杜文忠 马丽平
安全是电子政务建设中不可回避的问题,但安全也是一个没有标准答案的问题。我们在建设电子政务时,不仅要处理好砌墙和拆墙的关系,更重要的是要有所为、有所不为,电子政务建设不能一哄而上,而要有选择,方能处理好安全、效益、成本的关系。
安全建设面临挑战
在国民经济和社会信息化过程中,政府信息化处在关键和核心的位置。这是由政府在推动国家信息化中的主导地位和特殊角色,以及政府管理对信息的广泛依赖所决定的。政府信息化所包括的内容随着信息技术的发展,而不断演化,也在不断扩展。
目前电子政务建设已经成为国际上新一轮公共行政管理改革和衡量国家竞争力水平的重要标志之一。我国政府把电子政务建设作为今后一个时期我国信息化工作的重点,致力于通过政府先行带动国民经济和社会发展信息化,从而为我国电子政务建设奠定了政策和理论基础。采取得力措施,促进我国电子政务的发展,既是我国各级政府机构自身改革和发展的需要,也是我国经济与社会发展的大局需要,同时还是与国际接轨、适应世界经济全球化的需要。建设电子政务是一项长期的任务,不可能一蹴而就,特别是公开与安全,即砌墙与拆墙的矛盾尤为重要,是必须认真对待的问题,是电子政务建设中不可回避的问题。
近年来,我国电子政务建设方兴未艾。随着各部门对信息系统不断增长的依赖性,信息系统的脆弱性日益暴露,由于信息系统遭受攻击使得工作运行受负面影响事件不断出现,信息系统安全管理已成为政府管理越来越关键的工作。如何规范日趋复杂的信息系统安全保障体系建设,是电子政务建设中所面临的巨大挑战。
言及电子政务的安全,怎么做?做到什么程度?先做还是后做?每个问题都能引起激烈的争论。发展电子政务不能不考虑信息的安全问题,因为电子政务事关一个地区、一个系统甚至一个国家的利益。在电子政务构建中,如果信息安全失去保障,如果得不到充分的安全保障,其后果不堪设想,电子政务发展水平也无法提高。因此高度重视信息安全无可厚非。但如果对电子政务安全缺乏正确的认识,一味地强调安全而忽视对政府信息资源的充分公开,片面地强调信息安全的重要性而忽视电子政务的实际作用,必然会与电子政务的发展要求背道而驰,必然对电子政务的应用造成许多人为的障碍,电子政务的价值也会大打折扣。在电子政务建设中,安全问题的产生固然有许多因素多个方面,但归纳起来,无外乎表现为七种形式,来自三个方面。七种形式是:网上黑客入侵和犯罪、网上病毒泛滥和蔓延、信息间谍的潜入和窃密、网络恐怖集团的攻击和破坏、内部人员的违规和违法操作、网络系统的脆弱和瘫痪、信息产品的失控等。三个方面则是:主观、客观、管理。
主观
众所周知,各级政府和相关部门已经习惯于把所掌握的政府信息视为自己的“私有财产”和权力保障,并圈为重要的“领地”,甚至于想方设法地垄断信息,以阻碍信息的正常流通。从目前我国公务员的整体素质和信息技术应用能力来看,形势不容乐观。全国各地地方政府近500万名政府公务员中,拥有本科以上学历的人员只占10%左右。公务员的整体素质不高,加上政府机构自身的相对封闭性,近几年来,政府公务员队伍出现日渐老化的趋势。另一方面,由于政府机构改革和政府职能转变的需要,政府公务员队伍又在不断缩编,一些优秀人才由于指标的限制没有机会进入到相关政府部门。而很多政府机构的公务员,或是自身的基础较差,或是由于平时工作繁忙,缺乏必要的培训等原因,在信息技术应用能力方面与电子政务的发展要求还有很大的距离。
随着电子政务的推广与强制推行,大批公务员将被动地进行阶段性的强化训练。而随着电子政务的推行,机械性工作技术含量低的劳动岗位必为机器所取代,那些不能跟上电子政务步伐的公务员也将无可避免地面临分流下岗。如何妥善安置被分流的公务员,将是我们在产业工人失业人口之后要脆弱面对的又一强大弱势群体。可想而知,来自他们的阻力将是基层电子政务推行的主要阻力。更有甚者,有一部分政府公务员担心发展电子政务会对自身的既得利益构成威胁,影响既得利益,对电子政务不免产生抵触、消极的情绪,认为过多地向社会提供有关政府的信息会使政府工作陷入被动,因此会以强调信息安全为由“截获”了本该向社会公开的有关信息,片面地夸大安全的重要性和范围,其实质是维护自己的利益。 客观
当前绝大多数政务工程中,均是按照分别建设内网、外网和公共网设计的,但政务内网、政务外网、公共服务网的网络环境,都是采用TCP/IP协议而建立的,该协议以开放和自由为基础,从协议规划、服务模式、网络管理等方面均缺乏安全性设计,所以电子政务信息系统就存在着先天的安全隐患。另外,操作系统存在来自Internet的黑客攻击和内部用户随意利用办公终端与Internet联接,再加上恶意病毒的无规律性的连续侵袭,都成为目前电子政务安全的主要隐患。况且我国还缺乏拥有自主知识产权的基础信息设备制造业,大多数电子政务系统中所使用的设备也是引进的,这些设备本身就可能存在安全隐患。而且,我们也没有基础操作系统,所使用的基础操作系统本身也潜在着安全问题。因为所有的政务应用和安全措施(包括防火墙、防病毒、入侵检测等)都依赖操作系统提供底层支持。操作系统的漏洞或配置不当将有可能导致整个安全体系的崩溃。更危险的是,我们无法保证国外厂家的操作系统产品不存在后门。
管理
建设电子政务,就必须建网站,建网站就必须要有网址(域名),但我国注册到“.CN”域名数只有40余万,而国内用户注册境外“.COM”等域名数已超过70万,致使不仅每年要向境外交纳数千万美元注册费,国家信息安全更让人担忧。“.COM”等境外域名的解析过程在国外数据库中进行,对方通过对国内信息流量的监测和统计,可获得大量有效信息,从而给国家信息安全造成严重隐患。将来一旦发生特殊情况,国外域名注册机构对我国采取封锁措施,相关网站将因无法解析域名而瘫痪。规范性目前也有待加强,例如域名不规范,有的政府部门用非政府域名,政府域名有的用英文全称、英文缩写,也有的用拼音全称、拼音缩写,有的加上了所属行政区划的缩写;同一类机关从域名上看不出任何关联,即使是上下级单位域名也缺乏衔接和统一。 强化培训。网络信息安全关键在人。没有一大批政治素质高、业务能力强,具有信息网络知识、法律知识和管理能力的复合型人才,网络信息安全管理工作是很难做好的。对信息网络的广大操作使用人员,也要多途径培训提高,不断增长他们的计算机网络相关知识特别是安全应用知识,共同维护网络和信息的安全。
人人有责。安全是一项艰巨的工作。只让安全官员、技术人员和IT执行人员来承受这副重担是完全错误的。确保安全是全体成员的共同职责。安全体系要建立在开放、资源共享和重点突出的文化基础上。绝不能只是在出现意外事件时才想起安全体系。要想使安全工作行之有效,各级政府就应该向全体公务员传授控制标准,同时把标准处理方法纳入计划和计量程序中。政府部门应该通过审计报告和度量结果提供反馈信息,以确定安全工作是否运转正常。
借船出海。电子政务涉及软硬件、操作系统以及数据库、应用系统等各个方面,什么都要自己开发自己构建,实现起来难度很大,甚至根本不可能做到。在电子政务起步阶段,可以用部分国外安全产品,但这些产品一定要经过相关部门的严格检测,而且选择国外安全产品并不是政务信息化过程中长远立足的一种机制,还是要加大具有自主知识产权的安全产品的研发和应用。吸取好的经验和教训,立足于创新,发展有自主知识产权的基础产品。
应急预案。如果电子政务信息系统缺乏有效的安全管理体系和数据备份,一旦信息网络出现意外事故,一方面将对长期积累的网络信息造成灾难性损失,另一方面也没有相应的应急处理能力。所以应尽快建立网络安全管理中心和数据备份中心,健全灾难恢复与紧急响应机制,加强管理,确保信息网络的数据安全和运行安全。
队伍建设。电子政务系统的应用开发、系统运行、日常维护、重要设备维修等都涉及信息安全和保密,所以必须尽快组建一支政治可靠、技术精湛、作风优良的内部技术人员队伍,为确保网络信息安全提供人才保证。按国际上所有政府机构的通常做法,这支队伍应由政府公务员组成。 电子政务建设是一个漫长而艰巨的过程,不能割断历史,也不能脱离实际,更要面向未来。虽然信息安全对于电子政务的成败具有举足轻重的作用,但由于电子政务是一个系统工程,信息安全问题贯穿了电子政务系统的整个系统生命周期。需要着重强调指出的是:信息安全,三分技术、七分管理。因此技术安全手段应当服从于和服务于管理安全手段,只有实现技术手段和规章制度的有效执行相配合,才能切实产生信息安全效益。