新疆組織機構(gòu)代碼系統(tǒng)安全體系建設(shè)的研究

石常海 胡曼麗

新疆維吾爾自治區(qū)標準化研究院 新疆 830004

0 前言

組織機構(gòu)代碼是對中華人民共和國內(nèi)依法注冊、依法登記的機關(guān)、企、事業(yè)單位、社會團體和民辦非企業(yè)單位頒發(fā)一個在全國范圍內(nèi)惟一的、始終不變的代碼標識。組織機構(gòu)代碼作為連接政府各職能部門之間信息管理系統(tǒng)的橋梁和信息傳輸紐帶，具有不可替代的先天優(yōu)勢，以組織機構(gòu)代碼為索引，對各部門信息資源進行整合與優(yōu)化，建立跨部門的橫向信息聯(lián)合檢索，連接各部門專業(yè)信息庫，能夠有效地發(fā)揮政務(wù)信息資源的整體效能，極大地增強政府在市場、金融、稅務(wù)、海關(guān)等領(lǐng)域的監(jiān)管力度，提高監(jiān)管水平和對突發(fā)事件的快速響應(yīng)能力，同時，通過分析、研究組織機構(gòu)代碼信息資源的構(gòu)成和發(fā)展趨勢，能夠為政府宏觀決策和指導組織機構(gòu)的經(jīng)濟行為提供科學的信息咨詢服務(wù)。

近年來，根據(jù)《關(guān)于自治區(qū)開展企業(yè)基礎(chǔ)信息共享工作的實施意見(草案)》和《新疆維吾爾自治區(qū)電子政務(wù)建設(shè)總體規(guī)劃實施意見》，自治區(qū)經(jīng)濟信息化委員會組織開展了以政府公共網(wǎng)絡(luò)為統(tǒng)一平臺，在我區(qū)逐步建立以工商部門企業(yè)基礎(chǔ)信息為基礎(chǔ)，以全國統(tǒng)一的組織機構(gòu)代碼為惟一標識的企業(yè)基礎(chǔ)信息庫，協(xié)調(diào)統(tǒng)一我區(qū)工商、質(zhì)監(jiān)、國稅、地稅四部門通過企業(yè)基礎(chǔ)信息交換平臺進行在線實時的信息交換，進一步促進新疆政府信息資源共享和互用，提高政府的工作效率和質(zhì)量，消除信息“孤島”。為了保障組織機構(gòu)代碼數(shù)據(jù)在基礎(chǔ)信息交換平臺中安全、穩(wěn)定、可靠的運行，加強對組織機構(gòu)代碼數(shù)據(jù)安全防護建設(shè)是非常必要的，我們在充分考慮組織機構(gòu)代碼系統(tǒng)的開放性和可擴充性前提下，詳細分析了組織機構(gòu)代碼系統(tǒng)建設(shè)的整體構(gòu)架、網(wǎng)絡(luò)設(shè)計、軟硬件構(gòu)成、數(shù)據(jù)庫建設(shè)、信息交換與共享流程、數(shù)據(jù)庫管理和應(yīng)用系統(tǒng)軟件功能等內(nèi)容，據(jù)此開展了我區(qū)的組織機構(gòu)代碼數(shù)據(jù)安全體系建設(shè)研究工作。

1 組織機構(gòu)代碼數(shù)據(jù)安全體系建設(shè)的總體目標

組織機構(gòu)代碼的數(shù)據(jù)安全體系建設(shè)就是通過部署安全系統(tǒng)，投入技術(shù)力量，加強網(wǎng)絡(luò)安全管理等方式確保組織機構(gòu)代碼數(shù)據(jù)的機密性、完整性、可用性、可控性與可審查性，最大限度的發(fā)揮信息資源的整體效能，促進新疆政府信息資源共享和互用，為各級政府和行業(yè)部門提高宏觀管理能力提供技術(shù)支持，同時推動政務(wù)公開，為社會提供廣泛、準確、動態(tài)的信息咨詢服務(wù)。最終達到如下目標：

(1) 合理管理和使用組織機構(gòu)代碼數(shù)據(jù)資源，為社會提供必要服務(wù)的同時要確保數(shù)據(jù)的機密性；

(2) 抵御病毒、惡意代碼等對組織機構(gòu)代碼系統(tǒng)發(fā)起的惡意破壞和攻擊，保障組織機構(gòu)代碼系統(tǒng)硬件、軟件穩(wěn)定運行；

(3) 保護組織機構(gòu)數(shù)據(jù)的存儲與傳輸安全，防范數(shù)據(jù)被篡改，建立數(shù)據(jù)備份機制和提高容災(zāi)能力；

(4) 構(gòu)建統(tǒng)一的安全管理與監(jiān)控機制，統(tǒng)一配置、調(diào)控整個系統(tǒng)多層面、分布式的安全問題，提高安全預警能力，加強安全應(yīng)急事件的處理能力，實現(xiàn)組織機構(gòu)代碼數(shù)據(jù)安全的可控性；

(5) 建立認證體系保障組織機構(gòu)代碼數(shù)據(jù)訪問行為的真實可信以及可審查性，并建立基于角色的訪問控制機制。

2 組織機構(gòu)代碼數(shù)據(jù)安全體系建設(shè)的研究內(nèi)容

組織機構(gòu)代碼數(shù)據(jù)安全體系建設(shè)是一項較為復雜的系統(tǒng)工程，要按照系統(tǒng)工程的要求，采用系統(tǒng)工程的概念，原理，技術(shù)和方法來研究和實施，使之成為一個可持續(xù)的動態(tài)發(fā)展的過程。只有技術(shù)，規(guī)劃，管理等因素有機結(jié)合，組織機構(gòu)代碼系統(tǒng)安全建設(shè)才能真正邁入穩(wěn)定發(fā)展正軌。在體系建設(shè)中綜合采用加密、認證、訪問控制、安全檢測、安全監(jiān)控、安全審計管理，電磁屏蔽，防病毒等技術(shù)，來增強新疆組織機構(gòu)代碼數(shù)據(jù)整體的安全性。主要研究內(nèi)容如下：

(1) 研究影響組織機構(gòu)代碼數(shù)據(jù)安全的各種因素(包括物理環(huán)境、網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫等)及應(yīng)對措施，確定組織機構(gòu)代碼安全體系架構(gòu)。

(2) 改建新疆組織機構(gòu)代碼管理中心的數(shù)據(jù)機房，依據(jù)相關(guān)標準實現(xiàn)機房硬件基礎(chǔ)設(shè)施安全。

(3) 根據(jù)組織機構(gòu)代碼系統(tǒng)的運行現(xiàn)狀，科學合理選擇信息安全軟硬件設(shè)備，進行有機的配置整合，全面提升代碼系統(tǒng)的安全性。

(4) 完成組織機構(gòu)代碼數(shù)據(jù)安全管理制度建設(shè)。

(5) 建立組織機構(gòu)基礎(chǔ)信息CA認證管理系統(tǒng)。

(6) 依托全自治區(qū)統(tǒng)一信息交換與共享平臺，建立組織機構(gòu)基礎(chǔ)信息交換系統(tǒng)，實現(xiàn)組織機構(gòu)信息跨部門整合，對組織機構(gòu)代碼數(shù)據(jù)進行挖掘、分析，面向政府職能部門和社會公眾提供信息咨詢服務(wù)。

3 組織機構(gòu)代碼數(shù)據(jù)安全體系架構(gòu)

組織機構(gòu)代碼數(shù)據(jù)安全體系架構(gòu)包括：物理環(huán)境安全、鏈路及網(wǎng)絡(luò)安全、系統(tǒng)層安全、應(yīng)用層安全、數(shù)據(jù)安全和安全管理等六個層面的內(nèi)容，其體系結(jié)構(gòu)如圖1所示。

圖1 組織機構(gòu)代碼數(shù)據(jù)安全體系架構(gòu)

3.1 物理環(huán)境安全

保證組織機構(gòu)代碼系統(tǒng)各種設(shè)備的物理安全是整個系統(tǒng)安全的前提，通過物理環(huán)境安全建設(shè)來保護服務(wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)存儲等免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故，人為操作失誤或錯誤，各種計算機犯罪行為導致的破壞過程，它主要包括以下4個方面：

(1) 環(huán)境安全，對系統(tǒng)所在環(huán)境(主要指計算機機房)的安全保護，主要是依據(jù) GB50173《電子信息系統(tǒng)機房設(shè)計規(guī)范》、GB2887《計算站場地技術(shù)條件》、GB9361《計算站場地安全要求》等標準來設(shè)計、建設(shè)和實施。

(2) 設(shè)備安全，主要包括設(shè)備的防盜、防毀、防電磁信息輻射泄露、抗電磁干擾及電源保護等，保證整個系統(tǒng)的高可用性，主要包括主要服務(wù)器、網(wǎng)絡(luò)設(shè)備、UPS設(shè)備等的雙機備份及主要線路冗余備份的建設(shè)。

(3) 物理線路安全，主要依據(jù)GB/T 50311《建筑與建筑群綜合布線系統(tǒng)工程設(shè)計規(guī)范》和新疆信息安全相關(guān)政策要求來進行建設(shè)。

(4) 媒體安全，包括媒體數(shù)據(jù)的安全及媒體本身的安全，對計算機機房及重要信息存儲授權(quán)訪問。

3.2 鏈路及網(wǎng)絡(luò)安全

由于網(wǎng)絡(luò)是承載組織機構(gòu)代碼系統(tǒng)的載體，它的安全是十分重要的，對網(wǎng)絡(luò)安全的建設(shè)從訪問控制、入侵檢測、安全掃描、安全審計等方面來進行。

在組織機構(gòu)代碼網(wǎng)絡(luò)中，針對不同的業(yè)務(wù)需求及應(yīng)用系統(tǒng)安全需求，對其進行安全域劃分，通過配備防火墻并制定嚴格的安全策略實現(xiàn)不同安全域之間的隔離與訪問控制。

網(wǎng)絡(luò)配置入侵檢測系統(tǒng)，通過實時偵聽網(wǎng)絡(luò)數(shù)據(jù)流，尋找網(wǎng)絡(luò)違規(guī)行為和未授權(quán)的網(wǎng)絡(luò)訪問嘗試，當發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)行為和未授權(quán)的網(wǎng)絡(luò)訪問時，入侵檢測系統(tǒng)能夠根據(jù)系統(tǒng)安全策略做出反應(yīng)(阻斷、報警、發(fā)送 E-mail)，防止針對網(wǎng)絡(luò)的攻擊與犯罪行為。

安全掃描是采用模擬攻擊的形式對工作站、服務(wù)器、交換機、數(shù)據(jù)庫應(yīng)用、操作系統(tǒng)等各種對象可能存在的已知安全漏洞進行逐項檢查，然后根據(jù)掃描結(jié)果向系統(tǒng)管理員提供詳細可靠的安全分析報告，以此作為提高網(wǎng)絡(luò)安全整體水平的重要依據(jù)。

審計是記錄用戶使用計算機網(wǎng)絡(luò)系統(tǒng)進行所有活動的過程，它是提高安全性的重要工具。它不僅能夠識別哪些用戶訪問了系統(tǒng)，還能指出系統(tǒng)正被他們怎樣地使用。另外，通過對安全事件的不斷收集與積累并加以分析，有選擇性地對其中的用戶進行審計跟蹤，以便對發(fā)現(xiàn)或可能產(chǎn)生的破壞性行為提供有力的證據(jù)。

3.3 系統(tǒng)層安全

系統(tǒng)安全問題來自系統(tǒng)內(nèi)使用操作系統(tǒng)的安全，如Windows 2003，Windows 200，Linux等。主要表現(xiàn)在三個方面：一是操作系統(tǒng)本身的缺陷帶來的不安全因素，主要包括身份認證、訪問控制、系統(tǒng)漏洞等；二是對操作系統(tǒng)的安全配置問題；三是病毒對操作系統(tǒng)的威脅。通過嚴格制定操作系統(tǒng)管理制度，定期檢查系統(tǒng)配置和日志，用“最小適用性原則”配置系統(tǒng)以提高系統(tǒng)安全性，及時安裝系統(tǒng)安全補丁程序來提高系統(tǒng)層的安全。

3.4 應(yīng)用層安全

應(yīng)用安全主要是指應(yīng)用系統(tǒng)的安全，即用戶在使用系統(tǒng)時必須依照一定的安全策略進行相應(yīng)的操作，從應(yīng)用層面上來保證系統(tǒng)的安全。根據(jù)組織機構(gòu)代碼業(yè)務(wù)，采用身份認證技術(shù)、安全授權(quán)機制、防病毒技術(shù)以及對各種應(yīng)用服務(wù)的安全性增強配置服務(wù)來保障系統(tǒng)在應(yīng)用層的安全。

3.5 數(shù)據(jù)安全

組織機構(gòu)代碼數(shù)據(jù)可劃分為兩個不同的安全域：公眾服務(wù)數(shù)據(jù)域和組織機構(gòu)代碼基礎(chǔ)數(shù)據(jù)域。

公眾服務(wù)數(shù)據(jù)是對社會公眾提供組織機構(gòu)代碼查詢服務(wù)的，是可公開的數(shù)據(jù)，不存在保密性，只是對數(shù)據(jù)的安全性、完整性、不可篡改性方面有要求。對此安全域可采取以下安全措施：通過對組織機構(gòu)數(shù)據(jù)的抽取、整理形成可對外提供服務(wù)的公眾服務(wù)數(shù)據(jù)，放在一個專門對外提供服務(wù)的前置服務(wù)器中，利用防火墻、入侵檢測、安全掃描、網(wǎng)絡(luò)防病毒等安全手段對其進行保護，使其不會受到非法攻擊和入侵，以保證數(shù)據(jù)的完整性、不可篡改性、真實性等。

組織機構(gòu)代碼基礎(chǔ)數(shù)據(jù)，由新疆組織機構(gòu)代碼管理中心監(jiān)管和維護，具有較高的秘密性，對此安全域除了采取以上安全措施外，還要采取嚴格的CA身份認證機制，通過CA認證的人員才能訪問相應(yīng)的數(shù)據(jù)，并利用安全審計系統(tǒng)對數(shù)據(jù)訪問歷史進行記錄、審計，使其處于更加安全的保護之下。

在這兩個安全域間還要采取防火墻、入侵檢測、安全審計等手段，對組織機構(gòu)代碼數(shù)據(jù)進行保護。

3.6 安全管理

新疆組織機構(gòu)代碼中心建立數(shù)據(jù)安全組織，明確指定專人負責組織機構(gòu)代碼數(shù)據(jù)安全工作，安全人員應(yīng)具備相關(guān)專業(yè)技術(shù)背景、工作經(jīng)歷和國家要求的信息安全從業(yè)資質(zhì)，同時根據(jù)新疆組織機構(gòu)代碼管理實際情況制定具體的安全管理規(guī)章制度，包括資產(chǎn)安全管理制度(軟硬件設(shè)備管理制度等)，運行維護管理(機房安全管理制度，防病毒管理制度，系統(tǒng)運行安全管理制度等)。

4 結(jié)束語

近年來，隨國家電子政務(wù)建設(shè)的日益普及和深入，各部門對組織機構(gòu)代碼數(shù)據(jù)應(yīng)用需求不斷擴大，應(yīng)用領(lǐng)域也從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴展，網(wǎng)絡(luò)環(huán)境也日益復雜，如何讓組織機構(gòu)代碼數(shù)據(jù)不受惡意攻擊和破壞，已成為新疆組織機構(gòu)代碼管理部門所必需考慮和解決的重要問題。為了保障組織機構(gòu)代碼系統(tǒng)安全、穩(wěn)定、可靠的運行，必須通過不斷提高自身的安全防護技術(shù)水平，引入科學高效的安全管理，強調(diào)全面的安全體系建設(shè)等措施來實現(xiàn)系統(tǒng)整體的安全性。該項目的實施，將為全區(qū)的電子政務(wù)建設(shè)提供規(guī)范、完整、實效的組織機構(gòu)基礎(chǔ)信息資源，為政府部門全面、快速、準確的掌握組織機構(gòu)的社會和經(jīng)濟行為信息，增強宏觀調(diào)控和決策能力提供了技術(shù)支撐，提高政府和行業(yè)部門的管理和服務(wù)質(zhì)量，同時在應(yīng)對開放式網(wǎng)絡(luò)環(huán)境中各種安全威脅的挑戰(zhàn)方面發(fā)揮重要的作用。