在17號(hào)文件當(dāng)中特別提到要建立電子政務(wù)的安全保障體系，緊接著到2003年7月份信息化領(lǐng)導(dǎo)小組第三次會(huì)議上正式通過了一個(gè)《關(guān)于加強(qiáng)信息安全保障工作的意見》，被大家稱為27號(hào)文件，重申一條要發(fā)揮各界積極性、共同構(gòu)筑國家信息安全保障體系。這里面有很多要點(diǎn)，我列了八條，比如提出來在信息安全建設(shè)中要重視信息安全的等級保護(hù)制度的執(zhí)行，關(guān)于這個(gè)問題四部委已經(jīng)聯(lián)合發(fā)了一個(gè)關(guān)于信息安全等級保護(hù)制度的意見，在這里面要建設(shè)基于密碼技術(shù)網(wǎng)絡(luò)信任體系，這里的要害就是關(guān)于身份認(rèn)證的問題，基于PKI數(shù)據(jù)認(rèn)證以及部門的授權(quán)、責(zé)任認(rèn)定等等。第三個(gè)是建設(shè)國家層次、領(lǐng)域?qū)哟蔚男畔踩W(wǎng)絡(luò)監(jiān)控體系，第四是要重視信息安全的應(yīng)急工作，出現(xiàn)重大災(zāi)難和事故的情況下，這到指揮、響應(yīng)、協(xié)調(diào)、通報(bào)的制度，第五是國家提出來要信息化，最終中國的信息化要搭建在中國的、具有知識(shí)產(chǎn)權(quán)的信息安全支撐平臺(tái)上的還有關(guān)于法制標(biāo)準(zhǔn)等等，這是27號(hào)文件提出的一些要點(diǎn)，隨著27號(hào)文件之后2004年1月9號(hào)我們國家信息安全協(xié)調(diào)小組，黃菊是副組長，主持了一次我們國家信息安全的高層會(huì)議，在這個(gè)會(huì)議上都是各省部委的一二把手，黃菊副總理做了主題報(bào)告。在這個(gè)報(bào)告里特別強(qiáng)調(diào)了由于我們國家信息化的高速發(fā)展，各行各業(yè)，包括政府對信息化信息技術(shù)的依賴程度越來越強(qiáng)，提了幾大案例，也提到了幾年之后很多手工系統(tǒng)想恢復(fù)都沒了。在廣域網(wǎng)的情況下安全問題越來越重要了，所以在這個(gè)會(huì)上提出了一定要一個(gè)并重，在信息安全上管理和技術(shù)并重，要兩手抓，一手抓發(fā)展，電子政務(wù)點(diǎn)射，一手一定要抓電子政務(wù)安全保障體系的認(rèn)證，三個(gè)同步，同步規(guī)劃、同步發(fā)展、同步建設(shè)，而且提出來要用新思路、新眼光，建設(shè)信息安全保障體系。

　　當(dāng)前電子政務(wù)面臨的威脅都有哪些呢？確實(shí)從政府的需求來說和商業(yè)需求是不一樣的，所以它威脅的領(lǐng)域、內(nèi)容、方式也是不一樣的，可能有這幾個(gè)方面，比如說黑客和計(jì)算機(jī)犯罪，篡改政府的網(wǎng)頁，第二是病毒，第三是機(jī)要信息的流失，現(xiàn)在保密局已經(jīng)統(tǒng)計(jì)了我們國家在網(wǎng)上的涉密信息流失已經(jīng)達(dá)到了50%，傳統(tǒng)的紙介質(zhì)、聲音等的失密比例正在下降。網(wǎng)上恐怖活動(dòng)與信息戰(zhàn)，還有內(nèi)部人員違規(guī)和違法，電子政務(wù)的犯罪、案件75%主要出自內(nèi)部和內(nèi)外勾結(jié)。還有安全產(chǎn)品的失控，現(xiàn)在社會(huì)上關(guān)于分發(fā)式威脅，從產(chǎn)品研制、開發(fā)到成為產(chǎn)品銷售維護(hù)到升級整個(gè)過程中會(huì)不會(huì)有人嵌入源代碼，嵌入病毒到一定時(shí)候發(fā)作，國際上有這方面的例子，所以用戶要增強(qiáng)自主權(quán)和對安全采購產(chǎn)品的可控權(quán)。在27號(hào)文件當(dāng)中很多專家都提出來怎么想辦法構(gòu)建安全保障體系，要增強(qiáng)信息網(wǎng)絡(luò)的防護(hù)能力、隱患發(fā)現(xiàn)能力、網(wǎng)絡(luò)的應(yīng)急反應(yīng)能力和信息對抗能力，保證你的信息、你的服務(wù)具有五性，這五性叫法很多，但是今年年底我們國家就會(huì)出一套信息管理國家標(biāo)準(zhǔn)，里面就提到了傳統(tǒng)的三性就是保密性、完整性和可用性，和進(jìn)來發(fā)展的真實(shí)性、可核查性。

　　構(gòu)建一個(gè)電子政務(wù)的保障體系要遵守一套安全策略，一個(gè)正確的策略會(huì)對體系的健康性帶來很大的支撐，這些策略就不說了。什么是電子政務(wù)的安全體系呢？

　　從國家政策講是六個(gè)方面，一個(gè)是保障電子政務(wù)安全的法規(guī)，保障電子政務(wù)的組織管理體系，安全標(biāo)準(zhǔn)，為了構(gòu)建一個(gè)強(qiáng)壯性、健壯性信息安全體系堅(jiān)持一種什么樣的安全工程和服務(wù)機(jī)制，另外是要提供安全技術(shù)和產(chǎn)品。

　　再一個(gè)是從國家行業(yè)方面如何為廣大用戶提供一種安全的基礎(chǔ)設(shè)施，這個(gè)體系的幾個(gè)要素我就簡單給大家做一點(diǎn)描述了。法律當(dāng)前最有名的一個(gè)法律，也是中國信息化的第一部法律，通過人大的8月28號(hào)的電子簽名法，這部法律對于信息化的安全建設(shè)、信息化的推動(dòng)具有非常重要的意義。比方說電子政務(wù)，很多部門公文已經(jīng)在流轉(zhuǎn)了，這些部門靠上級、下級之間的嚴(yán)格關(guān)系，靠下級對上級的服從，真正的電子文章要到法院打官司是不能作為證據(jù)的，特別是由于電子政務(wù)的邊界正在擴(kuò)大，現(xiàn)在稅務(wù)要給納稅人網(wǎng)上納稅，工商要網(wǎng)上年檢，勞保要網(wǎng)上醫(yī)保、就業(yè)，電子政務(wù)正在擴(kuò)展，很多文件已經(jīng)不完全在政府內(nèi)部流轉(zhuǎn)了，怎樣保證電子政務(wù)公文的法律效益，這個(gè)法是非常重要的。全世界將近有30個(gè)國家已經(jīng)立法了，我們國家這次一年半的時(shí)間通過，明年4月份正式執(zhí)行。電子簽名法涵蓋了很多內(nèi)容，大家有機(jī)會(huì)可以自己看一看。這里面不單純是同法律條文上，甚至對將來怎么去認(rèn)真、怎么簽名這些環(huán)節(jié)的很多約束都很有重要意義。

　　另外一個(gè)要素是安全管理組織，國家信息化領(lǐng)導(dǎo)小組組長是總理，在這個(gè)小組下面專門設(shè)立了國家網(wǎng)絡(luò)信息安全組，組長是黃菊，已經(jīng)開了很多會(huì)議。國際標(biāo)準(zhǔn)是ISO17799，這個(gè)標(biāo)準(zhǔn)是十大類，27個(gè)方面，一百多項(xiàng)對信息化過程中的管理要素都做了很詳細(xì)的規(guī)范，而且很有指導(dǎo)價(jià)值，所以我們國家已經(jīng)兼容它，但是要本地化地加了很多內(nèi)容，它是從管理策略、組織人員、資產(chǎn)分類、運(yùn)行配置、審計(jì)、標(biāo)記、維護(hù)和作業(yè)連續(xù)性的保障等等都有很多說明，這是集很多人的智慧形成的，當(dāng)然也不完善，第二版本正在改進(jìn)。在信息安全管理的制約和控制上不是一個(gè)階段的，一定要從全過程來考慮個(gè)信息安全才會(huì)是強(qiáng)壯的，應(yīng)該從立項(xiàng)、采購、外包、評估、運(yùn)行到制度建立都應(yīng)該重視安全建設(shè)。

　　第四個(gè)要素是要構(gòu)建信息安全的標(biāo)準(zhǔn)和規(guī)范，這里我列了一些國際上已有的標(biāo)準(zhǔn)，很多標(biāo)準(zhǔn)咱們國家也都在采用，數(shù)字證書是用國際上X.509.V3，像訪問控制大家也都在實(shí)施，安全測評、入侵檢測、體系結(jié)構(gòu)、內(nèi)容分級以及安全管理這些在信息安全工作中具有很大的作用，標(biāo)準(zhǔn)是眾人智慧的結(jié)晶，按照標(biāo)準(zhǔn)來做系統(tǒng)的可延展、可擴(kuò)張性就好。國家信息辦跟質(zhì)檢委在02年4月15日成立了我們國家信息安全標(biāo)準(zhǔn)化委員會(huì)建立了10個(gè)工作，很多科研部門、企業(yè)都參加了，從體系標(biāo)準(zhǔn)、內(nèi)容、密碼、PKI、評估、能夠管理等一系列的標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)的進(jìn)展挺快的，經(jīng)過一年多，今年年底報(bào)批搞了16項(xiàng)，送審稿25項(xiàng)。有6項(xiàng)今年要出臺(tái)，比如關(guān)于應(yīng)急等等都屬于今年要報(bào)批稿的16項(xiàng)，現(xiàn)在總的研究項(xiàng)目有一百多項(xiàng)和安全方方面面相關(guān)的，我想我們國家標(biāo)準(zhǔn)的出臺(tái)對指導(dǎo)我們國家信息安全體系是非常有價(jià)值的。

　　另外一個(gè)要素就是關(guān)于信息安全系統(tǒng)的工程和服務(wù)，大家知道信息安全是一個(gè)系統(tǒng)，就像木桶原理，構(gòu)建這樣一個(gè)系統(tǒng)就涉及到系統(tǒng)學(xué)的問題。怎么樣從全過程來研究構(gòu)造一個(gè)強(qiáng)壯的系統(tǒng)，國際上有ISSE，IATF，CC，TESEC都認(rèn)證了構(gòu)建一個(gè)系統(tǒng)要從全過程來考慮，沒有做之前要做好安全系統(tǒng)的分析，包括系統(tǒng)的弱點(diǎn)、威脅、風(fēng)險(xiǎn)、對策等等，要素是從五個(gè)層次來做的從物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層、管理層來做，包括構(gòu)建全過程的風(fēng)險(xiǎn)控制，包括系統(tǒng)一旦建設(shè)成以后對電子政務(wù)來說一定要進(jìn)行安全的風(fēng)險(xiǎn)評估，形成你的強(qiáng)壯性的策略。這些是指導(dǎo)構(gòu)件信息安全體系的構(gòu)成，這些流程是多人經(jīng)驗(yàn)的積累，很有借鑒意義。在構(gòu)建一個(gè)信息安全系統(tǒng)時(shí)要提供很多安全服務(wù)，這我就不說了。

　　第五個(gè)要素是關(guān)于信息安全技術(shù)機(jī)制的發(fā)展趨勢，從互聯(lián)網(wǎng)最開始從信息交換安全開始，到發(fā)展成除了Extranet到面向?qū)ο蟀踩?，這是需要全面來考慮的。加密技術(shù)現(xiàn)在發(fā)展很快、認(rèn)證、鑒別、訪問控制、網(wǎng)絡(luò)邊界防護(hù)、病毒防治、網(wǎng)絡(luò)的隱患掃描與發(fā)現(xiàn)，內(nèi)容的過濾與區(qū)別，包括網(wǎng)絡(luò)的預(yù)警和攻擊、內(nèi)容產(chǎn)權(quán)保護(hù)、安全基，你的CPU、數(shù)據(jù)庫、操作系統(tǒng)這就是安全基。這在電子政務(wù)間是很重要的問題。為什么電子政務(wù)C2標(biāo)準(zhǔn)是商業(yè)標(biāo)準(zhǔn)，但是很多電子政務(wù)的平臺(tái)還是用C2，我們國家的B1正在發(fā)展之中不是太成熟，國外的B級平臺(tái)是向中國禁用的，在用C2標(biāo)準(zhǔn)平臺(tái)上完成電子政務(wù)很多重要內(nèi)容的標(biāo)準(zhǔn)，怎么樣采取架構(gòu)技術(shù)，這里面配置、加固建設(shè)等有很多辦法。

　　另外是審計(jì)與取證，備份與容災(zāi)，可信計(jì)算也是一個(gè)挑戰(zhàn)，另外還有安全基金管理。談到技術(shù)安全，現(xiàn)在大家都在面臨的一個(gè)問題是縱深防御的問題。在縱深防御中我參加了一些部委和省市電子政務(wù)安全討論中都有一個(gè)很尖銳的問題，就是網(wǎng)絡(luò)信息域的科學(xué)劃分和合理控制，這個(gè)問題做的好就會(huì)帶來很大的好處，做不好就會(huì)帶來很多安全漏洞。內(nèi)網(wǎng)、外網(wǎng)除了業(yè)務(wù)需求之外還是有安全含義的，最近國信辦都參加了一個(gè)新的平臺(tái)，這也是用戶的需求專網(wǎng)計(jì)劃等等，在這樣一些形態(tài)中采取什么樣的科學(xué)采取非常重要，有的部門把不該劃進(jìn)去的非國家涉密劃到內(nèi)網(wǎng)，有的人把國家涉密內(nèi)容劃到外網(wǎng)去了，這也是不允許的。所以在安全這個(gè)問題上欠保護(hù)是不允許的，過保護(hù)也是沒必要的。為什么國家現(xiàn)在提出來等級安全的概念，就是要科學(xué)劃分的問題，這樣才能該保的保得住，不該那么高強(qiáng)度保護(hù)的劃進(jìn)去?？隙ㄒ幸粋€(gè)核心的內(nèi)網(wǎng)，也要有外網(wǎng)或者是專網(wǎng)，互聯(lián)網(wǎng)，通過安全邊界來保護(hù)各自的域，這里面有很多安全基礎(chǔ)設(shè)施。內(nèi)網(wǎng)大家看一看就行了，對于內(nèi)網(wǎng)來說有幾個(gè)環(huán)節(jié)就不說了，對于內(nèi)網(wǎng)大家經(jīng)常談到的是什么是內(nèi)網(wǎng)的物理隔離，其實(shí)物理隔離分四個(gè)層次，屏蔽就是物理層的隔離，終端一級是社會(huì)有很多雙網(wǎng)機(jī)、雙盤型、雙區(qū)型。信道什么叫物理隔離？你可以用公用信道，但是端到端的信息必須功過國家保密辦指定的加密過的隔離，網(wǎng)絡(luò)隔離現(xiàn)在大家在做的網(wǎng)閘到現(xiàn)在都沒有被保密局批準(zhǔn)。對外網(wǎng)的連接也不說了。

　　在安全技術(shù)上我特別說了一句，對電子政務(wù)來說強(qiáng)化內(nèi)部審計(jì)是過去咱們不太重視的，但是確實(shí)是存在這方面威脅的問題。什么叫強(qiáng)化內(nèi)部審計(jì)呢？審計(jì)不但是過去的那種，要網(wǎng)絡(luò)級的審計(jì)，這是防外部的，很多本來是內(nèi)網(wǎng)自己連到互聯(lián)網(wǎng)的，你怎么查出來對他是威脅呢？如果系統(tǒng)員違規(guī)違法來做的話，你怎么能夠保持它的安全呢。最后一個(gè)要素是信息安全基礎(chǔ)設(shè)施的支撐，是不是每個(gè)單位都去建信息中心，另外怎么配置應(yīng)急支援體系，災(zāi)難恢復(fù)基礎(chǔ)設(shè)施問題，密鑰管理這些都要有國家、有地區(qū)來建設(shè)，這樣降低成本，提供了比較強(qiáng)的支撐。

　　關(guān)于風(fēng)險(xiǎn)評估的基礎(chǔ)設(shè)施，我們國家這個(gè)體系正在建設(shè)，國家成立了這方面的協(xié)調(diào)小組、專家組，國家以后對電子政務(wù)的安全要有檢查評估，這種檢查評估就是一種強(qiáng)制性的防止你自己說安全，你的系統(tǒng)集成商說安全就不能只靠這兩個(gè)了。另外對災(zāi)難備份方面，9.11事件嚴(yán)重地教訓(xùn)1200個(gè)公司，有400個(gè)單位生存下來了，另外800個(gè)公司倒的倒，垮的垮，系統(tǒng)的很多數(shù)據(jù)都沒了，所以重視災(zāi)難恢復(fù)是很重要的。但是一定要有科學(xué)的策略。錢是有限的，而且災(zāi)難恢復(fù)是一定要做的，怎么平衡這兩者之間的關(guān)系。

　　我上面講了一下國家安全體系建設(shè)，這對部門建設(shè)都是有益的，你構(gòu)建一個(gè)系統(tǒng)如何遵循國家給你提供的標(biāo)準(zhǔn)、規(guī)范和政策框架，怎么樣充分享受好國家為你提供的信息安全基礎(chǔ)設(shè)施的測評，怎么選購國家已經(jīng)認(rèn)定的那些具有安全保密強(qiáng)度的產(chǎn)品和服務(wù)，在構(gòu)建信息系統(tǒng)周期全過程，從結(jié)構(gòu)分析、威脅分析、脆弱分析到安全需求挖掘等全過程來進(jìn)行信息安全的規(guī)劃和設(shè)計(jì)，當(dāng)然很重要的是在五個(gè)層上做細(xì)化?？傊?，希望大家在構(gòu)建一個(gè)健康的電子政務(wù)系統(tǒng)時(shí)不要忘了安全，一定要同時(shí)、同步地建立安全保障體系，才能保障你的電子政務(wù)信息安全共享。