界。政务内网域与政务外网域物理隔离,政务外网域与公众服务域逻辑隔离。
(3)电子政务基础服务域
电子政务基础服务域主要包括为电子政务系统提供服务的信息安全基础设施。北京市已建和筹建的信息安全基础设施有:电子政务数字证书中心、信息安全测评中心、信息安全应急响应中心以及远程灾备中心等。
(4)公众网络域
公众网络域是指不属于政务专网域范围的公众通信网络基础设施。公众网络域包括互联网和提供互联网接入服务供应商(ISP),也包括公共电话网(PSTN)和其它网络。
(5)公众用户域
公众用户域包括在客户的管理控制之下的网络和信息系统,可以通过其访问电子政务公众服务。客户网络领域可以是一个内部的个人计算机,它经由ISP与公众网络连接,此时ISP位于公众网络中。此外,公众用户域可能是一个企业的内部网(Intranet),它由多台工作站组成,有更规范的控制。由于公众用户域存在于电子政务域之外,对公众用户域的信任水平取决于管理控制的实际范围。
3、等级保护框架
等级保护相关的几个基本要素是:信息系统资产和使命、安全事件造成破坏的影响、安全威胁、安全对策和措施。安全威胁通过对信息资产的破坏,影响信息系统履行其使命,也就是以信息系统为基础的相关业务的安全开展。信息系统资产和使命,安全事件造成破坏的影响是决定系统的重要性的两个主要要素。
等级保护是对信息系统重要性(信息系统使命和资产、安全事件造成破坏的影响)、安全威胁、安全对策和措施分级结构,以保证对某一等级的信息系统"恰当的"选择安全对策和措施。等级保护的安全对策和措施要求是对信息系统安全保障的通用要求。应根据系统实际面临的安全威胁,在不超越等级的范围内合理选择安全对策和措施,将残余风险控制在可接受的水平。
信息系统安全等级划分与《党政机关信息系统安全测评规范》DB11/T 171-2002的安全类型一致。
4、信息安全技术防范
信息安全技术防范按保护范围可分为网络和基础设施保护,系统边界和计算环境保护和应用安全保护三个范围。信息安全与电子政务各个技术层面都有关系,它作为服务嵌入到电子政务技术总体框架各个技术层面中。
(1)信息安全基础设施
信息安全技术防范体系的基础设施主要是公开密钥基础设施(PKI)。建立统一的PKI,是建立统一的电子政务信任服务体系的基础。PKI的核心是数字证书认证和管理中心,主要由认证中心(CA)、审核中心(RA)和密钥管理中心(KM)组成。CA中心提供的主要服务包括:证书签发、CRL发布、证书状态查询、证书存储和受理审核等。
(2)信息安全支持平台
信息安全支持平台以信息安全基础设施的服务为基础,对应用系统提供统一的信息安全基础技术服务,以构造统一的信息安全技术体系。
(3)网络和基础设施保护
网络和基础设施保护范围为网络通信基础设施、网络基础服务系统和信息安全基础设施。安全保护的主要内容为通信网络设施、重要网络节点和基础设施机房的物理安全;网络通信信道的安全;网络基础服务系统和信息安全基础设施的安全。
(4)系统边界和计算环境保护
系统边界安全保护主要包括系统边界的安全隔离和检测与监控。计算环境的安全保护主要包括:计算环境内部的物理安全、网络安全、关键主机保护、系统安全和计算环境可用性。
(5)应用安全保护
应用安全保护主要包括以下内容:用户的身份认证、授权管理和访问控制;应用层安全审计;敏感信息的保密性、完整性、可用性和抗抵赖性;应用服务的可用性。
二、原则性意见
根据中办发[2003]27号文件,"坚持积极防御、综合防范的方针,全面提高信息安全防护能力"是国家信息保障工作的总体要求之一。"积极防御、综合防范" 是指导电子政务信息安全保障的总体战略方针。
"积极防御、综合防范"方针要求电子政务系统信息安全保障综合采用防护、检测、响应和恢复等多种安全措施和手段,覆盖安全保障各个环节,对系统进行动态的、综合的保护,在攻击者成功地破坏了某个保护措施的情况下,其它保护措施仍然能够有效地对系统进行保护。
安全管理不仅是重要的安全保护措施,也是安全技术有效发挥作用的关键。建立运行全面的信息安全管理体系,是电子政务信息安全保障的重要内容,也是积极防御、综合防范方针的基本要求。