9月1日,记者从广州市质量技术监督局获知,一项旨在为广东省电子政务工程提供安全保障的地方性标准——《广东省电子政务外网信息安全规范》(以下简称《规范》)有望在明年上半年内出台。该标准将在GB 17859《计算机信息系统安全保护登记划分准则》的基础上,对电子政务外网信息安全的技术要求和管理要求予以明确,对安全技术要求组件和安全管理要求项目按照信息系统的逻辑组成要素进行分类罗列。
政府信息安全不容乐观
据《国家计算机网络入侵防范中心网络安全分析报告(2004年1-5月)》提供的资料显示,2004年近半年来,国内的安全状况总体情况“不容乐观”,而且由于蠕虫爆发的原因,整个Internet的安全等级几乎一直处于严重状态。而随着我国电子政务工程的不断深化,信息化技术已经成为政府部门日常工作的一种重要手段,网络化应用已经成为政府信息化工作的基本模式。“一个不安全的政府网络就像一座危房,存在着随时坍塌的危险。”广州市质量技术监督局副局长陈树新如是评价当前政府信息安全所面临的挑战。
据陈树新介绍,电子政务外网指的就是“副省级以下政务部门的办公网,是政府的业务专网。”这也就意味着绝大多数的党政机关网络都属于电子政务外网的范畴,而且由于电子政务的需要,外网已经不与互联网物理隔离了,如何在推进电子政务建设的同时,将安全风险降低到可接受程度,解决发展与安全并存的问题,成了制定《规范》的目的所在。
制定地方标准势在必行
据了解,目前我国在信息系统的安全方面只制定了一些具体的针对某个特定方面的标准,缺乏对信息系统的整体,即软件系统、硬件系统、网络系统这三个主要方面的综合的信息安全的标准。由于政府不同部门之间、各级政府之间、不同区域之间,对电子政务的需求差别较大,对于信息系统的安全性等级要求以及侧重点也有不同,因此一定程度上造成了无论是信息系统的承建方(包括系统集成、软件开发),还是用户方对这一问题都没有一个明确的标准。据陈树新介绍,这种情况下建设出来的信息系统,在系统验收时就缺乏一个适当的衡量标准,“一旦发生意外,所造成的后果有可能是灾难性的。”陈树新表示,在这样的情况下,制定有针对性、可操作性的地方标准是必须的,“《规范》就是在国家以及行业标准的基础上,针对广东省电子政务外网安全现状以及要求而制定的一个地方标准。
企业参与广东标准起草工作
据广州市质量技术监督局标准化处处长吴岳德透露,此次广东省的《规范》制定过程中,将改变以往由国家某一部门、单位独自完成起草及制定标准的的状况。吴岳德表示,此次广东省《规范》的制定过程中,将引入部分在技术研发方面具有实力的大企业参与,“标准的制定没有企业参与,往往会存在跟实际应用脱节的问题。”据了解,标准起草委员会内设标准编写组、专家顾问组和企业参与组。企业参与组将在电子政务安全解决方案系统集成商、安全隔离网闸提供商、中高端防火墙提供商、政府应用软件提供商、漏洞扫描系统提供商等企业中各选一到两个有代表性的企业参与标准起草工作。
电子政务外网的安全保障是一项复杂的工程。陈树新表示,此次制定的《规范》将在技术层面对外网安全予以规范,不但对外网提出了安全的要求,还将对安全的测评给出明确的指标和规范的测评方法,“《规范》的制定有利于保证政府信息化投资的科学性、有效性,有利于避免在安全问题上出现‘豆腐渣’工程。”