数字政府建设中政务云安全保密风险分析与应对
在数字化、网络化的环境下,数字政府指明了信息化时代政府治理的发展方向,是助力"智慧城市""数字中国"建设的新途径。电子政务系统作为服务于中央和各级政府机关及企事业单位的政务平台,是我国政务服务的重要基础设施,也是各级人民政府履行职能、面向社会提供服务的重要平台和渠道。
当前,云计算技术作为分布式计算、效用计算、负载均衡、并行计算、网络存储等计算机技术混合演进并跃升的结果,使得接入用户可以使用网络上的庞大计算资源与数据资源,深刻改变了传统的政务信息管理方式。在云计算技术的支持下,我国在电子政务领域取得了举世瞩目的成绩,在提升行政效率、推动管理创新以及优化公共服务等方面找到了新的突破口和着力点。需要注意的是,我国数字政府建设中政务云安全形势不容乐观,由于政务云系统中通常存储着大量的敏感信息,如城市规划数据、居民社保信息等,一旦发生被不法分子窃取或破坏的安全事故,就会影响公共服务的正常开展,严重损害政府的公信力。
政务云的安全保密风险
1.云信息内容的丢失或泄露。在电子化、无纸化趋势的推动下,政务信息以逐步扩大的数据体量和不断提升的存取速度被存储于云载体中。而计算机与云服务器的网络环境无法确保信息内容的永久安全,当云服务商与运营商受到黑客攻击或自身存在安全漏洞时,云政务信息就面临着丢失的风险。例如,以WannaCry为代表的勒索病毒,影响了政府、金融、能源、医疗等众多行业与领域,造成了严重问题。在某些情况下即使受害者支付了赎金,仍有部分或全部数据被恶意删除。更为严重的是,由于同组云服务器互联互通、相互调用,当某个服务器感染了计算机病毒或木马时,病毒或木马会在短时间内散布到其他终端和服务器中。特别是,政务云平台的数据集中化、电子政务办公系统的全面接入,可能使因安全问题带来的损失呈指数级的增长,最终导致系统一旦受到恶意攻击,会有大量政务云服务器瘫痪,在一段时间内丧失提供政务云服务的能力。
2.云信息内容被更改或删除。为充分发挥数字政府云办公以及云政务信息对人民群众生产、生活和经济活动的服务作用,提高政府工作的透明度,政府信息公开条例规定,开设中国政府网作为国务院和国务院各部门以及各省(区、市)人民政府在国际互联网上发布政府信息和提供在线服务的综合平台。政务云平台上发布的信息内容涵盖面非常广,包括财政、国土资源、农林、司法、人事、扶贫等,是民众了解国家政策和政府动态的重要窗口。这意味着国家与政府公信力在很大程度上与政务信息相绑定,政务信息一旦遭到恶意篡改,将对政府公信力带来不同程度的损害。如当运营维护工程师操作失误或者有意将信息内容删除,会使云平台中的数据信息丢失或被篡改。此外,为了防止木马程序或恶意代码侵入云平台,工程师通常需要采取隔离措施或者安全防范策略,当这些策略或措施本身不完善时,也极易造成政务信息丢失或被篡改。
3.云信息内容被拦截或盗取。在传送信息内容时,数据包很容易受到黑客的恶意拦截或者盗取。黑客可以通过篡改文件内容,如修改银行账户等重要信息,利用受害人对政府的信任,骗取受害人转账汇款,给受害人带来严重的经济损失。云服务提供商同样存在私自复制用户画像或数据的问题,使敏感信息出现泄露的隐患与风险。
4.网络攻击与技术漏洞。政务云平台通常由政府工作人员负责,如果缺乏信息安全知识,很容易遭受钓鱼网站以及恶意代码攻击,泄露管理账号密码。攻击者通过窃取的管理员账号密码,可以登录政务云平台,窃取政务敏感信息或恶意篡改政务信息。同时,针对政务云平台的拒绝服务攻击也十分常见。攻击者运用DDoS攻击或者其他方式,破坏政务云平台的正常功能,阻止用户获取真实的政务信息或进行事务办理,严重情况可导致事务办理系统瘫痪。此外,云计算技术的广泛应用极大地加快了政务云信息的交互与发布。然而,云计算技术具有虚拟化等技术特征,传统安全策略和检测模型效果有限,增加了安全认证机制的技术难度,导致恶意代码以及病毒的传播速度呈指数级提升,更增加了政务云安全问题的发生率。
5.安全保密监管存在挑战与风险。有赖于云计算的高效资源共享优势,政务信息发布以及事务办理等功能可以很容易地在政务云平台进行分布式部署和应用。但是,电子政务的互联互通突破了传统的物理边界,使系统边界产生了动态变化,带来了持续监管难、边界不可控等问题,导致数据泄露的溯源更为困难。传统的安全保密监管模式一般仅关注于本单位内网。在政务云信息互联互通的时代背景下,各单位内网的互联互通成为必然趋势。因此,单纯针对内网的安全保密监管模式亟须改进。需要注意的是,政务云的安全保密要求高,在动态监管、网络可用性和资产管理等方面都要加强跨部门协作,形成有效监管与整体联动。特别是,当前网络安全形势严峻复杂,而我国的基础支撑和自主创新能力欠缺,平台与技术均受制于人,加大了安全保密监管的难度。
6.网络安全等级保护2.0落实难。《网络安全法》第二十一条规定,国家实行网络安全等级保护制度。网络安全等级保护制度是我国信息安全保密工作的基本制度,是开展信息安全保密工作的基本方法,也是促进信息化、维护国家安全的基本保障。为落实《网络安全法》相关要求,2019年5月,我国发布了《信息安全技术 信息系统安全等级保护基本要求》等标准,标志着网络安全等级保护正式进入2.0时代。然而,目前仍然存在着安全责任尚未划分、典型技术防护方案尚未落实部署,以及等级测评、安全整改、执行监督不到位等问题,严重削弱了网络安全等级保护2.0对政务云安全防护的实效性。
政务云的安全防护
1.加快政务云安全标准体系建设。要加快健全数字政府信息安全保密管理机制,完善政务云安全保密政策与法规标准体系,由专人负责政务云安全保密监督,在信息公布前首先进行审核与监督,并做好政务数据泄露的应急响应预案。各地要高度重视数字政府建设中政务云的信息安全保密问题,保护公民个人信息以及重要政务信息,形成数据资产清单,并对涉密信息保护进行规范化管理,为数据安全保密防护奠定基础。同时,针对不同级别的政务信息配备不同的访问权限,对系统管理人员进行严格的信息审核和身份认证,并不断提高政府电子政务信息开发人员的安全保密意识,增强对政府涉密信息泄露危害性的认识,切实保障政务云安全。
2.推动网络安全等级保护2.0落地实施。有关部门要及时出台建设标准和指导意见,从政策制定与执行落实两方面形成合力,保证网络安全等级保护2.0落实,提高政务云安全防护水平。要加强网络安全等级保护2.0的宣传,特别是要加强针对政务云平台主管领导的宣传,提高其对网络安全等级保护2.0的重视程度。要加强对网络安全等级保护2.0的执行监督,不断强化内部监督,由政务云平台的主管领导肩负起网络安全的主体责任;不断强化行业主管监督,由各行业主管部门肩负网络安全的主管责任,督促本行业、本领域的网络运营者遵守法律规定,落实网络安全等级保护2.0。要加大执法检查力度,对不履行网络安全等级保护2.0的违法行为依法进行处罚,通过强制手段来促使网络安全等级保护2.0的实施。
3.健全责任落实和安全管理系统。政务云平台安全保密的责任主体属于系统建设单位自身,必须承担相应的网络安全保密责任,而云服务提供商负责云平台及所提供云服务的安全防护。在不同的云计算服务模式下,云服务提供商和系统建设单位在安全责任划分上有一定的差异和交集,双方需要明确各自的具体责任,根据网络安全等级保护2.0的要求,切实做到政务云信息的安全存储。同时,作为网络安全等级保护2.0新增的控制措施,安全管理中心在保障政务云安全中起着不可替代的作用,要做好管理人员身份鉴别和责任划分,系统管理员、审计管理员和安全管理员要各司其职,运用先进的深度挖掘和分析技术,加快构建实时识别、分析、预警安全威胁的统一安全管理系统。
4.加强自主研发,统一行业标准。核心软件与技术的自主知识产权是数字政府建设中政务云安全的根本,使用自主研发的云平台能最大限度地避免数据窃取,因此必须加快核心技术攻坚,坚定不移地推进自主可控建设,以打造整网的安全保密监管核心。同时,要对全国政务云平台布局进行统筹规划,并制定政务云平台软硬件行业标准,从源头上提升政务云系统集成性,降低调用复杂度,便于各级各部门政务信息共享以及通过大数据技术进行关联分析。
5.提升云平台软硬件的可靠性。政务云平台的运营与维护以及政务信息的发布需要使用很多设备,而设备在长时间不间断运行或者缺少更新的情况下抗风险能力会变弱,因此重要政务信息备份并严控访问权限十分重要。要选择安全等级更高的云服务提供商,并对政务信息进行底层加密,防止云服务提供商窃取政务信息。要建立协同共享机制,搭建全方位态势感知平台,充分利用大数据挖掘与深度学习技术,推动多平台、内外部威胁信息的快速交互,提高网络安全保密防护能力。要做好日常管理和应急响应工作,针对云平台与终端的不同特点,加强风险管理,定期查杀木马病毒,定期开展等级测评与应急响应演练工作。要引入新技术,不断升级密码技术、防火墙技术和入侵检测技术,善于使用先进技术为政务云安全提供可靠保障。
6.数据安全的全生命周期监控。作为政务云安全防护的最底层,任何对数据的产出、流转、修改、盗用或删除都会导致政务云安全防护的整体性溃败。因此,必须对数据安全的全生命周期进行监控,运用数据脱敏、数据隐私保护、密文检索、同态加密等技术手段,协调政务云平台和大数据平台安全性与可用性之间的平衡,充分利用大数据与政务云平台的计算优势,对安全风险实时预警;进行网络流量分析和数据访问热度分析,对被访问次数多的数据进行重点保护;集合政务云平台丰富的日志记录,实现基于UBAS(用户行为分析系统)的用户画像和行为审计,对安全事件和攻击行为进行深度追踪和溯源。
7.加强人才队伍建设。高素质的人才队伍是打造阳光政务生态工程的基础,是实现政务云安全风险管控的前提和保障。要加强政务云安全防护人才队伍建设,制订专业培训计划,定期组织开展业务培训,着力培养信息安全保密相关技术、审核、监控和法律人才,充分发挥专业人才在政务云安全保密工作中的作用。