系统与方案 System & Solution

42

政府部门网络安全问题及对策研究

摘　要  当前，数字政府建设已经成为网络强国战略的重要组成部分，政府部门在加快推进数字政府建设过程

中，必须强化网络安全管理与技术防护。文章通过研究和分析政府部门面临的网络安全风险和威胁形势，以及在

网络安全管理机制、技术防护手段、人员意识、专业人才培养等方面存在的问题和不足，提出要坚持统筹发展和

安全，从制度、管理、技术、人才保障等方面构建数字政府全方位安全保障体系，要健全完善网络安全制度规

范，加强网络安全宣传教育和专业人才培养，建立综合技术防御体系，重点做好数据安全保护，为各行业产业高

质量发展保驾护航。

关键词  网络安全；数据安全；数字政府；综合技术防御体系

魏若璇  任瑜珏

农业农村部信息中心  北京  100125

引言

近些年，数字经济快速发展，人类社会迈入数字

时代。为满足数字时代人民对美好生活的新需求，我

国加速推进数字政府建设。2022年《政府工作报告》中

强调，要加强数字政府建设，推动政务数据共享。2022

年中央全面深化改革委员会第二十五次会议审议通过了

《关于加强数字政府建设的指导意见》，会中习近平总

书记强调，要全面贯彻网络强国战略，把数字技术广泛

应用于政府管理服务，推动政府数字化、智能化运行，

为推进国家治理体系和治理能力现代化提供有力支撑[1]。

如果说数字技术是数字政府建设的关键支撑，网络安全

则成为数字政府建设的重要保障。当前，网络安全形势

复杂严峻，在数字政府建设中，政府部门必须强化网络

安全、数据安全和个人信息保护，筑牢网络安全防线，

才能更好地全面提升政府效能、促进数字政府高效运

转，为建设网络强国提供安全保障。

1  政府部门面临的网络安全形势

在加快推进数字政府建设过程中，政府部门面临

的网络安全威胁和风险日益突出，主要表现在以下4个

方面。

1.1 国际网络安全形势复杂严峻

当前，网络安全向政治、经济、文化、社会、生

态、军事等领域传导渗透，与传统安全问题交织在一

起，成为国家力量较量的重要领域。世界各国竞相将网

络安全问题统筹纳入国家安全战略，制定出台针对网

络空间安全的治理规则和战略规划，加大构建国家网

络空间安全的对抗力量和战略储备[2]。美国在2021年发

布《5G网络安全实践指南》，指导使用5G网络的单位

和组织提高安全风险应对能力[3]。澳大利亚于2018年颁

布《关键基础设施安全法》，并在2021年推出关键基

础设施提升计划，加强关键基础设施安全保护[4]。欧盟

于2019年发布《欧盟5G网络安全风险评估报告》，于

2020年出台文件《5G网络安全工具箱》，指导欧盟各

国保障5G网络应用过程中的网络安全。

1.2 针对政府关键信息基础设施的网络攻击事件

频发

“互联网+政务服务”是推进数字政府建设的重要

System & Solution 系统与方案

43

组成部分。“互联网+政务服务”工作的开展，为政府

部门办公和人民群众生活带来了方便快捷，但近些年针

对政府部门网络和信息系统的网络攻击数量大幅增长，

特别是关键信息基础设施遭受的高级可持续威胁、勒

索软件攻击、数据泄露等安全事件频发。如2021年美

国最大成品油管道运营商遭受勒索软件攻击，被迫关闭

燃油管道系统，美国进入国家紧急状态。2022年乌克

兰国防部、武装部队等多个军方网站和银行网站因遭受

大规模网络攻击而关闭[5]，众多关键基础设施和重要网

络系统瘫痪，严重影响了乌克兰的社会秩序。网络攻击

的对抗强度虽然远不及物理空间的武装冲突，但针对银

行、通信、电力、供水、能源等关键信息基础设施的攻

击，已经严重危害到人民生命健康，甚至是国家安全。

1.3 数据安全风险隐患突出

建设数字政府的主要目的是“让数据多跑路、让群

众少跑腿”，但随着数据在建设过程中的不断汇聚、整

合、共享，数据已成为重要生产要素，面临的安全隐患

日益突出。一是数据的整合和开放共享能最大限度地挖

掘数据价值，但可能带来数据权属关系不清、数据滥用

等问题。二是海量政务数据的集中存储增加了数据泄露

风险，集中存储后的各类政务数据将缩减黑客的攻击搜

索成本，成为其重点攻击目标。三是公民个人信息泄露

问题突出，姓名、身份证号、手机号等敏感数据甚至成

为不法分子牟利的工具。据《第49次中国互联网络发

展状况统计报告》[6]显示，截至2021年12月，有22.1%

的网民遭遇个人信息泄露。

1.4 新技术新应用带来新安全隐患

近些年，以大数据、人工智能、物联网、云计算、

移动互联网、5G为代表的新兴数字技术与各行业各领

域各环节逐渐深度融合，但也带来了新的安全隐患。

譬如云计算服务的广泛应用表面上节省了各单位的系

统建设和运营成本，但资源的集中存储和部署吸引了

大量黑客注意力，阿里云等有关云平台的数据泄露事

件时有发生，涉及的数据规模大、类型多。新冠肺炎

疫情期间，视频会议系统在广大政府部门的使用频率

大大增高，但其网络安全保障却常常被忽视，存在会

议内容被窃听、窃视风险。手机支付、“健康码”、

社交APP等移动互联网技术的应用已悄然改变人民的

日常生活，但大部分手机应用APP、微信小程序存在

违法违规收集/获取个人信息问题，“健康宝”“行程

码”等“生活必需品”的安全保障成为政府部门在数

字化转型中面临的新挑战。如西安“一码通”曾多次

崩溃影响市民出行，北京健康宝曾在使用高峰期间遭

受境外网络攻击，这些安全事件的发生对政府部门的

网络安全管理和技术防护提出了更高要求。

2  政府部门网络安全存在问题

2.1 网络安全管理机制待完善

我国不断健全完善网络安全法律法规体系，《中

华人民共和国网络安全法》《中华人民共和国数据安全

法》《中华人民共和国个人信息保护法》《关键信息基

础设施安全保护条例》《网络安全审查办法》等法律法

规相继颁布和实施，网络安全等级保护进入等保2.0时

代，定级对象、安全要求、控制措施、分类结构等发生

新增和变化，对政府部门做好网络安全工作提出了更高

标准。但由于不同行业、不同级别政府部门对网络安全

工作的重视程度不同[7]，部分单位缺少有关网络安全、

数据安全工作的管理制度和工作机制，忽视对信息系统

供应链安全的管控，落实等级保护、商用密码应用的工

作措施不到位，无法满足单位信息化建设快速发展的安

全需求，导致各类安全隐患层出不穷。

2.2 网络安全防范技术存在不足

政府部门中的网络安全防御体系常以防火墙、入

侵检测、防病毒软件等多种手段构成的静态防御和被动

防御为主，虽然防护有一定效果，但面对未知漏洞攻击

时，存在一定滞后性和被动性。部分政府部门网络安全

保障经费不足，无法满足当前安全防护要求，如安全设

备更新换代不及时、信息系统未能定期开展安全检测、

系统与方案 System & Solution

44

等保测评和整改等工作，导致存在较大安全隐患。大部

分政府部门的安全设备和产品来源于不同厂家，每类安

全设备存储处理的数据类别、量级差异大，难以统一管

理，运维人员需要每天分别登录设备进行查看和分析，

大大增加了管理和运维成本。

2.3 网络安全意识待加强

部分政府部门管理人员网络安全意识薄弱，在开

展信息化建设工作时存在重建设轻运维、重使用轻安全

的问题，未落实网络安全与信息化建设“同步规划、同

步建设、同步运行”(以下简称“三同步”)要求，导致

信息系统漏洞隐患多，存在源代码缺陷、敏感信息暴露

于互联网、老旧系统不及时下线等问题，极易被黑客攻

击利用获取系统权限和数据。部分工作人员安全防范意

识不足，为方便信息系统使用设置复杂程度极低的弱口

令，点击下载钓鱼邮件内容导致办公终端中毒等事件常

常发生，存在很大安全隐患。同时，政府部门的大部分

政务信息系统面向广大人民群众提供服务，系统用户覆

盖范围广、人群文化程度和安全意识差异大，增加了安

全管控难度。

2.4 网络安全专业人才保障不足

大部分政府部门存在网络安全人才短缺的问题，一

是网络安全专职人员少，部分单位没有专门负责网络安

全工作的部门，常常是信息化工作部门兼管网络安全工

作，网络安全工作人员不是专职人员，需同时兼职大量

其他工作。二是复合型人才少，高效的网络安全防护离

不开与系统业务工作的紧密结合，特别是应用层面的网

络安全。但实际情况中，熟悉部门业务工作的人不懂网

络安全，掌握网络安全技术的人不接触业务工作。三是

大部分政府部门通过政府采购形式将系统开发和运维工

作外包给第三方单位，但第三方单位运维人员的专业水

平和网络安全意识参差不齐，缺乏网络安全方面知识储

备与防范技能，导致安全问题频出。如运维人员为求系

统稳定或者运转效率常常不及时更新应用版本导致系统

存在老旧漏洞，开发人员在公司服务器或者第三方代码

管理平台存储和上传系统源代码导致被攻击者利用发现

系统漏洞等事件时常发生。

3  网络安全防范对策及建议

3.1 健全网络安全制度规范

政府部门应建立网络安全工作责任制，明确各部门

网络安全负责人，把安全责任细化落实到每个部门、每

个岗位和每个人员。根据行业和单位特点，健全有关网

络安全、数据安全、密码应用、公民个人信息保护、关

键信息基础设施保护相关制度和标准规范，确保各项措

施切实可行。完善网络安全审查、网络安全预警通报、

网络安全事件应急处置工作机制，规范各项工作流程。

建立网络安全监督考核机制，将各部门网络安全工作情

况纳入单位绩效评价工作，督促各单位抓好网络安全管

理和整改落实。

3.2 加强网络安全宣传教育

考虑到政府部门的大部分政务信息系统面向人群广

的特点，建议充分利用国家安全日、网络安全宣传周等

契机，开展广泛的网络安全知识宣传与教育，通过动画

视频、H5小程序、新闻媒体传播等方式开展线上网络

安全知识普及，增强信息系统用户的网络安全意识；通

过张贴和发放易拉宝、海报、宣传手册等生动形象的材

料，以及邀请网络安全行业专家授课的形式，在单位内

部开展网络安全宣传教育，提升工作人员网络安全防范

技能；将网络安全责任意识传导到信息系统相关的供应

链单位，与信息系统开发运维的第三方公司和人员签订

安全保密协议，对有可能导致网络安全事件发生的各类

运维行为进行约束和防范。

3.3 重视网络安全人才培养

网络空间的竞争，归根到底是人才的竞争。政府

部门应加强对于网络安全专业人才的培养，通过加大经

费投入、提高薪资待遇等方式吸引专业人才就业；加强

“政产学研用”深度融合，创新培养网络安全管理和

专业技术人才；鼓励和支持本单位相关工作人员参与网

络安全、数据安全、网络攻防等专业培训和资格考试，

System & Solution 系统与方案

45

建立一支既了解业务又懂网络安全的强大人才队伍。同

时，建议加强与网络安全技术单位和专业公司的沟通、

合作，共享网络安全威胁情报，提高联防联控能力。

3.4 构建综合技术防御体系

1)建设网络安全综合态势感知平台。当前，政府部

门信息系统数量不断增多、系统规模不断扩大，网络

“边界”逐渐模糊化，为解决传统安全防御手段边界防

护为主、被动防御为主的不足，建议政府部门根据单位

实际情况建设集监测、检测、预警、溯源、分析、处置

为一体的网络安全综合态势感知平台，利用大数据、人

工智能技术来全天候全方位感知网络安全态势，增强网

络安全防御能力。

2)加强信息系统安全建设。应按照“三同步”原

则，加强信息系统建设前的网络安全设计内容审查，确

保信息系统设计方案中根据系统等保级别充分规划了

网络安全防范措施，以及各项措施满足网络安全、数据

安全、密码安全等要求，增强信息系统自身免疫力。同

时，定期开展网络安全检查或抽查，对下属单位或部门

的网络安全责任制落实、网络安全制度规范完整性、信

息系统安全防护措施落实、漏洞隐患整改加固等情况开

展检查评估，确保信息系统全生命周期的网络安全管理

到位，保障网络和信息系统安全可靠运行。

3)定期开展安全检测。应定期对网络和信息系统特

别是关键信息基础设施开展风险评估，涉及网络设备、

安全设备、主机服务器以及在设备中部署的操作系统、

应用、数据库等，以及机房和供电系统，做到风险隐患

早发现、早处置、早预防。定期开展终端安全检查，安

装防病毒软件，升级病毒特征库，全盘查杀病毒，确保办

公终端安全。定期对信息系统开展漏洞扫描，排查操作系

统、应用、数据库、中间件等层面是否存在漏洞。定期开

展渗透测试，模拟攻击者行为对网络和信息系统进行安全

性检测。定期对信息系统开展安全配置核查，包含账号管

理、口令管理、日志配置、认证授权、进程服务、外部端

口等方面情况，确保系统各项配置安全合规。

4)落实等级保护制度。应持续推动下属单位或部门

落实网络安全等级保护制度，特别是针对等保2.0新增

的移动互联网、物联网、大数据平台、工业控制系统等

内容，要抓好制度落实。定期组织开展或督促各部门开

展信息系统自定级、专家评审工作，并按照公安部门要

求做好等级保护备案、测评、问题整改，确保网络安全

等级保护全覆盖。针对关键信息基础设施，要落实好关

键信息基础设施各项管理和防护要求。

5)加强应急处置能力建设。应建立网络安全风险监

测及应急处置协同机制，制定可操作性强的网络安全、

数据安全应急预案，定期开展应急预案演练，并在实践

中不断修订完善。以网络安全“三化六防”(实战化、

体系化、常态化，动态防御、主动防御、纵深防御、精

准防护、整体防护、联防联控[8])为目标，定期开展攻防

实战演习，全面检验网络和信息系统抗攻击能力，提升

网络安全监测防护能力和应急处置能力。

3.5 加强数据安全管理和防护

数据安全已经成为数字政府建设的重要保障和关键

环节，各级政府部门要始终绷紧数据安全这根弦，贯彻

落实《中华人民共和国网络安全法》《中华人民共和国

数据安全法》《中华人民共和国个人信息保护法》等法

律法规有关数据安全的规定和要求，建立本行业或本部

门数据分类分级保护制度，不同类别不同级别数据采取

不同安全保护措施；制定本行业或本部门重要数据清单

目录，重要数据重点保护；明确各级部门数据安全责任

机构和负责人，加强数据收集、存储、传输、处理、开

放共享、销毁等全流程安全管控；建立健全数据安全监

测防护及应急处置机制、数据安全风险评估机制、数据

安全审查和审计机制，构建集制度、管理、技术为一体

的数字政府全方位安全保障体系。

4  总结

网络安全是国家安全的重要组成部分，没有网络

安全就没有国家安全。为有效应对复杂严峻的网络安全

形势，政府部门在加快推进数字政府建设进程中，必须

系统与方案 System & Solution

46

作者简介

魏若璇

硕士，农业农村部信息中心工程师，

从事网络安全、数据安全相关管理与运维

工作。

任瑜珏

学士，农业农村部信息中心工程师，

从事信息基础设施、网络系统相关管理与

运维工作。

Abstract At present, the construction of digital government has become an important part of the network power strategy. In

the process of accelerating the construction of digital government, government departments must strengthen the management

and technical protection of network security. By researching and analyzing the network security risks and threats faced by

government departments, as well as the problems and deficiencies in the management mechanism, technical protection,

personnels' awareness and professional training of network security, this paper puts forward that it should ensure both

development and security and build a comprehensive network security system of digital government from the aspects of

system, management, technology and professional training. The high-quality development of various sectors is guaranteed

by perfecting the system and standard of network security, strengthening publicity and education and professional training

of network security, establishing a comprehensive technical defense system and focusing on the protection of data security.

By perfecting the system and standard of network security, strengthening publicity and education and professional training of

network security, establishing a comprehensive technical defense system, focusing on the protection of data security.

Keywords Network Security; Data Security; Digital Government; Comprehensive Technical Defense System

Research on Problems and Countermeasures of Network Security in Government

Departments

Wei Ruoxuan

Ren Yujue Information Center, Ministry of Agriculture and Rural Affairs, PRC, Beijing 100125, China

统筹发展和安全，抓制度建设，抓安全管理，抓人才培

养，强安全意识，强技术防范，强数据安全，大力推进

网络安全关键技术研究和产业化，建设网络安全综合防

护体系，才能推进产业高质量发展，为更快更好实施网

络强国战略保驾护航。

参考文献

[1]  新华社.习近平主持召开中央全面深化改革委员会第二十五

次会议强调 加强数字政府建设 推进省以下财政体制改革

[EB/OL].(2022-04-19)[2022-05-10].http://www.news.cn/

politics/leaders/2022-04/19/c_1128575366.htm

[2]  李盛葆,向媛媛,赵煜,等.全球视野下网络空间安全形势与

战略研究[J].网络安全技术与应用,2021(8):182-184

[3]  谢玮,焦贝贝.网络安全发展形势分析与趋势展望[J].通信

世界,2022(7):40-41

[4]  安全内参.2021年全球十大网络安全政策法规[EB/OL].

(2021-09-03)[2022-05-10].https://www.secrss.com/

articles/34047

[5]  中华网.乌克兰国防部等军方和银行的网站遭攻击关闭1月

也遭到过攻击[EB/OL].(2022-02-16)[2022-05-11].https://

news.china.com/socialgd/10000169/20220216/41328665.

html

[6]  CNNIC发布第49次《中国互联网络发展状况统计报告》

[J].新闻潮,2022(2):3

[7]  吴小伟.\"等保2.0\"背景下政府部门网络信息安全防护技术

探析[J].江苏科技信息,2021,38(32):39-41

[8]  蔡阳,付静,詹全忠,等.贯彻\"三化六防\"理念,保护水利关键

信息基础设施安全[J].水利信息化,2021(6):1-4,21