电子政务信息安全保障建设研究

电子政务信息安全保障建设研究

1引言

为适应传统公共行政的转型,2002年,国家信息化领导小组审议通过了《关于我国电子政务建设的指导意见》。自此,电子政务自此成为我国信息化推进的战略重点之一。经过十几年的发展,电子政务经历了单机、联网、办公自动化、政务信息化阶段。特别是近年来得益于智慧城市建设的快速发展,作为智慧城市最重要的一环,电子政务在县级以上的政府部门基本实现了全覆盖。有效地提升了人民群众的办事效率和政府的决策水平。然而高效率伴随着高风险,随着电子政务网络中各类信息系统的增加,安全隐患愈加突出,电子政务系统中涉及的大量公民个人信息、公众权益、国家利益、事关国家安全、社会安定等重要信息,成为敌对势力、间谍以及黑客觊觎的目标。加之电子政务系统在城市系统运作过程中占有重要的权重,其安全问题更将会形成对智慧城市体系的逆向威逼。近年来随着新技术的发展,网络攻击、信息泄露等事件的不断出现。2015年,谷歌漏洞泄露30万用户信息;2017年,新型“蠕虫式”勒索软件肆虐全球,全球99个国家政府、学校等政务网站遭到了广泛的破坏。2018年3月脸书5000万用户信息遭到泄露;6月,圆通快递10亿条快递信息泄露;8月,华住连锁酒店2.4亿条个人入住信息遭泄露。据CNCERT监测报告,2018年我国境内约7000个网站被篡改,其中被篡改的政府网站有543个;约5.3万个网页被仿冒,其中政务类网站约1.33万个。河南省幅员辽阔,人口众多,2017年,全省GDP在全国排名第五。如此规模的大省,哪怕仅为维护社会的正常运行,政府电子政务系统的信息安全需求也是不言而喻的。一旦这些公共服务领域的网络遭受攻击和破坏,有关国家安全、社会安定的关键信息就会被泄露、篡改,甚至一些关键设施如交通、电力、医院、金融被破坏,极易引发社会动荡。尤其是在河南省当前不断扩大对外开放,积极融入“一带一路”战略的实施以及加快自由贸易区的建立的时期,加强电子政务信息安全建设这一任务更加紧迫。

2河南省电子政务信息安全存在的问题及成因

2.1基础设施存在问题及原因

电子政务的实现依托的是现代通信技术。不可否认,近年来我国的通信设备产业有了较大的发展,但遗憾的是,由于历史原因,目前河南省的通信网络核心设备如交换机、路由器、网关、防火墙以及相关的软件系统绝大部分都是国外厂商生产的。如河南省普通电话网络的交换机采用的就是欧洲电信厂商的产品。这些核心进口设备缺乏有效的监控和跟踪测试,无法保证网络的安全可控性,给网络通信带来极大的安全隐患。软件系统方面受制于厂商,存在的安全漏洞甚至是“后门”都无法及时有效排除,这给网络入侵者提供了便利。其次,电子政务系统涉及政府的多个部门如交通、金融、能源、水电、人社、农林等等。这些部门在近年来的信息化建设中都建立了自己的业务数据网络及相应的安全防护系统,对于电子政务系统而言,一方面这些部门业务节点之间比较分散,另一方面所采取的技术手段也有所不同,存在兼容问题。这给建立河南电子政务统一内部网络造成技术和资金困扰。河南省电子政务的骨干网早已提出,但进展缓慢,这其中一个主要原因就是新旧系统兼容衔接问题所致,这不仅影响当前的进度,同时也导致下一代其他涉密网络部门的接入。

2.2新技术发展带来的安全问题及原因

随着技术的进步,网络通信设备进入更新换代阶段,5G、IPV6、大数据、云计算等技术开始应用和普及,与此同时,信息入侵、攻击、窃取手段也越来越隐蔽,不易被发现。2010年,席卷全球工业界的“震网病毒”可以轻易突破专有隔离网络的限制,对使用了微软操作系统的计算机进行破坏。2017年,新型勒索病毒袭击了全球150个国家和地区,特别是提供公共服务的学校、医院、政府专网成了重灾区,损失巨大。现有骨干网络大都采用光纤技术通信,而最新的光纤窃听技术可以在不影响原有数据通信的基础上轻易获取通信信息,同时计算机运算速度的增加也使得对加密数据的破解成为可能,特别是量子计算机的发展,对于现有的加密算法不啻是一场灾难。近年来,云计算、大数据得到了广泛发展和应用,相当多的企事业单位把自己的系统部署到了“云”上。“云平台”在带来便捷性、共享性以及高性能性的同时,其网络安全防范却没有得到重视。特别是云网络访问流量的复杂性也给攻击者提供了更易于隐蔽的便捷性。据CNCERT监测数据,2018年针对“云平台”的网络攻击、木马和恶意程序占到整个网络安全事件的50%以上,特别是涉及国计民生、企业运营和个人数据的攻击更是受到了入侵者的青睐,借助于“云平台”作为中继或跳板进行网络攻击成了新的隐藏攻击来源的方式,云平台已成为发生网络攻击的重灾区。

2.3管理、组织存在的问题及原因

电子政务系统的安全基础在于软硬件设备的基础设施,但对系统的安全管理也是极其重要的一环。即使基础设施性能再好、安全性完全达标,但如果管理疏忽、责任不明晰、安全规则落实不到位,也难以保障电子政务信息安全。信息安全管理、组织存在的问题主要有管理机构权责不清、职责不明、管理人员重视程度不够、相关人员安全素养不达标、安全管理规范、制度不健全等。电子政务信息安全的组织管理存在问题主要原因在于管理机构没有整合、如有的单位设有网信办、信息中心、办公室等多个部门,这样就导致政令不统一,甚至出现相互矛盾的情况。其次,一些党员领导干部认为安全问题属于技术范畴,对信息安全的建设和管理重视程度不够,信息安全管理工作的规程规范不完善。导致相关工作人员的日常工作没有受到指导和约束,长期以来形成工作散漫、不认真、不重视的现象。第三,相关安全管理人员安全素养不达标,一些单位的安全管理人员不是专业技术人员,不仅缺乏安全防范措施和防范意识,而且缺少解决实际问题的专业能力。日常安全检查不到位,安全软件更新不及时,导致设立的安全防范技术手段成了摆设,严重影响到安全防范措施的落实。

2.4法律法规问题

我国由于信息化发展历史较短,有关信息安全、网络安全的法律法规、安全标准相比发达国家差距较大,更不用说政府部门制定的日常安全保障制度了。2017年6月,我国的《网络安全法》才正式实施,2017年5月,《网络产品和服务安全审查办法(试行)》颁布,2018年5月《国家网络安全事件应急预案》出台。总体来说,我国信息安全的法律建设相对滞后。“没有规矩,不成方圆”,法律法规制度的缺失和不完善,导致了我国电子政务信息安全缺乏安全标准和制度约束,现有的一些法律和制度也没有与时俱进,存在内容不够全面深入,立法不足等问题。网络安全保障体系仍然不健全,还没有形成统一规范的综合法律、监管行业技术标准的综合配套法律体系,大数据监管方面的法律尚是空白,缺乏详细责任机制和监管等问题,这也对我国的电子政务信息安全防范保障带了影响。

3互联网时代河南省电子政务信息安全保障策略和建议

3.1加强信息安全顶层设计

电子政务信息安全不仅仅是一个单纯的技术性问题,而是一个全面系统的规划,涉及到安全技术标准、发展规划、总体框架、各个信息系统的整合、汇集,法律法规的保障、财政支持等等要素。这就需要决策部门从整体的角度去分析和设计,在顶层设计上进行宏观指导,形成统一的全领域流通的核心制度。这就要求有专门的的部门负责电子政务信息安全的总体规划和设计。目前河南省在电子政务的实践中,河南省工业和信息化厅、河南省通信管理局、河南省专用通信局、河南省互联网信息办公室、河南省发展和改革委员会对于电子政务的规划和发展都有相应的政策和文件,总体看来较为分散,不利于统筹设计。建议从这些部门中选取或整合相关部门形成统一的单独组织机构,专门负责电子政务的顶层设计,形成主次分明的结构体系,从上而下对信息安全涉及的方方面面进行推进,强化权威性和执行力,立足全局,站在战略的角度,对电子政务进行统一规划,分层设计,确保更为有效地形成信息安全的保障体系。

3.2建全信息安全技术保障机制

信息安全的保障机制包括信息安全技术体系、运维体系、管理体系等方面的内容。从河南省的实践情况看,安全技术体系方面,一方面根据现有技术完善电子政务安全的网络结构,政务内网和外网的访问控制要严格控制访问权限,强化防火墙安全策略。另一方面在软硬件上尽可能地多采用具有自主知识产权的产品,提高核心技术的自主创新能力。运维体系方面要建立广泛、系统的监测布控点,严格执行等级保护和分级保护制度,强化软件系统安全突发事件的发现和救援恢复处理能力,重视安全预警,建立完整的安全应急预案,提高安全事件的及时发现和介入水平。管理体系方面要成立专门的电子政务安全管理机构,按照管理目标、组织程序、人员、管理范围进行行政一体化设计。对领导干部和工作人员的职责要划分清楚,制定严格的内部安全管理制度和安全监管标准。日常安全管理要形成常态,信息收集处理的流程要责任到人,落实常规考核制度,形成权威有效的安全管理体系。

3.3强化相关工作人员信息安全素养

信息安全素养包括专业技术素养和安全意识素养。安全管理的相关人员的综合业务素质和能力对信息安全系统的正常运行起到决定性的作用。一方面要加大引进专业技术人才,尽量选取精通信息技术安全和熟悉政府业务的复合型人才,加强人才储备。另一方面,要增加对现有工作人员的专业培训,通过讲座、继续教育、参观、竞赛答题等丰富的教育活动,提高现有人员的信息安全技术,强化实践应用,强化专业知识的考核。另外也要加强对部门工作人员的思想教育,提升安全意识,通过多种形式的教育手段,制定公平合理的奖惩制度,不定期的安全评估,解决现有员工存在安全意识淡薄的问题。

3.4完善信息安全法律体系支撑

电子政务信息安全相关法律法规的建设和完善是构建信息安全保障体系的重要组成部分,全面细致的法律法规有助于推动电子政务信息安全形成有法可依的安全标准体系和运行机制,也是实现网络强国战略的一部分。当前我国归于信息安全的法律法规相对滞后,存在诸多不足。建议:首先继续完善相关法律法规,加大法律规范治理体系建设力度。积极探索新技术应用如区块链、大数据监管的法律建设,明确信息数据的生命周期、使用范围、主权界限;严格个人信息、涉及国计民生等重要相关信息的使用规范和违法界线。同时加强网络监管,对违法犯罪行为要严厉打击,做到有法可依,违法必究,彰显法律权威。第三,强化网络犯罪的普法教育,多渠道向社会公众宣传相关法律法规,提高公民法律意识和综合素质。第四,河南省地方政府也要加强电子政务信息安全的管理制度建设,建立适合本地的信息安全保障制度和规范,明确主体权责,做好设备、人员、技术、管理等方方面面的制度规划建设。从根源上确保电子政务的信息安全。

3.5增加信息安全财政支持

电子政务的建设离不开资金,目前河南省用于建设电子政务的资金主要来源于政府财政。为进一步加强电子政务信息安全保障体系的建设,提升安全保障能力,就需要加大有关信息安全方面的资金支持力度。我们提出如下建议:(1)政府设立电子政务信息安全建设专项基金,并保证专款专用。(2)理顺财政申请流程,对申请、审议、审批一系列程序进行规范。(3)建立长效资金支持计划,电子政务信息安全的建设是一个长期的过程,这需要政府在资金支持上要保证稳定性和长期性。(4)强化财政监督和审计,对资金的预算、申请、审批、项目验收等各个环节进行全程跟踪。对项目建设的各个阶段严格审计,防止在信息安全建设过程中出现违法违纪行为。

4结论

电子政务信息安全建设不止涉及技术手段,同时还涉及到管理、人员、资金、法律等多方面因素。文章立足于河南省本地电子政务信息安全建设的具体情况,分析电子政务信息安全的不足,多维度对顶层设计、法律体系支撑,财政支持,技术保障、信息安全素养,安全管理制度等方面进行分析研究,并提出了电子政务信息安全建设的解决方案和对策建议,为地方公共管理转型和提高行政效率建言献策。

参考文献

[1]李建华.新型电子政务及其安全保障技术[J].上海交通大学学报,2018,52(10):244-255.

[2]国家计算机网络应急技术处理协调中心.2018年我国互联网网络安全态势综述.

[3]夏玉龙.河南省关键信息基础设施保护制度研究[D].2016.

[4]孙波,梁宏.2018年8月计算机病毒疫情分析[J].信息网络安全,2018(10):92.

[5]李建团,张春娥.光纤通信网络窃听方法及防御措施[J].电子技术与软件工程,2017(22):29-29.

[6]陈朝兵.发达国家应用互联网与大数据推进政府治理的主要做法与借鉴[J].中国特色社会主义研究,2017(06):56-64.

作者:张志刚 单位:焦作大学信息工程学院