讓電子政府“固若金湯”

王傳斌

電子政務作為國家信息化戰略重要組成部分，具有先導和示范作用，其信息安全保障事關經濟發展、國家安全、社會穩定、公眾利益和社會主義精神文明建設。如果電子政務信息安全得不到保障，電子政務的便利與效率便無從保證。

對于進一步提高信息安全的保障能力和防護水平來說，實行信息安全等級保護無疑是一種好的方法，因為它能充分調動國家、法人和其他組織及公民的積極性，增強安全保護的整體性、針對性和實效性，使信息系統安全建設重點更加突出、規范，更加統一。

但是，電子政務重在政務，由于政務部門的職能不同，信息系統的結構、功能和安全要求也不盡相同，信息安全等級保護工作的側重點也不同。然而從總體上來說，都需要做好以下幾點：

落實好“四個把握”

把握等級保護的建設進程。按照等級保護程序規定，做好定級、備案、整改、評測與監管工作。

把握等級劃分的合理性和準確性。要認真分析電子政務系統在國家安全、經濟建設、社會生活中的重要性程度，即電子政務系統遭受破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素，合理準確地確定系統安全等級。具體來說，安全等級的確定要根據信息系統的綜合價值和綜合能力保證的要求不同以及安全性被破壞造成的損失大小，綜合考慮信息系統的經濟價值、社會價值以及信息服務的服務范圍和連續性。

把握好不同等級的基本安全要求。基本要求是針對不同安全保護等級信息系統，應該具有的基本安全保護能力提出的安全要求。例如：第三級信息系統要具有抵御來自外部組織的惡意攻擊能力和防內部人員攻擊能力，不僅要對安全事件有審計記錄，還要能追蹤與響應處理，要實現多重保護制度。

把握好基本技術要求和基本管理要求。基本技術要求包括物理安全、網絡安全、主機安全、應用安全與數據安全等方面。基本管理要求是通過控制信息系統中各種角色參與的活動，包括安全管理機構、安全管理制度、人員安全管理、系統建設管理、系統運維管理等方面，從政策、制度、規范、流程以及記錄等方面做出規定。對于電子政務系統要特別關注基礎設施監控與管理、網絡安全監控與管理、業務應用系統的監控與管理、應急響應與備份恢復管理。

引入風險評估機制

信息安全等級保護必須樹立風險管理的思想，而風險評估是風險管理的基礎，因此，三級以上電子政務系統必須定期進行信息安全風險評估。風險評估貫穿于等級保護周期的系統定級、安全實施和安全運維三個階段：

系統定級。由于不同的電子政務系統具有自身的行業和業務特點，且所受到的安全威脅均有所不同。因此，可以依據信息安全風險評估國家標準對所評估資產的重要性、客觀威脅發生的頻率、系統自身脆弱性的嚴重程度進行識別和關聯分析，判斷信息系統應采取什么強度的安全措施，然后將安全事件一旦發生后可能造成的影響控制在可接受的范圍內。即將風險評估的結果作為確定信息系統安全措施的保護級別的一個參考依據。

安全實施。安全實施是根據信息安全等級保護國家標準的要求，從管理與技術兩個方面選擇不同強度的安全措施，來確保建設的安全措施滿足相應的等級要求。風險評估在安全實施階段就可以直接發揮作用，那就是對現有電子政務系統進行評估和加固，然后再進行安全設備部署等。在安全實施過程中也會發生安全事件并可能帶來長期的安全隱患，如安全集成過程中設置的超級用戶和口令沒有完全移交給用戶、防火墻部署后長時間保持透明策略等都會帶來嚴重的問題，風險評估能夠及早發現并解決這些問題。

安全運維。安全運維是指按照系統等級進行安全實施后開展運行維護的安全工作。安全運維包括兩方面：一是維護現有安全措施等級的有效性。二是根據客觀情況的變化以及系統內部建設的實際需要，對等級進行定期調整，以防止過度保護或保護不足。在安全運維的過程中，通過信息安全風險評估工作可以對已有信息系統的安全等級保護情況進行評估，依據已確定等級的相關保護要求，對系統的保護效果、潛在風險進行評價，評估是否達到等級保護的要求；當信息系統或外部環境發生變更時，可以通過風險評估工作了解和確定風險的變更，為再次定級和等級保護措施的調整提供依據。

建立有效的信息安全管理組織

信息安全管理組織是建立信息安全保障體系，做好信息安全等級保護工作的必要條件。當前很多政務部門的信息安全工作均有信息化部門兼任，沒有足夠的權威性。等級保護工作的開展，要求在組織內部建立信息系統安全方面的最高權力組織，并有明確的安全目標，目的是在管理層的承諾和擁有足夠資源的情況下開展信息安全工作。因此，建立有效的信息安全管理組織必須明確以下內容：

要遵循分權制衡原則。制度的建立、制度的執行、執行情況的檢查與監督要分開考慮。在目前的等級保護測評工作中，時常發現有系統管理員、網絡管理員、安全員與審計員兼任的情況，甚至一人包攬所有的信息系統運維工作。但從等級保護的基本要求來看，依據分權制衡的原則，建議在電子政務系統中，系統管理員與審計員不得兼任，審計員不能從事所有日常信息的維護與管理工作，系統管理員不能從事審計日志的查看與處理工作。

要堅持從上而下的垂直管理原則。上一級機關信息系統的安全管理組織指導下一級機關信息系統的安全管理組織的工作，下一級機關信息系統的安全管理組織接受并執行上一級機關信息系統的安全管理組織的安全策略。

應常設信息系統安全管理組織辦公機構，負責信息安全的日常事務工作。信息系統安全管理組織應由系統管理、系統分析、軟硬件維護、安全保衛、系統稽核、人事與通信等有關方面的人員組成。

信息安全管理組織部門不能隸屬于技術部門或運行部門，各級信息系統的安全組織不能隸屬于同級信息系統管理和業務機構。信息安全管理組織部門只有不隸屬于技術或運維部門，才能站在較高的層次上制定信息安全的整體框架與策略、有效的處理安全事件，啟動應急預案。

安全管理組織中領導層的負責人應由單位主管領導出任，并由業務分管領導與信息化分管領導共同組成。筆者在近幾年的等級保護測評工作中體會到一點，等級保護工作開展得是否有成效，與單位領導的重視程度密切相關。等級保護工作中涉及到的安全方案設計、安全設備的添置、物理環境的改善、人員的配備等各項工作都離不開單位領導的支持。

（作者單位：浙江省電子信息產品檢驗所）endprint