政府部 门内各级人员信息安全意识 的高低是 据篡改 。 信息安全体系能否最终成功实施 的决定性 因素。各级 (2)信息——资源属性的定义。政务外网上业务 政府部 门应 当制定本部门人员的信息安全行为规范 ， 系统信息量大 、种类繁多。面向全社会开放 的信息存 同时，教育培训是培养信息安全人才的重要手段，应对 放于对外公众信息服务区中，接入公共 网络 ，不需要认 所有相关人员进行经常性的安全培训 ，强化技术人 员 证 ，此部分面临的主要危险是被非法篡改。为此 ，应要 对信息安全 的重视程度 ，提升使用人员的安全观念。 求管理员经过严格 的认证手续后才能对信息作 出修 使员工明确本部 门内各级组织和人员 的安全权限和责 改；其他信息使用者必须经过严格 的身份认证并获得 任 ，使他们的行为符合整个安全策略的要求。 相关操作权限后 ，才能在其可操作权 限范 围内浏览或 3．2 针对 网络的安全管理对策 维护信息。 3．2．1 系统漏洞和病毒防护 (3)授权——基于角色的访问控制。在用户标识 (1)对于 Windows和 Linux操作系统 ，应该经常 和认证 、资源属性定义 的基础上，各业务系统使用基于 注意更新 ，防止由操作系统漏洞带来的安全问题。 角色的访 问控制策略来控制用户对信息的操作。每个 (2)需要经常对防病毒软件的病毒库进行更新与 角色