多管齊下保障北京工商奧運信息安全

2008奧運會和殘奧會在世界各國人民的贊譽聲中落下帷幕，北京市工商信息中心的人們也長舒了一口氣。市委市政府對奧運信息安全提出“不出大事、少出小事、出事能迅速應對”的要求，市區兩級工商信息化部門多措并舉、保證了北京市工商行政管理局信息網絡的穩定運行和數據資源的準確完整，成功實現了奧運會及殘奧會期間信息安全零事故，有力地保障了工商行政管理業務的正常運轉。同時，為奧運后工商系統信息化建設提供了有益的啟示。

措施

信息化應急預案齊備，應急演練全面落實。5月31日之前，市局和各分局共制定奧運信息安全總體預案20個，機房、網絡、網站、重要應用系統等專項預案78個。奧運會之前，市局及各區縣分局都組織了信息安全應急演練，提升了全系統處置突發事件的能力。

嚴防死守，24小時值班。自7月20日起，市區兩級信息化部門進入奧運實戰狀態，每日投入24小時值守人員超過40人。截至9月20日，累計值守超過2300人日，形成了一支7×24小時在崗值守的應急隊伍，快速處理網絡事故4次，突發事件3次。

加強巡檢，保證設備設施運行狀態良好。7月20日至9月20日，各級信息化部門完成機房巡檢1900余次，完成重要設備設施巡檢140余次，維修維護服務器設備21臺次，維修維護PC機及打印機1973臺次。

加大信息安全投入，信息安全整體水平全面提高。據不完全統計，今年以來，全系統在信息安全專項建設方面投入超過210萬元，其中市局投入近120萬元，全面加強了中心機房、IDC托管機房、核心網絡、“北京工商”網站、防病毒和客戶端設備安全防范水平。

經驗

奧運期間信息安全保障的成功經驗，主要體現在以下三個方面：

（一）立足全面，核心是健全和落實各項制度。雖然，這幾年，在口令管理、數據管理、設備管理、網站安全等各方面先后制定發布了相應的制度。但是08北京奧運會給今年的信息安全保障工作提出了更高的要求，針對這一特殊情況，市局及時采取相應措施，健全和完善各項信息安全管理制度。一是下發了《北京市工商局關于加強信息安全保密工作的通知》，結合各分局實際情況進一步細化了相關制度要求。二是制定市局及各分局的奧運信息安全總體預案和專項預案。三是實行奧運期間24小時值守制度。

（二）突出重點，根本上控制風險。在信息風險控制上，提出了“重點先行，控制風險”的信息安全保障原則，將機房、網絡、網站、重要應用系統（登記注冊、食品安全、食品追溯、企業信用）列入重點保障范圍，對市局中心機房和IDC托管機房進行了專項改造，提高其環境運行水平和網絡保障能力。加強網絡的安全監管。完成重要業務系統的安全定級、風險評估和整改加固。“七管其下”加強“北京工商”網站和“首都食品安全”網站的安全防護能力。在奧運前“北京工商”網站全面改版，網站安全具備堅實的底層環境。整合分局二級站點，納入市局整體監控。部署多項主動安全防護產品。首次使用網頁防篡改產品。后臺登錄集成CA電子證書認證。我們在后臺集成了CA電子證書（USB Key）登錄驗證技術，給每個內容維護人員都配發一個硬件KEY，通過CA電子證書的硬件唯一性以及不可抵賴性，提高了信息安全，即使出現問題，也能夠準確定位信息發布者。主動掃描網站漏洞并進行修補。在奧運期間，中心實行7x24小時值守制度，檢查外網是否正常運行是值守的重要內容。同時還聘請第三方公司，由三名專人分三班，人工監控網站，每30分鐘訪問一次首頁面和三十多個二級頁面（包括整合后的分局頁面）。如果發現無法訪問或延遲訪問或頁面信息異常增減的情況，將立刻通過電話、短信和郵件的方式通知中心。

（三）注重細節，關鍵是嚴格程序，不留死角。信息安全工作是不允許有一絲馬虎的。提高巡檢頻率，保證信息化設備始終處于良好的工作狀態。加強信息安全演練，針對可能發生的信息安全事件進行反復推演，對每一個環節、細節進行測試，既驗證了應急預案的可操作性，也提高了信息化隊伍的實戰水平。細化了對區縣分局的業務指導。

啟示

在全系統信息化部門的共同努力下，北京市的奧運信息安全保障工作圓滿完成，實現了奧運和殘奧期間零事故的目標。這得益于各項技術手段的實施，更得益于各項管理制度的落實。第一：“發展和安全并重”是搞好政府信息化建設的重要原則。對于現代化的首都工商來講，計算機網絡系統是生命線，保護工商業務和政務管理數據以及網絡系統的正常運行，才能使工商行政管理工作得以持續不斷地開展，因此信息和網絡安全防范是信息化建設發展到一定階段后的一個重要任務，要繼續堅持“一手抓發展，一手抓安全”的電子政務建設思路。第二：加強信息安全預案和演練是做好信息安全工作的重要法寶。信息安全應急預案和演練制度要根據實際情況不斷調整，實現常態化，作到更細、更實、更具操作性。第三：“大安全”是解決網絡安全問題的根本手段。網絡和信息安全涉及方方面面。不僅有技術因素，還包含管理因素；不僅包括硬件安全，還涉及軟件安全；不僅要做好單一系統的安全，更重要的是實現整體安全。建設“大安全”，就是統一籌劃全系統網絡安全架構，建立包含網絡物理安全、訪問控制安全、系統安全、用戶安全、信息加密、安全傳輸和管理安全在內的整體安全體系。第四：引進外智，是提高信息安全水平的重要措施。這次奧運信息安全保障，通過與專業信息安全公司的合作，及時發現問題，彌補漏洞，極大地提高了工商系統信息安全防范和處置能力。今后，將繼續探索這一方式，建立信息安全戰略合作機制，引入專業信息安全機構通過咨詢、建議、規劃和方案實施等多種方式為工商系統信息安全工作提供長期、完整、全面、高效的技術和智力資源支持，在等級保護安全評估、安全加固、人才培養和日常維護等方面進行合作。

（作者：北京工商經濟信息中心主任）

北京工商經濟信息中心隸屬于北京市工商行政管理局。信息中心主要負責研究擬定北京市工商行政管理局信息化工作方針、發展規劃、相關政策和管理制度；組織協調重大信息工程項目的建設，以及市局信息系統及相關軟、硬件的運行維護和北京工商”網站建設管理和維護；負責工商行政管理統計工作及統計信息發布等。

隨著信息技術在首都工商部門的廣泛應用，網絡和信息系統已經成為開展工商行政管理業務的神經中樞，信息安全保障工作變得越來越重要。在奧運期間，信息中心主要負責奧運會期間信息安全，確保網絡和信息系統萬無一失。