本文是一篇公共安全管理论文,在探究方式上,本文没有延续以技术为防范核心的网络安全保障方式,通过人力资源、风险管理等公共管理学理论的方法,对如何将体系建设、技术管理和人员管理的共同作用进行了详细实证分析,以此更全面、完整的建设网络安全保障体系。
第 1 章 绪论
1.1 研究背景和意义
1.1.1 研究背景
电子政务在当今政务服务中已经占据非常重要的作用,政府部门通过新建或完善信息系统,运用信息资源,对系统加以优化,全面提升了工作效能,创新了政府网络化管理和服务。截至 2019 年 6 月,在我国,基层政府服务的政务用户数量已经达到 5.09 亿,在全体网民中占据 59.6%。在政府的政务公开方面的数据,2019 年的整个上半年,在重点领域的信息公开上,各级政府不断通过各种举措提高政务公开质量,同时在运用新媒体的政务处理层面,我国全部基层政府都己开通“两微一端”等新形式的传播方式,从全国来看,覆盖率已经可以达到 88.9%①;在政务服务平台一体化建设进度层面,基层政府结合自身实体办事大厅上已经实现线上互动,各级政府强调“一网通办”等线下政务服务措施,这些线上线下的融合性措施逐渐实现在公众的日常生活中;在对公众开展政务服务的关于信息系统的新技术投入的层面,基层政府包括省市级政府越来越以数据开放为重点,将新技术应用到服务模式中;在新阶段的基层融煤体层面,基层政府一直坚持便捷化、服务化和智能化的基本原则,不断开展基层融媒体的机构建设工作,近一年来出现了不小的成效。同时,信息技术在为政府和人民带来更便捷便利的同时,也要清晰的认识到,一些网络安全隐患还存在,这也是我国乃至全世界亟待解决的问题。近几年来,互联网迅速发展起来,也在政府工作中扮演着重要的角色,近期以永恒之蓝、蠕虫病毒等为主的网络攻击事件为重点的全球网络安全事件在各国之间频发,个人的信息泄露隐患也越来越多,安全机构通报的漏洞数量屡屡达到新高,我国的基层政府信息系统面临着严峻的安全挑战。2018 年CNVD 全年通报涉及政府机构、重要信息系统等关键信息基础设施安全漏洞事件约 2.1 万起,CNCERT 监测发现我国境内遭篡改的网站有 7,049 个,其中被篡改的政府网站有 216 个②。在网络安全越来越重要的背景下,我国近年来也越来越意识到,网络安全问题是国家安全问题,党和政府高度重视,多次颁布相关法律法规不断提升网络安全防护能力,在 2017,我国工信部就引发了《信息通信网络与信息安全规划(2016-2020)》[1],规划从网络安全管理体系、个人信息保护以及完善信息泄露报告机制等三个层次大力提升网络安全和信息保护,同年,我国《中华人民共和国网络安全法》正式印发,使得我国第一次从法律的层面将网络安全的保护予以定义,明确了保护的原则和义务,同时也提升了对个人信息的保护程度[2]。但仅仅依靠国家从法律体系层面重视网络安全只是政府信息系统安全防御的一道外在屏障,而对于基层政府来讲,信息系统的内在防御,则需要建立更为全面、有效、可靠的安全管理体系来不断提升信息系统运行过程中抵御各种风险的能力,从而达到政府对信息系统建设的预期目标。因此,当前亟需解决的问题是,基层政府在信息系统建设运行过程中,应着重以哪些要素为基础,建设较为全面的网络安全管理体系来提升信息系统安全管理水平,从而保障信息系统正常运行。
1.2 文献综述
1.2.1 国外文献综述
斯诺登事件发生以来,国外政府将网络安全列为国家战略,国外学者也开始着重于网络安全理论方面的研究,同时也更注重关于人为的因素进行了体系的研究,上述研究内容对我国网络安全管理具有借鉴意义。
(1)关于国家政府层面的研究
近年来,各个国家已经越来越认识到一个国家如果发生网络安全事件,将对国家的安全以及社会的秩序产生极大的影响,所以很多国家都将网络安全提升到了战略高度。张铮(2017)在对英国政府网络安全方面研究中[5],英国政府印发了《国家网络安全战略2016-2021》,在该战略中,英国政府对于如何成立网络安全组织机构、国民安全意识教育,技术人员培养、提升企业安全水准等。张怡(2018)则在研究中提到越南[6]颁布《网络安全法》,这是越南第一次将网络安全以国家立法形式提高到国家层面,明确了对在国内产生的数据进行保护,同时与国际一道共同提升国际互联网治理能力。
(2)关于网络安全理论层面的研究
针对上述问题,部分学者寻根溯源,深入网络安全理论层面,通过理解网络安全本质对提升系统安全可靠性提出对策。Robert(2015)[56]提出了一种网络安全模型,为滑动标尺,该模型可运用假设架构、积极(被动)防御、情报威胁和反制等五个步骤来指导安全防护能力建设。Yamaguchi(2015)[49]认为网络安全的原则是要保护信息系统中的信息资源不被破坏,所以网络安全要结合数据以及信息来加以防范。Khelifa(2016)[58]认为对于网络安全防护水平,投入与效果是可以不成正比的,在防范网络安全威胁方面要适度控制,而不要因为过度防护导致正常工作的工作能力下降。
(3)关于在风险评估方式的研究
要保障信息系统的可靠运行,就必须在系统开发、使用、维护阶段全流程注意网络安全的各项措施的保障,同时用风险管理思维解决信息系统运行过程中存在的各项隐患。国外学者在研究风险评估方式上重点从静态和动态这两个方面进行风险评估的研究,具体研究内容见表 1.1。
第 2 章 相关概念与理论依据
2.1 网络安全的相关概念
2.1.1 基层政府的概念
基层政府是国家政府体系中的一个构成部分。由于自然条件、历史发展等的差异,国际上对于其的理解不太相同,在概念界定方面,存在较大不同之处。在我国,1978 年的《宪法》中,首次提出基层政权,在随后出台的 1982 年《宪法》中继续使用。本文认为,根据组织机构来讲,我国基层政权指的是乡、民族乡、镇人民政府以及区(不设乡镇的区)人民政府,根据上述定义,本文所研究的基层政府是最低一层次的乡镇一级人民政府以及区(不设乡镇的区)一级人民政府。
2.1.2 网络安全的概念
网络安全,即众所周知的互联网络的安全,更精确地说,可以维持网络相关部件正常安全运行,具备完整性、可用性、保密性、可控性及可审查性等特点。网络安全是一个涉及国家安全的关键问题,随着信息化时代的来临,对于国家未来发展起到一个举足轻重的作用。网络安全是一门涉及计算机科学、网络技术等多种学科的综合性学科。网络安全分为网络安全和信息安全两个层面。网络安全指网络可以有效保证服务的连续性、高效率。系统安全可以保证信息处理、传输系统的安全使用。本文所指的网络安全主要指四个方面,第一方面是硬件安全,包括了网络硬件和存储媒体的安全。第二方面是软件安全,保障网络能够被安全运行,防止非法操作。第三方面是运行服务安全,可以保障网络上正常的进行信息交流。第四方面是数据安全,即网络中存储及流通数据的安全。
2.1.3 网络安全管理的概念
网络管理是指对各种网络资源进行监测、控制、协调、报告故障等。网络安全管理通常是指以保障网络管理对象的安全为目的开展的管理行动,是与安全有关的网络管理。由于网络安全变得越来越重要,逐渐对网络信息系统的关联及影响更复杂更密切,因此网络安全管理逐渐发展成为网络管理中的一个重要分支。网络安全管理涉及到社会上的很多行业及部门,本文着重研究的是政府网络安全管理,是指公共部门的政务信息在信息产生、传播、处理以及分发、存档等各个生命周期得到保障,是维持社会秩序的基础,国家对于政府信息的保障和面对突发事件时的处理是信息层面中对于国家安全的保障,政府网络安全也是国家安全的一种。
2.2 网络安全标准和模型
2.2.1 网络安全标准
ISO/IEC 27000 在国际领域受到广泛认可,成为最具有象征意义的标准。ISO27001 是其中最为关键的标准之一,因此,ISO27001 常常被用来当作权威的安全管理标准。根据ISO/IEC 27001 标准的描述,可制定相应的计划表:
本文将借助于更为全面、权威的 ISO27000 标准,在下文关于网络安全管理体系影响因素分析上进行研判。
2.2.2 网络安全模型
网络安全防护模型处于不断的发展过程中,逐步由静态的向动态转变。由于网络安全问题处于不断的变化过程,静态模型无法解决相应问题,而动态模型完美地解决了该问题,故动态模型逐渐取代了静态模型。当下主要的动态网络安全模型包含 PDR、PPDR、PDRR、P2OTPDR2 等。
(1)PDCA 循环法
PDCA 循环是美国质量管理专家休哈特博士首先提出的。PDCA 循环分为四个阶段:计划、执行、检查和调整。这几个阶段不断重复进行下去。ISO27000 标准遵循上述重复过程,不断查找问题并改进 ISMS 体系,最终实现网络安全目标。PDCA 循环法是网络安全模型中较为基础的一种模型。
(2)PPDR 模型
美国的国际互联网安全系统公司研究出的 PPDR 模型是早期的信息安全动态模型 [39]。该模型的核心是安全策略,防护、检测和响应形成的循环系统(如图 2.1),它们之间相互配合,保证网络安全。该模型采用一定的防护技术,借助相应的检测工具,结合一系列措施及时处理系统存在的威胁,保证该系统维护处于安全状态。从循环系统图中可以看出,在 PPDR 模型中,安全策略在图的中心,那么说明安全策略的制定是相对重要的,因此,在网络安全防护中,安全策略的制定起到十分重要的作用。
第 3 章 基于 HTP 模型的 T 市网络安全保障体系实证分析 ........................... 18
3.1 T 市基层政府网络安全保障体系发展现状 ........
