政府@@门户网站@@是政务@@公开和服务型政府@@两大主导思想在落实过程中所必须凭借的重要平台@@@@,在未来的电子政务@@规划中@@,政府@@门户网站@@必将占有非常重要的地位@@。目前@@,我国正在逐步推进信息安全@@等级保护@@工作@@,这一@@国家层面上的信息安全@@标准已成为未来在电子政务@@安全建设中的重要保障@@。
安全需求@@
政府@@门户网站@@的地位非常重要@@,但其安全形势却不容乐观@@。据统计@@,仅在@@2007年@@,就有@@3000余家政府@@门户网站@@发生过网页被篡改的事件@@,严重影响了政府@@的对外形象@@。随着电子政务@@建设的逐步推进@@,政府@@门户网站@@所承载业务的数量在逐步增加@@,网站被入侵或篡改所带来的危害将不仅限于政府@@形象的损害@@,甚至会造成巨大的经济损失@@,或者严重的社会问题@@。对于政府@@网站@@所面临的主要风险@@,笔者总结如下@@:
(一@@)页面@@被篡改@@。政府@@门户网站@@作为政府@@形象的标志之一@@@@,常常是一@@些不法分子的重点攻击对象@@,政府@@门户网站@@一@@旦被篡改@@,常常会引发较大的影响@@,严重时甚至会造成政治事件@@。其中页面@@被篡改@@的一@@种方式就是@@“网页挂马@@”,网页内容表面上没有任何异常@@,却可能被偷偷地挂上了木马程序@@。“网页挂马@@”虽然不会给网站带来直接损害@@,但却会给浏览者带来损失@@。更重要的是@@,政府@@网站@@一@@旦被挂马@@,其权威性和公信力将会受到严重打击@@,最终给电子政务@@的普及带来重大影响@@。
(二@@)在线业务被攻击@@。对企业@@、公众提供在线服务已成为政府@@门户网站@@的重要功能@@,这些服务一@@旦受到拒绝就会面临瘫痪或终止@@,对业务的正常运转必然造成极大的影响@@,很可能会造成经济损失@@,严重时甚至会影响社会稳定@@。
(三@@)数据@@被窃取@@。在线业务系统中总是需要保存一@@些企业@@、公众的相关资料@@,这些资料往往涉及到企业机密和个人隐私@@,一@@旦泄露就会造成企业或个人的利益受损@@,很可能会给网站带来严重的法律纠纷@@。
(四@@)内网被侵入@@。政府@@门户网站@@虽然和政府@@办公网络之间设有隔离设备@@,但也会被一@@些手段高明的黑客入侵@@,从而盗取一@@些敏感材料@@,势必会对电子政务@@的应用系统造成破坏@@。
以上总结仅仅是对政府@@门户网站@@主要安全需求@@的简单总结@@,事实上@@,政府@@门户网站@@要想达到真正意义上的安全@@,亟需建立一@@个完善细致的安全防护体系@@。不仅要在技术上建立事前@@、事中和事后的纵深防御系统@@,还需要建立良好的信息安全@@管理制度@@。
解决方案@@
出于对信息安全@@的重视@@,国家已经出台了信息安全@@等级保护@@的一@@系列文件和标准@@,用以促进和指导信息安全@@的建设@@。2007年@@6月@@22日@@,公安部与@@国家保密局@@、密码管理局@@、国务院信息办联合会签并印发了@@《信息安全@@等级保护@@管理办法@@》(公通字@@[2007]43号@@),确定了信息安全@@等级保护@@制度的基本内容及各项工作要求@@。2007年@@7月@@16日@@,四@@部委联合会签并下发了@@《关于开展全国重要信息系统安全等级保护@@定级工作的通知@@》(公信安@@[2007]861号@@),就定级范围@@、定级工作主要内容@@、定级工作要求等事项进行了部署@@。
《信息安全@@等级保护@@管理办法@@》与@@《关于开展全国重要信息系统安全等级保护@@定级工作的通知@@》的出台@@,标志着信息安全@@等级保护@@工作在全国范围内已经进入到推广实施的阶段@@。其中根据@@《信息系统安全等级保护@@实施指南@@》中所给出的等级保护@@的建设过程@@,可以看到等级保护@@并不是一@@个一@@劳永逸的孤立项目@@,而是一@@个连续不断@@、周而复始的过程@@。
而要实现这样一@@个过程@@,就必须以安全服务为主线@@,从门户网站的安全评估@@、差距评估等咨询@@性服务开始@@,再延伸到整体安全规划@@、解决方案@@设计等设计性服务@@,最终以运维支持@@、应急响应等持续性的技术服务为政府@@门户网站@@提供一@@个符合等级保护@@精神的安全保障体系@@。
等级保护@@
政府@@门户网站@@安全定级和备案阶段的安全服务主要包括等级保护@@导入@@、信息系统辅助定级@@、协助用户完成备案等部分@@。这些安全服务的目标是通过培训使有关人员了解等级保护@@的内容和过程@@,并按照定级指南要求对门户网站进行定级@@,最终帮助用户完成备案工作@@。
(一@@)安全规划设计阶段@@。安全规划设计阶段@@的安全服务主要包括安全需求@@导出@@、信息系统风险评估@@、等级保护@@差距评估@@、安全建设整体规划和安全基线指标设计等@@。安全需求@@导出服务的目标主要是为门户网站导出真正的安全需求@@@@,不同网站的规模@@、访问量@@、部署模式@@、政务@@公开信息的频度@@、在线业务的重要程度都各不相同@@,其安全需求@@也就各有不同@@。
只有对网站业务进行详细的调研和分析@@,才能给出符合实际的安全需求@@分析@@。信息系统风险评估@@服务@@、等级保护@@差距评估@@服务是结合风险评估的方法和理论@@,围绕着系统所承载的具体业务@@,通过风险评估的方法评估系统的风险状况@@,并根据系统的安全措施是否符合相应等级的安全要求来判断系统与@@所定等级的差距@@。
(二@@)安全实施阶段@@。安全实施阶段@@是等级保护@@得以落地的主要阶段@@。安全实施阶段@@中主要包括安全解决方案@@设计@@、安全技术体系改造@@、安全管理体系改造@@、岗位培训和应急响应演练等安全服务@@。
安全解决方案@@设计是如何将门户网站业务安全目标和系统等级安全规划落实的关键过程@@。安全技术体系改造@@主要包括物理层@@、网络层@@、应用层@@、主机层和数据@@层@@5个层面@@,安全管理体系包括安全管理制度@@、安全管理机构@@、人员安全管理@@、系统建设管理@@、系统运维管理@@5个方面@@。在技术体系和管理系统完成安全改造后@@,必须对岗位培训和应急响应进行演练@@,使技术措施和管理流程得到充分的检验和锻炼@@。
(三@@)安全运行管理阶段@@。安全服务提供商能够为客户提供专业的安全服务@@,但在日@@常运行工作中@@,安全服务提供商不可能代替客户做所有的事情@@。为保证客户内部管理人员的安全管理工作和专业水平@@,基于安全指标设计的配置核查安全服务会使客户的内部管理人员根据等级保护@@标准进行量化的安全指标@@,使用自动化工具去执行内部核查@@,这在很大程度上保证了日@@常运行管理的专业程度@@。在安全运行管理阶段@@@@,还需要安全服务提供商提供阶段性的风险评估服务@@、安全应急响应服务等来协助客户通过等级保护@@安全检查工作@@。
