论文部分内容阅读
政务云平台是是数字政府的重要组成部分,为社会公众提供一体化的安全、高效、便捷、优质政务服务,对加快政府数字化转型和治理能力现代化具有重要意义。以山西省政务云为研究对象,结合相关文献研究,从管理和技术两大层面简要分析了山西省政务云面临的安全问题,在执行国家政策、加强数据安全管理、提高网络安全防护能力、人才培养、区块链技术等方面提出有针对性建议。
习近平总书记指出,没有网络安全就没有国家安全。政务云平台是数字政府的重要组成部分。加快构建政务云安全体系,为社会公众提供一体化的安全、高效、便捷、优质政务服务,践行了“以人民为中心”的发展理念,为政府数字化转型和治理能力现代化提供强有力的基础保障,对深化政府部门“放管服”改革、优化营商环境、推动我国经济高质量发展具有重要意义。
一、山西省政务云发展现状
为加快山西省政务云建设,2018年以来,山西省人民政府先后出台了《山西省级政务云平台建设推进实施方案》《山西省政务信息化项目建设运用管理办法》《山西省加快数字政府建设实施方案》《山西省数字政府建设规划(2020-2022年)》等文件。自山西省级政务云平台正式启动以来,截止目前,省直政务信息系统“迁移上云”已基本完成,实现应迁尽迁。业务应用接入量持续增加,省直部门信息系统统筹集约建设效果显著,“重复投资、条块分割、烟囱林立、信息孤岛”等问题得到有效解决,提升了政府各部门行政管理能力、协同服务能力和社会治理能力。《网上政务服务能力调查评估报告(2019)》显示山西省的服务指数由71.33上升到81.08。在2019年可信云大会上,山西省政务云平台获得了全国“十佳政务云”和“可信政务云认证”称号。
政务云已成为政府向公众提供网络信息服务的关键信息基础设施,涉及到的都是有關国家、社会公众的重要信息,提高其系统的安全性至关重要。2019年12月1日,等保2.0相关制度发布,对政府部门的信息系统开展网络安全等级保护成为安全防护的主要手段,有效地提升了政府信息系统网络安全保障能力。但在工作中也暴露出一些安全方面的问题,对政务云的安全造成威胁。
二、政务云面临的安全问题
(一)管理层面问题
一是安全意识不强,制度有待完善。部分地市和政府部门安全意识不强,对政务云安全工作重视不够,部分地市没有结合当地实际情况做好顶层设计,信息安全保密管理制度不健全,有的部门或单位虽建有安全制度但没有严格执行,安全保护策略滞后,这些问题都给政务云安全管理带来隐患。
二是安全人员配置与能力不足。一些经济相对落后的地区信息安全技术人员匮乏,现有的运维人员的技术水平参差不齐,导致在政务云建设过程中“重建设、轻安全”,一些政府单位的网络维护工作都是交给第三方单位,这也给政务云系统的运行带来风险。
(二)技术层面问题
一是数据面临泄露风险。政务云涉及数据到的都是有关国家、社会公众的重要信息,迁移上云后,容易成为国内外敌对势力、黑客攻击的目标。同时,大量的数据集中在政务云,数据在共享交换过程中要面临不同单位、不同的系统、多个交换节点等问题,各个信息系统的安全机制、人员技术水平不同,一旦有一个环节出现问题导致数据泄露,后果不堪设想。
二是核心技术面临缺失风险。在政务云平台的建设过程中,由于缺乏自主可控的云平台核心技术,一些系统安全问题逐新暴露出来,如稳定性差、故障多。据不完全统计,仅2020年5月至今,由于政务云平台故障造成山西省政府部门网站无法正常访问已达70多次故障,占比全省故障的60%。同时由于软件模块往往由不同厂商提供,组件一致性差,整个系统不具备可扩展性,很容易出现系统安全问题。
三是网络面临攻击的风险。当前网络攻击手段的多样化,针对政务部门的数据攻击方式和手段层出不穷,并且还有一些精准式网络攻击,这些都为电子政务的正常发展和网络安全带来了不小的麻烦。病毒也是影响网络安全的重要因素,它的破坏力强,在防范上也存在一定的难度。部分地市的政务云系统对病毒库和系统的升级滞后,加大了整个网络被病毒侵害的安全隐患。
三、建议措施
(一)严格执行国家相关政策
按照《国家安全法》《网络安全法》中对各职能部门、系统运营者、网络运营商、个人等规定有效履行各项职责任务,落实网络安全责任,全面提升政务云相关人员安全意识,加强统筹协调和顶层设计,强化业务指导和管理,推动形成管理合力。同时严格执行国家颁布的《电子行业15项国家标准报批公示》和《国家电子政务标准体系建设指南》,健全安全管理制度,及时更新制度,加强对机房和相关人员的管理,确保制度严格执行。
(二)加强数据安全管理
结合刚颁布的《数据安全法(草案)》,加快构建数据全生命周期安全管理体系,制定数据分级分类规范,对数据的操作权限进行分级确认,保证核心敏感数据的重点保护,如加密存储等。按照数据安全级别做好备份工作,同时加强对备份的数据校验,确保数据数据的完整性和可用性。数据安全治理可借鉴国内首个全服务化政务云安全项目“成都市政务云——数据安全治理项目”建设经验。为避免某个政务云平台宕机造成全部信息系统瘫痪的风险,政府部门可根据业务重要程度考虑多云策略,将政务云分别放在不同服务商的云平台上。
(三)提高网络安全防护能力
建设网络安全态势感知通报预警平台和网络安全综合实战平台,从实战出发,针对敌对势力、黑客的入侵攻击,开展实时监测。定期对信息系统进行病毒查杀,及时修复系统漏洞,升级病毒库,增抵御病毒的能力。严格按照等保2.0要求做好安全管理措施和技术保护。采用入侵检测、入侵防御系统、堡垒机和防火墙等安全防护设备和可信计算技术、自主可控的密码技术等技术进行联合防护,强化防护效果。
(四)加强信息安全领域人才引进与培养
结合山西省电子政务发展现状和规划,引进急需的信息化安全领域高端人才。鼓励信息化龙头和优势企业与山西高校建立人才实训基地,加快信息化安全领域专业人才培养,同时加强对现有技术人员的素养和技能培养,提高应急处置能力。加强信息化安全领域人才储备,原各政府部门的信息中心不乏优秀的既懂技术又熟悉业务的人员,可以合理利用这部分人才资源充实到信息化安全人才队伍中,为电子政务安全发展提供强大的人才智力支撑。
(五)加快区块链技术在政务云中的应用
近几年,区块链技术快速发展,应用领域已经延伸到金融、物联网、教育、智能制造等多个领域,区块链技术通过分布式记账方式,建立一种安全、可信的链式数据结构,具有去中心化、不可篡改、可溯源等技术特性。这些技术优势使政府部门能够在一个透明的平台上处理大量信息,可以有效应对政务云平台“一站式服务”“网上办事”“政务信息公开”等公共服务,鼓励有条件的地市加快区块链技术在政务平台的应用,提升政务云安全保障能力。
习近平总书记指出,没有网络安全就没有国家安全。政务云平台是数字政府的重要组成部分。加快构建政务云安全体系,为社会公众提供一体化的安全、高效、便捷、优质政务服务,践行了“以人民为中心”的发展理念,为政府数字化转型和治理能力现代化提供强有力的基础保障,对深化政府部门“放管服”改革、优化营商环境、推动我国经济高质量发展具有重要意义。
一、山西省政务云发展现状
为加快山西省政务云建设,2018年以来,山西省人民政府先后出台了《山西省级政务云平台建设推进实施方案》《山西省政务信息化项目建设运用管理办法》《山西省加快数字政府建设实施方案》《山西省数字政府建设规划(2020-2022年)》等文件。自山西省级政务云平台正式启动以来,截止目前,省直政务信息系统“迁移上云”已基本完成,实现应迁尽迁。业务应用接入量持续增加,省直部门信息系统统筹集约建设效果显著,“重复投资、条块分割、烟囱林立、信息孤岛”等问题得到有效解决,提升了政府各部门行政管理能力、协同服务能力和社会治理能力。《网上政务服务能力调查评估报告(2019)》显示山西省的服务指数由71.33上升到81.08。在2019年可信云大会上,山西省政务云平台获得了全国“十佳政务云”和“可信政务云认证”称号。
政务云已成为政府向公众提供网络信息服务的关键信息基础设施,涉及到的都是有關国家、社会公众的重要信息,提高其系统的安全性至关重要。2019年12月1日,等保2.0相关制度发布,对政府部门的信息系统开展网络安全等级保护成为安全防护的主要手段,有效地提升了政府信息系统网络安全保障能力。但在工作中也暴露出一些安全方面的问题,对政务云的安全造成威胁。
二、政务云面临的安全问题
(一)管理层面问题
一是安全意识不强,制度有待完善。部分地市和政府部门安全意识不强,对政务云安全工作重视不够,部分地市没有结合当地实际情况做好顶层设计,信息安全保密管理制度不健全,有的部门或单位虽建有安全制度但没有严格执行,安全保护策略滞后,这些问题都给政务云安全管理带来隐患。
二是安全人员配置与能力不足。一些经济相对落后的地区信息安全技术人员匮乏,现有的运维人员的技术水平参差不齐,导致在政务云建设过程中“重建设、轻安全”,一些政府单位的网络维护工作都是交给第三方单位,这也给政务云系统的运行带来风险。
(二)技术层面问题
一是数据面临泄露风险。政务云涉及数据到的都是有关国家、社会公众的重要信息,迁移上云后,容易成为国内外敌对势力、黑客攻击的目标。同时,大量的数据集中在政务云,数据在共享交换过程中要面临不同单位、不同的系统、多个交换节点等问题,各个信息系统的安全机制、人员技术水平不同,一旦有一个环节出现问题导致数据泄露,后果不堪设想。
二是核心技术面临缺失风险。在政务云平台的建设过程中,由于缺乏自主可控的云平台核心技术,一些系统安全问题逐新暴露出来,如稳定性差、故障多。据不完全统计,仅2020年5月至今,由于政务云平台故障造成山西省政府部门网站无法正常访问已达70多次故障,占比全省故障的60%。同时由于软件模块往往由不同厂商提供,组件一致性差,整个系统不具备可扩展性,很容易出现系统安全问题。
三是网络面临攻击的风险。当前网络攻击手段的多样化,针对政务部门的数据攻击方式和手段层出不穷,并且还有一些精准式网络攻击,这些都为电子政务的正常发展和网络安全带来了不小的麻烦。病毒也是影响网络安全的重要因素,它的破坏力强,在防范上也存在一定的难度。部分地市的政务云系统对病毒库和系统的升级滞后,加大了整个网络被病毒侵害的安全隐患。
三、建议措施
(一)严格执行国家相关政策
按照《国家安全法》《网络安全法》中对各职能部门、系统运营者、网络运营商、个人等规定有效履行各项职责任务,落实网络安全责任,全面提升政务云相关人员安全意识,加强统筹协调和顶层设计,强化业务指导和管理,推动形成管理合力。同时严格执行国家颁布的《电子行业15项国家标准报批公示》和《国家电子政务标准体系建设指南》,健全安全管理制度,及时更新制度,加强对机房和相关人员的管理,确保制度严格执行。
(二)加强数据安全管理
结合刚颁布的《数据安全法(草案)》,加快构建数据全生命周期安全管理体系,制定数据分级分类规范,对数据的操作权限进行分级确认,保证核心敏感数据的重点保护,如加密存储等。按照数据安全级别做好备份工作,同时加强对备份的数据校验,确保数据数据的完整性和可用性。数据安全治理可借鉴国内首个全服务化政务云安全项目“成都市政务云——数据安全治理项目”建设经验。为避免某个政务云平台宕机造成全部信息系统瘫痪的风险,政府部门可根据业务重要程度考虑多云策略,将政务云分别放在不同服务商的云平台上。
(三)提高网络安全防护能力
建设网络安全态势感知通报预警平台和网络安全综合实战平台,从实战出发,针对敌对势力、黑客的入侵攻击,开展实时监测。定期对信息系统进行病毒查杀,及时修复系统漏洞,升级病毒库,增抵御病毒的能力。严格按照等保2.0要求做好安全管理措施和技术保护。采用入侵检测、入侵防御系统、堡垒机和防火墙等安全防护设备和可信计算技术、自主可控的密码技术等技术进行联合防护,强化防护效果。
(四)加强信息安全领域人才引进与培养
结合山西省电子政务发展现状和规划,引进急需的信息化安全领域高端人才。鼓励信息化龙头和优势企业与山西高校建立人才实训基地,加快信息化安全领域专业人才培养,同时加强对现有技术人员的素养和技能培养,提高应急处置能力。加强信息化安全领域人才储备,原各政府部门的信息中心不乏优秀的既懂技术又熟悉业务的人员,可以合理利用这部分人才资源充实到信息化安全人才队伍中,为电子政务安全发展提供强大的人才智力支撑。
(五)加快区块链技术在政务云中的应用
近几年,区块链技术快速发展,应用领域已经延伸到金融、物联网、教育、智能制造等多个领域,区块链技术通过分布式记账方式,建立一种安全、可信的链式数据结构,具有去中心化、不可篡改、可溯源等技术特性。这些技术优势使政府部门能够在一个透明的平台上处理大量信息,可以有效应对政务云平台“一站式服务”“网上办事”“政务信息公开”等公共服务,鼓励有条件的地市加快区块链技术在政务平台的应用,提升政务云安全保障能力。