多角度解析電子政務安全防護體系構建

申請免費試用、咨詢電話：400-8352-114

電子政務使政府社會服務職能得到最大程度的發(fā)揮，但也使政府敏感信息暴露在無孔不入的網(wǎng)絡威脅面前。要趨利避害，電子政務安全防護體系的構建至關重要。電子政務安全防護體系包括安全管理體系、安全技術體系、安全組織體系和安全基礎設施，涉及從管理到組織，從網(wǎng)絡到數(shù)據(jù)，從法規(guī)標準到基礎設施等各個方面。

（一） 安全管理貫穿整個電子政務安全防護體系，對電子政務安全實施起指導作用

安全管理體系包括：法律政策、規(guī)章制度和標準規(guī)范。安全管理體系的建立應符合組織使命，符合組織利益。電子政務的工作內(nèi)容和工作流程涉及到國家秘密與核心政務，它的安全關系到國家的主權、國家的安全和公眾利益，所以電子政務的安全實施和保障，必須以國家法規(guī)形式將其固化，形成全國共同遵守的規(guī)約。目前，世界上很多國家制定了與網(wǎng)絡安全相關的法律法規(guī)，如英國的《官方信息保護法》等。我國雖然頒發(fā)了一些與網(wǎng)絡安全有關的法律法規(guī)，如《計算機信息系統(tǒng)安全保護條例》、《計算機信息系統(tǒng)保密管理暫行規(guī)定》等等，但顯得很零散，還缺乏關于電子政務網(wǎng)絡安全的專門法規(guī)。此外，在完善法律法規(guī)的同時，還應該加大執(zhí)法力度，嚴格執(zhí)法，這一目標的實現(xiàn)不僅需要政府組織的努力，更要國家立法機構的參與和支持。

信息安全標準有利于安全產(chǎn)品的規(guī)范化，有利于保證產(chǎn)品安全可信性、實現(xiàn)產(chǎn)品的互聯(lián)和互操作性，以支持電子政務系統(tǒng)的互聯(lián)、更新和可擴展性，支持系統(tǒng)安全的測評與評估，保障電子政務系統(tǒng)的安全可靠。電子政務網(wǎng)絡安全標準規(guī)范包括電子文檔密級劃分和標記格式、內(nèi)容健康性等級劃分與標記、內(nèi)容敏感性等級劃分與標記、密碼算法標準、密碼模塊標準、密鑰管理標準、PKI/CA標準、PMI標準、信息系統(tǒng)安全評估和網(wǎng)絡安全產(chǎn)品測評標準等方面的內(nèi)容。

省市或部門內(nèi)部應通過全面推行信息安全等級保護制度，逐步將信息安全等級保護制度落實到信息系統(tǒng)安全規(guī)劃、建設、測評、運行維護和使用等各個環(huán)節(jié)，使省市信息安全保障狀況得到基本改善。通過加強和規(guī)范信息安全等級保護管理，不斷提高、省市信息安全保障能力，為維護信息網(wǎng)絡的安全穩(wěn)定，促進信息化發(fā)展服務。

電子政務信息系統(tǒng)存在著來自社會環(huán)境、技術環(huán)境和物理自然環(huán)境的安全風險，其安全威脅無時無處不在。對于電子政務信息系統(tǒng)的安全問題，不能企圖單憑利用一些集成了信息安全技術的安全產(chǎn)品來解決，而必須建立電子政務信息系統(tǒng)安全管理體系，考慮技術、管理和法律的因素，全方位地、綜合解決系統(tǒng)安全問題。

（二） 安全技術體系是利用技術手段實現(xiàn)技術層面的安全保護，是對電子政務安全防護體系的完善

安全技術體系包括網(wǎng)絡安全體系和數(shù)據(jù)安全傳輸與存儲體系，功能主要是通過各種技術手段實現(xiàn)技術層次的安全保護。

網(wǎng)絡安全體系包括網(wǎng)閘、入侵檢測、漏洞檢測、外聯(lián)和接入檢測、補丁管理、防火墻、身份鑒別和認證、系統(tǒng)訪問控制、網(wǎng)絡審計等；數(shù)據(jù)安全與傳輸與存儲體系包括數(shù)據(jù)備份恢復、PKI/CA、PMI等。整個電子政務的安全，涉及信息安全產(chǎn)品的全局配套和科學布置，產(chǎn)品選擇應充分考慮產(chǎn)品的自主權和自控權。

需要注意，目前中國無論是關鍵技術、經(jīng)營管理還是生產(chǎn)規(guī)模、服務觀念，都不具備力量在短時間內(nèi)使國產(chǎn)信息產(chǎn)品占領國內(nèi)的信息安全產(chǎn)品主要市場。國家要集中人力、物力，制訂相關政策，大力發(fā)展自主知識產(chǎn)權的計算機芯片、操作系統(tǒng)等信息安全技術產(chǎn)品，以確保關鍵政府部門的信息系統(tǒng)的網(wǎng)絡安全。在安全技術方面，應該加強核心技術的自主研發(fā)，并盡快使之產(chǎn)品化和產(chǎn)業(yè)化，尤其是操作系統(tǒng)技術和計算機芯片技術。現(xiàn)階段中國各級政府部門目前所選用的高端軟硬件平臺，基本上都是國外公司的產(chǎn)品，這也對政務安全帶來了許多隱患。因此，在構建電子政務系統(tǒng)的時候，在可能的情況下，我們應盡量選用國產(chǎn)化技術和國內(nèi)公司的產(chǎn)品。

（三） 安全組織體系是安全管理的實施主體，是電子政務安全實施的必要條件

發(fā)達國家一般都建立有網(wǎng)絡安全管理機構，美國安全委員會下設了國家保密政策委員會和信息系統(tǒng)安全保密委員會；英法等國家建立了“國家網(wǎng)絡安全委員會”。我國信息安全管理職能的格局已經(jīng)形成，包括國家安全部、國家保密局、國家密碼管理委員會、信息產(chǎn)業(yè)部、信息化領導小組、國家電子政務協(xié)調(diào)小組和國家安全協(xié)調(diào)小組等，盡管能各司其責，責權明確，但在許多的具體實施過程中缺乏統(tǒng)一性。

應建立健全網(wǎng)絡安全組織管理制度，明確負責安全管理的主要領導、主管部門、技術支持部門等等。安全管理職能的協(xié)調(diào)需要由國家信息化領導機構，各地區(qū)和部委建立相應的信息安全管理機構，以完成和強化信息安全的管理。只有建設一個國家到省市縱向和橫向各部委、廳局架構的安全管理組織，才能真正實現(xiàn)全面的安全等級保護。

（四） 安全基礎設施為電子政務安全防護體系提供服務和支撐，為電子政務安全實施提供前提

信息安全基礎設施是一種為信息系統(tǒng)應用主體和信息安全執(zhí)法主體提供信息安全公共服務和支撐的社會基礎設施，方便信息應用主體安全防護機制的快速配置，有利于促進信息應用業(yè)務的健康發(fā)展，有利于信息安全技術和產(chǎn)品的標準化和促進其可信度的提高，有利于信息安全職能部門的監(jiān)督和執(zhí)法，有利于增強全社會信息安全移師和防護技能，有利于國家信息安全保障體系的建設。因此，推動電子政務的發(fā)展，應重視相關信息安全基礎設施的建設。

目前中國的國際出入口監(jiān)控中心和安全產(chǎn)品評測認證中心已經(jīng)初步建成。安全產(chǎn)品評測認證中心由安全標準研究、產(chǎn)品安全測試、系統(tǒng)安全評估、認證注冊部門和網(wǎng)絡安全專家委員會組成。同時，由國家密碼主管部門牽頭，將會同有關部門成立“國家PKI協(xié)調(diào)管理委員會”，指導電子政務PKI信任體系——國家電子政務根CA和橋CA建設。但總體上講，中國目前網(wǎng)絡安全基礎設施的建設還處于初級階段，應該盡快建立網(wǎng)絡監(jiān)控中心、安全產(chǎn)品評測中心、計算機病毒防治中心、關鍵網(wǎng)絡系統(tǒng)災難恢復中心、網(wǎng)絡安全應急響應中心、電子交易安全證書授權中心、密鑰監(jiān)管中心等國家網(wǎng)絡安全基礎設施。（支點網(wǎng)）