近年,各级政府开展了大量的信息化项目建设,取得了很好的社会和经济效益。随着信息化建设的深入,电子政务的信息安全问题也逐步显现出来。我市如何在电子政务快速发展的基础上,进一步提高信息安全的水平,成为当前亟待解决的问题。本研究课题通过对我市电子政务信息安全现状和存在问题的分析,探寻我市电子政务信息安全建设之路。
一、政府系统网络建设和应用情况
目前我市政府系统所建设的网络分专网和互联网两套网络,两者要求物理隔离。专网中最大的是由市政府办公厅牵头建设的宁波市政府系统计算机专网(以下简称市政府专网)。市政府专网以市政府办公厅为核心,覆盖宁波市各县(市)区政府、市政府各部门、各直属单位,同时连接市委办、人大办、政协办及市委各工作部门、民主党派、社会群团、国家和省驻甬单位等约120个节点。除了市政府专网,有些部门也单独建立了各自纵向的业务专网,如市公安局、市财政局、市工商局等。除专网外,市政府各部门和有关单位根据各自业务需求,基本建立了以局域网方式上互联网的接入网。
市政府专网基本覆盖了所有的政府部门,因此在专网上有较多的应用,如公文传输、信息交换、视频会议、党员信息系统、会计核算等等。而在互联网上的应用集中在各单位的网站,其主要功能是政务公开和为民办事业务的受理。目前,专网和互联网严格执行物理隔离的规定,因此涉及两网之间的应用存在数据交换难的问题,一般采用在互联网的政府网站受理,再手工或采用电子开关方式倒入专网办理,办理结果再倒回到政府网站的业务处理方式来解决。
二、电子政务安全情况分析
当前我市政府系统的政务网络平台,在线路和设备上,采用完全独立的组网方式,与互联网等完全物理隔离。通过单独的线路和设备,防止外部的入侵,保证电子政务信息安全。
在网络被动防御方面主要采取防火墙、入侵检测、防病毒等技术。防火墙是通过在网络边界上建立相应的网络通信监控系统,达到保障网络安全的目的,我市在各专网上基本都配置了防火墙。入侵检测是对计算机和网络资源上的恶意使用行为进行识别和响应的处理过程,我市在政府专网中架设了入侵检测系统。防病毒系统是分级分层的病毒防范系统,我市在政府专网上统一布设了防病毒系统,所有接入终端都安装了防病毒客户端软件。
在网络的主动防御方面采取漏洞扫描、补丁升级和自动分发等技术。漏洞扫描是自动检测远端或本地主机安全脆弱点的技术,主动发现服务器的安全漏洞并及时弥补,市政府办公厅、劳动局等单位购买了专业安全厂商的漏洞扫描服务。补丁升级与自动分发是对微软的产品进行自动安全更新的系统,我市在政府专网上建立了补丁升级与自动分发系统,对所有使用WINDOWS操作系统的服务器和微机进行安全补丁的自动分发和更新。
根据不同应用系统重要程度和信息内容的安全保障要求,目前在政府部门的各应用系统主要采用的安全措施有:一是口令认证。对文件服务器、办公自动化等要求以个人身份登录的系统,采用口令认证,并根据不同的用户身份,分别授予相应的访问权限。二是访问地址限制。目前在政府专网上开展了很多针对以单位为区分单元,但又需要访问非常方便的应用系统。如根据不同单位的访问地址,生成相应的网站页面;不同的视频点播节目、直播频道只允许相应地址来源的计算机访问。这些都采用了访问地址限制技术。三是电子加密狗。采用硬件加密方式,利用数字加密技术来实现,目前主要应用在安全要求最高的公文无纸化传输系统中。
三、电子政务安全存在的主要问题
(一)政府专网现状与省政府有关网络规划矛盾
根据浙江省政府关于省电子政务网络平台的技术规范,电子政务网络分为政务内网和政务外网,内、外网之间物理隔离,外网与互联网通过安全系统实现逻辑隔离。其中,政务内网是党政机关的办公专网,主要用于传输电子公文,以及不适合通过外网传输的信息。在政务内网上配备核心密码设备或普通密码设备,构建党政加密内网。政务外网是各级政府及所属部门的业务专网和资源共享专网,凡不需要在内网上运行的业务系统都接入外网,外网同时对互联网公众提供服务,同时外网具有资源共享和公众服务两个基本虚拟专网,而且可根据需要开通单独的纵向业务VPN专网。
我市目前只有一个全市性的政府专网,与省政府电子政务网络技术规范不相符,需要进行网络的调整建设。主要原因在于,政府专网作为内网存在范围过大,不利于安全管理和规范保密;而作为外网存在,又与互联网物理隔离,无法直接为企业、公民提供政务服务。
(二)电子信息安全等级划分和执行不清
目前在纸质文档方面有着完整的密级划分标准和相应的安全保密规定,但在电子政务信息方面,国家和各级政府缺乏专门的信息安全等级划分标准,也没有具体的负责机构,因此在电子政务信息安全的执行上就有困难,更多的是参照纸质文档的相关管理规定。
(三)安全管理的认识存在严重偏差
电子政务建设中,对安全管理的认识存在着严重偏差:一是重系统建设轻安全管理。由于受到传统的政府绩效评价和考核体制的影响,往往认为“安全”只是保障“业务应用”的一种手段,所以我市乃至全国都普遍存在重视电子政务信息系统的建设,轻视相应的系统安全建设和管理。二是重消极应对轻主动预案。在电子政务安全管理中,很多情况是等出了问题,才匆忙借助经验和应变能力去处理突发安全事件,缺乏应急预案的制定和按照应急预案规范进行处理的规范和观念。三是缺乏整体安全意识。谈及信息安全,很多管理者认为安全就是防火墙、入侵检测、身份认证等技术措施,而没有意识到安全是个包括了理念、技术、制度、人才等各方面缺一不可的整体。
总之,我市电子政务信息安全建设总体处于初级阶段,没有系统的安全体系,采取的安全技术相对简单,安全保障手段不够完善。
四、电子政务安全存在问题的原因分析
(一)电子政务整体规划滞后
电子政务的整体规划滞后是造成安全问题的重要原因之一。由于地区发展不平衡,经济条件好的地区的电子政务建设明显快于落后地区,各地政务信息化程度参差不齐,兼顾各地的实际情况,增加了规划的复杂程度和难度,因此大范围的规划滞后于信息化水平高的地区的建设步伐。另外,电子政务是伴随着政务公开、行政审批制度改革等政府执政理念的转变而发展起来的,因此电子政务的规划相对滞后于经济、政治等领域的规划和发展。
(二)对电子政务安全的重视不够
电子政务安全的重视程度是能否使信息安全得到保证的基础。首先,政府系统缺乏专门的电子政务信息安全的领导体制、研究机构和相应政策措施的落实机制,尽管在中央一级设有领导小组以及专家咨询委员会,但在地方由于“条块”职责不清,管理多头,存在相互推诿情况,反而影响了电子政务安全的重视程度和落实的力度。其次,电子政务信息安全的地位与其重要程度不相称,电子政务信息安全在政府发展任务的地位上,远不及关系到经济、社会、文化等的其他方面,因此在资金、人力等方面的投入得不到更好的保障。第三,电子政务信息安全体制建设重视不够。目前网络安全和监测只是在互联网上有公安等部门来负责,但在政务信息相对集中的政府专网等网络上却没有专门的机构来保障。
(三)技术与实际安全需求存在差距
技术是确保信息安全的重要因素,由于技术本身的局限性和推广应用程度不够,使技术与实际安全需求存在差距。技术不能完全保证安全,安全更不可能完全依赖技术。我国目前的电子政务安全保障技术本身并不发达,我市在电子政务安全技术、产品推广应用方面的重视程度不高、力度不强。
五、加强我市电子政务安全的对策建议
(一)转变观念,高度重视信息安全
一是转变重建设,轻管理的做法。用管理手段来弥补技术落后问题,逐步改变物理隔离的做法,采用整体思路,加强管理,在若干不够安全的技术环节的基础上,形成一个相对安全的整体。在加强信息安全防护能力的同时,重视隐患发现、网络应急反应、信息对抗等管理能力的提高。二是转变在资金投向上重应用建设,轻安全建设的现象。切实落实国家信息安全建设的有关规定,保证信息安全建设资金的到位,按有关要求,政府部门的信息化建设在信息安全投资比例上不应低于总投资的15%。三是转变重被动防御,轻主动防御的做法。不仅要在技术上注意采取防火墙、防病毒、入侵检测等被动防御措施,更要采取对服务器定期进行漏洞扫描,架设补丁升级系统,规范密码设置和使用等主动防御措施,以全面加强电子政务信息的安全。四是转变重主要设备的安全管理,轻次要设备的安全管理的现象。只有所有接入网络的设备都安全,整个网络的安全才能得到保证。信息安全覆盖了网络的整体,按“木桶”理论,单点的问题必然引起影响全体的后果。
(二)加强电子政务信息安全规划
一是加强电子政务网络的总体规划和统一建设,避免多头建设和重复建设,保证网络整体性,避免网络架构缺陷引起的安全问题。二是加强信息资源安全等级标准的规划和建设,明确不同信息的服务对象和公开范围。既要避免出现保密过度,限制政务信息化应用的推广和发展的情况,又要避免保密不够,造成电子政务信息泄密的情况。三是在信息安全方面,既要考虑省、市级政府的信息服务对象着重于政府部门和相关的领导等的特点,又要考虑到县、区级政府及相关部门的信息服务对象着重于群众或居民的特点。
(三)调整建设我市电子政务网络
按照国家和省政府的统一规划,为满足保障不同等级的信息安全需要,我市要建设能满足不同信息安全等级需求的电子政务内网和外网网络平台。结合我市的实际情况,在电子政务网络调整规划中,新建一个政务外网,将现有的政府专网转为政务内网是切实可行的做法。这样,一方面兼顾了承上办公网络为主、启下为民办事网络为主的市级政府政务网络建设的特点,另一方面建成完整的两套网络,可以满足各政府机关不同的业务需求,对现有的应用也能进行平滑的迁移。
(四)合理安排信息安全建设资金
在电子政务项目的建设中,往往在项目建设之初不考虑安全,结果导致出现“没有安全就没有信息”的情况,因为没有安全保障,信息不能安全地产生和应用。因此,在电子政务信息项目建设上,建议改变以往的先建应用,后补安全的做法,要在项目建设前期就安排相应比例的资金用于信息安全的建设。
(五)加强电子政务信息安全项目管理
科学合理的电子政务信息安全体系是保证电子政务取得成功的基础。根据电子政务的安全体系,结合三分建设七分管理的经验,不仅要在项目建设过程中引入监理,对业主、建设方等进行管理和协调,以加强安全项目建设的规范性、合理性,保证安全系统的质量,更要在项目建成后,通过制定安全制度、落实安全责任等手段来加强日常管理,确保信息的安全。特别是需要制定和不断完善电子政务信息安全应急预案,落实相关的应急预案制度,要在技术上能尽快恢复系统正常、安全的运行,也要在管理上及时采取相关措施,消除政务信息安全事件的影响。
(六)完善电子政务信息安全保障联系网络
电子政务信息安全不单在技术方面要有全面、完整的安全考虑和体系保障,同样在人员上也要有相应的组织体系和联系网络。就我市而言,在现有的政府专网网络管理员联系网络的基础上,结合信息安全方面的相关人员,在尽可能不增加人员编制的基础上,建立和完善与政务网络平台相适应的政务信息安全保障人员的组织体系,加强联系、交流,落实相关的安全责任,建立信息安全的联动联防机制。
(七)落实电子政务等级保护制度
信息只有发布在其合适的范围内,才既能发挥信息的功效,又能使信息得到最适当的安全保护,任何过高或过低安全保障,对信息功效的发挥都是不利的。电子政务网络平台的建设,是为了满足电子政务信息不同安全等级的需要,但网络规划建设单位是无法承担电子政务信息安全等级的划分和相关标准的制定任务的。只有按照上级政府部门的政务网络建设规划,明确规定了政务网络平台中不同网络的安全等级,以及相应的安全保障技术要求和规范,才能使各单位能很方便地将各自的应用对应到不同安全等级的政务网络平台中,从而在技术规划的角度促进电子政务等级保护制度的落实。
市政府信息中心 许跃军 尤波军 周 巍 谢海波 余 洋 苗挺挺