扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
我国电子政务建设已经步入了深化应用阶段。应用与安全是一对矛盾,电子政务的深化应用与安全管理必须并举,不可偏重。如何在电子政务深化应用的同时建立起相应的信息安全管理体系,保证应用与安全的协调发展?这些都是摆在目前中国电子政务工作者面前的重要课题。
在刚刚结束的“2009第三届中国电子政务高峰论坛”上,工业和信息化部副部长杨学山指出,作为IT建设的重中之重和关键信息的重要承载组织,电子政务要向着全流程、全覆盖、全业务的方向走。我们如何使应用系统更加成熟稳定?如何使信息资源更加集成优化?网络系统更加适用和可靠?电子政务中的信息安全保证是电子政务建设的当务之急。
之所以着力发展信息安全,是因为在电子政务建设初期在很大程度上是“摸着石头过河”,缺乏明确的策略对其进行指导。系统大都是采用开放式的操作系统和网络协议,存在着先天的安全隐患。随着电子政务建设的逐步推进,政府门户网站所承载业务的数量在逐步增加,网站被入侵或篡改所带来的危害将不仅仅限于“政府形象”的损害,甚至能会造成巨大的经济损失,或者严重的社会问题。
系统测评 制度保证
河北省工业和信息化厅副厅长段润保谈到,电子政务深化应用在工作中得到了加强,网上审批可能达到了50%,重要的数据就不能上了,因为确保不了安全。今天达到100%,全社会的老百姓都来网上了,安全更不能保证。所以,各方面的强度肯定要增强,原来的软件就没有做软件测评,现在不行,必须要做。随着应用面越来越广,深度越来越深,使用频率越来越高。我们很多电子政务领域都用上了,上班就得用这个东西,像海关一样。
段润保还提到,河北的现状应该说不容乐观,到省级还比较好一些,到市勉强,到县就不行了。最近查的800余个网站,非常高的比例存在安全隐患,漏洞、信息泄漏,这样的问题有很多,非常严峻。年年抓还是这个情况,内网当然要好一些。内网有一个安全测评,有什么问题可以整改。在这样的问题下我们怎么样推进电子政务深化,确实要从制度要求。出了问题谁负责?有的时候没有制度,规范,所以说第二个问题是信息安全来保证电子政务的深化研究,基本的制度,比如说风险评估,你建了这个系统以后效果怎么样。等级保护制度,那是国家强制的,必须要这么做。
说是安全,实际上也有很多制度。这个系统按时升级了,口令8位以上,做复杂了他也不好破。很多制度是有,但是不执行,比如应该是一个星期升级,结果一个月也不升级,漏洞就有了。要建立新的制度,旧的制度也要不断完善,这样才能发展。
明确责任 体系建设
国土资源部信息中心总工顾炳中指出,安全是一种责任,要明确安全的责任。划分政治界限,规定政治红线在哪儿。在不碰红线的前提下,我们来做我们的事情,所以必须满足红线。政策的安全红线是什么?国家的安全17859分级保护,强调的就是适度安全,安全不是绝对的。分级保护的原则指导下,23号文件,分级的改造,等级保护按43号 文进行公安部的要求保护。这样的事情做下来是有一个基本要求,再出事不承担失职的责任。
这样是不是就是安全了?绝对不够。安全跟我们现在的规定,相关部门的规定还有一定的差距,安全应该是一个理念,应该贯穿到整个信息系统规划、设计、实施、运维全过程。政策红线只是规避了常发生的信息安全问题。包括现在的风险评估,风险评估有用吗?基本没太大的用。因为他说有漏洞,有漏洞不等于事实,不等于信息就不安全。漏洞多了,我们写代码可能有8个漏洞在里面,没有人检查,漏洞是永恒的,病毒也是永恒的。我们必须把安全作为一个理念,从规划和实施当中贯彻,采取自己切实可行的手段来保证安全。重要的数据我有方法备份,重要的信息系统我有方法检查,采用一系列的手段来进行保护。
分级保护 风险评估
公安部第一研究所安全系统测评中心技术部主任秦超指出,电子政务与安全的直接关系,08年出台了一个文件,08年起,国家发改委批准的项目必须经过风险评估和安全测评,这是与电子政务最直接相关的测评报告。
08年奥运在一些单位检查当中发现很多领导都很重视。信息安全很重要,他们就会很谦虚的问网站怎么弄?怕攻击了,有什么办法?外网系统固然很重要,他们怕产生社会影响,怕丢面子。但是内网也很重要,内部最容易是作为堡垒被攻破。我们要重视内网的安全,一个是要加强审计。怎么处理好安全应用的关系?等级保护就是最好的方法,最好的是适度安全。我们的电子政务信息系统很庞大,如果把有限的财力,人力集中到信息系统上就要定级。有些单位说定了三级怎么实现?每个系统由一些小系统来组成,小系统划成核心区域,非核心区域,根据你自己的需要来采取安全措施。分级保护是把复杂的系统简单化,我们是从两个角度定义的,一个是按保密性,还有一个是可控性,两个组合形成最后的安全等级高低。
在安全保护过程中强调的是安全管理。我们强调的是建立一大堆制度,但是没有相应的机构,相应的人员来落实。领导兼职会拿它当工作做吗?我已经发现了一个规律,一个单位如果有相应的实权机构来负责这个事,一般这个单位的安全系统都是有秩序的。一些单位在技术方面确实不够专业,可以选择外包,但是要选择可靠的是要以运营单位来保证。
大家都普遍认识一点,安全是一个周期性的工作,漏洞是不断的被挖掘出来的,VISTA被发布之前,微软说VISTA很安全,没有漏洞,但是发布之后他说漏洞很小。所以要不断的对信息系统进行审计评估,对于三级系统一年要检查测评一次,四级系统要半年检查一次。
尽管电子政务代表了政务实施发展的趋势和方向,但是,建立和完善电子政务系统不是一朝一夕能完成的工程。除了技术的提升,信息安全意识和制度尤为重要。信息安全是一个管理体系,不管是等级保护,风险评估还是边界的管理,信息安全应该在下一步的深化应用当中渗透到各个环节。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者