高松林 皮 章
电子政务信息安全管理思考
高松林 皮 章
近年来,各级党政机关相继建立了与互联网联接的门户网站,并已逐步成为政府与公众之间重要的交流渠道。通过政务网站,各级党政机关进一步加强与公众沟通和民意征集,让群众更大范围地参政议政,并在服务群众的同时接受公众监督。但从实践中看,我国电子政务信息安全管理在思想观念、工作机制、管理模式、安全保密等方面还存在一些问题,影响和制约了电子政务的健康发展。下面笔者结合电子政务建设与发展,重点就电子政务信息安全管理进行探讨,以期能为电子政务深化应用提供参考。
1.电子政务信息的演变发展
从电子政务的发展来看,主要分为初期缓慢发展阶段和近几年的快速发展阶段。电子政务初期发展阶段包含两个方面:一是20世纪80年代末期,中央机关和地方党政机关开展的办公自动化工程,建立走了各种纵向和横向的内部办公网络,为电子政务的发展奠定了基础;二是1993年底,为适应全球信息高速公路的建设潮流,我国启动了“三金工程”,即金桥工程、金关工程和金卡工程,这是中央政府主导的以政务信息化为特征的系统工程,在我国重点行业部门建立起了初步的信息化基础设施,但这些都只是我国电子政务发展的初级阶段。进入20世纪90年代后期,特别是21世纪后,伴随国际互联网的迅猛发展和政府职能转变速度的加快,我国电子政务进入了全面规划、整体发展的新阶段。
2.当前电子政务信息安全管理现状
总的来看,当前电子政务建设的基础环境正逐步加强,面向公众的政府门户网站快速发展,制定和引进了一批重要的信息安全管理标准,保障电子政务信息安全管理的法律法规也逐步完善。但随着信息网络的日益普及,黑客攻击、病毒侵袭等对信息安全提出了严峻挑战。同时,我国电子政务信息安全管理还存在重技术轻管理、重产品轻服务等现象,人为泄密、无意失误等现象也不同程度地存在,为电子政务信息安全带来了不可忽视的安全隐患。
1.技术安全方面
一是硬件方面,核心技术先天不足。近年来,我国电脑制造业虽然取得了长足的发展,国产品牌电脑越来越多地应用于政府部门,但我国电脑核心技术研发能力较弱,核心技术大都是原始设备制造商的,关键技术完全受制于人。比如微软凭借其技术优势,已经垄断了我国包括操作系统在内的核心软件市场。同时,由于缺乏有关知识和经验,对从发达国家引进的信息技术和关键设备缺乏有效的监督管理和技术改造,导致我国电子政务信息建设领域存在严重的安全隐患,一旦国际关系发生重大变化,可能带来灾难性的后果。
二是应用系统、安全系统开发滞后。随着电子政务的迅猛发展,与之相配套的应用系统、信息安全系统的开发建设,与实际需求严重脱节,应用系统、信息安全系统存在技术创新不够、自主产品不多、核心技术缺乏、攻防能力较差等薄弱环节,致使电子政务系统在应对黑客攻击、病毒入侵等方面的防护能力较弱。
三是技术上缺乏统一标准。技术标准化是电子政务系统实现互联互通、信息共享、业务协同、安全可靠的前提。但由于我国地区之间经济发展不平衡,各地区、各部门信息安全建设的发展不平衡,对信息安全的要求也不尽相同,加之我国在信息安全管理方面缺乏具体的宏观规划,信息安全建设中的技术标准没有一个统一的尺度,致使各地电子政务建设大都各自为政,导致各地区电子政务系统规划不统一、建设的厂商不同、采用的技术设备不同、使用的数据库格式不同,在电子政务系统建设中出现不同的操作系统、不同的应用软件和用户界面,系统设计与集成五花八门,彼此不能互连互通,形成“信息孤岛”。
2.管理机制方面
一是电子政务网络涉密信息审查机制不完善。虽然我国制定了《政府信息公开条例》等相关规定,建立了上网信息保密审查制度,但在实际操作中,信息人员还不能正确处理信息公开与信息安全之间的关系,在工作中注重了政务信息公开的及时性,而忽略了信息安全的重要性。同时,在信息公开审查方面还缺乏一套行之有效的保密审查机制和责任追究机制,致使上网信息保密审查程序不健全、涉密信息把关不严,一些涉密信息被人为或无意地公布于网络,导致政务信息网络失泄密事件屡屡发生。
二是电子政务网络动态监督机制不到位。电子政务信息安全管理是一个动态的过程,随时都可能有突发事件的发生,而现阶段我国对电子政务信息的动态监督力度不大,风险评估机制尚未得到深入运用,特别是缺乏上级对下级的监管机制,一体化巡查机制尚未建立,还不能将各种突发事件处置在萌芽状态,致使许多基层政务网站不能及时应对黑客攻击、病毒入侵、网络泄密等事件。
三是电子政务网络保密工作机制不健全。由于我国电子政务的发展较晚,我国在保护电子政务信息安全方面的电子政务立法还处于相对滞后阶段。电子政务信息保密的法律法规很不健全,只是由行政机关对互联网管理出台了一些限制性的行政法规,电子政务信息安全缺乏基本的法律和制度保障。
3.队伍建设方面
一是从事电子政务人员保密意识不足。随着网络社会的迅猛发展,从事电子政务信息人员以及相关技术人员对于信息化条件下的窃密与反窃密斗争形势认识不足,保密意识不强,和平麻痹思想,无密可保、有密难保等错误认识还不同程度的存在,致使政务网站泄密事件发生。
二是缺乏信息化运用的精专型人才。近几年来,为适应全球信息化的要求,从中央到地方均加快了本部门、本地区、本单位的电子政务建设力度,使我国电子政务建设取得了长足发展,但与之相配套的信息技术人才,特别是精专型人才缺乏的矛盾也日益凸显。
三是缺乏稳定的、常态化的学习培训机制。现实条件下,个别政府部门注重了政务信息网络系统的建设,而相对忽略了信息技术人才的培养,没有建立起一套稳定的、常态化的业务培训机制,不能适应信息技术、安全管理的需要。
1.坚持以我为主搞建设
一是加大信息技术产品的研发力度。电子政务是依赖于计算机和网络技术而存在的,电子政务信息安全的关键是要有自主的知识产权和关键技术。为此,应进一步加大基础信息产业建设的资金投入,充分建立起安全评估和质量认证体系,加大信息技术产品的研发力度,解决好信息技术先进性与自主性的关系,逐步消除核心技术依赖于人的现象,保证电子政务核心技术和关键环节技术的先进性。
二是完善电子政务网络安全保障体系。电子政务信息的安全需要用完备的制度来保障,建立和实施严密的政务信息安全制度是真正实现政务信息安全的基础。按照“自主保护级、指导保护级、监督保护级、强制保护级、专控保护级”实施严格的分级保护,并建立全面的风险评估办法,构建完善的安全保障体系。要积极跟踪、研究和掌握国际信息安全领域的先进理论、前沿技术和发展动态,大力研发既适应全球信息发展,又符合国家安全要求的应用系统、信息安全系统,以解决电子政务信息建设中核心安全技术不足、攻防能力较差等安全隐患。
三是整合政务信息建设技术资源,统一政务网络应用标准。可考虑电子政务网络建设由国家统一规划,按业务领域和行业条线统一建设。比如公、检、法等政法系统,工商、税务、银行等金融系统等等,均由国家实施统一规划、统一建设,以达到整合资源、技术共享、资源共享、节约成本的目的。
2.坚持统一管控保安全
一是建立完善的信息保密审查机制。按照科学性、操作性、规范性的要求,建立和完善政务信息保密审查工作机制,严格保密责任追究,确保政务信息保密审查权责清晰,坚决杜绝政务信息保密审查过程化、形式化等不良倾向,严格控制政务信息公开的范围、程序、方法,确保国防、经济等涉及国家利益的政务信息的绝对安全。
二是加强对电子政务信息的动态监督。建立电子政务信息动态监督机制,包括国家级动态监督、上级对下级的动态监督,及时发现电子政务信息运行中的安全隐患和漏洞,监督各级政府部门严格执行与电子政务相关的法律法规。同时立足现行国家保密体制框架下,可以考虑在国家保密局下设一个专司信息安全监督的管理机构,对电子政务实行统一规划、统一管理,并划分具体、明确的职责任务。
三是进一步完善保密工作机制。
为了促进电子政务建设,世界主要发达国家都出台了一系列旨在促进电子政务发展的法律法规。目前我国也制定了《政务信息公开条例》、《电子签章条例》,规定了政务信息公开的范围、程序,确立了电子文件和电子签章的法律效力,为政府文件和重要政务信息的网络传输提供了法律依据。为此,应进一步加大立法力度,结合目前我国电子政务发展实际,借鉴国外先进立法经验,制定诸如政府信息公开法、政府信息资源管理法等保障电子政务信息安全的法律法规,以促进电子政务的健康发展,确保电子政务建设、安全管理有法可依。
3.坚持以人为本谋发展
一是努力提高从事政务信息人员的保密意识。要在不断强化从事政务信息人员计算机应用能力的同时,努力提高其保密意识,特别是要建立长效的保密培训和保密责任追究机制。通过开展保密知识和法律法规的宣传、学习教育,剖析典型案例,使其认清政务信息安全保密面临的严峻形势,进一步提高做好安全保密重要性的认识。
二是注重培养精专型人才。要加大人才培养力度,可依托国家现有教育、科研机构,采取“走出去、引进来”的办法,引进和聘用一批信息技术研发、应用、管理的高素质人才。同时建立竞争激励机制,在物质待遇、职级晋升等方面实施政策倾斜,努力创造一个拴心留人的环境,做到吸引人才、留住人才。
三是建立稳定的学习培训机制。
注重建立岗前培训、定期培训、定期考核等制度,并将从事政务信息人员的信息技术知识与技能纳入其个人年度考核,全面建设一支懂业务、懂技术、会操作、会应用的人才队伍,以适应全新的信息社会工作环境。在人员培训上,可考虑建立分层次培训机制,即分为政务信息决策人员培训、业务主管人员培训、操作应用人员培训等。
(作者单位:重庆市人民检察院第三分院)