上个世纪90年代中期以后,国际互联网在日本各行各业得到了广泛的应用,同时信息安全的问题日益凸现出来。2000年11月29日通过的日本《高速信息通讯网络社会形成基本法》(以下简称《IT基本法》)中明确规定了:“在制订与高速信息通讯网络社会形成相关的规则时,应当采取必要的措施,确保高速信息通讯网络的安全性及可靠性,严密保护个人信息资料,使国民能够放心的利用互联网。”(第二十二条)(注)日本政府对信息安全问题给予了极大的重视。
一、 网络信息安全对策体制的重要性
事实上,在《IT基本法》出台之前,日本基于计算机网络的实践需求,成立了许多计算机网络方面的行业研究会,如计算机信息安全研究会就是其中之一。该会经常邀请相关方面的专家,针对在互联网网络中出现的问题,特别是信息安全问题进行反复研讨,不断地提出解决方案。因此,计算机信息安全研究会积累了大量经验、教训,这对日本维护互联网领域的信息安全,起到了重要的作用。
根据《IT基本法》及年度重点计划、相关配套的法规的要求,日本最初预计在2003年建成电子政府,使中央政府、地方各级政府机构所承办的主要行政事务,能够在互联网上在线进行办理。自日本《IT基本法》颁布以来,在根据该法制订的每一年重点发展计划中,对电子政府以及电子政务相关具体的内容都做出了规定。为了达到这个目标,互联网电子政务的信息安全问题就显得尤为重要。因此,日本政府的主管部门的组织指导下制订了电子政务互联网信息安全方面的规则。该规则就政府关于电子政务的信息安全做出了明确具体的规定,本文仅就日本的电子政府、电子政务范围内的互联网信息安全方面的相关规则进行分析、介绍。
二、 对策体制整体模式的特点
日本针对计算机网络信息安全对策的体制,专门制订了一套相应的规则。即以制订——引入——运用——评价——修正的模式进行运做,通过这样循环周期,循环往复,针对风云变幻计算机信息安全领域出现的新问题,进行及时有效的对应,可以说是一个值得称道的运作模式。
1、 制定:针对政府各个不同部委的行业特点,组织专家进行起草、论证、研讨,制定方针、基准、规则及实施步骤。
2、 引入:将已制定出的规则予以颁布实施,在各个具体的部委、部门中进行相关计算机机器配置、引进技术人员以及进行相关规则的培训。
3、 运用:在实施规则的过程中,可能会出现各种各样的情况,因此需要进行记录、对体系的实施监控、确认严格遵守程序、以及损害发生时紧急对应的程序和办法等。
4、 评价修正:在规则运用一段时间之后,应当对规则的整体作出一个评价,对优点如何进一步优化,缺点和不足如何改进。
针对以上出现的具体问题,邀请相关的专家进行深入的研究、论证,提出具体的解决方案。
一个运行周期的结束,同时意味着又是一个新的周期的开始。但这决不是简单的重复,而是一种螺旋式的上升,使计算机信息安全体制的内在的质的方面有了进一步的提高。
三、 日本对建立电子政府关于计算机信息安全方面的基本构想
1、政府各个部委基于对电子政府的安全问题,要求结合本单位、本部门的具体的特点,考虑制定相应的规则、办法。例如:在金融系统、国防、海关等各个部委有着区别与其他部委的自身特点,公开与不能公开的资料信息库的访问权限,以及对文件的管理等方面的安全措施的具体要求,在程度上是有很大不同的。
2、 政府各个部委对自己所管辖的范围,应当采取积极促进的态度,不断提高计算机信息安全方面的水平。
3、作为日本政府总理府的办公厅,是计算机信息安全方面的工作统一领导、协调机构。负责各部委之间、政府整体的计算机信息安全方面的工作,同时负责计算机系统遭到非法入侵的紧急事态的对应;计算机病毒的侵害;对计算机安全方面人才的培养;对各个部委提出相关的课题进行研究等几个方面的领导和协调工作。
4、 政府的各个部委应当依法加强对计算机信息安全的管理与控制,防止利用政府的计算机系统对其他的计算机系统进行恶意攻击事件的发生。
5、 为了进一步提高日本的计算机信息安全水平,政府应当不断加强与民间团体、企业的研究机关之间的信息交换,建立官民紧密协作、联动的合作体制。
6、 政府的各个部委应当定期对本单位计算机信息安全规则进行评价,如有必要,应当在规则制订一年之后进行调研,以确定是否要对现行的规则进行修正。
另外,日本政府总理府办公厅负责制订计算机信息安全的指导方针,应当结合各个部委计算机信息安全具体规则实施的情况,对来自外部网络的计算机技术性的威胁等情况,进行持续不间断的研究、评价,在此基础上制定相应的对策。
四、 计算机信息安全规则的制订
(一)组织机构
为了制订计算机信息安全的规则,应当确立相应的组织机构。如日本最高的计算机信息安全组织,即信息安全委员会的人员是由下列各级组织的负责人构成:
委员长,日本政府总理府办公厅长官
办公厅信息系统部门负责人
办公厅总务科负责人
办公厅文书科负责人
办公厅秘书科负责人
办公厅会计科负责人
办公厅宣传科负责人
而且,政府全部的各个部委的信息安全工作的负责人,作为国家信息安全委员会的组成人员,信息安全委员会具有决策权。
(二) 基本方针的设定
为了确保各个部委的计算机系统的信息安全,以各个部委所确定的对策为基本方针,其中应当包括:信息安全对策的目的、范围,各个部委结合本部门自身的特点对信息安全的基本认识以及具体的措施。还需要强调的是,这个基本方针属于纲领性、指针性的文件,要注意其稳定性。
(三) 风险的预测
1、要点:
所谓风险预测是针对要进行保护的信息资产所做的预测、评估。具体的方法可能是多种多样的,下面是其中的方法之一。具体的步骤如下:
(1) 各个部委清查的信息资产,进行分类,基于结果,确定具体的信息安全标准等级。
(2) 各个部委调查所面临的可能遇到的信息安全方面的威胁,根据被害发生的频率以及被害的程度,预测风险的大小。
(3) 制订对策标准应当高于预测风险的程度,进行切实、适当的风险管理。
需要注意的是,在信息资产变更、信息资产风险因素发生变化之际,需要重新进行风险评估,在必要时应当修订信息安全规则,同时如果在风险评估过程中发现了问题,应当及时、迅速地采取对应措施,加以解决。
2、信息资产的调查
应当明确所需要保护的目标,信息在哪里?谁在管理?处在怎样一种管理状态?针对这些问题进行调查。
3、 重要性的分类
对调查的信息资料可以从机密性、完全性、可用性这三个方面进行分析、予以分类。基于此种分类来确定信息安全的标准(4级):
Ⅰ:计算机信息安全的侵害对国民的生活、财产、隐私权造成重大影响;
Ⅱ:计算机信息安全的侵害对政府行政事务的执行产生的重大影响;
Ⅲ:计算机信息安全的侵害对政府行政事务的执行产生轻微影响;
Ⅳ:几乎没有影响。
4、 风险评估
对调查的信息资产实施风险评估。
(1) 对来自各个方面的危险进行调查:
a、 物理方面的:无许可进入、破坏、故障、停电、灾害等;
b、 技术方面的:非法入侵、窃听、计算机病毒、篡改、删除、DOS进攻、隐名攻击;
c、 人为方面的:误操作、带出、非授权行为、密码管理混乱。
(2) 针对信息资产面临威胁的风险大小进行调查:
a、 威胁发生的频率
b、 被害的程度的大小
5、 防范风险所采取的对策
依据风险评估的结果来确定风险的对策,即采取何种措施进行应对。首先,要制订满足信息安全需要的标准,降低风险;其次,还要考虑在实际发生被害的情况下,如何保存信息资料不丢失、不被篡改,如何继续使用信息资料,以及如何进行容错、复原等因素,在对策中应也当予以关注。
具体的讲,依据信息财产的重要程度来决定信息安全标准,信息安全标准越高,就会将风险降低。
符合信息安全标准降低风险的具体方法有以下几种:
(1) 限制人员进入网站的不同内容领域的访问权限;
(2) 仅允许从指定的入口进入网络;
(3) 检测篡改计算机体系的方法;
(4) 引入补丁程序;
(5) 监控、记录接入网络的实况。
通过上述的具体方法的使用,可以降低风险程度。
(四) 对策基准的制定
依据对信息资产的风险分析所得到的结果,而分别制订出对策,在此基础上而制订出对策的基准。
1、 构成(对策基准由下列内容构成)
(1) 组织体制
(2) 信息的分类和管理
① 信息的管理责任
② 信息的分类及管理方法
(3) 来自物理(计算机机器方面)的安全隐患
(4) 来自人员方面的安全隐患
① 作用、责任及免责事项
② 教育、培训
③ 对于事故、被害发生的报告机制
④ 密码的管理
⑤ 对临时人员的雇佣及劳动合同的签订
(5) 技术的安全隐患
① 对计算机及网络的管理
② 接入网络的管理
③ 对系统的开发、使用、保养等方面
④ 对计算机病毒的防范对策
⑤ 注重全球信息安全情报的收集
(6) 运用
① 监控计算机信息系统,以及对信息安全规则的遵守情况
② 运用过程中管理方面的注意事项
③ 遭到外部攻击时的应对措施
④ 委托外部专业机构运作系统时,注意委托合同的签订
(7) 遵守政府颁布的法律、法规
(8) 对现行的信息安全规则的评价、修正
2、 组织体系
关于为了确保计算机信息安全系统的组织体系,作为干部层面应当给予足够的重视,确定最高信息安全组织的负责人,明确规定具体的权限、责任。具体的讲,建立以这个最高负责人为首长的信息安全委员会,确定信息安全规则予以确认的体制,调查在实施信息安全规则时出现的不适合之点,并加以改正。并且,担负起计算机信息安全教育、启蒙的责任。
3、 信息的分类及管理
(1) 信息的管理责任
针对各种各样的信息,确定谁来负管理责任。针对信息管理者,信息利用者,有必要规定具体的规则。而且,信息管理责任者以及确定谁做成的信息,谁负责任;另外尚在制作中的信息,电子邮件等,没有具体确定由谁管理的信息,决定应当由该人进行恰当的管理。
(2) 信息的分类及管理方法
关于各个部委掌握的信息资源,基于风险评估的分类结果,确定具体的分类及管理方法。
具体的讲,除信息的分类及信息分类的标识外,作为信息管理方法的进入网络系统权限的设定,密码化,媒体的管理,信息的变更及废弃的管理,分类的有效期限等方面都应当做出具体的规定。
另外,对已经分类的信息的复制、传送之际,应依据该分类的方法、程序进行管理。
4、 物理的信息安全隐患
在设置计算机信息系统的场所,对无许可进入、损坏保护装置、出入管理、电脑的失窃等物理方面的安全隐患,应当采取相应的措施。
针对便携式电脑快速普及的状况,为了防止使用笔记本电脑等便携机器的泄漏信息,应当认真研究切实可行的对策。
5、 人为因素的信息安全隐患
提高信息安全的程度有时会与方便性发生冲突,会产生使用者难于理解的一些情况。因此,应当采取相应的教育、启蒙工作的对策。
(1) 在基本方针规定的对象范围内,确定各个对象的对信息安全的职责、作用,以及与外部的关系(包括委托外部的开发人员)。
确定免责事项,例如对由于自身的责任引起的信息安全隐患,积极、及时地报告情况的可以免责。以及一些使信息安全规则更便于执行的必要事项,出现意想不到的问题,也可以免责。
① 最高信息安全责任人
具有所有与信息安全有关的最高权限及责任。而且,在实际运作中享有重大事项的决定权等权限。
② 信息安全担当官(部门负责人等)
各部委的各级机构设置安全信息担当官,规定具有针对各级组织指示、收集意见,承担责任的职权。例如,规定各部门职员如果违反信息安全规则时,应当及时联系信息安全担当官,听取建议、指示。另外,在何种情况下,向最高信息安全责任人汇报等事项,也应当做出规定。
③ 系统管理者
系统管理者对日常运转的计算机系统来讲,是必不可少的。同时因其管理职责所赋予的管理权限,对信息安全产生重大的影响。因此,不但要明确规定系统管理者的责任、作用,还要规定避免不正当利用职权的情况发生,建立由复数系统管理者操作,及操作相互确认的监督体制。
④ 对于职员等的要求
a、 信息安全规则的遵守义务
遵守信息安全规则明确记载的操作程续,鼓励职员提出合理的建议
b、 对外部信息安全委托的管理
各个部委对外部专业机构的委托(包括开发、运行、管理等业务)应当明确规定,使其认识到遵守信息安全规则的重要,以及违反信息安全规则的损害赔偿等,主要的内容应当记入委托合同。
另外,受托的专业机构应当具有处理信息安全方面的知识技能。因此,要从这方面的能力、可靠性加以考察。
c、 对临时雇员的管理
按照对普通职员的规定予以对待。
d、 其它
与计算机信息资料有机会接触的职员,在离职、调动之际,应当采取相应的措施防止本部门信息的泄漏,例如签订保密协议。
(2) 教育、培训
信息安全规则的实施,部分是由于技术的设置自动实施的。但大多数是基于管理者、使用者的判断与行动来实现的。因此,为了保持对信息安全的重要性认识程度,有必要制订相应的培训计划。其主要内容,如防止无许可进入网络、病毒入侵、内部人员情报泄漏及外部攻击等。
具体的可以采取研讨会、说明会以及其他启发性的讲座,并且对新职员要进行上岗前的培训。
(3) 对事故、漏洞的报告机制
职员在发现系统出现信息安全方面的事故、漏洞的时候,不应当擅自解决问题,而应当迅速及时地报告信息安全担当官,并按其指示行事。为了防止该事故、漏洞产生的损害扩大,应当规定报告义务及程序。
(4) 密码管理
为防止外部无许可者入侵本系统网络,系统的全体使用者必须严格遵守密码管理的规定。另外,密码不仅是为了保护网络、同时也是为了保护信息资源而使用的。因此,不仅应当制定进入网络的密码管理对策,同时应当对各个终端机的文档进行恰如其分的密码管理。具体的:
① 对密码进行秘密保管。
② 密码不做记录。但确信能够保存在安全场所的除外。
③ 当信息系统及密码可能面临危险之际,应当更改密码。
④ 选择适当的密码长度,密码应让他人难以推测。
⑤ 定期更改密码,根据使用次数进行变更,旧的不再重复使用。管理者的密码要加大更改的频率。
⑥ 不允许他人使用密码。
⑦ 使终端接入机器没有记忆密码功能。
(5) 临时雇员必须遵守的事项及雇佣合同的签订
对临时雇员,从确保信息安全的角度,有必要让其彻底理解、遵守信息安全规则。特别是让其在进行电脑操作之际,应当明确规定对该电脑的管理职责,及该职员进入信息网络系统的权限,以防止其无许可进入网络系统。
因此,在雇佣临时雇员之际,让其彻底了解信息安全规则,并应当签订保密条款(在雇佣合同中)。
6、 技术方面的安全隐患
(1) 对计算机信息安全及网络系统的管理
制订关于信息系统运行管理的程序,对网络系统的管理规则,对录入信息的介质的保护规则,以及在与外部进行信息交流时的注意事项。例如:
① 定期保存接入网络系统的记录
② 信息系统的更新,应当预先提出计划,写清必要性,并应获得主管部门的批准。更新之际,要保持能够及时复原的状态,并应当在系统非工作时间进行更新作业。
③ 为了应对突发性的紧急状态,对重要的系统应当预设备用系统。
④ 对于非常事态使用的备用系统,应当每季度检查一次,并保持能够随时可以使用的状态。
⑤ 定期对管理人员进行计算机信息安全的培训。
⑥ 定期对信息系统进行备份。
另外,应当制订系统使用者的注意事项,例如:
① 禁止在业务之外使用计算机信息安全系统。
② 禁止将业务数据带出工作场所,经上级批准的除外。
③ 禁止擅自安装使用未经许可使用的软件。
④ 禁止擅自改变各自使用的计算机配置。
(2) 对接入网络信息系统的控制
接入网络信息系统,应根据业务的要求而获得许可,并规定使用者的访问的权限及责任。对信息系统的管理者,要规定密码的管理规则及管理者的职权范围。对重要的系统,应当制订特殊认证个人身份的方法,限制访问的级别、权限。
(3) 信息系统的开发、引进、维护等
在新的计算机信息安全系统开发、引入、更新之际,遵照信息安全规则进行风险评估,制订信息安全对策方面的必要事项,以及对外部专业机构委托开发的必要事项,应当予以明确的规定。
对于引进的新型计算机,需要从信息安全的角度加以考察。
对因故障、更新而废弃的计算机,应当防止机器中留存的信息资料外泄,例如规定采取措施对废弃旧硬盘进行破坏性处理,使之无法读取其中的信息。
为了维护信息系统的正常使用,应当建立24小时监视体制,规定引入补丁程序的程序、方法。
(4) 计算机病毒的对策
制订防止计算机病毒感染的规定。如对信息系统进行防毒、查毒、杀毒的措施、职员守则等。例如:
① 禁止使用无许可软件;
② 设置防火墙,对来自外部的可疑邮件、软件进行阻隔处理;
③ 对服务器、终端机器保持最新版本的杀毒软件并随时进行更新;
④ 对重要软件、信息系统以及信息,需要定期的进行检查。
(5) 信息安全的情报的收集
计算机软件的安全漏洞,常常在不经意时被发现。因此,应当时刻注意收集信息安全方面的情报。为此,应当规定信息收集体制,分析程序,信息收集来源出处等规则,并能够在发现重要的安全隐患时,立即妥善处理。
7、 运用
(1) 信息系统的监控及信息安全规则遵守状况的确认(下称运用管理)
为了确保信息安全规则的落实,防止无许可进入、非法入侵网络以及各种各样的攻击,对信息系统的使用者的状况,以及接入互联网时信息系统的运行状况等,必须进行经常性的严密监控。各部门进行自我确认,以及由信息安全担当部门设置全天候自动监控装置。这不仅为了确保信息安全规则的实施,同时也可以对规则存在的疏漏加以检验,便于以后及时修订。
对于网络的接入记录的分析,应当规定切实进行。对接入的时间、时长等内容保证准确性,以及防止篡改、抹消等行为的发生,采取适当地保存措施。
(2) 运用管理的注意事项
必须严格禁止利用信息安全系统的软件偷窥网络使用者的电子邮件,以及利用系统信息安全软件侵害他人的隐私的行为。同时,在实施计算机信息安全对策时,应当注意不要对职员的隐私权产生不良影响。为此,应当规定使用上述软件的条件、要求。
(3) 遭受侵害时的应对措施
为防范信息安全系统遭受侵害或可能的侵害,有必要制订出现紧急事态应对计划。
在紧急事态应对计划中应当规定:侵害发生时的联系方法,证据保全,防止被害扩大,复原等措施,做到能够及时而迅速地应对,以及防止紧急事态再度发生的措施。
特别是针对查明被害原因的对策,为了事后的处理而进行的证据保全,迅速复原的措施等,应当做出明确的规定。
同时,除了防止自身信息资产的被害扩大之外,在可能给外部造成损害的情况下,应当及时采取相应措施。特别是注意对可能遭受损害的相关部门及时地发出警告。
除上述之外,还应当制订面向管理者、使用者的在紧急事态下,简明易懂的操作规程。
※ 具体的讲,紧急事态对应计划的主要内容应当包括以下几点:
① 紧急联络事项
规定联系人、联系住址、联系方法。
例如信息安全负责人、上级负责人、部委信息安全负责人、总理府办公厅信息安全对策委员会负责人、警方等。
② 案件的调查
为了把握侵害案件的真实情况,规定必要的调查办法、项目。
例如:对状况的分类、查明原因、记录受害的范围、影响。
③ 对突发案件的应对
规定应对的措施、负责人、操作者、操作程序等。
例如:联系、断绝网络的联接,停止信息系统运行,取得接入网络的记录以及应对记录,复原、监视事态再发生。
④ 防止紧急事态再次发作的措施
对案件进行分析,决定防止紧急事态再发生的措施。
例如:向信息安全委员会报告,对该案的风险分析,制订防止再发生的计划。
(4) 与外包业务公司的合同
对于委托外部公司运行、管理信息系统所签订的合同,应当条款明确,并且建立确认制度。例如,当国家法律、法规规定的情况出现,必须与信息安全担当部门联系。以及确认接入记录、从危害程度的角度划分类别等,通过备用的紧急联络网络与外包公司联网,确立信息系统运行、管理的体制。
8、 法令的遵守
规定遵守相关的法律、法规。作为应当遵守的法律、法规,要明确地列举,其目的就是不要违反。例如:著作权法,防止不正当接入法,个人隐私保护法等法律中,都有明文规定。
9、 违反信息安全行为的应对措施
对于违反信息安全规则的相关人员及监督负责人,视其情节的严重性,按《国家公务员法》的规定予以处置。
另外,对在业务中存在违反信息安全行为情形,有必要建立依据上级的指示、直接命令其停止使用网络终端机器的体制。
以上介绍了日本在构建电子政府,进行电子政务时关于信息安全方面的一些做法,对于构建电子政府,进行电子政务的各个国家来讲,信息安全都是非常重要的一个方面,无论对哪个部委,哪级政府,同样是至关重要的。因此,中国电子政务进行普及、开展之初,就应该注重加强这个方面工作,这对中国的电子政务的开展将起到重要的作用。