政府部門網絡安全問題及對策研究

魏若璇 任瑜玨

農業農村部信息中心 北京 100125

引言

近些年，數字經濟快速發展，人類社會邁入數字時代。為滿足數字時代人民對美好生活的新需求，我國加速推進數字政府建設。2022年《政府工作報告》中強調，要加強數字政府建設，推動政務數據共享。2022年中央全面深化改革委員會第二十五次會議審議通過了《關于加強數字政府建設的指導意見》，會中習近平總書記強調，要全面貫徹網絡強國戰略，把數字技術廣泛應用于政府管理服務，推動政府數字化、智能化運行，為推進國家治理體系和治理能力現代化提供有力支撐[1]。如果說數字技術是數字政府建設的關鍵支撐，網絡安全則成為數字政府建設的重要保障。當前，網絡安全形勢復雜嚴峻，在數字政府建設中，政府部門必須強化網絡安全、數據安全和個人信息保護，筑牢網絡安全防線，才能更好地全面提升政府效能、促進數字政府高效運轉，為建設網絡強國提供安全保障。

1 政府部門面臨的網絡安全形勢

在加快推進數字政府建設過程中，政府部門面臨的網絡安全威脅和風險日益突出，主要表現在以下4個方面。

1.1 國際網絡安全形勢復雜嚴峻

當前，網絡安全向政治、經濟、文化、社會、生態、軍事等領域傳導滲透，與傳統安全問題交織在一起，成為國家力量較量的重要領域。世界各國競相將網絡安全問題統籌納入國家安全戰略，制定出臺針對網絡空間安全的治理規則和戰略規劃，加大構建國家網絡空間安全的對抗力量和戰略儲備[2]。美國在2021年發布《5G網絡安全實踐指南》，指導使用5G網絡的單位和組織提高安全風險應對能力[3]。澳大利亞于2018年頒布《關鍵基礎設施安全法》，并在2021年推出關鍵基礎設施提升計劃，加強關鍵基礎設施安全保護[4]。歐盟于2019年發布《歐盟5G網絡安全風險評估報告》，于2020年出臺文件《5G網絡安全工具箱》，指導歐盟各國保障5G網絡應用過程中的網絡安全。

1.2 針對政府關鍵信息基礎設施的網絡攻擊事件頻發

“互聯網+政務服務”是推進數字政府建設的重要組成部分。“互聯網+政務服務”工作的開展，為政府部門辦公和人民群眾生活帶來了方便快捷，但近些年針對政府部門網絡和信息系統的網絡攻擊數量大幅增長，特別是關鍵信息基礎設施遭受的高級可持續威脅、勒索軟件攻擊、數據泄露等安全事件頻發。如2021年美國最大成品油管道運營商遭受勒索軟件攻擊，被迫關閉燃油管道系統，美國進入國家緊急狀態。2022年烏克蘭國防部、武裝部隊等多個軍方網站和銀行網站因遭受大規模網絡攻擊而關閉[5]，眾多關鍵基礎設施和重要網絡系統癱瘓，嚴重影響了烏克蘭的社會秩序。網絡攻擊的對抗強度雖然遠不及物理空間的武裝沖突，但針對銀行、通信、電力、供水、能源等關鍵信息基礎設施的攻擊，已經嚴重危害到人民生命健康，甚至是國家安全。

1.3 數據安全風險隱患突出

建設數字政府的主要目的是“讓數據多跑路、讓群眾少跑腿”，但隨著數據在建設過程中的不斷匯聚、整合、共享，數據已成為重要生產要素，面臨的安全隱患日益突出。一是數據的整合和開放共享能最大限度地挖掘數據價值，但可能帶來數據權屬關系不清、數據濫用等問題。二是海量政務數據的集中存儲增加了數據泄露風險，集中存儲后的各類政務數據將縮減黑客的攻擊搜索成本，成為其重點攻擊目標。三是公民個人信息泄露問題突出，姓名、身份證號、手機號等敏感數據甚至成為不法分子牟利的工具。據《第49次中國互聯網絡發展狀況統計報告》[6]顯示，截至2021年12月，有22.1%的網民遭遇個人信息泄露。

1.4 新技術新應用帶來新安全隱患

近些年，以大數據、人工智能、物聯網、云計算、移動互聯網、5G為代表的新興數字技術與各行業各領域各環節逐漸深度融合，但也帶來了新的安全隱患。譬如云計算服務的廣泛應用表面上節省了各單位的系統建設和運營成本，但資源的集中存儲和部署吸引了大量黑客注意力，阿里云等有關云平臺的數據泄露事件時有發生，涉及的數據規模大、類型多。新冠肺炎疫情期間，視頻會議系統在廣大政府部門的使用頻率大大增高，但其網絡安全保障卻常常被忽視，存在會議內容被竊聽、竊視風險。手機支付、“健康碼”、社交APP等移動互聯網技術的應用已悄然改變人民的日常生活，但大部分手機應用APP、微信小程序存在違法違規收集/獲取個人信息問題，“健康寶”“行程碼”等“生活必需品”的安全保障成為政府部門在數字化轉型中面臨的新挑戰。如西安“一碼通”曾多次崩潰影響市民出行，北京健康寶曾在使用高峰期間遭受境外網絡攻擊，這些安全事件的發生對政府部門的網絡安全管理和技術防護提出了更高要求。

2 政府部門網絡安全存在問題

2.1 網絡安全管理機制待完善

我國不斷健全完善網絡安全法律法規體系，《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《關鍵信息基礎設施安全保護條例》《網絡安全審查辦法》等法律法規相繼頒布和實施，網絡安全等級保護進入等保2.0時代，定級對象、安全要求、控制措施、分類結構等發生新增和變化，對政府部門做好網絡安全工作提出了更高標準。但由于不同行業、不同級別政府部門對網絡安全工作的重視程度不同[7]，部分單位缺少有關網絡安全、數據安全工作的管理制度和工作機制，忽視對信息系統供應鏈安全的管控，落實等級保護、商用密碼應用的工作措施不到位，無法滿足單位信息化建設快速發展的安全需求，導致各類安全隱患層出不窮。

2.2 網絡安全防范技術存在不足

政府部門中的網絡安全防御體系常以防火墻、入侵檢測、防病毒軟件等多種手段構成的靜態防御和被動防御為主，雖然防護有一定效果，但面對未知漏洞攻擊時，存在一定滯后性和被動性。部分政府部門網絡安全保障經費不足，無法滿足當前安全防護要求，如安全設備更新換代不及時、信息系統未能定期開展安全檢測、等保測評和整改等工作，導致存在較大安全隱患。大部分政府部門的安全設備和產品來源于不同廠家，每類安全設備存儲處理的數據類別、量級差異大，難以統一管理，運維人員需要每天分別登錄設備進行查看和分析，大大增加了管理和運維成本。

2.3 網絡安全意識待加強

部分政府部門管理人員網絡安全意識薄弱，在開展信息化建設工作時存在重建設輕運維、重使用輕安全的問題，未落實網絡安全與信息化建設“同步規劃、同步建設、同步運行”(以下簡稱“三同步”)要求，導致信息系統漏洞隱患多，存在源代碼缺陷、敏感信息暴露于互聯網、老舊系統不及時下線等問題，極易被黑客攻擊利用獲取系統權限和數據。部分工作人員安全防范意識不足，為方便信息系統使用設置復雜程度極低的弱口令，點擊下載釣魚郵件內容導致辦公終端中毒等事件常常發生，存在很大安全隱患。同時，政府部門的大部分政務信息系統面向廣大人民群眾提供服務，系統用戶覆蓋范圍廣、人群文化程度和安全意識差異大，增加了安全管控難度。

2.4 網絡安全專業人才保障不足

大部分政府部門存在網絡安全人才短缺的問題，一是網絡安全專職人員少，部分單位沒有專門負責網絡安全工作的部門，常常是信息化工作部門兼管網絡安全工作，網絡安全工作人員不是專職人員，需同時兼職大量其他工作。二是復合型人才少，高效的網絡安全防護離不開與系統業務工作的緊密結合，特別是應用層面的網絡安全。但實際情況中，熟悉部門業務工作的人不懂網絡安全，掌握網絡安全技術的人不接觸業務工作。三是大部分政府部門通過政府采購形式將系統開發和運維工作外包給第三方單位，但第三方單位運維人員的專業水平和網絡安全意識參差不齊，缺乏網絡安全方面知識儲備與防范技能，導致安全問題頻出。如運維人員為求系統穩定或者運轉效率常常不及時更新應用版本導致系統存在老舊漏洞，開發人員在公司服務器或者第三方代碼管理平臺存儲和上傳系統源代碼導致被攻擊者利用發現系統漏洞等事件時常發生。

3 網絡安全防范對策及建議

3.1 健全網絡安全制度規范

政府部門應建立網絡安全工作責任制，明確各部門網絡安全負責人，把安全責任細化落實到每個部門、每個崗位和每個人員。根據行業和單位特點，健全有關網絡安全、數據安全、密碼應用、公民個人信息保護、關鍵信息基礎設施保護相關制度和標準規范，確保各項措施切實可行。完善網絡安全審查、網絡安全預警通報、網絡安全事件應急處置工作機制，規范各項工作流程。建立網絡安全監督考核機制，將各部門網絡安全工作情況納入單位績效評價工作，督促各單位抓好網絡安全管理和整改落實。

3.2 加強網絡安全宣傳教育

考慮到政府部門的大部分政務信息系統面向人群廣的特點，建議充分利用國家安全日、網絡安全宣傳周等契機，開展廣泛的網絡安全知識宣傳與教育，通過動畫視頻、H5小程序、新聞媒體傳播等方式開展線上網絡安全知識普及，增強信息系統用戶的網絡安全意識；通過張貼和發放易拉寶、海報、宣傳手冊等生動形象的材料，以及邀請網絡安全行業專家授課的形式，在單位內部開展網絡安全宣傳教育，提升工作人員網絡安全防范技能；將網絡安全責任意識傳導到信息系統相關的供應鏈單位，與信息系統開發運維的第三方公司和人員簽訂安全保密協議，對有可能導致網絡安全事件發生的各類運維行為進行約束和防范。

3.3 重視網絡安全人才培養

網絡空間的競爭，歸根到底是人才的競爭。政府部門應加強對于網絡安全專業人才的培養，通過加大經費投入、提高薪資待遇等方式吸引專業人才就業；加強“政產學研用”深度融合，創新培養網絡安全管理和專業技術人才；鼓勵和支持本單位相關工作人員參與網絡安全、數據安全、網絡攻防等專業培訓和資格考試，建立一支既了解業務又懂網絡安全的強大人才隊伍。同時，建議加強與網絡安全技術單位和專業公司的溝通、合作，共享網絡安全威脅情報，提高聯防聯控能力。

3.4 構建綜合技術防御體系

1)建設網絡安全綜合態勢感知平臺。當前，政府部門信息系統數量不斷增多、系統規模不斷擴大，網絡“邊界”逐漸模糊化，為解決傳統安全防御手段邊界防護為主、被動防御為主的不足，建議政府部門根據單位實際情況建設集監測、檢測、預警、溯源、分析、處置為一體的網絡安全綜合態勢感知平臺，利用大數據、人工智能技術來全天候全方位感知網絡安全態勢，增強網絡安全防御能力。

2)加強信息系統安全建設。應按照“三同步”原則，加強信息系統建設前的網絡安全設計內容審查，確保信息系統設計方案中根據系統等保級別充分規劃了網絡安全防范措施，以及各項措施滿足網絡安全、數據安全、密碼安全等要求，增強信息系統自身免疫力。同時，定期開展網絡安全檢查或抽查，對下屬單位或部門的網絡安全責任制落實、網絡安全制度規范完整性、信息系統安全防護措施落實、漏洞隱患整改加固等情況開展檢查評估，確保信息系統全生命周期的網絡安全管理到位，保障網絡和信息系統安全可靠運行。

3)定期開展安全檢測。應定期對網絡和信息系統特別是關鍵信息基礎設施開展風險評估，涉及網絡設備、安全設備、主機服務器以及在設備中部署的操作系統、應用、數據庫等，以及機房和供電系統，做到風險隱患早發現、早處置、早預防。定期開展終端安全檢查，安裝防病毒軟件，升級病毒特征庫，全盤查殺病毒，確保辦公終端安全。定期對信息系統開展漏洞掃描，排查操作系統、應用、數據庫、中間件等層面是否存在漏洞。定期開展滲透測試，模擬攻擊者行為對網絡和信息系統進行安全性檢測。定期對信息系統開展安全配置核查，包含賬號管理、口令管理、日志配置、認證授權、進程服務、外部端口等方面情況，確保系統各項配置安全合規。

4)落實等級保護制度。應持續推動下屬單位或部門落實網絡安全等級保護制度，特別是針對等保2.0新增的移動互聯網、物聯網、大數據平臺、工業控制系統等內容，要抓好制度落實。定期組織開展或督促各部門開展信息系統自定級、專家評審工作，并按照公安部門要求做好等級保護備案、測評、問題整改，確保網絡安全等級保護全覆蓋。針對關鍵信息基礎設施，要落實好關鍵信息基礎設施各項管理和防護要求。

5)加強應急處置能力建設。應建立網絡安全風險監測及應急處置協同機制，制定可操作性強的網絡安全、數據安全應急預案，定期開展應急預案演練，并在實踐中不斷修訂完善。以網絡安全“三化六防”(實戰化、體系化、常態化，動態防御、主動防御、縱深防御、精準防護、整體防護、聯防聯控[8])為目標，定期開展攻防實戰演習，全面檢驗網絡和信息系統抗攻擊能力，提升網絡安全監測防護能力和應急處置能力。

3.5 加強數據安全管理和防護

數據安全已經成為數字政府建設的重要保障和關鍵環節，各級政府部門要始終繃緊數據安全這根弦，貫徹落實《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》等法律法規有關數據安全的規定和要求，建立本行業或本部門數據分類分級保護制度，不同類別不同級別數據采取不同安全保護措施；制定本行業或本部門重要數據清單目錄，重要數據重點保護；明確各級部門數據安全責任機構和負責人，加強數據收集、存儲、傳輸、處理、開放共享、銷毀等全流程安全管控；建立健全數據安全監測防護及應急處置機制、數據安全風險評估機制、數據安全審查和審計機制，構建集制度、管理、技術為一體的數字政府全方位安全保障體系。

4 總結

網絡安全是國家安全的重要組成部分，沒有網絡安全就沒有國家安全。為有效應對復雜嚴峻的網絡安全形勢，政府部門在加快推進數字政府建設進程中，必須統籌發展和安全，抓制度建設，抓安全管理，抓人才培養，強安全意識，強技術防范，強數據安全，大力推進網絡安全關鍵技術研究和產業化，建設網絡安全綜合防護體系，才能推進產業高質量發展，為更快更好實施網絡強國戰略保駕護航。