政府門戶網(wǎng)站是政務(wù)公開和服務(wù)型政府兩大主導(dǎo)思想在落實(shí)過程中所必須憑借的重要平臺,在未來的電子政務(wù)規(guī)劃中,政府門戶網(wǎng)站必將占有非常重要的地位。目前,我國正在逐步推進(jìn)信息安全等級保護(hù)工作,這一國家層面上的信息安全標(biāo)準(zhǔn)已成為未來在電子政務(wù)安全建設(shè)中的重要保障。

  安全需求

  政府門戶網(wǎng)站的地位非常重要,但其安全形勢卻不容樂觀。據(jù)統(tǒng)計,僅在2007年,就有3000余家政府門戶網(wǎng)站發(fā)生過網(wǎng)頁被篡改的事件,嚴(yán)重影響了政府的對外形象。隨著電子政務(wù)建設(shè)的逐步推進(jìn),政府門戶網(wǎng)站所承載業(yè)務(wù)的數(shù)量在逐步增加,網(wǎng)站被入侵或篡改所帶來的危害將不僅限于政府形象的損害,甚至?xí)斐删薮蟮慕?jīng)濟(jì)損失,或者嚴(yán)重的社會問題。對于政府網(wǎng)站所面臨的主要風(fēng)險,筆者總結(jié)如下:

 ?。ㄒ唬╉撁姹淮鄹?。政府門戶網(wǎng)站作為政府形象的標(biāo)志之一,常常是一些不法分子的重點(diǎn)攻擊對象,政府門戶網(wǎng)站一旦被篡改,常常會引發(fā)較大的影響,嚴(yán)重時甚至?xí)斐烧问录?。其中頁面被篡改的一種方式就是“網(wǎng)頁掛馬”,網(wǎng)頁內(nèi)容表面上沒有任何異常,卻可能被偷偷地掛上了木馬程序。“網(wǎng)頁掛馬”雖然不會給網(wǎng)站帶來直接損害,但卻會給瀏覽者帶來損失。更重要的是,政府網(wǎng)站一旦被掛馬,其權(quán)威性和公信力將會受到嚴(yán)重打擊,最終給電子政務(wù)的普及帶來重大影響。

 ?。ǘ┰诰€業(yè)務(wù)被攻擊。對企業(yè)、公眾提供在線服務(wù)已成為政府門戶網(wǎng)站的重要功能,這些服務(wù)一旦受到拒絕就會面臨癱瘓或終止,對業(yè)務(wù)的正常運(yùn)轉(zhuǎn)必然造成極大的影響,很可能會造成經(jīng)濟(jì)損失,嚴(yán)重時甚至?xí)绊懮鐣€(wěn)定。

  (三)數(shù)據(jù)被竊取。在線業(yè)務(wù)系統(tǒng)中總是需要保存一些企業(yè)、公眾的相關(guān)資料,這些資料往往涉及到企業(yè)機(jī)密和個人隱私,一旦泄露就會造成企業(yè)或個人的利益受損,很可能會給網(wǎng)站帶來嚴(yán)重的法律糾紛。

 ?。ㄋ模﹥?nèi)網(wǎng)被侵入。政府門戶網(wǎng)站雖然和政府辦公網(wǎng)絡(luò)之間設(shè)有隔離設(shè)備,但也會被一些手段高明的黑客入侵,從而盜取一些敏感材料,勢必會對電子政務(wù)的應(yīng)用系統(tǒng)造成破壞。

  以上總結(jié)僅僅是對政府門戶網(wǎng)站主要安全需求的簡單總結(jié),事實(shí)上,政府門戶網(wǎng)站要想達(dá)到真正意義上的安全,亟需建立一個完善細(xì)致的安全防護(hù)體系。不僅要在技術(shù)上建立事前、事中和事后的縱深防御系統(tǒng),還需要建立良好的信息安全管理制度。

  解決方案

  出于對信息安全的重視,國家已經(jīng)出臺了信息安全等級保護(hù)的一系列文件和標(biāo)準(zhǔn),用以促進(jìn)和指導(dǎo)信息安全的建設(shè)。2007年6月22日,公安部與國家保密局、密碼管理局、國務(wù)院信息辦聯(lián)合會簽并印發(fā)了《信息安全等級保護(hù)管理辦法》(公通字[2007]43號),確定了信息安全等級保護(hù)制度的基本內(nèi)容及各項(xiàng)工作要求。2007年7月16日,四部委聯(lián)合會簽并下發(fā)了《關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知》(公信安[2007]861號),就定級范圍、定級工作主要內(nèi)容、定級工作要求等事項(xiàng)進(jìn)行了部署。

  《信息安全等級保護(hù)管理辦法》與《關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知》的出臺,標(biāo)志著信息安全等級保護(hù)工作在全國范圍內(nèi)已經(jīng)進(jìn)入到推廣實(shí)施的階段。其中根據(jù)《信息系統(tǒng)安全等級保護(hù)實(shí)施指南》中所給出的等級保護(hù)的建設(shè)過程,可以看到等級保護(hù)并不是一個一勞永逸的孤立項(xiàng)目,而是一個連續(xù)不斷、周而復(fù)始的過程。

  而要實(shí)現(xiàn)這樣一個過程,就必須以安全服務(wù)為主線,從門戶網(wǎng)站的安全評估、差距評估等咨詢性服務(wù)開始,再延伸到整體安全規(guī)劃、解決方案設(shè)計等設(shè)計性服務(wù),最終以運(yùn)維支持、應(yīng)急響應(yīng)等持續(xù)性的技術(shù)服務(wù)為政府門戶網(wǎng)站提供一個符合等級保護(hù)精神的安全保障體系。

  等級保護(hù)

  政府門戶網(wǎng)站安全定級和備案階段的安全服務(wù)主要包括等級保護(hù)導(dǎo)入、信息系統(tǒng)輔助定級、協(xié)助用戶完成備案等部分。這些安全服務(wù)的目標(biāo)是通過培訓(xùn)使有關(guān)人員了解等級保護(hù)的內(nèi)容和過程,并按照定級指南要求對門戶網(wǎng)站進(jìn)行定級,最終幫助用戶完成備案工作。

  (一)安全規(guī)劃設(shè)計階段。安全規(guī)劃設(shè)計階段的安全服務(wù)主要包括安全需求導(dǎo)出、信息系統(tǒng)風(fēng)險評估、等級保護(hù)差距評估、安全建設(shè)整體規(guī)劃和安全基線指標(biāo)設(shè)計等。安全需求導(dǎo)出服務(wù)的目標(biāo)主要是為門戶網(wǎng)站導(dǎo)出真正的安全需求,不同網(wǎng)站的規(guī)模、訪問量、部署模式、政務(wù)公開信息的頻度、在線業(yè)務(wù)的重要程度都各不相同,其安全需求也就各有不同。

  只有對網(wǎng)站業(yè)務(wù)進(jìn)行詳細(xì)的調(diào)研和分析,才能給出符合實(shí)際的安全需求分析。信息系統(tǒng)風(fēng)險評估服務(wù)、等級保護(hù)差距評估服務(wù)是結(jié)合風(fēng)險評估的方法和理論,圍繞著系統(tǒng)所承載的具體業(yè)務(wù),通過風(fēng)險評估的方法評估系統(tǒng)的風(fēng)險狀況,并根據(jù)系統(tǒng)的安全措施是否符合相應(yīng)等級的安全要求來判斷系統(tǒng)與所定等級的差距。

 ?。ǘ┌踩珜?shí)施階段。安全實(shí)施階段是等級保護(hù)得以落地的主要階段。安全實(shí)施階段中主要包括安全解決方案設(shè)計、安全技術(shù)體系改造、安全管理體系改造、崗位培訓(xùn)和應(yīng)急響應(yīng)演練等安全服務(wù)。

  安全解決方案設(shè)計是如何將門戶網(wǎng)站業(yè)務(wù)安全目標(biāo)和系統(tǒng)等級安全規(guī)劃落實(shí)的關(guān)鍵過程。安全技術(shù)體系改造主要包括物理層、網(wǎng)絡(luò)層、應(yīng)用層、主機(jī)層和數(shù)據(jù)層5個層面,安全管理體系包括安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理5個方面。在技術(shù)體系和管理系統(tǒng)完成安全改造后,必須對崗位培訓(xùn)和應(yīng)急響應(yīng)進(jìn)行演練,使技術(shù)措施和管理流程得到充分的檢驗(yàn)和鍛煉。

  (三)安全運(yùn)行管理階段。安全服務(wù)提供商能夠?yàn)榭蛻籼峁I(yè)的安全服務(wù),但在日常運(yùn)行工作中,安全服務(wù)提供商不可能代替客戶做所有的事情。為保證客戶內(nèi)部管理人員的安全管理工作和專業(yè)水平,基于安全指標(biāo)設(shè)計的配置核查安全服務(wù)會使客戶的內(nèi)部管理人員根據(jù)等級保護(hù)標(biāo)準(zhǔn)進(jìn)行量化的安全指標(biāo),使用自動化工具去執(zhí)行內(nèi)部核查,這在很大程度上保證了日常運(yùn)行管理的專業(yè)程度。在安全運(yùn)行管理階段,還需要安全服務(wù)提供商提供階段性的風(fēng)險評估服務(wù)、安全應(yīng)急響應(yīng)服務(wù)等來協(xié)助客戶通過等級保護(hù)安全檢查工作。

責(zé)任編輯:admin