2009中国计算机网络安全应急年会于2009年10月21日至24日在湖南长沙召开，本届年会主题是“网络促进发展 安全创造价值”。23日进入会议第二天，本次会议众专家学者探讨了有关电子政务安全方面的问题，下面为工业与信息化部信息安全协同司李爱东处长谈话实录：

　　主持人：我是来自于工业与信息化部信息安全协同司处长，李爱东。很高兴来到文化历史名城--长沙，来探索网络安全的问题。我介绍一下嘉宾：CNCERT运行管理部副主任周勇林;中国信息安全陈正中心副主任陈晓桦;国家信息中心安全研究与服务中心主任吴亚非;北京市政务信息安全应急处置中心副主任刘海峰;华为存储网络安全副总工程师胡善勇。

　　按照大会的安排，关于电子政务方面的一个发言。关于这个发言，电子政务涉及到了方方面面，我涉及到几点跟大家进行了交流，这边对电子安全进行的部署。各地方，各部门按照国家信息小组等意见的要求，积极推进电子政务建设取得的显得的成绩。开通中央骨干网络建设的精神等一批重要的工程，建立一系列的网站的体系。各地区、各部门结合运用了实际相继建设满足业务系统、网站系统等这些提高政府部门的工作效应，促进行政管理体制改革，改善外贸投资环境，提高决策科学化和民主化的水平，带动全社会信息化的发展。电子政务成为政府跟老百姓密切联系的渠道。掌握事件的民意、推进和谐建设的平台。随着电子政务的发展，对网络的依赖性也提高，成为摆在我们面前重大安全的问题。如政府网站被攻击等这样事件不胜枚举。昨天下午举办的论坛也涉及这一方面。比如我国福建等上牌的受到攻击问题、四川汶川大地震对电子政务造成很大的影响。说明我们的电子政务安全受到很大的影响。以发展思路来解决，我国正处于经济快速的发展和经济体制深刻的变化重要时期，经济活动的日益频繁，市场主体日益多元，人民群众对改善公共服务的安全越来越高。

　　新的形势，要求我们政府部门也进一步提高管理的水平。这就要求我们以后坚定不移地推进电子政务，为政府部门在新历史条件下，有效履行职责、提供一定的功能。那么，出发点和落脚点是保障电子政务发展，而不是阻碍电子政务的发展。关注电子政务的安全，要在经济全球化和社会信息化的大背景下来进行的思考，要着眼下一代网络等新技术的进入，加强电子政务前瞻性的研究，加强核心技术的研发，制定完善相关管理跟技术规范，认真落实信息安全与电子政务同步规划，同步建设，同步运行，三同步要求，避免先重视发展，后考虑安全，只重视发展，不考虑安全，发展越快，安全越多的网络，电子政务的安全要从地方跟中央来看电子政务发展水平的不平衡。一些地市结合自己的发展，要自身的电子政务模式。例如河南济南市，基于网站电子政务取得成功之后，广西某地也结合财务实力，依托互联网建立电子政务系统，即节约投资又发挥得效率。要落实等级保护制度紧密结合，综合平衡安全的风险，进行安全建设的管理。将信息安全风险可以控制与接受的范围内。关注电子政务安全要全面看问题。从横向看，电子政务网络由政务内网跟外网结合，通过到一些省市调研，我们发现很多单位内部、非设立网等并存，我记得几个省安全处的处长跟我反应，到现在这几个网复杂关系还没有明白，所以说网限很复杂。对技术要求就更高，如果安全涉及不当，都有可能安全风险跟安全隐患。从纵向看，很多单位为了安全，但是近几年，越到基地，就越少。资金缺乏，技术薄弱，安全防弱水平很低。我们在组织外部安全当中，就遇到这种问题，一个系统，在省级防护很好，想进入很难，我们到一个基地当中，就可以进入。大部分的电子政务分散的问题，这个现象在中央跟地方都比较普遍。安全防护水平参差不齐。比如说，每一个门口有没有设保安一样，不清楚。

　　以上的这些问题，我们要全面考虑，采取一定的措施加以解决。当然加强电子政务安全，抓好基础，推进体系，法律法规等多方面的协调发展。同时要立足现实，注重解决当前面临的问题：

　　第一，加强信息安全的培训，保障电子政务最终落实到人。提高基本知识技能水平，提高电子政务安全的。很多信息隐患不是高深技术问题，都是我们认识不到位，比如发现一些问题当中，就占20%多。我们在测试当中，我们利用一天时间在外部测试现场。所以说你再好安全防护设备，也没有。一般技术人员提高，这些高危漏洞就可以避免，国家对加强信息安全培训一直有要求，各地方、各部门要做到经常化，把信息安全跟保密性要做成重要工作，把信息安全风险内容纳入工作考核之中。

　　今年上半年，在工信部也组织的活动，也联合09年信息安全培训，重视有关信息安全检查，信息安全应急政策和方法。公安保密地方等地区也采取多种方式的安全培训。加快建立以身份认证等为电子政务安全体系。在加强电子政务可控方面，要加快电子政务采购管理。国家已经提出明显的要求，办公计算机等软件应该使用国产产品。加强信息安全检查，开展制度化、规范化的安全检查，发现问题、排除隐患等手段，国家下发关于《信息安全的检查》的文件。各地对自身运行，网站系统，每半年要进行一个检查。重点检查落实安全制度等，响应国产化，教育培训，责任追求等方面的情况。工业跟信息化部负责协调指导监督工作。县以上各地政府同意协调下，开展信息安全工作。按照国务院要求，工信部引发了《指南》组织对几个部门网站系统进行外部安全测试。另外一方面，应急处理工作是电子政务重要一环，保障电子信息安全，保障业务联系性，保障政府可靠职责有重要的作用。国家对信息安全也是很重视。制定有关标准和规范，提出明显的要求。目前以初步建立国家信息安全协调机制，以及国家信息安全通报机制。

　　各地各部门也按照国家的要求正在组织制定了新计划，建立相关的机制，今年9月上旬，工信部联合检查网络安全。国务院应急办的领导在现场进行的指导，通过演练活动应急处置流动。演练不同阶段了衔接和探索。以建设相应灾难系统，各地采取多种措施进行的演练。公开招标的方式建立统一灾难中心，为政府部门提供数据，有效地解决财政不足与政府有关方面的矛盾。

　　目前，政府部门信息系统可能缺乏标准，随意安装网络软件，也是成为一个重要的原因。我们也经过调研，总体感觉上这些企业在计算机配置的管理，比政府部门要严格，措施也比较严格。我们也可以借鉴一些企业跟发达国家，在管理方面得成功经验，进一步探索规范政府部门办公计算机配置，规范其使用。有效减少安全隐患和安全风险。这项工作，我们已经在北京市开展了试点，北京市刘海峰主任也参加这一项工作。我们也组织专家进行深入的研究，并在山西跟上海进行了调研。在中央这一方面应该做得显著的成绩，接下来有一个主任介绍这种情况。

　　下面我介绍一下地方的情况。目前介绍省、市、县的电子政务平台。省级电子政务也配置一些设备，使用防火墙、数据库、入侵防御系统的隔离，在省政府园区内各部门包括人大、政协也使用这一方面的。要注意加强外包服务的管理，这几年出现一些问题，全世界反映一个问题就是外包服务的管理，也是我们比较薄弱的环节。为电子政务提供服务商应该要满足特殊的要求，符合相应的规范，比如在招标环节上，等级管理办法对提供商进行了审核。在采购过程当中，明确提供信息安全的。在运维过程当中，特别是现场维护跟远程维护要进行监管。以上是我们近年开展的工作的一个认识，也是起到抛砖引玉的作用。我的发言到这里。