ccidnet????

出版日期:2003-11-24 总期号:1269 本年期号:88

本期导读
要闻综合
中国信息化
网络与通信
软件与服务
产品与应用
渠道与市场
中国信息安全
华东专刊
华南专刊
西北专刊
东北专刊
西南专刊
 依靠法治 保障安全
——电子政务安全建设中的问题与对策


  目前,我国正处在电子政务建设的关键时期,关于电子政务安全,政府有关部门正在制订相关的方针政策, 制订统一的建设标准和规范。对于电子政务建设的风险评估也没有一个完整的依据, 这就需要我们采取必要的对策,应对电子政务安全所面临的挑战。


  亟待立法
  电子政务的工作内容和工作流程涉及到国家核心政务,它的安全关系到国家的主权、国家的安全和公众利益,所以电子政务的安全实施和保障,必须以国家法规形式将其固化,形成全国共同遵守的规约,成为电子政务实施和运行的行为准则,成为电子政务国际交往的重要依据,为司法和执法者提供法律依据,对违法、犯法者形成强大的威慑。

  我国电子签章和电子文档的法规还是空白,影响了电子政务和电子商务的发展。

  个人数据保护的需求伴随电子政务的发展日显突出。电子政务在实施行政监管和公众服务中有大量的个人信息(自然人和法人),如户籍、纳税、社保、信用等信息大量进入了政府网络信息数据库,它对完成电子政务职能发挥着巨大作用,但也带来了个人隐私信息保护的问题。因此加快个人数据保护法的制订是必要的。


  建立管理体制
  建立电子政务安全责任制。各重要信息系统的安全建设和管理,按照谁主管谁负责、谁运营谁负责的要求,由各主管部门和运营单位负责。

  制定电子政务信息安全策略。安全策略要以电子政务系统实施的安全工作为出发点,每一个开展电子政务工作的机构都必须制定安全策略。

  建立健全电子政务安全管理体制。电子政务安全是整体的、动态的,其管理占有相当大的比重,任何完善的安全技术如果没有完善的管理制度作保障,都无法达到安全要求。

  形成完整的电子政务安全标准体系。目前电子政务安全标准化正在制订和实施的过程中。

  设立专业的安全工程监理单位。信息安全系统工程不同于其它工程,它有其行业特殊性,安全体系的建设应该是个性化的,基于风险分析得出的结论来制定一个合理的安全策略,即寻找风险与安全投入的一个最佳平衡点。

  信息安全风险评估。通过一定的控制措施将信息资产受到威胁的可能性、遭受损失的程度降到一个可以接受的程度,即将组织机构信息安全风险降低至可以接受的范围内。

  制定电子政务外网信息内容分类和保护的办法。政务外网是政府的业务专网,主要进行政府部门面向社会的专业性服务业务和不需要在内网上运行的业务,与政务内网物理隔离,与互联网逻辑隔离。

  协调一致的采购和集成商资质管理政策。我国信息安全产业缺乏相应采购政策的支持,政务与商务需求应该对应不同的采购政策,安全产品同其他计算机产品一样,存在着安全漏洞、后门、隐蔽信道等问题,所以对于电子政务工程安全产品的选择和采购应有明确规定。

  专业人才培养。信息安全事业的建设需要大量专业的技术人员,因此必须重视和加强对信息安全专业人员的培养。

  通报协调和应急响应机制。在电子政务的建设中,政府的网站会成为敌对势力和不法分子攻击的首要目标。而建立起一整套通报协调和应急响应机制就成为了应对紧急情况和保障电子政务信息安全的最为有效和直接的手段。


  构架电子政务安全保障
  缺少电子政务技术安全保障构架。针对电子政务建设特点,构建其技术安全保障架构,对大型电子政务系统要建立纵深防御体系。

  缺少电子政务安全基础设施。安全基础设施的作用就是为电子政务系统建立服务环境,为其他安全技术的实施提供正确决策支持。

  加强安全技术和产品的自主研制和创新。由于电子政务涉及国家利益,因此,电子政务系统工程的安全保障需要各种有自主知识产权的信息安全技术和产品,全面推动自主研发和创新这些技术和产品是电子政务安全的需要。

  网络安全域的划分和控制问题。政务内网主要是副省级以上政务部门的办公网,与副省级以下的政务部门的办公网物理隔离。

  政务外网是政府的业务专网,主要运行政府部门面向社会的专业性服务业务和不需在内网上运行的业务。


  分两步解决
  针对上述存在的问题,根据对我国电子政务安全建设现存问题的研究、分析、参照国外的经验,我们认为当前急需解决的是确定我国电子政务安全建设的基本思想与指导原则。并以此作为根据,对目前电子政务建设过程中存在的问题,分门别类,逐项进行研究,并考虑将来电子政务安全建设与运维,提出一个电子政务安全建设的规范性文件。

  首先,应该在政府部门内部建立一整套行之有效的措施,并落实各项安全保障制度,如所有信息的定密制度(为信息的公开提供可行性依据)、网络区域的有限划分制度(划分不同的网络区域,针对不同的安全级别制定不同的安全策略,采用不同的网络安全设备)、完善的内部监控与审核制度、公钥(私钥)的管理体系、灾难响应及应急处理制度等等。

  其次,需要国家组织各级有关部门和技术力量,对一些公共技术加以研究制定。

  充分利用社会资源,建立本地区的各类应急响应服务中心、支援网络和数据灾难备份的基础设施。针对政府部门技术力量较薄弱的问题,尤其需要通过社会的整体力量,提高处理问题的效率,达到群防群治的目的。

  如果以上各项能够得到妥善解决,我们就可以依靠法制建立起一套完善的立体电子政务安全保障体系。


  单位介绍
  国家信息中心信息安全研究与服务中心从1987年以来就开始从事信息安全领域的工作,在国家发改委的领导下,在国家信息安全各业务主管部门的支持下,已经在信息安全领域积累了比较丰富的实践经验, 具备了较强的综合实力。