2004年9月到2005年5月,為了評估政府各個(gè)部門在信息安全方面政策法規(guī)的全面性、有效性,美國聯(lián)邦政府審計(jì)署分析回顧了從2003財(cái)年到2005年5月的相關(guān)報(bào)告、各個(gè)政府機(jī)構(gòu)總檢察長的相關(guān)報(bào)告、管理預(yù)算辦公室的《聯(lián)邦信息安全管理法案》指南,以及國家標(biāo)準(zhǔn)技術(shù)研究院的相關(guān)標(biāo)準(zhǔn)、指南以及年度報(bào)告。2005年7月,美國出臺(tái)《信息安全年度報(bào)告。中國在政務(wù)安全方面有什么可以借鑒的?

 

  2005年7月,美國聯(lián)邦政府審計(jì)署向美國國會(huì)提交了《信息安全年度報(bào)告》(以下簡稱美國報(bào)告),其題目是《信息安全:相關(guān)法規(guī)執(zhí)行方面有所成就,但是仍然存在薄弱之處》。美國報(bào)告指出,聯(lián)邦政府各個(gè)分支機(jī)構(gòu)以及眾多事關(guān)國計(jì)民生的部門,包括能源、供水、電信、國防以及應(yīng)急服務(wù)部門,他們的日常工作已經(jīng)廣泛依賴計(jì)算機(jī)信息系統(tǒng)以及電子數(shù)據(jù)。這些信息系統(tǒng)、數(shù)據(jù)的安全非常重要,信息安全措施要防止數(shù)據(jù)篡改,保證核心業(yè)務(wù)連續(xù)性,預(yù)防數(shù)據(jù)欺騙以及阻止敏感信息泄漏。

  美國政務(wù)的五大安全隱患

  美國審計(jì)署發(fā)現(xiàn),美國聯(lián)邦政府24個(gè)部門信息系統(tǒng)普遍存在安全隱患,主要體現(xiàn)在以下5個(gè)方面:訪問控制并未有效實(shí)施、軟件變更控制并非總是有效、職責(zé)劃分沒有始終如一地執(zhí)行、業(yè)務(wù)持續(xù)性計(jì)劃經(jīng)常是不充分的、部門信息安全規(guī)劃沒有全面地應(yīng)用。

  訪問控制

  它保證只有經(jīng)過授權(quán)的用戶才可以閱讀、修改或者刪除數(shù)據(jù)。訪問控制包括電子方式以及物理方式,前者包括賬號控制、密碼控制以及用戶權(quán)限控制,后者包括門衛(wèi)、門鎖等方式。24個(gè)部門中有23個(gè)部門在訪問控制方面存在隱患。例如,有的信息系統(tǒng)允許用戶使用非常簡單的詞語做密碼,這使得黑客很容易破解密碼。物理控制方面,有的部門并未有效采用門鎖、門卡等手段。

  軟件變更控制

  軟件變更控制確保只有經(jīng)過授權(quán)的軟件程序才可以被安裝,軟件變更控制也會(huì)監(jiān)控敏感程序、數(shù)據(jù)的使用情況。24個(gè)部門中有22個(gè)存在這方面的漏洞,例如軟件系統(tǒng)沒有采用正確流程進(jìn)行升級。此外,有的信息系統(tǒng)在程序調(diào)整方面的批準(zhǔn)、測試以及實(shí)施的文檔記錄沒有良好維護(hù),以至于出錯(cuò)的或者有預(yù)謀的程序?qū)?huì)嚴(yán)重威脅到系統(tǒng)安全。

  職責(zé)劃分

  職責(zé)劃分降低個(gè)人進(jìn)行錯(cuò)誤操作而沒有被發(fā)現(xiàn)的風(fēng)險(xiǎn)。24個(gè)部門中有14個(gè)存在這方面的隱患,主要體現(xiàn)在系統(tǒng)管理和系統(tǒng)安全管理沒有很好地分清。例如,有的部門用戶可以在系統(tǒng)中添加并不存在的賬號并獲得很高的權(quán)限,用這個(gè)賬號從事的活動(dòng)沒人監(jiān)管。

  業(yè)務(wù)連續(xù)計(jì)劃

  確保計(jì)算機(jī)相關(guān)的業(yè)務(wù)在緊急情況下不出現(xiàn)嚴(yán)重中斷,例如出現(xiàn)地震、火災(zāi)等破壞活動(dòng)的時(shí)候。20個(gè)部門存在這一方面的隱患。在審計(jì)署2005年4月提交的報(bào)告中已經(jīng)指出,不到一半的部門有應(yīng)急指揮通訊錄,很少的部門記錄了重要文件分布情況,大多數(shù)機(jī)構(gòu)沒有測試、檢驗(yàn)、演習(xí)他們的業(yè)務(wù)連續(xù)計(jì)劃以確保災(zāi)難發(fā)生時(shí)可以應(yīng)用這些計(jì)劃。

  部門級別的安全規(guī)劃

  上述問題的存在,主要是因?yàn)楦鱾€(gè)部門沒有強(qiáng)有力的信息安全管理規(guī)劃。部門級別的安全規(guī)劃提供工作框架,確保全部門能夠理解風(fēng)險(xiǎn)并且有效控制、合理采取措施。這個(gè)方面,所有的部門都存在隱患,他們都沒有制定全面的信息安全規(guī)劃,尤其是新型的安全威脅方面,包括垃圾郵件、釣魚以及間諜程序。

  我國可借鑒什么

  我國在信息系統(tǒng)安全管理方面開展工作的時(shí)間不長,相關(guān)經(jīng)驗(yàn)不多,許多應(yīng)建立的規(guī)章制度還在摸索之中。2005年7月剛剛發(fā)布的《2005中國信息化發(fā)展報(bào)告》談到信息安全的時(shí)候,提到蠕蟲和病毒在網(wǎng)上傳播十分猖獗、木馬事件潛在威脅巨大、各類網(wǎng)絡(luò)違法犯罪日益突出,但沒有專門介紹電子政務(wù)的安全現(xiàn)狀。

  重視管理機(jī)制制度

  《2005中國信息化發(fā)展報(bào)告》指出,要加強(qiáng)對信息安全工作的領(lǐng)導(dǎo),建立健全信息安全領(lǐng)導(dǎo)責(zé)任機(jī)制,明確主管領(lǐng)導(dǎo),落實(shí)責(zé)任部門,建立和完善信息安全監(jiān)控體系,加強(qiáng)以密碼技術(shù)為基礎(chǔ)的信息保護(hù)和網(wǎng)絡(luò)信任體系的建設(shè)。

  重視管理機(jī)制制度這一方面,中美兩國有相近之處。美國《聯(lián)邦信息安全管理法案》認(rèn)為,聯(lián)邦政府存在信息安全隱患最根本原因是缺乏有效的信息安全管理規(guī)劃?;诖?,美國《聯(lián)邦信息安全管理法案》要求政府建立一套全面的信息安全控制管理框架。不僅如此,考慮到各個(gè)機(jī)構(gòu)在信息安全管理規(guī)劃方面難免出現(xiàn)漏洞,美國《聯(lián)邦信息安全管理法案》制定了一套完善的評估機(jī)制,包括部門定期自檢以及管理和預(yù)算辦公室、國家標(biāo)準(zhǔn)技術(shù)研究院以及其他獨(dú)立機(jī)構(gòu)的評估。

  《聯(lián)邦信息安全管理法案》要求美國聯(lián)邦政府各個(gè)機(jī)構(gòu)的信息安全報(bào)告包含如下信息:風(fēng)險(xiǎn)評估情況、政策和流程、個(gè)別系統(tǒng)的安全規(guī)劃、相關(guān)培訓(xùn)情況、年度測試和評估情況、采取的對策、信息安全事件報(bào)告以及運(yùn)行連續(xù)性。

  美國的評估機(jī)制,保證了部門領(lǐng)導(dǎo)在意識(shí)上定期關(guān)注各自部門的信息安全,又使得他們有能力全面深入了解本部門信息安全的方方面面。這樣,既提高了部門領(lǐng)導(dǎo)對信息安全的重視程度,又采用完善的制度來提高各個(gè)部門發(fā)現(xiàn)、報(bào)告和共享信息安全隱患的能力。與美國相比,我們還沒有明確提出要建立全方位的評估體系。

  完善標(biāo)準(zhǔn)法規(guī)體系

  《2005中國信息化發(fā)展報(bào)告》指出,抓緊制定信息安全等級保護(hù)的管理辦法和技術(shù)指南,建立信息安全等級保護(hù)制度,加強(qiáng)信息安全法制建設(shè)和標(biāo)準(zhǔn)化建設(shè)。

  在標(biāo)準(zhǔn)法規(guī)、技術(shù)指南方面,我國政府主要精力集中在信息安全等級保護(hù)方面。比較而言,美國政府制訂的標(biāo)準(zhǔn)法規(guī)、技術(shù)指南則更為全面。美國《聯(lián)邦信息安全管理法案》規(guī)定,由美國國家標(biāo)準(zhǔn)技術(shù)研究院(NIST)負(fù)責(zé)為政府各個(gè)部門提供相關(guān)法規(guī)制度或技術(shù)援助,進(jìn)行信息安全方面的研究,并且參與國家安全體系相關(guān)標(biāo)準(zhǔn)的開發(fā)。

  安全不僅是技術(shù)問題,同時(shí)還是社會(huì)和法律問題。與美國相比,我國在標(biāo)準(zhǔn)的制定、認(rèn)證、檢測等方面有待于進(jìn)一步的加強(qiáng)。信息安全標(biāo)準(zhǔn)方面,我國有國家信息安全產(chǎn)品測評認(rèn)證中心、公安部、國家質(zhì)量技術(shù)監(jiān)督局等多個(gè)部門參與這方面的工作,而美國則在法案中明確表示由美國國家標(biāo)準(zhǔn)技術(shù)研究院一家來完成。還有一點(diǎn)值得注意的是,我國信息安全標(biāo)準(zhǔn)的培訓(xùn)、認(rèn)證和檢測機(jī)構(gòu)中,有一些是贏利機(jī)構(gòu),這在某種程度上降低了其公證性。

  加強(qiáng)信息安全培訓(xùn)

  《2005中國信息化發(fā)展報(bào)告》指出,加強(qiáng)信息安全學(xué)科、人才培養(yǎng)。

  聯(lián)邦信息安全管理法案要求,聯(lián)邦政府各個(gè)機(jī)構(gòu)對政府雇員以及合同商的雇員進(jìn)行信息安全培訓(xùn),這些機(jī)構(gòu)在年度評估報(bào)告中要標(biāo)明參與培訓(xùn)人員的數(shù)量以及所占比例。2005年的報(bào)告指出,所有24個(gè)部門都對本部門60%以上的職員進(jìn)行了培訓(xùn)。美國報(bào)告指出,如果不能提供最新的信息安全培訓(xùn),將會(huì)給政府機(jī)構(gòu)的信息安全帶來安全隱患。例如,美國大多數(shù)部門沒有對雇員提供無線局域網(wǎng)方面的信息安全培訓(xùn),這使得他們在建設(shè)沒有認(rèn)證措施的無線局域網(wǎng)的時(shí)候,不了解其安全隱患。

  由此可見,美國政府更注重日常的培訓(xùn)工作,而不僅僅是學(xué)校培養(yǎng)。信息安全,需要有數(shù)學(xué)算法、軟件、硬件等諸多方面的理論支持。但對于很多現(xiàn)有的隱患來說,更重要的是提高普通用戶的安全意識(shí)。例如美國政府提到的無線局域網(wǎng)問題,我國政府在科研方面正在開發(fā)WAPI,希望以此來增強(qiáng)系統(tǒng)的安全性。但是,有許多無線局域網(wǎng)是內(nèi)置了安全認(rèn)證程序而根本沒有啟用。

  信息安全是個(gè)系統(tǒng)工程,既要有高屋建瓴的頂層設(shè)計(jì)、整體框架,又要有體貼入微的法規(guī)標(biāo)準(zhǔn)、行動(dòng)指南,還要有資金支持、日常培訓(xùn)以及監(jiān)察制度,需要恩威并重。同美國信息安全報(bào)告談到的情況相比,在我國政府部門中宣傳信息安全的重要性,并且保證相關(guān)人員有能力、有方法了解其現(xiàn)狀,懂得如何降低風(fēng)險(xiǎn),這些都是任重而道遠(yuǎn)的。

  鏈接

  國家信息化領(lǐng)導(dǎo)小組第一次會(huì)議決定,把電子政務(wù)建設(shè)作為今后一個(gè)時(shí)期我國信息化工作的重點(diǎn),政府先行,帶動(dòng)國民經(jīng)濟(jì)和社會(huì)發(fā)展信息化。

  在電子政務(wù)建設(shè)中和安全相關(guān)的主要任務(wù)是:

  基本建立電子政務(wù)網(wǎng)絡(luò)與信息安全保障體系。要組織建立我國電子政務(wù)網(wǎng)絡(luò)與信息安全保障體系框架,逐步完善安全管理體制,建立電子政務(wù)信任體系,加強(qiáng)關(guān)鍵性安全技術(shù)產(chǎn)品的研究和開發(fā),建立應(yīng)急支援中心和數(shù)據(jù)災(zāi)難備份基礎(chǔ)設(shè)施。

  完善電子政務(wù)標(biāo)準(zhǔn)化體系。逐步制定電子政務(wù)建設(shè)所需的標(biāo)準(zhǔn)和規(guī)范。今年要優(yōu)先制定業(yè)務(wù)協(xié)同、信息共享和網(wǎng)絡(luò)與信息安全的標(biāo)準(zhǔn),加快建立健全電子政務(wù)標(biāo)準(zhǔn)實(shí)施機(jī)制。

  加快推進(jìn)電子政務(wù)法制建設(shè)。適時(shí)提出比較成熟的立法建議,推動(dòng)相關(guān)配套法律法規(guī)的制定和完善。加快研究和制定電子簽章、政府信息公開及網(wǎng)絡(luò)與信息安全、電子政務(wù)項(xiàng)目管理等方面的行政法規(guī)和規(guī)章?;拘纬呻娮诱?wù)建設(shè)、運(yùn)行維護(hù)和管理等方面有效的激勵(lì)約束機(jī)制。

責(zé)任編輯:admin