政府部门网络安全问题及对策研究
时间:2023-02-28 17:05:03 来源:柠檬阅读网 本文已影响 人 
魏若璇 任瑜珏
农业农村部信息中心 北京 100125
近些年,数字经济快速发展,人类社会迈入数字时代。为满足数字时代人民对美好生活的新需求,我国加速推进数字政府建设。2022年《政府工作报告》中强调,要加强数字政府建设,推动政务数据共享。2022年中央全面深化改革委员会第二十五次会议审议通过了《关于加强数字政府建设的指导意见》,会中习近平总书记强调,要全面贯彻网络强国战略,把数字技术广泛应用于政府管理服务,推动政府数字化、智能化运行,为推进国家治理体系和治理能力现代化提供有力支撑[1]。如果说数字技术是数字政府建设的关键支撑,网络安全则成为数字政府建设的重要保障。当前,网络安全形势复杂严峻,在数字政府建设中,政府部门必须强化网络安全、数据安全和个人信息保护,筑牢网络安全防线,才能更好地全面提升政府效能、促进数字政府高效运转,为建设网络强国提供安全保障。
在加快推进数字政府建设过程中,政府部门面临的网络安全威胁和风险日益突出,主要表现在以下4个方面。
1.1 国际网络安全形势复杂严峻
当前,网络安全向政治、经济、文化、社会、生态、军事等领域传导渗透,与传统安全问题交织在一起,成为国家力量较量的重要领域。世界各国竞相将网络安全问题统筹纳入国家安全战略,制定出台针对网络空间安全的治理规则和战略规划,加大构建国家网络空间安全的对抗力量和战略储备[2]。美国在2021年发布《5G网络安全实践指南》,指导使用5G网络的单位和组织提高安全风险应对能力[3]。澳大利亚于2018年颁布《关键基础设施安全法》,并在2021年推出关键基础设施提升计划,加强关键基础设施安全保护[4]。欧盟于2019年发布《欧盟5G网络安全风险评估报告》,于2020年出台文件《5G网络安全工具箱》,指导欧盟各国保障5G网络应用过程中的网络安全。
1.2 针对政府关键信息基础设施的网络攻击事件频发
“互联网+政务服务”是推进数字政府建设的重要组成部分。“互联网+政务服务”工作的开展,为政府部门办公和人民群众生活带来了方便快捷,但近些年针对政府部门网络和信息系统的网络攻击数量大幅增长,特别是关键信息基础设施遭受的高级可持续威胁、勒索软件攻击、数据泄露等安全事件频发。如2021年美国最大成品油管道运营商遭受勒索软件攻击,被迫关闭燃油管道系统,美国进入国家紧急状态。2022年乌克兰国防部、武装部队等多个军方网站和银行网站因遭受大规模网络攻击而关闭[5],众多关键基础设施和重要网络系统瘫痪,严重影响了乌克兰的社会秩序。网络攻击的对抗强度虽然远不及物理空间的武装冲突,但针对银行、通信、电力、供水、能源等关键信息基础设施的攻击,已经严重危害到人民生命健康,甚至是国家安全。
1.3 数据安全风险隐患突出
建设数字政府的主要目的是“让数据多跑路、让群众少跑腿”,但随着数据在建设过程中的不断汇聚、整合、共享,数据已成为重要生产要素,面临的安全隐患日益突出。一是数据的整合和开放共享能最大限度地挖掘数据价值,但可能带来数据权属关系不清、数据滥用等问题。二是海量政务数据的集中存储增加了数据泄露风险,集中存储后的各类政务数据将缩减黑客的攻击搜索成本,成为其重点攻击目标。三是公民个人信息泄露问题突出,姓名、身份证号、手机号等敏感数据甚至成为不法分子牟利的工具。据《第49次中国互联网络发展状况统计报告》[6]显示,截至2021年12月,有22.1%的网民遭遇个人信息泄露。
1.4 新技术新应用带来新安全隐患
近些年,以大数据、人工智能、物联网、云计算、移动互联网、5G为代表的新兴数字技术与各行业各领域各环节逐渐深度融合,但也带来了新的安全隐患。譬如云计算服务的广泛应用表面上节省了各单位的系统建设和运营成本,但资源的集中存储和部署吸引了大量黑客注意力,阿里云等有关云平台的数据泄露事件时有发生,涉及的数据规模大、类型多。新冠肺炎疫情期间,视频会议系统在广大政府部门的使用频率大大增高,但其网络安全保障却常常被忽视,存在会议内容被窃听、窃视风险。手机支付、“健康码”、社交APP等移动互联网技术的应用已悄然改变人民的日常生活,但大部分手机应用APP、微信小程序存在违法违规收集/获取个人信息问题,“健康宝”“行程码”等“生活必需品”的安全保障成为政府部门在数字化转型中面临的新挑战。如西安“一码通”曾多次崩溃影响市民出行,北京健康宝曾在使用高峰期间遭受境外网络攻击,这些安全事件的发生对政府部门的网络安全管理和技术防护提出了更高要求。
2.1 网络安全管理机制待完善
我国不断健全完善网络安全法律法规体系,《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》《网络安全审查办法》等法律法规相继颁布和实施,网络安全等级保护进入等保2.0时代,定级对象、安全要求、控制措施、分类结构等发生新增和变化,对政府部门做好网络安全工作提出了更高标准。但由于不同行业、不同级别政府部门对网络安全工作的重视程度不同[7],部分单位缺少有关网络安全、数据安全工作的管理制度和工作机制,忽视对信息系统供应链安全的管控,落实等级保护、商用密码应用的工作措施不到位,无法满足单位信息化建设快速发展的安全需求,导致各类安全隐患层出不穷。
2.2 网络安全防范技术存在不足
政府部门中的网络安全防御体系常以防火墙、入侵检测、防病毒软件等多种手段构成的静态防御和被动防御为主,虽然防护有一定效果,但面对未知漏洞攻击时,存在一定滞后性和被动性。部分政府部门网络安全保障经费不足,无法满足当前安全防护要求,如安全设备更新换代不及时、信息系统未能定期开展安全检测、等保测评和整改等工作,导致存在较大安全隐患。大部分政府部门的安全设备和产品来源于不同厂家,每类安全设备存储处理的数据类别、量级差异大,难以统一管理,运维人员需要每天分别登录设备进行查看和分析,大大增加了管理和运维成本。
2.3 网络安全意识待加强
部分政府部门管理人员网络安全意识薄弱,在开展信息化建设工作时存在重建设轻运维、重使用轻安全的问题,未落实网络安全与信息化建设“同步规划、同步建设、同步运行”(以下简称“三同步”)要求,导致信息系统漏洞隐患多,存在源代码缺陷、敏感信息暴露于互联网、老旧系统不及时下线等问题,极易被黑客攻击利用获取系统权限和数据。部分工作人员安全防范意识不足,为方便信息系统使用设置复杂程度极低的弱口令,点击下载钓鱼邮件内容导致办公终端中毒等事件常常发生,存在很大安全隐患。同时,政府部门的大部分政务信息系统面向广大人民群众提供服务,系统用户覆盖范围广、人群文化程度和安全意识差异大,增加了安全管控难度。
2.4 网络安全专业人才保障不足
大部分政府部门存在网络安全人才短缺的问题,一是网络安全专职人员少,部分单位没有专门负责网络安全工作的部门,常常是信息化工作部门兼管网络安全工作,网络安全工作人员不是专职人员,需同时兼职大量其他工作。二是复合型人才少,高效的网络安全防护离不开与系统业务工作的紧密结合,特别是应用层面的网络安全。但实际情况中,熟悉部门业务工作的人不懂网络安全,掌握网络安全技术的人不接触业务工作。三是大部分政府部门通过政府采购形式将系统开发和运维工作外包给第三方单位,但第三方单位运维人员的专业水平和网络安全意识参差不齐,缺乏网络安全方面知识储备与防范技能,导致安全问题频出。如运维人员为求系统稳定或者运转效率常常不及时更新应用版本导致系统存在老旧漏洞,开发人员在公司服务器或者第三方代码管理平台存储和上传系统源代码导致被攻击者利用发现系统漏洞等事件时常发生。
3.1 健全网络安全制度规范
政府部门应建立网络安全工作责任制,明确各部门网络安全负责人,把安全责任细化落实到每个部门、每个岗位和每个人员。根据行业和单位特点,健全有关网络安全、数据安全、密码应用、公民个人信息保护、关键信息基础设施保护相关制度和标准规范,确保各项措施切实可行。完善网络安全审查、网络安全预警通报、网络安全事件应急处置工作机制,规范各项工作流程。建立网络安全监督考核机制,将各部门网络安全工作情况纳入单位绩效评价工作,督促各单位抓好网络安全管理和整改落实。
3.2 加强网络安全宣传教育
考虑到政府部门的大部分政务信息系统面向人群广的特点,建议充分利用国家安全日、网络安全宣传周等契机,开展广泛的网络安全知识宣传与教育,通过动画视频、H5小程序、新闻媒体传播等方式开展线上网络安全知识普及,增强信息系统用户的网络安全意识;
通过张贴和发放易拉宝、海报、宣传手册等生动形象的材料,以及邀请网络安全行业专家授课的形式,在单位内部开展网络安全宣传教育,提升工作人员网络安全防范技能;
将网络安全责任意识传导到信息系统相关的供应链单位,与信息系统开发运维的第三方公司和人员签订安全保密协议,对有可能导致网络安全事件发生的各类运维行为进行约束和防范。
3.3 重视网络安全人才培养
网络空间的竞争,归根到底是人才的竞争。政府部门应加强对于网络安全专业人才的培养,通过加大经费投入、提高薪资待遇等方式吸引专业人才就业;
加强“政产学研用”深度融合,创新培养网络安全管理和专业技术人才;
鼓励和支持本单位相关工作人员参与网络安全、数据安全、网络攻防等专业培训和资格考试,建立一支既了解业务又懂网络安全的强大人才队伍。同时,建议加强与网络安全技术单位和专业公司的沟通、合作,共享网络安全威胁情报,提高联防联控能力。
3.4 构建综合技术防御体系
1)建设网络安全综合态势感知平台。当前,政府部门信息系统数量不断增多、系统规模不断扩大,网络“边界”逐渐模糊化,为解决传统安全防御手段边界防护为主、被动防御为主的不足,建议政府部门根据单位实际情况建设集监测、检测、预警、溯源、分析、处置为一体的网络安全综合态势感知平台,利用大数据、人工智能技术来全天候全方位感知网络安全态势,增强网络安全防御能力。
2)加强信息系统安全建设。应按照“三同步”原则,加强信息系统建设前的网络安全设计内容审查,确保信息系统设计方案中根据系统等保级别充分规划了网络安全防范措施,以及各项措施满足网络安全、数据安全、密码安全等要求,增强信息系统自身免疫力。同时,定期开展网络安全检查或抽查,对下属单位或部门的网络安全责任制落实、网络安全制度规范完整性、信息系统安全防护措施落实、漏洞隐患整改加固等情况开展检查评估,确保信息系统全生命周期的网络安全管理到位,保障网络和信息系统安全可靠运行。
3)定期开展安全检测。应定期对网络和信息系统特别是关键信息基础设施开展风险评估,涉及网络设备、安全设备、主机服务器以及在设备中部署的操作系统、应用、数据库等,以及机房和供电系统,做到风险隐患早发现、早处置、早预防。定期开展终端安全检查,安装防病毒软件,升级病毒特征库,全盘查杀病毒,确保办公终端安全。定期对信息系统开展漏洞扫描,排查操作系统、应用、数据库、中间件等层面是否存在漏洞。定期开展渗透测试,模拟攻击者行为对网络和信息系统进行安全性检测。定期对信息系统开展安全配置核查,包含账号管理、口令管理、日志配置、认证授权、进程服务、外部端口等方面情况,确保系统各项配置安全合规。
4)落实等级保护制度。应持续推动下属单位或部门落实网络安全等级保护制度,特别是针对等保2.0新增的移动互联网、物联网、大数据平台、工业控制系统等内容,要抓好制度落实。定期组织开展或督促各部门开展信息系统自定级、专家评审工作,并按照公安部门要求做好等级保护备案、测评、问题整改,确保网络安全等级保护全覆盖。针对关键信息基础设施,要落实好关键信息基础设施各项管理和防护要求。
5)加强应急处置能力建设。应建立网络安全风险监测及应急处置协同机制,制定可操作性强的网络安全、数据安全应急预案,定期开展应急预案演练,并在实践中不断修订完善。以网络安全“三化六防”(实战化、体系化、常态化,动态防御、主动防御、纵深防御、精准防护、整体防护、联防联控[8])为目标,定期开展攻防实战演习,全面检验网络和信息系统抗攻击能力,提升网络安全监测防护能力和应急处置能力。
3.5 加强数据安全管理和防护
数据安全已经成为数字政府建设的重要保障和关键环节,各级政府部门要始终绷紧数据安全这根弦,贯彻落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规有关数据安全的规定和要求,建立本行业或本部门数据分类分级保护制度,不同类别不同级别数据采取不同安全保护措施;
制定本行业或本部门重要数据清单目录,重要数据重点保护;
明确各级部门数据安全责任机构和负责人,加强数据收集、存储、传输、处理、开放共享、销毁等全流程安全管控;
建立健全数据安全监测防护及应急处置机制、数据安全风险评估机制、数据安全审查和审计机制,构建集制度、管理、技术为一体的数字政府全方位安全保障体系。
网络安全是国家安全的重要组成部分,没有网络安全就没有国家安全。为有效应对复杂严峻的网络安全形势,政府部门在加快推进数字政府建设进程中,必须统筹发展和安全,抓制度建设,抓安全管理,抓人才培养,强安全意识,强技术防范,强数据安全,大力推进网络安全关键技术研究和产业化,建设网络安全综合防护体系,才能推进产业高质量发展,为更快更好实施网络强国战略保驾护航。
猜你喜欢 政府部门数据安全信息系统 企业信息系统安全防护哈尔滨轴承(2022年1期)2022-05-23云计算中基于用户隐私的数据安全保护方法电子制作(2019年14期)2019-08-20宁波民生e点通:网友与政府部门沟通的“双线桥梁”传媒评论(2019年3期)2019-06-18建立激励相容机制保护数据安全当代贵州(2018年21期)2018-08-29基于区块链的通航维护信息系统研究电子制作(2018年11期)2018-08-04信息系统审计中计算机审计的应用消费导刊(2017年20期)2018-01-03大数据云计算环境下的数据安全电子制作(2017年20期)2017-04-26青海省人民政府关于第二批清理规范省政府部门行政审批中介服务事项的决定青海政报(2017年22期)2017-04-09浅谈在政府部门推行绩效文化的作用和途径中国工程咨询(2017年6期)2017-02-21基于ADC法的指挥信息系统效能评估现代计算机(2016年11期)2016-02-28
