电子政务网络安全风险评估问题发现及保障建议【最新】 .pdfVIP

电子政务网络安全风险评估问题发现及保障建议【最新】

电子政务网络安全风险评估问题发现及保障建议

近些年，随着统筹协调机制、“互联网政务服务”、信息资源整

合共享等概念的出现和逐步落地，以及数字化、网络化、智能化为特

质的新一代信息通信技术(ICT)加快驱动，政府再次转型驶入新型电子

政务建设快车道。电子政务领域信息系统也从早期的门户网站、邮件

系统、办公系统不断得到创新和运用，网上办公、数据集中、各种业

务支撑系统层出不穷。与此同时，这些信息系统面临的网络安全问题

也越来越突出。本文总结分析近些年对电子政务领域各种信息系统进

行风险评估过程中发现的网络安全问题，分析电子政务网络安全发展

趋势，提出安全保障建议，旨在为新型电子政务建设以及政府治理体

系根本性变革提供参考。

一、电子政务信息系统网络安全面临的问题和挑战

(一)安全设计与应用实现存在匹配失衡现象，敏感数据防护手段不

成熟，数据安全不容乐观

电子政务作为国家重要信息系统，承载包括国家、企业以及个人

的敏感信息，成为黑客组织、商业情报机构的关注焦点。我国电子政

务领域信息系统建设“交钥匙工程”现象仍然存在，安全设计和应用

实现不够合理和科学，不能抓住安全和业务的平衡点，业务系统最终

呈现出的结果背离最初安全设计目标和预期使命。粗放型的管理

理念和管理体系与现有安全管理工具不能相互融合支撑。同时，注重

外围边界安全，忽视内网安全，只重视以网关产品为主要形式的边界

防御，对内部网络、业务应用和数据安全的管理不够重视，无法保证

整体网络安全性。数据加密存储或加密传输手段实现比例很低，缺乏

切实有效的数据防外泄手段，敏感数据得不到重点保护，缺少实质性

的安全防护措施。目前，数据窃取的技术手段与工具也在快速发展，

数据泄露的风险进一步加大，数据安全形势不容乐观。

(二)信息系统建设运维人员组成复杂，面对新应用新技术应急资源

未得到合理有效整合

电子政务信息系统设备非国产化问题还未得到彻底解决，安全设

备购买后要么“裸奔”，要么被束之高阁。一些单位还购买了专门的

安全服务，将信息系统安全配置与管理全权交给集成或安服公司，虽

然在一定程度上节省了专业人员的培养成本，但是，随着厂商业务的

拓展、售后服务人员的更迭、产品质保期的结束，会产生很多不可控

的因素，人员安全意识、安全技能以及安全防护水平均存在参差不齐

的现象，网络安全保障受制于人。随着无线网络、云计算、大数据等

技术的不断普及，移动执法、移动监测、移动服务、移动媒体等广泛

应用，恶意代码攻击、个人隐私泄露的途径也在不断扩大。电子政务

领域网络安全应急方面主要问题表现在缺少供决策者作战指挥的固

定场所，导致参与应急处置的各级人员比较分散，应急演练走过

场或完全不开展;各部门横向之间的职责分工在一定程度上存在职责交

叉和管理脱节的现象;彼此之间沟通协调存在问题，各应急力量和资源

得不到合理有效的利用，缺乏综合分析评估平台和支撑性应急资源数

据库。

(三)电子政务网络存在内外网通路，地方政府门户网站仍是重灾区

和黑客攻击首选入口

我国电子政务信息系统主要由政务内网和政务外网组成，还存在

大量的政务专网。这些不同的信息系统在建设初期并未统一协调规划，

由于某种原因各级政府部门出现“重内(专)网，轻外网”的现象，从而

导致电子政务系统整体存在安全隐患。部分政务系统的边界不清，在

网络建设过程中没有考虑内外网数据的可控交换，导致部分在内外网

交叉使用的业务应用系统打通了内外网间的通道，且内部使用的重要

系统外网接口普遍存在多个，黑客可通过跳板方式由外网渗透入内网，

最终导致内网重要敏感数据的外泄。另一方面，因政府行业门户网站

公信力高、影响力大，容易成为黑客攻击目标。相对各大部委网站，

地方政府网站由于重视和投入程度不够，成为遭受攻击的“重灾区”，

遭到境外黑客组织频繁攻击，影响我国政府形象及电子政务工作。

(四)安全保障工作一成不变，安全防护措施发展滞后，难以应对新

型复杂的安全威胁

我国电子政务系统的管理机构责权不清，导致上到国家各级职能

管理部门，下到某机构内部的信息科技办、信息安全中心、业务发展

中心等众多部门，协调管理不统一、政令不通畅。虽然随着网络安全

相关法律法规、规范要求的出台和强制执行，各机构单位逐步建立健

全了安全管理制度，却存在“千年不变”“纸上谈兵”的现象，几乎

没有专职的安全管理员，且大多兼任其他管理岗位，对人员安全技能

和安全知识的考核