浅谈等级保护与政府终端安全管理(1)

实行信息系统安全等级划分制度，并逐级制定管理规范，成为政府部门保障信息化建设的工作重点。

中国IDC产业联盟讯近年来，随着计算机网络的迅速发展，政府部门信息化建设已成为一种趋势，但由于政府办公网络环境中终端分布存在地域差异，安全需求各不相同，使得政府业务系统极易出现安全问题，影响政府部门正常工作，甚至危害公民及国家安全。为此，实行信息系统安全等级划分制度，并逐级制定管理规范，成为政府部门保障信息化建设的工作重点。

2003年，中办颁布了《国家信息化领导小组关于加强信息安全保障工作的意见》。随后，为进一步推动信息安全建设，国家先后于2004年和2007年颁布了《信息安全等级保护工作实施意见》及《信息安全等级保护管理办法》。规定指出，信息系统划分成五个安全等级，且在维护信息终端安全稳定方面需做到逐级的身份认证、访问控制、数据加密、病毒防护、系统加固、安全审计等要求，以确保信息系统保密性、完整性和可用性。

然而由于等级保护工作监管措施存在问题，一些部门在业务系统发生变化后未能及时进行重新定级，导致系统安全等级划分不明确，安全策略制定不到位，非法访问、数据泄漏、威胁入侵等问题在政府网络中依然存在。为进一步提高信息终端安全管理水平，保障信息化健康发展，减少安全隐患和事故发生，信息安全等级保护工作进入全面整改阶段。为尽快完成等级保护整改工作目标，当前电子政务终端安全管理急需解决以下问题：

1)访问管理、身份认证机制存在弊端：虽然目前网络环境中已经对访问管理、身份控制有了一定的防护措施，但由于运用虚假CA证书欺骗手段，或基于漏洞绕过访问控制机制入侵网络环境的案例频繁发生，现阶段网络终端仍然存在众多安全隐患。

2)漏洞发现不及时：由于漏洞本身的发现存在滞后性，可能导致一些第三方应用及系统本身漏洞存在于网络环境中，如果检测和分发安全策略不全面及时，将会给病毒、恶意软件、木马等威胁可乘之机，甚至造成严重危害。

3)漏洞补丁和现有系统的兼容性：由于某些专用的业务系统需要针对特定的操作系统软件环境。新出现的漏洞补丁和原有应用系统之间的兼容性问题，需要耗费大量的人力、物力进行验证，而这项工作往往被忽视。某些网络中，特别是专用业务网络中，为了避免该问题，索性采取不打任何补丁的策略，埋下了信息安全隐患。

4)定向攻击手段层出不穷：当APT等极具针对性的定向攻击案例一次又一次的被曝光时，政府部门越来越意识到，仅仅依靠传统的终端安全解决方案，已经无法对其进行及时防范，被动响应，或者单纯依靠简单的黑/白名单逻辑的安全防御模式，已经明显的滞后于安全防范的新要求。

5)缺乏安全意识：虽然安全管理设备已经置备齐全，但由于用户在操作习惯上的随意性，仍然会出现对于终端安全等级及策略制定不明确，或发生在非涉密终端上处理涉密或敏感信息等情况，给专用业务IT环境埋下极大的安全隐患。