《中华人民共和国网络安全法》第21条明确规定:国家实行网络安全等级保护制度。2019年5月,《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》等一系列“等保2.0”相关国家标准颁布,为政府、企业的安全建设提供了可以依靠的规尺,安全的合规性特征也将有助于切实提高网络安全的建设水平。
作为国家强制标准,“等保2.0”对政府机关的网络与办公信息系统提出了相关的规范要求。随着政府机关信息化工作的深入发展,为贯彻落实国家和主管部门的相关要求,不断提高信息安全整体防护能力,做好网络安全等级保护工作成为相关部门的工作重点。
2020年3月,国家安全监管总局政府网站信息发布管理办法,不仅对自身做好网络安全等级保护工作提出了具体的要求,对在总局政府网站链接的网站或业务系统,也要求必须达到信息安全等级保护相应级别。
2020年5月,为建立健全信息网络安全管理体系,青海省市场监管局制定了《青海省市场监督管理局信息化制度汇编》,明确了网络和信息安全管理工作的重点,提升网络和信息安全保障能力。
2020年8月,湖南省出台《湖南省电子政务外网安全管理暂行办法》,要求各级政务外网建设运维安全管理单位(以下简称政务外网管理单位)要严格落实网络安全工作责任制,履行关键信息基础设施的相关安全保护义务,做好采购产品和服务的安全评估工作,采取措施保护政务外网安全。
在我国,政府机关的信息系统一般都是涉及国计民生的重要业务系统,保障需求非常强烈。但是因种种原因,比如政府机关的信息系统大多追求稳妥,使用的设施或软件不会太先进;随着政策的调整,信息系统也需要经常改动以适应政府服务及管理功能的需要;资金使用有限制,预算需要提前一年设定等,导致政府机关的信息安全建设只能按部就班循序渐进。
那政府机关的等保工作应该如何开展呢?葫芦娃集团针对政府机关信息系统的安全防护提出以下建议:
首先是定级。政府机关应遵循国家推行的相关标准对系统进行定级。经确定定级对象、初步确定等级、专家评审、主管部门审核、公安机关备案审查一系列流程,最终确定机构的网络安全保护等级是第二级还是第三级。
定级后,最重要的环节是需要经专业的测评机构进行现场测评,一般具体安全测评的范围主要包括政府门户网站的网络、业务应用系统、安全管理制度和人员等,安全测评通过静态评估、现场测试、综合评估等相关环节和阶段,从安全通信网络、安全计算环境、安全管理中心、安全管理制度等多个方面,进行综合测评。
通过等级测评,测评机构可以帮助政府机关找出系统中存在的安全隐患,明确系统当前的安全保护水平与国家网络安全等级保护要求之间的差距,并通过提出有针对性的整改建议为后续的系统达标和可靠稳定运行奠定良好的技术基础。
门户网站是政府机关网络安全防控的重点,可通过技术人员值守,定期检查监测,实施风险分析、外部威胁策略对抗、安全策略调优等安全防护策略,有效防止网站扫描、XSS攻击、信息泄露攻击、目录遍历攻击、SQL注入攻击等外部攻击。
此外,政府机关也需要定期做好病毒、木马等隐患排查和信息系统维护升级。加强安全运维和内部风险管控,强化接入管理,关闭或删除不必要的应用、服务、端口和链接,重点防范系统间、业务间关联风险,严防连锁连片式网络安全事故发生。