解讀美國政府資訊保安報告及對華策略(轉)

解讀美國政府資訊保安報告及對華策略(轉)[@more@]

　　2004年9月到2005年5月，為了評估政府各個部門在資訊保安方面政策法規的全面性、有效性，美國聯邦政府審計署分析回顧了從2003財年到2005年5月的相關報告、各個政府機構總檢察長的相關報告、管理預算辦公室的《聯邦資訊保安管理法案》指南，以及國家標準技術研究院的相關標準、指南以及年度報告。2005年7月，美國出臺《資訊保安年度報告》。中國在政務安全方面有什麼可以借鑑的？

　　2005年7月，美國聯邦政府審計署向美國國會提交了《資訊保安年度報告》（以下簡稱美國報告），其題目是《資訊保安：相關法規執行方面有所成就，但是仍然存在薄弱之處》。美國報告指出，聯邦政府各個分支機構以及眾多事關國計民生的部門，包括能源、供水、電信、國防以及應急服務部門，他們的日常工作已經廣泛依賴計算機資訊系統以及電子資料。這些資訊系統、資料的安全非常重要，資訊保安措施要防止資料篡改，保證核心業務連續性，預防資料欺騙以及阻止敏感資訊洩漏。

　　美國政務的五大安全隱患

　　美國審計署發現，美國聯邦政府24個部門資訊系統普遍存在安全隱患，主要體現在以下5個方面：訪問控制並未有效實施、軟體變更控制並非總是有效、職責劃分沒有始終如一地執行、業務持續性計劃經常是不充分的、部門資訊保安規劃沒有全面地應用。

　　1. 訪問控制

　　它保證只有經過授權的使用者才可以閱讀、修改或者刪除資料。訪問控制包括電子方式以及物理方式，前者包括賬號控制、密碼控制以及使用者許可權控制，後者包括門衛、門鎖等方式。24個部門中有23個部門在訪問控制方面存在隱患。例如，有的資訊系統允許使用者使用非常簡單的詞語做密碼，這使得駭客很容易破解密碼。物理控制方面，有的部門並未有效採用門鎖、門卡等手段。

　　2. 軟體變更控制

　　軟體變更控制確保只有經過授權的軟體程式才可以被安裝，軟體變更控制也會監控敏感程式、資料的使用情況。24個部門中有22個存在這方面的漏洞，例如軟體系統沒有采用正確流程進行升級。此外，有的資訊系統在程式調整方面的批准、測試以及實施的文件記錄沒有良好維護，以至於出錯的或者有預謀的程式將會嚴重威脅到系統安全。

　　3. 職責劃分

　　職責劃分降低個人進行錯誤操作而沒有被發現的風險。24個部門中有14個存在這方面的隱患，主要體現在系統管理和系統安全管理沒有很好地分清。例如，有的部門使用者可以在系統中新增並不存在的賬號並獲得很高的許可權，用這個賬號從事的活動沒人監管。

　　4. 業務連續計劃

　　確保計算機相關的業務在緊急情況下不出現嚴重中斷，例如出現地震、火災等破壞活動的時候。20個部門存在這一方面的隱患。在審計署2005年4月提交的報告中已經指出，不到一半的部門有應急指揮通訊錄，很少的部門記錄了重要檔案分佈情況，大多數機構沒有測試、檢驗、演習他們的業務連續計劃以確保災難發生時可以應用這些計劃。

　　5. 部門級別的安全規劃

　　上述問題的存在，主要是因為各個部門沒有強有力的資訊保安管理規劃。部門級別的安全規劃提供工作框架，確保全部門能夠理解風險並且有效控制、合理採取措施。這個方面，所有的部門都存在隱患，他們都沒有制定全面的資訊保安規劃，尤其是新型的安全威脅方面，包括垃圾郵件、釣魚以及間諜程式。

　　我國可借鑑什麼

　　我國在資訊系統安全管理方面開展工作的時間不長，相關經驗不多，許多應建立的規章制度還在摸索之中。2005年7月剛剛釋出的《2005中國資訊化發展報告》談到資訊保安的時候，提到蠕蟲和病毒在網上傳播十分猖獗、木馬事件潛在威脅巨大、各類網路違法犯罪日益突出，但沒有專門介紹電子政務的安全現狀。

　　1. 重視管理機制制度

　　《2005中國資訊化發展報告》指出，要加強對資訊保安工作的領導，建立健全資訊保安領導責任機制，明確主管領導，落實責任部門，建立和完善資訊保安監控體系，加強以密碼技術為基礎的資訊保護和網路信任體系的建設。

　　重視管理機制制度這一方面，中美兩國有相近之處。美國《聯邦資訊保安管理法案》認為，聯邦政府存在資訊保安隱患最根本原因是缺乏有效的資訊保安管理規劃。基於此，美國《聯邦資訊保安管理法案》要求政府建立一套全面的資訊保安控制管理框架。不僅如此，考慮到各個機構在資訊保安管理規劃方面難免出現漏洞，美國《聯邦資訊保安管理法案》制定了一套完善的評估機制，包括部門定期自檢以及管理和預算辦公室、國家標準技術研究院以及其他獨立機構的評估。

　　《聯邦資訊保安管理法案》要求美國聯邦政府各個機構的資訊保安報告包含如下資訊：風險評估情況、政策和流程、個別系統的安全規劃、相關培訓情況、年度測試和評估情況、採取的對策、資訊保安事件報告以及執行連續性。

　　美國的評估機制，保證了部門領導在意識上定期關注各自部門的資訊保安，又使得他們有能力全面深入瞭解本部門資訊保安的方方面面。這樣，既提高了部門領導對資訊保安的重視程度，又採用完善的制度來提高各個部門發現、報告和共享資訊保安隱患的能力。與美國相比，我們還沒有明確提出要建立全方位的評估體系。

　　2. 完善標準法規體系

　　《2005中國資訊化發展報告》指出，抓緊制定資訊保安等級保護的管理辦法和技術指南，建立資訊保安等級保護制度，加強資訊保安法制建設和標準化建設。

　　在標準法規、技術指南方面，我國政府主要精力集中在資訊保安等級保護方面。比較而言，美國政府制訂的標準法規、技術指南則更為全面。美國《聯邦資訊保安管理法案》規定，由美國國家標準技術研究院(NIST)負責為政府各個部門提供相關法規制度或技術援助，進行資訊保安方面的研究，並且參與國家安全體系相關標準的開發。

　　安全不僅是技術問題，同時還是社會和法律問題。與美國相比，我國在標準的制定、認證、檢測等方面有待於進一步的加強。資訊保安標準方面，我國有國家資訊保安產品測評認證中心、公安部、國家質量技術監督局等多個部門參與這方面的工作，而美國則在法案中明確表示由美國國家標準技術研究院一家來完成。還有一點值得注意的是，我國資訊保安標準的培訓、認證和檢測機構中，有一些是贏利機構，這在某種程度上降低了其公證性。

　　3. 加強資訊保安培訓

　　《2005中國資訊化發展報告》指出，加強資訊保安學科、人才培養。

　　聯邦資訊保安管理法案要求，聯邦政府各個機構對政府僱員以及合同商的僱員進行資訊保安培訓，這些機構在年度評估報告中要標明參與培訓人員的數量以及所佔比例。2005年的報告指出，所有24個部門都對本部門60%以上的職員進行了培訓。美國報告指出，如果不能提供最新的資訊保安培訓，將會給政府機構的資訊保安帶來安全隱患。例如，美國大多數部門沒有對僱員提供無線區域網方面的資訊保安培訓，這使得他們在建設沒有認證措施的無線區域網的時候，不瞭解其安全隱患。

　　由此可見，美國政府更注重日常的培訓工作，而不僅僅是學校培養。資訊保安，需要有數學演算法、軟體、硬體等諸多方面的理論支援。但對於很多現有的隱患來說，更重要的是提高普通使用者的安全意識。例如美國政府提到的無線區域網問題，我國政府在科研方面正在開發WAPI，希望以此來增強系統的安全性。但是，有許多無線區域網是內建了安全認證程式而根本沒有啟用。

　　資訊保安是個系統工程，既要有高屋建瓴的頂層設計、整體框架，又要有體貼入微的法規標準、行動指南，還要有資金支援、日常培訓以及監察制度，需要恩威並重。同美國資訊保安報告談到的情況相比，在我國政府部門中宣傳資訊保安的重要性，並且保證相關人員有能力、有方法瞭解其現狀，懂得如何降低風險，這些都是任重而道遠的。

　　相關內容：

　　國家資訊化領導小組第一次會議決定，把電子政務建設作為今後一個時期我國資訊化工作的重點，政府先行，帶動國民經濟和社會發展資訊化。

　　在電子政務建設中和安全相關的主要任務是：

　　基本建立電子政務網路與資訊保安保障體系。要組織建立我國電子政務網路與資訊保安保障體系框架，逐步完善安全管理體制，建立電子政務信任體系，加強關鍵性安全技術產品的研究和開發，建立應急支援中心和資料災難備份基礎設施。

　　完善電子政務標準化體系。逐步制定電子政務建設所需的標準和規範。今年要優先制定業務協同、資訊共享和網路與資訊保安的標準，加快建立健全電子政務標準實施機制。

　　加快推進電子政務法制建設。適時提出比較成熟的立法建議，推動相關配套法律法規的制定和完善。加快研究和制定電子簽章、政府資訊公開及網路與資訊保安、電子政務專案管理等方面的行政法規和規章。基本形成電子政務建設、執行維護和管理等方面有效的激勵約束機制。