摘 要:目前,我国政府电子信息安全工作虽已经取得了一定成效,但仍然存在着政府电子信息安全工作缺乏顶层设计、政府电子信息安全法律有待统一,信息安全技术国产化缺乏统筹规划、政府电子信息安全管理急需优化升级等问题。因此,应从加强政府电子信息安全的顶层设计、完善政府电子信息安全法律体系、加大政府电子信息安全的投入力度、加强政府电子信息安全的日常管理、优化政府电子信息安全的应急预案等方面,推进政府电子信息安全工作,以维护我国政府电子信息安全。
关 键 词:政府;电子信息安全;国家信息安全;网络信息安全
中图分类号:D63-39 文献标识码: 文章编号:1007-8207(2016)10-0081-06
收稿日期:2016-05-08
作者简介:刘妍宏(1985—),女,吉林长春人,中共吉林省委党校(吉林省行政学院)图书馆馆员,研究方向为图书馆学。
政府电子信息安全作为国家信息安全的重要组成部分,不仅关乎网络空间的治理,而且承载着保障公众知情权的重任。因此,研究我国政府电子信息安全的现状,分析我国政府电子信息安全工作中存在的问题并提出相关对策,对维护我国政府电子信息安全,具有重要意义。
一、我国政府电子信息安全的现状
(一)我国政府电子信息安全工作取得的成效
党和国家历来高度重视政府电子信息安全问题,特别是随着互联网技术的不断发展,党和国家采取了一系列的措施来保障政府电子信息安全并取得了一定的成效。
⒈政府电子信息安全已上升到国家战略层面。2013年11月12日,党的第十八届中央委员会第三次全体会议通过的《中共中央关于全面深化改革若干重大问题的决定》指出:要“坚持积极利用、科学发展、依法管理、确保安全的方针,加大依法管理网络力度,加快完善互联网管理领导体制,确保国家网络和信息安全。”2014年2月27日,中央网络安全和信息化领导小组成立,习近平亲自担任组长,李克强、刘云山任副组长。同日,习近平总书记主持召开了中央网络安全和信息化领导小组第一次会议并发表了重要讲话。习近平总书记指出:没有网络安全就没有国家安全,没有信息化就没有现代化。网络安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施。习近平总书记这一讲话标志着网络安全已上升到了国家战略层面,作为国家网络安全重要组成部分的政府电子信息安全也随之上升到了国家战略层面。
⒉政府电子信息安全法律体系初步形成。目前,我国已经颁布并实施了一系列关于信息安全方面的法律、法规和规章,初步形成了政府电子信息安全法律体系,为政府电子信息安全提供了法律保障。这些法律法规可以分为以下四类:计算机法、互联网法、信息法和政务公开法。[1]为适应国家信息化和网络安全的新形势,落实党的十八届三中、四中全会精神,2014年12月15日,第十二届全国人民代表大会常务委员会第三十六次委员长会议原则通过了2015年立法计划,将制定《网络安全法》列入2015年的立法计划中。2015年6月,十二届全国人大常委会第十五次会议初次审议了《中华人民共和国网络安全法(草案)》,目前,该草案已经在中国人大网公布并征求公众意见。这部法律是我国第一部网络安全方面的法律,具有重大的历史意义,它不仅使我国在国家治理网络空间上有法可依,也将为我国政府电子信息安全提供法律保障。《网络安全法》将与其他涉及政府电子信息安全的法律、法规共同构成政府电子信息安全法律体系。
⒊政府电子信息安全设备技术不断提高。伴随着计算机技术及互联网技术的飞速发展,我国政府电子信息安全技术水平也得到了显著的提升。首先,我国信息及信息安全产业已经初具规模。在“自主可控、安全可靠”理念指导下,新时期的网络信息安全和信息产业得到了快速发展,一批具有自主知识产权的企业不断成长壮大,为政府电子信息安全提供了保障。其次,信息基础设施不断完善。《宽带网络基础设施“十二五”规划》提出了包括网络安全在内的五大任务,到“十二五”末期,初步建成宽带、融合、泛在、安全、绿色的宽带网络基础设施。可见,安全已经成为网络基础设施建设的指导理念和主要任务。信息基础设施的不断完善为政府电子信息安全提供了保障。再次,电子信息安全新技术的大量采用。如云端访问安全代理服务、大数据信息安全分析等技术,这些先进技术的广泛采用,极大地提高了政府电子信息安全的程度。
⒋政府电子信息安全管理水平显著提高。首先,各级政府和部门都制定了有关政务信息的审批和发布程序,为政府电子信息安全提供了可靠的保障。其次,各级政府和相关部门也都制定了政务信息的安全管理制度,使政府电子信息安全有章可循。再次,政府电子信息安全工作队伍日趋专业化,工作人员的专业技术能力和素质有了显著提升。第四,政府信息安全应急预案管理方式的广泛运用,提高了政府应对信息安全事件的能力。
(二)我国政府电子信息安全工作存在的问题
⒈政府电子信息安全工作缺乏顶层设计。虽然政府电子信息安全已经上升到国家战略层面,但政府电子信息安全只是网络安全的一部分,国家网络安全战略无法涵盖其所有环节。从这点上看,国家网络安全战略是不能解决政府电子信息安全存在的全部问题的,而目前我国还没有专门针对政府电子信息安全的发展战略,有关政府电子信息安全还缺乏整体的顶层设计。
⒉政府电子信息安全法律规定有待统一。尽管我国政府电子信息安全法律体系已经初步形成,《网络安全法》也已经进入了征求公众意见阶段,但如前所述,网络安全只是其重要组成部分,不能解决政府电子信息安全存在的所有问题。而有关政府电子信息安全规范也多散见于各类法规、规章以及规范性文件之中。政出多门,缺乏统筹的制度安排,没有完全形成合力,减损了相关规范的适用性。
⒊信息安全技术国产化缺乏统筹规划。信息及信息安全技术和设备国产化是提高信息安全的必要方式,但不可操之过急。以去IOE为例。所谓去“IOE”,最早是由阿里巴巴提出来的,“I”具体指IBM的小型机,“O”是指Oracle的数据库,“E”是 EMC的存储设备。[2]这是数据中心的三个必备设备。去“IOE”旨在推进信息技术设备国产化。但是,“我们盲目地去‘IOE’,就会出现两个问题:一个是产业链有没有足够的支撑,再一个你把‘IOE’去掉以后,你有没有足够好的产品顶替。”[3]可见,信息技术设备国产化不可盲目推行,否则,不仅无法保障信息安全,连起码的运行都可能遇到困难。因此,安全和发展必须统筹兼顾。
⒋政府电子信息安全管理急需优化升级。在电子信息安全上一直存在一个误区,认为只要上了先进的技术和设备就能保证电子信息安全。实则不然,电子信息安全“三分靠技术,七分靠管理”,电子信息安全更多是靠管理实现的。因此,必须充分重视管理在政府电子信息安全中的地位和作用,提高管理水平,优化管理格局。
二、新形势下政府电子信息
安全面临的挑战
(一)政府信息公开给政府电子信息安全带来的挑战
政府信息公开是提高政府透明度、促进政府依法行政的重要方式,也是现代政府建设的必然要求,更是建设法治政府的应有之义。自2008年5月1日《政府信息公开条例》施行以来,我国政府信息公开有了长足的发展。党的十八大以来,政府信息公开得到了越来越多的关注。党的十八大和十八届三中全会把政府信息公开作为健全和强化“权力运行制约和监督体系”的重要举措,党的十八届四中全会把“全面推进政务公开”作为法治政府建设的重要组成部分,同时强调:“全面推进政务公开。坚持以公开为常态、不公开为例外原则,推进决策公开、执行公开、管理公开、服务公开、结果公开。”不断加强政府信息公开,给政府电子信息安全带来了巨大的挑战。首先,存在管理上的问题。随着政务公开的全面推进,各级政府以及政府部门的门户网站建设日趋丰富和完善,但在管理上存在一些问题,如对在门户网站公开政务信息的数量和时限提出要求,为完成任务,有些管理人员在不甄别信息性质的情况下,擅自公开政务信息;在网站管理人员与信息文件管理人员之间还存在着协调的障碍;部分网站管理人员对信息文件性质把握能力欠缺,极易导致泄密事件发生,进而危及政府信息安全。其次,存在删改编造问题。有些政府信息公开后,被别有用心的人断章取义,对信息进行符合其目的的删减改编,曲解了政府信息的原意,误导公众,给政府公信力造成了不良的影响。有的则编造和传播虚假政务信息,造成了社会混乱。再次,存在非法使用问题。非法使用是指政府信息的非授权使用,即无权或者越权进入政府信息系统进行操作或者获取信息。
(二)互联网新技术给政府电子信息安全带来的挑战
随着互联网的普及,催生出了许多新的技术,如大数据、云计算、物联网等,这些新技术在给人们的生活和工作提供了更为方便和快捷的同时,也带来了新的电子信息安全隐患。2015年1月,国务院发布了《关于促进云计算创新发展培育信息产业新业态的意见》,同年9月又发布了《促进大数据发展行动纲要》。李克强总理在2016年政府工作报告中将“促进大数据、云计算、物联网广泛应用”作为“十三五”时期主要目标任务和重大举措。2016年,将大力推行“互联网+政务服务”,实现部门间数据共享。[4]在互联网新技术得到应用和推广的同时,政府电子信息安全也面临着巨大的挑战。以大数据技术为例,大数据最大的优势在于其海量信息的共享性。一方面它整合了高度分散的信息资源;另一方面它提供了一个巨大的信息共享平台,为人们共享信息提供了便利条件,但同时也极大地增加了数据信息泄露的风险,增加了政府电子信息安全的隐患。
(三)“外来侵入”给政府电子信息安全带来的挑战
目前,来自虚拟空间的威胁可分为四大类型:黑客入侵、组织犯罪、网络恐怖主义以及国家参与的网络攻击。[5]据国家互联网应急中心监测,2013年,我国境内被篡改网站数量为24034个,较2012年增长46.7%,其中政府网站被篡改数量为2430个,较2012年增长34.9%;我国境内被植入后门的网站数量为76160个,较2012年增长45.6%,其中政府网站2425个。[6]近年,针对网络信息的有组织犯罪也频繁发生,2012年,仅在广东省破获的一起案件中就涉及180个政府网络被入侵,300多万条政府信息被窃取,涉案人数达165人。另外,恐怖分子通过互联网窃取各国的政府信息,进而威胁其国家安全。而更大的威胁则来自于侵犯其他国家信息主权。如美国国家安全局的“棱镜计划”就是其中的典型代表。有组织、有预谋的“外来侵入”对政府电子信息安全构成了极大的威胁。
(四)事故灾害给政府电子信息安全带来的挑战
事故灾害对政府电子信息安全的威胁也不容忽视。近年来,我国各类事故和自然灾害时有发生,这也是造成计算机设备物理性破坏的最主要因素。欧盟网络信息安全局(简称ENISA)在报告中表示,网络攻击造成的平均停机时间为4个小时,相比之下自然灾害,尤其是风暴和大雪,造成的平均停机时间则达到36个小时。[7]诸如火灾、爆炸、地震、海啸等事故或自然灾害对计算机设备的破坏性巨大,一旦计算机设备遭到破坏,信息安全保障也就无从谈起。
三、维护我国政府电子信息安全的对策
维护政府电子信息安全既要从大局着眼,把政府电子信息安全纳入国家网络安全战略之中,做到统一规划;又要从小处着手,采取有针对性的措施,提高维护我国政府电子信息安全的能力。
(一)加强政府电子信息安全的顶层设计
互联网的蓬勃发展,使包括政府电子信息在内的各类信息流动打破了原来的空间限制,因此,保障政府电子信息安全必须从顶层设计,从国家战略的高度进行统筹规划。首先,将政府电子信息安全纳入国家网络安全的总体格局之中,统一谋划,统一实施。其次,制定政府电子信息安全国家战略,对政府电子信息安全作出有针对性的战略规划。第三,成立自上而下的政府电子信息安全工作机构,专门负责政府电子信息安全。第四,建立政府电子信息安全工作机构与国家其他网络信息安全工作机构联合工作平台,提高安全工作效率。第五,加大对危害政府电子信息安全行为的打击力度。
(二)完善政府电子信息安全法律体系
我国至今没有关于政府电子信息安全方面的专门立法,关于政府电子信息安全的法律规范均散见于各类法律、法规及规章之中,政出多门,无法适应新形势的要求。因此,应制定专门规范政府电子信息安全的法律,并且使之与国家整体法律体系相协调。2015年6月,第十二届全国人大常委会第十五次会议初次审议的《中华人民共和国网络安全法(草案)》已经就网络安全问题做出了基本的制度安排,可考虑以《网络安全法》《保密法》《档案法》等法律为依据,与《政府信息公开条例》相衔接,制定《政府电子信息安全条例》,就政府电子信息安全标准、政府电子信息管理体制、各类主体维护政府电子信息安全的权利义务以及法律责任作出明确、统一的规定;各部委和省市级政府可根据该《条例》并结合本部门、本地区实际分别制定部门规章和政府规章,与该《条例》共同组成政府电子信息安全的法律体系,保证政府电子信息安全制度既统一协调,又因地制宜。
(三)加大保障政府电子信息安全的投入力度
政府电子信息安全需要人才、技术、资金等方面的保障,而相比发达国家,我国还存在很大的差距,因此,需要从以下几方面着力解决:首先,培养高精尖人才。习近平总书记在中央网络安全和信息化领导小组第一次会议上的讲话指出:“建设网络强国,要把人才资源汇聚起来,建设一支政治强、业务精、作风好的强大队伍。‘千军易得,一将难求’,要培养造就世界水平的科学家、网络科技领军人才、卓越工程师、高水平创新团队。”政府电子信息安全同样需要一支强大的队伍和一批领军人才,这就需要加大人才的培养和选拔力度,提高政府电子信息安全工作的专业化和职业化水平。其次,统筹产业发展,综合考量发展与安全的关系,提升信息及信息安全产业的国产化水平。第三,加强技术研发,打造自主核心技术,打破发达国家的技术垄断,这不仅需要加强信息安全的技术研发,而且需要加大对政府电子信息的其他硬、软件技术的研发力度。第四,加大资金投入。我国各级政府对电子信息安全的投入相对较少,人才培养、队伍建设、技术研发、硬软件采购等都需要大量资金,为此,政府应加大对电子信息安全方面的资金投入力度,以保障政府电子信息安全工作的顺利开展。
(四)加强政府电子信息安全的日常管理
据有关部门统计,在所有的计算机安全事件中,约有52%是人为因素造成的,25%由火灾、水灾等自然灾害引起,技术错误占10%,组织内部人员作案占10%,仅有3%左右是由外部不法人员的攻击造成的。[8]可见,日常管理是维护政府电子信息安全的关键环节。对此,中华人民共和国家质量监督检验检疫总局、中国国家标准化管理委员会联合发布了《信息安全技术 政府部门信息安全管理指南》,并已于2013年6月1日开始实施。该《指南》的发布与实施,使政府电子信息的日常管理有了比较系统和全面的遵循。目前,政府电子信息的日常管理还应从以下几个方面着手:首先,加强人事管理,尤其要把好进人和用人关,对拟选拔到信息安全岗位工作的人员进行全面、严格的审查,并签订保密协议,坚持责任分离和可监控原则,[9]减少人为破坏信息安全的机会。其次,加强运行管理,对信息设备进行定期维护保养,谨慎使用可移动载体,软件系统要保证完整性和合法性并进行内外网物理隔离。再次,加强保密管理,合理划分政府电子信息密级,健全政府信息公开审批制度,加强对政府信息公开的监督,防止在政府信息公开中泄露国家秘密。
(五)优化政府电子信息安全应急预案
应急预案是世界各国应对突发事件普遍采用的方式。我国在2003年“SARS”事件之后逐步建立起了“横向到边、纵向到底”的应急预案体系,已成为以“一案三制”(即应急预案、应急体制、应急机制、应急法制)为核心的应急管理总体系的重要组成部分。[10]应急预案制度开始普遍为各级政府和政府部门所采用。2007年,我国制定了《突发事件应对法》。2013年10月25日,国务院办公厅印发了《突发事件应急预案管理办法》,使应急预案有了法律依据和程序遵循。在政府电子信息安全领域,突发公共事件的应急预案管理方式也开始为各级政府普遍采用并发挥着重要的保障作用。在新形势下,政府电子信息安全领域的应急预案仍须进一步优化。目前,应从以下方面着力推进应急预案的可操作性。首先,优化组织结构,包括政府电子信息安全应急预案的编制机构和应急指挥机构,要保证具有专业知识的人员参与到政府电子信息安全应急工作当中。其次,分类制定政府电子信息安全应急预案。政府电子信息安全突发事件有多种类型,如自然灾害、黑客攻击、泄密等,应根据不同情况分别制定应急预案。再次,加强脆弱性评估。针对政府电子信息安全系统中对外界干扰敏感的因素和环节进行重点评估,在制定政府电子信息安全应急预案的过程中给予着重的关注和安排。
【参考文献】
[1]张林.我国政府政务信息安全防范体系研究[D].上海交通大学硕士学位论文,2009.
[2]叶纯敏.中国去“IOE”之路[J].金融科技时代,2014,(08):28.
[3]史晓波.关于国家信息安全与国产化战略的专家对话[EB/OL].中国科技网,http://www.wokeji.com/it/jj/201512/t20151223_2077009.shtml.2015-12-23.
[4]李克强.2016年国务院政府工作报告[EB/OL].中央政府门户网站,http://www.gov.cn/guowuyuan/2016-03-05/content_5049372.htm.
[5]孟威. 大数据下的国家网络安全战略博弈[J].当代世界,2014,(08):66.
[6]蔡国兆,彭勇,周强.网络支付、地方政府网站成黑客攻击“重灾区”[EB/OL].光明网,http://tech.gmw.cn/2014-06/03/content_11497274.htm.
[7]欧盟网络信息安全局:自然灾害比黑客造成的停机更严重[EB/OL].ZDNet至顶网,http://security.zdnet.com.cn/security_zone/2013/0822/2173241.shtml.
[8]张心明.信息安全管理体系及其构架[J].现代情报,2004,(04):204.
[9]徐东华,马英彬,汪蒙.政府信息安全人事管理实务要点探析[J].云南行政学院学报,2010,(01):138.
[10]张海波,童星.中国应急预案体系的优化——基于公共政策的视角[J].上海行政学院学报,2012,(06):24.
(责任编辑:牟春野)