政务信息安全制度

1 / 5 政务信息安全制度 我国电子政务建设已经步入了深化应用阶段。应用与安全是一对矛盾，电子政务的深化应用与安全管理必须并举，不可偏重。如何在电子政务深化应用的同时建立起相应的信息安全管理体系，保证应用与安全的协调发展？这些都是摆在目前中国电子政务工作者面前的重要课题。 在刚刚结束的 “2015 第三届中国电子政务高峰论坛 ” 上，工业和信息化部副部长杨学山指出，作为 设的重中之重和关键信息的重要承载组织，电子政务要向着全流程、全覆盖、全业务的方向走。我们如何使应用系统更加成熟稳定？如何使信息资 源更加集成优化？网络系统更加适用和可靠？电子政务中的信息安全保证是电子政务建设的当务之急。 之所以着力发展信息安全，是因为在电子政务建设初期在很大程度上是 “ 摸着石头过河 ” ，缺乏明确的策略对其进行指导。系统大都是采用开放式的操作系统和网络协议，存在着先天的安全隐患。随着电子政务建设的逐步推进，政府门户网站所承载业务的数量在逐步增加，网站被入侵或篡改所带来的危害将不仅仅限于 “ 政府形象 ” 的损害，甚至能会造成巨大的经济损失，或者严重的社会问题。 系统测评 制度保证 河北省工业和信息化厅 副厅长段润保谈到，电子政务2 / 5 深化应用在工作中得到了加强，网上审批可能达到了 50%，重要的数据就不能上了，因为确保不了安全。今天达到 100%，全社会的老百姓都来网上了，安全更不能保证。所以，各方面的强度肯定要增强，原来的软件就没有做软件测评，现在不行，必须要做。随着应用面越来越广，深度越来越深，使用频率越来越高。我们很多电子政务领域都用上了，上班就得用这个东西，像海关一样。 段润保还提到，河北的现状应该说不容乐观，到省级还比较好一些，到市勉强，到县就不行了。最近查的 800 余个网站，非常高的比例存在安全 隐患，漏洞、信息泄漏，这样的问题有很多，非常严峻。年年抓还是这个情况，内网当然要好一些。内网有一个安全测评，有什么问题可以整改。在这样的问题下我们怎么样推进电子政务深化，确实要从制度要求。出了问题谁负责？有的时候没有制度，规范，所以说第二个问题是信息安全来保证电子政务的深化研究，基本的制度，比如说风险评估，你建了这个系统以后效果怎么样。等级保护制度，那是国家强制的，必须要这么做。 说是安全，实际上也有很多制度。这个系统按时升级了，口令 8 位以上，做复杂了他也不好破。很多制度是有，但是不执行，比如应该 是一个星期升级，结果一个月也不升级，漏洞就有了。要建立新的制度，旧的制度也要不断完善，这样才能发展。 3 / 5 明确责任 体系建设 国土资源部信息中心总工顾炳中指出，安全是一种责任，要明确安全的责任。划分政治界限，规定政治红线在哪儿。在不碰红线的前提下，我们来做我们的事情，所以必须满足红线。政策的安全红线是什么？国家的安全 17859 分级保护，强调的就是适度安全，安全不是绝对的。分级保护的原则指导下， 23 号文件，分级的改造，等级保护按 43 号文进行公安部的 要求保护。这样的事情做下来是有一个基本要求，再出事不承担失职的责任。 这样是不是就是安全了？绝对不够。安全跟我们现在的规定，相关部门的规定还有一定的差距，安全应该是一个理念，应该贯穿到整个信息系统规划、设计、实施、运维全过程。政策红线只是规避了常发生的信息安全问题。包括现在的风险评估，风险评估有用吗？基本没太大的用。因为他说有漏洞，有漏洞不等于事实，不等于信息就不安全。漏洞多了，我们写代码可能有 8 个漏洞在里面，没有人检查，漏洞是永恒的，病毒也是永恒的。我们必须把安全作为一个理念，从规划和实施当中贯 彻，采取自己切实可行的手段来保证安全。重要的数据我有方法备份，重要的信息系统我有方法检查，采用一系列的手段来进行保护。 分级保护 风险评估 公安部第一研究所安全系统测评中心技术部主任秦4 / 5 超指出，电子政务与安全的直接关系， 08 年出台了一个文件，08 年起，国家发改委批准的项目必须经过风险评估和安全测评，这是与电子政务最直接相关的测评报告。 08 年奥运在一些单位检查当中发现很多领导都很重视。信息安全很重要，他们就会很谦虚的问网站怎么弄？怕攻击了，有什么办法？外网系统固然很重要，他们怕产 生社会影响，怕丢面子。但是内网也很重要，内部最容易是作为堡垒被攻破。我们要重视内网的安全，一个是要加强审计。怎么处理好安全应用的关系？等级保护就是最好的方法，最好的是适度安全。我们的电子政务信息系统很庞大，如果把有限的财力，人力集中到信息系统上就要定级。有些单位说定了三级怎么实现？每个系统由一些小系统来组成，小系统划成核心区域，非核心区域，根据你自己的需要来采取安全措施。分级保护是把复杂的系统简单化，我们是从两个角度定义的，一个是按保密性，还有一个是可控性，两个组合形成最后的安全等级高低。 在安全 保护过程中强调的是安全管理。我们强调的是建立一大堆制度，但是没有相应的机构，相应的人员来落实。领导兼职会拿它当工作做吗？我已经发现了一个规律，一个单位如果有相应的实权机构来负责这个事，一般这个单位的安全系统都是有秩序的。一些单位在技术方面确实不够专业，可以选择外包，但是要选择可靠的是要以运营单位来保5 / 5 证。 大家都普遍认识一点，安全是一个周期性的工作，漏洞是不断的被挖掘出来的， 发布之前，微软说 有漏洞，但是发布之后他说漏洞很小。所以要不断的对信息系统进行审计评估，对于三级 系统一年要检查测评一次，四级系统要半年检查一次。 尽管电子政务代表