福建省電子政務信息安全管理研究一、福建省電子政務信息安全管理的問題（一）部門間協同共享還不夠好目前，福建省電子政務雖已形成云平臺，部分信息和數據已實現共享，但仍存在各自為政的問題。各部門電子政務平臺（官網）建設多注重自身工作，常采用獨立創建和使用模式，跨地區、部門、層級、業務的信息共享和業務協同還不夠力，信息孤島仍存，數據壁壘難以根除。比如，省發改委雖然初步建立了省級政府數據共享與交換系統，但它首先將自己與省級政務云平臺分離，更不用說發揮系統功能了。目前，在數據共享和使用方面，福建省的共享和交換主要有：財政、稅務、公安、交通等部門的信用平臺，市場、稅務、應急等部門的“五證合一”共享平臺，公安部門、交通管理部門等的居民信息平臺，基本上是一些政府部門之間的小規模共享和交流，缺乏省級的頂層設計和整體管理。因此，在信息安全管理中也存在著信息壁壘、缺乏協調等問題。從政務信息協同管理的角度看，雖省級信息安全聯席會議制度已建立運行，但在各部門在具體落實中，仍存各行其政、快慢有別的問題，同時具體操作中也有寬、松、軟、一陣風等現象顯現。通過對福建省電子政務信息安全年度檢查可知，很多被檢查單位雖然基本完成了各個環節的具體工作，但這些單位中的許多單位實際上在聯動完成相關工作中落實的不太好或者可以說是未完成，同時，由于相關配套制度滯后，導致與信息化發展步伐不太適應，導致職能業務一事一辦、個人信息重復采集、統計數據一數多源等情況仍屢見不鮮。從這個角度看，還有很多問題需要解決。電子政務信息安全管理體制和機制的正常運行，需要各部門、各機構的密切配合。但是，由于管理層次的廣泛性、具體工作的復雜性，以及各級政府、各部門的利益等，要保證管理措施有效落實，必須靠強有力的行政權力來推動來督辦。因此，此類協同管理制度機制需進一步改進和完善。（二）相關法律法規尚不完善電子政務的信息安全事關國家主權、社會安全，事關公眾的切身利益，須按照我國法律法規要求開展工作，讓電子政務時刻運行在法治軌道中。但目前來看，電子政務信息安全方面有關法律法規（尤其是上位法）體系尚不完善，還存許多漏洞。第一，國家級（上位法）法律法規不夠多、地方性法規及規章不夠完善。《網絡安全法》的實施為我國信息安全相關法律法規奠定了基礎，繪出了頂層設計。但國家級法律法規的總量仍小，尚未形成完善的法律體系。因此，在電子政務信息安全管理領域存在同樣問題，加之部門及地方相關法規規章作用范圍有限，影響了實施效果。此外，相關政府部門沒有建立權威的信息安全行業規范，也沒有制定基本原則和信息安全有關工作標準，導致不同技術標準、不同的傳輸協議等層出不窮，不能同軌接軌，形成了信息溝通傳輸不暢的客觀局面，部門間障礙逐漸加深。第二，法律法規統一性欠缺，實效性和權威性不強、通過對現有電子政務信息安全法律法規的研究發現，目前我國信息安全法律法規有60余項，但大多是地方性法規和規章，法律、行政法規（國家級上位法）數量較少，存在部門立法不統--的問題，導致立法水平低，權威性不強。第三，相關法律法規的具體承擔部門建立不夠完善，執法效果不強。到目前為止，尚無專門機構來推動實施相關法律或已有機構但因部門執法權力有限導致相關法律法規的實施不到位，加之相關配套的法律法規未出臺、不完善，導致電子政務的發展一定程度存在無法可依的局面，特別是電子政務經費的來源、預算、使用、監督等方面都無明確法律規定等。（三）從業人員意識和素質水平有待提升總的來看，福建省電子政務從業人員的安全意識和素質水平有一定保障，較大部分具有計算機專業的本科學歷，對電子政務或信息安全有2年以上的工作經驗。但不容忽視的是，相對于主動提升電子政務信息安全的風險意識，從業人員更注重信息安全產品的效能。對信息安全的風險意識基本停留在知道了解和不甚關心上，常常對信息安全可能存在的風險預估不夠，未從根源上意識到一旦發生信息安全事件，帶來的損失和影響是不可估量的，反而認為相關風險不會發生在本單位本平臺上，而對信息安全風險掉以輕心，造成風險。同時，福建省雖有時開展信息安全檢查、培訓等活動，但受檢查頻次、檢查內容和深入程度的影響：受培訓頻次、授課教師業務水平、處理信息安全風險事件的業務素質、對本省電子政務信息安全工作的熟悉程度高低不同以及學員的基本素質和提升水平等的影響，通過檢查、培訓等外因來提升從業人員素質的實際效果不夠好。此外，缺乏安全管理人員也是一個重要問題。關于電子政務信息安全事件中，部分造成嚴重后果的事件，主要是因為缺乏專業的管理人員及方法。任何工作的重點和關鍵都在于人，信息安全管理也不例外，而且是既需專業人才也需具有實際管理方法、手段的管理者。許多信息安全事件發生在內部從業人員身上，如：工作人員非法操作導致泄密、安全密碼長期不更新導致他人非法使用、甚至有“內鬼”故意泄露信息數據等等。從相關調查結果可以看出，一般來說，犯罪分子是從管理漏洞入手進行犯罪活動的。因此，做到電子政務信息安全必須有一支高素質的人才隊伍（專業人才和管理者）。（四）信息安全管理具體措施不完善隨著信息技術的迅猛發展，相應的電子政務系統管理模式應該及時更新，同步推進。從有關統計數據能夠看出，惡意程序對系統的攻擊威脅不是主要的，沒有大規模中毒和病毒傳播；而惡意代碼攻擊和病毒感染確實不容忽視的主要威脅。福建省電子政務外網覆蓋范圍廣，接入終端多，移動端（手機）、電腦端（PC）政務OA系統和政務外網一起開發。加之外網部署在因特網上，為木馬、病毒等惡意程序的網絡攻擊創造了一定機會。雖然PC（電腦）終端的安全防護技術較為成熟，但Mobileclient（移動終端）的安全防護技術并不完善，而受攻擊或感染的移動終端（手機端），只要點擊瀏覽電子政務外網或云平臺，就能攻擊、感染整個系統、平臺，導致存在很大安全風險隱患。因此，必須結合實際情況，盡快制定嚴格有效的電子政務信息安全管理措施。（五）電子政務信息安全保障技術水平不夠高1．缺乏技術保障國內大多數政府機構電子政務的發展依賴于引進國外技術和設備，不可避免地會帶來安全風險。缺乏自主研發和創新的安全技術和產品，使我國電子政務安全處于被動地位。此外，還缺乏技術安全體系架構。2．網絡安全域的控制與劃分較模糊網絡安全域可分為：密級域、非密級和公共服務域。密級域是指涉及重要國家秘密的網絡空間：非密級域是指不涉及國家秘密，但與組織、部門、單位的保密工作有關的網絡空間：公共服務域是指為社會提供公共服務的網絡空間，一般包括政府信息公開、公眾咨詢、公共服務等。從技術上講，VPN技術通常用于安全域劃分中的業務操作，但有些具體操作需要通過web瀏覽。在這個時候，會出現一些問題，比如如何處理web的位置、數據中心庫的位置，以及如何合理使用網絡安全設備來保證這些域的安全。這些問題都是由于我國網絡安全域劃分的模糊性造成的。在我國，明確規定政務內網要與政務外網物理分離，政務外網主要是為社會提供專業服務。這種方法在一定程度上有利于信息的安全，但只劃分了政府內部網的層次，而沒有進行分類，這必然增加政府建設的成本，增加保密的難度。此外，這種分類方式不利于信息的交流。二、福建省電子政務信息安全管理問題的原因（一）各部門缺乏協同管理的體系建設基礎在電子政務信息安全管理中，管理者往往重視創新技術，忽視系統建設。據有關部門統計，我國面臨的信息安全風險比例最高的是組織內部攻擊，其次是競爭對手攻擊，再次是黑客攻擊，最后是外國敵對政府攻擊。可以看出，電子政務信息安全不僅需要加強技術升級，提升防護等級，更要建立完善“行之有效、互聯互通”的安全管理體系。一段時期以來，部分政府部門大力提高“硬件"防護，但僅通過增設防火墻等常用設備來提高電子政務信息安全水平，而常常忽視對管理體系的完善，“軟件”方面沒有建立一套科學、合理、高效、完善的安全管理體制和機制。如：全面落實安全責任制督查檢查制度未確立，信息管理和認證體系分類標準及行業標準未建立，電子政務系統管理漏洞篩查及補救制度未建立等等。各機構之間的信息安全管理也不夠協調，無法實現“一步到位”，進而導致當信息安全事故發生時，應急救援工作無法協調推進、相關信息資源技術資源無法有效利用、責任劃分時推諉扯皮等現象出現的風險大大增加，導致在處理相關事務上花費更多的時間、精力、資源，最終甚至無法及時有效處理，造成嚴重不利后果。（二）法律法規體系及標準體系有盲區目前，我國權威的信息安全行業標準未完全建立，國家級權威性法律法規的引領、支持、規范作用發揮不夠明顯，技術產品認證、評估和安全等方面尚未達到理想狀態。而福建省相關地方性法規及規章制定也未完善，相關可以參照執行的標準同樣不多，致使省級各部門的信息安全建設探索性較強，通用性較一般，信息共享共用不暢，未形成有效的信息安全防御矩陣，各單位防御薄弱。如果不盡快完善相關法律體系及標準體系，將形成不小的安全風險，同時也會各類信息安全事件的處置和應對。（三）隊伍建設的重要性認識不足目前，福建省電子政務信息安全從業人員的隊伍建設不夠好的主要原因是對這方面的認識水平不夠高，對專業信息人才和安全管理人才的重視不夠，相應的晉升渠道不夠明確，導致人才自我提升受限。隊伍建設方面存在諸多問題中，最嚴重的問題是能引進人才卻不能留住人才，在人才的有效使用和培養選拔上有欠缺，導致省內從業人員數量。上和整體素質水平上與其他發達省份相比較差。（四）電子政務信息安全防御和保障體系建設完善力度不夠大目前福建省電子政務信息安全防御和保障體系初步建成，但其技術水平還不夠高，究其原因是福建省對電子政務的便民服務效果更為重視，對信息安全防御保障的關注力度較小，對推動福建省電子政務信息安全防御和保障體系完善落實力度還不夠大，對電子政務信息安全防御和保障的極端重要性認識不深，對當前網絡安全嚴峻形勢了解不透。當前，國內外的網絡空間安全威脅不斷加劇，一方面網絡安全威脅影響范圍不斷擴大，另一方面數據泄露和勒索攻擊進入到前所未有的高發期。（五）信息安全核心技術仍受制于人福建省本省掌握的信息安全核心技術較少，不能滿足自給自足的工作要求。目前來看，大部分電子政務工作從業人員使用的均是國外系統或軟件，雖然福建省政府在各級各部門已逐步推開使用國產“安可”設備，但全面使用并替換國外設備仍有很長的一段路要走。截至2020年3月底，據了解，福建省電子政務從業人員中，大部分從業人員依然使用國外系統或軟件。具體而言，在高端芯片、核心軟件、關鍵部件、專用設備、儀器儀表等方向，相關技術高度依賴國外。我國政府部門近一半的信息設備和系統主機設備是國外品牌產品，金融、電信等領域9%的主機設備是國外品牌。而且，我國的信息安全建設缺乏行業標準，信息安全標準化是電子政務建設的重要組成部分，在其中起著規范和主導作用。然而，在當前的電子政務信息安全建設中，缺乏統一權威的、科學高效的信息安全標準和規范化的工作機制。因此，各級信息安全體系建設不統一，難以整合。不僅應用程序之間的無縫連接比較麻煩，而且信息系統的安全性也不能完全保證，后期的操作和維護也比較困難，很多安全基礎設施建設往往是一種擺設，沒有投入使用就被淘汰了。三、福建省電子政務信息安全管理問題的對策建議.（一）完善福建省電子政務信息安全管理體制第一，建立完善福建省信息安全聯席會議制度。建議建立省、市、縣三級信息安全聯席會議制度，聯席會議召集人由黨委政府主要負責人擔任，各有關單位主要負責人任會議成員。聯席會議制度建議定期召開會議分析研判形勢、總結經驗教訓、安排部署工作等等，通過建立一把手負責的電子政務信息安全管理體制加強領導，來關注和推動電子政務信息安全各項工作。第二，優化頂層設計，加強跨部門協同管理。建立并推進福建省省級信息安全聯席會議制度，明確各單位工作職責和相關責任，制定聯席會議配套制度，著力打通各部門間的信息壁壘，逐步實現互聯互通，共享共用：著力理順信息安全管理體制機制，將云時代公司等省屬或國有專業技術公司納入體制機制中，為實現“專業人做專業事”奠定良好基礎：著力優化部門間技術、數據、人才等協作援助機制，形成“共防共克”的應急援助協作局面。同時，我們可以借鑒一些新公共管理理論，進一步優化簡化福建電子政務信息安全管理的組織結構，實現管理質效再提升。第三，更新完善各部門信息安全管理機制。在省級信息安全聯席會議的總框架下，各成員單位要按照聯席會議的工作安排及制度設計，及時更新完善本單位本部門的相關管理制度、機制，使之與省級聯席會議各項工作有效銜接，及時推進。這樣一來，在同樣的框架下，福建省各省級成員單位內部管理制度機制就在理論和實踐中可以高度相似，在部門間的工作交流、協作上更暢通、有效。建議建立省級部.門間信息風險實時反饋制度，各部門可將實踐中出現的問題及時反饋上級部門、通報有關同級部門，共同研究提出解決方案，并因地制宜調整管理內容，采取相應措施，提高信息安全管理的實效性、有效性和聯動性。（二）建立完善福建省電子政務信息安全地方性法規及相關標準1.完善電子政務信息安全的地方性法規及規章電子政務信息安全只能“萬無一失”，決不能“一失萬無”。電子政務信息的被盜或泄露造成的后果和影響往往難以估量。在國家級相關法律法規體系不健全不完善的情況下，福建省應積極探索制定涉及電子政務信息安全方面的相關地方性法規和部門規章。可在上位法允許的范圍內，將好的經驗做法上升為法律法規，推動制定具有地方特色的地方性法規規章，要有整體立法規劃，確保立法質量的同時要盡可能形成完整的制度體系，對重要環節或關健內容要優先立法、及時立法。要開闊視野，對其他省市的先進立法經驗和成果要調研學習借鑒，及時修訂（修正）或廢止一些老舊法規規章，使之盡可能與當前信息安全工作相適應，具有較強的引領、規范作用。逐步營造出更加完備、更具操作性和實效性的電子政務信息安全法律環境，推動福建省電子政務更加規范，讓其在法治化軌道上安全運行……首先，大力推動電子政務信息安全現行相關法律法規的有效施行，加大對施行效果的跟蹤問效和實踐評估。不能想當然地認為正在實施的法律法規是萬無一失的，對實踐中及理論研究中發現的現行地方性法規、規章有不完善或需改進的地方，各部門可以及時記錄總結。建議設立地方性法規、規章實效反饋渠道，對部門或人民群眾提出的修改意見進行收集匯總。適當時候，可以提請省級人大或政府對相關地方性法規、規章進行修訂（修正）或廢止。2.促進電子政務信息安全標準化福建省在推動標準化建設時要注重推進電子政務信息安全相關標準的設立和實行。要制定工作標準、質量標準和評價標準體系，使具體的安全管理或信息數據的使用、儲存、傳輸等符合規范。在推動建立相關標準體系時，考慮到全省各地情況并不相同，建議分層分步統籌推進，既要針對當前最關鍵最重要的工作率先考慮部署，也要制定中長期規劃，形成推進體系，最終實現全面建立實行。具體標準在設定時要充分考慮福建省不同地區的發展程度和經濟水平，在確保信息安全能得到有效保障的基礎上，先期提出較低但易達成的相關標準，然后根據整體推進情況適時提高相關標準。為提高地區間信息效率的利用率，可以采用統一的程序語言和結構，形成更緊密的合作關系。（三）著力提升信息安全風險意識在全省范圍內宣傳信息安全知識，為后續的信息安全管理工作打下良好的基礎。在這一過程中，政府機構扮演著決策者的角色，而其他非政府機構扮演執行者的角色，政府要推動出臺一系列政策，開展教育、培訓等多種具體活動，在全社會范圍內營造“信息安全、人人有責”的共享共治氛圍，著力提升全民的信息安全意識水平，著力提升全民對信息安全管理工作的重視和配合程度。尤其對于具體從業人員，要加強榜樣教育和警示教育力度，通過正反典型對比來進一步樹勞信息安全防護意識和風險意識，從思想源頭上把好關。（四）加大信息安全人才隊伍建設投入和力度面對福建省信息安全人才匱乏的實際情況，要加大人才的招聘力度，加大相關經費的投入，制定相應的人才培養計劃，培養具有職業道德素質的人才，確保人才“招進來、用得好、留得住”，實現人才供應有序銜接，確保電子政務信息安全工作有力有效。建議建立完善信息安全人才招聘計劃，針對福建省現有人才缺口分專業分類別，從各地知名高校、網絡企業等渠道分批次招聘，對優秀人才要加大支持力度，出臺相應的優惠政策，做到“安人心、用人才”。建議建立完善信息安全人才培養體系，研究制定資格認定和考核機制，分層次分類別調整培養側重點。要高度重視并進一步加強政治素質和保密意識的培養