随着分布式计算环境的发展,需要管理的资源越来越多,如用户、用户组、计算机之间的信任关系、不同操作系统、不同通讯协议、不同的数据库系统、不同的服务器和客户机等等。随着这些资源的增加,要想安全有效地管理他们就越来越困难了。单独地维护多种目录体系既费时费力,又容易出错,而且还难以保证系统的总体安全性和一致性。管理内部的用户资源也变得越来越重要和困难。在通常的管理模式中,每种系统都有自己的系统管理员,如Unix的超级用户为root、Windows的系统管理员为administrator、Sybase和MS SQL Server的系统管理员为sa等等。IT管理人员每天都要和这些繁杂的系统打交道,不同的系统管理员在管理这些用户时,就有可能采用不同的用户名,不同的管理策略,以适应各类系统的需要。
好的安全管理模式应该帮助用户解决上述问题,允许用户在单一的界面中管理不同系统的用户和目录结构,可以同时在多个不同的操作系统平台上创建、修改和删除用户,提供跨平台的用户策略一致性管理。可以实施基于策略的管理以确保系统安全,可以减少IT管理人员管理目录和用户的时间和精力,可以隐藏不同操作系统的差异。
【4】电子政务的安全管理
网络安全问题不仅是一个技术问题,更是一个管理问题,任何有效的安全技术如果没有完善的管理制度做保障都将无安全可言。网络安全管理是指通过合理的组织体系、规章制度和控管措施,把具有网络安全保障功能的软硬件设施和管理、使用信息的人整合在—起,以此确保整个组织达到预定程序的网络安全。安全管理的目的在于:一是最大限度地保护网络,使其安全地运行;再就是在发生安全问题后能最大限度地挽回损失。安全管理是个广泛的理念,IT环境中出现的不安全问题并不是全部由于单纯的IT设备本身造成的,相反更多的问题是由于其它非IT技术因素引起的,只是最终通过计算机的载体实现而已。因此对于IT系统的安全管理,不仅仅是对IT设备的安全保护,还包括对人员的安全规范化管理,这是弥补安全漏洞的一个重要途径。
1.制定完善的管理制度
完善的管理制度是网络安全得以实现的保证。一个单位要建立一套完善的、切实可行的网络安全管理制度,应首先在Internet和内部网络所涉及的本单位的各个领城进行风险分析,估计威胁发生的可能性和由于系统易受攻击的脆弱性而引起的潜在损失。而后在此基础上,对本单位的主要安全问题和安全需求进行定性定量分析,选择适当的、可行的控制方法,配置安全防护的级别,构造安全框架,建立分层局部安全保护方案,最后据此建立起相应的管理制度。管理制度涉及IT系统和人员两个方面,具体包括网络设备管理、安全操作流程、安全事故的奖惩以及对任命安全管理人员的考查等。
对于一个单位的网络系统,在某些情况下,单凭该单位自身的实力可能无法自我建立起完善的管理制度,此时就应该与一些专业从事安全管理的公司进行合作,借助外部的力量来实现本单位管理制度的完善。
2.增强人员的安全防范意识
在网络安全方面,人的因素至关重要。网络安全保护的对象是计算机网络系统,而安全保护的主体则是人,技术靠人去掌握,管理靠人去实现,人如果不重视安全问题、不积极参与解决安全问题,再好的安全技术也将无济于事。内部人员最容易接触敏感信息,并且他们的行动非常具有针对性,危害的往往是最核心的数据或资源,加之内部人员对本单位网络的运作、结构、文化背景等情况非常熟悉,导致他们行动时不易被发觉,事后难以被发现。防火墙虽然可以有效地抵御外部入侵,却难以防止内部人员的攻击。另外,由于内部人员有意无意的泄密也给外部黑客的进攻带来了可乘之机。不管多么先进的安全技术,都抵挡不住从内部被攻破。先进技术解决不了人的问题,“家贼难防”是人尽皆知的道理。
对人员的管理一是要注意通过安全常识培训来增强人员的安全意识,使之充分认识到安全问题的严重性、危害性和紧迫性,减少工作中因疏忽或麻痹大意而对网络安全造成的威胁;再者应加强对人员的控管,明确责任,做到签署保密合同、人员的分级与分类、调离人员的管理、权限的授予和管理、信息管理人员的持证上岗等。对于某些安全等级要求较高的系统所在的区域,还应该限制工作人员在该区域的随意进出,并采用相关的门禁系统对出入人员进行身份识别和登记管理。
3.构建电子政务安全管理平台
对于有条件的单位,可结合本单位实际,构建一个集中统一的管理环境,组成安全管理子网,安装集中统一的安全管理软件,如防病毒软件管理系统、网络设备管理系统以及网络安全设备管理软件,来管理安全政策、跟踪系统用户资源的安全状况,实现全网的安全管理。构建安全管理平台将会降低很多因为无意的人为因素而造成的安全风险,并且在这样一种管理平台上,即使系统结构或规模发生变动,也不会造成安全管理软件结构的变动,届时只需重新配置系统的安全代理器即可适应这种变动。
电子政务系统的安全体系中,以健全的安全管理体制为基础,并以适当的网络安全技术为保障,来充分保证电子政务应用系统的安全性。
在电子政务系统安全的拓扑结构中,对核心交换机与内网和外网之间的连接段都分别设置了一个监控点来对连接段的安全进行监控;设立安全监控网,与核心交换机相连接,并与两个专门的安全监控点相配合,共同完成对全网的安全监控;构建一套防病毒系统,实现对全网的安全防护,并与防病毒系统的远程客户服务段连接,以进行病毒库的实时升级,提高其防护能力。
【5】信息安全法制建设
电子政务的工作内容和工作流程涉及到国家秘密与核心政务,它的安全关系到国家的主权、国家的安全和公众利益,所以电子政务的安全实施和保障,必须以国家法规形式将其固化,形成全国共同遵守的规约,成为电子政务实施和运行的行为准则,成为电子政务国际交往的重要依据,保护守法者和依法者的合法权益,为司法和执法者提供法律依据,对违法、犯法者形成强大的威慑。
1.确立科学的信息安全法律保护理念
为了使国家的政策法律能够适应社会存在的现实和需求,需要确立起法制建设要保障和促进国家的信息化发展、法制建设为社会信息化发展提供全面服务的指导思想,修正传统的立法理念,从彻底改革国家传统的经济体制和保障机制入手,改变落后的调整方法,把信息安全法制保障的重点从单纯的“规范”、“控制”转移到为信息化的建设与发展“扫清障碍”上来,以规范发展达到保障发展,由保障发展实现促进发展,构筑促进国家信息化发展的社会环境,形成适于信息网络安全实际需要的法治文化。
2.构建完备的信息安全法律体系
信息化的社会秩序主要由三个基础层面的内容所构成,即信息社会活动的公共需求,信息社会生活的基本支柱和信息社会所特有的社会关系。信息社会活动的公共需求是往往以政府意志的形式代为表现的社会公众的共同意愿,其主要包括国家信息化建设的基本目标、发展纲领、建设规划、行动策略、工作计划等等,是指导国家信息化发展的基本内容,也是国家信息化建设的公共需求;信息社会生活的基本支柱是由信息化的技术属性所决定的、国家信息化建设赖以萌芽、生成和发展的信息技术及其应用,包括计算机技术、网络技术、通信技术、安全技术、电子商务技术等等,它是信息社会生活必不可少的基本支柱;信息社会所特有的社会关系是指在国家信息化建设的过程中,参与其中的各个主体之间由于其信息化活动而产生的各种社会关系,具体将表现为相应的法律关系,其中主要包括信息民事法律关系、信息刑事法律关系、信息经济法律关系、信息行政法律关系、信息科技法律关系以及信息社会所特有的各种法律关系。与之相适应,国家信息化建设所应有的政策法律环境也就必然是由对应的指导政策、技术标准和法律规范等三项内容所共同构建的三位一体的且能够发挥促进、激励和规范作用的有机的体系。
3.强化超前的信息安全法律效率
信息技术突飞猛进,信息安全政策、法律的促进作用不应仅仅是被动适应和滞后,在国家信息化建设中,更多地还应表现为对技术的主动规范性和前瞻性。信息安全政策法律必须促进信息技术的进步,因此要强化超前的信息安全政策法律的效率。在制订政策和创设法律时应当借鉴国际社会关于“技术中立”的主流思想,注意政策和法律符合技术的特殊要求,同时为技术的发展和完善预留空间,排除可能窒息技术发展的可能性,提高法律自身对信息社会的适应性。在具体做法上,则可以吸取外国的“明示式”和“开放式”立法模式中有益的成分,参照“准则式”的立法模式解决技术和法律之间的矛盾,鼓励技术创新,开发自主的知识产权,加强技术标准体系的建立和完善,提高国家信息法律规范的效率。
4.主动融入国际信息安全的法律体系
世界经济一体化,使得“法律全球化不仅有条件,有可能,而且有必要,更是一种发展趋势”。由于信息化是建筑在例如因特网的国际互联基础之上,人类信息社会是全球范围内的各国一体的信息化。因此,信息的政策和法律就必然具有国际化的属性,具体表现为有关的“国际游戏规则”。我们在制定政策和法律的时候,要特别注意和现有的国际规则的兼容包括在立法思想、方式方法上和具体法律规定等各方面的相互兼容;要积极主动地参与国际规则的创设,以维护我国的实际利益。在主动参与和合作、促进、创设的过程中,真正地主动融入国际大环境。