多角度解析電子政務(wù)安全防護(hù)體系構(gòu)建

申請免費(fèi)試用、咨詢電話：400-8352-114

電子政務(wù)使政府社會(huì)服務(wù)職能得到最大程度的發(fā)揮，但也使政府敏感信息暴露在無孔不入的網(wǎng)絡(luò)威脅面前。要趨利避害，電子政務(wù)安全防護(hù)體系的構(gòu)建至關(guān)重要。電子政務(wù)安全防護(hù)體系包括安全管理體系、安全技術(shù)體系、安全組織體系和安全基礎(chǔ)設(shè)施，涉及從管理到組織，從網(wǎng)絡(luò)到數(shù)據(jù)，從法規(guī)標(biāo)準(zhǔn)到基礎(chǔ)設(shè)施等各個(gè)方面。

（一） 安全管理貫穿整個(gè)電子政務(wù)安全防護(hù)體系，對電子政務(wù)安全實(shí)施起指導(dǎo)作用

安全管理體系包括：法律政策、規(guī)章制度和標(biāo)準(zhǔn)規(guī)范。安全管理體系的建立應(yīng)符合組織使命，符合組織利益。電子政務(wù)的工作內(nèi)容和工作流程涉及到國家秘密與核心政務(wù)，它的安全關(guān)系到國家的主權(quán)、國家的安全和公眾利益，所以電子政務(wù)的安全實(shí)施和保障，必須以國家法規(guī)形式將其固化，形成全國共同遵守的規(guī)約。目前，世界上很多國家制定了與網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)，如英國的《官方信息保護(hù)法》等。我國雖然頒發(fā)了一些與網(wǎng)絡(luò)安全有關(guān)的法律法規(guī)，如《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定》等等，但顯得很零散，還缺乏關(guān)于電子政務(wù)網(wǎng)絡(luò)安全的專門法規(guī)。此外，在完善法律法規(guī)的同時(shí)，還應(yīng)該加大執(zhí)法力度，嚴(yán)格執(zhí)法，這一目標(biāo)的實(shí)現(xiàn)不僅需要政府組織的努力，更要國家立法機(jī)構(gòu)的參與和支持。

信息安全標(biāo)準(zhǔn)有利于安全產(chǎn)品的規(guī)范化，有利于保證產(chǎn)品安全可信性、實(shí)現(xiàn)產(chǎn)品的互聯(lián)和互操作性，以支持電子政務(wù)系統(tǒng)的互聯(lián)、更新和可擴(kuò)展性，支持系統(tǒng)安全的測評與評估，保障電子政務(wù)系統(tǒng)的安全可靠。電子政務(wù)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)規(guī)范包括電子文檔密級劃分和標(biāo)記格式、內(nèi)容健康性等級劃分與標(biāo)記、內(nèi)容敏感性等級劃分與標(biāo)記、密碼算法標(biāo)準(zhǔn)、密碼模塊標(biāo)準(zhǔn)、密鑰管理標(biāo)準(zhǔn)、PKI/CA標(biāo)準(zhǔn)、PMI標(biāo)準(zhǔn)、信息系統(tǒng)安全評估和網(wǎng)絡(luò)安全產(chǎn)品測評標(biāo)準(zhǔn)等方面的內(nèi)容。

省市或部門內(nèi)部應(yīng)通過全面推行信息安全等級保護(hù)制度，逐步將信息安全等級保護(hù)制度落實(shí)到信息系統(tǒng)安全規(guī)劃、建設(shè)、測評、運(yùn)行維護(hù)和使用等各個(gè)環(huán)節(jié)，使省市信息安全保障狀況得到基本改善。通過加強(qiáng)和規(guī)范信息安全等級保護(hù)管理，不斷提高、省市信息安全保障能力，為維護(hù)信息網(wǎng)絡(luò)的安全穩(wěn)定，促進(jìn)信息化發(fā)展服務(wù)。

電子政務(wù)信息系統(tǒng)存在著來自社會(huì)環(huán)境、技術(shù)環(huán)境和物理自然環(huán)境的安全風(fēng)險(xiǎn)，其安全威脅無時(shí)無處不在。對于電子政務(wù)信息系統(tǒng)的安全問題，不能企圖單憑利用一些集成了信息安全技術(shù)的安全產(chǎn)品來解決，而必須建立電子政務(wù)信息系統(tǒng)安全管理體系，考慮技術(shù)、管理和法律的因素，全方位地、綜合解決系統(tǒng)安全問題。

（二） 安全技術(shù)體系是利用技術(shù)手段實(shí)現(xiàn)技術(shù)層面的安全保護(hù)，是對電子政務(wù)安全防護(hù)體系的完善

安全技術(shù)體系包括網(wǎng)絡(luò)安全體系和數(shù)據(jù)安全傳輸與存儲(chǔ)體系，功能主要是通過各種技術(shù)手段實(shí)現(xiàn)技術(shù)層次的安全保護(hù)。

網(wǎng)絡(luò)安全體系包括網(wǎng)閘、入侵檢測、漏洞檢測、外聯(lián)和接入檢測、補(bǔ)丁管理、防火墻、身份鑒別和認(rèn)證、系統(tǒng)訪問控制、網(wǎng)絡(luò)審計(jì)等；數(shù)據(jù)安全與傳輸與存儲(chǔ)體系包括數(shù)據(jù)備份恢復(fù)、PKI/CA、PMI等。整個(gè)電子政務(wù)的安全，涉及信息安全產(chǎn)品的全局配套和科學(xué)布置，產(chǎn)品選擇應(yīng)充分考慮產(chǎn)品的自主權(quán)和自控權(quán)。

需要注意，目前中國無論是關(guān)鍵技術(shù)、經(jīng)營管理還是生產(chǎn)規(guī)模、服務(wù)觀念，都不具備力量在短時(shí)間內(nèi)使國產(chǎn)信息產(chǎn)品占領(lǐng)國內(nèi)的信息安全產(chǎn)品主要市場。國家要集中人力、物力，制訂相關(guān)政策，大力發(fā)展自主知識產(chǎn)權(quán)的計(jì)算機(jī)芯片、操作系統(tǒng)等信息安全技術(shù)產(chǎn)品，以確保關(guān)鍵政府部門的信息系統(tǒng)的網(wǎng)絡(luò)安全。在安全技術(shù)方面，應(yīng)該加強(qiáng)核心技術(shù)的自主研發(fā)，并盡快使之產(chǎn)品化和產(chǎn)業(yè)化，尤其是操作系統(tǒng)技術(shù)和計(jì)算機(jī)芯片技術(shù)?，F(xiàn)階段中國各級政府部門目前所選用的高端軟硬件平臺，基本上都是國外公司的產(chǎn)品，這也對政務(wù)安全帶來了許多隱患。因此，在構(gòu)建電子政務(wù)系統(tǒng)的時(shí)候，在可能的情況下，我們應(yīng)盡量選用國產(chǎn)化技術(shù)和國內(nèi)公司的產(chǎn)品。

（三） 安全組織體系是安全管理的實(shí)施主體，是電子政務(wù)安全實(shí)施的必要條件

發(fā)達(dá)國家一般都建立有網(wǎng)絡(luò)安全管理機(jī)構(gòu)，美國安全委員會(huì)下設(shè)了國家保密政策委員會(huì)和信息系統(tǒng)安全保密委員會(huì)；英法等國家建立了“國家網(wǎng)絡(luò)安全委員會(huì)”。我國信息安全管理職能的格局已經(jīng)形成，包括國家安全部、國家保密局、國家密碼管理委員會(huì)、信息產(chǎn)業(yè)部、信息化領(lǐng)導(dǎo)小組、國家電子政務(wù)協(xié)調(diào)小組和國家安全協(xié)調(diào)小組等，盡管能各司其責(zé)，責(zé)權(quán)明確，但在許多的具體實(shí)施過程中缺乏統(tǒng)一性。

應(yīng)建立健全網(wǎng)絡(luò)安全組織管理制度，明確負(fù)責(zé)安全管理的主要領(lǐng)導(dǎo)、主管部門、技術(shù)支持部門等等。安全管理職能的協(xié)調(diào)需要由國家信息化領(lǐng)導(dǎo)機(jī)構(gòu)，各地區(qū)和部委建立相應(yīng)的信息安全管理機(jī)構(gòu)，以完成和強(qiáng)化信息安全的管理。只有建設(shè)一個(gè)國家到省市縱向和橫向各部委、廳局架構(gòu)的安全管理組織，才能真正實(shí)現(xiàn)全面的安全等級保護(hù)。

（四） 安全基礎(chǔ)設(shè)施為電子政務(wù)安全防護(hù)體系提供服務(wù)和支撐，為電子政務(wù)安全實(shí)施提供前提

信息安全基礎(chǔ)設(shè)施是一種為信息系統(tǒng)應(yīng)用主體和信息安全執(zhí)法主體提供信息安全公共服務(wù)和支撐的社會(huì)基礎(chǔ)設(shè)施，方便信息應(yīng)用主體安全防護(hù)機(jī)制的快速配置，有利于促進(jìn)信息應(yīng)用業(yè)務(wù)的健康發(fā)展，有利于信息安全技術(shù)和產(chǎn)品的標(biāo)準(zhǔn)化和促進(jìn)其可信度的提高，有利于信息安全職能部門的監(jiān)督和執(zhí)法，有利于增強(qiáng)全社會(huì)信息安全移師和防護(hù)技能，有利于國家信息安全保障體系的建設(shè)。因此，推動(dòng)電子政務(wù)的發(fā)展，應(yīng)重視相關(guān)信息安全基礎(chǔ)設(shè)施的建設(shè)。

目前中國的國際出入口監(jiān)控中心和安全產(chǎn)品評測認(rèn)證中心已經(jīng)初步建成。安全產(chǎn)品評測認(rèn)證中心由安全標(biāo)準(zhǔn)研究、產(chǎn)品安全測試、系統(tǒng)安全評估、認(rèn)證注冊部門和網(wǎng)絡(luò)安全專家委員會(huì)組成。同時(shí)，由國家密碼主管部門牽頭，將會(huì)同有關(guān)部門成立“國家PKI協(xié)調(diào)管理委員會(huì)”，指導(dǎo)電子政務(wù)PKI信任體系——國家電子政務(wù)根CA和橋CA建設(shè)。但總體上講，中國目前網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施的建設(shè)還處于初級階段，應(yīng)該盡快建立網(wǎng)絡(luò)監(jiān)控中心、安全產(chǎn)品評測中心、計(jì)算機(jī)病毒防治中心、關(guān)鍵網(wǎng)絡(luò)系統(tǒng)災(zāi)難恢復(fù)中心、網(wǎng)絡(luò)安全應(yīng)急響應(yīng)中心、電子交易安全證書授權(quán)中心、密鑰監(jiān)管中心等國家網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施。（支點(diǎn)網(wǎng)）