林樂堅 林向民 許哲君

?

關(guān)于電子政務(wù)信息安全管理體系建設(shè)的幾點思考

林樂堅 林向民 許哲君

福建省網(wǎng)絡(luò)與信息安全測評中心

電子政務(wù)作為國家信息化戰(zhàn)略的重要組成部分，其信息安全保障事關(guān)經(jīng)濟發(fā)展、國家安全、社會穩(wěn)定、公眾利益和社會主義精神文明建設(shè)，其自身的安全問題也隨著科技的進步變得更加突出、嚴重。認識電子政務(wù)信息系統(tǒng)安全的威脅，把握系統(tǒng)安全的影響因素和要求，對保證電子政務(wù)的有效運行具有重要意義。該文就建設(shè)電子政務(wù)信息安全管理體系從技術(shù)、管理、服務(wù)等方面提出建議。

電子政務(wù) 信息安全 等級保護 風險評估

1 概述

電子政務(wù)是政府管理方式的革命，它是運用信息以及通信技術(shù)打破行政機關(guān)的組織界限，構(gòu)建一個電子化的虛擬機關(guān)，使公眾擺脫傳統(tǒng)的層層關(guān)卡以及書面審核的作業(yè)方式，并依據(jù)人們的需求、人們可以獲取的方式、人們要求的時間及地點等，高效快捷地向人們提供各種不同的服務(wù)選擇。政府機關(guān)之間以及政府與社會各界之間也經(jīng)由各種電子化渠道進行相互溝通。

電子政務(wù)的建立將使政府社會服務(wù)職能得到最大程度的發(fā)揮，但也使政府敏感信息暴露在無孔不入的網(wǎng)絡(luò)威脅面前。由于電子政務(wù)信息網(wǎng)絡(luò)上有相當多的政府公文在流轉(zhuǎn)，其中不乏重要信息，內(nèi)部網(wǎng)絡(luò)上有著大量高度機密的數(shù)據(jù)和信息，直接涉及政府的核心政務(wù)，它關(guān)系到政府部門、各大系統(tǒng)乃至整個國家的利益，有的甚至涉及國家安全。因此，電子政務(wù)信息安全是制約電子政務(wù)建設(shè)與發(fā)展的首要問題和核心問題，是電子政務(wù)的職能與優(yōu)勢得以實現(xiàn)的根本前提。如果電子政務(wù)信息安全得不到保障，不僅電子政務(wù)的便利與效率無從保證，更會給國家利益帶來嚴重威脅。

2 電子政務(wù)信息系統(tǒng)面臨的威脅

電子政務(wù)涉及對政府機密信息和敏感政務(wù)的保護、維護公共秩序和行政監(jiān)管的準確實施以及為保障社會提供公共服務(wù)的質(zhì)量。電子政務(wù)作為政府有效決策、管理、服務(wù)的重要手段，必然會遇到各種敵對勢力、恐怖集團、搗亂分子的破壞和攻擊。尤其是，電子政務(wù)在基于互聯(lián)網(wǎng)的網(wǎng)絡(luò)平臺上，他包括政務(wù)內(nèi)網(wǎng)、政務(wù)外網(wǎng)和互聯(lián)網(wǎng)，而互聯(lián)網(wǎng)是一個無行政主管的全球網(wǎng)絡(luò)，自身缺少設(shè)防，安全隱患很多，使得不法分子利用互聯(lián)網(wǎng)進行犯罪有機可乘，這就使得基于互聯(lián)網(wǎng)開展的電子政務(wù)應(yīng)用面臨著嚴峻的挑戰(zhàn)。

對電子政務(wù)的安全威脅包括網(wǎng)上黑客入侵和犯罪、病毒泛濫和蔓延，信息間諜的潛入和竊密，網(wǎng)絡(luò)恐怖集團的攻擊和破壞，內(nèi)部人員的違規(guī)和違法操作，網(wǎng)絡(luò)系統(tǒng)的脆弱和癱瘓，信息安全產(chǎn)品的失控等，對于這些威脅，電子政務(wù)的建設(shè)和應(yīng)用應(yīng)引起足夠警惕，采取果斷的安全措施，應(yīng)對這種挑戰(zhàn)。

3 電子政務(wù)信息安全管理體系的構(gòu)建

要有效維護電子政務(wù)信息系統(tǒng)的安全，就需要構(gòu)建電子政務(wù)安全管理體系，從而使政務(wù)的信息基礎(chǔ)設(shè)施、信息應(yīng)用服務(wù)能夠具有保密性、完整性、真實性和可用性。電子政務(wù)安全管理體系包括安全技術(shù)體系、安全管理體系和安全服務(wù)體系，涉及從管理到組織，從網(wǎng)絡(luò)到數(shù)據(jù)，從法規(guī)標準到基礎(chǔ)設(shè)施等各個方面。

3.1 加強安全技術(shù)力量是實現(xiàn)電子政務(wù)安全的基本方法

安全技術(shù)體系是利用技術(shù)手段實現(xiàn)技術(shù)層面的安全保護，是對電子政務(wù)安全防護體系的完善，包括網(wǎng)絡(luò)安全體系、數(shù)據(jù)安全傳輸與存儲體系，功能主要是通過各種技術(shù)手段實現(xiàn)技術(shù)層次的安全保護。

網(wǎng)絡(luò)安全體系包括網(wǎng)閘、入侵檢測、漏洞檢測、外聯(lián)和接入檢測、補丁管理、防火墻、身份鑒別和認證、系統(tǒng)訪問控制、網(wǎng)絡(luò)審計等;數(shù)據(jù)安全與傳輸與存儲體系包括數(shù)據(jù)備份恢復、PKI/CA、PMI等。整個電子政務(wù)的安全，涉及信息安全產(chǎn)品的全局配套和科學布置，產(chǎn)品選擇應(yīng)充分考慮產(chǎn)品的自主權(quán)和自控權(quán)。在關(guān)鍵技術(shù)、經(jīng)營管理、生產(chǎn)規(guī)模、服務(wù)觀念等方面，要集中人力、物力，制訂相關(guān)政策，大力發(fā)展自主知識產(chǎn)權(quán)的計算機芯片、操作系統(tǒng)等信息安全技術(shù)產(chǎn)品，以確保關(guān)鍵政府部門的信息系統(tǒng)的網(wǎng)絡(luò)安全。加強核心技術(shù)的自主研發(fā)，并盡快使之產(chǎn)品化和產(chǎn)業(yè)化，尤其是操作系統(tǒng)技術(shù)和計算機芯片技術(shù)?，F(xiàn)階段各地政府部門目前所選用的高端軟硬件平臺，很多都是國外公司的產(chǎn)品，這也對政務(wù)安全帶來了許多隱患。因此，在構(gòu)建電子政務(wù)系統(tǒng)的時候，在可能的情況下，我們應(yīng)盡量選用國產(chǎn)化技術(shù)和國內(nèi)公司的產(chǎn)品。

3.2 構(gòu)建安全管理體系是電子政務(wù)安全實施的重要基礎(chǔ)

安全管理是解決電子政務(wù)的安全問題在技術(shù)以外的另一有力保障和途徑。由于安全的防范技術(shù)與破壞技術(shù)總是“勢均力敵”、“相互促進”的。作為防范者就更應(yīng)該在安全防范的管理上下更大的工夫。安全管理主要涉及三個方面：法律法規(guī)、安全防護體系以及等級保護政策。

3.2.1法律政策、規(guī)章制度和標準規(guī)范

電子政務(wù)的工作內(nèi)容和工作流程涉及到國家秘密與核心政務(wù)，它的安全關(guān)系到國家的主權(quán)、國家的安全和公眾利益，所以電子政務(wù)的安全實施和保障，必須以國家法規(guī)形式將其固化，形成全國共同遵守的規(guī)約。目前，世界上很多國家制定了與網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)，如英國的《官方信息保護法》等。我國雖然頒發(fā)了一些與網(wǎng)絡(luò)安全有關(guān)的法律法規(guī)，如《計算機信息系統(tǒng)安全保護條例》、《計算機信息系統(tǒng)保密管理暫行規(guī)定》等等，但顯得很零散，還缺乏關(guān)于電子政務(wù)網(wǎng)絡(luò)安全的專門法規(guī)。此外，在完善法律法規(guī)的同時，還應(yīng)該加大執(zhí)法力度，嚴格執(zhí)法，這一目標的實現(xiàn)不僅需要政府組織的努力，更要國家立法機構(gòu)的參與和支持。

3.2.2電子政務(wù)防護體系

貫穿整個電子政務(wù)的安全防護體系，對電子政務(wù)安全實施起全面的指導作用，具體包括三個方面的內(nèi)容：安全組織機構(gòu)、安全人事管理、以及安全責任制度。建立安全組織機構(gòu)，其目的是統(tǒng)一規(guī)劃各級網(wǎng)絡(luò)系統(tǒng)的安全、制定完善的安全策略和措施、協(xié)調(diào)各方面的安全事宜，主要職責包括制定整體安全策略、明確規(guī)章制度、落實各項安全措施實施，以及制訂安全應(yīng)急方案和保密信息的安全策略；安全人事管理，其主要內(nèi)容包括：人事審查與錄用、崗位與責任范圍的確定、工作評價、人事檔案管理、提升、調(diào)動與免職、基礎(chǔ)培訓等；制定和落實安全責任制度，包括系統(tǒng)運行維護管理制度、計算機處理控制管理制度、文檔資料管理制度、操作和管理人員管理制度、機房安全管理制度、定期檢查與監(jiān)督制度、網(wǎng)絡(luò)通信安全管理制度、病毒防治管理制度、安全等級保護制度、對外交流安全維護制度，以及對外合作制度等。

3.2.3等級保護制度

通過全面推行信息安全等級保護制度，逐步將信息安全等級保護制度落實到信息系統(tǒng)安全規(guī)劃、建設(shè)、測評、運行維護和使用等各個環(huán)節(jié)，使信息安全保障狀況得到基本改善。通過加強和規(guī)范信息安全等級保護管理，不斷提高信息安全保障能力，為維護信息網(wǎng)絡(luò)的安全穩(wěn)定，促進信息化發(fā)展服務(wù)。

4 完善安全服務(wù)是維護電子政務(wù)安全實施的有力保障

4.1 安全等級測評和風險評估管理

電子政務(wù)信息系統(tǒng)安全測評服務(wù)，其實質(zhì)是通過科學、規(guī)范、公正的測試和評估向被測評單位證實其信息系統(tǒng)的安全性能符合等級保護的要求。

由于信息安全直接涉及國家利益、安全和主權(quán)，政府對信息產(chǎn)品、信息系統(tǒng)安全性的測評認證要更為嚴格。對信息系統(tǒng)和信息安全技術(shù)中的核心技術(shù)，由政府直接控制，在信息安全各主管部門的支持和指導下，依托專業(yè)的職能機構(gòu)提供技術(shù)支持，形成政府的行政管理與技術(shù)支持相結(jié)合、相依賴的管理體制。風險管理是對項目風險的識別、分析和應(yīng)對過程。它包括對正面事件效果的最大化及對負面事件影響的最小化。電子政務(wù)安全風險管理的主要任務(wù)是電子政務(wù)信息系統(tǒng)的風險評估并提出風險緩解措施，前者是識別并分析系統(tǒng)中的風險因素，估計可能造成的損失，后者是選擇和實施安全控制，將風險降低到一個可接受的水平。

4.2 安全培訓服務(wù)

根據(jù)不同層次的人才需求，社會化的信息安全人才培養(yǎng)體系應(yīng)分為專業(yè)型教育、應(yīng)用型教育和安全素養(yǎng)教育三個層次。專業(yè)型教育主要是培養(yǎng)信息安全領(lǐng)域的專業(yè)研發(fā)、工程技術(shù)、戰(zhàn)略管理等方面的人才。應(yīng)用型(半專業(yè))教育則是以從事現(xiàn)代信息管理工作的人作為對象，培養(yǎng)目標是要求學生具備信息安全的基本知識、網(wǎng)絡(luò)和信息系統(tǒng)安全防范技能、組織機構(gòu)或系統(tǒng)安全管理的能力等。這種應(yīng)用型的信息安全教育要求受教育對象數(shù)量要多，覆蓋面要廣，基本信息技能要強。通過課程、講座、宣傳等多種形式，達到讓每一個人都具備必要的安全意識和常規(guī)的信息安全自我防范技術(shù)的目的。要求單位領(lǐng)導應(yīng)具備必要信息安全意識和安全知識；信息管理人員應(yīng)具備一定的信息安全知識和基本技能；從事信息服務(wù)或信息安全服務(wù)的有關(guān)人員應(yīng)具備必要的信息安全知識和技術(shù)基礎(chǔ)等。

構(gòu)建安全穩(wěn)定的政務(wù)信息系統(tǒng)，技術(shù)、管理、服務(wù)作為支撐體系的三大要素，缺一不可。只有這三方面都做好了，才能實現(xiàn)海西政務(wù)信息管理體系的全面提升。

[1] 何玲,電子政務(wù)環(huán)境下政府電子文件管理新探索[D].成都:四川大學碩士學位論文,2008.

[2] 電子政務(wù)：安全防護體系構(gòu)建策略[EB/OL].http://www.enet.com.cn,2009.

[3] 金江軍.電子政務(wù)信息安全體系建設(shè)[EB/OL].博客中國,2005.