提高各级政府机关电子政务信息安全保障能力
工业和信息化部电子科学技术情报研究所
电子政务的核心内容是将政府的管理和服务借助于信息技术手段进行综合集成,实现更高效、更廉洁务实的行政管理和服务。电子政务作为各级政府机关有效决策、管理、服务的重要手段,涉及对国家机密和敏感度高的核心政务信息的保护,涉及维护社会公共秩序和行政监管的准确实施,涉及为企业和公民提供公共服务的质量保证。信息安全保障是电子政务正常开展服务的前提和基础,信息安全建设是政府机关电子政务建设中不可缺少的重要组成部分。电子政务网络与信息系统安全稳定运行是金关、金税、金盾、金审、社会保障、医疗卫生等国家重要业务信息系统持续开展关系国计民生公共服务的重要前提;网络与信息安全不仅关系到电子政务的健康发展,而且已经成为国家安全保障体系的重要组成部分。缺乏安全保障的电子政务信息系统,不可能实现真正意义上的电子政务。
《国家电子政务“十二五”规划》(以下简称《规划》)明确指出,电子政务依托的信息技术手段发生了重大变革,超高速宽带网络、新一代移动通信、云计算、物联网等新技术、新产业、新应用不断涌现,深刻改变了电子政务发展的技术环境及条件。因此,加强对电子政务中信息安全发展现状和问题的认识了解,完善信息安全保障体系,努力提高各级政府机关电子政务信息安全保障能力,对于落实《规划》提出的各项工作要求,促进电子政务的健康快速发展,具有重要意义。
一 政府机关电子政务信息安全保障能力发展现状和存在问题
近年来,在党中央、国务院的领导下,在各个部门、各个地区的共同推动下,电子政务安全保障取得了明显成效,管理制度逐步建立,标准规范逐步完善,安全防护措施得到加强,安全可控水平得到提升。
(一)发展现状
1.信息安全组织机构有序建立
根据国家信息化领导小组出台的《关于加强信息安全保障工作的意见》(中办发 [2003] 27号)和《关于加强党政机关计算机信息系统安全和保密管理的若干规定》(国保发 [2007] 13号),以及《国务院办公厅关于加强政府信息系统安全和保密管理工作的通知》(国办发 [2008] 17号)等文件要求,国务院各部委以及各地政府大多都明确了主管领导,分管政府信息系统信息安全管理工作;指定了具体机构承担信息安全管理工作,政府信息系统信息安全组织机构逐步建立起来。据了解,国务院绝大多数部门都明确了信息安全工作的分管领导和信息安全专职工作机构。
2.信息安全管理制度化建设加速推进
根据国家有关政策规定,国务院各部委结合工作实际,绝大多数都制定了专门的信息安全管理制度,普遍建立了重要岗位信息安全和保密责任制度、人员离岗离职信息安全管理制度、资产管理制度、设备维修维护和报废管理制度与外部人员访问机房等重要区域审批制度。各级地方政府也在国家政策的指导下,积极行动,根据自身实际,逐步建立了信息安全工作的有关规章制度,包括信息安全责任制度、保密管理相关制度等。
3.技术防范水平稳步提高
国务院各部委与各地政府部门重视信息系统的信息安全技术防范工作,大多数政府信息系统采取了技术防护措施;大部分政府机构从自身信息安全需求出发加强了技术防护,在互联网接入口安装了防火墙和入侵检测设备,留存了互联网访问日志,设置了终端接入互联网安全信息提示,使用了第三方数字证书系统等一系列技术防范措施。
4.信息安全应急工作机制逐步建立
随着电子政务建设工作的推进,政府信息系统信息安全应急工作机制建设也取得了较大成效。2008年,国务院办公厅发布《关于印发国家网络与信息安全事件应急预案的通知》(国办函 [2008] 168号),指导中央部委及各地政府加强了信息安全应急工作,各级政府机构相应制定了本级网络与信息安全应急预案,指定了信息安全应急技术支援队伍,开展了信息安全应急演练,对涉及电子政务的重要服务器和网站采取了备份措施。
5.安全检查工作持续开展
按照《国务院办公厅关于印发〈政府信息系统安全检查办法〉的通知》(国办发 [2009] 28号)要求,国务院各部门自2009年起,每年组织开展政府信息系统安全检查,对各部门信息系统进行检查,掌握信息安全总体状况,发现存在的主要问题和薄弱环节,进一步健全信息安全管理制度,完善信息安全技术措施,提高信息安全防护能力。各地政府也积极贯彻落实国务院办公厅的通知精神,普遍开展了地方政府信息系统安全检查工作,提高了信息安全保障水平。
(二)存在问题
电子政务信息安全保障能力建设取得一定的成效,但客观分析比较,信息安全总体保障能力还相对薄弱,主要存在如下问题:
1.相应法规和标准还须进一步完善
我国电子政务信息安全相关法律法规仍存在空白,电子政务安全标准和技术规范亟须补充完善。政府部门信息安全基本要求、政府部门使用信息技术外包服务等标准规范需尽快出台制定。
2.信息安全管理还须进一步加强
我国信息安全管理普遍滞后于信息化建设,电子政务信息安全管理亟待加强。组织管理还不完善,少数政府机构安全管理任务没有落实到人,没有明确责权;管理规范、制度还不完善,政府部门信息技术外包服务安全管理规范制度还有待建立;技术管理不到位,大多数政府机构只考虑了防火墙、防病毒等基本技术安全措施,并没有提高到系统管理的高度;日常管理还存在一些漏洞,计算机的日常使用,信息保存、流转、归档都存在不同程度上的漏洞。
3.信息安全防护水平还有待进一步提高
当前政府信息系统的整体安全技术防护水平不高,难以抵御高强度的网络攻击。政府网站安全技术防护存在薄弱环节,不少政府网站(含子网站)存在高风险漏洞,没有部署相关防护设备,易被篡改或被植入网站后门;还有一定比例的服务器、网络设备、终端计算机具有高危风险漏洞,存在被病毒木马感染现象。据CNCERT统计,2011年,中国大陆地区政府网站被篡改数量各月累计为2807个,其中包括部分省部级政府网站;有超过1000个政府网站被植入网站后门;还有多家省部级政府网站遭受流量转嫁攻击。政府网站整体安全性差,缺乏必要的经常性维护,易遭攻击、篡改或被挂马,不但对电子政务服务产生不良影响还给政府形象、权威和公信力带来负面影响。
4.信息安全风险评估与测评体系还有待完善
随着新技术和新产品的应用以及电子政务建设的不断深入,电子政务信息安全测评工作面临许多挑战。符合我国实际的政府信息系统信息安全风险评估和评价体系还有待完善。
5.信息安全应急工作有待进一步推进
政府信息系统的信息安全应急体系业已建立,但有待进一步发挥作用,尤其是应急预案的针对性、有效性有待提高;灾难备份、应急演练仍需加强,灾难恢复能力有待提升。
二 提高政府机关电子政务信息安全保障能力的思路和目标
(一)基本思路
1.整合资源,统筹发展
在《规划》的指导下,横向整合各地区、各行业信息安全保障资源,纵向统筹各级政府信息安全保障力量,将分散的资源、力量发展成信息安全体系防护能力,形成电子政务信息安全保障整体合力。
2.积极防御,综合防范
加强信息安全预警监测,积极从被动防护变为主动防护,同步规划、同步建设、同步运行安全防护设施,强化技术防范,严格安全管理,切实提高电子政务信息安全防护水平。
3.适应形势,科学发展
探讨新一代移动通信技术、云计算、物联网等新技术在电子政务中的应用,积极改变信息安全保障现状,适应电子政务应用模式不断发展的新形势,有效解决新技术应用产生的新问题,推动电子政务快速而安全地发展。
(二)主要目标
电子政务信息安全管理制度全面健全,有关政府部门信息安全标准体系成型,信息安全检查、风险评估与外包服务安全管理实现制度化、规范化;信息安全防护措施不断完善,安全防护能力有效提高,信息安全防护体系进一步完善。
三 提高政府机关电子政务信息安全保障能力需要开展的重点工作
(一)加强电子政务安全顶层设计
着眼下一代互联网、移动互联网、云计算等新技术新应用,加强电子政务安全的前瞻研究,加快制定电子政务信息安全保障的相关规划,切实落实信息安全与电子政务同步规划、同步建设、同步运行的“三同步”的要求,统筹规划、资源共享。贯彻落实《关于大力推进信息化发展和切实保障信息安全的若干意见》,制定完善相关管理和技术规范,研究制定政府信息安全管理办法、政府部门信息安全管理基本要求等法规标准,为开展电子政务安全保障提供依据。
(二)加强信息安全教育培训
提高各级政府机关工作人员及专业技术人员的信息安全意识和基本技能,是提高电子政务安全水平的重要途径。按照分级分类的原则,有针对性地对机关领导干部、工作人员和信息安全人员进行相应的培训。在各级党校、行政学院增加相应的信息安全教学内容,提高领导干部对信息安全重要性的认识。通过集中培训、编发材料、案例宣传等形式,提高机关工作人员的信息安全意识和基础技能。建立专业培训教材体系和教学体系,逐步推进信息安全专业人员持证上岗制度,切实提高信息安全专业人员的政策水平和技术能力。
(三)加强信息安全检查和风险评估
开展信息安全检查和风险评估,是发现问题、排查隐患、促进工作的有效手段。按照国务院要求,每年重点要对信息安全制度落实、安全防护措施落实、应急响应机制建设、安全教育培训、安全隐患排查及整改等方面情况进行检查。要完善信息安全检查相关标准规范,加快制定政府信息安全检查实施指南、政府信息安全检查评估指标体系、政府信息安全解决方案指南等相关规范。要建立信息安全检查管理平台,为各级机关开展信息安全检查、汇总分析检查结果、研究分析信息安全态势提供自动化手段和技术支撑。
(四)加强电子政务安全技术防护
在完善安全防护措施的基础上,重点抓好以下几个环节:一是计算机终端;二是移动存储介质;三是网站系统;四是边界防护。
1.计算机终端安全管理
实施统一安全配置和集约化管理,规范软件和硬件安装,建立统一的补丁升级和病毒防护机制,强化授权管理和安全审计,禁止非法外联和外部终端非授权接入。要关注移动办公终端及云服务背景下虚拟终端的安全管理问题。
2.移动存储介质安全管理
主要是防止移动存储介质在不同安全保密要求的设备之间的交叉使用问题。
3.网站系统安全管理
完善网站的防病毒、防攻击、防篡改措施,强化邮件系统安全管理,加强网站信息发布、远程稿件处理等应用软件的安全漏洞检测。同时,建立政府网站开办审核、统一标识、假冒政府网站监测和举报制度,打击假冒政府网站的行为。
4.互联网接入安全管理
主要是加强互联网接入口的管理,归并减少互联网接入口数量,优化完善互联网接入口安全防护措施,强化身份认证、访问控制、入侵防范、安全审计、流量监测、恶意代码检测、灾难备份等技术手段和措施,逐步融合形成一个预警监测、态势感知体系,构建电子政务安全防护的第一道屏障,有效防范网络攻击、域名劫持、网页篡改、僵尸木马等安全事件。
(五)加强外包服务安全管理
加强外包服务安全管理是保证电子政务运行安全的重要环节,是防止电子政务重要敏感信息泄露的重要举措。2011年,工业和信息化部发布了《政府部门信息技术外包服务机构申请信息安全管理体系认证安全审查程序(暂行)》,要求为政府部门提供外包服务的机构申请信息安全管理体系认证时,如果认证范围涉及政府信息,应经工业和信息化部审查同意,目前正在推动实施。下一步,应研究制定政府部门信息技术外包服务管理办法,重点是按照国家信息安全政策要求规定,对服务机构的资质条件、服务能力、服务水平进行相应审核,对服务机构提供相应的信息安全和保密要求,对于远程维护、现场维护等实施严格有效的监督等。
(六)加强信息安全产品测评与认证
重点要加强信息安全产品认证认可工作。信息安全产品认证是我国信息安全保障体系建设的一项基础性工作,也是加强新形势下信息安全保障工作的一项制度性安排。要严格执行国家质检总局、财政部、国家认监委《关于调整信息安全产品强制性认证实施要求的公告》(2009年第33号)的相关要求,加强对防火墙、网络安全隔离卡与线路选择器、安全隔离与信息交换、安全路由器、智能卡COS、数据备份与恢复、安全操作系统、安全数据库系统、反垃圾邮件、入侵检测系统、网络脆弱性扫描、安全审计、网站恢复13种产品的认证认可,在政府采购法所规定的范围内实行强制性认证,未获得中国信息安全认证证书的产品,不得进入政府采购目录。
(七)进一步落实政府信息系统信息安全等级保护工作
落实信息安全等级保护各项要求,在电子政务项目规划设计、建设、验收和运维等各个环节加大等级保护工作力度。按照国家等级保护和涉密信息系统分级保护的有关要求,建立完善等级保护工作机制,落实涉密信息系统分级保护制度,进一步明确和细化涉密信息系统的使用规范与管理要求。
作者:
刘九如 工业和信息化部电子科技情报研究所副所长