福建省电子政务信息安全管理研究

福建省电子政务信息安全管理研究一、福建省电子政务信息安全管理的问题（一）部门间协同共享还不够好目前，福建省电子政务虽已形成云平台，部分信息和数据已实现共享，但仍存在各自为政的问题。各部门电子政务平台（官网）建设多注重自身工作，常采用独立创建和使用模式，跨地区、部门、层级、业务的信息共享和业务协同还不够力，信息孤岛仍存，数据壁垒难以根除。比如，省发改委虽然初步建立了省级政府数据共享与交换系统，但它首先将自己与省级政务云平台分离，更不用说发挥系统功能了。目前，在数据共享和使用方面，福建省的共享和交换主要有：财政、税务、公安、交通等部门的信用平台，市场、税务、应急等部门的“五证合一”共享平台，公安部门、交通管理部门等的居民信息平台，基本上是一些政府部门之间的小规模共享和交流，缺乏省级的顶层设计和整体管理。因此，在信息安全管理中也存在着信息壁垒、缺乏协调等问题。从政务信息协同管理的角度看，虽省级信息安全联席会议制度已建立运行，但在各部门在具体落实中，仍存各行其政、快慢有别的问题，同时具体操作中也有宽、松、软、一阵风等现象显现。通过对福建省电子政务信息安全年度检查可知，很多被检查单位虽然基本完成了各个环节的具体工作，但这些单位中的许多单位实际上在联动完成相关工作中落实的不太好或者可以说是未完成，同时，由于相关配套制度滞后，导致与信息化发展步伐不太适应，导致职能业务一事一办、个人信息重复采集、统计数据一数多源等情况仍屡见不鲜。从这个角度看，还有很多问题需要解决。电子政务信息安全管理体制和机制的正常运行，需要各部门、各机构的密切配合。但是，由于管理层次的广泛性、具体工作的复杂性，以及各级政府、各部门的利益等，要保证管理措施有效落实，必须靠强有力的行政权力来推动来督办。因此，此类协同管理制度机制需进一步改进和完善。（二）相关法律法规尚不完善电子政务的信息安全事关国家主权、社会安全，事关公众的切身利益，须按照我国法律法规要求开展工作，让电子政务时刻运行在法治轨道中。但目前来看，电子政务信息安全方面有关法律法规（尤其是上位法）体系尚不完善，还存许多漏洞。第一，国家级（上位法）法律法规不够多、地方性法规及规章不够完善。《网络安全法》的实施为我国信息安全相关法律法规奠定了基础，绘出了顶层设计。但国家级法律法规的总量仍小，尚未形成完善的法律体系。因此，在电子政务信息安全管理领域存在同样问题，加之部门及地方相关法规规章作用范围有限，影响了实施效果。此外，相关政府部门没有建立权威的信息安全行业规范，也没有制定基本原则和信息安全有关工作标准，导致不同技术标准、不同的传输协议等层出不穷，不能同轨接轨，形成了信息沟通传输不畅的客观局面，部门间障碍逐渐加深。第二，法律法规统一性欠缺，实效性和权威性不强、通过对现有电子政务信息安全法律法规的研究发现，目前我国信息安全法律法规有60余项，但大多是地方性法规和规章，法律、行政法规（国家级上位法）数量较少，存在部门立法不统--的问题，导致立法水平低，权威性不强。第三，相关法律法规的具体承担部门建立不够完善，执法效果不强。到目前为止，尚无专门机构来推动实施相关法律或已有机构但因部门执法权力有限导致相关法律法规的实施不到位，加之相关配套的法律法规未出台、不完善，导致电子政务的发展一定程度存在无法可依的局面，特别是电子政务经费的来源、预算、使用、监督等方面都无明确法律规定等。（三）从业人员意识和素质水平有待提升总的来看，福建省电子政务从业人员的安全意识和素质水平有一定保障，较大部分具有计算机专业的本科学历，对电子政务或信息安全有2年以上的工作经验。但不容忽视的是，相对于主动提升电子政务信息安全的风险意识，从业人员更注重信息安全产品的效能。对信息安全的风险意识基本停留在知道了解和不甚关心上，常常对信息安全可能存在的风险预估不够，未从根源上意识到一旦发生信息安全事件，带来的损失和影响是不可估量的，反而认为相关风险不会发生在本单位本平台上，而对信息安全风险掉以轻心，造成风险。同时，福建省虽有时开展信息安全检查、培训等活动，但受检查频次、检查内容和深入程度的影响：受培训频次、授课教师业务水平、处理信息安全风险事件的业务素质、对本省电子政务信息安全工作的熟悉程度高低不同以及学员的基本素质和提升水平等的影响，通过检查、培训等外因来提升从业人员素质的实际效果不够好。此外，缺乏安全管理人员也是一个重要问题。关于电子政务信息安全事件中，部分造成严重后果的事件，主要是因为缺乏专业的管理人员及方法。任何工作的重点和关键都在于人，信息安全管理也不例外，而且是既需专业人才也需具有实际管理方法、手段的管理者。许多信息安全事件发生在内部从业人员身上，如：工作人员非法操作导致泄密、安全密码长期不更新导致他人非法使用、甚至有“内鬼”故意泄露信息数据等等。从相关调查结果可以看出，一般来说，犯罪分子是从管理漏洞入手进行犯罪活动的。因此，做到电子政务信息安全必须有一支高素质的人才队伍（专业人才和管理者）。（四）信息安全管理具体措施不完善随着信息技术的迅猛发展，相应的电子政务系统管理模式应该及时更新，同步推进。从有关统计数据能够看出，恶意程序对系统的攻击威胁不是主要的，没有大规模中毒和病毒传播；而恶意代码攻击和病毒感染确实不容忽视的主要威胁。福建省电子政务外网覆盖范围广，接入终端多，移动端（手机）、电脑端（PC）政务OA系统和政务外网一起开发。加之外网部署在因特网上，为木马、病毒等恶意程序的网络攻击创造了一定机会。虽然PC（电脑）终端的安全防护技术较为成熟，但Mobileclient（移动终端）的安全防护技术并不完善，而受攻击或感染的移动终端（手机端），只要点击浏览电子政务外网或云平台，就能攻击、感染整个系统、平台，导致存在很大安全风险隐患。因此，必须结合实际情况，尽快制定严格有效的电子政务信息安全管理措施。（五）电子政务信息安全保障技术水平不够高1．缺乏技术保障国内大多数政府机构电子政务的发展依赖于引进国外技术和设备，不可避免地会带来安全风险。缺乏自主研发和创新的安全技术和产品，使我国电子政务安全处于被动地位。此外，还缺乏技术安全体系架构。2．网络安全域的控制与划分较模糊网络安全域可分为：密级域、非密级和公共服务域。密级域是指涉及重要国家秘密的网络空间：非密级域是指不涉及国家秘密，但与组织、部门、单位的保密工作有关的网络空间：公共服务域是指为社会提供公共服务的网络空间，一般包括政府信息公开、公众咨询、公共服务等。从技术上讲，VPN技术通常用于安全域划分中的业务操作，但有些具体操作需要通过web浏览。在这个时候，会出现一些问题，比如如何处理web的位置、数据中心库的位置，以及如何合理使用网络安全设备来保证这些域的安全。这些问题都是由于我国网络安全域划分的模糊性造成的。在我国，明确规定政务内网要与政务外网物理分离，政务外网主要是为社会提供专业服务。这种方法在一定程度上有利于信息的安全，但只划分了政府内部网的层次，而没有进行分类，这必然增加政府建设的成本，增加保密的难度。此外，这种分类方式不利于信息的交流。二、福建省电子政务信息安全管理问题的原因（一）各部门缺乏协同管理的体系建设基础在电子政务信息安全管理中，管理者往往重视创新技术，忽视系统建设。据有关部门统计，我国面临的信息安全风险比例最高的是组织内部攻击，其次是竞争对手攻击，再次是黑客攻击，最后是外国敌对政府攻击。可以看出，电子政务信息安全不仅需要加强技术升级，提升防护等级，更要建立完善“行之有效、互联互通”的安全管理体系。一段时期以来，部分政府部门大力提高“硬件"防护，但仅通过增设防火墙等常用设备来提高电子政务信息安全水平，而常常忽视对管理体系的完善，“软件”方面没有建立一套科学、合理、高效、完善的安全管理体制和机制。如：全面落实安全责任制督查检查制度未确立，信息管理和认证体系分类标准及行业标准未建立，电子政务系统管理漏洞筛查及补救制度未建立等等。各机构之间的信息安全管理也不够协调，无法实现“一步到位”，进而导致当信息安全事故发生时，应急救援工作无法协调推进、相关信息资源技术资源无法有效利用、责任划分时推诿扯皮等现象出现的风险大大增加，导致在处理相关事务上花费更多的时间、精力、资源，最终甚至无法及时有效处理，造成严重不利后果。（二）法律法规体系及标准体系有盲区目前，我国权威的信息安全行业标准未完全建立，国家级权威性法律法规的引领、支持、规范作用发挥不够明显，技术产品认证、评估和安全等方面尚未达到理想状态。而福建省相关地方性法规及规章制定也未完善，相关可以参照执行的标准同样不多，致使省级各部门的信息安全建设探索性较强，通用性较一般，信息共享共用不畅，未形成有效的信息安全防御矩阵，各单位防御薄弱。如果不尽快完善相关法律体系及标准体系，将形成不小的安全风险，同时也会各类信息安全事件的处置和应对。（三）队伍建设的重要性认识不足目前，福建省电子政务信息安全从业人员的队伍建设不够好的主要原因是对这方面的认识水平不够高，对专业信息人才和安全管理人才的重视不够，相应的晋升渠道不够明确，导致人才自我提升受限。队伍建设方面存在诸多问题中，最严重的问题是能引进人才却不能留住人才，在人才的有效使用和培养选拔上有欠缺，导致省内从业人员数量。上和整体素质水平上与其他发达省份相比较差。（四）电子政务信息安全防御和保障体系建设完善力度不够大目前福建省电子政务信息安全防御和保障体系初步建成，但其技术水平还不够高，究其原因是福建省对电子政务的便民服务效果更为重视，对信息安全防御保障的关注力度较小，对推动福建省电子政务信息安全防御和保障体系完善落实力度还不够大，对电子政务信息安全防御和保障的极端重要性认识不深，对当前网络安全严峻形势了解不透。当前，国内外的网络空间安全威胁不断加剧，一方面网络安全威胁影响范围不断扩大，另一方面数据泄露和勒索攻击进入到前所未有的高发期。（五）信息安全核心技术仍受制于人福建省本省掌握的信息安全核心技术较少，不能满足自给自足的工作要求。目前来看，大部分电子政务工作从业人员使用的均是国外系统或软件，虽然福建省政府在各级各部门已逐步推开使用国产“安可”设备，但全面使用并替换国外设备仍有很长的一段路要走。截至2020年3月底，据了解，福建省电子政务从业人员中，大部分从业人员依然使用国外系统或软件。具体而言，在高端芯片、核心软件、关键部件、专用设备、仪器仪表等方向，相关技术高度依赖国外。我国政府部门近一半的信息设备和系统主机设备是国外品牌产品，金融、电信等领域9%的主机设备是国外品牌。而且，我国的信息安全建设缺乏行业标准，信息安全标准化是电子政务建设的重要组成部分，在其中起着规范和主导作用。然而，在当前的电子政务信息安全建设中，缺乏统一权威的、科学高效的信息安全标准和规范化的工作机制。因此，各级信息安全体系建设不统一，难以整合。不仅应用程序之间的无缝连接比较麻烦，而且信息系统的安全性也不能完全保证，后期的操作和维护也比较困难，很多安全基础设施建设往往是一种摆设，没有投入使用就被淘汰了。三、福建省电子政务信息安全管理问题的对策建议.（一）完善福建省电子政务信息安全管理体制第一，建立完善福建省信息安全联席会议制度。建议建立省、市、县三级信息安全联席会议制度，联席会议召集人由党委政府主要负责人担任，各有关单位主要负责人任会议成员。联席会议制度建议定期召开会议分析研判形势、总结经验教训、安排部署工作等等，通过建立一把手负责的电子政务信息安全管理体制加强领导，来关注和推动电子政务信息安全各项工作。第二，优化顶层设计，加强跨部门协同管理。建立并推进福建省省级信息安全联席会议制度，明确各单位工作职责和相关责任，制定联席会议配套制度，着力打通各部门间的信息壁垒，逐步实现互联互通，共享共用：着力理顺信息安全管理体制机制，将云时代公司等省属或国有专业技术公司纳入体制机制中，为实现“专业人做专业事”奠定良好基础：着力优化部门间技术、数据、人才等协作援助机制，形成“共防共克”的应急援助协作局面。同时，我们可以借鉴一些新公共管理理论，进一步优化简化福建电子政务信息安全管理的组织结构，实现管理质效再提升。第三，更新完善各部门信息安全管理机制。在省级信息安全联席会议的总框架下，各成员单位要按照联席会议的工作安排及制度设计，及时更新完善本单位本部门的相关管理制度、机制，使之与省级联席会议各项工作有效衔接，及时推进。这样一来，在同样的框架下，福建省各省级成员单位内部管理制度机制就在理论和实践中可以高度相似，在部门间的工作交流、协作上更畅通、有效。建议建立省级部.门间信息风险实时反馈制度，各部门可将实践中出现的问题及时反馈上级部门、通报有关同级部门，共同研究提出解决方案，并因地制宜调整管理内容，采取相应措施，提高信息安全管理的实效性、有效性和联动性。（二）建立完善福建省电子政务信息安全地方性法规及相关标准1.完善电子政务信息安全的地方性法规及规章电子政务信息安全只能“万无一失”，决不能“一失万无”。电子政务信息的被盜或泄露造成的后果和影响往往难以估量。在国家级相关法律法规体系不健全不完善的情况下，福建省应积极探索制定涉及电子政务信息安全方面的相关地方性法规和部门规章。可在上位法允许的范围内，将好的经验做法上升为法律法规，推动制定具有地方特色的地方性法规规章，要有整体立法规划，确保立法质量的同时要尽可能形成完整的制度体系，对重要环节或关健内容要优先立法、及时立法。要开阔视野，对其他省市的先进立法经验和成果要调研学习借鉴，及时修订（修正）或废止一些老旧法规规章，使之尽可能与当前信息安全工作相适应，具有较强的引领、规范作用。逐步营造出更加完备、更具操作性和实效性的电子政务信息安全法律环境，推动福建省电子政务更加规范，让其在法治化轨道上安全运行……首先，大力推动电子政务信息安全现行相关法律法规的有效施行，加大对施行效果的跟踪问效和实践评估。不能想当然地认为正在实施的法律法规是万无一失的，对实践中及理论研究中发现的现行地方性法规、规章有不完善或需改进的地方，各部门可以及时记录总结。建议设立地方性法规、规章实效反馈渠道，对部门或人民群众提出的修改意见进行收集汇总。适当时候，可以提请省级人大或政府对相关地方性法规、规章进行修订（修正）或废止。2.促进电子政务信息安全标准化福建省在推动标准化建设时要注重推进电子政务信息安全相关标准的设立和实行。要制定工作标准、质量标准和评价标准体系，使具体的安全管理或信息数据的使用、储存、传输等符合规范。在推动建立相关标准体系时，考虑到全省各地情况并不相同，建议分层分步统筹推进，既要针对当前最关键最重要的工作率先考虑部署，也要制定中长期规划，形成推进体系，最终实现全面建立实行。具体标准在设定时要充分考虑福建省不同地区的发展程度和经济水平，在确保信息安全能得到有效保障的基础上，先期提出较低但易达成的相关标准，然后根据整体推进情况适时提高相关标准。为提高地区间信息效率的利用率，可以采用统一的程序语言和结构，形成更紧密的合作关系。（三）着力提升信息安全风险意识在全省范围内宣传信息安全知识，为后续的信息安全管理工作打下良好的基础。在这一过程中，政府机构扮演着决策者的角色，而其他非政府机构扮演执行者的角色，政府要推动出台一系列政策，开展教育、培训等多种具体活动，在全社会范围内营造“信息安全、人人有责”的共享共治氛围，着力提升全民的信息安全意识水平，着力提升全民对信息安全管理工作的重视和配合程度。尤其对于具体从业人员，要加强榜样教育和警示教育力度，通过正反典型对比来进一步树劳信息安全防护意识和风险意识，从思想源头上把好关。（四）加大信息安全人才队伍建设投入和力度面对福建省信息安全人才匮乏的实际情况，要加大人才的招聘力度，加大相关经费的投入，制定相应的人才培养计划，培养具有职业道德素质的人才，确保人才“招进来、用得好、留得住”，实现人才供应有序衔接，确保电子政务信息安全工作有力有效。建议建立完善信息安全人才招聘计划，针对福建省现有人才缺口分专业分类别，从各地知名高校、网络企业等渠道分批次招聘，对优秀人才要加大支持力度，出台相应的优惠政策，做到“安人心、用人才”。建议建立完善信息安全人才培养体系，研究制定资格认定和考核机制，分层次分类别调整培养侧重点。要高度重视并进一步加强政治素质和保密意识的培养