現(xiàn)狀及問題
近年來,西安市結(jié)合保密檢查�����,對(duì)區(qū)縣信息系統(tǒng)保密防護(hù)的基本情況進(jìn)行了調(diào)研摸底���,結(jié)果難稱樂觀。區(qū)縣信息系統(tǒng)的發(fā)展?fàn)顩r���、建設(shè)規(guī)模和防護(hù)水平現(xiàn)狀可以概括為“三低三少”,即信息化建設(shè)方面起步規(guī)格低����、建設(shè)規(guī)模低、應(yīng)用水平低����,安全保密防護(hù)方面資金投入少、技術(shù)防護(hù)少�����、人員配備少���。
?
上述情況����,表明區(qū)縣信息系統(tǒng)保密防護(hù)還十分薄弱,存在許多問題�����,主要表現(xiàn)為“五重五輕”����。
重外網(wǎng)輕內(nèi)網(wǎng)。區(qū)縣的信息化建設(shè)本身先天不足�����,從發(fā)展之初就把信息化定位在互聯(lián)網(wǎng)上�����,為的是滿足上網(wǎng)需求��,政務(wù)外網(wǎng)和政務(wù)內(nèi)網(wǎng)建設(shè)則相對(duì)滯后����。目前,區(qū)縣各級(jí)黨政機(jī)關(guān)所擁有的計(jì)算機(jī)數(shù)量較大�,很多單位已達(dá)到人手一機(jī)����,但起碼有80%以上的計(jì)算機(jī)連接在互聯(lián)網(wǎng)上�,而且絕大多數(shù)單位無政務(wù)內(nèi)網(wǎng),致使在連接互聯(lián)網(wǎng)計(jì)算機(jī)上辦公的現(xiàn)象較為普遍���。雖有一些區(qū)縣推廣使用隔離卡��,以解決單機(jī)辦公保密問題�,但這一措施不僅覆蓋率低��,而且因嫌麻煩不用的問題也很突出��。有關(guān)部門為解決區(qū)縣文件傳輸問題���,推行了商用密碼傳輸系統(tǒng)(俗稱“縣鄉(xiāng)通”),實(shí)現(xiàn)了區(qū)縣鄉(xiāng)鎮(zhèn)街道部門之間依托互聯(lián)網(wǎng)的加密傳輸�。但這也帶來了兩個(gè)后遺癥,一是助長了在互聯(lián)網(wǎng)上辦公的風(fēng)氣����,二是壓抑了政務(wù)內(nèi)網(wǎng)建設(shè)需求。
重聯(lián)網(wǎng)輕防護(hù)�。調(diào)查顯示,區(qū)縣已經(jīng)建成的網(wǎng)絡(luò),包括互聯(lián)網(wǎng)�����、政務(wù)外網(wǎng)和政務(wù)內(nèi)網(wǎng)�����,在安全保密防護(hù)上都存在嚴(yán)重不足����。在互聯(lián)網(wǎng)方面,多數(shù)區(qū)縣只管拉線上網(wǎng)��,缺乏統(tǒng)一管理���,沒有機(jī)房和網(wǎng)管�,個(gè)別有網(wǎng)管中心的區(qū)縣����,安全防護(hù)設(shè)備的性能也比較低。在政務(wù)外網(wǎng)方面��,適應(yīng)政府信息公開的需要����,各區(qū)縣都建立了網(wǎng)站��,但入侵防護(hù)系統(tǒng)十分脆弱�����,多數(shù)只有簡單的防火墻�����,缺乏監(jiān)控檢測報(bào)警及應(yīng)急處置系統(tǒng)����。在政務(wù)內(nèi)網(wǎng)方面�,多數(shù)區(qū)縣沒有局域網(wǎng)���,個(gè)別建有內(nèi)網(wǎng)的�,也存在設(shè)備老化��、入侵檢測和管理能力相對(duì)不足���、保密監(jiān)控防護(hù)能力弱等問題�����。用于文件傳輸?shù)摹翱h鄉(xiāng)通”�����,由于只解決了加密傳輸問題����,沒有解決加密下載、移除和閱讀問題����,存在很大的泄密風(fēng)險(xiǎn)。
重人工輕技術(shù)�����。目前�����,辦公(涉密)計(jì)算機(jī)違規(guī)外聯(lián)����、上網(wǎng)計(jì)算機(jī)處理涉密信息及內(nèi)部信息���、裝隔離卡不用、U盤交叉使用�����、各類U盤混用等問題屢禁不止�,信息系統(tǒng)和信息設(shè)備使用的保密行為仍形不成自覺規(guī)范。究其原因�,主要是缺乏實(shí)時(shí)的技術(shù)監(jiān)控手段、檢查手段和檢測手段�����,對(duì)違規(guī)行為的監(jiān)督心有余而力不足��。整體衡量�,區(qū)縣目前網(wǎng)絡(luò)保密防護(hù)技術(shù)設(shè)備的配備應(yīng)用幾近空白,對(duì)計(jì)算機(jī)使用行為只能靠人工管理���。在計(jì)算機(jī)應(yīng)用已經(jīng)十分普及的今天,沒有技術(shù)手段支撐�����,保密管理只能孤掌難鳴。
重制度輕落實(shí)����。近年來,西安市各區(qū)縣在信息系統(tǒng)和信息設(shè)備使用行為規(guī)范上可謂下足了功夫�����,計(jì)算機(jī)及網(wǎng)絡(luò)管理制度�����、移動(dòng)存儲(chǔ)介質(zhì)管理制度��、辦公自動(dòng)化設(shè)備管理制度����、信息公開保密審查制度等各項(xiàng)管理制度和措施不斷建立健全,并且根據(jù)全市統(tǒng)一要求�����,分別建立了各類信息系統(tǒng)和信息設(shè)備管理臺(tái)賬���,特別突出了計(jì)算機(jī)使用中的禁止性行為規(guī)范�����。然而在實(shí)際工作中�����,各類制度的執(zhí)行卻被打折扣�,令不行,禁不止�����。根本癥結(jié)�����,在于制度剛性不強(qiáng)���,執(zhí)行力不足�,特別是對(duì)違規(guī)處理失之于寬�����,損害了制度的嚴(yán)肅性�����。
重要求輕教育���。在調(diào)研中我們明顯感到��,區(qū)縣各級(jí)對(duì)計(jì)算機(jī)保密工作還是比較重視的��,大會(huì)小會(huì)強(qiáng)調(diào)���,制度覆蓋到位,但違規(guī)問題還是屢屢發(fā)生��。除了執(zhí)行不力����、監(jiān)督乏力外,還有一個(gè)重要原因是教育不到位�����,機(jī)關(guān)工作人員對(duì)計(jì)算機(jī)保密常識(shí)不懂���、不會(huì)的問題較為突出����。反映出與信息化普及教育相比,信息安全特別是信息保密的普及教育還遠(yuǎn)沒有形成氣候���,就連計(jì)算機(jī)專業(yè)畢業(yè)的本科生���、研究生對(duì)信息保密也十分生疏。區(qū)縣由于教育資源匱乏�,計(jì)算機(jī)安全保密常識(shí)教育無論內(nèi)容、形式�、規(guī)模還是效果都十分不足。
?
對(duì)策及措施
上述現(xiàn)狀和問題��,造成了區(qū)縣信息系統(tǒng)保密防護(hù)的“五個(gè)不足”�����,即防護(hù)理念不足����、防護(hù)技術(shù)不足、防護(hù)措施不足���、防護(hù)規(guī)范不足��、防護(hù)能力不足��。加強(qiáng)區(qū)縣信息系統(tǒng)保密防護(hù)也應(yīng)當(dāng)從解決“五個(gè)不足”入手�,努力打造制度�����、投資�����、技術(shù)�����、教育和管理等“五個(gè)平臺(tái)”����。
制度平臺(tái)。目前信息化建設(shè)和計(jì)算機(jī)分級(jí)保護(hù)����、分類管理的政策法規(guī)�����、規(guī)章制度����、技術(shù)標(biāo)準(zhǔn)已不少���,但適應(yīng)基層實(shí)際的規(guī)定不多����,區(qū)縣的信息化建設(shè)仍然缺乏可執(zhí)行的政策法規(guī)制度及可參照的建設(shè)指南�。要改變這種現(xiàn)狀,第一��,從國家層面出臺(tái)基層信息化及信息安全建設(shè)指南�,搭建區(qū)縣信息化建設(shè)的政策平臺(tái);第二,針對(duì)基層實(shí)際��,制定黨政機(jī)關(guān)互聯(lián)網(wǎng)��、政務(wù)外網(wǎng)��、公眾服務(wù)網(wǎng)���、政務(wù)內(nèi)網(wǎng)等不同網(wǎng)絡(luò)的建設(shè)指南��,使區(qū)縣網(wǎng)絡(luò)建設(shè)有據(jù)可依;第三�����,制定針對(duì)基層各類網(wǎng)絡(luò)的安全保密防護(hù)標(biāo)準(zhǔn)�,實(shí)行標(biāo)準(zhǔn)化管理���。此外�,針對(duì)制度不落實(shí)的突出問題���,還要建立剛性的責(zé)任追究制度�����,以增強(qiáng)制度的強(qiáng)制力和執(zhí)行力�。
?
投資平臺(tái)�。區(qū)縣網(wǎng)絡(luò)的安全保密防護(hù)建設(shè),除了缺乏政策法規(guī)供給外�����,最大的瓶頸就是資金投入不足。目前西安市網(wǎng)絡(luò)建設(shè)好一些的區(qū)縣及所屬部門�����,基本都是得到了中央試點(diǎn)基金或上級(jí)業(yè)務(wù)部門專項(xiàng)資金扶持�����。應(yīng)當(dāng)發(fā)揮中央和地方兩個(gè)積極性���,形成多層次�、多渠道的投資保障平臺(tái)�。一是將區(qū)縣一級(jí)網(wǎng)絡(luò)建設(shè)納入國家信息化和信息安全發(fā)展戰(zhàn)略,建立國家發(fā)展基金���,扶持基層的信息化及信息安全建設(shè)����。二是拓展和延伸上級(jí)業(yè)務(wù)部門行業(yè)專網(wǎng)的覆蓋面����,明確中央、省���、市����、縣四級(jí)的資金投入比例。三是制定區(qū)縣信息化和信息安全發(fā)展建設(shè)規(guī)劃����,明確目標(biāo)、任務(wù)���、標(biāo)準(zhǔn)及職責(zé)��,使之成為一項(xiàng)硬性指標(biāo),增強(qiáng)區(qū)縣信息化建設(shè)投資動(dòng)力����。
技術(shù)平臺(tái)。區(qū)縣信息系統(tǒng)保密防護(hù)水平不高���,自身保密技術(shù)發(fā)展水平的制約也是一個(gè)關(guān)鍵性因素?����,F(xiàn)有保密技術(shù)防護(hù)設(shè)備品種少�����、缺項(xiàng)多�����,適應(yīng)區(qū)縣條件的產(chǎn)品更少��,而且價(jià)格偏高�。搭建好技術(shù)平臺(tái),關(guān)鍵要解決以下問題:一是加快保密技術(shù)防護(hù)設(shè)備的研發(fā)和認(rèn)證推廣步伐����,特別是加大適應(yīng)基層網(wǎng)絡(luò)防護(hù)需求設(shè)備的研發(fā)引導(dǎo)。二是加大保密技術(shù)防護(hù)設(shè)備配備指導(dǎo)力度�,針對(duì)實(shí)際,盡快制定保密技術(shù)設(shè)備強(qiáng)制裝備目錄��,推進(jìn)保密技術(shù)防護(hù)水平和能力的提升����。三是對(duì)列入政府采購強(qiáng)制裝備目錄的設(shè)備,嚴(yán)格控制價(jià)格��,減輕基層負(fù)擔(dān);對(duì)未列入目錄的產(chǎn)品可適當(dāng)放開��,采取政府調(diào)控和市場定價(jià)相結(jié)合����,防止價(jià)格虛高。
教育平臺(tái)�。信息安全保密教育大體可以分為兩個(gè)層次,一是國家基礎(chǔ)教育層次��,二是干部素質(zhì)教育層次����。這兩個(gè)層次都是當(dāng)前亟需加強(qiáng)的。就前者而言�,可參考英美等國做法,把信息安全教育納入國家信息安全戰(zhàn)略���,在初、中等教育中加入信息安全教育內(nèi)容��,在高等教育中開設(shè)信息安全專業(yè)��,提高全社會(huì)信息安全保密素質(zhì)��。就后者而言,要以解決“應(yīng)知應(yīng)會(huì)”���、規(guī)范保密行為為重點(diǎn)���,加強(qiáng)在職培訓(xùn)。一是對(duì)保密技術(shù)干部和網(wǎng)絡(luò)保密管理人員進(jìn)行保密技術(shù)專業(yè)培訓(xùn)��,提高監(jiān)管水平�����。二是對(duì)區(qū)縣重點(diǎn)保密部門人員和重要涉密人員實(shí)行保密培訓(xùn)持證上崗制度��,提高計(jì)算機(jī)使用者的保密素質(zhì)�。三是對(duì)一般涉密人員實(shí)施崗位教育,將計(jì)算機(jī)使用保密行為規(guī)范納入干部在職培訓(xùn)���,提高教育的覆蓋面和普及率����。
管理平臺(tái)���。管理和技術(shù)是信息化條件下保密工作的兩大支撐���。區(qū)縣計(jì)算機(jī)網(wǎng)絡(luò)保密管理����,應(yīng)著重抓好以下工作:一是加強(qiáng)責(zé)任制管理����。將保密工作納入?yún)^(qū)縣和部門年度目標(biāo)責(zé)任及領(lǐng)導(dǎo)班子考評(píng)內(nèi)容,加大問責(zé)力度�,提高保密管理效力;二是積極推行計(jì)算機(jī)保密防護(hù)標(biāo)準(zhǔn)化管理�,實(shí)施達(dá)標(biāo)考評(píng)制度,推進(jìn)區(qū)縣信息系統(tǒng)保密防護(hù)建設(shè)和保密防護(hù)技術(shù)設(shè)施強(qiáng)制裝備步伐�����;三是強(qiáng)化區(qū)縣保密技術(shù)檢查力量和裝備����,形成一支懂技術(shù)、善管理的基層網(wǎng)絡(luò)保密監(jiān)管隊(duì)伍����,加大保密技術(shù)檢查監(jiān)督力度���,提高保密技術(shù)監(jiān)控��、檢測����、檢查能力和違規(guī)行為的發(fā)現(xiàn)、查處能力�。