2004年@@9月@@到@@2005年@@5月@@,为了评估政府@@各个部门在信息安全@@方面政策法规的全面性@@、有效性@@,美国@@联邦政府@@@@审计署分析回顾了从@@2003财年@@到@@2005年@@5月@@的相关报告@@、各个政府@@机构总检察长的相关报告@@、管理预算办公室的@@《联邦信息安全@@管理法案@@》指南@@,以及国家标准技术研究院的相关标准@@、指南@@以及年@@度报告@@。2005年@@7月@@,美国@@出台@@《信息安全@@年@@度报告@@。中国在政务@@安全方面有什么可以借鉴的@@?
2005年@@7月@@,美国@@联邦政府@@@@审计署向美国@@国会提交了@@《信息安全@@年@@度报告@@》(以下简称美国@@报告@@),其题目是@@《信息安全@@:相关法规执行方面有所成就@@,但是@@仍然存在薄弱之处@@》。美国@@报告指出@@@@,联邦政府@@各个分支机构以及众多事关国计民生的部门@@,包括能源@@、供水@@、电信@@、国防以及应急服务部门@@,他们的日常工作已经广泛依赖计算机信息系统以及电子数据@@。这些信息系统@@、数据的安全非常重要@@,信息安全@@措施要防止数据篡改@@,保证核心业务连续性@@,预防数据欺骗以及阻止敏感信息泄漏@@。
美国@@政务@@的五大安全隐患@@
美国@@审计署发现@@,美国@@联邦政府@@@@24个部门信息系统普遍存在安全隐患@@,主要体现在以下@@5个方面@@:访问控制@@并未有效实施@@、软件@@变更控制@@并非总是有效@@、职责划分@@没有始终如一地执行@@、业务持续性计划经常是不充分的@@、部门信息安全@@规划没有全面地应用@@。
访问控制@@
它保证只有经过授权的用户才可以阅读@@、修改或者删除数据@@。访问控制@@包括电子方式以及物理方式@@,前者包括账号控制@@、密码控制以及用户权限控制@@,后者包括门卫@@、门锁等方式@@。24个部门中有@@23个部门在访问控制@@方面存在隐患@@。例如@@,有的信息系统允许用户使用非常简单的词语做密码@@,这使得黑客很容易破解密码@@。物理控制方面@@,有的部门并未有效采用门锁@@、门卡等手段@@。
软件@@变更控制@@
软件@@变更控制@@确保只有经过授权的软件@@程序才可以被安装@@,软件@@变更控制@@也会监控敏感程序@@、数据的使用情况@@。24个部门中有@@22个存在这方面的漏洞@@,例如@@软件@@系统没有采用正确流程进行升级@@。此外@@,有的信息系统在程序调整方面的批准@@、测试以及实施的文档记录没有良好维护@@,以至于出错的或者有预谋的程序将会严重威胁到系统安全@@。
职责划分@@
职责划分@@降低个人进行错误操作而没有被发现的风险@@。24个部门中有@@14个存在这方面的隐患@@,主要体现在系统管理和系统安全管理没有很好地分清@@。例如@@,有的部门用户可以在系统中添加并不存在的账号并获得很高的权限@@,用这个账号从事的活动没人监管@@。
业务连续计划@@
确保计算机相关的业务在紧急情况下不出现严重中断@@,例如@@出现地震@@、火灾等破坏活动的时候@@。20个部门存在这一方面的隐患@@。在审计署@@2005年@@4月@@提交的报告中已经指出@@@@,不到一半的部门有应急指挥通讯录@@,很少的部门记录了重要文件分布情况@@,大多数机构没有测试@@、检验@@、演习他们的业务连续计划@@以确保灾难发生时可以应用这些计划@@。
部门级别的安全规划@@
上述问题的存在@@,主要是因为各个部门没有强有力的信息安全@@管理规划@@。部门级别的安全规划@@提供工作框架@@,确保全部门能够理解风险并且有效控制@@、合理采取措施@@。这个方面@@@@,所有@@的部门都存在隐患@@,他们都没有制定全面的信息安全@@规划@@,尤其是新型的安全威胁方面@@,包括垃圾邮件@@、钓鱼以及间谍程序@@。
我国可借鉴什么@@
我国在信息系统安全管理方面开展工作的时间不长@@,相关经验不多@@,许多应建立的规章制度还在摸索之中@@。2005年@@7月@@刚刚发布的@@《2005中国信息化发展报告@@》谈到信息安全@@的时候@@,提到蠕虫和病毒在网上传播十分猖獗@@、木马事件潜在威胁巨大@@、各类网络违法犯罪日益突出@@,但没有专门介绍电子政务@@的安全现状@@。
重视管理机制制度@@
《2005中国信息化发展报告@@》指出@@,要加强对信息安全@@工作的领导@@,建立健全信息安全@@领导责任机制@@,明确主管领导@@,落实责任部门@@,建立和完善信息安全@@监控体系@@,加强以密码技术为基础的信息保护和网络信任体系的建设@@。
重视管理机制制度@@这一方面@@,中美两国有相近之处@@。美国@@《联邦信息安全@@管理法案@@》认为@@,联邦政府@@存在信息安全@@隐患最根本原因是缺乏有效的信息安全@@管理规划@@。基于此@@,美国@@《联邦信息安全@@管理法案@@》要求政府@@建立一套全面的信息安全@@控制管理框架@@。不仅如此@@,考虑到各个机构在信息安全@@管理规划方面难免出现漏洞@@,美国@@《联邦信息安全@@管理法案@@》制定了一套完善的评估机制@@,包括部门定期自检以及管理和预算办公室@@、国家标准技术研究院以及其他独立机构的评估@@。
《联邦信息安全@@管理法案@@》要求美国@@联邦政府@@@@各个机构的信息安全@@报告包含如下信息@@:风险评估情况@@、政策和流程@@、个别系统的安全规划@@、相关培训情况@@、年@@度测试和评估情况@@、采取的对策@@、信息安全@@事件报告以及运行连续性@@。
美国@@的评估机制@@,保证了部门领导在意识上定期关注@@各自部门的信息安全@@@@,又使得他们有能力全面深入了解本部门信息安全@@的方方面面@@。这样@@,既提高了部门领导对信息安全@@的重视程度@@,又采用完善的制度来提高各个部门发现@@、报告和共享信息安全@@隐患的能力@@。与美国@@相比@@,我们还没有明确提出要建立全方位的评估体系@@。
完善标准法规体系@@
《2005中国信息化发展报告@@》指出@@,抓紧制定信息安全@@等级保护的管理办法和技术指南@@@@,建立信息安全@@等级保护制度@@,加强信息安全@@法制建设和标准化建设@@。
在标准法规@@、技术指南@@方面@@,我国政府@@主要精力集中在信息安全@@等级保护方面@@。比较而言@@,美国@@政府@@@@制订的标准法规@@、技术指南@@则更为全面@@。美国@@《联邦信息安全@@管理法案@@》规定@@,由美国@@国家标准技术研究院@@(NIST)负责为政府@@各个部门提供相关法规制度或技术援助@@,进行信息安全@@方面的研究@@,并且参与国家安全体系相关标准的开发@@。
安全不仅是技术问题@@,同时还是社会和法律问题@@。与美国@@相比@@,我国在标准的制定@@、认证@@、检测等方面有待于进一步的加强@@。信息安全@@标准方面@@,我国有国家信息安全@@产品测评认证@@中心@@、公安部@@、国家质量技术监督局等多个部门参与这方面的工作@@,而美国@@则在法案中明确表示由美国@@国家标准技术研究院@@一家来完成@@。还有一点值得注意的是@@,我国信息安全@@标准的培训@@、认证@@和检测机构中@@,有一些是赢利机构@@,这在某种程度上降低了其公证性@@。
加强信息安全@@培训@@
《2005中国信息化发展报告@@》指出@@,加强信息安全@@学科@@、人才培养@@。
联邦信息安全@@管理法案@@要求@@,联邦政府@@各个机构对政府@@雇员以及合同商的雇员进行信息安全@@培训@@,这些机构在年@@度评估报告中要标明参与培训人员的数量以及所占比例@@。2005年@@的报告指出@@@@,所有@@24个部门都对本部门@@60%以上的职员进行了培训@@。美国@@报告指出@@@@,如果不能提供最新的信息安全@@培训@@,将会给政府@@机构的信息安全@@带来安全隐患@@。例如@@,美国@@大多数部门没有对雇员提供无线局域网方面的信息安全@@培训@@,这使得他们在建设没有认证@@措施的无线局域网的时候@@,不了解其安全隐患@@。
由此可见@@,美国@@政府@@@@更注重日常的培训工作@@,而不仅仅是学校培养@@。信息安全@@,需要有数学算法@@、软件@@、硬件等诸多方面的理论支持@@。但对于很多现有的隐患来说@@,更重要的是提高普通用户的安全意识@@。例如@@美国@@政府@@@@提到的无线局域网问题@@,我国政府@@在科研方面正在开发@@WAPI,希望以此来增强系统的安全性@@。但是@@,有许多无线局域网是内置了安全认证@@程序而根本没有启用@@。
信息安全@@是个系统工程@@,既要有高屋建瓴的顶层设计@@、整体框架@@,又要有体贴入微的法规标准@@、行动指南@@@@,还要有资金支持@@、日常培训以及监察制度@@,需要恩威并重@@。同美国@@信息安全@@报告谈到的情况相比@@,在我国政府@@部门中宣传信息安全@@的重要性@@,并且保证相关人员有能力@@、有方法了解其现状@@,懂得如何降低风险@@,这些都是任重而道远的@@。
链接@@
国家信息化领导小组第一次@@会议决定@@,把电子政务@@建设作为今后一个时期我国信息化工作的重点@@,政府@@先行@@,带动国民经济和社会发展信息化@@。
在电子政务@@建设中和安全相关的主要任务是@@:
基本建立电子政务@@网络与信息安全@@保障体系@@。要组织建立我国电子政务@@网络与信息安全@@保障体系框架@@,逐步完善安全管理体制@@,建立电子政务@@信任体系@@,加强关键性安全技术产品的研究和开发@@,建立应急支援中心和数据灾难备份基础设施@@。
完善电子政务@@标准化体系@@。逐步制定电子政务@@建设所需的标准和规范@@。今年@@要优先制定业务协同@@、信息共享和网络与信息安全@@的标准@@,加快建立健全电子政务@@标准实施机制@@。
加快推进电子政务@@法制建设@@。适时提出比较成熟的立法建议@@,推动相关配套法律法规的制定和完善@@。加快研究和制定电子签章@@、政府@@信息公开及网络与信息安全@@@@、电子政务@@项目管理等方面的行政法规和规章@@。基本形成电子政务@@建设@@、运行维护和管理等方面有效的激励约束机制@@。
