政府門戶網(wǎng)站是政務(wù)公開和服務(wù)型政府兩大主導(dǎo)思想在落實(shí)過(guò)程中所必須憑借的重要平臺(tái)，在未來(lái)的電子政務(wù)規(guī)劃中，政府門戶網(wǎng)站必將占有非常重要的地位。目前，我國(guó)正在逐步推進(jìn)信息安全等級(jí)保護(hù)工作，這一國(guó)家層面上的信息安全標(biāo)準(zhǔn)已成為未來(lái)在電子政務(wù)安全建設(shè)中的重要保障。

　　安全需求

　　政府門戶網(wǎng)站的地位非常重要，但其安全形勢(shì)卻不容樂(lè)觀。據(jù)統(tǒng)計(jì)，僅在2007年，就有3000余家政府門戶網(wǎng)站發(fā)生過(guò)網(wǎng)頁(yè)被篡改的事件，嚴(yán)重影響了政府的對(duì)外形象。隨著電子政務(wù)建設(shè)的逐步推進(jìn)，政府門戶網(wǎng)站所承載業(yè)務(wù)的數(shù)量在逐步增加，網(wǎng)站被入侵或篡改所帶來(lái)的危害將不僅限于政府形象的損害，甚至?xí)斐删薮蟮慕?jīng)濟(jì)損失，或者嚴(yán)重的社會(huì)問(wèn)題。對(duì)于政府網(wǎng)站所面臨的主要風(fēng)險(xiǎn)，筆者總結(jié)如下：

　　(一)頁(yè)面被篡改。政府門戶網(wǎng)站作為政府形象的標(biāo)志之一，常常是一些不法分子的重點(diǎn)攻擊對(duì)象，政府門戶網(wǎng)站一旦被篡改，常常會(huì)引發(fā)較大的影響，嚴(yán)重時(shí)甚至?xí)斐烧问录?。其中?yè)面被篡改的一種方式就是“網(wǎng)頁(yè)掛馬”，網(wǎng)頁(yè)內(nèi)容表面上沒(méi)有任何異常，卻可能被偷偷地掛上了木馬程序?！熬W(wǎng)頁(yè)掛馬”雖然不會(huì)給網(wǎng)站帶來(lái)直接損害，但卻會(huì)給瀏覽者帶來(lái)?yè)p失。更重要的是，政府網(wǎng)站一旦被掛馬，其權(quán)威性和公信力將會(huì)受到嚴(yán)重打擊，最終給電子政務(wù)的普及帶來(lái)重大影響。

　　(二)在線業(yè)務(wù)被攻擊。對(duì)企業(yè)、公眾提供在線服務(wù)已成為政府門戶網(wǎng)站的重要功能，這些服務(wù)一旦受到拒絕就會(huì)面臨癱瘓或終止，對(duì)業(yè)務(wù)的正常運(yùn)轉(zhuǎn)必然造成極大的影響，很可能會(huì)造成經(jīng)濟(jì)損失，嚴(yán)重時(shí)甚至?xí)绊懮鐣?huì)穩(wěn)定。

　　(三)數(shù)據(jù)被竊取。在線業(yè)務(wù)系統(tǒng)中總是需要保存一些企業(yè)、公眾的相關(guān)資料，這些資料往往涉及到企業(yè)機(jī)密和個(gè)人隱私，一旦泄露就會(huì)造成企業(yè)或個(gè)人的利益受損，很可能會(huì)給網(wǎng)站帶來(lái)嚴(yán)重的法律糾紛。

　　(四)內(nèi)網(wǎng)被侵入。政府門戶網(wǎng)站雖然和政府辦公網(wǎng)絡(luò)之間設(shè)有隔離設(shè)備，但也會(huì)被一些手段高明的黑客入侵，從而盜取一些敏感材料，勢(shì)必會(huì)對(duì)電子政務(wù)的應(yīng)用系統(tǒng)造成破壞。

　　以上總結(jié)僅僅是對(duì)政府門戶網(wǎng)站主要安全需求的簡(jiǎn)單總結(jié)，事實(shí)上，政府門戶網(wǎng)站要想達(dá)到真正意義上的安全，亟需建立一個(gè)完善細(xì)致的安全防護(hù)體系。不僅要在技術(shù)上建立事前、事中和事后的縱深防御系統(tǒng)，還需要建立良好的信息安全管理制度。

　　解決方案

　　出于對(duì)信息安全的重視，國(guó)家已經(jīng)出臺(tái)了信息安全等級(jí)保護(hù)的一系列文件和標(biāo)準(zhǔn)，用以促進(jìn)和指導(dǎo)信息安全的建設(shè)。2007年6月22日，公安部與國(guó)家保密局、密碼管理局、國(guó)務(wù)院信息辦聯(lián)合會(huì)簽并印發(fā)了《信息安全等級(jí)保護(hù)管理辦法》(公通字[2007]43號(hào))，確定了信息安全等級(jí)保護(hù)制度的基本內(nèi)容及各項(xiàng)工作要求。2007年7月16日，四部委聯(lián)合會(huì)簽并下發(fā)了《關(guān)于開展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》(公信安[2007]861號(hào))，就定級(jí)范圍、定級(jí)工作主要內(nèi)容、定級(jí)工作要求等事項(xiàng)進(jìn)行了部署。

　　《信息安全等級(jí)保護(hù)管理辦法》與《關(guān)于開展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》的出臺(tái)，標(biāo)志著信息安全等級(jí)保護(hù)工作在全國(guó)范圍內(nèi)已經(jīng)進(jìn)入到推廣實(shí)施的階段。其中根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》中所給出的等級(jí)保護(hù)的建設(shè)過(guò)程，可以看到等級(jí)保護(hù)并不是一個(gè)一勞永逸的孤立項(xiàng)目，而是一個(gè)連續(xù)不斷、周而復(fù)始的過(guò)程。

　　而要實(shí)現(xiàn)這樣一個(gè)過(guò)程，就必須以安全服務(wù)為主線，從門戶網(wǎng)站的安全評(píng)估、差距評(píng)估等咨詢性服務(wù)開始，再延伸到整體安全規(guī)劃、解決方案設(shè)計(jì)等設(shè)計(jì)性服務(wù)，最終以運(yùn)維支持、應(yīng)急響應(yīng)等持續(xù)性的技術(shù)服務(wù)為政府門戶網(wǎng)站提供一個(gè)符合等級(jí)保護(hù)精神的安全保障體系。

　　等級(jí)保護(hù)

　　政府門戶網(wǎng)站安全定級(jí)和備案階段的安全服務(wù)主要包括等級(jí)保護(hù)導(dǎo)入、信息系統(tǒng)輔助定級(jí)、協(xié)助用戶完成備案等部分。這些安全服務(wù)的目標(biāo)是通過(guò)培訓(xùn)使有關(guān)人員了解等級(jí)保護(hù)的內(nèi)容和過(guò)程，并按照定級(jí)指南要求對(duì)門戶網(wǎng)站進(jìn)行定級(jí)，最終幫助用戶完成備案工作。

　　(一)安全規(guī)劃設(shè)計(jì)階段。安全規(guī)劃設(shè)計(jì)階段的安全服務(wù)主要包括安全需求導(dǎo)出、信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估、等級(jí)保護(hù)差距評(píng)估、安全建設(shè)整體規(guī)劃和安全基線指標(biāo)設(shè)計(jì)等。安全需求導(dǎo)出服務(wù)的目標(biāo)主要是為門戶網(wǎng)站導(dǎo)出真正的安全需求，不同網(wǎng)站的規(guī)模、訪問(wèn)量、部署模式、政務(wù)公開信息的頻度、在線業(yè)務(wù)的重要程度都各不相同，其安全需求也就各有不同。

　　只有對(duì)網(wǎng)站業(yè)務(wù)進(jìn)行詳細(xì)的調(diào)研和分析，才能給出符合實(shí)際的安全需求分析。信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估服務(wù)、等級(jí)保護(hù)差距評(píng)估服務(wù)是結(jié)合風(fēng)險(xiǎn)評(píng)估的方法和理論，圍繞著系統(tǒng)所承載的具體業(yè)務(wù)，通過(guò)風(fēng)險(xiǎn)評(píng)估的方法評(píng)估系統(tǒng)的風(fēng)險(xiǎn)狀況，并根據(jù)系統(tǒng)的安全措施是否符合相應(yīng)等級(jí)的安全要求來(lái)判斷系統(tǒng)與所定等級(jí)的差距。

　　(二)安全實(shí)施階段。安全實(shí)施階段是等級(jí)保護(hù)得以落地的主要階段。安全實(shí)施階段中主要包括安全解決方案設(shè)計(jì)、安全技術(shù)體系改造、安全管理體系改造、崗位培訓(xùn)和應(yīng)急響應(yīng)演練等安全服務(wù)。

　　安全解決方案設(shè)計(jì)是如何將門戶網(wǎng)站業(yè)務(wù)安全目標(biāo)和系統(tǒng)等級(jí)安全規(guī)劃落實(shí)的關(guān)鍵過(guò)程。安全技術(shù)體系改造主要包括物理層、網(wǎng)絡(luò)層、應(yīng)用層、主機(jī)層和數(shù)據(jù)層5個(gè)層面，安全管理體系包括安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理5個(gè)方面。在技術(shù)體系和管理系統(tǒng)完成安全改造后，必須對(duì)崗位培訓(xùn)和應(yīng)急響應(yīng)進(jìn)行演練，使技術(shù)措施和管理流程得到充分的檢驗(yàn)和鍛煉。

　　(三)安全運(yùn)行管理階段。安全服務(wù)提供商能夠?yàn)榭蛻籼峁I(yè)的安全服務(wù)，但在日常運(yùn)行工作中，安全服務(wù)提供商不可能代替客戶做所有的事情。為保證客戶內(nèi)部管理人員的安全管理工作和專業(yè)水平，基于安全指標(biāo)設(shè)計(jì)的配置核查安全服務(wù)會(huì)使客戶的內(nèi)部管理人員根據(jù)等級(jí)保護(hù)標(biāo)準(zhǔn)進(jìn)行量化的安全指標(biāo)，使用自動(dòng)化工具去執(zhí)行內(nèi)部核查，這在很大程度上保證了日常運(yùn)行管理的專業(yè)程度。在安全運(yùn)行管理階段，還需要安全服務(wù)提供商提供階段性的風(fēng)險(xiǎn)評(píng)估服務(wù)、安全應(yīng)急響應(yīng)服務(wù)等來(lái)協(xié)助客戶通過(guò)等級(jí)保護(hù)安全檢查工作。