政府部門如何來做等級(jí)保護(hù)

隨著《電子政務(wù)信息安全等級(jí)保護(hù)實(shí)施指南》和《信息安全等級(jí)保護(hù)管理辦法》等一系列文件頒布以來，政府部門如何來做等級(jí)保護(hù)，確保電子政務(wù)安全已經(jīng)變成非常熱門的話題。
         我們知道，電子政務(wù)等級(jí)保護(hù)工作分為管理層面和用戶層面兩部分。管理層的主要工作是制定電子政務(wù)信息安全等級(jí)保護(hù)的管理辦法、定級(jí)指南、基本安全要求、等級(jí)評(píng)估規(guī)范以及對(duì)電子政務(wù)等級(jí)保護(hù)工作的管理等；用戶層的主要工作是依據(jù)管理層的要求對(duì)電子政務(wù)系統(tǒng)進(jìn)行定級(jí)，確定系統(tǒng)應(yīng)采取的安全保障措施，進(jìn)行系統(tǒng)安全設(shè)計(jì)與建設(shè)，以及運(yùn)行監(jiān)控和改進(jìn)。
 

        具體落到實(shí)處對(duì)電子政務(wù)實(shí)現(xiàn)等級(jí)保護(hù)，政府部門一般都需要做以下的工作。
一、加強(qiáng)安全管理組織是實(shí)現(xiàn)等級(jí)保護(hù)的基礎(chǔ)
        由于電子政務(wù)安全管理涉及到眾多的國家安全職能部門，其安全管理職能的協(xié)調(diào)需要由國家信息化領(lǐng)導(dǎo)機(jī)構(gòu)，如國家信息化領(lǐng)導(dǎo)小組、國家電子政務(wù)協(xié)調(diào)小組、國家信息安全協(xié)調(diào)小組等來進(jìn)行。各地區(qū)和部委建立相應(yīng)的信息安全管理機(jī)構(gòu)，以完成和強(qiáng)化信息安全的管理，形成自頂向下的信息安全管理組織體系，是電子政務(wù)安全實(shí)施的必要條件。
        安全組織包括建立健全組織體系；明確負(fù)責(zé)安全管理的主要領(lǐng)導(dǎo)、主管部門、技術(shù)支持部門和宣傳、保衛(wèi)部門；制定系統(tǒng)安全保障方案，實(shí)施安全宣傳教育、安全監(jiān)管和安全服務(wù)。只有建設(shè)一個(gè)國家到省市縱向和橫向各部委、廳局架構(gòu)的安全管理組織，才能真正實(shí)現(xiàn)全面的安全等級(jí)保護(hù)。

二、規(guī)劃與制度是規(guī)范等級(jí)保護(hù)的根本保證
       電子政務(wù)信息系統(tǒng)存在著來自社會(huì)環(huán)境、技術(shù)環(huán)境和物理自然環(huán)境的安全風(fēng)險(xiǎn)，其安全威脅無時(shí)無處不在。對(duì)于電子政務(wù)信息系統(tǒng)的安全問題，不能企圖單憑利用一些集成了信息安全技術(shù)的安全產(chǎn)品來解決，而必須建立電子政務(wù)信息系統(tǒng)安全保障體系，考慮技術(shù)、管理和法律的因素，全方位地、綜合解決系統(tǒng)安全問題。
       按照《電子政務(wù)信息安全等級(jí)保護(hù)實(shí)施指南》等文件的工作要求，需制定《省市電子政務(wù)等級(jí)保護(hù)總體安全方案》，對(duì)電子政務(wù)信息安全等級(jí)保護(hù)進(jìn)行明確的界定，根據(jù)電子政務(wù)系統(tǒng)在國家安全、社會(huì)穩(wěn)定、經(jīng)濟(jì)秩序和公共利益等方面的重要程度，結(jié)合系統(tǒng)面臨的風(fēng)險(xiǎn)、安全保護(hù)要求和成本等因素，將其劃分成不同的安全保護(hù)等級(jí)，采取相應(yīng)等級(jí)的安全保護(hù)措施，以保障信息和信息系統(tǒng)的安全。
       通過全面推行信息安全等級(jí)保護(hù)制度，逐步將信息安全等級(jí)保護(hù)制度落實(shí)到信息系統(tǒng)安全規(guī)劃、建設(shè)、測評(píng)、運(yùn)行維護(hù)和使用等各個(gè)環(huán)節(jié)，使省市信息安全保障狀況得到基本改善。通過加強(qiáng)和規(guī)范信息安全等級(jí)保護(hù)管理，不斷提高、省市信息安全保障能力，為維護(hù)信息網(wǎng)絡(luò)的安全穩(wěn)定，促進(jìn)信息化發(fā)展服務(wù)。

三、產(chǎn)品與技術(shù)解決方案是實(shí)施等級(jí)保護(hù)的具體表現(xiàn)
       根據(jù)各級(jí)電子政務(wù)內(nèi)外網(wǎng)與專網(wǎng)的安全等級(jí)保護(hù)的不同要求，安全等級(jí)保護(hù)的產(chǎn)品和技術(shù)解決方案部署在網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全和主機(jī)及數(shù)據(jù)安全兩方面。網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全措施包括：網(wǎng)絡(luò)部署、網(wǎng)絡(luò)冗余、網(wǎng)絡(luò)設(shè)備安全、邊界保護(hù)、安全檢測和審計(jì)、PKI、遠(yuǎn)程訪問措施、網(wǎng)絡(luò)安全管理等；主機(jī)及數(shù)據(jù)安全措施包括：服務(wù)器主機(jī)與平臺(tái)加固、桌面端補(bǔ)丁管理與漏洞控制、病毒與惡意代碼防范、身份識(shí)別與認(rèn)證、系統(tǒng)與應(yīng)用安全審計(jì)、數(shù)據(jù)完整性監(jiān)控、數(shù)據(jù)備份與恢復(fù)、主機(jī)與數(shù)據(jù)安全管理策略清單等。
廣通信達(dá)公司獨(dú)到地提出了“等級(jí)保護(hù)客體保障體系”的解決方案，它以國家相關(guān)的法規(guī)標(biāo)準(zhǔn)為依據(jù)，以廣通信達(dá)公司等級(jí)保護(hù)知識(shí)庫和支撐平臺(tái)為基礎(chǔ)，形成了科學(xué)合理的解決方案，幫助政府用戶構(gòu)建等級(jí)化保障體系，以滿足不同類型信息系統(tǒng)和不斷變化的信息系統(tǒng)安全需求為目標(biāo)，依據(jù)等級(jí)保護(hù)文件，設(shè)計(jì)了基于核心技術(shù)的等級(jí)保護(hù)服務(wù)組件。
       對(duì)信息系統(tǒng)的基礎(chǔ)資源和信息資源的價(jià)值大小、用戶訪問權(quán)限的大小、大系統(tǒng)中各子系統(tǒng)的重要程度進(jìn)行區(qū)別對(duì)待，對(duì)系統(tǒng)進(jìn)行定級(jí)后，需要通過努力達(dá)到相應(yīng)等級(jí)的基本安全要求。在總體上分為技術(shù)要求和管理要求，技術(shù)上又分為物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全；在管理要求中又分為安全管理機(jī)構(gòu)、安全管理制度等5項(xiàng)。
       廣通信達(dá)公司遵照國家等級(jí)保護(hù)制度、滿足客戶實(shí)際需求，采用等級(jí)化、體系化和運(yùn)行保障相結(jié)合的方法，旨在為用戶建設(shè)一套覆蓋全面、重點(diǎn)突出、節(jié)約成本、持續(xù)運(yùn)行的安全保障體系，切實(shí)有效地推進(jìn)了信息安全等級(jí)保護(hù)工作的持續(xù)發(fā)展。

作者：谷和啟，副處長/高級(jí)工程師，江蘇省信息中心，長期從事于網(wǎng)管，系統(tǒng)運(yùn)行維護(hù)等工作。

來源：Broada信息安全專家組