“一网通办”便民的同时，如何堵上网络安全风险点？

本文图片 上海大调研

“一网通办”是一流营商环境的“拳头产品”。

坚持安全可控和开放创新并重，立足于开放环境维护网络安全，加强国际交流合作，提升广大人民群众在网络空间的获得感、幸福感、安全感。

2019年国家网络安全宣传周正在进行中。

近日，上海市委书记李强调研“一网通办”工作时强调，大家要时刻绷紧安全这根弦，强化制度供给和技术支持，全力确保数据安全和运行安全。

此前，中共上海市委党校应急管理培训中心执行主任董幼鸿教授就专门调研了“一网通办”功能和优势，及其运行安全风险。针对“一网通办”，董幼鸿提出了哪些安全风险点？又提出了哪些对策？

存在哪些运行风险？

“一网通办”运行是一个复杂的系统，其背后的安全风险常常是不易被察觉的，其运行安全风险至少包括以下几方面：

一是人为的不安全行为风险。

主要表现在两个层面：其一，由于“一网通办”运行网络终端量大、面广，各种系统叠加在一起，涉及到企业和民众生活的方方面面，特别为了方便民众办事，“一网通办”系统端口延伸到社区和村居等基层网点，各类一线工作人员安全素养和风险意识也参差不齐，这会给“一网通办”运行安全带来潜在的风险，信息泄漏或隐私权保护等数据本身的安全治理问题不容忽视；其二，“一网通办”是一个信息和数据高度汇集的枢纽和平台，与企业生产和民众生活利益相关性越来越大，一旦漏洞被不法分子利用或入侵，产生的负面影响和后果将不可估量。

二是管理制度和保障机制不完善的风险。

由于“一网通办”是一个新事物，其很多运行安全风险和规律不为人们所完全认知，如何保障“一网通办”系统运行安全，也是一个不断探索和完善的新课题。“一网通办”系统运行中的漏洞风险识别机制、风险监测和预警机制、风险报告和警示机制、风险梳理和防控责任机制等一系列制度和机制还处于不断完善和探索中。

三是新生系统本身存在的问题。

“一网通办”运行系统包括硬件和软件两大块：

在硬件方面，“一网通办”主要依托原来的政务办公系统，很多基层行政服务大厅终端硬件设备存在制式不同、标准不一致等问题，其运行安全的等级不一致，与“一网通办”的高标准要求不一定匹配，这给“一网通办”运行带来潜在的隐患和风险。

在软件方面，原有各个职能部门数据采集的标准和制式不同，各自运行的系统建设标准差异很大，通过行政手段将海量的数据和不同的系统整合到一个平台运行，容易产生一些受病毒攻击的漏洞或风险，而各个系统的关联度越来越强，放大了系统被攻击后带来的负面影响。

四是系统安全防护技术带来的挑战。

面对日新月异的网络系统计算机病毒，“一网通办”的系统防护技术也面临及时升级迭代的压力。比如，前几年出现的“勒索”病毒，部分政府部门网络运行受其影响，给政府工作和人民生活带来影响。

如何共同编织安全防护网？

网络安全系统业内流行一种说法——“问题在线上，根源在线下”，要解决“一网通办”运行安全问题，必须从“线下”着手，坚持底线思维，多管齐下，协同治理，做好充分的准备，共同编织安全防护网，确保“一网通办”运行安全。

一是控制人的不安全行为。

应加强管理者与一线操作人员的网络安全培训教育，增强工作人员网络安全意识和风险治理能力。当前，可结合2019年国家网络安全宣传周活动的主题“网络安全为人民，网络安全靠人民”，从培育从业人员的“心、知、技、责”四个方面落实安全教育的方案，增强一线人员的风险意识和安全素养，提高网络安全事件的防范和应对能力，为“一网通办”运行安全提供智力保障。同时，加大对网络违法行为的惩治力度，提高网络违法行为的成本和代价，震慑不法人员的违法行为，净化“一网通办”运行安全的网络空间。

二是消除管理系统的不利因素。

首先，制定和完善“一网通办”运行安全管理办法和实施细则，明确“一网通办”运行安全标准和流程，规范“一网通办”安全运行行为，从源头上治理系统运行中存在的风险。

其次，实行网络管理人员安全分级管控制度。根据数据安全管理的需要，对工作人员接触数据范围和内容进行分级和分类，基于不同密级的数据和安全要求，对工作人员的资质作出不同的规定，通过管控人员的不安全行为降低数据运行存在的安全风险。

再次，健全网络安全风险识别和隐患排查机制，提高工作人员网络安全风险识别和感知能力。根据“一网通办”运行安全风险，绘制网络运行安全“风险地图”，指导从业人员的网络安全行为，增强网络运行从业人员的敏锐性和风险感知能力，掌握网络运行安全的主动权。

最后，完善网络安全运行程序和责任追究机制。通过责任机制的完善，规范和约束管理人员的行为，明确从业人员的责任和义务，保障管理人员的信息安全工作责任落地。

三是解决网络系统本身的缺陷。

“一网通办”的主管部门应加强“一网通办”系统的标准和制式的顶层设计，统一和规范“一网通办”运行的硬件和软件的安全要求和标准，减少当前由于软件和硬件系统的不统一、安全防护标准不一致带来的风险。

四是弥补安全防护技术的短板。

坚持协同治理原则，整合最新安全运维技术保障单位和队伍力量，为“一网通办”运行安全提供服务。当前可采取政府购买服务方式，发挥市场主体或社会主体的作用，利用其在网络运行维护技术方面的优势，引入最新安全风险治理技术手段，不断更新和升级网络运行和维护的技术，及时发现网络运行中的漏洞，不断提高防控的技术水平，防止病毒和黑客的攻击，为 “一网通办”运行系统筑牢防护网和隔离栏。

（原标题为《“一网通办”便民的同时，如何堵上网络安全风险点？》）