李爱东:电子政务的安全问题
来源:计世网 更新时间:2012-04-14

 
   2009中国计算机网络安全应急年会于2009年10月21日至24日在湖南长沙召开,本届年会主题是“网络促进发展 安全创造价值”。23日进入会议第二天,本次会议众专家学者探讨了有关电子政务安全方面的问题,下面为工业与信息化部信息安全协同司李爱东处长谈话实录:

  主持人:我是来自于工业与信息化部信息安全协同司处长,李爱东。很高兴来到文化历史名城--长沙,来探索网络安全的问题。我介绍一下嘉宾:CNCERT运行管理部副主任周勇林;中国信息安全陈正中心副主任陈晓桦;国家信息中心安全研究与服务中心主任吴亚非;北京市政务信息安全应急处置中心副主任刘海峰;华为存储网络安全副总工程师胡善勇。

  按照大会的安排,关于电子政务方面的一个发言。关于这个发言,电子政务涉及到了方方面面,我涉及到几点跟大家进行了交流,这边对电子安全进行的部署。各地方,各部门按照国家信息小组等意见的要求,积极推进电子政务建设取得的显得的成绩。开通中央骨干网络建设的精神等一批重要的工程,建立一系列的网站的体系。各地区、各部门结合运用了实际相继建设满足业务系统、网站系统等这些提高政府部门的工作效应,促进行政管理体制改革,改善外贸投资环境,提高决策科学化和民主化的水平,带动全社会信息化的发展。电子政务成为政府跟老百姓密切联系的渠道。掌握事件的民意、推进和谐建设的平台。随着电子政务的发展,对网络的依赖性也提高,成为摆在我们面前重大安全的问题。如政府网站被攻击等这样事件不胜枚举。昨天下午举办的论坛也涉及这一方面。比如我国福建等上牌的受到攻击问题、四川汶川大地震对电子政务造成很大的影响。说明我们的电子政务安全受到很大的影响。以发展思路来解决,我国正处于经济快速的发展和经济体制深刻的变化重要时期,经济活动的日益频繁,市场主体日益多元,人民群众对改善公共服务的安全越来越高。

  新的形势,要求我们政府部门也进一步提高管理的水平。这就要求我们以后坚定不移地推进电子政务,为政府部门在新历史条件下,有效履行职责、提供一定的功能。那么,出发点和落脚点是保障电子政务发展,而不是阻碍电子政务的发展。关注电子政务的安全,要在经济全球化和社会信息化的大背景下来进行的思考,要着眼下一代网络等新技术的进入,加强电子政务前瞻性的研究,加强核心技术的研发,制定完善相关管理跟技术规范,认真落实信息安全与电子政务同步规划,同步建设,同步运行,三同步要求,避免先重视发展,后考虑安全,只重视发展,不考虑安全,发展越快,安全越多的网络,电子政务的安全要从地方跟中央来看电子政务发展水平的不平衡。一些地市结合自己的发展,要自身的电子政务模式。例如河南济南市,基于网站电子政务取得成功之后,广西某地也结合财务实力,依托互联网建立电子政务系统,即节约投资又发挥得效率。要落实等级保护制度紧密结合,综合平衡安全的风险,进行安全建设的管理。将信息安全风险可以控制与接受的范围内。关注电子政务安全要全面看问题。从横向看,电子政务网络由政务内网跟外网结合,通过到一些省市调研,我们发现很多单位内部、非设立网等并存,我记得几个省安全处的处长跟我反应,到现在这几个网复杂关系还没有明白,所以说网限很复杂。对技术要求就更高,如果安全涉及不当,都有可能安全风险跟安全隐患。从纵向看,很多单位为了安全,但是近几年,越到基地,就越少。资金缺乏,技术薄弱,安全防弱水平很低。我们在组织外部安全当中,就遇到这种问题,一个系统,在省级防护很好,想进入很难,我们到一个基地当中,就可以进入。大部分的电子政务分散的问题,这个现象在中央跟地方都比较普遍。安全防护水平参差不齐。比如说,每一个门口有没有设保安一样,不清楚。

  以上的这些问题,我们要全面考虑,采取一定的措施加以解决。当然加强电子政务安全,抓好基础,推进体系,法律法规等多方面的协调发展。同时要立足现实,注重解决当前面临的问题:

  第一,加强信息安全的培训,保障电子政务最终落实到人。提高基本知识技能水平,提高电子政务安全的。很多信息隐患不是高深技术问题,都是我们认识不到位,比如发现一些问题当中,就占20%多。我们在测试当中,我们利用一天时间在外部测试现场。所以说你再好安全防护设备,也没有。一般技术人员提高,这些高危漏洞就可以避免,国家对加强信息安全培训一直有要求,各地方、各部门要做到经常化,把信息安全跟保密性要做成重要工作,把信息安全风险内容纳入工作考核之中。

  今年上半年,在工信部也组织的活动,也联合09年信息安全培训,重视有关信息安全检查,信息安全应急政策和方法。公安保密地方等地区也采取多种方式的安全培训。加快建立以身份认证等为电子政务安全体系。在加强电子政务可控方面,要加快电子政务采购管理。国家已经提出明显的要求,办公计算机等软件应该使用国产产品。加强信息安全检查,开展制度化、规范化的安全检查,发现问题、排除隐患等手段,国家下发关于《信息安全的检查》的文件。各地对自身运行,网站系统,每半年要进行一个检查。重点检查落实安全制度等,响应国产化,教育培训,责任追求等方面的情况。工业跟信息化部负责协调指导监督工作。县以上各地政府同意协调下,开展信息安全工作。按照国务院要求,工信部引发了《指南》组织对几个部门网站系统进行外部安全测试。另外一方面,应急处理工作是电子政务重要一环,保障电子信息安全,保障业务联系性,保障政府可靠职责有重要的作用。国家对信息安全也是很重视。制定有关标准和规范,提出明显的要求。目前以初步建立国家信息安全协调机制,以及国家信息安全通报机制。

  各地各部门也按照国家的要求正在组织制定了新计划,建立相关的机制,今年9月上旬,工信部联合检查网络安全。国务院应急办的领导在现场进行的指导,通过演练活动应急处置流动。演练不同阶段了衔接和探索。以建设相应灾难系统,各地采取多种措施进行的演练。公开招标的方式建立统一灾难中心,为政府部门提供数据,有效地解决财政不足与政府有关方面的矛盾。

  目前,政府部门信息系统可能缺乏标准,随意安装网络软件,也是成为一个重要的原因。我们也经过调研,总体感觉上这些企业在计算机配置的管理,比政府部门要严格,措施也比较严格。我们也可以借鉴一些企业跟发达国家,在管理方面得成功经验,进一步探索规范政府部门办公计算机配置,规范其使用。有效减少安全隐患和安全风险。这项工作,我们已经在北京市开展了试点,北京市刘海峰主任也参加这一项工作。我们也组织专家进行深入的研究,并在山西跟上海进行了调研。在中央这一方面应该做得显著的成绩,接下来有一个主任介绍这种情况。

  下面我介绍一下地方的情况。目前介绍省、市、县的电子政务平台。省级电子政务也配置一些设备,使用防火墙、数据库、入侵防御系统的隔离,在省政府园区内各部门包括人大、政协也使用这一方面的。要注意加强外包服务的管理,这几年出现一些问题,全世界反映一个问题就是外包服务的管理,也是我们比较薄弱的环节。为电子政务提供服务商应该要满足特殊的要求,符合相应的规范,比如在招标环节上,等级管理办法对提供商进行了审核。在采购过程当中,明确提供信息安全的。在运维过程当中,特别是现场维护跟远程维护要进行监管。以上是我们近年开展的工作的一个认识,也是起到抛砖引玉的作用。我的发言到这里。