安全是电子政务建设中不可回避的问题,但安全也是一个没有标准答案的问题。我们在建设电子政务时,不仅要处理好砌墙和拆墙的关系,更重要的是要有所为、有所不为,电子政务建设不能一哄而上,而要有选择,方能处理好安全、效益、成本的关系。
电子政务建设慢慢的变成了国际上新一轮公共行政管理改革和衡量国家竞争力水平的重要标志之一。我国政府把电子政务建设作为今后一个时期我国信息化工作的重点。采取得力措施,促进我国电子政务的发展,既是我国各级政府机构自身改革和发展的需要,也是我们国家的经济与社会持续健康发展的大局需要,同时,也是与国际接轨,适应世界经济全球化的需要。建设电子政务是一项长期的任务,不可能一蹴而就,特别是公开与安全,即砌墙与拆墙的矛盾特别的重要,是必须认认真真地对待的问题,是电子政务建设中不可回避的问题。所以说,在对待电子政务的安全问题时,既要保证电子政务系统“足够”的安全,又要坚持“适度”的安全,避免矫枉过正,以免使电子政务发展误入歧途。
在电子政务建设中,安全问题的产生固然有许多因素多个角度,但归纳起来,无外乎表现为7种形式即:网上黑客入侵和犯罪、网上病毒泛滥和蔓延、信息间谍的潜入和窃密、网络恐怖集团的攻击和破坏、内部人员的违规和违法操作、网络系统的脆弱和瘫痪、信息产品的失控等。
当前绝大多数的政务工程中,均是按照分别建设内网、外网和公共网设计的,但政务内网、政务外网、公共服务网的网络环境,都是采用TCP/IP协议而建立的,该协议以开放和自由为基础,从协议规划、服务模式、网络管理等方面均缺乏安全性设计,所以电子政务信息系统就存在着先天的安全风险隐患。另外,操作系统存在来自Internet的黑客攻击和内部用户随意利用办公终端与Internet联接,再加上恶意病毒的无规律性的连续侵袭,同样是目前电子政务安全的主要隐患。况且我国还缺乏拥有自主知识产权的基础信息设备制造业,大多数电子政务系统中所使用的设备也是引进的,这些设备本身就有几率存在安全风险隐患。而且,我们也没有基础操作系统,所使用的基础操作系统本身也潜在安全问题。因为所有的政务应用和安全措施(包括防火墙、防病毒、入侵检测等)都依赖操作系统提供底层支持。操作系统的漏洞或配置不当将有可能导致整个安全体系的崩溃。更危险的是,我们没办法保证国外厂家的操作系统产品不存在后门。
建设电子政务,就必须建网站,建网站就必须要有网址(域名),但我国注册到“域名数只有40余万,但国内用户注册境外“等域名数超过70万,不仅每年要向境外交纳数千万美元注册费,国家信息安全更让人担忧。“”等境外域名的解析过程在国外数据库中进行,对方通过对我国信息流量的监测和统计,可获得大量有效信息,给国家信息安全导致非常严重隐患。仅2004年11月,就有180个IP地址段被国外某机构完全屏蔽,将来若发生特殊情况,国外域名注册机构对我国采取封锁措施,相关网站将因无法解析域名而瘫痪。而且规范性也有待加强,例如域名不规范,有的政府部门用非政府域名,政府域名有的用英文全称、英文缩写,也有的用拼音全称、拼音缩写,有的加上了所属行政区划的缩写;同一类机关从域名上看不出任何关联,即使是上下级单位域名也缺乏衔接和统一。
众所周知,安全并没有统一的尺度,对于各地区、各部门而言,安全发展也是不平衡的,对安全的要求也随之不同。所以评估安全风险,要在投资、收益方面做一个权衡。安全技术和产品越做越好,攻击的技术和手段也慢慢变得高,此消彼涨。所以,应以“风险”的概念、“过程”的角度去考虑安全问题。事实上,经过几年的探索,那种过于强调安全的倾向已经弱化,“边发展边安全”的现实做法逐渐被接受。
在电子政务安全建设中,需要权衡安全、成本、效率三者的关系。实际上,绝对的安全是没有的,电子政务系统也不是“越安全越好”。不同的电子政务系统,对于信息安全的要求是不同的。因此,必须根据电子政务系统的实际要求做到恰到好处。在进行电子政务安全设计的时候,必须结合实际应用情况,协调好安全、成本、效率三者的关系。一个电子政务系统安全保密性能超出安全保密的管理要求不但没有必要,而且还会造成资金上的浪费。
因此,在电子政务建设中,我们应奉行有所为、有所不为的安全观,要体现出执政为民的宗旨。提高政府各项工作的效率,真正把该管的事情管好,把该做的事情做好。要重点和优先建设面向社会服务的电子政务系统,对于存有大量机密信息的秘密系统、党政核心部门可以暂时不进行面对社会的电子政务建设,待实际成熟时再建。
具体来说,在这些领域推进电子政务安全建设时,要着重解决好以下几个方面的问题:
(1)做好规划。贯彻“以应用促安全、以安全保应用”的思想,在做好电子政务系统规划的同时必须同步做好安全系统规划;信息安全系统建设应超前思考,长期规划,不留基础隐患;安全系统建设与网络建设必须同步进行。
(2)健全法规。在信息安全技术相对落后的情况下,要充分的发挥管理和制度等非技术方法的作用。各级党政机关应在信息化领导小组统一领导下,成立由信息化办、科技、公安、安全、保密、机要等部门组成的安全小组,负责对电子政务安全来管理,明确职责,加强协作。建立机关网络信息安全前置审批制度。信息系统的使用部门要在有关部门的指导下严格管理广大操作人员,将信息安全渗透到网络的所有的环节,渗透到使用的每时每刻。应充分认识依法保障和促进信息网络健康发展的重要性,加强和完善信息网络安全有关法规及制度建设,以法制化保障信息化。
(3)加强科研。信息安全的有效解决从根本上要落实到技术方法,电子政务安全的关键是要有自主的知识产权和关键技术,从根本上摆脱对外国技术的依赖。通过关键技术的解决,构筑信息网络系统的安全保障信任体系。力争尽快自主建设具有可靠技术、设备与软件的安全网络信息系统。同时,要建立一种如同人体健康免疫机制的安全保障体系,保证信息系统在安全威胁环境中,能够预防风险,在遭到攻击时,能尽早发觉;受到攻击后,能尽快恢复。
(4)协调共进。鉴于我国目前的信息产业还比较落后,建立一个专有的、完全安全的信息系统有相当难度。所以我们在建设电子政务系统时必须在应用性能、安全性能、发展空间以及价格需求之间综合平衡,以实事求是和发展的眼光正确地处理应用与安全的关系,“两手抓,两手都要硬”,促进信息系统应用与安全协调发展。
(5)应急预案。如果电子政务信息系统缺乏有效的安全管理体系和数据备份,一旦信息网络发生意外事故,一方面将对长期积累的网络信息造成灾难性损失,另一方面也没有相应的应急解决能力。所以应尽快建立网络安全管理中心和数据备份中心,健全灾难恢复与紧急响应机制,加强管理,确保信息网络的数据安全和运行安全。
(6)队伍建设。电子政务系统的应用开发、系统运行、日常维护、重要设备维修等都涉及信息安全和保密,所以一定要尽快组建一支政治可靠、技术非常精湛、作风优良的内部技术人员队伍,为确保网络信息安全提供人才保证。按国际上所有政府机构的通常做法,这支队伍应由政府公务员组成。