电子政务信息安全：制度 体系 评估一个都不能少

　　我国电子政务建设已经步入了深化应用阶段。应用与安全是一对矛盾，电子政务的深化应用与安全管理必须并举，不可偏重。如何在电子政务深化应用的同时建立起相应的信息安全管理体系，保证应用与安全的协调发展?这些都是摆在目前中国电子政务工作者面前的重要课题。

　　在刚刚结束的“2009第三届中国电子政务高峰论坛”上，工业和信息化部副部长杨学山指出，作为IT建设的重中之重和关键信息的重要承载组织，电子政务要向着全流程、全覆盖、全业务的方向走。我们如何使应用系统更加成熟稳定?如何使信息资源更加集成优化?网络系统更加适用和可靠?电子政务中的信息安全保证是电子政务建设的当务之急。

　　之所以着力发展信息安全，是因为在电子政务建设初期在很大程度上是“摸着石头过河”，缺乏明确的策略对其进行指导。系统大都是采用开放式的操作系统和网络协议，存在着先天的安全隐患。随着电子政务建设的逐步推进，政府门户网站所承载业务的数量在逐步增加，网站被入侵或篡改所带来的危害将不仅仅限于“政府形象”的损害，甚至能会造成巨大的经济损失，或者严重的社会问题。

　　系统测评 制度保证

　　河北省工业和信息化厅副厅长段润保谈到，电子政务深化应用在工作中得到了加强，网上审批可能达到了50%，重要的数据就不能上了，因为确保不了安全。今天达到100%，全社会的老百姓都来网上了，安全更不能保证。所以，各方面的强度肯定要增强，原来的软件就没有做软件测评，现在不行，必须要做。随着应用面越来越广，深度越来越深，使用频率越来越高。我们很多电子政务领域都用上了，上班就得用这个东西，像海关一样。

　　段润保还提到，河北的现状应该说不容乐观，到省级还比较好一些，到市勉强，到县就不行了。最近查的800余个网站，非常高的比例存在安全隐患，漏洞、信息泄漏，这样的问题有很多，非常严峻。年年抓还是这个情况，内网当然要好一些。内网有一个安全测评，有什么问题可以整改。在这样的问题下我们怎么样推进电子政务深化，确实要从制度要求。出了问题谁负责?有的时候没有制度，规范，所以说第二个问题是信息安全来保证电子政务的深化研究，基本的制度，比如说风险评估，你建了这个系统以后效果怎么样。等级保护制度，那是国家强制的，必须要这么做。

　　说是安全，实际上也有很多制度。这个系统按时升级了，口令8位以上，做复杂了他也不好破。很多制度是有，但是不执行，比如应该是一个星期升级，结果一个月也不升级，漏洞就有了。要建立新的制度，旧的制度也要不断完善，这样才能发展。

　　明确责任 体系建设

　　国土资源部信息中心总工顾炳中指出，安全是一种责任，要明确安全的责任。划分政治界限，规定政治红线在哪儿。在不碰红线的前提下，我们来做我们的事情，所以必须满足红线。政策的安全红线是什么?国家的安全17859分级保护，强调的就是适度安全，安全不是绝对的。分级保护的原则指导下，23号文件，分级的改造，等级保护按43号 文进行公安部的要求保护。这样的事情做下来是有一个基本要求，再出事不承担失职的责任。

　　这样是不是就是安全了?绝对不够。安全跟我们现在的规定，相关部门的规定还有一定的差距，安全应该是一个理念，应该贯穿到整个信息系统规划、设计、实施、运维全过程。政策红线只是规避了常发生的信息安全问题。包括现在的风险评估，风险评估有用吗?基本没太大的用。因为他说有漏洞，有漏洞不等于事实，不等于信息就不安全。漏洞多了，我们写代码可能有8个漏洞在里面，没有人检查，漏洞是永恒的，病毒也是永恒的。我们必须把安全作为一个理念，从规划和实施当中贯彻，采取自己切实可行的手段来保证安全。重要的数据我有方法备份，重要的信息系统我有方法检查，采用一系列的手段来进行保护。

　　分级保护 风险评估

　　公安部第一研究所安全系统测评中心技术部主任秦超指出，电子政务与安全的直接关系，08年出台了一个文件，08年起，国家发改委批准的项目必须经过风险评估和安全测评，这是与电子政务最直接相关的测评报告。

　　08年奥运在一些单位检查当中发现很多领导都很重视。信息安全很重要，他们就会很谦虚的问网站怎么弄?怕攻击了，有什么办法?外网系统固然很重要，他们怕产生社会影响，怕丢面子。但是内网也很重要，内部最容易是作为堡垒被攻破。我们要重视内网的安全，一个是要加强审计。怎么处理好安全应用的关系?等级保护就是最好的方法，最好的是适度安全。我们的电子政务信息系统很庞大，如果把有限的财力，人力集中到信息系统上就要定级。有些单位说定了三级怎么实现?每个系统由一些小系统来组成，小系统划成核心区域，非核心区域，根据你自己的需要来采取安全措施。分级保护是把复杂的系统简单化，我们是从两个角度定义的，一个是按保密性，还有一个是可控性，两个组合形成最后的安全等级高低。

　　在安全保护过程中强调的是安全管理。我们强调的是建立一大堆制度，但是没有相应的机构，相应的人员来落实。领导兼职会拿它当工作做吗?我已经发现了一个规律，一个单位如果有相应的实权机构来负责这个事，一般这个单位的安全系统都是有秩序的。一些单位在技术方面确实不够专业，可以选择外包，但是要选择可靠的是要以运营单位来保证。

　　大家都普遍认识一点，安全是一个周期性的工作，漏洞是不断的被挖掘出来的，VISTA被发布之前，微软说VISTA很安全，没有漏洞，但是发布之后他说漏洞很小。所以要不断的对信息系统进行审计评估，对于三级系统一年要检查测评一次，四级系统要半年检查一次。

　　尽管电子政务代表了政务实施发展的趋势和方向，但是，建立和完善电子政务系统不是一朝一夕能完成的工程。除了技术的提升，信息安全意识和制度尤为重要。信息安全是一个管理体系，不管是等级保护，风险评估还是边界的管理，信息安全应该在下一步的深化应用当中渗透到各个环节。