• 浅析政府网站集约化与网络安全
  • 信息来源:YFCMF   发布时间:2020-07-28 17:21:07    阅读:971次   字体:[ ]

  • 为贯彻落实党中央、国务院关于加强全国网络安全和信息化工作有关部署,推进政府网站互联互通融合发展,2018年10月27日,国务院办公厅印发了《政府网站集约化试点工作方案》(以下简称《方案》),结合《政府网站发展指引》提出以“问题导向、开放融合、集约节约、平稳有序”为基本原则,将北京、吉林、安徽、山东、湖北、湖南、广东、广西、重庆、贵州10个省(区、市)和西藏自治区拉萨市作为试点地区,整合政府网站资源,打通政务信息壁垒,推进集约共享和信息融合,提升政府网站管理和服务水平,努力建设整体联动、高效惠民的网上政府。


    5f1fedbbc8775.jpg


    集约化是解决政府网站“信息孤岛”、“数据烟囱”等问题的有效途径。《方案》要求,试点地区要认真组织实施,按照统一标准体系、统一技术平台、统一安全防护、统一运维监管的要求,推进数据融通、服务融通、应用融通,重点做好建设集约化平台、形成标准规范、构建信息资源库、提供一体化服务和强化安全保障工作,于2018年12月底前制定具体实施方案,细化任务措施,明确时间节点并报送国务院办公厅备案,在2019年12月底前形成试点工作总结报告并报送国务院办公厅。其他省份可以参考《方案》开展政府网站集约化工作。




    5f1fedc02e541.jpg


    /


     政府网站集约化必要吗


    2009年前后,我国政府信息化专家提出,针对政府网站标准不统一、建设维护不集中、服务质量不高等问题,建议进行网站整合,走集约化发展道路。自1999年开展“政府上网工程”实施工作以来,全国90%以上的政府单位已经独立搭建了为企业和市民提供了丰富的信息服务的政务网站。然而这种分散粗放模式网站管理模式带来诸多弊端。


    是政府资源浪严重,投入产出效益不高,网站质量低下,内容缺乏规范,管理分散且效率低下。

    是“信息孤岛”、“各自为战”现象严重,数据共享与业务协同欠佳,技术壁垒严重,造成政府网站管理、对接、改造困难。

    是网上政务服务碎片化严重,服务方式和流程标准不一,网站信息缺乏专业性和权威性,不方便企业和市民办事。


    业务部门支撑缺位、内容质量保障不高、用户使用率低、粘性差等诸多问题存在,许多地方政府网站处于边缘化的境地,这样的结果是:网站办不好,群众不爱用,领导不重视,越来越边缘,陷入恶性循环。改变迫在眉睫!



    5f1fedc517b53.jpg



    //


    网站集约化怎么理解


    在此背景下,全国政府机构的避免资源重复投入、统一信息资源整合、加强保障技术安全、提升政府服务水平、促进电子政务协调管理这一系列巨大需求催生了政府网站集约化建设的萌芽。可见政府网站集约化是一项涉及到顶层设计、体制改革、技术创新、资源重新调配的复杂系统工程,必须全面优化整合网站资源。不同于传统网站群的网站扎堆、服务分散的特点,网站集约化不仅仅是技术平台的集约,更重要的是通过技术平台的集约,实现资源的优化配置。其内涵是通过统一标准体系、统一技术平台、统一安全防护、统一运维监管,集中管理信息数据,集中提供内容服务,实现网站资源优化融合、平台整合安全、数据互认共享、管理统筹规范、服务便捷高效。



    5f1fedcaed6c8.jpg



    5f1fedceee624.png




    ///


     集约后还有哪些信息安全问题



    在网络安全方面,政府网站集约化会将基础设施集中起来,甚至将核心数据汇聚存储,在减少下级单位基础设施安全风险的同时,也可能增加其他方面的信息安全威胁。


    1. 安全保障责任的归属

    《方案》指出,要严格落实网络安全法和关键信息基础设施安全保护有关要求。那么网站资源集中起来了以后,网站管理运营单位还是否存在安全保障责任?

    答案是肯定的,单位应当充分贯彻《政府网站发展指引》中“谁主管谁负责、谁运行谁负责、谁发布谁负责”的安全保障责任要求,负责相关网站的内容管理和网站自身安全管理。


    因此,平台谁建、数据谁存、业务谁管、责任谁负的问题是最明显的问题之一,必须先得到解决。


    2. 安全厂商选择的风险

    《方案》要求,必须做到统一标准体系、统一技术平台、统一安全防护、统一运维监管。

    如何理解“统一运维监管”?政府集约化平台建设厂商还能不能同时承担平台安全防护和保障的工程建设?


    《中华人民共和国政府采购条例》第十八条规定,“为采购项目提供整体设计、规划编制或者项目管理、监理、检测等服务的供应商,不得再参加该采购项目的其他采购活动”。


    因此,“统一运维监管”准确含义应该是指“统一运维、统一监管、运管分离”。建设厂商不应该参加该平台项目的其他采购活动。如果负责平台管理的政府单位不慎忽略此点,将有可能碰触法律红线。


    3. 网站自身面临的威胁

    理论上,只要是接入政府网站集约化平台的网站可以不用重复进行等级测评(看各省具体要求而定),但网站自身的安全以及网站内容的管理还是需要运营归属单位来保障。


    首先应该结合单位网站具体情况完善网站安全管理制度体系,建立人员保密制度、网站安全巡检制度,安全监测制度、网站安全应急响应制度、网站安全管理和安全通报等制度;

    其次应结合专业的技术力量,开展多维度的网站安全巡检、监测和运维工作,实施检查网站代码安全性能,进行专业的WEB应用系统及网站渗透测试等安全保障实施工作。

    最后应当对网站管理人员、使用人员和三方人员开展定期的安全教育和培训,确保人员安全。


    另外,《方案指出》,应当明确集约化平台运营者与政府网站运营者的安全管理责任,政府网站在向集约化平台迁移前要进行安全评估和安全加固。


    4. 集约平台的安全保障

    网站集约平台作为数量巨大的网站基础设施,必须特别重视网络安全防护和保障。


    《方案》要求,必须确保安全技术措施与集约化平台同步规划、同步建设、同步运行,对攻击、侵入和破坏集约化平台及系统的行为采取防范措施。建立安全监测预警机制,实时监测网站的硬件环境、软件环境、应用系统、网站数据等运行状态以及网站挂马、内容篡改等攻击情况,并对异常情况进行报警和处置。定期对网站应用程序、操作系统及数据库、管理终端进行全面扫描,发现潜在安全风险并及时处置,建立应急响应机制并严格执行。加强域名解析安全防护,鼓励对政府网站域名进行集中解析。将互联网协议第6版(IPv6)改造与政府网站集约化工作一并部署、同步推进,确保集约化平台支持IPv6。


    5. 防范网站仿冒的问题

    假冒政府网站是指以虚假政府机构名义、冒用政府或部门名义开办的,以及利用与政府网站相同或相似的标识(名称、域名、徽标等)、内容及功能误导公众的非法网站。仿冒网站不仅可能导致人民的经济损失,更有可能引发大规模的网络舆情事件,威胁社会稳定和国家安全。


    因此,网信部门应联合政府单位和电信部门,结合第三方专业技术力量,利用自动化技术和智能识别技术迅速发现假冒政府网站,及时对假冒网站的域名解析和互联网接入服务进行技术和行政处置,联合公安机关对假冒政府网站开办者等人员依法予以打击处理。



    5f1fedfbcf499.jpg


     IV


    结语


    政府网站集约化通过云服务的基础架构去融入互联网+的思维,利用大数据技术去挖掘政府网站的资源价值,不断提升跨部门的效率,实现用户对整合政府的资源需求,强调用集约化思路去统筹、建设和管理政府网站群,达到集约化建设和减少安全风险的双重目的。网站集约化既能够提升政务管理效率,又能够提升公民认可度,可谓优势明显。但并不是网站集约管理了就等于没有安全风险了,就百分百安全了。应当在传统安全防护的基础上,认真思考集约化可能带来的新风险,只有在安全建设方面居安思危、未雨绸缪,才能真正做到政府网站平台的可靠稳定和规范便捷。




  • 服务热线:400-666-4048

    联系电话:0791-88171700

    地址:北京市海淀区昌运宫7号楼1幢3层3139

    客服微信

    Copyright © 2007-2020 米乐买球平台科技 赣ICP备09005132号