2009中國計算機網絡安全應急年會在湖南長沙召開,本屆年會主題是“網絡促進發展 安全創造價值”。會議第二天,本次會議眾專家學者探討了有關電子政務安全方面的問題,下面為工業與信息化部信息安全協同司李愛東處長談話實錄:
主持人:我是來自于工業與信息化部信息安全協同司處長,李愛東。很高興來到文化歷史名城--長沙,來探索網絡安全的問題。我介紹一下嘉賓:CNCERT運行管理部副主任周勇林;中國信息安全陳正中心副主任陳曉樺;國家信息中心安全研究與服務中心主任吳亞非;北京市政務信息安全應急處置中心副主任劉海峰;華為存儲網絡安全副總工程師胡善勇。
按照大會的安排,關于電子政務方面的一個發言。關于這個發言,電子政務涉及到了方方面面,我涉及到幾點跟大家進行了交流,這邊對電子安全進行的部署。各地方,各部門按照國家信息小組等意見的要求,積極推進電子政務建設取得的顯得的成績。開通中央骨干網絡建設的精神等一批重要的工程,建立一系列的網站的體系。各地區、各部門結合運用了實際相繼建設滿足業務系統、網站系統等這些提高政府部門的工作效應,促進行政管理體制改革,改善外貿投資環境,提高決策科學化和民主化的水平,帶動全社會信息化的發展。電子政務成為政府跟老百姓密切聯系的渠道。掌握事件的民意、推進和諧建設的平臺。隨著電子政務的發展,對網絡的依賴性也提高,成為擺在我們面前重大安全的問題。如政府網站被攻擊等這樣事件不勝枚舉。昨天下午舉辦的論壇也涉及這一方面。比如我國福建等上牌的受到攻擊問題、四川汶川大地震對電子政務造成很大的影響。說明我們的電子政務安全受到很大的影響。以發展思路來解決,我國正處于經濟快速的發展和經濟體制深刻的變化重要時期,經濟活動的日益頻繁,市場主體日益多元,人民群眾對改善公共服務的安全越來越高。
新的形勢,要求我們政府部門也進一步提高管理的水平。這就要求我們以后堅定不移地推進電子政務,為政府部門在新歷史條件下,有效履行職責、提供一定的功能。那么,出發點和落腳點是保障電子政務發展,而不是阻礙電子政務的發展。關注電子政務的安全,要在經濟全球化和社會信息化的大背景下來進行的思考,要著眼下一代網絡等新技術的進入,加強電子政務前瞻性的研究,加強核心技術的研發,制定完善相關管理跟技術規范,認真落實信息安全與電子政務同步規劃,同步建設,同步運行,三同步要求,避免先重視發展,后考慮安全,只重視發展,不考慮安全,發展越快,安全越多的網絡,電子政務的安全要從地方跟中央來看電子政務發展水平的不平衡。一些地市結合自己的發展,要自身的電子政務模式。例如河南濟南市,基于網站電子政務取得成功之后,廣西某地也結合財務實力,依托互聯網建立電子政務系統,即節約投資又發揮得效率。要落實等級保護制度緊密結合,綜合平衡安全的風險,進行安全建設的管理。將信息安全風險可以控制與接受的范圍內。關注電子政務安全要全面看問題。從橫向看,電子政務網絡由政務內網跟外網結合,通過到一些省市調研,我們發現很多單位內部、非設立網等并存,我記得幾個省安全處的處長跟我反應,到現在這幾個網復雜關系還沒有明白,所以說網限很復雜。對技術要求就更高,如果安全涉及不當,都有可能安全風險跟安全隱患。從縱向看,很多單位為了安全,但是近幾年,越到基地,就越少。資金缺乏,技術薄弱,安全防弱水平很低。我們在組織外部安全當中,就遇到這種問題,一個系統,在省級防護很好,想進入很難,我們到一個基地當中,就可以進入。大部分的電子政務分散的問題,這個現象在中央跟地方都比較普遍。安全防護水平參差不齊。比如說,每一個門口有沒有設保安一樣,不清楚。
以上的這些問題,我們要全面考慮,采取一定的措施加以解決。當然加強電子政務安全,抓好基礎,推進體系,法律法規等多方面的協調發展。同時要立足現實,注重解決當前面臨的問題:
第一,加強信息安全的培訓,保障電子政務最終落實到人。提高基本知識技能水平,提高電子政務安全的。很多信息隱患不是高深技術問題,都是我們認識不到位,比如發現一些問題當中,就占20%多。我們在測試當中,我們利用一天時間在外部測試現場。所以說你再好安全防護設備,也沒有。一般技術人員提高,這些高危漏洞就可以避免,國家對加強信息安全培訓一直有要求,各地方、各部門要做到經常化,把信息安全跟保密性要做成重要工作,把信息安全風險內容納入工作考核之中。
今年上半年,在工信部也組織的活動,也聯合09年信息安全培訓,重視有關信息安全檢查,信息安全應急政策和方法。公安保密地方等地區也采取多種方式的安全培訓。加快建立以身份認證等為電子政務安全體系。在加強電子政務可控方面,要加快電子政務采購管理。國家已經提出明顯的要求,辦公計算機等軟件應該使用國產產品。加強信息安全檢查,開展制度化、規范化的安全檢查,發現問題、排除隱患等手段,國家下發關于《信息安全的檢查》的文件。各地對自身運行,網站系統,每半年要進行一個檢查。重點檢查落實安全制度等,響應國產化,教育培訓,責任追求等方面的情況。工業跟信息化部負責協調指導監督工作。縣以上各地政府同意協調下,開展信息安全工作。按照國務院要求,工信部引發了《指南》組織對幾個部門網站系統進行外部安全測試。另外一方面,應急處理工作是電子政務重要一環,保障電子信息安全,保障業務聯系性,保障政府可靠職責有重要的作用。國家對信息安全也是很重視。制定有關標準和規范,提出明顯的要求。目前以初步建立國家信息安全協調機制,以及國家信息安全通報機制。
各地各部門也按照國家的要求正在組織制定了新計劃,建立相關的機制,今年9月上旬,工信部聯合檢查網絡安全。國務院應急辦的領導在現場進行的指導,通過演練活動應急處置流動。演練不同階段了銜接和探索。以建設相應災難系統,各地采取多種措施進行的演練。公開招標的方式建立統一災難中心,為政府部門提供數據,有效地解決財政不足與政府有關方面的矛盾。
目前,政府部門信息系統可能缺乏標準,隨意安裝網絡軟件,也是成為一個重要的原因。我們也經過調研,總體感覺上這些企業在計算機配置的管理,比政府部門要嚴格,措施也比較嚴格。我們也可以借鑒一些企業跟發達國家,在管理方面得成功經驗,進一步探索規范政府部門辦公計算機配置,規范其使用。有效減少安全隱患和安全風險。這項工作,我們已經在北京市開展了試點,北京市劉海峰主任也參加這一項工作。我們也組織專家進行深入的研究,并在山西跟上海進行了調研。在中央這一方面應該做得顯著的成績,接下來有一個主任介紹這種情況。
下面我介紹一下地方的情況。目前介紹省、市、縣的電子政務平臺。省級電子政務也配置一些設備,使用防火墻、數據庫、入侵防御系統的隔離,在省政府園區內各部門包括人大、政協也使用這一方面的。要注意加強外包服務的管理,這幾年出現一些問題,全世界反映一個問題就是外包服務的管理,也是我們比較薄弱的環節。為電子政務提供服務商應該要滿足特殊的要求,符合相應的規范,比如在招標環節上,等級管理辦法對提供商進行了審核。在采購過程當中,明確提供信息安全的。在運維過程當中,特別是現場維護跟遠程維護要進行監管。
京公網安備 11010802036102號北京金支點技術服務有限公司保留所有權利 | Copyright ? 2005-2025 Beijing Golden Point Outsourcing Service Co., Ltd. All Rights Reserved.