隨著《電子政務(wù)信息安全等級保護實施指南》和《信息安全等級保護管理辦法》等一系列文件頒布以來,政府部門如何來做等級保護,確保電子政務(wù)安全已經(jīng)變成非常熱門的話題。

  我們知道,電子政務(wù)等級保護工作分為管理層面和用戶層面兩部分。管理層的主要工作是制定電子政務(wù)信息安全等級保護的管理辦法、定級指南、基本安全要求、等級評估規(guī)范以及對電子政務(wù)等級保護工作的管理等;用戶層的主要工作是依據(jù)管理層的要求對電子政務(wù)系統(tǒng)進行定級,確定系統(tǒng)應(yīng)采取的安全保障措施,進行系統(tǒng)安全設(shè)計與建設(shè),以及運行監(jiān)控和改進。

  具體落到實處對電子政務(wù)實現(xiàn)等級保護,政府部門一般都需要做以下的工作。

  一、加強安全管理組織是實現(xiàn)等級保護的基礎(chǔ)

  由于電子政務(wù)安全管理涉及到眾多的國家安全職能部門,其安全管理職能的協(xié)調(diào)需要由國家信息化領(lǐng)導(dǎo)機構(gòu),如國家信息化領(lǐng)導(dǎo)小組、國家電子政務(wù)協(xié)調(diào)小組、國家信息安全協(xié)調(diào)小組等來進行。各地區(qū)和部委建立相應(yīng)的信息安全管理機構(gòu),以完成和強化信息安全的管理,形成自頂向下的信息安全管理組織體系,是電子政務(wù)安全實施的必要條件。

  安全組織包括建立健全組織體系;明確負(fù)責(zé)安全管理的主要領(lǐng)導(dǎo)、主管部門、技術(shù)支持部門和宣傳、保衛(wèi)部門;制定系統(tǒng)安全保障方案,實施安全宣傳教育、安全監(jiān)管和安全服務(wù)。只有建設(shè)一個國家到省市縱向和橫向各部委、廳局架構(gòu)的安全管理組織,才能真正實現(xiàn)全面的安全等級保護。

  二、規(guī)劃與制度是規(guī)范等級保護的根本保證

  電子政務(wù)信息系統(tǒng)存在著來自社會環(huán)境、技術(shù)環(huán)境和物理自然環(huán)境的安全風(fēng)險,其安全威脅無時無處不在。對于電子政務(wù)信息系統(tǒng)的安全問題,不能企圖單憑利用一些集成了信息安全技術(shù)的安全產(chǎn)品來解決,而必須建立電子政務(wù)信息系統(tǒng)安全保障體系,考慮技術(shù)、管理和法律的因素,全方位地、綜合解決系統(tǒng)安全問題。

  按照《電子政務(wù)信息安全等級保護實施指南》等文件的工作要求,需制定《省市電子政務(wù)等級保護總體安全方案》,對電子政務(wù)信息安全等級保護進行明確的界定,根據(jù)電子政務(wù)系統(tǒng)在國家安全、社會穩(wěn)定、經(jīng)濟秩序和公共利益等方面的重要程度,結(jié)合系統(tǒng)面臨的風(fēng)險、安全保護要求和成本等因素,將其劃分成不同的安全保護等級,采取相應(yīng)等級的安全保護措施,以保障信息和信息系統(tǒng)的安全。

  通過全面推行信息安全等級保護制度,逐步將信息安全等級保護制度落實到信息系統(tǒng)安全規(guī)劃、建設(shè)、測評、運行維護和使用等各個環(huán)節(jié),使省市信息安全保障狀況得到基本改善。通過加強和規(guī)范信息安全等級保護管理,不斷提高、省市信息安全保障能力,為維護信息網(wǎng)絡(luò)的安全穩(wěn)定,促進信息化發(fā)展服務(wù)。

  三、產(chǎn)品與技術(shù)解決方案是實施等級保護的具體表現(xiàn)

  根據(jù)各級電子政務(wù)內(nèi)外網(wǎng)與專網(wǎng)的安全等級保護的不同要求,安全等級保護的產(chǎn)品和技術(shù)解決方案部署在網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全和主機及數(shù)據(jù)安全兩方面。網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全措施包括:網(wǎng)絡(luò)部署、網(wǎng)絡(luò)冗余、網(wǎng)絡(luò)設(shè)備安全、邊界保護、安全檢測和審計、PKI、遠(yuǎn)程訪問措施、網(wǎng)絡(luò)安全管理等;主機及數(shù)據(jù)安全措施包括:服務(wù)器主機與平臺加固、桌面端補丁管理與漏洞控制、病毒與惡意代碼防范、身份識別與認(rèn)證、系統(tǒng)與應(yīng)用安全審計、數(shù)據(jù)完整性監(jiān)控、數(shù)據(jù)備份與恢復(fù)、主機與數(shù)據(jù)安全管理策略清單等。

  廣通信達公司獨到地提出了“等級保護客體保障體系”的解決方案,它以國家相關(guān)的法規(guī)標(biāo)準(zhǔn)為依據(jù),以廣通信達公司等級保護知識庫和支撐平臺為基礎(chǔ),形成了科學(xué)合理的解決方案,幫助政府用戶構(gòu)建等級化保障體系,以滿足不同類型信息系統(tǒng)和不斷變化的信息系統(tǒng)安全需求為目標(biāo),依據(jù)等級保護文件,設(shè)計了基于核心技術(shù)的等級保護服務(wù)組件。

  對信息系統(tǒng)的基礎(chǔ)資源和信息資源的價值大小、用戶訪問權(quán)限的大小、大系統(tǒng)中各子系統(tǒng)的重要程度進行區(qū)別對待,對系統(tǒng)進行定級后,需要通過努力達到相應(yīng)等級的基本安全要求。在總體上分為技術(shù)要求和管理要求,技術(shù)上又分為物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全;在管理要求中又分為安全管理機構(gòu)、安全管理制度等5項。

  廣通信達公司遵照國家等級保護制度、滿足客戶實際需求,采用等級化、體系化和運行保障相結(jié)合的方法,旨在為用戶建設(shè)一套覆蓋全面、重點突出、節(jié)約成本、持續(xù)運行的安全保障體系,切實有效地推進了信息安全等級保護工作的持續(xù)發(fā)展。

責(zé)任編輯:admin