互聯網時代河南省電子政務信息安全保障建設研究

文/張志剛

1 引言

為適應傳統公共行政的轉型，2002年，國家信息化領導小組審議通過了《關于我國電子政務建設的指導意見》。自此，電子政務自此成為我國信息化推進的戰略重點之一。經過十幾年的發展，電子政務經歷了單機、聯網、辦公自動化、政務信息化階段。特別是近年來得益于智慧城市建設的快速發展，作為智慧城市最重要的一環，電子政務在縣級以上的政府部門基本實現了全覆蓋。有效地提升了人民群眾的辦事效率和政府的決策水平。

然而高效率伴隨著高風險，隨著電子政務網絡中各類信息系統的增加，安全隱患愈加突出，電子政務系統中涉及的大量公民個人信息、公眾權益、國家利益、事關國家安全、社會安定等重要信息，成為敵對勢力、間諜以及黑客覬覦的目標。加之電子政務系統在城市系統運作過程中占有重要的權重，其安全問題更將會形成對智慧城市體系的逆向威逼。

近年來隨著新技術的發展，網絡攻擊、信息泄露等事件的不斷出現。2015年，谷歌漏洞泄露30 萬用戶信息；2017年，新型“蠕蟲式”勒索軟件肆虐全球，全球 99 個國家政府、學校等政務網站遭到了廣泛的破壞。2018年3月臉書5000 萬用戶信息遭到泄露；6月，圓通快遞10 億條快遞信息泄露；8月，華住連鎖酒店2.4 億條個人入住信息遭泄露。據CNCERT 監測報告，2018年我國境內約7000個網站被篡改，其中被篡改的政府網站有543 個；約5.3 萬個網頁被仿冒，其中政務類網站約1.33 萬個。

河南省幅員遼闊，人口眾多，2017年，全省GDP 在全國排名第五。如此規模的大省，哪怕僅為維護社會的正常運行，政府電子政務系統的信息安全需求也是不言而喻的。一旦這些公共服務領域的網絡遭受攻擊和破壞，有關國家安全、社會安定的關鍵信息就會被泄露、篡改，甚至一些關鍵設施如交通、電力、醫院、金融被破壞，極易引發社會動蕩。尤其是在河南省當前不斷擴大對外開放，積極融入“一帶一路”戰略的實施以及加快自由貿易區的建立的時期，加強電子政務信息安全建設這一任務更加緊迫。

2 河南省電子政務信息安全存在的問題及成因

2.1 基礎設施存在問題及原因

電子政務的實現依托的是現代通信技術。不可否認，近年來我國的通信設備產業有了較大的發展，但遺憾的是，由于歷史原因，目前河南省的通信網絡核心設備如交換機、路由器、網關、防火墻以及相關的軟件系統絕大部分都是國外廠商生產的。如河南省普通電話網絡的交換機采用的就是歐洲電信廠商的產品。這些核心進口設備缺乏有效的監控和跟蹤測試，無法保證網絡的安全可控性，給網絡通信帶來極大的安全隱患。軟件系統方面受制于廠商，存在的安全漏洞甚至是“后門”都無法及時有效排除，這給網絡入侵者提供了便利。

其次，電子政務系統涉及政府的多個部門如交通、金融、能源、水電、人社、農林等等。這些部門在近年來的信息化建設中都建立了自己的業務數據網絡及相應的安全防護系統，對于電子政務系統而言，一方面這些部門業務節點之間比較分散，另一方面所采取的技術手段也有所不同，存在兼容問題。這給建立河南電子政務統一內部網絡造成技術和資金困擾。河南省電子政務的骨干網早已提出，但進展緩慢，這其中一個主要原因就是新舊系統兼容銜接問題所致，這不僅影響當前的進度，同時也導致下一代其他涉密網絡部門的接入。

2.2 新技術發展帶來的安全問題及原因

隨著技術的進步，網絡通信設備進入更新換代階段，5G、IPV6、大數據、云計算等技術開始應用和普及，與此同時，信息入侵、攻擊、竊取手段也越來越隱蔽，不易被發現。2010年，席卷全球工業界的“震網病毒”可以輕易突破專有隔離網絡的限制，對使用了微軟操作系統的計算機進行破壞。2017年，新型勒索病毒襲擊了全球150 個國家和地區，特別是提供公共服務的學校、醫院、政府專網成了重災區，損失巨大。

現有骨干網絡大都采用光纖技術通信，而最新的光纖竊聽技術可以在不影響原有數據通信的基礎上輕易獲取通信信息，同時計算機運算速度的增加也使得對加密數據的破解成為可能，特別是量子計算機的發展，對于現有的加密算法不啻是一場災難。

近年來，云計算、大數據得到了廣泛發展和應用，相當多的企事業單位把自己的系統部署到了“云”上。“云平臺”在帶來便捷性、共享性以及高性能性的同時，其網絡安全防范卻沒有得到重視。特別是云網絡訪問流量的復雜性也給攻擊者提供了更易于隱蔽的便捷性。據 CNCERT 監測數據，2018年針對“云平臺”的網絡攻擊、木馬和惡意程序占到整個網絡安全事件的50%以上，特別是涉及國計民生、企業運營和個人數據的攻擊更是受到了入侵者的青睞，借助于“云平臺”作為中繼或跳板進行網絡攻擊成了新的隱藏攻擊來源的方式，云平臺已成為發生網絡攻擊的重災區。

2.3 管理、組織存在的問題及原因

電子政務系統的安全基礎在于軟硬件設備的基礎設施，但對系統的安全管理也是極其重要的一環。即使基礎設施性能再好、安全性完全達標，但如果管理疏忽、責任不明晰、安全規則落實不到位，也難以保障電子政務信息安全。信息安全管理、組織存在的問題主要有管理機構權責不清、職責不明、管理人員重視程度不夠、相關人員安全素養不達標、安全管理規范、制度不健全等。

電子政務信息安全的組織管理存在問題主要原因在于管理機構沒有整合、如有的單位設有網信辦、信息中心、辦公室等多個部門，這樣就導致政令不統一，甚至出現相互矛盾的情況。其次，一些黨員領導干部認為安全問題屬于技術范疇，對信息安全的建設和管理重視程度不夠，信息安全管理工作的規程規范不完善。導致相關工作人員的日常工作沒有受到指導和約束，長期以來形成工作散漫、不認真、不重視的現象。第三，相關安全管理人員安全素養不達標，一些單位的安全管理人員不是專業技術人員，不僅缺乏安全防范措施和防范意識，而且缺少解決實際問題的專業能力。日常安全檢查不到位，安全軟件更新不及時，導致設立的安全防范技術手段成了擺設，嚴重影響到安全防范措施的落實。

2.4 法律法規問題

我國由于信息化發展歷史較短，有關信息安全、網絡安全的法律法規、安全標準相比發達國家差距較大，更不用說政府部門制定的日常安全保障制度了。2017年6月，我國的《網絡安全法》才正式實施，2017年5月，《網絡產品和服務安全審查辦法( 試行) 》頒布，2018年5月《國家網絡安全事件應急預案》出臺。總體來說，我國信息安全的法律建設相對滯后。

“沒有規矩，不成方圓”，法律法規制度的缺失和不完善，導致了我國電子政務信息安全缺乏安全標準和制度約束，現有的一些法律和制度也沒有與時俱進，存在內容不夠全面深入，立法不足等問題。網絡安全保障體系仍然不健全，還沒有形成統一規范的綜合法律、監管行業技術標準的綜合配套法律體系，大數據監管方面的法律尚是空白，缺乏詳細責任機制和監管等問題，這也對我國的電子政務信息安全防范保障帶了影響。

3 互聯網時代河南省電子政務信息安全保障策略和建議

3.1 加強信息安全頂層設計

電子政務信息安全不僅僅是一個單純的技術性問題，而是一個全面系統的規劃，涉及到安全技術標準、發展規劃、總體框架、各個信息系統的整合、匯集，法律法規的保障、財政支持等等要素。這就需要決策部門從整體的角度去分析和設計，在頂層設計上進行宏觀指導，形成統一的全領域流通的核心制度。這就要求有專門的的部門負責電子政務信息安全的總體規劃和設計。目前河南省在電子政務的實踐中，河南省工業和信息化廳、河南省通信管理局、河南省專用通信局、河南省互聯網信息辦公室、河南省發展和改革委員會對于電子政務的規劃和發展都有相應的政策和文件，總體看來較為分散，不利于統籌設計。建議從這些部門中選取或整合相關部門形成統一的單獨組織機構，專門負責電子政務的頂層設計，形成主次分明的結構體系，從上而下對信息安全涉及的方方面面進行推進，強化權威性和執行力，立足全局，站在戰略的角度，對電子政務進行統一規劃，分層設計，確保更為有效地形成信息安全的保障體系。

3.2 建全信息安全技術保障機制

信息安全的保障機制包括信息安全技術體系、運維體系、管理體系等方面的內容。

從河南省的實踐情況看，安全技術體系方面，一方面根據現有技術完善電子政務安全的網絡結構，政務內網和外網的訪問控制要嚴格控制訪問權限，強化防火墻安全策略。另一方面在軟硬件上盡可能地多采用具有自主知識產權的產品，提高核心技術的自主創新能力。

運維體系方面要建立廣泛、系統的監測布控點，嚴格執行等級保護和分級保護制度，強化軟件系統安全突發事件的發現和救援恢復處理能力，重視安全預警，建立完整的安全應急預案，提高安全事件的及時發現和介入水平。

管理體系方面要成立專門的電子政務安全管理機構，按照管理目標、組織程序、人員、管理范圍進行行政一體化設計。對領導干部和工作人員的職責要劃分清楚，制定嚴格的內部安全管理制度和安全監管標準。日常安全管理要形成常態，信息收集處理的流程要責任到人，落實常規考核制度，形成權威有效的安全管理體系。

3.3 強化相關工作人員信息安全素養

信息安全素養包括專業技術素養和安全意識素養。安全管理的相關人員的綜合業務素質和能力對信息安全系統的正常運行起到決定性的作用。一方面要加大引進專業技術人才，盡量選取精通信息技術安全和熟悉政府業務的復合型人才，加強人才儲備。另一方面，要增加對現有工作人員的專業培訓，通過講座、繼續教育、參觀、競賽答題等豐富的教育活動，提高現有人員的信息安全技術，強化實踐應用，強化專業知識的考核。另外也要加強對部門工作人員的思想教育，提升安全意識，通過多種形式的教育手段，制定公平合理的獎懲制度，不定期的安全評估，解決現有員工存在安全意識淡薄的問題。

3.4 完善信息安全法律體系支撐

電子政務信息安全相關法律法規的建設和完善是構建信息安全保障體系的重要組成部分，全面細致的法律法規有助于推動電子政務信息安全形成有法可依的安全標準體系和運行機制，也是實現網絡強國戰略的一部分。當前我國歸于信息安全的法律法規相對滯后，存在諸多不足。建議：首先繼續完善相關法律法規，加大法律規范治理體系建設力度。積極探索新技術應用如區塊鏈、大數據監管的法律建設，明確信息數據的生命周期、使用范圍、主權界限；嚴格個人信息、涉及國計民生等重要相關信息的使用規范和違法界線。同時加強網絡監管，對違法犯罪行為要嚴厲打擊，做到有法可依，違法必究，彰顯法律權威。第三，強化網絡犯罪的普法教育，多渠道向社會公眾宣傳相關法律法規，提高公民法律意識和綜合素質。第四，河南省地方政府也要加強電子政務信息安全的管理制度建設，建立適合本地的信息安全保障制度和規范，明確主體權責，做好設備、人員、技術、管理等方方面面的制度規劃建設。從根源上確保電子政務的信息安全。

3.5 增加信息安全財政支持

電子政務的建設離不開資金，目前河南省用于建設電子政務的資金主要來源于政府財政。為進一步加強電子政務信息安全保障體系的建設，提升安全保障能力，就需要加大有關信息安全方面的資金支持力度。我們提出如下建議：

（1）政府設立電子政務信息安全建設專項基金，并保證專款專用。

（2）理順財政申請流程，對申請、審議、審批一系列程序進行規范。

（3）建立長效資金支持計劃，電子政務信息安全的建設是一個長期的過程，這需要政府在資金支持上要保證穩定性和長期性。

（4）強化財政監督和審計，對資金的預算、申請、審批、項目驗收等各個環節進行全程跟蹤。

對項目建設的各個階段嚴格審計，防止在信息安全建設過程中出現違法違紀行為。

4 結論

電子政務信息安全建設不止涉及技術手段，同時還涉及到管理、人員、資金、法律等多方面因素。文章立足于河南省本地電子政務信息安全建設的具體情況，分析電子政務信息安全的不足，多維度對頂層設計、法律體系支撐，財政支持，技術保障、信息安全素養，安全管理制度等方面進行分析研究，并提出了電子政務信息安全建設的解決方案和對策建議，為地方公共管理轉型和提高行政效率建言獻策。