公安部网络安全保卫局范春玲
当前,电子政务网络安全意识和重视程度显著提升,电子政务网络安全保障工作深入开展,网络安全等级保护工作、网络安全检查工作、重大活动网络安全保障工作和网络安全监测工作,都取得了良好的成效。与此同时,电子政务遭受网络攻击态势愈发明显,政府网站安全形势严峻,网络攻击呈现多样化、区域差异化趋势。本文对当前国家电子政务网络安全态势进行探讨,对电子政务面临的问题进行分析,推进国家治理体系和治理能力现代化,切实保障电子政务网络安全。
一、国家高度重视电子政务网络安全
政务服务是党政机关、事业单位等相关行政部门,根据国家有关法律法规的规定,为社会团体、企事业单位和个人提供的行政事务性服务。
随着信息技术的发展和广泛应用,我国电子政务蓬勃发展,主要经历了三个发展阶段:第一阶段自20世纪90年代起至21世纪初,电子政务领域方兴未艾,部分政府机关在政务活动中意识到创新发展与信息技术的结合,逐步探索运用计算机、网络以及其他通信技术手段提供政务服务,一些政府机关相继组建成立了信息中心,支撑电子政务信息系统、局域网和门户网站等规划建设。第二阶段自21世纪初至2010年左右,信息化电子政务领域快速发展,电子政务业务需求和安全需求进一步明确,国家相关部门相继印发了一系列指导性政策文件、标准规范,国家重要领域的电子政务平台技术和管理框架体系不断健全完善,政务领域信息化应用逐渐扩展覆盖到各类政务服务,电子政务应用和电子政务安全成果显著,积累了丰富的实践经验。第三阶段为最近十年,在此期间,电子政务发展更为成熟,体系化推进趋势明显,新技术、新应用在政务领域应用更为广泛,国家相继出台了多个纲领性政策文件,包括《“十三五”国家政务信息化工程建设规划》《国务院办公厅关于促进电子政务协调发展的指导意见》《推进“互联网+政务服务”开展信息惠民试点实施方案》等,构建了符合我国国情的电子政务政策和标准体系。
信息化变革搭载电子政务的高速发展,重塑政务职能、形态和数字秩序。伴随电子政务信息化的深化改革,电子政务网络安全成为政务服务生态融合的技术壁垒,也成为国家网络安全的重要组成部分。
随着《中华人民共和国网络安全法》的实施,《网络安全等级保护条例(征求意见稿)》和《关键信息基础设施安全保护条例(征求意见稿)》公开征求意见,“十三五”信息化规划、网络安全规划等相关政策制定实施,“互联网+政务服务”和“政务信息系统整合共享”迈入高速发展的道路,电子政务网络安全迎来了重要战略机遇期,国家电子政务网络安全逐渐由点及面,形成了立体的防御体系和全生命周期的生态环境,但是,由于发展不均衡、技术更新滞后、资金投入欠缺、短板效应放大等原因,电子政务网络安全保障工作仍面临严峻形势和诸多挑战,必须与时俱进,常抓不懈。
二、国家电子政务网络面临多种威胁
一是政务领域关键信息基础设施、重要信息系统、网站成为网络攻击的重点
电子政务信息系统是各级人民政府及其所属单位履行职能、面向社会提供服务的重要手段和渠道,在提高行政效能、提升公信力等方面发挥着重要作用。
近年来,各级党政机关按照国家网络安全相关规定,切实加强电子政务安全管理和技术防护,基本上保证了电子政务信息系统的正常运行。但是,当前政务网络安全还存在许多突出问题,主要表现在:安全责任不落实,重应用、轻安全,防护措施缺失,安全漏洞和隐患突出,以及基层电子政务安全管理和防护能力差等,这些安全问题的存在,将导致电子政务信息系统遭攻击和篡改的风险无时不在。
习总书记指出,国家关键信息基础设施面临较大风险隐患,网络安全防控能力薄弱。据有关单位对政务领域网络安全面临的威胁调研发现,政务网站数量庞大,政府门户网站是.gov.cn域名中数目最多的,占.gov.cn域名网站数的14.4%。政务网站是政府机关实现政务信息公开、服务企业和社会公众、互动交流的重要渠道和窗口,是恶意黑客攻击的重点目标,尤以政务类网站为甚。
据统计,2018年1月至6月,在政务网站遭受的DDOS攻击中,政务类网站遭受攻击数量占同期全国总体数量的20%。攻击者利用网站漏洞、弱口令和安全配置缺失等脆弱性,针对政务网站实施攻击,导致政务网站页面篡改、信息泄露和网站瘫痪等,给政务网络安全带来严重危害,损害政府部门形象,甚至危及国家安全和社会稳定。
二是电子政务网络安全等级保护制度的落实还不到位
网络安全等级保护制度是国家网络安全领域的普适性制度要求,是关键信息基础设施保护的基础,关键信息基础设施是等级保护制度的保护重点。网络安全等级保护制度具有体系化、整体化特点,不是割裂的,是动态的而不是静态的、是开放的而不是封闭的,在政务网络安全中需要政府、企业、社会组织、广大网民共同参与,共筑网络安全防线。
网络安全和信息化是一体之两翼、驱动之双轮,安全和发展要同步推进,以安全保发展、以发展促安全,统一谋划、统一部署、统一推进、统一实施,做到协调一致、齐头并进,在电子政务领域,更需重点强调等级保护工作与政务领域信息化要同步规划、同步建设,同步使用,在实践中,这方面工作仍有待加强和巩固。
三是政务数据信息泄露等网络安全事件频发
按照数据类型划分,政务数据是极为重要的数据资源,是政府职能部门在履行职责、服务民生、社会管理中采集、存储和应用的数据,既包括主管部门行业数据也有地方区域性政务数据。电子政务数据敏感度高,数据价值密集,与现有各类海量数据不断汇聚集中后,已经成为事关国家安全、经济发展、社会稳定的重要战略资源。
随着政务大数据的多样化、规模化特点不断突出,其在政治、经济、社会等方面的重要性和价值不断增强,政务大数据成为网络攻击、窃密的重点目标,尤其是新技术、新应用的广泛发展,大量政务服务数据、日志信息、个人隐私信息和用户行为记录等的汇集和集中存储,增加了数据泄露的风险和危害程度。
同时,电子政务大数据自身安全防范能力薄弱,仍缺乏有效的监测预警和管用的安全防护措施,难以有效应对日益严峻复杂的网络安全形势。近年来,一些政府部门电子政务系统中的用户隐私信息、业务数据等遭窃取、泄露的网络安全事件频发,政务数据信息安全保护任重道远。
三、电子政务网络安全存在的突出问题
一是电子政务网络安全政策标准体系应与时俱进,仍需不断健全完善
当前,我国网络安全法律法规和标准体系建设日益完善。随着《中华人民共和国网络安全法》实施,配套的《网络安全等级保护条例(征求意见稿)》和《关键信息基础设施安全保护条例(征求意见稿)》等有关法规不断加快立法进程,国家网络安全标准体系建设也紧随其后,不断与时俱进。
相比较而言,政务网络安全法律法规和标准体系相对滞后,相关立法部门尚未出台电子政务领域的专门法律规范,与电子政务有关的法律、法规分散在计算机、互联网、信息化建设、计算机软件保护、电子签名、政府信息公开等领域,难以适应当前电子政务网络安全发展。同时,电子政务网络安全技术标准体系建设仍缺乏更为科学的顶层设计、体系规划。电子政务网络安全在法律支撑、保障依据和技术标准体系方面,应不断健全完善。
二是各行业部门、各级政府电子政务网络安全发展不均衡
各行业部门、各级政府电子政务网络安全建设和防护水平发展不均衡。经调研发现,行业主管部门、沿海地区及经济发达地区电子政务网络安全能力水平不断增强,而基层政务部门网络安全意识薄弱,信息化发展的区域性差异较大,“三同步”原则难以落实到信息化建设项目中,重建设轻安全问题仍然突出。尤其是基层政务网站、内陆及经济落后地区网络安全防护水平较弱、责任意识不强,网络安全等级保护等重点工作落实不到位,在互联互通的大背景下,易引发短板效应,因此,亟待提升我国电子政务网络安全的整体保障水平。
三是电子政务信息系统安全防护缺乏统筹规划
远程安全测试结果和现场检查结果分析发现,部分单位老旧系统关键组件长期无法更新安全补丁,不再使用的信息系统未能及时下线且仍保存大量重要数据。随着机构改革、业务整合等工作的推进,电子政务领域老旧系统、零散系统网络安全未纳入总体统筹规划和设计,成为电子政务网络安全薄弱环节。
四是电子政务信息系统运营使用单位对重要数据和应用缺少全方位立体化的安全防护措施
通过电子政务信息系统等级保护测评结果和有关数据进行统计分析,部分电子政务信息系统在数据安全防护和应用安全防护方面相对薄弱,数据的完整性、保密性和可用性极易遭到破坏。此外,电子政务网络安全核心技术能力有待提升,目前,关键核心技术能力还不足以支撑保障政务网络安全任务。
四、安全对策建议
一是完善政务安全政策标准体系建设
电子政务网络安全标准体系是指导落实国家网络安全要求的重要参考,也是推动国家治理体系和治理能力现代化的重要基础,电子政务网络安全标准体系建设紧急而迫切。加快建立与网络安全等级保护2.0标准体系和关键信息基础设施标准体系等相配套,与当前网络安全形势和网络安全要求相适应,与电子政务发展相配套的电子政务信息安全标准体系,是电子政务网络安全发展的基石。
二是提升电子政务网络安全统筹协调能力
建立健全电子政务网络安全治理通力协作机制,切实保障新业态和旧系统的安全应用和联通,平衡地域间安全防护能力和边界安全防护,加强安全态势感知、威胁监测、漏洞分析技术力量建设,强化威胁和漏洞预警及信息共享机制,集中优势资源保障重要政务领域关键信息基础设施安全稳定运行和数据安全。
三是提升电子政务领域安全应急处置能力
完善应急预案,建全综合应急指挥体系,加强突发事件应急演练,增加应急处突力量能力培训,提升综合应急处置能力。加强政务领域重要网络和信息系统的风险识别和风险管理,定期开展等级测评,加强电子政务网络运营使用单位与网络安全企业的协调联动,充分调动各方资源力量,提升电子政务网络安全保障水平。
四是加大力度增强电子政务数据安全防护
强化电子政务信息资源共享数据安全风险管理,加强政务信息资源采集、共享、使用的安全保障工作,集中解决电子政务网络安全核心关键技术难题,构建政务信息系统整合共享安全保障技术体系,着力解决信息资源共享过程中敏感及隐私数据易泄露、信息资源全生命周期管理、共享数据流转管控策略制定等问题。
(本文刊登于《中国信息安全》杂志2019年第3期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。