1、<p>　　淺談我國交通運輸電子政務信息安全保障體系的構建</p><p>　　摘要：信息技術的發(fā)展越來越深刻地影響著我國電子政務的發(fā)展。本文結合交通運輸電子政務的安全需求，分析了我國交通運輸電子政務平臺的發(fā)展現狀及其面臨的矛盾，從信息安全保障體系的基本要求出發(fā)，給出了從組織體系、技術體系、運營體系、策略體系和保障對象體系等五個安全體系構建交通運輸電子政務信息安全保障體系的解決方案。 </p>

2、;<p>　　關鍵詞：交通運輸；電子政務；信息化；安全保障體系 </p><p>　　0引言：電子政務信息安全問題 </p><p>　　電子政務是一個基于現代信息技術的綜合性政務信息系統(tǒng)，涉及政府機關、各團體、企業(yè)和社會公眾，其基本框架一般來說主要包括政府辦公政務網、辦公政務資源網、公眾信息網和辦公政務信息資源數據庫四個部分，即“三網一庫”。我國早在2002年7月《關于我國

3、電子政務建設指導意見》中，明確“把電子政務建設作為今后一個時期我國信息化工作的重點，政府先行，帶動國民經濟和社會發(fā)展信息化”，2006年進一步在《2006-2020年國家信息化發(fā)展戰(zhàn)略》中明確“電子政務”作為我國信息化發(fā)展的重點戰(zhàn)略，實現政府“改善公共服務，加強社會管理，強化綜合監(jiān)管和完善宏觀調控”。電子政務上升到國家信息化的發(fā)展戰(zhàn)略，其帶給政府的意義在于不斷促使政府公共服務創(chuàng)新，建設服務型政府。 </p><p&g

4、t;　　而隨著政府電子政務信息化的不斷發(fā)展，電子政務對于信息系統(tǒng)的依賴性越來越強，不斷涌現出來的信息安全問題成為政府信息主管部門關注的焦點。據CNCERT/CC監(jiān)測顯示， 2010年中國大陸有近3.5萬個網站被黑客篡改，數量較2009年下降21.5%，但其中被篡改的政府網站高達4635個，比2009年上升67.6%。政府網站及其政務平臺安全防護的薄弱性，不僅影響了政府形象和電子政務工作的開展，還給不法分子發(fā)布虛假信息或植入網頁木馬以可乘

5、之機。因此，政府信息化主管部門如何在其信息化過程中，既能創(chuàng)新政府公務服務實現服務性政府職能，又能保障其電子政務平臺的信息安全，保護其政務信息資源價值不受侵犯，保證信息資產的擁有者面臨最小的風險，保障政務平臺的信息基礎設施、信息應用服務和信息內容具有機密性、完整性、不可修改性、可用性，能夠抵御各種威脅，并在信息安全管理上保持良好的可控性，已成為政府在建設其電子政務平臺過程中的重要課題。 </p><p>　　本文將

6、結合交通運輸電子政務平臺，分析其信息安全保障體系建設的基本要求和構建框架。 </p><p>　　1我國交通運輸電子政務平臺的發(fā)展現狀及面臨的矛盾 </p><p>　　2004年2月，交通部在其制定的《中國交通電子政務建設總體方案》中，提出了“交通政務內網、交通政務外網和電子信息資源庫”的交通電子政務建設總體架構。為進一步規(guī)范交通電子政務的建設，交通部于2008年12月出臺了《交通運輸電

7、子政務網絡及業(yè)務應用系統(tǒng)建設技術指南（試行）》。在政策的指導下，我國交通電子政務平臺的發(fā)展速度加快，交通電子政務平臺的基礎架構已經凸顯規(guī)模，部（交通運輸部）省（各省道路運輸管理部門）道路運輸管理信息系統(tǒng)建設，已實現了20多個省（區(qū)、市）運政系統(tǒng)與部聯(lián)網，縱向業(yè)務系統(tǒng)互聯(lián)互通、資源共享、整合利用的模式已初步建立。與此同時，交通電子政務平臺的信息化標準規(guī)范體系也得到進一步完善。交通部先后制訂頒布了覆蓋公路、水路交通行業(yè)主要業(yè)務領域的公路、港

8、口、航道、船舶、道路運輸、水路運輸、船員、建設項目、交通統(tǒng)計、船舶檢驗、船載客貨、收費公路等10多項交通信息基礎數據元標準，頒布了公路水路交通信息資源業(yè)務分類和元數據標準以及道路運輸管理與服務系統(tǒng)技術要求和接口規(guī)范等標準。這些標準的出臺對于規(guī)范行業(yè)信息化發(fā)展，推動交通電子政務建設，促進交通信息資源整合發(fā)揮重要的支撐保障作用。 </p><p>　　在我國交通電子政務的信息化進程中，實現部、省交通部門辦公自動化、電

9、子化、網絡化；實現信息網絡寬帶化，網絡間實現高速互聯(lián)互通；建立交通信息資源數據庫，整合、開發(fā)信息資源，形成面向社會的政府公眾信息服務網等信息化建設，是交通電子政務建設的重點，這些重點建設內容均與信息技術相關，離不開網絡的支撐。網絡的“開放性”與政務的“安全性”、網絡的“可訪問性”與政務的“穩(wěn)定性”成為當前我國交通電子政務實施過程的兩大矛盾。 </p><p>　　1.1平臺的安全性與開放性之間的矛盾 </p

10、><p>　　即電子政務的安全要求與電子政務平臺的開放性要求成為交通電子政務實施過程中最難以平衡的一對矛盾。如何把握政務“安全”與網絡“開放”的平衡,一方面要把握住哪些信息是交通政府部門的機密，哪些是開放；另一方面，在電子政務平臺的建設過程中如何擺脫“安全絕對化”傾向，否則電子政務服務的公眾性就會失去落腳點，以政務信息化帶動社會信息化、企業(yè)信息化的戰(zhàn)略意圖也將難以實現。 </p><p>　　

11、1.2平臺的安全性與可訪問性之間的矛盾 </p><p>　　電子政務的安全性要求與電子政務平臺的可訪問性要求成為交通電子政務實施過程中另一對矛盾。電子政務平臺應重視其信息安全問題，其另一層含義還應注意保持網絡安全性與可訪問性之間的平衡。交通電子政務平臺必須易于訪問，這樣才能激勵公眾去使用它。而在提供了更好的可訪問性的同時，也將交通運輸的數據暴露在不斷增長的病毒及未授權訪問的威脅之下，導致政務平臺的不安全性。 &

12、lt;/p><p>　　2我國交通運輸電子政務平臺信息安全保障體系的構建 </p><p>　　當前我國交通電子政務實施過程的兩大矛盾的解決，依賴于安全、穩(wěn)定、可靠的交通運輸電子政務平臺信息安全保障體系。對于電子政務平臺實施過程中所面臨的信息安全保障問題，我國早在2003年9月頒發(fā)的《關于加強信息安全保障工作的意見》中明確提出了建立等級保護制度和風險管理體系的要求。2004年11月，公安部等國

13、家四部委聯(lián)合推出信息安全等級保護要求、測評準則和實施指南，為政務領域進一步建立政務信息系統(tǒng)風險管理體系提供了技術基礎和指導。交通運輸部也于2008年12月頒布的《交通運輸電子政務網絡及業(yè)務應用系統(tǒng)建設技術指南》中對交通電子政務平臺的安全保障體系作了詳細的技術規(guī)范。 </p><p>　　隨著交通政府機構的信息安全基礎建設日趨完善，建立一套信息安全管理平臺，既滿足電子政務平臺的開放性和可訪問性，又保證電子政務平臺的

14、安全性，也日益迫切。交通電子政務信息安全保障體系可從以下幾個角度進行充分構建： </p><p>　　2.1信息安全保障體系及其基本要求 </p><p>　　信息安全保障體系是基于PKI體系而開發(fā)的為多個應用系統(tǒng)提供統(tǒng)一認證、訪問控制、應用審計和遠程接入的應用安全網關系統(tǒng)，它可以將不同地理位置、不同基礎設施（主機、網絡設備和安全設備等）中分散且海量的安全信息進行樣式化、匯總、過濾和關聯(lián)分

15、析，形成基于基礎設施與域的統(tǒng)一等級的威脅與風險管理，并依托安全知識庫和工作流程驅動，對威脅與風險進行響應和處理。信息安全保障體系的基本要求主要體現在以下幾個方面： </p><p><b>　　1）保密性 </b></p><p>　　主要體現在誰能擁有信息，如何保證秘密和敏感信息僅為授權者享有。 </p><p><b>　　2）完

16、整性 </b></p><p>　　主要體現在擁有的信息是否正確以及如何保證信息從真實的信源發(fā)往真實的信宿，傳輸、存儲、處理中未被刪改、增添、替換。 </p><p><b>　　3）可用性 </b></p><p>　　主要體現在信息和信息系統(tǒng)是否能夠使用以及如何保證信息和信息系統(tǒng)隨時可為授權者提供服務而不被非授權者濫用。 <

17、;/p><p><b>　　4）可控性 </b></p><p>　　主要體現在是否能夠監(jiān)控管理信息和系統(tǒng)以及如何保證信息和信息系統(tǒng)的授權認證和監(jiān)控管理。 　5）不可否認性 </p><p>　　主要體現在信息行為人為信息行為承擔責任，保證信息行為人不能否認其信息行為。 </p><p>　　總之，信息安全保障體系的基本要求

18、主要從技術和管理兩個層面得以實現。技術層面在實現信息資源的公開性、共享性和可訪問性的同時，通過主機安全、網絡安全、物理安全、數據安全和應用安全等技術要素保障信息的安全性。管理層面則可通過安全管理機制、安全管理制度、人員安全管理、系統(tǒng)建設管理以及系統(tǒng)運營管理等規(guī)范化機制得以保障信息的安全性。信息安全保障體系的基本要求如下圖所示： </p><p>　　圖1 信息安全保障體系的基本要求 </p><

19、;p>　　2.2交通電子政務平臺信息安全保障體系的構建 </p><p>　　交通電子政務平臺的信息安全保障體系，應該由組織體系、技術體系、運營體系、策略體系和保障對象體系等共同組成。以安徽省交通電子政務平臺為例，進行構建交通電子政務平臺的信息安全保障體系。 </p><p>　　2.2.1 安全組織體系 </p><p>　　政府高度重視交通運輸信息化工作的

20、同時，堅持把“積極防御，綜合防范”放在優(yōu)先位置，首先要求成立專門的信息安全領導小組。信息安全領導小組可由交通主管領導擔任領導小組組長主管信息安全工作，下設信息安全工作組，各管理部門負責人、業(yè)務部門負責人為成員。 </p><p>　　2.2.2 安全技術體系 </p><p>　　交通電子政務平臺的安全技術體系可搭建專業(yè)的安全管理運營中心，并從基礎設施安全和應用安全兩個方面去搭建安全技術支

21、撐體系。 </p><p>　　2.2.3 安全運營體系 </p><p>　　交通電子政務的安全運營體系一般可由安全體系推廣與落實、項目建設的安全管理、安全風險管理與控制和日常安全運行與維護四個部分組成。安全運營體系是一個完整的過程體系，在交通電子政務平臺的整個過程中，正常的運作流程，其信息流遵循自上而下的流程，即交通上級部門根據電子政務平臺信息安全需求的目標、規(guī)劃和控制要求做計劃，下級

22、交通部門根據計劃進行執(zhí)行、檢查和改進。而若交通電子政務平臺其安全性出現威脅，影響正常的運作流程時，此時信息流則遵循自下而上的逆向過程，下級交通部門向上級部門報送安全事件，上級部門根據其安全事件進行分析、總結和改進。 </p><p>　　2.2.4 安全策略體系 </p><p>　　網絡安全策略是為了保護網絡不受來自網絡內外的各種危害而采取的防范措施的總和，因此信息安全策略是信息安全保障

23、體系建設和實施的指導和依據，全面科學的安全策略體系應貫穿信息安全保障體系建設的始終。安全策略體系，主要包含安全政策體系、安全組織體系、安全技術體系和安全運行體系四個方面的要素，在采用各種安全技術控制措施的同時，必須制訂層次化的安全策略，完善安全管理組織機構和人員配備，提高安全管理人員的安全意識和技術水平，完善各種安全策略和安全機制，利用多種安全技術實施和網絡安全管理實現對網絡的多層保護，減小網絡受到攻擊的可能性，防范網絡安全事件的發(fā)生，

24、提高對安全事件的反應處理能力，并在網絡安全事件發(fā)生時盡量減少事件造成的損失。 </p><p>　　圖4 安全策略體系 </p><p>　　2.2.5 安全保障對象體系 </p><p>　　交通電子政務平臺，其保障對象應該以由交通運輸政務內網所承擔著涉密的政務信息傳輸作為其重中之重，包括交通運輸系統(tǒng)內部日常辦公業(yè)務和公文流轉系統(tǒng)、涉密政務信息報送系統(tǒng)、部長辦公系

25、統(tǒng)、內部數據共享平臺，與全國政府系統(tǒng)業(yè)務網絡連接等。 </p><p>　　圖5 交通運輸電子政務安全保障對象體系 </p><p><b>　　3結論 </b></p><p>　　信息安全保障體系建設是交通電子政務建設不可缺少的重要組成部分。由于交通電子政務信息系統(tǒng)承載著大量事關國家政治安全、經濟安全、交通安全和社會穩(wěn)定的重要數據和信息，網

26、絡與信息安全不僅關系到交通電子政務的健康發(fā)展，還成為服務型政府形象的重要窗口，更成為國家安全保障體系的重要組成部分。一個完整的交通電子政務信息安全保障體系，應在保證電子政務信息的保密性、完整性、可用性、可控性和不可否認性的前提下，堅持把“積極防御，綜合防范”的應對策略，按照“重點突破、自上而下、資源共享、統(tǒng)一規(guī)劃、分布實施”的原則，從組織體系、技術體系、運營體系、策略體系和保障對象體系等五個安全體系建設我國的交通電子政務信息安全保障體系