• 收藏
  • 设为首页
  • 工作邮箱
微信公众号
分享
[字体: ]
分享到:
分享
政务信息系统整合共享安全问题分析与对策
来源:信息与网络安全部   作者:陈发强 陈月华 杨绍亮   时间:2018-10-29

随着《政务信息资源共享管理暂行办法》(国发〔201651号)、《政务信息系统整合共享实施方案》(国办发〔201739号)等文件的印发,我国政务信息系统整合共享工作全面展开。推进政务信息系统整合共享,是打破信息壁垒,实现跨层级、跨地域、跨系统、跨部门、跨业务协同管理和服务的必要途径,是推进数字中国的重要举措。但政务信息系统整合共享有序推进的同时,安全问题日趋凸显,亟待加强政务信息系统整合共享安全防护,切实保障政务信息系统整合共享数据安全。

一、政务信息系统整合共享意义重大

首先,政务信息系统整合共享是我国政务信息化发展到现阶段的必然产物。

一方面,实施政务信息系统整合共享,将加快推进政府转变职能、优化服务,满足群众诉求多样化、服务个性化、方式便利化的需求,更好地贯彻落实政府“放管服”改革。另一方面,开展政务信息系统整合共享,发掘大数据要素价值,促进供需匹配,能更有效地提高资源利用效率和劳动生产力,助力供给侧结构性改革。

其次,政务信息系统整合共享是提升政府治理能力和公共服务水平的有效途径。实施政务信息系统整合共享,有助于解决困扰我国政务信息化发展多年的老大难问题,从根本上改变“各自为政、条块分割、烟囱林立、信息孤岛”的局面,让信息多跑路,让群众少跑腿,让治理更有效,让人民更有获得感。

二、政务信息系统整合共享工作有序推进

党中央国务院高度重视政务信息系统整合共享工作,习近平总书记强调,要以信息化推进国家治理体系和治理能力现代化,构建一体化在线服务平台,打通信息壁垒,构建全国信息资源共享体系。李克强总理多次就加快国务院部门和地方政府信息系统互联互通,推动政务信息跨地区、跨层级、跨部门互认共享作出重要批示。按照党中央、国务院的部署,国务院办公厅成立政务信息系统整合共享推进落实督查工作组,国家发展改革委成立政务信息系统整合共享推进落实工作领导小组,并印发了《加快推进落实<政务信息系统整合共享实施方案>工作方案的通知》(发改高技〔20171529号)、《关于开展政务信息系统整合共享应用试点的通知》(发改办高技〔20171714号)等文件,统筹推进政务信息整合共享工作。在国务院、国家发展改革委、地方政府等部门的共同努力下,推进政务信息系统整合共享工作取得突出成效。

(一)初步建成政务数据共享“大通道”

按照党中央、国务院决策部署,国家发展改革委会同有关地区、部门,始终坚持“按天推进、按周总结、按月报告”的工作节奏,大力推进政务信息系统整合共享工作,截至目前,基本建立了国家数据共享交换平台体系,打通了国务院部门建设的42个垂直信息系统和694个数据项,初步实现了71个部门、32个地方的“网络通”,16个重点领域的“数据通” “业务通”[[1]]

(二)基本建立全国数据资源目录体系

政务信息系统整合共享推进落实工作领导小组自成立以来,始终高速运转,组织召开了23次跨部门的推进会和75场专题会,清理了一大批“僵尸系统”,打通了2800多个信息孤岛的堵点。已形成了52万项数据目录,其中可以共享的占94.52%,可以开放的占69.62%,据统计,通过平台体系,跨地域、跨层级、跨部门的数据共享交换已经达到了300亿次[[2]]

(三)省市系统整合共享多点开花

据不完全统计,国内31个省市自治区结合当地特色,分别印发了《政务信息整合共享实施方案》,其中,四川省率先实现与国家平台对接,70个省级部门和21个市州共发布目录近8万条;山东省启动并完成省市平台互通和省直部门接入工作,17市、59个省直部门接入省共享交换平台,累计发布数据资源1500多类,全省县级以上(含)政务服务大厅实现与省市共享交换平台的联通。天津市梳理出670个政务信息系统,已清理16个,整合204个,保留450个。48个市级政府部门政务信息资源1431类,包含35594个信息项,其中可共享的695类,共享率为48.57%,资源中心存储数据达9.63亿条。

三、政务信息系统整合共享安全问题不容忽视

随着政务信息整合共享的开展,安全层面的威胁和难题逐步凸显,不敢共享成为严重制约政务信息整合共享工作的关键问题。

(一)个人隐私信息易被泄露

政务信息涉及国计民生,政务信息系统整合共享后,汇集了大量公民隐私信息和敏感信息,同时,政务信息系统整合共享流程环节复杂,涉及数据发布、数据加载、共享交换、使用和销毁等诸多环节,任一环节都可能因技术或人为因素造成敏感信息的泄露。此前,据澎湃新闻报道,安徽、重庆、湖北、江西等地政府部门网站在公示中存在大面积隐私信息泄露。而时至今日,甘肃、山西、江西、湖南、广西、四川、内蒙古等地方政务网站仍存在泄露隐私信息的情况,有的单个公示涉及的信息数就达上万人[[3]]。从2016年的“徐玉玉事件”、“宋振宁事件”等到2017年焦作特大电信诈骗案,都是隐私信息泄露造成的重大安全事件。由于我国尚未出台隐私法,无法有效识别哪些数据涉及个人隐私,未明确需要保护的个人信息和保护要求,缺乏相关相律法规和标准依据可能造成不保护或过度保护。

(二)关键信息基础设施易遭攻击

关系到国计民生重大利益的国家基础设施,已成为网络攻击的重要目标。2015年以来,来自境外的黑客组织已持续3年对我国政府、科研院所、海事机构、海域建设、航运企业等相关重要领域进行攻击,地域遍及国内29个省。据统计,截至201712月底,累计监测到针对我国境内目标发动攻击的境外APT组织38[[4]]。统计显示,2017年,这些APT组织发动的攻击行动,至少影响中国境内超过万台电脑,攻击范围遍布国内省级行政区。政务信息系统整合共享后,将通过政务信息共享平台,实现国务院部门和地方政府信息系统互联互通,届时,整个网络将更为复杂,系统将更为庞大,汇聚数据信息更为繁多,在这种情况下,作为国家关键信息基础设施的政务信息网络、政务信息系统、政务共享平台等一旦遭受攻击,将直接影响到国家安全。

(三)数据安全问题日益凸显

数据安全问题是政务信息系统整合共享过程中不可回避、同时也是急需解决的问题。一是过于集中的数据更容易成为攻击的目标,数据也会成为APT 攻击的重灾区;二是数据采集、分析、共享、使用及销毁等各环节都易发生数据失真、被篡改、非授权使用或被破坏等问题;三是非敏感的数据可以通过二次组合或通过数据的聚合分析,形成更有价值的衍生敏感数据,若对数据安全级别判断不足,存在保护强度不够的情况,将导致数据泄露风险,且责任难以界定。

四、多措并举加强政务信息系统整合共享安全保障

加强政务信息系统整合共享安全保障,既是贯彻落实党中央国务院领导关于保障国家数据安全重要指示的集中体现,也是当前推进政务信息系统整合共享工作进程的必然选择。加强政务信息系统共享安全保障,必须立足长远和全局,从长计议。

(一)加强关键信息基础设施防护

《网络安全法》中明确规定,涉及国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。此外,《关键信息基础设施安全保护条例》(征求意见稿)明确细化了关键信息基础设施范围,并对关键信息基础设施的监测预警、应急处置和检测评估等作出了规定,因此,在政务信息系统整合共享中,要深入贯彻《网络安全法》,并以《关键信息基础设施安全保护条例》等文件的相关要求,作为加强政务信息系统、政务信息共享平台等关键信息基础设施安全防护的准则。

(二)规范政务信息共享管理制度

规范政务信息共享管理制度,是防治数据失真、被篡改或非授权使用的问题的重要举措。规范政务信息共享管理,就是要厘清数据提供方、数据使用方、共享监管方等共享主体责任边界,规范数据发布、数据使用、数据销毁等环节,构建覆盖所有责任主体、覆盖所有关键环节、覆盖所有数据的管理体系,做到数据流程可追溯,关键环节可监管,保障政务信息共享管理有理可依、有据可循。

(三)采用关键技术强化共享安全

针对政务信息系统整合共享中个人隐私信息泄露等安全问题,采用数据加密、数据脱敏、分布式共识、数据安全标识等关键技术,构建政务信息系统整合共享安全保障技术体系,着力解决数据共享过程中敏感及隐私数据易泄露、数据共享全过程审批记录、共享数据流转管控策略制定等问题,满足对共享主体的责任界定。从关键技术层面,强化政务信息系统整合共享安全。



[[1]]  国家发展改革委高技术司有关负责同志就《进一步深化"互联网+政务服务" 推进政务服务"一网、一门、一次"改革实施方案》答记者问

http://www.gov.cn/xinwen/2018-06/26/content_5301272.htm

[[2]] 2017年高技术领域发展成就之五:推动政务信息系统整合共享 着力打破“信息孤岛

http://gjss.ndrc.gov.cn/gjsgz/201802/t20180212_877389.html

[3] 国务院要求保护个人隐私指令下达后,多地政府网站仍有泄露  澎湃新闻

https://www.thepaper.cn/newsDetail_forward_2111475

[[4]] 360威胁情报中心.2017中国高级持续性威胁(APT)研究报告》