多角度解析電子政務(wù)安全防護(hù)體系構(gòu)建

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

電子政務(wù)使政府社會(huì)服務(wù)職能得到最大程度的發(fā)揮，但也使政府敏感信息暴露在無(wú)孔不入的網(wǎng)絡(luò)威脅面前。要趨利避害，電子政務(wù)安全防護(hù)體系的構(gòu)建至關(guān)重要。電子政務(wù)安全防護(hù)體系包括安全管理體系、安全技術(shù)體系、安全組織體系和安全基礎(chǔ)設(shè)施，涉及從管理到組織，從網(wǎng)絡(luò)到數(shù)據(jù)，從法規(guī)標(biāo)準(zhǔn)到基礎(chǔ)設(shè)施等各個(gè)方面。

（一） 安全管理貫穿整個(gè)電子政務(wù)安全防護(hù)體系，對(duì)電子政務(wù)安全實(shí)施起指導(dǎo)作用

安全管理體系包括：法律政策、規(guī)章制度和標(biāo)準(zhǔn)規(guī)范。安全管理體系的建立應(yīng)符合組織使命，符合組織利益。電子政務(wù)的工作內(nèi)容和工作流程涉及到國(guó)家秘密與核心政務(wù)，它的安全關(guān)系到國(guó)家的主權(quán)、國(guó)家的安全和公眾利益，所以電子政務(wù)的安全實(shí)施和保障，必須以國(guó)家法規(guī)形式將其固化，形成全國(guó)共同遵守的規(guī)約。目前，世界上很多國(guó)家制定了與網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)，如英國(guó)的《官方信息保護(hù)法》等。我國(guó)雖然頒發(fā)了一些與網(wǎng)絡(luò)安全有關(guān)的法律法規(guī)，如《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定》等等，但顯得很零散，還缺乏關(guān)于電子政務(wù)網(wǎng)絡(luò)安全的專門法規(guī)。此外，在完善法律法規(guī)的同時(shí)，還應(yīng)該加大執(zhí)法力度，嚴(yán)格執(zhí)法，這一目標(biāo)的實(shí)現(xiàn)不僅需要政府組織的努力，更要國(guó)家立法機(jī)構(gòu)的參與和支持。

信息安全標(biāo)準(zhǔn)有利于安全產(chǎn)品的規(guī)范化，有利于保證產(chǎn)品安全可信性、實(shí)現(xiàn)產(chǎn)品的互聯(lián)和互操作性，以支持電子政務(wù)系統(tǒng)的互聯(lián)、更新和可擴(kuò)展性，支持系統(tǒng)安全的測(cè)評(píng)與評(píng)估，保障電子政務(wù)系統(tǒng)的安全可靠。電子政務(wù)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)規(guī)范包括電子文檔密級(jí)劃分和標(biāo)記格式、內(nèi)容健康性等級(jí)劃分與標(biāo)記、內(nèi)容敏感性等級(jí)劃分與標(biāo)記、密碼算法標(biāo)準(zhǔn)、密碼模塊標(biāo)準(zhǔn)、密鑰管理標(biāo)準(zhǔn)、PKI/CA標(biāo)準(zhǔn)、PMI標(biāo)準(zhǔn)、信息系統(tǒng)安全評(píng)估和網(wǎng)絡(luò)安全產(chǎn)品測(cè)評(píng)標(biāo)準(zhǔn)等方面的內(nèi)容。

省市或部門內(nèi)部應(yīng)通過(guò)全面推行信息安全等級(jí)保護(hù)制度，逐步將信息安全等級(jí)保護(hù)制度落實(shí)到信息系統(tǒng)安全規(guī)劃、建設(shè)、測(cè)評(píng)、運(yùn)行維護(hù)和使用等各個(gè)環(huán)節(jié)，使省市信息安全保障狀況得到基本改善。通過(guò)加強(qiáng)和規(guī)范信息安全等級(jí)保護(hù)管理，不斷提高、省市信息安全保障能力，為維護(hù)信息網(wǎng)絡(luò)的安全穩(wěn)定，促進(jìn)信息化發(fā)展服務(wù)。

電子政務(wù)信息系統(tǒng)存在著來(lái)自社會(huì)環(huán)境、技術(shù)環(huán)境和物理自然環(huán)境的安全風(fēng)險(xiǎn)，其安全威脅無(wú)時(shí)無(wú)處不在。對(duì)于電子政務(wù)信息系統(tǒng)的安全問(wèn)題，不能企圖單憑利用一些集成了信息安全技術(shù)的安全產(chǎn)品來(lái)解決，而必須建立電子政務(wù)信息系統(tǒng)安全管理體系，考慮技術(shù)、管理和法律的因素，全方位地、綜合解決系統(tǒng)安全問(wèn)題。

（二） 安全技術(shù)體系是利用技術(shù)手段實(shí)現(xiàn)技術(shù)層面的安全保護(hù)，是對(duì)電子政務(wù)安全防護(hù)體系的完善

安全技術(shù)體系包括網(wǎng)絡(luò)安全體系和數(shù)據(jù)安全傳輸與存儲(chǔ)體系，功能主要是通過(guò)各種技術(shù)手段實(shí)現(xiàn)技術(shù)層次的安全保護(hù)。

網(wǎng)絡(luò)安全體系包括網(wǎng)閘、入侵檢測(cè)、漏洞檢測(cè)、外聯(lián)和接入檢測(cè)、補(bǔ)丁管理、防火墻、身份鑒別和認(rèn)證、系統(tǒng)訪問(wèn)控制、網(wǎng)絡(luò)審計(jì)等；數(shù)據(jù)安全與傳輸與存儲(chǔ)體系包括數(shù)據(jù)備份恢復(fù)、PKI/CA、PMI等。整個(gè)電子政務(wù)的安全，涉及信息安全產(chǎn)品的全局配套和科學(xué)布置，產(chǎn)品選擇應(yīng)充分考慮產(chǎn)品的自主權(quán)和自控權(quán)。

需要注意，目前中國(guó)無(wú)論是關(guān)鍵技術(shù)、經(jīng)營(yíng)管理還是生產(chǎn)規(guī)模、服務(wù)觀念，都不具備力量在短時(shí)間內(nèi)使國(guó)產(chǎn)信息產(chǎn)品占領(lǐng)國(guó)內(nèi)的信息安全產(chǎn)品主要市場(chǎng)。國(guó)家要集中人力、物力，制訂相關(guān)政策，大力發(fā)展自主知識(shí)產(chǎn)權(quán)的計(jì)算機(jī)芯片、操作系統(tǒng)等信息安全技術(shù)產(chǎn)品，以確保關(guān)鍵政府部門的信息系統(tǒng)的網(wǎng)絡(luò)安全。在安全技術(shù)方面，應(yīng)該加強(qiáng)核心技術(shù)的自主研發(fā)，并盡快使之產(chǎn)品化和產(chǎn)業(yè)化，尤其是操作系統(tǒng)技術(shù)和計(jì)算機(jī)芯片技術(shù)?，F(xiàn)階段中國(guó)各級(jí)政府部門目前所選用的高端軟硬件平臺(tái)，基本上都是國(guó)外公司的產(chǎn)品，這也對(duì)政務(wù)安全帶來(lái)了許多隱患。因此，在構(gòu)建電子政務(wù)系統(tǒng)的時(shí)候，在可能的情況下，我們應(yīng)盡量選用國(guó)產(chǎn)化技術(shù)和國(guó)內(nèi)公司的產(chǎn)品。

（三） 安全組織體系是安全管理的實(shí)施主體，是電子政務(wù)安全實(shí)施的必要條件

發(fā)達(dá)國(guó)家一般都建立有網(wǎng)絡(luò)安全管理機(jī)構(gòu)，美國(guó)安全委員會(huì)下設(shè)了國(guó)家保密政策委員會(huì)和信息系統(tǒng)安全保密委員會(huì)；英法等國(guó)家建立了“國(guó)家網(wǎng)絡(luò)安全委員會(huì)”。我國(guó)信息安全管理職能的格局已經(jīng)形成，包括國(guó)家安全部、國(guó)家保密局、國(guó)家密碼管理委員會(huì)、信息產(chǎn)業(yè)部、信息化領(lǐng)導(dǎo)小組、國(guó)家電子政務(wù)協(xié)調(diào)小組和國(guó)家安全協(xié)調(diào)小組等，盡管能各司其責(zé)，責(zé)權(quán)明確，但在許多的具體實(shí)施過(guò)程中缺乏統(tǒng)一性。

應(yīng)建立健全網(wǎng)絡(luò)安全組織管理制度，明確負(fù)責(zé)安全管理的主要領(lǐng)導(dǎo)、主管部門、技術(shù)支持部門等等。安全管理職能的協(xié)調(diào)需要由國(guó)家信息化領(lǐng)導(dǎo)機(jī)構(gòu)，各地區(qū)和部委建立相應(yīng)的信息安全管理機(jī)構(gòu)，以完成和強(qiáng)化信息安全的管理。只有建設(shè)一個(gè)國(guó)家到省市縱向和橫向各部委、廳局架構(gòu)的安全管理組織，才能真正實(shí)現(xiàn)全面的安全等級(jí)保護(hù)。

（四） 安全基礎(chǔ)設(shè)施為電子政務(wù)安全防護(hù)體系提供服務(wù)和支撐，為電子政務(wù)安全實(shí)施提供前提

信息安全基礎(chǔ)設(shè)施是一種為信息系統(tǒng)應(yīng)用主體和信息安全執(zhí)法主體提供信息安全公共服務(wù)和支撐的社會(huì)基礎(chǔ)設(shè)施，方便信息應(yīng)用主體安全防護(hù)機(jī)制的快速配置，有利于促進(jìn)信息應(yīng)用業(yè)務(wù)的健康發(fā)展，有利于信息安全技術(shù)和產(chǎn)品的標(biāo)準(zhǔn)化和促進(jìn)其可信度的提高，有利于信息安全職能部門的監(jiān)督和執(zhí)法，有利于增強(qiáng)全社會(huì)信息安全移師和防護(hù)技能，有利于國(guó)家信息安全保障體系的建設(shè)。因此，推動(dòng)電子政務(wù)的發(fā)展，應(yīng)重視相關(guān)信息安全基礎(chǔ)設(shè)施的建設(shè)。

目前中國(guó)的國(guó)際出入口監(jiān)控中心和安全產(chǎn)品評(píng)測(cè)認(rèn)證中心已經(jīng)初步建成。安全產(chǎn)品評(píng)測(cè)認(rèn)證中心由安全標(biāo)準(zhǔn)研究、產(chǎn)品安全測(cè)試、系統(tǒng)安全評(píng)估、認(rèn)證注冊(cè)部門和網(wǎng)絡(luò)安全專家委員會(huì)組成。同時(shí)，由國(guó)家密碼主管部門牽頭，將會(huì)同有關(guān)部門成立“國(guó)家PKI協(xié)調(diào)管理委員會(huì)”，指導(dǎo)電子政務(wù)PKI信任體系——國(guó)家電子政務(wù)根CA和橋CA建設(shè)。但總體上講，中國(guó)目前網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施的建設(shè)還處于初級(jí)階段，應(yīng)該盡快建立網(wǎng)絡(luò)監(jiān)控中心、安全產(chǎn)品評(píng)測(cè)中心、計(jì)算機(jī)病毒防治中心、關(guān)鍵網(wǎng)絡(luò)系統(tǒng)災(zāi)難恢復(fù)中心、網(wǎng)絡(luò)安全應(yīng)急響應(yīng)中心、電子交易安全證書(shū)授權(quán)中心、密鑰監(jiān)管中心等國(guó)家網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施。（支點(diǎn)網(wǎng)）