王傳斌

電子政務(wù)作為國(guó)家信息化戰(zhàn)略重要組成部分，具有先導(dǎo)和示范作用，其信息安全保障事關(guān)經(jīng)濟(jì)發(fā)展、國(guó)家安全、社會(huì)穩(wěn)定、公眾利益和社會(huì)主義精神文明建設(shè)。如果電子政務(wù)信息安全得不到保障，電子政務(wù)的便利與效率便無(wú)從保證。

對(duì)于進(jìn)一步提高信息安全的保障能力和防護(hù)水平來(lái)說(shuō)，實(shí)行信息安全等級(jí)保護(hù)無(wú)疑是一種好的方法，因?yàn)樗艹浞终{(diào)動(dòng)國(guó)家、法人和其他組織及公民的積極性，增強(qiáng)安全保護(hù)的整體性、針對(duì)性和實(shí)效性，使信息系統(tǒng)安全建設(shè)重點(diǎn)更加突出、規(guī)范，更加統(tǒng)一。

但是，電子政務(wù)重在政務(wù)，由于政務(wù)部門(mén)的職能不同，信息系統(tǒng)的結(jié)構(gòu)、功能和安全要求也不盡相同，信息安全等級(jí)保護(hù)工作的側(cè)重點(diǎn)也不同。然而從總體上來(lái)說(shuō)，都需要做好以下幾點(diǎn)：

落實(shí)好“四個(gè)把握”

把握等級(jí)保護(hù)的建設(shè)進(jìn)程。按照等級(jí)保護(hù)程序規(guī)定，做好定級(jí)、備案、整改、評(píng)測(cè)與監(jiān)管工作。

把握等級(jí)劃分的合理性和準(zhǔn)確性。要認(rèn)真分析電子政務(wù)系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要性程度，即電子政務(wù)系統(tǒng)遭受破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素，合理準(zhǔn)確地確定系統(tǒng)安全等級(jí)。具體來(lái)說(shuō)，安全等級(jí)的確定要根據(jù)信息系統(tǒng)的綜合價(jià)值和綜合能力保證的要求不同以及安全性被破壞造成的損失大小，綜合考慮信息系統(tǒng)的經(jīng)濟(jì)價(jià)值、社會(huì)價(jià)值以及信息服務(wù)的服務(wù)范圍和連續(xù)性。

把握好不同等級(jí)的基本安全要求?；疽笫轻槍?duì)不同安全保護(hù)等級(jí)信息系統(tǒng)，應(yīng)該具有的基本安全保護(hù)能力提出的安全要求。例如：第三級(jí)信息系統(tǒng)要具有抵御來(lái)自外部組織的惡意攻擊能力和防內(nèi)部人員攻擊能力，不僅要對(duì)安全事件有審計(jì)記錄，還要能追蹤與響應(yīng)處理，要實(shí)現(xiàn)多重保護(hù)制度。

把握好基本技術(shù)要求和基本管理要求?；炯夹g(shù)要求包括物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全與數(shù)據(jù)安全等方面。基本管理要求是通過(guò)控制信息系統(tǒng)中各種角色參與的活動(dòng)，包括安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理等方面，從政策、制度、規(guī)范、流程以及記錄等方面做出規(guī)定。對(duì)于電子政務(wù)系統(tǒng)要特別關(guān)注基礎(chǔ)設(shè)施監(jiān)控與管理、網(wǎng)絡(luò)安全監(jiān)控與管理、業(yè)務(wù)應(yīng)用系統(tǒng)的監(jiān)控與管理、應(yīng)急響應(yīng)與備份恢復(fù)管理。

引入風(fēng)險(xiǎn)評(píng)估機(jī)制

信息安全等級(jí)保護(hù)必須樹(shù)立風(fēng)險(xiǎn)管理的思想，而風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理的基礎(chǔ)，因此，三級(jí)以上電子政務(wù)系統(tǒng)必須定期進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估。風(fēng)險(xiǎn)評(píng)估貫穿于等級(jí)保護(hù)周期的系統(tǒng)定級(jí)、安全實(shí)施和安全運(yùn)維三個(gè)階段：

系統(tǒng)定級(jí)。由于不同的電子政務(wù)系統(tǒng)具有自身的行業(yè)和業(yè)務(wù)特點(diǎn)，且所受到的安全威脅均有所不同。因此，可以依據(jù)信息安全風(fēng)險(xiǎn)評(píng)估國(guó)家標(biāo)準(zhǔn)對(duì)所評(píng)估資產(chǎn)的重要性、客觀威脅發(fā)生的頻率、系統(tǒng)自身脆弱性的嚴(yán)重程度進(jìn)行識(shí)別和關(guān)聯(lián)分析，判斷信息系統(tǒng)應(yīng)采取什么強(qiáng)度的安全措施，然后將安全事件一旦發(fā)生后可能造成的影響控制在可接受的范圍內(nèi)。即將風(fēng)險(xiǎn)評(píng)估的結(jié)果作為確定信息系統(tǒng)安全措施的保護(hù)級(jí)別的一個(gè)參考依據(jù)。

安全實(shí)施。安全實(shí)施是根據(jù)信息安全等級(jí)保護(hù)國(guó)家標(biāo)準(zhǔn)的要求，從管理與技術(shù)兩個(gè)方面選擇不同強(qiáng)度的安全措施，來(lái)確保建設(shè)的安全措施滿(mǎn)足相應(yīng)的等級(jí)要求。風(fēng)險(xiǎn)評(píng)估在安全實(shí)施階段就可以直接發(fā)揮作用，那就是對(duì)現(xiàn)有電子政務(wù)系統(tǒng)進(jìn)行評(píng)估和加固，然后再進(jìn)行安全設(shè)備部署等。在安全實(shí)施過(guò)程中也會(huì)發(fā)生安全事件并可能帶來(lái)長(zhǎng)期的安全隱患，如安全集成過(guò)程中設(shè)置的超級(jí)用戶(hù)和口令沒(méi)有完全移交給用戶(hù)、防火墻部署后長(zhǎng)時(shí)間保持透明策略等都會(huì)帶來(lái)嚴(yán)重的問(wèn)題，風(fēng)險(xiǎn)評(píng)估能夠及早發(fā)現(xiàn)并解決這些問(wèn)題。

安全運(yùn)維。安全運(yùn)維是指按照系統(tǒng)等級(jí)進(jìn)行安全實(shí)施后開(kāi)展運(yùn)行維護(hù)的安全工作。安全運(yùn)維包括兩方面：一是維護(hù)現(xiàn)有安全措施等級(jí)的有效性。二是根據(jù)客觀情況的變化以及系統(tǒng)內(nèi)部建設(shè)的實(shí)際需要，對(duì)等級(jí)進(jìn)行定期調(diào)整，以防止過(guò)度保護(hù)或保護(hù)不足。在安全運(yùn)維的過(guò)程中，通過(guò)信息安全風(fēng)險(xiǎn)評(píng)估工作可以對(duì)已有信息系統(tǒng)的安全等級(jí)保護(hù)情況進(jìn)行評(píng)估，依據(jù)已確定等級(jí)的相關(guān)保護(hù)要求，對(duì)系統(tǒng)的保護(hù)效果、潛在風(fēng)險(xiǎn)進(jìn)行評(píng)價(jià)，評(píng)估是否達(dá)到等級(jí)保護(hù)的要求；當(dāng)信息系統(tǒng)或外部環(huán)境發(fā)生變更時(shí)，可以通過(guò)風(fēng)險(xiǎn)評(píng)估工作了解和確定風(fēng)險(xiǎn)的變更，為再次定級(jí)和等級(jí)保護(hù)措施的調(diào)整提供依據(jù)。

建立有效的信息安全管理組織

信息安全管理組織是建立信息安全保障體系，做好信息安全等級(jí)保護(hù)工作的必要條件。當(dāng)前很多政務(wù)部門(mén)的信息安全工作均有信息化部門(mén)兼任，沒(méi)有足夠的權(quán)威性。等級(jí)保護(hù)工作的開(kāi)展，要求在組織內(nèi)部建立信息系統(tǒng)安全方面的最高權(quán)力組織，并有明確的安全目標(biāo)，目的是在管理層的承諾和擁有足夠資源的情況下開(kāi)展信息安全工作。因此，建立有效的信息安全管理組織必須明確以下內(nèi)容：

要遵循分權(quán)制衡原則。制度的建立、制度的執(zhí)行、執(zhí)行情況的檢查與監(jiān)督要分開(kāi)考慮。在目前的等級(jí)保護(hù)測(cè)評(píng)工作中，時(shí)常發(fā)現(xiàn)有系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全員與審計(jì)員兼任的情況，甚至一人包攬所有的信息系統(tǒng)運(yùn)維工作。但從等級(jí)保護(hù)的基本要求來(lái)看，依據(jù)分權(quán)制衡的原則，建議在電子政務(wù)系統(tǒng)中，系統(tǒng)管理員與審計(jì)員不得兼任，審計(jì)員不能從事所有日常信息的維護(hù)與管理工作，系統(tǒng)管理員不能從事審計(jì)日志的查看與處理工作。

要堅(jiān)持從上而下的垂直管理原則。上一級(jí)機(jī)關(guān)信息系統(tǒng)的安全管理組織指導(dǎo)下一級(jí)機(jī)關(guān)信息系統(tǒng)的安全管理組織的工作，下一級(jí)機(jī)關(guān)信息系統(tǒng)的安全管理組織接受并執(zhí)行上一級(jí)機(jī)關(guān)信息系統(tǒng)的安全管理組織的安全策略。

應(yīng)常設(shè)信息系統(tǒng)安全管理組織辦公機(jī)構(gòu)，負(fù)責(zé)信息安全的日常事務(wù)工作。信息系統(tǒng)安全管理組織應(yīng)由系統(tǒng)管理、系統(tǒng)分析、軟硬件維護(hù)、安全保衛(wèi)、系統(tǒng)稽核、人事與通信等有關(guān)方面的人員組成。

信息安全管理組織部門(mén)不能隸屬于技術(shù)部門(mén)或運(yùn)行部門(mén)，各級(jí)信息系統(tǒng)的安全組織不能隸屬于同級(jí)信息系統(tǒng)管理和業(yè)務(wù)機(jī)構(gòu)。信息安全管理組織部門(mén)只有不隸屬于技術(shù)或運(yùn)維部門(mén)，才能站在較高的層次上制定信息安全的整體框架與策略、有效的處理安全事件，啟動(dòng)應(yīng)急預(yù)案。

安全管理組織中領(lǐng)導(dǎo)層的負(fù)責(zé)人應(yīng)由單位主管領(lǐng)導(dǎo)出任，并由業(yè)務(wù)分管領(lǐng)導(dǎo)與信息化分管領(lǐng)導(dǎo)共同組成。筆者在近幾年的等級(jí)保護(hù)測(cè)評(píng)工作中體會(huì)到一點(diǎn)，等級(jí)保護(hù)工作開(kāi)展得是否有成效，與單位領(lǐng)導(dǎo)的重視程度密切相關(guān)。等級(jí)保護(hù)工作中涉及到的安全方案設(shè)計(jì)、安全設(shè)備的添置、物理環(huán)境的改善、人員的配備等各項(xiàng)工作都離不開(kāi)單位領(lǐng)導(dǎo)的支持。

（作者單位：浙江省電子信息產(chǎn)品檢驗(yàn)所）endprint