從去年10月開始,國務院信息化工作辦公室在廣東、河南、天津、重慶四個省市開展了電子政務信息安全試點。經(jīng)過近一年來的試點工作,摸索出了哪些電子政務信息安全保障的方法?哪些經(jīng)驗值得借鑒?近日,國信辦在河南省濟源市召開了電子政務信息安全試點總結暨現(xiàn)場交流會,對這些問題給予了回答。 

  今年8月份,濟源市委書記周春艷因公去歐洲出差,走時她帶上了筆記本電腦和自己的電子鑰匙,在北京首都機場候機時,她通過互聯(lián)網(wǎng)登錄了濟源之窗電子政務網(wǎng)站,打開了政務網(wǎng)絡的平臺,繼續(xù)她忙碌的公務處理。到了英國后,在酒店,她接入了國內(nèi)的電子政務網(wǎng),開始她還有些擔心和懷疑,但后來她非常驚奇地發(fā)現(xiàn),她不僅打開了濟源的電子政務平臺,并且看到了市領導當周的工作活動安排,當她發(fā)現(xiàn)某個安排有些問題時,就馬上通過這個政務平臺給相關人員回了一個消息,讓他對這個方案進行補充和完善,就好像在濟源本地一樣。真正的移動電子政務辦公就這樣在異國他鄉(xiāng)安全地實現(xiàn)了,這可謂是當今中國政府工作方式改變的一個創(chuàng)舉。

  事實上,周春艷書記利用的電子政務平臺是濟源市借國信辦在濟源開展電子政務信息安全試點之機建設起來的基于互聯(lián)網(wǎng)的電子政務系統(tǒng)。

  試點意義重大

  10月16日,國務院信息化工作辦公室在河南省濟源市召開了“電子政務信息安全試點總結暨現(xiàn)場交流會”,對從2005年10月份開始的電子政務信息安全試點進行了全面的總結。與會領導和專家一致認為,這次試點工作非常及時、非常必要,試點工作取得了成功,取得的經(jīng)驗值得推廣。

  國務院信息化工作辦公室曲維枝常務副主任充分肯定了各試點的工作:“這次電子政務信息安全試點針對電子政務信息安全保障中的一些重大問題進行了認真的探索,各試點都摸索出了一些非常有價值的經(jīng)驗,試點取得了圓滿的成功?!?/p>

  國務院信息化工作辦公室網(wǎng)絡與信息安全組王渝次司長表示:“電子政務是我們國家信息化建設的重點,是國家信息化建設的龍頭,而隨著信息化建設、電子政務建設的推進,信息安全的問題日益突出。為了解決電子政務信息安全這一迫切需要解決的問題,國信辦領導非常重視,組織進行了此次試點,試點工作的意義重大?!?/p>

  的確,對電子政務信息安全工作采取試點的方式源自國家對電子政務的重視,以及電子政務安全是一個新興的課題,需要在不斷的實踐中摸索經(jīng)驗,才能真正實現(xiàn)電子政務的信息安全。

  隨著我國改革開放和社會主義現(xiàn)代化建設的進一步推進,電子政務建設已經(jīng)廣泛開展,20世紀90年代初,國務院有關部門相繼建設了一批業(yè)務系統(tǒng),“金關”和“金稅”工程都取得顯著成效,辦公自動化、政務信息化也取得較大的成績。但從總體上看,電子政務建設還存在著很多問題:網(wǎng)絡建設各自為政,重復建設;業(yè)務系統(tǒng)水平低,應用和服務領域窄;信息資源開發(fā)利用滯后,互聯(lián)互通不暢,共享程度低;標準不統(tǒng)一,安全隱患的問題更是嚴重。

  進入21世紀,電子政務的建設已經(jīng)成為今后一個時期我國信息化工作的重點,政府先行,帶動國民經(jīng)濟和社會發(fā)展信息化,同時加快政府職能的轉變,提高行政質(zhì)量和效率,增強政府監(jiān)管和服務能力,促進社會監(jiān)督,實施信息化帶動工業(yè)化的發(fā)展戰(zhàn)略,因此,電子政務意義重大,電子政務的信息安全更是重中之重。

  “電子政務信息安全關系到國家的安全、社會的穩(wěn)定,是電子政務建設中的首要問題,如果處理不好,甚至會影響到電子政務建設?!眹呸k專家曲成義表示。

  正因為如此,在今年中辦下發(fā)的《國家信息化領導小組關于推進國家電子政務網(wǎng)絡建設的意見》(簡稱中辦發(fā)[2006] 18號文件)中,將電子政務安全建設,作為電子政務建設的四項重要任務之一。

  為了深入探索總結不同模式下的電子政務的信息安全保障方法,探討解決電子政務信息安全建設和管理中出現(xiàn)的一些共性問題,去年10月,國信辦就下發(fā)了《關于開展電子政務信息安全試點的通知》,決定在廣東、河南、天津、重慶四個省市開展電子政務信息安全試點工作。

  對于此次試點工作,國信辦以及接到試點工作任務的各省市信息辦領導都高度重視,國信辦專家組先后多次到試點地區(qū)進行調(diào)研,最終圓滿完成了試點目標。

  不同模式下的安全 

  在選擇試點單位時,國信辦廣泛征求專家和各方面的意見,最終根據(jù)各地電子政務的不同特點,選擇了4個各具代表性的地區(qū)和網(wǎng)絡結構,以便有針對性地發(fā)現(xiàn)問題并解決問題,形成經(jīng)驗后,最終全面推廣。

  河南是基于互聯(lián)網(wǎng)的集政務辦公與公眾服務為一體的電子政務信息共享與安全模式互動的互聯(lián)網(wǎng)的服務模式;廣東主要是探索全省省、市、縣(區(qū))三級電子政務系統(tǒng)的信息共享與互聯(lián)互通問題以及等級保護在電子政務信息安全建設過程中的可操作性;天津是構建基于市電子政務專網(wǎng)統(tǒng)一的網(wǎng)絡信息保障體系,在系統(tǒng)當中解決信息交互的暢通和安全問題,保障專網(wǎng)上各大機關電子業(yè)務安全;重慶是建立了數(shù)據(jù)大集中模式下的電子政務信息安全保障體系和垂直行業(yè)系統(tǒng)的安全管理模式。

  由于是基于不同的電子政務模式,所以4個試點在信息安全的方法上也各有特點。

  河南省濟源市在電子政務網(wǎng)絡的建設中,包括信息安全的建設中,沒有拉一條專線,也沒有建一個專網(wǎng),完全是基于互聯(lián)網(wǎng)的,這也是此次試點中的一個新的嘗試。

  “由于互聯(lián)網(wǎng)的安全隱患很大,所以在對待安全的問題上就更不能有一絲松懈,”河南省信息辦主任蘇福功表示,“濟源試點明確規(guī)定了涉密信息堅決不能上網(wǎng),并通過采用商用密碼技術和VPN技術,合理配置了具有防火墻功能的、不同檔次的VPN安全網(wǎng)關和VPN客戶端,以實現(xiàn)互聯(lián)互通和信息共享?!?/p>

  與河南濟源基于互聯(lián)網(wǎng)的模式不同,天津試點是建立在天津市電子政務專網(wǎng)上的,將電子政務專網(wǎng)與涉密網(wǎng)進行了物理隔離。

  “我們將市政府辦公廳基于專網(wǎng)開展的國辦政府辦公業(yè)務網(wǎng)(機密級)從此次試點的系統(tǒng)中剝離出去,同時,對天津新技術產(chǎn)業(yè)園的與互聯(lián)網(wǎng)邏輯隔離的網(wǎng)絡進行改造,將其電子政務部分單獨建設成園區(qū)電子政務系統(tǒng),與互聯(lián)網(wǎng)物理隔離,并且與專網(wǎng)對接,這樣就形成了真正的電子政務專網(wǎng)。”天津信息化辦公室副主任余學林說,“在信息安全建設中,我們強調(diào)等級保護制度,運用風險評估的方法,堅持技術與管理并重,并最終實現(xiàn)了統(tǒng)一網(wǎng)絡平臺上三個不同安全級別信息系統(tǒng)之間的互聯(lián)互通?!?/p>

  重慶則針對電子政務數(shù)據(jù)大集中的模式,在重慶工商局和重慶市涪陵區(qū)建立了電子政務信息安全保障體系。

  “我們在試點過程中,總結了一套系統(tǒng)工程實施的方法,這個方法是由‘三分析一篩選’和‘123Y立方’的方法組成?!敝貞c信息產(chǎn)業(yè)局副局長郭堅說?!叭治鲆缓Y選”的方法是為了區(qū)分同屬數(shù)據(jù)大集中模式但處于不同發(fā)展階段的電子政務系統(tǒng),主要方法是“依次分析數(shù)據(jù)特征、業(yè)務特征和應用需求,然后篩選安全保障措施”。而將信息安全風險評估的三個流程“資產(chǎn)識別”、“安全威脅分析”和“系統(tǒng)脆弱性評估”與電子政務信息安全等級保護的三個階段“進行定級”、“規(guī)劃與設計”和“實施、驗證與運維”進行嫁接,就是“123Y立方”的方法。

  而廣東省的電子政務的基礎網(wǎng)絡建設比較好,這次試點強調(diào)的是省市縣電子政務系統(tǒng)的信息共享與互聯(lián)互通,但如果要在區(qū)縣級以下推廣電子政務就不僅是在專網(wǎng)上而要通過互聯(lián)網(wǎng)了。

  “因為要接入互聯(lián)網(wǎng),所以我們進行了嚴謹?shù)娘L險評估,并采用了在統(tǒng)一的互聯(lián)網(wǎng)入口部署IPSec VPN或者SSL VPN實現(xiàn)安全接入,同時對接入系統(tǒng)的邊界采用深度隔離和復雜訪問控制策略等多種措施,用以控制接入的風險?!睆V東省信息產(chǎn)業(yè)廳副廳長鄒生說。

  堅持“適度保護”的做法

  國信辦有關專家在會上發(fā)言表示:“試點只是探索電子政務信息安全建設的一種方式,為將來在全國的推廣積累經(jīng)驗,所以我們不能為了試點而試點,更不能為了完成任務而試點,而應該從自身的實際情況出發(fā)建設自己的電子政務及信息安全系統(tǒng)?!?/p>

  相信正確的做法是應該以實際應用為導向,一切從應用出發(fā)。電子政務建設的起點不是規(guī)劃和設計方案,而是行政審批制度改革的工具,是政府管理體制改革的需要,應該是需要什么就建設什么,需要什么就使用什么。

  信息安全建設更是如此,在對待安全的問題上,有的人認為安全問題非??膳拢Y果在面對電子政務信息安全的建設上畏首畏尾;也有人抱著無知者無畏的態(tài)度一直向前沖?!笆聦嵣线@兩種態(tài)度都是不行的,”國務院信息化工作辦公室網(wǎng)絡與信息安全組王渝次司長表示,“在進行電子政務信息安全保護的設計時,應該從應用出發(fā),從實際出發(fā),從科學的角度出發(fā),充分考慮到現(xiàn)有的安全保護基礎,合理利用現(xiàn)有的安全設備,做到適度保護,而不是過保護,這樣既可以滿足安全的需求也可以節(jié)省投入?!?/p>

  事實上,安全只是應用的保障,安全是為應用服務的,并不是安全措施越多越好,不能為了安全而安全,應該根據(jù)系統(tǒng)的安全等級采用適度安全,通過綜合防范,構建有效的安全體系,使得電子政務既安全又好用。

  現(xiàn)在,信息安全方面確實存在著很多隱患,尤其是基于互聯(lián)網(wǎng)來做的電子政務系統(tǒng),那么風險則更大。但是我們可以在綜合考慮系統(tǒng)的風險、需求與保護成本的前提下,增加必要的技術手段,通過安全等級和安全域的劃分,對不同等級信息系統(tǒng)和安全域的安全保護采取管理與技術相結合的手段,實現(xiàn)適度的安全保障,提高信息系統(tǒng)的整體防御能力。

  所以,“信息安全等級保護是電子政務安全建設中的重點?!惫膊渴痪指本珠L趙林說。

  “等級保護”是基礎

  不同的電子政務應用系統(tǒng)的安全等級不同,同一電子政務應用系統(tǒng)中的安全等級也有高有低,一旦被破壞后的影響也是不盡相同的,所以從實際出發(fā),綜合平衡安全成本和風險,實施分級分域的等級保護是必要的選擇。

  河南在濟源的試點中,在堅持適度安全綜合防范的基礎上,構建了一體化基于互聯(lián)網(wǎng)電子政務分級防護的安全保障體系,深人地探索了等級保護的實用性和可行性。濟源試點采用了“等級保護、分域防護”的方法,在風險分析的前提下合理定級,并進行了分域防控和分級防護。

  而具體又應該如何做好等級保護呢?這也是這次4家試點要探索的重要問題。首先,系統(tǒng)定級是實施等級保護的前提,濟源的經(jīng)驗是簡單、實用的表格化定級方法,這樣把系統(tǒng)識別、信息資產(chǎn)安全屬性分析、信息系統(tǒng)定級等復雜的安全需求分析和定級工作變?yōu)榱撕唵蔚?、可操作的表格填寫,發(fā)放調(diào)查表,對系統(tǒng)和信息進行屬性分析、風險分析,合理地確定安全等級。

  然后就是分級分域的防護,由于濟源是基于互聯(lián)網(wǎng)的電子政務網(wǎng)絡,與在專網(wǎng)上建立的安全體系不太相同,安全隱患更加多而復雜,所以在風險分析中就面臨了更嚴峻的挑戰(zhàn)。因此,濟源將電子政務應用系統(tǒng)分域,將其分為了公開信息處理區(qū)和敏感信息處理區(qū),根據(jù)其不同的特點分別進行防護;而在分級防護方面,將信息分為了完全公開、內(nèi)部公開和內(nèi)部受控三類,也是根據(jù)不同類別的不同特點采取不同的安全措施。

  而廣東是在電子政務網(wǎng)絡比較完備的基礎上建立的電子政務信息安全系統(tǒng),與互聯(lián)網(wǎng)所面臨的風險可能不大相同。不過它也同樣面臨著各電子政務網(wǎng)絡之間的安全需求存在差異的問題,比如政務系統(tǒng)與業(yè)務系統(tǒng)、公開系統(tǒng)與內(nèi)部系統(tǒng)、省級系統(tǒng)與區(qū)縣系統(tǒng)都存在著差異。

  所以,只有首先了解了電子政務的特點和不同系統(tǒng)之間的差異才能對系統(tǒng)進行分級防護,并更好地使得整個系統(tǒng)在安全前提下實現(xiàn)信息共享與互聯(lián)互通。廣東的經(jīng)驗是電子政務系統(tǒng)的定級規(guī)則應該細化,不同業(yè)務系統(tǒng)、不同區(qū)域和不同的信息化發(fā)展水平的定級規(guī)則應該有所不同,并探索出了框架式的分類方法,這樣就能總結類似系統(tǒng)的特點、簡化分析過程和分析結果,從而利用系統(tǒng)定級又可以避免分類過于復雜、定級規(guī)則過多的問題。

  同樣,在系統(tǒng)定級的基礎上,安全域的劃分對于等級保護也起到了至關重要的基礎作用。廣東省提出了安全域要求與系統(tǒng)等級相對應的原則,并開發(fā)了定級軟件系統(tǒng),只要按照軟件導航的操作流程,進行內(nèi)容輸入或者可選項選擇就可以完成系統(tǒng)的定級。 

  看來,不同的風險狀況對于等級保護的要求和方法是不同的,而等級保護與風險評估又有哪些內(nèi)在聯(lián)系呢?

  此次,重慶試點工作的創(chuàng)新點就是針對風險評估與等級保護的內(nèi)在聯(lián)系,強化業(yè)務的重要性、安全危機驗證的重要性,以及系統(tǒng)評估對整個系統(tǒng)的影響的重要性。在具體實施的過程中,重慶兩家試點單位制定了分期、分批實現(xiàn)的計劃,利用風險評估的方法,使試點單位真正達到安全風險可控的要求。

  當然分級保護只是在技術上讓電子政務系統(tǒng)更安全,而技術不是萬能的,技術與管理的并重才能事半功倍。在試點工作結束后,可能要面臨的就是試點經(jīng)驗的全面推廣,因此,技術與管理的結合則顯得更加重要,而從自身的應用出發(fā),建設符合自己的電子政務及信息安全保障體系是各地電子政務建設中需要做的。

  鏈接:電子政務安全政策

  從2005年10月開始,按照國信辦《關于開展電子政務信息安全試點的通知》要求,在廣東、河南、天津、重慶四個省市開展了電子政務信息安全試點工作。這次試點的目的是檢驗《電子政務信息安全等級保護實施指南》,探索總結不同業(yè)務模式下電子政務的信息安全保障方法,以促進和保障我國電子政務安全順利開展。

  而在2006年5月20日,為了充分發(fā)揮網(wǎng)絡在電子政務建設中的基礎性作用,促進電子政務和信息化的健康發(fā)展,中央辦公廳和國務院辦公廳又聯(lián)合轉發(fā)了《國家信息化領導小組關于推進國家電子政務網(wǎng)絡建設的意見》。

  2006年6月12日,國務院總理、國家信息化領導小組組長溫家寶同志在全國電子政務工作座談會上指示,加快電子政務建設、推進行政管理體制改革,提高政府工作效率和公共服務水平,為公眾參與經(jīng)濟社會活動創(chuàng)造條件。

  可見,國家高度重視信息化在全國的推動,政府部門帶頭做到政務先行,電子政務的建設對于全面推動信息化的進程有著示范作用。而此次試點的成功將對于全國大范圍推動電子政務,甚至整個信息化建設都有著重要的作用。

責任編輯:admin