電子政務網絡安全風險評估問題發現及保障建議
近些年,隨著統籌協調機制、“互聯網+政務服務”、信息資源整合共享等概念的出現和逐步落地,以及數字化、網絡化、智能化為特質的新一代信息通信技術(ICT)加快驅動,政府再次轉型駛入新型電子政務建設快車道。電子政務領域信息系統也從早期的門戶網站、郵件系統、辦公系統不斷得到創新和運用,網上辦公、數據集中、各種業務支撐系統層出不窮。與此同時,這些信息系統面臨的網絡安全問題也越來越突出。本文總結分析近些年對電子政務領域各種信息系統進行風險評估過程中發現的網絡安全問題,分析電子政務網絡安全發展趨勢,提出安全保障建議,旨在為新型電子政務建設以及政府治理體系根本性變革提供參考。
一、電子政務信息系統網絡安全面臨的問題和挑戰
(一)安全設計與應用實現存在匹配失衡現象,敏感數據防護手段不成熟,數據安全不容樂觀
電子政務作為國家重要信息系統,承載包括國家、企業以及個人的敏感信息,成為黑客組織、商業情報機構的關注焦點。我國電子政務領域信息系統建設“交鑰匙工程”現象仍然存在,安全設計和應用實現不夠合理和科學,不能抓住安全和業務的平衡點,業務系統最終呈現出的結果背離最初安全設計目標和預期使命。粗放型的管理理念和管理體系與現有安全管理工具不能相互融合支撐。同時,注重外圍邊界安全,忽視內網安全,只重視以網關產品為主要形式的邊界防御,對內部網絡、業務應用和數據安全的管理不夠重視,無法保證整體網絡安全性。數據加密存儲或加密傳輸手段實現比例很低,缺乏切實有效的數據防外泄手段,敏感數據得不到重點保護,缺少實質性的安全防護措施。目前,數據竊取的技術手段與工具也在快速發展,數據泄露的風險進一步加大,數據安全形勢不容樂觀。
(二)信息系統建設運維人員組成復雜,面對新應用新技術應急資源未得到合理有效整合
電子政務信息系統設備非國產化問題還未得到徹底解決,安全設備購買后要么“裸奔”,要么被束之高閣。一些單位還購買了專門的安全服務,將信息系統安全配置與管理全權交給集成或安服公司,雖然在一定程度上節省了專業人員的培養成本,但是,隨著廠商業務的拓展、售后服務人員的更迭、產品質保期的結束,會產生很多不可控的因素,人員安全意識、安全技能以及安全防護水平均存在參差不齊的現象,網絡安全保障受制于人。隨著無線網絡、云計算、大數據等技術的不斷普及,移動執法、移動監測、移動服務、移動媒體等廣泛應用,惡意代碼攻擊、個人隱私泄露的途徑也在不斷擴大。電子政務領域網絡安全應急方面主要問題表現在缺少供決策者作戰指揮的固定場所,導致參與應急處置的各級人員比較分散,應急演練走過場或完全不開展;各部門橫向之間的職責分工在一定程度上存在職責交叉和管理脫節的現象;彼此之間溝通協調存在問題,各應急力量和資源得不到合理有效的利用,缺乏綜合分析評估平臺和支撐性應急資源數據庫。
(三)電子政務網絡存在內外網通路,地方政府門戶網站仍是重災區和黑客攻擊首選入口
我國電子政務信息系統主要由政務內網和政務外網組成,還存在大量的政務專網。這些不同的信息系統在建設初期并未統一協調規劃,由于某種原因各級政府部門出現“重內(專)網,輕外網”的現象,從而導致電子政務系統整體存在安全隱患。部分政務系統的邊界不清,在網絡建設過程中沒有考慮內外網數據的可控交換,導致部分在內外網交叉使用的業務應用系統打通了內外網間的通道,且內部使用的重要系統外網接口普遍存在多個,黑客可通過跳板方式由外網滲透入內網,最終導致內網重要敏感數據的外泄。另一方面,因政府行業門戶網站公信力高、影響力大,容易成為黑客攻擊目標。相對各大部委網站,地方政府網站由于重視和投入程度不夠,成為遭受攻擊的“重災區”,遭到境外黑客組織頻繁攻擊,影響我國政府形象及電子政務工作。
(四)安全保障工作一成不變,安全防護措施發展滯后,難以應對新型復雜的安全威脅
我國電子政務系統的管理機構責權不清,導致上到國家各級職能管理部門,下到某機構內部的信息科技辦、信息安全中心、業務發展中心等眾多部門,協調管理不統一、政令不通暢。雖然隨著網絡安全相關法律法規、規范要求的出臺和強制執行,各機構單位逐步建立健全了安全管理制度,卻存在“千年不變”“紙上談兵”的現象,幾乎沒有專職的安全管理員,且大多兼任其他管理崗位,對人員安全技能和安全知識的考核幾乎為零,對第三方人員的管控力度不夠。面對網絡攻擊、網絡犯罪技術不斷革新,電子政務行業在信息安全風險檢測和評估手段方面不如其他行業具有一定的自主性,難以有效應對潛在的安全威脅。入侵檢測設備等安全設備規則庫老舊、報警日志無人查看等現象普遍存在,檢測產品“形同虛設”。據某調查顯示,我國每年都有上千個政府網頁被惡意篡改,同時,也有相當數量的政府主頁被植入暗鏈。2017年5月,新型“蠕蟲式”勒索軟件病毒肆虐全球,由于政府行業計算機設備老舊、升級更新滯后,該病毒在局域網中無限傳播,至今仍有很多單位的內網未完全消除該病毒。這也說明,整個行業對復雜威脅的監測能力和手段缺乏,及時發現和處置新型攻擊的能力薄弱。
二、電子政務信息系統網絡安全發展趨勢和保障建議
(一)政務信息從公開向共享轉變,電子政務系統交互復雜性增強,數據安全防護應為重中之重
移動互聯網時代,移動辦公是政府做好公共服務必須采用的工具和平臺,也是政府向公眾提供全面、及時、細致服務最為便捷的手段和途徑之一。2015年9月,國務院印發的《關于印發促進大數據發展行動綱要的通知》要求,到2020年底前,逐步實現民生保障服務相關領域的政府數據向社會開放。落實到電子政務信息系統公共服務前臺和政府后臺建設上,服務前臺交互功能將進一步提升,服務后臺也將逐步實現各個部門的業務整合,電子政務的交互性、復雜性進一步增強。因此,信息安全問題將更為突出地表現為如何加強對公眾個人信息的保護力度和如何加強對實現互聯互通的政府部門業務進行安全保護。在政府管理上,龐大的數據資源為政府提高決策的科學性提供了保障,將大數據思維和技術融入政府管理工作中,是順應時代發展趨勢,符合推進國家現代化治理能力提高的要求。
(二)明確職責和工作機制,提升應急處置能力,合力提高國家網絡安全保障水平
電子政務面臨的主要威脅來自高級黑客或者有組織的網絡犯罪集團以及敵對國家機構和組織,各機構現有的技術力量普遍難以應對上述威脅。建議在繼續做好基本安全加固工作的基礎上,對現有國家級信息安全力量進行梳理,統籌規劃和發展,明確各機構職責和各機構之間的協調合作機制,加強技術力量建設。在安全態勢感知、威脅監測、漏洞分析等環節上下細功夫,加強威脅和漏洞預警及信息共享。加強對重要網絡安全域和業務系統的全面信息安全風險評估,識別安全隱患,并評估對重要信息系統的影響。完善應急預案,建立綜合應急指揮平臺和體系,加強突發事件應急演練,增加應急人員能力培訓,提升綜合應急處置能力。建設國家級網絡安全防護體系,形成強大的國家網絡安全保障能力,集中優勢資源保障國家重要信息系統安全穩定。
(三)讓新技術新應用安全地為政務創新服務,加快行業信息安全標準完善更新和落地執行步伐
移動互聯網、云計算、物聯網、大數據、5G網絡、三網融合、近場通信、IPv6網絡等技術的發展和應用,各類電子政務信息系統如雨后春筍般迅速誕生。這些新技術和新應用尚在快速發展和運用過程中,技術實現還可能存在諸多未曾發現或尚未解決的安全缺陷,應用部署后可能還會對原有的業務邏輯模型和防范措施造成影響。例如,一些政府服務移動終端應用(App)多采用云計算作為存儲和計算架構提高系統的高效部署和運行能力,同時,也使信息系統的網絡邊界變得模糊。因此,新型電子政務建設必須正視和解決因采用新興技術而帶來的安全風險。近兩年,全國信息安全標準化技術委員會出臺了GB/T 35282-2017《信息安全技術 電子政務移動辦公系統安全技術規范》、GB/T 30850.4-2017《電子政務標準化指南》和GB/T 34080.1-2017《基于云計算的電子政務公共平臺安全規范》,在新技術研究和安全標準制定上取得一定突破。但是,這些標準沒有得到及時充分的落地執行且覆蓋范圍有限,還應多鼓勵相關單位和專家人士深入探討、研究和制定更為全面的網絡安全標準。例如,建立新型電子政務信息系統全生命周期安全檢測標準,涉及新技術新應用的信息系統安全自查評價標準,對主流移動政務辦公軟件、政務辦公硬件漏洞制定針對性測評標準,在標準規范的層面從整體到細節完善電子政務信息系統安全技術保障體系。
(四)人員保障是網絡安全保障體系的關鍵因素,落實和執行網絡安全審查制度是現階段電子政務網絡安全保障有效手段
無論在哪個行業領域的網絡安全活動中,人員保障都是網絡安全保障體系的關鍵因素。人員保障需要構建多層次的網絡安全人才培養體系,聘用素質高能力強的網絡安全人員,開展對專業技術人員安全技能培訓,對普通員工信息安全意識宣貫等工作,提高員工安全防范能力,不斷提升信息安全人才隊伍水平。同時,電子政務各領域機構還應繼續加強對公眾的網絡安全意識宣傳工作,讓全民充分認識并深刻理解網絡安全的重要性。2018年5月,我國網絡安全審查制度出臺,主要針對我國重要信息系統采用的國外信息技術產品和服務進行審查。對內,對于關系到國家安全和公共利益的重要信息技術產品和服務,也應開展相應的網絡安全審查工作。例如,對共享政務信息平臺或資源進行風險評估和安全審查,以提高國家電子政務內外網、國家數據共享交換平臺和國家政務服務平臺的安全防護能力。
三、結語
保障電子政務網絡安全是一個動態化、長久性的過程,其伴隨電子政務的問世而產生,還會隨著電子政務的不斷發展而發生相應的改變。為確保電子政務工作的有效實施,需要合理融合運用新興網絡安全防護技術,合理優化和落地執行適合的管理機制,創新電子政務網絡安全發展。推進電子政務信息系統安全運行,促進新型電子政務建設,是精準化社會治理、落實網絡強國戰略的重要舉措,也是加快政府職能轉變、完善政府治理的一場深刻變革。
