让电子政府“固若金汤”

电子政务作为国家信息化战略重要组成部分，具有先导和示范作用，其信息安全保障事关经济发展、国家安全、社会稳定、公众利益和社会主义精神文明建设。如果电子政务信息安全得不到保障，电子政务的便利与效率便无从保证。

对于进一步提高信息安全的保障能力和防护水平来说，实行信息安全等级保护无疑是一种好的方法，因为它能充分调动国家、法人和其他组织及公民的积极性，增强安全保护的整体性、针对性和实效性，使信息系统安全建设重点更加突出、规范，更加统一。

但是，电子政务重在政务，由于政务部门的职能不同，信息系统的结构、功能和安全要求也不尽相同，信息安全等级保护工作的侧重点也不同。然而从总体上来说，都需要做好以下几点：

落实好“四个把握”

把握等级保护的建设进程。按照等级保护程序规定，做好定级、备案、整改、评测与监管工作。

把握等级划分的合理性和准确性。要认真分析电子政务系统在国家安全、经济建设、社会生活中的重要性程度，即电子政务系统遭受破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素，合理准确地确定系统安全等级。具体来说，安全等级的确定要根据信息系统的综合价值和综合能力保证的要求不同以及安全性被破坏造成的损失大小，综合考虑信息系统的经济价值、社会价值以及信息服务的服务范围和连续性。

把握好不同等级的基本安全要求。基本要求是针对不同安全保护等级信息系统，应该具有的基本安全保护能力提出的安全要求。例如：第三级信息系统要具有抵御来自外部组织的恶意攻击能力和防内部人员攻击能力，不仅要对安全事件有审计记录，还要能追踪与响应处理，要实现多重保护制度。

把握好基本技术要求和基本管理要求。基本技术要求包括物理安全、网络安全、主机安全、应用安全与数据安全等方面。基本管理要求是通过控制信息系统中各种角色参与的活动，包括安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理等方面，从政策、制度、规范、流程以及记录等方面做出规定。对于电子政务系统要特别关注基础设施监控与管理、网络安全监控与管理、业务应用系统的监控与管理、应急响应与备份恢复管理。

引入风险评估机制

信息安全等级保护必须树立风险管理的思想，而风险评估是风险管理的基础，因此，三级以上电子政务系统必须定期进行信息安全风险评估。风险评估贯穿于等级保护周期的系统定级、安全实施和安全运维三个阶段：

系统定级。由于不同的电子政务系统具有自身的行业和业务特点，且所受到的安全威胁均有所不同。因此，可以依据信息安全风险评估国家标准对所评估资产的重要性、客观威胁发生的频率、系统自身脆弱性的严重程度进行识别和关联分析，判断信息系统应采取什么强度的安全措施，然后将安全事件一旦发生后可能造成的影响控制在可接受的范围内。即将风险评估的结果作为确定信息系统安全措施的保护级别的一个参考依据。

安全实施。安全实施是根据信息安全等级保护国家标准的要求，从管理与技术两个方面选择不同强度的安全措施，来确保建设的安全措施满足相应的等级要求。风险评估在安全实施阶段就可以直接发挥作用，那就是对现有电子政务系统进行评估和加固，然后再进行安全设备部署等。在安全实施过程中也会发生安全事件并可能带来长期的安全隐患，如安全集成过程中设置的超级用户和口令没有完全移交给用户、防火墙部署后长时间保持透明策略等都会带来严重的问题，风险评估能够及早发现并解决这些问题。

安全运维。安全运维是指按照系统等级进行安全实施后开展运行维护的安全工作。安全运维包括两方面：一是维护现有安全措施等级的有效性。二是根据客观情况的变化以及系统内部建设的实际需要，对等级进行定期调整，以防止过度保护或保护不足。在安全运维的过程中，通过信息安全风险评估工作可以对已有信息系统的安全等级保护情况进行评估，依据已确定等级的相关保护要求，对系统的保护效果、潜在风险进行评价，评估是否达到等级保护的要求；当信息系统或外部环境发生变更时，可以通过风险评估工作了解和确定风险的变更，为再次定级和等级保护措施的调整提供依据。

建立有效的信息安全管理组织

信息安全管理组织是建立信息安全保障体系，做好信息安全等级保护工作的必要条件。当前很多政务部门的信息安全工作均有信息化部门兼任，没有足够的权威性。等级保护工作的开展，要求在组织内部建立信息系统安全方面的最高权力组织，并有明确的安全目标，目的是在管理层的承诺和拥有足够资源的情况下开展信息安全工作。因此，建立有效的信息安全管理组织必须明确以下内容：

要遵循分权制衡原则。制度的建立、制度的执行、执行情况的检查与监督要分开考虑。在目前的等级保护测评工作中，时常发现有系统管理员、网络管理员、安全员与审计员兼任的情况，甚至一人包揽所有的信息系统运维工作。但从等级保护的基本要求来看，依据分权制衡的原则，建议在电子政务系统中，系统管理员与审计员不得兼任，审计员不能从事所有日常信息的维护与管理工作，系统管理员不能从事审计日志的查看与处理工作。

要坚持从上而下的垂直管理原则。上一级机关信息系统的安全管理组织指导下一级机关信息系统的安全管理组织的工作，下一级机关信息系统的安全管理组织接受并执行上一级机关信息系统的安全管理组织的安全策略。

应常设信息系统安全管理组织办公机构，负责信息安全的日常事务工作。信息系统安全管理组织应由系统管理、系统分析、软硬件维护、安全保卫、系统稽核、人事与通信等有关方面的人员组成。

信息安全管理组织部门不能隶属于技术部门或运行部门，各级信息系统的安全组织不能隶属于同级信息系统管理和业务机构。信息安全管理组织部门只有不隶属于技术或运维部门，才能站在较高的层次上制定信息安全的整体框架与策略、有效的处理安全事件，启动应急预案。

安全管理组织中领导层的负责人应由单位主管领导出任，并由业务分管领导与信息化分管领导共同组成。笔者在近几年的等级保护测评工作中体会到一点，等级保护工作开展得是否有成效，与单位领导的重视程度密切相关。等级保护工作中涉及到的安全方案设计、安全设备的添置、物理环境的改善、人员的配备等各项工作都离不开单位领导的支持。

（作者单位：浙江省电子信息产品检验所）