電子政務網絡安全態勢淺析
當前,電子政務網絡安全意識和重視程度顯著提升,電子政務網絡安全保障工作深入開展,網絡安全等級保護工作、網絡安全檢查工作、重大活動網絡安全保障工作和網絡安全監測工作,都取得了良好的成效。與此同時,電子政務遭受網絡攻擊態勢愈發明顯,政府網站安全形勢嚴峻,網絡攻擊呈現多樣化、區域差異化趨勢。本文對當前國家電子政務網絡安全態勢進行探討,對電子政務面臨的問題進行分析,推進國家治理體系和治理能力現代化,切實保障電子政務網絡安全。
一、國家高度重視電子政務網絡安全
政務服務是黨政機關、事業單位等相關行政部門,根據國家有關法律法規的規定,為社會團體、企事業單位和個人提供的行政事務性服務。
隨著信息技術的發展和廣泛應用,我國電子政務蓬勃發展,主要經歷了三個發展階段:第一階段自20世紀90年代起至21世紀初,電子政務領域方興未艾,部分政府機關在政務活動中意識到創新發展與信息技術的結合,逐步探索運用計算機、網絡以及其他通信技術手段提供政務服務,一些政府機關相繼組建成立了信息中心,支撐電子政務信息系統、局域網和門戶網站等規劃建設。第二階段自21世紀初至2010年左右,信息化電子政務領域快速發展,電子政務業務需求和安全需求進一步明確,國家相關部門相繼印發了一系列指導性政策文件、標準規范,國家重要領域的電子政務平臺技術和管理框架體系不斷健全完善,政務領域信息化應用逐漸擴展覆蓋到各類政務服務,電子政務應用和電子政務安全成果顯著,積累了豐富的實踐經驗。第三階段為最近十年,在此期間,電子政務發展更為成熟,體系化推進趨勢明顯,新技術、新應用在政務領域應用更為廣泛,國家相繼出臺了多個綱領性政策文件,包括《“十三五”國家政務信息化工程建設規劃》《國務院辦公廳關于促進電子政務協調發展的指導意見》《推進“互聯網+政務服務”開展信息惠民試點實施方案》等,構建了符合我國國情的電子政務政策和標準體系。
信息化變革搭載電子政務的高速發展,重塑政務職能、形態和數字秩序。伴隨電子政務信息化的深化改革,電子政務網絡安全成為政務服務生態融合的技術壁壘,也成為國家網絡安全的重要組成部分。
隨著《中華人民共和國網絡安全法》的實施,《網絡安全等級保護條例(征求意見稿)》和《關鍵信息基礎設施安全保護條例(征求意見稿)》公開征求意見,“十三五”信息化規劃、網絡安全規劃等相關政策制定實施,“互聯網+政務服務”和“政務信息系統整合共享”邁入高速發展的道路,電子政務網絡安全迎來了重要戰略機遇期,國家電子政務網絡安全逐漸由點及面,形成了立體的防御體系和全生命周期的生態環境,但是,由于發展不均衡、技術更新滯后、資金投入欠缺、短板效應放大等原因,電子政務網絡安全保障工作仍面臨嚴峻形勢和諸多挑戰,必須與時俱進,常抓不懈。
二、國家電子政務網絡面臨多種威脅
一是政務領域關鍵信息基礎設施、重要信息系統、網站成為網絡攻擊的重點
電子政務信息系統是各級人民政府及其所屬單位履行職能、面向社會提供服務的重要手段和渠道,在提高行政效能、提升公信力等方面發揮著重要作用。
近年來,各級黨政機關按照國家網絡安全相關規定,切實加強電子政務安全管理和技術防護,基本上保證了電子政務信息系統的正常運行。但是,當前政務網絡安全還存在許多突出問題,主要表現在:安全責任不落實,重應用、輕安全,防護措施缺失,安全漏洞和隱患突出,以及基層電子政務安全管理和防護能力差等,這些安全問題的存在,將導致電子政務信息系統遭攻擊和篡改的風險無時不在。
習總書記指出,國家關鍵信息基礎設施面臨較大風險隱患,網絡安全防控能力薄弱。據有關單位對政務領域網絡安全面臨的威脅調研發現,政務網站數量龐大,政府門戶網站是.gov.cn域名中數目最多的,占.gov.cn域名網站數的14.4%。政務網站是政府機關實現政務信息公開、服務企業和社會公眾、互動交流的重要渠道和窗口,是惡意黑客攻擊的重點目標,尤以政務類網站為甚。
據統計,2018年1月至6月,在政務網站遭受的DDOS攻擊中,政務類網站遭受攻擊數量占同期全國總體數量的20%。攻擊者利用網站漏洞、弱口令和安全配置缺失等脆弱性,針對政務網站實施攻擊,導致政務網站頁面篡改、信息泄露和網站癱瘓等,給政務網絡安全帶來嚴重危害,損害政府部門形象,甚至危及國家安全和社會穩定。
二是電子政務網絡安全等級保護制度的落實還不到位
網絡安全等級保護制度是國家網絡安全領域的普適性制度要求,是關鍵信息基礎設施保護的基礎,關鍵信息基礎設施是等級保護制度的保護重點。網絡安全等級保護制度具有體系化、整體化特點,不是割裂的,是動態的而不是靜態的、是開放的而不是封閉的,在政務網絡安全中需要政府、企業、社會組織、廣大網民共同參與,共筑網絡安全防線。
網絡安全和信息化是一體之兩翼、驅動之雙輪,安全和發展要同步推進,以安全保發展、以發展促安全,統一謀劃、統一部署、統一推進、統一實施,做到協調一致、齊頭并進,在電子政務領域,更需重點強調等級保護工作與政務領域信息化要同步規劃、同步建設,同步使用,在實踐中,這方面工作仍有待加強和鞏固。
三是政務數據信息泄露等網絡安全事件頻發
按照數據類型劃分,政務數據是極為重要的數據資源,是政府職能部門在履行職責、服務民生、社會管理中采集、存儲和應用的數據,既包括主管部門行業數據也有地方區域性政務數據。電子政務數據敏感度高,數據價值密集,與現有各類海量數據不斷匯聚集中后,已經成為事關國家安全、經濟發展、社會穩定的重要戰略資源。
隨著政務大數據的多樣化、規模化特點不斷突出,其在政治、經濟、社會等方面的重要性和價值不斷增強,政務大數據成為網絡攻擊、竊密的重點目標,尤其是新技術、新應用的廣泛發展,大量政務服務數據、日志信息、個人隱私信息和用戶行為記錄等的匯集和集中存儲,增加了數據泄露的風險和危害程度。
同時,電子政務大數據自身安全防范能力薄弱,仍缺乏有效的監測預警和管用的安全防護措施,難以有效應對日益嚴峻復雜的網絡安全形勢。近年來,一些政府部門電子政務系統中的用戶隱私信息、業務數據等遭竊取、泄露的網絡安全事件頻發,政務數據信息安全保護任重道遠。
三、電子政務網絡安全存在的突出問題
一是電子政務網絡安全政策標準體系應與時俱進,仍需不斷健全完善
當前,我國網絡安全法律法規和標準體系建設日益完善。隨著《中華人民共和國網絡安全法》實施,配套的《網絡安全等級保護條例(征求意見稿)》和《關鍵信息基礎設施安全保護條例(征求意見稿)》等有關法規不斷加快立法進程,國家網絡安全標準體系建設也緊隨其后,不斷與時俱進。
相比較而言,政務網絡安全法律法規和標準體系相對滯后,相關立法部門尚未出臺電子政務領域的專門法律規范,與電子政務有關的法律、法規分散在計算機、互聯網、信息化建設、計算機軟件保護、電子簽名、政府信息公開等領域,難以適應當前電子政務網絡安全發展。同時,電子政務網絡安全技術標準體系建設仍缺乏更為科學的頂層設計、體系規劃。電子政務網絡安全在法律支撐、保障依據和技術標準體系方面,應不斷健全完善。
二是各行業部門、各級政府電子政務網絡安全發展不均衡
各行業部門、各級政府電子政務網絡安全建設和防護水平發展不均衡。經調研發現,行業主管部門、沿海地區及經濟發達地區電子政務網絡安全能力水平不斷增強,而基層政務部門網絡安全意識薄弱,信息化發展的區域性差異較大,“三同步”原則難以落實到信息化建設項目中,重建設輕安全問題仍然突出。尤其是基層政務網站、內陸及經濟落后地區網絡安全防護水平較弱、責任意識不強,網絡安全等級保護等重點工作落實不到位,在互聯互通的大背景下,易引發短板效應,因此,亟待提升我國電子政務網絡安全的整體保障水平。
三是電子政務信息系統安全防護缺乏統籌規劃
遠程安全測試結果和現場檢查結果分析發現,部分單位老舊系統關鍵組件長期無法更新安全補丁,不再使用的信息系統未能及時下線且仍保存大量重要數據。隨著機構改革、業務整合等工作的推進,電子政務領域老舊系統、零散系統網絡安全未納入總體統籌規劃和設計,成為電子政務網絡安全薄弱環節。
四是電子政務信息系統運營使用單位對重要數據和應用缺少全方位立體化的安全防護措施
通過電子政務信息系統等級保護測評結果和有關數據進行統計分析,部分電子政務信息系統在數據安全防護和應用安全防護方面相對薄弱,數據的完整性、保密性和可用性極易遭到破壞。此外,電子政務網絡安全核心技術能力有待提升,目前,關鍵核心技術能力還不足以支撐保障政務網絡安全任務。
四、安全對策建議
一是完善政務安全政策標準體系建設
電子政務網絡安全標準體系是指導落實國家網絡安全要求的重要參考,也是推動國家治理體系和治理能力現代化的重要基礎,電子政務網絡安全標準體系建設緊急而迫切。加快建立與網絡安全等級保護2.0標準體系和關鍵信息基礎設施標準體系等相配套,與當前網絡安全形勢和網絡安全要求相適應,與電子政務發展相配套的電子政務信息安全標準體系,是電子政務網絡安全發展的基石。
二是提升電子政務網絡安全統籌協調能力
建立健全電子政務網絡安全治理通力協作機制,切實保障新業態和舊系統的安全應用和聯通,平衡地域間安全防護能力和邊界安全防護,加強安全態勢感知、威脅監測、漏洞分析技術力量建設,強化威脅和漏洞預警及信息共享機制,集中優勢資源保障重要政務領域關鍵信息基礎設施安全穩定運行和數據安全。
三是提升電子政務領域安全應急處置能力
完善應急預案,建全綜合應急指揮體系,加強突發事件應急演練,增加應急處突力量能力培訓,提升綜合應急處置能力。加強政務領域重要網絡和信息系統的風險識別和風險管理,定期開展等級測評,加強電子政務網絡運營使用單位與網絡安全企業的協調聯動,充分調動各方資源力量,提升電子政務網絡安全保障水平。
四是加大力度增強電子政務數據安全防護
強化電子政務信息資源共享數據安全風險管理,加強政務信息資源采集、共享、使用的安全保障工作,集中解決電子政務網絡安全核心關鍵技術難題,構建政務信息系統整合共享安全保障技術體系,著力解決信息資源共享過程中敏感及隱私數據易泄露、信息資源全生命周期管理、共享數據流轉管控策略制定等問題。
