電子政務(wù)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估問(wèn)題發(fā)現(xiàn)及保障建議

yi321yi 2019-04-14

展開(kāi)全文

近些年,，隨著統(tǒng)籌協(xié)調(diào)機(jī)制,、“互聯(lián)網(wǎng) 政務(wù)服務(wù)”、信息資源整合共享等概念的出現(xiàn)和逐步落地,，以及數(shù)字化,、網(wǎng)絡(luò)化、智能化為特質(zhì)的新一代信息通信技術(shù)（ICT）加快驅(qū)動(dòng),，政府再次轉(zhuǎn)型駛?cè)胄滦碗娮诱?wù)建設(shè)快車道,。電子政務(wù)領(lǐng)域信息系統(tǒng)也從早期的門戶網(wǎng)站、郵件系統(tǒng),、辦公系統(tǒng)不斷得到創(chuàng)新和運(yùn)用,，網(wǎng)上辦公,、數(shù)據(jù)集中、各種業(yè)務(wù)支撐系統(tǒng)層出不窮,。與此同時(shí),，這些信息系統(tǒng)面臨的網(wǎng)絡(luò)安全問(wèn)題也越來(lái)越突出。本文總結(jié)分析近些年對(duì)電子政務(wù)領(lǐng)域各種信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估過(guò)程中發(fā)現(xiàn)的網(wǎng)絡(luò)安全問(wèn)題,，分析電子政務(wù)網(wǎng)絡(luò)安全發(fā)展趨勢(shì),，提出安全保障建議，旨在為新型電子政務(wù)建設(shè)以及政府治理體系根本性變革提供參考,。

一,、電子政務(wù)信息系統(tǒng)網(wǎng)絡(luò)安全面臨的問(wèn)題和挑戰(zhàn)

（一）安全設(shè)計(jì)與應(yīng)用實(shí)現(xiàn)存在匹配失衡現(xiàn)象，敏感數(shù)據(jù)防護(hù)手段不成熟,，數(shù)據(jù)安全不容樂(lè)觀

電子政務(wù)作為國(guó)家重要信息系統(tǒng),，承載包括國(guó)家、企業(yè)以及個(gè)人的敏感信息,，成為黑客組織,、商業(yè)情報(bào)機(jī)構(gòu)的關(guān)注焦點(diǎn)。我國(guó)電子政務(wù)領(lǐng)域信息系統(tǒng)建設(shè)“交鑰匙工程”現(xiàn)象仍然存在,，安全設(shè)計(jì)和應(yīng)用實(shí)現(xiàn)不夠合理和科學(xué),，不能抓住安全和業(yè)務(wù)的平衡點(diǎn)，業(yè)務(wù)系統(tǒng)最終呈現(xiàn)出的結(jié)果背離最初安全設(shè)計(jì)目標(biāo)和預(yù)期使命,。粗放型的管理理念和管理體系與現(xiàn)有安全管理工具不能相互融合支撐,。同時(shí)，注重外圍邊界安全,，忽視內(nèi)網(wǎng)安全,，只重視以網(wǎng)關(guān)產(chǎn)品為主要形式的邊界防御，對(duì)內(nèi)部網(wǎng)絡(luò),、業(yè)務(wù)應(yīng)用和數(shù)據(jù)安全的管理不夠重視,，無(wú)法保證整體網(wǎng)絡(luò)安全性。數(shù)據(jù)加密存儲(chǔ)或加密傳輸手段實(shí)現(xiàn)比例很低,，缺乏切實(shí)有效的數(shù)據(jù)防外泄手段,，敏感數(shù)據(jù)得不到重點(diǎn)保護(hù)，缺少實(shí)質(zhì)性的安全防護(hù)措施,。目前,，數(shù)據(jù)竊取的技術(shù)手段與工具也在快速發(fā)展，數(shù)據(jù)泄露的風(fēng)險(xiǎn)進(jìn)一步加大,，數(shù)據(jù)安全形勢(shì)不容樂(lè)觀,。

（二）信息系統(tǒng)建設(shè)運(yùn)維人員組成復(fù)雜，面對(duì)新應(yīng)用新技術(shù)應(yīng)急資源未得到合理有效整合

電子政務(wù)信息系統(tǒng)設(shè)備非國(guó)產(chǎn)化問(wèn)題還未得到徹底解決,，安全設(shè)備購(gòu)買后要么“裸奔”,，要么被束之高閣。一些單位還購(gòu)買了專門的安全服務(wù),，將信息系統(tǒng)安全配置與管理全權(quán)交給集成或安服公司,，雖然在一定程度上節(jié)省了專業(yè)人員的培養(yǎng)成本，但是,，隨著廠商業(yè)務(wù)的拓展,、售后服務(wù)人員的更迭、產(chǎn)品質(zhì)保期的結(jié)束,，會(huì)產(chǎn)生很多不可控的因素,，人員安全意識(shí)、安全技能以及安全防護(hù)水平均存在參差不齊的現(xiàn)象,，網(wǎng)絡(luò)安全保障受制于人,。隨著無(wú)線網(wǎng)絡(luò)、云計(jì)算,、大數(shù)據(jù)等技術(shù)的不斷普及,，移動(dòng)執(zhí)法、移動(dòng)監(jiān)測(cè),、移動(dòng)服務(wù),、移動(dòng)媒體等廣泛應(yīng)用，惡意代碼攻擊,、個(gè)人隱私泄露的途徑也在不斷擴(kuò)大,。電子政務(wù)領(lǐng)域網(wǎng)絡(luò)安全應(yīng)急方面主要問(wèn)題表現(xiàn)在缺少供決策者作戰(zhàn)指揮的固定場(chǎng)所，導(dǎo)致參與應(yīng)急處置的各級(jí)人員比較分散,，應(yīng)急演練走過(guò)場(chǎng)或完全不開(kāi)展,；各部門橫向之間的職責(zé)分工在一定程度上存在職責(zé)交叉和管理脫節(jié)的現(xiàn)象；彼此之間溝通協(xié)調(diào)存在問(wèn)題,，各應(yīng)急力量和資源得不到合理有效的利用,，缺乏綜合分析評(píng)估平臺(tái)和支撐性應(yīng)急資源數(shù)據(jù)庫(kù)。

（三）電子政務(wù)網(wǎng)絡(luò)存在內(nèi)外網(wǎng)通路,，地方政府門戶網(wǎng)站仍是重災(zāi)區(qū)和黑客攻擊首選入口

我國(guó)電子政務(wù)信息系統(tǒng)主要由政務(wù)內(nèi)網(wǎng)和政務(wù)外網(wǎng)組成,，還存在大量的政務(wù)專網(wǎng)。這些不同的信息系統(tǒng)在建設(shè)初期并未統(tǒng)一協(xié)調(diào)規(guī)劃,，由于某種原因各級(jí)政府部門出現(xiàn)“重內(nèi)（專）網(wǎng),，輕外網(wǎng)”的現(xiàn)象，從而導(dǎo)致電子政務(wù)系統(tǒng)整體存在安全隱患,。部分政務(wù)系統(tǒng)的邊界不清,，在網(wǎng)絡(luò)建設(shè)過(guò)程中沒(méi)有考慮內(nèi)外網(wǎng)數(shù)據(jù)的可控交換，導(dǎo)致部分在內(nèi)外網(wǎng)交叉使用的業(yè)務(wù)應(yīng)用系統(tǒng)打通了內(nèi)外網(wǎng)間的通道,，且內(nèi)部使用的重要系統(tǒng)外網(wǎng)接口普遍存在多個(gè),，黑客可通過(guò)跳板方式由外網(wǎng)滲透入內(nèi)網(wǎng),，最終導(dǎo)致內(nèi)網(wǎng)重要敏感數(shù)據(jù)的外泄。另一方面,，因政府行業(yè)門戶網(wǎng)站公信力高,、影響力大，容易成為黑客攻擊目標(biāo),。相對(duì)各大部委網(wǎng)站,，地方政府網(wǎng)站由于重視和投入程度不夠，成為遭受攻擊的“重災(zāi)區(qū)”,，遭到境外黑客組織頻繁攻擊,，影響我國(guó)政府形象及電子政務(wù)工作。

（四）安全保障工作一成不變,，安全防護(hù)措施發(fā)展滯后,，難以應(yīng)對(duì)新型復(fù)雜的安全威脅

我國(guó)電子政務(wù)系統(tǒng)的管理機(jī)構(gòu)責(zé)權(quán)不清，導(dǎo)致上到國(guó)家各級(jí)職能管理部門,，下到某機(jī)構(gòu)內(nèi)部的信息科技辦,、信息安全中心、業(yè)務(wù)發(fā)展中心等眾多部門,，協(xié)調(diào)管理不統(tǒng)一,、政令不通暢。雖然隨著網(wǎng)絡(luò)安全相關(guān)法律法規(guī),、規(guī)范要求的出臺(tái)和強(qiáng)制執(zhí)行,，各機(jī)構(gòu)單位逐步建立健全了安全管理制度，卻存在“千年不變”“紙上談兵”的現(xiàn)象,，幾乎沒(méi)有專職的安全管理員,，且大多兼任其他管理崗位，對(duì)人員安全技能和安全知識(shí)的考核幾乎為零,，對(duì)第三方人員的管控力度不夠,。面對(duì)網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)犯罪技術(shù)不斷革新,，電子政務(wù)行業(yè)在信息安全風(fēng)險(xiǎn)檢測(cè)和評(píng)估手段方面不如其他行業(yè)具有一定的自主性,，難以有效應(yīng)對(duì)潛在的安全威脅。入侵檢測(cè)設(shè)備等安全設(shè)備規(guī)則庫(kù)老舊,、報(bào)警日志無(wú)人查看等現(xiàn)象普遍存在,，檢測(cè)產(chǎn)品“形同虛設(shè)”。據(jù)某調(diào)查顯示,，我國(guó)每年都有上千個(gè)政府網(wǎng)頁(yè)被惡意篡改,，同時(shí)，也有相當(dāng)數(shù)量的政府主頁(yè)被植入暗鏈。2017年5月,，新型“蠕蟲式”勒索軟件病毒肆虐全球,，由于政府行業(yè)計(jì)算機(jī)設(shè)備老舊、升級(jí)更新滯后,，該病毒在局域網(wǎng)中無(wú)限傳播,，至今仍有很多單位的內(nèi)網(wǎng)未完全消除該病毒,。這也說(shuō)明,，整個(gè)行業(yè)對(duì)復(fù)雜威脅的監(jiān)測(cè)能力和手段缺乏，及時(shí)發(fā)現(xiàn)和處置新型攻擊的能力薄弱,。

二,、電子政務(wù)信息系統(tǒng)網(wǎng)絡(luò)安全發(fā)展趨勢(shì)和保障建議

（一）政務(wù)信息從公開(kāi)向共享轉(zhuǎn)變，電子政務(wù)系統(tǒng)交互復(fù)雜性增強(qiáng),，數(shù)據(jù)安全防護(hù)應(yīng)為重中之重

移動(dòng)互聯(lián)網(wǎng)時(shí)代,，移動(dòng)辦公是政府做好公共服務(wù)必須采用的工具和平臺(tái)，也是政府向公眾提供全面,、及時(shí),、細(xì)致服務(wù)最為便捷的手段和途徑之一。2015年9月,，國(guó)務(wù)院印發(fā)的《關(guān)于印發(fā)促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要的通知》要求,，到2020年底前，逐步實(shí)現(xiàn)民生保障服務(wù)相關(guān)領(lǐng)域的政府?dāng)?shù)據(jù)向社會(huì)開(kāi)放,。落實(shí)到電子政務(wù)信息系統(tǒng)公共服務(wù)前臺(tái)和政府后臺(tái)建設(shè)上,，服務(wù)前臺(tái)交互功能將進(jìn)一步提升，服務(wù)后臺(tái)也將逐步實(shí)現(xiàn)各個(gè)部門的業(yè)務(wù)整合,，電子政務(wù)的交互性,、復(fù)雜性進(jìn)一步增強(qiáng)。因此,，信息安全問(wèn)題將更為突出地表現(xiàn)為如何加強(qiáng)對(duì)公眾個(gè)人信息的保護(hù)力度和如何加強(qiáng)對(duì)實(shí)現(xiàn)互聯(lián)互通的政府部門業(yè)務(wù)進(jìn)行安全保護(hù),。在政府管理上，龐大的數(shù)據(jù)資源為政府提高決策的科學(xué)性提供了保障,，將大數(shù)據(jù)思維和技術(shù)融入政府管理工作中,，是順應(yīng)時(shí)代發(fā)展趨勢(shì)，符合推進(jìn)國(guó)家現(xiàn)代化治理能力提高的要求,。

（二）明確職責(zé)和工作機(jī)制,，提升應(yīng)急處置能力，合力提高國(guó)家網(wǎng)絡(luò)安全保障水平

電子政務(wù)面臨的主要威脅來(lái)自高級(jí)黑客或者有組織的網(wǎng)絡(luò)犯罪集團(tuán)以及敵對(duì)國(guó)家機(jī)構(gòu)和組織,，各機(jī)構(gòu)現(xiàn)有的技術(shù)力量普遍難以應(yīng)對(duì)上述威脅,。建議在繼續(xù)做好基本安全加固工作的基礎(chǔ)上，對(duì)現(xiàn)有國(guó)家級(jí)信息安全力量進(jìn)行梳理,，統(tǒng)籌規(guī)劃和發(fā)展,，明確各機(jī)構(gòu)職責(zé)和各機(jī)構(gòu)之間的協(xié)調(diào)合作機(jī)制,，加強(qiáng)技術(shù)力量建設(shè)。在安全態(tài)勢(shì)感知,、威脅監(jiān)測(cè),、漏洞分析等環(huán)節(jié)上下細(xì)功夫，加強(qiáng)威脅和漏洞預(yù)警及信息共享,。加強(qiáng)對(duì)重要網(wǎng)絡(luò)安全域和業(yè)務(wù)系統(tǒng)的全面信息安全風(fēng)險(xiǎn)評(píng)估,，識(shí)別安全隱患，并評(píng)估對(duì)重要信息系統(tǒng)的影響,。完善應(yīng)急預(yù)案,，建立綜合應(yīng)急指揮平臺(tái)和體系，加強(qiáng)突發(fā)事件應(yīng)急演練,，增加應(yīng)急人員能力培訓(xùn),，提升綜合應(yīng)急處置能力。建設(shè)國(guó)家級(jí)網(wǎng)絡(luò)安全防護(hù)體系,，形成強(qiáng)大的國(guó)家網(wǎng)絡(luò)安全保障能力,，集中優(yōu)勢(shì)資源保障國(guó)家重要信息系統(tǒng)安全穩(wěn)定。

（三）讓新技術(shù)新應(yīng)用安全地為政務(wù)創(chuàng)新服務(wù),，加快行業(yè)信息安全標(biāo)準(zhǔn)完善更新和落地執(zhí)行步伐

移動(dòng)互聯(lián)網(wǎng),、云計(jì)算、物聯(lián)網(wǎng),、大數(shù)據(jù),、5G網(wǎng)絡(luò)、三網(wǎng)融合,、近場(chǎng)通信,、IPv6網(wǎng)絡(luò)等技術(shù)的發(fā)展和應(yīng)用，各類電子政務(wù)信息系統(tǒng)如雨后春筍般迅速誕生,。這些新技術(shù)和新應(yīng)用尚在快速發(fā)展和運(yùn)用過(guò)程中,，技術(shù)實(shí)現(xiàn)還可能存在諸多未曾發(fā)現(xiàn)或尚未解決的安全缺陷，應(yīng)用部署后可能還會(huì)對(duì)原有的業(yè)務(wù)邏輯模型和防范措施造成影響,。例如,，一些政府服務(wù)移動(dòng)終端應(yīng)用（App）多采用云計(jì)算作為存儲(chǔ)和計(jì)算架構(gòu)提高系統(tǒng)的高效部署和運(yùn)行能力，同時(shí),，也使信息系統(tǒng)的網(wǎng)絡(luò)邊界變得模糊,。因此，新型電子政務(wù)建設(shè)必須正視和解決因采用新興技術(shù)而帶來(lái)的安全風(fēng)險(xiǎn),。近兩年,，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)出臺(tái)了GB/T 35282-2017《信息安全技術(shù) 電子政務(wù)移動(dòng)辦公系統(tǒng)安全技術(shù)規(guī)范》、GB/T 30850.4-2017《電子政務(wù)標(biāo)準(zhǔn)化指南》和GB/T 34080.1-2017《基于云計(jì)算的電子政務(wù)公共平臺(tái)安全規(guī)范》，在新技術(shù)研究和安全標(biāo)準(zhǔn)制定上取得一定突破,。但是,，這些標(biāo)準(zhǔn)沒(méi)有得到及時(shí)充分的落地執(zhí)行且覆蓋范圍有限，還應(yīng)多鼓勵(lì)相關(guān)單位和專家人士深入探討,、研究和制定更為全面的網(wǎng)絡(luò)安全標(biāo)準(zhǔn),。例如，建立新型電子政務(wù)信息系統(tǒng)全生命周期安全檢測(cè)標(biāo)準(zhǔn),，涉及新技術(shù)新應(yīng)用的信息系統(tǒng)安全自查評(píng)價(jià)標(biāo)準(zhǔn),，對(duì)主流移動(dòng)政務(wù)辦公軟件、政務(wù)辦公硬件漏洞制定針對(duì)性測(cè)評(píng)標(biāo)準(zhǔn),，在標(biāo)準(zhǔn)規(guī)范的層面從整體到細(xì)節(jié)完善電子政務(wù)信息系統(tǒng)安全技術(shù)保障體系,。

（四）人員保障是網(wǎng)絡(luò)安全保障體系的關(guān)鍵因素，落實(shí)和執(zhí)行網(wǎng)絡(luò)安全審查制度是現(xiàn)階段電子政務(wù)網(wǎng)絡(luò)安全保障有效手段

無(wú)論在哪個(gè)行業(yè)領(lǐng)域的網(wǎng)絡(luò)安全活動(dòng)中,，人員保障都是網(wǎng)絡(luò)安全保障體系的關(guān)鍵因素。人員保障需要構(gòu)建多層次的網(wǎng)絡(luò)安全人才培養(yǎng)體系,，聘用素質(zhì)高能力強(qiáng)的網(wǎng)絡(luò)安全人員,，開(kāi)展對(duì)專業(yè)技術(shù)人員安全技能培訓(xùn)，對(duì)普通員工信息安全意識(shí)宣貫等工作,，提高員工安全防范能力,，不斷提升信息安全人才隊(duì)伍水平。同時(shí),，電子政務(wù)各領(lǐng)域機(jī)構(gòu)還應(yīng)繼續(xù)加強(qiáng)對(duì)公眾的網(wǎng)絡(luò)安全意識(shí)宣傳工作,，讓全民充分認(rèn)識(shí)并深刻理解網(wǎng)絡(luò)安全的重要性。2018年5月,，我國(guó)網(wǎng)絡(luò)安全審查制度出臺(tái),，主要針對(duì)我國(guó)重要信息系統(tǒng)采用的國(guó)外信息技術(shù)產(chǎn)品和服務(wù)進(jìn)行審查。對(duì)內(nèi),，對(duì)于關(guān)系到國(guó)家安全和公共利益的重要信息技術(shù)產(chǎn)品和服務(wù),，也應(yīng)開(kāi)展相應(yīng)的網(wǎng)絡(luò)安全審查工作。例如,，對(duì)共享政務(wù)信息平臺(tái)或資源進(jìn)行風(fēng)險(xiǎn)評(píng)估和安全審查,，以提高國(guó)家電子政務(wù)內(nèi)外網(wǎng)、國(guó)家數(shù)據(jù)共享交換平臺(tái)和國(guó)家政務(wù)服務(wù)平臺(tái)的安全防護(hù)能力,。

三,、結(jié)語(yǔ)

保障電子政務(wù)網(wǎng)絡(luò)安全是一個(gè)動(dòng)態(tài)化、長(zhǎng)久性的過(guò)程,，其伴隨電子政務(wù)的問(wèn)世而產(chǎn)生,，還會(huì)隨著電子政務(wù)的不斷發(fā)展而發(fā)生相應(yīng)的改變。為確保電子政務(wù)工作的有效實(shí)施，需要合理融合運(yùn)用新興網(wǎng)絡(luò)安全防護(hù)技術(shù),，合理優(yōu)化和落地執(zhí)行適合的管理機(jī)制,，創(chuàng)新電子政務(wù)網(wǎng)絡(luò)安全發(fā)展。推進(jìn)電子政務(wù)信息系統(tǒng)安全運(yùn)行,，促進(jìn)新型電子政務(wù)建設(shè),，是精準(zhǔn)化社會(huì)治理,、落實(shí)網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略的重要舉措,，也是加快政府職能轉(zhuǎn)變、完善政府治理的一場(chǎng)深刻變革,。

（本文刊登于《中國(guó)信息安全》雜志2019年第3期）

本站是提供個(gè)人知識(shí)管理的網(wǎng)絡(luò)存儲(chǔ)空間,，所有內(nèi)容均由用戶發(fā)布，不代表本站觀點(diǎn),。請(qǐng)注意甄別內(nèi)容中的聯(lián)系方式,、誘導(dǎo)購(gòu)買等信息，謹(jǐn)防詐騙,。如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容,，請(qǐng)點(diǎn)擊一鍵舉報(bào)。

轉(zhuǎn)藏 分享

QQ空間 QQ好友新浪微博微信

獻(xiàn)花（0） +1

來(lái)自： yi321yi > 《安全》

舉報(bào)/認(rèn)領(lǐng)