当今世界,信息技术革命日新月异,网络信息技术已经全面融入社会生产生活,但随之而来的网络安全问题也愈显突出。
网络安全形势日益严峻
回顾这两年网络安全状况,全球范围内数据泄露、网络攻击等状况频发,网络安全形势越发严峻。黑客攻击、勒索病毒、数据泄露等各类事件层出不穷。据统计数据分析,政务信息系统等级保护初测平均通过率仅为15%左右,通过整改后复测通过率可达到80%以上,远远低于金融等行业。
等保测评是网络安全的重要保障
2017年6月1日,《中华人民共和国网络安全法》正式实施,把网络安全工作以法律形式提高到了国家安全战略的高度,并将网络安全等级保护制度上升到法律层面,成为维护国家网络空间主权、安全和发展利益的重要手段。
等级保护测评从技术(物理安全、网络安全、主机安全、应用安全和数据安全)和管理(安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理)两大方面、十个层面,采用100分制,60分及格方式对信息系统安全维度进行综合评价。通过合规性检查和渗透测试等方式,发现系统安全隐患,提出具有可操作性的合理化整改建议,对整改加固的效果进行检验。
威海市率先开展市级政务信息系统等级保护集中测评工作
威海市作为东北亚的前沿城市,一直比较重视信息化建设,先后成为国家和省信息化试点城市。为进一步提高威海市政务信息系统网络安全的保障能力和防护水平,2018年威海市大数据和电子政务管理中心(以下简称威海市电政办)在全省率先开展市级政务信息系统等级保护集中测评工作,涉及全市29个市级政府部门单位。
本次等保集中测评工作于今年7月份开始前期准备,在威海市电政办、公安局、财政局、被测评单位、北洋云计算中心及各系统运维单位的大力支持和配合下,历时近5个月,完成各项规定流程,圆满完成预期目标,于12月中旬顺利通过验收。
1、项目启动会全面覆盖29家部门单位
2018年8月7日,威海市电政办组织举行市级政务信息系统等级保护集中测评项目启动会议。会上,威海市电政办副主任王永峰对项目执行进行了总体部署并提出具体要求。随后,项目所涉及的29家被测评单位陆续开展等保测评项目具体实施启动会。通过项目启动会对所有被测单位进行网络安全政策法规和等保测评重要意义等宣传教育,提高了党政机关工作人员的网络安全意识、明确各相关方在网络安全管理中的职责和等保测评工作流程,建立顺畅的人员沟通交流机制,为项目的顺利实施打下了良好的基础。
2、建立协调有效的沟通反馈机制
本次项目采取日报、周报及项目周例会的沟通反馈机制,让所有参与项目的甲乙双方成员均能及时了解项目进展情况,有任何问题随时沟通解决,并通过领队制度、人员培训、示范总结、记录审核、报告审核、例行巡检、随机抽查、客户回访及召开统一测评规范大会等多措并举,严格保障项目按期保质完成。
3、严格把控项目全程进度及质量
本次测评系统所涉及的部门单位领导高度重视,积极组织相关人员主动参与,全力配合对68个政务信息系统的测评和整改加固工作,其中包含公共服务域系统34个,本地系统13个,公安警务云系统11个,财政云系统6个,行政服务域系统3个,阿里云系统1个。项目实施过程分为备案登记、系统测评、验证测试、整改加固、系统复测、报告编制与审核六大阶段,通过严格的项目进度计划安排、专业的项目管理流程、规范的项目过程文档、有效的风险管理及应对措施等手段,保证了项目质量、过程、进度、风险全程可控。
威海市级政务信息系统集中等级保护测评项目是省内第一个地市级等保测评综合项目,具有复杂性、多边性、综合性等特点,对涉及到的各部门单位都是前所未有的机遇和挑战。在大家的团结协作、群策群力下,项目取得了显著的成效,开创了全省先河,在全国范围内树立了典范。
一是提升了财政资金使用效率。本次集中测评工作对所涉及的市级政务信息系统进行打包采购,有效提升了财政资金使用效率。
二是实现了市级政务信息系统等级保护全覆盖。其中三级政务信息系统占应测评系统的100%,二级政务信息系统按两年一循环的要求,占应测评系统的44%。
三是有效提高了政务信息系统的网络安全系数。所有被测系统在等保初测时通过率仅为20%左右,通过针对系统存在的安全隐患及时进行整改加固,整改后复测通过率达到80%以上。
四是进一步普及网络安全法和等级保护相关知识。在项目实施期间,各方积极配合开展2018年威海市“网络安全宣传周”活动,通过发放宣传手册、讲解宣传展板、播放影像视频、提供政策咨询等形式,向广大市民宣传普及网络安全知识技能,展示网络安全领域新成就和新应用。进一步提高了广大人民群众网络安全意识和防护技能,增强了各部门人员的网络安全意识和做好政务信息系统安全防护的责任感,努力营造出“网络安全在我身边,网络安全从我做起”的良好氛围,为全市政务信息系统安全管理工作打下了良好基础。
通过本次等保测评、整改加固等措施,极大地提高了威海市市级政务信息系统的安全系数,有效防范各种复杂多变的网络安全风险,保证了威海市政务云平台应用系统的安全稳定运行。
简 评:目前全国各地都在进行电子政务外网建设,越来越多的各类政府机构将自身的应用托管集中在电子政务外网,其中还有不少应用也是由各地电子政务中心进行集中建设,按照云等保,电子政务中心及各政府机构都有相应的网络安全责任,由于基础网络环境、主机、应用等都是由电子政务中心提供,如果让各政府机构自己独自进行等级保护工作,很多相关工作无法顺利进行,类似威海市大数据和电子政务管理中心的这种集中开展全市等保测评工作的做法是值得借鉴的,不仅要把各单位系统进行集中管理,也要同步对这些系统的安全进行维护,同时也需要满足国家相关法律法规要求,及时开展等保工作。
在百度简单搜索了下,发现类似的电子政务系统统一集中等保测评工作已经在全国部分地区开展,除了威海,还有江门市、枣庄市及江苏省等地。2019年预计类似的政务系统集中等保测评招标项目会越来越多。