电子政务信息安全管理问题研究.pdfVIP

科 学论 坛 I■ 电子政务信息安全管理问题研究 罗屿冰 (上海市教育委员会信息中心 上海 200003) [摘 要]随着我国政府部门信息化建设的不断深入，信息安全的重要性日益突出，政府部门在业务中面临着大量的信息安全问题 。然而，长期以来，在电 子政务信息安全建设方面，存在着重技术轻管理的问题。信息安全技术和产品的应用，在一定程度上解决了部分信息安全问题，但是长时间的探索和实践发现， 即使采购和使用了足够先进、足够多的信息安全技术和产品，仍然无法避免信息安全事件的发生。电子政务信息安全并不只是技术过程，而是一个综合防范的 过程。本文在介绍信息安全相关标准与管理的基础上，分析了我国电子政务信息安全现状，从电子政务建设的安全需求出发，阐述了构建电子政务信息安全管理 体系的意义：并针对我国当前电子政务信息安全现状，分析了电子政务信息安全管理体系构建的原则和策略 ：以期为我国政府部门电子政务信息安全管理体系建 设提供有价值的指导和参 。 [关键词]电子政务 安全 管理体系 安全机制 策略 中图分类号：TP393 文献标识码 ：A 文章编号：1009—914X(2011)11—0064—02 引童 信息安全管理实际上是风险管理的过程，管理的基础是风险识别与评估。系 随着我国政府部门信息化建设的不断深入，信息安全的重要性 日益突出， 统的信息安全管理体现以下原则： 政府部 门在业务中面临着大量的安全问题 。然而，长期 以来，在 电子政务信息 1．制定信息安全方针为信息安全管理提供导向和支持 ： 安全建设方面，存在着重技术轻管理的问题。信息安全技术和产品的应用，在 2．以风险评估为基础选择控制 目标与控制方式 ： 一 定程度上解决了部分信息安全问题，但是长时间的探索和实践发现，即使采 3．考虑控制费用与风险平衡的原则，将风险降低到组织可接受的水平： 购和使用了足够先进、足够多的信息安全技术和产品，仍然无法避免信息安 4．预防控制为主的思想； 全事件的发生。电子政务信息安全并不只是技术过程，而是一个综合防范的 5．业务持续性原则，即从故障与灾难 中恢复业务运作，减少故障与灾难对 过程；其关键是构建与应用电子政务信息安全管理体系。 关键业务过程的影响： 1信息安全管理概述 6．遵循管理的一般循环模式，即策划一执行一检查一措旌的持续改进模 1．1信息安全 式 。 在众多信息安全研究文献中，信息安全定义主要包括三个方面 ：保密性、 2我国电予政务信息安全状况分析 完整性、可用性：而在 IS013335中信息安全有六个方面，增加了可靠性、认 2．1我国电子政务信息安全现状 证性和审计性，其含义如下 ： 长期以来，在电子政务信息安全建设方面，存在着重视技术轻视管理、重 保密性是指信息不被泄露给非授权的用户 、实体或过程 。所有人员都 视产品功能轻视人为因素、缺乏整体性信息安全体系考虑等各方面的问题。 可以访问的信息为公开信息，需要限制访问的信息为敏感信息或秘密，保密信 信息安全技术和产品的应用，在一定程度上解决了部分信息安全问题，但是经 息具有 时效性，到期可以解密。 过长时间的探索和实践发现，即使采购和使用了足够先进、足够多的信息安 完整性是指信息未经授权不能进行改变的特性，即信息在存储或传输过程 全产品，仍然无法避免信息安全事件的发生。例如，许多单位使用了防火墙、 中保持不被偶然或蓄意添加、删除、修改、伪造、乱序 、重放等破坏和 IDS、安全扫描等设备，但却没有制定一套以安全策略为核心的管理措施，致 丢失的特性。