關(guān)于電子政務(wù)信息安全管理體系建設(shè)的幾點(diǎn)思考

林樂堅(jiān) 林向民 許哲君

?

關(guān)于電子政務(wù)信息安全管理體系建設(shè)的幾點(diǎn)思考

林樂堅(jiān) 林向民 許哲君

福建省網(wǎng)絡(luò)與信息安全測評(píng)中心

電子政務(wù)作為國家信息化戰(zhàn)略的重要組成部分，其信息安全保障事關(guān)經(jīng)濟(jì)發(fā)展、國家安全、社會(huì)穩(wěn)定、公眾利益和社會(huì)主義精神文明建設(shè)，其自身的安全問題也隨著科技的進(jìn)步變得更加突出、嚴(yán)重。認(rèn)識(shí)電子政務(wù)信息系統(tǒng)安全的威脅，把握系統(tǒng)安全的影響因素和要求，對(duì)保證電子政務(wù)的有效運(yùn)行具有重要意義。該文就建設(shè)電子政務(wù)信息安全管理體系從技術(shù)、管理、服務(wù)等方面提出建議。

電子政務(wù) 信息安全 等級(jí)保護(hù) 風(fēng)險(xiǎn)評(píng)估

1 概述

電子政務(wù)是政府管理方式的革命，它是運(yùn)用信息以及通信技術(shù)打破行政機(jī)關(guān)的組織界限，構(gòu)建一個(gè)電子化的虛擬機(jī)關(guān)，使公眾擺脫傳統(tǒng)的層層關(guān)卡以及書面審核的作業(yè)方式，并依據(jù)人們的需求、人們可以獲取的方式、人們要求的時(shí)間及地點(diǎn)等，高效快捷地向人們提供各種不同的服務(wù)選擇。政府機(jī)關(guān)之間以及政府與社會(huì)各界之間也經(jīng)由各種電子化渠道進(jìn)行相互溝通。

電子政務(wù)的建立將使政府社會(huì)服務(wù)職能得到最大程度的發(fā)揮，但也使政府敏感信息暴露在無孔不入的網(wǎng)絡(luò)威脅面前。由于電子政務(wù)信息網(wǎng)絡(luò)上有相當(dāng)多的政府公文在流轉(zhuǎn)，其中不乏重要信息，內(nèi)部網(wǎng)絡(luò)上有著大量高度機(jī)密的數(shù)據(jù)和信息，直接涉及政府的核心政務(wù)，它關(guān)系到政府部門、各大系統(tǒng)乃至整個(gè)國家的利益，有的甚至涉及國家安全。因此，電子政務(wù)信息安全是制約電子政務(wù)建設(shè)與發(fā)展的首要問題和核心問題，是電子政務(wù)的職能與優(yōu)勢得以實(shí)現(xiàn)的根本前提。如果電子政務(wù)信息安全得不到保障，不僅電子政務(wù)的便利與效率無從保證，更會(huì)給國家利益帶來嚴(yán)重威脅。

2 電子政務(wù)信息系統(tǒng)面臨的威脅

電子政務(wù)涉及對(duì)政府機(jī)密信息和敏感政務(wù)的保護(hù)、維護(hù)公共秩序和行政監(jiān)管的準(zhǔn)確實(shí)施以及為保障社會(huì)提供公共服務(wù)的質(zhì)量。電子政務(wù)作為政府有效決策、管理、服務(wù)的重要手段，必然會(huì)遇到各種敵對(duì)勢力、恐怖集團(tuán)、搗亂分子的破壞和攻擊。尤其是，電子政務(wù)在基于互聯(lián)網(wǎng)的網(wǎng)絡(luò)平臺(tái)上，他包括政務(wù)內(nèi)網(wǎng)、政務(wù)外網(wǎng)和互聯(lián)網(wǎng)，而互聯(lián)網(wǎng)是一個(gè)無行政主管的全球網(wǎng)絡(luò)，自身缺少設(shè)防，安全隱患很多，使得不法分子利用互聯(lián)網(wǎng)進(jìn)行犯罪有機(jī)可乘，這就使得基于互聯(lián)網(wǎng)開展的電子政務(wù)應(yīng)用面臨著嚴(yán)峻的挑戰(zhàn)。

對(duì)電子政務(wù)的安全威脅包括網(wǎng)上黑客入侵和犯罪、病毒泛濫和蔓延，信息間諜的潛入和竊密，網(wǎng)絡(luò)恐怖集團(tuán)的攻擊和破壞，內(nèi)部人員的違規(guī)和違法操作，網(wǎng)絡(luò)系統(tǒng)的脆弱和癱瘓，信息安全產(chǎn)品的失控等，對(duì)于這些威脅，電子政務(wù)的建設(shè)和應(yīng)用應(yīng)引起足夠警惕，采取果斷的安全措施，應(yīng)對(duì)這種挑戰(zhàn)。

3 電子政務(wù)信息安全管理體系的構(gòu)建

要有效維護(hù)電子政務(wù)信息系統(tǒng)的安全，就需要構(gòu)建電子政務(wù)安全管理體系，從而使政務(wù)的信息基礎(chǔ)設(shè)施、信息應(yīng)用服務(wù)能夠具有保密性、完整性、真實(shí)性和可用性。電子政務(wù)安全管理體系包括安全技術(shù)體系、安全管理體系和安全服務(wù)體系，涉及從管理到組織，從網(wǎng)絡(luò)到數(shù)據(jù)，從法規(guī)標(biāo)準(zhǔn)到基礎(chǔ)設(shè)施等各個(gè)方面。

3.1 加強(qiáng)安全技術(shù)力量是實(shí)現(xiàn)電子政務(wù)安全的基本方法

安全技術(shù)體系是利用技術(shù)手段實(shí)現(xiàn)技術(shù)層面的安全保護(hù)，是對(duì)電子政務(wù)安全防護(hù)體系的完善，包括網(wǎng)絡(luò)安全體系、數(shù)據(jù)安全傳輸與存儲(chǔ)體系，功能主要是通過各種技術(shù)手段實(shí)現(xiàn)技術(shù)層次的安全保護(hù)。

網(wǎng)絡(luò)安全體系包括網(wǎng)閘、入侵檢測、漏洞檢測、外聯(lián)和接入檢測、補(bǔ)丁管理、防火墻、身份鑒別和認(rèn)證、系統(tǒng)訪問控制、網(wǎng)絡(luò)審計(jì)等;數(shù)據(jù)安全與傳輸與存儲(chǔ)體系包括數(shù)據(jù)備份恢復(fù)、PKI/CA、PMI等。整個(gè)電子政務(wù)的安全，涉及信息安全產(chǎn)品的全局配套和科學(xué)布置，產(chǎn)品選擇應(yīng)充分考慮產(chǎn)品的自主權(quán)和自控權(quán)。在關(guān)鍵技術(shù)、經(jīng)營管理、生產(chǎn)規(guī)模、服務(wù)觀念等方面，要集中人力、物力，制訂相關(guān)政策，大力發(fā)展自主知識(shí)產(chǎn)權(quán)的計(jì)算機(jī)芯片、操作系統(tǒng)等信息安全技術(shù)產(chǎn)品，以確保關(guān)鍵政府部門的信息系統(tǒng)的網(wǎng)絡(luò)安全。加強(qiáng)核心技術(shù)的自主研發(fā)，并盡快使之產(chǎn)品化和產(chǎn)業(yè)化，尤其是操作系統(tǒng)技術(shù)和計(jì)算機(jī)芯片技術(shù)?，F(xiàn)階段各地政府部門目前所選用的高端軟硬件平臺(tái)，很多都是國外公司的產(chǎn)品，這也對(duì)政務(wù)安全帶來了許多隱患。因此，在構(gòu)建電子政務(wù)系統(tǒng)的時(shí)候，在可能的情況下，我們應(yīng)盡量選用國產(chǎn)化技術(shù)和國內(nèi)公司的產(chǎn)品。

3.2 構(gòu)建安全管理體系是電子政務(wù)安全實(shí)施的重要基礎(chǔ)

安全管理是解決電子政務(wù)的安全問題在技術(shù)以外的另一有力保障和途徑。由于安全的防范技術(shù)與破壞技術(shù)總是“勢均力敵”、“相互促進(jìn)”的。作為防范者就更應(yīng)該在安全防范的管理上下更大的工夫。安全管理主要涉及三個(gè)方面：法律法規(guī)、安全防護(hù)體系以及等級(jí)保護(hù)政策。

3.2.1法律政策、規(guī)章制度和標(biāo)準(zhǔn)規(guī)范

電子政務(wù)的工作內(nèi)容和工作流程涉及到國家秘密與核心政務(wù)，它的安全關(guān)系到國家的主權(quán)、國家的安全和公眾利益，所以電子政務(wù)的安全實(shí)施和保障，必須以國家法規(guī)形式將其固化，形成全國共同遵守的規(guī)約。目前，世界上很多國家制定了與網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)，如英國的《官方信息保護(hù)法》等。我國雖然頒發(fā)了一些與網(wǎng)絡(luò)安全有關(guān)的法律法規(guī)，如《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定》等等，但顯得很零散，還缺乏關(guān)于電子政務(wù)網(wǎng)絡(luò)安全的專門法規(guī)。此外，在完善法律法規(guī)的同時(shí)，還應(yīng)該加大執(zhí)法力度，嚴(yán)格執(zhí)法，這一目標(biāo)的實(shí)現(xiàn)不僅需要政府組織的努力，更要國家立法機(jī)構(gòu)的參與和支持。

3.2.2電子政務(wù)防護(hù)體系

貫穿整個(gè)電子政務(wù)的安全防護(hù)體系，對(duì)電子政務(wù)安全實(shí)施起全面的指導(dǎo)作用，具體包括三個(gè)方面的內(nèi)容：安全組織機(jī)構(gòu)、安全人事管理、以及安全責(zé)任制度。建立安全組織機(jī)構(gòu)，其目的是統(tǒng)一規(guī)劃各級(jí)網(wǎng)絡(luò)系統(tǒng)的安全、制定完善的安全策略和措施、協(xié)調(diào)各方面的安全事宜，主要職責(zé)包括制定整體安全策略、明確規(guī)章制度、落實(shí)各項(xiàng)安全措施實(shí)施，以及制訂安全應(yīng)急方案和保密信息的安全策略；安全人事管理，其主要內(nèi)容包括：人事審查與錄用、崗位與責(zé)任范圍的確定、工作評(píng)價(jià)、人事檔案管理、提升、調(diào)動(dòng)與免職、基礎(chǔ)培訓(xùn)等；制定和落實(shí)安全責(zé)任制度，包括系統(tǒng)運(yùn)行維護(hù)管理制度、計(jì)算機(jī)處理控制管理制度、文檔資料管理制度、操作和管理人員管理制度、機(jī)房安全管理制度、定期檢查與監(jiān)督制度、網(wǎng)絡(luò)通信安全管理制度、病毒防治管理制度、安全等級(jí)保護(hù)制度、對(duì)外交流安全維護(hù)制度，以及對(duì)外合作制度等。

3.2.3等級(jí)保護(hù)制度

通過全面推行信息安全等級(jí)保護(hù)制度，逐步將信息安全等級(jí)保護(hù)制度落實(shí)到信息系統(tǒng)安全規(guī)劃、建設(shè)、測評(píng)、運(yùn)行維護(hù)和使用等各個(gè)環(huán)節(jié)，使信息安全保障狀況得到基本改善。通過加強(qiáng)和規(guī)范信息安全等級(jí)保護(hù)管理，不斷提高信息安全保障能力，為維護(hù)信息網(wǎng)絡(luò)的安全穩(wěn)定，促進(jìn)信息化發(fā)展服務(wù)。

4 完善安全服務(wù)是維護(hù)電子政務(wù)安全實(shí)施的有力保障

4.1 安全等級(jí)測評(píng)和風(fēng)險(xiǎn)評(píng)估管理

電子政務(wù)信息系統(tǒng)安全測評(píng)服務(wù)，其實(shí)質(zhì)是通過科學(xué)、規(guī)范、公正的測試和評(píng)估向被測評(píng)單位證實(shí)其信息系統(tǒng)的安全性能符合等級(jí)保護(hù)的要求。

由于信息安全直接涉及國家利益、安全和主權(quán)，政府對(duì)信息產(chǎn)品、信息系統(tǒng)安全性的測評(píng)認(rèn)證要更為嚴(yán)格。對(duì)信息系統(tǒng)和信息安全技術(shù)中的核心技術(shù)，由政府直接控制，在信息安全各主管部門的支持和指導(dǎo)下，依托專業(yè)的職能機(jī)構(gòu)提供技術(shù)支持，形成政府的行政管理與技術(shù)支持相結(jié)合、相依賴的管理體制。風(fēng)險(xiǎn)管理是對(duì)項(xiàng)目風(fēng)險(xiǎn)的識(shí)別、分析和應(yīng)對(duì)過程。它包括對(duì)正面事件效果的最大化及對(duì)負(fù)面事件影響的最小化。電子政務(wù)安全風(fēng)險(xiǎn)管理的主要任務(wù)是電子政務(wù)信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估并提出風(fēng)險(xiǎn)緩解措施，前者是識(shí)別并分析系統(tǒng)中的風(fēng)險(xiǎn)因素，估計(jì)可能造成的損失，后者是選擇和實(shí)施安全控制，將風(fēng)險(xiǎn)降低到一個(gè)可接受的水平。

4.2 安全培訓(xùn)服務(wù)

根據(jù)不同層次的人才需求，社會(huì)化的信息安全人才培養(yǎng)體系應(yīng)分為專業(yè)型教育、應(yīng)用型教育和安全素養(yǎng)教育三個(gè)層次。專業(yè)型教育主要是培養(yǎng)信息安全領(lǐng)域的專業(yè)研發(fā)、工程技術(shù)、戰(zhàn)略管理等方面的人才。應(yīng)用型(半專業(yè))教育則是以從事現(xiàn)代信息管理工作的人作為對(duì)象，培養(yǎng)目標(biāo)是要求學(xué)生具備信息安全的基本知識(shí)、網(wǎng)絡(luò)和信息系統(tǒng)安全防范技能、組織機(jī)構(gòu)或系統(tǒng)安全管理的能力等。這種應(yīng)用型的信息安全教育要求受教育對(duì)象數(shù)量要多，覆蓋面要廣，基本信息技能要強(qiáng)。通過課程、講座、宣傳等多種形式，達(dá)到讓每一個(gè)人都具備必要的安全意識(shí)和常規(guī)的信息安全自我防范技術(shù)的目的。要求單位領(lǐng)導(dǎo)應(yīng)具備必要信息安全意識(shí)和安全知識(shí)；信息管理人員應(yīng)具備一定的信息安全知識(shí)和基本技能；從事信息服務(wù)或信息安全服務(wù)的有關(guān)人員應(yīng)具備必要的信息安全知識(shí)和技術(shù)基礎(chǔ)等。

構(gòu)建安全穩(wěn)定的政務(wù)信息系統(tǒng)，技術(shù)、管理、服務(wù)作為支撐體系的三大要素，缺一不可。只有這三方面都做好了，才能實(shí)現(xiàn)海西政務(wù)信息管理體系的全面提升。

[1] 何玲,電子政務(wù)環(huán)境下政府電子文件管理新探索[D].成都:四川大學(xué)碩士學(xué)位論文,2008.

[2] 電子政務(wù)：安全防護(hù)體系構(gòu)建策略[EB/OL].http://www.enet.com.cn,2009.

[3] 金江軍.電子政務(wù)信息安全體系建設(shè)[EB/OL].博客中國,2005.