“互联网+政务”信息安全管理研究

时间:2022-06-05 03:50:06

“互联网+政务”信息安全管理研究

作为“互联网+政务”行动中的一个重要组成部分,“互联网+政务”成为政府政务管理和服务改革的关键一环,将使我国政府的公共服务体系迎来新的转折点。然而,互联网在为政府政务带来机遇的同时,也为黑客和不法分子带来了便利,信息安全的重要性不言而喻,唯有信息能够准确无误的传达,才能将政府的方针政策落实下去,才能将各部门、企业、民众的意见传递上来。我国的信息安全经历了通信保密、计算机数据保护两个发展阶段,现在正处于网络信息安全的研究阶段,政府不得不面对日益严峻的信息安全问题,这些问题不单单存在于技术方面,更存在于管理方面。目前,大多数信息安全事件的发生和安全隐患的存在,与其说是技术上的原因,不如说是管理不善造成的。想要实现信息安全的目的,理解重视管理问题至关重要。

1深圳市“互联网+政务”信息安全管理取得的初步成效

1.1信息安全支撑保障体系基本成形

第一,较完善的信息安全管理制度。深圳市电子政务起步早,也较早地认识到了信息安全的重要性,因此,深圳市政府在法制工作上也是先试先行,先后出台了《深圳市人民政府信息系统安全检査办法》、《深圳市电子政务信息安全管理试行办法》等一系列规范深圳市电子政务信息安全规划、建设、运维和管理的指导性政策文件。第三,电子政务信息安全管理体系框架已初步形成。为保障电子政务的安全有序,深圳市统一规划,建立了全市统一的网络平台、数据中心、灾备中心、政务信息资源共享交换平台、网站生成平台、党政机关信息安全支撑平台、政务邮件系统和短信平台等,政府网站等一批重要应用均建立了较完整的安全保障体系。

1.2集约化电子政务支撑体系初步建成

深圳市全面建成了覆盖市、区两级党政机关和主要事业单位的统一党政机关网络,政务内网覆盖到街道办,政务外网覆盖到社区,已初步实现全市网络互联互通。全市统一总面积达3800平方米的政务数据中心及18个机房成为全市电子政务数据汇聚地并建成了灾备中心,负责为全市提供统一的介质保管、备用场地、存储空间、数据备份、数据容灾复制(外网)、应用级容灾、应急备机、灾难恢复办公坐席等服务,有效提高了电子政务系统抵御灾难打击的能力;公共应用平台方面已建成网站生成平台、政务邮件系统、政务短信平台、干部在线学习平台等。

1.3电子政务信息安全管理机构基本组建

深圳市于2011年成立了由市委办公厅、市政府办公厅、原市科工贸信委、市公安局、市国家安全局、市国家保密局、市密码管理局屯部口构成的觉政机关信息安全联合检査制度,依巧深圳市信息安全测评中也,每年在全市范围内开展联合安全检査、联合应急演练等活动,进一步促进了各部口之间的交流和配合,推动了深圳市信息安全治理体系的建设,当然也对信息化主管部口的统筹协调能力提出了较高的要求。

2深圳市“互联网+政务”信息安全管理存在的主要问题

2.1电子政务系统基础设施对发达国家依赖性大

硬件方面,信息化建设的硬件设备主要依赖进口。大到核心服务器、路由器,小到CPU,我国都几乎完全依赖国外,特别是作为国家信息化建设的核心设备——髙端容错服务器,国产化率不到10%,几乎清一色的采用旧M、惠普等国外公司的产品,其对国家信息安全乃至国家经济命脉的安全风险不言而喻。软件方面,依赖进口的情况更加严重。目前,不论是操作终端还是移动设备,几乎清一色使用国外操作系统,据IDC统计,我国目前桌面端操作系统市场餘额仍然由微软Windows占据绝对垄断份额,国产操作系统厂商如红旗、礫麟、深之度等定制化Linux厂商份额合计不到5%。办公软件方面,我国虽然此前也在政府部口推广金山WPS、永中Office、红旗RedOffice等国产办公软件,但据艾瑞咨询统计微软Office系列产品仍然占据超过80%的市场份额。

2.2电子政务系统管理、使用人员信息安全意识薄弱

一是部分部口领导对于信息安全监管缺乏意识,对安全设施、管理制度的重要性认识不到位,缺乏相应的信息安全应急处置对策和体系,全市的信息安全工作水平参差不齐,未得到足够重视。虽然第十二届全国人大常委会已经审议通过了《关于维护互联网安全的决定》,详细规定了网络安全的相关条文,但部分单位的领导和工作人员在日常工作中对于信息缺乏信息安全监管意识,未按照规定严格执行,也缺少详细的操作规程和管理规章,常常敷衍了事。二是使用人员的信息安全意识薄弱,信息安全培训工作多流于形式,有半数单位全员安全意识培训工作存在问题。操作系统、应用软件及网络中存在各种各样的安全漏洞,虽然国家工信部会定时漏洞和漏洞修补安装包,但由于使用人员缺乏安全意识,对于修补漏洞的通知视而不见,以为耽误几天不会受到影响,普遍存在的侥幸意识使得黑客和不法分子有机可乘,极易给整个政务系统带来重大损失。

2.3电子政务信息安全管理措施不完善

是安全事件和病毒感染事件频发。敌对分子针对我国部分单位、人员和系统防范机制不足、安全意识薄弱、防护措施不为的漏洞,进行窃密活动。2015年2月2日至28日,国家计算机病毒应急处理中也在全国范围内开展了信息安全检査活动,调査结果显示,2014年度,移动终端病毒感染率显著增多,达到了31.5%,相比2013年増长5.2%;传统计算化终端的病毒感染率是63.7%,增长了8.8%;绝大多数的网友遇到过信息安全问题。二是技术的高度发展带来了新的风险。目前,智能终端逐步普及,但由于目前很多部门未对智能终端的管理提离认识,很多工作人员甚至通过智能终端连接电子政务外网、互联网,使得黑客和不法分子有机可乘,造成整个电子政务网络因为恶意网站或软件而酿成整体雜疾的网络安全事件。

3深圳市“互联网+政务”信息安全管理存在问题的原因剖析

3.1电子政务信息安全管理技术相对薄弱

一是过于依赖国外产品和技术,核心技术相对落后。从目前信息技术的发展情况看,深圳市的信息安全基础设施防护薄弱,而且,政府部门对于国外品牌的电子产品和信息技术比较依赖。纵观全球,绝大多数的核也信息技术都掌握在国外发达国家手中。关键芯片和程序代码仍然受制于人,出现设备问题时常常无法自行维护修理,只能退回国外原厂维修或者重新购买的情况,这无疑使得深圳的电子政务网络安全风险大增。二是整体安全防护能力滞后。由于政府网站公信力高、影响力大,极易成为黑客攻击目标。为了获得非法经济报酬,不少不法分子使用违法行为入侵电子政务内网窃取涉密资料或对网络进行破坏。但部分部门信息安全综合技术防护能力滞后。网站被篡改、被植入后门、上传携带病毒的文件等信息安全事件时有发生。

3.2对信息安全问题带来的风险认识不足

一是对信息安全风险认识不足。由于我国目前大部分城市还是处于技术、管理人员分立的模式,电子政务系统的使用人员往往缺乏信息安全技术的相关知识,对很多高新技术接触较少,信息安全技术培训又流于形式。而且,这类人群往往认为信息安全相关技术只需由技术人员学习,自己无法使用,造成了操作人员与基础信息技术的“鸿沟”。二是存在侥幸心理。部分管理和操作人员虽然对信息安全管理工作的重要性有了一定的认知,但却普遍存在侥幸心理,认为信息安全事件不会发生在自己身上,因此对管理制度缺乏重视。在深圳市信息安全联合检查中,侥幸心理在大多数单位并不少见,主要体现在对安全保密规定视而不见,将电子政务内、外网与互联网混用,安全设备配置不合理,访问控制不够严格,信息的审查、信息的管理维护、网络的规划、网络建设敷衍了事等等,送些问题的存在将直接带来严重的信息安全问题。

3.3电子政务信息安全保障体系不健全

一是管理措施不完善,漏洞监管不及时。由于我国信息安全标准的统一、源代码控制等网络风险监控措施严重滞后,很多网站上的漏洞安装包不及时,无法消除当前最新面临的安全风险或漏洞。另一方面,从深圳市信息安全联合检查的结果看,部分单位普遍存在漏洞修复周期较长,没有过及时修复漏洞过多,存在SQL注入漏洞、文件上传漏洞、Sturts2漏洞等高危漏洞,大量累积的漏洞使得被攻击度严重增多。二是新兴技术对信息安全形成新的冲击。随着"互联网+"不断推进,信息技术迅速,大数据、云计算将大量的电力、交通、金融等信息高度集中,极易成为网络攻击的重点目标,如何应对新兴技术对信息安全的冲击尤为重要。另一方面,移动互联网的出现以及智能终端的普及,虽然使得互联网得到了更多的普及,但也不可避免的带来了更多的安全隐患。

4改善和加强“互联网+政务”信息安全管理的对策思考

4.1完善信息安全检查机制,强化电子政务保障功能

一是协同单位扁平化管理设计。目前,虽然深圳市已经按照工作部署,设立了信息安全联席会议办公室,设置了相关的制度、领导、成员单位、人员等,但应引入扁平化设计理念,减少组织内部沟通层次,将集权式体系调整为以服务为核也,通过压减管理层次,使管理结构最大程度简化。作为协同管理机构,各成员单位应加强部口之间的交流与合作,对于各单位在日常工作中发现的安全隐患、漏洞、数据更新信息等信息应及时交流与共享。二是细化信息安全管理小组的功能。深圳市目前虽然设有全市信息安全联合检查小组,但每年只有一次信息安全检查,势必难以保证信息安全的风险评估做得客观、公正,风险预防和控制做不到位。

4.2加大财政资金投入力度,促进信息产业快速发展

一是加大政府财政投入力度,支持安全企业利用资本市场融资发展。信息安全行业资金需求量大,深圳市相关政府机构可加大财政投入力度,如设立信息安全行业发展专项资金,支持信息安全行业发展。政府政策对于企业创业具有积极的鼓励、引导作用,因此,可考虑引入有关机构或产业关联信息安全企业,为中小企业融资、贷款等提供便利。二是加快建设信息安全产业基地,完善配套基础设施。目前,深圳信息安全企业整体规模偏小,产业集群效应尚不明显。因此,深圳市政府部门应加快建设信息安全产业基地,开展招商引资工作,加快引进信息安全重大项目和领军企业。市政府应做好海外先进技术兼容并收,支持、鼓励企业"学进来、走出去",发展具有竞争优势的信息安全产业集群。

4.3提高全民信息安全意识,着力培育信息安全文化

营造良好的信息安全文化氛围,推广基础信息安全管理知识,可以有效降低信息安全风险,每一位市民实际上都是信息安全的重要参与者和执行者,市民特别是领导、技术人员、涉密人员都应清楚信息安全常见的风险及相应的防范、解决措施。为了实现这一目标,可由市政府牵头、借助化会力量,由企业来承办培训的方式,利用各种宣传和培训手段,在全民中普及信息安全意识,使得人人懂信息安全。另一方面,还应特别关注、培养政府公务人员的电子政务安全信息意识。作为电子政务最直接的使用者,公务人员应对潜在的风险有更进一步的认知,时刻在日常工作中绷紧安全意识这根弦,时刻注意维护电子政务信息和数据的安全。

5结论

由于深圳市信息化基础网络覆盖广,电子政务网络化程度高,因而也面临着更严峻的信息安全威胁,特别是在"互联网+"快速发展的当下,信息安全的重要性不言而喻。在这种情况下,必须全面提深圳市信息安全保障能力,完善深圳市信息安全管理策略,才能与全市"互联网+"的总体目标相适应。目前,深圳市电子政务信息安全管理方面支撑保障体系基本成形、集约化电子政务支撑体系初步建成、管理机构基本组建、信息基础设施建设领跑全国。但深圳市也面临很多突出的问题。因此通过借鉴他们在信息安全管理方面所做的工作,以及结合信息安全管理相关的知识,本文提出提升深圳市电子政务信息安全管理水平的对策,希望通过本文的研究可以为深圳市“互联网+政务”信息安全管理提供帮助。

作者:叶丽婷 单位:辽宁对外经贸学院

参考文献:

[1]宁家骏.关于加强我国新时期电子政务信息安全保障体系建设的一些刍议[J].电子政务,2010(7).

[2]林乐坚,林向民,许哲君.关于电子政务信息安全管理体系建设的几点思考[J].海峡科学,2010(11).

[3]高松林,向洪,皮章,袁莉.对电子政务信息安全管理的思考[J].秘书之友,2010(10).

[4]智慧城市发展研究课题组.“十三五”我国智慧城市“转型创新”发展的路径研究[J].电子政务,2016(3).

[5]张琳,曹卫,刘真,陈俊宏.互联网环境下行政管理的挑战、机遇和发展策略[J].重庆科技学院学报(社会科学版),2016(3).

[6]孟祥波.我国电子政务信息安全管理问题研究[J].经营管理者,2016(7).