關(guān)于加快構(gòu)建山西省政務(wù)云安全體系的思考

閆曉杰

政務(wù)云平臺是是數(shù)字政府的重要組成部分，為社會公眾提供一體化的安全、高效、便捷、優(yōu)質(zhì)政務(wù)服務(wù)，對加快政府?dāng)?shù)字化轉(zhuǎn)型和治理能力現(xiàn)代化具有重要意義。以山西省政務(wù)云為研究對象，結(jié)合相關(guān)文獻(xiàn)研究，從管理和技術(shù)兩大層面簡要分析了山西省政務(wù)云面臨的安全問題，在執(zhí)行國家政策、加強(qiáng)數(shù)據(jù)安全管理、提高網(wǎng)絡(luò)安全防護(hù)能力、人才培養(yǎng)、區(qū)塊鏈技術(shù)等方面提出有針對性建議。

習(xí)近平總書記指出，沒有網(wǎng)絡(luò)安全就沒有國家安全。政務(wù)云平臺是數(shù)字政府的重要組成部分。加快構(gòu)建政務(wù)云安全體系，為社會公眾提供一體化的安全、高效、便捷、優(yōu)質(zhì)政務(wù)服務(wù)，踐行了“以人民為中心”的發(fā)展理念，為政府?dāng)?shù)字化轉(zhuǎn)型和治理能力現(xiàn)代化提供強(qiáng)有力的基礎(chǔ)保障，對深化政府部門“放管服”改革、優(yōu)化營商環(huán)境、推動我國經(jīng)濟(jì)高質(zhì)量發(fā)展具有重要意義。

一、山西省政務(wù)云發(fā)展現(xiàn)狀

為加快山西省政務(wù)云建設(shè)，2018年以來，山西省人民政府先后出臺了《山西省級政務(wù)云平臺建設(shè)推進(jìn)實(shí)施方案》《山西省政務(wù)信息化項(xiàng)目建設(shè)運(yùn)用管理辦法》《山西省加快數(shù)字政府建設(shè)實(shí)施方案》《山西省數(shù)字政府建設(shè)規(guī)劃（2020-2022年）》等文件。自山西省級政務(wù)云平臺正式啟動以來，截止目前，省直政務(wù)信息系統(tǒng)“遷移上云”已基本完成，實(shí)現(xiàn)應(yīng)遷盡遷。業(yè)務(wù)應(yīng)用接入量持續(xù)增加，省直部門信息系統(tǒng)統(tǒng)籌集約建設(shè)效果顯著，“重復(fù)投資、條塊分割、煙囪林立、信息孤島”等問題得到有效解決，提升了政府各部門行政管理能力、協(xié)同服務(wù)能力和社會治理能力?！毒W(wǎng)上政務(wù)服務(wù)能力調(diào)查評估報(bào)告（2019）》顯示山西省的服務(wù)指數(shù)由71.33上升到81.08。在2019年可信云大會上，山西省政務(wù)云平臺獲得了全國“十佳政務(wù)云”和“可信政務(wù)云認(rèn)證”稱號。

政務(wù)云已成為政府向公眾提供網(wǎng)絡(luò)信息服務(wù)的關(guān)鍵信息基礎(chǔ)設(shè)施，涉及到的都是有關(guān)國家、社會公眾的重要信息，提高其系統(tǒng)的安全性至關(guān)重要。2019年12月1日，等保2.0相關(guān)制度發(fā)布，對政府部門的信息系統(tǒng)開展網(wǎng)絡(luò)安全等級保護(hù)成為安全防護(hù)的主要手段，有效地提升了政府信息系統(tǒng)網(wǎng)絡(luò)安全保障能力。但在工作中也暴露出一些安全方面的問題，對政務(wù)云的安全造成威脅。

二、政務(wù)云面臨的安全問題

（一）管理層面問題

一是安全意識不強(qiáng)，制度有待完善。部分地市和政府部門安全意識不強(qiáng)，對政務(wù)云安全工作重視不夠，部分地市沒有結(jié)合當(dāng)?shù)貙?shí)際情況做好頂層設(shè)計(jì)，信息安全保密管理制度不健全，有的部門或單位雖建有安全制度但沒有嚴(yán)格執(zhí)行，安全保護(hù)策略滯后，這些問題都給政務(wù)云安全管理帶來隱患。

二是安全人員配置與能力不足。一些經(jīng)濟(jì)相對落后的地區(qū)信息安全技術(shù)人員匱乏，現(xiàn)有的運(yùn)維人員的技術(shù)水平參差不齊，導(dǎo)致在政務(wù)云建設(shè)過程中“重建設(shè)、輕安全”，一些政府單位的網(wǎng)絡(luò)維護(hù)工作都是交給第三方單位，這也給政務(wù)云系統(tǒng)的運(yùn)行帶來風(fēng)險(xiǎn)。

（二）技術(shù)層面問題

一是數(shù)據(jù)面臨泄露風(fēng)險(xiǎn)。政務(wù)云涉及數(shù)據(jù)到的都是有關(guān)國家、社會公眾的重要信息，遷移上云后，容易成為國內(nèi)外敵對勢力、黑客攻擊的目標(biāo)。同時(shí)，大量的數(shù)據(jù)集中在政務(wù)云，數(shù)據(jù)在共享交換過程中要面臨不同單位、不同的系統(tǒng)、多個(gè)交換節(jié)點(diǎn)等問題，各個(gè)信息系統(tǒng)的安全機(jī)制、人員技術(shù)水平不同，一旦有一個(gè)環(huán)節(jié)出現(xiàn)問題導(dǎo)致數(shù)據(jù)泄露，后果不堪設(shè)想。

二是核心技術(shù)面臨缺失風(fēng)險(xiǎn)。在政務(wù)云平臺的建設(shè)過程中，由于缺乏自主可控的云平臺核心技術(shù)，一些系統(tǒng)安全問題逐新暴露出來，如穩(wěn)定性差、故障多。據(jù)不完全統(tǒng)計(jì)，僅2020年5月至今，由于政務(wù)云平臺故障造成山西省政府部門網(wǎng)站無法正常訪問已達(dá)70多次故障，占比全省故障的60%。同時(shí)由于軟件模塊往往由不同廠商提供，組件一致性差，整個(gè)系統(tǒng)不具備可擴(kuò)展性，很容易出現(xiàn)系統(tǒng)安全問題。

三是網(wǎng)絡(luò)面臨攻擊的風(fēng)險(xiǎn)。當(dāng)前網(wǎng)絡(luò)攻擊手段的多樣化，針對政務(wù)部門的數(shù)據(jù)攻擊方式和手段層出不窮，并且還有一些精準(zhǔn)式網(wǎng)絡(luò)攻擊，這些都為電子政務(wù)的正常發(fā)展和網(wǎng)絡(luò)安全帶來了不小的麻煩。病毒也是影響網(wǎng)絡(luò)安全的重要因素，它的破壞力強(qiáng)，在防范上也存在一定的難度。部分地市的政務(wù)云系統(tǒng)對病毒庫和系統(tǒng)的升級滯后，加大了整個(gè)網(wǎng)絡(luò)被病毒侵害的安全隱患。

三、建議措施

（一）嚴(yán)格執(zhí)行國家相關(guān)政策

按照《國家安全法》《網(wǎng)絡(luò)安全法》中對各職能部門、系統(tǒng)運(yùn)營者、網(wǎng)絡(luò)運(yùn)營商、個(gè)人等規(guī)定有效履行各項(xiàng)職責(zé)任務(wù)，落實(shí)網(wǎng)絡(luò)安全責(zé)任，全面提升政務(wù)云相關(guān)人員安全意識，加強(qiáng)統(tǒng)籌協(xié)調(diào)和頂層設(shè)計(jì)，強(qiáng)化業(yè)務(wù)指導(dǎo)和管理，推動形成管理合力。同時(shí)嚴(yán)格執(zhí)行國家頒布的《電子行業(yè)15項(xiàng)國家標(biāo)準(zhǔn)報(bào)批公示》和《國家電子政務(wù)標(biāo)準(zhǔn)體系建設(shè)指南》，健全安全管理制度，及時(shí)更新制度，加強(qiáng)對機(jī)房和相關(guān)人員的管理，確保制度嚴(yán)格執(zhí)行。

（二）加強(qiáng)數(shù)據(jù)安全管理

結(jié)合剛頒布的《數(shù)據(jù)安全法（草案）》，加快構(gòu)建數(shù)據(jù)全生命周期安全管理體系，制定數(shù)據(jù)分級分類規(guī)范，對數(shù)據(jù)的操作權(quán)限進(jìn)行分級確認(rèn)，保證核心敏感數(shù)據(jù)的重點(diǎn)保護(hù)，如加密存儲等。按照數(shù)據(jù)安全級別做好備份工作，同時(shí)加強(qiáng)對備份的數(shù)據(jù)校驗(yàn)，確保數(shù)據(jù)數(shù)據(jù)的完整性和可用性。數(shù)據(jù)安全治理可借鑒國內(nèi)首個(gè)全服務(wù)化政務(wù)云安全項(xiàng)目“成都市政務(wù)云——數(shù)據(jù)安全治理項(xiàng)目”建設(shè)經(jīng)驗(yàn)。為避免某個(gè)政務(wù)云平臺宕機(jī)造成全部信息系統(tǒng)癱瘓的風(fēng)險(xiǎn)，政府部門可根據(jù)業(yè)務(wù)重要程度考慮多云策略，將政務(wù)云分別放在不同服務(wù)商的云平臺上。

（三）提高網(wǎng)絡(luò)安全防護(hù)能力

建設(shè)網(wǎng)絡(luò)安全態(tài)勢感知通報(bào)預(yù)警平臺和網(wǎng)絡(luò)安全綜合實(shí)戰(zhàn)平臺，從實(shí)戰(zhàn)出發(fā)，針對敵對勢力、黑客的入侵攻擊，開展實(shí)時(shí)監(jiān)測。定期對信息系統(tǒng)進(jìn)行病毒查殺，及時(shí)修復(fù)系統(tǒng)漏洞，升級病毒庫，增抵御病毒的能力。嚴(yán)格按照等保2.0要求做好安全管理措施和技術(shù)保護(hù)。采用入侵檢測、入侵防御系統(tǒng)、堡壘機(jī)和防火墻等安全防護(hù)設(shè)備和可信計(jì)算技術(shù)、自主可控的密碼技術(shù)等技術(shù)進(jìn)行聯(lián)合防護(hù)，強(qiáng)化防護(hù)效果。

（四）加強(qiáng)信息安全領(lǐng)域人才引進(jìn)與培養(yǎng)

結(jié)合山西省電子政務(wù)發(fā)展現(xiàn)狀和規(guī)劃，引進(jìn)急需的信息化安全領(lǐng)域高端人才。鼓勵信息化龍頭和優(yōu)勢企業(yè)與山西高校建立人才實(shí)訓(xùn)基地，加快信息化安全領(lǐng)域?qū)I(yè)人才培養(yǎng)，同時(shí)加強(qiáng)對現(xiàn)有技術(shù)人員的素養(yǎng)和技能培養(yǎng)，提高應(yīng)急處置能力。加強(qiáng)信息化安全領(lǐng)域人才儲備，原各政府部門的信息中心不乏優(yōu)秀的既懂技術(shù)又熟悉業(yè)務(wù)的人員，可以合理利用這部分人才資源充實(shí)到信息化安全人才隊(duì)伍中，為電子政務(wù)安全發(fā)展提供強(qiáng)大的人才智力支撐。

（五）加快區(qū)塊鏈技術(shù)在政務(wù)云中的應(yīng)用

近幾年，區(qū)塊鏈技術(shù)快速發(fā)展，應(yīng)用領(lǐng)域已經(jīng)延伸到金融、物聯(lián)網(wǎng)、教育、智能制造等多個(gè)領(lǐng)域，區(qū)塊鏈技術(shù)通過分布式記賬方式，建立一種安全、可信的鏈?zhǔn)綌?shù)據(jù)結(jié)構(gòu)，具有去中心化、不可篡改、可溯源等技術(shù)特性。這些技術(shù)優(yōu)勢使政府部門能夠在一個(gè)透明的平臺上處理大量信息，可以有效應(yīng)對政務(wù)云平臺“一站式服務(wù)”“網(wǎng)上辦事”“政務(wù)信息公開”等公共服務(wù)，鼓勵有條件的地市加快區(qū)塊鏈技術(shù)在政務(wù)平臺的應(yīng)用，提升政務(wù)云安全保障能力。