2004年9月到2005年5月,为了评估政府各个部门在信息安全方面政策法规的全面性、有效性,美国联邦政府审计署分析回顾了从2003财年到2005年5月的相关报告、各个政府机构总检察长的相关报告、管理预算办公室的《联邦信息安全管理法案》指南,以及国家标准技术研究院的相关标准、指南以及年度报告。2005年7月,美国出台《信息安全年度报告。中国在政务安全方面有什么可以借鉴的?
2005年7月,美国联邦政府审计署向美国国会提交了《信息安全年度报告》(以下简称美国报告),其题目是《信息安全:相关法规执行方面有所成就,但是仍然存在薄弱之处》。美国报告指出,联邦政府各个分支机构以及众多事关国计民生的部门,包括能源、供水、电信、国防以及应急服务部门,他们的日常工作已经广泛依赖计算机信息系统以及电子数据。这些信息系统、数据的安全非常重要,信息安全措施要防止数据篡改,保证核心业务连续性,预防数据欺骗以及阻止敏感信息泄漏。
美国政务的五大安全隐患
美国审计署发现,美国联邦政府24个部门信息系统普遍存在安全隐患,主要体现在以下5个方面:访问控制并未有效实施、软件变更控制并非总是有效、职责划分没有始终如一地执行、业务持续性计划经常是不充分的、部门信息安全规划没有全面地应用。
访问控制
它保证只有经过授权的用户才可以阅读、修改或者删除数据。访问控制包括电子方式以及物理方式,前者包括账号控制、密码控制以及用户权限控制,后者包括门卫、门锁等方式。24个部门中有23个部门在访问控制方面存在隐患。例如,有的信息系统允许用户使用非常简单的词语做密码,这使得黑客很容易破解密码。物理控制方面,有的部门并未有效采用门锁、门卡等手段。
软件变更控制
软件变更控制确保只有经过授权的软件程序才可以被安装,软件变更控制也会监控敏感程序、数据的使用情况。24个部门中有22个存在这方面的漏洞,例如软件系统没有采用正确流程进行升级。此外,有的信息系统在程序调整方面的批准、测试以及实施的文档记录没有良好维护,以至于出错的或者有预谋的程序将会严重威胁到系统安全。
职责划分
职责划分降低个人进行错误操作而没有被发现的风险。24个部门中有14个存在这方面的隐患,主要体现在系统管理和系统安全管理没有很好地分清。例如,有的部门用户可以在系统中添加并不存在的账号并获得很高的权限,用这个账号从事的活动没人监管。
业务连续计划
确保计算机相关的业务在紧急情况下不出现严重中断,例如出现地震、火灾等破坏活动的时候。20个部门存在这一方面的隐患。在审计署2005年4月提交的报告中已经指出,不到一半的部门有应急指挥通讯录,很少的部门记录了重要文件分布情况,大多数机构没有测试、检验、演习他们的业务连续计划以确保灾难发生时可以应用这些计划。
部门级别的安全规划
上述问题的存在,主要是因为各个部门没有强有力的信息安全管理规划。部门级别的安全规划提供工作框架,确保全部门能够理解风险并且有效控制、合理采取措施。这个方面,所有的部门都存在隐患,他们都没有制定全面的信息安全规划,尤其是新型的安全威胁方面,包括垃圾邮件、钓鱼以及间谍程序。
我国可借鉴什么
我国在信息系统安全管理方面开展工作的时间不长,相关经验不多,许多应建立的规章制度还在摸索之中。2005年7月刚刚发布的《2005中国信息化发展报告》谈到信息安全的时候,提到蠕虫和病毒在网上传播十分猖獗、木马事件潜在威胁巨大、各类网络违法犯罪日益突出,但没有专门介绍电子政务的安全现状。
重视管理机制制度
《2005中国信息化发展报告》指出,要加强对信息安全工作的领导,建立健全信息安全领导责任机制,明确主管领导,落实责任部门,建立和完善信息安全监控体系,加强以密码技术为基础的信息保护和网络信任体系的建设。
重视管理机制制度这一方面,中美两国有相近之处。美国《联邦信息安全管理法案》认为,联邦政府存在信息安全隐患最根本原因是缺乏有效的信息安全管理规划。基于此,美国《联邦信息安全管理法案》要求政府建立一套全面的信息安全控制管理框架。不仅如此,考虑到各个机构在信息安全管理规划方面难免出现漏洞,美国《联邦信息安全管理法案》制定了一套完善的评估机制,包括部门定期自检以及管理和预算办公室、国家标准技术研究院以及其他独立机构的评估。
《联邦信息安全管理法案》要求美国联邦政府各个机构的信息安全报告包含如下信息:风险评估情况、政策和流程、个别系统的安全规划、相关培训情况、年度测试和评估情况、采取的对策、信息安全事件报告以及运行连续性。
美国的评估机制,保证了部门领导在意识上定期关注各自部门的信息安全,又使得他们有能力全面深入了解本部门信息安全的方方面面。这样,既提高了部门领导对信息安全的重视程度,又采用完善的制度来提高各个部门发现、报告和共享信息安全隐患的能力。与美国相比,我们还没有明确提出要建立全方位的评估体系。
完善标准法规体系
《2005中国信息化发展报告》指出,抓紧制定信息安全等级保护的管理办法和技术指南,建立信息安全等级保护制度,加强信息安全法制建设和标准化建设。
在标准法规、技术指南方面,我国政府主要精力集中在信息安全等级保护方面。比较而言,美国政府制订的标准法规、技术指南则更为全面。美国《联邦信息安全管理法案》规定,由美国国家标准技术研究院(NIST)负责为政府各个部门提供相关法规制度或技术援助,进行信息安全方面的研究,并且参与国家安全体系相关标准的开发。
安全不仅是技术问题,同时还是社会和法律问题。与美国相比,我国在标准的制定、认证、检测等方面有待于进一步的加强。信息安全标准方面,我国有国家信息安全产品测评认证中心、公安部、国家质量技术监督局等多个部门参与这方面的工作,而美国则在法案中明确表示由美国国家标准技术研究院一家来完成。还有一点值得注意的是,我国信息安全标准的培训、认证和检测机构中,有一些是赢利机构,这在某种程度上降低了其公证性。
加强信息安全培训
《2005中国信息化发展报告》指出,加强信息安全学科、人才培养。
联邦信息安全管理法案要求,联邦政府各个机构对政府雇员以及合同商的雇员进行信息安全培训,这些机构在年度评估报告中要标明参与培训人员的数量以及所占比例。2005年的报告指出,所有24个部门都对本部门60%以上的职员进行了培训。美国报告指出,如果不能提供最新的信息安全培训,将会给政府机构的信息安全带来安全隐患。例如,美国大多数部门没有对雇员提供无线局域网方面的信息安全培训,这使得他们在建设没有认证措施的无线局域网的时候,不了解其安全隐患。
由此可见,美国政府更注重日常的培训工作,而不仅仅是学校培养。信息安全,需要有数学算法、软件、硬件等诸多方面的理论支持。但对于很多现有的隐患来说,更重要的是提高普通用户的安全意识。例如美国政府提到的无线局域网问题,我国政府在科研方面正在开发WAPI,希望以此来增强系统的安全性。但是,有许多无线局域网是内置了安全认证程序而根本没有启用。
信息安全是个系统工程,既要有高屋建瓴的顶层设计、整体框架,又要有体贴入微的法规标准、行动指南,还要有资金支持、日常培训以及监察制度,需要恩威并重。同美国信息安全报告谈到的情况相比,在我国政府部门中宣传信息安全的重要性,并且保证相关人员有能力、有方法了解其现状,懂得如何降低风险,这些都是任重而道远的。
链接
国家信息化领导小组第一次会议决定,把电子政务建设作为今后一个时期我国信息化工作的重点,政府先行,带动国民经济和社会发展信息化。
在电子政务建设中和安全相关的主要任务是:
基本建立电子政务网络与信息安全保障体系。要组织建立我国电子政务网络与信息安全保障体系框架,逐步完善安全管理体制,建立电子政务信任体系,加强关键性安全技术产品的研究和开发,建立应急支援中心和数据灾难备份基础设施。
完善电子政务标准化体系。逐步制定电子政务建设所需的标准和规范。今年要优先制定业务协同、信息共享和网络与信息安全的标准,加快建立健全电子政务标准实施机制。
加快推进电子政务法制建设。适时提出比较成熟的立法建议,推动相关配套法律法规的制定和完善。加快研究和制定电子签章、政府信息公开及网络与信息安全、电子政务项目管理等方面的行政法规和规章。基本形成电子政务建设、运行维护和管理等方面有效的激励约束机制。