美日电子政务信息安全体系比较研究

2016-05-14 05:34佟大柱钱小龙
吉林省教育学院学报 2016年5期
关键词:电子政务信息安全

佟大柱 钱小龙

摘要:电子政务信息安全既影响国计民生,又关系到国家的政治稳定和经济发展,保障电子政务信息安全是电子政务推广使用的前提条件。美日两国在电子政务信息安全建设方面起步较早,体系完善。随着世界安全形势的不断变化,两国的信息安全战略不断进行调整完善。通过对美日两国电子政务信息安全体系建设的比较研究能给我国的电子政务信息安全体系建设提供良好的借鉴作用。

关键词:电子政务;信息安全;电子政务安全

中图分类号:G203 文献标识码:A 文章编号:1671-1580(2016)05-0184-03

一、研究背景

电子政务的推广不仅使政府部门借助信息化手段为社会公众提供高效、优质、廉洁的一体化管理和服务成为可能,同时还能降低政府与外部沟通的运行成本,优化政府工作流程和办事效率。但由于网络的开放性和共享性,电子政务信息的安全性也时刻面临着来自网络的各种威胁。如果一个国家的电子政务安全出现问题,其带来的各种后果不堪设想。

美国联邦政府自20世纪90年代初正式启动电子政务建设,目前,美国的电子政务建设已经发展得相当成熟和完善。日本的电子政务建设虽晚于美国,但日本凭借其相继实施的IT战略计划,使得国内的信息基础设施、IT技术和人才以及信息化应用在短期内都取得了很大的进步与发展。我国在电子政务信息安全体系建设方面与美日等发达国家还存在一定的差距,通过对美日等发达国家在电子政务信息安全体系方面建设经验的研究可以为我国提供十分有益的借鉴和帮助。

二、美日电子政务信息安全体系建设对比

(一)信息安全管理机构对比

为了保障网络信息安全,美日两国政府都先后组建了多个专门机构来具体负责信息安全工作。美国的信息安全机构设立完善,职责明晰。安全机构总体架构为总统指挥,网络协调员协助,其安全机构设置主要分布在三个层面:总统办事机构、内阁和独立机构。每个层面又下设不同的安全管理部门,具体负责所在领域的信息安全工作,其中国家安全委员会是美国信息安全体系的中枢,网络安全协调员负责各个安全机构之间的协调工作。同时美国还特别重视安全技术的研究,专门成立了官方的研究与技术中心,希望凭借其先进的技术手段来保障国家信息安全。日本政府也成立了多个专门机构来具体负责国家的信息安全工作,如经济产业省的“信息安全对策办公室”、IT战略本部的“信息安全对策推进会”、信息处理振兴协会的“信息技术安全中心”、电子商务促进会的“电子商务安全工作组”、“日本网络安全协会(NPO)”和信息技术安全局的“国家信息安全中心”等。这些机构和部门不仅有自己的明确分工,同时还积极加强与民间机构和社会团体的合作,以期通过各类主体的履职与合作,共同应对来自网络空间的威胁。

比较美日两国信息安全管理机构的设置可以发现,美国更强调安全管理机构的官方性及权威性,更注重通过国家及政府层面的领导来实现国家信息安全的管理,即使是在技术研究领域也会出现官方的身影。而日本则更注重官民之间的合作,提倡政府主导、民间参与,以期在政府的规划和指导下通过社会力量的介入来带动全体国民信息安全意识的提升,从而推动整个国家信息安全水平的发展和提高。

(二)信息安全法律法规建设比较

美国一直对国家的信息安全问题高度重视,并且将信息安全列为国家安全战略的重要组成部分,一直在加强信息安全方面的立法和研究。美国出台的与信息安全相关的法律最早可以追溯到1967年的《信息自由法》,其后随着信息安全形势的发展,美国通过联邦立法和各州立法的形式先后出台了130多项专门针对互联网管理的法律法规,用以加强对国家信息网络基础设施的保护和打击网络犯罪。

日本比较注重针对国家信息安全和个人信息安全方面的立法工作,先后颁布了《有关信息安全对策的指针》、《为确保电子政府信息安全的行动计划》、《IT基本法》等一系列法律来提高政府对信息安全重要性的认识。随后日本又先后通过了《关于保护行政机关保存个人信息的法律》、《关于在行政手续中利用信息通信技术的法律》以加强电子政务建设过程中对个人信息的保护力度。

美日两国在涉及到国家信息安全及个人隐私保护方面的法律法规体系严密,内容丰富,而且一直在不断地进行修订和完善,这些法律法规为两国的信息安全保护工作提供了切实的保障。同时两国政府在信息安全的法制保障方面还积极加强和寻求国际合作,2000年,美、日等八国共同签订了《全球信息社会冲绳宪章》。2001年,美、日等30个成员国又共同达成了《反计算机犯罪公约》。2012年6月,欧美日联合发布《政府信息安全推荐准则》,呼吁在政府信息安全领域应加强国际之间的合作和交流。

(三)信息安全体系运行模式比较

美国政府根据信息系统使用机构的不同,将系统分为三种类型:联邦国家安全系统(Federal Na-tional Security Systems),联邦非国家安全系统(Fed.eral Non-National Security Systems)和非联邦系统(Non-Federal Systems)。根据所属系统的不同分别由不同的机构采取相应的信息安全策略对系统进行管理和保护。同时为了确保政府机构信息安全,美国联邦政府要求每个联邦机构都需要根据自身职能和业务特点制定和实施相应的信息安全计划,并且要求联邦机构至少每隔三年要对所制定的安全计划进行一次安全检查和审计,对于涉及高风险的信息系统和主要应用程序,检查和审计的周期应当相应缩短。同时联邦机构每年要以报告的形式将检查和审计结果交给OMB(美国联邦总统管理和预算办公室),OMB不仅要负责所有联邦机构信息安全计划的年度审查,还要将每年汇总的检查结果以年度报告的形式交给国会。

日本的政府信息安全有一套专门的安全措施标准和运行模式。通过信息安全运行周期的设立,将制定、引入、运用、评价、修正几个环节贯穿于运行周期的始终。每个环节在运行结束之后都会以报告的形式将运行结果予以反馈,并用于对下个运行周期的修改及完善。通过报告、监测、修订的连续应用,不断地进行周期循环,各个部门的信息安全状况以及整个国家的信息安全体系都在不断进行完善,而且有了质的提高。

可以看出,美国更倾向于信息安全体系与制度的顶层设计,采用自上而下的形式对信息系统的安全运行加以保护,并建立严格的检查、审计和报告制度,以确保总统和国会对政府部门和联邦机构的信息系统运行情况和信息安全形势能够及时了解和把握。而日本则更倾向于通过引入科学的信息安全体系运行模式,通过系统运行过程中不断的动态修复和完善,在信息安全运行周期不断循环的过程中使整个国家的信息安全体系得以完善和提高。

三、美日两国信息安全战略发展趋势比较

美国是世界上最早制定和实施信息安全战略的国家,并且随着世界安全形势的变化其国家安全战略也在不断地进行发展和完善。20世纪80年代初,美国联邦政府成立了“美国国家保密通信和信息系统安全委员会”(NSTISSC),将国家的信息安全战略定位为维护国家信息的安全性和保密性,这个“防御型”的国家安全战略一直贯穿于里根和老布什两届政府期间。克林顿政府初期依然维持“防御型”的国家安全策略,1998年底美国国家安全局制定的《信息保障技术框架》(IATF)提出使用“深度防御战略”,将网络与基础设施防御、区域边界防御、计算环境防御和支撑性基础设施的深度防御确定为目标。2000年,克林顿政府首次将“信息安全”列入总统国家安全战略报告中,标志着信息安全正式进入美国国家安全战略框架,同时也标志着美国国家安全战略由“防御型”向“扩张型”转变的开始。小布什执政期间连续发布了《信息时代的关键基础设施保护》、《网络空间的国家战略》等文件,对国家安全战略进行进一步强化,并开始将国家安全领域向网络空间进行延伸。奥巴马上台后更加注重网络空间的安全防护,设立专门的白宫网络安全指挥官负责美国网络安全战略的制定。2009年6月,美国国防部正式成立了由战略司令部领导的网络战司令部。网络战司令部主要进行数字战争,防护针对美军计算机网络的安全威胁。这也标志着美国“扩张型”国家安全战略的正式确立。2012年奥巴马签署的《美国网络作战政策》总统指令中要求美国国家安全和情报官员制定一份网络攻击目标名单,并规定为实现美国在全世界的国家安全目标,美国可以动用独特和非常规武力,在事先不进行任何警告的情况下发动攻击。

与美国“扩张型”国家安全战略不同的是,日本实施的是“保障型”信息安全战略,强调“信息安全保障是日本综合保障体系的核心”。这一战略体系在日本早期实行的e-Japan战略、u-Japan战略和i-Ja-pan战略三个战略中都有体现。日本政府希望借助信息化战略的推进带动整个国家信息基础设施、IT人才、IT技术的全面发展,在确保国家信息安全的基础上将信息化渗透到社会的每个角落,从而带动整个社会的经济发展。实践证明,日本“保障型”信息安全战略在推动日本国家信息化进程中起到了不可磨灭的作用。随着全球网络空间的发展和信息安全环境的变化,日本政府也开始意识到网络边界安全的重要性,2013年,日本公布了《网络安全战略》,提出要创建“领先世界的强大而有活力的网络空间”,实现“网络安全立国”,同时提出“要积极参与世界安全规则制定”,这也标志着日本政府的国家信息安全战略也在发生着微妙的变化。2014年3月,日本正式宣布设立“网络防卫队”,宣称将以每天24小时态势监视防卫省和自卫队的网络,应对网络攻击,同时还将收集、分析、调研网络攻击和威胁等相关情报。

纵观美日两国信息安全战略的转变,可以预见网络空间安全的防护与攻击将是未来国家之间安全争夺的新领域,只有抓住互联网发展机遇,做好信息化建设,制定与国情相适应的信息安全战略才能在未来的网络空间争夺中占有一席之地。美日两国电子政务信息安全体系的建设经验及发展趋势也给我国的电子政务信息安全体系建设提供了良好的借鉴作用。

[责任编辑:刘爱华]

猜你喜欢
电子政务信息安全
信息安全不止单纯的技术问题
新形势下地方电子政务信息化发展研究
基于模糊综合评价法的信息安全风险评估模型
基于模糊综合评价法的信息安全风险评估模型
我国政府电子政务外网安全问题研究
中国电子政务的“短板”
我国县域电子政务工作的困境
2014第十五届中国信息安全大会奖项
试论基于Petri网的电子政务系统
信城通:与中国电子政务共同成长