第 3 章 完善青岛市“E 证通”数字证书应用的对策建议
3.1 高度重视信息安全的问题
随着网络的泛化和无边界化,网络安全问题会越来越严峻。单就恶意代码一项,就呈现出爆炸增长的趋势。目前全球已经有 50 亿恶意样本,每天还将以 300 万种的速度产生。如果把恶意代码问题看作天灾的话,那么现代网络同时还面临着“人祸”.“棱镜门”事件揭露了网络数据被监听的事实,暴露出国家安全、网络安全形势严峻。无论数据被恶意代码破坏,还是被黑客监听,最终都使得安全问题回归到了安全体系如何建设这样一个根本命题。网络入侵与网络安全自始至终都是矛与盾的关系,但这也能给“E证通”数字证书带来一些启示。对于来自外界的网络入侵,有如下几种应对措施。
3.1.1 完善“E 证通”企业数字证书机房的网络安全建设
机房的作用是保障数字证书的安全和稳定,如果连数字证书的服务器安全都得不到保障,那又如何保障电子政务的安全?所以,机房的网络安全是“E 证通”企业数字证书工程的重中之重。“E 证通”企业数字证书的网络安全防护措施主要有如下几种:
(1)使用正版软件。既是保护知识产权,又能够及时下载安装最新的操作系统及其它应用软件的升级补丁,以修补系统漏洞,确保系统的安全。
(2)防止计算机病毒。目前,计算机病毒极易借助网络高速扩散,严重威胁着网络的安全和稳定。因此必须安装网络版杀毒软件,通过统一的控制台对数据中心的所有病毒防范系统进行管理,定期下载病毒特征码数据库并统一的分发,指定专人对杀毒软件进行管理与维护。
(3)网络防范。通过将网络划分 VLAN,把内部网划外网和内网,内外网之间互不连通。这么做的好处是防止外部用户进入内部网络,访问内部计算机;同时也保证外部用户访问到某些指定的公开信息[24].
(4)安装网络安全监测防护系统。对服务器、网络、业务流程等进行全面监测,动态地监测网络内部活动并做出及时的响应,要依靠基于网络的实时入侵监测技术,监控网络上的数据流,从中检测出攻击的行为并给予响应和处理。网络监测系统要能够寻找安全漏洞、提供报警功能,尽最大可能弥补新的安全漏洞并消除安全隐患[25].
3.1.2 建立高等级的备份容灾系统
2005 年 4 月,国务院信息化工作办公室正式向信息产业部、广电总局、中国人民银行、铁道部、税务部、民航总局、海关总署、证监会、保监会、国家电网公司下发了《重要信息系统灾难恢复指南》。
该指南主要从灾难恢复规划的管理、灾难恢复的需求分析、灾难恢复等级的确定、灾难恢复等级的实现、灾难恢复预案的制订、落实和管理等方面,对灾难恢复的规划和准备活动的规范化要求进行全面描述。
《重要信息系统灾难恢复指南》还以规范性附录的形式对灾难恢复的等级划分进行了描述,并以灾备资料性附录的形式对灾难恢复预案的框架进行了说明。
2007 年 7 月,国务院信息化工作办公室领导编制的《重要信息系统灾难恢复指南》正式升级成为国家标准《信息系统灾难恢复规范》。这是中国灾难备份与恢复行业的第一个国家标准,并于 2007 年 11 月 1 日开始正式实施。
美国的世贸大厦于 911 事件中被毁掉后,该楼内不少公司因为自身信息系统不存在容灾备份的功能而倒闭,而那些具备这一功能的企业在短时间内恢复业务。这个事例说明了信息安全所具备的重要性。对企业来说是如此,对于政务事务来说更应普及。在应用电子政务逐渐广泛的同时,机关内部的日常管理、办公与服务涉及的各类资源都集中在计算机中心服务器内,一旦有灾害发生而导致损坏,就会引发十分严重的后果。因此建立起可靠的备份容灾系统,可以有效的对电子政务系统的安全性加以保障。
3.1.3 加强对信息安全相关规章制度的建设
信息安全具备整体性与动态性的特点,所有对安全加以完善的技术缺少规章制度的保障,都无法实现安全性提出的要求。数字化传送、存储这个技术不断的在更新,需要紧随信息技术发展的动向,把真实可行安全信息规章的制度制定起来,以确保信息具备安全性,是重要的支撑点。为此,
一要严格按照现行的法律法规规范网络行为,维护网络秩序,同时逐步建立和完善信息安全法律制度。要加强信息安全标准化工作,抓紧制定急需的信息安全和技术标准,形成与国际标准相衔接的具有中国特色的信息安全标准体系。
二要建立健全各项规章制度和日常工作规范。要根据网络和信息安全面临的新情况、新问题,紧密联系本单位信息安全保密工作的实际,本着“堵漏、补缺、管用”的原则,抓紧修订、完善和新建信息安全工作的各项规章制度及操作规程,切实增强制度的科学性、有用性和可操作性,使信息安全工作有据可依、有章可循。
三要重视安全标准和规章制度的贯彻落实。有了制度,不能把它束之高阁。不按制度办事,是造成工作失误和安全隐患的重要原因。很多不安全因素和工作漏洞都是由于没有按程序办事所造成的。因此,要组织信息化工作人员反复学习有关制度和规范,使他们熟悉和掌握各项制度的基本内容,明白信息安全工作的规矩和方法,自觉用制度约束自己,规范工作。
四要建立完善对制度落实情况的监督检查和激励机制。工作程序、规章制度建立后,必须做到行必循之,把规章制度的每一条、每一款落到实处。执行制度主要靠自觉,但必须有严格的监督检查。要通过监督检查建立信息安全工作的激励机制,把信息安全工作与年度考核评比及“争先创优”工作紧密结合起来,激励先进,鞭策后进,确保各项信息安全工作制度落到实处。各地、各部门要不定期地对本地和本系统的制度落实情况进行自查自纠,发现问题及早解决。
3.2 建立健全使用管理规办法,强化培养电子政务人才
3.2.1 建立健全使用管理规办法
政府机关应当规范政务数字证书的使用和管理,加强身份认证、授权管理和责任认定等工作,保证安全生产监管业务应用系统的使用安全。在制定使用管理办法的同时,应当符合《中华人民共和国电子签名法》、《中华人民共和国保守国家秘密法》、《电子认证服务管理办法》、《电子认证服务密码管理办法》、《国家行政机关和企业、事业单位印章的规定》的有关规定
(1)申请使用“E 证通”数字证书的政府机构、法律法规授权的具有管理公共事务职能的组织、企事业单位、民办非企业单位(以下简称单位)或者个人,应当向电子认证服务机构提供合法、有效的证件或者证明材料。经审查符合申请条件的,双方签订数字证书使用服务协议,由青岛数字认证中心发放数字证书并收取相关费用。因开展电子政务活动或者社会公共服务活动申请“E 证通”数字证书的,应当由单位集中办理。
(2)“E 证通”数字证书应当保存在符合国家密码管理相关规定的载体中。数字证书持有人应当妥善保管数字证书及其密钥,未经明确授权,不得随意转借他人使用。单位需要使用 2 个及 2 个以上数字证书的,应当建立内部规章制度,明确数字证书的实际保管人、使用权限、用途、登记、发放等内容[26].
(3)作为青岛市电子认证服务机构的青岛数字认证中心,应当按照《中华人民共和国保守国家秘密法》、《电子认证服务管理办法》等的规定,建立完善的保密制度,履行保密义务,并接受有关职能部门的监督指导。除法律法规另有规定外,电子认证服务机构及其工作人员不得泄露数字证书持有人的身份信息和数字证书持有人委托认证机构保管的数字证书密钥。
(4)在使用数字证书的过程中,电子认证服务机构或者数字证书持有人违反《中华人民共和国保守国家秘密法》、《中华人民共和国电子签名法》、《商用密码管理条例》等法律法规的,依法予以处罚;构成犯罪的,由司法机关予以处理。
3.2.2 强化培养电子政务人才
电子政务方面的人才不但具备政务管理的知识,还拥有电子信息技术方面的知识,属于复合型的人才。支撑电子政务人才需要两个方面的知识,一方面是与现代政务相关的管理方面的知识,另一方面是有关电子信息的知识。根据这样的构成及特征,可以把电子政务人才划分成三种类型:
第一是电子政务的技术类型方面的人才,即在政府部门中专业的从事建设电子政务系统的人才,维护及修理系统的技术方面的人才。他们掌握的主要技术是计算机及网络技术、软件技术、信息处理及获取和通讯技术,能够运用有效技术的手段对电子政务加以建设;另一种是管理电子政务方面的人才,即在政府部门中主要对电子政务的系统加以建设的高级管理与决策人员。他们不但拥有十分先进的电子政务理念,还十分精通各类现代化政务管理,善于对现代行政的信息加以归纳,能够借助信息的整合与共享对决策和流程进行优化;第三类为电子政务应用方面的人才,在政府部门中,他们对所有的电子政务系统进行运用,包括政府职员与为政府提供服务的相关人员。他们无需具有十分好的计算机理论知识,但是要对电子政务方面的知识及概念有一些了解,知道怎样运用计算机,知道一些和计算机有关的知识,会运用各种办公软件,会运用各种电子政务方面的应用软件,这一类人员本质上是执行与受用政务活动的人,且具备较多的人数,也是目前亟需解决的问题。青岛市政府应当继续开展“E 证通”数字证书的培训与推广,培养政府人员以及企事业单位业务操作员和主管人员,以提高他们正确使用数字证书的能力。对于管理型人才来说,主要分为单位领导、业务部门领导以及信息化部门领导。针对单位领导,应当主要培训电子政务基本概念、电子政务发展战略、电子政务发展趋势、计算机及网络操作的基本技能等;针对业务部门领导,应当主要培训 电子政务的基本概念、信息技术在业务管理中的应用、信息技术在公共服务中的应用、计算机及网络操作的基本技能等;针对信息化部门领导,应当主要培训电子政务发展规划、电子政务项目管理、电子政务产品选型等。
如今的电子政务潮流下,每一位参与电子政务的人员都需要了解与电子政务相关的知识,这样才能更好的促进电子政务主体间的互动。电子政务能否取得成效的关键是人,尤其是广大公务员。必须使他们真正认识到在纷繁复杂、瞬息多变的国际环境中,在快速发展、不断扩张的全球市场经济条件下,利用信息化手段增强政府的适应能力和应变能力,提高政府的监管和服务水平。电子政务实质上是信息技术在政府工作中的应用,这就要求公务员必须掌握一定的信息技术应用技能。我国应该加大针对公务员的信息化培训力度。建立公务员信息化培训制度,将信息技术应用技能纳入公务员考核体系,采取必要的奖惩措施。编制公务员电子政务培训大纲,编写一批高质量、实用的电子政务培训教材。将电子政务知识和信息技术应用技能培训纳入各级行政学院的教学计划,充分利用大专院校的教育资源开展电子政务知识和信息技术应用技能培训。通过举办各种形式的培训班,使广大公务员尽快掌握基本的信息技术应用技能。
