亚洲城网页版 ca88 cc >>发展规划研究 总第65期 2012年>> 理论前沿 打印 | 收藏 | 字体: | 阅读 次数 | 发布日期:2013/1/7
浅析提高和加强政府信息安全防护与管理
尹 俊

  信息作为一种竞争性的战略资源,在社会进步和经济发展等各个方面的作用日益显著。但同时,政府信息安全的状况似乎更加严峻,频繁发作的病毒破坏、网络攻击和窃密等信息安全问题层出不穷。


  一、政府信息安全的内涵
  “信息化”一词最早是由日本学者于二十世纪六十年代末提出来的。经过40多年的发展,信息化已成为各国社会发展的主题。当今世界已进入了信息化时代,信息化和信息产业发展水平已成为衡量一个国家综合国力的重要标准之一。党的十七大明确提出了一条“以信息化带动工业化,以工业化促进信息化”的具有中国特色的信息化道路。随着我国信息化工作的发展,信息安全问题也随之而来,由于信息资源不同于其他资源的特殊性质,如何保证信息的安全性和保密性,尤其是政府信息安全与防护显得尤为重要,它是大家信息化建设过程中需要解决并且迫在眉睫的重要问题。
  信息安全包括:真实性,保证信息的来源真实可靠;机密性,信息即使被截获也无法理解其内容;完整性,信息的内容不会被篡改或破坏;可用性,能够按照用户需要提供可用信息;可控性,对信息的传播及内容具有控制能力;不可抵赖性,用户对其行为不能进行否认;可审查性,对出现的网络安全问题提供调查的依据和手段。
  与传统的安全问题相比,基于网络的信息安全还有一些新的特点:一是由于信息基础设施的固有特点导致的信息安全的脆弱性。目前大家很多政府部门已经建立了自己的专用网络,目的就是为了实现一个与因特网物理隔离的、封闭的网络,提高其信息安全性的内部网,但往往还不能完全作到与外网隔离。二是信息安全问题的易扩散性。由于因特网的庞大系统,造成了病毒极易滋生和传播,从而导致信息受到危害,信息一旦泄露传播速度又快、范围又广。三是信息安全中的智能性、隐蔽性特点。网络环境下的安全问题常常表现为一种技术对抗,是“无形”的,不受时间和地点的约束,犯罪行为实施后,对机器硬件的信息载体可以不受任何损失,甚至不留任何痕迹。


  二、我国政府信息安全面临的风险
  (一)信息安全产品和技术方面的风险
  1、信息与网络安全的防护能力较弱
  由于我国的信息化建设起步较晚,信息化仍然存在诸多不安全问题。比如,由于许多网站没有防火墙设备、安全审计系统、入侵监测系统等防护设备,整个系统存在着相当大的信息安全隐患。美国互联网安全企业赛门铁克企业发表的报告称,在网络黑客攻击的国家中,中国是最大的受害国。
  前工信部部长李毅中称,统计显示,我国平均每天有45个政府网站被黑客篡改,他认为当前我国政府网站大多很脆弱,关键软硬件的国产化方面与国外发达国家有一定的差距。
  另外,我国网络信息安全的防护能力弱还体现在:计算机系统设计缺陷、软硬件故障隐患、不合理的网络拓扑结构、不按标准要求进行施工建设的网络和难以完全避免的各种自然灾害(如火灾、水灾、风灾、地震等)、工业事故和恐怖袭击等。
  2、对引进的国外设备和App缺乏有效的管理和技术改造
  我国基础信息产业薄弱,核心技术严重依赖国外,缺乏自主创新产品,尤其是信息安全产品。信息网络所使用的网管设备和App基本来自国外,这使我国的网络安全性能大大减弱,被认为是易窥视和易打击的“玻璃网”,网络安全处于极其脆弱的状态。在信息化建设过程中,对发达国家或跨国企业提供的关键装备中可能事先做的手脚无从检测和排除,这将造成既花费了大量资金又买来了经济运行中的隐患、买来国家不安全的严重后果。
  我国的银行系统、政府部门全都处在信息化和网络化进程中,但很少有人关注安全,这样就等于敞开大门让人攻击。而未来的战争绝不会是单纯使用武力攻击军事目标,很可能利用信息武器直接攻击国民经济。 
  3、信息犯罪在我国有快速发展趋势
  根据我国安全部门掌握的情况,外国情报机关的情报手段现代化的程度越来越高。他们可以在传真机、电话交换机中运用远程诊断、远程修复等功能进行信息窃取。目前境外的情报机关都设立了专门的网络间谍机构,中国重要部门和涉密单位的上网电脑或服务器,全是他们感兴趣的目标。检测结果表明,这些部门入侵木马的连接大都指向境外的特定间谍机构。当然这些信息犯罪也与很多人的信息安全防范意识不强,以至于使信息犯罪分子才有机可乘有关。
  4、在研究开发、产业发展、人才培养、队伍建设等方面与信息化迅速发展的形势极不适应
  在国际财团涌向我国信息化建设的市场,大举推销电子信息设备之时,大家却在相对缺乏常识和经验的情况下,存在着花钱买淘汰技术和不成熟技术的现象,这其中就潜伏着国外势力预埋信息安全隐患的极大危险。大家的电脑App也同样面临受人遏制和封锁的威胁。在国家级研究开发计划中,至今没将信息安全单列,只是作为信息化的研究分支立项,投入很少,和国外差距越来越大。
  造成以上问题的相关因素在于:首先,我国的经济基础薄弱,在信息产业上的投入还是不足,尤其是在核心和关键技术及安全产品的开发生产上缺乏有力的资金支撑和自主创新意识。其次,全民信息安全意识淡薄,警惕性不高。大多数计算机用户都曾被病毒感染过,并且病毒的重复感染率相当高。除此之外,我国目前信息技术领域的不安全局面,也与西方发达国家对我国的技术输出进行控制有关。
  (二)信息安全人事管理方面的风险
  “重技术、轻管理”是当前很多电子政府的通病,由于管理手段不到位,导致信息安全事件的发生屡见不止。据调查,政府组织当中,70%以上的信息安全事件来自于组织内部人员,并且主要是政府内部涉密的信息安全人员。可见,在信息安全事件中起决定作用的是人,人是信息安全保障中作中最活跃的因素。怎样加强管理信息安全人事风险及防范、怎样在国内加快电子政务建设步伐的同时,防范境内外敌对势力对我国政府信息安全领域的攻击或“窃密”,是各级政府必须长期面对的一个问题。在当前日益加剧的国际竞争和信息网络技术的飞速发展的形势下,关注与探讨政府信息安全人事风险及其防范问题,不仅是政府人事管理学不断专业化和科学化的具体体现,也是政府人事管理工作持续发展的必然要求。
  1、政府信息安全人事风险的内涵与特点
  政府信息安全人事风险主要是指政府内部信息安全人员的行为偏离信息安全的工作希望和目标或违背信息安全客观规律、越轨等给政府、乃至国家造成的损失或危害。人事管理过程的各环节及其决策,都存在着相应的人事风险。因此,政府信息安全人事风险一般可划分为工作分析风险、招聘风险、使用风险、考核风险、薪酬风险、奖惩风险、辞退风险、培训风险以及组织学问风险等等。
  由于政府具有国家秘密多、密级高,秘密储存集中、处理与传递频繁等特点,所以是犯罪人员攻击或“窃密”的主要机构。相应地,相对于其它类型组织或人事风险而言,政府信息安全人事管理除了具有一般性人事管理的实践性、社会性与发展性特征外,还具有以下几个显著特点:
  ①政策性强。政府信息安全人事管理依照国家相关政策及法律(如《保密法》)来严格规范进行管理,避免管理中的盲目性与随意性。②隐蔽性强。犯罪人员往往利用上、下级或同事之间密切的感情或高度的信任作掩饰,识别难度非常大。③危害深远。一些重要秘密信息一旦泄露,可能将导致整个部门或系统的瘫痪,其危害之深远绝非一般人所能想象。④发生率高。政府秘密多、使用与处理频繁,而且较为集中,加之信息安全人员几乎每天接触秘密,因此发生信息安全人事风险的几率要高。⑤综合性强。政府信息安全人事管理学是一门新兴的交叉边缘学科,综合各相关学科常识,形成自己独特的学科常识体系,是一门综合的知识。⑥层次性强。对于涉密程度不同的信息安全人员,政府信息安全人事管理不是采取“一刀切”的管理模式、而是实施分级分类管理,体现出管理的层次性。
  2、我国政府信息安全人事风险的成因
  信息安全人员发生人事风险的成因既有组织外部因素,也有组织内部因素。外因包括整个社会的信息安全治理环境、公众的信息安全防范意识以及境内外间谍机构对信息安全人员的引诱和攻击等;内因则主要包括个人、人事管理及组织制度三方面因素。内因是人事风险的主要成因。
个人因素是导致政府信息安全人员风险的主要成因之一。信息安全人员安全意识淡薄会导致人事风险。信息安全人员受个人利益驱使,进而职业道德沦丧,漠视法律,会导致人事风险。
  人事管理因素是导致政府信息安全人事风险的最根本成因。倘若人事管理极其完备,科学和规范,那么因个人因素而导致的人事风险基本上也能得到有效的遏制。因人事管理因素而导致的人事风险,主要源于人事管理各环节存在漏洞。其具体表现为:第一,工作分析不到位,进而岗位不清、分工不明、职则不分、一人兼数职,如此导致授权模糊,工作程序不顺畅,容易引起系统运行的混乱;第二,招聘及甄选不科学,录用了背景不明、品德不好或能力不足的人员;第三,绩效评价措施单一,或缺乏岗位评价指标和衡量标准,致使考核结果不准确,提高了考核风险;第四,薪酬水平缺乏竞争力,致使人员缺乏工作动力与人心不稳;第六,培训措施缺失,导致人员常识与技术老化,安全及风险意识、职业道德水准等达不到相应工作要求,增加了培训风险,等等。如“木桶理论”所说,以上各环节只要其中一个环节出现了问题(最短的木板),那么整个人事管理风险的安全性将会大大降低。
  组织制度因素与人事管理相关的组织制度因素是人事风险另一重要成因。该方面因素主要是指组织工作不力与制度不健全。具体表现为:缺乏专门的信息安全人事管理机构,或不具备专业的信息安全人事管理人员,导致信息安全人事管理处于一种“似管非管”的“真空”状态,加大了组织风险。人事管理制度不健全,或制度的制约性与约束力不强,存在制度风险。缺乏科学的人事管理及指挥机制,如指挥失灵、越权处理公务、机构重叠或人浮于事等弊端的存在,大大地提高了政府突发信息安全人事风险的可能性。


  三、加强政府信息安全防范管理
  (一)针对信息安全产品和技术风险的防范与管理
  一是要加快信息安全立法进度,完善我国信息安全法律体系。目前,国家经济信息安全管理条块分割、各行其是、相互隔离,极大地妨碍了国家有关法规的贯彻实行。信息安全相关的管理机构与国家信息化领导机构之间还没有充分沟通协调。缺乏一个国家级的与国家信息化进程相一致的信息安全工程规划。加快信息安全立法的步伐,要将《信息安全法》尽快纳入国家立法规划中,尽快推进《信息安全条例》出台;加紧制定出台有关个人隐私保护、数据库保护、数字媒体、数字签名认证、计算机犯罪以及计算机安全监管等方面的配套法规;做好基础性的信息安全法律体系构建,完善国家信息安全组织体系和国家信息安全技术保障体系,从多方面进行全面规划,从而保证经济社会的稳定运行。
  二要构建和完善我国信息安全监管体系和全民信息安全防范意识。构建和完善信息安全监管组织体系,建立健全信息安全的各级各类监管机构;逐步建立起完善的信息安全准入制度,对于关键领域、核心业务、重要信息系统要建立起切实可行的安全准入制度;重视加强等级保护,把信息安全漏洞信息作为国家战略资源加以管控。重视信息安全规划和引导,建立有效的管理机构,最大限度地发挥信息安全主管部门的管理职能,同时各有关部门和单位应加强信息安全管理和监控,防范信息攻击和保障安全。
  三要依靠自主创新,推进我国重要信息系统装备、技术国产化进程。加大力度支撑发展有自主常识产权的信息安全产业,加大信息产业投入。增强自主创新意识,加大核心技术的研发,尤其是信息安全产品,减小对国外产品的依赖程度。应抓住新技术兴起和产业变革的机遇,提前部署,积极主动的构建我国信息安全保障体系,提高自主防范能力,以便在新的技术革命和产业变革中掌握更多的话语权和主动权,使我国经济社会安全稳定发展。
  四要完善我国信息安全人才培养体系建设。从国家战略高度来看待信息安全人才的培养,为国家的信息安全保障贮备更多合格有用的人才;建立和完善信息安全专业学科建设;对于既懂管理又懂技术的信息安全高精尖人才,国家要重点关注和培养,设立专项的信息安全人才培养基金,逐步建立起一支能够在关键时刻、核心领域保障国家安全的威慑力量。高度重视信息安全基础研究和人才的培养。为了在高技术环境下发展自主常识产权的信息安全产业,应大力培养信息安全专业人才,建立信息安全人才培养体系。
  (二)针对信息安全人事风险方面的防范与管理
  一是提高对信息安全人事风险的认识,增强防范意识。有关人员必须全面分析并了解政府信息安全人事风险的性质、特点、成因及表现形式等,特别要认识到其危害性,进而在日常工作中自觉增强风险防范意识,提高免疫力,构筑起思想及认识“防线”。相关部门要采取措施改变当前和平年代信息安全人员对人事风险相关常识认识不深、风险防范意识薄弱的现状,加强信息安全人员的安全思想教育与相应常识培训,使其克服麻痹大意的思想,提高认识水平与专业素养,最终增强防范意识。
  二是优化整合信息安全人事管理的进人、用人、留人、育人的全过程管理。加大造就符合未来事业发展需要并具有国际竞争力的信息安全人才的同时,还要对其进行必不可少的人事管理。进人、用人、留人、育人是从另外一个角度考察人事管理过程。由于人事管理因素是导致人事风险的最根本原因,因此,为了从“源头”上防范人事风险,相关部门必须优化整合信息安全人事管理的进人、用人、留人、育人的全过程管理,实施全面信息安全人事管理,以消除人事管理上的漏洞,并且积极采取措施,创造优良的工作环境和条件,以吸引与留住人才,更好地发挥人才的作用,促使形成一批批高度自觉、遵纪守法、业务精通的信息安全技术与管理人才,最终解决信息安全人才不足的问题。
  三是加强组织工作和制度建设,建立健全信息安全人事管理组织与制度。相关单位或部门必须重新审视现有人事管理机构及其人员设置;有条件的应该设置专门的信息安全人事管理机构或人员;没条件的应对现有人事管理机构或人员作适当调整或补充,并对现有人事管理人员实施信息安全管理常识与技能培训,提高其专业管理技能。在制度建设方面,健全责任制度,实施领导干部责任制和专人管理制,确定职责和工作程序;完善人事事故报告、处理与反馈制度,建立人事信息内部发布机制,及时通报最新人事安全事项及教训;建立严格的督察制度及惩罚制度,工作人员的“职内”和“职外”、工作和家庭等都在督察范围之内,同时加大违规惩罚力度,强化制度的约束功能。
  四是重视信息安全行政学问建设,营造良好的风险防范氛围。信息安全行政学问是在政府信息安全行政实践活动基础上形成的,直接反应信息安全行政活动与行政关系的各种心理现象、道德现象和精神活动状态等意识形态的总称。实践证明,重视信息安全行政学问这项“App”建设,发挥心理、道德、精神等因素在人事风险防范中的作用,营造良好的防范氛围,是防范信息安全人事风险的一项切实有效的措施。政府部门要努力建设好以人为本、公正透明、清廉高效、诚实守信等有利于防范人事风险的信息安全行政学问,并充分发挥其凝聚功能、导向功能、规范功能及激励功能等,构筑起防范人事风险的心理、道德及精神“防线”,优化组织风气,以切实提高自身对信息安全人事风险的免疫力。

(编辑单位:合肥市行政学院)

 _
  上一篇:新型城市化是实现基本现代化的主动力
下一篇:瑞金农村信息化风云录

关闭窗口
XML 地图 | Sitemap 地图