沈慧
摘 要:電子政務(wù)外網(wǎng)(政務(wù)外網(wǎng))是政府的業(yè)務(wù)專網(wǎng),主要運行政務(wù)部門面向社會的專業(yè)性業(yè)務(wù)和不需要在內(nèi)網(wǎng)上運行的業(yè)務(wù)。電子政務(wù)外網(wǎng)和互聯(lián)網(wǎng)之間邏輯隔離。電子政務(wù)外網(wǎng)中心平臺有3個對外出口,分別是互聯(lián)網(wǎng)、廣域網(wǎng)、城域網(wǎng),通過防火墻實施邏輯隔離。為保證外網(wǎng)安全運行,就電子政務(wù)外網(wǎng)的實際情況,參考外網(wǎng)安全的國家要求和實際現(xiàn)狀,探究有效策略加強外網(wǎng)安全管理,以提升電子政務(wù)外網(wǎng)的安全防范。
關(guān)鍵詞:電子政務(wù);外網(wǎng);安全管理
中圖分類號:TP393 文獻標識碼:A
1 引言
當前,電子政務(wù)的外網(wǎng)安全現(xiàn)狀不容樂觀,外網(wǎng)可能面臨著各種各樣的安全風險,不僅有源于互聯(lián)網(wǎng)的網(wǎng)絡(luò)病毒入侵、黑客入侵、非法訪問、越權(quán)使用資源、惡意破壞、竊取信息等風險,還有源于外網(wǎng)內(nèi)部的越權(quán)訪問或非法訪問、病毒等,并且電磁輻射也影響著網(wǎng)絡(luò)安全、跟蹤識別碼也有可能存在安全隱患等,必須加強安全防護和管理,確保電子政務(wù)的外網(wǎng)安全穩(wěn)健運行。
2 電子政務(wù)外網(wǎng)安全的國家要求
國家對電子政務(wù)外網(wǎng)的總要求是依托國家統(tǒng)一的公用通信傳輸網(wǎng)絡(luò),對政務(wù)外網(wǎng)進行整合建設(shè),覆蓋各級政府部門網(wǎng)絡(luò)平臺以及服務(wù)體系[1]。外網(wǎng)支持運行電子政務(wù)系統(tǒng),支持跨區(qū)域、跨部門共享信息資源,支持電子政務(wù)系統(tǒng)互聯(lián)互通以及信息交換,提高政府監(jiān)管能力以及服務(wù)水平。
對于電子政務(wù)的外網(wǎng)安全,國家提出的要求包括:保證機密數(shù)據(jù)的安全性,因為在電子政務(wù)的外網(wǎng)核心數(shù)據(jù)中存在大量機密性數(shù)據(jù),必須優(yōu)先確保它們的安全,特別是核心數(shù)據(jù),必須加大安全防范力度;保證電子政務(wù)網(wǎng)絡(luò)正常運行,因為網(wǎng)絡(luò)設(shè)備與鏈路的安全都至關(guān)重要,泛濫的蠕蟲病毒、P2P流量引發(fā)的寬帶濫用問題以及傳播垃圾郵件等都是導致網(wǎng)絡(luò)系統(tǒng)運行不安全、不穩(wěn)定甚至癱瘓的罪魁,必須采取必要的、有效的安全防范措施;保證終端安全,因為服務(wù)器和工作站、個人電腦等的安全問題越來越嚴重,系統(tǒng)漏洞、病毒使安全意識淡薄的人防不勝防,更使網(wǎng)管人員面臨巨大困擾,堅決不能忽視終端安全。
2016年4月19日習近平總書記在《網(wǎng)絡(luò)安全和信息化工作座談會上的講話》中指出“大國網(wǎng)絡(luò)安全博弈,不單是技術(shù)博弈,還是理念博弈、話語權(quán)博弈。網(wǎng)絡(luò)安全和信息化是相輔相成的。安全是發(fā)展的前提,發(fā)展是安全的保障,安全和發(fā)展要同步推進。網(wǎng)絡(luò)安全的本質(zhì)在對抗,對抗的本質(zhì)在攻防兩端能力較量?!?[2]
3 電子政務(wù)外網(wǎng)安全的現(xiàn)狀
截至2016年12月,我國電子政務(wù)外網(wǎng)建設(shè)方面,已建成全球最大的政務(wù)專網(wǎng),50%以上的省級政務(wù)外網(wǎng)實現(xiàn)的統(tǒng)一的互聯(lián)網(wǎng)出口并集中管理。在縱向覆蓋方面,政務(wù)外網(wǎng)省、地市和區(qū)縣三級覆蓋率分別達到100%、97.3%和90%,已有24個?。▍^(qū)、市)和新疆生產(chǎn)建設(shè)兵團實現(xiàn)縣級及鄉(xiāng)鎮(zhèn)的專線全覆蓋。在橫向接入方面,政務(wù)外網(wǎng)已連接了130個中央政務(wù)部門和相關(guān)單位,其中37個為業(yè)務(wù)應(yīng)用發(fā)起部門,79個為業(yè)務(wù)應(yīng)用參與部門。省以下接入政務(wù)部門數(shù)達24.4萬個,接入終端超過280萬臺。據(jù)不完全統(tǒng)計,各地基于政務(wù)外網(wǎng)部署的行政審批、電子監(jiān)察、應(yīng)急平臺、社會保障、文化共享、衛(wèi)生醫(yī)療等業(yè)務(wù)應(yīng)用系統(tǒng)總計超過5000項。
地方政府政務(wù)外網(wǎng)安全等級保護定級、報備和測評工作情況:省級已完成了28個,占省級87.5%,目前尚有江蘇、浙江、西藏和寧夏因各種原因尚未報備,2016年增加了青海省級。江西和山西完成了政務(wù)云的安全等級保護備案與測評。地(市)級已完成定級、報備的有52個,占全部地(市)級352個(含兵團)的14.4%??h級已完成定級、報備的有35個,占全部縣級3006個的1.16%[3]。
加強電子政務(wù)的外網(wǎng)安全管理的策略。建議中國電子政務(wù)外網(wǎng)基本安全防護存在一些不足,有管理漏洞,也有系統(tǒng)漏洞,大量信息面臨著被篡改或泄露的風險,加上最近幾年網(wǎng)絡(luò)安全形勢日益嚴峻,迫切需要加強電子政務(wù)的外網(wǎng)安全管理,建議從四方面進行。
3.1更新思路,完善上下協(xié)同機制
在網(wǎng)絡(luò)信息技術(shù)日益發(fā)達的新時代,政府機關(guān)、部門應(yīng)以習近平總書記提出的總體國家安全觀為指導,積極更新外網(wǎng)安全管理思路,進一步理順外網(wǎng)安全管理體系,打造各主管部門以及業(yè)務(wù)管理機構(gòu)、建設(shè)運維機構(gòu)分工明確、各負其責、協(xié)同配合、齊抓共管的工作格局。要以印發(fā)《國務(wù)院辦公廳關(guān)于促進電子政務(wù)協(xié)調(diào)發(fā)展的指導意見》為契機,牽頭推進理順外網(wǎng)建設(shè)與管理機制、加強網(wǎng)絡(luò)平臺和安全建設(shè)、推動地方政府部門接入、重點強化應(yīng)用建設(shè)和整合利用資源、共享數(shù)據(jù)等重要任務(wù),明確電子政務(wù)的外網(wǎng)管理中心職責,強調(diào)建立中央與地方上下協(xié)同的電子政務(wù)外網(wǎng)安全管理工作機制,設(shè)立國家政務(wù)外網(wǎng)安全信息共享與分析中心,加快統(tǒng)一制定政務(wù)外網(wǎng)績效考核體系的步伐,順利推進電子政務(wù)外網(wǎng)安全管理工作。
3.2 完善制度,奠定安全管理基礎(chǔ)
完善的制度是加強電子政務(wù)外網(wǎng)安全管理的基礎(chǔ)。對于現(xiàn)階段電子政務(wù)的外網(wǎng)安全管理制度不完善以及格式不規(guī)范不統(tǒng)一、未及時更新等問題,建議整合既有的外網(wǎng)安全管理制度,完善制度體系,明確信息安全總方針與安全策略;對于當下工作漏洞,補充一批安全管理規(guī)范與制度,包括軟件開發(fā)管理制度、系統(tǒng)安全管理制度、密碼管理制度以及備份恢復管理制度等。完善的制度體系應(yīng)當是完整的、互為補充的安全管理制度的集合體,并且各個制度并非相互孤立,在梳理現(xiàn)有制度的同時要加以整合、補充,完善物理和環(huán)境安全管理制度、主機和系統(tǒng)安全管理制度、網(wǎng)絡(luò)運行安全管理制度、信息安全保密管理制度、安全審計制度以及獎懲制度等。除此以外,要注意統(tǒng)一安全管理制度的格式,控制版本,建立完善的外網(wǎng)安全管理制度論證與審定、發(fā)布等機制,完善定期修訂與廢止安全管理制度的機制,完善信息安全管理,有效管理制定、發(fā)布、修訂以及廢止電子政務(wù)外網(wǎng)安全管理制度的整個過程。
3.3 加強預(yù)防,有效處置安全事件
針對電子政務(wù)外網(wǎng)有可能面臨的各種安全事件與威脅,堅持預(yù)防為主和快速處置的基本原則,立足實際情況形成針對性的外網(wǎng)安全事件應(yīng)急管理與處置預(yù)案,從非法篡改網(wǎng)頁、大規(guī)模爆發(fā)病毒、受到黑客攻擊、中斷網(wǎng)絡(luò)、停止應(yīng)用系統(tǒng)服務(wù)等方面建立切實可行的應(yīng)急策略,保證在發(fā)生安全事件以后有序高效開展應(yīng)急處置工作。在發(fā)生安全事件以后,應(yīng)快速確定事件的類型,及時報告給相關(guān)部門,如果需要多部門配合,必須及時協(xié)調(diào),基于實際情況斷開網(wǎng)絡(luò)或改變用戶權(quán)限或終止用戶權(quán)限等,進行協(xié)同處置[4]。在處置好安全事件以后,要及時進行調(diào)查分析與總結(jié),對損失、危害程度做出評估,形成處置分析報告,據(jù)此重新評估安全事件隱患與風險,適當調(diào)整外網(wǎng)安全管理策略,確認安全并得到批準以后才能重新恢復電子政務(wù)外網(wǎng)的運行。
3.4 大力防護,完善外網(wǎng)安全體系
一是加強網(wǎng)絡(luò)安全防護,主要有訪問控制以及安全掃描、入侵檢測、安全審計、VPN遠程訪問等,要基于電子政務(wù)的規(guī)則以及服務(wù)類型,使用身份認證技術(shù)和防病毒技術(shù),通過網(wǎng)絡(luò)監(jiān)控以及各種應(yīng)用服務(wù)具有的強安全配置,確保外網(wǎng)在應(yīng)用層是安全的,同時對外網(wǎng)系統(tǒng)采用CA數(shù)字證書的認證方式,保證每一個用戶都在授權(quán)范圍以內(nèi)實施系統(tǒng)操作。
二是加強信息安全防護,完善信息安全信任體系、授權(quán)體系,基于數(shù)字證書認證提供外網(wǎng)身份鑒別服務(wù),從網(wǎng)絡(luò)病毒檢測病毒入侵外網(wǎng)各個節(jié)點的情況,避免系統(tǒng)被病毒破壞;通過防火墻與網(wǎng)閘實施邊界訪問控制,審查數(shù)據(jù)安全,嚴格認證身份。
三是評估全網(wǎng)風險,加固系統(tǒng)。網(wǎng)絡(luò)以及信息化建設(shè)步伐越來越快,電子政務(wù)與信息化之間的結(jié)合日益緊密,使得外網(wǎng)安全管理的挑戰(zhàn)日益嚴峻[5]。網(wǎng)絡(luò)攻擊變化快、技術(shù)新,在短時間里往往能產(chǎn)生巨大的破壞效果,加上互聯(lián)網(wǎng)傳播使得黑客技術(shù)存在普遍性、破壞性,必須增強集中監(jiān)管網(wǎng)絡(luò)安全的能力,提高安全監(jiān)管水平。而風險評估就是評估電子政務(wù)外網(wǎng)的威脅、評估安全管理策略的有效性、評估系統(tǒng)漏洞被利用的可能性等等,形成綜合結(jié)果,這是電子政務(wù)外網(wǎng)數(shù)據(jù)信息安全的關(guān)鍵環(huán)節(jié)。只有建立完善的、嚴密的外網(wǎng)安全防護體系,不斷加大防護力度,才能形成動態(tài)安全管理防護過程,使電子政務(wù)外網(wǎng)獲得強有力的、可靠的安全保障。
4 結(jié)束語
隨著新時代政府職能不斷轉(zhuǎn)型,服務(wù)意識越來越強,公共服務(wù)理念日益深入人心,外網(wǎng)在推動應(yīng)用政務(wù)方面的作用將越來越重要。但電子政務(wù)的外網(wǎng)安全是一個復雜的問題,并且隨著政務(wù)應(yīng)用系統(tǒng)越來越多,電子政務(wù)系統(tǒng)越來越重要,外網(wǎng)安全必須不斷升級,基于國家要求堅持更新思路,完善上下協(xié)同機制,同時完善外網(wǎng)安全管理制度,有效預(yù)防并處置外網(wǎng)安全事件,完善外網(wǎng)安全防護體系,保證網(wǎng)絡(luò)系統(tǒng)安全有序運行,提高政府服務(wù)水平。
參考文獻
[1] 劉鑫.電子政務(wù)外網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)與安全管理[J].電子技術(shù)與軟件工程,2016(23):211.
[2] 中共中央黨史和文獻研究院.習近平關(guān)于總體國家安全觀論述摘編 [M].中央文獻出版社,2018年5月.
[3] 邵國安.國家電子外網(wǎng)安全現(xiàn)狀和安全保障需求[S].國家信息中心國家電子政務(wù)外網(wǎng)管理中心講座文件,2017年4月.
[4] 魏光輝,李丹.移動電子政務(wù)外網(wǎng)信息安全實施指南研究[J].電子質(zhì)量,2017(06):64-69.
[5] 蓋慧玲.電子政務(wù)外網(wǎng)安全建設(shè)中的問題與對策分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2016(09):101+103.