健全政府信息资源共享的信息安全保障机制
前面提到,信息安全是保障政府信息资源共享的一个重点、难点。随着网络的广泛普及,信息安全问题日益严重,保障信息安全的难度增大,政府信息资源共享面临严峻挑战,健全信息安全保障机制有利于促进政府信息资源长期有效共享,是极富现实意义的工作。
(一)健全信息安全保障机制的必要性
信息安全包含了两个方面:一是信息系统的安全,二是信息内容的安全。政府信息资源本身具有开放性,政府信息资源共享意味着更大更强的开放性,网络环境的存在促使这种开放性更具备现实可能性,信息资源的利用对象更多,获取政府信息资源的渠道更多,获取资源的范围更大,获取手段更为便利。显然,这种强开放性,客观上更加增强了信息安全的保障难度。由于政务活动的特殊性,在网络环境中流动和存储的一些政务信息直接涉及政府的核心秘密,关系到政府部门、各大系统甚至整个国家和政党的利益与安全,而在实施行政监管和用户服务中所形成的个人信息(自然人和法人),如户籍、纳税、社保、信用等信息,也关系着提供者的利益。因此,在互联开放的网络环境下,政府信息资源往往是许多怀着种种目的的人或组织垂涎的对象,从而可能由于技术防范措施不力或内部管理不严而易于遭受黑客攻击或非法身份者的偷窃和更改,丧失保密性、完整性、可用性和不可否认性。
因此,如何确保政府信息资源在开放的网络系统中安全地存储和传输,最大限度地消除其不安全性,这将主要取决于信息安全保障机制的建立健全与否。正是基于信息安全保障的重要性的认识,我国全国信息安全保障工作会议特别指出:“随着世界科学技术的迅猛发展和信息技术的广泛应用,迫切要求加强信息安全保障工作。要从促进经济发展、维护社会稳定、保障国家安全的高度,充分认识进一步加强信息安全保障工作的极端重要性,增强做好这项工作的紧迫感、责任感和自觉性。”
(二)信息安全问题对政府信息资源共享带来的挑战
1.政府信息资源共享面临系统安全威胁
开放的网络为政府之间、政府与社会之间搭建起了互相交流、合作的平台,但网络越开放越普及,信息安全就越难保障,加之网络系统本身的脆弱性,促使政府信息资源共享系统直接面临着严重威胁。政府信息资源共享系统是建立在网络系统之上,由一系列软件程序组成,而软件程序本身也是一个复杂系统,程序类型多样,模块众多,代码庞大,加之考虑不用或者设计者本身的技术能力限制,在信息共享系统中很容易有意或无意地留下一些可供攻击者利用的漏洞或缺陷等,如后门、逻辑炸弹、操作系统的漏洞、通信协议本身的安全漏洞等。此外,我国政府信息资源共享系统所采用的芯片基本上依赖进口,即使是自己开发的芯片也需要到国外加工,一些技术的深度、产品的成熟度仍不如国外,关键技术仍严重依赖国外,许多网络安全方案都建立在国外技术和产品的基础上,这些都为政府信息资源共享的系统安全埋下了隐患。
2.政府信息共享面临的威胁——网络威胁
借助网络系统,政府信息资源共享大大提高了信息资源的利用率,提高了用户对信息需求的满足程度,但同时也为信息所有者的权利保护带来了新的挑战,网络威胁现象相当严重。概括来看,政府信息资源共享所面临的网络侵权现象主要有两种:一是对传统文学艺术作品的数字化所造成的授权。网络上共享传统形式作品的前提就是将该作品进行数字化,并将数字化后的作品上载到网络上传播。可见,将传统作品数字化并进行网络传播是属于作者的著作权。但是,一些信息生产者或提供者为吸引访问者而随意刊载文学艺术作品,尤其是还没出版的文学艺术作品,严重侵犯作者或出版社的权益。二是网络链接所造成的侵权。网络链接可快速从一个网站或网页连通到其他的网站或网页,拓宽了信息共享的地域,节省了用户的查询时间。但是,由于链接是一种由词、词组或图像构成的特定标记,它往往指示着信息来源,因而链接也会成为假冒活动的对象,即无偿借用了他人的商业信誉(商标、标志等)所带来的影响,结果是淡化了他人商业信誉的价值,降低了他人的市场竞争能力。显然,信息的网络侵权已经影响到信息所有者或提供者的权益,若不加以妥善处理,必然影响到信息共建或信息提供,从而影响政府信息资源的充分共享。
3.政府信息资源共享面临信息污染威胁
有专家称,互联网上的信息量,几乎是每一个月就翻一番。然而,信息技术的发展、网络监督及管理、政府信息资源量大大增加的同时,也造成了日趋严重的信息污染问题。大量不良信息的侵蚀和污染已经严重地干扰政府信息资源的共享,主要表现为:①虚假有害信息有增无减。网络的自由开放性为一些不法分子提供了机会,他们为了谋取自身的利益或其他目的,故意编造一些虚假信息,例如假广告、假中介、假招牌等,或捏造出一些无从证实的传阅、谣言、诽谤等欺骗信息用户。②过时冗余信息喧宾夺主。信息资源具有很强的时效性,一份信息产生后只在一定的时期内具有使用价值。超过这个时期它就会因过时而变成冗余无用的信息。网络的自由开放性也决定了网上作品很难得到有效保护,随意的转载、剽窃、抄袭造成了政府信息资源大量重复。③色情暴力信息无处不在。网络的无国界性,网络管理的无组织性,使大量的淫秽色情信息、暴力信息、低级趣味等不健康信息在网上任意传播。英国米德尔塞克斯大学的蒂姆莱贝教授通过研究也发现,在互联网络的非学术信息中,47%是与色情内容有关的。信息资源污染的直接后果,是妨碍了人们对正确信息的及时获取和利用,信息判断能力减弱以及信息利用率降低。根据有关统计调查,科研人员要花费1/3—1/2的时间用在查阅和甄别信息资源资料上,就连信息技术发达的美国和日本,近几年来的信息利用率也仅为10%左右。更为严重的是,信息资源污染造成了人们心理上的巨大压力,导致了各种各样的“信息病”,因找不到所需的有效信息而焦虑不安,出现信息饥渴、信息紧张、信息消化不良等状况。信息焦虑是数据和知识之间的一个黑洞,在信息不能告知人们需要了解的东西时,它就会出现。
4.政府信息资源共享面临机密信息泄密威胁
政府信息资源共享并不是简单的无限制的全范围共享,一般是根据行政系统、行政区域、行政级别的不同而有所区别,无论是微观层次、中观层次还是宏观层次上的政府信息资源共享,都有不同要求。根据政府信息资源可共享的程度不同,可以把它分为三类。第一类是公开信息,如政府网站所提供的政策、法律、办事指南及其他网站所发布的新闻、招聘信息等,这类信息资源所有的用户均可共享,而且其共享的范围越大、程度越高,其使用价值越能得到体现。第二类是半公开的信息,这一类信息资源的共享是有条件的,比如通过注册以后缴纳一定的费用才可以获得使用权。第三类是保密信息,如军事设施、国防部署、政府内部信息、商业秘密、个人隐私等,这一类信息资源关系到国家的安全、经济的稳定和个人的利益,只能在局部或专门的系统供少数人共享。但是,目前半公开信息、保密信息面临着严重的安全威胁。主要表现为:(1)擅自进入受版权保护的某些数据库,随意使用需缴费的半公开信息资源,侵犯权利人的合法权益。(2)非法闯入国家内部共享的信息资源库,窃取、修改国家机密信息,威胁国家的安全和社会的稳定。(3)有些网站或个人拿捏了或有意收集了用户的私人信息后,未经用户的授权而将个人隐私随意处理,造成隐私的泄露而给用户的利益带来损失。总的来说,政府信息资源共享给不法享用者创造了机会,导致部分机密信息受到威胁,正是因为这种威胁,从而影响到正常的政府信息资源共享,这也对政府信息资源共享提出了更高的要求。
(三)健全信息安全保障机制的对策
1.确立保障信息安全的整体策略,准确把握政府信息资源共享全局
政府信息资源共享所面临的信息安全挑战是全方位的,因此,应采取保障信息安全的整体策略,其主要内容是:国家主导、社会参与、全局治理、积极防御、等级保护、保障发展。首先,政府信息资源共享是由政府部门、企业和广大社会用户构成的一项国家公共服务型事业,涉及的领域非常广泛,信息安全成为国家安全的重要部分,因此,必须由国家主导,各级政府信息资源共享的基础设施建设应该在国家的统一规划下进行,任何信息安全产品的开发与安全保障体系的建设,必须遵循国家制定的相关技术标准和法律法规,通过国家权威机构的检验认证。同时,国家安全建立在全社会的安全意识基础上,安全技术的进步,离不开社会各方面科研机构和技术人才的参与,信息安全产业需要全社会广泛的投资推动和应用推广。其次,政府信息资源共享作为一项复杂的系统工程,保障其信息安全要从系统完整性、结构层次性的角度来考虑,综合采用多种支撑全局治理,保持“木桶”的边缘一样整齐,忽视任何一个方面的建设,都将形成信息安全缺口,导致在其他方面的努力付诸东流。切忌采用“头疼医头,脚疼医脚”的方法,简单堆砌一些互相孤立的、被动防护的设备很容易顾此失彼,无法应对日益发展的动态的安全威胁。如果综合采用动态的安全监控手段,把静止孤立的安全产品连成一个集预防、监控、保护、响应和恢复于一体的整体防御体系,就能够达到积极防御的效果。再次,政府信息资源共享存在信息安全隐患是绝对的,安全永远是相对的,盲目追求“最高”的安全性往往事与愿违。
正确的方法是根据信息的价值等级、机密等级以及所面临的威胁等级,选择适度的安全机制强度等级和安全技术强度等级,寻求一个安全成本和风险之间的平衡点,优化信息资源的配置,对不同的政府信息资源进行共享。同时,还应正确处理信息安全与信息共享的关系,借口保障安全而拒绝提供信息共享或借口信息共享而不加区别对待的两种做法都是不对的。
2.加强安全技术的研发,提高政府信息资源共享的系统防护能力
世界范围来看,信息核心技术的研发主要是被发达国家所垄断,尤其是美国占据绝对领先地位,英特尔的芯片、微软的操作系统、思科的路由器,无论从市场份额还是从技术发展上看都在全球起主导作用。中国要改变受制于人的局面,就必须加快发展自己的民族信息产业,拥有自己的核心技术。由于信息产业具有极其重要的经济、国防、安全战略地位,积极研究核心技术,尤其是计算机、通信和微电子技术领域自主知识产权的技术,显得尤为迫切。就目前来说,我国作为技术相对落后的国家,就该围绕政府信息资源共享在物理层、网络层、系统层等层次,加强自主的信息技术研发,尽快推动开发和生产我国自己的电脑核心硬件和电脑软件操作平台,特别是网络层与系统层,要尽快研制一些关键技术,如唯一性身份识别技术、信息的完整性检验检测技术、安全审计跟踪评测技术、电子信息泄露防护技术等,同时要大力发展基于自主技术的信息安全产业,为自主安全技术的研发创造良好的环境,以此构建起比较全面的政府信息资源共享防护体系。
3.建立健全信息安全管理体制,加强政府信息资源共享的安全管理
首先,应加强政府信息资源共享的组织机构建设,明确责任划分。在国家层面上,应该建立掌握安全政策的核心管理机构,如信息安全专业委员会,负责统筹领导国家信息化安全事务,还应有配套的职能部门,如安全审计部门、安全评测认证部门、安全标准部门、安全执法部门等。在各级地方政府层面上,建立类似于CSO(首席安全长官)制度的安全组织,明确安全领导责任人及安全组织的分工,以避免“政出多门”和“政策倒车”现象的发生。在具体与共享的各个主体层面上,要求各政府部门内部要设立一个专门的安全责任管理机构,负责制定各自内部信息资源的使用制度,保证用户对政府信息资源的正常使用,防止内部用户利用网络进行各种非法活动及外部用户对本网站的非法访问。其次,应加强政府信息资源共享的信息安全制度建设,严格规定业务行为。基本内容包括:制定安全管理的方案,建立健全网络操作的各项制度;定期检查安全规章制度的执行情况,负责系统工作人员的安全教育和管理;收集安全记录,及时发现薄弱环节并提出改进措施;向安全监督机关和上一级主管部门报告本系统的安全情况;加强密码、口令和授权的管理,及时更换有关密码、口令;重视软件和数据库的管理和维护工作,加强对磁盘文件和软盘的发放和保管,禁止在网上使用非法软件、软盘等。此外,组织机构和相应制度还需要领导的高度重视和企业、个人的群防群治,尤其是对主管计算机应用工作的领导和计算机系统管理员、操作员要通过多种渠道进行计算机及网络安全法律法规和安全技术知识培训与教育,使主管领导增强计算机安全意识,使计算机应用人员掌握计算机安全知识,知法、执法、守法,尤其要加强对内部操作人员的安全教育和监督,严格网络工作人员的操作职责。
总之,通过从组织建设、制度建设和人员培训管理等三方面来建立健全信息安全管理体制,有利于加强政府信息资源共享的安全管理,可以有效地指导和监督各政府部门的网络信息活动,防止各种污染信息、垃圾信息在网上传播,保证合法用户对政府信息资源的正常使用,促进各参与主体之间的信息资源共享。
4.加强信息安全立法,提供政府信息资源共享的法律保障
利用法律的力量来调整政府信息资源共享中的各种社会关系,规范和约束网络主体的信息行为,是政府信息资源共享应对信息安全挑战的重要措施。首先,要确立科学的信息安全法律保护理念。将信息安全法制保障的重点从单纯的“规范”“控制”转移到提前为信息化建设与发展“扫清障碍”上来,应将保障网络的健康发展与促进政府信息资源有效共享作为立法的总体目标和出发点。其次,要构建完备的信息安全法律体系。现行法律中与信息安全相关,而且仍然适用于调整相应法律关系的规则,可自然在网络环境下加以适用;那些已经不再适于调整相应法律关系的行为规范,可借助信息安全立法的时机加以废除、修改、补充和完善。“信息安全立法”的制定,最好与完整的信息法的制定融为一体,以保证法律的一致性与严肃性,避免过去许多法律、法规共有的支离破碎、捉襟见肘的缺点。从长远的角度考虑,不提倡制定过多的行政法规,以及采用部门规章甚至地方政府规章来解决网络信息安全问题。此外,还要重点加强相关问题的立法力度。对于信息安全法,要明确各信息主体在政府信息资源建设中的责任和义务,界定政府信息资源可公开的范围、应保密的级别等;对于网络信息版权法,要严格规定网络信息权利人所享受的权利和应尽的义务,明确界定网络侵权的各种形式及侵权所承担的责任等;对于计算机犯罪法,应对计算机犯罪的种种罪行罪名予以界定,以加强对“网贼”的法制制裁。
5.加强有关方面的合作,构建政府信息资源共享的良好环境
政府信息资源的共享是一个牵涉到各级政府部门与广大用户等多方面的复杂过程,仅靠一两个部门的努力是不可能解决问题的,必须加强有关方面的合作,为共享系统创造一个良好的运行环境。从当前来说,重点要为政府信息资源的共享系统营造一个良好的文化环境氛围,使人通过网络技术“合理”“善意”地使用信息资源而不是破坏资源。在此,首先要加强网络伦理建设,培育人们在进行网络活动时所持有的正确的网络意识和价值取向,增强责任感、义务感,促成正确的网络行为规范。其次,要加强网络制度建设,建立和健全对网络行为的监督、管理机制,使整个网络活动有章可循。从安全管理方面看,中国国家层面上的信息系统安全环境基本形成,如公安部、国家安全部、国家保密局、国家密码管理委员会、信息产业部在安全技术、安全审查、安全评测、安全执法等方面都担负了一定的职能,各级政府纷纷建立了自己内部的安全管理组织机构和制度,各种各样的安全知识培训和技术人才培养工作也得到开展。总之,加强政府信息资源共享系统的环境建设,就是要充分调动各方面的积极性,互相监督,互相制约,使每个行为者都必须对自己的网络行为负责,为建设共享系统的良好环境而共同努力。