信息安全面临五大问题

　　今年上半年以来，电子政务建设面临的安全问题主要有五个方面比较突出。
最严重的还是病毒问题。新病毒相较去年有大幅攀升，特别是Bagle和NetSky等变种从年初至今层出不穷，病毒泛滥直接影响了电子政务的建设；其次是木马程序等间谍软件。
    我们发现越来越多的木马程序植入到我国重要信息系统中，成为网络与信息安全保密的重要隐患。保守估计，国内80％的网络系统，都存在木马程序和间谍软件问题；再有就是，黑客攻击活动向纵深发展，以经济和商业利益为目的的网络攻击行为逐渐成为主流，攻击手段大量还是以DDoS为主,尽管这方面媒体报道得不多，但总体数量比去年仍有增加；垃圾邮件问题十分突出。它不但阻塞网络，降低系统效率和生产力，同时，有些邮件还包括色情和反动的内容。国家有关部门制订政策，采取技术措施，加大了对垃圾邮件的治理力度；相对去年较大的不同点是应用安全问题凸显。应用安全在过去并没有得到足够重视，在应用安全问题中，在windows平台上利用系统新漏洞的攻击占70％左右,30％的安全问题与Linux相关。

　　对体系建设的五点认识

　　总结对有关部委建设信息安全保障体系的服务活动和实践，我们对电子政务信息安全保障体系建设有基于以下五个方面的新认识。

    信息安全是一个治理问题。实践使我们深刻认识到：信息安全不仅是信息化部门的问题,还是各个部委的综合安全管理问题。信息化涉及到政务工作的方方面面。部委领导和政务各部门对安全问题的认识很重要。只有把信息安全作为政务管理的有机组成部分，信息安全保障建设才能落到实处。

    信息安全不仅是单纯的技术问题，更是一个业务问题。电子政务信息安全工作的最终目的是要确保电子化政府业务的安全可靠，技术本身只是手段，故而信息安全保障建设一定要将安全特性与业务本身紧密结合。而不同的业务系统对安全的需求又不一样.所以在电子政务信息安全保障体系建设中，一定要解决与业务的结合问题，并慎重考虑成本与代价的问题、投入与产出的效益问题。

    信息安全是一个综合性的复杂问题。已有的工作经验证明，电子政务的信息安全没有一个现成的解决方案,也不存在某一种模式能够解决所有的问题,更不能认为只要采购所谓的五大套件就解决了所有的安全问题。安全技术必须与相关的管理制度、法制体系、监管手段和人才保证等结合，才能达到治理的效果。

    安全保障体系的设计必须是针对具体特定的风险。同是信息安全问题，行业不同，对安全优先级的要求也不同。比如军政部门会将保密放在首位，电信网络部门必须要做到系统可用,而金融系统更关心数据的完整性。此外部门对信息化程度的高低,部门业务对信息化的依赖程度的不同对保障体系的设计也有影响。

    实践经验在网络与信息安全工作中十分重要。网络与信息安全工作是实践性很强、对抗性很高的工作。实践经验（国外叫最佳实践BestPractise）就显得弥足珍贵。做信息系统的安全保护，首先要深刻理解这些系统。行业性的系统集成商往往具有多年的经验。从方案设计到工程实现都要发挥实践经验的作用。我们在工作中发现，不同部委之间，同样的安全投入，产生的实际效果不一样,实践经验是其中主要原因之一。这说明选择服务队伍（服务商）是很重要的。

　　保障工作的五大基本条件

　　统一明确的信息安全政策必不可少。在专业会议和杂志文章中，很多专家都强调信息安全政策的重要性。现实中的信息安全政策与部门的具体管理规章及国家政策是不同的，也不要相混淆。各部委的信息安全政策与它自身业务特点密切相关，不同机构的安全政策是有差异的。部门的信息安全政策主要解决信息化过程中不同部门之间不同环节的不同安全责任问题。比如信息中心、机要、保卫、保密等部门的职责分工、权利与义务，系统的管理者、使用者、建设者与运营部门的职责等。信息安全政策必须统一明确，要作为部门的正式文件下发并严格执行。

    具备对各种信息安全设备配置与管理能力必不可少。信息安全技术和产品的技术含量较高，专业化程度也较高，这要求我们在信息化建设中，要将所有采购的信息安全产品、设备以及服务配置好，管理好和使用好。换言之，就是要提高对安全手段的配置与管理能力。我们在工作中了解到，很多的网络与信息安全问题是由于配置和使用不当而产生的。

    必要的组织保证必不可少。这点大家都很清楚，没有组织保证，再好的技术也难以奏效。信息安全保障体系建设要有类似网络与信息安全领导小组、信息安全处、信息安全管理员等组织体系。

    安全意识与协调机制必不可少，要对所有人员进行安全意识的培训和教育，要确保不同部门和人员之间能协调配合。由于网络是互联互通的，在一个部门发生的问题，在另一个部门也会重复发生。比如木马攻击，不能自扫门前雪，以为自己解决问题即可，要有沟通协调和通报机制，否则安全攻击会在网络中重演，反过来会影响自己。

    最后，适用的安全技术手段必不可少。信息安全技术手段包括产品与服务。目前在我国电子政务建设中，信息安全产品除了传统的加密设备外，主要有防火墙、入侵检测系统、扫描器、防病毒、隔离网闸和安全审计等，安全服务则包括集成、监理、风险评估、应急响应、灾备等。

　　对安全保障建设的五点建议

　　抓好信息安全保障体系的顶层设计。各地方和部门对信息安全的认识容易从自己角度出发，所以总体设计很重要。总体设计中“需求”是关键。在政务部门中，说不清楚自己的安全需求是个比较普遍的现象。大家经常按照书本上的框框或厂商的建议来提自己的需求，总有不切题、不解渴、不全面的感觉，也难以描述、发现和解决问题。只有根据有效需求的设计才有针对性。对业务系统和网络环境的需求分析十分关键，真正明白安全需求，等于完成了整个体系建设的一半工作量。

    选择经济适用的信息安全产品。过去，我国的信息安全产品比较少，品种单一、价格高。现在情况不同了，在国家发改委、科技部、信息产业部等部门的大力扶持和民营企业的积极参与下，我国信息安全产业近年来得到了快速的发展。到目前为止，有300多个产品通过了测评认证，质量可靠而且价格大幅下降。借《中国财经报》举行的这个政府采购论坛，我要呼吁，我们采购政策应该明确选择质量合格、安全可靠、经济适用的国产信息安全产品。

    选择有能力、负责任的服务厂商。在电子政务工程建设中，将信息安全保障建设单独出来招标的做法已较为普遍，这对推进信息安全保障建设十分有利，同时也使服务商的质量水平显得十分重要。目前各部委很多处、局领导与时俱进，努力学习，堪称信息安全方面的专家，但是要使信息安全工作更有成效，作为业主的领导更多地要谋划如何将安全技术与业务结合，如何用技术服务到业务。对于能够外包的服务，可以选择具有国家涉密网络集成资质、通过国家信息安全产品测评认证中心信息安全服务资质认证的、具备服务能力的企业来承担。

    要慢慢习惯利用社会中介与第三方服务。对于包括方案设计、工程监理、系统安全评估，工程实施、应急服务等等，可以通过商业合同解决问题。在服务可控、质量可靠的情况下，可以选择社会中介与第三方服务；原来由厂商提供的增值服务现在逐渐开始出现由独立于厂商的服务商提供，这些都是建立安全保障体系可利用的社会力量。

    建立并维护有效的应急处理机制。应急处理机制与上面谈到的服务不同，它是一种在政府部门中建立的，在安全事件或问题产生后，如何处置和应在多大的范围内处置的机制。比如：某个部门发现了病毒或黑客攻击行为，利用恰当的应急处理机制，针对安全事件的严重程度，在适当的范围内通报和解决，要比新闻媒体的过分报道或高层领导过快的介入更有利于问题的解决。对于网络与信息安全危害，既不能低估，也不能高估，要避免要么夸大情况，要么漠然视之的片面做法。