數字化改革背景下電子政務數據安全研究

宋光信　高和平

關鍵詞：數字化改革；數據安全；電子政務

中圖分類號：TP393 文獻標識碼：A

文章編號：1009-3044（2023）14-0076-04

0 引言

近年來，浙江省完成了“最多跑一次”改革[1]，加強數字化改革，推動政務服務向更加高效、便捷、智能化的方向發展。而溫州的數字化改革走在了全省的前列，這也表明了政府對于數字化改革的重視，但在數據安全方面，仍然存在許多挑戰。電子政務所涉及的數據信息越來越多，網絡數據安全也變得越來越重要，如何確保在數字化改革過程中保護數據完整性、可用性、可靠性和保密性，這是一個重要的問題。隨著《中華人民共和國數據安全法》的立法和實施，我國將數據安全提升到了非常高的高度，電子政務系統需要更加嚴格地執行數據安全相關要求，保護政府和百姓個人的數據安全。

1 電子政務數據安全概述

1.1 數據安全的概念

現在是數字化的時代，數據的安全性是至關重要的，在網絡環境中，保護數據的安全性是指防止未經授權者訪問電子政務數據、修改或刪除數據的一種技術手段。為了實現數據安全，可以采取多種措施，如使用密碼、數據備份、加密和審計等技術或管理手段。這些措施的目的是保證數據的完整性和保密性，防止數據泄露或被未授權者訪問[2]。

1.2 數據安全管理的基本原則

1）保密性

保密性是指保護電子政務數據不被未經授權的人員訪問。為確保保密性，政府部門需要采取一系列措施，如電子政務系統的訪問控制、數據加密、身份認證等，以防止未經授權的人員訪問或獲取政務數據。在政府部門中數據又分為了涉密數據和非涉密數據，對于涉密數據是需要進行物理隔離，嚴禁接入互聯網的[3]。而非涉密數據往往是一些涉及老百姓生活方方面面的數據，也是需要進行嚴格保密，只對獲得授權的用戶開放使用。

2）完整性

完整性是指保證電子政務數據不被篡改或破壞。為確保完整性，政府部門需要采取一系列措施，如防篡改技術、數字簽名等，以防止政務數據被篡改或破壞[4]。

3）可用性

可用性是指確保電子政務數據在需要時能夠訪問[5]。為確保可用性，政府部門需要采取一系列措施，如備份和恢復、災難恢復等，以確保政務數據在需要時能夠訪問。

2 數字化改革背景下電子政務數據安全現狀分析

2.1 溫州市電子政務的發展歷程

2013年溫州成為國家試點智慧城市，近期又在全省之先開展數字化改革，溫州政府始終把滿足人民對美好生活的向往作為數字政府建設的出發點和落腳點，打造智慧便捷、公平普惠的數字化服務體系，讓百姓少跑腿、數據多跑路[6]。溫州市政府陸續推出了多個電子政務項目，包括政務服務網、政務公開網、在線辦事大廳等，不斷提升政府服務的便捷性和效率。溫州政府成立了大數據管理局等信息化管理部門，夯實了基礎網絡建設、同時對基礎信息資源平臺等設施不斷完善。在2015年以前各個委辦局獨立建設信息化系統，采購軟硬件部署服務，出現百花齊放百家爭鳴的現象，但網絡安全問題逐漸暴露出來。溫州市政府非常關注網絡安全，溫州市公安局等部門每年都會牽頭對政府網站的網絡安全進行檢查，從而提高網絡安全的意識及推進網絡安全事宜。隨著數字化改革的進行，各個政府部門之間的數據實現了互聯互通，但數據也是政府最重要的數據，一旦數據被非法利用或泄漏勢必會對政府造成不良影響。經過“最多跑一次”改革、數字化改革等幾輪的信息化更新迭代，業務系統對外訪問的簡易拓撲結構如圖1所示，各個委辦局保留了用戶可以直接訪問其出口的方式，同時各個委辦局通過接口和市大數據管理服務局進行數據交換完成了數據調用，省級部門通過市大數據管理服務局進行數據交換，從而實現了浙政釘、支付寶等訪問政務系統的需求。從拓撲中可以觀察到，各個委辦局有2個出口，結構較為復雜。

2.2 溫州市電子政務數據安全存在的問題分析

在數字化改革的背景下，電子政務已經成為政府服務人民群眾的重要手段，但是電子政務數據安全面臨諸多問題，包括但不限于以下幾點：

1）網絡復雜

各個委辦局各自為戰，分別管理相應的電子政務系統，由于網絡的復雜性，資產梳理不清，極有可能存在漏網之魚。黑客有可能突破保護機制，從而獲取電子政務系統中的重要數據，甚至可以修改、刪除重要數據。這一點尤其需要引起重視，因為安全問題的風險隨著互聯網的快速發展而不斷增加。政府部門需要梳理好網絡資產，并對相應網絡資產加強安全的防護和監測，及時發現和處理網絡安全事件，從而保護電子政務系統中的數據安全。

2）資產梳理不清

網絡資產是指所擁有的各種網絡設備、網絡系統、網絡數據等。如果相關部門的網絡資產梳理不清，將會帶來一系列問題和危害。網絡資產中包括重要數據、系統、應用程序等，如果沒有進行全面的梳理和管理，將會引發多種安全威脅，如數據泄露、系統漏洞、黑客攻擊等。這些安全威脅可能會給政府部門帶來不可估量的損失和影響。

3）安全管理缺失

一些政府部門領導對數據安全的意識不到位，缺乏對電子政務系統的有效安全管理，缺乏有效的安全策略，系統安全性嚴重受到影響。在政府中仍然存在著使用微信等軟件發送涉密數據的事件，可見其意識并未到位。政府部門應該認真對待這一問題，從上至下，并建立完善的安全管理體系，以確保電子政務系統的安全。此外，政府部門還應該加強對員工的安全培訓，提高領導和員工的安全意識，以降低安全風險。

4）內部管理不善

內部管理不善也是導致電子政務數據泄露的一個重要原因。在2022年曾在網絡上大量傳播公民個人信息的截圖、個人行動軌跡等敏感信息，這些信息均是從內部人員中流傳出來的，政府部門需要加強對內部員工的管理，建立相應的規章制度，加強對內部員工的監督和管理，以防止內部員工泄漏數據，從而保障電子政務系統的數據保密性。

5）安全技術滯后

目前電子政務系統中，安全技術尚未完全發揮作用，仍存在安全漏洞，使系統容易遭受攻擊。因此，政府部門需要加強對電子政務系統安全技術的研究與應用，以提高系統的安全性。同時，政府部門還應該積極引進先進的安全技術來提高電子政務系統的安全性。

6）安全方面投入不足

在建設信息化項目時，往往只注重建設完成后的功能，卻忽略了安全方面的建設。應在項目規劃階段同步規劃安全方面的投入，如安全設備、項目安全方面的建設。在信息化項目上設定一定的資金比例作為安全方面的建設，同時可以通過引入安全服務等方式彌補自身的不足。

7）外包服務管理不到位

部分政府部門通過購買第三方服務的方式對信息化項目進行管理，存在著外包公司一手包辦的情況，重要的網絡架構、系統管理員賬戶密碼等都由外包公司掌控。而外包服務的公司工作人員素質、技術水平參差不齊[7]，極有可能導致系統數據泄露、被篡改、丟失等情況。

8）外部攻擊

除了黑客攻擊，還有可能存在外部組織或個人對電子政務系統的攻擊。這些攻擊可能涉及政治、經濟、軍事等方面，造成的危害將更加嚴重。特別是境外組織出于政治等原因在特殊的日期發起對政府系統的攻擊行為，從而造成極大的負面影響。

3 數字化改革背景下電子政務數據安全的對策思考

當前電子政務數據安全面臨極大挑戰，政府部門應從安全管理、技術水平、技術手段、安全文化、加強與安全領域的合作、數據安全演練和評估等方面進行考慮。

3.1 加強安全管理

政府部門應該加強對電子政務系統安全管理，制定有效的安全策略，建立有效的安全監控體系，加強安全管理是保障電子政務數據安全的基礎。政府部門需要明確安全責任、建立安全管理組織機構、制定安全管理制度等，以確保電子政務數據安全。《中華人民共和國數據安全法》于2021 年6 月10 日通過，自2021年9月1日起施行[8]。在大數據時代背景下，政務數字化轉型快速發展，依據該法建立更為周詳的數據安全管理制度，明確數據責任主體，為電子政務數字化改革發展提供法治保障。政府部門應仔細研讀《中華人民共和國數據安全法》，并嚴格按照數據安全法相關規范要求執行。

3.2 提高安全技術水平

政府部門應該采用較新的安全技術，如數據加密、數據備份、數據安全審計等，來保護電子政務系統中的數據安全。這些技術的應用將有助于提高系統的安全性，減少甚至避免信息泄露等問題的發生。對于政府信息化管理人員是電子政務系統的直接管理者，應在穩定的前提下，主動提高自身的技術水平以應對日新月異的網絡環境。

3.3 技術手段

技術手段干預也是保障電子政務數據安全的重要手段。政府部門可以采用安全審計、漏洞掃描等技術手段，及時發現并解決安全問題，以保障政務數據的安全。技術方面分別從業務系統、數據接口、基礎系統層面、算法、運維等不同維度提出對策。

1）業務系統方面

首先，業務系統應設置用戶登錄入口的二次驗證，可以有效減少因為弱口令或者密碼被盜造成的業務系統權限被竊取的情況。其次，應在頁面上設置水印，可以有效追查通過拍照、截圖等方式造成的數據泄露，在可行的情況下，應部署數據脫敏系統，對業務系統中的敏感數據進行脫敏處理后進行顯示。再次，業務部門應定期對所使用的業務系統進行安全性評估、壓力測試等，確保業務系統的穩定性，并根據業務重要程度設置備份系統，條件允許的情況下建立災備系統，確保數據的可用性。

2）數據接口方面

隨著“最多跑一次”、數字化改革的推進，各個部門之間打破了數據的壁壘實現了讓數據多跑路，群眾少跑路的效果。而各部門之間的數據交互是通過接口實現的，接口方面除了能穩定進行交互外，數據的保密性也值得關注。部分政府部門的接口可能存在無加密、無校驗的方式，以及傳輸方式采用HTTP等明文傳輸方式，存在著較大的數據泄露可能性。除了要加強數據加密交換外，還應加強對接口的監控，應監控接口的穩定性以及接口調用次數，對于同一時間密集調用的情況，應做好日志記錄，及時備查。

3）基礎系統方面

各個政府部門應積極配合網信、公安完成網絡安全方面的要求，如定期開展自查工作而不是為了應付檢查，定期開展等級保護測評工作，對整個系統進行一次徹底深入的體檢。安裝部署入侵檢測系統并及時關注處理報警信息，IDS可以對網絡中的流量進行分析和處理，可以識別和過濾掉惡意流量，提高網絡的安全性能和可靠性。在部署和安裝IDS時，需要合理設置和配置，定期更新和升級，及時檢測和修復漏洞，避免出現誤報或漏報等情況，確保IDS的有效性和可靠性；對于網站業務系統部署網站應用防火墻并開啟攔截功能，網站應用防火墻可以記錄Web應用程序的所有訪問記錄和攻擊行為，為安全事件的溯源和分析提供有力的證據支持，保護政府網站；在網絡邊界處部署安裝防火墻，對整體網絡進行防護。在系統層面開啟備份功能，除了業務系統的定期數據備份外，在系統層面也應定期進行備份，從而確保數據的可用性。

4）使用國密算法

在數據安全保護中，加密算法是一種重要的手段。國密算法，即商用密碼，已經成為我國的基礎密碼技術之一[9]。在業務迭代更新的過程中，應逐漸使用國密算法代替原有的加密算法，從算法上保障數據的保密性。在數據傳輸過程中，可以使用國密算法對數據進行加密。比如，可以使用SM4算法對數據進行加密，以確保數據在傳輸的過程中不被第三方竊取或篡改。同時，也可以使用SM3算法對數據進行哈希處理，以確保數據的完整性。在數據存儲方面，可以使用國密算法對數據進行加密。比如，可以使用SM4算法對數據進行加密存儲，以確保數據在存儲過程中不被第三方竊取或篡改。同時，也可以使用SM3算法對數據進行哈希處理，以確保數據的完整性。

5）技術運維方面

遠程運維能夠提高運維效率，為運維人員提供便利，特別是應急處理時能及時連接到政府電子政務系統。但是，數據安全問題一直是遠程運維面臨的重要挑戰。大部分政府單位運維人員會使用向日葵等遠程運維軟件，存在著網絡被暴露、操作未被審計等風險。政府部門應建立完善的運維管理制度，并加強遠程訪問控制，如部署安裝VPN設備、堡壘機等設備、設置訪問權限和密碼策略，對遠程連接進行加密傳輸，采用雙因素認證等措施，減少非法訪問的風險。此外，還應該定期檢查遠程訪問日志，及時發現異常行為，并及時采取措施防止數據泄露等風險。對內部網絡及服務器端的所有操作進行記錄和審計，并在網絡層面禁用向日葵等遠程運維軟件。

3.4 建立安全文化

政府部門應該在電子政務系統中建立安全文化，加強對工作人員的安全教育，讓工作人員更加重視數據安全，并采取有效的安全措施，以確保電子政務系統的安全性。定期開展數據安全培訓，提高政府工作人員的安全意識，以降低安全風險。同時，政府部門還應該加強對公眾的安全宣傳，提高公眾的數據安全意識，以增強社會對電子政務系統安全的關注度。

3.5 加強與安全領域的合作

政府部門應該加強與安全領域的合作和交流，共同探討電子政務數據安全的問題，并探索新的安全技術和理念，為電子政務數據安全提供更好的保障。如加強和安全公司的合作，引入安全公司的最新安全方面的成果，以提高政府的整體安全水平。積極加強和高校間的合作，加大對高校安全方面的支持，讓高校反哺社會，通過高校的社會服務為政府提供技術支持。

3.6 數據安全演練和評估

政府應該制定詳細的數據安全演練和評估計劃，包括演練和評估的目標、流程、時間表和人員分工等。在制定計劃時，應該考慮到不同情況下的應急響應和處置方案，以便在發生安全事件時能夠及時應對。根據需要選擇合適的演練和評估工具，比如可以選擇安全測試工具、漏洞掃描工具、安全檢測工具等。政府應該安排專業的安全團隊進行數據安全演練和評估，這些團隊應該由專業的安全專家和技術人員組成。他們能夠通過模擬真實的攻擊場景和安全事件，評估政府的數據安全保護能力。并定期進行數據安全演練和評估，以確保數據安全保護能力得到不斷提升。

4 結束語

本文研究了數字化改革背景下電子政務數據安全的問題，并提出了對策建議。未來，政府部門應該加強對電子政務系統安全的重視，建立完善的安全管理體系、加強對政府工作人員和公眾的安全培訓，以保障電子政務系統的安全。同時，政府部門還應該加強與安全領域的合作和交流，探索新的安全技術和理念，為電子政務數據安全提供更好的保障。只有通過全面加強電子政務數據安全的管理，才能更好地為公眾提供便捷、高效、安全的政府公共服務。