论文部分内容阅读
近年来,信息化、网络化已经成为我们生活中不可或缺的一部分,深深地影响了社会生活的各个领域。在这种背景下,电子政务在我国取得了长足的发展。但信息化技术本就是把“双刃剑”,我们在享受信息技术带来的方便时,也面临着一系列信息安全问题。电子政务同样如此,维基揭秘和斯诺登事件就是明证。因此,在利用信息化潮流进一步推进电子政务建设的同时,如何维护政府信息安全,已经成为一个迫切的话题。本文拟就当前电子政务信息安全维护的策略谈谈自己的一些看法。
一、优化安全防范技术体系,抓好源头管理
作为信息化的产物,电子政务系统最主要和最基本特征就是信息技术的运用。同样,要保证电子政务的信息安全,首先必须要从优化电子政务安全防范的技术体系构建。
首先是合理区分政务内网与政务外网,以内网的信息安全为维护重点。每一个地方在开始规划电子政务建设时,都要结合本区域、本单位的实际业务工作情况,统一布局,并按照国家相关规定,正确做好政务内网与政务外网的物理和逻辑划分,界定电子政务所涉信息的涉密程度,以正确把握信息的保密与公开。在做好政务外网的信息安全工作的同时,各地要集中更多精力,确保政务内网的政务信息安全。技术和业务部门要严格参照相关标准,结合本单位的实际情况,事前进行广泛调查和论证,健全完善保密方案。任何地方的政务内网在投入使用前都必须通过国家授权的专门机构的测评,获得相关审批。
其次是要从技术上合理设计电子政务系统,确保其安全运行。在设计电子政务平台运行时,我们不仅要考虑到电子政务开放性和应用性,还要保证电子政务系统的安全运行,尤其是电子政务信息的安全管理。设计人员应该从电子政务系统的逻辑结构和物理结构两方面去设计和分析其安全需求,从硬件环境、网络层、操作系统、数据库层、应用层及操作层等多个层面进行安全设计。这些安全设计主要应该包括身份鉴别、数据保密、数据完整性、访问控制、防病毒等,以实现电子政务的网络安全、数据安全和系统软件安全。同时,在硬件上也要提高相关设备性能,如尽可能采用先进的交换设备,达到千兆以及更大以太网和快速以太网交换的目的。
二、健全和完善电子政务信息安全相关法规体系
目前,我国尤其是基层政府在法律法规建设方面,涉及到电子政务信息安全的法律法规立法和修订速度与实际需要相比,差距比较明显,导致在电子政务信息安全管理许多方面存在制度和法律空白;即使一些法律法规已经制定,但执行力不够,缺乏相应的权威,缺乏适用性、统一性和前瞻性;立法部门在这方面的立法相对随意,相关规定过于宽泛,针对性不强,尤其是没有产生专门性的网络安全法,自然就没有关于电子政务信息安全的法律了。许多地方政府倒是有关于电子政务信息安全管理的相关规定,但其法律效力较低,难以发挥其应有作用。因此,相关部门应该从法律、部门规章、行政法规和地方政府规章等完整的法律体系方面去考虑法律法规的健全与维护。
一方面,我们认为,应该从我国电子政务发展趋势和特点及基本国情出发,借鉴国外信息安全立法的实践经验,对已有的信息安全保密相关法律法规如数据保密法进行及时的整理、清理,对还有价值却不是很完善的要进行必要的修改,建立健全技术准入标准;另一方面,立法部门要加速推进信息安全法律、法规、条例的制定,从国家层面入手,加快国家信息安全法规建设;另外,再好的法律,没有没得到执行,那也没有意义。因此,执法部门和信息技术部门要严格执行相关技术标准,加强对电子政务信息安全法律法规实施和执行情况的跟踪和了解,加强监控,执法必严,违法必究。
三、加强本单位电子政务信息安全的相关制度建设,制定切实可行的规章制度
在现代管理理念中,制度管人管事有着明显的根本性和全局性特点。因此,各相关单位要结合本单位的实际情况,参照有关部门在信息安全方面的法律法规和相应的标准,制定和完善电子政务安全管理与维护的各项规章制度,并严格执行。
首先,要完善单位在电子政务信息安全管理方面的组织体系,理顺关系,明确职责,责任到人、到岗。如可以由办公厅(室)组织单位电子政务安全维护的全面协调,由单位的信息中心具体负责电子政务安全的日常性技术维护与检查,具体的处(科)室负责本处(科)室信息上传、管理、保密工作,谁主管谁负责、谁运行谁负责、谁使用谁负责。同时,上级主管部门也要加强对下属各单位的电子政务安全维护工作的管理与检查,严格考核机制。
其次,要健全和完善政务平台日常安全运行维护制度。上级主管部门和本单位都要对电子政务信息系统的变更、应用系统的运行维护、信息数据的上传、下载和数据的备份及新增系统的引进等做出明确的制度性规定。尤其是对于新引进的电子政务系统和新增加的系统功能模块要严格诸如身份鉴别、访问控制和安全审计等工作;单位还要制定与完善关于各具体使用部门、处(科)室在无线、多媒体产品、移动存储介质、安全设备的采购、使用、保管及软件安装等的相关规定,尽量减少安全漏洞。
再次,要健全和完善电子政务使用与管理人员的管理制度建设,提高其安全意识和安全维护技能。再好的制度也要由人去执行,再好的系统也要由人去操作。因此,各单位要健全工作人员的安全管理、安全技能培训,安全管理考核等各相关制度,并严格执行。尤其是针对机关及事业单位工作人员电脑技术基础薄弱、信息安全知识缺乏的问题,健全单位信息安全法规宣传制度和定期培训、轮训制度,全面提高干部职工的信息安全意识和防范能力。
最后,健全和完善单位电子政务信息安全的应急预案,强化对安全突发事件的处置能力。与一般的单位突发性事件的涉及面不同,电子政务信息基于互联网技术建立和使用,安全事故一旦发生,会有突发性、非典型性、大范围、涉及面广等特点。因此,制定和完善安全预案,对于电子政务信息安全维护与预防意义更大。各单位都应该视本单位使用和掌握信息的涉密程度,制定和完善电子政务安全的分级应急预案,完善相应的预案处理程序,定期开展安全分析和安全风险评估,以备在最短的时间内消除影响,降低安全事件的破坏程度。
总之,为了实现服务型政府建设目标,为了实现政府办公的高效率和及时的政府信息公开,电子政务已经是各级政府的不二选择。而电子政务运行着大量政府和国家大量数据和信息,具有保密、敏感的特性。在信息化和网络化时代,这些信息都存在安全风险。因此各级政府和各单位认识到电子政务信息安全维护工作的重要性,从技术设计、制度建设、日常运行、人员管理和建设等多方面构建安全防范体系,加强单位电子政务信息安全维护工作。
一、优化安全防范技术体系,抓好源头管理
作为信息化的产物,电子政务系统最主要和最基本特征就是信息技术的运用。同样,要保证电子政务的信息安全,首先必须要从优化电子政务安全防范的技术体系构建。
首先是合理区分政务内网与政务外网,以内网的信息安全为维护重点。每一个地方在开始规划电子政务建设时,都要结合本区域、本单位的实际业务工作情况,统一布局,并按照国家相关规定,正确做好政务内网与政务外网的物理和逻辑划分,界定电子政务所涉信息的涉密程度,以正确把握信息的保密与公开。在做好政务外网的信息安全工作的同时,各地要集中更多精力,确保政务内网的政务信息安全。技术和业务部门要严格参照相关标准,结合本单位的实际情况,事前进行广泛调查和论证,健全完善保密方案。任何地方的政务内网在投入使用前都必须通过国家授权的专门机构的测评,获得相关审批。
其次是要从技术上合理设计电子政务系统,确保其安全运行。在设计电子政务平台运行时,我们不仅要考虑到电子政务开放性和应用性,还要保证电子政务系统的安全运行,尤其是电子政务信息的安全管理。设计人员应该从电子政务系统的逻辑结构和物理结构两方面去设计和分析其安全需求,从硬件环境、网络层、操作系统、数据库层、应用层及操作层等多个层面进行安全设计。这些安全设计主要应该包括身份鉴别、数据保密、数据完整性、访问控制、防病毒等,以实现电子政务的网络安全、数据安全和系统软件安全。同时,在硬件上也要提高相关设备性能,如尽可能采用先进的交换设备,达到千兆以及更大以太网和快速以太网交换的目的。
二、健全和完善电子政务信息安全相关法规体系
目前,我国尤其是基层政府在法律法规建设方面,涉及到电子政务信息安全的法律法规立法和修订速度与实际需要相比,差距比较明显,导致在电子政务信息安全管理许多方面存在制度和法律空白;即使一些法律法规已经制定,但执行力不够,缺乏相应的权威,缺乏适用性、统一性和前瞻性;立法部门在这方面的立法相对随意,相关规定过于宽泛,针对性不强,尤其是没有产生专门性的网络安全法,自然就没有关于电子政务信息安全的法律了。许多地方政府倒是有关于电子政务信息安全管理的相关规定,但其法律效力较低,难以发挥其应有作用。因此,相关部门应该从法律、部门规章、行政法规和地方政府规章等完整的法律体系方面去考虑法律法规的健全与维护。
一方面,我们认为,应该从我国电子政务发展趋势和特点及基本国情出发,借鉴国外信息安全立法的实践经验,对已有的信息安全保密相关法律法规如数据保密法进行及时的整理、清理,对还有价值却不是很完善的要进行必要的修改,建立健全技术准入标准;另一方面,立法部门要加速推进信息安全法律、法规、条例的制定,从国家层面入手,加快国家信息安全法规建设;另外,再好的法律,没有没得到执行,那也没有意义。因此,执法部门和信息技术部门要严格执行相关技术标准,加强对电子政务信息安全法律法规实施和执行情况的跟踪和了解,加强监控,执法必严,违法必究。
三、加强本单位电子政务信息安全的相关制度建设,制定切实可行的规章制度
在现代管理理念中,制度管人管事有着明显的根本性和全局性特点。因此,各相关单位要结合本单位的实际情况,参照有关部门在信息安全方面的法律法规和相应的标准,制定和完善电子政务安全管理与维护的各项规章制度,并严格执行。
首先,要完善单位在电子政务信息安全管理方面的组织体系,理顺关系,明确职责,责任到人、到岗。如可以由办公厅(室)组织单位电子政务安全维护的全面协调,由单位的信息中心具体负责电子政务安全的日常性技术维护与检查,具体的处(科)室负责本处(科)室信息上传、管理、保密工作,谁主管谁负责、谁运行谁负责、谁使用谁负责。同时,上级主管部门也要加强对下属各单位的电子政务安全维护工作的管理与检查,严格考核机制。
其次,要健全和完善政务平台日常安全运行维护制度。上级主管部门和本单位都要对电子政务信息系统的变更、应用系统的运行维护、信息数据的上传、下载和数据的备份及新增系统的引进等做出明确的制度性规定。尤其是对于新引进的电子政务系统和新增加的系统功能模块要严格诸如身份鉴别、访问控制和安全审计等工作;单位还要制定与完善关于各具体使用部门、处(科)室在无线、多媒体产品、移动存储介质、安全设备的采购、使用、保管及软件安装等的相关规定,尽量减少安全漏洞。
再次,要健全和完善电子政务使用与管理人员的管理制度建设,提高其安全意识和安全维护技能。再好的制度也要由人去执行,再好的系统也要由人去操作。因此,各单位要健全工作人员的安全管理、安全技能培训,安全管理考核等各相关制度,并严格执行。尤其是针对机关及事业单位工作人员电脑技术基础薄弱、信息安全知识缺乏的问题,健全单位信息安全法规宣传制度和定期培训、轮训制度,全面提高干部职工的信息安全意识和防范能力。
最后,健全和完善单位电子政务信息安全的应急预案,强化对安全突发事件的处置能力。与一般的单位突发性事件的涉及面不同,电子政务信息基于互联网技术建立和使用,安全事故一旦发生,会有突发性、非典型性、大范围、涉及面广等特点。因此,制定和完善安全预案,对于电子政务信息安全维护与预防意义更大。各单位都应该视本单位使用和掌握信息的涉密程度,制定和完善电子政务安全的分级应急预案,完善相应的预案处理程序,定期开展安全分析和安全风险评估,以备在最短的时间内消除影响,降低安全事件的破坏程度。
总之,为了实现服务型政府建设目标,为了实现政府办公的高效率和及时的政府信息公开,电子政务已经是各级政府的不二选择。而电子政务运行着大量政府和国家大量数据和信息,具有保密、敏感的特性。在信息化和网络化时代,这些信息都存在安全风险。因此各级政府和各单位认识到电子政务信息安全维护工作的重要性,从技术设计、制度建设、日常运行、人员管理和建设等多方面构建安全防范体系,加强单位电子政务信息安全维护工作。