【认真做好基于互联的电子政务信息安全保障工作】 保障电子政务信息安全的对策

　　为贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）精神，探索不同业务模式下电子政务信息安全保障的方法，发现和解决电子政务信息安全建设和管理中出现的一些共性问题，我办决定在河南省济源市开展基于互联网的电子政务信息安全保障试点。几个月来，济源的试点工作按照预定的目标扎实推进，做得很好。特别是济源市委、市政府领导高度重视，书记、市长两个一把手亲自过问，市委副书记、常务副市长亲自组织研究解决具体的问题，这一点非常不容易。这是济源试点工作的重要经验。下面，我结合试点情况，讲几点意见，跟大家一起讨论。
　　
　　要充分认识基于互联网的电子政务信息安全保障试点的意义
　　
　　互联网是信息化的重要基础设施，积极利用互联网进行电子政务建设，同时高度重视信息安全问题，是加快信息化发展，推进电子政务的必然要求，也是信息技术发展的趋势。利用互联网开展电子政务业务，既能节约资源、节省成本，又能提高效率、提高服务的覆盖面。这一点对于经济条件相对落后、交通不便的中西部地区具有特别的意义。
　　当今，以互联网为代表的网络技术迅速发展，宽带互联网、无线移动网、基于电力传输线路和广播电视的网络迅速普及并走向成熟，各种网络之间的相互融合势在必行。在这种情况下，如果我们不充分利用先进的技术和现成的基础设施，而是仅仅依赖建专网或者搞不必要的物理隔离，将意味着造成更多的信息孤岛，意味着系统不能互通、信息不能共享、服务不能到位，意味着捆死我们自己的手脚、失去信息化的机遇和优势。这将造成我们信息化和电子政务建设的尴尬，这种情况我们谁都不希望再继续下去。值得我们借鉴的是，跨国公司的经理们提个笔记本电脑在世界任何一个地方都可以办公，充分利用了互联网的便利，极大地方便了工作，极大地提高了效率，极大地增强了企业的竞争力。应该看到，目前无论是我们的企业还是政府组织都没有很好地做到这一点，我们需要积极地尝试，需要继续努力。
　　另一方面，在互联网上开展电子政务建设，也符合电子政务的初衷。我们推进电子政务，特别是省级以下的电子政务，主要的目的是要面向群众、面向社会提供服务，提高为群众服务、为社会服务的效率和质量。广大老百姓不可能上专网，如果我们费了很大精力、花费巨资建设的电子政务，只能在我们这个小圈子里应用，而不能对公服务特别是对老百姓服务，就违背了我们开展电子政务的初衷。
　　总之，济源的这个试点，适应了时代发展的趋势，适应了信息化发展的要求。我们要充分认识此次试点的意义，把这个试点做好。要通过试点带动济源市的电子政务建设，同时，为全国地方电子政务信息安全工作摸索新的经验、探索新的模式。
　　
　　要把握好保证安全、促进应用这个原则
　　
　　在互联网上开展电子政务，信息安全问题至关重要，必须予以高度重视，要通过采取切实有效的技术措施和加强安全管理来保安全、促应用。这里，我讲三点。
　　第一，要相信，通过合理的安全技术措施和科学的管理可以保证互联网的安全利用。我们这次试点，并不试图解决互联网上的所有安全问题，而是要解决如何安全地利用互联网这个平台进行信息传递，向老百姓提供服务。对于这种特定环境、特定应用中的安全问题，专家告诉我，可以通过技术和管理措施来解决。事实上，世界上许多跨国公司和政府机构甚至军队都在积极利用互联网，这中间肯定不乏商业秘密、敏感信息。这难道不是安全利用互联网的很好例证吗！
　　第二，在这个试点中，我们还是要坚持适度安全的原则。适度安全并不是说安全不重要，也不是说在安全这个问题上“差不多就行了”。我们提倡适度安全，就是要在安全问题上“算笔账”，就是要用风险评估的方法，用等级保护的要求进行安全建设和管理。互联网上情况复杂，威胁也多，保障安全的难度也大，但我们仍然要坚持从实际出发，按照27号文件的说法，就是要综合平衡安全风险和建设成本，合理配置信息安全资源。希望济源的试点进一步明确、具体化安全目标，而不要追求“绝对安全”，不要片面强调“万无一失”。只有这样，我们才能做到不花太多的冤枉钱，也只有这样，我们试点创造的经验和模式对其他地方特别是经济落后的地方才有借鉴和推广价值。
　　第三，要切实用好安全技术措施，落实好安全管理制度。
　　目前，试点还处在建设阶段，这种建设包括技术措施建设和管理制度建设。在这一阶段高度重视信息安全问题是对的，但在实际运行期间还应该更加重视信息安全问题。如果做不到这一点，试点就不可能成功。我们现在很多信息安全问题，不是由于没有安全管理制度，也不是由于安全技术措施不过硬造成的，而是由于我们的安全意识不强、安全素质不高、制度不落实造成的。对此要客观地加以认识，具体地进行分析，不能将这个“账”记在信息化的头上，也不能简单地由此得出“安全技术不过关”的结论。信息安全是高技术的对抗，解决信息安全问题，从根本上讲还得“管理与技术并重”。我们的试点要特别注意管理与技术结合的问题。
　　
　　要坚持大胆实践、大胆创新
　　
　　既然是试点，我们希望成功，也允许不成功。但在信息化和信息安全的进程中，我们要走这一步。因此，希望同志们要解放思想，勇于探索，敢于试，积极地试。对此，我也讲三点。
　　第一，试点工作要继续遵守国家有关政策规定特别是保密、密码制度。试点方案已经明确了涉及国家秘密信息不上网、保护敏感信息使用国家规定的商用密码等，要严格遵守这方面的规定和要求。把握住这一条，即使有什么闪失也不会出大问题。
　　第二，在认识到各部门、各地方已形成了一套行之有效的信息安全工作制度，积累了许多经验的同时，也要看到，目前确有一些思想观念、政策规定、管理方法已不能与信息化快速发展、经济全球化迅速发展的形势相适应，需要加以调整和完善。我们的试点应该在这方面作出积极有益的探索。
　　第三，各有关部门要从支持信息化发展和电子政务建设的高度，积极支持济源的试点工作，在加强指导的同时，也要注意创造一个有益于创新、摸索、实践的氛围，保护和引导基层同志的积极性、创造性。
　　济源试点工作取得了阶段性成果，各方面都付出了很大的努力。但是，离我们的目标还有一定的距离。希望河南省信息办以及公安、保密、密码等省直有关部门继续加强对试点工作的指导和支持；希望济源市委、市政府继续加强领导，抓好试点；希望济源市信息办的同志们继续努力，做好试点各项工作；希望解放军信息工程大学的专家教授们继续做好试点的技术后盾。总之，各有关方面要相互支持，密切配合，齐心协力，共同实现试点的目标和意图。
　　(本文是王渝次司长在河南济源电子政务信息安全试点调研时的讲话)