電子政務信息安全:制度 體系 評估一個都不能少
來源:
作者:
發布時間: 2009-07-21
我國電子政務建設已經步入了深化應用階段。應用與安全是一對矛盾,電子政務的深化應用與安全管理必須并舉,不可偏重。如何在電子政務深化應用的同時建立起相應的信息安全管理體系,保證應用與安全的協調發展?這些都是擺在目前中國電子政務工作者面前的重要課題。
電子政務中的信息安全保證是電子政務建設的當務之急。之所以著力發展信息安全,是因為在電子政務建設初期在很大程度上是“摸著石頭過河”,缺乏明確的策略對其進行指導。系統大都是采用開放式的操作系統和網絡協議,存在著先天的安全隱患。隨著電子政務建設的逐步推進,政府門戶網站所承載業務的數量在逐步增加,網站被入侵或篡改所帶來的危害將不僅僅限于“政府形象”的損害,甚至能會造成巨大的經濟損失,或者嚴重的社會問題。
系統測評 制度保證
河北省工業和信息化廳副廳長段潤保談到,電子政務深化應用在工作中得到了加強,網上審批可能達到了50%,重要的數據就不能上了,因為確保不了安全。今天達到100%,全社會的老百姓都來網上了,安全更不能保證。所以,各方面的強度肯定要增強,原來的軟件就沒有做軟件測評,現在不行,必須要做。隨著應用面越來越廣,深度越來越深,使用頻率越來越高。我們很多電子政務領域都用上了,上班就得用這個東西,像海關一樣。
段潤保還提到,河北的現狀應該說不容樂觀,到省級還比較好一些,到市勉強,到縣就不行了。最近查的800余個網站,非常高的比例存在安全隱患,漏洞、信息泄漏,這樣的問題有很多,非常嚴峻。年年抓還是這個情況,內網當然要好一些。內網有一個安全測評,有什么問題可以整改。在這樣的問題下我們怎么樣推進電子政務深化,確實要從制度要求。出了問題誰負責?有的時候沒有制度,規范,所以說第二個問題是信息安全來保證電子政務的深化研究,基本的制度,比如說風險評估,你建了這個系統以后效果怎么樣。等級保護制度,那是國家強制的,必須要這么做。
說是安全,實際上也有很多制度。這個系統按時升級了,口令8位以上,做復雜了他也不好破。很多制度是有,但是不執行,比如應該是一個星期升級,結果一個月也不升級,漏洞就有了。要建立新的制度,舊的制度也要不斷完善,這樣才能發展。
明確責任 體系建設
國土資源部信息中心總工顧炳中指出,安全是一種責任,要明確安全的責任。劃分政治界限,規定政治紅線在哪兒。在不碰紅線的前提下,我們來做我們的事情,所以必須滿足紅線。政策的安全紅線是什么?國家的安全17859分級保護,強調的就是適度安全,安全不是絕對的。分級保護的原則指導下,23號文件,分級的改造,等級保護按43號 文進行公安部的要求保護。這樣的事情做下來是有一個基本要求,再出事不承擔失職的責任。
這樣是不是就是安全了?絕對不夠。安全跟我們現在的規定,相關部門的規定還有一定的差距,安全應該是一個理念,應該貫穿到整個信息系統規劃、設計、實施、運維全過程。政策紅線只是規避了常發生的信息安全問題。包括現在的風險評估,風險評估有用嗎?基本沒太大的用。因為他說有漏洞,有漏洞不等于事實,不等于信息就不安全。漏洞多了,我們寫代碼可能有8個漏洞在里面,沒有人檢查,漏洞是永恒的,病毒也是永恒的。我們必須把安全作為一個理念,從規劃和實施當中貫徹,采取自己切實可行的手段來保證安全。重要的數據我有方法備份,重要的信息系統我有方法檢查,采用一系列的手段來進行保護。
分級保護 風險評估
公安部第一研究所安全系統測評中心技術部主任秦超指出,電子政務與安全的直接關系,08年出臺了一個文件,08年起,國家發改委批準的項目必須經過風險評估和安全測評,這是與電子政務最直接相關的測評報告。
08年奧運在一些單位檢查當中發現很多領導都很重視。信息安全很重要,他們就會很謙虛的問網站怎么弄?怕攻擊了,有什么辦法?外網系統固然很重要,他們怕產生社會影響,怕丟面子。但是內網也很重要,內部最容易是作為堡壘被攻破。我們要重視內網的安全,一個是要加強審計。怎么處理好安全應用的關系?等級保護就是最好的方法,最好的是適度安全。我們的電子政務信息系統很龐大,如果把有限的財力,人力集中到信息系統上就要定級。有些單位說定了三級怎么實現?每個系統由一些小系統來組成,小系統劃成核心區域,非核心區域,根據你自己的需要來采取安全措施。分級保護是把復雜的系統簡單化,我們是從兩個角度定義的,一個是按保密性,還有一個是可控性,兩個組合形成最后的安全等級高低。
在安全保護過程中強調的是安全管理。我們強調的是建立一大堆制度,但是沒有相應的機構,相應的人員來落實。領導兼職會拿它當工作做嗎?我已經發現了一個規律,一個單位如果有相應的實權機構來負責這個事,一般這個單位的安全系統都是有秩序的。一些單位在技術方面確實不夠專業,可以選擇外包,但是要選擇可靠的是要以運營單位來保證。
大家都普遍認識一點,安全是一個周期性的工作,漏洞是不斷的被挖掘出來的,VISTA被發布之前,微軟說VISTA很安全,沒有漏洞,但是發布之后他說漏洞很小。所以要不斷的對信息系統進行審計評估,對于三級系統一年要檢查測評一次,四級系統要半年檢查一次。
盡管電子政務代表了政務實施發展的趨勢和方向,但是,建立和完善電子政務系統不是一朝一夕能完成的工程。除了技術的提升,信息安全意識和制度尤為重要。信息安全是一個管理體系,不管是等級保護,風險評估還是邊界的管理,信息安全應該在下一步的深化應用當中滲透到各個環節。
電子政務中的信息安全保證是電子政務建設的當務之急。之所以著力發展信息安全,是因為在電子政務建設初期在很大程度上是“摸著石頭過河”,缺乏明確的策略對其進行指導。系統大都是采用開放式的操作系統和網絡協議,存在著先天的安全隱患。隨著電子政務建設的逐步推進,政府門戶網站所承載業務的數量在逐步增加,網站被入侵或篡改所帶來的危害將不僅僅限于“政府形象”的損害,甚至能會造成巨大的經濟損失,或者嚴重的社會問題。
系統測評 制度保證
河北省工業和信息化廳副廳長段潤保談到,電子政務深化應用在工作中得到了加強,網上審批可能達到了50%,重要的數據就不能上了,因為確保不了安全。今天達到100%,全社會的老百姓都來網上了,安全更不能保證。所以,各方面的強度肯定要增強,原來的軟件就沒有做軟件測評,現在不行,必須要做。隨著應用面越來越廣,深度越來越深,使用頻率越來越高。我們很多電子政務領域都用上了,上班就得用這個東西,像海關一樣。
段潤保還提到,河北的現狀應該說不容樂觀,到省級還比較好一些,到市勉強,到縣就不行了。最近查的800余個網站,非常高的比例存在安全隱患,漏洞、信息泄漏,這樣的問題有很多,非常嚴峻。年年抓還是這個情況,內網當然要好一些。內網有一個安全測評,有什么問題可以整改。在這樣的問題下我們怎么樣推進電子政務深化,確實要從制度要求。出了問題誰負責?有的時候沒有制度,規范,所以說第二個問題是信息安全來保證電子政務的深化研究,基本的制度,比如說風險評估,你建了這個系統以后效果怎么樣。等級保護制度,那是國家強制的,必須要這么做。
說是安全,實際上也有很多制度。這個系統按時升級了,口令8位以上,做復雜了他也不好破。很多制度是有,但是不執行,比如應該是一個星期升級,結果一個月也不升級,漏洞就有了。要建立新的制度,舊的制度也要不斷完善,這樣才能發展。
明確責任 體系建設
國土資源部信息中心總工顧炳中指出,安全是一種責任,要明確安全的責任。劃分政治界限,規定政治紅線在哪兒。在不碰紅線的前提下,我們來做我們的事情,所以必須滿足紅線。政策的安全紅線是什么?國家的安全17859分級保護,強調的就是適度安全,安全不是絕對的。分級保護的原則指導下,23號文件,分級的改造,等級保護按43號 文進行公安部的要求保護。這樣的事情做下來是有一個基本要求,再出事不承擔失職的責任。
這樣是不是就是安全了?絕對不夠。安全跟我們現在的規定,相關部門的規定還有一定的差距,安全應該是一個理念,應該貫穿到整個信息系統規劃、設計、實施、運維全過程。政策紅線只是規避了常發生的信息安全問題。包括現在的風險評估,風險評估有用嗎?基本沒太大的用。因為他說有漏洞,有漏洞不等于事實,不等于信息就不安全。漏洞多了,我們寫代碼可能有8個漏洞在里面,沒有人檢查,漏洞是永恒的,病毒也是永恒的。我們必須把安全作為一個理念,從規劃和實施當中貫徹,采取自己切實可行的手段來保證安全。重要的數據我有方法備份,重要的信息系統我有方法檢查,采用一系列的手段來進行保護。
分級保護 風險評估
公安部第一研究所安全系統測評中心技術部主任秦超指出,電子政務與安全的直接關系,08年出臺了一個文件,08年起,國家發改委批準的項目必須經過風險評估和安全測評,這是與電子政務最直接相關的測評報告。
08年奧運在一些單位檢查當中發現很多領導都很重視。信息安全很重要,他們就會很謙虛的問網站怎么弄?怕攻擊了,有什么辦法?外網系統固然很重要,他們怕產生社會影響,怕丟面子。但是內網也很重要,內部最容易是作為堡壘被攻破。我們要重視內網的安全,一個是要加強審計。怎么處理好安全應用的關系?等級保護就是最好的方法,最好的是適度安全。我們的電子政務信息系統很龐大,如果把有限的財力,人力集中到信息系統上就要定級。有些單位說定了三級怎么實現?每個系統由一些小系統來組成,小系統劃成核心區域,非核心區域,根據你自己的需要來采取安全措施。分級保護是把復雜的系統簡單化,我們是從兩個角度定義的,一個是按保密性,還有一個是可控性,兩個組合形成最后的安全等級高低。
在安全保護過程中強調的是安全管理。我們強調的是建立一大堆制度,但是沒有相應的機構,相應的人員來落實。領導兼職會拿它當工作做嗎?我已經發現了一個規律,一個單位如果有相應的實權機構來負責這個事,一般這個單位的安全系統都是有秩序的。一些單位在技術方面確實不夠專業,可以選擇外包,但是要選擇可靠的是要以運營單位來保證。
大家都普遍認識一點,安全是一個周期性的工作,漏洞是不斷的被挖掘出來的,VISTA被發布之前,微軟說VISTA很安全,沒有漏洞,但是發布之后他說漏洞很小。所以要不斷的對信息系統進行審計評估,對于三級系統一年要檢查測評一次,四級系統要半年檢查一次。
盡管電子政務代表了政務實施發展的趨勢和方向,但是,建立和完善電子政務系統不是一朝一夕能完成的工程。除了技術的提升,信息安全意識和制度尤為重要。信息安全是一個管理體系,不管是等級保護,風險評估還是邊界的管理,信息安全應該在下一步的深化應用當中滲透到各個環節。
- 上一篇: 辦好政府網站打造政府信息公開第一平臺
- 下一篇: 關于我國電子政務領導體制的思考
首屆數字全民國防教育高峰論壇在京舉行
第四屆信息技術及應用創新人才發展交流大會暨中國信息協會第三屆信息技術服務業應用技能大賽頒獎典禮在京隆重召開
2023(第五屆)中國電子政務安全大會在京成功召開
中國信息協會首次職業技能等級認定考試在黑龍江省舉行
- 協會要聞
- 通知公告
-
- • 關于召開中國信息協會第七屆會員代表大會的通知
- • 首屆數字全民國防教育高峰論壇在京舉行
- • 關于舉辦網絡安全體系建設、安全能力評估與攻防實戰培訓的通知
- • 2023(第五屆)全國政務熱線發展論壇在武漢隆重召開
- • 首屆數字全民國防教育高峰論壇將于10月13日在京舉辦
- • 關于舉辦新一代信息技術在數字檔案館(室)建設中的應用暨檔案信息化管理高級培訓班的通知
- • 第四屆信息技術及應用創新人才發展交流大會暨中國信息協會第三屆信息技術服務業應用技能大賽頒獎典禮在京隆重召開
- • 2023(第五屆)中國電子政務安全大會在京成功召開
- • 2023(第五屆)全國政務熱線發展論壇將于9月20-21日在武漢舉辦
- • 關于舉辦2023信息技術應用創新博覽會的通知