數字政府建設過程中的網絡安全問題研究

　　摘要：數字政府建設是時代的要求，加快建設數字政府，發展數字經濟，建設一個數字化、網絡化、智能化社會，打造數字化生態，網絡和數據安全顯得尤為重要。在數字政府建設過程中，要提升全社會特別是政府部門的網絡安全意識及貫徹落實網絡安全等級保護制度的行動力，建設良好的網絡安全生態環境，護航數字政府發展。本文重點從數字政府建設過程中的數據安全、系統安全、設備安全等方面分析了存在的問題，提出了建設性的意見建議。

　　互聯網時代，基于現代計算機、網絡、通信等技術的支持，政府機關日常事務處理，信息的收集、發布，公共管理事務逐步在數字化、網絡化的環境下進行，新技術、新應用促進國家治理的網絡化、數字化、智能化，以新一代信息技術為支撐的國家行政管理形式應運而生，能夠全面提升政府在相關領域的履職能力，形成現代治理新模式，即數字政府。

　　數字政府的建設離不開網絡的支持，網絡在具體應用中不可避免會面臨網絡安全問題。早在2018年4月20日至21日，習近平總書記在全國網絡安全和信息化工作會議上發表講話：沒有網絡安全就沒有國家安全，就沒有經濟社會穩定運行，廣大人民群眾利益也難以得到保障，將網絡安全的地位上升到國家安全的地位。網絡安全是政府部門和人民群眾需要共同面對和解決的問題，為宣傳網絡安全相關知識，提高全民網絡安全意識，每年的網絡安全宣傳周期間，以“共建網絡安全，共享網絡文明”為主題，圍繞重點領域和行業的網絡安全問題、社會熱點問題，舉辦一系列主題宣傳活動，讓更多人了解和掌握網絡安全防范方法，提高網絡安全人人有責的意識。

　　1.數字政府建設過程中面臨的網絡安全問題

　　數字政府建設過程中的網絡安全問題，一是在對電子政務等平臺收集到的個人或企業信息要確保其安全性，不得隨意泄露收集到的個人或企業信息，也就是數據安全問題，“十四五”規劃中也提到要“保障國家數據安全，加強個人信息保護”；二是電子政務系統安全方面，平臺建設、使用、維護等方面要保證系統設備的安全，包括軟件、硬件安全，管理上的安全，管理制度完善、管理人員齊全、人員背景要清楚，嚴格按照網絡安全等級保護2.0標準去做各項工作。

　　1.1數據安全

　　數字政府建設是時代的要求，在數字政府建設的過程中必然涉及一些電子政務平臺及App的開發和使用，這當中又涉及平臺本身的安全性和平臺中數據的安全性，尤其現在普遍存在的App過度收集用戶個人信息問題，作為政府部門在平臺建設使用維護過程中對于合法合規收集到的個人信息要保證其安全性，同時要避免過度收集個人信息問題，否則一旦出現問題會造成負面影響，按照《數據安全法》規定，要求國家機關為履行法定職責的需要收集、使用數據時，應當在其履行法定職責的范圍內依照法律、行政法規規定的條件和程序進行；同時對在履行職責中知悉的個人隱私、個人信息、商業秘密、保密商務信息等數據應當依法予以保密，不得泄露或者非法向他人提供.

　　1.2存儲安全

　　數字政府建設過程中產生的數據以及網站、系統等收集的數據要保證存儲安全，數據作為核心資產，安全的存儲是數據保護的防線，通常采用數據加密和認證授權的管理技術來解決數據的安全存儲，在實際的具體操作中，數據采用的加密算法很重要，不能通過簡單的攻擊破解就讓數據泄露，認證授權的管理員一定要根據工作需要和范圍給予相應授權，不可以超范圍授權。

　　1.3應用安全

　　數據具體在應用過程中，例如某單位使用的系統中的數據，僅限于工作的需要來查詢、使用數據，設定好使用人員，堅決不能讓工作不需要的人員訪問相關數據，同時授權訪問人員不能將數據用作工作以外的其他用途，也要對數據有一定的監測機制，一旦發現異常使用數據行為要根據相關規定進行處理。所以對數據采集、使用單位、人員的業務要有約束性規定，對個人信息的各項處理工作一定要在合法合規的情況下進行。

　　1.4設備安全

　　通過分析相關網絡安全事件，可以清晰地認識到新型基礎設施建設發展中設備安全、供應鏈的安全至關重要。充分認識到關鍵信息基礎設施往往是網絡戰中的首要攻擊目標，通過拒絕服務攻擊、高級可持續攻擊、漏洞利用、釣魚攻擊、供應鏈攻擊等多種攻擊方法組合，對電力設施、廣播電視網絡等關鍵信息基礎設施造成致命的打擊。

　　1.5網站安全

　　政府網站的安全問題需要得到有效保障，重要的是保證網站服務器的安全，往往服務器面臨的安全問題有：惡意程序、網絡攻擊、數據庫破壞等軟件安全問題和服務器所處物理環境的溫度、濕度、靜電等環境因素的安全。

　　1.6供應鏈安全

　　數字政府建設過程中涉及的相關軟件有的是第三方軟件公司開發的，這就要求處于軟件供應鏈上的軟件設計與開發各個階段，包括編碼過程、工具、設備或供應鏈上游的代碼、模塊和服務上的安全，同時保證軟件交付渠道的安全。

　　供應鏈攻擊針對企事業單位的外部合作伙伴、供應商或第三方服務商的相關工業技術產品在開發、交付、使用等環節進行破壞。為避免攻擊事件的發生，一定要保證供應鏈的安全。數字政府建設過程中，相關單位或部門應該使用符合等級保護要求下的不得有惡意程序的設置的網絡產品、服務，擁有發現安全威脅、漏洞立即采取補救措施的能力。

　　1.7人員安全

　　數字經濟發展過程中對具體負責網絡安全管理工作的人員來說，政治素質、法律素養、保密意識、專業水平等方面必須具備應有的要求。

　　首先，政治素質要高，從思想上認識到網絡安全工作的重要性，沒有網絡安全就沒有數字政府的安全，數字政府的安全是國家安全的一部分，將國家利益放在第一要位，絕不能因為個人經濟利益讓國家利益、國家安全受到危害。網絡安全作為國家安全總體觀中的一部分，要切實重視網絡安全，提高網絡安全意識，貫徹落實網絡安全各項規章制度。

　　其次，網絡安全相關人員要有一定的法律素養，知法懂法守法，從網絡安全管理的角度出發，必要的網絡安全等級保護相關法律法規要熟悉，避免因工作不到位引起不可承受的后果。

　　第三，網絡安全管理相關人員要有一定的保密意識，自身工作范圍內的擁有權限的數據一定要管好守好用好，千萬不可將數據泄露，掌握的系統賬號也不可以借予他人使用。

　　第四，第四，專業水平上，網絡安全管理及技術人員要積極學習新技術跟上技術的發展、時代的進步，通過不斷學習提高自身網絡安全技術及管理水平。具有動態管理網絡安全理念，要充分認識到隨著網絡系統的應用，新的威脅也可能隨之產生，進而具備網絡動態防御能力。

　　1.8管理安全

　　數字政府建設過程中，需要各類信息系統、平臺、APP等的實現與支持，對這些信息系統、平臺、APP等的安全管理顯得尤為重要。

　　第一是系統要有嚴格的使用制度，不同需求的人員分配不同的權限，杜絕超范圍訪問系統；第二，系統設置密碼復雜度，不允許系統存在弱密碼，降低系統的安全性；系統具有密碼定期強制修改功能，避免長時間使用一個密碼引起的不安全因素；第三，數據要有備份，萬一發生系統數據災難能夠及時將數據恢復；第四，如果自行管理系統所在服務器，注意服務器所在電力、溫度、濕度、靜電等環境因素的保障，電子設備對環境的要求比較高，要避免因為環境因素導致服務器的癱瘓、數據的丟失等情況的發生。

　　2.解決措施

　　政府部門應當以總體國家安全觀為統領，堅持安全可控與開放創新相結合，建立與數字政府相適應的網絡安全綜合防御體系。一是深入貫徹落實網絡安全法律法規和各項制度要求，構建從制度、管理和技術有機銜接的數字政府網絡安全綜合防護體系。二是加強法律法規制定、隊伍建設、人才培養、經費和裝備保障、技術攻關、產業發展，建立網絡安全綜合保障體系。三是加強網絡安全監管和偵查打擊等工作，建立健全“打-防-管-控”一體化防御的網絡安全保衛體系。

　　2.1頂層設計

　　領導重視，機構規范，人員齊全。

　　領導自身要提高網絡安全素養，從思想上重視網絡安全，從行動上落實網絡安全，建立數字政府網絡安全領導體系，加強對網絡安全工作的組織領導，建立專門網絡安全管理機構，組織開展網絡安全各項工作；制定網絡安全規劃和標準規范，保障網絡安全保護措施與數字政府建設過程中實現“同步規劃、同步建設、同步使用”的三同步原則；在數字政府建設中，將個人信息保護制度、數據安全保護制度、網絡安全等級保護制度、關鍵信息基礎設施保護制度有機銜接，統籌協調落實；嚴格落實有關法律法規，建立網絡安全責任制和責任追究制度。

　　此外，通過領導干部的數字素養提升來深入推進數字化發展，領導干部要有數字意識。中央網絡安全和信息化委員會2021年10月印發的《提升全民數字素養與技能行動綱要》對領導干部等提出了要著重提升數字化治理能力的目標要求。因為領導干部數字素養與技能整體水平是賦能數字政府發展的重要環節，同時也決定了我國全民數字素養與技能提升的高度，領導干部要具備一定的數據思維，通過數據為相關決策做支撐。

　　2.2加強定期培訓或演練

　　合理根據單位涉及的軟、硬件系統本身以及相關業務數據本身培訓網絡安全知識。無論領導如何重視，單位如何培訓，最關鍵的是具體負責網絡安全工作的相關人員要將培訓學習內容入腦入心，將網絡安全責任真正擔當起來，落實到具體工作中，做到安全管理、應用系統及相關數據的安全使用、存儲等環節中；同時，相關網絡安全工作人員要有終身學習的態度和行動來應對不斷發展的網絡安全技術和不斷出現的網絡安全新威脅。

　　2.3落實網絡安全等級制度

　　各級政府機關要帶頭嚴格按照網絡安全等級保護制度備案要求落實網絡安全等級保護制度。按照《網絡安全法》有關要求以及公安部牽頭制定的網絡安全等級保護政策和國家標準，深入開展網絡安全保護工作，筑牢網絡安全基石，建立良好的保護生態。按照《關鍵信息基礎設施安全保護條例》等法律法規和有關政策文件，落實關鍵信息基礎設施安全保護制度。從分析識別、安全防護、檢測評估、監測預警、技術對抗、事件處置等方面，認定關鍵信息基礎設施，強化關鍵信息基礎設施安全保護。落實數據安全保護制度。按照《數據安全法》要求，建立數據分類分級制度，數據安全保護管理制度，數據流轉、交易、出境等管理制度，數據安全檢測評估、安全審查、出境安全評估、安全風險監測、突發事件應急處置和報告制度，從數據采集、存儲、處理、應用、提供和銷毀等各個環節，加強數據全生命周期保護。

　　2.4網絡管理人員自我能力的提高

　　社會在進步，新知識、新技術不斷涌現，如何在數字政府建設過程中保證自身涉及的業務安全，需要網絡安全相關人員通過自己的努力不斷提升網絡安全管理水平，促進數字政府建設健康發展。

　　2.5資金投入

　　數字政府網絡安全保障工作需要建立完善經費保障制度，加強網絡安全投入、加強自主可控和創新工程安全管理、加強網絡安全教育訓練體系建設，建立完善網絡安全人才發現、選拔、使用機制，加強網絡安全教育訓練和人才培養，所有的保障措施都需要經費的支持。

　　2.6網絡安全人才培養

　　面對網絡安全人才的缺乏，政府相關部門加大對網絡安全人才培養院校的資金支持，加大對網絡安全人才引進的優惠政策。加強網安全教育訓練體系建設，建立完善網絡安全人才發現、選拔、使用機制，加強網絡安全教育訓練和人才培養。

　　2.7提升數據共享、數據分析能力

　?。?）通過數據分析提高打擊犯罪能力

　　數字政府建設的核心是數據，目前，我們的數據共享機制也需要進一步提高，同時對各類數據進行整體分析的角度、維度都有發展的空間。例如，在分析某住戶的煤氣、水、電等數據時，發現該用戶每個月沒有煤氣、水的費用支出，但是用電量非常大，這可能就是疑點，因為現在的電信網絡詐騙當中經常會用到的設備GOIP。

　　（2）通過數據分析發現安全隱患

　　大數據時代，要充分挖掘數據帶給政府、社會的價值。數字政府建設過程中的網絡安全問題研究中，應該也必須包含數據的安全使用及分析數據的價值。例如我們的用水數據，在用水量監測中，如果發現某段管網某個時間有高于平時很多的用水量，就需要考慮是否該管網段有漏水情況發生，在一些智能化小區，智能化用水中，是同樣的道理可以發現是否有漏水情況發生，所以要充分利用數據拓寬數據分析的角度、維度，挖掘出數據的價值，為相關決策作數據上的支撐。

　　3.結束語

　　本文對數字政府建設過程中的網絡安全問題主要從數據安全、系統安全等角度進行了分析。針對存在的網絡安全問題，提出了頂層設計、加強定期培訓或演練、落實網絡安全等級保護制度、網絡管理人員能力提高、資金保障、網絡安全人才培養、提升數據共享、數據分析能力等方面解決網絡安全問題的措施在不斷推進。

更多精彩，請關注“官方微信”