对我国电子政务建设中发展与安全问题的几点认识 作者:国际关系学院/马芳

党的十八大以来,我国开启新一轮行政体制改革,电子政务建设作为政府职能转变的关键环节,必将迎来新一轮的勃兴,更将成为衡量国家竞争力水平的重要标志。依托“互联网+”战略深化电子政务的发展既是开展政府管理创新的必要之举,多措并举应对电子政务信息安全更是完善我国信息安全治理的应有之义。

我国电子政务建设与发展的基本情况

1. 十余年建设与发展的阶段性成果

以2002年“国家信息化领导小组”通过《关于我国电子政务建设的指导意见》为标志,我国电子政务发展十余载,取得了阶段性成果。一是网络基础设施进一步完善。我国电子政务网络基础设施架构基本上实现了由“三网一库”的结构向政务内外网结构的转变,其中国家电子政务内网建设稳步推进,全国电子政务外网统一平台基本建成。二是政务业务应用进一步深化。从最初的推动政府上网,到后来开展业务应用,再到当前的业务应用信息化,我国电子政务业务应用出现了质的深化。三是网上公共服务质量进一步提高。一方面政府门户网站数量稳步增长,目前全国政府门户网站数量已超8万。另一方面,在线公共服务质量逐步提高,在移动政务平台的迅速普及下,在线公共服务一体化加速,回应社会关切更迅速,“网上办事”赢得民心。

2.“十二五”电子政务发展的新特点

近五年在《“十二五”国家政务信息化工程建设规划》、《国家电子政务“十二五”规划》的统筹指导下,各类电子政务的创新应用不断涌现。一是基于云计算的电子政务公共平台建设取得积极进展。在“十二五”推动“云计算服务优先”模式的要求下,各地政府加快基于云计算的电子政务公共平台的建设和应用。经过几年的发展,电子政务平台已从云计算建设的“拓荒期”发展为电子政务云的“实践应用期”,条块分割、信息孤岛的网络建设现象有所缓解,集中管理、共享协作的政务云平台优越性渐显。二是电子政务的优化升级助推“智慧城市”发展进入新高潮。电子政务驱动着数字城市的发展,物联网、移动互联网和云计算等技术加持下的电子政务直接推动着数字城市向更高阶的“智慧化”发展演变。目前,我国“智慧城市”已经由多部门试点项目进入了落地阶段。截至2015年9月,住建部公布的智慧城市试点多达290个。三是全球趋势下我国政府数据开放开始起步。随着大数据时代的到来,数据的资产性凸显,政府数据开放成为全球趋势,在一些国家甚至上升为国家战略,有效推动了公共数据的开放应用。在我国,上海于2012年推出了国内第一个数据开放平台,之后,北京、武汉、无锡、佛山等城市也都上线了数据开放平台,我国数据开放进入起步阶段。

3. 近两年地区行业竞相发展呈现新的态势

2015年以来,政府相继提出“互联网+”战略、《促进大数据发展行动纲要》等顶层设计,电子政务蓬勃发展。从地区看,北京、上海、广州和深圳等一线城市依然是国内电子政务发展建设的领航者,青岛、南京、郑州等城市发展迅速。从行业看,教育、医疗卫生、就业、社会保障等民生方面的政务应用系统不断成熟,提高了政府服务社会的能力。从电子政务依赖的技术手段上看,云计算、物联网、下一代互联网、智慧城市、大数据等新技术不断应用到电子政务的发展中,改善了电子政务发展的技术环境。

我国电子政务存在的主要信息安全问题

由于电子政务承载着国家运行与服务民生的重要信息,随着国家电子政务应用的不断发展,其面临的信息安全风险也日益凸现。

1. 信息系统自身安全防护能力较薄弱

由于建设初期主要以项目形式推进,缺乏统一的协调规划,再加上信息技术更新换代快,导致我国电子政务信息系统整体存在着明显的安全隐患。一是服务器自身安全防护不足。一方面是主流操作系统的网络安全漏洞修补滞后,杀毒软件病毒库未及时更新;另一方面是网络攻防技术此消彼长,旧的安全防护技术无法适应新的技术威胁。二是部分政务系统的边界界定不清,内外网数据可控交换考虑不足,为后期交叉使用移动存储介质埋下数据泄露隐患。三是部分管理员安全技能与意识不足,网络安全设备的安全配置不恰当,安全防护体系建设薄弱,预警与响应能力不足。四是数据存储传输未得到全面的安全保障,敏感数据普遍缺少实质性的安全防护措施。

2. 技术装备与运维服务供应链安全长期存在

随着全球化的深入发展,电子政务项目的供应商已从单一供应商逐步发展为多级的全球供应链,电子政务政府采购对象已由总包商分发至来自全球各地的分包商。全球供应链的复杂性使得政府部门对于电子政务系统的自主可控力度日益削弱,供应链环境下的电子政务安全已经成为我国当前面临的主要信息安全问题。一方面是核心技术受制于人。我国电子政务自主品牌严重不足,操作系统、关键芯片和核心软件主要依赖进口,主要电子政务方案架构在国外技术和产品基础之上,不仅难以避免如“棱镜门事件”中被植入“后门”的风险,也面临着他国对我停止授权、禁售、禁运的威胁。另一方面,电子政务网络与系统安全事件频发。除自主可控问题外,我国政府计算机病毒感染率常年高企,并呈逐年上升之势。针对我国重要信息系统的境外高强度有组织攻击也愈演愈烈。值得注意的是,核心技术受制于人的风险与信息技术的威胁近来有相互结合的趋势,政务系统面临的安全形势不容乐观。

3. 法规制度不健全致使电子政务信息安全管理滞后

电子政务安全问题不仅是技术问题,也是管理问题。我国电子政务信息安全管理问题不容忽视。一是信息安全组织管理不健全。在国家层面,目前我国整体的电子政务管理仍实行多部门多头管理,缺乏统一的部门统筹规划。在地方层面,各个省市部门各自为政,组织机构相对独立,与上级部门联系不紧密。在部门层面,许多机构缺乏内部管理制度和人员责任制度,电子政务系统管理混乱。二是信息安全法律法规制定滞后。虽然我国已颁布多部电子政务的法律法规,但立法针对性不强,电子政务信息安全专门法规缺失,不能适应电子政务的快速发展形势,如针对电子政务信息安全公开与保密的法律法规仍处于空白状态。三是信息安全管理评价体系缺失。我国还未建立标准化的电子政务信息安全管理制度规范,应急预案不明晰,安全责任制未落实,评估与审核履行不严格,未形成有效的信息安全管理评价体系。

我国电子政务发展面临的现实安全风险

随着“十三五”的到来,我国电子政务发展进入“互联网+”和大数据融合与互动新阶段。与此同时,数据开放与共享将给电子政务的安全保障带来新的挑战。

1. 政府数据开放离不开安全保障

作为数据资源的集大成者,政府开放数据对于促进“大众创业,万众创新”具有重要作用,但在这个过程中如何处理好“开放与安全”的关系是我国电子政务发展面临的首要问题。一方面,数据开放标准难界定。目前,企业与地方政府尝试通过数据分类改善数据治理,如阿里巴巴提出数据的使用可用不可见,贵州大数据战略关于红数据、黄数据与绿数据的分类等。但是我国政府数据开放的标准化仍未完成,统一的数据开放平台还未建成,在数据开放过程中,往往出现“不该开放的数据开放”的错误,威胁我国国家安全。另一方面,数据使用难保障。政务数据一旦被开放即面对所有市场主体的共享与使用,相当大部分将被用于商业化。由于政务数据中个人敏感数据占据较大比重,如何保障企业在追逐商业利益中正确使用个人数据,提高数据服务的透明度,将是数据开放中隐私保障问题的重中之重。

2. 电子政务云带来新的安全挑战

随着政府部门政务信息的大量公开,应用的聚集,用户数量的增加,政务信息资源开发利用的深入,电子政务云工作模式应运而生。电子政务云是电子政务建设的新机遇,对于减少低水平重复建设,共享数据资源具有重要意义,但也带来了新的信息安全挑战。一是各业务系统自身安全防护能力不一,影响云平台整体安全。云平台往往承载着众多业务系统,一旦某一业务系统存在安全隐患,将影响所有运行在云平台上的业务系统。二是电子政务云系统结构日益复杂,给网络安全防护带来挑战。异构的网络环境不仅给集中化安全管理带来了困难,网络防护产品的配置更易产生“百密一疏”的问题。三是云平台中应用繁多,应用安全和数据安全成为关注重点。由于云平台应用软件的安全测评和审查仍未全面推进,因而更易成为恶意代码和木马病毒传播的通道。

3. 智慧城市建设面临新的安全风险

由于智慧城市建立在互联网与大数据基础之上,因此数据安全是智慧城市建设的重要基础,信息安全问题成为大数据时代智慧城市建设的首要难题。在当前智慧城市如火如荼地建造过程中,配套的信息安全建设却遭到“冷落”。一是智慧城市信息安全顶层设计缺失。我国智慧城市发展已五年有余,但是信息安全标准建设仍不成熟,信息安全规划不明,导致智慧城市建设问题频出。二是智慧城市新技术防护能力滞后。智慧城市以感知层、网络层、数据层、应用层为基本架构,面临着物联网、大数据、云计算、移动互联网等新兴技术多层级多类别的信息安全问题风险。但当前的智慧城市建设在凸显“智慧”的同时并未同步针对新技术提出新的信息安全解决方案,安全隐患重重。三是区域发展不平衡,短板突出。在互联互通的智慧城市建设中,区域发展不平衡致使信息安全保护措施深入程度不同,发展程度低的城市自然处于信息安全洼地,木桶效应突出。

加强我国电子政务信息安全工作的建议

电子政务信息系统安全保障是一项技术与管理相结合的系统工程,建议采取以下措施进一步强化电子政务面临的信息安全问题。

1. 强化顶层设计是第一要务

为适应电子政务面临的安全威胁,我国应抓住《国家信息化发展战略纲要》出台的契机,尽快推进自上而下的电子政务信息安全改革。一是制定电子政务信息安全的纲领性法律。重点做好政务数据开放与共享、个人信息保护相关的法律规范。二是完善电子政务信息安全管理组织体系。在中央网信办下设立国家层面的电子政务信息安全协调小组,统筹负责各部门与地方的政务系统信息资源管理与监督实施。三是加强政务信息安全的标准化建设,包括电子政务产品的政府采购标准、电子政务管理部门的制度建设标准以及电子政务基础设施的安全审查标准,促进全国电子政务信息系统安全工作统一有序地进行。四是在推进顶层设计的同时,特别要处理好效率与成本之间的关系,克服电子政务盲目建设的弊端,多整合少重建,盘活已有资源是关键。

2. 夯实技术支撑是核心要义

“核心技术是国之重器”,当前我国电子政务核心技术、核心元器件等严重依赖国外,网络安全隐患不断增加。因此,当务之急是依法推动自主知识产权电子政务产品的自主研发,有目标、有步骤地提高中国电子政务系统的国产化水平,特别是在基础性、关键性的核心技术上取得重大突破。同时,利用好政府采购的市场作用,对拟采购的电子政务软硬件产品提出自主可控的量化要求,推动我国构建自主可控的电子政务信息安全产业体系。

3. 多措并举确保供应链安全是关键

供应链的全环节的本质决定了我国电子政务信息安全不可能“闭门造车”,而是在落实好核心供应链技术自主可控上,积极引进国际上广泛、通用、新兴的先进技术,认真消化并为我所用。在这个过程中,要力求用好已有管理资源,完善整个供应链的安全防控体系。如积极利用安全审查和测评认证的手段,确保产品来源可信;定期开展安全检测与风险评估,确保系统运用安全;最后要利用好“国家安全审查”这把尚方宝剑,维护国家安全的“底线”。

4. 加强专业人才培养是基础

网络安全归根到底是人的安全,电子政务安全建设更是如此。目前我国电子政务信息安全专业人才的培养具有明显的滞后性,严重阻碍了电子政务的深化发展。为此,需要从能力建设与意识培养两方面着力:首先要建立电子政务人才信息安全教育与培养制度。政府应加强与高等院校的合作,构建差异化的电子政务信息安全人才教育与培养体系。其次是搭建电子政务专业人才的素质能力框架,充分利用社会力量,推行电子政务人才岗位资格认证体系。此外,在培养和提高电子政务信息安全专才之外,还需提高现有公务系统内部人员的安全保密意识,引其对电子政务信息安全问题的高度重视。

 

2017-01-13 10:19
来源:中国信息安全杂志(2016.10)
热门推荐更多
热点新闻更多