论文部分内容阅读
政府门户网站是政务公开和服务型政府两大主导思想在落实过程中所必须凭借的重要平台,在未来的电子政务规划中,政府门户网站必将占有非常重要的地位。
政府门户网站是政务公开和服务型政府两大主导思想在落实过程中所必须凭借的重要平台,在未来的电子政务规划中,政府门户网站必将占有非常重要的地位。目前,我国正在逐步推进信息安全等级保护工作,这一国家层面上的信息安全标准已成为未来在电子政务安全建设中的重要保障。
安全需求
政府门户网站的地位非常重要,但其安全形势却不容乐观。据统计,仅在2007年,就有3000余家政府门户网站发生过网页被篡改的事件,严重影响了政府的对外形象。随着电子政务建设的逐步推进,政府门户网站所承载业务的数量在逐步增加,网站被入侵或篡改所带来的危害将不仅限于政府形象的损害,甚至会造成巨大的经济损失,或者严重的社会问题。对于政府网站所面临的主要风险,笔者总结如下:
(一)页面被篡改。政府门户网站作为政府形象的标志之一,常常是一些不法分子的重点攻击对象,政府门户网站一旦被篡改,常常会引发较大的影响,严重时甚至会造成政治事件。其中页面被篡改的一种方式就是“网页挂马”,网页内容表面上没有任何异常,却可能被偷偷地挂上了木马程序。“网页挂马”虽然不会给网站带来直接损害,但却会给浏览者带来损失。更重要的是,政府网站一旦被挂马,其权威性和公信力将会受到严重打击,最终给电子政务的普及带来重大影响。
(二)在线业务被攻击。对企业、公众提供在线服务已成为政府门户网站的重要功能,这些服务一旦受到拒绝就会面临瘫痪或终止,对业务的正常运转必然造成极大的影响,很可能会造成经济损失,严重时甚至会影响社会稳定。
(三)数据被窃取。在线业务系统中总是需要保存一些企业、公众的相关资料,这些资料往往涉及到企业机密和个人隐私,一旦泄露就会造成企业或个人的利益受损,很可能会给网站带来严重的法律纠纷。
(四)内网被侵入。政府门户网站虽然和政府办公网络之间设有隔离设备,但也会被一些手段高明的黑客入侵,从而盗取一些敏感材料,势必会对电子政务的应用系统造成破坏。
以上总结仅仅是对政府门户网站主要安全需求的简单总结,事实上,政府门户网站要想达到真正意义上的安全,亟需建立一个完善细致的安全防护体系。不仅要在技术上建立事前、事中和事后的纵深防御系统,还需要建立良好的信息安全管理制度。
解决方案
出于对信息安全的重视,国家已经出台了信息安全等级保护的一系列文件和标准,用以促进和指导信息安全的建设。2007年6月22日,公安部与国家保密局、密码管理局、国务院信息办联合会签并印发了《信息安全等级保护管理办法》(公通字[2007]43号),确定了信息安全等级保护制度的基本内容及各项工作要求。2007年7月16日,四部委联合会签并下发了《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号),就定级范围、定级工作主要内容、定级工作要求等事项进行了部署。
《信息安全等级保护管理办法》与《关于开展全国重要信息系统安全等级保护定级工作的通知》的出台,标志着信息安全等级保护工作在全国范围内已经进入到推广实施的阶段。其中根据《信息系统安全等级保护实施指南》中所给出的等级保护的建设过程,可以看到等级保护并不是一个一劳永逸的孤立项目,而是一个连续不断、周而复始的过程。
而要实现这样一个过程,就必须以安全服务为主线,从门户网站的安全评估、差距评估等咨询性服务开始,再延伸到整体安全规划、解决方案设计等设计性服务,最终以运维支持、应急响应等持续性的技术服务为政府门户网站提供一个符合等级保护精神的安全保障体系。
等级保护
政府门户网站安全定级和备案阶段的安全服务主要包括等级保护导入、信息系统辅助定级、协助用户完成备案等部分。这些安全服务的目标是通过培训使有关人员了解等级保护的内容和过程,并按照定级指南要求对门户网站进行定级,最终帮助用户完成备案工作。
(一)安全规划设计阶段。安全规划设计阶段的安全服务主要包括安全需求导出、信息系统风险评估、等级保护差距评估、安全建设整体规划和安全基线指标设计等。安全需求导出服务的目标主要是为门户网站导出真正的安全需求,不同网站的规模、访问量、部署模式、政务公开信息的频度、在线业务的重要程度都各不相同,其安全需求也就各有不同。
只有对网站业务进行详细的调研和分析,才能给出符合实际的安全需求分析。信息系统风险评估服务、等级保护差距评估服务是结合风险评估的方法和理论,围绕着系统所承载的具体业务,通过风险评估的方法评估系统的风险状况,并根据系统的安全措施是否符合相应等级的安全要求来判断系统与所定等级的差距。
(二)安全实施阶段。安全实施阶段是等级保护得以落地的主要阶段。安全实施阶段中主要包括安全解决方案设计、安全技术体系改造、安全管理体系改造、岗位培训和应急响应演练等安全服务。
安全解决方案设计是如何将门户网站业务安全目标和系统等级安全规划落实的关键过程。安全技术体系改造主要包括物理层、网络层、应用层、主机层和数据层5个层面,安全管理体系包括安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理5个方面。在技术体系和管理系统完成安全改造后,必须对岗位培训和应急响应进行演练,使技术措施和管理流程得到充分的检验和锻炼。
(三)安全运行管理阶段。安全服务提供商能够为客户提供专业的安全服务,但在日常运行工作中,安全服务提供商不可能代替客户做所有的事情。为保证客户内部管理人员的安全管理工作和专业水平,基于安全指标设计的配置核查安全服务会使客户的内部管理人员根据等级保护标准进行量化的安全指标,使用自动化工具去执行内部核查,这在很大程度上保证了日常运行管理的专业程度。在安全运行管理阶段,还需要安全服务提供商提供阶段性的风险评估服务、安全应急响应服务等来协助客户通过等级保护安全检查工作。