电子政务@@安全保障体系的探索@@

    在@@17号文件@@当中特别提到要建立电子政务@@的安全保障体系@@，紧接着到@@2003年@@7月@@份信息化领导小组第三次@@会议上正式通过了一个@@《关于加强信息安全@@保障工作的意见@@》，被大家称为@@27号文件@@，重申一条要发挥各界积极性@@、共同构筑国家信息安全@@保障体系@@。这里面有@@很多要点@@，我列了八条@@，比如提出来在@@信息安全@@建设中要重视信息安全@@的等级保护制度的执行@@，关于这个问题四部委已经联合发了一个关于信息安全@@等级保护制度的意见@@，在@@这里面要建设基于@@密码@@技术网络信任体系@@，这里的要害就是关于身份认证@@的问题@@，基于@@PKI数据认证@@以及部门的授权@@、责任认定等等@@。第三个是建设国家层次@@@@、领域层次@@的信息安全@@网络监控体系@@，第四是要重视信息安全@@的应急工作@@，出现重大灾难和事故的情况下@@，这到指挥@@、响应@@、协调@@、通报的制度@@，第五是国家提出来要信息化@@，最终中国的信息化要搭建在@@中国的@@、具有@@知识产权的信息安全@@支撑平台@@上的还有@@关于法制标准等等@@，这是@@27号文件@@提出的一些要点@@，随着@@27号文件@@之后@@2004年@@1月@@9号我们国家信息安全@@协调@@小组@@，黄菊是副组长@@，主持了一次@@我们国家信息安全@@的高层会议@@，在@@这个会议上都是各省部委的一二把手@@，黄菊副总理做了主题报告@@。在@@这个报告里特别强调了由于我们国家信息化的高速发展@@，各行各业@@，包括政府对信息化信息技术的依赖程度越来越强@@，提了几大案例@@，也提到了几年@@之后很多手工系统想恢复都没了@@。在@@广域网的情况下安全问题越来越重要了@@，所以在@@这个会上提出了一定要一个并重@@，在@@信息安全@@上管理和技术并重@@，要两手抓@@，一手抓发展@@，电子政务@@点射@@，一手一定要抓电子政务@@安全保障体系的认证@@@@，三个同步@@，同步规划@@、同步发展@@、同步建设@@，而且提出来要用新思路@@、新眼光@@，建设信息安全@@保障体系@@。

　　当前电子政务@@面临的威胁@@都有@@哪些呢@@？确实从政府的需求来说和商业需求是不一样的@@，所以它威胁@@的领域@@、内容@@、方式也是不一样的@@，可能有@@这几个方面@@@@，比如说黑客和计算机犯罪@@，篡改政府的网页@@，第二是病毒@@，第三是机要信息的流失@@，现在@@保密局已经统计了我们国家在@@网上的涉密信息流失已经达到了@@50%，传统的纸介质@@、声音等的失密比例正在@@下降@@。网上恐怖活动与信息战@@，还有@@内部人员违规和违法@@，电子政务@@的犯罪@@、案件@@75%主要出自内部和内外勾结@@。还有@@安全产品的失控@@，现在@@社会上关于分发式威胁@@@@，从产品研制@@、开发到成为产品销售维护到升级整个过程中会不会有@@人嵌入源代码@@，嵌入病毒到一定时候发作@@，国际上有@@@@这方面的例子@@，所以用户要增强自主权和对安全采购@@产品的可控权@@。在@@27号文件@@当中很多专家都提出来怎么想办法构建安全保障体系@@，要增强信息网络的防护能力@@、隐患发现能力@@、网络的应急反应能力和信息对抗能力@@，保证你的@@信息@@、你的@@服务具有@@五性@@，这五性叫法很多@@，但是今年@@年@@底我们国家就会出一套信息管理国家标准@@，里面就提到了传统的三性就是保密性@@、完整性和可用性@@，和进来发展的真实性@@、可核查性@@。

　　构建一个电子政务@@的保障体系要遵守一套安全策略@@，一个正确的策略会对体系的健康性带来很大的支撑@@，这些策略就不说了@@。什么是电子政务@@的安全体系呢@@？

　　从国家政策讲是六个方面@@@@，一个是保障电子政务@@安全的法规@@，保障电子政务@@的组织管理体系@@，安全标准@@，为了构建一个强壮性@@、健壮性信息安全@@体系坚持一种什么样的安全工程和服务机制@@，另外@@是要提供安全技术和产品@@。

　　再一个是从国家行业方面如何为广大用户提供一种安全的基础设施@@，这个体系的几个要素我就简单给大家做一点描述了@@。法律当前最有@@名的一个法律@@，也是中国信息化的第一部法律@@，通过人大的@@8月@@28号的电子签名法@@，这部法律对于信息化的安全建设@@、信息化的推动具有@@非常重要的意义@@。比方说电子政务@@@@，很多部门公文已经在@@流转了@@，这些部门靠上级@@、下级之间的严格关系@@，靠下级对上级的服从@@，真正的电子文章要到法院打官司是不能作为证据的@@，特别是由于电子政务@@的边界正在@@扩大@@，现在@@税务要给纳税人网上纳税@@，工商要网上年@@检@@，劳保要网上医保@@、就业@@，电子政务@@正在@@扩展@@，很多文件已经不完全在@@政府内部流转了@@，怎样保证电子政务@@公文的法律效益@@，这个法是非常重要的@@。全世界将近有@@@@30个国家已经立法了@@，我们国家这次@@一年@@半的时间通过@@，明年@@@@4月@@份正式执行@@。电子签名法涵盖了很多内容@@@@，大家有@@机会可以自己看一看@@。这里面不单纯是同法律条文上@@，甚至对将来怎么去认真@@、怎么签名这些环节的很多约束都很有@@重要意义@@。

　　另外@@一个要素是安全管理组织@@，国家信息化领导小组组长是总理@@，在@@这个小组下面专门设立了国家网络信息安全@@组@@，组长是黄菊@@，已经开了很多会议@@。国际标准是@@ISO17799，这个标准是十大类@@，27个方面@@，一百多项@@对信息化过程中的管理要素都做了很详细的规范@@，而且很有@@指导价值@@，所以我们国家已经兼容它@@，但是要本地化地加了很多内容@@@@，它是从管理策略@@、组织人员@@、资产分类@@、运行配置@@、审计@@、标记@@、维护和作业连续性的保障等等都有@@很多说明@@，这是@@集很多人的智慧形成的@@，当然也不完善@@，第二版本正在@@改进@@。在@@信息安全@@管理的制约和控制上不是一个阶段的@@，一定要从全过程来考虑个信息安全@@才会是强壮的@@，应该从立项@@@@、采购@@、外包@@、评估@@、运行到制度建立都应该重视安全建设@@。

　　第四个要素是要构建信息安全@@的标准和规范@@，这里我列了一些国际上已有@@的标准@@，很多标准咱们国家也都在@@采用@@，数字证书是用国际上@@X.509.V3，像访问控制@@大家也都在@@实施@@，安全测评@@、入侵检测@@、体系结构@@、内容@@分级以及安全管理这些在@@信息安全@@工作中具有@@很大的作用@@，标准是众人智慧的结晶@@，按照标准来做系统的可延展@@、可扩张性就好@@。国家信息办跟质检委在@@@@02年@@4月@@15日成立了我们国家信息安全@@标准化委员会建立了@@10个工作@@，很多科研部门@@、企业都参加了@@，从体系标准@@、内容@@、密码@@、PKI、评估@@、能够管理等一系列的标准@@。这些标准的进展挺快的@@，经过一年@@多@@，今年@@年@@底报批搞了@@16项@@，送审稿@@25项@@。有@@6项@@今年@@要出台@@，比如关于应急等等都属于今年@@要报批稿的@@16项@@，现在@@总的研究项@@目有@@一百多项@@和安全方方面面相关的@@，我想我们国家标准的出台对指导我们国家信息安全@@体系是非常有@@价值的@@。

　　另外@@一个要素就是关于信息安全@@系统的工程和服务@@，大家知道信息安全@@是一个系统@@，就像木桶原理@@，构建这样一个系统就涉及到系统学的问题@@。怎么样从全过程来研究构造一个强壮的系统@@，国际上有@@@@ISSE，IATF，CC，TESEC都认证@@了构建一个系统要从全过程来考虑@@，没有@@做之前要做好安全系统的分析@@，包括系统的弱点@@、威胁@@、风险@@、对策等等@@，要素是从五个层次@@来做的从物理层@@、网络层@@、系统层@@、应用层@@、管理层来做@@，包括构建全过程的风险@@控制@@，包括系统一旦建设成以后对电子政务@@来说一定要进行安全的风险@@评估@@@@，形成你的@@强壮性的策略@@。这些是指导构件信息安全@@体系的构成@@，这些流程是多人经验的积累@@，很有@@借鉴意义@@。在@@构建一个信息安全@@系统时要提供很多安全服务@@，这我就不说了@@。

　　第五个要素是关于信息安全@@技术机制的发展趋势@@，从互联网@@最开始从信息交换安全开始@@，到发展成除了@@Extranet到面向对象安全@@，这是@@需要全面来考虑的@@。加密技术现在@@发展很快@@、认证@@、鉴别@@、访问控制@@、网络边界防护@@、病毒防治@@、网络的隐患扫描与发现@@，内容@@的过滤与区别@@，包括网络的预警和攻击@@、内容@@产权保护@@、安全基@@，你的@@CPU、数据库@@、操作系统这就是安全基@@@@。这在@@电子政务@@间是很重要的问题@@。为什么电子政务@@@@C2标准是商业标准@@，但是很多电子政务@@的平台@@还是用@@C2，我们国家的@@B1正在@@发展之中不是太成熟@@，国外的@@B级平台@@是向中国禁用的@@，在@@用@@C2标准平台@@上完成电子政务@@很多重要内容@@的标准@@，怎么样采取架构技术@@，这里面配置@@、加固建设等有@@很多办法@@。

　　另外@@是审计@@与取证@@，备份与容灾@@，可信计算也是一个挑战@@，另外@@还有@@安全基@@金管理@@。谈到技术安全@@，现在@@大家都在@@面临的一个问题是纵深防御的问题@@。在@@纵深防御中我参加了一些部委和省市电子政务@@安全讨论中都有@@一个很尖锐的问题@@，就是网络信息域的科学划分和合理控制@@，这个问题做的好就会带来很大的好处@@，做不好就会带来很多安全漏洞@@。内网@@、外网除了业务需求之外还是有@@安全含义的@@，最近国信办都参加了一个新的平台@@@@，这也是用户的需求专网计划等等@@，在@@这样一些形态中采取什么样的科学采取非常重要@@，有@@的部门把不该划进去的非国家涉密划到内网@@@@，有@@的人把国家涉密内容@@划到外网去了@@，这也是不允许的@@。所以在@@安全这个问题上欠保护是不允许的@@，过保护也是没必要的@@。为什么国家现在@@提出来等级安全的概念@@，就是要科学划分的问题@@，这样才能该保的保得住@@，不该那么高强度保护的划进去@@。肯定要有@@一个核心的内网@@@@，也要有@@外网或者是专网@@，互联网@@，通过安全边界来保护各自的域@@，这里面有@@很多安全基@@础设施@@。内网@@大家看一看就行了@@，对于内网@@来说有@@几个环节就不说了@@，对于内网@@大家经常谈到的是什么是内网@@的物理隔离@@，其实物理隔离分四个层次@@@@，屏蔽就是物理层的隔离@@，终端一级是社会有@@很多双网机@@、双盘型@@、双区型@@。信道什么叫物理隔离@@？你可以用公用信道@@，但是端到端的信息必须功过国家保密办指定的加密过的隔离@@，网络隔离现在@@大家在@@做的网闸到现在@@都没有@@被保密局批准@@。对外网的连接也不说了@@。

　　在@@安全技术上我特别说了一句@@，对电子政务@@来说强化内部审计@@是过去咱们不太重视的@@，但是确实是存在@@这方面威胁@@的问题@@。什么叫强化内部审计@@呢@@？审计@@不但是过去的那种@@，要网络级的审计@@@@，这是@@防外部的@@，很多本来是内网@@自己连到互联网@@的@@，你怎么查出来对他是威胁@@呢@@？如果系统员违规违法来做的话@@，你怎么能够保持它的安全呢@@。最后一个要素是信息安全@@基础设施的支撑@@，是不是每个单位都去建信息中心@@，另外@@怎么配置应急支援体系@@，灾难恢复基础设施问题@@，密钥管理这些都要有@@国家@@、有@@地区来建设@@，这样降低成本@@，提供了比较强的支撑@@。

　　关于风险@@评估@@的基础设施@@，我们国家这个体系正在@@建设@@，国家成立了这方面的协调@@小组@@、专家组@@，国家以后对电子政务@@的安全要有@@检查评估@@@@，这种检查评估@@就是一种强制性的防止你自己说安全@@，你的@@系统集成商说安全就不能只靠这两个了@@。另外@@对灾难备份方面@@，9.11事件严重地教训@@1200个公司@@，有@@400个单位生存下来了@@，另外@@800个公司@@倒的倒@@，垮的垮@@，系统的很多数据都没了@@，所以重视灾难恢复是很重要的@@。但是一定要有@@科学的策略@@。钱是有@@限的@@，而且灾难恢复是一定要做的@@，怎么平衡这两者之间的关系@@。

　　我上面讲了一下国家安全体系建设@@，这对部门建设都是有@@益的@@，你构建一个系统如何遵循国家给你提供的标准@@、规范和政策框架@@，怎么样充分享@@受好国家为你提供的信息安全@@基础设施的测评@@，怎么选购国家已经认定的那些具有@@安全保密强度的产品和服务@@，在@@构建信息系统周期全过程@@，从结构分析@@、威胁@@分析@@、脆弱分析到安全需求挖掘等全过程来进行信息安全@@的规划和设计@@，当然很重要的是在@@五个层上做细化@@。总之@@，希望大家在@@构建一个健康的电子政务@@系统时不要忘了安全@@，一定要同时@@、同步地建立安全保障体系@@，才能保障你的@@电子政务@@信息安全@@共享@@。