身份安全 | 互聯(lián)網(wǎng)+政務(wù)安全體系建設(shè)

近年來信息安全事故頻發(fā)，眾多企業(yè)與個人的重要數(shù)據(jù)被大量泄露。作為提供基礎(chǔ)社會公共服務(wù)主體的政府部門與企事業(yè)機關(guān)單位，收集和儲存了大量公民個人隱私信息，包括姓名、證件號碼、聯(lián)系方式、住址等重要敏感數(shù)據(jù)。但由于當(dāng)前網(wǎng)絡(luò)安全措施多數(shù)僅是關(guān)注物理環(huán)境、網(wǎng)絡(luò)環(huán)境的安全防范，而對內(nèi)部的權(quán)限濫用、內(nèi)外部人員違規(guī)操作以及對風(fēng)險預(yù)警和責(zé)任追溯等缺失有效的管控手段。大量國內(nèi)外安全事件案例分析，多數(shù)安全風(fēng)險實際是來自組織內(nèi)部人員，以及由于缺失規(guī)范的內(nèi)部控制體系導(dǎo)致內(nèi)、外部人員聯(lián)合作案違規(guī)操作，直接威脅到我們的數(shù)據(jù)資產(chǎn)安全。這不僅嚴(yán)重影響國家與社會公共利益，還直接威脅到公民隱私和生命財產(chǎn)安全。由此可見，安全體系建設(shè)工作是實現(xiàn)互聯(lián)網(wǎng)+政務(wù)美好愿景的堅實基礎(chǔ)。

在國家層面，也相繼出臺了眾多指導(dǎo)文件與要求細(xì)則，明確政務(wù)體系建設(shè)的標(biāo)準(zhǔn)規(guī)范：

1 《國務(wù)院關(guān)于印發(fā)政務(wù)信息資源共享管理暫行辦法的通知》：圍繞統(tǒng)籌推進(jìn)“五位一體”總體布局和協(xié)調(diào)推進(jìn)“四個全面”戰(zhàn)略布局，按照“內(nèi)外聯(lián)動、點面結(jié)合、上下協(xié)同”的工作思路，一方面著眼長遠(yuǎn)，做好頂層設(shè)計，促進(jìn)“五個統(tǒng)一”，統(tǒng)籌謀劃，銳意改革。

2 國務(wù)院辦公廳下發(fā)《國務(wù)院辦公廳關(guān)于印發(fā)“互聯(lián)網(wǎng)+政務(wù)服務(wù)”技術(shù)體系建設(shè)指南的通知》。提出“堅持問題導(dǎo)向、加強頂層設(shè)計、推動資源整合、注重開放協(xié)同”的原則。

3 國務(wù)院辦公廳下發(fā)《政務(wù)信息系統(tǒng)整合共享實施方案》通知，要求根本上解決長期以來困擾我國政務(wù)信息化建設(shè)的“各自為政、條塊分割、煙囪林立、信息孤島”問題

4 《中華人民共和國網(wǎng)絡(luò)安全法》正式頒布施行。一把手是網(wǎng)絡(luò)安全第一責(zé)任人。

5 李克強總理在“十九大政府工作報告”中，將深化“放管服”改革，深入推進(jìn)“互聯(lián)網(wǎng)+政務(wù)服務(wù)”，加快政府信息系統(tǒng)互聯(lián)互通，打通信息孤島，提到了新的高度

講了這么多，那么如何構(gòu)架政務(wù)安全體系呢？政務(wù)安全體系需要站在全局角度，依托頂層設(shè)計原則，自下而上可以將安全體系分為基礎(chǔ)設(shè)施安全、中間件安全、通用組件安全、業(yè)務(wù)平臺安全、基礎(chǔ)平臺安全、門戶安全。在這六個部分中每一個部分都需要設(shè)計不同的安全策略與風(fēng)險防范策略。

重建設(shè)、輕管理現(xiàn)象普遍存在

部分領(lǐng)導(dǎo)干部急于做出政績，陸續(xù)上馬眾多政務(wù)服務(wù)系統(tǒng)，但是缺乏有效的、科學(xué)的管理流程與管理規(guī)范，導(dǎo)致我們很多的政務(wù)服務(wù)系統(tǒng)存在權(quán)限不清、責(zé)任不明、協(xié)同不暢等等現(xiàn)象，使我們的預(yù)期大打折扣。解決之道在于，做好政務(wù)服務(wù)系統(tǒng)的基礎(chǔ)權(quán)限梳理，明確崗位職責(zé)與分工，使政務(wù)服務(wù)系統(tǒng)價值最大化，人員使用便捷化，辦事流程規(guī)范化。

缺乏統(tǒng)一建設(shè)標(biāo)準(zhǔn)與規(guī)范

政府部門承載了眾多的工作范圍(農(nóng)業(yè)、教育、交通、水利、人力資源等等)，那么不可避免的會配套眾多的政務(wù)服務(wù)系統(tǒng)。那么，成熟的安全體系建設(shè)過程中必須要考慮：

① 通過制定命名規(guī)范與密碼管理規(guī)范，形成用戶管理的規(guī)范

② 加入權(quán)限管控流程，形成申請審批制度，完善身份管理運營的規(guī)范

③ 對于所有政務(wù)系統(tǒng)，制定應(yīng)用管理的規(guī)范。如，用戶信息同步接口規(guī)范與應(yīng)用認(rèn)證接口規(guī)范等等。

信息孤島現(xiàn)象明顯，協(xié)同能力不足

同時，每一套政務(wù)系統(tǒng)會存在單獨的用戶、權(quán)限、組織機構(gòu)等等通用性數(shù)據(jù)資產(chǎn)，而政務(wù)系統(tǒng)之間數(shù)據(jù)不同步或者數(shù)據(jù)存在差異，最終產(chǎn)生數(shù)據(jù)孤島現(xiàn)象。杜絕及根治數(shù)據(jù)孤島最有效的方法，就是建立統(tǒng)一用戶數(shù)據(jù)管理平臺，基于此平臺實現(xiàn)數(shù)據(jù)分發(fā)與數(shù)據(jù)同步的功效。

公眾服務(wù)能力需要提升

在政務(wù)+互聯(lián)網(wǎng)體系中，關(guān)于對公眾的服務(wù)能力也是檢驗的重要標(biāo)準(zhǔn)。面向公眾的在線辦事大廳，面臨著更加嚴(yán)峻的安全體系建設(shè)問題。與內(nèi)部政務(wù)不同的是，采取有效的安全策略防止外部攻擊，集中自然人身份管理提升公眾服務(wù)的滿意度成為我們急需解決的首要問題。