劉誠 魏禮君

上海市疾病預(yù)防控制中心 上海 200336

引言

隨著國家對于網(wǎng)絡(luò)建設(shè)力度的不斷加大，電子政務(wù)云平臺也在政府部門工作當(dāng)中得到了廣泛應(yīng)用，目前也收到了很明顯的成效。不過為了有效提升政府?dāng)?shù)據(jù)的保密性和安全性，相關(guān)部門還要加強(qiáng)網(wǎng)絡(luò)安全管理工作，實(shí)現(xiàn)電子政務(wù)云平臺在應(yīng)用過程當(dāng)中的動態(tài)化管理，從而有效保障電子政務(wù)云平臺的安全性，促進(jìn)政府工作效率和質(zhì)量的不斷提升。

1 電子政務(wù)云平臺安全風(fēng)險(xiǎn)的有效分析

1.1 安全意識的缺乏導(dǎo)致電子政務(wù)信息安全風(fēng)險(xiǎn)的產(chǎn)生

目前在電子政務(wù)云平臺運(yùn)行的過程當(dāng)中，很多工作人員缺乏一定的安全意識。雖然政府對網(wǎng)絡(luò)系統(tǒng)的建設(shè)特別關(guān)注，但是部分地區(qū)只注重網(wǎng)絡(luò)信息系統(tǒng)的建設(shè)，忽略了信息安全方面的管理，導(dǎo)致工作人員不重視電子政務(wù)云平臺的信息安全[1]。再加上缺乏完善的管理機(jī)制，部分工作人員并沒有按照一定的規(guī)章制度來嚴(yán)格要求自己，對自己的崗位職責(zé)并沒有有效履行，也存在雖然建立了相關(guān)的網(wǎng)絡(luò)安全管理制度，但制度形同虛設(shè)并未有效得到執(zhí)行，網(wǎng)絡(luò)安全管理工作留于形勢，為了應(yīng)付各類檢查而自欺欺人，這就讓外來人員有了可乘之機(jī)，導(dǎo)致政府?dāng)?shù)據(jù)被丟失或者篡改的情況發(fā)生。

1.2 法律法規(guī)的不健全導(dǎo)致電子政務(wù)信息安全風(fēng)險(xiǎn)的產(chǎn)生

目前電子政府云平臺在運(yùn)行的過程頻繁遭到黑客的入侵，這主要由于電子政務(wù)方面的法律法規(guī)還不太健全，雖然2017年我國頒布并施行了《中華人民共和國網(wǎng)絡(luò)安全法》，但相應(yīng)配套的處罰措施并未能同步落實(shí)，進(jìn)而導(dǎo)致網(wǎng)絡(luò)非法分子的行為得不到有效約束和制裁，這就為電子政務(wù)云平臺的信息安全埋下了眾多隱患，極大地降低了電子政務(wù)云平臺信息安全管理工作的效率和質(zhì)量。

1.3 網(wǎng)絡(luò)方面的缺陷導(dǎo)致電子政務(wù)云平臺安全風(fēng)險(xiǎn)的產(chǎn)生

計(jì)算機(jī)系統(tǒng)當(dāng)中雖然安裝有相關(guān)的殺毒軟件，但是它并不能對所有的計(jì)算機(jī)系統(tǒng)當(dāng)中潛藏的安全隱患進(jìn)行有效防控。并且在云平臺運(yùn)行的過程當(dāng)中，網(wǎng)絡(luò)設(shè)備自身所具有的缺陷，可能會導(dǎo)致數(shù)據(jù)在傳輸?shù)倪^程當(dāng)中被非法分子竊聽或者數(shù)據(jù)信息被攔截的情況發(fā)生。如果各部門并沒有針對數(shù)據(jù)庫建立有效的管理系統(tǒng)或者良性的操作系統(tǒng)，缺乏一致性的信息安全標(biāo)準(zhǔn)或者統(tǒng)一的協(xié)議和密碼算法，這就使得工作人員對系統(tǒng)出現(xiàn)的相關(guān)安全隱患很難進(jìn)行判斷和有效處理，大大增加了電子政務(wù)云平臺安全風(fēng)險(xiǎn)。

2 針對電子政務(wù)云平臺安全風(fēng)險(xiǎn)制定相關(guān)的應(yīng)對策略

2.1 提升相關(guān)人員電子政務(wù)信息安全意識，建立完善的管理機(jī)制

電子政務(wù)信息的安全與風(fēng)險(xiǎn)主要來自于人為因素，因此政府一定要加強(qiáng)相關(guān)人員在電子政務(wù)信息方面的安全意識，促進(jìn)工作人員對信息安全進(jìn)行深度認(rèn)知，讓工作人員深刻意識到信息安全的重要性，從而按照相關(guān)的法律法規(guī)以及規(guī)章制度嚴(yán)格約束自己的行為，進(jìn)而不斷增加管理行為和信息安全的時(shí)效性，提高工作人員在信息安全方面的敏銳度，進(jìn)而促進(jìn)工作人員自覺維護(hù)政務(wù)信息安全[2]。一般在信息安全管理過程當(dāng)中，除了法律法規(guī)對工作人員的相關(guān)行為進(jìn)行管理和約束之外，為了有效保障電子政務(wù)信息的安全性，政府部門還需要建立完善的管理機(jī)制對于工作人員的行為進(jìn)行有效監(jiān)督，促進(jìn)工作人員嚴(yán)格履行自己的崗位職責(zé)，從而有效保障電子政務(wù)云平臺的安全運(yùn)行，促進(jìn)電子政務(wù)云平臺在政府管理工作當(dāng)中發(fā)揮出最大的價(jià)值。要想實(shí)現(xiàn)以上目標(biāo)必須要從以下幾個(gè)方面著手。

2.1.1 在電子政務(wù)信息系統(tǒng)應(yīng)用的過程當(dāng)中，相關(guān)部門要有針對性的促進(jìn)工作人員的服務(wù)意識不斷提升，不斷提高他們的業(yè)務(wù)能力和工作能力。不斷完善電子政務(wù)領(lǐng)導(dǎo)機(jī)構(gòu)，大力宣傳信息系統(tǒng)保密性和安全性的重要性，促進(jìn)工作人員保密意識的不斷提升。

2.1.2 相關(guān)部門要組織工作人員開展有效的培訓(xùn)工作，不斷豐富工作人員在信息系統(tǒng)使用方面的專業(yè)知識，促進(jìn)他們在信息系統(tǒng)使用的過程當(dāng)中做好相關(guān)的安全保密工作，同時(shí)還可以利用知識競賽的形式，不斷強(qiáng)化工作人員的保密意識，提升工作人員在政務(wù)云平臺方面的工作能力。

2.1.3 采用多元化的途徑不斷增強(qiáng)電子政府工作人員的責(zé)任意識和安全意識，通過開展定期網(wǎng)絡(luò)安全責(zé)任簽約工作，把網(wǎng)絡(luò)安全責(zé)任逐級下沉，對相關(guān)人員的崗位責(zé)任進(jìn)行有效明確，同時(shí)在工作當(dāng)中還要加強(qiáng)對防范技術(shù)以及方案方面的研究力度，并對相關(guān)的方案和技術(shù)進(jìn)行不斷完善和優(yōu)化，從而建立科學(xué)的先進(jìn)的信息安全系統(tǒng)，保障電子政務(wù)云平臺信息安全管理工作的有效開展。

2.2 建立完善的數(shù)據(jù)保護(hù)機(jī)制，對電子政務(wù)云平臺數(shù)據(jù)進(jìn)行有效管理

電子政務(wù)工作在開展的過程當(dāng)中主要包含以下兩個(gè)方面，一方面是電子政務(wù)內(nèi)部辦公，另一方面是電子政務(wù)信息服務(wù)。不過工作人員在利用電子政務(wù)云平臺工作的過程當(dāng)中其使用的電子政務(wù)信息系統(tǒng)里面包含有大量的數(shù)據(jù)，做好數(shù)據(jù)的安全管理工作也是安全風(fēng)險(xiǎn)管理的重中之重。一般對于政府?dāng)?shù)據(jù)而言出現(xiàn)的最嚴(yán)重的數(shù)據(jù)風(fēng)險(xiǎn)主要有以下兩點(diǎn)，政府?dāng)?shù)據(jù)被非法分子竊取或者政府?dāng)?shù)據(jù)被有利可圖之人惡意篡改，這兩種數(shù)據(jù)風(fēng)險(xiǎn)都會導(dǎo)致數(shù)據(jù)失真或者數(shù)據(jù)丟失的情況發(fā)生，一旦發(fā)生就會給政府工作帶來很大的損失。因此為了避免以上數(shù)據(jù)風(fēng)險(xiǎn)的發(fā)生，相關(guān)部門一定要建立完善的數(shù)據(jù)保護(hù)機(jī)制，對政府?dāng)?shù)據(jù)進(jìn)行有效管理，切實(shí)保障數(shù)據(jù)的安全性，以免數(shù)據(jù)被他人盜取或者篡改。要想達(dá)到以上目標(biāo)必須要從以下幾個(gè)方面著手。

2.2.1 工作人員一定要嚴(yán)格控制物理訪問，尤其是上面存儲有與政府相關(guān)的一些重要信息和數(shù)據(jù)的相關(guān)設(shè)備，例如存儲有政府信息的電腦主機(jī)和存儲設(shè)備，以免外部人員直接接觸這些設(shè)備或者對其進(jìn)行相關(guān)的操作，導(dǎo)致政府?dāng)?shù)據(jù)信息被篡改和丟失的情況。此外還需做好相關(guān)存儲設(shè)備的臺賬記錄，明確相關(guān)存儲設(shè)備責(zé)任人，明確責(zé)任到人，以便一旦發(fā)生網(wǎng)絡(luò)安全事件后的責(zé)任落實(shí)及問題溯源。

2.2.2 工作人員要嚴(yán)格控制好數(shù)據(jù)的邏輯訪問。如果服務(wù)器端口沒有設(shè)置相關(guān)的工作端口，那工作人員就要將服務(wù)端口進(jìn)行及時(shí)關(guān)閉，諸如445、135、139、3389等高危端口更應(yīng)嚴(yán)加控制，如確因業(yè)務(wù)需要無法關(guān)閉也需做好嚴(yán)格的日志審計(jì)，以確保數(shù)據(jù)安全。同時(shí)還要針對信息系統(tǒng)制定相關(guān)的保護(hù)對策，針對不同的用戶采取不同的保護(hù)對策，同時(shí)要對相關(guān)用戶的身份進(jìn)行有效識別，嚴(yán)格設(shè)置訪問權(quán)限。在信息數(shù)據(jù)管理和接收的過程當(dāng)中，要通過解碼或者加密完成信息的接收和傳輸，保證信息數(shù)據(jù)在傳輸和接收過程當(dāng)中的安全性。

2.2.3 工作人員要對相關(guān)的政府?dāng)?shù)據(jù)進(jìn)行有效備份，對數(shù)據(jù)進(jìn)行備份是為了數(shù)據(jù)在遭到盜竊和篡改之后能夠進(jìn)行及時(shí)有效的恢復(fù)，保障電子政務(wù)信息系統(tǒng)安全持續(xù)有效運(yùn)行。并且工作人員還要對災(zāi)難恢復(fù)計(jì)劃進(jìn)行科學(xué)合理的編寫，并定期開展數(shù)據(jù)備份還原測試，確保備份數(shù)據(jù)及備份介質(zhì)的可用性，以便于數(shù)據(jù)出現(xiàn)風(fēng)險(xiǎn)時(shí)能夠進(jìn)行及時(shí)有效的應(yīng)對，從而保障電子信息系統(tǒng)的健康運(yùn)行。

2.2.4 相關(guān)部門要針對計(jì)算機(jī)病毒制定完善的病毒防治規(guī)章制度，加強(qiáng)先進(jìn)殺毒軟件的應(yīng)用力度，不斷強(qiáng)化系統(tǒng)的病毒防控能力。但是殺毒軟件并不能對計(jì)算機(jī)當(dāng)中潛在的各種病毒進(jìn)行百分比的徹底防御，所以工作人員一定要針對防病毒軟件進(jìn)行不斷更新和優(yōu)化，不斷提升殺毒軟件對病毒的防控能力，部署如蜜罐系統(tǒng)、態(tài)勢感知平臺等智能化監(jiān)控平臺，把病毒防治的關(guān)口前移，從被動防御到主動出擊，把病毒攻擊從源頭進(jìn)行控制，從而有效降低計(jì)算機(jī)受病毒侵害的概率。

2.2.5 為了防止政府?dāng)?shù)據(jù)出現(xiàn)意外丟失的情況，工作人員還要在云技術(shù)的支持下結(jié)合系統(tǒng)的實(shí)際情況設(shè)計(jì)相同的虛擬終端（即云桌面），以免系統(tǒng)在運(yùn)行的過程當(dāng)中出現(xiàn)本地化操作，有效降低數(shù)據(jù)損失的概率。上海市疾病預(yù)防控制中心已實(shí)施部署云桌面系統(tǒng)多年，業(yè)務(wù)相關(guān)人員均通過云桌面接入使用相關(guān)業(yè)務(wù)信息系統(tǒng)，此外還依據(jù)數(shù)據(jù)的分級分類原則，專門搭建了用于操作處理含公民個(gè)人信息的數(shù)據(jù)安全區(qū)進(jìn)一步提升業(yè)務(wù)工作開展過程中的數(shù)據(jù)安全保障，在數(shù)據(jù)安全區(qū)中的所有數(shù)據(jù)的導(dǎo)入導(dǎo)出均需通過嚴(yán)格的審核流程。

2.3 對法律法規(guī)進(jìn)行不斷健全，保障電子政務(wù)云平臺的信息安全

完善的法律法規(guī)是保障電子政務(wù)云平臺信息安全管理工作開展的有效措施，它在一定程度上可以有效降低電子政務(wù)云平臺安全風(fēng)險(xiǎn)的系數(shù)。但是目前電子政務(wù)信息安全并沒有得到有效立法，并沒有針對電子政務(wù)信息安全建立完善的法律法規(guī)，這就讓電子政務(wù)信息安全得不到有效的保障。相關(guān)部門在開展電子政務(wù)信息安全管理工作的過程當(dāng)中依靠的是計(jì)算機(jī)安全保護(hù)法，這就導(dǎo)致管理工作在執(zhí)行和落實(shí)的過程當(dāng)中存在一定的局限性。法律并沒有對電子政務(wù)給予明確的地位，針對一些網(wǎng)絡(luò)非法行為也沒有給出明確嚴(yán)厲的處罰對策，這就讓很多網(wǎng)絡(luò)非法分子鉆了空子，對電子政務(wù)信息系統(tǒng)的安全造成了嚴(yán)重的威脅。因此在具體實(shí)踐的過程當(dāng)中，相關(guān)職能部門要針對電子政務(wù)云平臺安全管理方面建立完善的法律法規(guī)體系，一方面要對電子政務(wù)云平臺建設(shè)的技術(shù)標(biāo)準(zhǔn)進(jìn)行有效明確，另一方面還要對電子政務(wù)云平臺的使用標(biāo)準(zhǔn)進(jìn)行有效規(guī)定，同時(shí)還要針對電子政務(wù)云平臺在使用過程當(dāng)中相關(guān)人員的違規(guī)行為制定完善的懲罰措施，并在安全管理活動開展的過程當(dāng)中進(jìn)行嚴(yán)格落實(shí)，從而有效實(shí)現(xiàn)電子政務(wù)云平臺信息安全的動態(tài)化監(jiān)管。此外，還要明確電子政務(wù)在法律方面的地位，不斷強(qiáng)化電子政務(wù)信息安全法律法規(guī)的可操作性，隨著本年度《中華人民共和國數(shù)據(jù)安全法》的出臺，并已確定于2021年9月日正式施行，從價(jià)值維度上統(tǒng)籌了總體國家安全觀，從制度維度上明確了數(shù)據(jù)安全兼管制約職責(zé)、完善了數(shù)據(jù)分類分級保護(hù)制度并強(qiáng)化了違法行為處罰力度，從發(fā)展維度上確立了數(shù)據(jù)安全于開發(fā)利用并重。因此《數(shù)據(jù)安全法》對于目前的電子政務(wù)云平臺的數(shù)據(jù)安全而言，無疑是一劑強(qiáng)心針，能有效保證電子政務(wù)云相關(guān)工作人員得到法律法規(guī)的兼管，并能促進(jìn)數(shù)據(jù)依法合理有效利用，能夠嚴(yán)格約束網(wǎng)絡(luò)非法分子的行為，進(jìn)而提升電子政務(wù)云平臺信息安全系數(shù)。

3 結(jié)束語

綜上所述，電子政務(wù)云平臺在政府部門工作當(dāng)中的應(yīng)用能夠有效提升工作的效率和質(zhì)量。不過其在具體實(shí)踐運(yùn)用的過程當(dāng)中也會帶來一定的安全風(fēng)險(xiǎn)，這就需要相關(guān)人員要做好電子政務(wù)云平臺的安全管理工作，建立完善的數(shù)據(jù)保護(hù)機(jī)制，同時(shí)還要對相關(guān)的法律法規(guī)進(jìn)行不斷健全，進(jìn)而為電子政務(wù)云平臺的運(yùn)行建立良好的保護(hù)屏障，促進(jìn)電子政務(wù)云平臺在政府工作過程當(dāng)中發(fā)揮出最大的價(jià)值。