사이버 해커와 범죄, 사이버 바이러스의 범람과 전파, 정보 간첩과 기밀 도용, 사이버 테러 조직의 공격과 파괴, 내부 인원의 위반과 불법 조작, 사이버 시스템의 취약성과 마비, 정보 제품의 통제력 상실 등 전자정부가 직면한 보안 위협은 충분한 경각심을 불러일으키고 보안 조치를 취해야 한다.
전자 정부 보안 목표 및 보안 전략
전자 정부의 보안 목표는 정부 정보 자원의 가치를 침해로부터 보호하고, 정보 자산 소유자가 최소한의 위험에 직면하도록 보장하며, 보안 수익을 극대화하는 것입니다. 정부 정보 인프라, 정보 애플리케이션 서비스 및 정보 컨텐츠를 기밀성, 무결성, 신뢰성, 가용성 및 통제력으로 이러한 위협으로부터 보호하는 것입니다.
이러한 목표를 달성하기 위해서는 적극적인 보안 전략을 채택해야 합니다.
국가가 주도하고 사회 참여. 전자정무안전은 정부의 사무의사 결정, 행정감독, 공공서비스의 질 있고 믿을 수 있는 시행과 관련이 있다. 국가가 계획을 총괄하고 사회가 적극적으로 참여해야만 전자정무의 안전을 효과적으로 보장할 수 있다.
글로벌 거버넌스와 적극적인 방어. 전자 정부 안전은 법적 억제, 관리 제한, 기술 지원, 보안 인프라 지원 등 글로벌 거버넌스 조치를 취해야 보호, 테스트, 복구, 반제 등 사전 예방 방어 조치를 실시할 수 있다.
수준 보호 및 개발. 정보의 가치 수준과 그에 따른 위협 수준에 따라 적절한 보안 메커니즘 강도 및 보안 기술 지원 견고성 수준을 선택하고 투자와 위험 부담 능력 간의 균형을 찾아 전자 정부 시스템이 건강하고 적극적으로 발전하도록 해야 합니다.
전자 정부 보안 시스템 프레임 워크
전자정무안전은' 국가 추진, 사회 참여, 전면적인 통치, 적극적인 방어, 등급 보호, 발전 보장' 전략을 채택하고 있다. 전자 정부의 정보 보안이 첨단 기술 대항과 종합 투쟁에 직면해 있기 때문에 법률, 관리, 표준, 기술, 제품, 서비스, 인프라 등 여러 분야에 걸쳐 전자 정부의 건강한 발전을 보장하기 위해 보안 시스템 프레임워크를 전체적으로 구축해야 합니다.
전자 정부 보안 시스템은 보안 규정, 보안 관리, 보안 표준, 보안 서비스, 보안 기술 제품, 보안 인프라 등 6 가지 요소로 구성됩니다.
요소 1: 안전법 및 정책
전자정무의 업무 내용과 작업 과정은 국가 기밀과 핵심 정무와 관련되어 있으며, 그 안전은 국가 주권, 국가 안보, 공익과 관련이 있다. 따라서, 전자정무의 안전 시행과 보장은 반드시 국가법규의 형태로 굳어져야 하며, 전자정무시행과 운영의 행동규범을 형성하여 전자정무국제교류의 중요한 기초가 되고, 법을 준수하는 사람과 법을 준수하는 자의 합법적인 권익을 보호하고, 사법자와 법 집행자에게 법적 근거를 제공하고, 타파해야 한다.
중화인민공화국 보수국가비밀법' 은 이미 10 여 년 동안 시행되어 현재 우리나라 안보 사업, 특히 전자정무발전의 형세에 완전히 적응하지 못하여 시급히 개정해야 한다.
정부 정보 공개는 전자 정부의 중요한 원칙이다. 정부와 대중의 거리를 좁히기 위해 대중이 정부 서비스에 대한 알 권리, 참여권, 감독권, 향유권을 누리고 대중에게 좋은 정보 서비스를 제공하고, 정부 정보의 최대 효과를 충분히 발굴하고, 정부 정보 자원 (비국가기밀, 개방에 적합한 부분) 을 개방하는 것이 전자정부의 중요한 특징이다. 정부 부처 간 정상적인 정보 교류를 보장하고, 정보에 대한 대중의 합법적인 향유를 보장하고, 정부 정보 자원의 독점과 봉쇄를 깨고, 정부 행정의 투명성과 민주적 과정을 개선하는 것은 매우 유익하고 필요하다.
전자정무는 전자서명과 전자문서의 입법 보호가 절실히 필요하다. 거의 20 개국 입법은 디지털 서명과 전자 서류를 규정하여 전자 정무와 전자 상거래의 운영에 법적 효력을 발휘할 수 있도록 했다. 이는 전자정무와 전자상거래의 건강한 발전을 크게 촉진할 것이며, 전자정무의 기존 2 궤제를 1 궤제로 전환시켜 절차를 간소화하고 비용을 절감하며 전자정무의 효과를 충분히 과시하는 데 도움이 될 것이다.
전자정무가 발달하면서 개인 데이터 보호 (프라이버시법) 에 대한 수요가 날로 두드러지고 있다. 전자정무의 행정감독과 공공서비스 실시 과정에서 호적, 세금, 사회보장, 신용 등 많은 개인 정보 (자연인과 법인) 가 정부 인터넷 정보베이스에 대량으로 진입하여 전자정무기능의 완성에 큰 역할을 했다. 그러나 이러한 개인 정보가 효과적으로 보호되지 않거나 의도하지 않게 유출되면 불법으로 남용될 수 있다. 보복, 절도, 판촉, 채무 청구 및 추적을 위한 도구가 될 수 있습니다. 외국에서도 훔친 개인 프라이버시 정보를 불법 상품으로 팔아 폭리를 취하며 개인의 이익을 직접 해치거나 심지어 개인의 생명을 위협하는 경우도 있었다. (윌리엄 셰익스피어, 개인 정보, 개인 정보, 개인 정보, 개인 정보, 개인 정보, 개인 정보, 개인 정보, 개인 정보) 따라서 개인 데이터 보호법 제정을 가속화할 필요가 있다.
많은 법률 및 규정은 전자 정부의 건전한 발전과 직접적으로 관련이 있으므로 이러한 법률 및 규정의 제정을 가속화하는 것이 필수적입니다.
요소 2 보안 조직 및 관리
우리나라 정보안전관리 기능 구도가 이미 형성되어 국가안전부, 국가비밀국, 국가비밀번호관리위원회, 정보산업부, 총참모부가 각각 각자의 안전기능을 수행하고 국가정보안전을 유지한다. 전자정무안전관리에는 위에서 언급한 여러 국가안보기능부서가 포함되며, 그 안전관리기능의 조정은 국가정보화기구가 주도해야 한다. 국가 지도팀과 그 사무실, 국가전자정무조정팀, 국가정보안전조정팀 등. 각 지역, 각 부처는 해당 정보 보안 관리 기관을 설립하고 정보 보안 관리를 개선하고 강화하여 하향식 정보 보안 관리 조직 체계를 형성할 필요가 있다.
전자정무안전과 관련된 각종 관리규정을 제정하고, 전자정무건설의 각종 행위를 제때에 지도하며, 프로젝트 수립, 발부, 구매, 설계, 구현, 운영, 운영, 감독, 서비스 등 각 단계부터 시작하여 전자정무시스템 건설 전 과정 안전관리의 절차, 제도화를 보장한다.
전자 정부 정보 보안 도메인의 구분과 관리는 매우 중요하다. 전자정무에는 사무의사 결정, 행정감독, 공공서비스의 세 가지 업무 유형이 있다. 비즈니스 정보에는 국가 비밀, 부서 업무 비밀, 내부 기밀 정보 및 공개 서비스 정보가 포함됩니다. 국가 기밀을 보호해야 할 뿐만 아니라, 공공 서비스를 용이하게 해야 한다. 따라서 정보 보안 도메인의 과학적 구분과 관리는 전자 정부 네트워크 플랫폼의 보안 설계와 전자 정부의 건강과 효과적인 실현에 도움이 될 것입니다.
전자 정부 엔지니어링 통합업체 자격 인증 관리 방법, 엔지니어링 건설 감독 기관 관리 방법, 엔지니어링 아웃소싱 업체 관리 메커니즘 및 조치를 개발하여 전자 정부 엔지니어링 건설, 특히 전자 정부 아웃소싱 시스템의 품질과 안전을 보장합니다. 전자정무 비밀 시스템 공사 건설에는 국가비밀국에서 발급한 비밀 시스템 통합 자격증도 있어야 한다. 기타 섹션에는 해당 국가 또는 주에 해당하는 시스템 통합업체 자격증이 있어야 합니다. 전자정무의 비밀 부분에 대해서는 위탁과 아웃소싱이 허용되지 않으며, 전자정무의 다른 부분은 관련 관리 규정에 따라 집행될 것이다.
전자정무 프로젝트에 사용된 정보 보안 제품에 대해 국가는 상응하는 구매 관리 정책을 제정할 것이다. 비밀번호와 관련된 정보 보안 제품에는 국가 암호 관리국의 승인 인증서가 있어야 하며, 정보 보안 제품에는 정보 보안 제품의 신뢰성을 유지하기 위해 국가 평가 기관의 보안 평가 인증서가 있어야 합니다.
관리 요구 사항에 따라 전자 정부 시스템의 정보 컨텐츠를 안전하게 모니터링 및 관리하여 정부 정보를 안전하게 보호하고, 내부 위반 또는 외부 침입으로 인해 발생할 수 있는 네트워크 유출을 방지하며, 유해한 정보 내용이 정부 네트워크에 전파되는 것을 방지할 수 있습니다.
인력 관리, 조직 관리, 문서 관리, 운영 관리, 자산 및 구성 관리, 미디어 관리, 서비스 관리, 비상 관리, 기밀 관리, 장애 관리, 개발 유지 관리 관리 관리, 운영 연속성 보장 관리, 표준 규정 준수 관리, 물리적 환경 관리 등의 규정 및 규정을 개발합니다. 전자 정부 시스템의 안전한 운영을 보장하다.
요소 3 안전 표준 및 사양
정보 보안 표준은 보안 제품의 표준화에 도움이 되며, 제품의 안전과 신뢰성을 보장하고, 제품의 상호 연결 상호 운용성을 실현하며, 전자 정부 시스템의 상호 연결, 업데이트 및 확장성을 지원하고, 시스템 보안 평가 및 평가를 지원하며, 전자 정부 시스템의 안전과 신뢰성을 보장합니다.
중국은 정보 보안 표준화위원회를 공식 설립하여 최근 정보 보안 표준 시스템 및 조정 (WG 1), 콘텐츠 보안 분류 및 인식 (WG2), 암호 알고리즘 및 암호 모듈 /KMI/VPN (WG3), PKI/PMI 를 설립했습니다. 운영 체제 및 데이터베이스 보안 워크그룹 (WG 10), 전자 정부 보안 관련 표준 개발, 전자 정부 보안 표준 요구 사항 지원
기밀 전자 파일의 분류 및 표시 형식, 콘텐츠 상태의 분류 및 표시, 내용에 민감한 분류 및 표시, 암호 알고리즘 표준, 암호 모듈 표준, 키 관리 표준, PKI/CA 표준, PMI 표준, 정보 시스템 보안 평가 및 정보 보안 제품 평가 기준, 비상 대응 수준, 보호 목표 수준 등의 기준도 개발된다.
요소 4 보안 및 서비스 1. 전자정무시스템 건설에서는 기술 보안 프레임워크를 구축하고 대형 전자정무시스템의 심층 방어 체계를 구축해야 한다.
정부 인트라넷의 보안 및 통제 전략 개발
정부 엑스트라넷 보안 및 통제 전략 수립
인터넷 액세스를위한 보안 서비스 및 제어 정책 설정
유선 통신, 무선 통신 및 위성 통신을 위한 보안 서비스 및 제어 정책을 포함하여 공용 네트워크 간선을 임대하는 보안 서비스 및 제어 정책을 설정합니다.
정부 컴퓨팅 환경을 위한 보안 서비스 및 메커니즘 구축
심도 있는 방어와 다단계 방어를 채택하는 것은 전자정무안전의 중요한 원칙이다. 전체 보안 보호, 보안 테스트, 신속한 대응, 통합 보안 관리 및 보안 시설의 연계 제어를 통해 시스템은 보호, 테스트, 응답 및 복구 기능을 제공합니다.
2. 전자정무정보시스템 안전공사 (ISSE) 통제방법을 보급하여 안전서비스 요구를 전면적으로 실현하다.
전자 정부 보안 시스템 설계에서 먼저 물리적 자산 (시스템 환경, 하드웨어, 시스템 소프트웨어) 의 가치, 정보 자산의 가치, 국가 이익, 부서 이익과의 데이터 상관 관계 등 시스템 자산의 가치를 분석해야 합니다. 비즈니스 시스템 (모델, 프로세스, 애플리케이션) 은 정상적인 운영으로부터 혜택을 받아 시스템 보안의 목표를 결정합니다. 위의 분석을 바탕으로 전체 보안 시스템에 대한 보안 요구 사항을 제시하고 이러한 보안 요구 사항을 충족하기 위해 갖추어야 할 보안 기능을 더욱 명확하게 설명합니다. 그런 다음 시스템이 직면할 수 있는 위협 유형을 탐색하여 시스템 자체의 취약성을 파악합니다. 이러한 위협과 허점은 다음과 같습니다.
인터넷 해커 및 컴퓨터 범죄
인터넷 바이러스의 확산과 파괴;
기밀 정보의 손실과 정보 스파이의 침투;
사이버 테러와 정보전
내부 직원이 규칙과 규정을 위반하다.
온라인 보안 제품이 통제 불능입니다.
네트워크와 시스템 자체의 허점과 약점.
이러한 위협에 직면하여 시스템이 주로 직면하고 있는 위협, 부차적인 위협, 시스템 및 작업에 미치는 영향을 분석해야 합니다. 정성 및 정량 분석을 수행하고, 시스템 보안 대책을 제시하고, 위험 허용 오차를 결정하고, 투입과 위험 허용 오차의 균형을 찾아 시스템에 필요한 보안 서비스와 해당 보안 메커니즘 (표 1 참조) 을 파악하여 시스템의 보안 요소를 구성합니다. 위험 관리 및 위험 결정 프로세스는 프로젝트의 수명 주기 동안 수행되어야 합니다.
시스템이 가동될 때, 평가자가 제시한 평가 증거와 구축자가 채택한 기술 지원 시설을 통해 시스템 소유자가 기술 대책이 선택되었다는 것을 진정으로 믿고, 시스템의 보안 위험을 줄이고, 필요한 위험 정책 (위험 정책은' 0' 위험 정책, 최소 위험 정책, 최대 허용 위험 정책 또는 무위험 정책) 을 준수하고 보호할 수 있습니다 위의 효과적인 평가 프로세스는 안전할 수 있습니다.
IATRn=f(Vn, Tn, SMLn, EALn)
Tn: 위협 수준
Vn: 자산 가치 등급
SMLn: 보안 메커니즘의 강도 수준
EALn: 지원 수준 평가
요소 5: 보안 기술 및 제품
1. 보안 기술 및 제품에 대한 자체 연구 및 혁신을 강화합니다.
전자정무의 국가 비밀성으로 인해 전자정무시스템 공사의 안전에는 각종 자주지적 재산권을 갖춘 정보 보안 기술과 제품이 필요하다. 이러한 기술과 제품의 자체 개발과 혁신을 전면적으로 추진하는 것은 전자정무안전의 필요성이다. 이러한 제품과 기술은 6 가지 범주로 나눌 수 있습니다.
기본 클래스: 위험 관리, 아키텍처, 프로토콜 엔지니어링, 효과적인 평가, 엔지니어링 방법
주요 범주: 암호, 보안 기반, 콘텐츠 보안, 안티바이러스, IDS, VPN, RBAC, 강력한 감사, 경계 보안 장벽.
떠나다
시스템 클래스: PKI, PMI, DRI, 네트워크 경보, 통합 관리, PMI
애플리케이션 범주: EC, EG, NB, NS, NM, WF, XML, CSCW;; 을 눌러 섹션을 인쇄할 수도 있습니다
물리적 및 환경: TEMPEX, 물리적 식별;
예견: 면역기술, 양자암호, 표류기술, 의미이해, 인식.
2. 전자 정부 보안 제품 선택.
전체 전자정무의 안전에는 정보 보안 제품의 전반적인 배합과 과학적 안배가 포함되며, 제품 선택은 제품 자율성과 자율적 통제권을 충분히 고려해야 한다.
제품에는 보안 운영 체제, 보안 하드웨어 플랫폼, 보안 데이터베이스, PKI/CA, PMI, VPN, 보안 게이트웨이, 방화벽, 데이터 암호화, 침입 탐지 (IDS), 취약성 검사, 컴퓨터 바이러스 예방 도구, 강력한 감사 도구, 보안 웹 등이 포함될 수 있습니다
요소 6: 안전 인프라
정보 보안 인프라는 정보 시스템 응용 주체와 정보 보안 법 집행 주체에게 정보 보안 서비스 및 지원을 제공하는 사회 인프라로, 정보 응용 주체 보안 메커니즘의 신속한 구성, 정보 응용 업무의 건강한 발전 촉진, 정보 보안 기술 및 제품 표준화, 신뢰성 향상, 정보 보안 기능 부서의 감독 및 법 집행에 도움이 됩니다. 사회 전체의 정보 보안 이전 및 보호 기술을 강화하는 데 도움이 되며 국가 정보 보안 시스템 구축에 도움이 됩니다. 따라서 전자정무의 발전을 추진하려면 관련 정보안전인프라 건설을 중시해야 한다.
정보 보안 인프라에는 두 가지 유형이 있습니다.
1. 사회 공공 서비스
PKI/PMI 디지털 인증서 기반 신뢰 인증 시스템:
CC/TCSEC 기반 정보 보안 제품 및 시스템 평가 및 평가 시스템:
컴퓨터 바이러스 예방 및 서비스 시스템;
네트워크 비상 대응 및 지원 시스템;
재해 복구 인프라
KMI 기반 키 관리 인프라
2. 행정 감독 및 법 집행
네트워크 정보 콘텐츠 보안 모니터링 시스템;
사이버 범죄 감시 및 예방 시스템;
전자 정보 보안 감독 시스템;
네트워크 탐지 제어 및 도난 방지 시스템;
네트워크 모니터링, 경보 및 반격 시스템.