近些年,随着统筹协调机制、“互联网+政务服务”、信息资源整合共享等概念的出现和逐步落地,以及数字化、网络化、智能化为特质的新一代信息通信技术(ICT)加快驱动,政府再次转型驶入新型电子政务建设快车道。电子政务领域信息系统也从早期的门户网站、邮件系统、办公系统不断得到创新和运用,网上办公、数据集中、各种业务支撑系统层出不穷。与此同时,这些信息系统面临的网络安全问题也越来越突出。本文总结分析近些年对电子政务领域各种信息系统进行风险评估过程中发现的网络安全问题,分析电子政务网络安全发展趋势,提出安全保障建议,旨在为新型电子政务建设以及政府治理体系根本性变革提供参考。
一、电子政务信息系统网络安全面临的问题和挑战
(一)安全设计与应用实现存在匹配失衡现象,敏感数据防护手段不成熟,数据安全不容乐观
电子政务作为国家重要信息系统,承载包括国家、企业以及个人的敏感信息,成为黑客组织、商业情报机构的关注焦点。我国电子政务领域信息系统建设“交钥匙工程”现象仍然存在,安全设计和应用实现不够合理和科学,不能抓住安全和业务的平衡点,业务系统最终呈现出的结果背离最初安全设计目标和预期使命。粗放型的管理理念和管理体系与现有安全管理工具不能相互融合支撑。同时,注重外围边界安全,忽视内网安全,只重视以网关产品为主要形式的边界防御,对内部网络、业务应用和数据安全的管理不够重视,无法保证整体网络安全性。数据加密存储或加密传输手段实现比例很低,缺乏切实有效的数据防外泄手段,敏感数据得不到重点保护,缺少实质性的安全防护措施。目前,数据窃取的技术手段与工具也在快速发展,数据泄露的风险进一步加大,数据安全形势不容乐观。
(二)信息系统建设运维人员组成复杂,面对新应用新技术应急资源未得到合理有效整合
电子政务信息系统设备非国产化问题还未得到彻底解决,安全设备购买后要么“裸奔”,要么被束之高阁。一些单位还购买了专门的安全服务,将信息系统安全配置与管理全权交给集成或安服公司,虽然在一定程度上节省了专业人员的培养成本,但是,随着厂商业务的拓展、售后服务人员的更迭、产品质保期的结束,会产生很多不可控的因素,人员安全意识、安全技能以及安全防护水平均存在参差不齐的现象,网络安全保障受制于人。随着无线网络、云计算、大数据等技术的不断普及,移动执法、移动监测、移动服务、移动媒体等广泛应用,恶意代码攻击、个人隐私泄露的途径也在不断扩大。电子政务领域网络安全应急方面主要问题表现在缺少供决策者作战指挥的固定场所,导致参与应急处置的各级人员比较分散,应急演练走过场或完全不开展;各部门横向之间的职责分工在一定程度上存在职责交叉和管理脱节的现象;彼此之间沟通协调存在问题,各应急力量和资源得不到合理有效的利用,缺乏综合分析评估平台和支撑性应急资源数据库。
(三)电子政务网络存在内外网通路,地方政府门户网站仍是重灾区和黑客攻击首选入口
我国电子政务信息系统主要由政务内网和政务外网组成,还存在大量的政务专网。这些不同的信息系统在建设初期并未统一协调规划,由于某种原因各级政府部门出现“重内(专)网,轻外网”的现象,从而导致电子政务系统整体存在安全隐患。部分政务系统的边界不清,在网络建设过程中没有考虑内外网数据的可控交换,导致部分在内外网交叉使用的业务应用系统打通了内外网间的通道,且内部使用的重要系统外网接口普遍存在多个,黑客可通过跳板方式由外网渗透入内网,最终导致内网重要敏感数据的外泄。另一方面,因政府行业门户网站公信力高、影响力大,容易成为黑客攻击目标。相对各大部委网站,地方政府网站由于重视和投入程度不够,成为遭受攻击的“重灾区”,遭到境外黑客组织频繁攻击,影响我国政府形象及电子政务工作。
(四)安全保障工作一成不变,安全防护措施发展滞后,难以应对新型复杂的安全威胁
我国电子政务系统的管理机构责权不清,导致上到国家各级职能管理部门,下到某机构内部的信息科技办、信息安全中心、业务发展中心等众多部门,协调管理不统一、政令不通畅。虽然随着网络安全相关法律法规、规范要求的出台和强制执行,各机构单位逐步建立健全了安全管理制度,却存在“千年不变”“纸上谈兵”的现象,几乎没有专职的安全管理员,且大多兼任其他管理岗位,对人员安全技能和安全知识的考核几乎为零,对第三方人员的管控力度不够。面对网络攻击、网络犯罪技术不断革新,电子政务行业在信息安全风险检测和评估手段方面不如其他行业具有一定的自主性,难以有效应对潜在的安全威胁。入侵检测设备等安全设备规则库老旧、报警日志无人查看等现象普遍存在,检测产品“形同虚设”。据某调查显示,我国每年都有上千个政府网页被恶意篡改,同时,也有相当数量的政府主页被植入暗链。2017年5月,新型“蠕虫式”勒索软件病毒肆虐全球,由于政府行业计算机设备老旧、升级更新滞后,该病毒在局域网中无限传播,至今仍有很多单位的内网未完全消除该病毒。这也说明,整个行业对复杂威胁的监测能力和手段缺乏,及时发现和处置新型攻击的能力薄弱。
二、电子政务信息系统网络安全发展趋势和保障建议
(一)政务信息从公开向共享转变,电子政务系统交互复杂性增强,数据安全防护应为重中之重
移动互联网时代,移动办公是政府做好公共服务必须采用的工具和平台,也是政府向公众提供全面、及时、细致服务最为便捷的手段和途径之一。2015年9月,国务院印发的《关于印发促进大数据发展行动纲要的通知》要求,到2020年底前,逐步实现民生保障服务相关领域的政府数据向社会开放。落实到电子政务信息系统公共服务前台和政府后台建设上,服务前台交互功能将进一步提升,服务后台也将逐步实现各个部门的业务整合,电子政务的交互性、复杂性进一步增强。因此,信息安全问题将更为突出地表现为如何加强对公众个人信息的保护力度和如何加强对实现互联互通的政府部门业务进行安全保护。在政府管理上,庞大的数据资源为政府提高决策的科学性提供了保障,将大数据思维和技术融入政府管理工作中,是顺应时代发展趋势,符合推进国家现代化治理能力提高的要求。
(二)明确职责和工作机制,提升应急处置能力,合力提高国家网络安全保障水平
电子政务面临的主要威胁来自高级黑客或者有组织的网络犯罪集团以及敌对国家机构和组织,各机构现有的技术力量普遍难以应对上述威胁。建议在继续做好基本安全加固工作的基础上,对现有国家级信息安全力量进行梳理,统筹规划和发展,明确各机构职责和各机构之间的协调合作机制,加强技术力量建设。在安全态势感知、威胁监测、漏洞分析等环节上下细功夫,加强威胁和漏洞预警及信息共享。加强对重要网络安全域和业务系统的全面信息安全风险评估,识别安全隐患,并评估对重要信息系统的影响。完善应急预案,建立综合应急指挥平台和体系,加强突发事件应急演练,增加应急人员能力培训,提升综合应急处置能力。建设国家级网络安全防护体系,形成强大的国家网络安全保障能力,集中优势资源保障国家重要信息系统安全稳定。
(三)让新技术新应用安全地为政务创新服务,加快行业信息安全标准完善更新和落地执行步伐
移动互联网、云计算、物联网、大数据、5G网络、三网融合、近场通信、IPv6网络等技术的发展和应用,各类电子政务信息系统如雨后春笋般迅速诞生。这些新技术和新应用尚在快速发展和运用过程中,技术实现还可能存在诸多未曾发现或尚未解决的安全缺陷,应用部署后可能还会对原有的业务逻辑模型和防范措施造成影响。例如,一些政府服务移动终端应用(App)多采用云计算作为存储和计算架构提高系统的高效部署和运行能力,同时,也使信息系统的网络边界变得模糊。因此,新型电子政务建设必须正视和解决因采用新兴技术而带来的安全风险。近两年,全国信息安全标准化技术委员会出台了GB/T 35282-2017《信息安全技术 电子政务移动办公系统安全技术规范》、GB/T 30850.4-2017《电子政务标准化指南》和GB/T 34080.1-2017《基于云计算的电子政务公共平台安全规范》,在新技术研究和安全标准制定上取得一定突破。但是,这些标准没有得到及时充分的落地执行且覆盖范围有限,还应多鼓励相关单位和专家人士深入探讨、研究和制定更为全面的网络安全标准。例如,建立新型电子政务信息系统全生命周期安全检测标准,涉及新技术新应用的信息系统安全自查评价标准,对主流移动政务办公软件、政务办公硬件漏洞制定针对性测评标准,在标准规范的层面从整体到细节完善电子政务信息系统安全技术保障体系。
(四)人员保障是网络安全保障体系的关键因素,落实和执行网络安全审查制度是现阶段电子政务网络安全保障有效手段
无论在哪个行业领域的网络安全活动中,人员保障都是网络安全保障体系的关键因素。人员保障需要构建多层次的网络安全人才培养体系,聘用素质高能力强的网络安全人员,开展对专业技术人员安全技能培训,对普通员工信息安全意识宣贯等工作,提高员工安全防范能力,不断提升信息安全人才队伍水平。同时,电子政务各领域机构还应继续加强对公众的网络安全意识宣传工作,让全民充分认识并深刻理解网络安全的重要性。2018年5月,我国网络安全审查制度出台,主要针对我国重要信息系统采用的国外信息技术产品和服务进行审查。对内,对于关系到国家安全和公共利益的重要信息技术产品和服务,也应开展相应的网络安全审查工作。例如,对共享政务信息平台或资源进行风险评估和安全审查,以提高国家电子政务内外网、国家数据共享交换平台和国家政务服务平台的安全防护能力。
三、结语
保障电子政务网络安全是一个动态化、长久性的过程,其伴随电子政务的问世而产生,还会随着电子政务的不断发展而发生相应的改变。为确保电子政务工作的有效实施,需要合理融合运用新兴网络安全防护技术,合理优化和落地执行适合的管理机制,创新电子政务网络安全发展。推进电子政务信息系统安全运行,促进新型电子政务建设,是精准化社会治理、落实网络强国战略的重要举措,也是加快政府职能转变、完善政府治理的一场深刻变革。
作者:杜宇鸽
(本文刊登于《中国信息安全》杂志2019年第3期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
