现状及问题
近年来,西安市结合保密检查,对区县信息系统保密防护的基本情况进行了调研摸底,结果难称乐观。区县信息系统的发展状况、建设规模和防护水平现状可以概括为“三低三少”,即信息化建设方面起步规格低、建设规模低、应用水平低,安全保密防护方面资金投入少、技术防护少、人员配备少。
上述情况,表明区县信息系统保密防护还十分薄弱,存在许多问题,主要表现为“五重五轻”。
重外网轻内网。区县的信息化建设本身先天不足,从发展之初就把信息化定位在互联网上,为的是满足上网需求,政务外网和政务内网建设则相对滞后。目前,区县各级党政机关所拥有的计算机数量较大,很多单位已达到人手一机,但起码有80%以上的计算机连接在互联网上,而且绝大多数单位无政务内网,致使在连接互联网计算机上办公的现象较为普遍。虽有一些区县推广使用隔离卡,以解决单机办公保密问题,但这一措施不仅覆盖率低,而且因嫌麻烦不用的问题也很突出。有关部门为解决区县文件传输问题,推行了商用密码传输系统(俗称“县乡通”),实现了区县乡镇街道部门之间依托互联网的加密传输。但这也带来了两个后遗症,一是助长了在互联网上办公的风气,二是压抑了政务内网建设需求。
重联网轻防护。调查显示,区县已经建成的网络,包括互联网、政务外网和政务内网,在安全保密防护上都存在严重不足。在互联网方面,多数区县只管拉线上网,缺乏统一管理,没有机房和网管,个别有网管中心的区县,安全防护设备的性能也比较低。在政务外网方面,适应政府信息公开的需要,各区县都建立了网站,但入侵防护系统十分脆弱,多数只有简单的防火墙,缺乏监控检测报警及应急处置系统。在政务内网方面,多数区县没有局域网,个别建有内网的,也存在设备老化、入侵检测和管理能力相对不足、保密监控防护能力弱等问题。用于文件传输的“县乡通”,由于只解决了加密传输问题,没有解决加密下载、移除和阅读问题,存在很大的泄密风险。
重人工轻技术。目前,办公(涉密)计算机违规外联、上网计算机处理涉密信息及内部信息、装隔离卡不用、U盘交叉使用、各类U盘混用等问题屡禁不止,信息系统和信息设备使用的保密行为仍形不成自觉规范。究其原因,主要是缺乏实时的技术监控手段、检查手段和检测手段,对违规行为的监督心有余而力不足。整体衡量,区县目前网络保密防护技术设备的配备应用几近空白,对计算机使用行为只能靠人工管理。在计算机应用已经十分普及的今天,没有技术手段支撑,保密管理只能孤掌难鸣。
重制度轻落实。近年来,西安市各区县在信息系统和信息设备使用行为规范上可谓下足了功夫,计算机及网络管理制度、移动存储介质管理制度、办公自动化设备管理制度、信息公开保密审查制度等各项管理制度和措施不断建立健全,并且根据全市统一要求,分别建立了各类信息系统和信息设备管理台账,特别突出了计算机使用中的禁止性行为规范。然而在实际工作中,各类制度的执行却被打折扣,令不行,禁不止。根本症结,在于制度刚性不强,执行力不足,特别是对违规处理失之于宽,损害了制度的严肃性。
重要求轻教育。在调研中我们明显感到,区县各级对计算机保密工作还是比较重视的,大会小会强调,制度覆盖到位,但违规问题还是屡屡发生。除了执行不力、监督乏力外,还有一个重要原因是教育不到位,机关工作人员对计算机保密常识不懂、不会的问题较为突出。反映出与信息化普及教育相比,信息安全特别是信息保密的普及教育还远没有形成气候,就连计算机专业毕业的本科生、研究生对信息保密也十分生疏。区县由于教育资源匮乏,计算机安全保密常识教育无论内容、形式、规模还是效果都十分不足。
对策及措施
上述现状和问题,造成了区县信息系统保密防护的“五个不足”,即防护理念不足、防护技术不足、防护措施不足、防护规范不足、防护能力不足。加强区县信息系统保密防护也应当从解决“五个不足”入手,努力打造制度、投资、技术、教育和管理等“五个平台”。
制度平台。目前信息化建设和计算机分级保护、分类管理的政策法规、规章制度、技术标准已不少,但适应基层实际的规定不多,区县的信息化建设仍然缺乏可执行的政策法规制度及可参照的建设指南。要改变这种现状,第一,从国家层面出台基层信息化及信息安全建设指南,搭建区县信息化建设的政策平台;第二,针对基层实际,制定党政机关互联网、政务外网、公众服务网、政务内网等不同网络的建设指南,使区县网络建设有据可依;第三,制定针对基层各类网络的安全保密防护标准,实行标准化管理。此外,针对制度不落实的突出问题,还要建立刚性的责任追究制度,以增强制度的强制力和执行力。
投资平台。区县网络的安全保密防护建设,除了缺乏政策法规供给外,最大的瓶颈就是资金投入不足。目前西安市网络建设好一些的区县及所属部门,基本都是得到了中央试点基金或上级业务部门专项资金扶持。应当发挥中央和地方两个积极性,形成多层次、多渠道的投资保障平台。一是将区县一级网络建设纳入国家信息化和信息安全发展战略,建立国家发展基金,扶持基层的信息化及信息安全建设。二是拓展和延伸上级业务部门行业专网的覆盖面,明确中央、省、市、县四级的资金投入比例。三是制定区县信息化和信息安全发展建设规划,明确目标、任务、标准及职责,使之成为一项硬性指标,增强区县信息化建设投资动力。
技术平台。区县信息系统保密防护水平不高,自身保密技术发展水平的制约也是一个关键性因素。现有保密技术防护设备品种少、缺项多,适应区县条件的产品更少,而且价格偏高。搭建好技术平台,关键要解决以下问题:一是加快保密技术防护设备的研发和认证推广步伐,特别是加大适应基层网络防护需求设备的研发引导。二是加大保密技术防护设备配备指导力度,针对实际,尽快制定保密技术设备强制装备目录,推进保密技术防护水平和能力的提升。三是对列入政府采购强制装备目录的设备,严格控制价格,减轻基层负担;对未列入目录的产品可适当放开,采取政府调控和市场定价相结合,防止价格虚高。
教育平台。信息安全保密教育大体可以分为两个层次,一是国家基础教育层次,二是干部素质教育层次。这两个层次都是当前亟需加强的。就前者而言,可参考英美等国做法,把信息安全教育纳入国家信息安全战略,在初、中等教育中加入信息安全教育内容,在高等教育中开设信息安全专业,提高全社会信息安全保密素质。就后者而言,要以解决“应知应会”、规范保密行为为重点,加强在职培训。一是对保密技术干部和网络保密管理人员进行保密技术专业培训,提高监管水平。二是对区县重点保密部门人员和重要涉密人员实行保密培训持证上岗制度,提高计算机使用者的保密素质。三是对一般涉密人员实施岗位教育,将计算机使用保密行为规范纳入干部在职培训,提高教育的覆盖面和普及率。
管理平台。管理和技术是信息化条件下保密工作的两大支撑。区县计算机网络保密管理,应着重抓好以下工作:一是加强责任制管理。将保密工作纳入区县和部门年度目标责任及领导班子考评内容,加大问责力度,提高保密管理效力;二是积极推行计算机保密防护标准化管理,实施达标考评制度,推进区县信息系统保密防护建设和保密防护技术设施强制装备步伐;三是强化区县保密技术检查力量和装备,形成一支懂技术、善管理的基层网络保密监管队伍,加大保密技术检查监督力度,提高保密技术监控、检测、检查能力和违规行为的发现、查处能力。