■北京安信天行科技有限公司 陈青民方莉莉

我国电子政务起步于20世纪80年代末期,经过30年的发展,电子政务为提高政府行政效率、推动政府职能转变、带动整个国民经济和社会信息化发展发挥了重要作用。由于政府部门在行使职能中涉及大量保密信息和敏感信息,保障网络安全是电子政务系统可靠运行的基本条件。

一、电子政务发展趋势

(一)电子政务信息化快速发展

电子政务建设是我国政务部门提升履行职责能力和水平的重要手段,也是深化行政管理体制改革和建设人民满意的服务型政府的战略举措。在电子政务发展的前二三十年里,一大批带“金字头”的电子政务应用系统,如金财工程、金关工程、金税工程等,以行业为代表的电子政务系统建设取得了重要突破,作用日益显著。政府内部办公、对外管理和服务,对电子政务应用系统的依赖度逐步提高。政府公务人员的工作理念、行政管理行为发生了重大变化,社会公众受电子政务发展的影响带动作用明显。政府门户网站建设取得了重要进展,县级以上政府机构普遍建立起门户网站。门户网站在提供信息服务、办事服务以及政民互动服务方面发挥着越来越重要的作用。

近年来,随着中国政府向服务型政府转变,政府的公共服务职能逐渐成为主导。在“十三五”期间,电子政务的战略地位进一步提升。从国家战略层面看,全面深化改革、推进国家治理体系和治理能力现代化,任重而道远。利用物联网、云计算、移动互联网、人工智能、数据挖掘、知识管理等技术,各级政务部门的电子政务应用系统工程正在横向铺开、纵向深化,推动政务信息系统的互联互通、信息共享和业务协同,通过完善公共服务等管理信息化服务体系,提高政府办公、监管、服务、决策的智能化水平,更好地为公民提供方便、个性化的服务。

(二)网络安全政策密集发布

从2003年《国家信息化领导小组关于加强信息安全保障工作的意见》发布开始,对电子政务的网络安全工作提出了明确要求。

2014年,中央网络安全和信息化领导小组成立,使网络安全工作的重视程度日益提高。国家密集发布了《关于加强党政机关网站安全管理的通知》《关于加强党政部门云计算服务网络安全管理的意见》《关于加强智慧城市网络安全管理工作的若干意见》等文件,对电子政务网络安全技术防护、安全管理、监测预警和应急保障,提出了明确要求。

2016年11月,《中华人民共和国网络安全法》正式颁布,将网络空间主权提升到国家安全高度,并明确了各方职责权利,明确国家在网络安全管理工作中的主导地位。同时,中共中央办公厅、国务院办公厅联合印发的《国家信息化发展战略纲要》和中央网信办发布的《国家网络空间安全战略》两个文件,从国家战略的层面对网络安全基础性工作进行了部署,是国家对网络空间安全领域的最全面的顶层设计,对后期网络安全工作的推进发挥了巨大作用。

之后,中央网信办印发了《国家网络安全事件应急预案》《个人信息和重要数据出境安全评估办法(征求意见稿)》《关键信息基础设施安全保护条例(征求意见稿)》等,这些都是对《网络安全法》和国家相关网络安全战略的逐步落地。

二、电子政务网络安全现状分析

“十三五”时期,以北京市、上海市、浙江省为代表的政府,全面推进以数据驱动为核心的新型“智慧城市”“城市大脑”等数字城市建设,电子政务系统已成为城市建设、运行、管理、服务、保障、应急的重要基础,涉及国家安全、经济命脉、社会秩序和公共利益。电子政务系统的安全稳定运行已经成为确保城市正常运转的重要基础,对保障城市安全、社会稳定具有重要意义。多年来,网络安全等级保护工作的推进,很多重要电子政务系统被定义为安全等级保护三级系统,并且开展了信息安全定级备案、安全测评等工作,但是,仍存在较多安全风险。

(一)重防护形式,轻安全本质,安全保障水平参差不齐

在国家网络安全政策法规密集出台的背景下,在行业主管部门的高度关注和指导下,各相关部门已逐步提升了网络安全意识,认真贯彻落实《网络安全法》,且大部分单位信息安全制度已经按要求制定完成,并渐成体系。政府部门针对基础网络层面安全防护手段较多,但是,对信息系统和数据安全关注较少,尤其是对于敏感数据的安全防护关注度明显不够;重视业务系统建设与运行保障,对系统运行中收集和产生的重要数据缺乏有效保护。

重视“合规性”防护和测评,新建项目在建设期间多数都开展了信息安全等级保护定级备案、安全测试等工作。但是,在系统投入运行后,由于运维经费不足或者安全意识不强等诸多原因,对在运行期间的信息系统安全运维工作投入不足的问题较为普遍,重要电子政务系统日常安全运行保障能力相对建设投资而言,差距较大,对大量关系安全本质的风险控制投入不足。

根据“谁主管谁负责、谁运营谁负责”的基本思路,目前,各地都是各部门各自建设信息安全防护体系,信息安全保障水平根据单位领导重视程度、地区经济发展水平不同,在不同区域、不同行业存在较大差距。个别部门由于安全投入不够,重要电子政务系统安全防护能力不足,导致安全事件时有发生,并且应对处置的及时性和高效性不足,信息安全短板明显。这些安全问题可能直接导致安全事件的发生,对国家安全、公共秩序和社会稳定造成一定的影响。

(二)安全风险集中,大规模系统故障事件时有发生

随着各地政务云平台等支撑区域性政务信息的共性平台建设,集约化管理已成趋势,党政机关系统入云和网站整合正快速推进。在有效提高资源利用率、解决信息安全短板的同时,系统集中也带来了安全风险的集中。一旦集中的物理环境、网络和云平台出现问题,将导致大量信息系统无法正常运行,此类安全事件时有发生。

云计算在给系统管理带来便捷的同时,也引发了一些新的安全隐患,如数据泄露、数据丢失、数据劫持、不安全接口等。采购云服务也存在一些安全风险,各政府部门随着政务云应用带来的使用方式转变,对数据、系统的控制管理能力减弱,很容易导致安全责任不明确的问题。一些单位可能由于数据和业务的外包而放松了信息系统的运维保障和安全管理,很容易形成对云服务商的过度依赖,导致自身管理工作,如云环境下的主机安全、应用安全、数据安全及备份恢复和管理等得不到有效执行。

(三)大数据安全保护技术不成熟带来的数据泄露风险

新技术的不断涌现和应用,使数据面临新的安全风险,如数据关联分析可能暴露个人隐私、大数据的新特性使传统的安全机制不能满足安全要求、大数据恶意使用可能会给公共利益、国家安全等带来严重损害等。但是,大数据的安全管理和技术防护不成熟,缺乏技术、运维等方面的专业安全人员,容易因数据平台和计算平台的脆弱性遭受网络攻击,导致数据泄露,例如,外部攻击者利用系统和平台的漏洞入侵获取数据;掌握数据的机构或其合作商内部人员主动泄露数据;掌握数据的机构或其合作商内部人员与外部攻击者勾结盗取数据。

三、构建电子政务网络安全运营体系

电子政务网络安全不是一劳永逸的工作,需要对已建立的安全保障体系进行持续运营,才能保证各项安全措施持续有效,保障政务系统的安全可靠运行。建立覆盖应用系统全生命周期的电子政务安全运营体系是符合政务业务、有效应对政务安全风险的必要措施。

(一)加强顶层规划设计,强化制度落地实效

随着电子政务公共服务平台类的大平台建设,服务前台的交互功能进一步提升,服务后台也逐步实现了各个部门的业务整合,电子政务的交互性、复杂性进一步增强。因此,电子政务网络安全问题将更为突出地表现为如何加强对公众个人信息的保护和如何加强对实现互联互通的政府部门业务安全保护。

根据电子政务信息化发展战略和规划,加强电子政务网络安全工作的顶层设计和统筹管理,树立底线原则,明确网络安全目标、原则和方向,明确重大任务,找出实现目标的困难和解决措施。制定逐步落地的建设计划,建立一套评价和实施指标体系,进行规划和监督计划的实施。如鼓励和引导政务云厂商和信息安全企业合作创新,建立良好的生态环境,督促云厂商加强自身安全,或进一步明确政务云安全审查侧重点。

在建立集中统一的制度保障的基础上,加强制度建设的全面性,建立网络、信息资源、运维队伍和信息安全等全方位电子政务制度规范体系,明确职责,细化各项管理制度,完善管理机制,重点建立针对网络防泄密、数据保护等制度。

(二)电子政务系统和网络安全同步规划、建设和实施

在电子政务系统规划到运行的各个阶段同步开展网络安全相关工作提升关键信息基础设施网络安全运营保障能力。

1. 规划立项阶段。在应用系统立项阶段,通过对现状调查,收集安全需求的背景数据,做好安全预研工作。

2. 需求分析阶段。在应用系统需求分析阶段,考虑对安全威胁进行建模分析,明确安全风险,对应用系统应具有的安全需求进行说明,对安全能力进行概要设计。

3. 详细设计阶段。在应用系统详细设计阶段,考虑对安全的整体框架、建设规划和安全措施的选择,对应用软件的安全能力进行详细设计,所使用的密码技术和产品应符合相关要求。

4. 开发与实施阶段。在应用系统开发与实施阶段,考虑系统的开发安全,对安全能力设计实施方案,并对代码进行安全管理,对安全能力实现进行项目管理确保输出预期的结果。

5. 验收上线阶段。在验收上线阶段,考虑应用软件的代码安全测试,应用系统的安全配置,所使用的软件、硬件环境的安全检测和综合性安全测试,并完成密码安全评估和网络安全等级保护测评。

6. 运行维护阶段。在运行维护阶段,考虑建立信息安全事前防御、事中处置、事后分析的运行体系。

(三)建立安全监测和信息通报机制,实现有效应急支撑

各行业、区域分类分级建立网络安全态势感知预警监控能力,收集各类安全产品告警和日志信息,实现多源监控数据的整合,提高关键信息系统网络安全监控能力,强化高级持续性威胁监测能力。不断丰富网络安全监测基础数据,利用大数据技术对监测数据进行挖掘和建模分析,实现对全网安全长期态势跟踪和感知。

区域级网信部门或者行业主管部门牵头,建立健全网络安全信息共享和通报机制,健全完善政企联动、上下协同的通报预警机制,明确预警与信息通报的流程。加强电子政务网络安全应急处置能力建设。建立网络安全应急指挥平台,完善网络安全应急预案,加强网络安全应急支撑队伍建设,定期组织开展网络安全应急演练,提升网络安全事件应急响应和快速处置能力。健全重大活动关键信息基础设施网络安全保障机制。建立分级分层次的网络安全保障机制,统筹行业资源,强化协调指挥,针对国家重大活动,制定安全保障工作方案,落实保障措施。

(本文刊登于《中国信息安全》杂志2019年第3期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。