信息安全管理平台在电子政务系统中的应用

政府信息主管部门的安全管理职责

　　电子政务是一个基于网络技术的综合性信息系统，涉及政府机关、各团体、企业和社会公众，主要包括机关办公政务网、办公政务资源网、公众信息网和办公政务信息资源数据库四个部分，简称"三网一库"。作为政府的信息主管部门，其安全职责是保护政务信息资源价值不受侵犯，保证信息资产的拥有者面临最小的风险，从而使政务的信息基础设施、信息应用服务和信息内容具有保密性、完整性、可用性，能够抵御各种威胁。同时在信息安全管理上保持良好的可控性，即信息安全管理的目标是要确保对全局的掌控，而不仅限于对局部系统的了解，确保整个体系的保密性、完整性和可用性；对于安全问题、事件的检测要能够汇总和综合到中央监控体系，实现全面支撑信息安全运营管理的目标。

　　电子政务信息安全管理面临的问题与挑战

　　随着电子政务信息化的不断发展，电子政务对于信息系统的依赖性越来越强，新涌现出来的信息安全问题成为政府信息主管部门关注的焦点。而政务系统作为关系国计民生的重要部分，在信息安全方面也面临着严峻的挑战。

　　首先，由于电子政务信息系统不断走向开放，从原先的专有系统演变成为今天依赖的通用操作系统。绝大多数政务系统是通过基于TCP/IP协议的互联网提供政务服务的，而互联网由于自身安全性不足，给电子政务信息系统带来更为严峻的问题。

　　其次，随着国际网络大环境的改变，威胁表现出了多样化，多源化的特点。威胁并不是单纯的来自外部，很多情况下也来自内部，所以针对电子政务信息系统应该构建一个立体的、纵深的、全方位的解决方案。而系统的日趋复杂，又为可控性不断提出挑战。

　　在过去几年中，有很多政府部门对自身的电子政务系统进行了大量的安全建设和投入，但安全建设的主要内容是安全设备的采购。这些设备虽然产生了海量的日志及报警信息，但得到的信息却并没有被很好的利用，许多未被明确的风险，依然保留在信息系统当中。

　　电子政务信息安全管理的政策要求

　　中办27号文件中明确提出了建立等级保护制度和风险管理体系的要求。今年初，公安部等国家四部委联合推出信息安全等级保护要求、测评准则和实施指南，为政务领域进一步建立政务信息系统风险管理体系提供了技术基础和指导。

　　随着政府机构的信息安全基础建设日趋完善，建立一套信息安全管理系统也日益迫切。许多政府部门已经开始通过建立本部门的信息安全管理平台，实现了信息安全管理职能，优化了政府信息主管部门的工作。

　　信息安全管理平台在电子政务系统中的作用

　　信息安全管理平台在信息安全管理中具有十分重要的作用，它位于管理层次模型中人与各安全设备之间，主要由安全信息采集平台和安全风险管理平台两大部分组成，分别为技术层面、管理层面和决策层面提供相应的用户接口。

　　在技术层面，信息安全管理平台集中管理不同的安全设备，帮助操作者综合分析各个设备产生的报警信息，对重要资产实施完善的管理和等级保护。

　　在运营层面，信息安全管理平台帮助管理者准确分析现有系统面临的威胁，并排列有限顺序，理顺安全事件的管理流程，制定合理的应急响应流程和规范。

　　在决策层面，电子政务信息主管可以从政务风险层面理解安全事件，通过对风险进行量化，实现对政务系统的风险监控和管理，同时帮助信息主管计算和跟踪安全投资回报率，便于在后期优化信息安全投资。