【正文】 7799/ISO15408/ISO13335/ISO74982等國際標準。電子政務網安全系統(tǒng)在整體設計過程中應遵循如下的原則：需求、風險、代價平衡的原則：對任何信息系統(tǒng)，絕對安全難以達到，也不一定是必要的，安全保障體系設計要正確處理需求、風險與代價的關系，做到安全性與可用性相容，做到技術上可實現(xiàn)，組織上可執(zhí)行。最小特權原則：整個系統(tǒng)中的任何主體和客體不應具有超出執(zhí)行任務所需權力以外的權力。多重保護原則：任何安全措施都不是絕對安全的，都可能被攻破。整體性和統(tǒng)一性原則：一個大型網絡系統(tǒng)的各個環(huán)節(jié)，包括設備、軟件、數(shù)據(jù)、人員等，在網絡安全中的地位和影響作用，只有從系統(tǒng)整體的角度去統(tǒng)一看待、分析，才可能實現(xiàn)有效、可行的安全保護。因此在考慮安全保障體系時，必須將各種安全技術與運行管理機制、人員思想教育與技術培訓、安全規(guī)章制度建設相結合。隨著今后網絡應用和復雜程度的變化，調整或增強安全防護力度，保證整個網絡最根本的安全需求。易操作性原則：安全措施需要人去完成，如果措施過于復雜，對人的要求過高，本身就降低了安全性；其次，措施的采用不能影響系統(tǒng)的正常運行。遵守有關法規(guī)：在安全支撐平臺設計和設備選型過程中，涉及到密碼產品的銷售應符合國家有關法律法規(guī)的規(guī)定，涉及到其他安全產品的銷售應具有主管部門的銷售許可證?？傮w目標通過建立建設ISMS（信息安全管理體系），達到對安全風險的長期有效的管理，并且對于存在的安全風險/安全需求通過適用于ISMS的PDCA（PlanDoCheckAct）模型，輸出為可管理的安全風險。在這里將會對這些安全問題進行處理。策劃建立ISMS：根據(jù)組織的整體方針和目標建立安全方針目標目的以及與管理風險和改進信息安全相關的過程和程序以獲得結果。檢查監(jiān)視和評審ISMS：適用時根據(jù)安全方針目標和慣有經驗評估和測量過程業(yè)績向管理層報告結果進行評審。針對當前的信息安全問題，我們可以視為是對信息安全的需求和期望，所以我們可以把這些信息安全需求，提交到ISMS（信息安全管理體系）的過程中，進行處理。所以對于信息安全的總體規(guī)劃是：首先建立ISMS（信息安全管理體系），然后通過ISMS過程的PDCA模式處理當前的信息安全問題。 策劃建立ISMS：建立信息安全管理系統(tǒng)，包括建立安全管理組織、制定總體安全策略。216。216。216。建立信息安全管理系統(tǒng)，包括建立安全管理組織、制定總體信息安全策略、落實各個部門信息安全負責人、信息安全培訓等等。信息安全風險管理體現(xiàn)在信息安全保障體系的技術、組織和管理等方面。信息安全保障體系的技術、組織和管理等方面都存在著相關風險，需要采用信息安全風險管理的方法加以控制。另外需要對網絡用戶進行安全教育和培訓，使他們具備基本的網絡安全知識。導致信息安全管理沒有能夠自上而下的下發(fā)策略和制度，信息安全管理沒有落到實處。基礎保障體系針對以下兩個問題，通過建立基礎保障體系來解決，同時根據(jù)這些基礎的安全設備建立信息監(jiān)控與審計體系。另外分局并沒有實施任何的防護措施，存在被黑客入侵的安全隱患；2. 在政務內網中，市局和分局之間沒有做訪問控制，存在蠕蟲病毒相互擴散的可能。建設信息安全基礎保障體系，是一項復雜的、綜合的系統(tǒng)工程，是堅持積極防御、綜合防范方針的具體體現(xiàn)。監(jiān)控審計體系監(jiān)控審計體系設計的實現(xiàn)，能完成對電子政務網所有網上行為的監(jiān)控。應急響應體系針對下面的這個問題，通過建立應急響應體系來解決。電子政務網絡承載了大量的政務網絡應用，因此網絡系統(tǒng)的應急響應功能變得更加關鍵，需要建立一個應急響應體系。安全事件可以被許多不同的事件觸發(fā)并破壞單個電子政務系統(tǒng)或整個網絡的可用性，完整性、數(shù)據(jù)的保密性。那些引發(fā)或可能引發(fā)本地小范圍破壞的安全問題應該就地解決，以避免加重整個政務網絡的安全風險。1. 沒有建立數(shù)據(jù)備份與恢復制度；應該對備份的數(shù)據(jù)做恢復演練，保證備份數(shù)據(jù)的有效性和可用性，在出現(xiàn)數(shù)據(jù)故障的時候能夠及時的進行恢復操作。萬一租用的天威網絡發(fā)生故障將可能導致市局與分局之間的政務內網網絡中斷。在這個體系里主要包括下面三個部分：政務內網線路的冗余備份、主機服務器的系統(tǒng)備份與恢復、數(shù)據(jù)庫系統(tǒng)的備份與恢復。 建立基礎保障體系216。 建立應急服務體系216。通過專業(yè)的安全評估來檢查信息安全問題是否得到了有效的管理。服務保障是指保護和防御信息及信息系統(tǒng)，確保其可用性、完整性、保密性、可控性、不可否認性等特性。216。216。216。安全風險長期存在，并不斷變化，這導致安全保障建設沒辦法一步到位。工程實施的漸進性、逐步性，根據(jù)先后緩急，初步將安全實施計劃分為以下四個階段：第一階段：策劃建立ISMS 建立信息安全管理系統(tǒng) 建立安全管理組織并落實各個部門信息安全責任人 根據(jù)當前信息安全的問題制定解決方案第二階段：實施和運行ISMS 根據(jù)當前信息安全的問題解決方案進行安全實施，包括： 建立基礎保障體系 建立監(jiān)控審計體系 建立應急響應體系 建立災難備份與恢復體系第三階段：檢查監(jiān)視和評審ISMS 通過建立服務保障體系中的信息風險安全評估、設備巡檢等評審當前信息安全問題的處理情況第四階段：保持和改進ISMS 根據(jù)安全事件處理經驗教訓和安全風險評估的結果，對信息安全管理策略進行修改，對信息安全管理范圍進行調整。新的安全形勢下需要新的思維和新的解決方案。“企業(yè)面對的是一個以信息為核心的世界”信息是企業(yè)的核心，規(guī)劃開始前，這一點必須要有清晰認識，我們可以從三個層面來看：216。 信息為核心層面：信息和數(shù)據(jù)是整個企業(yè)業(yè)務運行中最為核心的部分，所有的業(yè)務運轉都圍繞著信息而進行，而信息的保障、安全存儲流轉都是信息保護所關注的重點；216。 規(guī)劃原則IT管理的基礎、核心和重點內容，應該有相應的信息安全建設和保障內容與之配套，因此以信息為核心的IT管理視角，也同樣是當前進行信息安全規(guī)劃的出發(fā)點。 整體規(guī)劃，應對變化安全建設規(guī)劃要有相對完整和全面的框架結構，能應對當前安全威脅的變化趨勢。 立足現(xiàn)有，提升能力在現(xiàn)有IT建設基礎上，完善安全基礎架構建設，通過優(yōu)化和調整挖掘潛力，提升整體安全保障能力。 著眼信息，重點防范以安全治理為工作目標，著重提升安全整體水平，對目前企業(yè)和主管部門關注的，以及法律法規(guī)要求的內容進行重點關注。第4章 初期規(guī)劃 建設目標216。 建立安全管理組織并落實各個部門信息安全責任人216。下面將介紹應該如何建立信息安全管理體系的步驟，如下圖所示： 信息安全策略是組織信息安全的最高方針，需要根據(jù)內各個部門的實際情況，分別制訂不同的信息安全策略。信息安全策略應該簡單明了、通俗易懂，并形成書面文件，發(fā)給內的所有成員。 在安全管理文檔的制定中，我們對如下的文檔進行了定義：《安全管理文檔業(yè)務系統(tǒng)軟件安全技術標準》《安全管理文檔網絡信息發(fā)布制度》《安全管理文檔通用網絡服務安全標準》《安全管理文檔網絡連接策略和標準》《安全管理文檔郵件系統(tǒng)安全管理標準》《安全管理文檔用戶單位用戶帳號和口令管理規(guī)程》《安全管理文檔信息管理人員的安全手冊》《安全管理文檔用戶單位信息系統(tǒng)安全策略》《安全管理文檔機房管理制度》《安全管理文檔系統(tǒng)管理員手冊》《安全管理文檔安全事件處理流程》《安全管理文檔病毒防治管理規(guī)定》《安全管理文檔網絡管理員手冊》《安全管理文檔備份和恢復管理制度》(2)定義ISMS（信息安全管理系統(tǒng)）的范圍ISMS（信息安全管理系統(tǒng)）的范圍確定需要重點進行信息安全管理的領域，需要根據(jù)自己的實際情況，在整個范圍內、或者在個別部門或領域構架ISMS。(3)進行信息安全風險評估信息安全風險評估的復雜程度將取決于風險的復雜程度和受保護資產的敏感程度，所采用的評估措施應該與組織對信息資產風險的保護需求相一致。風險評估主要依賴于信息和系統(tǒng)的性質、使用信息的目的、所采用的系統(tǒng)環(huán)境等因素，在進行信息資產風險評估時，需要將直接后果和潛在后果一并考慮。信息安全風險管理主要包括以下幾種措施：降低風險：在考慮轉嫁風險前，應首先考慮采取措施降低風險；避免風險：有些風險很容易避免，例如通過采用不同的技術、更改操作流程、采用簡單的技術措施等；轉嫁風險：通常只有當風險不能被降低或避免、且被第三方（被轉嫁方）接受時才被采用。接受風險：用于那些在采取了降低風險和避免風險措施后，出于實際和經濟方面的原因，只要進行運營，就必然存在并必須接受的風險。由于信息安全是一個動態(tài)的系統(tǒng)工程，應實時對選擇的管制目標和管制措施加以校驗和調整，以適應變化了的情況，使的信息資產得到有效、經濟、合理的保護。信息安全適用性聲明記錄了內相關的風險管制目標和針對每種風險所采取的各種控制措施。 建立安全管理組織當前信息中心成立的安全領導小組，負責制定安全策略、落實信息安全責任，并下發(fā)到下面的幾個部門?？梢哉f信息安全體系并沒有建立起來。以下是各個責任人的職責定義：1. ＣＳＯ：首席安全官　負責對信息安全制定總體安全策略，監(jiān)督和協(xié)調各項安全措施在的執(zhí)行情況，并確定安全工作的標準和主動性，包括開發(fā)部、數(shù)據(jù)部、系統(tǒng)部等部門。3. 系統(tǒng)管理員：系統(tǒng)權限管理員　對所有系統(tǒng)進行管理、建設、維護的相關人員，需要有廣泛的知識面，豐富的理論和實際操作經驗。5. 數(shù)據(jù)庫管理員：網絡設備管理員 所有的應用數(shù)據(jù)庫的管理和維護人員，需要有豐富的理論和實際操作經驗。7. 機房管理員：設備物理安全保障員　記錄機房進出相關記錄，包括系統(tǒng)管理員、系統(tǒng)用戶以