“互联网+”时代政务数据安全问题应对措施

作者简介

姚景良

石家庄市行政审批局工程师，主要研究方向为政务大数据管理。

论文引用格式：

姚景良. “互联网+”时代政务数据安全问题应对措施[J]. 信息通信技术与政策, 2024, 50(8): 80-83.

“互联网+”时代政务数据安全问题应对措施

姚景良

（石家庄市行政审批局，石家庄 050000）

摘要：互联网技术与政务服务工作相融合，有效提高了政府办公效率和服务水平。但在数据安全方面，还面临诸多内部管理问题和外部威胁侵扰。为化解安全风险、保障政务信息系统安全稳定运行，有必要建立一套科学合理的数据安全保障体系，并在体制机制建设、软硬件安全防护、网络突发事故应急处置、从业人员数据安全意识培养等方面加以提升。

关键词：数据；政务服务；网络；系统；安全

0 引言

近年来，随着互联网的快速发展，互联网技术开始与各类传统行业进行深度融合，在改变人们工作生活方式的同时，也标志着社会已全面进入“互联网+”时代。其中，将互联网技术与政务服务工作相融合，符合社会现实需求和政务服务发展趋势，能够有效提高政府办公效率和服务水平，为公众提供更优质、更便捷的服务体验。但是，由于互联网本身具有开放性、公开性及互联性等特点，加上“互联网+”刚刚兴起，许多政务信息系统平台自身还存在安全管理漏洞、技术短板和设计疏忽，导致政务网站的数据安全防护能力十分脆弱，极易受到黑客组织的攻击和各种病毒的感染，进而出现数据丢失、泄露、篡改现象。面对影响数据安全的种种问题和威胁侵扰，采取有效应对措施，筑牢网络安全屏障，才能有效消除潜在威胁，保障政务信息系统安全、稳定、高效运行^[1]。

1 面临的问题和威胁

1.1 对数据安全重视不足

随着互联网和大数据技术的日益普及，各地政府部门借互联网发展的“东风”，纷纷成立网络信息中心、大数据管理办公室等信息化管理部门，但过于追求平台系统种类、数量、功能的扩展和业务覆盖范围的扩大等一系列外在表象，而对信息采集、传输、处理、存储过程中的数据安全问题重视不足、投入不够，缺少数据安全防范意识，缺乏数据安全风险预警、风险评估和突发事件应急处置能力，以及对网络信息从业者数据安全观念和相关技能的培养，没有形成一套完整的数据信息安全制度体系框架。

1.2 黑客组织和不法分子实施网络攻击

由于政务信息平台数据量大、影响面广，极易成为黑客组织重点攻击目标和网络舆情高发区，再加上网络信息从业者缺乏数据安全意识，没有及时修复网络和应用软件的安全漏洞，让一些不法分子轻松利用各种系统安全漏洞窃取数据、破坏资源、发表不当言论，导致网站被篡改、被植入暗链、被上传病毒文件等安全事件时有发生。此外，这些暗链、病毒还会产生一系列连锁反应，造成服务器大规模感染，甚至连政府内网的应用程序、基础设施都会受到牵连，给整个政府系统造成恶劣影响。

1.3 信息系统软硬件安全防护能力欠缺

一方面，计算机系统和网络设备硬件配置较低，网络拓扑结构落后，缺少数据备份，一旦发生网络故障，系统没有自愈能力和容错容灾能力。另一方面，数据库安全防护技术落后，在数据采集、传输、处理、存储过程中缺少有效的安全应对措施，遭遇网络入侵时难以对数据信息形成有效保护。再一方面，操作系统存在安全漏洞和缺陷，系统在开发、测试、验收阶段未做好数据安全防护，虽然在使用初期未发生网络入侵，但随着黑客手段的不断升级，操作系统本身存在安全漏洞和缺陷逐渐被黑客攻破，造成政务数据和公众隐私信息泄露。

2 应对措施

2.1 健全数据安全体制机制

科学完善的组织架构和制度机制是建立数据安全保障体系的前提和推进数据安全防护工作的关键，各地政府要切实转变以系统平台数量、功能、业务应用范围为第一追求的片面性传统思维，要在传统的政务信息管理部门之外，设立专门的数据安全运维团队，制定统一的数据安全管理工作方针、策略、标准和规范，同时明确业务主管部门、政务信息管理部门、运维运营单位的三方责任，确保政务数据安全管理边界清晰、职责明确。制度完善方面，要侧重以下几项制度的建立。一是数据分级分类保护制度，可以参照国家/省相关标准，重点结合本地本单位实际情况，利用多维度数据特征描述数据类型，对各类数据按照重要程度和敏感层级进行分级分类管理和保护。二是数据安全风险评估制度，定期开展数据安全风险评估，评估工作不可外包给第三方公司后便“撒手不管”，管理人员要全程参与，对发现的问题及时整改，切实降低数据安全风险。三是应急处置机制，强化数据安全和网络安全应急处置能力，做好网络突发事件的防范和应急处理工作，提高预防和控制网络数据安全的能力水平。四是数据安全审查制度，作为一种主动的管理和监督手段，数据安全审查能够保护和规范本单位内部数据资产，防止数据泄露、滥用和不当操作。五是人员登记审查制度，要加强数据使用、访问管理措施，明确数据访问范围、数据访问和使用登记流程、操作权限、保密要求等，定期对组织架构人员进行资格审查。六是数据安全培训考核制度，定期开展数据信息安全培训、警示教育讲座和数据安全知识竞赛活动，并将数据安全防护知识储备应用纳入上岗考试及年度目标管理考核内容，有效提升从业人员的数据安全意识和技能水平^[2]。

2.2 提升信息系统容灾能力

一方面，对于一些大型计算机网络和分布式应用系统，为了保证其安全可靠性，除了场地、环境安全应遵循有关标准外，端系统、互联设备、物理线路等各个层次的硬件实体和网络设置，也应具备一定的容错容灾能力，除了主体设备应选用高可靠性的计算机系统，重要的服务器系统和网络中心的关键设备也要有硬件冗余，具备容错功能，当系统因自然或人为因素发生故障时，冗余配置的部件及时介入并承担故障部件工作，由此减少系统的故障时间。光纤通道要采用双链路、双光纤交换机，可以接收和发送两个端口的数据，实现数据的传输和转发，确保不会在一条链路失效时导致数据丢失。网络分布应采用有自愈能力的环形网络拓扑结构，确保线路故障时，网络自动保护、仍然可用。在有冗余连接的复杂网络环境中，节点之间应运行动态路由协议，这样既能够自动适应网络状态变化，同时保障节点或线路出现故障时能够实现自动的路由切换，不影响应用系统的正常运行^[3]。另一方面，要做好数据备份，数据备份是容灾的基础和关键，可通过建立数据备份管理系统，在无人工干预的情况下，对系统和重要数据定期或实时备份，一旦灾难发生，能够尽快恢复信息系统运行，保证业务的连续服务能力。有条件的地区，主要数据库系统还可按双机热备设置，并至少要准备两个以上数据库备份，一个备份放在机房，一个备份放在另一安全建筑物中，实现数据备份双重保障。另外，数据存储可采用具有高度可扩展性的存储结构，以备将来需要时扩展异地容灾系统，在发生数据丢失破坏、本地备份失效的情况下，通过异地备份的数据进行远程恢复，从而进一步提高数据抵抗各种可能安全因素的容灾能力，保证系统应用及数据库的安全性和业务连续性。

2.3 加强数据安全防护水平

政务服务平台作为政府服务能力升级的一项重要支撑，在软件开发过程中，对数据的采集、处理、存储、聚合、交换、应用等都要做好安全防护。常见的数据安全风险应对措施有6种。一是数据加密，采用密钥的形式，将原始数据（明文）通过算法转换成只有授权用户才能解读的格式（密文），它通常与完整性校验相结合，确保数据在存储、传输、共享、应用等各环节不被篡改，即使在遭受攻击的情况下，加密技术也能确保数据可以被授权用户正常使用^[4]。二是数据脱敏，根据特定应用场景，使用数据替代、重排、加密、截断、掩码等处理方法对某些敏感信息、敏感字段进行数据变形，屏蔽敏感信息，实现敏感隐私数据可靠保护，同时保留被屏蔽信息的原始数据格式和属性，确保应用程序可以在使用脱敏数据的开发与测试过程中正常运行。三是数据识别，目标是识别发现敏感数据，有效实施保护，可基于标签、元数据、内容进行识别，广泛应用于数据分级分类、安全监测、数据脱敏等技术场景中。四是数据标记，包括分离式数据标记和嵌入式数据标记，通过对需要保护的数据增加标记信息，实现数据有效分级分类，目前该项技术已在产业界初步应用，但真正落地尚需时日^[5]。五是数据水印，将水印标记嵌入原始数据，在数据泄露时实现数据溯源、数据版权保护，典型应用场景为政府部门数据共享。六是隐私计算，在保证数据提供方不泄露原始数据的前提下，对数据进行分析计算的一系列信息技术，能够实现数据在流通与融合过程中的“可用不可见”，如基于密码学的计算技术、人工智能与隐私保护技术融合衍生技术、基于可信硬件的计算技术等。目前，除以述几种常见的防护技术之外，数据备份、网络防火墙、权限控制等其他技术的应用也较为广泛。

2.4 做好网络突发事故应急处置

政务服务工作因其特殊性，各类业务系统往往处于全天无休、全年不停止运作的状态，为保证系统长时间安全稳定运行，遇到突发事故要快速响应，迅速判断事故类别、问题来源，保护证据，按程序逐级上报，采取有效措施，将事故的损害程度降到最低。从事故分类来看，当大面积停电导致系统无法使用时，应及时切换不间断供电系统（Uninterruptible Power System，UPS）进行供电，并随时观察系统运作情况，一旦发现UPS系统供电不足，而发电机组又来不及供电时，在取得上级同意后，关闭服务器和存储设备的运行，防止因突然断电导致数据文件丢失。当突发网站非法言论事件时，要及时上报，情况紧急时，应先采取删除措施，再按程序报告，事后除了要对整个事故的处理情况进行详细记录，还要追查非法信息来源。当发生网页内容被篡改、软件系统遭破坏性攻击等黑客事件时，首先要将被篡改的服务器或软件系统中的数据信息从网络环境中隔离出来，停止运行该系统，通过检查信息系统日志，确定攻击来源，保护好现场和证据，及时上报，然后再逐步恢复与重建被攻击或破坏系统。当发现服务器被大面积感染病毒时，首先将中毒的服务器从网络上隔离出来，对中毒设备的硬盘进行数据备份，然后启用杀毒软件对中毒服务器进行杀毒处理，如果感染病毒的设备是主服务器，还要利用病毒检测软件对其他服务器进行病毒扫描和清除，顽固病毒可联系防病毒厂家求助。当发生广域网外部线路突然中断事故时，应首先明确中断范围，如果广域网主线路中断，应立即启动备用线路接续工作；如果主、备用线路同时中断，应在判断故障节点，查明故障原因后，尽快研究恢复措施：属单位方管辖范围的，由网络技术人员立即予以恢复；属电信部门管辖范围的，立即联系电信部门，要求恢复。当发生局域网中断事故时，也应分情况处理：属于线路故障的，应重新安装线路；属于路由器、交换机等网络设备故障的，应尽快联系抢修，必要时启用网络备用设备，并调试通畅。

2.5 提高从业人员数据安全意识

人员是政务数据安全保障的实施主体和建设数据安全保障体系中的重要组成力量，网络信息从业者应根据不同岗位特征，做好数据安全防护工作，对于信息化项目需求分析、设计人员，应将产品的安全性考虑到产品的需求设计中，从而保证安全因素在项目建设初期就得到重视；信息化项目开发人员作为数据安全屏障的建立者，应熟练掌握数据加密、数据备份、防火墙等数据安全技术，并有效应用于系统建设中；对于测试人员和项目验收人员，验证了应用系统的所有功能，还不能保证产品已具备安全性，还需要借助其他工具或平台，对应用程序进行全面系统的安全隐患扫描、汇总和分析；对于运维运营人员，平时要做好网络、系统的安全加固工作，定期进行系统安全扫描、渗透测试，遇到突发事故，及时有效做好应急处置工作；对于直接服务群众的政府人员，应强化数据安全意识，严格按照工作规程、保密程序操作计算机业务系统，在软件下载应用、涉密笔记本操作、U盘使用、快递邮寄等日常事务中养成良好的安全习惯。

3 结束语

维护政务数据安全是一项系统工程，既需要解决内部管理上的“漏洞”，也需要有效应对外部威胁侵扰，只有建立一套科学合理的安全保障体系，重点关注在制度建设、软硬件提升、突发事件化解、安全意识培养等方面形成有效的安全防护能力、隐患发现能力、应急反应能力和系统恢复能力，构筑数据安全屏障，才能有效消除潜在威胁，实现信息化系统安全、稳定、高效运行。但从长远来看，随着数据安全风险的不断升级，政务数据安全保障的内容和深度还需要进一步扩大和加深，除了依靠管理制度和技术手段，还有必要将数据安全标准化建设和法制建设作为下一步研究重点，抓紧制定应对不同风险等级的政务数据安全技术标准，形成政务数据安全标准化体系。同时，逐步建立和完善政务数据安全法律制度，加强政务数据安全标准化立法，主动对接国际电子政务发展标准，出台适合国内互联网环境的统一的数据安全标准化法律法规，以保障互联网技术在提高政府服务水平中的作用充分发挥。

Measures for government data security issues in the era of internet+

YAO Jingliang

(Shijiazhuang Administrative Examination and Approval Bureau, Shijiazhuang 050000, China)

Abstract: The integration of Internet technology and government services has effectively improved the efficiency and service level of government offices. However, in terms of data security, there are still many internal management problems and external threats. To resolve security risks and guarantee the safe and stable operation of government information systems, it is necessary to establish a set of scientific and reasonable data security guarantee system, and to improve the system mechanism construction, software and hardware security protection, emergency response to network emergencies, and the cultivation of practitioners’ data security awareness.

Keywords: data; government services; network; system; security

本文刊于《信息通信技术与政策》2024年 第8期

声明：本文来自信息通信技术与政策，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。