宋光信　高和平

关键词：数字化改革；数据安全；电子政务

中图分类号：TP393 文献标识码：A

文章编号：1009-3044（2023）14-0076-04

0 引言

近年来，浙江省完成了“最多跑一次”改革[1]，加强数字化改革，推动政务服务向更加高效、便捷、智能化的方向发展。而温州的数字化改革走在了全省的前列，这也表明了政府对于数字化改革的重视，但在数据安全方面，仍然存在许多挑战。电子政务所涉及的数据信息越来越多，网络数据安全也变得越来越重要，如何确保在数字化改革过程中保护数据完整性、可用性、可靠性和保密性，这是一个重要的问题。随着《中华人民共和国数据安全法》的立法和实施，我国将数据安全提升到了非常高的高度，电子政务系统需要更加严格地执行数据安全相关要求，保护政府和百姓个人的数据安全。

1 电子政务数据安全概述

1.1 数据安全的概念

现在是数字化的时代，数据的安全性是至关重要的，在网络环境中，保护数据的安全性是指防止未经授权者访问电子政务数据、修改或删除数据的一种技术手段。为了实现数据安全，可以采取多种措施，如使用密码、数据备份、加密和审计等技术或管理手段。这些措施的目的是保证数据的完整性和保密性，防止数据泄露或被未授权者访问[2]。

1.2 数据安全管理的基本原则

1）保密性

保密性是指保护电子政务数据不被未经授权的人员访问。为确保保密性，政府部门需要采取一系列措施，如电子政务系统的访问控制、数据加密、身份认证等，以防止未经授权的人员访问或获取政务数据。在政府部门中数据又分为了涉密数据和非涉密数据，对于涉密数据是需要进行物理隔离，严禁接入互联网的[3]。而非涉密数据往往是一些涉及老百姓生活方方面面的数据，也是需要进行严格保密，只对获得授权的用户开放使用。

2）完整性

完整性是指保证电子政务数据不被篡改或破坏。为确保完整性，政府部门需要采取一系列措施，如防篡改技术、数字签名等，以防止政务数据被篡改或破坏[4]。

3）可用性

可用性是指确保电子政务数据在需要时能够访问[5]。为确保可用性，政府部门需要采取一系列措施，如备份和恢复、灾难恢复等，以确保政务数据在需要时能够访问。

2 数字化改革背景下电子政务数据安全现状分析

2.1 温州市电子政务的发展历程

2013年温州成为国家试点智慧城市，近期又在全省之先开展数字化改革，温州政府始终把满足人民对美好生活的向往作为数字政府建设的出发点和落脚点，打造智慧便捷、公平普惠的数字化服务体系，让百姓少跑腿、数据多跑路[6]。温州市政府陆续推出了多个电子政务项目，包括政务服务网、政务公开网、在线办事大厅等，不断提升政府服务的便捷性和效率。温州政府成立了大数据管理局等信息化管理部门，夯实了基础网络建设、同时对基础信息资源平台等设施不断完善。在2015年以前各个委办局独立建设信息化系统，采购软硬件部署服务，出现百花齐放百家争鸣的现象，但网络安全问题逐渐暴露出来。温州市政府非常关注网络安全，温州市公安局等部门每年都会牵头对政府网站的网络安全进行检查，从而提高网络安全的意识及推进网络安全事宜。随着数字化改革的进行，各个政府部门之间的数据实现了互联互通，但数据也是政府最重要的数据，一旦数据被非法利用或泄漏势必会对政府造成不良影响。经过“最多跑一次”改革、数字化改革等几轮的信息化更新迭代，业务系统对外访问的简易拓扑结构如图1所示，各个委办局保留了用户可以直接访问其出口的方式，同时各个委办局通过接口和市大数据管理服务局进行数据交换完成了数据调用，省级部门通过市大数据管理服务局进行数据交換，从而实现了浙政钉、支付宝等访问政务系统的需求。从拓扑中可以观察到，各个委办局有2个出口，结构较为复杂。

2.2 温州市电子政务数据安全存在的问题分析

在数字化改革的背景下，电子政务已经成为政府服务人民群众的重要手段，但是电子政务数据安全面临诸多问题，包括但不限于以下几点：

1）网络复杂

各个委办局各自为战，分别管理相应的电子政务系统，由于网络的复杂性，资产梳理不清，极有可能存在漏网之鱼。黑客有可能突破保护机制，从而获取电子政务系统中的重要数据，甚至可以修改、删除重要数据。这一点尤其需要引起重视，因为安全问题的风险随着互联网的快速发展而不断增加。政府部门需要梳理好网络资产，并对相应网络资产加强安全的防护和监测，及时发现和处理网络安全事件，从而保护电子政务系统中的数据安全。

2）资产梳理不清

网络资产是指所拥有的各种网络设备、网络系统、网络数据等。如果相关部门的网络资产梳理不清，将会带来一系列问题和危害。网络资产中包括重要数据、系统、应用程序等，如果没有进行全面的梳理和管理，将会引发多种安全威胁，如数据泄露、系统漏洞、黑客攻击等。这些安全威胁可能会给政府部门带来不可估量的损失和影响。

3）安全管理缺失

一些政府部门领导对数据安全的意识不到位，缺乏对电子政务系统的有效安全管理，缺乏有效的安全策略，系统安全性严重受到影响。在政府中仍然存在着使用微信等软件发送涉密数据的事件，可见其意识并未到位。政府部门应该认真对待这一问题，从上至下，并建立完善的安全管理体系，以确保电子政务系统的安全。此外，政府部门还应该加强对员工的安全培训，提高领导和员工的安全意识，以降低安全风险。

4）内部管理不善

内部管理不善也是导致电子政务数据泄露的一个重要原因。在2022年曾在网络上大量传播公民个人信息的截图、个人行动轨迹等敏感信息，这些信息均是从内部人员中流传出来的，政府部门需要加强对内部员工的管理，建立相应的规章制度，加强对内部员工的监督和管理，以防止内部员工泄漏数据，从而保障电子政务系统的数据保密性。

5）安全技术滞后

目前电子政务系统中，安全技术尚未完全发挥作用，仍存在安全漏洞，使系统容易遭受攻击。因此，政府部门需要加强对电子政务系统安全技术的研究与应用，以提高系统的安全性。同时，政府部门还应该积极引进先进的安全技术来提高电子政务系统的安全性。

6）安全方面投入不足

在建设信息化项目时，往往只注重建设完成后的功能，却忽略了安全方面的建设。应在项目规划阶段同步规划安全方面的投入，如安全设备、项目安全方面的建设。在信息化项目上设定一定的资金比例作为安全方面的建设，同时可以通过引入安全服务等方式弥补自身的不足。

7）外包服务管理不到位

部分政府部门通过购买第三方服务的方式对信息化项目进行管理，存在着外包公司一手包办的情况，重要的网络架构、系统管理员账户密码等都由外包公司掌控。而外包服务的公司工作人员素质、技术水平参差不齐[7]，极有可能导致系统数据泄露、被篡改、丢失等情况。

8）外部攻击

除了黑客攻击，还有可能存在外部组织或个人对电子政务系统的攻击。这些攻击可能涉及政治、经济、军事等方面，造成的危害将更加严重。特别是境外组织出于政治等原因在特殊的日期发起对政府系统的攻击行为，从而造成极大的负面影响。

3 数字化改革背景下电子政务数据安全的对策思考

当前电子政务数据安全面临极大挑战，政府部门应从安全管理、技术水平、技术手段、安全文化、加强与安全领域的合作、数据安全演练和评估等方面进行考虑。

3.1 加强安全管理

政府部门应该加强对电子政务系统安全管理，制定有效的安全策略，建立有效的安全监控体系，加强安全管理是保障电子政务数据安全的基础。政府部门需要明确安全责任、建立安全管理组织机构、制定安全管理制度等，以确保电子政务数据安全。《中华人民共和国数据安全法》于2021 年6 月10 日通过，自2021年9月1日起施行[8]。在大数据时代背景下，政务数字化转型快速发展，依据该法建立更为周详的数据安全管理制度，明确数据责任主体，为电子政务数字化改革发展提供法治保障。政府部门应仔细研读《中华人民共和国数据安全法》，并严格按照数据安全法相关规范要求执行。

3.2 提高安全技术水平

政府部门应该采用较新的安全技术，如数据加密、数据备份、数据安全审计等，来保护电子政务系统中的数据安全。这些技术的应用将有助于提高系统的安全性，减少甚至避免信息泄露等问题的发生。对于政府信息化管理人员是电子政务系统的直接管理者，应在稳定的前提下，主动提高自身的技术水平以应对日新月异的网络环境。

3.3 技术手段

技术手段干预也是保障电子政务数据安全的重要手段。政府部门可以采用安全审计、漏洞扫描等技术手段，及时发现并解决安全问题，以保障政务数据的安全。技术方面分别从业务系统、数据接口、基础系统层面、算法、运维等不同维度提出对策。

1）业务系统方面

首先，业务系统应设置用户登录入口的二次验证，可以有效减少因为弱口令或者密码被盗造成的业务系统权限被窃取的情况。其次，应在页面上设置水印，可以有效追查通过拍照、截图等方式造成的数据泄露，在可行的情况下，应部署数据脱敏系统，对业务系统中的敏感数据进行脱敏处理后进行显示。再次，业务部门应定期对所使用的业务系统进行安全性评估、压力测试等，确保业务系统的稳定性，并根据业务重要程度设置备份系统，条件允许的情况下建立灾备系统，确保数据的可用性。

2）数据接口方面

随着“最多跑一次”、数字化改革的推进，各个部门之间打破了数据的壁垒实现了让数据多跑路，群众少跑路的效果。而各部门之间的数据交互是通过接口实现的，接口方面除了能稳定进行交互外，数据的保密性也值得关注。部分政府部门的接口可能存在无加密、无校验的方式，以及传输方式采用HTTP等明文传输方式，存在着较大的数据泄露可能性。除了要加强数据加密交换外，还应加强对接口的监控，应监控接口的稳定性以及接口调用次数，对于同一时间密集调用的情况，应做好日志记录，及时备查。

3）基础系统方面

各个政府部门应积极配合网信、公安完成网络安全方面的要求，如定期开展自查工作而不是为了应付检查，定期开展等级保护测评工作，对整个系统进行一次彻底深入的体检。安装部署入侵检测系统并及时关注处理报警信息，IDS可以对网络中的流量进行分析和处理，可以识别和过滤掉恶意流量，提高网络的安全性能和可靠性。在部署和安装IDS时，需要合理设置和配置，定期更新和升级，及时检测和修复漏洞，避免出現误报或漏报等情况，确保IDS的有效性和可靠性；对于网站业务系统部署网站应用防火墙并开启拦截功能，网站应用防火墙可以记录Web应用程序的所有访问记录和攻击行为，为安全事件的溯源和分析提供有力的证据支持，保护政府网站；在网络边界处部署安装防火墙，对整体网络进行防护。在系统层面开启备份功能，除了业务系统的定期数据备份外，在系统层面也应定期进行备份，从而确保数据的可用性。

4）使用国密算法

在数据安全保护中，加密算法是一种重要的手段。国密算法，即商用密码，已经成为我国的基础密码技术之一[9]。在业务迭代更新的过程中，应逐渐使用国密算法代替原有的加密算法，从算法上保障数据的保密性。在数据传输过程中，可以使用国密算法对数据进行加密。比如，可以使用SM4算法对数据进行加密，以确保数据在传输的过程中不被第三方窃取或篡改。同时，也可以使用SM3算法对数据进行哈希处理，以确保数据的完整性。在数据存储方面，可以使用国密算法对数据进行加密。比如，可以使用SM4算法对数据进行加密存储，以确保数据在存储过程中不被第三方窃取或篡改。同时，也可以使用SM3算法对数据进行哈希处理，以确保数据的完整性。

5）技术运维方面

远程运维能够提高运维效率，为运维人员提供便利，特别是应急处理时能及时连接到政府电子政务系统。但是，数据安全问题一直是远程运维面临的重要挑战。大部分政府单位运维人员会使用向日葵等远程运维软件，存在着网络被暴露、操作未被审计等风险。政府部门应建立完善的运维管理制度，并加强远程访问控制，如部署安装VPN设备、堡垒机等设备、设置访问权限和密码策略，对远程连接进行加密传输，采用双因素认证等措施，减少非法访问的风险。此外，还应该定期检查远程访问日志，及时发现异常行为，并及时采取措施防止数据泄露等风险。对内部网络及服务器端的所有操作进行记录和审计，并在网络层面禁用向日葵等远程运维软件。

3.4 建立安全文化

政府部门应该在电子政务系统中建立安全文化，加强对工作人员的安全教育，让工作人员更加重视数据安全，并采取有效的安全措施，以确保电子政务系统的安全性。定期开展数据安全培训，提高政府工作人员的安全意识，以降低安全风险。同时，政府部门还应该加强对公众的安全宣传，提高公众的数据安全意识，以增强社会对电子政务系统安全的关注度。

3.5 加强与安全领域的合作

政府部门应该加强与安全领域的合作和交流，共同探讨电子政务数据安全的问题，并探索新的安全技术和理念，为电子政务数据安全提供更好的保障。如加强和安全公司的合作，引入安全公司的最新安全方面的成果，以提高政府的整体安全水平。积极加强和高校间的合作，加大对高校安全方面的支持，让高校反哺社会，通过高校的社会服务为政府提供技术支持。

3.6 数据安全演练和评估

政府应该制定详细的数据安全演练和评估计划，包括演练和评估的目标、流程、时间表和人员分工等。在制定计划时，应该考虑到不同情况下的应急响应和处置方案，以便在发生安全事件时能够及时应对。根据需要选择合适的演练和评估工具，比如可以选择安全测试工具、漏洞扫描工具、安全检测工具等。政府应该安排专业的安全团队进行数据安全演练和评估，这些团队应该由专业的安全专家和技术人员组成。他们能够通过模拟真实的攻击场景和安全事件，评估政府的数据安全保护能力。并定期进行数据安全演练和评估，以確保数据安全保护能力得到不断提升。

4 结束语

本文研究了数字化改革背景下电子政务数据安全的问题，并提出了对策建议。未来，政府部门应该加强对电子政务系统安全的重视，建立完善的安全管理体系、加强对政府工作人员和公众的安全培训，以保障电子政务系统的安全。同时，政府部门还应该加强与安全领域的合作和交流，探索新的安全技术和理念，为电子政务数据安全提供更好的保障。只有通过全面加强电子政务数据安全的管理，才能更好地为公众提供便捷、高效、安全的政府公共服务。