2005年,河南省济源市被确定为“国家电子政务信息安全保障试点”和“中西部地区信息化建设调研基地”。2006年10月,在国家电子政务信息安全试点现场会上,济源基于互联网开展电子政务信息安全试点工作取得的成绩获得国信办等部门的充分肯定,一致认为:济源成功探索出了基于互联网开展电子政务的新方法,初步形成了基于互联网开展电子政务建设的信息安全保障新模式。有力促进了济源信息化的快速发展,而且也为中西部地区信息化建设探索出了一条新的发展道路。本文对济源市结合自身实际情况,探索基于互联网开展电子政务建设的新模式作出介绍,希望能对当前地市级城市的电子政务建设和如何在信息化发展中做好信息安全及信息安全防护工作提供参考和借鉴。
一、主要做法
互联网是信息化的重要基础设施,是国家重要的战略资源。利用互联网进行电子政务建设,经济方便,覆盖面广。据统计,济源市政务信息中涉密部分总量不超过3%,基于互联网开展电子政务,既可以充分利用网络资源,节省建设成本,又能扩大服务范围。但互联网作为一个开放的网络环境,在安全方面先天不足,存在着诸多隐患,基于互联网的电子政务建设面临着信息失泄密、非法篡改、身份假冒等威胁。但通过采取适当的措施,这些问题是可以得到解决的,这在国外已有很多成功的案例。为此,我们确定了完全基于互联网开展电子政务的建设思路,不拉专线,不建专网,坚持“保安全,促应用”的原则,开展电子政务建设。
1.充分调查研究,明确建设内容 需求分析是系统建设的基础。立足济源实际,我们先后开展了50余次调研,在此基础上,确定了基于互联网建设四个系统:即面向政务部门的政务办公系统、面向广大农民群众的“新农村信息服务系统”、面向公众的“项目管理系统”和“12345便民热线系统”。
2.合理定级防护,实现安全办公与开放服务有机统一 在试点建设中,我们积极贯彻等级保护思想。从实际出发,对系统和信息合理分级、分域存储,综合平衡安全成本和风险,优化信息安全资源的配置,实施分级分域防护。
(1) 进行风险分析 互联网是一个无行政主管的全球网络,由于其自身的开放性和缺少安全机制,安全隐患多,使基于互联网开展电子政务的应用面临着严峻挑战。
第一,内部办公和对外服务的融合是基于互联网的电子政务面临的新情况,必须有效解决安全办公与开放服务有机统一的问题。
第二,互联网上身份假冒、口令窃取等威胁直接影响身份的真实性和信息的可信度,必须实行统一身份认证和授权管理,建立强认证机制。
第三,存储或传输的信息在互联网上易被窃取或篡改,必须保证敏感信息存储,特别是传输过程中的机密性和完整性。
第四,恶意攻击是基于互联网电子政务建设面临的主要威胁,必须提高系统的抗攻击能力。
第五,病毒传播和扩散是基于互联网电子政务建设的重大隐患,必须建立有效的病毒防护机制。
(2) 合理定级,分域防控。
第一,合理定级。系统定级是实施等级保护的前提。为此我们开展了不同层次的系统安全定级调查活动,通过对调查结果进行分析表明,各政务子系统安全等级应确定在1至3级。
第二,合理划分安全域。按照应用系统安全等级、数据流相似程度、硬件和软件环境的可共用程度、安全需求相似程度,将整个电子政务业务系统分为敏感数据处理区和公开数据处理区。
第三,分域防护。公开信息处理区用户无须身份认证、加密传输就可以访问。敏感数据处理区又分为内部公开和内部受控两类,内部公开信息必须通过加密隧道确认用户身份,进入敏感信息处理区,采用口令或数字证书进行身份认证后,才可实现对内部公开信息的访问。内部受控信息必须采用数字证书认证方式进行身份认证,同时增加了应用层的授权与访问控制措施,实现受控访问。
3.遵循一体化思想,确保系统安全 按照方便使用和便于管理的原则,在系统建设中,坚持“五个一体化”思想,从而形成了基于互联网电子政务的一体化安全保密体系,使得系统建设更经济,运行更安全,使用更方便,管理与维护更容易。
一是身份认证一体化。指用户系统登录、移动用户接入、应用系统登录一次性认证,用户认证与实体认证同步完成。
二是授权管理一体化。应用系统、功能模块、信息访问实行集中授权。
三是等级保护一体化。指物理分域与逻辑分域相统一、网络控制与应用控制相统一、系统分级与数据分级相统一。
四是安全保密一体化。将VPN密码机与防火墙合二为一,同步实现了网络安全互联、边界防护和移动安全接入,减少了产品部署的数量,使系统易用易管理。
五是网络安全与应用安全一体化。指身份认证、等级保护、分域控管一体化设计。
4.全面进行风险评估,加强系统的深度防御
为了验证系统的安全性,先后组织二十多名专家,对整个系统进行安全评估。按照国家等级保护定级指南进行系统定级核查,对安全方案进行安全性分析,并从网络系统、应用系统、物理环境和安全管理等方面进行核查。2006年10月,中国信息安全产品测评认证中心和解放军信息技术安全研究中心对系统进行了检查,认为“济源市基于互联网电子政务安全体系设计规范、安全措施有效、工程实施合理,可以满足济源市电子政务建设安全需求。
二、取得效果
1.低成本建成了统一的政务网络
通过采用商用密码技术和VPN技术,实现了全市全部党政部门和乡镇、办事处的网络安全互联,建成了低成本、可扩展的电子政务网络。由于充分利用了互联网,没拉一条专线,没建一个专网,建设费用大大降低,整个工程总投资比“专网”建设方式节约48.3%,而且大大降低了运营成本,在使用中实现了线路维护的零支出。这对于信息化程度不高、专业人才匮乏的地区具有非常现实的意义。
2.搭建了功能完善的信息服务平台
政务办公系统的投入使用,使全市所有党政部门和乡镇办事处以及各有关单位实现了信息共享和互动交流。目前,全市党政机关和乡镇办事处实现100%接入,个人用户占应接入用户的98.5%。全市各部门的收发文管理、会议公告管理、工作督查、信息采编等工作均在网上进行,实现了政府各部门网上“办文、办会、办事”的目标,改善了协同办公的工作环境,提高了工作效率,节约了办公成本。
项目管理更加方便。全市市直单位、乡镇办事处和企业的几千个项目实现网络管理,项目管理周期由原来的15天缩短为2天,大大节约了管理成本。
便民热线接入方式多样化。升级后的12345便民热线系统,实现了电话、手机短信、电子邮件、网上投诉等多种接入方式,不仅方便了群众投诉,而且极大地提高了投诉事项的办理效率和质量,办结率和群众满意率始终保持在99%以上,居河南省首位。 农村信息服务系统有效解决了农村信息棚架问题。由全市涉农部门共建共管的“济源新农村信息网”,开通一年多来,访问量突破100万人次;已建成的农村信息服务点共接待群众13.5万人次;利用手机短信开展的“短信富农工程”自去年9月份开始以来,受益农民8000余人。
网上领导信箱使群众来信得到及时有效处理。对全市各单位领导信箱进行整合,实现了统一监督管理,避免了“一事多投”现象;借助基于互联网的电子政务信息安全保障平台,实行外部受理和内部处理分区域进行,有效保障了领导信箱的安全运行。
3.建设了安全的电子政务支撑平台
电子政务建设,安全是基础。基于互联网开展电子政务建设,安全保障工作尤其重要。按照国信办和河南省信息办的要求,在涉密信息不上网的前提下,坚持“适度安全、综合防范、保证应用”的原则,建设了六个方面的技术防护系统和一整套规范的管理制度,形成了全市统一的电子政务安全保障体系。 六项安全技术措施:一是VPN系统,完成域间安全互联、移动安全接入、用户接入控制与网络边界安全等功能;二是统一身份认证与授权管理系统,完成用户统一身份认证、授权管理等功能。三是网络防病毒系统,提供全网病毒防护;四是网页防篡改系统,提供网站立即恢复的手段和功能;五是入侵检测和网络审计系统,对网络入侵事件进行主动防御,对网络事件进行记录,方便事后追踪;六是桌面安全防护系统,提供网络防护、病毒防护、存储安全、邮件安全等一体化的终端安全保护。一套规范的管理制度包括多项使用与管理规定,形成了以运行维护、安全管理、数据管理、建设管理、绩效考核为主体的管理体系。这七个方面的措施,保证了政务办公信息安全与为公众提供开放服务的有机统一,达到了“进不来、看不到、改不了”的电子政务安全保障目标,初步形成了一种地市级以下基于互联网开展电子政务建设信息安全保障的新模式。目前,有关部门正以这种模式为基础申请国家标准。
4.促进了机构和资源整合
基于互联网的电子政务信息安全试点,有力地促进了济源市机构和资源整合。一是机构整合。为适应试点建设,市委、市政府将济源市信息化工作领导小组办公室、信息中心、网络管理中心、政府网站、行政审批服务中心、12345便民服务热线等六个部门合并,成立济源市信息化工作办公室,不仅减少了机构数量,而且减少了人员编制。二是整合设备。将各个单位的网络设备进行集中托管,不但节约投资,而且降低了运维成本,提高了资源利用率。三是整合信息资源。整合了全市涉农部门的信息资源,组建了涉农专家库,建立了新农村信息服务体系,形成了服务“三农”的合力。四是整合服务体系。整合了党建、远程教育、文化大院、信息服务、计划生育、科技、新农村书屋、司法等8项职能,建立了“新农村公共服务中心”。部门和资源的整合,促进了济源信息化的健康发展,提高了经济和社会效益。 济源市基于互联网的电子政务因投资少、安全性能好、技术创新多,应用效果明显,于2007年10月,被评为河南省科技进步二等奖。2007年12月1日至2日,原国务院信息化工作办公室杨学山副主任(现工业和信息化部副部长)在济源调研时指出:“在注重安全的基础上,基于互联网建设电子政务平台,推进各种应用的‘济源模式’,无论从理论上还是实践上都是成功的。济源电子政务建设成本低、系统可扩展、应用效果好,特别是在服务公众方面发挥了重大效益,这对于全国地市级电子政务建设有着重要的借鉴意义,建设经验很值得总结和推广”。
三、几点体会
1.领导重视是关键
济源市信息化工作一直以来都得到了各级领导的高度重视,自从被确定为试点和调研基地以来,国信办、专家委、省信息办的领导及专家先后30余次来济源指导工作,为济源市信息化发展给予极大的关心和支持。市委、市政府高度重视,明确提出把信息化工作作为推进城乡一体化的重要突破口,要求各级领导要强化信息化意识,提高应用技能,为营造良好的信息化工作氛围创造了条件。
2.坚持适度安全的原则
利用互联网开展电子政务,核心是保证信息安全。为此,我们在明确涉密信息不上网的前提下,坚持“适度安全,综合防范,保证应用”的原则,大胆实践,积极探索,从技术和管理两方面入手,正确处理安全与发展的关系,有效地解决了利用互联网开展电子政务的安全问题,做到了应用与安全并重,走出了基于互联网开展电子政务建设的新路子。
3.实际实用是根本
信息技术发展日新月异,如果不求实际,一味地求新、求全、求大,很可能就搞成了形象工程。因此,济源的信息化建设始终坚持“需要什么,就建设什么”的原则,统筹规划、分步实施,立足当前,谋划长远,建设最经济、最实用、可扩展的信息平台,结合本地经济发展状况和应用水平,重视各类资源的整合和综合利用,实现投入效益的最大化。
