政務單位網絡安全綜合合規及評估

榮曉燕 劉海峰 劉國偉

摘 ? 要：政務單位需要正確實施網絡安全控制，有效抑制網絡安全風險，落實到位國家各項網絡安全要求。由于電子政務領域無專門的法律規范，與電子政務有關的法律法規等政策文件以及安全標準等要求分散在計算機、互聯網、信息化建設、軟件保護、電子簽名等領域，為有效協助政務單位落實國家和有關部門各項網絡安全要求，文章基于《中華人民共和國網絡安全法》各項原則要求，以網絡安全相關法律法規等政策文件為依據，簡單總結了政務網絡運營者網絡安全合規事項，介紹了政務單位網絡安全綜合合規評估流程，供政務單位參考。

關鍵詞：網絡安全;政務單位;電子政務;信息系統;合規

中圖分類號： TP393.08 ? ? ? ? ?文獻標識碼：A

Abstract： Based on e-government departments need to correctly implement cybersecurity control， effectively restrain cybersecurity risks， put in place all cybersecurity ?requirements of the state， because of the e-government field without special legal norms， laws and regulations related to the e-government policy documents are scattered in computer， internet， information construction， software protection， electronic signature， and other fields. This paper briefly summarizes the cybersecurity compliance matters of the operators of the government network and information system， and introduces the comprehensive compliance assessment process of the government cybersecurity for the reference of the e-government departments.

Key words： cybersecurity; administrative unit; E-government;information system; compliance

1 引言

國家推進“互聯網+政務服務”、政務信息系統整合共享、實施信息惠民工程等信息化發展戰略，使政務網絡及信息系統迎來了重要的發展機遇，與此同時遭受網絡攻擊的態勢也愈發明顯，網絡安全形勢嚴峻。安全風險是政務網絡及信息系統需要面對的問題，攻擊者利用系統存在的漏洞以及系統管理上的缺陷，利用APT攻擊等手段對政務網絡及信息系統實施攻擊滲透，造成政務信息系統頁面篡改、數據泄露和公眾服務癱瘓等問題，嚴重損害社會公眾利益，影響了政府、國家的形象。政務網絡安全防護工作任重道遠，正確實施安全控制，有效抑制網絡安全風險，首先應落實到位國家各項網絡安全要求[1～4]。

隨著《中華人民共和國網絡安全法》（本文簡稱《網絡安全法》）的實施，各級政府、各個行業逐漸細化《網絡安全法》的各項基本要求，陸續制定并發布了各項配套的網絡安全法規及標準體系。由于電子政務領域無專門法律規范，與電子政務有關的法律法規等政策文件以及安全標準等要求分散在計算機、互聯網、信息化建設、軟件保護、電子簽名等領域，對政務單位網絡安全綜合合規履職提出了挑戰。本文分析了國內網絡安全相關的政策和標準，基于《網絡安全法》的各項原則要求，簡單總結了政務網絡及信息系統運營者網絡安全合規事項，介紹了政務單位網絡安全綜合合規的評估流程，供政務單位網絡安全履職合規參考。

2 政務網絡安全法律法規及標準簡介

政務網絡安全的工作依據是國家法律體系以及相關的標準文件。

法律體系包括了法律、行政法規、地方性法規和行政規章、地方行政規章四個層次。法律是由全國人大及其常委會制定的，《網絡安全法》是我國網絡安全領域的基礎性法律，詳實而全面地設定了網絡運營者的安全保護義務，其他幾個主要的網絡安全相關的法律包括《中華人民共和國密碼法》《中華人民共和國突發事件應對法》《中華人民共和國安全生產法》《中華人民共和國電子簽名法》《全國人大常委會關于維護互聯網安全的決定》等;行政法規是國務院制定頒布的規范性文件，《計算機信息系統安全保護條例》是第一部涉及計算機信息系統安全的行政法規，施行安全等級保護制度。其他行政法規包括《計算機信息網絡國際聯網管理暫行規定》《電信條例》《互聯網信息服務管理辦法》《計算機信息系統安全保護條例》《計算機軟件保護條例》《商用密碼管理條例》等;地方性法規是由省、自治區、直轄市、省會所在地的市以及國務院批準的較大的市的人大和人大常委會制定的，以北京市為例，如《北京市信息化促進條例》;行政規章也叫部門規章，是由國務院的組成部門和直屬機構在各自的職權范圍內制定的規范性文件，與地方性法規處于一個級別，網絡安全經常接觸到的部門規章包括《網絡安全審查辦法》《APP違法違規收集使用個人信息行為認定方法》《計算機病毒防治管理辦法》《計算機信息網絡國際聯網管理暫行規定實施辦法》《計算機信息系統安全專用產品檢測和銷售許可證管理辦法》《國際通信設施建設管理規定》《計算機信息網絡國際聯網出入口信道管理辦法》《中國互聯網絡域名管理辦法》《互聯網IP地址備案管理辦法》等;地方行政規章是省、自治區和直轄市人民政府，以及省人民政府所在地的市的人民政府和國務院批準的較大的市的人民政府制定的規范性文件，以北京市為例，地方行政規章包括《北京市公共服務網絡與信息系統安全管理規定》《北京市公共安全圖像信息系統管理辦法》等。

標準體系包括了國家標準、行業標準和地方標準三個層面。網絡安全標準種類多樣，層次復雜。按適用范圍分類，標準分為國家標準、行業標準和地方標準。國家標準在全國范圍內統一。行業標準是在全國范圍的某一行業內統一，國務院標準化行政主管部門已批準發布了60多個行業的標準代號。地方標準是指在某個省、自治區、直轄市范圍內需要統一的標準。按照約束性分類，標準分為強制性標準和推薦性標準;按照領域類別，信息技術類和信息安全技術類都會涉及網絡安全標準。被社會所熟知的《信息安全技術 網絡安全等級保護基本要求》（GB/T 22239-2019）（簡稱等保2.0）為信息安全技術類國家推薦標準，該標準雖為非強制性的推薦標準，但在實際工作中作為等級保護工作的標準依據。同等情況諸如《信息系統密碼應用基本要求》（GM/T 0054-2018）《信息安全技術 個人信息安全規范》（GB/T 35273-2020）等推薦標準，在實際工作中也作為依據標準。

3 政務單位網絡安全合規的主要事項

網絡安全工作涉及面廣，覆蓋難度大。基于《網絡安全法》各項原則要求，通過分析國內網絡安全政策和標準，總結了政務網絡及信息系統運營者網絡安全合規的要點及主要要求[5～11]。

3.1 實施網絡安全等級保護

按照網絡安全等級保護相關要求，依據重要性和遭受損壞后的危害性對網絡及信息系統進行定級備案，設計及建設應符合等保2.0技術要求，選擇符合國家規定條件的測評機構開展等級測評及整改。建立并逐步健全自上而下的網絡安全管理機構和網絡安全應急機構，架構設置盡量與行政隸屬關系一致，借助行政手段確保網絡安全政策的順利實施。建立人員管理、信息資產管理等安全制度，制定操作規程，規范設施建設、系統和網絡平臺建設、應用系統開發、運行管理等重要環節，形成由網絡安全規章制度、操作規程等構成全面、系統的信息安全管理制度體系，保障網絡安全穩定運行，有效地應對網絡安全事件，防范網絡違法犯罪活動，維護網絡數據的完整性、保密性和可用性。完善各方安全責任矩陣，做好網絡安全教育培訓，制定并簽訂安全生產目標管理責任書，促使員工重視網絡安全，落實網絡安全責任，落實網絡安全事件應對，做到“預防為主、安全發展”。

3.2 對關鍵信息基礎設施實行重點保護

強化關鍵信息基礎設施保護，在網絡安全等級保護的基礎上實行重點保護，應設置專門的安全管理機構和安全管理負責人;定期對網絡安全相關人員進行網絡安全教育、技術培訓及技能考核;對重要系統和數據進行容災備份;制定網絡安全應急預案，并定期組織演練;對于重要領域采購的網絡產品和服務，可能影響國家安全的，應當通過網絡安全審查。

3.3 加強網絡安全風險管理和應急處置

加強網絡安全保障能力，針對信息資產面臨的威脅以及威脅利用脆弱性導致安全事件的可能性，結合安全事件所涉及的資產價值來判斷安全事件一旦發生對組織造成的影響，定期開展風險的測試和評估，為進一步優化安全控制、業務連續性分析、應急恢復等工作提供風險管理的依據。建立單位網絡安全信息通報機制，自主監測涉及單位管理范圍內的信息資產，提高網絡安全保障能力。科學開展網絡安全應急響應，建立單位網絡安全應急預案體系，做好冗余災備，開展應急演練工作，做好安全日志記錄，對突發網絡安全事件進行有效地處置，并按照公共互聯網網絡突發事件預案要求，對安全事件、安全預警等各類網絡安全信息進行分級響應報送。

3.4 落實數據安全保護

對數據進行分級分類;加強個人數據安全保護，收集使用個人信息必須合法正當必要，收集使用公民個人信息目的明確知情同意等;在中國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估。

3.5 加強密碼應用安全

只能使用經國家密碼管理機構認可的商用密碼產品，不得使用自行研制或者境外生產的密碼產品。應對數據進行加密保護，對用戶的網上行為進行數字簽名安全認證等。

3.6 建立網絡平臺信息內容審查機制

主動發現、停止傳輸、報告網絡數據中的違法信息，建立信息系統內容審核與過濾制度，加強對信息發布的管理與審核工作;落實互聯網信息服務實名制，提供互聯網信息服務時，按照“后臺實名、前臺自愿”的原則，要求互聯網信息服務使用者通過真實身份信息認證后才能注冊賬號。

3.7 遵守軟件正版化及網絡安全產品強制認證要求

加強軟件正版化工作，規范正版軟件管理，采購密碼產品、計算機病毒防護產品、列入《網絡關鍵設備和網絡安全專用產品目錄》的網絡安全產品和設備時，需要符合國家產品強制性要求。

3.8 加強終端安全管理

加強終端安全管理，對終端技術設備可能發生的風險各個方面有效管控，通過制度與技術有效結合的方式，減少、杜絕各類風險事件的發生。

4 政務單位網絡安全綜合合規評估

政務網絡運營者依法履行網絡安全崗位職責時，應積極采用問卷調查等自查方式，或者尋求與權威安全咨詢部門合作等方式，對本單位的網絡安全綜合合規風險，從管理到技術層面進行全面、系統和客觀的評估和檢查。綜合合規評估應覆蓋資產控制、安全組織、應急響應與安全事件、運行管理、人員安全、訪問控制、終端安全等領域，做到“應評盡評、綜合評估、風險可控”。

綜合合規流程可分為摸清資產、明確依據、確定方法、檢查評估、差距分析、問題整改六大部分閉環工作，如圖1所示。

（1）梳理政務單位信息資產，清理僵尸信息系統（網站），分析梳理數據，加強信息系統（網站）域名和IP地址的管理，通過資產分析，厘清工作范圍。

（2）根據工作涉及的范圍，確定網絡安全綜合合規評估的政策依據以及工作落實要求。

（3）確定網絡安全綜合合規的標準、方法及評估方式。標準、方法應支撐各項合規要點，對于常見的信息系統等級保護評估，評估領域應覆蓋信息資產的管理安全檢查、物理安全檢查、網絡安全檢查、應用安全檢查、終端安全檢查等。

（4）實施檢查評估，一般采用人工訪談、文檔審核、上機核查、現場查看和滲透測試等方法。

（5）根據檢查評估情況，對合規事項是否有缺失以及合規落實情況進行差距分析。

（6）根據綜合合規差距分析，對存在的網絡安全風險及問題實施安全控制整改，有效組織管理和技術風險控制;開展網絡安全專項培訓，提高安全操作和管理水平，增強安全意識，以查促改，以查促防。

4 結束語

網絡安全是一個長遠復雜的問題，沒有網絡安全就沒有國家安全，網絡安全管理需要長期的不懈努力。網絡安全合規是規定動作和基線要求，政務網絡及信息系統運營者應高度重視并認真貫徹落實，履職合規，將各項網絡安全管理工作落實到位，從而保障電子政務安全。

參考文獻

[1] 潘峰，劉旭，王巖，趙婉.北京市政務云運行管理系統的設計[J].電子技術與軟件工程，2017，（11）：183-184.

[2] 王健錚，李宗建.網絡法治下《網絡安全法》的法律實踐研究[J].現代農業研究，2019（07）：119-120.

[3] 張寶增.企業合規管理體系的建設探究[J].中外企業家， 2020（10）：41-42.

[4] 杜國功.加強合規管理推動法治央企建設[N].經濟參考報， 2020-03-30（006）.

[5] 曹興.《網絡安全法》監管下的網絡安全管理合規及法律對策研究[J].法制博覽，2018（06）：93-94.

[6] 許可.數據安全法：定位、立場與制度構造[J].經貿法律評論， 2019（03）：52-66.

[7] 劉春泉.網絡安全法的合規投入是一種投資[J].中國外資， 2017（13）：26-27.

[8] 趙赤，王力.全球視野下我國企業合規的完善研究[J].湖南廣播電視大學學報，2020（02）：55-62.

[9] 劉玉琴.國有企業合規體系建設的思考[J].中外企業家， 2020（09）：26.

[10] 李媛.政府門戶網站安全政策標準研究及建議[J].網絡空間安全，2018，9（10）：39-44.

[11] 張志偉，張賀勛，吳澤江，陳遠平，袁峭.基于云計算的數據安全與隱私保護[J].網絡安全技術與應用，2019（07）：63-64.