多角度解析電子政務(wù)安全防護體系構(gòu)建

申請免費試用、咨詢電話：400-8352-114

電子政務(wù)使政府社會服務(wù)職能得到最大程度的發(fā)揮，但也使政府敏感信息暴露在無孔不入的網(wǎng)絡(luò)威脅面前。要趨利避害，電子政務(wù)安全防護體系的構(gòu)建至關(guān)重要。電子政務(wù)安全防護體系包括安全管理體系、安全技術(shù)體系、安全組織體系和安全基礎(chǔ)設(shè)施，涉及從管理到組織，從網(wǎng)絡(luò)到數(shù)據(jù)，從法規(guī)標準到基礎(chǔ)設(shè)施等各個方面。

（一） 安全管理貫穿整個電子政務(wù)安全防護體系，對電子政務(wù)安全實施起指導(dǎo)作用

安全管理體系包括：法律政策、規(guī)章制度和標準規(guī)范。安全管理體系的建立應(yīng)符合組織使命，符合組織利益。電子政務(wù)的工作內(nèi)容和工作流程涉及到國家秘密與核心政務(wù)，它的安全關(guān)系到國家的主權(quán)、國家的安全和公眾利益，所以電子政務(wù)的安全實施和保障，必須以國家法規(guī)形式將其固化，形成全國共同遵守的規(guī)約。目前，世界上很多國家制定了與網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)，如英國的《官方信息保護法》等。我國雖然頒發(fā)了一些與網(wǎng)絡(luò)安全有關(guān)的法律法規(guī)，如《計算機信息系統(tǒng)安全保護條例》、《計算機信息系統(tǒng)保密管理暫行規(guī)定》等等，但顯得很零散，還缺乏關(guān)于電子政務(wù)網(wǎng)絡(luò)安全的專門法規(guī)。此外，在完善法律法規(guī)的同時，還應(yīng)該加大執(zhí)法力度，嚴格執(zhí)法，這一目標的實現(xiàn)不僅需要政府組織的努力，更要國家立法機構(gòu)的參與和支持。

信息安全標準有利于安全產(chǎn)品的規(guī)范化，有利于保證產(chǎn)品安全可信性、實現(xiàn)產(chǎn)品的互聯(lián)和互操作性，以支持電子政務(wù)系統(tǒng)的互聯(lián)、更新和可擴展性，支持系統(tǒng)安全的測評與評估，保障電子政務(wù)系統(tǒng)的安全可靠。電子政務(wù)網(wǎng)絡(luò)安全標準規(guī)范包括電子文檔密級劃分和標記格式、內(nèi)容健康性等級劃分與標記、內(nèi)容敏感性等級劃分與標記、密碼算法標準、密碼模塊標準、密鑰管理標準、PKI/CA標準、PMI標準、信息系統(tǒng)安全評估和網(wǎng)絡(luò)安全產(chǎn)品測評標準等方面的內(nèi)容。

省市或部門內(nèi)部應(yīng)通過全面推行信息安全等級保護制度，逐步將信息安全等級保護制度落實到信息系統(tǒng)安全規(guī)劃、建設(shè)、測評、運行維護和使用等各個環(huán)節(jié)，使省市信息安全保障狀況得到基本改善。通過加強和規(guī)范信息安全等級保護管理，不斷提高、省市信息安全保障能力，為維護信息網(wǎng)絡(luò)的安全穩(wěn)定，促進信息化發(fā)展服務(wù)。

電子政務(wù)信息系統(tǒng)存在著來自社會環(huán)境、技術(shù)環(huán)境和物理自然環(huán)境的安全風(fēng)險，其安全威脅無時無處不在。對于電子政務(wù)信息系統(tǒng)的安全問題，不能企圖單憑利用一些集成了信息安全技術(shù)的安全產(chǎn)品來解決，而必須建立電子政務(wù)信息系統(tǒng)安全管理體系，考慮技術(shù)、管理和法律的因素，全方位地、綜合解決系統(tǒng)安全問題。

（二） 安全技術(shù)體系是利用技術(shù)手段實現(xiàn)技術(shù)層面的安全保護，是對電子政務(wù)安全防護體系的完善

安全技術(shù)體系包括網(wǎng)絡(luò)安全體系和數(shù)據(jù)安全傳輸與存儲體系，功能主要是通過各種技術(shù)手段實現(xiàn)技術(shù)層次的安全保護。

網(wǎng)絡(luò)安全體系包括網(wǎng)閘、入侵檢測、漏洞檢測、外聯(lián)和接入檢測、補丁管理、防火墻、身份鑒別和認證、系統(tǒng)訪問控制、網(wǎng)絡(luò)審計等；數(shù)據(jù)安全與傳輸與存儲體系包括數(shù)據(jù)備份恢復(fù)、PKI/CA、PMI等。整個電子政務(wù)的安全，涉及信息安全產(chǎn)品的全局配套和科學(xué)布置，產(chǎn)品選擇應(yīng)充分考慮產(chǎn)品的自主權(quán)和自控權(quán)。

需要注意，目前中國無論是關(guān)鍵技術(shù)、經(jīng)營管理還是生產(chǎn)規(guī)模、服務(wù)觀念，都不具備力量在短時間內(nèi)使國產(chǎn)信息產(chǎn)品占領(lǐng)國內(nèi)的信息安全產(chǎn)品主要市場。國家要集中人力、物力，制訂相關(guān)政策，大力發(fā)展自主知識產(chǎn)權(quán)的計算機芯片、操作系統(tǒng)等信息安全技術(shù)產(chǎn)品，以確保關(guān)鍵政府部門的信息系統(tǒng)的網(wǎng)絡(luò)安全。在安全技術(shù)方面，應(yīng)該加強核心技術(shù)的自主研發(fā)，并盡快使之產(chǎn)品化和產(chǎn)業(yè)化，尤其是操作系統(tǒng)技術(shù)和計算機芯片技術(shù)?，F(xiàn)階段中國各級政府部門目前所選用的高端軟硬件平臺，基本上都是國外公司的產(chǎn)品，這也對政務(wù)安全帶來了許多隱患。因此，在構(gòu)建電子政務(wù)系統(tǒng)的時候，在可能的情況下，我們應(yīng)盡量選用國產(chǎn)化技術(shù)和國內(nèi)公司的產(chǎn)品。

（三） 安全組織體系是安全管理的實施主體，是電子政務(wù)安全實施的必要條件

發(fā)達國家一般都建立有網(wǎng)絡(luò)安全管理機構(gòu)，美國安全委員會下設(shè)了國家保密政策委員會和信息系統(tǒng)安全保密委員會；英法等國家建立了“國家網(wǎng)絡(luò)安全委員會”。我國信息安全管理職能的格局已經(jīng)形成，包括國家安全部、國家保密局、國家密碼管理委員會、信息產(chǎn)業(yè)部、信息化領(lǐng)導(dǎo)小組、國家電子政務(wù)協(xié)調(diào)小組和國家安全協(xié)調(diào)小組等，盡管能各司其責(zé)，責(zé)權(quán)明確，但在許多的具體實施過程中缺乏統(tǒng)一性。

應(yīng)建立健全網(wǎng)絡(luò)安全組織管理制度，明確負責(zé)安全管理的主要領(lǐng)導(dǎo)、主管部門、技術(shù)支持部門等等。安全管理職能的協(xié)調(diào)需要由國家信息化領(lǐng)導(dǎo)機構(gòu)，各地區(qū)和部委建立相應(yīng)的信息安全管理機構(gòu)，以完成和強化信息安全的管理。只有建設(shè)一個國家到省市縱向和橫向各部委、廳局架構(gòu)的安全管理組織，才能真正實現(xiàn)全面的安全等級保護。

（四） 安全基礎(chǔ)設(shè)施為電子政務(wù)安全防護體系提供服務(wù)和支撐，為電子政務(wù)安全實施提供前提

信息安全基礎(chǔ)設(shè)施是一種為信息系統(tǒng)應(yīng)用主體和信息安全執(zhí)法主體提供信息安全公共服務(wù)和支撐的社會基礎(chǔ)設(shè)施，方便信息應(yīng)用主體安全防護機制的快速配置，有利于促進信息應(yīng)用業(yè)務(wù)的健康發(fā)展，有利于信息安全技術(shù)和產(chǎn)品的標準化和促進其可信度的提高，有利于信息安全職能部門的監(jiān)督和執(zhí)法，有利于增強全社會信息安全移師和防護技能，有利于國家信息安全保障體系的建設(shè)。因此，推動電子政務(wù)的發(fā)展，應(yīng)重視相關(guān)信息安全基礎(chǔ)設(shè)施的建設(shè)。

目前中國的國際出入口監(jiān)控中心和安全產(chǎn)品評測認證中心已經(jīng)初步建成。安全產(chǎn)品評測認證中心由安全標準研究、產(chǎn)品安全測試、系統(tǒng)安全評估、認證注冊部門和網(wǎng)絡(luò)安全專家委員會組成。同時，由國家密碼主管部門牽頭，將會同有關(guān)部門成立“國家PKI協(xié)調(diào)管理委員會”，指導(dǎo)電子政務(wù)PKI信任體系——國家電子政務(wù)根CA和橋CA建設(shè)。但總體上講，中國目前網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施的建設(shè)還處于初級階段，應(yīng)該盡快建立網(wǎng)絡(luò)監(jiān)控中心、安全產(chǎn)品評測中心、計算機病毒防治中心、關(guān)鍵網(wǎng)絡(luò)系統(tǒng)災(zāi)難恢復(fù)中心、網(wǎng)絡(luò)安全應(yīng)急響應(yīng)中心、電子交易安全證書授權(quán)中心、密鑰監(jiān)管中心等國家網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施。（支點網(wǎng)）