大數(shù)據(jù)環(huán)境下的河南省電子政務(wù)信息安全管理體系構(gòu)建研究

蔣洪杰 劉云朋

（1.河南《創(chuàng)新科技》雜志社， 河南 鄭州 450000； 2.焦作大學(xué)信息工程學(xué)院，河南 焦作 454003）

隨著電子政務(wù)網(wǎng)絡(luò)中各類信息系統(tǒng)的增加，電子政務(wù)系統(tǒng)中涉及大量公民個人信息、公眾權(quán)益、國家利益、事關(guān)國家安全、社會安定等重要信息，安全隱患也愈加突出。如何做好政務(wù)云平臺的信息安全防護工作，如何構(gòu)建科學(xué)、規(guī)范的政務(wù)云平臺信息安全管理體系方案，保障電子政務(wù)的安全運行，也是當(dāng)前政府亟需考慮和解決的問題。

1.河南省電子政務(wù)平臺建設(shè)情況

近年來，河南省積極推動區(qū)域電子政務(wù)建設(shè)工作的深入開展，構(gòu)建了建設(shè)集約、服務(wù)集聚、數(shù)據(jù)集中、管理集成的“網(wǎng)上政府”，有效地促進了河南省政府治理體系與治理能力現(xiàn)代化建設(shè)。

1.1 搭建了良好的基礎(chǔ)網(wǎng)絡(luò)設(shè)施

經(jīng)過幾年的建設(shè)，目前河南省寬帶網(wǎng)絡(luò)覆蓋接入能力處于全國較為先進水平。截至2019年12月，河南互聯(lián)網(wǎng)省際出口帶寬達(dá)到38359G，居全國第4位；互聯(lián)網(wǎng)寬帶接入端口總數(shù)達(dá)到4752.8萬個，居全國第6位[1]；基本建成寬帶、融合、安全、泛在的新一代信息基礎(chǔ)設(shè)施，為河南省“互聯(lián)網(wǎng)+政務(wù)服務(wù)”工程的開展奠定了良好的基礎(chǔ)網(wǎng)絡(luò)設(shè)施。

1.2 制定了完善的工作實施方案

為快速推進河南省電子政務(wù)工程建設(shè)，河南省人民政府出臺了《河南省加快推進“互聯(lián)網(wǎng)+政務(wù)服務(wù)”工作方案》《河南省政務(wù)信息系統(tǒng)整合共享實施方案》等一系列建設(shè)實施方案和管理辦法，明確了河南省電子政務(wù)平臺的建設(shè)計劃周期、各時間段具體任務(wù)、責(zé)任部門、建設(shè)的方法和保障措施，有效地促進了河南省電子政務(wù)平臺的快速建設(shè)。

1.3 構(gòu)建了集約型一體化的電子政務(wù)平臺

當(dāng)前，河南省已初步完成了電子政務(wù)平臺建設(shè)工作，全省電子政務(wù)內(nèi)網(wǎng)或外網(wǎng)具備了跨部門、跨系統(tǒng)、跨地域、跨層級、跨業(yè)務(wù)的支撐服務(wù)能力，省直部門各類業(yè)務(wù)辦理系統(tǒng)與網(wǎng)上政務(wù)服務(wù)平臺已實現(xiàn)了內(nèi)外網(wǎng)的整合和對接，構(gòu)建了集行政審批、便民服務(wù)、陽光政務(wù)、電子監(jiān)察、互動交流等功能于一體，省、市、縣、鄉(xiāng)四級標(biāo)準(zhǔn)統(tǒng)一、資源共享、業(yè)務(wù)協(xié)同的河南省政務(wù)辦理統(tǒng)一入口網(wǎng)上服務(wù)平臺，初步形成覆蓋全省的政務(wù)服務(wù)“一張網(wǎng)”。

1.4 河南省電子政務(wù)平臺建設(shè)質(zhì)量不斷提升

根據(jù)中央黨校（國家行政學(xué)院）電子政務(wù)研究中心每年發(fā)布的《中國電子政務(wù)發(fā)展調(diào)查報告》中有關(guān)河南省政務(wù)網(wǎng)評估數(shù)據(jù)信息[2], 本文將2016—2020年度五年的評估指標(biāo)數(shù)據(jù)信息進行了匯總分析，具體情況如表1所示。

表1 河南省2016—2020年度政府網(wǎng)上政務(wù)服務(wù)能力得分及全國排名

河南省電子政務(wù)服務(wù)能力從2016年的排名31位到2020年的排名8位，一直處于穩(wěn)步推進，快速發(fā)展的過程中。

2.河南省電子政務(wù)建設(shè)存在的問題

2.1 保障電子政務(wù)安全運行的基礎(chǔ)設(shè)施有待加強

新一代網(wǎng)絡(luò)通信技術(shù)有效地促進了政府電子政務(wù)的快速發(fā)展，給我們帶來便利的同時也隱藏了巨大的安全隱患。根據(jù)2018年、2019年《河南省互聯(lián)網(wǎng)發(fā)展報告》數(shù)據(jù)顯示，2018年河南省有71萬余個IP地址所對應(yīng)的主機被境內(nèi)外木馬或僵尸網(wǎng)絡(luò)控制，約占全國感染總量的11.5%；河南省感染飛客蠕蟲病毒的主機為15萬個，占全國總量的4.6%； 河南省被篡改網(wǎng)站數(shù)量為1578個，占全國總量的6.7%； 河南省被植入后門的網(wǎng)站數(shù)量為2831個，占全國總量的9.8%[3]；2019年被植入后門網(wǎng)站1270個、排名全國第二位，被篡改網(wǎng)站1391個、排名全國第五位 ，網(wǎng)絡(luò)安全基礎(chǔ)薄弱，大量關(guān)鍵信息基礎(chǔ)設(shè)施存在安全漏洞[1]。隨著電子政務(wù)業(yè)務(wù)的全面開展，各級政府政務(wù)信息泄露次數(shù)也呈現(xiàn)上升趨勢，在教育、醫(yī)療、金融系統(tǒng)不斷有個人信息泄露的事件發(fā)生，對公民信息安全造成了一定的負(fù)面影響；在辦公政務(wù)系統(tǒng)中也遭到不同程度的木馬、病毒等技術(shù)入侵，對電子政務(wù)平臺的安全運行造成了一定的不良影響[4]。

2.2 電子政務(wù)安全運行的法律法規(guī)有待完善

河南省在電子政務(wù)建設(shè)過程中，雖然部分電子政務(wù)管理部門也出臺了電子政務(wù)信息安全管理的有關(guān)制度，通常是上級管理辦法的原版移植，不僅不結(jié)合實際，而且難以在實際操作中被適用和遵照執(zhí)行。目前，在保障區(qū)域電子政務(wù)網(wǎng)絡(luò)信息安全方面，河南省還沒有出臺相應(yīng)的地方性法律法規(guī)。

2.3 保障政務(wù)云平臺安全運行的管理體系有待完善

⑴ 沒有形成統(tǒng)一的管理機構(gòu)。河南省網(wǎng)信辦、省工信廳、省通信管理局、省大數(shù)據(jù)管理局等多部門都具有相應(yīng)的管理職能，在實際的工作中存在職責(zé)交叉、監(jiān)管邊界不清、權(quán)責(zé)不一的現(xiàn)象，而彼此之間互通、聯(lián)動機制有待完善，不僅造成工作效率不高、資源浪費，而且會產(chǎn)生職責(zé)不明相互推諉現(xiàn)象，更會導(dǎo)致電子政務(wù)信息安全事件發(fā)生。

⑵ 管理制度不健全。目前，河南省在電子政務(wù)系統(tǒng)的運行管理中，尚未形成一個保障電子政務(wù)安全運行的評價體系，還處于一個上傳下達(dá)狀態(tài)，還沒有形成完善的制度管理體系。如電子政務(wù)信息系統(tǒng)的運行、維護和管理沒有制定全省統(tǒng)一的規(guī)范管理制度、運行管理條例、應(yīng)急管理預(yù)案、災(zāi)備防范措施、安全管理責(zé)任細(xì)則，很多單位都是在上級文件的要求下，結(jié)合單位情況制定了一些簡單的管理規(guī)定，如《計算機使用管理規(guī)定》《機房安全管理規(guī)定》等管理制度，沒有真正地從電子政務(wù)系統(tǒng)的運行維護、工作管理人員的具體責(zé)任要求、系統(tǒng)安全穩(wěn)定運行標(biāo)準(zhǔn)、事故處理及應(yīng)急管理要求方面進行明確規(guī)定，形成了很多安全管理漏洞。

⑶ 管理人員的網(wǎng)絡(luò)安全意識亟待提高。目前，省直單位電子政務(wù)系統(tǒng)相關(guān)崗位人員配備比較到位，市級以下各單位從事電子政務(wù)管理建設(shè)的專業(yè)人才相對缺乏，部分崗位管理人員只是熟悉計算機操作，不僅網(wǎng)絡(luò)安全防范意識缺乏，而且缺少解決實際問題的專業(yè)能力，基本停留在“只要電子政務(wù)系統(tǒng)配備的軟硬件技術(shù)先進，就可以保障一切”的思維認(rèn)可。

⑷ 電子政務(wù)系統(tǒng)運維保障不健全。一是不重視運維，很多單位領(lǐng)導(dǎo)對計算機軟硬件技術(shù)建設(shè)使用生命周期的認(rèn)識不到位，對電子政務(wù)系統(tǒng)的運行維護不注重,“重建設(shè)，輕維護”的意識普遍存在，導(dǎo)致系統(tǒng)軟硬件技術(shù)的升級、更新、維護缺乏資金保障，形成新的安全漏洞；二是外包服務(wù)不規(guī)范，目前，大約65%以上的政府部門電子政務(wù)系統(tǒng)的建設(shè)和運維都是以外包模式，但很多單位特別是在系統(tǒng)后期的運行維護方面沒有制定完善的外包管理制度體系，導(dǎo)致電子政務(wù)信息安全問題出現(xiàn)時，不能及時快速地進行修復(fù)解決，無形中增加了電子政務(wù)系統(tǒng)的安全風(fēng)險。三是電子政務(wù)應(yīng)急管理體系不健全，應(yīng)急管理是將電子政務(wù)相關(guān)技術(shù)力量和非技術(shù)力量進行有效整合，建立快速的統(tǒng)籌調(diào)配各級資源機制，是應(yīng)對突發(fā)問題而形成的一套緊急急救措施，而目前河南省在電子政務(wù)建設(shè)方面還沒有構(gòu)建其完善的應(yīng)急管理體系。

3.河南省政務(wù)云平臺網(wǎng)絡(luò)安全管理體系的構(gòu)建

隨著云計算和大數(shù)據(jù)技術(shù)的快速發(fā)展和廣泛應(yīng)用，電子政務(wù)服務(wù)已進入政務(wù)云時代，網(wǎng)絡(luò)安全體系的構(gòu)建需要我們進一步完善。

3.1 加強電子政務(wù)信息安全管理體系的頂層設(shè)計

電子政務(wù)信息安全管理體系的建設(shè)涉及到電子政務(wù)建設(shè)的總體框架結(jié)構(gòu)、技術(shù)標(biāo)準(zhǔn)、未來發(fā)展規(guī)劃、信息系統(tǒng)整合、財政經(jīng)費支持、制度保障等要素，需要一個全面、系統(tǒng)、科學(xué)的規(guī)劃。當(dāng)前，發(fā)改委、通信管理局、工信廳等多個政府部門對電子政務(wù)的建設(shè)都有相應(yīng)的話語權(quán)和指揮權(quán)，總體看來較為分散，不利于統(tǒng)籌設(shè)計。因此，政府要構(gòu)建統(tǒng)一、專門的機構(gòu)，進行電子政務(wù)信息安全體系建設(shè)的總體規(guī)劃和設(shè)計，形成主次分明的結(jié)構(gòu)體系，從上到下，推進電子政務(wù)信息安全管理。

3.2 建立跨層級信息共享和業(yè)務(wù)協(xié)同機制

在構(gòu)建省、市、縣、鄉(xiāng)四級聯(lián)動電子政務(wù)平臺的同時，也應(yīng)在管理體系上構(gòu)建出完善的跨層級統(tǒng)籌協(xié)調(diào)、信息通報共享、應(yīng)急聯(lián)動的業(yè)務(wù)協(xié)同管理機制，促進政府電子政務(wù)業(yè)務(wù)的快速發(fā)展。

⑴ 在統(tǒng)籌協(xié)調(diào)機制建設(shè)方面。政府應(yīng)進一步明確各部門在電子政務(wù)建設(shè)和后期運維工作的責(zé)任分工，要突出政府的統(tǒng)籌協(xié)調(diào)，要發(fā)揮部門的職責(zé)作用，共同制定電子政務(wù)信息安全管理的相關(guān)辦法，統(tǒng)籌管理政務(wù)云平臺安全工作；同時，針對系統(tǒng)安全生命周期實施網(wǎng)絡(luò)安全管理，要堅持“誰主管誰負(fù)責(zé)，誰運行誰負(fù)責(zé)，誰使用誰負(fù)責(zé)”,理清各機構(gòu)在政務(wù)服務(wù)系統(tǒng)中的網(wǎng)絡(luò)安全責(zé)任。

⑵ 在信息通報共享機制建設(shè)方面。省政府要做好電子政務(wù)網(wǎng)絡(luò)安全管理工作，不僅要及時搜集和監(jiān)控電子政務(wù)系統(tǒng)的運行狀態(tài)，而且要對全行業(yè)和各領(lǐng)域的網(wǎng)絡(luò)安全態(tài)勢進行提前研判，對存在的問題及時解決并通告到各部門引以為戒,對優(yōu)秀的案例加以借鑒。

⑶ 在應(yīng)急聯(lián)動機制建設(shè)方面。河南省應(yīng)結(jié)合區(qū)域網(wǎng)絡(luò)發(fā)展現(xiàn)狀制定《河南省網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》，要統(tǒng)籌各級政府和省廳各部門電子政務(wù)網(wǎng)絡(luò)安全應(yīng)急預(yù)案的制定和實施，要在現(xiàn)有政府層次結(jié)構(gòu)基礎(chǔ)上建立網(wǎng)絡(luò)化的溝通協(xié)調(diào)機制，要根據(jù)政府層級結(jié)構(gòu)上下協(xié)同統(tǒng)一標(biāo)準(zhǔn)，要按照業(yè)務(wù)系統(tǒng)不同分類設(shè)計，要突出時間效應(yīng)和解決機制，應(yīng)急預(yù)案啟動后能夠?qū)崿F(xiàn)相關(guān)責(zé)任部門和直接負(fù)責(zé)人快速響應(yīng)，第一時間發(fā)現(xiàn)和解決問題。

3.3 完善政府自上而下的監(jiān)督考核機制

當(dāng)前，電子政務(wù)網(wǎng)絡(luò)平臺的全線運用還處于初期階段，政府要加強對政務(wù)網(wǎng)絡(luò)安全自上而下的監(jiān)督考核，要通過監(jiān)督考核促使政府部門和工作人員對網(wǎng)絡(luò)安全工作的重視，提高其對電子政務(wù)網(wǎng)絡(luò)安全的認(rèn)識，規(guī)范其行為，實現(xiàn)電子政務(wù)運行管理質(zhì)量的提高。

河南省政府要建立保障電子政務(wù)網(wǎng)絡(luò)平臺安全運行的檢查評估機制和行政問責(zé)機制。要結(jié)合當(dāng)前電子政務(wù)平臺的運行狀態(tài)，設(shè)計合理的網(wǎng)絡(luò)安全評估指標(biāo)體系，圍繞評估指標(biāo)，進行定期的電子政務(wù)網(wǎng)絡(luò)安全績效評估，并納入年度考核結(jié)果；同時，要落實和貫徹執(zhí)行行政問責(zé)機制，切實發(fā)揮行政問責(zé)的警示作用，對不重視電子政務(wù)網(wǎng)絡(luò)安全的部門及其部門負(fù)責(zé)人和相關(guān)工作人員進行行政處罰，追究責(zé)任，并要及時貫徹整改落實到位。真正形成“以評促建、以評促改、以評促管、評建結(jié)合、重在建設(shè)”的工作模式，實現(xiàn)電子政務(wù)網(wǎng)絡(luò)安全管理工作質(zhì)量提升。

3.4 完善電子政務(wù)網(wǎng)絡(luò)安全運行的預(yù)警監(jiān)測機制

政府應(yīng)結(jié)合當(dāng)前電子政務(wù)平臺的運行及網(wǎng)絡(luò)監(jiān)管現(xiàn)狀，完善網(wǎng)絡(luò)安全監(jiān)管和預(yù)防體系，每年定期對在線運行的政務(wù)服務(wù)系統(tǒng)進行風(fēng)險評估和滲透性測試，全面掌握當(dāng)前區(qū)域電子政務(wù)網(wǎng)絡(luò)平臺的安全運行狀態(tài)，這樣不僅對監(jiān)測存在的問題可以及時進行解決，而且對網(wǎng)絡(luò)安全的事態(tài)可以全面掌握，達(dá)到風(fēng)險預(yù)警效果。

3.5 完善電子政務(wù)技術(shù)人才的保障機制

⑴ 加大對電子政務(wù)網(wǎng)絡(luò)安全管理人員的培訓(xùn)力度。由于我省當(dāng)前電子政務(wù)網(wǎng)絡(luò)平臺的建設(shè)應(yīng)用還處于起步階段，電子政務(wù)信息安全管理相關(guān)專業(yè)的人才較少，目前，很多的管理人員在系統(tǒng)的專業(yè)管理、實際的應(yīng)用操作以及對網(wǎng)絡(luò)安全意識上還存在一定的不足，政府要加大對電子政務(wù)平臺管理人員的培訓(xùn)力度，改變以往走形式、走過場的培訓(xùn)模式，通過相應(yīng)的資格考試獲取崗位職業(yè)認(rèn)證，實現(xiàn)持證上崗，達(dá)到崗位與資格相對照、專業(yè)素養(yǎng)與崗位職責(zé)相對照，真正提高崗位工作人員的能力水平。

⑵ 完善相關(guān)崗位的用人機制。要借鑒日本、德國在政府電子政務(wù)平臺建設(shè)的用人選人經(jīng)驗，在人才的選用上，我們要充分發(fā)揮行業(yè)專家的作用，要改變當(dāng)前外行領(lǐng)導(dǎo)內(nèi)行的管理模式，政府要在負(fù)責(zé)電子政務(wù)平臺建設(shè)和網(wǎng)絡(luò)安全運行的具體崗位設(shè)置首席信息官負(fù)責(zé)制，要選用懂技術(shù)懂管理的專家人才擔(dān)任。這樣不僅可以有效提升電子政務(wù)平臺的建設(shè)質(zhì)量，避免重復(fù)建設(shè)和不必要的投資浪費，而且可以更好地保障電子政務(wù)平臺的安全運行。

⑶ 完善高端IT人才培養(yǎng)機制。為保障電子政務(wù)網(wǎng)絡(luò)信息安全人才的供給，政府要引導(dǎo)高校提升高層次IT人才的培養(yǎng)質(zhì)量，要在急需專業(yè)建設(shè)上給予適當(dāng)?shù)恼邇A斜、經(jīng)費資助和項目支持，加大對高層次IT人才的培養(yǎng)扶持力度；同時，加大對高層次IT人才的引進，要靈活吸收相關(guān)企業(yè)、高校、研究院所的高層次人才參與政府電子政務(wù)網(wǎng)絡(luò)安全相關(guān)項目的建設(shè)和網(wǎng)絡(luò)安全運維，要借用一切力量推動網(wǎng)絡(luò)安全質(zhì)的提升。

3.6 健全電子政務(wù)信息安全技術(shù)保障機制

省級政府在推動區(qū)域內(nèi)各級政務(wù)云平臺系統(tǒng)建設(shè)過程中要按照國家建設(shè)標(biāo)準(zhǔn)，緊密結(jié)合新一代網(wǎng)絡(luò)信息技術(shù)規(guī)范，統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一規(guī)范、統(tǒng)一要求，盡可能地采用國家自主知識產(chǎn)權(quán)的政務(wù)云平臺網(wǎng)絡(luò)安全有關(guān)的軟硬件產(chǎn)品，搭建科學(xué)、規(guī)范的政務(wù)云平臺。要嚴(yán)格控制政務(wù)內(nèi)外網(wǎng)訪問權(quán)限，強化和完善政務(wù)網(wǎng)防火墻安全策略；在政務(wù)云平臺運維體系方面，要科學(xué)、規(guī)范地建立政務(wù)系統(tǒng)的監(jiān)測布控點，嚴(yán)格執(zhí)行分層次的等級保護制度，重視安全預(yù)警，強化軟件政務(wù)云平臺突發(fā)事件的發(fā)現(xiàn)和救援恢復(fù)處理能力，建立科學(xué)、完善的政務(wù)網(wǎng)絡(luò)安全應(yīng)急技術(shù)方案；要建立各級災(zāi)備中心，統(tǒng)一數(shù)據(jù)備份，實現(xiàn)數(shù)據(jù)容災(zāi)復(fù)制、應(yīng)急備機、災(zāi)難恢復(fù)等功能，提高電子政務(wù)系統(tǒng)抵御災(zāi)難打擊的能力[5]。

同時，對當(dāng)前正在運行的早期建設(shè)的電子政務(wù)服務(wù)平臺進行全面技術(shù)評估，從系統(tǒng)服務(wù)功能的擴充性、技術(shù)升級的可行性、應(yīng)用的安全穩(wěn)定性等方面進行全面評估，按照評估優(yōu)先級進行系統(tǒng)地優(yōu)化和加固，實現(xiàn)已有系統(tǒng)與當(dāng)前政府統(tǒng)一建設(shè)的電子政務(wù)平臺無縫對接，保障已建系統(tǒng)的安全穩(wěn)定運行。

3.7 完善電子政務(wù)信息安全管理制度

⑴ 完善電子政務(wù)信息安全的相關(guān)地方法律條例及標(biāo)準(zhǔn)。在完善過程中，一是要把握多層次、多領(lǐng)域?qū)ｍ椃煞ㄒ?guī)的制定。二是要根據(jù)社會和技術(shù)發(fā)展對現(xiàn)有法律法規(guī)進行必要的修刪，對已經(jīng)不適用的條款進行刪減，同時，增加新形勢下出現(xiàn)的新問題的法律保障條文。三是要注意在制定或修刪過程中要保證標(biāo)準(zhǔn)的統(tǒng)一，要讓新制定的法律法規(guī)具有通用性和統(tǒng)一性，不會出現(xiàn)相互矛盾或適用范圍過窄的情況。

⑵ 加強河南省地方電子政務(wù)信息安全的管理制度建設(shè)。電子政務(wù)信息安全管理制度的制定要考慮制度的合理性、可操作性以及后續(xù)的實施效果。信息安全制度的構(gòu)成主要有工作責(zé)任制度、系統(tǒng)運維制度、設(shè)備管理制度、信息安全管理督查制度、信息工作人員管理制度、信息系統(tǒng)環(huán)境管理制度等方面，通過構(gòu)建完善的信息安全制度搭建一個責(zé)任落實到位、管理科學(xué)規(guī)范的電子政務(wù)系統(tǒng)安全運行的環(huán)境，才能推動電子政務(wù)業(yè)務(wù)的快速發(fā)展[6]。

構(gòu)建一套完善的電子政務(wù)網(wǎng)絡(luò)平臺的安全運行保障機制，對推動河南省電子政務(wù)網(wǎng)絡(luò)平臺快速建設(shè)和平穩(wěn)運行具有非常重要的作用，對促進區(qū)域電子政務(wù)發(fā)展、完善智慧政務(wù)建設(shè)、優(yōu)化政務(wù)管理體系，以及對社會經(jīng)濟的發(fā)展將具有很好的現(xiàn)實意義和實踐意義。