2004年9月到2005年5月，為了評(píng)估政府各個(gè)部門(mén)在信息安全方面政策法規(guī)的全面性、有效性，美國(guó)聯(lián)邦政府審計(jì)署分析回顧了從2003財(cái)年到2005年5月的相關(guān)報(bào)告、各個(gè)政府機(jī)構(gòu)總檢察長(zhǎng)的相關(guān)報(bào)告、管理預(yù)算辦公室的《聯(lián)邦信息安全管理法案》指南，以及國(guó)家標(biāo)準(zhǔn)技術(shù)研究院的相關(guān)標(biāo)準(zhǔn)、指南以及年度報(bào)告。2005年7月，美國(guó)出臺(tái)《信息安全年度報(bào)告。中國(guó)在政務(wù)安全方面有什么可以借鑒的？

　　2005年7月，美國(guó)聯(lián)邦政府審計(jì)署向美國(guó)國(guó)會(huì)提交了《信息安全年度報(bào)告》(以下簡(jiǎn)稱(chēng)美國(guó)報(bào)告)，其題目是《信息安全：相關(guān)法規(guī)執(zhí)行方面有所成就，但是仍然存在薄弱之處》。美國(guó)報(bào)告指出，聯(lián)邦政府各個(gè)分支機(jī)構(gòu)以及眾多事關(guān)國(guó)計(jì)民生的部門(mén)，包括能源、供水、電信、國(guó)防以及應(yīng)急服務(wù)部門(mén)，他們的日常工作已經(jīng)廣泛依賴(lài)計(jì)算機(jī)信息系統(tǒng)以及電子數(shù)據(jù)。這些信息系統(tǒng)、數(shù)據(jù)的安全非常重要，信息安全措施要防止數(shù)據(jù)篡改，保證核心業(yè)務(wù)連續(xù)性，預(yù)防數(shù)據(jù)欺騙以及阻止敏感信息泄漏。

　　美國(guó)政務(wù)的五大安全隱患

　　美國(guó)審計(jì)署發(fā)現(xiàn)，美國(guó)聯(lián)邦政府24個(gè)部門(mén)信息系統(tǒng)普遍存在安全隱患，主要體現(xiàn)在以下5個(gè)方面：訪問(wèn)控制并未有效實(shí)施、軟件變更控制并非總是有效、職責(zé)劃分沒(méi)有始終如一地執(zhí)行、業(yè)務(wù)持續(xù)性計(jì)劃經(jīng)常是不充分的、部門(mén)信息安全規(guī)劃沒(méi)有全面地應(yīng)用。

　　訪問(wèn)控制

　　它保證只有經(jīng)過(guò)授權(quán)的用戶(hù)才可以閱讀、修改或者刪除數(shù)據(jù)。訪問(wèn)控制包括電子方式以及物理方式，前者包括賬號(hào)控制、密碼控制以及用戶(hù)權(quán)限控制，后者包括門(mén)衛(wèi)、門(mén)鎖等方式。24個(gè)部門(mén)中有23個(gè)部門(mén)在訪問(wèn)控制方面存在隱患。例如，有的信息系統(tǒng)允許用戶(hù)使用非常簡(jiǎn)單的詞語(yǔ)做密碼，這使得黑客很容易破解密碼。物理控制方面，有的部門(mén)并未有效采用門(mén)鎖、門(mén)卡等手段。

　　軟件變更控制

　　軟件變更控制確保只有經(jīng)過(guò)授權(quán)的軟件程序才可以被安裝，軟件變更控制也會(huì)監(jiān)控敏感程序、數(shù)據(jù)的使用情況。24個(gè)部門(mén)中有22個(gè)存在這方面的漏洞，例如軟件系統(tǒng)沒(méi)有采用正確流程進(jìn)行升級(jí)。此外，有的信息系統(tǒng)在程序調(diào)整方面的批準(zhǔn)、測(cè)試以及實(shí)施的文檔記錄沒(méi)有良好維護(hù)，以至于出錯(cuò)的或者有預(yù)謀的程序?qū)?huì)嚴(yán)重威脅到系統(tǒng)安全。

　　職責(zé)劃分

　　職責(zé)劃分降低個(gè)人進(jìn)行錯(cuò)誤操作而沒(méi)有被發(fā)現(xiàn)的風(fēng)險(xiǎn)。24個(gè)部門(mén)中有14個(gè)存在這方面的隱患，主要體現(xiàn)在系統(tǒng)管理和系統(tǒng)安全管理沒(méi)有很好地分清。例如，有的部門(mén)用戶(hù)可以在系統(tǒng)中添加并不存在的賬號(hào)并獲得很高的權(quán)限，用這個(gè)賬號(hào)從事的活動(dòng)沒(méi)人監(jiān)管。

　　業(yè)務(wù)連續(xù)計(jì)劃

　　確保計(jì)算機(jī)相關(guān)的業(yè)務(wù)在緊急情況下不出現(xiàn)嚴(yán)重中斷，例如出現(xiàn)地震、火災(zāi)等破壞活動(dòng)的時(shí)候。20個(gè)部門(mén)存在這一方面的隱患。在審計(jì)署2005年4月提交的報(bào)告中已經(jīng)指出，不到一半的部門(mén)有應(yīng)急指揮通訊錄，很少的部門(mén)記錄了重要文件分布情況，大多數(shù)機(jī)構(gòu)沒(méi)有測(cè)試、檢驗(yàn)、演習(xí)他們的業(yè)務(wù)連續(xù)計(jì)劃以確保災(zāi)難發(fā)生時(shí)可以應(yīng)用這些計(jì)劃。

　　部門(mén)級(jí)別的安全規(guī)劃

　　上述問(wèn)題的存在，主要是因?yàn)楦鱾€(gè)部門(mén)沒(méi)有強(qiáng)有力的信息安全管理規(guī)劃。部門(mén)級(jí)別的安全規(guī)劃提供工作框架，確保全部門(mén)能夠理解風(fēng)險(xiǎn)并且有效控制、合理采取措施。這個(gè)方面，所有的部門(mén)都存在隱患，他們都沒(méi)有制定全面的信息安全規(guī)劃，尤其是新型的安全威脅方面，包括垃圾郵件、釣魚(yú)以及間諜程序。

　　我國(guó)可借鑒什么

　　我國(guó)在信息系統(tǒng)安全管理方面開(kāi)展工作的時(shí)間不長(zhǎng)，相關(guān)經(jīng)驗(yàn)不多，許多應(yīng)建立的規(guī)章制度還在摸索之中。2005年7月剛剛發(fā)布的《2005中國(guó)信息化發(fā)展報(bào)告》談到信息安全的時(shí)候，提到蠕蟲(chóng)和病毒在網(wǎng)上傳播十分猖獗、木馬事件潛在威脅巨大、各類(lèi)網(wǎng)絡(luò)違法犯罪日益突出，但沒(méi)有專(zhuān)門(mén)介紹電子政務(wù)的安全現(xiàn)狀。

　　重視管理機(jī)制制度

　　《2005中國(guó)信息化發(fā)展報(bào)告》指出，要加強(qiáng)對(duì)信息安全工作的領(lǐng)導(dǎo)，建立健全信息安全領(lǐng)導(dǎo)責(zé)任機(jī)制，明確主管領(lǐng)導(dǎo)，落實(shí)責(zé)任部門(mén)，建立和完善信息安全監(jiān)控體系，加強(qiáng)以密碼技術(shù)為基礎(chǔ)的信息保護(hù)和網(wǎng)絡(luò)信任體系的建設(shè)。

　　重視管理機(jī)制制度這一方面，中美兩國(guó)有相近之處。美國(guó)《聯(lián)邦信息安全管理法案》認(rèn)為，聯(lián)邦政府存在信息安全隱患最根本原因是缺乏有效的信息安全管理規(guī)劃?；诖?，美國(guó)《聯(lián)邦信息安全管理法案》要求政府建立一套全面的信息安全控制管理框架。不僅如此，考慮到各個(gè)機(jī)構(gòu)在信息安全管理規(guī)劃方面難免出現(xiàn)漏洞，美國(guó)《聯(lián)邦信息安全管理法案》制定了一套完善的評(píng)估機(jī)制，包括部門(mén)定期自檢以及管理和預(yù)算辦公室、國(guó)家標(biāo)準(zhǔn)技術(shù)研究院以及其他獨(dú)立機(jī)構(gòu)的評(píng)估。

　　《聯(lián)邦信息安全管理法案》要求美國(guó)聯(lián)邦政府各個(gè)機(jī)構(gòu)的信息安全報(bào)告包含如下信息：風(fēng)險(xiǎn)評(píng)估情況、政策和流程、個(gè)別系統(tǒng)的安全規(guī)劃、相關(guān)培訓(xùn)情況、年度測(cè)試和評(píng)估情況、采取的對(duì)策、信息安全事件報(bào)告以及運(yùn)行連續(xù)性。

　　美國(guó)的評(píng)估機(jī)制，保證了部門(mén)領(lǐng)導(dǎo)在意識(shí)上定期關(guān)注各自部門(mén)的信息安全，又使得他們有能力全面深入了解本部門(mén)信息安全的方方面面。這樣，既提高了部門(mén)領(lǐng)導(dǎo)對(duì)信息安全的重視程度，又采用完善的制度來(lái)提高各個(gè)部門(mén)發(fā)現(xiàn)、報(bào)告和共享信息安全隱患的能力。與美國(guó)相比，我們還沒(méi)有明確提出要建立全方位的評(píng)估體系。

　　完善標(biāo)準(zhǔn)法規(guī)體系

　　《2005中國(guó)信息化發(fā)展報(bào)告》指出，抓緊制定信息安全等級(jí)保護(hù)的管理辦法和技術(shù)指南，建立信息安全等級(jí)保護(hù)制度，加強(qiáng)信息安全法制建設(shè)和標(biāo)準(zhǔn)化建設(shè)。

　　在標(biāo)準(zhǔn)法規(guī)、技術(shù)指南方面，我國(guó)政府主要精力集中在信息安全等級(jí)保護(hù)方面。比較而言，美國(guó)政府制訂的標(biāo)準(zhǔn)法規(guī)、技術(shù)指南則更為全面。美國(guó)《聯(lián)邦信息安全管理法案》規(guī)定，由美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院(NIST)負(fù)責(zé)為政府各個(gè)部門(mén)提供相關(guān)法規(guī)制度或技術(shù)援助，進(jìn)行信息安全方面的研究，并且參與國(guó)家安全體系相關(guān)標(biāo)準(zhǔn)的開(kāi)發(fā)。

　　安全不僅是技術(shù)問(wèn)題，同時(shí)還是社會(huì)和法律問(wèn)題。與美國(guó)相比，我國(guó)在標(biāo)準(zhǔn)的制定、認(rèn)證、檢測(cè)等方面有待于進(jìn)一步的加強(qiáng)。信息安全標(biāo)準(zhǔn)方面，我國(guó)有國(guó)家信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心、公安部、國(guó)家質(zhì)量技術(shù)監(jiān)督局等多個(gè)部門(mén)參與這方面的工作，而美國(guó)則在法案中明確表示由美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院一家來(lái)完成。還有一點(diǎn)值得注意的是，我國(guó)信息安全標(biāo)準(zhǔn)的培訓(xùn)、認(rèn)證和檢測(cè)機(jī)構(gòu)中，有一些是贏利機(jī)構(gòu)，這在某種程度上降低了其公證性。

　　加強(qiáng)信息安全培訓(xùn)

　　《2005中國(guó)信息化發(fā)展報(bào)告》指出，加強(qiáng)信息安全學(xué)科、人才培養(yǎng)。

　　聯(lián)邦信息安全管理法案要求，聯(lián)邦政府各個(gè)機(jī)構(gòu)對(duì)政府雇員以及合同商的雇員進(jìn)行信息安全培訓(xùn)，這些機(jī)構(gòu)在年度評(píng)估報(bào)告中要標(biāo)明參與培訓(xùn)人員的數(shù)量以及所占比例。2005年的報(bào)告指出，所有24個(gè)部門(mén)都對(duì)本部門(mén)60%以上的職員進(jìn)行了培訓(xùn)。美國(guó)報(bào)告指出，如果不能提供最新的信息安全培訓(xùn)，將會(huì)給政府機(jī)構(gòu)的信息安全帶來(lái)安全隱患。例如，美國(guó)大多數(shù)部門(mén)沒(méi)有對(duì)雇員提供無(wú)線局域網(wǎng)方面的信息安全培訓(xùn)，這使得他們?cè)诮ㄔO(shè)沒(méi)有認(rèn)證措施的無(wú)線局域網(wǎng)的時(shí)候，不了解其安全隱患。

　　由此可見(jiàn)，美國(guó)政府更注重日常的培訓(xùn)工作，而不僅僅是學(xué)校培養(yǎng)。信息安全，需要有數(shù)學(xué)算法、軟件、硬件等諸多方面的理論支持。但對(duì)于很多現(xiàn)有的隱患來(lái)說(shuō)，更重要的是提高普通用戶(hù)的安全意識(shí)。例如美國(guó)政府提到的無(wú)線局域網(wǎng)問(wèn)題，我國(guó)政府在科研方面正在開(kāi)發(fā)WAPI，希望以此來(lái)增強(qiáng)系統(tǒng)的安全性。但是，有許多無(wú)線局域網(wǎng)是內(nèi)置了安全認(rèn)證程序而根本沒(méi)有啟用。

　　信息安全是個(gè)系統(tǒng)工程，既要有高屋建瓴的頂層設(shè)計(jì)、整體框架，又要有體貼入微的法規(guī)標(biāo)準(zhǔn)、行動(dòng)指南，還要有資金支持、日常培訓(xùn)以及監(jiān)察制度，需要恩威并重。同美國(guó)信息安全報(bào)告談到的情況相比，在我國(guó)政府部門(mén)中宣傳信息安全的重要性，并且保證相關(guān)人員有能力、有方法了解其現(xiàn)狀，懂得如何降低風(fēng)險(xiǎn)，這些都是任重而道遠(yuǎn)的。

　　鏈接

　　國(guó)家信息化領(lǐng)導(dǎo)小組第一次會(huì)議決定，把電子政務(wù)建設(shè)作為今后一個(gè)時(shí)期我國(guó)信息化工作的重點(diǎn)，政府先行，帶動(dòng)國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展信息化。

　　在電子政務(wù)建設(shè)中和安全相關(guān)的主要任務(wù)是：

　　基本建立電子政務(wù)網(wǎng)絡(luò)與信息安全保障體系。要組織建立我國(guó)電子政務(wù)網(wǎng)絡(luò)與信息安全保障體系框架，逐步完善安全管理體制，建立電子政務(wù)信任體系，加強(qiáng)關(guān)鍵性安全技術(shù)產(chǎn)品的研究和開(kāi)發(fā)，建立應(yīng)急支援中心和數(shù)據(jù)災(zāi)難備份基礎(chǔ)設(shè)施。

　　完善電子政務(wù)標(biāo)準(zhǔn)化體系。逐步制定電子政務(wù)建設(shè)所需的標(biāo)準(zhǔn)和規(guī)范。今年要優(yōu)先制定業(yè)務(wù)協(xié)同、信息共享和網(wǎng)絡(luò)與信息安全的標(biāo)準(zhǔn)，加快建立健全電子政務(wù)標(biāo)準(zhǔn)實(shí)施機(jī)制。

　　加快推進(jìn)電子政務(wù)法制建設(shè)。適時(shí)提出比較成熟的立法建議，推動(dòng)相關(guān)配套法律法規(guī)的制定和完善。加快研究和制定電子簽章、政府信息公開(kāi)及網(wǎng)絡(luò)與信息安全、電子政務(wù)項(xiàng)目管理等方面的行政法規(guī)和規(guī)章。基本形成電子政務(wù)建設(shè)、運(yùn)行維護(hù)和管理等方面有效的激勵(lì)約束機(jī)制。