政务行业面临的网络风险:
随着《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规相继推出,政府机构作为行业监管单位和网络安全运营者,在关键信息基础设施网络安全防护能力方面得到显著提升,但在我国数字政府建设中依旧要面临网络风险有:
- 关键信息基础设施是重点攻击目标
政府行业作为关键基础设施的主要承载行业,面临大规模拒绝服务攻击、高级可持续攻击、漏洞利用、钓鱼攻击、供应链攻击等多种攻击方法组合,对关键信息基础设施构成致命打击。
- 网络安全工作仍存在薄弱环节
部分政府单位缺乏危机意识,对面临的网络安全威胁认识不足,网络安全保护措施落实不到位,安全责任制不落实,网络安全资金投入不够,尤其是在重保期间极易成为攻击对象并发生安全事件。
- 重保期间网络攻击活动加剧
黑客组织、犯罪团伙和不法分子在重保期间对我国政府行业攻击加剧,以篡改网站、窃取重要数据、控制重要信息系统为目的,严重危害国家安全、社会公共安全和人民群众合法权益。
- 国家新基建和数字经济发展,网络安全面临新挑战
我国加快信息基础设施、融合基础设施、创新基础设施建设,推进数字产业化和产业数字化,新型基础设施和数字基础设施是网络攻击的重点目标。传统漏洞、弱口令、高危端口等安全问题及新生的勒索、挖矿、违规外联等未知威胁层出不穷,缺乏专业安全运营团队和常态化运营机制,导致现有安全防控能力难以抵御各类安全威胁。
- 网络安全监管合规要求多
网络安全监管要求越来越多,满足监管的难度越来越大。各类监管规范、管理要求、技术标准等数量庞大繁杂且需要在不同项目阶段进行贯彻执行,需要进行系统化管理。
- 信息系统资产复杂
政府部门的系统资产较多,需要对自有系统资产掌握全面,对拥有的信息系统、信息资产如何满足监管要求、应该满足哪些监管要求、如何满足监管要求等进行整体规划。
- 数据安全保障体系不完善
政务数据多层级、多统、多角色的使用、提取中存在数据泄露、数据资源滥用等风险,无法满足监管部门对数据安全的要求。
数据开放共享扩大了数据访问的范围,在数据流转过程中,共享管理责任不明确、数据超范围共享、扩大数据暴露面等安全风险和隐患,将增加数据泄露风险。
数据分类分级基础制度建设相对滞后,无法有效支撑数据分类分级工作。
数据在采集、存储、传输、处理、交换、销毁的数据生存周期中,存在功能性、可靠性、安全性、性能、易用性等风险。
政务数据安全保障框架
政务数据安全技术体系
政务行业网络安全需求
政府信息化建设布局较早,且集中了大量关键信息基础设施,网络安全防护需求最为强烈,目前仍是网络安全最主要的市场。虽受疫情影响,政府行业客户增速也下降明显,但依然保持增长态势。调研数据显示,政府和公共企事业单位仍是当前我国网络安全产业下游的最大客户,市场营收占比为29%。另外,政府行业包括中央和地方的行政机关和职能部门,部门数量多,数据量大,未来增长潜力较大。
《全国一体化政务大数据体系建设指南》
2022年,国务院网站发布《全国一体化政务大数据体系建设指南》。目前,全国31个省(自治区、直辖市)均已结合政务数据管理和发展要求明确政务数据主管部门,负责制定大数据发展规划和政策措施,组织实施政务数据采集、归集、治理、共享、开放和安全保护等工作,统筹推进数据资源开发利用。
政务数据体系建设亟待解决的五大问题
- 政务数据统筹管理机制有待完善
·国家层面已明确建立政务数据共享协调机制,但部分政务部门未明确政务数据统筹管理机构,未建立有效的运行管理机制。
·政务数据管理权责需进一步厘清,协调机制需理顺
·基层仍存在数据重复采集、多次录入和系统连通不畅等问题。
- 政务数据共享供需对接不够充分
·政务数据资源存在底数不清,数据目录不完整、不规范,数据来源不一等问题。
数据需求不明确、共享制度不完备、供给不积极、供需不匹配、共享不充分、异议处理机制不完善、综合应用效能不高等问题。
- 政务数据支撑应用水平亟待提升
·政务云平台建设与管理不协同,政务云资源使用率不高,缺乏一体化运营机制。
·政务数据质量问题较为突出,数据完整性、准确性、实效性亟待提升。
·跨地区、跨部门、跨层级数据综合分析需求难以满足,数据开放程度不高、数据资源开发利用不足。
·地方对国务院部门垂直管理系统数据的需求迫切。
- 政务数据标准规范体系尚不健全
·由于各地区各部门产生政务数据所依据的技术标准、管理规范不尽相同,政务数据缺乏统一有效的标准化支撑,在数据开发利用时,需投入大量人力财力对数据进行清洗、比对,大幅增加运营成本,亟需完善全国统一的政务数据标准、提升数据质量。
·部分地区和部门对标准规范实施推广、应用绩效评估等重视不足。
- 政务数据安全保障能力亟需强化
·《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》等法律法规出台后,亟需建立完善与政务数据安全配套制度。
·数据全生命周期的安全管理机制不健全,数据安全技术防护能力亟待加强。
·缺乏专业化的数据安全运营团队,数据安全管理的规范化水平有待提升,在制度规范、技术防护、运行管理三个层面尚未形成数据安全保障的有机整体。