某省某市电子政务应用及信息安全保障系统建设方案30290.docx
《某省某市电子政务应用及信息安全保障系统建设方案30290.docx》由会员分享,可在线阅读,更多相关《某省某市电子政务应用及信息安全保障系统建设方案30290.docx(47页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、某省某市电子政务应用及信息安全保障系统建设方案1 总论1.1 项目背景1.1.1 项目的主要建设内容信息化是提高政府工作效率、改善政府决策过程、提升政府管理形象的有效措施和手段,也是以中办为领导的国家信息化领导小组着力推广和提倡的政府主要工作之一。随着我国信息化水平的提高,国家非常重视政府信息化的建设,以国家信息化领导小组为核心,提出了电子政务和电子党务的建设规划,并于去年通过了国家电子签名法案,从各方面推进信息化化的建设。目前,以北京、上海和各省省会为主的城市已经完成或者正在进行信息化的第一阶段建设,正在进一步深化和提高信息化的水平。某市作为某省的重要工业地区,理应积极相应国家的号召,顺应信
2、息时代的潮流,在现有的基础上加速某市信息化建设的进程,建立现代化的政府办公系统和体系。信息化和电子政务的核心内容是通过现代网络通信设施和应用系统,实现政府政务办公系统的无纸化和自动化,加强和加速政府各部门之间的沟通以及政府和其管理服务单位和个人的沟通,从而提高政府的工作效率和公众形象。所以,政府的信息化应用系统是以办公系统和公文流转管理系统为核心的,建立政府的公文流转系统和办公系统是政府信息化的核心。信息化和自动化政务办公系统的建立,必然将使许多政府机密的信息在信息网络和计算机中存储、使用和传送。为了确保电子政务系统的安全和政府信息的机密性,信息安全保障系统的建立是某市信息化应用系统建设不可缺
3、少的重要组成部分。本项目建设的主要内容包括:一、 以公文流转为核心,建立某市政府办公自动化系统。该系统应该能够支持某市政府和各县级政府日常办公的需要,实现无纸化高效率办公,并能够提供统一和集中的管理,为各级主管领导决策提供有价值的参考材料。二、 建立有效的信息网络上的计算机管理体系。计算机是构成计算机信息网络的基本组织,也是某市政府办公自动化系统的用户的基本接口,政府工作人员的所有操作都在信息网络中的计算机终端完成,所以计算机终端的可靠性和安全性是关系到政府办公自动化系统能否有效允许的关键。所以,为了确保政府办公自动化系统的可靠性和安全性,必须对信息网络中所有的计算机进行有效的管理,提供集中的
4、管理手段和监控措施,确保信息网络中的所有计算机终端可靠和安全运行,从而确保办公自动化系统的稳定有效运行。三、 建立统一有效的用户身份管理体系。政府办公人员是某市办公自动化系统的直接使用者和参与者,因为办公自动化系统是数字化的办公系统,其参与的用户角色必须是真实可靠的,所以对参与办公系统的用户身份必须进行有效的管理,建立统一的授权机制和身份认证体系,防止未授权的用户使用信息网络接入办公自动化系统的计算机以及计算机的滥用问题。四、 建立信息安全保密体系。政府信息化必然将会使许多政府的机密信息在信息网络中存储、使用和传送,为了确保政府办公信息的机密性,符合国家保密规定的需要,必须建立信息安全保密体系
5、,解决信息和数据的存储、使用和传输保密的安全问题。五、 建立信息系统可靠性保障体系。为了确保办公自动化系统的稳定运行,还需要建立可靠性保证体系,主要包括防火墙和防病毒系统的建立。1.1.2 项目建设的由来和必要性1.1.3 项目建设的社会效益1.2 项目概况1.2.1 项目建设的总体目标某市机要局在充分调研某市现有信息网络现状的情况下,基于国家国家政策和某市政府相关规定,综合考虑某市政府的情况,并通过咨询技术人员和专家的意见,确定了在某市政府现有网络基础设施的基础上,于2005年建立某市电子政务应用系统和安全保障系统的,实现某市政务电子化,推进某市政府信息化的建设。为此,某市政府在建成基础信息
6、网络的基础上,首先要建立以公文流转为核心的电子政务办公自动化系统。同时,为了确保电子政务应用系统的稳定运行,需要建立统一的计算机安全管理监控系统和用户管理认证系统。其次,为了遵守国家保密规定,确保电子政务应用系统信息的保密性,必须建立全面的安全保密系统。最后,需要在必要的外网出口安装网络防火墙等网关防护产品和在终端安装防病毒软件,抵御来的入侵和病毒破坏行为,确保系统的稳定性。1.2.2 项目建设的总体思路和指标描述某市政府的电子政务应用系统建设可以归结为“一个中心三个体系”。即以办公自动化系统应用建设为中心,建立统一的用户身份管理认证体系,建立一个统一的网络信息安全管理体系和建立一个符合国家规
7、定的信息安全保密体系。办公自动化系统是某市电子政务应用系统的核心所在,通过办公自动化系统,实现某市办公的电子化和自动化,市政府各部门和下属各区县政府通过电子政务网络实现高效率的电子化办公,公文通过网络进行即时的传输。通过办公自动化系统,各级主管领导还可以实时监控所有政务办公流程的进度和安排,做出准确及时决策,提高某市整个政务体系的办公效率,逐步实现某市政府全面的信息化。统一用户认证系统建立在PKI技术的基础之上。为了实现整个市政府网络用户的统一管理和有效授权,必须建立一个统一的用户身份认证体系,从而实现对用户的有效管理和授权。对于某市政府各部门以及下属的各个区县重要部门,必须对所有的计算机建立
8、严格统一的身份认证系统,没有授权的用户不能通过政府机关的计算机登陆到市政府的信息网络中。统一的用户认证体系采用各个重要部门分散认证的方式,即各个部门建立自己的用户认证服务系统,以减少管理难度和交叉管理的复杂度,降低管理成本。用户统一身份认证体系主要管理的是桌面系统,即PC机,目前主要针对Windows系列进行管理,必须确保通过认证才能够授予使用计算机和网络资源的权限。用户认证体系必须独立于微软的Windows认证体系,以确保用户身份的安全性。同时,该系统应该能够为用户提供个性化的私有保密存储区域,适应政府同一台计算机可能多个用户使用的需要。用户身份必须是可以统一管理和及时变更的,以确保适合单位
9、人员流动和职位变更的需要。网络信息安全管理系统主要负责对深政府整体网络以及各级各部门政府局部网络计算机进行管理,可以依据政府和部门的管理规章制度制定策略和行为规则,从而使管理规章制度得以在市政府信息网络中得以贯彻和执行。整个市政府信息网络的安全管理系统必须建立统一的标准规范,以适应多级管理和信息交换的需要。网络信息安全管理体系必须与统一的用户认证体系紧密结合,无缝连接,能够实现对计算机系统资源、用户行为、网络资源、外设资源和移动存储设备的有效管理,并能够提供有效的审计报告。网络信息安全管理系统与用户认证系统一样,按照统一的规范建立,各部门分级管理。网络信息安全管理系统因为涉及到市政府政务网络,
10、为了确保国家安全,要求使用完全国产自主开发的产品。信息安全保密系统建立在用户身份认证系统之上,而且要求和网络信息安全管理系统能够有机联动结合起来,从而实现建立对某市市政府信息安全完整的保障体系。信息安全保密系统以国家保密局和机要局的相关条例和政策为依据,对某市政府网络中的机要信息提高保密手段,防止机要信息被有意和无意泄漏出去,事关国家安全,所以必须采取有效和严格的保密控制技术。同时,出于国家安全考虑,信息安全保密系统产品选型范围仅限于国内自主开发的成熟产品。信息安全保密系统核心要求保证数据的存储、使用和传输保密性,同时还要求保证数据在指定范围内的可用性和易用性,不会改变用户通常的使用习惯或者影
11、响很少。能够实现数据的安全共享,而共享的途径可以不受过多限制。信息安全保密系统还要求能够对计算机设备(包括移动的计算机设备)和存储设备进行有效的保密管理,防止因为计算机和存储设备丢失造成机要信息泄密。信息安全保密系统是本项目的重要组成部分,也是最能体现信息安全性的子系统。信息保密系统要求还能够进一步将政务信息网络根据不同的保密级别进行划分,即将内部信息网络划分为不同的保密子网,同一个保密子网之间的计算机可以进行信息的交换,不同一个子网的计算机没经过主管领导允许则禁止信息的交换,能够防止非法外联和非法接入等可能导致机密信息泄漏的行为。1.2.3 建设规模2 项目需求分析2.1 某市政府信息化现状
12、2.1.1 某市政府基础网络设施现状2.1.2 某市政府信息化系统建设现状2.1.3 某市政府信息安全建设现状2.2 某市政府信息化急需解决的问题2.2.1 缺乏统一有效的电子政务应用系统2.2.2 缺乏统一的信息安全保障体系规划在信息化建设的过程中以及信息化之后的应用中,在信息网络中存储、传输和使用着大量有价值的数据和信息,如何确保这些信息数据的完整性、保密性和可信性,是信息化中面临的重大挑战。进一步说,只有将这些问题解决了,才能真正推动信息化的发展。信息安全包括的范围非常广泛,而它们之间具有很大的相关性,并且只有形成一个统一的整体,才能真正充分发挥这些信息安全保障系统的作用。目前某市政府网
13、络缺乏统一的信息安全保障体系规划,所以必须尽快规划并建成一个完整的可扩展的信息安全保障体系,进而充分发挥现有硬件网络设施的优势,推动某市信息化的发展。2.2.3 缺乏统一具有法律依据的用户认证体系和信任体系信息化过程中存在的最大障碍,在于两个方面:一是网络用户身份的认证方式和可信性问题,二是网络信息的合法性和可信性问题。不确定用户的身份,用户的所有行为都无法进行管理和确认,用户发出的信息真实性也就没有办法确认。网络是承载信息的通道,但是获得的信息本身的可信性和合法性的确认将是进行信息交互尤其是有价信息交互的根本前提。目前,某市政府网络缺乏统一的用户身份认证体系,没有办法确认用户的真实身份,而仅
14、仅依靠用户名和口令显然是得不到技术上和法律上的保障的。用户身份无法确认,那么信息的可信性和合法性也就无法得到解决了。PKI技术和数字签名技术从技术上可以解决网络用户身份认证和信息的可信性问题,而国家刚刚通过的电子签名法案则给电子签名和数字证书提供了法律的保障,所以,某市必须尽快建立统一的用户身份认证体系和信任体系,推进信息化建设的发展。2.2.4 缺乏规范统一的网络信息安全管理体系某市政府的网络是一个大型的网络,上面连接着数以千计的计算机工作终端,并且随着信息化程度的增大,该网络将成为政府办公的主要渠道和手段。由于政府是国家机构,其信息以及操作有着严格的管理,那么,如何在信息网络中贯彻和执行国
15、家和部门相关的管理规章制度是信息化过程必然面临的挑战。网络信息安全管理体系包括的内容非常广泛,并且和用户身份是紧密结合的,主要包括主机资源的管理、用户行为的管理、网络资源管理、外设资源管理和审计等内容。为了确保整个市政府网络系统的管理统一性,还必须制定统一的网络信息安全管理标准和规范,建立上下级政府部门之间的多级管理机制,从而能够实现对整个大型信息网络的有效管理,提高管理效率,并根据审计信息提供决策的依据。2.2.5 缺乏规范统一有效的信息安全保密体系机要信息的保密是国家安全的重要组成部分,也是政府部门非常重视的制度之一。随着信息数字化和信息化的进展,如何有效确保网络信息的保密性已经成为一个迫
16、切需要解决的问题。据美国FBI和CSI的调查数据显示,目前,由于机要信息泄密造成的经济损失占网络安全事件中的85%以上。某市网络系统目前缺乏统一有效的管理措施,更缺乏有效的管理工具和系统。而信息保密是一个整体的工程,必须每个环节都考虑到,其中一个环节的疏漏都会导致其他措施的失败。所以,某市政府政务网络急需建立统一的信息安全保密体系,保护重要的机密信息,实施严格的信息保密制度,以达到保护国家机要信息的目标,推进信息化建设的目标。2.2.6 信息安全专业人员缺乏,信息安全管理机构需要完善2.3 某市政府信息化需求分析2.3.1 政务办公自动化系统需求1、 公文流转管理2、 政务日程管理3、 政务辅
17、助管理2.3.2 统一用户身份认证体系建设需求1、 基于PKI技术的身份认证系统国家电子签名法案的通过,使得数字证书以及其应用具有了法律的依据,受到了法律的保护。建立以PKI技术为基础的用户身份认证系统是最安全最可靠的身份认证方式,也是现在信息安全系统的发展趋势。基于PKI技术的认证系统要采用安全的证书和私钥存储方式,使用USB Key存储证书私钥,并进行身份认证,确保私钥的安全性。USB Key要求能够满足:存储证书和私钥、能够进行私钥加解密的运算、具备存储功能和具备支持个性化的安全认证存储功能。用户名和密码方式的身份认证应该作为可选的认证方式同时存在。对于计算机使用授权的用户身份认证系统,
18、应该支持可以灵活定制的策略,即支持是否启用用户认证、启用强制认证还是启用普通密码认证方式、是否支持可选/强制认证模式等。认证系统应该还可以结合用户的身份,提供经过认证的安全加密磁盘,为每个用户提供私人的保密空间。2、 统一的集中/分散身份认证系统身份认证系统要求是基于统一的认证中心的发放用户令牌,并且在允许的情况下可以跨部门进行交叉身份认证和授权。身份认证系统可以是各个部门单位自己维护和认证,而不需要统一到相同的一台服务器认证;但是,在必要的情况下,也可以进行集中的用户身份认证。这两种方式可以根据应用需要灵活组合。3、 独立于Windows平台用户的身份认证系统用户身份认证系统必须是独立于Wi
19、ndows平台的身份认证系统,该系统必须建立自己的独立的认证服务器,避免因为与Windows认证系统相结合带来的安全漏洞和应用模式的局限性。没用经过认证授权的用户,不能授予其使用该计算机设备的权限,即禁止其进入Windows操作系统,这与Windows的域登陆控制有着本质的区别。认证系统必须是可以和其它管理体系无缝结合的,比如网络信息安全管理体系和信息安全保密体系相结合。2.3.3 网络信息安全管理体系建设需求1、 建立规范标准的网络信息安全管理体系建立某市政府整个网络统一的网络信息安全管理标准规范,使得上下级单位之间的管理可以按照统一的规定进行管理。网络信息安全管理系统必须是基于网络的,可以
20、集中对本单位或者下级单位的计算机进行远程集中的实时管理和维护,设定管理规则和策略。实现网络信息安全管理系统根据计算机网络状态提供联网和离网两种策略模板,在计算机网络状态发生改变的时候能够自动在两种不同的策略模板间切换。所谓联网状态,是指被管理的客户机能够与网络信息安全管理服务器建立实时的网络连接;离网状态则反之,比如拔掉网线或者计算机接入另外一个与原有网络不能联通的网络。策略还必须跟认证系统紧密结合,相同用户在同一个计算机也可以获取不同的使用权限。可以对用户的各种行为提供详细的审计记录。网络信息安全管理系统对于普通计算机用户来说是不可见的,并且占用很少的计算机资源。网络信息安全管理系统必须对自
21、身具有较强自我保护能力,防止用户有意识或者无意识卸载和破坏网络信息安全管理系统。2、 计算机用户行为的管理网络信息安全管理系统可以对计算机用户的行为进行管理,设定用户使用的规则,禁止违反规则行为的发生,并可以记录违反规则行为的关键要素。可以设定禁止用户使用的应用程序或者服务的名单;可以禁止用户使用拨号连接;可以禁止用户共享文件夹等。可以对用户进行实时的屏幕监控和键盘信息的获取,也可以实时锁定用户的输入。可以对用户当前打开的窗口和程序进行实时管理,比如远程关闭或者禁止运行操作等。3、 计算机系统资源的管理实现对桌面计算机已经安装的设备信息、已经安装的应用程序、正在运行的应用程序、已经安装的驱动、
22、实时的网络连接的远程集中监控。并可以提供自动监控的措施。实现集中远程管理各个桌面PC的用户信息、可以添加和删除系统的计算机用户和组。实现远程查看各个桌面计算机系统的事件日志。实现远程对桌面计算机服务的管理,启动、停止或者设置服务启动的类型。4、 计算机网络资源的管理实现对计算机网络资源的控制,并且区分计算机处于管理系统的联网状态和离网状态。下面描述的所有需求都应该支持联网/离网策略状态。实现基于网络通信端口的控制策略,提供黑名单的支持。实现基于网络IP地址的控制策略,提供黑名单的支持。实现基于网络通信端口和IP地址相结合的控制策略,提供黑名单的支持。实现基于URL地址的控制策略,提供黑白名单两
23、种方式的支持。实现基于目标邮件地址的控制策略,提供黑白名单两种方式的支持。5、 计算机外设资源的管理计算机对计算机常用外设资源的实时控制,并且区分计算机处于管理系统的联网状态和离网状态。在状态变化时,自动进行不同策略之间的切换。下面所有的功能策略描述都实现对联网和离网状态的支持。实现对各种接口类型键盘鼠标输入的禁止/启用控制。实现对软盘的禁止/启用控制。实现对光驱的禁止/启动控制。实现对红外设备端口的禁止/启用控制。实现对USB设备的禁止/启用控制。实现对1394数码火线端口的禁止/启用控制。实现对串口的禁止/启用控制。实现对并口的禁止/启用控制。实现对调制解调器(Modem)的禁止/启用控制
24、。实现对笔记本PCMIC卡的禁止/启用控制。6、 便携式笔记本电脑的管理跟随移动办公的需要,便携式笔记本电脑的使用越来越普遍,而便携式笔记本的移动特性使得其管理更加困难,如何有效合理地对笔记本电脑进行管理,确保信息安全和设备的可管理性,是网络信息安全管理系统需要解决的问题。实现对笔记本脱离办公网络后的持续管理,启用离网策略,根据管理制度需要实现对笔记本的数据输出途径和用户行为的延续性管理。实现对笔记本脱离办公网络后的持续审计,在笔记本再次接入办公网络后,可以对其离网期间发生的用户行为和系统资源进行审计。实现对笔记本丢失后的数据保护管理,使得未授权人员难以从丢失的笔记本中获取有用的数据和信息。7
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 某市 电子政务 应用 信息 安全 保障 系统 建设 方案 30290
限制150内