浅谈淮北电视台新闻非编制作网的搭建的论文.docVIP

　　浅谈淮北电视台新闻非编制作网的搭建的论文 摘要:长期以来，在电子政务信息安全建设方面，存在着重技术轻管理的问题。信息安全并不是技术过程，而是一个综合防范的过程，安全技术应由适当的安全管理体系来支持。在信息安全保障工作中必须管理与技术并重，进行综合防范，才能有效保障安全。本文旨在提出了一种电子政务安全解决方案。首先，分析了电子政务面临的威胁和挑战;其次，对电子政务安全保障体系进行探讨;再次，讨论了电子政务安全等级保护思想和风险评估方法。 关键词:电子政务 信息安全 0 引言 随着电子政务不断推进，社会各阶层对电子政务的依赖程度越来越高，信息安全的重要性日益突出，在电子政务的信息安全管理问题中，基于现实特点的电子政务信息安全体系设计和风险评估[1]模型是突出的热点和难点问题。本文试图就这两个问题给出分析和建议。 1 电???政务信息安全的总体要求 随着电子政务应用的不断深入，信息安全问题日益凸显，为了高效安全的进行电子政务，迫切需要搞好信息安全保障工作。电子政务系统采取的网络安全措施[2][3]不仅要保证业务与办公系统和网络的稳定运行，另一方面要保护运行在内部网上的敏感数据与信息的安全，因此应充分保证以下几点： 1.1 基础设施的可用性：运行于内部专网的各主机、数据库、应用服务器系统的安全运行十分关键，网络安全体系必须保证这些系统不会遭受来自网络的非法访问、恶意入侵和破坏。. 1.2 数据机密性：对于内部网络，保密数据的泄密将直接带来政府机构以及国家利益的损失。网络安全系统应保证内网机密信息在存储与传输时的保密性。 1.3 网络域的可控性:电子政务的网络应该处于严格的控制之下，只有经过认证的设备可以访问网络，并且能明确地限定其访问范围，这对于电子政务的网络安全十分重要。 1.4 数据备份与容灾:任何的安全措施都无法保证数据万无一失，硬件故障、自然灾害以及未知病毒的感染都有可能导致政府重要数据的丢失。因此，在电子政务安全体系中必须包括数据的容灾与备份，并且最好是异地备份。 2 电子政务信息安全体系模型设计 完整的电子政务安全保障体系从技术层面上来讲，必须建立在一个强大的技术支撑平台之上，同时具有完备的安全管理机制，并针对物理安全，数据存储安全，数据传输安全和应用安全制定完善的安全策略 在技术支撑平台方面，核心是要解决好权限控制问题。为了解决授权访问的问题， 通常是将基于公钥证书（pkc）的pki（public key infrastructure）与基于属性证书（ac）的pmi（privilege management infrastructure)结合起来进行安全性设计，然而由于一个终端用户可以有许多权限， 许多用户也可能有相同的权限集， 这些权限都必须写入属性证书的属性中， 这样就增加了属性证书的复杂性和存储空间， 从而也增加了属性证书的颁发和验证的复杂度。为了解决这个问题，作者建议根据x.509标准建立基于角色pmi的电子政务安全模型。该模型由客户端、验证服务器、应用服务器、资源数据库和ldap 目录服务器等实体组成，在该模型中： 2.1 终端用户：向验证服务器发送请求和证书， 并与服务器双向验证。 2.2 验证服务器：由身份认证模块和授权验证模块组成提供身份认证和访问控制，是安全模型的关键部分。 2.3 应用服务器： 与资源数据库连接， 根据验证通过的用户请求，对资源数据库的数据进行处理， 并把处理结果通过验证服务器返回给用户以响应用户请求。 2.4 ldap目录服务器：该模型中采用两个ldap目录服务器， 一个存放公钥证书（pkc）和公钥证书吊销列表（crl），另一个ldap 目录服务器存放角色指派和角色规范属性证书以及属性吊销列表acrl。 安全管理策略也是电子政务安全体系的重要组成部分。安全的核心实际上是管理，安全技术实际上只是实现管理的一种手段，再好的技术手段都必须配合合理的制度才能发挥作用。需要制订的制度包括安全行政管理和安全技术管理。安全行政管理应包括组织机构和责任制度等的制定和落实；安全技术管理的内容包括对硬件实体和软件系统、密钥的管理。 3 电子政务信息安全管理体系中的风险评估 电子政务信息安全等级保护是根据电子政务系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度。等级保护工作的要点是对电子政务系统进行风险分析，构建电子政务系统的风险因素集。 3.1 信息系统的安全定级 信息系统的安全等级从低到高依次包括自主保护级、指导保护级、监督保护级、强制保护级、专控保护级五个安全等级。对电子政务的五个安全等级定义，结合系统面临的风险、系统特定安全保护要求和成本开销等因素，采取相应的安全保护措施以保障信息和信息系统的安全。 3.2 采用全面的风险评估办法