現(xiàn)狀及問題
近年來��,西安市結合保密檢查,對區(qū)縣信息系統(tǒng)保密防護的基本情況進行了調研摸底����,結果難稱樂觀。區(qū)縣信息系統(tǒng)的發(fā)展狀況�����、建設規(guī)模和防護水平現(xiàn)狀可以概括為“三低三少”,即信息化建設方面起步規(guī)格低�����、建設規(guī)模低��、應用水平低����,安全保密防護方面資金投入少、技術防護少�����、人員配備少��。
?
上述情況�����,表明區(qū)縣信息系統(tǒng)保密防護還十分薄弱�,存在許多問題,主要表現(xiàn)為“五重五輕”�。
重外網(wǎng)輕內網(wǎng)��。區(qū)縣的信息化建設本身先天不足�,從發(fā)展之初就把信息化定位在互聯(lián)網(wǎng)上���,為的是滿足上網(wǎng)需求����,政務外網(wǎng)和政務內網(wǎng)建設則相對滯后�����。目前�,區(qū)縣各級黨政機關所擁有的計算機數(shù)量較大��,很多單位已達到人手一機����,但起碼有80%以上的計算機連接在互聯(lián)網(wǎng)上,而且絕大多數(shù)單位無政務內網(wǎng)�����,致使在連接互聯(lián)網(wǎng)計算機上辦公的現(xiàn)象較為普遍���。雖有一些區(qū)縣推廣使用隔離卡�����,以解決單機辦公保密問題�,但這一措施不僅覆蓋率低,而且因嫌麻煩不用的問題也很突出���。有關部門為解決區(qū)縣文件傳輸問題�,推行了商用密碼傳輸系統(tǒng)(俗稱“縣鄉(xiāng)通”)����,實現(xiàn)了區(qū)縣鄉(xiāng)鎮(zhèn)街道部門之間依托互聯(lián)網(wǎng)的加密傳輸。但這也帶來了兩個后遺癥���,一是助長了在互聯(lián)網(wǎng)上辦公的風氣����,二是壓抑了政務內網(wǎng)建設需求��。
重聯(lián)網(wǎng)輕防護���。調查顯示����,區(qū)縣已經(jīng)建成的網(wǎng)絡,包括互聯(lián)網(wǎng)��、政務外網(wǎng)和政務內網(wǎng)�����,在安全保密防護上都存在嚴重不足��。在互聯(lián)網(wǎng)方面�����,多數(shù)區(qū)縣只管拉線上網(wǎng)�,缺乏統(tǒng)一管理���,沒有機房和網(wǎng)管�,個別有網(wǎng)管中心的區(qū)縣��,安全防護設備的性能也比較低���。在政務外網(wǎng)方面�����,適應政府信息公開的需要��,各區(qū)縣都建立了網(wǎng)站�,但入侵防護系統(tǒng)十分脆弱,多數(shù)只有簡單的防火墻�,缺乏監(jiān)控檢測報警及應急處置系統(tǒng)。在政務內網(wǎng)方面����,多數(shù)區(qū)縣沒有局域網(wǎng),個別建有內網(wǎng)的����,也存在設備老化、入侵檢測和管理能力相對不足��、保密監(jiān)控防護能力弱等問題�����。用于文件傳輸?shù)摹翱h鄉(xiāng)通”���,由于只解決了加密傳輸問題����,沒有解決加密下載、移除和閱讀問題�����,存在很大的泄密風險�。
重人工輕技術����。目前,辦公(涉密)計算機違規(guī)外聯(lián)��、上網(wǎng)計算機處理涉密信息及內部信息��、裝隔離卡不用�����、U盤交叉使用、各類U盤混用等問題屢禁不止�����,信息系統(tǒng)和信息設備使用的保密行為仍形不成自覺規(guī)范�����。究其原因,主要是缺乏實時的技術監(jiān)控手段�、檢查手段和檢測手段,對違規(guī)行為的監(jiān)督心有余而力不足����。整體衡量��,區(qū)縣目前網(wǎng)絡保密防護技術設備的配備應用幾近空白�,對計算機使用行為只能靠人工管理�����。在計算機應用已經(jīng)十分普及的今天,沒有技術手段支撐�,保密管理只能孤掌難鳴。
重制度輕落實���。近年來��,西安市各區(qū)縣在信息系統(tǒng)和信息設備使用行為規(guī)范上可謂下足了功夫����,計算機及網(wǎng)絡管理制度��、移動存儲介質管理制度��、辦公自動化設備管理制度、信息公開保密審查制度等各項管理制度和措施不斷建立健全���,并且根據(jù)全市統(tǒng)一要求�����,分別建立了各類信息系統(tǒng)和信息設備管理臺賬�����,特別突出了計算機使用中的禁止性行為規(guī)范�����。然而在實際工作中��,各類制度的執(zhí)行卻被打折扣��,令不行���,禁不止�����。根本癥結����,在于制度剛性不強�����,執(zhí)行力不足����,特別是對違規(guī)處理失之于寬�����,損害了制度的嚴肅性。
重要求輕教育�����。在調研中我們明顯感到�����,區(qū)縣各級對計算機保密工作還是比較重視的���,大會小會強調,制度覆蓋到位�,但違規(guī)問題還是屢屢發(fā)生��。除了執(zhí)行不力���、監(jiān)督乏力外��,還有一個重要原因是教育不到位����,機關工作人員對計算機保密常識不懂�����、不會的問題較為突出�����。反映出與信息化普及教育相比,信息安全特別是信息保密的普及教育還遠沒有形成氣候���,就連計算機專業(yè)畢業(yè)的本科生���、研究生對信息保密也十分生疏。區(qū)縣由于教育資源匱乏���,計算機安全保密常識教育無論內容���、形式、規(guī)模還是效果都十分不足�����。
?
對策及措施
上述現(xiàn)狀和問題��,造成了區(qū)縣信息系統(tǒng)保密防護的“五個不足”�����,即防護理念不足����、防護技術不足��、防護措施不足����、防護規(guī)范不足��、防護能力不足�。加強區(qū)縣信息系統(tǒng)保密防護也應當從解決“五個不足”入手��,努力打造制度���、投資�、技術�����、教育和管理等“五個平臺”���。
制度平臺����。目前信息化建設和計算機分級保護����、分類管理的政策法規(guī)���、規(guī)章制度、技術標準已不少��,但適應基層實際的規(guī)定不多���,區(qū)縣的信息化建設仍然缺乏可執(zhí)行的政策法規(guī)制度及可參照的建設指南�����。要改變這種現(xiàn)狀��,第一��,從國家層面出臺基層信息化及信息安全建設指南�����,搭建區(qū)縣信息化建設的政策平臺;第二����,針對基層實際����,制定黨政機關互聯(lián)網(wǎng)���、政務外網(wǎng)��、公眾服務網(wǎng)�����、政務內網(wǎng)等不同網(wǎng)絡的建設指南���,使區(qū)縣網(wǎng)絡建設有據(jù)可依;第三��,制定針對基層各類網(wǎng)絡的安全保密防護標準����,實行標準化管理。此外���,針對制度不落實的突出問題���,還要建立剛性的責任追究制度,以增強制度的強制力和執(zhí)行力����。
?
投資平臺。區(qū)縣網(wǎng)絡的安全保密防護建設�����,除了缺乏政策法規(guī)供給外��,最大的瓶頸就是資金投入不足����。目前西安市網(wǎng)絡建設好一些的區(qū)縣及所屬部門,基本都是得到了中央試點基金或上級業(yè)務部門專項資金扶持���。應當發(fā)揮中央和地方兩個積極性���,形成多層次、多渠道的投資保障平臺�����。一是將區(qū)縣一級網(wǎng)絡建設納入國家信息化和信息安全發(fā)展戰(zhàn)略�,建立國家發(fā)展基金,扶持基層的信息化及信息安全建設�����。二是拓展和延伸上級業(yè)務部門行業(yè)專網(wǎng)的覆蓋面����,明確中央、省、市���、縣四級的資金投入比例�。三是制定區(qū)縣信息化和信息安全發(fā)展建設規(guī)劃��,明確目標��、任務�、標準及職責,使之成為一項硬性指標���,增強區(qū)縣信息化建設投資動力��。
技術平臺�����。區(qū)縣信息系統(tǒng)保密防護水平不高,自身保密技術發(fā)展水平的制約也是一個關鍵性因素?���,F(xiàn)有保密技術防護設備品種少、缺項多���,適應區(qū)縣條件的產(chǎn)品更少��,而且價格偏高�����。搭建好技術平臺�����,關鍵要解決以下問題:一是加快保密技術防護設備的研發(fā)和認證推廣步伐�����,特別是加大適應基層網(wǎng)絡防護需求設備的研發(fā)引導。二是加大保密技術防護設備配備指導力度�,針對實際,盡快制定保密技術設備強制裝備目錄���,推進保密技術防護水平和能力的提升��。三是對列入政府采購強制裝備目錄的設備,嚴格控制價格,減輕基層負擔��;對未列入目錄的產(chǎn)品可適當放開���,采取政府調控和市場定價相結合,防止價格虛高�。
教育平臺。信息安全保密教育大體可以分為兩個層次����,一是國家基礎教育層次,二是干部素質教育層次�����。這兩個層次都是當前亟需加強的�。就前者而言,可參考英美等國做法��,把信息安全教育納入國家信息安全戰(zhàn)略�,在初、中等教育中加入信息安全教育內容����,在高等教育中開設信息安全專業(yè)����,提高全社會信息安全保密素質��。就后者而言��,要以解決“應知應會”����、規(guī)范保密行為為重點,加強在職培訓�����。一是對保密技術干部和網(wǎng)絡保密管理人員進行保密技術專業(yè)培訓��,提高監(jiān)管水平����。二是對區(qū)縣重點保密部門人員和重要涉密人員實行保密培訓持證上崗制度,提高計算機使用者的保密素質�。三是對一般涉密人員實施崗位教育,將計算機使用保密行為規(guī)范納入干部在職培訓�,提高教育的覆蓋面和普及率。
管理平臺��。管理和技術是信息化條件下保密工作的兩大支撐��。區(qū)縣計算機網(wǎng)絡保密管理�,應著重抓好以下工作:一是加強責任制管理。將保密工作納入?yún)^(qū)縣和部門年度目標責任及領導班子考評內容���,加大問責力度���,提高保密管理效力;二是積極推行計算機保密防護標準化管理�,實施達標考評制度,推進區(qū)縣信息系統(tǒng)保密防護建設和保密防護技術設施強制裝備步伐��;三是強化區(qū)縣保密技術檢查力量和裝備��,形成一支懂技術���、善管理的基層網(wǎng)絡保密監(jiān)管隊伍�,加大保密技術檢查監(jiān)督力度��,提高保密技術監(jiān)控��、檢測、檢查能力和違規(guī)行為的發(fā)現(xiàn)�、查處能力。