魏若璇 任瑜玨

農(nóng)業(yè)農(nóng)村部信息中心 北京 100125

引言

近些年，數(shù)字經(jīng)濟快速發(fā)展，人類社會邁入數(shù)字時代。為滿足數(shù)字時代人民對美好生活的新需求，我國加速推進數(shù)字政府建設(shè)。2022年《政府工作報告》中強調(diào)，要加強數(shù)字政府建設(shè)，推動政務(wù)數(shù)據(jù)共享。2022年中央全面深化改革委員會第二十五次會議審議通過了《關(guān)于加強數(shù)字政府建設(shè)的指導(dǎo)意見》，會中習(xí)近平總書記強調(diào)，要全面貫徹網(wǎng)絡(luò)強國戰(zhàn)略，把數(shù)字技術(shù)廣泛應(yīng)用于政府管理服務(wù)，推動政府數(shù)字化、智能化運行，為推進國家治理體系和治理能力現(xiàn)代化提供有力支撐[1]。如果說數(shù)字技術(shù)是數(shù)字政府建設(shè)的關(guān)鍵支撐，網(wǎng)絡(luò)安全則成為數(shù)字政府建設(shè)的重要保障。當前，網(wǎng)絡(luò)安全形勢復(fù)雜嚴峻，在數(shù)字政府建設(shè)中，政府部門必須強化網(wǎng)絡(luò)安全、數(shù)據(jù)安全和個人信息保護，筑牢網(wǎng)絡(luò)安全防線，才能更好地全面提升政府效能、促進數(shù)字政府高效運轉(zhuǎn)，為建設(shè)網(wǎng)絡(luò)強國提供安全保障。

1 政府部門面臨的網(wǎng)絡(luò)安全形勢

在加快推進數(shù)字政府建設(shè)過程中，政府部門面臨的網(wǎng)絡(luò)安全威脅和風(fēng)險日益突出，主要表現(xiàn)在以下4個方面。

1.1 國際網(wǎng)絡(luò)安全形勢復(fù)雜嚴峻

當前，網(wǎng)絡(luò)安全向政治、經(jīng)濟、文化、社會、生態(tài)、軍事等領(lǐng)域傳導(dǎo)滲透，與傳統(tǒng)安全問題交織在一起，成為國家力量較量的重要領(lǐng)域。世界各國競相將網(wǎng)絡(luò)安全問題統(tǒng)籌納入國家安全戰(zhàn)略，制定出臺針對網(wǎng)絡(luò)空間安全的治理規(guī)則和戰(zhàn)略規(guī)劃，加大構(gòu)建國家網(wǎng)絡(luò)空間安全的對抗力量和戰(zhàn)略儲備[2]。美國在2021年發(fā)布《5G網(wǎng)絡(luò)安全實踐指南》，指導(dǎo)使用5G網(wǎng)絡(luò)的單位和組織提高安全風(fēng)險應(yīng)對能力[3]。澳大利亞于2018年頒布《關(guān)鍵基礎(chǔ)設(shè)施安全法》，并在2021年推出關(guān)鍵基礎(chǔ)設(shè)施提升計劃，加強關(guān)鍵基礎(chǔ)設(shè)施安全保護[4]。歐盟于2019年發(fā)布《歐盟5G網(wǎng)絡(luò)安全風(fēng)險評估報告》，于2020年出臺文件《5G網(wǎng)絡(luò)安全工具箱》，指導(dǎo)歐盟各國保障5G網(wǎng)絡(luò)應(yīng)用過程中的網(wǎng)絡(luò)安全。

1.2 針對政府關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊事件頻發(fā)

“互聯(lián)網(wǎng)+政務(wù)服務(wù)”是推進數(shù)字政府建設(shè)的重要組成部分。“互聯(lián)網(wǎng)+政務(wù)服務(wù)”工作的開展，為政府部門辦公和人民群眾生活帶來了方便快捷，但近些年針對政府部門網(wǎng)絡(luò)和信息系統(tǒng)的網(wǎng)絡(luò)攻擊數(shù)量大幅增長，特別是關(guān)鍵信息基礎(chǔ)設(shè)施遭受的高級可持續(xù)威脅、勒索軟件攻擊、數(shù)據(jù)泄露等安全事件頻發(fā)。如2021年美國最大成品油管道運營商遭受勒索軟件攻擊，被迫關(guān)閉燃油管道系統(tǒng)，美國進入國家緊急狀態(tài)。2022年烏克蘭國防部、武裝部隊等多個軍方網(wǎng)站和銀行網(wǎng)站因遭受大規(guī)模網(wǎng)絡(luò)攻擊而關(guān)閉[5]，眾多關(guān)鍵基礎(chǔ)設(shè)施和重要網(wǎng)絡(luò)系統(tǒng)癱瘓，嚴重影響了烏克蘭的社會秩序。網(wǎng)絡(luò)攻擊的對抗強度雖然遠不及物理空間的武裝沖突，但針對銀行、通信、電力、供水、能源等關(guān)鍵信息基礎(chǔ)設(shè)施的攻擊，已經(jīng)嚴重危害到人民生命健康，甚至是國家安全。

1.3 數(shù)據(jù)安全風(fēng)險隱患突出

建設(shè)數(shù)字政府的主要目的是“讓數(shù)據(jù)多跑路、讓群眾少跑腿”，但隨著數(shù)據(jù)在建設(shè)過程中的不斷匯聚、整合、共享，數(shù)據(jù)已成為重要生產(chǎn)要素，面臨的安全隱患日益突出。一是數(shù)據(jù)的整合和開放共享能最大限度地挖掘數(shù)據(jù)價值，但可能帶來數(shù)據(jù)權(quán)屬關(guān)系不清、數(shù)據(jù)濫用等問題。二是海量政務(wù)數(shù)據(jù)的集中存儲增加了數(shù)據(jù)泄露風(fēng)險，集中存儲后的各類政務(wù)數(shù)據(jù)將縮減黑客的攻擊搜索成本，成為其重點攻擊目標。三是公民個人信息泄露問題突出，姓名、身份證號、手機號等敏感數(shù)據(jù)甚至成為不法分子牟利的工具。據(jù)《第49次中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告》[6]顯示，截至2021年12月，有22.1%的網(wǎng)民遭遇個人信息泄露。

1.4 新技術(shù)新應(yīng)用帶來新安全隱患

近些年，以大數(shù)據(jù)、人工智能、物聯(lián)網(wǎng)、云計算、移動互聯(lián)網(wǎng)、5G為代表的新興數(shù)字技術(shù)與各行業(yè)各領(lǐng)域各環(huán)節(jié)逐漸深度融合，但也帶來了新的安全隱患。譬如云計算服務(wù)的廣泛應(yīng)用表面上節(jié)省了各單位的系統(tǒng)建設(shè)和運營成本，但資源的集中存儲和部署吸引了大量黑客注意力，阿里云等有關(guān)云平臺的數(shù)據(jù)泄露事件時有發(fā)生，涉及的數(shù)據(jù)規(guī)模大、類型多。新冠肺炎疫情期間，視頻會議系統(tǒng)在廣大政府部門的使用頻率大大增高，但其網(wǎng)絡(luò)安全保障卻常常被忽視，存在會議內(nèi)容被竊聽、竊視風(fēng)險。手機支付、“健康碼”、社交APP等移動互聯(lián)網(wǎng)技術(shù)的應(yīng)用已悄然改變?nèi)嗣竦娜粘Ｉ?，但大部分手機應(yīng)用APP、微信小程序存在違法違規(guī)收集/獲取個人信息問題，“健康寶”“行程碼”等“生活必需品”的安全保障成為政府部門在數(shù)字化轉(zhuǎn)型中面臨的新挑戰(zhàn)。如西安“一碼通”曾多次崩潰影響市民出行，北京健康寶曾在使用高峰期間遭受境外網(wǎng)絡(luò)攻擊，這些安全事件的發(fā)生對政府部門的網(wǎng)絡(luò)安全管理和技術(shù)防護提出了更高要求。

2 政府部門網(wǎng)絡(luò)安全存在問題

2.1 網(wǎng)絡(luò)安全管理機制待完善

我國不斷健全完善網(wǎng)絡(luò)安全法律法規(guī)體系，《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》《網(wǎng)絡(luò)安全審查辦法》等法律法規(guī)相繼頒布和實施，網(wǎng)絡(luò)安全等級保護進入等保2.0時代，定級對象、安全要求、控制措施、分類結(jié)構(gòu)等發(fā)生新增和變化，對政府部門做好網(wǎng)絡(luò)安全工作提出了更高標準。但由于不同行業(yè)、不同級別政府部門對網(wǎng)絡(luò)安全工作的重視程度不同[7]，部分單位缺少有關(guān)網(wǎng)絡(luò)安全、數(shù)據(jù)安全工作的管理制度和工作機制，忽視對信息系統(tǒng)供應(yīng)鏈安全的管控，落實等級保護、商用密碼應(yīng)用的工作措施不到位，無法滿足單位信息化建設(shè)快速發(fā)展的安全需求，導(dǎo)致各類安全隱患層出不窮。

2.2 網(wǎng)絡(luò)安全防范技術(shù)存在不足

政府部門中的網(wǎng)絡(luò)安全防御體系常以防火墻、入侵檢測、防病毒軟件等多種手段構(gòu)成的靜態(tài)防御和被動防御為主，雖然防護有一定效果，但面對未知漏洞攻擊時，存在一定滯后性和被動性。部分政府部門網(wǎng)絡(luò)安全保障經(jīng)費不足，無法滿足當前安全防護要求，如安全設(shè)備更新?lián)Q代不及時、信息系統(tǒng)未能定期開展安全檢測、等保測評和整改等工作，導(dǎo)致存在較大安全隱患。大部分政府部門的安全設(shè)備和產(chǎn)品來源于不同廠家，每類安全設(shè)備存儲處理的數(shù)據(jù)類別、量級差異大，難以統(tǒng)一管理，運維人員需要每天分別登錄設(shè)備進行查看和分析，大大增加了管理和運維成本。

2.3 網(wǎng)絡(luò)安全意識待加強

部分政府部門管理人員網(wǎng)絡(luò)安全意識薄弱，在開展信息化建設(shè)工作時存在重建設(shè)輕運維、重使用輕安全的問題，未落實網(wǎng)絡(luò)安全與信息化建設(shè)“同步規(guī)劃、同步建設(shè)、同步運行”(以下簡稱“三同步”)要求，導(dǎo)致信息系統(tǒng)漏洞隱患多，存在源代碼缺陷、敏感信息暴露于互聯(lián)網(wǎng)、老舊系統(tǒng)不及時下線等問題，極易被黑客攻擊利用獲取系統(tǒng)權(quán)限和數(shù)據(jù)。部分工作人員安全防范意識不足，為方便信息系統(tǒng)使用設(shè)置復(fù)雜程度極低的弱口令，點擊下載釣魚郵件內(nèi)容導(dǎo)致辦公終端中毒等事件常常發(fā)生，存在很大安全隱患。同時，政府部門的大部分政務(wù)信息系統(tǒng)面向廣大人民群眾提供服務(wù)，系統(tǒng)用戶覆蓋范圍廣、人群文化程度和安全意識差異大，增加了安全管控難度。

2.4 網(wǎng)絡(luò)安全專業(yè)人才保障不足

大部分政府部門存在網(wǎng)絡(luò)安全人才短缺的問題，一是網(wǎng)絡(luò)安全專職人員少，部分單位沒有專門負責(zé)網(wǎng)絡(luò)安全工作的部門，常常是信息化工作部門兼管網(wǎng)絡(luò)安全工作，網(wǎng)絡(luò)安全工作人員不是專職人員，需同時兼職大量其他工作。二是復(fù)合型人才少，高效的網(wǎng)絡(luò)安全防護離不開與系統(tǒng)業(yè)務(wù)工作的緊密結(jié)合，特別是應(yīng)用層面的網(wǎng)絡(luò)安全。但實際情況中，熟悉部門業(yè)務(wù)工作的人不懂網(wǎng)絡(luò)安全，掌握網(wǎng)絡(luò)安全技術(shù)的人不接觸業(yè)務(wù)工作。三是大部分政府部門通過政府采購形式將系統(tǒng)開發(fā)和運維工作外包給第三方單位，但第三方單位運維人員的專業(yè)水平和網(wǎng)絡(luò)安全意識參差不齊，缺乏網(wǎng)絡(luò)安全方面知識儲備與防范技能，導(dǎo)致安全問題頻出。如運維人員為求系統(tǒng)穩(wěn)定或者運轉(zhuǎn)效率常常不及時更新應(yīng)用版本導(dǎo)致系統(tǒng)存在老舊漏洞，開發(fā)人員在公司服務(wù)器或者第三方代碼管理平臺存儲和上傳系統(tǒng)源代碼導(dǎo)致被攻擊者利用發(fā)現(xiàn)系統(tǒng)漏洞等事件時常發(fā)生。

3 網(wǎng)絡(luò)安全防范對策及建議

3.1 健全網(wǎng)絡(luò)安全制度規(guī)范

政府部門應(yīng)建立網(wǎng)絡(luò)安全工作責(zé)任制，明確各部門網(wǎng)絡(luò)安全負責(zé)人，把安全責(zé)任細化落實到每個部門、每個崗位和每個人員。根據(jù)行業(yè)和單位特點，健全有關(guān)網(wǎng)絡(luò)安全、數(shù)據(jù)安全、密碼應(yīng)用、公民個人信息保護、關(guān)鍵信息基礎(chǔ)設(shè)施保護相關(guān)制度和標準規(guī)范，確保各項措施切實可行。完善網(wǎng)絡(luò)安全審查、網(wǎng)絡(luò)安全預(yù)警通報、網(wǎng)絡(luò)安全事件應(yīng)急處置工作機制，規(guī)范各項工作流程。建立網(wǎng)絡(luò)安全監(jiān)督考核機制，將各部門網(wǎng)絡(luò)安全工作情況納入單位績效評價工作，督促各單位抓好網(wǎng)絡(luò)安全管理和整改落實。

3.2 加強網(wǎng)絡(luò)安全宣傳教育

考慮到政府部門的大部分政務(wù)信息系統(tǒng)面向人群廣的特點，建議充分利用國家安全日、網(wǎng)絡(luò)安全宣傳周等契機，開展廣泛的網(wǎng)絡(luò)安全知識宣傳與教育，通過動畫視頻、H5小程序、新聞媒體傳播等方式開展線上網(wǎng)絡(luò)安全知識普及，增強信息系統(tǒng)用戶的網(wǎng)絡(luò)安全意識；通過張貼和發(fā)放易拉寶、海報、宣傳手冊等生動形象的材料，以及邀請網(wǎng)絡(luò)安全行業(yè)專家授課的形式，在單位內(nèi)部開展網(wǎng)絡(luò)安全宣傳教育，提升工作人員網(wǎng)絡(luò)安全防范技能；將網(wǎng)絡(luò)安全責(zé)任意識傳導(dǎo)到信息系統(tǒng)相關(guān)的供應(yīng)鏈單位，與信息系統(tǒng)開發(fā)運維的第三方公司和人員簽訂安全保密協(xié)議，對有可能導(dǎo)致網(wǎng)絡(luò)安全事件發(fā)生的各類運維行為進行約束和防范。

3.3 重視網(wǎng)絡(luò)安全人才培養(yǎng)

網(wǎng)絡(luò)空間的競爭，歸根到底是人才的競爭。政府部門應(yīng)加強對于網(wǎng)絡(luò)安全專業(yè)人才的培養(yǎng)，通過加大經(jīng)費投入、提高薪資待遇等方式吸引專業(yè)人才就業(yè)；加強“政產(chǎn)學(xué)研用”深度融合，創(chuàng)新培養(yǎng)網(wǎng)絡(luò)安全管理和專業(yè)技術(shù)人才；鼓勵和支持本單位相關(guān)工作人員參與網(wǎng)絡(luò)安全、數(shù)據(jù)安全、網(wǎng)絡(luò)攻防等專業(yè)培訓(xùn)和資格考試，建立一支既了解業(yè)務(wù)又懂網(wǎng)絡(luò)安全的強大人才隊伍。同時，建議加強與網(wǎng)絡(luò)安全技術(shù)單位和專業(yè)公司的溝通、合作，共享網(wǎng)絡(luò)安全威脅情報，提高聯(lián)防聯(lián)控能力。

3.4 構(gòu)建綜合技術(shù)防御體系

1)建設(shè)網(wǎng)絡(luò)安全綜合態(tài)勢感知平臺。當前，政府部門信息系統(tǒng)數(shù)量不斷增多、系統(tǒng)規(guī)模不斷擴大，網(wǎng)絡(luò)“邊界”逐漸模糊化，為解決傳統(tǒng)安全防御手段邊界防護為主、被動防御為主的不足，建議政府部門根據(jù)單位實際情況建設(shè)集監(jiān)測、檢測、預(yù)警、溯源、分析、處置為一體的網(wǎng)絡(luò)安全綜合態(tài)勢感知平臺，利用大數(shù)據(jù)、人工智能技術(shù)來全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢，增強網(wǎng)絡(luò)安全防御能力。

2)加強信息系統(tǒng)安全建設(shè)。應(yīng)按照“三同步”原則，加強信息系統(tǒng)建設(shè)前的網(wǎng)絡(luò)安全設(shè)計內(nèi)容審查，確保信息系統(tǒng)設(shè)計方案中根據(jù)系統(tǒng)等保級別充分規(guī)劃了網(wǎng)絡(luò)安全防范措施，以及各項措施滿足網(wǎng)絡(luò)安全、數(shù)據(jù)安全、密碼安全等要求，增強信息系統(tǒng)自身免疫力。同時，定期開展網(wǎng)絡(luò)安全檢查或抽查，對下屬單位或部門的網(wǎng)絡(luò)安全責(zé)任制落實、網(wǎng)絡(luò)安全制度規(guī)范完整性、信息系統(tǒng)安全防護措施落實、漏洞隱患整改加固等情況開展檢查評估，確保信息系統(tǒng)全生命周期的網(wǎng)絡(luò)安全管理到位，保障網(wǎng)絡(luò)和信息系統(tǒng)安全可靠運行。

3)定期開展安全檢測。應(yīng)定期對網(wǎng)絡(luò)和信息系統(tǒng)特別是關(guān)鍵信息基礎(chǔ)設(shè)施開展風(fēng)險評估，涉及網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機服務(wù)器以及在設(shè)備中部署的操作系統(tǒng)、應(yīng)用、數(shù)據(jù)庫等，以及機房和供電系統(tǒng)，做到風(fēng)險隱患早發(fā)現(xiàn)、早處置、早預(yù)防。定期開展終端安全檢查，安裝防病毒軟件，升級病毒特征庫，全盤查殺病毒，確保辦公終端安全。定期對信息系統(tǒng)開展漏洞掃描，排查操作系統(tǒng)、應(yīng)用、數(shù)據(jù)庫、中間件等層面是否存在漏洞。定期開展?jié)B透測試，模擬攻擊者行為對網(wǎng)絡(luò)和信息系統(tǒng)進行安全性檢測。定期對信息系統(tǒng)開展安全配置核查，包含賬號管理、口令管理、日志配置、認證授權(quán)、進程服務(wù)、外部端口等方面情況，確保系統(tǒng)各項配置安全合規(guī)。

4)落實等級保護制度。應(yīng)持續(xù)推動下屬單位或部門落實網(wǎng)絡(luò)安全等級保護制度，特別是針對等保2.0新增的移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、大數(shù)據(jù)平臺、工業(yè)控制系統(tǒng)等內(nèi)容，要抓好制度落實。定期組織開展或督促各部門開展信息系統(tǒng)自定級、專家評審工作，并按照公安部門要求做好等級保護備案、測評、問題整改，確保網(wǎng)絡(luò)安全等級保護全覆蓋。針對關(guān)鍵信息基礎(chǔ)設(shè)施，要落實好關(guān)鍵信息基礎(chǔ)設(shè)施各項管理和防護要求。

5)加強應(yīng)急處置能力建設(shè)。應(yīng)建立網(wǎng)絡(luò)安全風(fēng)險監(jiān)測及應(yīng)急處置協(xié)同機制，制定可操作性強的網(wǎng)絡(luò)安全、數(shù)據(jù)安全應(yīng)急預(yù)案，定期開展應(yīng)急預(yù)案演練，并在實踐中不斷修訂完善。以網(wǎng)絡(luò)安全“三化六防”(實戰(zhàn)化、體系化、常態(tài)化，動態(tài)防御、主動防御、縱深防御、精準防護、整體防護、聯(lián)防聯(lián)控[8])為目標，定期開展攻防實戰(zhàn)演習(xí)，全面檢驗網(wǎng)絡(luò)和信息系統(tǒng)抗攻擊能力，提升網(wǎng)絡(luò)安全監(jiān)測防護能力和應(yīng)急處置能力。

3.5 加強數(shù)據(jù)安全管理和防護

數(shù)據(jù)安全已經(jīng)成為數(shù)字政府建設(shè)的重要保障和關(guān)鍵環(huán)節(jié)，各級政府部門要始終繃緊數(shù)據(jù)安全這根弦，貫徹落實《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》等法律法規(guī)有關(guān)數(shù)據(jù)安全的規(guī)定和要求，建立本行業(yè)或本部門數(shù)據(jù)分類分級保護制度，不同類別不同級別數(shù)據(jù)采取不同安全保護措施；制定本行業(yè)或本部門重要數(shù)據(jù)清單目錄，重要數(shù)據(jù)重點保護；明確各級部門數(shù)據(jù)安全責(zé)任機構(gòu)和負責(zé)人，加強數(shù)據(jù)收集、存儲、傳輸、處理、開放共享、銷毀等全流程安全管控；建立健全數(shù)據(jù)安全監(jiān)測防護及應(yīng)急處置機制、數(shù)據(jù)安全風(fēng)險評估機制、數(shù)據(jù)安全審查和審計機制，構(gòu)建集制度、管理、技術(shù)為一體的數(shù)字政府全方位安全保障體系。

4 總結(jié)

網(wǎng)絡(luò)安全是國家安全的重要組成部分，沒有網(wǎng)絡(luò)安全就沒有國家安全。為有效應(yīng)對復(fù)雜嚴峻的網(wǎng)絡(luò)安全形勢，政府部門在加快推進數(shù)字政府建設(shè)進程中，必須統(tǒng)籌發(fā)展和安全，抓制度建設(shè)，抓安全管理，抓人才培養(yǎng)，強安全意識，強技術(shù)防范，強數(shù)據(jù)安全，大力推進網(wǎng)絡(luò)安全關(guān)鍵技術(shù)研究和產(chǎn)業(yè)化，建設(shè)網(wǎng)絡(luò)安全綜合防護體系，才能推進產(chǎn)業(yè)高質(zhì)量發(fā)展，為更快更好實施網(wǎng)絡(luò)強國戰(zhàn)略保駕護航。