現狀及問(wèn)題
近年來(lái)��,西安市結合保密檢查���,對區縣信息系統保密防護的基本情況進(jìn)行了調研摸底�����,結果難稱(chēng)樂(lè )觀(guān)����。區縣信息系統的發(fā)展狀況��、建設規模和防護水平現狀可以概括為“三低三少”���,即信息化建設方面起步規格低�、建設規模低����、應用水平低�,安全保密防護方面資金投入少���、技術(shù)防護少�����、人員配備少��。
?
上述情況�,表明區縣信息系統保密防護還十分薄弱���,存在許多問(wèn)題�����,主要表現為“五重五輕”���。
重外網(wǎng)輕內網(wǎng)����。區縣的信息化建設本身先天不足�����,從發(fā)展之初就把信息化定位在互聯(lián)網(wǎng)上���,為的是滿(mǎn)足上網(wǎng)需求�����,政務(wù)外網(wǎng)和政務(wù)內網(wǎng)建設則相對滯后�����。目前���,區縣各級黨政機關(guān)所擁有的計算機數量較大����,很多單位已達到人手一機���,但起碼有80%以上的計算機連接在互聯(lián)網(wǎng)上��,而且絕大多數單位無(wú)政務(wù)內網(wǎng)���,致使在連接互聯(lián)網(wǎng)計算機上辦公的現象較為普遍�����。雖有一些區縣推廣使用隔離卡�����,以解決單機辦公保密問(wèn)題����,但這一措施不僅覆蓋率低�����,而且因嫌麻煩不用的問(wèn)題也很突出�。有關(guān)部門(mén)為解決區縣文件傳輸問(wèn)題��,推行了商用密碼傳輸系統(俗稱(chēng)“縣鄉通”)����,實(shí)現了區縣鄉鎮街道部門(mén)之間依托互聯(lián)網(wǎng)的加密傳輸���。但這也帶來(lái)了兩個(gè)后遺癥��,一是助長(cháng)了在互聯(lián)網(wǎng)上辦公的風(fēng)氣��,二是壓抑了政務(wù)內網(wǎng)建設需求�。
重聯(lián)網(wǎng)輕防護���。調查顯示����,區縣已經(jīng)建成的網(wǎng)絡(luò )���,包括互聯(lián)網(wǎng)�、政務(wù)外網(wǎng)和政務(wù)內網(wǎng)��,在安全保密防護上都存在嚴重不足��。在互聯(lián)網(wǎng)方面��,多數區縣只管拉線(xiàn)上網(wǎng)����,缺乏統一管理��,沒(méi)有機房和網(wǎng)管����,個(gè)別有網(wǎng)管中心的區縣����,安全防護設備的性能也比較低��。在政務(wù)外網(wǎng)方面�����,適應政府信息公開(kāi)的需要��,各區縣都建立了網(wǎng)站�,但入侵防護系統十分脆弱�����,多數只有簡(jiǎn)單的防火墻�,缺乏監控檢測報警及應急處置系統����。在政務(wù)內網(wǎng)方面�,多數區縣沒(méi)有局域網(wǎng)�����,個(gè)別建有內網(wǎng)的�,也存在設備老化����、入侵檢測和管理能力相對不足���、保密監控防護能力弱等問(wèn)題���。用于文件傳輸的“縣鄉通”��,由于只解決了加密傳輸問(wèn)題��,沒(méi)有解決加密下載����、移除和閱讀問(wèn)題���,存在很大的泄密風(fēng)險�。
重人工輕技術(shù)��。目前�����,辦公(涉密)計算機違規外聯(lián)�、上網(wǎng)計算機處理涉密信息及內部信息����、裝隔離卡不用��、U盤(pán)交叉使用����、各類(lèi)U盤(pán)混用等問(wèn)題屢禁不止���,信息系統和信息設備使用的保密行為仍形不成自覺(jué)規范�。究其原因����,主要是缺乏實(shí)時(shí)的技術(shù)監控手段����、檢查手段和檢測手段��,對違規行為的監督心有余而力不足��。整體衡量����,區縣目前網(wǎng)絡(luò )保密防護技術(shù)設備的配備應用幾近空白�����,對計算機使用行為只能靠人工管理��。在計算機應用已經(jīng)十分普及的今天���,沒(méi)有技術(shù)手段支撐���,保密管理只能孤掌難鳴����。
重制度輕落實(shí)�����。近年來(lái)����,西安市各區縣在信息系統和信息設備使用行為規范上可謂下足了功夫�����,計算機及網(wǎng)絡(luò )管理制度��、移動(dòng)存儲介質(zhì)管理制度�、辦公自動(dòng)化設備管理制度��、信息公開(kāi)保密審查制度等各項管理制度和措施不斷建立健全����,并且根據全市統一要求�,分別建立了各類(lèi)信息系統和信息設備管理臺賬�,特別突出了計算機使用中的禁止性行為規范���。然而在實(shí)際工作中�,各類(lèi)制度的執行卻被打折扣����,令不行�,禁不止�。根本癥結�����,在于制度剛性不強��,執行力不足����,特別是對違規處理失之于寬�����,損害了制度的嚴肅性�。
重要求輕教育����。在調研中我們明顯感到�����,區縣各級對計算機保密工作還是比較重視的�����,大會(huì )小會(huì )強調����,制度覆蓋到位�����,但違規問(wèn)題還是屢屢發(fā)生��。除了執行不力����、監督乏力外���,還有一個(gè)重要原因是教育不到位����,機關(guān)工作人員對計算機保密常識不懂��、不會(huì )的問(wèn)題較為突出�����。反映出與信息化普及教育相比����,信息安全特別是信息保密的普及教育還遠沒(méi)有形成氣候�����,就連計算機專(zhuān)業(yè)畢業(yè)的本科生�����、研究生對信息保密也十分生疏���。區縣由于教育資源匱乏��,計算機安全保密常識教育無(wú)論內容����、形式����、規模還是效果都十分不足�����。
?
對策及措施
上述現狀和問(wèn)題�,造成了區縣信息系統保密防護的“五個(gè)不足”����,即防護理念不足����、防護技術(shù)不足���、防護措施不足����、防護規范不足�、防護能力不足��。加強區縣信息系統保密防護也應當從解決“五個(gè)不足”入手���,努力打造制度��、投資����、技術(shù)����、教育和管理等“五個(gè)平臺”��。
制度平臺����。目前信息化建設和計算機分級保護�����、分類(lèi)管理的政策法規�����、規章制度�����、技術(shù)標準已不少��,但適應基層實(shí)際的規定不多���,區縣的信息化建設仍然缺乏可執行的政策法規制度及可參照的建設指南�����。要改變這種現狀����,第一���,從國家層面出臺基層信息化及信息安全建設指南����,搭建區縣信息化建設的政策平臺;第二��,針對基層實(shí)際��,制定黨政機關(guān)互聯(lián)網(wǎng)�、政務(wù)外網(wǎng)���、公眾服務(wù)網(wǎng)���、政務(wù)內網(wǎng)等不同網(wǎng)絡(luò )的建設指南��,使區縣網(wǎng)絡(luò )建設有據可依;第三�����,制定針對基層各類(lèi)網(wǎng)絡(luò )的安全保密防護標準����,實(shí)行標準化管理����。此外���,針對制度不落實(shí)的突出問(wèn)題���,還要建立剛性的責任追究制度���,以增強制度的強制力和執行力�����。
?
投資平臺����。區縣網(wǎng)絡(luò )的安全保密防護建設��,除了缺乏政策法規供給外��,最大的瓶頸就是資金投入不足���。目前西安市網(wǎng)絡(luò )建設好一些的區縣及所屬部門(mén)��,基本都是得到了中央試點(diǎn)基金或上級業(yè)務(wù)部門(mén)專(zhuān)項資金扶持�。應當發(fā)揮中央和地方兩個(gè)積極性��,形成多層次��、多渠道的投資保障平臺�����。一是將區縣一級網(wǎng)絡(luò )建設納入國家信息化和信息安全發(fā)展戰略��,建立國家發(fā)展基金�����,扶持基層的信息化及信息安全建設����。二是拓展和延伸上級業(yè)務(wù)部門(mén)行業(yè)專(zhuān)網(wǎng)的覆蓋面���,明確中央����、省���、市�����、縣四級的資金投入比例����。三是制定區縣信息化和信息安全發(fā)展建設規劃����,明確目標��、任務(wù)���、標準及職責��,使之成為一項硬性指標���,增強區縣信息化建設投資動(dòng)力�。
技術(shù)平臺�。區縣信息系統保密防護水平不高���,自身保密技術(shù)發(fā)展水平的制約也是一個(gè)關(guān)鍵性因素?��,F有保密技術(shù)防護設備品種少��、缺項多�,適應區縣條件的產(chǎn)品更少�����,而且價(jià)格偏高�����。搭建好技術(shù)平臺�,關(guān)鍵要解決以下問(wèn)題:一是加快保密技術(shù)防護設備的研發(fā)和認證推廣步伐�����,特別是加大適應基層網(wǎng)絡(luò )防護需求設備的研發(fā)引導���。二是加大保密技術(shù)防護設備配備指導力度����,針對實(shí)際��,盡快制定保密技術(shù)設備強制裝備目錄��,推進(jìn)保密技術(shù)防護水平和能力的提升�。三是對列入政府采購強制裝備目錄的設備����,嚴格控制價(jià)格�����,減輕基層負擔�;對未列入目錄的產(chǎn)品可適當放開(kāi)�,采取政府調控和市場(chǎng)定價(jià)相結合�,防止價(jià)格虛高���。
教育平臺�����。信息安全保密教育大體可以分為兩個(gè)層次��,一是國家基礎教育層次���,二是干部素質(zhì)教育層次��。這兩個(gè)層次都是當前亟需加強的�����。就前者而言��,可參考英美等國做法����,把信息安全教育納入國家信息安全戰略�����,在初�、中等教育中加入信息安全教育內容����,在高等教育中開(kāi)設信息安全專(zhuān)業(yè)����,提高全社會(huì )信息安全保密素質(zhì)��。就后者而言���,要以解決“應知應會(huì )”��、規范保密行為為重點(diǎn)���,加強在職培訓��。一是對保密技術(shù)干部和網(wǎng)絡(luò )保密管理人員進(jìn)行保密技術(shù)專(zhuān)業(yè)培訓�,提高監管水平��。二是對區縣重點(diǎn)保密部門(mén)人員和重要涉密人員實(shí)行保密培訓持證上崗制度�,提高計算機使用者的保密素質(zhì)�����。三是對一般涉密人員實(shí)施崗位教育��,將計算機使用保密行為規范納入干部在職培訓���,提高教育的覆蓋面和普及率�����。
管理平臺��。管理和技術(shù)是信息化條件下保密工作的兩大支撐�����。區縣計算機網(wǎng)絡(luò )保密管理��,應著(zhù)重抓好以下工作:一是加強責任制管理�。將保密工作納入區縣和部門(mén)年度目標責任及領(lǐng)導班子考評內容��,加大問(wèn)責力度���,提高保密管理效力����;二是積極推行計算機保密防護標準化管理�,實(shí)施達標考評制度��,推進(jìn)區縣信息系統保密防護建設和保密防護技術(shù)設施強制裝備步伐��;三是強化區縣保密技術(shù)檢查力量和裝備�,形成一支懂技術(shù)��、善管理的基層網(wǎng)絡(luò )保密監管隊伍��,加大保密技術(shù)檢查監督力度���,提高保密技術(shù)監控��、檢測�、檢查能力和違規行為的發(fā)現����、查處能力�����。