《電子技術(shù)應用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 專題·原創(chuàng) | 電子政務外網(wǎng)關(guān)鍵信息基礎(chǔ)設(shè)施保護實踐

專題·原創(chuàng) | 電子政務外網(wǎng)關(guān)鍵信息基礎(chǔ)設(shè)施保護實踐

2021-11-14
來源: 中國信息安全
關(guān)鍵詞: 電子政務

  《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》(以下簡稱《條例》)作為《網(wǎng)絡(luò)安全法》的重要配套行政法規(guī),針對關(guān)鍵信息基礎(chǔ)設(shè)施各類責任主體,、保護對象和法定義務作出了明確而具體的規(guī)定,。在電子政務領(lǐng)域,《條例》對當前我國依托政務外網(wǎng)規(guī)范推進數(shù)字政府建設(shè)進程,,有效提升政府開展在線履職,、便民服務能力和水平,穩(wěn)步深化開發(fā)政府數(shù)據(jù)應用,,奠定堅實的法治基礎(chǔ),,發(fā)揮著重要的法治保障作用。

  一,、電子政務外網(wǎng)實施關(guān)鍵信息基礎(chǔ)設(shè)施保護的必要性凸顯

  經(jīng)過多年建設(shè),,電子政務外網(wǎng)已經(jīng)發(fā)展成為我國覆蓋面最廣、連接政務部門最多,、承載業(yè)務最全面的全國電子政務統(tǒng)一網(wǎng)絡(luò),。電子政務外網(wǎng)貫通全國“中央、省,、市,、縣”四級網(wǎng)絡(luò)平臺,省級,、地市級實現(xiàn)全覆蓋,,區(qū)縣級、鄉(xiāng)鎮(zhèn),、村級網(wǎng)絡(luò)應需盡接,,大部分區(qū)縣實現(xiàn)下轄鄉(xiāng)鎮(zhèn)全覆蓋。130 多個中央部門政務部門和相關(guān)單位,、近 20 萬個各級地方部門基于政務外網(wǎng)開展電子政務,。

  電子政務外網(wǎng)是電子政務領(lǐng)域基礎(chǔ)“云、網(wǎng),、數(shù)”重要底層設(shè)施,,由于其連接全國各級黨政機關(guān),承載運行各級政務數(shù)據(jù)資源,、重大信息庫和重要信息系統(tǒng),,同金融、能源,、電力,、通信、交通等領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施一樣,,是各級政府開展政務協(xié)同服務,、老百姓網(wǎng)上辦事的網(wǎng)絡(luò)樞紐,其網(wǎng)絡(luò)安全是關(guān)鍵信息基礎(chǔ)設(shè)施保護工作的重中之重,。

  此次《條例》發(fā)布,,標志著關(guān)鍵信息基礎(chǔ)設(shè)施保護制度基本形成,與我國正在施行的等級保護制度結(jié)合,,形成圍繞關(guān)鍵信息基礎(chǔ)設(shè)施的“兩個制度”格局,,二者相互銜接配套,各有偏重,,落實這兩個制度必將有助于電子政務外網(wǎng)更全面地推進關(guān)鍵信息基礎(chǔ)設(shè)施全網(wǎng)整體安全保護,,更有效地保障各級政府利用政務外網(wǎng)在線履職、服務于民,。

 ?。ㄒ唬嵤┱胀饩W(wǎng)關(guān)鍵信息基礎(chǔ)設(shè)施保護是嚴格遵循國家法律法規(guī)的基本要求

  《條例》出臺,是落實《網(wǎng)絡(luò)安全法》的一項舉措,,也是《網(wǎng)絡(luò)安全法》的配套法規(guī),。如果將《網(wǎng)絡(luò)安全法》看作是網(wǎng)絡(luò)空間安全整體的治理,《數(shù)據(jù)安全法》則定位為數(shù)據(jù)處理活動的安全與開發(fā)利用,,《個人信息保護法》定位為公民個人隱私信息保護,,三部法律并行形成了我國網(wǎng)絡(luò)空間法治“三叉戟”?!稐l例》則突出了保護涉及我國國家安全,、國計民生、公共利益的重要設(shè)施運行,。政務外網(wǎng)作為法定保護對象,,應嚴格遵循法規(guī)要求,,配合主管部門,、監(jiān)管部門履行工作部門和運營者相關(guān)義務。

 ?。ǘ嵤┱胀饩W(wǎng)關(guān)鍵信息基礎(chǔ)設(shè)施保護是全網(wǎng)各級單位應對安全挑戰(zhàn)的重要抓手

  國家電子政務外網(wǎng)是按照中辦發(fā)〔2002〕17 號文件和〔2006〕18 號文件要求建設(shè)的我國電子政務重要公共基礎(chǔ)設(shè)施,,是服務于各級黨委、人大,、政府,、政協(xié)、法院和檢察院等政務部門,,滿足其經(jīng)濟調(diào)節(jié),、市場監(jiān)管,、社會管理和公共服務等方面需要的政務公用網(wǎng)絡(luò)。

  政務外網(wǎng)支持跨地區(qū),、跨部門的業(yè)務應用,、信息共享和業(yè)務協(xié)同,以及不需在政務內(nèi)網(wǎng)上運行的業(yè)務,。政務外網(wǎng)由中央政務外網(wǎng)和地方政務外網(wǎng)組成,,與互聯(lián)網(wǎng)嚴格隔離。國家電子政務外網(wǎng)管理中心近年來陸續(xù)組織開展全網(wǎng)邊界安全檢查專項工作和全網(wǎng)網(wǎng)絡(luò)安全風險排查工作,,經(jīng)梳理發(fā)現(xiàn),,經(jīng)過近年來網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施建設(shè),政務外網(wǎng)已初步具備較完善的安全管理體系,、安全防護體系和安全監(jiān)測體系,。但隨著政務外網(wǎng)業(yè)務承載量逐漸增多以及業(yè)務上云化帶來的諸多挑戰(zhàn),政務外網(wǎng)面臨的整體安全形勢仍舊比較嚴峻,,形成設(shè)施保護方面的一些挑戰(zhàn),。

  1. 基層網(wǎng)絡(luò)安全管理仍不足

  地方政務外網(wǎng)基層單位存在安全管理機構(gòu)缺失、安全管理制度不完善,、制度更新不及時,、執(zhí)行不到位、責任不明確等各種各樣的安全管理短板問題,,部分地方基層單位存在未完成等級保護測評工作的情況,。

  2. 各地數(shù)據(jù)安全建設(shè)水平參差不齊

  政務信息整合共享工作基本實現(xiàn)“網(wǎng)絡(luò)通、數(shù)據(jù)通”的階段性目標,,全國一體化數(shù)據(jù)共享交換平臺建成,,公共信息資源開放有效展開。各級政務外網(wǎng)業(yè)務承載急劇增加,,大量政務數(shù)據(jù)在政務外網(wǎng)匯聚,,各地政務外網(wǎng)在數(shù)據(jù)采集、存儲,、傳輸,、使用、銷毀等環(huán)節(jié)還須加強對管理和技術(shù)要求全面的“雙落實”,,圍繞數(shù)據(jù)全生命周期安全保護能力建設(shè)仍需下力氣“大投入”,。

  3. 終端安全尚未實現(xiàn)全網(wǎng)統(tǒng)籌管控

  全網(wǎng)終端接入分散控制,整體安全管控策略必要但還無法實現(xiàn),,目前仍存在終端同時訪問政務外網(wǎng)和互聯(lián)網(wǎng)的情況,,部分單位無法對所有接入政務外網(wǎng)的終端進行有效管控,主機安全防護一旦措施落實不到位,,非法用戶就有了“可乘之機”,,終端一旦感染病毒,、中了后門木馬,對政務外網(wǎng)設(shè)施產(chǎn)生的威脅不可忽視,。

  4. 監(jiān)測措施還不夠完備

  政務外網(wǎng)存在著不少的新型攻擊形態(tài),,各地區(qū)政務外網(wǎng)網(wǎng)絡(luò)安全采集、分析水平參差不齊,,安全設(shè)備部署較為分散,,部分單位安全監(jiān)測難以實現(xiàn)全天候值守,實時發(fā)現(xiàn)和安全事件聯(lián)動處置能力存在不足,。

  《條例》出臺為政務外網(wǎng)履行法定保護,,化解問題和挑戰(zhàn),重新規(guī)劃落實設(shè)施保護措施,,建立更加有效的實戰(zhàn)化,、體系化、常態(tài)化等新理念,,全方位構(gòu)建主動防御,、安全可信、動態(tài)感知和全面審計,,強化安全集中管控,,持續(xù)增強動態(tài)防御、主動防御,、縱深防御,、精準防護、整體防控,、聯(lián)防聯(lián)控等新能力,,提供依據(jù)和抓手。

  二,、電子政務外網(wǎng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作實踐

  《條例》為當前政務外網(wǎng)全網(wǎng)各級設(shè)施運營單位做好設(shè)施保護工作提供了全面的指導,,各級運營單位應加緊對照法定要求,依法推進政務外網(wǎng)關(guān)鍵信息基礎(chǔ)設(shè)施各項保護措施穩(wěn)步落地,。

  重點應加強三項措施:一是依托現(xiàn)有組織體系架構(gòu),,構(gòu)建政務外網(wǎng)關(guān)鍵信息基礎(chǔ)設(shè)施保護工作機構(gòu),保障各級外網(wǎng)各項工作有序展開,。依托國家電子政務外網(wǎng)管理中心網(wǎng)絡(luò)和安全等組織架構(gòu)和人員,,設(shè)立全國政務外網(wǎng)統(tǒng)一的保護工作專門機構(gòu),,監(jiān)督指導各級外網(wǎng)開展保護工作,,并構(gòu)建專門安全管理職責隊伍,建立健全保護制度和責任機制,,推進人力,、財力,、物力投入,定期開展安全管理,、技術(shù)人員培訓,,開展“有獎有罰”的公平考核評價機制。

  二是立足政務外網(wǎng)主管,、監(jiān)管,、運營職能劃分,加強上下內(nèi)外左右“三協(xié)同”,,形成主管,、監(jiān)管、運營工作“三合力”,。各級政務外網(wǎng)共建共管,、共享共治,形成全國全網(wǎng)一盤棋,。政務外網(wǎng)運營者在已經(jīng)明確關(guān)基范圍,、認定工作流程和考慮因素的基礎(chǔ)上,加強與國家網(wǎng)信部門、國務院辦公廳電子政務辦,、公安部門,、安全保護部門的協(xié)作配合,進一步完善保護對象體系化工作,,與地方外網(wǎng)、部門使用單位劃分責任和工作邊界,,避免設(shè)施保護工作各自為戰(zhàn),、條塊分割等問題。

  三是遵循《條例》和等保制度指引,,落實條例重點保護措施,,提升政務外網(wǎng)安全服務支撐水平?;趪译娮诱胀饩W(wǎng)實施三級等級保護工作成效,,進一步完善網(wǎng)絡(luò)安全防護、數(shù)據(jù)共享交換安全,、安全服務支撐,、日常安全管理四位一體的網(wǎng)絡(luò)安全體系,落實政務外網(wǎng)關(guān)鍵信息基礎(chǔ)設(shè)施五方面重點保護任務,。一是重點建立資產(chǎn)檔案,;二是強化核心崗位人員管理;三是加強網(wǎng)絡(luò)攻擊威脅管控、整體防護,、監(jiān)測預警,、應急處置、數(shù)據(jù)保護等重點保護措施,;四是強化全網(wǎng)技術(shù)系統(tǒng)聯(lián)動,;五是委托網(wǎng)絡(luò)安全服務機構(gòu)對關(guān)鍵信息基礎(chǔ)設(shè)施每年開展網(wǎng)絡(luò)安全檢測和風險評估;六是發(fā)生重大網(wǎng)絡(luò)安全事件或者發(fā)現(xiàn)重大網(wǎng)絡(luò)安全威脅時,,及時向保護部門,、公安機關(guān)報告。

  圍繞做好電子政務外網(wǎng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作,,建議在實踐中重點注意以下幾點:

 ?。ㄒ唬┳R別認定政務外網(wǎng)關(guān)鍵信息基礎(chǔ)設(shè)施范圍和邊界

  電子政務外網(wǎng)關(guān)鍵信息基礎(chǔ)設(shè)施具有《條例》中所定義的電子政務這一重要行業(yè)和領(lǐng)域?qū)ο蟮娘@著特性,是一旦遭到破壞,、喪失功能或者數(shù)據(jù)泄露,,可能嚴重危害國家安全、國計民生,、公共利益的重要網(wǎng)絡(luò)設(shè)施,、信息系統(tǒng)。政務外網(wǎng)由全國各級外網(wǎng)設(shè)施組成,,政務外網(wǎng)各級骨干網(wǎng)含城域網(wǎng),、廣域網(wǎng),政務外網(wǎng)數(shù)據(jù)中心及集中地提供公共服務的云計算平臺設(shè)施,、數(shù)據(jù)共享交換平臺等所構(gòu)成的整體信息基礎(chǔ)設(shè)施,,統(tǒng)一認定為一個關(guān)鍵信息基礎(chǔ)設(shè)施,其邊界統(tǒng)一設(shè)定為政務外網(wǎng)與互聯(lián)網(wǎng)的邊界,、各級政務部門接入邊界,,政務外網(wǎng)數(shù)據(jù)中心與其他數(shù)據(jù)中心的邊界。

 ?。ǘ┩晟聘骷壵胀饩W(wǎng)內(nèi)部專門組織管理機構(gòu)

  在國家電子政務外網(wǎng)管理中心現(xiàn)有分工基礎(chǔ)上,,設(shè)立專門負責推進關(guān)鍵信息基礎(chǔ)設(shè)施保護的全網(wǎng)安全管理機構(gòu),由各級外網(wǎng)單位共同參加,,并對機構(gòu)所有關(guān)鍵崗位人員進行安全背景審查,。各地政務外網(wǎng)專門安全管理機構(gòu)具體負責政務外網(wǎng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作,履行下列職責,。一是建立健全本地政務外網(wǎng)網(wǎng)絡(luò)安全管理,、評價考核制度,擬訂本地政務外網(wǎng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護計劃,。二是組織推動本地政務外網(wǎng)網(wǎng)絡(luò)安全防護能力建設(shè),,開展網(wǎng)絡(luò)安全監(jiān)測,、檢測和風險評估。三是按照國家外網(wǎng)網(wǎng)絡(luò)安全協(xié)同應急體系要求,,構(gòu)建本地政務外網(wǎng)協(xié)同應急平臺,制定本單位應急預案,,定期開展應急演練,,處置網(wǎng)絡(luò)安全事件。四是認定政務外網(wǎng)網(wǎng)絡(luò)安全關(guān)鍵崗位,,參加國家外網(wǎng)組織開展的網(wǎng)絡(luò)安全工作考核,,開展本地外網(wǎng)考核。五是參加國家外網(wǎng)統(tǒng)一認證培訓,,組織本地網(wǎng)絡(luò)安全教育,、培訓,加大政務外網(wǎng)網(wǎng)絡(luò)安全保障人才培養(yǎng)力度,,定期組織開展技能培訓,。六是履行個人信息和數(shù)據(jù)安全保護責任,建立健全個人信息和數(shù)據(jù)安全保護制度,。七是開展本地政務外網(wǎng)關(guān)鍵信息基礎(chǔ)設(shè)施設(shè)計,、建設(shè)、運行,、維護等服務實施安全管理,。八是通過全國政務外網(wǎng)協(xié)同應急平臺及安全通報渠道及時向國家外網(wǎng)報告網(wǎng)絡(luò)安全事件和重要事項。

 ?。ㄈ┟鞔_各級政務外網(wǎng)運營者主體責任

  在關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作上,,明確地方政務外網(wǎng)運營者所需承擔的具體責任,并嚴格遵照執(zhí)行八項要求,。一是安全保護措施應當與關(guān)鍵信息基礎(chǔ)設(shè)施同步規(guī)劃,、同步建設(shè)、同步使用,。二是建立健全本地政務外網(wǎng)網(wǎng)絡(luò)安全保護制度和責任制,,保障人力、財力,、物力投入,。主要負責人對本地政務外網(wǎng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護負總責,領(lǐng)導本地政務外網(wǎng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護和重大網(wǎng)絡(luò)安全事件處置工作,,組織研究解決重大網(wǎng)絡(luò)安全問題,。三是保障專門安全管理機構(gòu)的運行經(jīng)費、配備相應的人員,,開展與網(wǎng)絡(luò)安全和信息化有關(guān)的決策應當有專門安全管理機構(gòu)人員參與,。四是自行或者委托網(wǎng)絡(luò)安全服務機構(gòu)對關(guān)鍵信息基礎(chǔ)設(shè)施每年至少進行一次網(wǎng)絡(luò)安全檢測和風險評估,,對發(fā)現(xiàn)的安全問題及時整改,并按照政務外網(wǎng)保護工作部門要求報送情況,。五是本地政務外網(wǎng)關(guān)鍵信息基礎(chǔ)設(shè)施發(fā)生重大網(wǎng)絡(luò)安全事件或者發(fā)現(xiàn)重大網(wǎng)絡(luò)安全威脅時,,運營者應當按照有關(guān)規(guī)定向政務外網(wǎng)保護工作部門、公安機關(guān)報告,。六是優(yōu)先采購安全可信的網(wǎng)絡(luò)產(chǎn)品和服務,;采購網(wǎng)絡(luò)產(chǎn)品和服務可能影響國家安全的,應當按照國家網(wǎng)絡(luò)安全規(guī)定通過安全審查,。七是采購網(wǎng)絡(luò)產(chǎn)品和服務,,應當按照國家有關(guān)規(guī)定與網(wǎng)絡(luò)產(chǎn)品和服務提供者簽訂安全保密協(xié)議,明確提供者的技術(shù)支持和安全保密義務與責任,,并對義務與責任履行情況進行監(jiān)督,。八是配合政務外網(wǎng)保護工作部門以及公安、國家安全,、保密行政管理,、密碼管理等有關(guān)部門依法開展的關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查工作。

 ?。ㄋ模┘訌娬胀饩W(wǎng)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全和數(shù)據(jù)安全

  在基礎(chǔ)防護能力建設(shè)方面,,構(gòu)建全方位的政務外網(wǎng)安全防御體系,在網(wǎng)絡(luò)側(cè),、互聯(lián)網(wǎng)接入側(cè),、應用側(cè)部署相應的安全防護措施,建立較強的邊界防護能力,、終端防護能力,、安全審計能力。在安全監(jiān)測能力建設(shè)方面,,積極開展政務外網(wǎng)安全監(jiān)測類平臺建設(shè),,提供 7*24 小時的全方位安全監(jiān)測服務,逐步具備整網(wǎng)安全事件及時發(fā)現(xiàn)并處置的能力,。在終端安全管控能力建設(shè)方面,,強化政務外網(wǎng)接入終端安全管控,杜絕終端政務外網(wǎng),、互聯(lián)網(wǎng)兩網(wǎng)通聯(lián),,有效查殺蠕蟲病毒、惡意軟件,、勒索軟件,、引導區(qū)病毒、木馬等惡意文件,,從系統(tǒng)的更底層發(fā)現(xiàn)漏洞攻擊代碼的執(zhí)行,,防護“零日”(0Day)漏洞等,,按需收集終端的軟硬件信息,包括硬件信息,、操作系統(tǒng)信息,、終端登記信息等,形成資產(chǎn)檔案,。

  在數(shù)據(jù)安全保護能力建設(shè)方面,,在促進數(shù)據(jù)共享使用的同時,推動政務外網(wǎng)數(shù)據(jù)安全保護能力建設(shè),,深入推廣數(shù)據(jù)訪問控制與權(quán)限管理,、數(shù)據(jù)加密,、數(shù)據(jù)脫敏,、數(shù)據(jù)標識、數(shù)據(jù)審計等防護措施的建設(shè)和應用,,提升數(shù)據(jù)安全交換功能和性能,,加強數(shù)據(jù)容災備份設(shè)施建設(shè),實現(xiàn)數(shù)據(jù)安全管控,。同時,,提升政務外網(wǎng)國產(chǎn)密碼一體化支撐能力,推進國產(chǎn)密碼在政務網(wǎng)絡(luò),、政務云,、各業(yè)務系統(tǒng)、數(shù)據(jù)共享體系方面的規(guī)?;渴鸷吞娲?,持續(xù)開展政務外網(wǎng)密碼應用安全性評估相關(guān)工作。

 ?。ㄎ澹┨岣哒胀饩W(wǎng)協(xié)同處置能力

  構(gòu)建覆蓋中央,、省、市,、縣四級的政務外網(wǎng)安全事件管理協(xié)同處置機制,,明確工作范圍、職責,、流程等內(nèi)容,。建設(shè)政務外網(wǎng)安全事件管理平臺,及時收集,、匯總,、分析、共享各方網(wǎng)絡(luò)安全信息,,為各級政務外網(wǎng)安全管理部門處置跨地域,、跨層級,、跨系統(tǒng)的安全事件搭建協(xié)同處置通道。依托國家網(wǎng)絡(luò)與信息安全信息通報機制,,加強國家電子政務外網(wǎng)網(wǎng)絡(luò)信息安全通報預警力量建設(shè),,推進與網(wǎng)信、公安,、保密等主管部門和主流安全廠商網(wǎng)絡(luò)安全威脅情報共享協(xié)同,,聯(lián)合機構(gòu)、院校,、廠商深度挖掘分析,,形成具有政務外網(wǎng)特色的威脅情報信息庫,支撐政務外網(wǎng)安全事件管理協(xié)同處置機制能力建設(shè),。建設(shè)政務外網(wǎng)安全應急演練平臺,,為各級政務外網(wǎng)安全管理部門搭建演練環(huán)境,提升政務外網(wǎng)安全事件協(xié)同處置能力,。

  三,、結(jié)語

  隨著政府數(shù)字化轉(zhuǎn)型、應用新模式的推進發(fā)展,,電子政務外網(wǎng)關(guān)鍵信息基礎(chǔ)設(shè)施保護工作不容小覷,,貫徹落實關(guān)鍵信息基礎(chǔ)設(shè)施保護和網(wǎng)絡(luò)安全等級保護兩個制度,完善政務外網(wǎng)體制機制建設(shè),,以全局規(guī)劃,、戰(zhàn)略布局、整體推進為原則,,堅持全國“一盤棋”,,發(fā)揮各級政務外網(wǎng)積極性,全面協(xié)同推進國家電子政務外網(wǎng)關(guān)鍵信息基礎(chǔ)設(shè)施全網(wǎng)安全保護取得新進展,。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected],。