摘要:数字政府建设是时代的要求,加快建设数字政府,发展数字经济,建设一个数字化、网络化、智能化社会,打造数字化生态,网络和数据安全显得尤为重要。在数字政府建设过程中,要提升全社会特别是政府部门的网络安全意识及贯彻落实网络安全等级保护制度的行动力,建设良好的网络安全生态环境,护航数字政府发展。本文重点从数字政府建设过程中的数据安全、系统安全、设备安全等方面分析了存在的问题,提出了建设性的意见建议。

  互联网时代,基于现代计算机、网络、通信等技术的支持,政府机关日常事务处理,信息的收集、发布,公共管理事务逐步在数字化、网络化的环境下进行,新技术、新应用促进国家治理的网络化、数字化、智能化,以新一代信息技术为支撑的国家行政管理形式应运而生,能够全面提升政府在相关领域的履职能力,形成现代治理新模式,即数字政府。

  数字政府的建设离不开网络的支持,网络在具体应用中不可避免会面临网络安全问题。早在2018年4月20日至21日,习近平总书记在全国网络安全和信息化工作会议上发表讲话:没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障,将网络安全的地位上升到国家安全的地位。网络安全是政府部门和人民群众需要共同面对和解决的问题,为宣传网络安全相关知识,提高全民网络安全意识,每年的网络安全宣传周期间,以“共建网络安全,共享网络文明”为主题,围绕重点领域和行业的网络安全问题、社会热点问题,举办一系列主题宣传活动,让更多人了解和掌握网络安全防范方法,提高网络安全人人有责的意识。

  1.数字政府建设过程中面临的网络安全问题

  数字政府建设过程中的网络安全问题,一是在对电子政务等平台收集到的个人或企业信息要确保其安全性,不得随意泄露收集到的个人或企业信息,也就是数据安全问题,“十四五”规划中也提到要“保障国家数据安全,加强个人信息保护”;二是电子政务系统安全方面,平台建设、使用、维护等方面要保证系统设备的安全,包括软件、硬件安全,管理上的安全,管理制度完善、管理人员齐全、人员背景要清楚,严格按照网络安全等级保护2.0标准去做各项工作。

  1.1数据安全

  数字政府建设是时代的要求,在数字政府建设的过程中必然涉及一些电子政务平台及App的开发和使用,这当中又涉及平台本身的安全性和平台中数据的安全性,尤其现在普遍存在的App过度收集用户个人信息问题,作为政府部门在平台建设使用维护过程中对于合法合规收集到的个人信息要保证其安全性,同时要避免过度收集个人信息问题,否则一旦出现问题会造成负面影响,按照《数据安全法》规定,要求国家机关为履行法定职责的需要收集、使用数据时,应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行;同时对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供.

  1.2存储安全

  数字政府建设过程中产生的数据以及网站、系统等收集的数据要保证存储安全,数据作为核心资产,安全的存储是数据保护的防线,通常采用数据加密和认证授权的管理技术来解决数据的安全存储,在实际的具体操作中,数据采用的加密算法很重要,不能通过简单的攻击破解就让数据泄露,认证授权的管理员一定要根据工作需要和范围给予相应授权,不可以超范围授权。

  1.3应用安全

  数据具体在应用过程中,例如某单位使用的系统中的数据,仅限于工作的需要来查询、使用数据,设定好使用人员,坚决不能让工作不需要的人员访问相关数据,同时授权访问人员不能将数据用作工作以外的其他用途,也要对数据有一定的监测机制,一旦发现异常使用数据行为要根据相关规定进行处理。所以对数据采集、使用单位、人员的业务要有约束性规定,对个人信息的各项处理工作一定要在合法合规的情况下进行。

  1.4设备安全

  通过分析相关网络安全事件,可以清晰地认识到新型基础设施建设发展中设备安全、供应链的安全至关重要。充分认识到关键信息基础设施往往是网络战中的首要攻击目标,通过拒绝服务攻击、高级可持续攻击、漏洞利用、钓鱼攻击、供应链攻击等多种攻击方法组合,对电力设施、广播电视网络等关键信息基础设施造成致命的打击。

  1.5网站安全

  政府网站的安全问题需要得到有效保障,重要的是保证网站服务器的安全,往往服务器面临的安全问题有:恶意程序、网络攻击、数据库破坏等软件安全问题和服务器所处物理环境的温度、湿度、静电等环境因素的安全。

  1.6供应链安全

  数字政府建设过程中涉及的相关软件有的是第三方软件公司开发的,这就要求处于软件供应链上的软件设计与开发各个阶段,包括编码过程、工具、设备或供应链上游的代码、模块和服务上的安全,同时保证软件交付渠道的安全。

  供应链攻击针对企事业单位的外部合作伙伴、供应商或第三方服务商的相关工业技术产品在开发、交付、使用等环节进行破坏。为避免攻击事件的发生,一定要保证供应链的安全。数字政府建设过程中,相关单位或部门应该使用符合等级保护要求下的不得有恶意程序的设置的网络产品、服务,拥有发现安全威胁、漏洞立即采取补救措施的能力。

  1.7人员安全

  数字经济发展过程中对具体负责网络安全管理工作的人员来说,政治素质、法律素养、保密意识、专业水平等方面必须具备应有的要求。

  首先,政治素质要高,从思想上认识到网络安全工作的重要性,没有网络安全就没有数字政府的安全,数字政府的安全是国家安全的一部分,将国家利益放在第一要位,绝不能因为个人经济利益让国家利益、国家安全受到危害。网络安全作为国家安全总体观中的一部分,要切实重视网络安全,提高网络安全意识,贯彻落实网络安全各项规章制度。

  其次,网络安全相关人员要有一定的法律素养,知法懂法守法,从网络安全管理的角度出发,必要的网络安全等级保护相关法律法规要熟悉,避免因工作不到位引起不可承受的后果。

  第三,网络安全管理相关人员要有一定的保密意识,自身工作范围内的拥有权限的数据一定要管好守好用好,千万不可将数据泄露,掌握的系统账号也不可以借予他人使用。

  第四,第四,专业水平上,网络安全管理及技术人员要积极学习新技术跟上技术的发展、时代的进步,通过不断学习提高自身网络安全技术及管理水平。具有动态管理网络安全理念,要充分认识到随着网络系统的应用,新的威胁也可能随之产生,进而具备网络动态防御能力。

  1.8管理安全

  数字政府建设过程中,需要各类信息系统、平台、APP等的实现与支持,对这些信息系统、平台、APP等的安全管理显得尤为重要。

  第一是系统要有严格的使用制度,不同需求的人员分配不同的权限,杜绝超范围访问系统;第二,系统设置密码复杂度,不允许系统存在弱密码,降低系统的安全性;系统具有密码定期强制修改功能,避免长时间使用一个密码引起的不安全因素;第三,数据要有备份,万一发生系统数据灾难能够及时将数据恢复;第四,如果自行管理系统所在服务器,注意服务器所在电力、温度、湿度、静电等环境因素的保障,电子设备对环境的要求比较高,要避免因为环境因素导致服务器的瘫痪、数据的丢失等情况的发生。

  2.解决措施

  政府部门应当以总体国家安全观为统领,坚持安全可控与开放创新相结合,建立与数字政府相适应的网络安全综合防御体系。一是深入贯彻落实网络安全法律法规和各项制度要求,构建从制度、管理和技术有机衔接的数字政府网络安全综合防护体系。二是加强法律法规制定、队伍建设、人才培养、经费和装备保障、技术攻关、产业发展,建立网络安全综合保障体系。三是加强网络安全监管和侦查打击等工作,建立健全“打-防-管-控”一体化防御的网络安全保卫体系。

  2.1顶层设计

  领导重视,机构规范,人员齐全。

  领导自身要提高网络安全素养,从思想上重视网络安全,从行动上落实网络安全,建立数字政府网络安全领导体系,加强对网络安全工作的组织领导,建立专门网络安全管理机构,组织开展网络安全各项工作;制定网络安全规划和标准规范,保障网络安全保护措施与数字政府建设过程中实现“同步规划、同步建设、同步使用”的三同步原则;在数字政府建设中,将个人信息保护制度、数据安全保护制度、网络安全等级保护制度、关键信息基础设施保护制度有机衔接,统筹协调落实;严格落实有关法律法规,建立网络安全责任制和责任追究制度。

  此外,通过领导干部的数字素养提升来深入推进数字化发展,领导干部要有数字意识。中央网络安全和信息化委员会2021年10月印发的《提升全民数字素养与技能行动纲要》对领导干部等提出了要着重提升数字化治理能力的目标要求。因为领导干部数字素养与技能整体水平是赋能数字政府发展的重要环节,同时也决定了我国全民数字素养与技能提升的高度,领导干部要具备一定的数据思维,通过数据为相关决策做支撑。

  2.2加强定期培训或演练

  合理根据单位涉及的软、硬件系统本身以及相关业务数据本身培训网络安全知识。无论领导如何重视,单位如何培训,最关键的是具体负责网络安全工作的相关人员要将培训学习内容入脑入心,将网络安全责任真正担当起来,落实到具体工作中,做到安全管理、应用系统及相关数据的安全使用、存储等环节中;同时,相关网络安全工作人员要有终身学习的态度和行动来应对不断发展的网络安全技术和不断出现的网络安全新威胁。

  2.3落实网络安全等级制度

  各级政府机关要带头严格按照网络安全等级保护制度备案要求落实网络安全等级保护制度。按照《网络安全法》有关要求以及公安部牵头制定的网络安全等级保护政策和国家标准,深入开展网络安全保护工作,筑牢网络安全基石,建立良好的保护生态。按照《关键信息基础设施安全保护条例》等法律法规和有关政策文件,落实关键信息基础设施安全保护制度。从分析识别、安全防护、检测评估、监测预警、技术对抗、事件处置等方面,认定关键信息基础设施,强化关键信息基础设施安全保护。落实数据安全保护制度。按照《数据安全法》要求,建立数据分类分级制度,数据安全保护管理制度,数据流转、交易、出境等管理制度,数据安全检测评估、安全审查、出境安全评估、安全风险监测、突发事件应急处置和报告制度,从数据采集、存储、处理、应用、提供和销毁等各个环节,加强数据全生命周期保护。

  2.4网络管理人员自我能力的提高

  社会在进步,新知识、新技术不断涌现,如何在数字政府建设过程中保证自身涉及的业务安全,需要网络安全相关人员通过自己的努力不断提升网络安全管理水平,促进数字政府建设健康发展。

  2.5资金投入

  数字政府网络安全保障工作需要建立完善经费保障制度,加强网络安全投入、加强自主可控和创新工程安全管理、加强网络安全教育训练体系建设,建立完善网络安全人才发现、选拔、使用机制,加强网络安全教育训练和人才培养,所有的保障措施都需要经费的支持。

  2.6网络安全人才培养

  面对网络安全人才的缺乏,政府相关部门加大对网络安全人才培养院校的资金支持,加大对网络安全人才引进的优惠政策。加强网安全教育训练体系建设,建立完善网络安全人才发现、选拔、使用机制,加强网络安全教育训练和人才培养。

  2.7提升数据共享、数据分析能力

  (1)通过数据分析提高打击犯罪能力

  数字政府建设的核心是数据,目前,我们的数据共享机制也需要进一步提高,同时对各类数据进行整体分析的角度、维度都有发展的空间。例如,在分析某住户的煤气、水、电等数据时,发现该用户每个月没有煤气、水的费用支出,但是用电量非常大,这可能就是疑点,因为现在的电信网络诈骗当中经常会用到的设备GOIP。

  (2)通过数据分析发现安全隐患

  大数据时代,要充分挖掘数据带给政府、社会的价值。数字政府建设过程中的网络安全问题研究中,应该也必须包含数据的安全使用及分析数据的价值。例如我们的用水数据,在用水量监测中,如果发现某段管网某个时间有高于平时很多的用水量,就需要考虑是否该管网段有漏水情况发生,在一些智能化小区,智能化用水中,是同样的道理可以发现是否有漏水情况发生,所以要充分利用数据拓宽数据分析的角度、维度,挖掘出数据的价值,为相关决策作数据上的支撑。

  3.结束语

  本文对数字政府建设过程中的网络安全问题主要从数据安全、系统安全等角度进行了分析。针对存在的网络安全问题,提出了顶层设计、加强定期培训或演练、落实网络安全等级保护制度、网络管理人员能力提高、资金保障、网络安全人才培养、提升数据共享、数据分析能力等方面解决网络安全问题的措施在不断推进。

更多精彩,请关注“官方微信”

11.jpg


 关于国脉 

国脉,是大数据治理、数字政府、营商环境、数字经济、政务服务、产业服务等领域的专业提供商。创新提出“软件+咨询+数据+平台+创新业务”五位一体服务模型,拥有营商环境流程再造系统、营商环境督查与考核系统、政策智能服务系统、数据基因、数据母体、产业协作平台等几十项软件产品,长期为中国智慧城市、智慧政府和智慧企业提供专业咨询规划和数据服务,运营国脉电子政务网、国脉数字智库、营商环境智库等系列行业专业平台,广泛服务于发改委、营商环境局、考核办、大数据局、行政审批局、优化办等政府客户和中央企业。


责任编辑:ouruijia