政务信息系统数据安全管理

　　伴随电子政务的迅速发展，政务信息系统的数据安全管理是政务信息化工作者必须面对的问题，该文从政务公开、信息共享和服务外包、权限管理等方面，分析政务信息系统在数据管理方面可能存在的安全隐患，针对此类问题探讨解决的对策建议。

　　近年来，我国电子政务发展迅速，政府部门普遍应用信息系统进行业务管理和日常办公。伴随着政府部门在工作中对信息系统的依赖日益增加，政务信息系统面临的安全形势也日趋严峻，保障数据安全已经成为政务信息工作的重中之重，而政务信息系统因涉及国计民生、安全稳定，一旦发生数据安全事故，后果不堪设想，如何做好数据安全管理，还需要我们更多的探讨和实践。

　　一、政务公开、信息共享与数据安全管理

　　当前信息化发展已经进入“云平台”、“大数据”的时代，“电子政务”、“阳光政务”发展迅速，在确保国家信息安全和尊重个人隐私的前提下，推进政务公开与信息共享是大势所趋。然而对政务信息系统来讲，将其数据库向社会开放势必会带来安全风险，而政府部门之间的信息共享，其共享过程也可能存在安全隐患。

　　结合实际工作情况来看，当前政务公开的形式主要有：一是将政务系统的数据导出，通过政府门户网站进行发布，公众可以就涉及自身的信息或政府公示的信息进行查询，但不能进行数据操作，不能改变数据库内容；二是在政府门户网站上办理部分涉及社会管理的业务，可以通过网络进行包括上传、下载、申请、审批等业务操作，这种情况下，因公众用户可以通过网络登录系统、办理业务，需将政府部门的业务数据库接至其门户网站，这种操作可以改变数据库的内容。

　　政府部门之间的信息共享内容，主要包括基础数据和业务数据，基础数据为政务管理和服务对象的单位和个人基本信息，业务数据为政府部门业务办理的相关信息。目前政务系统信息共享的主要形式有：一是系统外数据交换，即根据需求，将本系统的数据经过筛选后导出，交给对方；二是通过FTP等文件传输协议的形式，进行数据交换；三是通过统一的平台进行各系统间的基础数据共享，业务数据分别管理，不同部门根据权限可以查询和应用数据。以上形式中，前两种只交换导出的数据，不访问源数据库，第三种可通过访问源数据库获取数据。

　　目前政务公开和信息共享主要采取的形式是导出交换数据。然而从政务公开和信息共享的发展趋势来看，只进行数据交换恐难以满足社会发展的需要，未来对政务公开、数据共享的需求会更多，如何在推进政务公开和信息共享的过程中，同时做好数据安全防护是必须面对和解决的问题。针对政务公开，可以考虑建立动态安全防御体系，通过技术手段，提高风险防控能力。针对政府部门间的数据共享，我们建议：一是由高层统筹推进，明确解决共享数据涉及的网络连接、系统集成、数据库接口等问题，统一数据指标和数据格式，同时打破部门壁垒，平衡部门博弈，推进数据整合；二是创建政府内部的共享平台，多部门合作共建，或由某部门牵头建设，为政府各部门提供数据共享的平台，此平台建设在政务内网，与公网物理隔离；三是对数据进行分级，各部门将其数据库按照等级进行开放，提供给其他部门进行共享；四是规范数据共享的业务流程和共享数据的安全管理制度办法，明确各部门可公开、可访问的数据范围和操作权限。

　　二、服务外包形式下的数据库管理

　　政府信息系统建设因其专业技术性较强，而很多政府部门缺乏此类专业人才，所以多采取服务外包的形式，由专业的服务商来做，而且很多政务信息系统在建成后，其日常运行管理维护等工作也外包给服务商。通过服务外包的方式既可节约系统建设和运行维护成本，又可弥补政府部门专业技术力量的不足，以更加专业、有效地提高政府社会管理水平和公共服务质量，是当前政务信息系统建设中比较常采用的形式。在服务外包的过程中，很多政务系统的数据库的操作都是由服务商的工作人员来进行。然而，政务信息系统具有特殊性，其业务可能会涉及相关部门及管理对象的利益，其数据库由服务商的工作人员来管理，可能也会存在安全隐患。

　　在服务外包的情况下，服务商的专业化水平、技术能力、服务质量、工作人员的职业素质和队伍稳定情况、数据管理的制度规范是否完善等等，都是影响政务信息系统数据安全的因素。针对此类安全隐患，结合实际工作情况来考虑，建议可以采取的措施有：

　　完善数据安全管理策略。一是明确规定服务商的工作人员与政府工作人员的数据管理权限，比如用户角色和权限设置、口令、密钥、后台数据库密码、数据库备份、操作日志等等，都由政府工作人员来管理；二是对业务数据进行分级，核心、涉密的数据由政府工作人员来管理操作，日常事务性、无保密要求且有一定专业要求的数据库操作可以由服务商的工作人员来进行；三是政府部门与服务商均应设置专职的系统数据管理人员，规范岗位管理制度，并落实岗位责任制；四是建立系统安全巡检制度和安全管理应急预案，定期进行安全巡检和应急演练；五是完善灾难备份体系，定期备份数据并异地保存。

　　服务商的选择要慎重。应经过严谨论证、公开招标，选择专业技术水平高、运营能力强、人才素质高、队伍稳定、管理规范的服务商。

　　合同的订立要严密。确定服务商后，要签定严密的服务外包合同，明确要求服务商针对各种安全风险应采取的防范措施，必要时应与服务商及其相关工作人员签定安全保密协议。

　　完善监管体系。明确监管部门，或者引入第三方监理，完善监管制度。

　　整体提高政府信息化工作人才队伍水平。

　　以上措施，重点在于制定严密的安全管理制度，并在工作中落实制度规范，同时加强对服务商及其工作人员对数据库管理的权限管控。

　　三、业务数据操作权限的管理

　　在信息系统中，各用户（人员）、角色（岗位）被赋予与其岗位职责相对应的权限，可以办理其权限范围内的业务工作。电子政务系统因其特殊性，尤其需要严格管理用户角色和操作权限，明确每个用户的权限作用域，严禁越权访问。在目前政务信息系统中，用户管理通常包括身份认证、角色设置、用户岗位绑定、操作权限分配，应用数字密钥的系统需绑定密钥，还要求绑定IP、mac地址和计算机。用户登录系统时需输入用户名和口令（密码），登录后可根据用户权限在系统中进行操作。按照相应的管理规范，信息系统中的业务管理和数据操作的权限都会按照安全策略被严格限定，但是在实际应用中，也可能会存在一些安全隐患，主要体现在管理和制度规范的落实方面。如：某些部门因人手少或制度不完善，可能存在一人身兼多重角色、权限分配不合理、管理不规范，越权操作、违规操作等情况；有些工作人员安全意识薄弱，密码或密钥保管不当而遗失或被盗用，或让外来人员使用内部计算机和网络等等，都有可能危及数据安全。针对此类安全隐患，结合实际工作，我们考虑重点应做好：完善相关管理制度，建立安全监控体系，应用安全软、硬件，实行安全预警、安全巡检制度，明确数据操作的流程和规范，严格按照制度规范来执行，从制度上堵塞安全漏洞。

　　强化安全意识，定期组织工作人员进行安全培训，加强安全宣传和警示教育；落实安全管理责任制。

　　以上措施，重点在于完善监管制度和加强对政府工作人员的安全教育及培训。

　　（作者单位：黑龙江省机构编制数据管理中心）

　　孙志平 文