區(qū)縣信息系統(tǒng)保密防護薄弱問題應該引起關注
北京鼎普

作者:

時間:
2011-05-02

現(xiàn)狀及問題

近年來,西安市結合保密檢查,對區(qū)縣信息系統(tǒng)保密防護的基本情況進行了調(diào)研摸底,結果難稱樂觀。區(qū)縣信息系統(tǒng)的發(fā)展狀況、建設規(guī)模和防護水平現(xiàn)狀可以概括為“三低三少”,即信息化建設方面起步規(guī)格低、建設規(guī)模低、應用水平低,安全保密防護方面資金投入少、技術防護少、人員配備少。

?

上述情況,表明區(qū)縣信息系統(tǒng)保密防護還十分薄弱,存在許多問題,主要表現(xiàn)為“五重五輕”。

重外網(wǎng)輕內(nèi)網(wǎng)。區(qū)縣的信息化建設本身先天不足,從發(fā)展之初就把信息化定位在互聯(lián)網(wǎng)上,為的是滿足上網(wǎng)需求,政務外網(wǎng)和政務內(nèi)網(wǎng)建設則相對滯后。目前,區(qū)縣各級黨政機關所擁有的計算機數(shù)量較大,很多單位已達到人手一機,但起碼有80%以上的計算機連接在互聯(lián)網(wǎng)上,而且絕大多數(shù)單位無政務內(nèi)網(wǎng),致使在連接互聯(lián)網(wǎng)計算機上辦公的現(xiàn)象較為普遍。雖有一些區(qū)縣推廣使用隔離卡,以解決單機辦公保密問題,但這一措施不僅覆蓋率低,而且因嫌麻煩不用的問題也很突出。有關部門為解決區(qū)縣文件傳輸問題,推行了商用密碼傳輸系統(tǒng)(俗稱“縣鄉(xiāng)通”),實現(xiàn)了區(qū)縣鄉(xiāng)鎮(zhèn)街道部門之間依托互聯(lián)網(wǎng)的加密傳輸。但這也帶來了兩個后遺癥,一是助長了在互聯(lián)網(wǎng)上辦公的風氣,二是壓抑了政務內(nèi)網(wǎng)建設需求。

重聯(lián)網(wǎng)輕防護。調(diào)查顯示,區(qū)縣已經(jīng)建成的網(wǎng)絡,包括互聯(lián)網(wǎng)、政務外網(wǎng)和政務內(nèi)網(wǎng),在安全保密防護上都存在嚴重不足。在互聯(lián)網(wǎng)方面,多數(shù)區(qū)縣只管拉線上網(wǎng),缺乏統(tǒng)一管理,沒有機房和網(wǎng)管,個別有網(wǎng)管中心的區(qū)縣,安全防護設備的性能也比較低。在政務外網(wǎng)方面,適應政府信息公開的需要,各區(qū)縣都建立了網(wǎng)站,但入侵防護系統(tǒng)十分脆弱,多數(shù)只有簡單的防火墻,缺乏監(jiān)控檢測報警及應急處置系統(tǒng)。在政務內(nèi)網(wǎng)方面,多數(shù)區(qū)縣沒有局域網(wǎng),個別建有內(nèi)網(wǎng)的,也存在設備老化、入侵檢測和管理能力相對不足、保密監(jiān)控防護能力弱等問題。用于文件傳輸?shù)摹翱h鄉(xiāng)通”,由于只解決了加密傳輸問題,沒有解決加密下載、移除和閱讀問題,存在很大的泄密風險。

重人工輕技術。目前,辦公(涉密)計算機違規(guī)外聯(lián)、上網(wǎng)計算機處理涉密信息及內(nèi)部信息、裝隔離卡不用、U盤交叉使用、各類U盤混用等問題屢禁不止,信息系統(tǒng)和信息設備使用的保密行為仍形不成自覺規(guī)范。究其原因,主要是缺乏實時的技術監(jiān)控手段、檢查手段和檢測手段,對違規(guī)行為的監(jiān)督心有余而力不足。整體衡量,區(qū)縣目前網(wǎng)絡保密防護技術設備的配備應用幾近空白,對計算機使用行為只能靠人工管理。在計算機應用已經(jīng)十分普及的今天,沒有技術手段支撐,保密管理只能孤掌難鳴。

重制度輕落實。近年來,西安市各區(qū)縣在信息系統(tǒng)和信息設備使用行為規(guī)范上可謂下足了功夫,計算機及網(wǎng)絡管理制度、移動存儲介質(zhì)管理制度、辦公自動化設備管理制度、信息公開保密審查制度等各項管理制度和措施不斷建立健全,并且根據(jù)全市統(tǒng)一要求,分別建立了各類信息系統(tǒng)和信息設備管理臺賬,特別突出了計算機使用中的禁止性行為規(guī)范。然而在實際工作中,各類制度的執(zhí)行卻被打折扣,令不行,禁不止。根本癥結,在于制度剛性不強,執(zhí)行力不足,特別是對違規(guī)處理失之于寬,損害了制度的嚴肅性。

重要求輕教育。在調(diào)研中我們明顯感到,區(qū)縣各級對計算機保密工作還是比較重視的,大會小會強調(diào),制度覆蓋到位,但違規(guī)問題還是屢屢發(fā)生。除了執(zhí)行不力、監(jiān)督乏力外,還有一個重要原因是教育不到位,機關工作人員對計算機保密常識不懂、不會的問題較為突出。反映出與信息化普及教育相比,信息安全特別是信息保密的普及教育還遠沒有形成氣候,就連計算機專業(yè)畢業(yè)的本科生、研究生對信息保密也十分生疏。區(qū)縣由于教育資源匱乏,計算機安全保密常識教育無論內(nèi)容、形式、規(guī)模還是效果都十分不足。

?

對策及措施

上述現(xiàn)狀和問題,造成了區(qū)縣信息系統(tǒng)保密防護的“五個不足”,即防護理念不足、防護技術不足、防護措施不足、防護規(guī)范不足、防護能力不足。加強區(qū)縣信息系統(tǒng)保密防護也應當從解決“五個不足”入手,努力打造制度、投資、技術、教育和管理等“五個平臺”。

制度平臺。目前信息化建設和計算機分級保護、分類管理的政策法規(guī)、規(guī)章制度、技術標準已不少,但適應基層實際的規(guī)定不多,區(qū)縣的信息化建設仍然缺乏可執(zhí)行的政策法規(guī)制度及可參照的建設指南。要改變這種現(xiàn)狀,第一,從國家層面出臺基層信息化及信息安全建設指南,搭建區(qū)縣信息化建設的政策平臺;第二,針對基層實際,制定黨政機關互聯(lián)網(wǎng)、政務外網(wǎng)、公眾服務網(wǎng)、政務內(nèi)網(wǎng)等不同網(wǎng)絡的建設指南,使區(qū)縣網(wǎng)絡建設有據(jù)可依;第三,制定針對基層各類網(wǎng)絡的安全保密防護標準,實行標準化管理。此外,針對制度不落實的突出問題,還要建立剛性的責任追究制度,以增強制度的強制力和執(zhí)行力。
?
投資平臺。區(qū)縣網(wǎng)絡的安全保密防護建設,除了缺乏政策法規(guī)供給外,最大的瓶頸就是資金投入不足。目前西安市網(wǎng)絡建設好一些的區(qū)縣及所屬部門,基本都是得到了中央試點基金或上級業(yè)務部門專項資金扶持。應當發(fā)揮中央和地方兩個積極性,形成多層次、多渠道的投資保障平臺。一是將區(qū)縣一級網(wǎng)絡建設納入國家信息化和信息安全發(fā)展戰(zhàn)略,建立國家發(fā)展基金,扶持基層的信息化及信息安全建設。二是拓展和延伸上級業(yè)務部門行業(yè)專網(wǎng)的覆蓋面,明確中央、省、市、縣四級的資金投入比例。三是制定區(qū)縣信息化和信息安全發(fā)展建設規(guī)劃,明確目標、任務、標準及職責,使之成為一項硬性指標,增強區(qū)縣信息化建設投資動力。

技術平臺。區(qū)縣信息系統(tǒng)保密防護水平不高,自身保密技術發(fā)展水平的制約也是一個關鍵性因素。現(xiàn)有保密技術防護設備品種少、缺項多,適應區(qū)縣條件的產(chǎn)品更少,而且價格偏高。搭建好技術平臺,關鍵要解決以下問題:一是加快保密技術防護設備的研發(fā)和認證推廣步伐,特別是加大適應基層網(wǎng)絡防護需求設備的研發(fā)引導。二是加大保密技術防護設備配備指導力度,針對實際,盡快制定保密技術設備強制裝備目錄,推進保密技術防護水平和能力的提升。三是對列入政府采購強制裝備目錄的設備,嚴格控制價格,減輕基層負擔;對未列入目錄的產(chǎn)品可適當放開,采取政府調(diào)控和市場定價相結合,防止價格虛高。

教育平臺。信息安全保密教育大體可以分為兩個層次,一是國家基礎教育層次,二是干部素質(zhì)教育層次。這兩個層次都是當前亟需加強的。就前者而言,可參考英美等國做法,把信息安全教育納入國家信息安全戰(zhàn)略,在初、中等教育中加入信息安全教育內(nèi)容,在高等教育中開設信息安全專業(yè),提高全社會信息安全保密素質(zhì)。就后者而言,要以解決“應知應會”、規(guī)范保密行為為重點,加強在職培訓。一是對保密技術干部和網(wǎng)絡保密管理人員進行保密技術專業(yè)培訓,提高監(jiān)管水平。二是對區(qū)縣重點保密部門人員和重要涉密人員實行保密培訓持證上崗制度,提高計算機使用者的保密素質(zhì)。三是對一般涉密人員實施崗位教育,將計算機使用保密行為規(guī)范納入干部在職培訓,提高教育的覆蓋面和普及率。

管理平臺。管理和技術是信息化條件下保密工作的兩大支撐。區(qū)縣計算機網(wǎng)絡保密管理,應著重抓好以下工作:一是加強責任制管理。將保密工作納入?yún)^(qū)縣和部門年度目標責任及領導班子考評內(nèi)容,加大問責力度,提高保密管理效力;二是積極推行計算機保密防護標準化管理,實施達標考評制度,推進區(qū)縣信息系統(tǒng)保密防護建設和保密防護技術設施強制裝備步伐;三是強化區(qū)縣保密技術檢查力量和裝備,形成一支懂技術、善管理的基層網(wǎng)絡保密監(jiān)管隊伍,加大保密技術檢查監(jiān)督力度,提高保密技術監(jiān)控、檢測、檢查能力和違規(guī)行為的發(fā)現(xiàn)、查處能力。