Describa brevemente cómo dividir la estructura de contenido de los sitios web de gobierno electrónico.
Las amenazas a la seguridad que enfrenta el gobierno electrónico incluyen piratas informáticos y delitos de redes, la propagación y propagación de virus de redes, espionaje de información y robo de secretos, ataques y destrucción por parte de organizaciones terroristas de redes, operaciones ilegales por parte de personas internas y la vulnerabilidad de los sistemas de red y la parálisis, la pérdida de control de los productos de información, etc. , debería despertar suficiente vigilancia y tomar medidas de seguridad para hacer frente a este desafío.
Objetivos y estrategias de seguridad del gobierno electrónico
El objetivo de seguridad del gobierno electrónico es proteger el valor de los recursos de información del gobierno contra infracciones y garantizar que los propietarios de los activos de información enfrenten riesgos mínimos y obtener Maximizar las ganancias de seguridad al permitir que la infraestructura de información gubernamental, los servicios de aplicaciones de información y el contenido de la información tengan confidencialidad, integridad, autenticidad, disponibilidad y controlabilidad para resistir las amenazas anteriores.
Para alcanzar los objetivos anteriores se debe adoptar una estrategia de seguridad activa:
Liderazgo del Estado y participación social. La seguridad de los asuntos del gobierno electrónico está relacionada con la toma de decisiones de la oficina gubernamental, la supervisión administrativa y la implementación creíble y de alta calidad de los servicios públicos. Sólo con una planificación nacional general y una participación social activa se podrá garantizar eficazmente la seguridad de los asuntos del gobierno electrónico.
Gobernanza global y defensa activa. Para ser más eficaz, la seguridad del gobierno electrónico debe adoptar medidas generales de gobernanza de disuasión legal, restricciones de gestión, soporte técnico y soporte de infraestructura de seguridad, e implementar métodos de defensa activa de protección, detección, recuperación y contramedidas.
Protección de grados para garantizar el desarrollo. Con base en el nivel de valor de la información y el nivel de amenazas que enfrenta, se debe seleccionar el nivel de fortaleza del mecanismo de seguridad y el nivel de solidez del soporte de la tecnología de seguridad apropiados para buscar un equilibrio entre la inversión y la tolerancia al riesgo para garantizar el desarrollo saludable y positivo de la e. -sistema de gobierno.
Marco del sistema de seguridad del gobierno electrónico
La seguridad del gobierno electrónico adopta la estrategia de "promoción estatal, participación social, gobernanza integral, defensa activa, protección jerárquica y desarrollo garantizado". En vista del hecho de que la seguridad de la información del gobierno electrónico se enfrenta a una confrontación de alta tecnología y una lucha integral que involucra muchos campos como el derecho, la gestión, las normas, la tecnología, los productos, los servicios, la infraestructura, etc., es necesario construir su marco de sistema de seguridad desde una perspectiva general para garantizar la seguridad del desarrollo saludable del gobierno electrónico.
El sistema de seguridad del gobierno electrónico consta de seis elementos, a saber, normas de seguridad, gestión de seguridad, estándares de seguridad, servicios de seguridad, productos de tecnología de seguridad e infraestructura de seguridad.
Elemento 1: Leyes y políticas de seguridad
El contenido y los procesos de trabajo del gobierno electrónico involucran secretos nacionales y asuntos gubernamentales centrales, y su seguridad está relacionada con la soberanía nacional, la seguridad nacional e intereses públicos. Por lo tanto, la implementación segura y la garantía del gobierno electrónico deben solidificarse en forma de leyes y regulaciones nacionales, formando un código de conducta para la implementación y operación del gobierno electrónico, convirtiéndose en una base importante para los intercambios internacionales de gobierno electrónico. proteger los derechos e intereses legítimos de las personas respetuosas de la ley y de las personas que respetan la ley, y proporcionar una base legal para que los reguladores y los agentes del orden infrinjan la ley.
La "Ley de la República Popular China sobre la Protección de los Secretos de Estado" lleva más de diez años implementada y ya no se adapta del todo a la situación actual del trabajo de seguridad de mi país, especialmente el de la seguridad. desarrollo de los asuntos de gobierno electrónico y necesita ser revisado urgentemente.
La divulgación de información gubernamental es un principio importante del gobierno electrónico. Para acortar la distancia entre el gobierno y el público, permitir que el público tenga derecho a conocer, participar, supervisar y disfrutar de los servicios gubernamentales, proporcionar al público buenos servicios de información, aprovechar plenamente los máximos beneficios de la información gubernamental y abrir Los recursos de información del gobierno (sin participación, confidenciales y aptos para su divulgación) al servicio del pueblo son una característica importante del gobierno electrónico.
Formule una "Ley de divulgación de información gubernamental" lo antes posible, descifre y estandarice adecuadamente las reglas de divulgación, garantice intercambios normales de información entre departamentos gubernamentales, garantice el disfrute legal de la información por parte del público, rompa el monopolio y el bloqueo de los recursos de información gubernamentales y mejore la transparencia. y proceso democrático de gestión administrativa gubernamental, es muy útil y necesario.
El gobierno electrónico necesita urgentemente protección legislativa para las firmas y los documentos electrónicos. Casi 20 países han legislado firmas digitales y documentos electrónicos para darles efecto legal en el funcionamiento del gobierno y el comercio electrónicos. Esto promoverá en gran medida el desarrollo saludable del gobierno electrónico y el comercio electrónico, transformará el sistema de doble vía original de gobierno electrónico en un sistema de vía única, lo que ayudará a simplificar los procedimientos, reducir costos y demostrar plenamente los beneficios del gobierno electrónico. -gobierno.
Con el desarrollo del gobierno electrónico, la demanda de protección de datos personales (ley de privacidad) se ha vuelto cada vez más prominente. En el proceso de implementación de la supervisión administrativa y los servicios públicos en el gobierno electrónico, existe una gran cantidad de información personal (personas físicas y jurídicas), como registro de hogares, pago de impuestos, seguridad social, crédito y otra información. Esta información ingresa a la base de datos de información de la red gubernamental, que es muy importante para completar diversas funciones del gobierno electrónico. Sin embargo, si esta información personal no se protege adecuadamente, se filtra accidentalmente o se abusa ilegalmente de ella, puede convertirse en una herramienta de represalias, robo, promoción, cobro de deudas y seguimiento. En países extranjeros, ha habido casos en los que la información de privacidad personal robada se vende como bienes ilegales para obtener enormes ganancias, dañando directamente los intereses personales e incluso poniendo en peligro la seguridad de la vida personal. Por lo que es necesario acelerar la formulación de la Ley de Protección de Datos Personales.
Existen muchas leyes y regulaciones que están directamente relacionadas con el sano desarrollo de los asuntos de gobierno electrónico, por lo que es imperativo acelerar la formulación de estas leyes y regulaciones.
Elemento 2 Organización y gestión de la seguridad
Se ha formado el patrón de funciones de gestión de la seguridad de la información de China, como el Ministerio de Seguridad Nacional, la Administración Nacional del Secreto y el Comité Nacional de Gestión de Criptografía. , el Ministerio de Industria de la Información y el Estado Mayor Los ministerios... desempeñan sus respectivas funciones de seguridad y mantienen la seguridad de la información nacional. La gestión de la seguridad del gobierno electrónico involucra a los múltiples departamentos funcionales de seguridad nacional antes mencionados, y la coordinación de sus funciones de gestión de la seguridad debe ser llevada a cabo por la agencia nacional de liderazgo en información, como el grupo de liderazgo nacional y su oficina, el gobierno electrónico nacional. grupo de coordinación gubernamental, el grupo de coordinación nacional de seguridad de la información, etc. Es necesario que todas las regiones y ministerios establezcan las correspondientes instituciones de gestión de la seguridad de la información, mejoren y fortalezcan la gestión de la seguridad de la información y formen un sistema organizativo de gestión de la seguridad de la información de arriba hacia abajo.
Formular y emitir diversas regulaciones de gestión relacionadas con la seguridad del gobierno electrónico y orientar con prontitud diversos comportamientos de la construcción del gobierno electrónico, desde el establecimiento del proyecto, la contratación, la adquisición, el diseño, la implementación, la operación, la supervisión, el servicio y otras etapas, para garantizar la gestión de seguridad de todo el proceso de construcción del sistema de gobierno electrónico.
La división y gestión de los campos de seguridad de la información del gobierno electrónico son muy importantes. El gobierno electrónico tiene tres tipos de negocios: toma de decisiones de oficina, supervisión administrativa y servicios públicos. Su información comercial involucra secretos de estado, secretos de trabajo departamentales, información interna sensible e información de servicio público. Debido a la necesidad de proteger los secretos nacionales y facilitar los servicios públicos, la división científica y la gestión de los dominios de seguridad de la información conducirán al diseño de seguridad de las plataformas de redes de gobierno electrónico y a la realización saludable y efectiva del gobierno electrónico.
Formular métodos de gestión de certificación de calificación de integradores de proyectos de gobierno electrónico, métodos de gestión de agencias de supervisión de construcción de proyectos y mecanismos y métodos de gestión de subcontratistas de proyectos para garantizar la calidad y seguridad de la construcción de proyectos de gobierno electrónico, especialmente el gobierno electrónico. sistema de subcontratación del sistema. La construcción de proyectos de sistemas relacionados con secretos de gobierno electrónico también debe tener un certificado de calificación de integración de sistemas relacionados con secretos emitido por la Oficina de Seguridad Nacional, y otras partes deben tener certificados de calificación de los integradores de sistemas nacionales, provinciales o municipales correspondientes. Para la parte confidencial de los asuntos de gobierno electrónico, no se permiten el alojamiento ni la subcontratación, y otras partes de los asuntos de gobierno electrónico se implementarán de acuerdo con las normas de gestión pertinentes.
Para los productos de seguridad de la información utilizados en proyectos de gobierno electrónico, el estado formulará las políticas de gestión de adquisiciones correspondientes. Los productos de seguridad de la información que involucran contraseñas necesitan un certificado de aprobación de la Administración Estatal de Criptozoología, y los productos de seguridad de la información deben tener un certificado de evaluación de seguridad de una agencia de evaluación nacional para mantener la credibilidad de los productos de seguridad de la información.
De acuerdo con los requisitos de gestión, el contenido de la información del sistema de gobierno electrónico se puede monitorear y administrar de forma segura para proteger la seguridad de la información gubernamental, evitar posibles fugas de red causadas por violaciones internas o intrusiones externas y evitar daños. contenido de información de ser expuesto en el gobierno Difusión en Internet.
Desarrollar la gestión de personal, gestión de organizaciones, gestión de documentos, gestión de operaciones, gestión de activos y configuración, gestión de medios, gestión de servicios, gestión de emergencias, gestión de confidencialidad, gestión de fallas, gestión de desarrollo y mantenimiento, gestión de aseguramiento de la continuidad de operaciones, Las normas regulan la gestión del cumplimiento, la gestión del entorno físico y otras reglas y regulaciones.
Garantizar el funcionamiento seguro de los sistemas de gobierno electrónico.
Estándares y especificaciones de seguridad del Elemento 3
Los estándares de seguridad de la información favorecen la estandarización de los productos de seguridad, garantizan la seguridad y credibilidad de los productos, logran la interconexión e interoperabilidad de los productos y respaldan la seguridad electrónica. Sistemas gubernamentales La interconexión, actualización y escalabilidad apoyan la valoración y evaluación de la seguridad del sistema y garantizan la seguridad y confiabilidad de los sistemas de gobierno electrónico.
China ha establecido oficialmente el Comité de Estandarización de Seguridad de la Información y recientemente estableció el Sistema y Coordinación de Estándares de Seguridad de la Información (WG1), la Clasificación e Identificación de Seguridad de Contenido (WG2), el Algoritmo Criptozoológico y el Módulo de Criptomonedas/KMI/VPN ( WG3), PKI/PMI (WG4), evaluación de la seguridad de la información (WG5), seguridad de sistemas operativos y bases de datos (WG6), protocolo de autenticación y reconocimiento de identidad (WG9) y otros grupos de trabajo. El Grupo de Trabajo sobre Seguridad de Bases de Datos y Sistemas Operativos (WG10) formula estándares relacionados con la seguridad del gobierno electrónico y respalda los requisitos de seguridad del gobierno electrónico para el desarrollo de estándares.
También se formularán los siguientes estándares: formato de clasificación y etiquetado de documentos electrónicos confidenciales, clasificación y etiquetado de contenidos seguros, clasificación y etiquetado de contenidos sensibles, estándares de algoritmos criptográficos, estándares de módulos criptográficos, gestión de claves estándares, estándares PKI/CA, estándares PMI, evaluación de seguridad de sistemas de información y estándares de evaluación de productos de seguridad de la información, niveles de respuesta de emergencia, niveles de objetivos de protección, indicadores de respuesta de emergencia, recuperación y extracción de evidencia electrónica, definición de validez de evidencia electrónica, protección de evidencia electrónica, reconocimiento de identidad y Autenticación, nivel de seguridad de la base de datos, nivel de seguridad del sistema operativo, nivel de seguridad del middleware, especificaciones de interfaz del producto de seguridad de la información y firmas digitales.
Elemento 4 Seguridad y Servicio 1. En la construcción de sistemas de gobierno electrónico, es necesario construir su marco de seguridad técnica y establecer un sistema de defensa en profundidad para sistemas de gobierno electrónico a gran escala.
Desarrollar estrategias de seguridad y control para la intranet gubernamental;
Establecer estrategias de seguridad y control para la extranet gubernamental;
Establecer servicios de seguridad y estrategias de control para el acceso a la red Internet ;
Establecer servicios de seguridad y estrategias de control para troncales de redes públicas arrendadas, incluidos servicios de seguridad y estrategias de control para comunicaciones por cable, comunicaciones inalámbricas y comunicaciones por satélite;
Establecer servicios de seguridad para informática gubernamental entornos y mecanismos.
Adoptar una defensa en profundidad y en múltiples niveles son principios importantes para la seguridad del gobierno electrónico. A través de la protección de seguridad general, la detección de seguridad, la respuesta rápida, la gestión de seguridad integral y el control de vinculación de las instalaciones de seguridad, el sistema puede lograr las capacidades de protección, detección, respuesta y recuperación.
2. Promover métodos de control de ingeniería de seguridad de sistemas de información (ISSE) del gobierno electrónico para cumplir plenamente con los requisitos de los servicios de seguridad.
En el diseño de un sistema de seguridad de gobierno electrónico, primero debemos analizar el valor de los activos del sistema, como el valor de los activos físicos (entorno del sistema, hardware, software del sistema), el valor de los activos de información, y la relación entre sus datos y los intereses nacionales, la relevancia de los intereses departamentales, sus sistemas comerciales (modelos, procesos, software de aplicación) se beneficiarán del funcionamiento normal, determinando así los objetivos de protección de la seguridad del sistema; Con base en el análisis anterior, se proponen los requisitos de seguridad de todo el sistema de seguridad y se aclaran aún más las funciones de seguridad que deben proporcionarse para cumplir con estos requisitos de seguridad. Luego explore los tipos de amenazas que el sistema puede enfrentar y descubra las vulnerabilidades del propio sistema. Estas amenazas y vulnerabilidades son las siguientes:
Hackers de Internet y delitos informáticos;
La propagación y destrucción de virus de red;
La pérdida de información confidencial y la infiltración de espías de inteligencia;
Ciberterrorismo y guerra de información;
Iniciados que violan reglas y regulaciones;
Productos de seguridad en línea que pierden el control;
Vulnerabilidades y debilidades de la red y del propio sistema.
Ante estas amenazas es necesario analizar cuáles son las principales amenazas que enfrenta el sistema, cuáles son secundarias y qué impacto tienen en el sistema y las tareas. Realice análisis cualitativos y cuantitativos, proponga contramedidas de seguridad del sistema, determine la tolerancia al riesgo, encuentre el punto de equilibrio entre la inversión y la tolerancia al riesgo y luego determine los servicios de seguridad y los mecanismos de seguridad correspondientes requeridos por el sistema (consulte la Tabla 1), configurando así la seguridad de los elementos del sistema. Los procesos de gestión de riesgos y toma de decisiones sobre riesgos deben llevarse a cabo durante todo el ciclo de vida del proyecto (ver Figura 2). Este tipo de gestión de riesgos debería abarcar todo el proceso de gobierno electrónico.
Cuando el sistema se pone en funcionamiento, su seguridad debe evaluarse de manera efectiva, es decir, la evidencia de evaluación proporcionada por el evaluador y las instalaciones de soporte técnico adoptadas por el constructor pueden realmente convencer al propietario del sistema de que el Se han seleccionado contramedidas técnicas, reduciendo verdaderamente el riesgo de seguridad del sistema y cumpliendo con la estrategia de riesgo necesaria (la estrategia de riesgo puede ser una estrategia de riesgo "cero", una estrategia de riesgo mínimo, una estrategia de riesgo máximo tolerable o una estrategia libre de riesgo). estrategia), de modo que pueda lograr la capacidad necesaria para proteger el valor de los activos del sistema (Ver Figura 3). El proceso de evaluación eficaz anterior se puede describir mediante el nivel de solidez del soporte de la tecnología de seguridad (IATRn):
IATRn=f(Vn, Tn, SMLn, EALn)
Tn: Nivel de amenaza
Vn: Nivel de valor del activo
SMLn: Nivel de fortaleza del mecanismo de seguridad
EALn: Nivel de soporte de evaluación
Elemento 5: Tecnología de seguridad y Productos
1. Fortalecer la investigación e innovación independientes en tecnologías y productos de seguridad.
Debido a la confidencialidad del gobierno electrónico, la seguridad de la ingeniería de sistemas de gobierno electrónico requiere una variedad de tecnologías y productos de seguridad de la información con derechos de propiedad intelectual independientes. Promoción integral de la investigación, el desarrollo y la innovación independientes de estos. tecnologías y productos es la clave para la seguridad del gobierno electrónico. Estos productos y tecnologías se pueden dividir en seis categorías:
Categorías básicas: control de riesgos, arquitectura, ingeniería de protocolos, evaluación efectiva, métodos de ingeniería;
Categorías clave: contraseñas, conceptos básicos de seguridad, Seguridad de contenidos, antivirus, IDS, VPN, RBAC, auditoría sólida, barreras de seguridad fronteriza.
Salir;
Categorías de sistema: PKI, PMI, DRI, aviso de red, gestión integral, PMI;
Categorías de aplicación: EC, EG, NB, NS , NM, WF, XML, CSCW;;
Física y medio ambiente: TEMPEX, identificación física;
Previsión: tecnología inmune, criptografía cuántica, tecnología de deriva, comprensión y reconocimiento semántico.
2. Selección de productos de seguridad para gobierno electrónico.
La seguridad de todo el gobierno electrónico implica el respaldo general y la disposición científica de los productos de seguridad de la información. La selección de productos debe considerar plenamente la autonomía del producto y la controlabilidad independiente.
Los productos pueden incluir sistemas operativos seguros, plataformas de hardware seguras, bases de datos seguras, PKI/CA, PMI, VPN, puertas de enlace de seguridad, firewalls, máquinas de cifrado de datos, detección de intrusiones (IDS), escaneo de vulnerabilidades y virus informáticos. Herramientas de prevención, sólidas herramientas de auditoría, Web segura, correo electrónico seguro, plataforma integral de administración de instalaciones de seguridad, productos de filtrado e identificación de contenido, respaldo de seguridad, protección contra fugas electromagnéticas, cliente de aislamiento de seguridad y puerta de enlace de seguridad.
Elemento 6: Infraestructura de Seguridad
La infraestructura de seguridad de la información es un tipo de infraestructura social que proporciona servicios de seguridad de la información y soporte a los sujetos de aplicación del sistema de información y a los sujetos encargados de hacer cumplir la ley de seguridad de la información. Favorece la configuración rápida del mecanismo de protección de la seguridad de las entidades de aplicaciones de información, promueve el desarrollo saludable del negocio de aplicaciones de información, favorece la estandarización de las tecnologías y productos de seguridad de la información, promueve la mejora de su credibilidad y favorece la supervisión y aplicación de la ley de los departamentos funcionales de seguridad de la información, mejorando Las habilidades de transmisión y protección de seguridad de la información de toda la sociedad son propicias para la construcción del sistema nacional de seguridad de la información. Por lo tanto, para promover el desarrollo del gobierno electrónico, debemos prestar atención a la construcción de una infraestructura de seguridad de la información relevante.
Existen dos tipos de infraestructura de seguridad de la información.
1. Servicios públicos sociales
Sistema de autorización de confianza basado en certificado digital PKI/PMI:
Evaluación y valoración de productos y sistemas de seguridad de la información basados en CC/ Sistema TCSEC:
Sistema de servicio y prevención de virus informáticos;
Sistema de soporte y respuesta de emergencia en red;
Infraestructura de recuperación ante desastres;
Basado en sobre la infraestructura de gestión clave de KMI.
2. Supervisión administrativa y aplicación de la ley
Sistema de monitoreo de seguridad del contenido de la información de la red;
Sistema de monitoreo y prevención de delitos en Internet;
Electrónico información Sistema de supervisión de seguridad;
Sistema antirrobo y control de detección de red;
Sistema de monitoreo, alerta temprana y contraataque de red.