Describir los principales contenidos de la seguridad del gobierno electrónico.
Las amenazas a la seguridad que enfrenta el gobierno electrónico incluyen piratas informáticos y delitos de redes, la propagación y propagación de virus de redes, espionaje de información y robo de secretos, ataques y destrucción por parte de organizaciones terroristas de redes, violaciones internas y operaciones ilegales. sistemas de red La fragilidad y parálisis de los productos de información y la pérdida de control de los productos de información deberían despertar una vigilancia suficiente y tomar medidas de seguridad para hacer frente a este desafío.
Objetivos y estrategias de seguridad del gobierno electrónico
El objetivo de seguridad del gobierno electrónico es proteger el valor de los recursos de información del gobierno contra infracciones y garantizar que los propietarios de los activos de información enfrenten riesgos mínimos y obtener Maximizar las ganancias de seguridad al permitir que la infraestructura de información gubernamental, los servicios de aplicaciones de información y el contenido de la información tengan confidencialidad, integridad, autenticidad, disponibilidad y controlabilidad para resistir las amenazas anteriores.
Para alcanzar los objetivos anteriores se debe adoptar una estrategia de seguridad proactiva:
Participación social y liderada por el Estado. La seguridad del gobierno electrónico está relacionada con la toma de decisiones de la oficina del gobierno, la supervisión administrativa y la implementación creíble y de alta calidad de los servicios públicos. Sólo con una planificación nacional general y una participación social activa se podrá garantizar eficazmente la seguridad del gobierno electrónico.
Gobernanza global y defensa activa. La seguridad del gobierno electrónico debe adoptar medidas de gobernanza global, como disuasión legal, restricciones de gestión, soporte técnico y soporte de infraestructura de seguridad, e implementar medidas de defensa activa como protección, detección, recuperación y contramedidas para ser más eficaz.
Nivel de protección y desarrollo. La fortaleza del mecanismo de seguridad y el nivel de solidez del soporte de la tecnología de seguridad apropiados deben seleccionarse en función del nivel de valor de la información y el nivel de amenazas que enfrenta, y debe encontrarse un equilibrio entre la inversión y la tolerancia al riesgo para garantizar el desarrollo sano y positivo de la empresa. sistema de gobierno electrónico.
Marco del sistema de seguridad del gobierno electrónico
La seguridad del gobierno electrónico adopta la estrategia de "promoción estatal, participación social, gobernanza integral, defensa activa, protección jerárquica y desarrollo garantizado". En vista del hecho de que la seguridad de la información del gobierno electrónico se enfrenta a una confrontación de alta tecnología y una lucha integral que involucra muchos campos como el derecho, la gestión, las normas, la tecnología, los productos, los servicios, la infraestructura, etc., es necesario construir su marco de sistema de seguridad desde una perspectiva general para garantizar la seguridad del desarrollo saludable del gobierno electrónico.
El sistema de seguridad del gobierno electrónico consta de seis elementos principales, a saber, regulaciones de seguridad, gestión de seguridad, estándares de seguridad, servicios de seguridad, productos de tecnología de seguridad e infraestructura de seguridad.
Elemento 1: Leyes y políticas de seguridad
El contenido y los procesos de trabajo del gobierno electrónico involucran secretos nacionales y asuntos gubernamentales centrales, y su seguridad está relacionada con la soberanía nacional, la seguridad nacional e intereses públicos. Por lo tanto, la implementación segura y la garantía del gobierno electrónico deben solidificarse en forma de leyes y regulaciones nacionales, formando un código de conducta para la implementación y operación del gobierno electrónico, convirtiéndose en una base importante para los intercambios internacionales de gobierno electrónico. proteger los derechos e intereses legítimos de las personas respetuosas de la ley y de las personas respetuosas de la ley, y proporcionar una base legal para que los reguladores y los agentes del orden infrinjan la ley.
La "Ley de la República Popular China sobre la Protección de los Secretos de Estado" lleva más de diez años implementada y ya no se adapta del todo a la situación actual del trabajo de seguridad de mi país, especialmente la de la República Popular China. desarrollo de los asuntos de gobierno electrónico y necesita ser revisado urgentemente.
La divulgación de información gubernamental es un principio importante del gobierno electrónico.
Para acortar la distancia entre el gobierno y el público, permitir que el público tenga derecho a conocer, participar, supervisar y disfrutar de los servicios gubernamentales, brindar al público buenos servicios de información, aprovechar plenamente los máximos beneficios de la información gubernamental, gobierno abierto. Los recursos de información (no estatales, confidenciales y abiertos) al servicio del pueblo son una característica importante del gobierno electrónico. Es muy beneficioso y necesario garantizar el intercambio normal de información entre departamentos gubernamentales, garantizar el disfrute legal de la información por parte del público, romper el monopolio y el bloqueo de los recursos de información del gobierno y mejorar la transparencia y el proceso democrático de la gestión administrativa del gobierno.
El gobierno electrónico necesita urgentemente protección legislativa de las firmas y documentos electrónicos. Casi 20 países han legislado sobre firmas digitales y documentos electrónicos, dándoles efecto legal en el funcionamiento del gobierno y el comercio electrónicos. Esto promoverá en gran medida el desarrollo saludable del gobierno electrónico y el comercio electrónico, transformará el sistema de doble vía original de gobierno electrónico en un sistema de vía única, lo que ayudará a simplificar los procedimientos, reducir costos y demostrar plenamente los beneficios del gobierno electrónico. -gobierno.
Con el desarrollo del gobierno electrónico, la demanda de protección de datos personales (ley de privacidad) se ha vuelto cada vez más prominente. En el proceso de supervisión administrativa y la implementación del servicio público del gobierno electrónico, una gran cantidad de información personal (personas físicas y jurídicas), como el registro de hogares, el pago de impuestos, la seguridad social, el crédito y otra información, ha ingresado a la base de datos de información de la red gubernamental. que ha desempeñado un papel muy importante en la realización de las funciones del gobierno electrónico. Sin embargo, si esta información personal no se protege eficazmente o se divulga accidentalmente, se abusará ilegalmente de ella. Puede ser una herramienta de venganza, robo, promoción, cobro de deudas y acecho. En el extranjero, también ha habido casos en los que información de privacidad personal robada se vendió como bienes ilegales para obtener enormes ganancias, perjudicando directamente los intereses personales e incluso poniendo en peligro la vida personal. Por lo tanto, es necesario acelerar la formulación de leyes de protección de datos personales.
Muchas leyes y regulaciones están directamente relacionadas con el sano desarrollo de los asuntos de gobierno electrónico, por lo que es imperativo acelerar la formulación de estas leyes y regulaciones.
Elemento 2 Organización y gestión de la seguridad
Se ha formado el patrón funcional de gestión de la seguridad de la información en mi país: el Ministerio de Seguridad Nacional, la Administración Nacional del Secreto y el Comité Nacional de Gestión de Criptografía. , el Ministerio de Industria de la Información y el Departamento de Estado Mayor respectivamente Realizan sus respectivas funciones de seguridad y mantienen la seguridad de la información nacional. La gestión de la seguridad del gobierno electrónico involucra a múltiples departamentos funcionales de seguridad nacional mencionados anteriormente, y la coordinación de sus funciones de gestión de la seguridad debe estar dirigida por la organización nacional de información. Como el Grupo Líder Nacional y su oficina, el Grupo Nacional de Coordinación de Gobierno Electrónico, el Grupo Nacional de Coordinación de Seguridad de la Información, etc. Es necesario que todas las regiones y ministerios establezcan las correspondientes instituciones de gestión de la seguridad de la información, mejoren y fortalezcan la gestión de la seguridad de la información y formen un sistema organizativo de gestión de la seguridad de la información de arriba hacia abajo.
Formular y emitir diversas regulaciones de gestión relacionadas con la seguridad del gobierno electrónico y orientar con prontitud diversos comportamientos de la construcción del gobierno electrónico, desde el establecimiento del proyecto, la contratación, la adquisición, el diseño, la implementación, la operación, la supervisión y el servicio. , etc. Comience en cada etapa para garantizar que la gestión de seguridad de todo el proceso de construcción del sistema de gobierno electrónico esté programada e institucionalizada.
La división y gestión de los dominios de seguridad de la información del gobierno electrónico son muy importantes. Hay tres tipos de servicios de gobierno electrónico: toma de decisiones en oficinas, supervisión administrativa y servicios públicos. La información comercial involucra secretos de estado, secretos de trabajo de departamentos, información interna sensible e información de servicio público. Es necesario proteger los secretos de Estado y facilitar los servicios públicos. Por lo tanto, la división científica y la gestión de los dominios de seguridad de la información favorecerán el diseño de seguridad de las plataformas de redes de gobierno electrónico y la realización sana y eficaz del gobierno electrónico.
Formular métodos de gestión de certificación de calificación de integradores de proyectos de gobierno electrónico, métodos de gestión de agencias de supervisión de la construcción de proyectos y mecanismos y medidas de gestión de subcontratistas de proyectos para garantizar la calidad y seguridad de la construcción de proyectos de gobierno electrónico, especialmente la subcontratación de gobiernos electrónicos. sistemas. La construcción de proyectos de sistemas relacionados con secretos de gobierno electrónico también debe contar con un certificado de calificación de integración de sistemas relacionados con secretos emitido por la Oficina de Seguridad Nacional. Las demás partes deberán contar con los certificados de calificación de los integradores de sistemas correspondientes en el país o provincia donde se encuentren. Para la parte confidencial de los asuntos de gobierno electrónico, no se permiten la delegación ni la subcontratación, y otras partes de los asuntos de gobierno electrónico se implementarán de acuerdo con las normas de gestión pertinentes.
Para los productos de seguridad de la información utilizados en proyectos de gobierno electrónico, el estado formulará las políticas de gestión de adquisiciones correspondientes. Los productos de seguridad de la información que involucran contraseñas deben tener un certificado de aprobación de la Administración Estatal de Criptozoología, y los productos de seguridad de la información deben tener un certificado de evaluación de seguridad de una agencia de evaluación nacional para mantener la credibilidad de los productos de seguridad de la información.
De acuerdo con los requisitos de gestión, el contenido de la información del sistema de gobierno electrónico se puede monitorear y administrar de forma segura para proteger la seguridad de la información gubernamental, evitar posibles fugas de red causadas por violaciones internas o intrusiones externas y evitar daños. contenido de información de ser expuesto en el gobierno Difusión en Internet.
Desarrollar la gestión de personal, gestión de organizaciones, gestión de documentos, gestión de operaciones, gestión de activos y configuración, gestión de medios, gestión de servicios, gestión de emergencias, gestión de confidencialidad, gestión de fallas, gestión de desarrollo y mantenimiento, gestión de aseguramiento de la continuidad de operaciones, Las normas regulan la gestión del cumplimiento, la gestión del entorno físico y otras reglas y regulaciones. Garantizar el funcionamiento seguro de los sistemas de gobierno electrónico.
Estándares y especificaciones de seguridad del Elemento 3
Los estándares de seguridad de la información favorecen la estandarización de los productos de seguridad, garantizan la seguridad y credibilidad de los productos, logran la interconexión e interoperabilidad de los productos y respaldan los sistemas de gobierno electrónico. La interconexión, actualización y escalabilidad apoyan la valoración y evaluación de la seguridad del sistema y garantizan la seguridad y confiabilidad de los sistemas de gobierno electrónico.
China ha establecido oficialmente el Comité de Estandarización de Seguridad de la Información y recientemente estableció el Sistema y Coordinación de Estándares de Seguridad de la Información (WG1), la Clasificación e Identificación de Seguridad de Contenido (WG2), el Algoritmo de Criptozoología y el Módulo de Criptomonedas/KMI/VPN ( WG3), PKI/PMI (WG4), evaluación de la seguridad de la información (WG5), seguridad de sistemas operativos y bases de datos (WG6), protocolo de autenticación y reconocimiento de identidad (WG9) y otros grupos de trabajo. El Grupo de Trabajo sobre Seguridad de Bases de Datos y Sistemas Operativos (WG10) formula estándares relacionados con la seguridad del gobierno electrónico y respalda los requisitos de seguridad del gobierno electrónico para el desarrollo de estándares.
También se formularán los siguientes estándares: formato de clasificación y etiquetado de documentos electrónicos confidenciales, clasificación y etiquetado de contenidos seguros, clasificación y etiquetado de contenidos sensibles, estándares de algoritmos criptográficos, estándares de módulos criptográficos, gestión de claves estándares, estándares PKI/CA, estándares PMI, evaluación de seguridad de sistemas de información y estándares de evaluación de productos de seguridad de la información, niveles de respuesta de emergencia, niveles de objetivos de protección, indicadores de respuesta de emergencia, recuperación y extracción de evidencia electrónica, definición de validez de evidencia electrónica, protección de evidencia electrónica, reconocimiento de identidad y Autenticación, nivel de seguridad de la base de datos, nivel de seguridad del sistema operativo, nivel de seguridad del middleware, especificaciones de interfaz del producto de seguridad de la información y firmas digitales.
Factor 4 Seguridad y Servicio 1. En la construcción de sistemas de gobierno electrónico, es necesario construir su marco de seguridad técnica y establecer un sistema de defensa en profundidad para sistemas de gobierno electrónico a gran escala.
Desarrollar estrategias de seguridad y control para la intranet gubernamental;
Establecer estrategias de seguridad y control para la extranet gubernamental;
Establecer servicios de seguridad y estrategias de control para el acceso a la red Internet ;
Establecer servicios de seguridad y estrategias de control para troncales de redes públicas arrendadas, incluidos servicios de seguridad y estrategias de control para comunicaciones por cable, comunicaciones inalámbricas y comunicaciones por satélite;
Establecer servicios de seguridad para informática gubernamental entornos y mecanismos.
Adoptar una defensa en profundidad y en múltiples niveles son principios importantes para la seguridad del gobierno electrónico. A través de la protección de seguridad general, la detección de seguridad, la respuesta rápida, la gestión de seguridad integral y el control de vinculación de las instalaciones de seguridad, el sistema puede lograr las capacidades de protección, detección, respuesta y recuperación.
2. Promover métodos de control de ingeniería de seguridad de sistemas de información (ISSE) del gobierno electrónico para cumplir plenamente con los requisitos de los servicios de seguridad.
En el diseño de un sistema de seguridad de gobierno electrónico, primero debemos analizar el valor de los activos del sistema, como el valor de los activos físicos (entorno del sistema, hardware, software del sistema), el valor de los activos de información, y la relación entre sus datos y los intereses nacionales, la relevancia de los intereses departamentales, sus sistemas comerciales (modelos, procesos, software de aplicación) se beneficiarán del funcionamiento normal, determinando así los objetivos de protección de la seguridad del sistema; Con base en el análisis anterior, se proponen los requisitos de seguridad de todo el sistema de seguridad y se aclaran aún más las funciones de seguridad que deben proporcionarse para cumplir con estos requisitos de seguridad. Luego explore los tipos de amenazas que el sistema puede enfrentar y descubra las vulnerabilidades del propio sistema.
Estas amenazas y vulnerabilidades son las siguientes:
Hacking de Internet y delitos informáticos;
La propagación y destrucción de virus de red;
La pérdida de información confidencial y la infiltración de espías de inteligencia;
Ciberterrorismo y guerra de información;
Iniciados que violan reglas y regulaciones;
Productos de seguridad en línea que pierden el control;
Vulnerabilidades y debilidades de la red y del propio sistema.
Ante estas amenazas es necesario analizar a qué amenazas se enfrenta el sistema principalmente, cuáles son secundarias y cuánto impacto tienen en el sistema y las tareas. Realice análisis cualitativos y cuantitativos, proponga contramedidas de seguridad del sistema, determine la tolerancia al riesgo, encuentre el punto de equilibrio entre la inversión y la tolerancia al riesgo y luego determine los servicios de seguridad y los mecanismos de seguridad correspondientes requeridos por el sistema (consulte la Tabla 1), configurando así la seguridad de los elementos del sistema. Los procesos de gestión de riesgos y toma de decisiones sobre riesgos deben ocurrir durante todo el ciclo de vida del proyecto.
Cuando un sistema se pone en funcionamiento, su seguridad debe evaluarse de manera efectiva, es decir, la evidencia de evaluación proporcionada por el evaluador y las instalaciones de soporte técnico adoptadas por el constructor pueden realmente convencer al propietario del sistema de que el Se han seleccionado contramedidas técnicas, reduciendo verdaderamente el riesgo de seguridad del sistema, cumpliendo con la estrategia de riesgo necesaria (la estrategia de riesgo puede ser una estrategia de riesgo "cero", una estrategia de riesgo mínimo, una estrategia de riesgo máximo tolerable o una estrategia libre de riesgo). estrategia), y hacer que alcance lo necesario para proteger el valor de las capacidades de los activos del sistema (ver Figura 3). El proceso de evaluación eficaz descrito anteriormente puede ser seguro.
IATRn=f(Vn, Tn, SMLn, EALn)
Tn: Nivel de amenaza
Vn: Nivel de valor del activo
SMLn : Nivel de fortaleza de los mecanismos de seguridad
EALn: Nivel de soporte de evaluación
Elemento 5: Tecnologías y productos de seguridad
1. Fortalecer la investigación y el desarrollo independientes de tecnologías y sistemas de seguridad. Innovación de productos.
Debido a la naturaleza secreta de estado del gobierno electrónico, la seguridad de la ingeniería de sistemas de gobierno electrónico requiere una variedad de tecnologías y productos de seguridad de la información con derechos de propiedad intelectual independientes. Promover integralmente la investigación, el desarrollo y la innovación independientes de estas tecnologías y productos es una necesidad para la seguridad del gobierno electrónico. Estos productos y tecnologías se pueden dividir en seis categorías:
Categorías básicas: control de riesgos, arquitectura, ingeniería de protocolos, evaluación efectiva, métodos de ingeniería;
Categorías clave: contraseñas, conceptos básicos de seguridad, Seguridad de contenidos, antivirus, IDS, VPN, RBAC, auditoría sólida, barreras de seguridad fronteriza.
Salir;
Categorías de sistema: PKI, PMI, DRI, aviso de red, gestión integral, PMI;
Categorías de aplicación: EC, EG, NB, NS , NM, WF, XML, CSCW;;
Física y medio ambiente: TEMPEX, identificación física;
Previsión: tecnología inmune, criptografía cuántica, tecnología de deriva, comprensión y reconocimiento semántico.
2. Selección de productos de seguridad para gobierno electrónico.
La seguridad de todo el gobierno electrónico implica el respaldo general y la disposición científica de los productos de seguridad de la información. La selección de productos debe considerar plenamente la autonomía del producto y la controlabilidad independiente.
Los productos pueden incluir sistemas operativos seguros, plataformas de hardware seguras, bases de datos seguras, PKI/CA, PMI, VPN, puertas de enlace de seguridad, firewalls, máquinas de cifrado de datos, detección de intrusiones (IDS), escaneo de vulnerabilidades y virus informáticos. Herramientas de prevención, sólidas herramientas de auditoría, Web segura, correo electrónico seguro, plataforma integral de administración de instalaciones de seguridad, productos de filtrado e identificación de contenido, respaldo de seguridad, protección contra fugas electromagnéticas, cliente de aislamiento de seguridad y puerta de enlace de seguridad.
Elemento 6: Infraestructura de seguridad
La infraestructura de seguridad de la información es una infraestructura social que proporciona servicios de seguridad de la información y soporte a los sujetos de aplicación del sistema de información y a los sujetos encargados de hacer cumplir la ley de seguridad de la información. La configuración rápida del mecanismo de protección de seguridad para las entidades de aplicaciones de información promueve el desarrollo saludable de los negocios de aplicaciones de información, favorece la estandarización de las tecnologías y productos de seguridad de la información, mejora su credibilidad y favorece la supervisión y aplicación de la ley de los departamentos funcionales de seguridad de la información. . Es propicio para mejorar la transferencia de seguridad de la información y las habilidades de protección de toda la sociedad, y es propicio para la construcción del sistema nacional de seguridad de la información. Por lo tanto, para promover el desarrollo del gobierno electrónico, debemos prestar atención a la construcción de una infraestructura de seguridad de la información relevante.
Existen dos tipos de infraestructura de seguridad de la información.
1. Servicios públicos sociales
Sistema de autorización de confianza basado en certificado digital PKI/PMI:
Evaluación y valoración de productos y sistemas de seguridad de la información basados en CC/ Sistema TCSEC:
Sistema de servicio y prevención de virus informáticos;
Sistema de soporte y respuesta de emergencia en red;
Infraestructura de recuperación ante desastres;
Basado en sobre la infraestructura de gestión clave de KMI.
2. Supervisión administrativa y aplicación de la ley
Sistema de monitoreo de seguridad del contenido de la información de la red;
Sistema de monitoreo y prevención de delitos en Internet;
Electrónico información Sistema de supervisión de seguridad;
Sistema antirrobo y control de detección de red;
Sistema de monitoreo, alerta temprana y contraataque de red.