随着云计算、移动互联、工业控制系统、物联网、大数据等新一代信息技术的快速发展,政府公共服务趋向数字化、智慧化的现代化治理模式,数字政府正成为数字化时代政府治理发展的新形态。电子政务网是数字政府领域重要的网络底层设施,连接着全国各级党政机关,承载各级政务数据信息、重大资源库及重要信息系统,同通信、能源、金融、交通、公共服务等领域关键信息基础设施一样,其网络安全、数据信息安全是关键信息基础设施保护工作的重点之一,对国家总体安全尤为重要。
▍电子政务网关键信息基础设施保护的必要性
近年来,国内外针对关键信息基础设施的可持续威胁、网络攻击等事件频频发生,比如委内瑞拉古里水电站发电系统网络攻击、美国成品油管道系统运营商网络勒索、巴基斯坦国家银行系统瘫痪、国际电信运营商沃达丰葡萄牙公司网络中断等重大网络事件,凸显关键信息基础设施正面临较大的风险隐患。
当前,世界正经历百年未有之大变局,不稳定、不确定因素日益增多,我国成为全球遭受网络安全威胁最严重的地区之一。我国的电子政务网安全面临复杂严峻的风险考验,在信息设施保护方面存在一些挑战。例如,基层政务网络管理存在安全管理机构缺失、制度不完善、执行不到位等问题;安全防护简单地采用合规性防护、围墙式防护,不能应对有组织高频次的网络攻击;部分单位不能对接入电子政务网的终端进行管控,存在终端同时访问互联网、电子政务网情况。
▍关键信息基础设施保护体系建设
2021年9月《关键信息基础设施安全保护条例》正式实施,为电子政务网关键信息基础设施安全保护工作提供有力法治保障。2021年11月国家互联网信息办公室出台的《网络安全审查办法》明确了关键信息基础设施运营者采购网络产品和服务要依据有关要求,预判潜在网络安全风险,对于影响或者可能影响国家安全的,应当申报网络安全审查。2023年5月发布的《信息安全技术关键信息基础设施安全保护要求》(GB/T 39204—2022),提出要按照“以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防”的原则,明确提出分析识别、安全防护、检测评估、监测预警、主动防御、事件处置6方面111条安全要求,为电子政务网运营主体开展关键信息基础设施安全保护工作提供了标准保障。
这些制度的持续完善,在促进提升各级党政机关、电子政务网关键信息基础设施运营主体采购使用网络产品和服务的安全可控水平的同时,推进电子政务网关键信息基础设施整体安全保护,为数字政府建设提供更加有力的保障。
▍电子政务网关键信息基础设施保护工作建议
电子政务网建设应坚持以总体国家安全观为统领,统筹好安全可控和开放创新,遵循《关键信息基础设施安全保护条例》和网络安全等级保护制度指引,进一步完善网络安全综合防御体系。
1.完善顶层设计
进一步完善既有组织体系架构,设立网络安全保护机构,强化对电子政务网络安全工作的组织领导。研究制定电子政务网关键信息基础设施安全保护规划或行动计划。按照“同步规划、同步建设、同步使用”原则,统筹推进政务服务数字化与关键信息基础设施建设,同网络安全等级保护、数据安全保护等制度相衔接,推进网络安全防护能力提升,并拟定电子政务网络安全应急预案,定期组织开展网络安全事件应急处置的演练。
2.分级分类管理
严格落实《中华人民共和国网络安全法》《关键信息基础设施安全保护条例》等要求,建立健全数据资产目录和关键信息基础设施终端产品硬件、操作系统等信息档案,规范政务数据使用原则,实施政务数据分类分级安全管理,明确使用范围、访问控制等。推广数据加密、脱敏、标识等防护措施建设与应用,提升数据共享交换的安全水平。坚持“谁运营、谁负直接责任,谁主管、谁负主要责任”原则,建立完善电子政务网安全监测预警机制,杜绝互联网与终端政务网通联,及时开展网络安全检测、系统渗透测试、漏洞扫描及风险评估工作,有效查杀蠕虫病毒、勒索软件、恶意软件等,防护“零日”漏洞等,提升电子政务网安全防护水平。
3.提升协同处置能力
建立电子政务网“一点发现、全网防护”的网络安全管理协同处置机制,畅通跨地域、跨层级及跨系统的网络安全事件处置通道,推动形成全国电子政务网安全保护“一盘棋”格局。搭建电子政务网络安全信息共享平台,推进电子政务网保护工作部门、运营主体与安全厂商、网信、公安等各方网络安全威胁信息共享,联合高校科研院所挖掘分析应对,形成网络安全威胁情报信息库,为协同处置网络安全事件提供有效支撑。
4.加强人才培养
电子政务网络安全防护能力的提升离不开专业人才队伍的支撑,应建立网络安全防护专业人才资源库,健全网络安全教育培训体系,完善网络安全人才挖掘、选拔使用等机制,筛选所需网络安全专业人才。针对关键信息基础设施涉及行业多、领域广和网络安全人员的技能要求不同等特点,举办各类网络安全攻防比赛,与高校科研院所、企业开展联合培养、研发等,推进提升网络安全人员能力和关键信息基础设施能力。
▍结语
随着数字政府建设深入推进、电子政务应用模式的创新发展,电子政务网关键信息基础设施保护工作不容小觑。
来源:《网络安全和信息化》杂志
作者:安徽省电子产品监督检验所 李红
(本文不涉密)