电子政务安全防护体系构建策略全面解析

network

电子政务使政府社会服务职能得到最大程度的发挥，但也使政府敏感信息暴露在无孔不入的网络威胁面前。要趋利避害，电子政务安全防护体系的构建至关重要。电子政务安全防护体系包括安全管理体系、安全技术体系、安全组织体系和安全基础设施，涉及从管理到组织，从网络到数据，从法规标准到基础设施等各个方面。   



（一）安全管理贯穿整个电子政务安全防护体系，对电子政务安全实施起指导作用 　　
安全管理体系包括：法律政策、规章制度和标准规范。安全管理体系的建立应符合组织使命，符合组织利益。 　　
电子政务的工作内容和工作流程涉及到国家秘密与核心政务，它的安全关系到国家的主权、国家的安全和公众利益，所以电子政务的安全实施和保障，必须以国家法规形式将其固化，形成全国共同遵守的规约。目前，世界上很多国家制定了与网络安全相关的法律法规，如英国的《官方信息保护法》等。我国虽然颁发了一些与网络安全有关的法律法规，如《计算机信息系统安全保护条例》、《计算机信息系统保密管理暂行规定》等等，但显得很零散，还缺乏关于电子政务网络安全的专门法规。此外，在完善法律法规的同时，还应该加大执法力度，严格执法，这一目标的实现不仅需要政府组织的努力，更要国家立法机构的参与和支持。 　　
信息安全标准有利于安全产品的规范化，有利于保证产品安全可信性、实现产品的互联和互操作性，以支持电子政务系统的互联、更新和可扩展性，支持系统安全的测评与评估，保障电子政务系统的安全可靠。电子政务网络安全标准规范包括电子文档密级划分和标记格式、内容健康性等级划分与标记、内容敏感性等级划分与标记、密码算法标准、密码模块标准、密钥管理标准、PKI/CA标准、PMI标准、信息系统安全评估和网络安全产品测评标准等方面的内容。 　　
省市或部门内部应通过全面推行信息安全等级保护制度，逐步将信息安全等级保护制度落实到信息系统安全规划、建设、测评、运行维护和使用等各个环节，使省市信息安全保障状况得到基本改善。通过加强和规范信息安全等级保护管理，不断提高、省市信息安全保障能力，为维护信息网络的安全稳定，促进信息化发展服务。 　　
电子政务信息系统存在着来自社会环境、技术环境和物理自然环境的安全风险，其安全威胁无时无处不在。对于电子政务信息系统的安全问题，不能企图单凭利用一些集成了信息安全技术的安全产品来解决，而必须建立电子政务信息系统安全管理体系，考虑技术、管理和法律的因素，全方位地、综合解决系统安全问题。
（二）安全技术体系是利用技术手段实现技术层面的安全保护，是对电子政务安全防护体系的完善 　　
安全技术体系包括网络安全体系和数据安全传输与存储体系，功能主要是通过各种技术手段实现技术层次的安全保护。 　　
网络安全体系包括网闸、入侵检测、漏洞检测、外联和接入检测、补丁管理、防火墙、身份鉴别和认证、系统访问控制、网络审计等；数据安全与传输与存储体系包括数据备份恢复、PKI/CA、PMI等。整个电子政务的安全，涉及信息安全产品的全局配套和科学布置，产品选择应充分考虑产品的自主权和自控权。 　　
需要注意，目前中国无论是关键技术、经营管理还是生产规模、服务观念，都不具备力量在短时间内使国产信息产品占领国内的信息安全产品主要市场。国家要集中人力、物力，制订相关政策，大力发展自主知识产权的计算机芯片、操作系统等信息安全技术产品，以确保关键政府部门的信息系统的网络安全。在安全技术方面，应该加强核心技术的自主研发，并尽快使之产品化和产业化，尤其是操作系统技术和计算机芯片技术。现阶段中国各级政府部门目前所选用的高端软硬件平台，基本上都是国外公司的产品，这也对政务安全带来了许多隐患。因此，在构建电子政务系统的时候，在可能的情况下，我们应尽量选用国产化技术和国内公司的产品。
（三）安全组织体系是安全管理的实施主体，是电子政务安全实施的必要条件 　　
发达国家一般都建立有网络安全管理机构，美国安全委员会下设了国家保密政策委员会和信息系统安全保密委员会；英法等国家建立了“国家网络安全委员会”。我国信息安全管理职能的格局已经形成，包括国家安全部、国家保密局、国家密码管理委员会、信息产业部、信息化领导小组、国家电子政务协调小组和国家安全协调小组等，尽管能各司其责，责权明确，但在许多的具体实施过程中缺乏统一性。 　　
应建立健全网络安全组织管理制度，明确负责安全管理的主要领导、主管部门、技术支持部门等等。安全管理职能的协调需要由国家信息化领导机构，各地区和部委建立相应的信息安全管理机构，以完成和强化信息安全的管理。只有建设一个国家到省市纵向和横向各部委、厅局架构的安全管理组织，才能真正实现全面的安全等级保护。
（四）安全基础设施为电子政务安全防护体系提供服务和支撑，为电子政务安全实施提供前提 　　
信息安全基础设施是一种为信息系统应用主体和信息安全执法主体提供信息安全公共服务和支撑的社会基础设施，方便信息应用主体安全防护机制的快速配置，有利于促进信息应用业务的健康发展，有利于信息安全技术和产品的标准化和促进其可信度的提高，有利于信息安全职能部门的监督和执法，有利于增强全社会信息安全移师和防护技能，有利于国家信息安全保障体系的建设。因此，推动电子政务的发展，应重视相关信息安全基础设施的建设。 　　
目前中国的国际出入口监控中心和安全产品评测认证中心已经初步建成。安全产品评测认证中心由安全标准研究、产品安全测试、系统安全评估、认证注册部门和网络安全专家委员会组成。同时，由国家密码主管部门牵头，将会同有关部门成立“国家PKI协调管理委员会”，指导电子政务PKI信任体系——国家电子政务根CA和桥CA建设。但总体上讲，中国目前网络安全基础设施的建设还处于初级阶段，应该尽快建立网络监控中心、安全产品评测中心、计算机病毒防治中心、关键网络系统灾难恢复中心、网络安全应急响应中心、电子交易安全证书授权中心、密钥监管中心等国家网络安全基础设施。

作者：赛迪顾问 信息化咨询中心 电子政务事业部 郭英