數(shù)字化改革背景下電子政務(wù)數(shù)據(jù)安全研究

宋光信　高和平

關(guān)鍵詞：數(shù)字化改革；數(shù)據(jù)安全；電子政務(wù)

中圖分類號：TP393 文獻標識碼：A

文章編號：1009-3044（2023）14-0076-04

0 引言

近年來，浙江省完成了“最多跑一次”改革[1]，加強數(shù)字化改革，推動政務(wù)服務(wù)向更加高效、便捷、智能化的方向發(fā)展。而溫州的數(shù)字化改革走在了全省的前列，這也表明了政府對于數(shù)字化改革的重視，但在數(shù)據(jù)安全方面，仍然存在許多挑戰(zhàn)。電子政務(wù)所涉及的數(shù)據(jù)信息越來越多，網(wǎng)絡(luò)數(shù)據(jù)安全也變得越來越重要，如何確保在數(shù)字化改革過程中保護數(shù)據(jù)完整性、可用性、可靠性和保密性，這是一個重要的問題。隨著《中華人民共和國數(shù)據(jù)安全法》的立法和實施，我國將數(shù)據(jù)安全提升到了非常高的高度，電子政務(wù)系統(tǒng)需要更加嚴格地執(zhí)行數(shù)據(jù)安全相關(guān)要求，保護政府和百姓個人的數(shù)據(jù)安全。

1 電子政務(wù)數(shù)據(jù)安全概述

1.1 數(shù)據(jù)安全的概念

現(xiàn)在是數(shù)字化的時代，數(shù)據(jù)的安全性是至關(guān)重要的，在網(wǎng)絡(luò)環(huán)境中，保護數(shù)據(jù)的安全性是指防止未經(jīng)授權(quán)者訪問電子政務(wù)數(shù)據(jù)、修改或刪除數(shù)據(jù)的一種技術(shù)手段。為了實現(xiàn)數(shù)據(jù)安全，可以采取多種措施，如使用密碼、數(shù)據(jù)備份、加密和審計等技術(shù)或管理手段。這些措施的目的是保證數(shù)據(jù)的完整性和保密性，防止數(shù)據(jù)泄露或被未授權(quán)者訪問[2]。

1.2 數(shù)據(jù)安全管理的基本原則

1）保密性

保密性是指保護電子政務(wù)數(shù)據(jù)不被未經(jīng)授權(quán)的人員訪問。為確保保密性，政府部門需要采取一系列措施，如電子政務(wù)系統(tǒng)的訪問控制、數(shù)據(jù)加密、身份認證等，以防止未經(jīng)授權(quán)的人員訪問或獲取政務(wù)數(shù)據(jù)。在政府部門中數(shù)據(jù)又分為了涉密數(shù)據(jù)和非涉密數(shù)據(jù)，對于涉密數(shù)據(jù)是需要進行物理隔離，嚴禁接入互聯(lián)網(wǎng)的[3]。而非涉密數(shù)據(jù)往往是一些涉及老百姓生活方方面面的數(shù)據(jù)，也是需要進行嚴格保密，只對獲得授權(quán)的用戶開放使用。

2）完整性

完整性是指保證電子政務(wù)數(shù)據(jù)不被篡改或破壞。為確保完整性，政府部門需要采取一系列措施，如防篡改技術(shù)、數(shù)字簽名等，以防止政務(wù)數(shù)據(jù)被篡改或破壞[4]。

3）可用性

可用性是指確保電子政務(wù)數(shù)據(jù)在需要時能夠訪問[5]。為確保可用性，政府部門需要采取一系列措施，如備份和恢復(fù)、災(zāi)難恢復(fù)等，以確保政務(wù)數(shù)據(jù)在需要時能夠訪問。

2 數(shù)字化改革背景下電子政務(wù)數(shù)據(jù)安全現(xiàn)狀分析

2.1 溫州市電子政務(wù)的發(fā)展歷程

2013年溫州成為國家試點智慧城市，近期又在全省之先開展數(shù)字化改革，溫州政府始終把滿足人民對美好生活的向往作為數(shù)字政府建設(shè)的出發(fā)點和落腳點，打造智慧便捷、公平普惠的數(shù)字化服務(wù)體系，讓百姓少跑腿、數(shù)據(jù)多跑路[6]。溫州市政府陸續(xù)推出了多個電子政務(wù)項目，包括政務(wù)服務(wù)網(wǎng)、政務(wù)公開網(wǎng)、在線辦事大廳等，不斷提升政府服務(wù)的便捷性和效率。溫州政府成立了大數(shù)據(jù)管理局等信息化管理部門，夯實了基礎(chǔ)網(wǎng)絡(luò)建設(shè)、同時對基礎(chǔ)信息資源平臺等設(shè)施不斷完善。在2015年以前各個委辦局獨立建設(shè)信息化系統(tǒng)，采購軟硬件部署服務(wù)，出現(xiàn)百花齊放百家爭鳴的現(xiàn)象，但網(wǎng)絡(luò)安全問題逐漸暴露出來。溫州市政府非常關(guān)注網(wǎng)絡(luò)安全，溫州市公安局等部門每年都會牽頭對政府網(wǎng)站的網(wǎng)絡(luò)安全進行檢查，從而提高網(wǎng)絡(luò)安全的意識及推進網(wǎng)絡(luò)安全事宜。隨著數(shù)字化改革的進行，各個政府部門之間的數(shù)據(jù)實現(xiàn)了互聯(lián)互通，但數(shù)據(jù)也是政府最重要的數(shù)據(jù)，一旦數(shù)據(jù)被非法利用或泄漏勢必會對政府造成不良影響。經(jīng)過“最多跑一次”改革、數(shù)字化改革等幾輪的信息化更新迭代，業(yè)務(wù)系統(tǒng)對外訪問的簡易拓撲結(jié)構(gòu)如圖1所示，各個委辦局保留了用戶可以直接訪問其出口的方式，同時各個委辦局通過接口和市大數(shù)據(jù)管理服務(wù)局進行數(shù)據(jù)交換完成了數(shù)據(jù)調(diào)用，省級部門通過市大數(shù)據(jù)管理服務(wù)局進行數(shù)據(jù)交換，從而實現(xiàn)了浙政釘、支付寶等訪問政務(wù)系統(tǒng)的需求。從拓撲中可以觀察到，各個委辦局有2個出口，結(jié)構(gòu)較為復(fù)雜。

2.2 溫州市電子政務(wù)數(shù)據(jù)安全存在的問題分析

在數(shù)字化改革的背景下，電子政務(wù)已經(jīng)成為政府服務(wù)人民群眾的重要手段，但是電子政務(wù)數(shù)據(jù)安全面臨諸多問題，包括但不限于以下幾點：

1）網(wǎng)絡(luò)復(fù)雜

各個委辦局各自為戰(zhàn)，分別管理相應(yīng)的電子政務(wù)系統(tǒng)，由于網(wǎng)絡(luò)的復(fù)雜性，資產(chǎn)梳理不清，極有可能存在漏網(wǎng)之魚。黑客有可能突破保護機制，從而獲取電子政務(wù)系統(tǒng)中的重要數(shù)據(jù)，甚至可以修改、刪除重要數(shù)據(jù)。這一點尤其需要引起重視，因為安全問題的風(fēng)險隨著互聯(lián)網(wǎng)的快速發(fā)展而不斷增加。政府部門需要梳理好網(wǎng)絡(luò)資產(chǎn)，并對相應(yīng)網(wǎng)絡(luò)資產(chǎn)加強安全的防護和監(jiān)測，及時發(fā)現(xiàn)和處理網(wǎng)絡(luò)安全事件，從而保護電子政務(wù)系統(tǒng)中的數(shù)據(jù)安全。

2）資產(chǎn)梳理不清

網(wǎng)絡(luò)資產(chǎn)是指所擁有的各種網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)系統(tǒng)、網(wǎng)絡(luò)數(shù)據(jù)等。如果相關(guān)部門的網(wǎng)絡(luò)資產(chǎn)梳理不清，將會帶來一系列問題和危害。網(wǎng)絡(luò)資產(chǎn)中包括重要數(shù)據(jù)、系統(tǒng)、應(yīng)用程序等，如果沒有進行全面的梳理和管理，將會引發(fā)多種安全威脅，如數(shù)據(jù)泄露、系統(tǒng)漏洞、黑客攻擊等。這些安全威脅可能會給政府部門帶來不可估量的損失和影響。

3）安全管理缺失

一些政府部門領(lǐng)導(dǎo)對數(shù)據(jù)安全的意識不到位，缺乏對電子政務(wù)系統(tǒng)的有效安全管理，缺乏有效的安全策略，系統(tǒng)安全性嚴重受到影響。在政府中仍然存在著使用微信等軟件發(fā)送涉密數(shù)據(jù)的事件，可見其意識并未到位。政府部門應(yīng)該認真對待這一問題，從上至下，并建立完善的安全管理體系，以確保電子政務(wù)系統(tǒng)的安全。此外，政府部門還應(yīng)該加強對員工的安全培訓(xùn)，提高領(lǐng)導(dǎo)和員工的安全意識，以降低安全風(fēng)險。

4）內(nèi)部管理不善

內(nèi)部管理不善也是導(dǎo)致電子政務(wù)數(shù)據(jù)泄露的一個重要原因。在2022年曾在網(wǎng)絡(luò)上大量傳播公民個人信息的截圖、個人行動軌跡等敏感信息，這些信息均是從內(nèi)部人員中流傳出來的，政府部門需要加強對內(nèi)部員工的管理，建立相應(yīng)的規(guī)章制度，加強對內(nèi)部員工的監(jiān)督和管理，以防止內(nèi)部員工泄漏數(shù)據(jù)，從而保障電子政務(wù)系統(tǒng)的數(shù)據(jù)保密性。

5）安全技術(shù)滯后

目前電子政務(wù)系統(tǒng)中，安全技術(shù)尚未完全發(fā)揮作用，仍存在安全漏洞，使系統(tǒng)容易遭受攻擊。因此，政府部門需要加強對電子政務(wù)系統(tǒng)安全技術(shù)的研究與應(yīng)用，以提高系統(tǒng)的安全性。同時，政府部門還應(yīng)該積極引進先進的安全技術(shù)來提高電子政務(wù)系統(tǒng)的安全性。

6）安全方面投入不足

在建設(shè)信息化項目時，往往只注重建設(shè)完成后的功能，卻忽略了安全方面的建設(shè)。應(yīng)在項目規(guī)劃階段同步規(guī)劃安全方面的投入，如安全設(shè)備、項目安全方面的建設(shè)。在信息化項目上設(shè)定一定的資金比例作為安全方面的建設(shè)，同時可以通過引入安全服務(wù)等方式彌補自身的不足。

7）外包服務(wù)管理不到位

部分政府部門通過購買第三方服務(wù)的方式對信息化項目進行管理，存在著外包公司一手包辦的情況，重要的網(wǎng)絡(luò)架構(gòu)、系統(tǒng)管理員賬戶密碼等都由外包公司掌控。而外包服務(wù)的公司工作人員素質(zhì)、技術(shù)水平參差不齊[7]，極有可能導(dǎo)致系統(tǒng)數(shù)據(jù)泄露、被篡改、丟失等情況。

8）外部攻擊

除了黑客攻擊，還有可能存在外部組織或個人對電子政務(wù)系統(tǒng)的攻擊。這些攻擊可能涉及政治、經(jīng)濟、軍事等方面，造成的危害將更加嚴重。特別是境外組織出于政治等原因在特殊的日期發(fā)起對政府系統(tǒng)的攻擊行為，從而造成極大的負面影響。

3 數(shù)字化改革背景下電子政務(wù)數(shù)據(jù)安全的對策思考

當(dāng)前電子政務(wù)數(shù)據(jù)安全面臨極大挑戰(zhàn)，政府部門應(yīng)從安全管理、技術(shù)水平、技術(shù)手段、安全文化、加強與安全領(lǐng)域的合作、數(shù)據(jù)安全演練和評估等方面進行考慮。

3.1 加強安全管理

政府部門應(yīng)該加強對電子政務(wù)系統(tǒng)安全管理，制定有效的安全策略，建立有效的安全監(jiān)控體系，加強安全管理是保障電子政務(wù)數(shù)據(jù)安全的基礎(chǔ)。政府部門需要明確安全責(zé)任、建立安全管理組織機構(gòu)、制定安全管理制度等，以確保電子政務(wù)數(shù)據(jù)安全。《中華人民共和國數(shù)據(jù)安全法》于2021 年6 月10 日通過，自2021年9月1日起施行[8]。在大數(shù)據(jù)時代背景下，政務(wù)數(shù)字化轉(zhuǎn)型快速發(fā)展，依據(jù)該法建立更為周詳?shù)臄?shù)據(jù)安全管理制度，明確數(shù)據(jù)責(zé)任主體，為電子政務(wù)數(shù)字化改革發(fā)展提供法治保障。政府部門應(yīng)仔細研讀《中華人民共和國數(shù)據(jù)安全法》，并嚴格按照數(shù)據(jù)安全法相關(guān)規(guī)范要求執(zhí)行。

3.2 提高安全技術(shù)水平

政府部門應(yīng)該采用較新的安全技術(shù)，如數(shù)據(jù)加密、數(shù)據(jù)備份、數(shù)據(jù)安全審計等，來保護電子政務(wù)系統(tǒng)中的數(shù)據(jù)安全。這些技術(shù)的應(yīng)用將有助于提高系統(tǒng)的安全性，減少甚至避免信息泄露等問題的發(fā)生。對于政府信息化管理人員是電子政務(wù)系統(tǒng)的直接管理者，應(yīng)在穩(wěn)定的前提下，主動提高自身的技術(shù)水平以應(yīng)對日新月異的網(wǎng)絡(luò)環(huán)境。

3.3 技術(shù)手段

技術(shù)手段干預(yù)也是保障電子政務(wù)數(shù)據(jù)安全的重要手段。政府部門可以采用安全審計、漏洞掃描等技術(shù)手段，及時發(fā)現(xiàn)并解決安全問題，以保障政務(wù)數(shù)據(jù)的安全。技術(shù)方面分別從業(yè)務(wù)系統(tǒng)、數(shù)據(jù)接口、基礎(chǔ)系統(tǒng)層面、算法、運維等不同維度提出對策。

1）業(yè)務(wù)系統(tǒng)方面

首先，業(yè)務(wù)系統(tǒng)應(yīng)設(shè)置用戶登錄入口的二次驗證，可以有效減少因為弱口令或者密碼被盜造成的業(yè)務(wù)系統(tǒng)權(quán)限被竊取的情況。其次，應(yīng)在頁面上設(shè)置水印，可以有效追查通過拍照、截圖等方式造成的數(shù)據(jù)泄露，在可行的情況下，應(yīng)部署數(shù)據(jù)脫敏系統(tǒng)，對業(yè)務(wù)系統(tǒng)中的敏感數(shù)據(jù)進行脫敏處理后進行顯示。再次，業(yè)務(wù)部門應(yīng)定期對所使用的業(yè)務(wù)系統(tǒng)進行安全性評估、壓力測試等，確保業(yè)務(wù)系統(tǒng)的穩(wěn)定性，并根據(jù)業(yè)務(wù)重要程度設(shè)置備份系統(tǒng)，條件允許的情況下建立災(zāi)備系統(tǒng)，確保數(shù)據(jù)的可用性。

2）數(shù)據(jù)接口方面

隨著“最多跑一次”、數(shù)字化改革的推進，各個部門之間打破了數(shù)據(jù)的壁壘實現(xiàn)了讓數(shù)據(jù)多跑路，群眾少跑路的效果。而各部門之間的數(shù)據(jù)交互是通過接口實現(xiàn)的，接口方面除了能穩(wěn)定進行交互外，數(shù)據(jù)的保密性也值得關(guān)注。部分政府部門的接口可能存在無加密、無校驗的方式，以及傳輸方式采用HTTP等明文傳輸方式，存在著較大的數(shù)據(jù)泄露可能性。除了要加強數(shù)據(jù)加密交換外，還應(yīng)加強對接口的監(jiān)控，應(yīng)監(jiān)控接口的穩(wěn)定性以及接口調(diào)用次數(shù)，對于同一時間密集調(diào)用的情況，應(yīng)做好日志記錄，及時備查。

3）基礎(chǔ)系統(tǒng)方面

各個政府部門應(yīng)積極配合網(wǎng)信、公安完成網(wǎng)絡(luò)安全方面的要求，如定期開展自查工作而不是為了應(yīng)付檢查，定期開展等級保護測評工作，對整個系統(tǒng)進行一次徹底深入的體檢。安裝部署入侵檢測系統(tǒng)并及時關(guān)注處理報警信息，IDS可以對網(wǎng)絡(luò)中的流量進行分析和處理，可以識別和過濾掉惡意流量，提高網(wǎng)絡(luò)的安全性能和可靠性。在部署和安裝IDS時，需要合理設(shè)置和配置，定期更新和升級，及時檢測和修復(fù)漏洞，避免出現(xiàn)誤報或漏報等情況，確保IDS的有效性和可靠性；對于網(wǎng)站業(yè)務(wù)系統(tǒng)部署網(wǎng)站應(yīng)用防火墻并開啟攔截功能，網(wǎng)站應(yīng)用防火墻可以記錄Web應(yīng)用程序的所有訪問記錄和攻擊行為，為安全事件的溯源和分析提供有力的證據(jù)支持，保護政府網(wǎng)站；在網(wǎng)絡(luò)邊界處部署安裝防火墻，對整體網(wǎng)絡(luò)進行防護。在系統(tǒng)層面開啟備份功能，除了業(yè)務(wù)系統(tǒng)的定期數(shù)據(jù)備份外，在系統(tǒng)層面也應(yīng)定期進行備份，從而確保數(shù)據(jù)的可用性。

4）使用國密算法

在數(shù)據(jù)安全保護中，加密算法是一種重要的手段。國密算法，即商用密碼，已經(jīng)成為我國的基礎(chǔ)密碼技術(shù)之一[9]。在業(yè)務(wù)迭代更新的過程中，應(yīng)逐漸使用國密算法代替原有的加密算法，從算法上保障數(shù)據(jù)的保密性。在數(shù)據(jù)傳輸過程中，可以使用國密算法對數(shù)據(jù)進行加密。比如，可以使用SM4算法對數(shù)據(jù)進行加密，以確保數(shù)據(jù)在傳輸?shù)倪^程中不被第三方竊取或篡改。同時，也可以使用SM3算法對數(shù)據(jù)進行哈希處理，以確保數(shù)據(jù)的完整性。在數(shù)據(jù)存儲方面，可以使用國密算法對數(shù)據(jù)進行加密。比如，可以使用SM4算法對數(shù)據(jù)進行加密存儲，以確保數(shù)據(jù)在存儲過程中不被第三方竊取或篡改。同時，也可以使用SM3算法對數(shù)據(jù)進行哈希處理，以確保數(shù)據(jù)的完整性。

5）技術(shù)運維方面

遠程運維能夠提高運維效率，為運維人員提供便利，特別是應(yīng)急處理時能及時連接到政府電子政務(wù)系統(tǒng)。但是，數(shù)據(jù)安全問題一直是遠程運維面臨的重要挑戰(zhàn)。大部分政府單位運維人員會使用向日葵等遠程運維軟件，存在著網(wǎng)絡(luò)被暴露、操作未被審計等風(fēng)險。政府部門應(yīng)建立完善的運維管理制度，并加強遠程訪問控制，如部署安裝VPN設(shè)備、堡壘機等設(shè)備、設(shè)置訪問權(quán)限和密碼策略，對遠程連接進行加密傳輸，采用雙因素認證等措施，減少非法訪問的風(fēng)險。此外，還應(yīng)該定期檢查遠程訪問日志，及時發(fā)現(xiàn)異常行為，并及時采取措施防止數(shù)據(jù)泄露等風(fēng)險。對內(nèi)部網(wǎng)絡(luò)及服務(wù)器端的所有操作進行記錄和審計，并在網(wǎng)絡(luò)層面禁用向日葵等遠程運維軟件。

3.4 建立安全文化

政府部門應(yīng)該在電子政務(wù)系統(tǒng)中建立安全文化，加強對工作人員的安全教育，讓工作人員更加重視數(shù)據(jù)安全，并采取有效的安全措施，以確保電子政務(wù)系統(tǒng)的安全性。定期開展數(shù)據(jù)安全培訓(xùn)，提高政府工作人員的安全意識，以降低安全風(fēng)險。同時，政府部門還應(yīng)該加強對公眾的安全宣傳，提高公眾的數(shù)據(jù)安全意識，以增強社會對電子政務(wù)系統(tǒng)安全的關(guān)注度。

3.5 加強與安全領(lǐng)域的合作

政府部門應(yīng)該加強與安全領(lǐng)域的合作和交流，共同探討電子政務(wù)數(shù)據(jù)安全的問題，并探索新的安全技術(shù)和理念，為電子政務(wù)數(shù)據(jù)安全提供更好的保障。如加強和安全公司的合作，引入安全公司的最新安全方面的成果，以提高政府的整體安全水平。積極加強和高校間的合作，加大對高校安全方面的支持，讓高校反哺社會，通過高校的社會服務(wù)為政府提供技術(shù)支持。

3.6 數(shù)據(jù)安全演練和評估

政府應(yīng)該制定詳細的數(shù)據(jù)安全演練和評估計劃，包括演練和評估的目標、流程、時間表和人員分工等。在制定計劃時，應(yīng)該考慮到不同情況下的應(yīng)急響應(yīng)和處置方案，以便在發(fā)生安全事件時能夠及時應(yīng)對。根據(jù)需要選擇合適的演練和評估工具，比如可以選擇安全測試工具、漏洞掃描工具、安全檢測工具等。政府應(yīng)該安排專業(yè)的安全團隊進行數(shù)據(jù)安全演練和評估，這些團隊應(yīng)該由專業(yè)的安全專家和技術(shù)人員組成。他們能夠通過模擬真實的攻擊場景和安全事件，評估政府的數(shù)據(jù)安全保護能力。并定期進行數(shù)據(jù)安全演練和評估，以確保數(shù)據(jù)安全保護能力得到不斷提升。

4 結(jié)束語

本文研究了數(shù)字化改革背景下電子政務(wù)數(shù)據(jù)安全的問題，并提出了對策建議。未來，政府部門應(yīng)該加強對電子政務(wù)系統(tǒng)安全的重視，建立完善的安全管理體系、加強對政府工作人員和公眾的安全培訓(xùn)，以保障電子政務(wù)系統(tǒng)的安全。同時，政府部門還應(yīng)該加強與安全領(lǐng)域的合作和交流，探索新的安全技術(shù)和理念，為電子政務(wù)數(shù)據(jù)安全提供更好的保障。只有通過全面加強電子政務(wù)數(shù)據(jù)安全的管理，才能更好地為公眾提供便捷、高效、安全的政府公共服務(wù)。