随着社会、经济及计算机应用技术的高速发展,计算机的应用已普及到现代社会的各行各业,信息产业已成为现代社会的三大支柱之一。广西和全国一样,计算机应用事业蓬勃发展,全区近年来以每年近万台的速度迅速增加。人类社会信息化程度越来越高,做为信息化核心支柱的计算机信息系统安全与否,将直接关系到国家安全、国计民生和社会稳定。然而,计算机信息系统的可靠性和安全性等方面尚存在许多不足和问题,计算机技术在给人类生活带来巨大进步的同时,也使得一些新型违法犯罪活动和新的社会问题随之产生。例如在金融部门,计算机已成为各项业务工作的基本工具,计算机信息系统成了大量资金流动的控制中枢,因而也成为了犯罪分子攻击的主要目标。我区桂林市某储蓄所的一起计算机犯罪案件涉及金额为二千一百五十万元,是目前国内最大的计算机犯罪案件。此外,我国和俄罗斯先后发现带政治色彩的计算机病毒,我国名为“6.4”的计算机病毒,扩散了不良政治影响,破坏政治稳定。各式各样的计算机违法犯罪活动还有:制造、传播计算机病毒,利用计算机制作、传播、贩卖黄色淫秽物品,传播含有反动内容的计算机游戏和计算机教学软件,利用计算机国际联网进行反华宣传和传播黄色读物,青少年高智能犯罪等等。计算机的负面产品和负面作用不容忽视,去年12月18日《人民日报》的头版头条发表了《一位母亲的强烈呼吁》和该报评论员文章《警惕“电脑犯罪”》,说的是一位女工控诉苏州宝碟公司制黄贩黄,毒害其16岁的孩子的事,引起了国家和整个社会的高度重视,全国各地纷纷开展扫“黄”打“非”行动。
另一方面,目前许多计算机应用单位和部门计算机信息系统安全保护工作十分薄弱。计算机应用部门从领导到一般工程技术人员,普遍存在“重应用、轻安全”的倾向,有关安全的规章制度不健全或没有得到落实。计算机机房设施达不到安全标准,存在危害计算机信息系统安全的隐患。工作人员未参加过系统的安全培训,缺乏基本的计算机安全常识。多数党政机关用于处理机密信息的计算机没有防辐射泄密设施,不少金融部门计算机安全管理工作不够规范、不够落实,计算机主管部门想管而权力有限,保卫部门又不知如何去管。由于上述原因,使得计算机信息系统的安全性、可靠性十分脆弱。如某单位计算机房由于没有完善的安全保护措施,一起火灾造成信息系统数据严重破坏,其恢复工作需十四个人干一年;又如由于缺乏安全知识,某硕士学位的青年教师,在扩大计算机磁盘自由空间时,由于误操作,将某油田及科研单位40多个人半年辛勤劳动取得的软件及数据全部清除,直接损失100万元。95年11月,新近开张的南宁市的某大型购物中心用于收款的计算机网络30多台工作站,因感染计算机病毒在一天之内全部瘫痪。有些单位在计算机机房附近施工,产生高强度的震动、大量的灰尘或挖断计算机系统地线等,也严重危害了计算机信息系统的安全。此外,由于缺乏统一有效的管理和技术上的监督,计算机信息系统安全专用产品市场处于无秩序状态,各种伪劣、假冒、盗版的产品混杂其中,例如有的计算机病毒清除软件本身就带有计算机病毒,不仅损害了消费者的利益,更给计算机信息系统的安全带来新的隐患。
94年2月颁布的《中华人民共和国计算机信息系统安全保护条例》(以下简称《条例》)和去年颁布的《中华人民共和国人民警察法》(以下简称《警察法》),明确公安机关主管计算机信息系统安全保护的监督管理工作。但是《条例》是一诠释性的行政法规,涉及的对象和范围很广,手段是以制度管理为主,通常以许可性条款和禁止性条款来进行调整,因此在实际执法工作中困难较多、较大。此外,《条例》颁布已两年多,而具体的实施、处罚办法(如安全等级划分标准、安全专用产品销售许可证制度等)由于涉及各方面因素较多而久久未能出台,各地公安机关难以具体开展有效的监督管理工作。因此,根据当地实际制定地方性法规是十分必要的、急需的。正如公安管理中治安案件和刑事案件的关系一样,治安案件得到有效的控制和处理,其转化为刑事案件的可能性就小,如果在计算机安全管理中行政强制手段得力,计算机犯罪和计算机安全事件的隐患将大为减少,在“亡羊”之前“补牢”无疑远胜于在“亡羊”之后“补牢”。
借鉴外省、市的成功经验,如黑龙江、山西、四川、福建、天津、重庆、长沙等制订了贯彻《条例》的地方性法规,或公安机关制定了贯彻《条例》的管理办法。这种本着积极管理、正确引导的态度,密切结合本地实际制定地方法规或管理办法,强化计算机信息系统安全保护工作监督管理,寓监督于管理之中的做法,是符合我区当前实际的,是有利于促进我们广西计算机应用事业健康发展的。
我们设想通过制定一系列规章来强化我区计算机信息系统安全保护工作监督管理。其主要内容是:
一、计算机信息系统安全保护工作按安全级别实施监督管理。
安全级别按计算机信息系统处理信息的内容分为四级:一级,涉及国家秘密、国家利益,或重要的、对社会影响面大的信息;二级,比较重要的或对社会影响面比较大的信息;三级,社会敏感信息,或部门、单位内部用于管理、控制的重要信息;四级,用户认为需要进行安全保护的其他信息。公安机关对安全级别为一、二级的计算机信息系统安全保护工作实行重点监督指导,对安全级别为三级的计算机信息系统安全保护工作实行检查指导,对安全级别为四级的计算机信息系统安全保护工作实行登记管理。安全级别为一级、二级的计算机信息系统的使用单位,要建立由主管领导及业务管理、保密、保卫、审计、人事、技术等部门人员参加的计算机信息系统安全管理小组,制定计算机信息系统安全规章制度,确定安全保护工作内容,并根据本单位的实际情况定期做风险分析,提出对策,对不安全因素进行整改。安全管理制度应有下列内容:
(一)机房环境安全;
(二)信息数据安全
(三)硬件、软件安全管理;
(四)计算机病毒和其他有害数据的防治;
(五)计算机网络或计算机通信安全;
(六)系统管理、硬件维修、软件开发、操作等人员的职责与管理;
(七)应急方案。
安全级别为一、二级的计算机信息系统使用单位要建立计算机信息系统安全保护工作年报表制度。
计算机信息系统的使用单位在启用涉及国家秘密、国家利益或公众利益的软件系统(含购买、开发、移植等,国家部级单位统一下发的除外)之前先确定系统的安全级别。对安全级别为一级、二级的,由公安机关组织有关人员对软件系统进行安全测试、鉴定,合格后方可正式使用。
安全级别为一级、二级、三级的计算机信息系统的新建(含扩建、改建)机房(注1),要对应符合《计算机站场地安全要求》(gb9361-88)中计算机机房安全类别a类、b类、c类的安全要求。
在计算机机房附近施工或设在计算机机房附近的设施,不得危害计算机信息系统的安全;新建、扩建、改建计算机机房实行审批制度。
此外,涉及国家秘密的计算机信息,其处理和管理应符合《中华人民共和国保守国家秘密法》;处理涉及国家秘密的计算机信息系统的工作人员应按国家有关规定进行审查及管理。
二、大力开展安全教育及培训。
(一)各安全管理小组中的保卫、技术人员必须经过公安机关进行计算机安全管理培训。安全级别为一级、二级的计算机信息系统的操作人员必须通过公安机关认可的计算机安全知识考试,考试合格后由公安机关发给证书,持证上岗。各安全管理小组应定期对计算机工作人员进行安全、保密教育。
(二)开设计算机课程的大中专院校及职业高中,其教材和课程应包含计算机安全法规知识和计算机安全知识方面的内容,并列入教学方案中予以保证。
(三)举办各种面向社会招生的计算机技术普及培训班(含电脑打字培训班)的单位,要向学员进行计算机职业道德和计算机安全常识教育。
三、加强信息出入境管理。
(一)运输、携带、邮寄计算机信息媒体(注2)出入境,应如实向海关申报,并应遵守国家保密局、海关总署《关于禁止邮寄或非法携运国家秘密文件、资料和其他物品出境的规定》等有关规定。
(二)从事计算机信息系统国际联网的单位和个人,应按规定到公安机关办理备案手续。办理计算机信息系统国际联网业务及从事计算机信息系统国际联网的单位和个人,应自觉遵守国家有关法规,加强安全管理,不得利用国际联网传递有害数据,发现境外通过国际联网传递有害数据的,应及时报告公安机关。
四、查处涉及计算机的违法犯罪案件。
各计算机信息系统使用单位和部门应加强对计算机工作人员的思想教育,树立良好的职业道德,并采取措施堵住管理中的漏洞,防止计算机违法犯罪案件的发生,制止有害数据的使用和传播。要按照“谁主管谁负责”的原则,对发生严重问题的单位追究领导责任。
各计算机销售部门要对售出的计算机信息媒体(含随机奉送或配套销售)负责,不得含有有害数据(注3)。
对计算机信息系统中发生的案件有关单位应当在24小时内向当地县级以上人民政府公安机关报告。
五、计算机病毒防治及安全产品销售管理。
要严禁任何单位和个人从事制造、故意传播计算机病毒的活动。并且未经公安机关批准,任何单位和个人不得擅自从事下列活动:
(一)公开发布计算机病毒疫情消息;
(二)研究、收集和保存计算机病毒;
(三)刊登、出版、发行、销售、出租描述计算机病毒机理及源程序的书籍和计算机信息媒体;
(四)举办有关计算机病毒机理及其防治的讲座和培训班;
(五)销售计算机信息系统安全专用产品(包括在工程中配套或整套系统中配套销售的安全专用产品)。
单位中的安全小组应制定本单位计算机病毒防治制度并检查执行情况,负责清除本单位的计算机病毒,向当地公安机关报告所发现的计算机病毒及造成的危害,必要时需提供标本,协助公安机关追查计算机病毒的来源。
安全级别为一级、二级、三级的计算机信息系统的使用单位必须具有公安机关认可的计算机病毒防治技术措施;上述计算机信息系统中含有微机网络的,每个网络必须具有公安机关认可的网络预防、清除计算机病毒的技术措施。各销售、出租、安装、维修计算机硬件、软件的单位和个人必须保证所销售、出租、安装、维修的计算机硬件、软件不含计算机病毒。
销售计算机信息系统安全专用产品的单位,必须向公安机关申请办理销售许可证,经审批后挂牌经营。凡在我区经营销售的计算机信息系统安全专用产品,经营销售单位必须向公安机关申报,经自治区公安厅认证审批后方可销售。
六、奖励与处罚。
对积极贯彻执行国家有关计算机安全法规及本办法,或协助公安机关查处涉及计算机的违法犯罪案件成绩突出的单位和个人,由各级人民政府、行业主管部门和公安机关给予表彰或奖励。对违反计算机安全法规的,依法给予处罚。
综上所述,强化计算机信息系统安全保护工作的监督管理必须在以法律为依据的基础上,辅以大量具体的、系统全面的管理制度,加上公安机关计算机安全监察部门的规范化的监督、指导,方能取得扎实、稳定的成效,确保我区计算机应用事业健康发展。
附注:
注1:计算机机房,是指放置计算机信息系统主要设备,保障计算机信息系统正常运行的专用功能较多,对环境条件要求相对普通办公室较高的专门场所。
注2:计算机信息媒体,是指可存储、携带计算机程序、数据和信息的计算机硬磁盘、软磁盘、光盘、磁带、磁卡、纸带、卡片、打印纸、芯片等。
注3:有害数据,是指计算机信息系统及其存储介质中存在、出现的,以计算机程序、图像、文字、声音等多种形式表示的,含有攻击人民民主专政、社会主义制度,攻击党和国家领导人,破坏民族团结等危害国家安全内容的信息;含有宣扬封建迷信、淫秽色情、凶杀、教唆犯罪等危害社会治安秩序内容的信息,以及危害计算机信息系统运行和功能发挥,应用软件、数据可靠性、完整性和保密性,用于违法活动的计算机程序(含计算机病毒)。