政府部门信息技术服务外包安全管理思考 @@.pdfVIP

nei39 信息安全与通信保密·cismag 政府部门信息技术服务外包安全管理思考 北京信息安全测评中心主任刘海峰 信息技术服务外包在经济结构转型、安排就业、绿色可 中非常突出。如2011年上海市卫生局外包公司的张某利用开 持续发展等方面作用日益突出。中国服务外包研究中心2013 发维护出生系统数据库的便利，非法下载了约14万条新生儿 年发布的《中国服务外包发展报告》显示，2012年信息技 }}{生信息并出售获利。2009年深圳福彩中心外包公司的程某 术外包执行金额达到273．6亿美元，占服务外包业务总量的 通过自编木马软件入侵福彩中心销售系统，恶意篡改中奖数据 58．8％。同时，政府部门因为人员少、专业技术能力与服务外 并伪造3305万大奖。 包企业人员相比存在差距，也迫切需要进行信息技术服务外包。 信息技术服务外包企业主动泄露数据的情况也较为常见。 信息技术服务外包在发挥服务商专业优势和规模优势，降 低成本，提高信息化质量和效率的同时，也引入了信息安全风险。 2012年6月发布的《国务院关于大力推进信息化发展和切实保提供视频、语音、图片、邮件、文件等数据。 障信息安全的若干意见》(国发[2012]23号)．明确提出了信息技术服务外包信息安全问题还表现在信息技术服务 要规范和加强政府部门信息技术服务外包的安全管理工作。 外包供应链环节上。根据爱德华·斯诺登(Edwardsnowden)提 供的文件，曝光美国国家安全局(NsA)“棱镜门”的《卫报》 记者格伦·格林沃尔德(GlennGmenwald)，在自己的新书中透露， 信息技术服务外包安全问题掣肘了业务发展 NsA经常会收到或拦截美国厂商的路由器、服务器以及其他网 政府部门信息化不断向纵深发展，呈现出所建信息系统 络设备，会在设备中植入‘后门监控_T．具’，重新打包并打上 越来越多、积累的数据规模越来越庞大的态势。与此相对应， _丁厂的密封封条，继续运输，出口给国际客户。 政府部门需要越来越多的信息技术服务外包机构和人员以及厂 政府部门因信息技术服务外包管理的不善导致出现信息 商提供的产品来帮助进行信息系统的建设和运维。这样，政府 安全问题的情况更为常见。根据北京市对政府部门信息技术服 部门在信息技术服务外包中，就有两类突出因素极易产生安全 务外包的调研和历年检查的结果来看，导致管理不善的突出因 问题，一是信息技术服务外包机构和人员以及服务过程中使用 素表现在j个方面，一是对外包安全不够重视，重建设轻运维、 的产品不可靠，安全堡垒就容易从内部攻破；二是政府部门如 重建设轻安全思想仍较普遍，运维和信息安全保障资金申请较 果对外包机构和人员管理不善，发生安全问题也同样在所难免。 困难；二是对外包机构和人员的管理跟不上。缺乏可靠的外包 信息技术服务外包机构的人员利用掌握政府信息系统和 机构和人员选择、服务过程评估、服务成果交付验证以及外包 数据的便利，为自己谋取利益，在信息技术服务外包安全事件 机构和人员绩效考评的技术手段和标准，在外包机构和驻场人 员多、政府部门信息化人员少的情况下，难以有效管理外包机 构和人员；i是政府部门人员少，专业业务能力不足，严重依 赖外包机构和人员，重要数据、管理口令等多为外包服务商及 其人员所掌握，难以掌握管理的主动权