原文参见:《中国计算机报》?2003-06-16 总1224期 本年43期 ?高岚
我国的电子政务网被分为三部分,即所谓的“三网”——互联网、外网、内网。其中,外网属于非涉密网。电子政务的行业特性决定了,从它诞生之日起,安全之于它的作用就好比是水之于生命的作用一样。因此,尤其是厂商们,在推销他们的电子政务外网建设方案时,都不约而同地以“安全第一”来引导用户。但是,目前,在我国的电子政务网络建设中,安全性的重视程度是否达到了足够的水准,用户们对于安全性的认识是否足够高,还是仅仅是厂商们剃头挑子一头热?让我们来听一听来自业内几位知名企业代表的声音。
??我国电子政务初始于20世纪80年代末期各级政府机关开展的OA工程建设。从上世纪90年代开始,通过金税、金关、金卡等重要信息系统的建设,我国电子政务发展取得了长足的进步。1999年,由40多个部委(办、局)的信息主管部门共同倡议发起的“政府上网工程”更是系统地推进了电子政务的整体发展。对于目前我国的电子政务外网的安全建设,几乎所有的企业代表都认为“已经初具规模”。
 | | 东 | 软 侯信 晓息 东安 ?全 ?咨 ?询 ?顾 ?问 | ??东软信息安全咨询顾问侯小东的意见是:经过多年的努力,政府外网建设已经卓有成效,并且和政府内网、业务网紧密联系在一起,形成了一个完整的信息整合和处理系统。 ??天融信安全服务部专家张兴如的描述是这样的:经过三年的预备期,目前,中国电子政务建设已经进入了实质性的发展阶段。以“两网一站四库十二金”为主要内容的电子政务建设将全面启动,信息安全、电子签章、信息资源开发利用等与电子政务相关的市场也将活跃起来。 |
??不过,也有人对此持不同的观点:联想IT服务群组信息安全事业部方案营销处陈鸣就表示:他认为,我国现在的电子政务外网建设并没有全面启动,因为,他目前还没有看到在国家统一的政策、统一的步骤下全面展开电子外网安全建设。目前,更多的情况是各部委根据各自情况试探性的开展,整个项目尚处在小规模的摸索期。对此,他的解释是:国家电子政务网是代表国家形象、政策等政务行为的,必须从形象、功能、规格、流通性、安全性、公民易用性、内外网连接接口等多方面进行综合考虑后方能全面展开。
※ 需要政策指导
陈鸣的意见听起来有点“另类”,但是,它恰恰反映了所有关心电子政务外网安全建设的厂商们的心声:国家政策对于电子政务的外网安全建设的重要性。现在,厂商们都瞪大了眼睛,在密切关注着有关政策。对于国家有关标准的出台,他们正在拭目以待。
天融信的张兴如介绍说:2002年5月,国家标准化管理委员会和国务院信息化工作办公室联合发布了《电子政务标准化指南》总则部分,与之相关的电子政务工程管理、网络建设、信息共享、支撑技术、信息安全等方面的技术要求、标准和管理规定,将在2003年完成。2003年,从事系统集成、网络建设、信息资源开发、信息安全等方面的厂商,在开发建设过程中一定要有法可依。据东软的侯小东介绍:目前,国家正在对信息建设的安全性要求制定相应的标准,比如,软硬件供应商的资格、密级要求、集成商的资质等等,也在进行相关法律法规的建设,比如《刑法》、《国家安全法》、《国家保密法》、《密码管理条例》等等,并且成立了专门的职能机构,公安部、国家安全部、国家保密局、国家密码管理委员会、国家技术监督局和信息产业部等将承担信息安全的指导和管理工作。
对于电子政务外网工程的安全项目等级评定以及有关厂商的资质鉴定问题,厂商们的态度很明确——热烈欢迎。上海博达数据通信公司政府行业经理赵辉认为:电子政务涉及国民经济信息化的各个领域,标准化是保障电子政务工程建设和系统运行的科学管理手段。他认为,电子政务未来的发展模式必然是“政府主导,企业外包”,这就需要对各种不同行业的电子政务外网的工程进行安全等级评定,由通过了资质认证的企业来负责工程的具体实施,“这有点类似于建筑行业的管理”。方正数码信息安全事业部产品服务总监李栎介绍说:目前,国家已经出台了三本电子政务建设标准,以对电子政务建设的各方面进行技术指导,其中也包括网络安全方面的要求。他们非常欢迎国家对此行业进行规范,因为,这会使得更有竞争力的企业得到更快发展,实现政府与企业的双赢。不过有一点他特别提出:对于这种认证是否和现有的其他资质认证产生重叠问题,他们还有一些疑虑。冠群金辰公司技术总监郑林的观点很明确:电子政务外网是联系政务信息化和公众的纽带,标准化是非常必要的,因为,“没有规矩,不成方圆”,厂商和服务商必须遵循标准,受到资质的约束。
※ 用户认知度普遍偏低
虽然在IT行业中,很多项目往往在厂商的主动推进下才得以顺利开展,但是,电子政务的外网建设环境特殊,用户的安全认识才是原动力,那么,现在用户的网络安全认识究竟到了什么程度,他们对安全的认识够吗?对此,清华紫光比威网络技术有限公司产品行销部产品经理汪辉认为:总体来说,用户对电子政务外网的安全建设还是比较重视的。但是,在实际的安全建设中,用户们的大部分工作还是被厂商们所左右着。博达赵辉的意见与之相似:在电子政务发展初期,的确出现过重内网、轻外网的现象,但随着电子政务发展,人们对电子政务外网的安全有了更加深刻的认识,已经加强了外网安全建设。不过,他认为,更多的用户对于安全在电子政务外网的保障体系建设中的作用的认识是,它在整个项目中只是“锦上添花”。联想陈鸣的观点比较具体:不同的用户对于电子政务外网的安全认知度差异较大,他们基本认同安全对于电子政务外网建设的重要性,不过对于例如怎样实施才安全,安全投资到哪一步等细节问题,需要并等待国家政策的指导。东软侯小东的观点更尖锐些,她认为:目前大部分政府机构对于外网的安全建设认识不够,相对于内网和业务网的安全性建设,外网的安全还没有引起足够的重视。2001年,“五一”中美黑客大战期间,我们的不少政府外网被攻陷就是一个例子。
用户们对于安全建设在电子政务外网建设中的重要性的认识程度不够,直接影响到他们在这方面的投资比例。一个电子政务外网项目中,安全部分合理的支出比例究竟应该多大?东软的侯小东明确指出:一个完善的信息系统建设,安全性建设的总体投资应该占到整个项目的20%左右。但是,目前我国的电子政务建设,投资的重点都放在了硬件设备上,软件平台尤其是相关的安全要求方面的投资比例很小,而能分配到外网的安全性投资更是少的可怜。事实上,外网直接暴露在Internet上,尽管其信息敏感度不是很高,但是它遭受的安全风险却是最大的,而且一旦外网陷落,整个电子政务系统都可能遭受到威胁。联想与方正的意见与此类似,陈鸣认为应在15%-25%之间,李栎觉得10%-25%比较合理,而目前的比例基本上都大于10%。
※ 不能仅仅靠技术
用户对网络安全的重视程度不够,是因为他们大多数人还不太了解网络安全,因此,导致了他们对网络安全直接投资额的不足。大多数人认为,网络安全就是购买或布置网络安全产品,其实,单纯的网络安全设备是不可能给他们带来真正安全的网络的。
博达的赵辉说:在保证电子政务外网的安全上,仅仅采用防火墙、IDS、VPN等安全产品,或者安全路由器、交换机等硬件防护措施是不够的。单点的安全产品更容易形成安全盲点,采纳整体的电子政务解决方案将是信息安全行业的发展趋势。东软的侯小东指出:目前许多人把政府外网的安全性过多地寄托在对于网络安全设备的信任上,这是一种非常不切实际的想法。无论多坚固的防火墙,如果应用很宽松的规则的话,对于安全性也是没有什么帮助的。一个完善的而且能够严格执行的安全策略,才是整个安全的核心。“e-Government的建设是一个整体”,清华紫光比威的汪辉观点明确:电子政务外网的安全不能简单的通过一系列的网络安全设备来解决,必须把安全的建设融入到基础网络平台建设过程中,不能单纯考虑网络安全问题,从多个层面去考虑网络安全问题,用户大部分停留在安全设备层面,试图通过系列安全产品的部署解决安全性问题,是远远不够的。
正因为有以上误区,目前很多用户对于电子政务外网安全建设往往是以偏带全,只见树木,不见森林。博达、东软、清华紫光、方正的代表同时指出:目前,用户对电子政务外网的安全认识,太多地停留在应用层。个人用户更重视实际使用电子政务网中存在的安全性,企业和政府用户则对安全设备表示出浓厚的兴趣。用户一般对他们网络中应用层面的安全较为关注,比如邮件的安全性问题、身份认证系统、内部的审计系统等。他们反复提醒用户:网络安全一定是一个整体概念,它需要从物理层到应用层的全方位保护才能实现。
东软网络安全 微信号:Neusoft_NetEye
