来源:蜘蛛抓取(WebSpider)
时间:2016-08-29 02:07
标签:
工业革命
信息技术如何成为中国制造新引擎
&&&【纠错】
以新一代信息技术为代表的电子信息产业引起了两会代表、委员的广泛热议,在经济新常态下正在成为引领其他产业发展的重要力量。2014年电子信息产业的增速快于工业增速,信息技术正在真正变成撬动工业转型升级的新动力。
工业和信息化部部长苗圩在两会期间接受记者采访时说,工业互联网是顺应新一轮工业革命和产业变革的一个重点发展领域,有非常大的发展潜力,有线特别是无线、移动、宽带、泛在网络的推广和普及,带来了新一轮发展的机遇。
信息技术推动智能制造
信息技术具有转化周期短、机遇窗口期短,渗透性和颠覆性强的特征,对于推动经济转型和产业结构向中高端迈进具有重要意义。
全国人大代表、安徽省经济和信息化委员会主任牛弩韬对《中国电子报》记者说:“在新常态下,电子信息产业连接着经济发展九大趋势中的消费、投资、出口、产业结构、劳动力等,有利于创造新的消费热点,培育新的增长动力,形成新的产业结构。”
大数据、云计算、移动互联网、物联网等新技术的兴起,对信息产业产生破坏性、颠覆性、革命性创新效应,为整个产业经济的转型升级提供了多种路径选择,正在重塑全球电子信息产业发展的新格局。
全国政协委员、中国电子信息产业集团有限公司总经理刘烈宏在接受《中国电子报》记者专访时说:“从产业角度看,计算、移动互联网应用等面向服务的商业模式创新,正在开辟新的产业增长点,自主可控、安全可靠的信息技术产品将成为重点行业信息安全的重要保障。从应用角度看,信息消费对经济的拉动作用将进一步凸显;新一代信息技术的应用将推动中国制造向智能制造转变。”
谈及电子信息产业对于制造业发展的作用,全国人大代表、全国人大财政经济委员会副主任委员、中国电子科技集团公司董事长熊群力对《中国电子报》记者说:“没有信息技术就没有工业4.0,也没有‘中国制造2025’,工业4.0核心就是智能化,就是信息化、网络化,基础是信息化。”
电子信息产业要发挥引领作用,其中最可做文章的是信息化与工业化深度融合。美国重拾制造业,不仅仅是制造业本身瞄准高端,而是把制造业和信息化紧密结合起来。
全国政协委员、全国政协经济委员会副主任李毅中认为,两化融合向更高层次发展,其中一个主要内容就是制造业的智能化,制造业智能化紧紧结合了传统产业改造升级、优化、提质增效,也紧紧结合了发展战略性新兴产业和生产服务业,一开始就和电子信息技术紧密结合。
全国人大代表、山东省经济和信息化委员会副主任王信在接受《中国电子报》记者专访时也表示,智能制造、网络制造、绿色制造、服务性制造等日益成为生产方式变革的重要方向。下一步,山东将加快信息技术与传统制造业跨界融合,培育智能制造、云制造等新业态,全面提升制造业产品和装备、生产、管理和服务的智能化应用水平。
工业互联网潜力巨大
政府工作报告中对新兴产业和新兴业态重要作用的强调,尤其是工业互联网作为首次在政府工作报告中提出的概念,引起业界的广泛关注,并在代表、委员中成为热词。
苗圩在接受记者采访时说,工业互联网是顺应新一轮工业革命和产业变革的一个重点发展领域,也是政府工作报告中提到的“互联网+”最早实现的行业之一。工业互联网有非常大的发展潜力。据一个国际权威机构估算,在未来20年中,中国工业互联网的发展至少可带来3万亿美元左右的GDP增量。
针对政府工作报告提出的“互联网+”行动计划,全国人大代表、工业和信息化部副部长怀进鹏在接受《中国电子报》记者专访时说,把工业互联网作为未来发展的重要新引擎,作为支撑智能制造、推动两化融合的重要抓手。他建议从产品、技术、装备等方面大力推动智能制造的发展。在此基础上,他还强调了进一步有效开展大数据研发、应用和整合,加强大数据理论研究和技术研究的重要性,建议以行业应用、移动互联网和工业互联网等为基础,推动大数据在具体应用领域的发展和完善。
随着互联网深入应用、云计算走向成熟,以及智能手机为代表的信息设备的大量普及,中国社会初步形成了信息社会的雏形。全国政协委员、神州数码控股有限公司董事局主席郭为对《中国电子报》记者说:“当前,迫切需要针对数据开放采取立法、建立标准、展开执行监督等一系列的措施,一方面规范数据开放,另一方面形成数据开放的倒逼机制,推动各级政府及相关社会组织实施数据开放。”
全国人大代表、上海市经济和信息化委员会副主任邵志清在接受《中国电子报》记者专访时表示,原来接触较多的是消费互联网,今年更多关注了产业互联网、工业互联网,展望未来,报告还特别讲到了新业态,用互联网的技术改造提升传统产业,提得非常好。
据了解,当前工业和信息化部正在酝酿工业互联网的整体架构。未来工业和信息化部将从智能制造切入,把互联网引导到工业企业、工业行业中去。
新产业生态体系正在孕育
在新一轮技术革命和产业革命风起云涌的大背景下,电子信息产业面临新机遇、新挑战。
牛弩韬认为,新一代信息技术革命提供了巨大的内生动力。爆发式增长的信息消费、加快发展的新兴产业、面临转型升级的传统产业提供了充足的市场机遇,新技术、新产品、新业态、新商业模式产生了众多的投资机遇。
实际上,全球的信息技术正在进入全面深化和变革创新的新阶段,正在向泛在、融合、智能和绿色方向发展,电子信息产业发展模式正在发生重大变革。新的产业生态体系正在孕育形成,全球信息产业面临新一轮“洗牌”,产业将迎来持续快速增长。
但刘烈宏认为,当前我国电子信息产业总体上处于低端锁定、跟随发展的状态,面临严峻挑战;自主可控、安全可靠的核心技术瓶颈仍未有根本性突破,产业基础相对薄弱,产业支撑能力亟待提升。
熊群力在接受《中国电子报》记者采访时也认为,电子信息产业自身发展也面临新常态,存在着“拿来主义”以及与工业制造业分离等问题,面临结构调整、产业升级、融合发展的重任。
面对新常态,电子信息产业应将追求发展质量和效益作为核心目标,在支持技术创新、业态创新、商业模式创新等多元创新发展上,要力争集中突破一批基础共性和核心关键技术,从根本上解决电子信息产业的创新问题,使电子信息产业迸发出新的活力。
全国人大代表、天津市工业和信息化委员会主任李朝兴强调了加强电子信息产业基础性研究以及发展新一代信息技术的重要性,他对《中国电子报》记者说,要力争在集成电路、新一代移动通信、重大装备、智能机器人等领域,集中突破一批基础共性和核心关键技术,提高我国工业基础能力与国产智能技术、产品和装备水平。
全国政协委员、上海市经济和信息化委员会副主任傅新华则关注到了电子信息产业领域中一些规划与实际操作的差距,提出要狠抓落实,脚踏实地,促进产业迈向高端。(记者 陈艳敏 徐恒 张轶群)电子政务信息安全
站内搜索:
您当前所在的位置是:辽宁林业厅>事业单位子网>省林业厅信息中心>基础建设>文件汇编
电子政务信息安全
发布时间:
来源:中国电子政务网
&o 信息化与信息安全
o 电子政务的信息安全
o 信息安全保障体系建设
第一节 信息化与信息安全
这一节主要涉及四个方面的内容
1.1信息化与现代网络
1.2信息安全的概念及发展
1.3我国的信息安全形势及主要问题
1.4信息安全对国家信息化的综合影响
1.1信息化与现代网络
1.对信息化的历史回顾
讲到信息化必须提到信息革命。信息技术的发展,把我们人类推到了一个新时代,我们称之为信息社会或者叫信息时代。信息革命,国内外都公认是人类第三次最伟大的生产力的革命,甚至提到像以前的农业社会,工业社会,现在是信息社会。在信息化社会里越来越多的提到数字化的生存,包括生活方式,包括生活的空间,包括时间,都在不断地开拓。信息成为信息社会中须臾不可离开的基本生活要素。全球范围的信息化推动了信息技术在政治,经济,军事,文化各个领域的发展,特别是最近五到八年,互联网络的起飞,把一个以网络经济或网络社会为主要特征的时代带到了我们面前。全球信息化的浪潮给我国的发展带来了十分难得的机遇。在信息化的发展过程中,信息安全的问题是一个事关全局的战略性的问题。
简单回顾一下世界的文明史,我们不难发现,二百年前,英国人瓦特发明了蒸汽机,他成就了英国作为一个日不落帝国,繁荣了相当长的一段时间。一百年前,爱迪生发明了电灯,贝尔发明了电话,美国抓住了这个机遇,成为很长一段时间世界的列强之一。五十年前 ,美国人又发明了晶体管和计算机,美国又充分利用了这个机遇,成为现在依然强大的超级大国。
这三次机会,很多研究现代化和研究历史的专家都提到,我们中华民族都没有抓住。建国以后,以农业为基础,工业为主导的方针使得中国从一个弱国变成了大国。但这还不是目标,当前新的形势下,中国的目标是要以信息化带动工业化,利用历史赋予的这几十年十分难得的战略机遇,全面建设我们的小康社会,成为世界强国。
说起信息技术,大家并不陌生,我们简单回顾一下它的发展,便能够感觉到它和我们的生活须臾不可分离。信息技术,我们接触最早的就是电报。十八世纪中到二十世纪中,通信技术得到了发展。 日,莫尔斯建成了从华盛顿到巴尔的摩的64公里长的电报线路,并且在这条线路上正式发了第一封电报,揭开了人类通信历史的新一页。1878年,贝尔和沃森在相距三百公里的波士顿和纽约之间成功地进行了电话通话实验,并且建立了后来闻名于世界的贝尔电话公司,从此电话得到了飞速的发展。
继电话之后,二十世纪六十年代,计算机进入了人们的生活。 日,美国宾夕法尼亚大学制造了世界上第一台电子计算机,叫埃尼阿克,这台计算机一直工作到日。日,美国IBM公司宣布,世界上第一个采用集成电路的通用计算机IBM360 系列 研制成功。我们国内还叫做电脑,电脑就是模拟人的思维和运算的现代化信息处理设备,就在那个时代问世了。大型的计算机问世以后,为了适应社会发展的需要,很快又出现了微机,就是台式机,笔记本电脑等等。今天,计算机已经从庞然大物变成了微型便携,进入了大众之家。我们国家已经能够生产从大型的银河机,到台式计算机,笔记本电脑以及掌上电脑,林林总总,多种多样。
2.信息化的发展趋势
从电报,电话到大型计算机,到微型机,到现在的网络,我们从这个发展历史中能够发现什么样的规律?信息化的发展趋势主要有以下四点:
第一点,信息的数字化。
无论是语音信息还是图像信息,都转换成全数字处理。信息技术发展以后,尤其是数字信号处理技术发展以后,各式各样的信息都采用数字化处理,这是第一个趋势。
第二点,通信计算机化。
现在,电话机和一个终端的计算机越来越没有区别了。微型计算机,笔记本电脑,可以在上边发传真,发邮件,通信和计算机紧密的结合起来了,通信设备,尤其是大量的通信的终端设备变成了程控化,计算机化,这是第二个趋势。
第三点,计算机网络化。
通信方式又和计算机的应用结合起来,计算机和计算机之间不是单台在处理信息,而是计算机和计算机之间联成了网络,也就是计算机与计算机之间用通信的方式联在一起,我们把它称之为计算机网络化。
第四点,网络 INTERNET化 。
自从 INTERNET 这个互联网络技术出现以后,它以一种很方便的方式把计算机网络,通信网络,各式各样的网络通过一种非常简单的方式相互联接起来。现在,越来越多的传统网络都向互联网络转化,越来越多的网络都采用现代互联网络所采用的技术模式和处理方式来处理信息。
这就是信息化的四个发展趋势
由于这四个方面的趋势,就使得信息技术的发展从计算机时代发展到现在的互联网时代,现在,我们把现在讲的用互联网络技术处理的通信网络、电话网络、互联网络等等,称之为现代信息网络。这些网络进入到社会以后,有一些什么样的基本的性质?这个问题在讨论信息安全的时候必须首先弄清楚。
3.现代信息网络的基本性质
现代信息网络有四个方面的基本性质:
第一,技术特性,我们称之为社会的基础设施。网络已经成为我们现代社会的基础设施。什么叫基础设施呢?水,电,气,交通,航空等等,这些业已存在的系统,是维持现代社会运转,维持国民经济运行,维持日常国计民生,全社会须臾不可离开的设施,称之为社会的基础设施。现在的网络,尤其是电信网,互联网也已经成为了社会的基础设施。
十年前,二十年前如果我们没有电话,没有手机,感到很自然,那时候电话可能是与权力、财富等等联系到一起的。今天,我们如果离开了电话,离开了手机,不仅仅是政府机关难以运作,就是普通老百姓也感到生活不习惯。这就说明信息技术已经从奢侈品,从与权力、财富相关联的特殊用品变成了社会大众须臾不可分离的东西,这就是社会基础设施的特性。
第二,文化特性。互联网是一种新兴的大众媒体。上过互联网的同志们都知道,互联网络上信息非常丰富,而且互联网络是用一台计算机和全世界所有上网的计算机联在一起,上面的信息确实是五花八门。大家既是网络的消费者,信息的消费者,同时又是信息的生产者。我们会在网络上看大量的信息,同时我们又可以往网络上放大量的信息,所以,很多人把互联网络比喻成一张无边无际的大报纸。互联网络的这种性质,是它的文化属性。它是一种新兴的大众媒体。现在很多政府部门,包括学术界都把它称之为:继书和报刊、广播、电视之后的第四媒体。书和报刊是第一媒体,广播是第二媒体,电视是第三媒体,网络是第四媒体。
第三,网络还有它的社会属性。这些年来,社会上非常热络的是电子商务,大量的商务活动也在互联网络上开展,那么网络又是一个经济交往的平台。不仅简单的做网络的支付,网上的采购,几乎传统社会里的经济行为,都可以在网络上找到它的生存环境和空间。所以,网络从社会属性上来讲,它又有经济交往平台这个特性,这也是目前国内外基本上公认的。
第四,网络还是国防和主权的存在。尽管互联网络打破了国界,把全世界所有的计算机都联在一起,但是,这个世界毕竟是由不同政治观念,不同道德文化,不同种族,不同信仰的国家以及民族,地区等组成的现实世界,互联网络以及现代的信息网络同样要反映这样的现实。所以,国家的利益,国家的主权,国防等等这方面的存在和意义,在网络上体现得也越来越多,这也是学术界,管理界和社会民众普遍都能够感觉到,而且认同的一种性质。
了解了现代信息网络的这些基本性质,我们才能够深刻体会为什么信息安全如此重要。
1.2信息安全的概念及发展
这里主要从历史的角度看今天讲的信息安全,是从怎样发展过来的,走过了哪几个发展的阶段;结合信息网络的基本性质,来看信息安全的基本内涵;客观分析今天高度关注的信息安全问题的原因;然后讨论一下信息安全问题的基本对策。
1.信息安全的历史发展
信息安全经过了这样几个发展阶段:
第一个阶段,通信保密阶段。年龄稍大的同志都知道,在网络没有出现之前,在电报,电话,传真那个时代,所谓的通信安全问题主要是个保密问题。从电报,电话发明之日起一直到七十年代,都是通信保密时代。这个时代的重点是采用密码技术解决通信保密问题,保证通信网络中传输的话音和数据能够不被别人听到,不被别人蓄意的篡改。当时通信网络遇到的主要的安全威胁是搭线窃听和敌对国家、敌对势力对通信内容的密码学分析。那个时代,主要的保护措施就是加密。
如果我们把使用通信技术作为电子政务最早的萌芽的话,那么密码机无疑是电子政务最早使用的信息安全设备。这个阶段产生了一些重要的标志。 1949年,美国有个科学家叫?,他发表了《保密系统的通信理论》,这是真正用信息技术解决信息安全问题的理论上的最早的贡献者。
当然,自从有人类就有了通信。回溯一下中国长达五千年的文明史,比如说长城上的烽火台也是一种通信设备。自从有了人类就有了战争,自从有战争就有安全和保密。有大量的方法,包括用暗语来保密,比如秘电码等。但这是传统的加密方式。
这个阶段的保密方式,有几个重要标志。
第一个重要标志,上个世纪四十年代到七十年代。1949年美国科学家?提出的保密系统的通信理论,不是简单的用一个文字,一个代号,一个密码口令来替代,而是用信息处理的方式对大量的通信进行保密。
第二个重要标志, 1977年, 美国国家标准局公布了数据加密标准,使得加密机可以广泛地在政府部门使用。
第三个重要标志, 1976年,由西方的三位科学家提出公钥密码体制。这是一种目前在网络上面利用最多的密码体制。
第二个阶段,计算机出现以后,信息安全进入了计算机安全阶段。这个阶段是从上世纪的七十年代到八十年代。重点是要确保计算机系统中的硬件,软件及正在处理、存储、传输的信息的机密性,完整性和可控性。
计算机出现以后,大量的信息在计算机里处理,怎么样保证处理信息的硬件和软件是可靠的,不会在把大量的信息放在计算机里以后,突然间计算机坏了。在计算机里面存储,处理,传输的这些信息一定要能保密,不能被不该看的人看见,不能被别人随意更改,也不能由别人来控制它,要由这个信息的主人自己来控制它。这很类似于我们在书本上记下的信息,我们希望能把它保存好,不被别人随意看到,把它锁好,就像保密文件一样锁到保险柜里面。而且,我们不希望写在纸上的这些信息被随便更改,我们还不希望它随便落到不信任的人手里。计算机的安全和我们平常处理文件的安全根本的道理是一样的,只不过我们的文件是在保险柜里处理,计算机里的信息是用软硬件来处理。
计算机安全的主要威胁不单是别人在通讯线路上听你的,或者是别人对你的东西进行密码学方面的分析,而且可能有人动你的计算机,可能有人拷你的磁盘,可能有人来破解你锁计算机的口令等等。所以在这个阶段提出的信息安全保护措施就是要构建安全的操作系统,要设计可以信得过的TCB技术(安全操作系统设计技术),是可信计算机系统。主要的标志是1985年,美国国防部公布了可信计算机系统评估准则。他们根据计算机处理信息安全保密级别的不同,把操作系统分成四类七个安全级别( D,C1,C2,B1,B2,B3,A1)。当时在单台计算机处理信息的时候,这种分类方法是非常可取的,为美国国防现代化和信息化过程中的信息安全起到了非常好的作用。早期,我们国家的政府和军队也都像几乎所有的发达国家和发展中国家一样,采用与这个标准相类似的方法来强化我们专用计算机的安全。后来,由于网络和数据库出现了,美国国防部又将这样的标准延伸到网络的解释和数据库的解释,1987年提出了TNI,1991年提出了TDI,就是可信网络解释和可信数据库解释,形成了一整套的序列。时值今天,这样的分类方法,这样的保护措施依然在我们的现实生活中和我们的安全产品里能看到。
第三个阶段,信息系统/网络安全。从上世纪 90年代以来,网络,尤其是互联网络,也就是计算机通信和信息处理紧密结合以后,出现了信息网络,信息安全就进入了信息系统和网络安全这个阶段。这个阶段重点是要确保信息系统和信息在存储,处理,传输过程中间,都不被破坏,要确保合法用户的服务和限制非授权用户的服务,以及必要的防御攻击的措施也都要得到妥善的保护。这个阶段强调对信息的保密性,完整性,可控性,可用性,可靠性,甚至是可维护性,可生存性等这些更宽泛内容。
过去,计算机里面的信息我们保证它像锁在保险柜里面一样,不被别人拿,不被别人改,不被别人随意使用。现在,在信息网络里,我们讲的信息安全是不仅要保证上述传统意义上的安全,同时还要保护整个网络本身的安全,把可靠性和可生存性这些特性也包括在信息安全的内容里面。
譬如说电话,不让通话内容被别人听到,这是一种安全。同样的,紧急情况下要使用电话,我也希望这个电话能够一拨就通,而不能因为网络繁忙就被停掉了。这些年来,我们海底光缆被人为的、被各种各样的自然灾害切断,隔断,都曾经导致过互联网的局部停顿。我们的民航系统,我们的大型信息处理系统,银行、金融,电信系统,也都出现过或大或小的系统停机或者系统停滞事件。从现代意义上来说,都不仅仅是一个技术故障的问题,而是一个信息系统的安全问题,或者叫信息网络的安全问题。原因当然很多,有的是技术的原因,有的是人为的,比如黑客的入侵,或者是像前不久还非常泛滥的病毒的侵害等等。所以,在这个阶段,安全的主要威胁是网络入侵,病毒破坏,信息对抗的攻击以及技术复杂性带来的一些挑战。
这个阶段主要的保护措施,就涉及到防火墙,防病毒软件,防黑客入侵设备, 漏洞检查 和扫描设备,身份识别设备,保密设备以及安全管理设备等等。
这个阶段的主要标志是由美国牵头,六个国家率先提出了一个新的安全评估的标准,经过长达五、六年的发展和更新,到 1999年、2000年,这个标准成为了国际标准15408,是信息技术安全性评估的世界通用准则。我们国家是这个国际标准法组织的成员单位。2001年,在国家质量技术监督局的领导下,由国家信息安全测评认证中心负责把这个标准 等同采用我们国家的一个推荐标准,叫做国标推, GB/T 18336。 这是一个重要的标志,从标准上面列出,保证网络和信息环境下的信息安全,要采用哪些措施,要防止那些威胁,在管理措施上,在其他方面上要采取什么样的策略。
在现阶段,网络与信息安全的要求,不是一个设备能够解决的。过去一台密码机就把加密的问题解决了。到计算机时代只有一台密码机是解决不了了,于是就有了访问控制,身份鉴别等等。到了系统和信息网络时代,出现了防火墙、加密机、入侵监测、防病毒等大量的满足不同需求,具有不同功能的安全设备出现了。这时,就要让它们形成一个体系,不能头疼医头,脚疼医脚,而是必须要有一个系统的,一揽子的解决方案,这就叫做信息安全的保障体系。
要做到一个网络和系统的安全,从最里层讲,有 人 的因素,物理的因素,有观念和意识的因素,有管理方面的因素。从网络本身讲,有计算环境的安全,即个人计算机或单位的局部网络的安全,要有边界的安全(网络接入到更宽阔的网络里边去,接入的边界是不是很安全),要有网络安全的基础设施,就是要有相应的提供安全服务的设备和设施,要有一整套的授权系统,就是哪些人能够访问哪些信息,和车在公路网上运行一样,哪些车能走哪条线,快车走哪条线,大货车走哪条线,什么地方应该停,什么地方应该等信号,也要一套完整的系统。
除了人和技术,网络运行也必须是很安全的。要对建设好的网络进行安全性的检测,要对网络的运行进行安全的监控,要确保它能够按照设计的目标正常运行,要不断对安全状况做出评估,而且还要准备相应的备份和灾难恢复的支撑,一旦这个网络垮了以后由哪个网络来替代。在这个保障体系里可以看到,人依然是安全的核心,这一点我想特别强调一下。现在讲技术角度很多,实际上,信息安全一定是管理和技术相结合的问题,技术永远是为人服务的。不仅信息安全是这样,所有的安全,包括卫生的安全,公共的安全,精神的安全,环境安全,经济安全等,人都是最重要的因素。在本质上,所有这些安全都是人类共同的安全。信息安全也一样,在信息安全里,人也是最最重要,最核心的因素,如果人不安全,所有的安全无从谈起。
2.信息安全的基本内涵
我们经历着从农业社会向工业社会的转变,工业化本身就是个技术化。现在又经历着从工业社会向信息社会的转变,尤其是我们是以信息化带动工业化,技术含量就更加高,所以,技术是一个不容忽视的问题。信息技术,国际社会把它叫做两用技术,用得好,它就能够产生很好的效益,为你服务,用得不好,它可能就会产生负面的效应。举一个例子,汽车、飞机,如果把安全问题解决了,处理得好,那么它是很好的,快速的,方便的交通工具,如果我们没有相应的安全保障,交通事故,飞行事故出现以后,会给我们带来相当大的灾难。大量的现代新技术都有两面性,或者叫做双刃剑。由于网络是个基础设施,它的运行也非常重要。信息安全涉及到人,技术和网络运行,就牵扯到人和技术的结合,从这个复杂的体系,我们就能够更好地理解信息安全的内涵是什么。
由于信息技术的发展已经渗透到社会的方方面面,因而信息安全问题也渗透到社会的方方面面。信息安全问题是由信息网络本身的属性决定的。信息网络主要有四方面的属性:
第一个方面,技术属性。信息网络是社会的基础设施,所以,信息安全方面的第一个内涵就是技术安全。信息保不保密,信息完不完整,信息视图可不可用,这方面如果出了问题,就会直接使社会经济受到损失。表现形式就是网络上出了一个安全事故,信息从网络上面泄密了,网络上面的数据被别人更改了。比如说炒股票的时候,报价的信息,十块钱的变成了一块钱,错了一个小数点等等,这些安全事故都能够造成直接的经济损失。
第二个方面,文化属性。现代网络是一个新兴的媒体,它带来的信息安全问题还是一个文化安全和理论安全的问题,包括信息内容的健康,积极和可控。不要以为这是在网络上边讲空洞的、抽象的政治。像美国那样的西方发达国家,都把互联网络,现代网络按照媒体来管理。一定要非常关注网络内容,如果不能得到很好的管理,不够健康和积极,就会直接影响到社会稳定,政治稳定。就会影响到道德,文化,影响到整个社会的信任机制。网吧出现以后,很多家长,很多学校提出要求,希望限制孩子上网,限制未成年人上网吧,限制未成年人浏览互联网络的不健康内容,就反映了这方面的社会要求。当然我们不是反对年轻人,尤其是未成年人上网,信息技术也应该从娃娃抓起,但是,我们一定要给孩子以正确的引导。因为信息技术是一个非常复杂的技术,互联网络的属性非常复杂,是一个新鲜事物,上面很多内容就连我们成人都还难以完全把握和控制,孩子如果没有很好的引导,不加约束的上网,就很容易受不良信息的影响,尤其是一些有害的,像色情、暴力、毒品等等这些信息的影响。
第三个方面,网络成为经济交往和社会交往的平台。网络是一种新的社会形态,信息化社会是一个可以触摸的,每天都可以感受到的新的社会形态,所以,它也会出现政治问题,国家安全问题,经济安全问题和社会安全问题。网络社会同样有它的政治秩序、经济秩序、社会秩序。网络是不是无法无天,无人管呢?不是,网络空间是人类社会的一个延伸,我们从农业社会进入到工业社会,不因为有了汽车,有了飞机,就可以在汽车、飞机里不遵循社会的公德和法律。在网络空间里,我们依然要受到社会的法律约束与道德约束。如果失去这种约束就会影响到经济发展,影响到社会稳定。
第四个方面 ,信息安全的内涵是它的主权存在,涉及到军事安全和国家安全。比如信息战,经济上的信息对抗等等,直接影响到国家与国家之间的军事冲突和信息对抗。
了解信息安全多方面的内涵,对我们理解电子政务中的信息安全是非常重要的。
信息安全是一种集体安全,它和军事安全,政治安全,经济安全,社会安全,环境安全一样,是我们人类社会发展中遇到的一种新的安全形式。
信息安全和所有其他的集体安全一样,有共同的性质。由于信息空间是物理世界的延伸和扩展,它与现实世界没有本质的区别,那么信息空间的威胁也是现实的,是我们这个物理空间威胁的一个自然的反映。信息空间的犯罪,网络上的犯罪,除了直接的杀人以外,社会上能看到的犯罪,偷窃、欺诈、破坏、剥削、勒索等等网络上面也都已经有了。我们感觉到网络社会与现实社会基本上是相同的,所以,信息安全问题和人类其他的安全问题一样,有着普遍的意义。但是,作为一种新的安全形态,信息安全又有它特殊的性质。信息安全是一种非传统的安全,就像 SARS,像大规模的传染病也是一种非传统的不安全因素,信息安全和过去的物理社会的看到的事故,像桥被炸了,飞机掉下来了等不大一样,有它的特殊性,我们归纳,主要有五个方面:
第一,自动化成为安全的具大隐患。信息化以后一切都自动,都是数字处理的,给控制和管理带来了挑战,一旦管理不好,控制不当,立即就会产生安全性的问题。比如,过去我们坐马车,在农业社会,马车翻了以后,损失是可能有人死了,但是和汽车翻掉以后死的人是不一样的,和飞机出了事故以后的损失更是不一样的。同样是交通工具,区别在哪里?关键就在于速度,在于自动化。信息网络的传递速度要比汽车、飞机快得多。
第二,行动的远程化使得安全管理面临挑战。联网以后,安全管理不是只管住自己这个网络就可以了,不是个人自扫门前雪,不管他人瓦上霜。你是和其他的人联系在一起的,和整个电子政务体系是连在一起的,加入互联网络以后,你甚至和全世界的网络都联系在一起,那么破坏你的这个网络的人或者是对你这个网络构成伤害的人,完全有可能不在本地,不在你的办公室,他可能来自于你的单位之外,甚至来自于我们国家之外。这就是行动的远程化。中国的一个网站被攻垮了,攻击的来源可能在美国。美国一个网页被黑掉了,攻击它的来源可能在中东。所以远程化是非常重要的一个特征。
第三,技术的传播特性使安全问题的产生机制难以控制。网络技术传播非常快,好技术传播非常快,破坏性的技术传播也非常快。在网络上,从美国往中国传递一个黑客破坏软件或者传播一个病毒,还不到一秒钟。产生快,控制起来就很难,要将一个枪支,一个爆炸品从一个城市带到另外一个城市,控制起来相对比较容易。而通过网络把一个破坏性的工具从一个国家传到一个国家,一个城市传到另外一个城市都是在微秒之间,只要鼠标轻轻一点,顷刻之间就传过去了。这是信息安全的第三个非常突出的特性。
第四,复杂性使得安全问题防不胜防。谁也没有想到网络是如此的复杂。现在,光是在中国,互联网用户就已经五、六千万。有一个预测,到2010年以后,我国互联网用户,包括手机用户,绝对是世界第一。那么多形形色色的人,那么多设备,那么多应用联在同一个网络上,想想多么复杂,复杂就容易产生问题。
第五,网络的虚拟特性。我们在网络上面相互可以传递信息,但是可以不见面。这个特性也给信息社会的安全带来很现实的威胁。过去我们面对面能够解决的问题,现在可以不见面来解决了,由于不见面,以后很多需要面对面才能确认的问题,就面临着威胁。我怎么相信你?如果说网络上连这种基本的信任机制都没有,那么电子政务,电子商务怎么来开展?买家或卖家,处长或科长,干部或群众在网络上没法区别。
信息安全的这些特殊的性质不仅仅是技术问题,必须要从政治和技术相结合,管理和技术相结合,人和技术相结合这些角度来理解网络与信息安全。
网络是技术和社会相结合的产物,信息安全就可以归纳为两类,一类是内容的安全问题,这主要涉及到舆论和政治,包括不良信息,有害信息,犯罪信息。另一类是网络安全的问题,主要是指关键基础设施。
电子政务所建立起来的信息网络和重要的业务应用系统,比如税务、海关、银行、电信、电力等这样重要的应用系统,受到黑客的攻击或恶意的破坏,出现了技术故障,影响了运行的安全,或通信保密方面出了问题,应用上出了问题,或者遭受到病毒的侵害,或被人进行了技术性的滥用,这样产生了十分严重的信息安全问题。目前不仅仅我们国家,几乎全球,只要是做信息化的国家都会遇到这两类问题。
3.产生信息安全问题的原因
关于形成信息安全问题的原因,我想引用美国科学家?的话,他被称为互联网络之父,是他设计和发明了今天的互联网。有记者曾经问他互联网络最大的好处和最大的坏处。他就说了下面这两句话:第一句,互联网络最大的好处是你和所有的人都连在一起,第二句话,互联网络最大的坏处是你和所有的人都连在一起。这就叫互联网悖论,这是安全问题产生的根源。网络希望广泛的、大量的联接,而安全要求的是严格、准确的控制。就是这个广和泛产生了信息安全问题,这是最本质的原因。
人类认识真理和实践都有局限性。同样,技术也有局限性。做信息技术的人都知道没有一个软件不存在漏洞。现在用得最多的微软操作系统软件,代码有五千多万行,是很多人共同编的。五千多万行的软件代码,中间只要出现一丁点的字母错误,设计错误,逻辑错误,循环错误,哪怕是一个非常小的,用信息业术语讲就是一比特的错误,都会给整个庞大的系统带来问题。所以,就像所有的安全问题一样,信息安全也是由于人类的局限性引起的。
脆弱性。我们的环境,系统,人员,管理都有它的薄弱环节。信息化毕竟是一个新鲜事物,我们还不能像使用汽车一样方便地使用飞机,开飞机的人比开汽车的人少得多,那么开汽车的人又比开马车或者骑自行车的人少的多,就是因为技术程度越高,越复杂,缺陷和不足也越多。
复杂性。互联网络,以及应用包括用户,实在是太复杂了。最近这五年,西方国家的科学家每年都要画一张互联网络地图。我看了 2002年的互联网络地图,画在一张彩色的画面上,眼看上去和人的大脑没有什么区别,密密麻麻,非常复杂。软件也复杂,网络本身复杂,宏观上复杂,微观上更复杂。这种复杂性是产生安全问题的又一个原因。
还有一个原因是和这个悖论一样,是开放性。这些因素导致了信息安全问题。
4.信息安全问题的对策-风险管理
信息安全问题会带来这么多的麻烦,并不是说就没法管理,没法控制了。我想特别强调的是信息安全是人类发展中遇到的一种新的安全问题,和其他的安全问题在本质是一样的,我们人类必然有智慧来有效地管理它。
必须按照风险管理的方式来处理信息安全问题。没有必要等到把这个世界上信息安全问题消灭得干干净净,再来搞信息化。我们必须妥善地控制风险,就像飞机是安全的交通工具,但并不表明飞机就不出事故。汽车是安全的交通工具,但是并不表明汽车不出交通事故。信息安全也一样,要用一种平常的心态来看待信息安全。现在国内外普遍采用的一种方式就是用风险管理的思想来管理和处理信息安全问题。
目前国内外通用的,解决信息安全的基本策略,有这么三个手段:先进的技术,严格的管理,威严的法律。
先进的技术是指信息安全是以技术安全为最本质特征,所以要以高技术对付高技术。
严格的管理是指信息技术和网络是人类使用的工具,是最现代化的工具,管理尤其重要。很多专家提出,信息安全应该是三分技术,七分管理。把管理看的很重要。当然严格区分几分和几分这个数量的关系很容易引起一些误解,我们要强调的是一定要从人和机器、社会、技术相结合的角度来处理信息安全问题,所以,管理非常重要。
威严的法律就是要规范网络上的行为。
在这三个手段综合治理的过程中,管理是核心,技术是手段,法律是保障。
通俗地讲,信息和网络的安全就是要做到:不想让他进来的,要让他进不来,不想被别人拿走的,要让他拿不走,不想被别人改掉的,一定改不掉,不想被别人看懂的,一定让他看不懂,如果谁来做了危害信息安全的事情一定能把他查的出来。还有,保证整个网络打不垮。
1.3我国的信息安全形势及主要问题。
1.我国面临的信息安全形势
信息安全的形势从大的方面讲有这么几个:
第一,网络系统日益复杂,安全隐患急剧增加。随着我们国家信息化进程的推进,信息技术使用越来越普及,信息网络的复杂性越来越大。 1992年微软的WINDOWS3.1操作系统的代码只有三百万行,到2000年, WINDOWS2000就超过了五千万行。网络攻击的重点无论是内部系统,还是远程拨号,互联网,都在逐年增多。
第二,应用环境快速变化,安全风险越来越大。信息化是社会化推进的进程。随着商业需求,客户应用,网络环境,操作系统,协议,人员,物理环境等等方面的变化,信息化的发展日新月异,使得我们面临的安全风险也不断的增多。 这些年来被黑客攻击最多的三大操作系统,一个是微软,一个是UNIX,一个是cisco ios。 。
第三,网络联通更加广泛,恶意连接防不胜防。过去几台计算机一联就成了一个局部网络,后来,局部网络和局部网络联在一起,成为广域的互联网络。现在进入了超大规模、巨型复杂的互联网络。过去我还知道谁跟我联,到后来根本就没法确认有多少人联在这个网络上面,你平常都和谁联在一起。由于大量不知名,不知姓的用户联在网络上,所以莫名其妙的,难以预测的攻击就越来越多。
美国FBI也对这前五年网络攻击的来源做了一个统计,发现来自外国政府,外国公司,黑客,以及商业竞争,公司内部不满员工的攻击都有。林林总总非常复杂 。
第四,网络用户快速增长,黑客攻击连年翻番。过去是可以度量的用户,现在是数以亿计的用户联在这个互联网络上。 2001年发生网络攻击行为最多的十个国家,美国排第一,我国排第二。那一年被 攻击最多 的十个国家,美国也排在第一,还好前十名里面都没有我们国家。越是信息化发达的国家越容易受到攻击。
第五, 网络匿名 显露弊端,道德伦理面临挑战。互联网是一个虚拟的空间,电子政务网络也是虚拟的,你不知道对方是谁。过去,这是一个很好的优点,你可以匿名,可以不要求实名,所以,很容易上网,很容易发展。但是现在,出现了弊端。我这里引用互联网络界最著名的一张漫画,两个狗,一条白狗和一个黑狗也在上网,白狗比较迟疑,不敢去敲键盘,黑狗对白狗说,别害怕,在网络上没有人知道你是只狗。说明拟名这个特性也有两面性。现在很多网络攻击行为,包括对信息的窃取等等都和这个拟名的特性有关。
这些年来篡改网页的事件,由于拟名,很难查到破坏者。由于信息技术越来越发展,破坏性的,攻击性的软件和工具越来越方便,对攻击者知识的要求也越来越低,所以,入侵攻击能力的发展同样是很大的威胁。
2.我国主要的信息安全问题
总结这五年来,我国在信息化发展过程中遇到的安全性问题有十一个。
第一,通过互联网络,海外的 民运 和分裂势力开了不少网站,他们利用电子杂志,邮件和电子广告牌加紧反动鼓噪。为什么要专门作为一个问题提出来,就是因为在电子政务建设中要高度关注这个问题。现在,我们越来越多的政府网站,尤其是国家公务人员的电子信箱里,莫名其妙的都会收到这些电子杂志,电子信件。很多人认为这是一种垃圾邮件。最近,国家互联网协会在反垃圾邮件方面做了很多努力,尽管这样,这个问题还是长期存在,值得引起大家的关注。
第二,国外的反华集团和组织利用网络媒体进行渗透和宣传。尤其是我们防非典期间,从网上看,造谣中伤的,看笑话的,很多。国外的反华势力也有相当多的网站专门对我们的人权问题,社会发展问题,社会热点问题做不客观的,挑唆的,鼓噪性的评论。这也是我们在电子政务建设中需要关注的。
第三,各种不良信息在网上泛滥,严重影响了社会稳定。
第四,台湾利用网络进行宣传,大搞网络外交,谋求所谓国际信息空间。
第五,国内的 民运分子 加大了网上的活动。“ 民主政党”活动值得我们政府各个部门更多的重视。
第六,邪教和封建迷信活动抬头,传销和传教增多。估计也会很容易渗透、影响到我们的政务网络。
第七,国外情报机构加紧利用网络搞窃密,黑客攻击、网络泄密隐患较大。
互联网络出现以后,政府内部的“失窃”案件逐年增多,一个原因就是我们一些政府网站、电子政务系统的建设,在没有安全保障的前提下就仓促上网了。为了形象工程,为了赶进度,为了各式各样的原因,马上把好多信息放上去,安全保障都还没做好,结果导致过去国外情报间谍机构需要大量的资金,要克服相当多的困难才能获得的东西,通过网络轻易就获取了。第二个原因就是我们的内部人员或者知情人员在使用网络的时候,有意、无意地造成泄密。是对网络的传播特性和它的广泛性以及安全保密的隐患认识不足导致的。第三个原因是承担政府信息系统建设的公司背景太复杂。找一间公司把网络建起来了,结果我们的领导,一把手,二把手,三把手,甚至省长,书记,他们的网络邮箱是什么,号码是什么,这个公司比咱们还清楚。平常,办公厅,办公室,通过门卫能够做适当隔离,在网上则没有,很多信息,不良的信息通过网络就直接到了我们领导计算机里。第四个原因,在信息技术上,特别是在芯片、操作系统、应用软件方面受制于人。我们的技术产品,特别是安全产品,通过我们安全认证的,也就是符合国家标准要求的,能够真正派上用场的还是比较少。现在安全工作还刚刚开始,可以利用的和可以获得的,通过认证的产品还不多,这些原因造成了近年网络方面的失窃率增加。
第八,国外网络侦控力度加强,对我加紧技术渗透,特别是信息安全技术方面,渗透强烈。据我们了解,美国,英国,法国等西方国家针对互联网的安全监控,不仅逐年加强,而且早在911发生之前就已经形成了联盟。尤其是911以后,他们基本上能够控制到每一台计算机和每一个电子邮件。美国政府支持他们的公司,尤其是信息安全公司向全球卖他们的产品,因为里面的安全机制能够为美国政府利用。我们国家在这方面制定了相应的政策,并限制他们的产品在我们国内使用,但是,我们发现不少公司采用赠送,配套,试用、合作等方式还是将这些敏感的信息安全产品放到了我们政府的部门,有的甚至放到了敏感的部门。现在我们使用的一些软件、芯片,甚至还有些户门,有回传功能,能够把信息通过网络传到国外去。如果我们用了这样的机器,不对它进行相应的处理,不对它进行安全的配置,风险是很大的。
第九,国际间信息化发展程度不一,数字化鸿沟客观存在。我们在信息化发展过程依然是一个发展中国家。信息化发达的国家会对信息化不发达的国家形成一种压力,形成一种利益上的侵害。在几大洲之间总有这么一两个国家是占主导地位的,这一两个国家能获得信息优势,政治优势,经济优势和技术的优势。
第十,网络病毒泛滥已经成为网络公害。例子很多,所有和计算机接触过的人都知道病毒的危害性。
第十一,计算机犯罪逐年上升。我们国家计算机犯罪增长速度已经超过了传统犯罪的增长速度。1997年,公安部门统计,只有二十几起,98年就到140多起,99年就到900多起,2000年上半年超过了1400多起。计算机犯罪要引起我们的重视。
1.4信息安全对国家信息化的综合影响
信息安全对我们国家信息化发展有综合的影响,它会影响到我们的政治,经济,社会,军事方方面面。
1.对政治安全的影响
信息化发达国家,很容易对信息欠发达的国家行使信息霸权。通过信息的传递,传播和扩散,对一个国家的舆论构成压力和威胁。因为信息化就是传媒的革命,对文化和文明提出了新的挑战,在一张互联网络上有西方文化,有东方文化,有儒家文化,有伊斯兰文化, 这些文化之间,客观上是存在着冲突的。
2.对经济安全的影响
现在,我国银行系统信息化程度是比较高的。现在金融业的特点就是网络化,信息化。证券,炒股票是最典型的信息网络,股票交易在深圳和上海,但是我们全国各地通过网络,到股票交易营业部就能看到报价信息,这就是最典型的网络化经济模式。金融网络系统的这个特点极易成为攻击目标。国内外,与经济和金融相关的网络攻击事件有很多活生生的例子。
3.对社会稳定的影响。
由于现代信息网络是现代社会的一个基础设施,就像民航系统出了问题,成千上万的旅客就要滞留在机场。银行出了问题,我们的提款,支付,消费行为就会受到影响。供电,电力系统出了问题,正常的生活就会受到影响。所以,国外把这些都叫做关键基础设施。我们国内把它叫做重要的应用系统。这方面一旦出了问题,就会直接影响到社会的稳定。
4.对军事国防的影响
对军事和国防方面的影响,就更不用说了。以前我们讲武装到牙齿,那么现在呢,是武装到眼睛,也就是说所有东西都信息化了。前线的战士不用直接用眼睛看敌人,看的是一个仪器,这个仪器替你去侦查,给你提供完整的信息,甚至给你提出下一步行动的建议。
5.信息安全问题的可能后果
总结这种综合的影响,我们会得到这样的结论,信息安全问题如果处理不好,就可能给社会带来综合性的后果,比如说舆论失控,政治上的被动,经济上的损失,社会动乱,军事的失利以及道德文化的沦丧。正因为这样,我们国家从中央政府到各地方政府,到普通的老百姓都要高度关注信息安全问题。
第二节 电子政务的信息安全
第二节主要讲两方面的内容:我国信息安全管理现状,电子政务建设的信息安全。
2.1我国信息安全管理现状
国家为了适应以信息化带动工业化这个基本发展策略,把信息化作为我们抓住战略机遇,建设小康社会的重要战略举措。中央在十五发展规划的建议里,关于信息化的描述是这样的,“大力推进国民经济和社会信息化,是覆盖现代化建设全局的战略举措。以信息化带动工业化,发挥后发优势,实现生产力的跨越式发展。”在未来的几十年内,信息化是我们国家将紧紧抓住的发展机遇。在信息化的发展过程中,如何保障,妥善处理好网络与信息安全的问题,使得我们在信息技术的使用上能够趋利避害,使信息内容的发展能够健康,积极向上,符合三个代表的思想。中央在十五规划建议里对信息安全问题做了明确的论述,明确提出要强化信息网络的安全保障体系,为国家信息化的发展保驾护航。最近几年,国家采取了多方面的措施:
o 国家加大了宏观管理力度。
2001年8月,中央政治局常委决定,成立我们国家最高层次的国家信息化领导机构,重新组建了国家信息化领导小组,综合协调我们国家政治、经济、文化、军事等各个领域的信息化和信息安全工作。
o 强化信息安全管理体系。
党和国家长期以来一直十分重视安全保密工作,并且从敏感性,特殊性和战略性的高度把安全保密工作自始至终置于党和国家的绝对领导之下。中央机要管理部门,国家安全机关,公安机关和国家保密主管部门分工协作,各司其职,形成了维护国家信息安全的管理体系。上述各部门在最近五到八年期间都针对信息化的发展,在自己的职责范围内积极、主动地做了大量信息安全管理工作。
o 加强了基础设施建设,强化国家对信息安全的管理。
这五年内,中央批准成立了两个非常重要的机构,一个是国家信息安全测评认证中心,负责管理和运行国家信息安全的测评认证体系,对信息安全产品,信息系统,对提供信息安全服务的单位以及提供信息安全服务的人员进行测试,考试和认证。第二个重要机构是国家计算机网络与信息安全管理中心,负责管理和运行国家计算机网络的内容监控和应急协调工作。这两个机构目前都在国家信息安全管理中发挥着技术支撑的作用。
o 重视信息安全技术,积极推动产业化。
国家把信息产业的核心技术,包括硬件和软件的研究与开发放在了优先发展的战略地位,大力发展具有自主产权的信息技术。信息安全作为信息技术的重要技术,这些年来也得到了快速的发展。首先是基础研究获得了空前的重视。科技部的 863计划,973计划都将信息安全作为重要的主题予以支持。国家计委,信息产业部也在大力推进信息安全技术的产业化。同时,国家也在积极的制定相应的技术标准,以适应加入WTO以后的新的形势。信息安全的学术研究也非常活跃,大家从媒体上能够直观的感受到这一点。
我们做了一个总结,国内在下面十项主要的技术上取得了进展,而且目前已经有成熟的,可以利用的产品。
( 1)加解密技术。传统的密码技术结合网络环境提出了新的加解密技术和相应的设备。
(2)防火墙和访问控制技术。在网络上防止非法访问的技术。
( 3)识别和鉴别技术。在网络上解决你是谁,你有什么权限,你做什么等等识别和鉴别技术。
( 4)防病毒技术。
( 5)入侵防范和检测技术。
( 6)安全性测试和评估技术。
(7)内容监测和监控技术。怎么能方便看到想要监视的内容。比如单位的员工是不是一天都在网络上看不健康的内容,或者说利用政府的资源在做自己的事情?对人们在网络上的这些行为,一定要有相应的技术的手段来全面掌握。
(8)信息审计和取证技术。谁在网络上做了些什么,应该有相应的记录而且能够取得到相应的证据。
(9)网络隔离技术。怎么把保密的网络和非保密的网络用一种技术的方法,把它隔相对离开,能够保证机密的信息不至于通过网络泄露出去。
( 10)PKI/CA技术。网络信任机制。网络上的授权、网络上发身份证,发工作证等这样的技术。
o 国家条例和管理办法。
国家推行了一项与信息安全相关的管理条例和办法。在 2002年之前,国家在过去的法规的基础上,新颁布了商用密码管理条例;颁布了互联网信息服务管理办法;颁布了电信管理条例;尤其重要的是,号,全国人大常委会通过了关于网络安全和信息安全的决定,决定从保障互联网的运行安全,维护国家安全和社会稳定;维护社会主义市场经济秩序和社会管理秩序;保护个人、法人和其他组织的人身、财产等合法权利等四个方面界定了构成犯罪,依照刑法有关规定追究刑事责任的十五种行为。这是2000年底以来,国家安全机关,公安机关,依法打击网络犯罪的有利武器。
o 出台相应的管理政策。
仅 2002年4月至8月,广电总局,文化部,信息产业部,公安部,新闻出版总署等部门,针对网络和信息安全,公布了相应的管理规定。
o 部署网络与信息安全的应急工作。
针对 2002年我们国内互联网络和广电网络以及重要的应用业务系统上相继出现的一些安全事件,国家网络与信息安全协调小组统一部署协调了全国的安全应急工作,提出了“谁主管谁负责,谁经营谁负责”的信息安全的基本原则。并且加强了对互联网的内容安全,广电网络的播出安全,基础通信网络的传输安全和重要应用系统运行安全等方面的工作,起到了很好的效果。
o 开展信息安全专项治理。
互联网安全的专门的治理,如北京蓝极速网吧失火案发生以后,对全国的网吧经营活动进行了专项治理;去年对卫星接收和发射的设备设施进行了专项治理;同时对 IP电话业务的非法经营所带来的信息安全问题也进行了专项的治理。
o 推动信息安全保障工作。
包括成立国家技术安全标准委员会,加强网络信息安全的管理,推进信息安全基础设施的建设,强化电子政务的安全保障,完善相应的法律和法规,推动相应的高校建立信息安全专业人才的培养等等,从方方面面推进信息安全保障工作。
2.2电子政务的信息安全。
1.电子政务概况
电子政务建设是我国信息化发展的龙头。电子政务建设的主要内容,是要使政府行政办公实现信息网络化;政府对社会服务和对社会的管理要实现信息网络化。能不能够保障网络和信息的安全,确实是至关重要的。
国务院信息办作为推动电子政务的主导单位,对电子政务建设提出了四项原则,叫做“需求主导,推出重点;统一规划,加强领导;统一标准,保障安全;整合资源,拉动产业”。其中第三项就提到了保障安全。
电子政务建设的主要任务,第一期工作里主要是“两个平台,一个门户;四个数据库;十二个业务系统和基础性的工作”。
为了讲安全,我们需要了解一下网络的 拓朴结构。 各部委现在讲信息电子政务,无非牵扯到两个大的领域,一个就是各部委的电子政务建设,一个就是各省市地区电子政务建设。部委和地方政府都有一个 分级构建 的基本结构,安全问题和这个结构是分不开的。目前是中央政府,省政府和地方政府这三层网络结构,我们的安全也要覆盖到这三个层次。
2.需要保护的网络资源
从安全保密的角度讲,需要保护的资源包括政府使用的硬件,软件,政府管理产生的数据,公务员用户,正常的政府业务,政府的网上业务。
3.电子政务系统安全威胁
这个三级网络结构里面的用户资源,都要进行保护。因为电子政务系统面临着诸多的安全威胁。包括黑客的攻击,计算机病毒,包括陷门和隐蔽通道,包括 电子嗅探 ,电子欺骗,口令攻击等等,前面讲到的信息网络可能面临的威胁,在电子政务的网络里毫无例外的都会遇到。
从现在我们了解的情况看来,无论是部委还是地方建设电子政务,比较普遍的安全隐患有以下几个方面:一个是安全保密措施不太得力,难以抵御常规性的网络攻击。二是内部管理控制不严格,失密,泄密难以防范。三是不知道采用什么样的信息安全策略,技术措施五花八门,今天买这个,明天买那个,但是效果不是很好。四是工程管理缺乏严格的安全保障和质量保障体系,有的业务外包,有的工程外包,技术防线没有真正建立起来,这也造成了很大的隐患。最后一点是对技术安全把握不够,普遍反映对安全问题心中没有数。很多信息中心主任谈的最多的一点就是,到底怎么样才安全,实在是没有底。很多年前有一位领导曾经讲过,讲到信息安全时就像茫茫夜空中望着星星一样,深不见底。现在这个情况在电子政务建设中比较普遍。
电子政务最常见的安全问题,有这几个:
第一个是网站被黑。这是首当其冲的一个,尽管它的危害不是很大,但是作为一个政府门户,政府网站,涉及到权威性,涉及到政府的威信,如果很容易被别人黑掉,对政府的形象是个很大的影响。
第二个是数据被篡改。政府的管理数据,包括工商、税务、行政命令等等,如果出现了更改,会产生非常严重的后果。
第三个是数据被偷窃。偷一个文件还能够发现的,偷一个数据,给你拷走一份,原来的那一份还在,难以发现。
第四个是秘密泄露。政府的政务信息通过网络泄露。
第五个是越权浏览。就是看文件,该是局长看的,可能处长他也能看到,甚至科长也能够看到。
第六个是非法删除。就是对某一位公务员或者对某一位职工不好的记录,他可能进入到这个机器里,把对他不利的一些内容删除掉。
第七个是病毒感染。
第八个是系统故障。
电子政务的信息安全除了技术以外,在管理方面也有相当详细的要求,包括组织体系,包括标准法规,包括各种保障措施。
4.电子政务安全体系框架。
根据国务院信息办和国家发布的有关建设电子政务文件的要求,对电子政务的信息安全提一个体系框架,包括下面几个方面:
第一方面,安全策略。安全策略就是“国家推动,社会参与, 全局治理 ,积极防御,保障发展,适度安全”。这是电子政务信息安全的基本的策略。国家推动是指国家要从政策法规方面有一个引导,同时,需要社会广泛的参与。因为信息化是一个全社会共同参与的进程,电子政务也不例外。 全局治理 ,积极防御是指信息网络是一个全网全程的概念,电子政务是把各级政府,各个部门通过信息技术联系在一起,是提高政府办事效率,增加政府管理透明度,更好为社会服务的现代化手段。所以,它的安全保障不是局部的,不是头痛医头,脚痛医脚,必须是全局的,综合的治理。而且也不能是被动的,要积极防御,既要有效控制现有的安全风险,又要有相应的手段防止可能出现的安全性问题。保障发展和适度安全是说安全没有绝对的,永远也没有绝对的安全,一定要处理好发展和安全的关系。发展是第一位的,安全是为发展提供保障和支持。我们抓信息安全,不是要制约信息化的发展,不是要影响,阻止电子政务的发展,而是要有效的保障,促进电子政务的发展以及信息化的发展。信息安全工作的最根本的目的,是要使我们国家的信息化建设和电子政务建设能健康,可靠,安全。这是基本的安全策略。
第二方面,安全法规。现在,我们已经有了一些相应的法律和法规,但是还需要适应信息化和电子政务的发展,制定新的法规。国务院法制办和国务院信息办会同有关部门正在积极就保密与公开,电子文档的合法性,电子签名,隐私权的保护等等制定相应的法律和法规。
第三方面,安全管理。要按照中发17号文件的规定,对涉密网和非涉密网,对涉密信息和非涉密信息,对安全域和非安全域要进行安全性划分。对电子政务的工程建设要进行监理和监督。对信息安全产品的采购要进行管理。辅助性的支持机制,也要逐步的建立起来。
电子政务中安全保密和公共服务的关系是正三角和倒三角的关系,是相互各有侧重和相互弥补的关系。从中央权力机构到省级权力机构,到地级,到市局,安全保密的范围要求是逐步缩小。对公共服务,是公开的,服务是越来越大的。
在电子政务建设中,很多人会遇到安全域的问题,安全域是以信息涉密程度划分的网络空间。涉密域就是涉及国家秘密的网络空间。非涉密域就是不涉及国家的秘密,但是涉及到本单位,本部门或者本系统的工作秘密的网络空间。公共服务域是指不涉及国家秘密也不涉及工作秘密,是一个向互联网络完全开放的公共信息交换空间。 17号文严格规定,政务的内网和政务的外网要实行严格的物理隔离。政务的外网和互联网络要实行逻辑隔离。按照安全域的划分,政府的内网就是涉密域,政府的外网就是非涉密域,互联网就是公共服务域。国家有关研究机构已经研究了安全网闸技术,以后根据需求,还会有更好的网闸技术出现。通过安全网闸,把内网和外网联系起来。
政务内网和外网的划分原则。政务内网是指副省级以上政务部门的办公网,与副省级以下政务部门的办公网是物理隔离的。政务外网就是各政府的业务专网,主要运行政府部门面向社会的专业性服务业务和不需要在内网上运行的业务。
国家政务内网和地方政务内网是一个逻辑性的结构,中央级各部委和省级各厅局之间是通过国家统一的网络平台连接起来的,构成国家的政务内网。地方的政务内网是省到地市,以省统一的网络平台连接起来。地市到县市就没有做出严格的规定。
更形象一点,电子政务的信息系统,它的结构和安全域的划分是这样的,政府内网是中央机关和省级的各部门自成一体的一个网络,政府外网是各部门以及各地方运行的一套网络,外网是公共运行一套网络。由于网络本身非常复杂,而且相互之间是交错在一起的,甚至在传输上都利用一个公众电信传输网络,所以,这仅仅是一个逻辑示意,不是严格的,实际的网络划分。
第一期政府电子政务所建成的网络是各方面彼此相连,又能够分清层次的,多层次、多保密机构的,非常复杂的运行政务的网络。
第四方面,安全标准。国家成立了信息安全技术委员会,正在就安全管理,PKI,信息安全产品接口,电子文档的 密级 分级与标识,电子签名,应急处理等涉及到电子政务的这些方面的标准也在紧锣密鼓地进行制定中。
第五方面,安全服务。包括安全评估,风险分析,系统设计,测评,人员培训等等这些服务,也在国家相关职能部门的努力下,积极开展。
第六方面,安全技术和产品。主要有八类。第一类, VPN,就是密码机,保密传送设备。第二类,防火墙。第三类,安全网闸。第四类,入侵检测和漏洞扫描。第五类,防病毒。第六类,审计系统。第七类,PKI/PMI。第八类,安全应用工具。这些是目前电子政务需要使用的产品。
第七方面,安全基础设施。为了运行电子政务的内网,外网,国家还需要建设一些信息安全的基础设施,除了国家计算机网络与信息安全管理中心、国家信息安全测评认证中心以外,还会建立 PKI/KMI这样的中心,应急处理与灾难恢复中心,病毒防治与服务体系,安全测评与认证体系。就像工业化社会的公路传输网络,需要相应的配套设施来支持它正常运转一样,电子政务也需要相应的安全基础设施来支撑它的正常运行。
5 .主要产品和服务。
至少需要八类产品。但是,目前比较成熟的是VPN/密码机、防火墙/网闸、入侵检测/漏洞扫描、防病毒、 审计 和安全应急。下面简单介绍一下:
(1) VPN技术。是在公用网络上采用密码技术建立专用网络的技术。以前的电信网络就有应用,互联网络发展以后,怎么样在公用信道上建立自己的专用网络 。 比如说,某个部委可以通过互联网采用虚拟专网的安全设备,实际上是一个加密设备,在两头点对点之间建立起来,构建一个从部委到各地方厅局之间的专用网络。与这个相类似的就是传输的密码机,从中央到各省市,通过公用电信网络建立一套保密的网络,也就是说没有必要自己花钱去铺远程通信网络,只要用这些设备联在互联网络或公用电信网络上就可以构成政府的行政网络。
(2)防火墙。这是目前使用最多的安全设备,放在政府的两个不同的网络之间,不同的安全域之间,比如说局域网和外网之间,外网和内网之间。它就像我们物理社会的门卫一样,让谁进,不让谁进,谁带什么东西出去要登记,防火墙就起这个作用,相当于网络的门卫。
网闸。比防火墙更要接近于或者更适合于电子政务的物理隔离。防火墙广泛地用在商业网络,政务网络里。网闸主要是想寻求一种技术上的方案来替代物理隔离。网闸的工作的原理是两个机器,内网机和外网机两个引擎,通过网闸的控制开关,在两个开关之间进行安全检测与控制,把涉密信息控制在涉密网之内,不让涉密信息流出去,但是又让非涉密的信息通过。网闸相当于是一个海关,检查得要比普通门卫手续更繁杂一些,力度更精细一些,过程更精确一些,这就是它们之间的主要区别。
(3)入侵检测。这种设备主要是装在网络上面收集危害网络安全的信息,及时发出预警。特别是针对网络上的黑客入侵,非法访问这些情况。入侵检测设备分为两类,一类叫网络入侵检测,一类叫主机入侵检测。网络入侵检测产品装在网络上面。主机入侵检测产品装在 主机 的前面,它们保护的方式,保护的范围不一样,原理都是一样的,就是对可能产生的网络行为进行告警,同时供事后追查。它还能够和防火墙联动,通知防火墙及时阻断这样的访问。
与入侵检测系统经常配用的就是网络漏洞扫描系统。扫描系统相当于我们平常的安全保密防火检查一样,它能自动在网络上进行检查,发现网络上的情况以后,及时提供给入侵检测系统,甚至也可以及时提供给防火墙和网闸这样的系统。目前,入侵检测系统和漏洞扫描系统产品,国内的都比较成熟,而且目前在政府部门使用也越来越多。大规模的部署,全系统的部署网络系统,入侵检测系统为最佳的一种选择。安全策略就是全局治理,积极防御,体现这个策略,做全局性、大范围的防御,要部署这种入侵检测系统。
(4)防病毒。现在分单机版和网络版。也是通过网络方式,及时发现病毒,及时分发、查杀的软件,对病毒进行查杀。
(5)审计系统。 相当于网络的黑匣子,装在网络上,能够准确记录下网络上发生了什么。就和飞机上的黑匣子一样,它可以审计网络上发生的行为,可以审计到一台机器干了什么,哪个应用做了什么,哪一个文件被多少人访问过等等。这些信息主要是供事后查询。尤其是失窃秘密以后的查询,越权,越级以后的查询,这也是电子政务里需求很强劲的一个手段。
(6)应急处理和灾难恢复。这是电子政务建设近期迫切需要的。尽管我们采用了很多安全设备,但是 ,难免网络会出现各式各样的问题。由于信息安全是一个高度专业化的技术,出现问题以后往往需要安全厂商的支持,需要有相应的应急处理措施。它不是简单得像个灭火器一样,而且,稍稍复杂一点的灭火器也不是一般人能够正确使用的,也要经过培训。应急服务和灾难恢复就是希望能够通过一种社会化的服务,来保证电子政务运行安全中出现问题的时候,能够得到及时的支持,包括对网络的风险分析,策略的制定,包括怎么样保护整个系统,对安全风险进行监测,对安全事件做出响应,包括信息,数据被破坏以后把它恢复出来这一整套工作,这样才能够保护网络运行的安全。
第三节 信息安全保障建设
3.1 .信息安全的观念、策略和实践建议
o 辩证的安全观,务实的策略
我们应从人类的集体安全,社会发展这个层面来理解信息安全,以平常的心态来看待信息的安全,我们需要一个辩证的安全观念。
第一,一定要处理好发展和安全的辩证关系。安全是为发展服务的。
第二,网络与信息安全不是局部的,点上的安全,它是一个综合的安全,牵扯到人,牵扯到技术,牵扯到网络的运行。
第三,网络安全是相对的安全,永远没有绝对的安全。所以,我们提出,信息安全的对策是风险的管理和控制。和汽车安全,航空安全一样,人类希望绝对的安全,但是永远也做不到,只能是相对的安全。而且今天是安全的,不一定表明明天就安全,因为技术在不断发展,影响安全的因素也在不断变化,所以,安全是相对的。
第四,系统的安全观。信息安全必须是一个系统的,各因素之间协调一致的安全。防火墙,入侵检测,防病毒等等是彼此联系的,是相辅相成的。
在这种安全观的指导下,我们提出一个基本理念,信息安全问题要重视,不能低估,低估会给我们带来直接的经济和政治的损失。但是,信息安全问题也不能高估,不要因为它可能会产生严重的后果而高估它,高估它会给我们带来间接的损失。我们就可能防卫过当,我们就可能为了安全就制约,甚至是阻挠电子政务的建设和发展。
一定要辩证地看待安全问题。从策略上讲,一定要非常地务实,安全不是一个虚无缥渺的,抽象的东西,它和我们电子政务建设息息相关,和我们每天使用的网络息息相关。它和以前的安全保密原则一样的,从保密的角度讲,要做到“ 知所必需”,即“ 最小权限原则”,该知道的就知道,不该知道的不要让他知道。在安全方面要做到“ 保所必需” ,即“最低成本原则”,不能因为我们的电子政务网络从中央到了地方,因而从中央到地方的网络全部都要严密的保护起来,应该是必须保护的那一部分才保护。一定要有经济学观点,如果不考虑经济效益,不考虑成本,一定会在安全上面做过头,带来间接的损失。
3.2.电子政务信息安全的重点
第一,保密。一定要有措施来防止别人窃取政府的秘密,要防止秘密从内部泄露出去,这是我们的当务之急,保密是政务信息的最主要的特点。
第二,完整。一定要保证信息的完整。政务信息是非常严肃的,而且涉及到政令,涉及到国民经济的运行,涉及到执法,涉及到政府对整个国家的管理。应该讲是字字千金,因而,所有的信息一定要有防止篡改的措施,不能被人随意的篡改、删除。
第三,可控。这是政务信息的可管理性。电子政务就是把政府搬到了网络上面,政府管理的这一套同样要移植到网络上,也就是说一定要分清层次,政府的管理是等级制,行政有级别,文件有级别,信息有知密的范围,政令有发放的范围,也有时间的要求,还包括部门分工,职责分工等等,所以,可控就是一定要有确切的手段防止公务员在网络上打破政务管理层次,越权做事。还要能够做到对不履行职责的,错误履行职责的,有据可查,以达到赏罚分明,职责分明。
o 综合、系统的安全保障体系
根据电子政务信息安全的重点要求,我们提出综合、系统的安全保障体系。这个安全保障体系涉及信息安全管理,信息安全技术,信息安全人员,信息安全的工程过程。这是从测评认证的角度来看政务的网络,是不是能够很安全的运行,能不能够达到要求。要从管理,技术,人员,工程实施,是不是都有一整套严格的规则和规范,还要对它的各种制度,流程,人员,资质,方案,能力等等进行测试,评估,度量。最后,不能说这个网络安全或者不安全,而是说这个网络,这个系统达到了什么样的安全级别,能不能够满足处理敏感信息的要求,信息能不能够接入政府内网,能不能够和互联网络相连。这些都不是个人意志能够决定的,一定要有一套科学,公正,公平,可度量的方法来保障。所以说这是一个综合、系统的信息安全保障体系。
4.电子政务建设的信息安全要求:
第一,系统运行的安全。电子政务系统必须能够正常运行,能够支撑政务的正常履行。
第二,系统内信息的安全。要保密,要完整,要可控。
第三,系统管理控制的安全。电子政务系统一定要完全归政府部门所管理,所控制,不能被帮我们建设系统的那个公司所控制,更不能由外国的厂商,外国的机构所控制。管理控制的安全不是单纯指哪一台机器放在咱们的办公室里,而是上面运行的信息,上面运行的软件,硬件等等都要被我们完整的控制。
我们建议从三个方面考虑安全方面的要求:一个是管理性要求,一个是技术性要求,一个是保障性要求。这是建设电子政务信息安全的基础性要求。
管理性的要求主要包括三个方面:
一是基础设施的要求。构成政府网络的设备都必须是自己的。我们在实际工作中发现,有的政府部门由于投资的问题,应用的问题,由于对技术不了解等各方面的原因,采用了国外机构赠送的设备,或者从商业机构借用的设备来构建电子政务系统。我们认为这种做法是有危险或有风险的。对电子政务系统的设备必须要有严格的要求,那就是它必须是我们政府自有的财产。借的设备,当你把大量的信息放上去以后,对方重新给你换一个新的,里面的信息被它一股脑的都拿走了,这比任何一项单项的失泄密都更可怕,后果更严重,更不堪设想。这是从实际情况提的问题。所以基础设施,也就是信息技术资产,必须要有严格的要求。
二是对管理机构的要求。建设电子政务信息化一定要有电子政务信息安全方面的管理机构。从现在的情况看,安全管理往往都是一把手的工作,而且都是依托在信息化的主管部门,有信息化建设的领导小组,同时里面又有信息安全领导小组。要求要有明确的管理机构,这样才能责任到人,职责到位,才能落到实处。
三是安全制度方面的要求。必须要有相应的安全制度,也就是信息的处理制度。涉密的信息,上不上网,上什么样的网,进不进软盘,软盘怎么管理等等,以及前面讲到的信息安全的一些风险和隐患都要考虑进去。这些制度该上墙的要上墙,该成本的要成本,该贯彻的要贯彻,该学习的要学习,这样它才能够进入到我们的生活,才能够把信息安全作为一个有血有肉的东西,融进我们的日常管理,真正起到作用。
技术性的要求,涉及到政府,电子政务,网络运行安全的主要技术因素。我们建议从以下 九个 方面来考虑:
一是物理的安全。处理政务信息的机器不能放在阳台上,不能放在走廊上,要有一个专门的屋子,因为它就和保险柜一样,大量的政务信息放在里面,那么,物理上就要有相应的安全措施。
二是访问控制。谁能看机器,也要有相应的措施。就像谁有保险柜的钥匙,谁能够看文件一样。
三是要有数据的保护。就是形成数据怎么样去保护它?是存在公用的计算机里,还是拷在一个数据库里面。这个数据库是否专门把它放起来。
四是通信保密。敏感信息从这个部门传到另外的一个部门去,或者从办公厅传到国务院,传到中办、国办去,一定要采用加密的方式。
五是要备份。防止信息分发的过程中出问题,要有备份。
六是安全管理。通过什么样的技术手段,把机要管理,保密管理,安全管理,防火防范等等这些融合起来。网络安全和摆一台灭火器,配一个门警还不太一样,都在计算机里边,看不见,摸不着。
此外,还有怎么样防范病毒,怎么样进行安全审计,怎么样防止信息的辐射等等。比如,政府部门如果靠商业区太近,靠宾馆太近,窗外、门外就是非安全的公众活动区域,大量的涉密信息可能被计算机的电磁辐射出去,可能窃密的行为就会因为有这个原因而得逞。
保障性的要求是保障网络日常的安全运行。信息安全是一个经常性的工作,保障方面我们提出三个方面的要求,供大家参考。
一是设备来源的安全性保障要求。我们所使用的每一个设备,无论是买来的还是别人赠送的,它是不是很安全?原则上我们建议所有的设备,都要考虑它的安全性因素。安全设备必须通过国家有关部门认证,它的安全性才有保障。不要采购那些没有通过认证的,或者使用达不到认证要求的产品,更不要直接使用境外机构,商业机构赠送或租借的设备,如果实在是需要使用这些设备,一定要送到安全主管部门或是技术测评机构对它的安全性进行测试和评估,达到要求才能够使用,甚至要做一些相应的技术的处理才能够使用。设备来源的安全要求是系统能不能安全的根源,就相当于我们建一栋大厦一样,每一块砖必须是合格的,钢筋混凝土必须是合格的。
二是系统运行的安全性保障要求。需要定期对系统运行的状况进行评估和总结,一个月检查一次,运行是不是很正常,有哪些违规的行为,有哪些突发攻击事件,查一查防火墙记录了什么,入侵检测设备记录了什么,审计记录了什么,它们都告了几次警,自动生成了几次报告等等,要对这些做定期的检查和评估。不要找外面的人,而是自己要对这些进行定期的核查。
三是系统安全的应急性保障要求。系统必须要有应急服务,一旦出现紧急情况一定要有一个应急的预案。如果突然间停电了怎么办,如果系统的一台机器坏了怎么办?一定要有预案,并且这个预案要经过实际的演练,在发生紧急情况的时候能起作用。例如:一个公众服务网站,大量的市民正在查找信息,突然断掉了,可能立即就会引起骚乱,引起社会的不安定。这种情况就应该立即接到备用系统上去,这就一定要有相应的预案。
3.3.信息安全保障建设实践。
第一,组织和领导。我们建议在本单位的信息化工作领导小组内成立一个网络与信息安全领导小组,统一组织协调本单位的网络与信息安全工作。领导小组的主要负责人要切实承担起网络与信息安全的领导责任。这就是国家规定,谁主管谁负责,谁经营谁负责。如果是一把手来管这个事情,那么一把手就确实要负担起这个责任。具体牵头负责的部门要切实地承担起这方面的领导责任。
除了领导小组外,一定要有一个责任单位。无论各部委、各省市,一定要有个责任单位。我们根据这些年来的建设实践,建议电子政务工程建设单位的信息系统的管理和运行部门,具体负责本单位的网络与信息安全系统的建设与运行管理工作,也就是说各部委的信息中心,各地方的信息办应当作为责任单位,因为它负责网络的管理和运行,安全离不开网络和管理运行。当然传统的机要部门,保密部门,保卫部门往往都放在办公厅或是综合管理部门,对这些部门,建议要负责相关的政策指导,监督管理和工作支持,这样就能够很好地推进这项工作。不是说信息主管部门就替代了你们,他们应该按照机要管理的要求,按照保密的要求,按照保卫的要求来建设信息安全的保障体系,你是政策的指导和监督单位,他们是具体实施的部门。
再一点,要有相应的经费保证。电子政务工程建设单位应该保证网络与信息安全建设的资金投入,原则上不应该低于电子政务工程建设和运行维护总投入的 15%。这个经费要用于网络与信息安全产品和服务的采购以及安全保障体系的运行维护。
最后,领导的观念里一定要有安全政策。部委也好,地方也好,一定要根据国家相关法律法规,并且结合本地区,本部门的实际,制定非常明确的网络与信息安全政策。对本单位电子政务的安全要求,目标,责任,措施以及分工等做出具体的明文规定,而且这个安全政策要随着本单位电子政务需求的变化而变化,就和质量保障体系一样,要有变化。第二,策略与保障。电子政务工程建设单位要根据本单位电子政务的实际要求,明确本单位的网络安全的边界。不能因为大家都联在这个政务网上就没有边界了。而且要划分信息的资产,分析存在的安全威胁和隐患,根据业务的需要确定本单位的安全保障体系,根据这个保障体系制定实施方案。要根据本单位网络与信息安全保障体系的要求制定网络与信息安全建设的实施方案。这个实施方案要明确规定本单位与上下级单位的网络之间怎么接入,兄弟单位之间的互联互通,以及单位内部的信息处理这三大方面的具体的安全要求。
更进一步地讲,电子政务内网的安全建设实施方案由内网的使用管理部门制定,由内网的运行维护单位实施。
国家金字系列工程以及各部门的业务网络的安全建设实施方案,由本部委或者本地区电子政务的建设主管部门制定并负责实行。
各部门业务系统互联互通的安全建设实施方案应该由国家电子政务外网的运行维护单位负责制定和实施。
安全措施,电子政务工程建设单位要按照国家电子政务网络与信息安全保障体系的框架,根据单位的实施方案选择身份认证,访问控制,通信加密,入侵检测,病毒防范,安全审计等等这些系统,制定相应的管理制度,建立备份措施,保障安全。例如,第一期里面的六种产品和服务,必须要选择这些安全的措施。
第三,产品与服务。建议电子政务工程建设所需要的网络与信息安全的产品,包括其他的信息技术产品,必须遵照政府采购法的规定,并满足国家信息,网络与信息安全主管部门,以及质量技术监督和商检部门的有关要求。
现在安全管理部门比较多,我们建议:
(1)用于公众网络中的网络与信息安全设备,至少应该具有公安部门颁发的“计
算机安全产品销售许可证”。
o 用于党政机关,政府部门和重要基础设施的网络与信息安全产品,应该通过“国
家信息安全认证”,应该通过国家信息安全特别认证中心的认证。
o 用于政府内网和党政机关涉密部门、涉密部位的网络与信息安全产品,应该具
备国家保密局颁发的“涉密网络安全产品的证书”。电子政务工程中使用的所有密码产品,都应该满足国家密码管理委员会对政府用密码和商用密码的管理规定。
o 当国内的产品空缺或不符合使用的要求,而必须采用外国的安全设备时,必须
对外国的安全设备进行安全性的检验,经过国家授权的测评认证机构认证以后,才能够使用。
除了产品以外,服务也是这样。我们不主张像以前一样,所有的安全工作,所有的辅助工作都由我们自己来,还是应该“小政府,大社会”,这是方向。政府推动,社会参与。服务我们希望也是采用采购的方式来解决。
(1)电子政务过程中所需要的安全培训,方案设计,风险评估,应急服务,系统集成,工程监理等等服务也要按照国家的有关规定,并采取切实有效的措施,控制安全风险。电子政务工程建设的安全服务,原则上只能由国内厂商提供,应优先选择具有“涉密网络集成资质”和国家信息安全认证,信息安全服务资质的厂商,一个是国家保密部门发的保密资质,一个是国家信息安全测评认证中心发的安全服务资质。
(2)外包管理,同样要有明确具体的管理制度和安全保证。其中安全服务的外包,只能由国内厂商来承担。当国内的服务空缺或不能满足需求,而需要采购国外的安全服务时,必须进行相应的安全管理和控制,报国家信息安全主管部门备案后方可使用。
必须高度注意保密协议。电子政务工程建设中的安全产品和安全服务的采购一定要有相应文档的支持,除了通用的商业条款以外,一定要和厂商签署单独的保密条款和安全责任,以明确供需双方在安全保密上的责任和义务,免得他们在事后泄露有关的秘密。
安全评估。建议在系统建成前对方案进行评估,在系统建好以后,投入使用前对系统进行技术性的评估。对这个方案可以采用请专家咨询和社会服务等方式,请商业机构来评估。采用什么样的方式来评估,原则上由本单位来决定。
要有审计制度,这个审计制度也要按照相应的规定来执行。
容灾备份 。电子政务工程应建立安全备分和容灾制度以及应急处理机制。一定要有相应的 容灾备份 措施。建议除非特殊情况,选择公共容灾服务提供容灾备份。
