身份安全 | 互联网+政务安全体系建设

近年来信息安全事故频发，众多企业与个人的重要数据被大量泄露。作为提供基础社会公共服务主体的政府部门与企事业机关单位，收集和储存了大量公民个人隐私信息，包括姓名、证件号码、联系方式、住址等重要敏感数据。但由于当前网络安全措施多数仅是关注物理环境、网络环境的安全防范，而对内部的权限滥用、内外部人员违规操作以及对风险预警和责任追溯等缺失有效的管控手段。大量国内外安全事件案例分析，多数安全风险实际是来自组织内部人员，以及由于缺失规范的内部控制体系导致内、外部人员联合作案违规操作，直接威胁到我们的数据资产安全。这不仅严重影响国家与社会公共利益，还直接威胁到公民隐私和生命财产安全。由此可见，安全体系建设工作是实现互联网+政务美好愿景的坚实基础。

在国家层面，也相继出台了众多指导文件与要求细则，明确政务体系建设的标准规范：

1 《国务院关于印发政务信息资源共享管理暂行办法的通知》：围绕统筹推进“五位一体”总体布局和协调推进“四个全面”战略布局，按照“内外联动、点面结合、上下协同”的工作思路，一方面着眼长远，做好顶层设计，促进“五个统一”，统筹谋划，锐意改革。

2 国务院办公厅下发《国务院办公厅关于印发“互联网+政务服务”技术体系建设指南的通知》。提出“坚持问题导向、加强顶层设计、推动资源整合、注重开放协同”的原则。

3 国务院办公厅下发《政务信息系统整合共享实施方案》通知，要求根本上解决长期以来困扰我国政务信息化建设的“各自为政、条块分割、烟囱林立、信息孤岛”问题

4 《中华人民共和国网络安全法》正式颁布施行。一把手是网络安全第一责任人。

5 李克强总理在“十九大政府工作报告”中，将深化“放管服”改革，深入推进“互联网+政务服务”，加快政府信息系统互联互通，打通信息孤岛，提到了新的高度

讲了这么多，那么如何构架政务安全体系呢？政务安全体系需要站在全局角度，依托顶层设计原则，自下而上可以将安全体系分为基础设施安全、中间件安全、通用组件安全、业务平台安全、基础平台安全、门户安全。在这六个部分中每一个部分都需要设计不同的安全策略与风险防范策略。

重建设、轻管理现象普遍存在

部分领导干部急于做出政绩，陆续上马众多政务服务系统，但是缺乏有效的、科学的管理流程与管理规范，导致我们很多的政务服务系统存在权限不清、责任不明、协同不畅等等现象，使我们的预期大打折扣。解决之道在于，做好政务服务系统的基础权限梳理，明确岗位职责与分工，使政务服务系统价值最大化，人员使用便捷化，办事流程规范化。

缺乏统一建设标准与规范

政府部门承载了众多的工作范围(农业、教育、交通、水利、人力资源等等)，那么不可避免的会配套众多的政务服务系统。那么，成熟的安全体系建设过程中必须要考虑：

① 通过制定命名规范与密码管理规范，形成用户管理的规范

② 加入权限管控流程，形成申请审批制度，完善身份管理运营的规范

③ 对于所有政务系统，制定应用管理的规范。如，用户信息同步接口规范与应用认证接口规范等等。

信息孤岛现象明显，协同能力不足

同时，每一套政务系统会存在单独的用户、权限、组织机构等等通用性数据资产，而政务系统之间数据不同步或者数据存在差异，最终产生数据孤岛现象。杜绝及根治数据孤岛最有效的方法，就是建立统一用户数据管理平台，基于此平台实现数据分发与数据同步的功效。

公众服务能力需要提升

在政务+互联网体系中，关于对公众的服务能力也是检验的重要标准。面向公众的在线办事大厅，面临着更加严峻的安全体系建设问题。与内部政务不同的是，采取有效的安全策略防止外部攻击，集中自然人身份管理提升公众服务的满意度成为我们急需解决的首要问题。