2004年9月到2005年5月，為了評估政府各個部門在信息安全方面政策法規(guī)的全面性、有效性，美國聯(lián)邦政府審計署分析回顧了從2003財年到2005年5月的相關(guān)報告、各個政府機構(gòu)總檢察長的相關(guān)報告、管理預算辦公室的《聯(lián)邦信息安全管理法案》指南，以及國家標準技術(shù)研究院的相關(guān)標準、指南以及年度報告。2005年7月，美國出臺《信息安全年度報告。中國在政務安全方面有什么可以借鑒的？

　　2005年7月，美國聯(lián)邦政府審計署向美國國會提交了《信息安全年度報告》(以下簡稱美國報告)，其題目是《信息安全：相關(guān)法規(guī)執(zhí)行方面有所成就，但是仍然存在薄弱之處》。美國報告指出，聯(lián)邦政府各個分支機構(gòu)以及眾多事關(guān)國計民生的部門，包括能源、供水、電信、國防以及應急服務部門，他們的日常工作已經(jīng)廣泛依賴計算機信息系統(tǒng)以及電子數(shù)據(jù)。這些信息系統(tǒng)、數(shù)據(jù)的安全非常重要，信息安全措施要防止數(shù)據(jù)篡改，保證核心業(yè)務連續(xù)性，預防數(shù)據(jù)欺騙以及阻止敏感信息泄漏。

　　美國政務的五大安全隱患

　　美國審計署發(fā)現(xiàn)，美國聯(lián)邦政府24個部門信息系統(tǒng)普遍存在安全隱患，主要體現(xiàn)在以下5個方面：訪問控制并未有效實施、軟件變更控制并非總是有效、職責劃分沒有始終如一地執(zhí)行、業(yè)務持續(xù)性計劃經(jīng)常是不充分的、部門信息安全規(guī)劃沒有全面地應用。

　　訪問控制

　　它保證只有經(jīng)過授權(quán)的用戶才可以閱讀、修改或者刪除數(shù)據(jù)。訪問控制包括電子方式以及物理方式，前者包括賬號控制、密碼控制以及用戶權(quán)限控制，后者包括門衛(wèi)、門鎖等方式。24個部門中有23個部門在訪問控制方面存在隱患。例如，有的信息系統(tǒng)允許用戶使用非常簡單的詞語做密碼，這使得黑客很容易破解密碼。物理控制方面，有的部門并未有效采用門鎖、門卡等手段。

　　軟件變更控制

　　軟件變更控制確保只有經(jīng)過授權(quán)的軟件程序才可以被安裝，軟件變更控制也會監(jiān)控敏感程序、數(shù)據(jù)的使用情況。24個部門中有22個存在這方面的漏洞，例如軟件系統(tǒng)沒有采用正確流程進行升級。此外，有的信息系統(tǒng)在程序調(diào)整方面的批準、測試以及實施的文檔記錄沒有良好維護，以至于出錯的或者有預謀的程序?qū)乐赝{到系統(tǒng)安全。

　　職責劃分

　　職責劃分降低個人進行錯誤操作而沒有被發(fā)現(xiàn)的風險。24個部門中有14個存在這方面的隱患，主要體現(xiàn)在系統(tǒng)管理和系統(tǒng)安全管理沒有很好地分清。例如，有的部門用戶可以在系統(tǒng)中添加并不存在的賬號并獲得很高的權(quán)限，用這個賬號從事的活動沒人監(jiān)管。

　　業(yè)務連續(xù)計劃

　　確保計算機相關(guān)的業(yè)務在緊急情況下不出現(xiàn)嚴重中斷，例如出現(xiàn)地震、火災等破壞活動的時候。20個部門存在這一方面的隱患。在審計署2005年4月提交的報告中已經(jīng)指出，不到一半的部門有應急指揮通訊錄，很少的部門記錄了重要文件分布情況，大多數(shù)機構(gòu)沒有測試、檢驗、演習他們的業(yè)務連續(xù)計劃以確保災難發(fā)生時可以應用這些計劃。

　　部門級別的安全規(guī)劃

　　上述問題的存在，主要是因為各個部門沒有強有力的信息安全管理規(guī)劃。部門級別的安全規(guī)劃提供工作框架，確保全部門能夠理解風險并且有效控制、合理采取措施。這個方面，所有的部門都存在隱患，他們都沒有制定全面的信息安全規(guī)劃，尤其是新型的安全威脅方面，包括垃圾郵件、釣魚以及間諜程序。

　　我國可借鑒什么

　　我國在信息系統(tǒng)安全管理方面開展工作的時間不長，相關(guān)經(jīng)驗不多，許多應建立的規(guī)章制度還在摸索之中。2005年7月剛剛發(fā)布的《2005中國信息化發(fā)展報告》談到信息安全的時候，提到蠕蟲和病毒在網(wǎng)上傳播十分猖獗、木馬事件潛在威脅巨大、各類網(wǎng)絡違法犯罪日益突出，但沒有專門介紹電子政務的安全現(xiàn)狀。

　　重視管理機制制度

　　《2005中國信息化發(fā)展報告》指出，要加強對信息安全工作的領導，建立健全信息安全領導責任機制，明確主管領導，落實責任部門，建立和完善信息安全監(jiān)控體系，加強以密碼技術(shù)為基礎的信息保護和網(wǎng)絡信任體系的建設。

　　重視管理機制制度這一方面，中美兩國有相近之處。美國《聯(lián)邦信息安全管理法案》認為，聯(lián)邦政府存在信息安全隱患最根本原因是缺乏有效的信息安全管理規(guī)劃。基于此，美國《聯(lián)邦信息安全管理法案》要求政府建立一套全面的信息安全控制管理框架。不僅如此，考慮到各個機構(gòu)在信息安全管理規(guī)劃方面難免出現(xiàn)漏洞，美國《聯(lián)邦信息安全管理法案》制定了一套完善的評估機制，包括部門定期自檢以及管理和預算辦公室、國家標準技術(shù)研究院以及其他獨立機構(gòu)的評估。

　　《聯(lián)邦信息安全管理法案》要求美國聯(lián)邦政府各個機構(gòu)的信息安全報告包含如下信息：風險評估情況、政策和流程、個別系統(tǒng)的安全規(guī)劃、相關(guān)培訓情況、年度測試和評估情況、采取的對策、信息安全事件報告以及運行連續(xù)性。

　　美國的評估機制，保證了部門領導在意識上定期關(guān)注各自部門的信息安全，又使得他們有能力全面深入了解本部門信息安全的方方面面。這樣，既提高了部門領導對信息安全的重視程度，又采用完善的制度來提高各個部門發(fā)現(xiàn)、報告和共享信息安全隱患的能力。與美國相比，我們還沒有明確提出要建立全方位的評估體系。

　　完善標準法規(guī)體系

　　《2005中國信息化發(fā)展報告》指出，抓緊制定信息安全等級保護的管理辦法和技術(shù)指南，建立信息安全等級保護制度，加強信息安全法制建設和標準化建設。

　　在標準法規(guī)、技術(shù)指南方面，我國政府主要精力集中在信息安全等級保護方面。比較而言，美國政府制訂的標準法規(guī)、技術(shù)指南則更為全面。美國《聯(lián)邦信息安全管理法案》規(guī)定，由美國國家標準技術(shù)研究院(NIST)負責為政府各個部門提供相關(guān)法規(guī)制度或技術(shù)援助，進行信息安全方面的研究，并且參與國家安全體系相關(guān)標準的開發(fā)。

　　安全不僅是技術(shù)問題，同時還是社會和法律問題。與美國相比，我國在標準的制定、認證、檢測等方面有待于進一步的加強。信息安全標準方面，我國有國家信息安全產(chǎn)品測評認證中心、公安部、國家質(zhì)量技術(shù)監(jiān)督局等多個部門參與這方面的工作，而美國則在法案中明確表示由美國國家標準技術(shù)研究院一家來完成。還有一點值得注意的是，我國信息安全標準的培訓、認證和檢測機構(gòu)中，有一些是贏利機構(gòu)，這在某種程度上降低了其公證性。

　　加強信息安全培訓

　　《2005中國信息化發(fā)展報告》指出，加強信息安全學科、人才培養(yǎng)。

　　聯(lián)邦信息安全管理法案要求，聯(lián)邦政府各個機構(gòu)對政府雇員以及合同商的雇員進行信息安全培訓，這些機構(gòu)在年度評估報告中要標明參與培訓人員的數(shù)量以及所占比例。2005年的報告指出，所有24個部門都對本部門60%以上的職員進行了培訓。美國報告指出，如果不能提供最新的信息安全培訓，將會給政府機構(gòu)的信息安全帶來安全隱患。例如，美國大多數(shù)部門沒有對雇員提供無線局域網(wǎng)方面的信息安全培訓，這使得他們在建設沒有認證措施的無線局域網(wǎng)的時候，不了解其安全隱患。

　　由此可見，美國政府更注重日常的培訓工作，而不僅僅是學校培養(yǎng)。信息安全，需要有數(shù)學算法、軟件、硬件等諸多方面的理論支持。但對于很多現(xiàn)有的隱患來說，更重要的是提高普通用戶的安全意識。例如美國政府提到的無線局域網(wǎng)問題，我國政府在科研方面正在開發(fā)WAPI，希望以此來增強系統(tǒng)的安全性。但是，有許多無線局域網(wǎng)是內(nèi)置了安全認證程序而根本沒有啟用。

　　信息安全是個系統(tǒng)工程，既要有高屋建瓴的頂層設計、整體框架，又要有體貼入微的法規(guī)標準、行動指南，還要有資金支持、日常培訓以及監(jiān)察制度，需要恩威并重。同美國信息安全報告談到的情況相比，在我國政府部門中宣傳信息安全的重要性，并且保證相關(guān)人員有能力、有方法了解其現(xiàn)狀，懂得如何降低風險，這些都是任重而道遠的。

　　鏈接

　　國家信息化領導小組第一次會議決定，把電子政務建設作為今后一個時期我國信息化工作的重點，政府先行，帶動國民經(jīng)濟和社會發(fā)展信息化。

　　在電子政務建設中和安全相關(guān)的主要任務是：

　　基本建立電子政務網(wǎng)絡與信息安全保障體系。要組織建立我國電子政務網(wǎng)絡與信息安全保障體系框架，逐步完善安全管理體制，建立電子政務信任體系，加強關(guān)鍵性安全技術(shù)產(chǎn)品的研究和開發(fā)，建立應急支援中心和數(shù)據(jù)災難備份基礎設施。

　　完善電子政務標準化體系。逐步制定電子政務建設所需的標準和規(guī)范。今年要優(yōu)先制定業(yè)務協(xié)同、信息共享和網(wǎng)絡與信息安全的標準，加快建立健全電子政務標準實施機制。

　　加快推進電子政務法制建設。適時提出比較成熟的立法建議，推動相關(guān)配套法律法規(guī)的制定和完善。加快研究和制定電子簽章、政府信息公開及網(wǎng)絡與信息安全、電子政務項目管理等方面的行政法規(guī)和規(guī)章。基本形成電子政務建設、運行維護和管理等方面有效的激勵約束機制。