文│ 國(guó)家信息中心信息與網(wǎng)絡(luò)安全部 高亞楠 陳永剛 陳月華
在我國(guó)�,部分地區(qū)基層政府網(wǎng)絡(luò)安全已經(jīng)覆蓋到街道辦事處層面����,為國(guó)家網(wǎng)絡(luò)安全法律法規(guī)和標(biāo)準(zhǔn)規(guī)范的落地和廣泛應(yīng)用提供了有力的支撐?���?傮w來(lái)說(shuō),基層政府網(wǎng)絡(luò)安全工作主要分為兩個(gè)方面����,一個(gè)方面是政府自身網(wǎng)絡(luò)安全保障,另一個(gè)方面是轄區(qū)內(nèi)網(wǎng)絡(luò)安全治理���。政府自身網(wǎng)絡(luò)安全保障工作著眼于電子政務(wù)和政府辦公網(wǎng)絡(luò)安全��,網(wǎng)絡(luò)安全治理工作則從轄區(qū)內(nèi)網(wǎng)絡(luò)安全監(jiān)督審查��、整體化治理出發(fā)����,落腳于轄區(qū)內(nèi)重要企業(yè)、重點(diǎn)人群�、重大時(shí)期等。比較美國(guó)和我國(guó)基層政府網(wǎng)絡(luò)安全規(guī)劃及保障情況����,可以為實(shí)現(xiàn)我國(guó)基層政府網(wǎng)絡(luò)安全的善治提供參考。
美國(guó)基層政府網(wǎng)絡(luò)安全規(guī)劃及保障情況
在網(wǎng)絡(luò)安全保障方面�,美國(guó)國(guó)家政府為基層政府提供了完善的落地實(shí)施方案和可參考�、便于實(shí)施的具體實(shí)施措施和安全保障方案,并給出參考案例�����,可使基層政府更好地理解和落實(shí)國(guó)家法律法規(guī)和政策標(biāo)準(zhǔn)��,并參照國(guó)家網(wǎng)絡(luò)安全計(jì)劃�、相關(guān)行政令�、指南和標(biāo)準(zhǔn)等執(zhí)行�����。
以美國(guó)政府推進(jìn)政府上云為例���,2011年����,美國(guó)發(fā)布了《云計(jì)算環(huán)境中信息系統(tǒng)的安全授權(quán)》(Federal Risk Authorization Management Program)��,并開展了基于風(fēng)險(xiǎn)管理的政務(wù)云計(jì)算服務(wù)安全認(rèn)證評(píng)價(jià)�����,為基層政府上云提供了安全保障基礎(chǔ)����。工作的組織形式是由國(guó)防部、國(guó)土安全部��、商務(wù)部等國(guó)家部門牽頭���,由第三方認(rèn)證機(jī)構(gòu)�、云計(jì)算服務(wù)提供商、技術(shù)提供商等參與開展�����,為基層政府采購(gòu)云服務(wù)商的解決方案提供參考依據(jù)�����。此外��,2018年�����,美國(guó)開展的云計(jì)算系統(tǒng)安全計(jì)劃��,開發(fā)的云調(diào)查和審計(jì)工具���,研究的云計(jì)算虛擬化、計(jì)算��、節(jié)點(diǎn)的安全方案����,都為基層政府落實(shí)云計(jì)算網(wǎng)絡(luò)安全提供了具體的安全保障工作落實(shí)抓手�。
以網(wǎng)絡(luò)空間安全計(jì)劃實(shí)施為例���,2018年5月�,美國(guó)國(guó)土安全部發(fā)布了網(wǎng)絡(luò)空間安全五年計(jì)劃(Five Year Strategy for Cybersecurity)����,計(jì)劃從風(fēng)險(xiǎn)識(shí)別、降低脆弱性����、減少威脅、安全響應(yīng)等方面建立網(wǎng)絡(luò)安全框架�����,以達(dá)成評(píng)估�、保護(hù)系統(tǒng)、基礎(chǔ)設(shè)施�����、快速回復(fù)響應(yīng)等目標(biāo)�。基層政府參與國(guó)家網(wǎng)絡(luò)安全計(jì)劃實(shí)施,國(guó)土安全部與聯(lián)邦政府��、州政府���、地方政府���、行業(yè)和國(guó)際社會(huì)的主要合作伙伴合作,已經(jīng)開始識(shí)別和管理國(guó)家網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的工作����。此外,美國(guó)《聯(lián)邦信息安全管理法案》(Federal Information Security Management Act)風(fēng)險(xiǎn)管理框架的廣泛推廣�、廣泛應(yīng)用和深入影響,也是國(guó)家網(wǎng)絡(luò)安全頂層規(guī)劃向基層政府深化實(shí)施的優(yōu)秀案例�����。
在網(wǎng)絡(luò)安全治理方面��,美國(guó)基層政府已經(jīng)逐步建設(shè)形成網(wǎng)絡(luò)安全生態(tài)系統(tǒng)�����。由于美國(guó)各級(jí)基層政府權(quán)力范圍較大����,州級(jí)政府具有高度自治的特點(diǎn),最小的政府權(quán)力執(zhí)行單位是基于社區(qū)治理模式的基層社區(qū)組織��。美國(guó)基層政府在預(yù)算支撐���、風(fēng)險(xiǎn)識(shí)別����、事件響應(yīng)����、人才體系建設(shè)等方面具備體系化的支撐和工作基礎(chǔ),依據(jù)國(guó)家網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理框架開展風(fēng)險(xiǎn)管理�����,開發(fā)相關(guān)工具和方案輔助實(shí)施�����、持續(xù)監(jiān)測(cè)��,將基層政府轄區(qū)內(nèi)網(wǎng)絡(luò)安全工作有機(jī)結(jié)合���,形成持續(xù)改進(jìn)���、安全可靠的網(wǎng)絡(luò)生態(tài)系統(tǒng)�����。
以佐治亞州網(wǎng)絡(luò)安全治理為例��,佐治亞州由技術(shù)局(GTA)負(fù)責(zé)信息技術(shù)和網(wǎng)絡(luò)安全戰(zhàn)略規(guī)劃的制訂����。2007年���,佐治亞州委托開展的一項(xiàng)研究發(fā)現(xiàn)�,由于基礎(chǔ)設(shè)施老化�����,管理流程���、管理程序和治理措施缺乏��,佐治亞州政府存在重大的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)�����。2015年��,佐治亞州建立網(wǎng)絡(luò)安全審查委員會(huì)�,推進(jìn)GTA制定的網(wǎng)絡(luò)安全戰(zhàn)略規(guī)劃的實(shí)施����,提升網(wǎng)絡(luò)安全作為跨政府部門工作的優(yōu)先級(jí)和統(tǒng)籌協(xié)調(diào)能力。在網(wǎng)絡(luò)安全治理能力建設(shè)方面�,佐治亞州設(shè)立了年度報(bào)告(STAR)工具進(jìn)行戰(zhàn)略下發(fā)、預(yù)算管理和執(zhí)行調(diào)整等工作��,設(shè)立了企業(yè)資產(chǎn)組合管理工具(STARR)與企業(yè)��、機(jī)構(gòu)和州立法機(jī)構(gòu)進(jìn)行數(shù)據(jù)共享�,運(yùn)用國(guó)家年度技術(shù)報(bào)告登記冊(cè)(EPMO)企業(yè)項(xiàng)目管理工具進(jìn)行數(shù)據(jù)分析,將分析結(jié)果應(yīng)用于網(wǎng)絡(luò)安全戰(zhàn)略規(guī)劃制訂���。在應(yīng)急響應(yīng)方面���,佐治亞州建立了事件升級(jí)制度,并建立了由跨部門代表組成的事件響應(yīng)團(tuán)隊(duì)(IRT)��,授權(quán)相關(guān)部門代表推進(jìn)應(yīng)急事件快速響應(yīng)。在2016年“網(wǎng)絡(luò)風(fēng)暴五號(hào)”國(guó)家網(wǎng)絡(luò)安全演習(xí)中��,佐治亞州通過(guò)模擬大范圍系統(tǒng)故障和停機(jī)等���,對(duì)應(yīng)急響應(yīng)計(jì)劃進(jìn)行了演習(xí)���。
中國(guó)基層政府網(wǎng)絡(luò)安全規(guī)劃保障情況
在網(wǎng)絡(luò)安全保障方面,中國(guó)完成了法律法規(guī)的初步建設(shè)���,完成了標(biāo)準(zhǔn)體系的進(jìn)一步完善����?����;鶎诱e極落實(shí)國(guó)家法律法規(guī)��,開展網(wǎng)絡(luò)安全保障工作��,實(shí)施風(fēng)險(xiǎn)管理��,推進(jìn)風(fēng)險(xiǎn)評(píng)估和等級(jí)保護(hù)工作����,并從2018年開始����,顯著增強(qiáng)了網(wǎng)絡(luò)安全頂層規(guī)劃和預(yù)算支撐�,為網(wǎng)絡(luò)安全保障工作的落實(shí)提供了頂層整體化規(guī)劃設(shè)計(jì)和有效支撐。
在中國(guó)基層政府開展的網(wǎng)絡(luò)安全規(guī)劃設(shè)計(jì)工作中�,市級(jí)基層政府網(wǎng)絡(luò)安全保障工作較為完善����,區(qū)縣級(jí)網(wǎng)絡(luò)安全保障工作區(qū)域間、地域間差距較大��,街道或鄉(xiāng)鎮(zhèn)級(jí)網(wǎng)絡(luò)安全保障工作普遍缺乏����。
以街道或鄉(xiāng)鎮(zhèn)網(wǎng)絡(luò)安全保障為例,街道或鄉(xiāng)鎮(zhèn)基層政府對(duì)繁多的國(guó)家標(biāo)準(zhǔn)理解層次較淺����,缺乏落實(shí)實(shí)施思路,基層政府辦公網(wǎng)絡(luò)��、移動(dòng)網(wǎng)絡(luò)存在安全隱患��,辦公終端網(wǎng)絡(luò)連接管理缺失,政府?dāng)?shù)據(jù)安全防護(hù)意識(shí)缺乏�,辦公人員身份認(rèn)證管理措施缺失。
以終端安全為例���,中國(guó)基層政府多采用上級(jí)政府所建設(shè)的信息系統(tǒng)����,終端安全防護(hù)的缺失將導(dǎo)致網(wǎng)絡(luò)間�����、系統(tǒng)間存安全風(fēng)險(xiǎn)�����,轄區(qū)內(nèi)的敏感數(shù)據(jù)和終端容易遭受網(wǎng)絡(luò)的攻擊和社會(huì)工程學(xué)攻擊�。
在網(wǎng)絡(luò)安全治理方面,中國(guó)基層政府是兩級(jí)政府(市�����、區(qū)縣)�����、三級(jí)管理(市、區(qū)縣和街道或鄉(xiāng)鎮(zhèn))�、四級(jí)網(wǎng)絡(luò)(市、區(qū)縣和街道或鄉(xiāng)鎮(zhèn)���、居或村委會(huì))的科層制模式�。各政府部門以縱向垂直管理方式為主��,由于居或村委會(huì)以協(xié)調(diào)工作為主�,街道或鄉(xiāng)鎮(zhèn)辦事處為最小政府權(quán)力執(zhí)行單位,各級(jí)基層政府均根據(jù)國(guó)家政府部門體制設(shè)立網(wǎng)絡(luò)安全人員����。中國(guó)在網(wǎng)絡(luò)安全治理體系建設(shè)方面處于飛速發(fā)展的階段�,基層政府網(wǎng)絡(luò)安全工作的抓手主要以網(wǎng)信部門和公安部門的基層政府人員為主,網(wǎng)絡(luò)安全治理體系建設(shè)尚在完善改進(jìn)過(guò)程中�,統(tǒng)籌協(xié)調(diào)和切實(shí)落實(shí)舉措正在不斷探索和改善。
對(duì)基層政府網(wǎng)絡(luò)安全規(guī)劃的幾點(diǎn)思考
建設(shè)和完善基層政府電子政務(wù)網(wǎng)絡(luò)安全保障體系����,增強(qiáng)基層政府公信力和執(zhí)行力,提升網(wǎng)絡(luò)安全治理���,是推進(jìn)國(guó)家治理體系建設(shè)����、提升治理能力、構(gòu)建服務(wù)型政府的必經(jīng)之路���。參考美國(guó)基層政府網(wǎng)絡(luò)安全治理和網(wǎng)絡(luò)安全保障體系建設(shè)經(jīng)驗(yàn)�,優(yōu)化中國(guó)基層政府網(wǎng)絡(luò)安全規(guī)劃及保障體系��,有效推進(jìn)中國(guó)基層政府網(wǎng)絡(luò)安全治理體系和保障體系建設(shè)���,才能實(shí)現(xiàn)基層政府網(wǎng)絡(luò)安全的善治�����。
第一�����,國(guó)家層面提供具體實(shí)施方案���、參考案例。在標(biāo)準(zhǔn)�、規(guī)范制訂的同時(shí),可向基層政府提供具有落地性的實(shí)施措施和方案,提供角色����、職責(zé)、時(shí)間表等�,提供優(yōu)秀案例,確保技術(shù)措施����、管理措施到位。
第二��,加強(qiáng)基層政府網(wǎng)絡(luò)安全保障體系和網(wǎng)絡(luò)安全治理體系建設(shè)���。加強(qiáng)對(duì)轄區(qū)的網(wǎng)絡(luò)安全監(jiān)管���,建立長(zhǎng)效的網(wǎng)絡(luò)安全保障機(jī)制���。形成基層政府網(wǎng)絡(luò)安全治理能力�����,形成辦公網(wǎng)絡(luò)安全防護(hù)屏障�����,形成政務(wù)系統(tǒng)安全保障壁壘���。網(wǎng)絡(luò)安全是一項(xiàng)跨部門工作�,需要頂層設(shè)計(jì)��,加強(qiáng)領(lǐng)導(dǎo)�,深化協(xié)調(diào),以形成基層政府網(wǎng)絡(luò)安全保障體系和治理體系����。
第三,提升基層政府網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理��。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理需要集中國(guó)家�����、基層政府���、第三方咨詢?cè)u(píng)估機(jī)構(gòu)和企業(yè)的力量�����,有針對(duì)性地識(shí)別和管理基層政府在網(wǎng)絡(luò)安全治理和保障方面的安全風(fēng)險(xiǎn)����,減少基層政府及其轄區(qū)內(nèi)網(wǎng)絡(luò)安全脆弱性,削弱網(wǎng)絡(luò)安全威脅�,降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn),切實(shí)保障基層政府?dāng)?shù)據(jù)安全����。
第四,工具和方案輔助實(shí)施���、持續(xù)監(jiān)測(cè)����。國(guó)家或基層政府配備相關(guān)工具和方案�����,加強(qiáng)動(dòng)態(tài)化網(wǎng)絡(luò)安全管理����。對(duì)重要企業(yè)���、重點(diǎn)系統(tǒng)���、重要人群���、重點(diǎn)時(shí)期進(jìn)行持續(xù)管理或監(jiān)測(cè),建立有效監(jiān)督機(jī)制�����,促進(jìn)各項(xiàng)技術(shù)與管理措施落到實(shí)處�。對(duì)相關(guān)管理和監(jiān)測(cè)數(shù)據(jù)開展分析,支撐和促進(jìn)基層政府網(wǎng)絡(luò)安全戰(zhàn)略或頂層設(shè)計(jì)不斷改進(jìn)����。
(本文刊登于《中國(guó)信息安全》雜志2019年第3期)
在線咨詢
在線咨詢
0371-63319761