文/張志剛

1 引言

為適應(yīng)傳統(tǒng)公共行政的轉(zhuǎn)型，2002年，國家信息化領(lǐng)導(dǎo)小組審議通過了《關(guān)于我國電子政務(wù)建設(shè)的指導(dǎo)意見》。自此，電子政務(wù)自此成為我國信息化推進(jìn)的戰(zhàn)略重點(diǎn)之一。經(jīng)過十幾年的發(fā)展，電子政務(wù)經(jīng)歷了單機(jī)、聯(lián)網(wǎng)、辦公自動化、政務(wù)信息化階段。特別是近年來得益于智慧城市建設(shè)的快速發(fā)展，作為智慧城市最重要的一環(huán)，電子政務(wù)在縣級以上的政府部門基本實(shí)現(xiàn)了全覆蓋。有效地提升了人民群眾的辦事效率和政府的決策水平。

然而高效率伴隨著高風(fēng)險，隨著電子政務(wù)網(wǎng)絡(luò)中各類信息系統(tǒng)的增加，安全隱患愈加突出，電子政務(wù)系統(tǒng)中涉及的大量公民個人信息、公眾權(quán)益、國家利益、事關(guān)國家安全、社會安定等重要信息，成為敵對勢力、間諜以及黑客覬覦的目標(biāo)。加之電子政務(wù)系統(tǒng)在城市系統(tǒng)運(yùn)作過程中占有重要的權(quán)重，其安全問題更將會形成對智慧城市體系的逆向威逼。

近年來隨著新技術(shù)的發(fā)展，網(wǎng)絡(luò)攻擊、信息泄露等事件的不斷出現(xiàn)。2015年，谷歌漏洞泄露30 萬用戶信息；2017年，新型“蠕蟲式”勒索軟件肆虐全球，全球 99 個國家政府、學(xué)校等政務(wù)網(wǎng)站遭到了廣泛的破壞。2018年3月臉書5000 萬用戶信息遭到泄露；6月，圓通快遞10 億條快遞信息泄露；8月，華住連鎖酒店2.4 億條個人入住信息遭泄露。據(jù)CNCERT 監(jiān)測報(bào)告，2018年我國境內(nèi)約7000個網(wǎng)站被篡改，其中被篡改的政府網(wǎng)站有543 個；約5.3 萬個網(wǎng)頁被仿冒，其中政務(wù)類網(wǎng)站約1.33 萬個。

河南省幅員遼闊，人口眾多，2017年，全省GDP 在全國排名第五。如此規(guī)模的大省，哪怕僅為維護(hù)社會的正常運(yùn)行，政府電子政務(wù)系統(tǒng)的信息安全需求也是不言而喻的。一旦這些公共服務(wù)領(lǐng)域的網(wǎng)絡(luò)遭受攻擊和破壞，有關(guān)國家安全、社會安定的關(guān)鍵信息就會被泄露、篡改，甚至一些關(guān)鍵設(shè)施如交通、電力、醫(yī)院、金融被破壞，極易引發(fā)社會動蕩。尤其是在河南省當(dāng)前不斷擴(kuò)大對外開放，積極融入“一帶一路”戰(zhàn)略的實(shí)施以及加快自由貿(mào)易區(qū)的建立的時期，加強(qiáng)電子政務(wù)信息安全建設(shè)這一任務(wù)更加緊迫。

2 河南省電子政務(wù)信息安全存在的問題及成因

2.1 基礎(chǔ)設(shè)施存在問題及原因

電子政務(wù)的實(shí)現(xiàn)依托的是現(xiàn)代通信技術(shù)。不可否認(rèn)，近年來我國的通信設(shè)備產(chǎn)業(yè)有了較大的發(fā)展，但遺憾的是，由于歷史原因，目前河南省的通信網(wǎng)絡(luò)核心設(shè)備如交換機(jī)、路由器、網(wǎng)關(guān)、防火墻以及相關(guān)的軟件系統(tǒng)絕大部分都是國外廠商生產(chǎn)的。如河南省普通電話網(wǎng)絡(luò)的交換機(jī)采用的就是歐洲電信廠商的產(chǎn)品。這些核心進(jìn)口設(shè)備缺乏有效的監(jiān)控和跟蹤測試，無法保證網(wǎng)絡(luò)的安全可控性，給網(wǎng)絡(luò)通信帶來極大的安全隱患。軟件系統(tǒng)方面受制于廠商，存在的安全漏洞甚至是“后門”都無法及時有效排除，這給網(wǎng)絡(luò)入侵者提供了便利。

其次，電子政務(wù)系統(tǒng)涉及政府的多個部門如交通、金融、能源、水電、人社、農(nóng)林等等。這些部門在近年來的信息化建設(shè)中都建立了自己的業(yè)務(wù)數(shù)據(jù)網(wǎng)絡(luò)及相應(yīng)的安全防護(hù)系統(tǒng)，對于電子政務(wù)系統(tǒng)而言，一方面這些部門業(yè)務(wù)節(jié)點(diǎn)之間比較分散，另一方面所采取的技術(shù)手段也有所不同，存在兼容問題。這給建立河南電子政務(wù)統(tǒng)一內(nèi)部網(wǎng)絡(luò)造成技術(shù)和資金困擾。河南省電子政務(wù)的骨干網(wǎng)早已提出，但進(jìn)展緩慢，這其中一個主要原因就是新舊系統(tǒng)兼容銜接問題所致，這不僅影響當(dāng)前的進(jìn)度，同時也導(dǎo)致下一代其他涉密網(wǎng)絡(luò)部門的接入。

2.2 新技術(shù)發(fā)展帶來的安全問題及原因

隨著技術(shù)的進(jìn)步，網(wǎng)絡(luò)通信設(shè)備進(jìn)入更新?lián)Q代階段，5G、IPV6、大數(shù)據(jù)、云計(jì)算等技術(shù)開始應(yīng)用和普及，與此同時，信息入侵、攻擊、竊取手段也越來越隱蔽，不易被發(fā)現(xiàn)。2010年，席卷全球工業(yè)界的“震網(wǎng)病毒”可以輕易突破專有隔離網(wǎng)絡(luò)的限制，對使用了微軟操作系統(tǒng)的計(jì)算機(jī)進(jìn)行破壞。2017年，新型勒索病毒襲擊了全球150 個國家和地區(qū)，特別是提供公共服務(wù)的學(xué)校、醫(yī)院、政府專網(wǎng)成了重災(zāi)區(qū)，損失巨大。

現(xiàn)有骨干網(wǎng)絡(luò)大都采用光纖技術(shù)通信，而最新的光纖竊聽技術(shù)可以在不影響原有數(shù)據(jù)通信的基礎(chǔ)上輕易獲取通信信息，同時計(jì)算機(jī)運(yùn)算速度的增加也使得對加密數(shù)據(jù)的破解成為可能，特別是量子計(jì)算機(jī)的發(fā)展，對于現(xiàn)有的加密算法不啻是一場災(zāi)難。

近年來，云計(jì)算、大數(shù)據(jù)得到了廣泛發(fā)展和應(yīng)用，相當(dāng)多的企事業(yè)單位把自己的系統(tǒng)部署到了“云”上?！霸破脚_”在帶來便捷性、共享性以及高性能性的同時，其網(wǎng)絡(luò)安全防范卻沒有得到重視。特別是云網(wǎng)絡(luò)訪問流量的復(fù)雜性也給攻擊者提供了更易于隱蔽的便捷性。據(jù) CNCERT 監(jiān)測數(shù)據(jù)，2018年針對“云平臺”的網(wǎng)絡(luò)攻擊、木馬和惡意程序占到整個網(wǎng)絡(luò)安全事件的50%以上，特別是涉及國計(jì)民生、企業(yè)運(yùn)營和個人數(shù)據(jù)的攻擊更是受到了入侵者的青睞，借助于“云平臺”作為中繼或跳板進(jìn)行網(wǎng)絡(luò)攻擊成了新的隱藏攻擊來源的方式，云平臺已成為發(fā)生網(wǎng)絡(luò)攻擊的重災(zāi)區(qū)。

2.3 管理、組織存在的問題及原因

電子政務(wù)系統(tǒng)的安全基礎(chǔ)在于軟硬件設(shè)備的基礎(chǔ)設(shè)施，但對系統(tǒng)的安全管理也是極其重要的一環(huán)。即使基礎(chǔ)設(shè)施性能再好、安全性完全達(dá)標(biāo)，但如果管理疏忽、責(zé)任不明晰、安全規(guī)則落實(shí)不到位，也難以保障電子政務(wù)信息安全。信息安全管理、組織存在的問題主要有管理機(jī)構(gòu)權(quán)責(zé)不清、職責(zé)不明、管理人員重視程度不夠、相關(guān)人員安全素養(yǎng)不達(dá)標(biāo)、安全管理規(guī)范、制度不健全等。

電子政務(wù)信息安全的組織管理存在問題主要原因在于管理機(jī)構(gòu)沒有整合、如有的單位設(shè)有網(wǎng)信辦、信息中心、辦公室等多個部門，這樣就導(dǎo)致政令不統(tǒng)一，甚至出現(xiàn)相互矛盾的情況。其次，一些黨員領(lǐng)導(dǎo)干部認(rèn)為安全問題屬于技術(shù)范疇，對信息安全的建設(shè)和管理重視程度不夠，信息安全管理工作的規(guī)程規(guī)范不完善。導(dǎo)致相關(guān)工作人員的日常工作沒有受到指導(dǎo)和約束，長期以來形成工作散漫、不認(rèn)真、不重視的現(xiàn)象。第三，相關(guān)安全管理人員安全素養(yǎng)不達(dá)標(biāo)，一些單位的安全管理人員不是專業(yè)技術(shù)人員，不僅缺乏安全防范措施和防范意識，而且缺少解決實(shí)際問題的專業(yè)能力。日常安全檢查不到位，安全軟件更新不及時，導(dǎo)致設(shè)立的安全防范技術(shù)手段成了擺設(shè)，嚴(yán)重影響到安全防范措施的落實(shí)。

2.4 法律法規(guī)問題

我國由于信息化發(fā)展歷史較短，有關(guān)信息安全、網(wǎng)絡(luò)安全的法律法規(guī)、安全標(biāo)準(zhǔn)相比發(fā)達(dá)國家差距較大，更不用說政府部門制定的日常安全保障制度了。2017年6月，我國的《網(wǎng)絡(luò)安全法》才正式實(shí)施，2017年5月，《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法( 試行) 》頒布，2018年5月《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》出臺?？傮w來說，我國信息安全的法律建設(shè)相對滯后。

“沒有規(guī)矩，不成方圓”，法律法規(guī)制度的缺失和不完善，導(dǎo)致了我國電子政務(wù)信息安全缺乏安全標(biāo)準(zhǔn)和制度約束，現(xiàn)有的一些法律和制度也沒有與時俱進(jìn)，存在內(nèi)容不夠全面深入，立法不足等問題。網(wǎng)絡(luò)安全保障體系仍然不健全，還沒有形成統(tǒng)一規(guī)范的綜合法律、監(jiān)管行業(yè)技術(shù)標(biāo)準(zhǔn)的綜合配套法律體系，大數(shù)據(jù)監(jiān)管方面的法律尚是空白，缺乏詳細(xì)責(zé)任機(jī)制和監(jiān)管等問題，這也對我國的電子政務(wù)信息安全防范保障帶了影響。

3 互聯(lián)網(wǎng)時代河南省電子政務(wù)信息安全保障策略和建議

3.1 加強(qiáng)信息安全頂層設(shè)計(jì)

電子政務(wù)信息安全不僅僅是一個單純的技術(shù)性問題，而是一個全面系統(tǒng)的規(guī)劃，涉及到安全技術(shù)標(biāo)準(zhǔn)、發(fā)展規(guī)劃、總體框架、各個信息系統(tǒng)的整合、匯集，法律法規(guī)的保障、財(cái)政支持等等要素。這就需要決策部門從整體的角度去分析和設(shè)計(jì)，在頂層設(shè)計(jì)上進(jìn)行宏觀指導(dǎo)，形成統(tǒng)一的全領(lǐng)域流通的核心制度。這就要求有專門的的部門負(fù)責(zé)電子政務(wù)信息安全的總體規(guī)劃和設(shè)計(jì)。目前河南省在電子政務(wù)的實(shí)踐中，河南省工業(yè)和信息化廳、河南省通信管理局、河南省專用通信局、河南省互聯(lián)網(wǎng)信息辦公室、河南省發(fā)展和改革委員會對于電子政務(wù)的規(guī)劃和發(fā)展都有相應(yīng)的政策和文件，總體看來較為分散，不利于統(tǒng)籌設(shè)計(jì)。建議從這些部門中選取或整合相關(guān)部門形成統(tǒng)一的單獨(dú)組織機(jī)構(gòu)，專門負(fù)責(zé)電子政務(wù)的頂層設(shè)計(jì)，形成主次分明的結(jié)構(gòu)體系，從上而下對信息安全涉及的方方面面進(jìn)行推進(jìn)，強(qiáng)化權(quán)威性和執(zhí)行力，立足全局，站在戰(zhàn)略的角度，對電子政務(wù)進(jìn)行統(tǒng)一規(guī)劃，分層設(shè)計(jì)，確保更為有效地形成信息安全的保障體系。

3.2 建全信息安全技術(shù)保障機(jī)制

信息安全的保障機(jī)制包括信息安全技術(shù)體系、運(yùn)維體系、管理體系等方面的內(nèi)容。

從河南省的實(shí)踐情況看，安全技術(shù)體系方面，一方面根據(jù)現(xiàn)有技術(shù)完善電子政務(wù)安全的網(wǎng)絡(luò)結(jié)構(gòu)，政務(wù)內(nèi)網(wǎng)和外網(wǎng)的訪問控制要嚴(yán)格控制訪問權(quán)限，強(qiáng)化防火墻安全策略。另一方面在軟硬件上盡可能地多采用具有自主知識產(chǎn)權(quán)的產(chǎn)品，提高核心技術(shù)的自主創(chuàng)新能力。

運(yùn)維體系方面要建立廣泛、系統(tǒng)的監(jiān)測布控點(diǎn)，嚴(yán)格執(zhí)行等級保護(hù)和分級保護(hù)制度，強(qiáng)化軟件系統(tǒng)安全突發(fā)事件的發(fā)現(xiàn)和救援恢復(fù)處理能力，重視安全預(yù)警，建立完整的安全應(yīng)急預(yù)案，提高安全事件的及時發(fā)現(xiàn)和介入水平。

管理體系方面要成立專門的電子政務(wù)安全管理機(jī)構(gòu)，按照管理目標(biāo)、組織程序、人員、管理范圍進(jìn)行行政一體化設(shè)計(jì)。對領(lǐng)導(dǎo)干部和工作人員的職責(zé)要劃分清楚，制定嚴(yán)格的內(nèi)部安全管理制度和安全監(jiān)管標(biāo)準(zhǔn)。日常安全管理要形成常態(tài)，信息收集處理的流程要責(zé)任到人，落實(shí)常規(guī)考核制度，形成權(quán)威有效的安全管理體系。

3.3 強(qiáng)化相關(guān)工作人員信息安全素養(yǎng)

信息安全素養(yǎng)包括專業(yè)技術(shù)素養(yǎng)和安全意識素養(yǎng)。安全管理的相關(guān)人員的綜合業(yè)務(wù)素質(zhì)和能力對信息安全系統(tǒng)的正常運(yùn)行起到?jīng)Q定性的作用。一方面要加大引進(jìn)專業(yè)技術(shù)人才，盡量選取精通信息技術(shù)安全和熟悉政府業(yè)務(wù)的復(fù)合型人才，加強(qiáng)人才儲備。另一方面，要增加對現(xiàn)有工作人員的專業(yè)培訓(xùn)，通過講座、繼續(xù)教育、參觀、競賽答題等豐富的教育活動，提高現(xiàn)有人員的信息安全技術(shù)，強(qiáng)化實(shí)踐應(yīng)用，強(qiáng)化專業(yè)知識的考核。另外也要加強(qiáng)對部門工作人員的思想教育，提升安全意識，通過多種形式的教育手段，制定公平合理的獎懲制度，不定期的安全評估，解決現(xiàn)有員工存在安全意識淡薄的問題。

3.4 完善信息安全法律體系支撐

電子政務(wù)信息安全相關(guān)法律法規(guī)的建設(shè)和完善是構(gòu)建信息安全保障體系的重要組成部分，全面細(xì)致的法律法規(guī)有助于推動電子政務(wù)信息安全形成有法可依的安全標(biāo)準(zhǔn)體系和運(yùn)行機(jī)制，也是實(shí)現(xiàn)網(wǎng)絡(luò)強(qiáng)國戰(zhàn)略的一部分。當(dāng)前我國歸于信息安全的法律法規(guī)相對滯后，存在諸多不足。建議：首先繼續(xù)完善相關(guān)法律法規(guī)，加大法律規(guī)范治理體系建設(shè)力度。積極探索新技術(shù)應(yīng)用如區(qū)塊鏈、大數(shù)據(jù)監(jiān)管的法律建設(shè)，明確信息數(shù)據(jù)的生命周期、使用范圍、主權(quán)界限；嚴(yán)格個人信息、涉及國計(jì)民生等重要相關(guān)信息的使用規(guī)范和違法界線。同時加強(qiáng)網(wǎng)絡(luò)監(jiān)管，對違法犯罪行為要嚴(yán)厲打擊，做到有法可依，違法必究，彰顯法律權(quán)威。第三，強(qiáng)化網(wǎng)絡(luò)犯罪的普法教育，多渠道向社會公眾宣傳相關(guān)法律法規(guī)，提高公民法律意識和綜合素質(zhì)。第四，河南省地方政府也要加強(qiáng)電子政務(wù)信息安全的管理制度建設(shè)，建立適合本地的信息安全保障制度和規(guī)范，明確主體權(quán)責(zé)，做好設(shè)備、人員、技術(shù)、管理等方方面面的制度規(guī)劃建設(shè)。從根源上確保電子政務(wù)的信息安全。

3.5 增加信息安全財(cái)政支持

電子政務(wù)的建設(shè)離不開資金，目前河南省用于建設(shè)電子政務(wù)的資金主要來源于政府財(cái)政。為進(jìn)一步加強(qiáng)電子政務(wù)信息安全保障體系的建設(shè)，提升安全保障能力，就需要加大有關(guān)信息安全方面的資金支持力度。我們提出如下建議：

（1）政府設(shè)立電子政務(wù)信息安全建設(shè)專項(xiàng)基金，并保證?？顚Ｓ?。

（2）理順財(cái)政申請流程，對申請、審議、審批一系列程序進(jìn)行規(guī)范。

（3）建立長效資金支持計(jì)劃，電子政務(wù)信息安全的建設(shè)是一個長期的過程，這需要政府在資金支持上要保證穩(wěn)定性和長期性。

（4）強(qiáng)化財(cái)政監(jiān)督和審計(jì)，對資金的預(yù)算、申請、審批、項(xiàng)目驗(yàn)收等各個環(huán)節(jié)進(jìn)行全程跟蹤。

對項(xiàng)目建設(shè)的各個階段嚴(yán)格審計(jì)，防止在信息安全建設(shè)過程中出現(xiàn)違法違紀(jì)行為。

4 結(jié)論

電子政務(wù)信息安全建設(shè)不止涉及技術(shù)手段，同時還涉及到管理、人員、資金、法律等多方面因素。文章立足于河南省本地電子政務(wù)信息安全建設(shè)的具體情況，分析電子政務(wù)信息安全的不足，多維度對頂層設(shè)計(jì)、法律體系支撐，財(cái)政支持，技術(shù)保障、信息安全素養(yǎng)，安全管理制度等方面進(jìn)行分析研究，并提出了電子政務(wù)信息安全建設(shè)的解決方案和對策建議，為地方公共管理轉(zhuǎn)型和提高行政效率建言獻(xiàn)策。