讓電子政府“固若金湯”

王傳斌

電子政務(wù)作為國家信息化戰(zhàn)略重要組成部分，具有先導(dǎo)和示范作用，其信息安全保障事關(guān)經(jīng)濟發(fā)展、國家安全、社會穩(wěn)定、公眾利益和社會主義精神文明建設(shè)。如果電子政務(wù)信息安全得不到保障，電子政務(wù)的便利與效率便無從保證。

對于進一步提高信息安全的保障能力和防護水平來說，實行信息安全等級保護無疑是一種好的方法，因為它能充分調(diào)動國家、法人和其他組織及公民的積極性，增強安全保護的整體性、針對性和實效性，使信息系統(tǒng)安全建設(shè)重點更加突出、規(guī)范，更加統(tǒng)一。

但是，電子政務(wù)重在政務(wù)，由于政務(wù)部門的職能不同，信息系統(tǒng)的結(jié)構(gòu)、功能和安全要求也不盡相同，信息安全等級保護工作的側(cè)重點也不同。然而從總體上來說，都需要做好以下幾點：

落實好“四個把握”

把握等級保護的建設(shè)進程。按照等級保護程序規(guī)定，做好定級、備案、整改、評測與監(jiān)管工作。

把握等級劃分的合理性和準確性。要認真分析電子政務(wù)系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要性程度，即電子政務(wù)系統(tǒng)遭受破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素，合理準確地確定系統(tǒng)安全等級。具體來說，安全等級的確定要根據(jù)信息系統(tǒng)的綜合價值和綜合能力保證的要求不同以及安全性被破壞造成的損失大小，綜合考慮信息系統(tǒng)的經(jīng)濟價值、社會價值以及信息服務(wù)的服務(wù)范圍和連續(xù)性。

把握好不同等級的基本安全要求?；疽笫轻槍Σ煌踩Ｗo等級信息系統(tǒng)，應(yīng)該具有的基本安全保護能力提出的安全要求。例如：第三級信息系統(tǒng)要具有抵御來自外部組織的惡意攻擊能力和防內(nèi)部人員攻擊能力，不僅要對安全事件有審計記錄，還要能追蹤與響應(yīng)處理，要實現(xiàn)多重保護制度。

把握好基本技術(shù)要求和基本管理要求?；炯夹g(shù)要求包括物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全與數(shù)據(jù)安全等方面?；竟芾硪笫峭ㄟ^控制信息系統(tǒng)中各種角色參與的活動，包括安全管理機構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理等方面，從政策、制度、規(guī)范、流程以及記錄等方面做出規(guī)定。對于電子政務(wù)系統(tǒng)要特別關(guān)注基礎(chǔ)設(shè)施監(jiān)控與管理、網(wǎng)絡(luò)安全監(jiān)控與管理、業(yè)務(wù)應(yīng)用系統(tǒng)的監(jiān)控與管理、應(yīng)急響應(yīng)與備份恢復(fù)管理。

引入風險評估機制

信息安全等級保護必須樹立風險管理的思想，而風險評估是風險管理的基礎(chǔ)，因此，三級以上電子政務(wù)系統(tǒng)必須定期進行信息安全風險評估。風險評估貫穿于等級保護周期的系統(tǒng)定級、安全實施和安全運維三個階段：

系統(tǒng)定級。由于不同的電子政務(wù)系統(tǒng)具有自身的行業(yè)和業(yè)務(wù)特點，且所受到的安全威脅均有所不同。因此，可以依據(jù)信息安全風險評估國家標準對所評估資產(chǎn)的重要性、客觀威脅發(fā)生的頻率、系統(tǒng)自身脆弱性的嚴重程度進行識別和關(guān)聯(lián)分析，判斷信息系統(tǒng)應(yīng)采取什么強度的安全措施，然后將安全事件一旦發(fā)生后可能造成的影響控制在可接受的范圍內(nèi)。即將風險評估的結(jié)果作為確定信息系統(tǒng)安全措施的保護級別的一個參考依據(jù)。

安全實施。安全實施是根據(jù)信息安全等級保護國家標準的要求，從管理與技術(shù)兩個方面選擇不同強度的安全措施，來確保建設(shè)的安全措施滿足相應(yīng)的等級要求。風險評估在安全實施階段就可以直接發(fā)揮作用，那就是對現(xiàn)有電子政務(wù)系統(tǒng)進行評估和加固，然后再進行安全設(shè)備部署等。在安全實施過程中也會發(fā)生安全事件并可能帶來長期的安全隱患，如安全集成過程中設(shè)置的超級用戶和口令沒有完全移交給用戶、防火墻部署后長時間保持透明策略等都會帶來嚴重的問題，風險評估能夠及早發(fā)現(xiàn)并解決這些問題。

安全運維。安全運維是指按照系統(tǒng)等級進行安全實施后開展運行維護的安全工作。安全運維包括兩方面：一是維護現(xiàn)有安全措施等級的有效性。二是根據(jù)客觀情況的變化以及系統(tǒng)內(nèi)部建設(shè)的實際需要，對等級進行定期調(diào)整，以防止過度保護或保護不足。在安全運維的過程中，通過信息安全風險評估工作可以對已有信息系統(tǒng)的安全等級保護情況進行評估，依據(jù)已確定等級的相關(guān)保護要求，對系統(tǒng)的保護效果、潛在風險進行評價，評估是否達到等級保護的要求；當信息系統(tǒng)或外部環(huán)境發(fā)生變更時，可以通過風險評估工作了解和確定風險的變更，為再次定級和等級保護措施的調(diào)整提供依據(jù)。

建立有效的信息安全管理組織

信息安全管理組織是建立信息安全保障體系，做好信息安全等級保護工作的必要條件。當前很多政務(wù)部門的信息安全工作均有信息化部門兼任，沒有足夠的權(quán)威性。等級保護工作的開展，要求在組織內(nèi)部建立信息系統(tǒng)安全方面的最高權(quán)力組織，并有明確的安全目標，目的是在管理層的承諾和擁有足夠資源的情況下開展信息安全工作。因此，建立有效的信息安全管理組織必須明確以下內(nèi)容：

要遵循分權(quán)制衡原則。制度的建立、制度的執(zhí)行、執(zhí)行情況的檢查與監(jiān)督要分開考慮。在目前的等級保護測評工作中，時常發(fā)現(xiàn)有系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全員與審計員兼任的情況，甚至一人包攬所有的信息系統(tǒng)運維工作。但從等級保護的基本要求來看，依據(jù)分權(quán)制衡的原則，建議在電子政務(wù)系統(tǒng)中，系統(tǒng)管理員與審計員不得兼任，審計員不能從事所有日常信息的維護與管理工作，系統(tǒng)管理員不能從事審計日志的查看與處理工作。

要堅持從上而下的垂直管理原則。上一級機關(guān)信息系統(tǒng)的安全管理組織指導(dǎo)下一級機關(guān)信息系統(tǒng)的安全管理組織的工作，下一級機關(guān)信息系統(tǒng)的安全管理組織接受并執(zhí)行上一級機關(guān)信息系統(tǒng)的安全管理組織的安全策略。

應(yīng)常設(shè)信息系統(tǒng)安全管理組織辦公機構(gòu)，負責信息安全的日常事務(wù)工作。信息系統(tǒng)安全管理組織應(yīng)由系統(tǒng)管理、系統(tǒng)分析、軟硬件維護、安全保衛(wèi)、系統(tǒng)稽核、人事與通信等有關(guān)方面的人員組成。

信息安全管理組織部門不能隸屬于技術(shù)部門或運行部門，各級信息系統(tǒng)的安全組織不能隸屬于同級信息系統(tǒng)管理和業(yè)務(wù)機構(gòu)。信息安全管理組織部門只有不隸屬于技術(shù)或運維部門，才能站在較高的層次上制定信息安全的整體框架與策略、有效的處理安全事件，啟動應(yīng)急預(yù)案。

安全管理組織中領(lǐng)導(dǎo)層的負責人應(yīng)由單位主管領(lǐng)導(dǎo)出任，并由業(yè)務(wù)分管領(lǐng)導(dǎo)與信息化分管領(lǐng)導(dǎo)共同組成。筆者在近幾年的等級保護測評工作中體會到一點，等級保護工作開展得是否有成效，與單位領(lǐng)導(dǎo)的重視程度密切相關(guān)。等級保護工作中涉及到的安全方案設(shè)計、安全設(shè)備的添置、物理環(huán)境的改善、人員的配備等各項工作都離不開單位領(lǐng)導(dǎo)的支持。

（作者單位：浙江省電子信息產(chǎn)品檢驗所）endprint