国家认证认可监督委员会批准认证咨询机构
批准号:CNCA-Z-01Q-2006-038
联系电话
全国:010-56542716
天津:022-27810977
国家认证认可监督委员会批准认证咨询机构
批准号:CNCA-Z-01Q-2006-038
全国:010-56542716
天津:022-27810977
随着信息技术的发展和越来越广泛的应用,整个社会的运转越来越密切地依赖于信息技术和基础性信息系 统,依赖于各种基础信息系统的正常运转,依赖于储存在信息系统中各种重要信息的正确维护和正常使用。
政府机关在国家和社会生活中有着不可替代的地位和作用,应用现代信息技术来提高政府的运行效率和服务 质量、建设电子化政府是信息时代政府建设和发展的必然选择。在国家信息化发展中,各级政府的信息化是关键。党的“十六大”明确提出了“推行电子政务”的要求,国家信息化领导小组已做出决定,把电子政府建设作 为今后一个时期我国信息化工作的重点。电子政府是信息化社会政府治理的核心模式,它要求政府运用现代化计 算机和网络技术,将其管理和服务职能转移到网络上去完成,充分利用政务信息与政府业务的共享与集成,同时实现政府组织结构和工作流程的重组和优化,从而极大地提高政府运行效率和服务质量,对提高整个国家的综合国力和国际竞争力具有十分重要的意义。
电子政务系统是一个涉及政府各方面职能的非常复杂的信息管理系统。电子政务涉及对国家秘密信息和高敏 度核心政务的保护,涉及维护公共秩序和行政监管的准确实施,涉及到为社会提供公共服务的质量保证。电子政务是党委、政府、人大、政协有效决策、管理、服务的重要手段,必然会遇到各种敌对势力、恐怖集团、捣乱分 子的破坏和攻击。
因此,电子政务建设要求系统比其它信息系统具有更高的可靠性和安全性。信息安全在电子政务系统的重要 性显得尤为突出。保障国家机器的正常运转,保障中央和各级领导机关职能的正常履行,确保信息的保密性是政 务内网最基本的要求,也是电子政务内网建设和应用的关键。
一个不安全的系统是没有意义的系统,也是不敢用的系统。如果网络不能确保信息安全,其结果只能是两 种:一种是谁也不敢把敏感信息、涉密信息上网,那么网络就没有实际意义;一种是管理不严,涉密信息上了 网,会给国家的安全和利益造成损失。因此,在电子政务系统的规划建设中,必须统一规划,同步建设系统的信 息安全保密设施。
《国家信息化领导小组关于我国电子政务建设的指导意见》中明确提出:“电子政务网络由政务内网和政务 外网构成,两网之间物理隔离,政务外网与互联网之间逻辑隔离。政务内网主要是副省级以上政务部门的办公 网,与副省级以下政务部门的办公网物理隔离。政务外网是政府的业务专网,主要运行政务部门面向社会的专业 性服务业务和不需在内网上运行的业务。”按照这个界定,政务内网为涉密网,网上处理运行的是政务部门大量 的内部办公业务信息资源,涉及国家政治、经济、国防、外交等各个领域的国家秘密。毫无疑问,政务内网是电子政务系统的核心系统,是电子政务保密管理工作的重点。政务内网应严格按照涉密网的有关技术标准、管理规 定来建设和管理。
本文所讨论的政府机关内部信息安全问题,是指在政务内网上处理和运行信息的安全问题。政府机关内部信 息安全问题的解决,不仅解决了重点和核心信息的安全问题,同时对促进政府外网的信息公开,加快政府电子化 进程有着十分重要的作用。
政府机关内部信息在政务内网上处理和运行,实现了与因特网的物理隔离,杜绝了内网向外网的信息泄密以 及外网对内网的攻击和窃密。
这样,内网就成为一种相对独立的,边界清晰的内部信息化办公网络。
但是,仅有物理隔离是不够的,内网依然还存在各种安全隐患。据统计,70%以上的网络攻击行为来自单位内部。内部网络无论在信息系统安全还是在信息内容安全方面仍然受到严重威胁。如:内部人员单独或与外部人员勾结,对内部信息系统进行恶意破坏,利用内部信息系统安全漏洞对信息内容非法使用、拦截或监听;在面向用户的系统中对信息进行有意的篡改或抵赖,甚至假冒:有意在内网中传播计算机病毒或运行其它对系统有害的软件;有意利用拨号等形式使内网与国际互联网相联接,使内网处于外部网络的直接威胁之中等。另外,内部人员无意识的错误及一些客观因素也会给内网的安全造成威胁。如:管理人员滥用职权、执行人员操作不当,内部人员安全意识不强,内部管理疏漏,软硬件缺陷、自然灾害等。所有上述这些情况都会对内部信息系统和信息内容的安全产生严重影响,甚至造成不可换回的损失。由此可见,即使是内网,信息安全问题也不可忽视,尤其是内网极强的涉密性,使信息安全问题在内网建设之初就必须摆在重要位置加以解决。
目前,我国电子政府建设仍处于起步阶段,多数政府机关正在进行政务内网的建设。在政府机关建设政务内 网时存在以下几种情况:
一是只管网络技术建设,没有相应的信息安全策略和方法。
二是在进行网络技术建设的同时,购置了部分网络安全设备,但没有从策略上、技术上和管理上系统地解决 信息安全问题。
三是认为无论怎样,信息化网络都是不安全的,从而暂不进行信息化网络建设处于观望状态。
由于木桶原理在信息安全方面的体现,第二种情况的信息安全管理体系ISO27001的建设,因没有全面系统 地解决信息安全问题从而形成了薄弱环节,其安全程度也基本等同于第一种情况,因此前两种情况会在政府机关 政务内网建设的同时,对国家秘密信息安全形成极大的威胁,是十分危险的。而后一种状态则是因噎废食的表 现,由于无法抓住信息化对政府工作带来的战略机遇,跟不上时代的发展,从而极大地减缓国家经济和社会发展 进程,其危害性更为严重。由此可见,在政府机关政务内网建设方面,信息安全问题己成为制约其发展的瓶颈。 如不及时全面地加以解决,不但会对电子政府的发展产生严重的影响,进而危胁到国家安全和利益。因此,从政 府机关政务内网入手,客观全面地分析信息安全问题及其产生的原因,深入系统地找出解决政府机关内部信息安 全问题的解决思路和办法,不但对促进政府机关内部办公信息化的发展,优化工作流程,提高工作效率有积极意 义,而且对加速电子政府的实现,以信息化带动经济和社会的全面发展具有重要的意义。
关注卓越空间
关注卓越微博
关注卓越微信