中国信息官CIO精英 前沿视野 经验之谈 职业发展 信息官杂谈 | 产品资讯笔记本 商用电脑 服务器 办公 网络设备 存储设备 软件 显示设备 其他

您当前的位置: 首页 > 电子政务 > 总体框架 〉电子政务建设保障信息安全的对策建议

电子政务建设保障信息安全的对策建议

2012-10-15 16:07:37

通过从组织建设、制度建设和人员培训等方面来建立健全信息安全管理体制,有利于加强电子政务的安全管理,可以有效地指导和监督各政府部门的网络信息活动,防止各种污染信息、垃圾信息在网上传播,保证合法用户对政府信息资源的正常使用,促进各参与主体之间的信息资源共享。
 

电子政务所面临的信息安全挑战是全方位的,因此,应采取保障信息安全的整体策略。

1确立保障信息安全的整体策略,准确把握电子政务的建设全局

电子政务所面临的信息安全挑战是全方位的,因此,应采取保障信息安全的整体策略,其主要内容是:国家主导、社会参与、全局治理、积极防御、等级保护、保障发展。首先,电子政务是由政府部门、企业和广大社会用户构成的一项国家公共服务型事业,涉及的领域非常广泛,信息安全成为国家安全的重要部分,因此,必须由国家主导。各级电子政务的基础设施建设,应在国家的统一规划下进行,任何信息安全产品的开发与安全保障体系的建设,必须遵循国家制定的相关技 术标准和法律法规,通过国家权威机构的检测认证。同时,国家安全建立在全社会的安全意识基础上,安全技术的进步,离不开社会各方面科研机构和技术人才的参与,信息安全产业需要全社会广泛的投资推动和应用推广。其次,电子政务作为一项复杂的系统工程,保障其信息安全要从系统完整性、多层次性的角度来考虑,综合采用多种支撑,全局治理,保持“木桶”的边缘一样整齐,忽视任何一个方面的建设,都将形成信息安全缺口,导致其他方面的努力付诸东流。切忌采用“头疼医头,脚疼医脚”的方法,简单堆砌一些互相孤立的、被动防护的设备,很容易顾此失彼,无法应对日益发展的动态的安全威胁。如果综合采用动态的安全监控手段,把静止孤立的安全产品连成一个集预警、监控、保护、响应和恢复于一体的整体防御体系,就能够达到积极防御的效果。再次,电子政务存在信息安全隐患是绝对的,安全永远是相对的,盲目追求“最高”的安全性往往事与愿违。正确的方法是根据信息的价值等级、机密等级以及所面临的威胁等级,选择适度的安全机制强度等级和安全技术强度等级,寻求安全成本和风险之间的平衡点,优化信息资源的配置,对不同的政府信息资源进行共享。同时,还应正确处理信息安全与信息共享的关系,借口保障安全而拒绝提供信息共享或借口信息共享而不加区别对待的两种做法都是不对的。

2加强安全技术的研发,提高电子政务的系统防护能力

从世界范围来看,信息核心技术的研发主要是被发达国家所垄断,尤其是美国居绝对领先地位,英特尔的芯片、微软的操作系统、思科的路由器,无论从市场份额还是从技术发展上看都在全球起主导作用。目前组成我国电子政务系统所用的硬件、软件、操作系统、网管软件、各类应用系统、数据库、防火墙、网络接入设备、路由器、服务器、调制解调器等基本上都是国外产品,绝大部分TCP/IP协议、微机芯片都是INTEL系列,软件基本上是WINDOWS和NT,完全自主知识产权的产品基本没有。据中国软件行业协会统计,尽管近年来我国软件产业在国内计算机市场的影响力不断加大,在全球范围进行比较,我国软件产业所占的比重也逐年递增,2001-2005年我国软件产业总额占世界软件产业总额的比重由1.50%递增到5.50%,但与美国、欧洲、日本等相比还是偏低,如2001-2005年美国软件产业总额占世界软件产业总额的比重一直在40%左右。由上表可看出,中国要改变受制于人的局面,就必须加快发展自己的民族信息产业,拥有自己的核心技术。由于信息产业具有极其重要的经济、国防、安全战略地位,积极研究核心技术,尤其是计算机、通信和微电子技术领域的自主知识产权的技术,显得尤为迫切。就目前来说,我国作为技术相对落后的国家,应围绕电子政务在物理层、网络层、系统层等层次,加强自主信息技术的研发,尽快推动开发和生产我国自己的电脑核心硬件和电脑软件操作平台,特别是网络层与系统层,要尽快研制一些关键技术,如唯一性身份识别技术、信息的完整性检验检测技术、安全审计跟踪评测技术、电子信息泄露防护技术等,同时要大力发展基于自主技术的信息安全产业,为自主安全技术的研发创造良好的环境,以此构建起比较全面的电子政务防护体系。

3建立健全信息安全管理体制,加强电子政务的安全管理

首先,应加强电子政务的组织机构建设,明确责任划分。在国家层面上,应该建立掌握安全政策的核心管理机构,如信息安全专业委员会,负责统筹领导国家信息化安全事务,还应有配套的职能部门如安全审计部门、安全评测认证部门、安全标准部门、安全执法部门等。在各级地方政府层面上,建立类似于CSO(首席安全长官)制度的安全组织,明确安全领导责任人及安全组织的分工,以避免“政出多门”和“政策撞车”现象的发生。在具体的参与共享的各个主体层面上,要求各政府部门内部设立一个专门的安全责任管理机构,负责制定各自内部信息资源的使用制度,保证用户对政府信息资源的正常使用,防止内部用户利用网络进行各种非法活动及外部用户对本网站的非法访问。其次,应加强电子政务的信息安全制度建设,严格规定业务行为。基本内容包括:制定安全管理的方案,建立健全网络操作的各项制度;定期检查安全规章制度的执行情况,负责系统工作人员的安全教育和管理;收集安全记录,及时发现薄弱环节并提出改进措施;向安全监督机关和上一级主管部门报告本系统的安全情况;加强密码、口令和授权的管理,及时更换有关密码、口令;重 视软件和数据库的管理和维护工作,加强对磁盘文件和软盘的发放和保管,禁止在网上使用非法软件、软盘等。此外,还需要领导的高度重视和企业、个人的群防群治,尤其是对主管计算机应用工作的领导和计算机系统管理员、操作员要通过多种渠道进行计算机及网络安全法律法规和安全技术知识的培训与教育,使主管领导增强计算机安全意识,使计算机应用人员掌握计算机安全知识,知法、懂法、守法,加强对内部操作人员的安全教育和监督,严格网络工作人员的操作职责。

总之,通过从组织建设、制度建设和人员培训等方面来建立健全信息安全管理体制,有利于加强电子政务的安全管理,可以有效地指导和监督各政府部门的网络信息活动,防止各种污染信息、垃圾信息在网上传播,保证合法用户对政府信息资源的正常使用,促进各参与主体之间的信息资源共享。

4加强信息安全立法,提供电子政务的法律保障

利用法律的力量来调整电子政务中的各种社会关系,规范和约束网络主体的信息行为,是电子政务应对信息安全挑战的重要措施。首先,要确立科学的信息安全法律保护理念。将信息安全法制保障的重点从单纯的“规范”、“控制”转移到提前为信息化建设与发展“扫清障碍”上来,应将保障网络的健康发展与促进政府信息资源有效共享作为立法的总体目标和出发点。其次,要构建完备的信息安全法律体系。现行法律中与信息安全相关,而且仍然适用于调整相应法律关系的规则,可在网络环境下加以适用;那些已经不适用的行为规范,可借助信息安全立法的时机加以废除、修改、补充和完善。“信息安全立法”的制定,最好与完整的信息法的制定融为一体,以保证法律的一致性与严肃性,避免支离破碎、捉襟见肘的缺点。从长远的角度考虑,不提倡制定过多的行政法规,更不提倡采用部门规章甚至地方政府规章来解决网络信息安全问题。此外,还要重点加强相关问题的立法力度。对于信息安全法,要明确各信息主体在政府信息资源建设中的责任和义务,界定政府信息资源可公开的范围、应保密的级别等;对于网络信息版权法,要严格规定网络信息权利人所享受的权利和应尽的义务,明确界定网络侵权的各种形式及侵权所承担的责任等;对于计算机犯罪法,应对计算机犯罪的种种罪行罪名予以界定,以加强对“网贼”的法律制裁。

5加强有关方面的合作,构建电子政务的良好环境

政府信息资源的共享是一个牵涉到各级政府部门与广大用户等多方面的复杂过程,仅靠一两个部门的努力是不可能解决问题的,必须加强有关方面的合作,为共享系统创造一个良好的运行环境。从当前来说,重点要为政府信息资源的共享系统营造一个良好的文化环境氛围,使人们通过网络技术“合理”、“善意”地使用信息资源而不是破坏资源。在此,首先要加强网络伦理建设,培育人们在进行网络活动时所持有的正确的网络意识和价值取向,增强责任感、义务感,促成正确的网络行为规范。2005年9月,中央文明办、中宣部宣教局等部门组织开展了“构建网络道德,树立网络新风”网上专题座谈会,一致认为,传播谣言、散布虚假信息,制作、传播网络病毒,传播垃圾邮件,聊天室谩骂,网络欺诈,网络色情聊天,传播他人隐私,盗用他人网络账号,强制广告、下载,炒作低俗内容等,是反映最强烈的“网络十大不文明行为” 。其次,要加强网络制度建设,建立和健全对网络行为的监督、管理机制,使整个网络活动有章可循。从安全管理方面看,中国国家层面上的信息系统安全环境基本形成,如公安部、国家安全部、国家保密局、国家密码管理委员会、信息产业部在安全技术、安全审查、安全评测、安全执法等方面都担负了一定的职能,各级政府纷纷建立了自己内部的安全管理组织机构和制度,各种各样的安全知识培训和技术人才培养工作也得到开展。总之,加强电子政务系统的环境建设,就是要充分调动各方面的积极性,互相监督,互相制约,使每个行为者都必须对自己的网络行为负责,为建设共享系统的良好环境而共同努力。

下一篇文章:带着镣铐的舞蹈 政府IT规划
上一篇文章:返回列表
投稿邮箱:cio114@foxmail.com