文│ 国家信息中心信息与网络安全部 高亚楠 陈永刚 陈月华

在我国,部分地区基层政府网络安全已经覆盖到街道办事处层面,为国家网络安全法律法规和标准规范的落地和广泛应用提供了有力的支撑。总体来说,基层政府网络安全工作主要分为两个方面,一个方面是政府自身网络安全保障,另一个方面是辖区内网络安全治理。政府自身网络安全保障工作着眼于电子政务和政府办公网络安全,网络安全治理工作则从辖区内网络安全监督审查、整体化治理出发,落脚于辖区内重要企业、重点人群、重大时期等。比较美国和我国基层政府网络安全规划及保障情况,可以为实现我国基层政府网络安全的善治提供参考。

美国基层政府网络安全规划及保障情况

在网络安全保障方面,美国国家政府为基层政府提供了完善的落地实施方案和可参考、便于实施的具体实施措施和安全保障方案,并给出参考案例,可使基层政府更好地理解和落实国家法律法规和政策标准,并参照国家网络安全计划、相关行政令、指南和标准等执行。

以美国政府推进政府上云为例,2011年,美国发布了《云计算环境中信息系统的安全授权》(Federal Risk Authorization Management Program),并开展了基于风险管理的政务云计算服务安全认证评价,为基层政府上云提供了安全保障基础。工作的组织形式是由国防部、国土安全部、商务部等国家部门牵头,由第三方认证机构、云计算服务提供商、技术提供商等参与开展,为基层政府采购云服务商的解决方案提供参考依据。此外,2018年,美国开展的云计算系统安全计划,开发的云调查和审计工具,研究的云计算虚拟化、计算、节点的安全方案,都为基层政府落实云计算网络安全提供了具体的安全保障工作落实抓手。

以网络空间安全计划实施为例,2018年5月,美国国土安全部发布了网络空间安全五年计划(Five Year Strategy for Cybersecurity),计划从风险识别、降低脆弱性、减少威胁、安全响应等方面建立网络安全框架,以达成评估、保护系统、基础设施、快速回复响应等目标。基层政府参与国家网络安全计划实施,国土安全部与联邦政府、州政府、地方政府、行业和国际社会的主要合作伙伴合作,已经开始识别和管理国家网络安全风险的工作。此外,美国《联邦信息安全管理法案》(Federal Information Security Management Act)风险管理框架的广泛推广、广泛应用和深入影响,也是国家网络安全顶层规划向基层政府深化实施的优秀案例。

在网络安全治理方面,美国基层政府已经逐步建设形成网络安全生态系统。由于美国各级基层政府权力范围较大,州级政府具有高度自治的特点,最小的政府权力执行单位是基于社区治理模式的基层社区组织。美国基层政府在预算支撑、风险识别、事件响应、人才体系建设等方面具备体系化的支撑和工作基础,依据国家网络安全风险管理框架开展风险管理,开发相关工具和方案辅助实施、持续监测,将基层政府辖区内网络安全工作有机结合,形成持续改进、安全可靠的网络生态系统。

以佐治亚州网络安全治理为例,佐治亚州由技术局(GTA)负责信息技术和网络安全战略规划的制订。2007年,佐治亚州委托开展的一项研究发现,由于基础设施老化,管理流程、管理程序和治理措施缺乏,佐治亚州政府存在重大的网络安全风险。2015年,佐治亚州建立网络安全审查委员会,推进GTA制定的网络安全战略规划的实施,提升网络安全作为跨政府部门工作的优先级和统筹协调能力。在网络安全治理能力建设方面,佐治亚州设立了年度报告(STAR)工具进行战略下发、预算管理和执行调整等工作,设立了企业资产组合管理工具(STARR)与企业、机构和州立法机构进行数据共享,运用国家年度技术报告登记册(EPMO)企业项目管理工具进行数据分析,将分析结果应用于网络安全战略规划制订。在应急响应方面,佐治亚州建立了事件升级制度,并建立了由跨部门代表组成的事件响应团队(IRT),授权相关部门代表推进应急事件快速响应。在2016年“网络风暴五号”国家网络安全演习中,佐治亚州通过模拟大范围系统故障和停机等,对应急响应计划进行了演习。

中国基层政府网络安全规划保障情况

在网络安全保障方面,中国完成了法律法规的初步建设,完成了标准体系的进一步完善。基层政府积极落实国家法律法规,开展网络安全保障工作,实施风险管理,推进风险评估和等级保护工作,并从2018年开始,显著增强了网络安全顶层规划和预算支撑,为网络安全保障工作的落实提供了顶层整体化规划设计和有效支撑。

在中国基层政府开展的网络安全规划设计工作中,市级基层政府网络安全保障工作较为完善,区县级网络安全保障工作区域间、地域间差距较大,街道或乡镇级网络安全保障工作普遍缺乏。

以街道或乡镇网络安全保障为例,街道或乡镇基层政府对繁多的国家标准理解层次较浅,缺乏落实实施思路,基层政府办公网络、移动网络存在安全隐患,办公终端网络连接管理缺失,政府数据安全防护意识缺乏,办公人员身份认证管理措施缺失。

以终端安全为例,中国基层政府多采用上级政府所建设的信息系统,终端安全防护的缺失将导致网络间、系统间存安全风险,辖区内的敏感数据和终端容易遭受网络的攻击和社会工程学攻击。

在网络安全治理方面,中国基层政府是两级政府(市、区县)、三级管理(市、区县和街道或乡镇)、四级网络(市、区县和街道或乡镇、居或村委会)的科层制模式。各政府部门以纵向垂直管理方式为主,由于居或村委会以协调工作为主,街道或乡镇办事处为最小政府权力执行单位,各级基层政府均根据国家政府部门体制设立网络安全人员。中国在网络安全治理体系建设方面处于飞速发展的阶段,基层政府网络安全工作的抓手主要以网信部门和公安部门的基层政府人员为主,网络安全治理体系建设尚在完善改进过程中,统筹协调和切实落实举措正在不断探索和改善。

对基层政府网络安全规划的几点思考

建设和完善基层政府电子政务网络安全保障体系,增强基层政府公信力和执行力,提升网络安全治理,是推进国家治理体系建设、提升治理能力、构建服务型政府的必经之路。参考美国基层政府网络安全治理和网络安全保障体系建设经验,优化中国基层政府网络安全规划及保障体系,有效推进中国基层政府网络安全治理体系和保障体系建设,才能实现基层政府网络安全的善治。

第一,国家层面提供具体实施方案、参考案例。在标准、规范制订的同时,可向基层政府提供具有落地性的实施措施和方案,提供角色、职责、时间表等,提供优秀案例,确保技术措施、管理措施到位。

第二,加强基层政府网络安全保障体系和网络安全治理体系建设。加强对辖区的网络安全监管,建立长效的网络安全保障机制。形成基层政府网络安全治理能力,形成办公网络安全防护屏障,形成政务系统安全保障壁垒。网络安全是一项跨部门工作,需要顶层设计,加强领导,深化协调,以形成基层政府网络安全保障体系和治理体系。

第三,提升基层政府网络安全风险管理。网络安全风险管理需要集中国家、基层政府、第三方咨询评估机构和企业的力量,有针对性地识别和管理基层政府在网络安全治理和保障方面的安全风险,减少基层政府及其辖区内网络安全脆弱性,削弱网络安全威胁,降低网络安全风险,切实保障基层政府数据安全。

第四,工具和方案辅助实施、持续监测。国家或基层政府配备相关工具和方案,加强动态化网络安全管理。对重要企业、重点系统、重要人群、重点时期进行持续管理或监测,建立有效监督机制,促进各项技术与管理措施落到实处。对相关管理和监测数据开展分析,支撑和促进基层政府网络安全战略或顶层设计不断改进。

(本文刊登于《中国信息安全》杂志2019年第3期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。