我国电子政务@@@@建设已经步入了深化应用阶段@@。应用与安全是一对矛盾@@,电子政务@@@@的深化应用与安全管理必须并举@@,不可偏重@@。如何在电子政务@@@@深化应用的同时建立起相应的信息安全@@管理体系@@@@,保证应用与安全的协调发展@@?这些都是摆在目前中国电子政务@@@@工作者面前的重要课题@@。
电子政务@@@@中的信息安全@@保证是电子政务@@@@建设的当务之急@@。之所以@@着力发展信息安全@@@@,是因为在电子政务@@@@建设初期在很大程度上是@@“摸着石头过河@@”,缺乏明确的策略对其进行指导@@。系统大都是采用开放式的操作系统和网络协议@@,存在着先天的安全隐患@@。随着电子政务@@@@建设的逐步推进@@,政府@@门户网站所承载业务的数量在逐步增加@@,网站被入侵或篡改所带来的危害将不仅仅限于@@“政府@@形象@@”的损害@@,甚至能会造成巨大的经济损失@@,或者严重的社会问题@@。
系统测评@@ 制度@@保证@@
河北省工业和信息化厅副厅长段润保谈到@@,电子政务@@@@深化应用在工作中得到了加强@@,网上审批可能达到了@@50%,重要的数据就不能上了@@,因为确保不了安全@@。今天达到@@100%,全社会的老百姓都来网上了@@,安全更不能保证@@。所以@@,各方面的强度肯定要增强@@,原来的软件就没有做软件测评@@,现在不行@@,必须要做@@。随着应用面越来越广@@,深度越来越深@@,使用频率越来越高@@。我们很多电子政务@@@@领域都用上了@@,上班就得用这个东西@@,像海关一样@@。
段润保还提到@@,河北的现状应该说不容乐观@@,到省级还比较好一些@@,到市勉强@@,到县就不行了@@。最近查的@@800余个网站@@,非常高的比例存在安全隐患@@,漏洞@@、信息泄漏@@,这样的问题有很多@@,非常严峻@@。年年抓还是这个情况@@,内网当然要好一些@@。内网有一个安全测评@@,有什么问题可以整改@@。在这样的问题下我们怎么样推进电子政务@@@@深化@@,确实要从制度@@要求@@。出了问题谁负责@@?有的时候没有制度@@@@,规范@@,所以@@说第二个问题是信息安全@@来保证电子政务@@@@的深化研究@@,基本的制度@@@@,比如说风险评估@@@@,你建了这个系统以后效果怎么样@@。等级保护制度@@@@,那是国家强制的@@,必须要这么做@@。
说是安全@@,实际上也有很多制度@@@@。这个系统按时升级了@@,口令@@8位以上@@,做复杂了他也不好破@@。很多制度@@是有@@,但是@@不执行@@,比如应该是一个星期升级@@,结果一个月也不升级@@,漏洞@@就有了@@。要建立新的制度@@@@,旧的制度@@也要不断完善@@,这样才能发展@@。
明确责任@@ 体系@@建设@@
国土资源部信息中心总工顾炳中指出@@,安全是一种责任@@,要明确安全的责任@@。划分政治界限@@,规定政治红线在哪儿@@。在不碰红线的前提下@@,我们来做我们的事情@@,所以@@必须满足红线@@。政策的安全红线是什么@@?国家的安全@@17859分级保护@@,强调的就是适度安全@@,安全不是绝对的@@。分级保护@@的原则指导下@@,23号@@文件@@,分级的改造@@,等级保护按@@43号@@ 文进行公安部的要求保护@@。这样的事情做下来是有一个基本要求@@,再出事不承担失职的责任@@。
这样是不是就是安全了@@?绝对不够@@。安全跟我们现在的规定@@,相关部门的规定还有一定的差距@@,安全应该是一个理念@@,应该贯穿到整个信息系统规划@@、设计@@、实施@@、运维全过程@@。政策红线只是规避了常发生的信息安全@@问题@@。包括现在的风险评估@@@@,风险评估@@有用吗@@?基本没太大的用@@。因为他说有漏洞@@@@,有漏洞@@不等于事实@@,不等于信息就不安全@@。漏洞@@多了@@,我们写代码可能有@@8个漏洞@@在里面@@,没有人检查@@,漏洞@@是永恒的@@,病毒也是永恒的@@。我们必须把安全作为一个理念@@,从规划和实施@@当中贯彻@@,采取自己切实可行的手段来保证安全@@。重要的数据我有方法备份@@,重要的信息系统我有方法检查@@,采用一系列的手段来进行保护@@。
分级保护@@ 风险评估@@
公安部第一研究所安全系统测评@@中心技术部主任秦超指出@@,电子政务@@@@与安全的直接关系@@,08年出台了一个文件@@,08年起@@,国家发改委批准的项目必须经过风险评估@@和安全测评@@,这是与电子政务@@@@最直接相关的测评报告@@。
08年奥运在一些单位检查当中发现很多领导都很重视@@。信息安全@@很重要@@,他们就会很谦虚的问网站怎么弄@@?怕攻击了@@,有什么办法@@?外网系统固然很重要@@,他们怕产生社会影响@@,怕丢面子@@。但是@@内网也很重要@@,内部最容易是作为堡垒被攻破@@。我们要重视内网的安全@@,一个是要加强审计@@。怎么处理好安全应用的关系@@?等级保护就是最好的方法@@,最好的是适度安全@@。我们的电子政务@@@@信息系统很庞大@@,如果把有限的财力@@,人力集中到信息系统上就要定级@@。有些单位说定了三级怎么实现@@?每个系统由一些小系统来组成@@,小系统划成核心区域@@,非核心区域@@,根据你自己的需要来采取安全措施@@。分级保护@@是把复杂的系统简单化@@,我们是从两个角度定义的@@,一个是按保密性@@,还有一个是可控性@@,两个组合形成最后的安全等级高低@@。
在安全保护过程中强调的是安全管理@@。我们强调的是建立一大堆制度@@@@,但是@@没有相应的机构@@,相应的人员来落实@@。领导兼职会拿它当工作做吗@@?我已经发现了一个规律@@,一个单位如果有相应的实权机构来负责这个事@@,一般这个单位的安全系统都是有秩序的@@。一些单位在技术方面确实不够专业@@,可以选择外包@@,但是@@要选择可靠的是要以运营单位来保证@@。
大家都普遍认识一点@@,安全是一个周期性的工作@@,漏洞@@是不断的被挖掘出来的@@,VISTA被发布之前@@,微软说@@VISTA很安全@@,没有漏洞@@@@,但是@@发布之后他说漏洞@@很小@@。所以@@要不断的对信息系统进行审计评估@@,对于三级系统一年要检查测评一次@@@@,四级系统要半年检查一次@@@@。
尽管电子政务@@@@代表了政务@@实施@@发展的趋势和方向@@,但是@@,建立和完善电子政务@@@@系统不是一朝一夕能完成的工程@@。除了技术的提升@@,信息安全@@意识和制度@@尤为重要@@。信息安全@@是一个管理体系@@@@,不管是等级保护@@,风险评估@@还是边界的管理@@,信息安全@@应该在下一步的深化应用当中渗透到各个环节@@。
