加强政务信息系统运维安全保障

政务信息系统运维是指政府部门完成支撑其业务运转的信息系统建设转入使用阶段后，为确保信息系统安全、稳定、高效运行，采用信息技术手段及方法，对信息系统的基础环境、硬件、软件、业务应用、网络和信息安全等提供技术支持和管理服务的活动。我国投资建设的大量电子政务信息系统建成之后，工作重点由“建设”向“运维”转变，政府机关内部办公、行政审批、信息公开等大量政府核心业务越来越依赖信息化，对IT运维管理的需求日益加大，政务信息系统运维日益成为保障政府运行的重要支撑。与此同时，我国部分政务信息系统运维服务管理不完善，网络安全防控能力薄弱，部分运维人员安全防范能力和意识不强，甚至被境外敌对势力收买策反，严重危害国家安全。政务信息系统是保障政府运转、社会各项事业有序推进的重要基础支撑，运维服务是确保信息系统安全、高效、平稳运行的关键，应高度重视运维服务环节风险挑战，多措并举筑牢政务信息系统运维服务和数据安全屏障。

全球网络和信息安全形势严峻

近年来，全球系统运维安全事件频发，网络攻击威胁持续上升，网络与信息安全威胁和风险日益突出，并向政治、经济、文化、社会、生态、国防等领域传导渗透。以美国为首的西方国家频频发起网络攻击战，频繁侵入我国重要信息系统，窃取敏感数据，多样化数据窃密手法隐秘且防不胜防，为我国信息系统和数据安全带来严峻挑战。

一是网络攻击战已升级为国家黑客行为。网络空间的攻防对垒越来越成为国家间角逐的焦点，有国家背景的网络攻击已成为国家安全的巨大威胁。例如，俄乌冲突爆发以来，俄罗斯政府机构、新闻媒体、国有企业以及关键政务网络设施遭到大量黑客攻击。

二是关键信息基础设施成为网络攻击重点。作为数字化时代经济社会运行中枢的关键信息基础设施，正日益成为网络攻击的重点目标。例如，美国国家安全局（NSA）长期“偷窥”及收集通信行业存储的大量个人信息及行业关键数据。

三是多样化数据窃密手法隐秘且防不胜防。随着现代科技的发展，数据窃密手段也随之花样翻新，令人防不胜防。例如，2022年西北工业大学攻击事件中，美国国家安全局特定入侵行动办公室（TAO）使用“酸狐狸”平台，部署“怒火喷射”远程控制武器，控制多台关键服务器，伪装成“合法”身份，实施内网渗透，将窃取信息打包加密后经多级跳板回传至美国国家安全局总部，这些攻击手法隐秘且危害巨大。

四是数据泄露事件频发，安全威胁日益严峻。国内外数据大规模泄露事件频发，政务服务平台系统成为风险高发领域。政务机构作为保障维持国家、社会正常运行的重要基础，成为被网络攻击和数据窃取的重灾区。例如，2022年3月，南非90%的公民征信数据遭黑客攻击导致泄露；2022年8月，暗网论坛有人拍卖上海“随申码”数据库，称其中有4850万用户的数据，包括用户姓名、手机号码、身份证号等敏感数据；2023年5月，超过120万条菲律宾政府机构的申请人和雇员的敏感信息在网上泄露，包括指纹扫描、出生证明、纳税申报等高度敏感的数据。

我国政务信息系统运维面临风险

在信息技术发展日新月异的背景下，融合应用云计算、大数据等新技术的政务信息系统复杂度和运维难度不断提升，部分单位存在运维各环节安全责任不清、自主可控基础薄弱、部分政务信息系统主体单位建设统筹不足、数据分级分类管理不到位等问题，加上运维人员管理不到位，暴露政务信息系统和数据安全隐患。

一是新技术应用提升运维服务复杂度。近年来，云计算、大数据、人工智能等新一代信息技术的深入应用，提升了政务信息系统建设技术含量，对信息系统运行维护也提出了新的更高要求，需要运维人员洞悉信息系统的新架构模式，转变传统的系统运维模式和组织模式。云计算技术的融合应用将IT设备设施、计算存储资源、应用服务等进行虚拟化，促进了计算资源的高效集约利用，形成了基础设施即服务(IaaS)、平台即服务(PaaS)和软件即服务(SaaS)等信息系统新架构和运行新模式。在云计算背景下，需要运维的IT硬件设施设备更少，客户对软件和应用服务问题解决响应的及时性要求更高。同时，随着数据量的爆发式增长，以及大数据技术为海量多样化数据的并行处理提供了新方法和手段，人类处理数据、挖掘信息的能力大幅提高。这就要求运维人员善于运用大数据、人工智能等技术，从海量数据中快速分析挖掘隐藏信息和知识，增强对复杂世界事件的推理和分析，并形成准确的认知和预测。随着政务信息整合共享的深入推进，政务信息系统整合共享后，汇集了大量公众隐私信息、商业秘密等敏感数据，对数据安全保护级别提出了更高要求，对数据防攻击、防篡改能力提出了新挑战。

二是运维各环节安全责任边界不清晰。信息系统运维包括机房环境保障、硬件设备管理、网络环境维护、基础软件和应用系统运维、数据资源管理等多个环节，涉及不同责任主体，各个环节都面临着安全风险。按照相关保密规定，涉密信息系统运维需要配备系统管理员、安全保密管理员、安全审计员，这三类人员各司其职，相互监督。然而，现实中不少单位为了图省事，把这些事项全部交给一个人来负责，埋下巨大风险隐患。部分管理主体数据访问权限责任控制不到位，导致运维安全责任边界不清，数据泄密难以追查、责任难以追究。

三是关键软硬件自主可控基础不坚实。我国部分电子政务系统基础软硬件自主可控能力不足造成一些漏洞或缺陷，为攻击者利用。核心信息技术是数字化建设的重要基础，我国信息创新产业生态对欧美技术依赖度依然较高，高端芯片、操作系统等关键核心技术受制于人带来隐患，部分电子政务系统所采用的国产化软、硬件产品与国外先进厂商相比仍有一定差距，部分网络安全方案建立在国外技术和产品的基础上，国产软硬件产业链供应链和产业生态体系有待进一步培育。

四是政务信息系统建设整体统筹不足。我国政务信息化建设“小散乱”的局面尚未得到根本扭转，整体统筹力度不足。信息系统单独建设、分头建设还比较普遍。一些政务信息系统规划建设时对成熟套装软件使用不足，定制化开发比例高，导致部分政务信息系统低水平重复建设，质量良莠不齐。部分系统安全防护能力不足，未达到安全防护强度的系统有可能成为黑客攻击政务网络或相关系统的跳板。

五是数据分级分类管理未能落地实施。部分机构未能落实《中华人民共和国数据安全法》中关于建立数据分级分类管理的要求，大量政务数据尚未建立分级分类的标准规范和相应保护制度。对于安全等级不明确的数据，数据安全保护措施不当会出现数据安全保护强度不足导致数据泄露风险，数据过度保护又会带来数据共享困难，导致后续基于数据分类的应用问题。

六是政务系统管理运维能力有待提升。政务信息系统运维包括业务单位自行运维、委托项目建设单位运维、外包第三方专业机构运维等模式。在信息系统运维需求和难度日益增大的情况下，政府机关事业单位受制于编制职数有限、正式编制人员不足等约束，自身运维团队和力量普遍有限，一旦信息系统发生较大故障，仅依靠政府部门自己很难解决全部问题，大量政务信息系统的运维服务普遍较为依赖外包企业，甚至部分政府机构的信息系统运行维护完全交给服务厂商，不少运维人员安全意识不强、运维管理不规范，人员流动频繁，由厂商人员引发的安全事件时有发生。部分政务系统平台仍存在弱口令、运维变更不规范等问题，部分运维人员操作不规范等行为对系统平台安全造成威胁。

如何加强安全保障

针对目前政务信息系统运维领域面临的安全风险，我国有必要进一步提升系统运维服务技术水平，强化运维安全责任，加快自主可控和安全替代，加强数据分级分类管理，进一步规范数据管理应用，优化政务系统建设整体架构，提升责任单位数据安全保护能力。

一是提升系统运维服务技术水平。结合新一代信息技术应用特点，优化系统运维模式和组织模式，强化对运维人员的专业技术培训，提升运维人员专业技术素质和对新技术的驾驭能力。将大数据、人工智能、区块链等技术深入应用到系统运维全过程各环节，采用现代化的IT运维工具，增强信息系统运维问题识别、分析研判、形成解决方案的自动化、智能化程度，实现用技术对技术，用技术管技术，进一步提高IT系统的稳定性和可靠性。

二是明确系统运维服务安全责任。严格落实政务信息系统运维各方安全责任，明确系统建设方、硬件基础设施环境、应用系统运维、数据资源管理等各方责任主体，围绕政务数据生成、汇聚、存储、处理、传输、共享、开放、销毁、备份的全生命周期梳理相关角色、权限、人员等管理对象的安全责任边界、责任范围、具体安全职责和工作内容。

三是加快信息基础设施自主可控。加快推进国产自主可控替代计划，构建安全可控的信息技术体系。落实关键信息基础设施安全保护制度，对涉及国家安全、国计民生、公共利益的关键信息基础设施进行重点防护。大力发展信创产业，突破一批卡脖子领域关键核心技术，提升国产软硬件和数据安全产品质量和水平，加快培育完善国内信创产业链。

四是优化政务系统建设整体架构。按照大系统大平台的思路，加强政务信息系统整合力度，大力推广政务服务成熟套装软件。全面开展政务信息化项目建设效能评估，形成闭环管理机制。积极采用区块链、可用不可见、数据加密、数据脱敏等新技术，构建政务信息系统整合共享安全保障技术体系。

五是强化政务数据分级分类管理。建立和完善数据分类分级保护制度，对数据实行分类分级保护。建立数据安全保护管理制度，数据流转、交易、出境等管理制度，数据安全检测评估、安全审查、出境安全评估、安全风险监测、突发事件应急处置和报告制度，加强数据全生命周期保护。

六是增强系统运维安全管理能力。全面提升政务网络与信息系统管理人员安全防护能力，建立健全数据安全检测、常态化攻防演练、安全管理制度。加强对政务系统平台运维管理人员的培训，加强政务信息系统运行维护、用网安全过程管理，加强监测预警和应急处置工作，提前排除安全隐患，不断提升政务服务领域安全防护能力。建立完善的IT运维风险管理体系，加强对运维外包人员的管理，构建全过程留痕、全程可追溯的运维监管体系。

中国信息界

INFORMATION CHINA