作者:丛小蔓
随着我国信息化进程的不断推进和电子政务的快速发展,信息系统在农业部门中得到了日益广泛的应用。农业部机关及各直属单位对信息系统的依赖性不断增强,日常行政办公等各类业务信息已经全面依赖信息系统进行处理。与此同时,信息系统的安全问题也日益突出。为加强信息系统安全保障能力建设,近年来在国家有关部门的大力支持下,农业部在加强信息安全制度建设、提高信息系统安全管理能力方面进行了一些有益的探索,取得了一定成效。
一、电子政务信息安全面临的复杂性、艰巨性迫切需要系统化的规划构建安全管理制度
农业部电子政务信息系统是存储、处理、传输涉及服务“三农”各类信息的重要信息系统和计算机网络。这种以计算机网络为载体、以传输电子信息为主的信息系统的安全保密,与传统的纸介质文件信息的安全保密管理相比,更具有复杂性、艰巨性和挑战性。
(一)电子政务信息系统覆盖范围大,涉及人员广
农业部电子政务信息系统使用范围涉及部机关各司局及相关直属事业单位,系统内有计算机终端千余台。这种网络化条件下的信息安全工作,已由原来纸质文件安全管理的纵向垂直金字塔模式,过渡到了平面和垂直交叉的模式,其覆盖范围更广泛,涉及部门和人员更多,凡是网络所覆盖的所有单位和人员均为信息安全管理的重要对象,大大拓展了信息安全管理的深度和广度。
(二)电子政务信息系统环节较多,流程复杂
农业部电子政务信息系统主要应用于政务办公自动化系统和邮件系统,是日常政务工作正常运转的基础办公平台,不仅涉及实际业务工作中文件的起草、审核、传输、存储、处理等,还涉及到计算机、打印机、交换机、路由器、服务器、存储设备、安全设备、链路系统、应用系统、配线间、网络机房等诸多因素,一个文件的处理往往涉及到许多环节,信息流程较为复杂。信息安全管理已由原来纸质文件流转下的孤立的点对点管理,过渡到如今环节众多、交叉复杂的网络状、立体化管理,如不严格把好各道关口,容易造成信息不经意外流。
(三)电子信息的安全控制更加困难
与传统纸质文件信息相比,电子信息的存储和传输方式发生了很大的变化,信息流转快,载体多样化,易复制,易传输,可远程控制,信息的丢失不易觉察,看不见、摸不着,容易批量丢失,一旦丢失造成的损失十分巨大。这些特点增加了电子信息安全管理的难度。
(四)信息系统的安全管理具有很强的技术性和专业性
信息化条件下的电子信息安全涉及计算机网络、通信、电磁防护、密码保护、文件管理等多个领域的专业知识,不仅要求工作人员具有较强的信息安全意识,还要具有较强的信息网络安全专业知识和技术,而大部分行政业务工作人员缺乏计算机及网络相关的安全知识和技术,存在盲目操作、违规操作、随意操作、无防护措施操作等问题,容易造成信息的“不经意”、“无意”等被动失泄密,在很大程度上增加了管理难度。
(五)信息技术更新快,网络攻击手段多样化
与传统纸介质文件的信息安全条件和环境相比,信息化条件下的信息安全环境和条件更为复杂。一方面,随着当今计算机与网络技术的飞速发展,信息技术日新月异,安全防护技术更新也越来越快,进一步增加了信息系统信息安全的复杂程度;另一方面,网络攻击手段花样多、变化快,隐蔽性强,给信息系统的信息安全带来严峻挑战,不仅要及时升级更新系统软硬件设备设施,更要及时健全管理制度。
制度规划建设在信息系统信息安全管理工作中起着根本性、指导性、全局性的作用。新形势下,传统的信息安全管理制度已经不能满足实际需要,农业部原有的管理制度存在内容不全面、要求不到位、责任不落实等问题,迫切需要根据信息化、网络化、电子化条件下的信息安全新特点,全方位、立体化、系统化地规划构建信息系统的信息安全制度体系。
二、电子政务系统安全制度规划的指导思想和基本原则
(一)指导思想
农业部电子政务信息系统信息安全管理制度规划建设必须充分认识新形势下信息安全工作的复杂性、艰巨性和极端重要性,充分把握网络化、信息化、电子化条件下信息安全工作的新特点、新要求,充分掌握计算机网络及其信息安全的新技术、新方法,以严格贯彻执行国家信息安全法规政策为准则,以全面提高农业部信息安全能力为目标,以完善制度、落实责任为重点,以全网络、全要素、全过程安全管理为主要内容,以“积极防御、综合防范”为基本方针,转变观念,创新思路,技术与管理并重,系统化地构建农业部特色的信息安全管理制度体系,全面提高农业部电子政务信息系统的信息安全防范能力。
(二)基本原则
⒈以人为本,细化责任
建立电子政务信息系统的主要目的在于提高信息处理能力和行政办公效率,提高现代化办公的方便快捷程度;而电子政务信息系统的信息安全管理往往与这一目标存在冲突和矛盾。因此,电子政务信息系统信息安全制度建设应当在确保信息安全的基础上,充分考虑机关工作人员的需要,为大家提供方便快捷的办公自动化平台。同时,应当明确电子政务信息系统各级管理和使用部门、人员的安全责任,推行安全责任制,把安全责任层层落实到人,增强人员安全意识,切实把好每道关口。
⒉结合实际,突出实效
农业部电子政务信息系统信息安全制度建设,既要严格依据国家有关政策法规、标准规范,又要结合农业部的实际情况,从农业部存在的实际问题、安全管理的实际需要出发,明确指向,突出可操作性和实效性,立足解决实际问题。
⒊主动防御,综合防范
在充分分析电子政务信息系统面临安全风险和威胁的基础上,立足安全防御为主的策略,制定事前防御、事后处置、定期检查、各单位自主防范与部信息中心统一监管相结合的综合防范措施和制度,确保农业部电子政务信息系统实现主动预警、主动监测,及时发现和处理安全隐患。
⒋技管并重,全面管理
在信息化条件下,要从技术和管理两方面,采取多种有效措施,制定包括涉密信息系统人员、环境、设备、网络、机构等多方面的全面信息安全管理制度,把传统的信息安全管理制度、方法、措施与现代信息化技术相结合,充分发挥技术保障作用和行政管理职能,建立系统化的信息安全管理制度体系。
三、电子政务系统安全制度规划建设的主要内容
根据新形势下农业部信息安全工作的实际需要,在充分梳理原有信息安全制度的基础上,结合国家现行信息系统信息安全管理的有关规定,重点从以下8 个方面规划建设农业部电子政务信息系统的安全管理制度。
(一)完善责任制度,强化组织领导和责任落实
通过制度建设,一是确立分级管理体制。按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,实行分类分级管理体制。二是明确各部门、各单位的信息安全管理职能。农业部办公厅负责组织协调和监督检查,农业部信息中心具体承担信息系统的建设、运行、维护和技术指导等工作,各司局、各有关单位具体负责本单位接入电子政务信息系统的设施设备和应用系统的安全管理。三是建立层层落实的安全工作责任制。明确农业部各机关司局、有关直属单位、信息中心、应用系统管理人员、信息系统使用人员的安全责任,人人签订责任书,层层落实、责任到人。四是建立奖惩制度。把各单位电子政务信息系统的信息安全管理与单位考核、个人考核挂钩,实行一票否决制。
(二)完善人员管理制度,强化全员全过程管理
制定严格的人员管理制度,对使用和管理电子政务信息系统的所有人员实行从人员录用、岗位职责、教育培训、安全监管、人员奖惩到人员离岗离职管理等多方面、严格的全过程管理,推行安全管理和年度考核挂钩的奖惩制度,切实有效地加强使用人员的管理。
(三)完善运行维护制度,强化日常安全运行管理
对电子政务信息系统的变更、应用系统的运行维护及新增系统的开发等提出安全建设的具体要求,明确规定新增应用系统在接入电子政务信息系统前,系统开发单位须在身份鉴别、访问控制和安全审计等方面进行安全功能的同步开发。规范各单位应用系统的使用管理,要求各单位结合实际情况建立相应的应用系统安全管理制度,包括系统维修与报废、备份与恢复、软件安装管理、系统配置变更管理等方面的规定。
(四)完善运行环境管理制度,强化电子政务系统安全的立体化管理
电子政务信息系统的运行环境涉及到农业部机关大院及周边环境、办公大楼内外环境、机房与配线间、行政机关所有办公场所,等等。通过制度建设,建立严格的办公场所及周边环境的安全巡防巡查制度、节假日运行环境值班制度、相关监控设施设备的检测检修制度、机房管理制度、配线间及相关设施的安全管理制度等,对电子政务信息系统所覆盖的空间及周边环境管理提出了规范性要求。
(五)完善设备和介质管理制度,强化信息载体的安全管理
通过制度建设,一是加强对无线、多媒体产品的使用管理。二是加强移动存储介质的使用管理。规定对农业部各单位的移动存储介质进行登记备案,明确责任负责人,严格遵循不交叉使用移动存储介质的规章制度。三是安全设备的规范使用要求。对农业部电子政务信息系统上部署使用的安全产品,指定专门的部门负责统一购置、统一部署,按照有关要求选用通过国家有关部门检测的国产设备。要求各单位指定专门人员负责安全设备的管理,按照“谁使用谁负责”的原则,妥善保管、规范操作,并按照相关要求做好安全设备的申请、标识、登记、更换、移交等工作;对安全设备和介质的维修与报废进行了严格规定。四是建立农业部计算机的软件安装列表,对电子政务信息系统使用的所有软件实行许可制度,禁止擅自安装和使用未经许可的软件。
(六)完善应急响应管理制度,强化应急突发事件的处置能力
制定农业部电子政务信息系统的安全应急响应预案,要求各单位根据实际情况,结合安全审计等措施,指定专职管理人员进行安全监测工作,定期开展安全分析和风险评估,对发生异常事件后的应急响应措施和处置流程提出了明确要求。
(七)完善信息安全政策宣贯制度,强化信息安全教育
针对机关及事业单位工作人员电脑技术基础薄弱、信息安全知识缺乏的现状,建立信息安全政策宣贯制度。一是建立信息安全法规讲座制度、信息安全宣传周制度和信息安全问卷制度等,要求采取灵活多样的形式,开展信息安全法规制度宣传,营造信息安全法制宣传氛围,提高广大干部职工的信息安全意识;二是建立定期培训教育制度,根据网络安全现状和信息安全的要求,明确规定定期开展公务员和事业单位人员的信息安全培训,全面提高农业部广大干部职工的信息安全意识和防范能力。
(八)完善信息安全督查执行制度,强化信息安全制度的有效落实
通过制度规划建设,将监督检查作为确保农业部信息安全工作成效的一项重要举措和长效机制,规定各单位要按照不漏一机、不漏一网、不漏一人的要求,定期自查、全面整改,农业部办公厅重点抽查。通过监督检查,及时发现存在的问题与风险隐患,尽快组织整改落实,确保信息安全工作切实有效。
四、电子政务系统安全制度规划建设的主要成效
农业部通过系统化地规划、构建和落实信息安全制度,有效地提高了电子政务信息系统的安全防护水平。
(一)提升了农业部电子政务信息系统的综合防范能力
通过建立和健全各项信息安全制度并严格执行,全面规范了农业部电子政务信息系统在电磁防护、身份鉴别、访问控制、安全策略、介质管理等多方面的安全操作行为,强化了病毒防护、入侵检测、漏洞扫描、安全审计、主机监控等多种安全手段,使农业部电子政务信息系统较好地达到国家有关标准的要求,并顺利通过了国家有关部门组织的安全测评,系统的安全防范能力得到了全面提高。
(二)杜绝了违规互联、无线设备使用及存储介质交叉使用等违规行为
通过全面建设和贯彻落实各项安全制度,基本杜绝了机关工作人员违规互联、无线设备使用及存储介质交叉使用的违规行为。从2 0 0 9 年以来的安全检查结果看,与新的安全制度实施前普遍存在的交叉使用存储介质、违规互联、违规使用无线设备情况相比,在农业部计算机终端及百余台网络设备的使用和管理中已基本不存在上述违规问题,大大降低了安全风险和安全隐患。
(三)降低了信息系统恶意代码入侵和安全漏洞隐患
通过各项安全制度的建设和贯彻执行,确立了农业部技术防范、监测预警、监督检查“三位一体”的安全监管体系,不断加强技术防范措施,利用漏洞扫描、主机监控、安全审计、病毒防控等技术手段实现主动监测预警,同时定期开展监督检查,强化制度落实,有效控制了各种病毒、木马等恶意代码对网络的侵袭,减少了安全漏洞隐患,降低了非法入侵风险。近期安全检查及漏洞扫描的结果显示,农业部计算机感染病毒木马、存在安全漏洞等隐患的现象已由之前的普遍现象转变为现在的个别现象,系统安全性得到全面提升。
(四)增强了农业部广大干部职工的信息安全意识
通过信息安全政策宣贯制度、安全知识培训制度、安全督察执行制度的实施,在农业部广大干部职工中有效普及了信息系统信息安全知识,增强了农业部广大干部的信息安全意识,规范了信息安全行为,提高了机关工作人员的信息安全技术防范水平,切实增强了农业部电子政务信息系统的安全防范能力。
五、农业部电子政务系统安全制度规划建设的主要经验
总结农业部电子政务系统信息安全管理的实践可以看出,农业部在安全制度规划建设方面进行了一些有益的探索和尝试,积累了一定的经验。
(一)领导重视安全保密制度规划建设
农业部领导高度重视信息安全制度建设工作,部领导多次批示,要“切实完善落实各项制度,要严格落实安全责任制”;主管副部长亲自研究部署制度建设工作。在部领导的关心和支持下,在较短的时间内,根据新形势的需要和信息安全存在的问题,农业部迅速完善了网络化条件下的信息安全制度体系。
(二)完善信息安全的组织机构
为切实做好信息安全工作,农业部设立了由有关单位主要负责同志参加的农业部保密委员会,下设了保密办公室;同时,在新一轮机构改革中,在办公厅设立了督察保密处,与部保密办合署办公,专职负责国家政策的贯彻执行与农业部信息安全制度的制定落实;在信息中心设立了信息安全处,专职负责信息系统信息安全的技术防范工作;机关各单位明确了专职负责信息安全工作的机构和人员。在这些部门的协同努力下,农业部信息安全制度的建设得到了有效推进。
(三)创造性地贯彻落实国家安全法规
国家有关的信息安全管理标准规范是我们掌握规律、解决信息安全技术防范和管理难题的理论和政策依据。因此,必须严格按照国家有关规定进行相关建设管理。农业部办公厅、信息中心在认真学习、充分领会并全面掌握国家有关法规标准要求的基础上,针对农业部电子政务信息系统存在的突出问题与隐患,结合原有制度中亟待改进的内容进行修改完善。同时,充分借鉴其他部委单位的有效做法,在国家法规标准和农业部原有规章制度基础上创新思维,确保农业部电子政务信息系统的信息安全制度建设目标明确,切实有效。
(四)充分发挥技术部门的作用
信息系统信息安全工作技术性、政策性很强。在农业部电子政务信息系统信息安全管理工作中,农业部充分发挥了信息中心等技术部门的技术支撑作用,结合信息安全存在的问题,从技术角度建设和完善了电磁防护、身份鉴别、访问控制、介质管理、病毒防护、漏洞扫描、安全审计、主机监控等多方面的管理规范,有效地提高了农业部的信息安全防范能力。
(五)全员参与信息安全制度规划建设
农业部电子政务信息系统覆盖范围广,涉及单位多,同时,信息安全工作与每位工作人员息息相关,仅仅依赖一个部门或一个单位的力量难以落实。在农业部保密委员会领导下,农业部在信息安全制度建设过程中,注重调查研究,充分听取各司局、各单位人员的意见和建议,充分调动所有单位参与信息安全制度建设的积极性,确保所制定的信息安全制度的可操作性和实用性。
虽然农业部在电子政务系统安全管理制度的规划建设方面做了不少工作,也取得了一定成效,但与当前技术进步速度和网络安全要求相比还有差距。农业部将根据新的形势和实际需要,进一步加强电子政务系统信息安全制度建设,不断提高安全防护能力,确保为“三农”服务工作中的信息安全。