從去年10月開始，國務(wù)院信息化工作辦公室在廣東、河南、天津、重慶四個省市開展了電子政務(wù)信息安全試點(diǎn)。經(jīng)過近一年來的試點(diǎn)工作，摸索出了哪些電子政務(wù)信息安全保障的方法?哪些經(jīng)驗(yàn)值得借鑒?近日，國信辦在河南省濟(jì)源市召開了電子政務(wù)信息安全試點(diǎn)總結(jié)暨現(xiàn)場交流會，對這些問題給予了回答。 

　　今年8月份，濟(jì)源市委書記周春艷因公去歐洲出差，走時她帶上了筆記本電腦和自己的電子鑰匙，在北京首都機(jī)場候機(jī)時，她通過互聯(lián)網(wǎng)登錄了濟(jì)源之窗電子政務(wù)網(wǎng)站，打開了政務(wù)網(wǎng)絡(luò)的平臺，繼續(xù)她忙碌的公務(wù)處理。到了英國后，在酒店，她接入了國內(nèi)的電子政務(wù)網(wǎng)，開始她還有些擔(dān)心和懷疑，但后來她非常驚奇地發(fā)現(xiàn)，她不僅打開了濟(jì)源的電子政務(wù)平臺，并且看到了市領(lǐng)導(dǎo)當(dāng)周的工作活動安排，當(dāng)她發(fā)現(xiàn)某個安排有些問題時，就馬上通過這個政務(wù)平臺給相關(guān)人員回了一個消息，讓他對這個方案進(jìn)行補(bǔ)充和完善，就好像在濟(jì)源本地一樣。真正的移動電子政務(wù)辦公就這樣在異國他鄉(xiāng)安全地實(shí)現(xiàn)了，這可謂是當(dāng)今中國政府工作方式改變的一個創(chuàng)舉。

　　事實(shí)上，周春艷書記利用的電子政務(wù)平臺是濟(jì)源市借國信辦在濟(jì)源開展電子政務(wù)信息安全試點(diǎn)之機(jī)建設(shè)起來的基于互聯(lián)網(wǎng)的電子政務(wù)系統(tǒng)。

　　試點(diǎn)意義重大

　　10月16日，國務(wù)院信息化工作辦公室在河南省濟(jì)源市召開了“電子政務(wù)信息安全試點(diǎn)總結(jié)暨現(xiàn)場交流會”，對從2005年10月份開始的電子政務(wù)信息安全試點(diǎn)進(jìn)行了全面的總結(jié)。與會領(lǐng)導(dǎo)和專家一致認(rèn)為，這次試點(diǎn)工作非常及時、非常必要，試點(diǎn)工作取得了成功，取得的經(jīng)驗(yàn)值得推廣。

　　國務(wù)院信息化工作辦公室曲維枝常務(wù)副主任充分肯定了各試點(diǎn)的工作:“這次電子政務(wù)信息安全試點(diǎn)針對電子政務(wù)信息安全保障中的一些重大問題進(jìn)行了認(rèn)真的探索，各試點(diǎn)都摸索出了一些非常有價值的經(jīng)驗(yàn)，試點(diǎn)取得了圓滿的成功?！?/p>

　　國務(wù)院信息化工作辦公室網(wǎng)絡(luò)與信息安全組王渝次司長表示:“電子政務(wù)是我們國家信息化建設(shè)的重點(diǎn)，是國家信息化建設(shè)的龍頭，而隨著信息化建設(shè)、電子政務(wù)建設(shè)的推進(jìn)，信息安全的問題日益突出。為了解決電子政務(wù)信息安全這一迫切需要解決的問題，國信辦領(lǐng)導(dǎo)非常重視，組織進(jìn)行了此次試點(diǎn)，試點(diǎn)工作的意義重大?！?/p>

　　的確，對電子政務(wù)信息安全工作采取試點(diǎn)的方式源自國家對電子政務(wù)的重視，以及電子政務(wù)安全是一個新興的課題，需要在不斷的實(shí)踐中摸索經(jīng)驗(yàn)，才能真正實(shí)現(xiàn)電子政務(wù)的信息安全。

　　隨著我國改革開放和社會主義現(xiàn)代化建設(shè)的進(jìn)一步推進(jìn)，電子政務(wù)建設(shè)已經(jīng)廣泛開展，20世紀(jì)90年代初，國務(wù)院有關(guān)部門相繼建設(shè)了一批業(yè)務(wù)系統(tǒng)，“金關(guān)”和“金稅”工程都取得顯著成效，辦公自動化、政務(wù)信息化也取得較大的成績。但從總體上看，電子政務(wù)建設(shè)還存在著很多問題:網(wǎng)絡(luò)建設(shè)各自為政，重復(fù)建設(shè);業(yè)務(wù)系統(tǒng)水平低，應(yīng)用和服務(wù)領(lǐng)域窄;信息資源開發(fā)利用滯后，互聯(lián)互通不暢，共享程度低;標(biāo)準(zhǔn)不統(tǒng)一，安全隱患的問題更是嚴(yán)重。

　　進(jìn)入21世紀(jì)，電子政務(wù)的建設(shè)已經(jīng)成為今后一個時期我國信息化工作的重點(diǎn)，政府先行，帶動國民經(jīng)濟(jì)和社會發(fā)展信息化，同時加快政府職能的轉(zhuǎn)變，提高行政質(zhì)量和效率，增強(qiáng)政府監(jiān)管和服務(wù)能力，促進(jìn)社會監(jiān)督，實(shí)施信息化帶動工業(yè)化的發(fā)展戰(zhàn)略，因此，電子政務(wù)意義重大，電子政務(wù)的信息安全更是重中之重。

　　“電子政務(wù)信息安全關(guān)系到國家的安全、社會的穩(wěn)定，是電子政務(wù)建設(shè)中的首要問題，如果處理不好，甚至?xí)绊懙诫娮诱?wù)建設(shè)?！眹呸k專家曲成義表示。

　　正因?yàn)槿绱?，在今年中辦下發(fā)的《國家信息化領(lǐng)導(dǎo)小組關(guān)于推進(jìn)國家電子政務(wù)網(wǎng)絡(luò)建設(shè)的意見》(簡稱中辦發(fā)[2006] 18號文件)中，將電子政務(wù)安全建設(shè)，作為電子政務(wù)建設(shè)的四項(xiàng)重要任務(wù)之一。

　　為了深入探索總結(jié)不同模式下的電子政務(wù)的信息安全保障方法，探討解決電子政務(wù)信息安全建設(shè)和管理中出現(xiàn)的一些共性問題，去年10月，國信辦就下發(fā)了《關(guān)于開展電子政務(wù)信息安全試點(diǎn)的通知》，決定在廣東、河南、天津、重慶四個省市開展電子政務(wù)信息安全試點(diǎn)工作。

　　對于此次試點(diǎn)工作，國信辦以及接到試點(diǎn)工作任務(wù)的各省市信息辦領(lǐng)導(dǎo)都高度重視，國信辦專家組先后多次到試點(diǎn)地區(qū)進(jìn)行調(diào)研，最終圓滿完成了試點(diǎn)目標(biāo)。

　　不同模式下的安全 

　　在選擇試點(diǎn)單位時，國信辦廣泛征求專家和各方面的意見，最終根據(jù)各地電子政務(wù)的不同特點(diǎn)，選擇了4個各具代表性的地區(qū)和網(wǎng)絡(luò)結(jié)構(gòu)，以便有針對性地發(fā)現(xiàn)問題并解決問題，形成經(jīng)驗(yàn)后，最終全面推廣。

　　河南是基于互聯(lián)網(wǎng)的集政務(wù)辦公與公眾服務(wù)為一體的電子政務(wù)信息共享與安全模式互動的互聯(lián)網(wǎng)的服務(wù)模式;廣東主要是探索全省省、市、縣(區(qū))三級電子政務(wù)系統(tǒng)的信息共享與互聯(lián)互通問題以及等級保護(hù)在電子政務(wù)信息安全建設(shè)過程中的可操作性;天津是構(gòu)建基于市電子政務(wù)專網(wǎng)統(tǒng)一的網(wǎng)絡(luò)信息保障體系，在系統(tǒng)當(dāng)中解決信息交互的暢通和安全問題，保障專網(wǎng)上各大機(jī)關(guān)電子業(yè)務(wù)安全;重慶是建立了數(shù)據(jù)大集中模式下的電子政務(wù)信息安全保障體系和垂直行業(yè)系統(tǒng)的安全管理模式。

　　由于是基于不同的電子政務(wù)模式，所以4個試點(diǎn)在信息安全的方法上也各有特點(diǎn)。

　　河南省濟(jì)源市在電子政務(wù)網(wǎng)絡(luò)的建設(shè)中，包括信息安全的建設(shè)中，沒有拉一條專線，也沒有建一個專網(wǎng)，完全是基于互聯(lián)網(wǎng)的，這也是此次試點(diǎn)中的一個新的嘗試。

　　“由于互聯(lián)網(wǎng)的安全隱患很大，所以在對待安全的問題上就更不能有一絲松懈，”河南省信息辦主任蘇福功表示，“濟(jì)源試點(diǎn)明確規(guī)定了涉密信息堅(jiān)決不能上網(wǎng)，并通過采用商用密碼技術(shù)和VPN技術(shù)，合理配置了具有防火墻功能的、不同檔次的VPN安全網(wǎng)關(guān)和VPN客戶端，以實(shí)現(xiàn)互聯(lián)互通和信息共享。”

　　與河南濟(jì)源基于互聯(lián)網(wǎng)的模式不同，天津試點(diǎn)是建立在天津市電子政務(wù)專網(wǎng)上的，將電子政務(wù)專網(wǎng)與涉密網(wǎng)進(jìn)行了物理隔離。

　　“我們將市政府辦公廳基于專網(wǎng)開展的國辦政府辦公業(yè)務(wù)網(wǎng)(機(jī)密級)從此次試點(diǎn)的系統(tǒng)中剝離出去，同時，對天津新技術(shù)產(chǎn)業(yè)園的與互聯(lián)網(wǎng)邏輯隔離的網(wǎng)絡(luò)進(jìn)行改造，將其電子政務(wù)部分單獨(dú)建設(shè)成園區(qū)電子政務(wù)系統(tǒng)，與互聯(lián)網(wǎng)物理隔離，并且與專網(wǎng)對接，這樣就形成了真正的電子政務(wù)專網(wǎng)?！碧旖蛐畔⒒k公室副主任余學(xué)林說，“在信息安全建設(shè)中，我們強(qiáng)調(diào)等級保護(hù)制度，運(yùn)用風(fēng)險評估的方法，堅(jiān)持技術(shù)與管理并重，并最終實(shí)現(xiàn)了統(tǒng)一網(wǎng)絡(luò)平臺上三個不同安全級別信息系統(tǒng)之間的互聯(lián)互通。”

　　重慶則針對電子政務(wù)數(shù)據(jù)大集中的模式，在重慶工商局和重慶市涪陵區(qū)建立了電子政務(wù)信息安全保障體系。

　　“我們在試點(diǎn)過程中，總結(jié)了一套系統(tǒng)工程實(shí)施的方法，這個方法是由‘三分析一篩選’和‘123Y立方’的方法組成?！敝貞c信息產(chǎn)業(yè)局副局長郭堅(jiān)說?！叭治鲆缓Y選”的方法是為了區(qū)分同屬數(shù)據(jù)大集中模式但處于不同發(fā)展階段的電子政務(wù)系統(tǒng)，主要方法是“依次分析數(shù)據(jù)特征、業(yè)務(wù)特征和應(yīng)用需求，然后篩選安全保障措施”。而將信息安全風(fēng)險評估的三個流程“資產(chǎn)識別”、“安全威脅分析”和“系統(tǒng)脆弱性評估”與電子政務(wù)信息安全等級保護(hù)的三個階段“進(jìn)行定級”、“規(guī)劃與設(shè)計(jì)”和“實(shí)施、驗(yàn)證與運(yùn)維”進(jìn)行嫁接，就是“123Y立方”的方法。

　　而廣東省的電子政務(wù)的基礎(chǔ)網(wǎng)絡(luò)建設(shè)比較好，這次試點(diǎn)強(qiáng)調(diào)的是省市縣電子政務(wù)系統(tǒng)的信息共享與互聯(lián)互通，但如果要在區(qū)縣級以下推廣電子政務(wù)就不僅是在專網(wǎng)上而要通過互聯(lián)網(wǎng)了。

　　“因?yàn)橐尤牖ヂ?lián)網(wǎng)，所以我們進(jìn)行了嚴(yán)謹(jǐn)?shù)娘L(fēng)險評估，并采用了在統(tǒng)一的互聯(lián)網(wǎng)入口部署IPSec VPN或者SSL VPN實(shí)現(xiàn)安全接入，同時對接入系統(tǒng)的邊界采用深度隔離和復(fù)雜訪問控制策略等多種措施，用以控制接入的風(fēng)險?！睆V東省信息產(chǎn)業(yè)廳副廳長鄒生說。

　　堅(jiān)持“適度保護(hù)”的做法

　　國信辦有關(guān)專家在會上發(fā)言表示:“試點(diǎn)只是探索電子政務(wù)信息安全建設(shè)的一種方式，為將來在全國的推廣積累經(jīng)驗(yàn)，所以我們不能為了試點(diǎn)而試點(diǎn)，更不能為了完成任務(wù)而試點(diǎn)，而應(yīng)該從自身的實(shí)際情況出發(fā)建設(shè)自己的電子政務(wù)及信息安全系統(tǒng)?！?/p>

　　相信正確的做法是應(yīng)該以實(shí)際應(yīng)用為導(dǎo)向，一切從應(yīng)用出發(fā)。電子政務(wù)建設(shè)的起點(diǎn)不是規(guī)劃和設(shè)計(jì)方案，而是行政審批制度改革的工具，是政府管理體制改革的需要，應(yīng)該是需要什么就建設(shè)什么，需要什么就使用什么。

　　信息安全建設(shè)更是如此，在對待安全的問題上，有的人認(rèn)為安全問題非?？膳?，結(jié)果在面對電子政務(wù)信息安全的建設(shè)上畏首畏尾;也有人抱著無知者無畏的態(tài)度一直向前沖?！笆聦?shí)上這兩種態(tài)度都是不行的，”國務(wù)院信息化工作辦公室網(wǎng)絡(luò)與信息安全組王渝次司長表示，“在進(jìn)行電子政務(wù)信息安全保護(hù)的設(shè)計(jì)時，應(yīng)該從應(yīng)用出發(fā)，從實(shí)際出發(fā)，從科學(xué)的角度出發(fā)，充分考慮到現(xiàn)有的安全保護(hù)基礎(chǔ)，合理利用現(xiàn)有的安全設(shè)備，做到適度保護(hù)，而不是過保護(hù)，這樣既可以滿足安全的需求也可以節(jié)省投入?！?/p>

　　事實(shí)上，安全只是應(yīng)用的保障，安全是為應(yīng)用服務(wù)的，并不是安全措施越多越好，不能為了安全而安全，應(yīng)該根據(jù)系統(tǒng)的安全等級采用適度安全，通過綜合防范，構(gòu)建有效的安全體系，使得電子政務(wù)既安全又好用。

　　現(xiàn)在，信息安全方面確實(shí)存在著很多隱患，尤其是基于互聯(lián)網(wǎng)來做的電子政務(wù)系統(tǒng)，那么風(fēng)險則更大。但是我們可以在綜合考慮系統(tǒng)的風(fēng)險、需求與保護(hù)成本的前提下，增加必要的技術(shù)手段，通過安全等級和安全域的劃分，對不同等級信息系統(tǒng)和安全域的安全保護(hù)采取管理與技術(shù)相結(jié)合的手段，實(shí)現(xiàn)適度的安全保障，提高信息系統(tǒng)的整體防御能力。

　　所以，“信息安全等級保護(hù)是電子政務(wù)安全建設(shè)中的重點(diǎn)。”公安部十一局副局長趙林說。

　　“等級保護(hù)”是基礎(chǔ)

　　不同的電子政務(wù)應(yīng)用系統(tǒng)的安全等級不同，同一電子政務(wù)應(yīng)用系統(tǒng)中的安全等級也有高有低，一旦被破壞后的影響也是不盡相同的，所以從實(shí)際出發(fā)，綜合平衡安全成本和風(fēng)險，實(shí)施分級分域的等級保護(hù)是必要的選擇。

　　河南在濟(jì)源的試點(diǎn)中，在堅(jiān)持適度安全綜合防范的基礎(chǔ)上，構(gòu)建了一體化基于互聯(lián)網(wǎng)電子政務(wù)分級防護(hù)的安全保障體系，深人地探索了等級保護(hù)的實(shí)用性和可行性。濟(jì)源試點(diǎn)采用了“等級保護(hù)、分域防護(hù)”的方法，在風(fēng)險分析的前提下合理定級，并進(jìn)行了分域防控和分級防護(hù)。

　　而具體又應(yīng)該如何做好等級保護(hù)呢?這也是這次4家試點(diǎn)要探索的重要問題。首先，系統(tǒng)定級是實(shí)施等級保護(hù)的前提，濟(jì)源的經(jīng)驗(yàn)是簡單、實(shí)用的表格化定級方法，這樣把系統(tǒng)識別、信息資產(chǎn)安全屬性分析、信息系統(tǒng)定級等復(fù)雜的安全需求分析和定級工作變?yōu)榱撕唵蔚?、可操作的表格填寫，發(fā)放調(diào)查表，對系統(tǒng)和信息進(jìn)行屬性分析、風(fēng)險分析，合理地確定安全等級。

　　然后就是分級分域的防護(hù)，由于濟(jì)源是基于互聯(lián)網(wǎng)的電子政務(wù)網(wǎng)絡(luò)，與在專網(wǎng)上建立的安全體系不太相同，安全隱患更加多而復(fù)雜，所以在風(fēng)險分析中就面臨了更嚴(yán)峻的挑戰(zhàn)。因此，濟(jì)源將電子政務(wù)應(yīng)用系統(tǒng)分域，將其分為了公開信息處理區(qū)和敏感信息處理區(qū)，根據(jù)其不同的特點(diǎn)分別進(jìn)行防護(hù);而在分級防護(hù)方面，將信息分為了完全公開、內(nèi)部公開和內(nèi)部受控三類，也是根據(jù)不同類別的不同特點(diǎn)采取不同的安全措施。

　　而廣東是在電子政務(wù)網(wǎng)絡(luò)比較完備的基礎(chǔ)上建立的電子政務(wù)信息安全系統(tǒng)，與互聯(lián)網(wǎng)所面臨的風(fēng)險可能不大相同。不過它也同樣面臨著各電子政務(wù)網(wǎng)絡(luò)之間的安全需求存在差異的問題，比如政務(wù)系統(tǒng)與業(yè)務(wù)系統(tǒng)、公開系統(tǒng)與內(nèi)部系統(tǒng)、省級系統(tǒng)與區(qū)縣系統(tǒng)都存在著差異。

　　所以，只有首先了解了電子政務(wù)的特點(diǎn)和不同系統(tǒng)之間的差異才能對系統(tǒng)進(jìn)行分級防護(hù)，并更好地使得整個系統(tǒng)在安全前提下實(shí)現(xiàn)信息共享與互聯(lián)互通。廣東的經(jīng)驗(yàn)是電子政務(wù)系統(tǒng)的定級規(guī)則應(yīng)該細(xì)化，不同業(yè)務(wù)系統(tǒng)、不同區(qū)域和不同的信息化發(fā)展水平的定級規(guī)則應(yīng)該有所不同，并探索出了框架式的分類方法，這樣就能總結(jié)類似系統(tǒng)的特點(diǎn)、簡化分析過程和分析結(jié)果，從而利用系統(tǒng)定級又可以避免分類過于復(fù)雜、定級規(guī)則過多的問題。

　　同樣，在系統(tǒng)定級的基礎(chǔ)上，安全域的劃分對于等級保護(hù)也起到了至關(guān)重要的基礎(chǔ)作用。廣東省提出了安全域要求與系統(tǒng)等級相對應(yīng)的原則，并開發(fā)了定級軟件系統(tǒng)，只要按照軟件導(dǎo)航的操作流程，進(jìn)行內(nèi)容輸入或者可選項(xiàng)選擇就可以完成系統(tǒng)的定級。 

　　看來，不同的風(fēng)險狀況對于等級保護(hù)的要求和方法是不同的，而等級保護(hù)與風(fēng)險評估又有哪些內(nèi)在聯(lián)系呢?

　　此次，重慶試點(diǎn)工作的創(chuàng)新點(diǎn)就是針對風(fēng)險評估與等級保護(hù)的內(nèi)在聯(lián)系，強(qiáng)化業(yè)務(wù)的重要性、安全危機(jī)驗(yàn)證的重要性，以及系統(tǒng)評估對整個系統(tǒng)的影響的重要性。在具體實(shí)施的過程中，重慶兩家試點(diǎn)單位制定了分期、分批實(shí)現(xiàn)的計(jì)劃，利用風(fēng)險評估的方法，使試點(diǎn)單位真正達(dá)到安全風(fēng)險可控的要求。

　　當(dāng)然分級保護(hù)只是在技術(shù)上讓電子政務(wù)系統(tǒng)更安全，而技術(shù)不是萬能的，技術(shù)與管理的并重才能事半功倍。在試點(diǎn)工作結(jié)束后，可能要面臨的就是試點(diǎn)經(jīng)驗(yàn)的全面推廣，因此，技術(shù)與管理的結(jié)合則顯得更加重要，而從自身的應(yīng)用出發(fā)，建設(shè)符合自己的電子政務(wù)及信息安全保障體系是各地電子政務(wù)建設(shè)中需要做的。

　　鏈接:電子政務(wù)安全政策

　　從2005年10月開始，按照國信辦《關(guān)于開展電子政務(wù)信息安全試點(diǎn)的通知》要求，在廣東、河南、天津、重慶四個省市開展了電子政務(wù)信息安全試點(diǎn)工作。這次試點(diǎn)的目的是檢驗(yàn)《電子政務(wù)信息安全等級保護(hù)實(shí)施指南》，探索總結(jié)不同業(yè)務(wù)模式下電子政務(wù)的信息安全保障方法，以促進(jìn)和保障我國電子政務(wù)安全順利開展。

　　而在2006年5月20日，為了充分發(fā)揮網(wǎng)絡(luò)在電子政務(wù)建設(shè)中的基礎(chǔ)性作用，促進(jìn)電子政務(wù)和信息化的健康發(fā)展，中央辦公廳和國務(wù)院辦公廳又聯(lián)合轉(zhuǎn)發(fā)了《國家信息化領(lǐng)導(dǎo)小組關(guān)于推進(jìn)國家電子政務(wù)網(wǎng)絡(luò)建設(shè)的意見》。

　　2006年6月12日，國務(wù)院總理、國家信息化領(lǐng)導(dǎo)小組組長溫家寶同志在全國電子政務(wù)工作座談會上指示，加快電子政務(wù)建設(shè)、推進(jìn)行政管理體制改革，提高政府工作效率和公共服務(wù)水平，為公眾參與經(jīng)濟(jì)社會活動創(chuàng)造條件。

　　可見，國家高度重視信息化在全國的推動，政府部門帶頭做到政務(wù)先行，電子政務(wù)的建設(shè)對于全面推動信息化的進(jìn)程有著示范作用。而此次試點(diǎn)的成功將對于全國大范圍推動電子政務(wù)，甚至整個信息化建設(shè)都有著重要的作用。