浅谈政府机关信息化安全建设

Technology and Study·技术探讨

浅谈政府机关信息化安全建设

沈红军

（江苏省环境信息中心 江苏南京 210036）

【摘要】随着政府机关信息化建设步伐的不断加快，网络与信息安全问题日益凸显。在分析政府信息化安全存在问题的基础上，从技术和管理角度，网络、网站和信息系统安全防护等方面提出相应的对策与措施。

【关键词】信息安全；计算机网络；电子政务；信息系统；网站

在计算机和互联网快速发展的今天，信息安全问题日渐凸显。尤其对政府机关而言，随着电子政务建设进程的加快，在利用信息技术提高政府管理工作效率的同时，各种信息安全问题，如网上信息泄密、传播有害信息、黑客攻击、数据丢失等现象层出不穷，给政府机关信息化建设带来很大影响。因此，如何加强政府机关信息化安全建设，提高信息安全防护能力，成为电子政务与信息化建设中日益重要的任务。

1．信息化安全问题

政府机关信息化安全建设主要涉及网络安全、政府门户网站安全和重要信息系统安全等方面。

1.1网络安全

网络安全是信息化建设的基础安全保障，为政府门户网站与业务信息系统提供安全的网络运行依托环境。随着国家大力推动政府上网工程及实现政府机关的办公自动化，越来越多的机关部门建立了内部计算机网络。在政府部门网络建立之初，由于对网络安全问题考虑较少，通常在一个机关内部只建有一套计算机网络，既用于日常办公，也用于工作人员访问互联网，在互联网上收发邮件、查阅资料。由于政府机关日常办公或多或少会涉及一些需要保密的信息，这就给政府信息安全造成了很大隐患。

随着国家对信息安全建设的日益重视，一系列关于网络和信息系统的安全管理规定相继出台，政府机关部门开始实行内、外网分离，即分别组建用于内部办公和访问互联网的两套网络。但一方面由于机关工作人员信息安全意识普遍较为薄弱，另一方面也缺乏健全有效的网络与信息安全管理制度与机制，很多机关未能实现严格意义上的物理隔离，有的是在外网办公，内网形同虚设，有的内、外网混插、混用，一台计算机既处理内部资料，又与外网联接，致使网络病毒感染、信息泄密事件时有发生。

1.2重要信息系统安全

适应各类管理业务的信息化需求，政府机关组织开发建设了一系列业务信息系统。随着信息技术的发展，各类信息系统逐渐从单机版向网络版发展过渡，大多数业务信息系统目前均已基于网络化环境运行。但由于政府部门在信息化建设中，重技术建设、轻安全保护问题比较突出，在进行信息系统规划时主要考虑了业务需求和系统技术性能要求,没有将系统的安全保护措施一并考虑,造成安全保护工作相对滞后。

为加强对重要信息系统和数据的安全防护，2007年以来，国家出台了《信息安全等级保护管理办法》、《关于开展全国重要信息系统安全等级保护定级工作的通知》等一系列文件和标准，用以指导重要信息系统的安全等级保护定级，促进信息安全建设。根据信息系统受到破坏后对国家和社会安全造成的危害程度，信息系统的安全保护等级分为一至五级，其中一级安全保护级别最低，五级最高。但从目前政府机关信息系统的安全等级保护定级来看，重要信息系统的级别界定以及保护和监管措施执行标准普遍偏低。许多业务信息系统安全防范措施薄弱，存在安全漏洞，极易被攻击造成系统瘫痪，或被修改及窃取数据。

1.3政府门户网站安全

政府门户网站是政府部门实施政务公开的平台、对外发布信息的喉舌、开展宣传教育的阵地，也是政府部门的重要信息系统之一。在电子政务建设中，政府门户网站建设占有越来越重要的地位，除了在网站上发布政府公开信息外，各种管理业务逐渐实行网上申报、公示，网上在线咨询，网站上运行的业务系统和数据也越来越多。

但政府网站安全形势却不容乐观。长期以来，各级政府部门对网站安全缺乏足够认识，许多政府网站的安全体系十分脆弱，政府网站遭黑客攻击、网页和重要数据被篡改等现象时有发生，对政府网站的安全运行造成很大威胁。据统计，仅在2007年，就有3000余家政府门户网站发生过网页被篡改的事件[1]，严重影响了政府的对外形象。随着政府门户网站承载

18 2010.10

技术探讨·Technology and Study

业务数量的逐步增加，网站被入侵或篡改甚至会造成巨大的经济损失，或者严重的社会问题。

2．对策与措施

电子政务的深入发展对政府机关信息安全保障提出了越来越高的要求。为此，必须严格遵循国家有关信息安全保密法规，从管理、技术、应急处理等多方面采取措施，加强政府机关网络和信息安全防范，重点做好网站和电子政务系统的安全防护工作，切实保障信息安全。

2.1健全制度，落实责任

制度建设是信息化安全的根本保障。作为政府机关，首先要加强网络与信息安全规章制度建设。一是要建立常规的计算机网络管理制度、机房安全管理制度等，做到对计算机及网络安全的有效管理和定期巡查；二是要建立健全信息安全责任制度，要明确和细化各岗位所承担的信息安全责任和相关要求，落实各项安全措施，做到领导到位、人员到位、责任到位、措施到位；三是要建立对违反信息安全规定的行为和泄密事故、信息安全事故的查处制度，明确对有关责任人进行责任追究以及惩处措施落实情况；四是要建立信息安全事件应急处理机制，要有针对性地制定安全应急处理预案，完善应急响应机制，明确处置责任、处置要求、处置程序，不断提高信息网络安全事件的应对能力。

此外，还应加强信息安全宣传和教育，强化工作人员的信息安全意识。要组织开展多层次、多方位的信息安全宣传和培训，使机关工作人员掌握基本的信息安全常识和技能，增强全体工作人员的安全防范意识和防范能力，提高做好安全工作的主动性和自觉性。

2.2加强网络安全管理

政府机关在开展信息网络建设时，必须从网络系统的规划开始，就把安全防护系统建设考虑进去。从网络设计到机房安全、从设备选型到硬件采购、从应用平台到操作系统、从防火墙到加密机制，要同步建设同步实施，既能保证安全防护经费到位，又能保证安全防护措施到位。

对于已有网络，要通过严格管理及软硬件各种技术手段完善网络安全防护措施。一方面，要建立健全以身份认证、访问控制、安全审计、病毒防护等为主要内容的网络安全体系，除常规的防火墙等安全产品外，有条件的要配备如网络入侵防御系统、漏洞扫描设备、安全审计系统、网络管理与监控系统等信息安全产品对网络进行全方位保护，并对核心网络与安全系统，如防火墙与核心交换设备等进行备份；另一方面，要严格计算机使用管理，对办公用计算机和移动存储设备实行统一编号、统一标志、统一登记，采用划分Vlan、MAC地址绑定等手段实现对网络计算机的有效控制，严格实行内外网物理隔离，杜绝外网办公现象。

2.3加强信息系统安全防范

要加强对重要业务信息系统的检查、防范和安全监控工作。一是要提高重要信息系统安全保护定级级别，确保网络与信息系统在安全及保密防护方面达到相应要求；二是要重视信息安全风险评估工作，聘请专业测评公司定期对重要信息系统开展安全风险评估，及时查找漏洞，加强防范；三是要建立授权和身份认证系统，加强对重要业务系统账户和口令的控制，实现授权访问控制、用户身份识别等；四是要采用系统备份和恢复技术，对重要数据和业务系统制定定期备份计划，并对备份文件进行安全保护，避免由于自然灾难和事故设备的损坏造成系统停止服务及数据丢失。另外，在硬件条件许可的情况下，最好做到重要业务系统发布与数据服务的服务器分离，及时对系统和软件进行补丁更新等。

2.4强化网站安全建设

一是要妥善处理信息公开与保密的关系，对网站上网信息的采集、发布和更新执行严格的审查制度，做到“上网信息不涉密，涉密信息不上网”；二是要保障门户网站的物理安全，在网站关键应用上尽量采用双机热备方式，并定期对重要数据进行备份，同时，采购部署网页防篡改系统等安全设备，提高网站的风险防范能力；三是要定期对网站进行安全检测，在网站设计中采取技术手段严防SQL注入、跨站脚本攻击（XSS）、跨站请求伪造（CSRF）等系统漏洞，及时对操作系统、数据库等系统软件进行补丁包升级，确保网站防篡改、防攻击、防瘫痪、防泄密等方面措施的有效性。

综上所述，在做好机关信息化建设、促进政府信息公开的同时，要高度重视网络与信息安全工作，不断提高政府机关信息化安全防御能力和应对、处理各种信息安全突发事件的能力，为机关信息化的健康有序发展提供坚实的保障。

参考文献

[1]祝国鑫.政府门户网站亟需注意信息安全保护问题[J]. 互联网天地，2009年第2期，92-93.

作者简介：

沈红军（1972-），女，毕业于南京大学，硕士，高级工程师，长期从事环境信息工作。

信息安全与技术 2010.10 19