政府部门电子信息安全管理现状、问题与对策

PAGEPAGE政府部门电子信息安全管理现状、问题与对策内容摘要随着计算机网络技术的发展，大多数政务信息慢慢实现共享和双向交流，政府部门之间、政府与社会各领域之间均可通过电子化形式实现沟通和信息传递，为传统政务管理工作带来技术革新。通过理论研究可知，我国政府部门信息安全相关研究相对滞后，信息安全体系建设过程中也出现了一些明显问题，例如：缺少有效的部门监管、忽略法律规范的防范性等。基于此，为有效解决以上问题，本文针对政府部门信息安全管理问题展开研究，并从技术、人员等方面提出完善信息安全管理的建议，以期为政府部门更好的开展各项工作提供一定的参考。本文以郑州地区为例，随机选取了部分省、市级部门，从网络建设、安全管理、产品采购、终端安全、网站安全、应用安全六个方面对其电子信息网络安全管理现状进行研究。分析出政府部门电子信息安全管理面临的问题有工作人员操作不当导致失泄密、涉密载体管理不严造成失泄密、网络信息系统存在安全隐患、业务人员信息化素养参差不齐、缺少电子政务相关立法缺少与电子政务有关的安全监管体系。提出政府部门电子信息安全管理对策包括制定涉密信息管理制度、加强政府部门相关人员的管理、逐步完善法律保障体系、加强监管、引入网络安全态势感知系统、推动政府部门信息系统国产化、加强网络安全执法队伍建设。本文创新点是通过分析当前信息技术国产化情况，制定出推动政府部门信息系统软硬件分层次、分领域国产化的策略；建立电子信息安全监管中心，并引入网络安全态势感知系统；加强网络执法队伍建设，充分发挥执法部门职能，依法治网。关键词：政府部门；电子信息安全管理；解决对策

目录一、前言 3二、政府部门电子信息安全管理现状分析 3（一）政府部门电子信息网络建设 3（二）电子信息网络安全管理 3（三）电子信息安全系统外网应用安全 4（四）电子信息安全系统终端安全 5（五）电子信息网站安全 5（六）电子信息系统安全产品采购 5三、政府部门电子信息安全管理存在问题 6（一）工作人员操作不当导致失泄密 6（二）涉密载体管理不严造成失泄密 6（三）网络信息系统存在安全隐患 6（四）业务人员信息化素养参差不齐 6（五）缺少电子政务相关立法 7（六）缺少与电子政务有关的安全监管体系 7四、政府部门电子信息安全管理对策 7（一）加强政府部门相关人员的管理 7（二）制定涉密信息管理制度 8（三）推动政府部门信息系统国产化 8（四）加强网络安全执法队伍建设 8（五）逐步完善法律保障体系 9（六）加强监管、引入网络安全态势感知系统 9结论 9参考文献 11

政府部门电子信息安全管理现状、问题与对策一、前言在信息化时代，信息能力是评估一个国家综合国力的主要指标，如何开展信息安全管理工作，成为各国政府部门有待解决的问题，如果信息资源无法得到安全保障，就无法确保政治、主权及其社会安全。广义层面的信息安全管理，不仅包含政府部门为充分行使自身的行政职能，对相关部门具有的信息，实施全面防护制定的相应管理体系，也包含国家立法、司法等机关部门。中国政府部门信息安全管理执行客体就是政府部门对于其掌握的信息数据库，例如：政府各部门内部信息、网站上对外开放信息、卫生部门的数据库、人民银行的数据库等。这也可以说明，信息安全管理客体包含存储、传输、编辑上述重要数据库的计算机主机、网络设施等。本课题研究的意义如下：一是政府部门做好信息安全管理工作，不仅能保障各项政务信息安全，也可以确保政府部门为居民提供更好的服务,促使信息安全管理工作展现出规范化、科学化的特征；二是基于管理为主导，整合已有信息安全管理技术及设备，提出一系列做好信息安全管理的策略，成为有效解决政府部门信息安全问题的方法。二、政府部门电子信息安全管理现状分析（一）政府部门电子信息网络建设在这一地区政府部门电子信息系统建设中采用的是专用网络技术，在虚拟专用网络服务的应用下，实现不同接入网点之间的互通有无；在虚拟专用网络技术的应用下，实现同级节点的互联。政府部门电子信息体系在虚拟专用网络的应用下，实现了和因特网逻辑间隔离问题的处理，在此过程中能够有效实现不同级别政府部门面向社会的办公服务功能；通过虚拟专用网络也可以实现工作人员在因特网中的接入，以此获取所需信息，也能够完成资料下载。（二）电子信息网络安全管理1.电子信息安全管理其中郑州地区政府部门电子信息安全管理现状调查结果见2-1.通过调查分析可以发现，在省级和地市级政府部门中全部都己经完成信息安全主管领导设置，同时在省级部门中也设置了信息安全岗位，但是地市部门这一岗位设置率仅有一半，相对来讲，地市部门情况更加不足。尤其是在运行维护管理过程中，定期漏洞扫描、定期重要文件备份以及定期安全自测等工作均没有实现；只有省级部门部分具有完善管理制度，因此相对来讲管理制度也存在不足。表2-1电子信息安全管理现状调查结果（单位：%）调查内容省级部门完成情况地市部门完成情况有信息安全主管领导100100进行安全定级62.50通过安全检测37.50有信息安全岗位10054.2定期安全检测00定期应急演练00定期对重要文件备份00定期漏洞扫描00风险评估00具有完善管理制度37.50注：资料来源调查文献资料整理2.电子信息安全防护郑州地区政府部门电子信息安全防护现状调查结果见表2-2.通过调查可以发现，政府部门外网和互联网存在有逻辑隔离；在政府部门电子信息系统外网边界已经完成了KPI网关设置，特定用户能够通过VPN以及PKI网关直接进入到系统中，对于非法用户进入具有防范作用；电子信息安全系统内网和外网已经建构完成了物理隔离，不同级别局域网中也完成了防火墙、防病毒、入侵防护系统的建构，但是在信息传输过程中并没有建构网络层加密处理，也未实施网络边界安全审计，导致存在一定的安全风险。表2-2电子信息安全防护现状调查结果（单位：%）调查内容省级部门完成情况地市部门完成情况有涉密信息系统1000防火墙100100边界安全审计37.50网络防病毒100100入侵防护系统10058.33有传输加密00接入控制网关00注：资料来源调查文献资料整理（三）电子信息安全系统外网应用安全郑州地区政府部门电子信息安全系统外网应用安全现状调查结果见表2-3.通过调查结果可以看出，在政府信息安全管理系统中没有建设电子认证基础设施以及数字证书认证，同时不管是省级部门还是地市部门大部分都没有完成授权管理系统、应用层加密、应用审计措施等，同时虽然已经在省级部门应用了数据备份措施，然而地市政府并没有完成，导致存在的安全隐患较大。调查内容省级部门完成情况地市部门完成情况数字证书身份鉴定62.558.3有应用层加密00有电子认证基础设施500有授权管理系统00有电子印章10016.7有应用审计500有数据备份37.520.8注：资料来源调查文献资料整理（四）电子信息安全系统终端安全郑州地区政府部门电子信息安全系统终端安全调查结果见表2-4.从调查结果可以看出省级和地市部门用户终端全部完成了防病毒等安全软件设置，但是并没有设置移动介质管理、光驱软驱管理以及端口管理等，省级部门完成了边界安全审计设置等。表2-4电子信息安全系统终端安全调查结果（单位：%）调查内容省级部门完成情况地市部门完成情况终端防病毒等软件100100端口管理00光驱软驱管理00移动介质管理00注：资料来源调查文献资料整理（五）电子信息网站安全其中郑州地区政府部门电子信息网站安全调查结果见表2-5.从表中可以看出，不同级别政府部门的门户网站全部完成了防火墙、漏洞扫描以及入侵检测等安全措施，但是在地市政府部门中还存在一定的不足，例如缺乏网页防篡改以及防Dos攻击措施等。表2-5电子信息网站安全调查结果（单位：%）调查内容省级部门完成情况地市部门完成情况入侵检测100100防火墙100100防病毒100100防垃圾邮件62.50漏洞扫描100100网页防篡改37.50注：资料来源调查文献资料整理（六）电子信息系统安全产品采购其中电子信息系统安全产品采购现状调查结果见表2-6.从调查结果可以看出省级和地市全部完成了政府采购信息系统，62.5%以上采用的是国产品牌服务器，但是不同政府部门均没有采用国产操作系统以及国内数据等。表2-6电子信息系统安全产品采购现状（单位：％）调查内容省级部门完成情况地市部门完成情况通过政府采购100100国产品牌服务器62.5100国内操作系统00国内数据库00注：资料来源调查文献资料整理三、政府部门电子信息安全管理存在问题（一）工作人员操作不当导致失泄密因针对信息安全开展保密工作并未明确纳入政府考核及其绩效工作中，只是一种事情发生后实施补救的单向手段，这种情况下，导致部分人员对于各级保密教育工作不尽心、不上心，对各项保密规定在实际工作中引起的限制表示并不理解，存在一定的埋怨心理。此外，也有一些人忽略要执行各项管理规定的重要性，认为在自己觉得安全的计算机上展开编辑、存储等信息操作只是一件小事，甚至出现把涉密计算机或者载体与国际互联网实施连接等严重的违规行为。（二）涉密载体管理不严造成失泄密由于计算机、网络技术的发展，国家使用的涉密载体已有明显的扩展，包含保存上述秘密信息的介质，例如：数码设备、移动硬盘、U盘等。这些使用的载体自身及其相连设备如果疏于管理，也会给政府部门信息安全带来严重的隐患。对各密级的涉密载体进行管理时规范性不足，并未设定涉密计算机、移动设备及U盘的标识，或标识长时间使用导致标识模糊不清的情况。此外政府部门有些处室并没有依照相关规定对涉密设备进行统一的登记、保存等管理制度，提供给工作人员及时审查，无法做好事后审计。通过实际考察分析可知，即使政府部门给出明确的规定，因日常工作实际需要，工作人员必须携带相应的涉密设备、载体外出工作时，要履行与之对应的审批手续，但由于这个操作程序过于繁琐，该规定并未得到有效的执行，面临一定的信息安全风险。（三）网络信息系统存在安全隐患通过对省市各级部门的调查研究不难看出，当前政府部门已经基本完成了电子信息安全管理系统的构建，能够实现不同级别政府部门之间的业务往来，以及面向社会的办公服务功能。但是在利用虚拟专用网络技术将内网系统与互联网进行逻辑隔离的同时，还存在一些安全隐患，例如入侵防护系统安装不够全面、信息传输尚未实施加密、门户网站防篡改、防Dos攻击能力不强等，这些技术防护手段的不到位，给一些不法分子和敌对势力带来可乘之机。在互联网发展背景下，政府部门会通过租用运营商线路或购买其提供的服务，获得互联网或保密专网连接，上述线路均会存在薄弱环节，从而窃取政府部门的重要信息，此外，黑客会通过网络漏洞及核心网络节点已有缺陷，在木马的帮助下实现通信，从而远程控制、窃取信息。（四）业务人员信息化素养参差不齐现阶段，政府部门工作人员及信息安全管理人员自身的信息防范技术、安全防范意识有待提升，那些重要的信息或者数据会被工作人员有意或者无意识泄露出来。例如：黑客、不法分子等对政府部门网络进行攻击，使得涉密信息在不同级别网络传输，或者光盘等介质存储中会面临涉密信息遗失、数据库遭受破坏的情况。如果工作人员日常工作比较粗心，非法使用磁盘上保存的文件、并未及时进行删除、粉碎临时文件夹等均会导致电子政务信息安全面临巨大的隐患，在一定程度上破坏电子政务信息系统，促使电子政务信息安全机制发生失灵。多数政府单位中，一般未设置专职的信息安全部门，更谈不上配备专业的信息安全管理人员。如此一来，那些与信息安全工作有关的工作就难展开，如果遇到一系列问题，也会处于望洋兴叹的状态。（五）缺少电子政务相关立法从电子政务立法视角分析，虽然我国已经出台一系列与网络信息相关的法律法规，但依然未形成完善的体系。我国已有法律中部分规定难以满足电子政务发展要求，例如：在信息公开立法中，我国并未制定于电子政务条件下政府信息公开需求的条文。国内电子政务建设过程中存在重复建设、各部门系统间无法兼容的情况，分析其原因在于，中国电子政务建设缺少统一的标准。因法律具有强制性、效力等级高等特性，上述技术标准最好可以在法律条文中进行规定，防止电子政务建设过程中出现信息无法共享、重复建设等问题，为电子政务发展带来无法预估的损失。加之，互联网的快速发展及电子政务广泛发展，对于保守国家秘密产生前所未有的影响，而原有部分法律已经无法满足信息化发展各项要求，法律法规的缺失也会阻碍电子政务发展进程。电子政务信息保密与安全立法存在密切的联系，其中，信息安全旨在有效预防信息非授权扩散或者信息系统遭受危害，信息保密在于预防通过信息发布或者掌控人员主观因素引起保密信息扩散的情况。（六）缺少与电子政务有关的安全监管体系政府部门缺少电子政务信息安全监管体系，省级、市级及其不同部门局域网则缺乏信息安全监管。通过分析政府部门病毒及网络攻击状况，缺少集中的管理和预警机制，无法及时掌握、预防存在的安全隐患。因各级政府部门缺少对于信息安全的监督，通常比较重视技术及设备的作用，而在抓安全管理上不够严格。有些部门领导者认为已经设置防火墙、防病毒软件等，可以完成该部门信息安全建设任务，从而保障电子政务系统的安全性。殊不知，上述安全设备及技术只是保障信息安全的组成部分，政府部门管理者工作疏忽或者缺少健全的管理制度，才是导致电子政务信息面临安全威胁的重要隐患。四、政府部门电子信息安全管理对策（一）加强政府部门相关人员的管理政府部门领导组织保密培训要挑选合理的对象，在紧抓领导干部及涉密人员的基础上，兼顾部门其他工作人员的培训教育，严格按照各项标准，分类实施教育培训，向他们普及信息安全保密相关知识，促使多数人意识到在复杂国内外形势下高新技术引起的泄密隐患，时刻保持自身的警惕，保障新的安全性。开展信息安全培训工作，重点在于做好部门一把手或者保密专职干部及其人员的培训，提高上述人员对于信息安全的管理水平。在进行信息安全宣传教育过程中，不单要强调政府部门一把手及其保密专职人员这一个关键点，也必须把广大工作人员考虑在内，促使新的培训技能普及至每一个成员，让每位工作者均意识到信息安全管理的重要意义，重视一直保持高度的警惕，牢固树立自身的思想防线。依托信息安全知识、法律法规等内容的教育，可促使政府部门工作人员更懂得遵守各项规范开展工作。一方面，可通过宣传栏、讲座、知识竞赛等方法,大张旗鼓的宣传保密条例，提升公民的保密意识。另一方面，可巧用新技术、新媒体开展信息安全教育工作。例如：引导政府部门工作人员、社会公众关注某公众号，制作相应的保密电教片，供相关人员阅读、学习等。（二）制定涉密信息管理制度在专用保密传输路线上传送、接收相应的涉密信息，严谨在互联网及其与互联网联系的计算机设备中保存、传输、处理相应的信息。涉密和非涉密设施禁止出现交叉使用的情况，只可由非涉密设施上单向传送至涉密设备，而非涉密计算机等设施要与涉密设施所处办公区域进行物理隔离。此外，内部专用保密网络内处理的各项涉密信息必须根据各项规定审批，存储相应的审计记录，便于进行检查，涉密信息必须在涉密设备中集中实施保存和处理。基于此，也要做好已经定稿但有待留存的涉密信息实施归档、存储，或者使用光盘、硬盘等存储介质，进行等级造册，确保其处于安全存放状态。那些已经归档的信息需要调阅、查询时，必须执行严格的登记、借用手续。通过政府保密部门的审批，承办人员方可在单位专用网络中发布一系列的涉密信息。一方面，必须确保发布出来的信息和网络密级相符合；另一方面，涉密专用网络需要严格开展信息发布、阅读审计工作，确保事后有可以查实的证据。如果发现信息发布、阅读已经违反各项保密规定，必须要追求多方的责任。（三）推动政府部门信息系统国产化IT（InformationTechnology）国产化的呼声并非从2013年开始，我们完全可以分层次、分领域，在满足正常业务的前提下用国产自主品牌替换掉非国产品牌的设备和软件。在服务器、计算机和网络安防领域，已经具备较为成熟的技术和品牌，可以通过使用华为、中兴、联想这些自主品牌来实现全面国产化。在应用软件层面，国产化办公环境已经可以实现文件权限分享、内外网文件交换、多人在线编辑office文档、收发邮件、流程审批等操作，基本满足办公需求。可使用金山WPS、永中Office、红旗RedOffice等办公软件替代非国产软件。打印机作为电子公文系统的办公输出终端，也面临着迫切的国产化需求。今年3月份外交部的打印机采购项目和5月份税务系统激光打印机采购项目，均由国内自主品牌拿下。由此可见，打印机政采国产化趋势已日渐明朗，推进打印设备国产化也势在必行。除此以外，由于自2018年4月以来，中美经贸摩擦不断升级，中美关系日益紧张,中央政府也因此加大力度扶持国产IT产品的发展。各级政府部门在落实上级采购规定的同时，也要树立办公软硬件、网络设备国产化的意识，在一些主性较大的领域要最大限度的向国产品牌倾斜，用实际行动推动办公信息系统国产化，将信息安全风险隐患降到最低。（四）加强网络安全执法队伍建设互联网+的大数据时代，国外敌对势力利用信息网络技术对我国进行攻击、破坏、渗透的形势愈加严峻，截止2019年6月我国网民网民数量已达到8.54亿人，网警需求8.54万人，然而，在职网警远远达不到这个数量，且技术型网警数量更低，网警数量与能力同网络技术的蓬勃发展严重失衡，难以有效遏制网络违法犯罪的发展势头。因此，加强网络安全执法机构和队伍的建设就显得尤为重要，习近平总书记讲过“没有网络安全，就没有国际安全”，培养网安人才需要国家在顶层设计中完成人才培育战略规划，相关行业部门完善培养体系，多元融合，创新培养，只有不断完善、优化网络安全与执法专业的人才培育模式，形成实践检验人才培养的良好机制构建特色的网络安全与执法专业课程体系，才能保证网安执法队伍技术过硬、素质扎实。健强充实了网络安全执法队伍才能做到“有法可依、有法必依、执法必严、违法必究”，才能树立法律的发权威性，真正做到依法治国。（五）逐步完善法律保障体系法制建设需要以信息化健康发展作为总原则，使用的指导思想也许紧紧围绕能为信息化发展提供重要保障及全面服务的内容进行考虑。信息安全立法的制定主要目的在于为信息、经济、网络等提供安全保障，各项立法制定之前需要对传统立法理念予以修正,确保能够扫清信息化建设及其发展中存在的障碍［辆。安全与发展处于相互作用的地位，真正意义上的安全需要置于发展基础上，缺少发展更谈不上安全。因此，进行立法的总目标和出发点就是为确保及促进网络的健康发展，立法中要由利于信息技术发展及电子政务开展视角入手，有效解决电子政务发展过程中所面临有待解决的问题。随着社会的发展，行业自律规范重要性逐渐展现出来。法律、规章均是由政府部门所制定的条款，从长远发展分析，在解决电子政务网面临的信息安全问题时，不可制定过多行政性法规及规章。如今，对于信息技术快速发展的现状，助推信息安全发展各项政策及法律展现出对技术的前瞻性，而并非被动的适应。在政策法律制定过程中，我国可以借鉴国际上的技术中立思想，把技术自身具体要求考虑在内，提前为技术日后完善及发展预设空间，对于不适应技术要求的法律条款实施修改，提升法律对于信息社会发展的适应性。（六）加强监管、引入网络安全态势感知系统针对政府电子信息安全管理，则需要加强电子政务监管，对信息安全及时实施评测，发现问题立即处理，以对信息安全管理提供有效保障。可以挑选一个中立在业内具有较大影响力的机构，依托先进测试手段对供给方提供的产品或者服务做出合理的评估，并把获取的结果提供给需求方，这一环就是测评认证。电子政务信息安全管理工作中，信息安全评测认证中心起着重要的监督、评判信息安全作用，其也是国家信息安全基础设施不可缺少的一部分。建立高水平安全等级评测机构，开展一系列的安全等级评测活动，能够真实、全面的评测电子政务保密管理工作情况。省信息安全评测认证中心可在各地级市成立评测机构，有利于推进各地市电子政务信息安全实施进程及效果。从整体安全视角分析，针对某个省建立电子政务信息安全监管中心，并以此当做相应应急管理体系的重要组成部分，对电子政务外网实施安全监管，有利于及时发现病毒、安全隐患等时间；对于关键设施或者系统制定所需的应急预案，当系统遭受威胁或者攻击时，能够及时通报处理并迅速展开应对，缩短系统响应时间防护水平。结论二十一世纪作为一个开发与人员交流频繁的时代，也是数字化、信息化迅速发展的时代，政府部门信息安全需求更为迫切，其重要性明显高于社会上的其它组织。在现实社会中，政府部门信息安全不仅面临不同类型的安全隐患威胁，也成为制约政府部门信息化发展的瓶颈。本次提出政府部门信息安全管理的策略，要想有效解决政府部门信息安全管理问题，需要坚持全局与局部并重的策略，不仅要建立监管中心等信息安全基础设施组成联动的防护机制；也要加强网络信息安全方面的建设工作，真正意义上把信息安全管理工作落到实处。通过规划部门、管理部门多