文│ 国家信息中心 罗海宁
《关键信息基础设施安全保护条例》(以下简称《条例》)作为《网络安全法》的重要配套行政法规,针对关键信息基础设施各类责任主体、保护对象和法定义务作出了明确而具体的规定。在电子政务领域,《条例》对当前我国依托政务外网规范推进数字政府建设进程,有效提升政府开展在线履职、便民服务能力和水平,稳步深化开发政府数据应用,奠定坚实的法治基础,发挥着重要的法治保障作用。
一、电子政务外网实施关键信息基础设施保护的必要性凸显
经过多年建设,电子政务外网已经发展成为我国覆盖面最广、连接政务部门最多、承载业务最全面的全国电子政务统一网络。电子政务外网贯通全国“中央、省、市、县”四级网络平台,省级、地市级实现全覆盖,区县级、乡镇、村级网络应需尽接,大部分区县实现下辖乡镇全覆盖。130 多个中央部门政务部门和相关单位、近 20 万个各级地方部门基于政务外网开展电子政务。
电子政务外网是电子政务领域基础“云、网、数”重要底层设施,由于其连接全国各级党政机关,承载运行各级政务数据资源、重大信息库和重要信息系统,同金融、能源、电力、通信、交通等领域的关键信息基础设施一样,是各级政府开展政务协同服务、老百姓网上办事的网络枢纽,其网络安全是关键信息基础设施保护工作的重中之重。
此次《条例》发布,标志着关键信息基础设施保护制度基本形成,与我国正在施行的等级保护制度结合,形成围绕关键信息基础设施的“两个制度”格局,二者相互衔接配套,各有偏重,落实这两个制度必将有助于电子政务外网更全面地推进关键信息基础设施全网整体安全保护,更有效地保障各级政府利用政务外网在线履职、服务于民。
(一)实施政务外网关键信息基础设施保护是严格遵循国家法律法规的基本要求
《条例》出台,是落实《网络安全法》的一项举措,也是《网络安全法》的配套法规。如果将《网络安全法》看作是网络空间安全整体的治理,《数据安全法》则定位为数据处理活动的安全与开发利用,《个人信息保护法》定位为公民个人隐私信息保护,三部法律并行形成了我国网络空间法治“三叉戟”。《条例》则突出了保护涉及我国国家安全、国计民生、公共利益的重要设施运行。政务外网作为法定保护对象,应严格遵循法规要求,配合主管部门、监管部门履行工作部门和运营者相关义务。
(二)实施政务外网关键信息基础设施保护是全网各级单位应对安全挑战的重要抓手
国家电子政务外网是按照中办发〔2002〕17 号文件和〔2006〕18 号文件要求建设的我国电子政务重要公共基础设施,是服务于各级党委、人大、政府、政协、法院和检察院等政务部门,满足其经济调节、市场监管、社会管理和公共服务等方面需要的政务公用网络。
政务外网支持跨地区、跨部门的业务应用、信息共享和业务协同,以及不需在政务内网上运行的业务。政务外网由中央政务外网和地方政务外网组成,与互联网严格隔离。国家电子政务外网管理中心近年来陆续组织开展全网边界安全检查专项工作和全网网络安全风险排查工作,经梳理发现,经过近年来网络安全基础设施建设,政务外网已初步具备较完善的安全管理体系、安全防护体系和安全监测体系。但随着政务外网业务承载量逐渐增多以及业务上云化带来的诸多挑战,政务外网面临的整体安全形势仍旧比较严峻,形成设施保护方面的一些挑战。
1. 基层网络安全管理仍不足
地方政务外网基层单位存在安全管理机构缺失、安全管理制度不完善、制度更新不及时、执行不到位、责任不明确等各种各样的安全管理短板问题,部分地方基层单位存在未完成等级保护测评工作的情况。
2. 各地数据安全建设水平参差不齐
政务信息整合共享工作基本实现“网络通、数据通”的阶段性目标,全国一体化数据共享交换平台建成,公共信息资源开放有效展开。各级政务外网业务承载急剧增加,大量政务数据在政务外网汇聚,各地政务外网在数据采集、存储、传输、使用、销毁等环节还须加强对管理和技术要求全面的“双落实”,围绕数据全生命周期安全保护能力建设仍需下力气“大投入”。
3. 终端安全尚未实现全网统筹管控
全网终端接入分散控制,整体安全管控策略必要但还无法实现,目前仍存在终端同时访问政务外网和互联网的情况,部分单位无法对所有接入政务外网的终端进行有效管控,主机安全防护一旦措施落实不到位,非法用户就有了“可乘之机”,终端一旦感染病毒、中了后门木马,对政务外网设施产生的威胁不可忽视。
4. 监测措施还不够完备
政务外网存在着不少的新型攻击形态,各地区政务外网网络安全采集、分析水平参差不齐,安全设备部署较为分散,部分单位安全监测难以实现全天候值守,实时发现和安全事件联动处置能力存在不足。
《条例》出台为政务外网履行法定保护,化解问题和挑战,重新规划落实设施保护措施,建立更加有效的实战化、体系化、常态化等新理念,全方位构建主动防御、安全可信、动态感知和全面审计,强化安全集中管控,持续增强动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控等新能力,提供依据和抓手。
二、电子政务外网关键信息基础设施安全保护工作实践
《条例》为当前政务外网全网各级设施运营单位做好设施保护工作提供了全面的指导,各级运营单位应加紧对照法定要求,依法推进政务外网关键信息基础设施各项保护措施稳步落地。
重点应加强三项措施:一是依托现有组织体系架构,构建政务外网关键信息基础设施保护工作机构,保障各级外网各项工作有序展开。依托国家电子政务外网管理中心网络和安全等组织架构和人员,设立全国政务外网统一的保护工作专门机构,监督指导各级外网开展保护工作,并构建专门安全管理职责队伍,建立健全保护制度和责任机制,推进人力、财力、物力投入,定期开展安全管理、技术人员培训,开展“有奖有罚”的公平考核评价机制。
二是立足政务外网主管、监管、运营职能划分,加强上下内外左右“三协同”,形成主管、监管、运营工作“三合力”。各级政务外网共建共管、共享共治,形成全国全网一盘棋。政务外网运营者在已经明确关基范围、认定工作流程和考虑因素的基础上,加强与国家网信部门、国务院办公厅电子政务办、公安部门、安全保护部门的协作配合,进一步完善保护对象体系化工作,与地方外网、部门使用单位划分责任和工作边界,避免设施保护工作各自为战、条块分割等问题。
三是遵循《条例》和等保制度指引,落实条例重点保护措施,提升政务外网安全服务支撑水平。基于国家电子政务外网实施三级等级保护工作成效,进一步完善网络安全防护、数据共享交换安全、安全服务支撑、日常安全管理四位一体的网络安全体系,落实政务外网关键信息基础设施五方面重点保护任务。一是重点建立资产档案;二是强化核心岗位人员管理;三是加强网络攻击威胁管控、整体防护、监测预警、应急处置、数据保护等重点保护措施;四是强化全网技术系统联动;五是委托网络安全服务机构对关键信息基础设施每年开展网络安全检测和风险评估;六是发生重大网络安全事件或者发现重大网络安全威胁时,及时向保护部门、公安机关报告。
围绕做好电子政务外网关键信息基础设施安全保护工作,建议在实践中重点注意以下几点:
(一)识别认定政务外网关键信息基础设施范围和边界
电子政务外网关键信息基础设施具有《条例》中所定义的电子政务这一重要行业和领域对象的显著特性,是一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统。政务外网由全国各级外网设施组成,政务外网各级骨干网含城域网、广域网,政务外网数据中心及集中地提供公共服务的云计算平台设施、数据共享交换平台等所构成的整体信息基础设施,统一认定为一个关键信息基础设施,其边界统一设定为政务外网与互联网的边界、各级政务部门接入边界,政务外网数据中心与其他数据中心的边界。
(二)完善各级政务外网内部专门组织管理机构
在国家电子政务外网管理中心现有分工基础上,设立专门负责推进关键信息基础设施保护的全网安全管理机构,由各级外网单位共同参加,并对机构所有关键岗位人员进行安全背景审查。各地政务外网专门安全管理机构具体负责政务外网关键信息基础设施安全保护工作,履行下列职责。一是建立健全本地政务外网网络安全管理、评价考核制度,拟订本地政务外网关键信息基础设施安全保护计划。二是组织推动本地政务外网网络安全防护能力建设,开展网络安全监测、检测和风险评估。三是按照国家外网网络安全协同应急体系要求,构建本地政务外网协同应急平台,制定本单位应急预案,定期开展应急演练,处置网络安全事件。四是认定政务外网网络安全关键岗位,参加国家外网组织开展的网络安全工作考核,开展本地外网考核。五是参加国家外网统一认证培训,组织本地网络安全教育、培训,加大政务外网网络安全保障人才培养力度,定期组织开展技能培训。六是履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度。七是开展本地政务外网关键信息基础设施设计、建设、运行、维护等服务实施安全管理。八是通过全国政务外网协同应急平台及安全通报渠道及时向国家外网报告网络安全事件和重要事项。
(三)明确各级政务外网运营者主体责任
在关键信息基础设施安全保护工作上,明确地方政务外网运营者所需承担的具体责任,并严格遵照执行八项要求。一是安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用。二是建立健全本地政务外网网络安全保护制度和责任制,保障人力、财力、物力投入。主要负责人对本地政务外网关键信息基础设施安全保护负总责,领导本地政务外网关键信息基础设施安全保护和重大网络安全事件处置工作,组织研究解决重大网络安全问题。三是保障专门安全管理机构的运行经费、配备相应的人员,开展与网络安全和信息化有关的决策应当有专门安全管理机构人员参与。四是自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估,对发现的安全问题及时整改,并按照政务外网保护工作部门要求报送情况。五是本地政务外网关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时,运营者应当按照有关规定向政务外网保护工作部门、公安机关报告。六是优先采购安全可信的网络产品和服务;采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查。七是采购网络产品和服务,应当按照国家有关规定与网络产品和服务提供者签订安全保密协议,明确提供者的技术支持和安全保密义务与责任,并对义务与责任履行情况进行监督。八是配合政务外网保护工作部门以及公安、国家安全、保密行政管理、密码管理等有关部门依法开展的关键信息基础设施网络安全检查工作。
(四)加强政务外网关键信息基础设施网络安全和数据安全
在基础防护能力建设方面,构建全方位的政务外网安全防御体系,在网络侧、互联网接入侧、应用侧部署相应的安全防护措施,建立较强的边界防护能力、终端防护能力、安全审计能力。在安全监测能力建设方面,积极开展政务外网安全监测类平台建设,提供 7*24 小时的全方位安全监测服务,逐步具备整网安全事件及时发现并处置的能力。在终端安全管控能力建设方面,强化政务外网接入终端安全管控,杜绝终端政务外网、互联网两网通联,有效查杀蠕虫病毒、恶意软件、勒索软件、引导区病毒、木马等恶意文件,从系统的更底层发现漏洞攻击代码的执行,防护“零日”(0Day)漏洞等,按需收集终端的软硬件信息,包括硬件信息、操作系统信息、终端登记信息等,形成资产档案。
在数据安全保护能力建设方面,在促进数据共享使用的同时,推动政务外网数据安全保护能力建设,深入推广数据访问控制与权限管理、数据加密、数据脱敏、数据标识、数据审计等防护措施的建设和应用,提升数据安全交换功能和性能,加强数据容灾备份设施建设,实现数据安全管控。同时,提升政务外网国产密码一体化支撑能力,推进国产密码在政务网络、政务云、各业务系统、数据共享体系方面的规模化部署和替代,持续开展政务外网密码应用安全性评估相关工作。
(五)提高政务外网协同处置能力
构建覆盖中央、省、市、县四级的政务外网安全事件管理协同处置机制,明确工作范围、职责、流程等内容。建设政务外网安全事件管理平台,及时收集、汇总、分析、共享各方网络安全信息,为各级政务外网安全管理部门处置跨地域、跨层级、跨系统的安全事件搭建协同处置通道。依托国家网络与信息安全信息通报机制,加强国家电子政务外网网络信息安全通报预警力量建设,推进与网信、公安、保密等主管部门和主流安全厂商网络安全威胁情报共享协同,联合机构、院校、厂商深度挖掘分析,形成具有政务外网特色的威胁情报信息库,支撑政务外网安全事件管理协同处置机制能力建设。建设政务外网安全应急演练平台,为各级政务外网安全管理部门搭建演练环境,提升政务外网安全事件协同处置能力。
三、结语
随着政府数字化转型、应用新模式的推进发展,电子政务外网关键信息基础设施保护工作不容小觑,贯彻落实关键信息基础设施保护和网络安全等级保护两个制度,完善政务外网体制机制建设,以全局规划、战略布局、整体推进为原则,坚持全国“一盘棋”,发挥各级政务外网积极性,全面协同推进国家电子政务外网关键信息基础设施全网安全保护取得新进展。
(本文刊登于《中国信息安全》杂志2021年第9期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。