总体国家安全观下的政务信息资源共享风险规避

1、 总体国家安全观下的政务信息资源共享风险规避 摘要：文章主要从政务信息资源共享风险防范的背景、风险内容和风险规避方法三个方面研究了政务信息资源共享风险规避的动因、风险类型和应对策略。文章认为, 我国政务信息资源共享建设进入了新的发展阶段, 但受到多种因素交叉影响, 其面临着数据风险、平台风险和管理风险。为此, 亟须基于总体国家安全观的考量, 树立政务信息资源共享安全理念, 加强政务信息资源共享全程监管, 开展政务信息资源共享系统审计, 实施政务信息资源共享风险管理。1、引言总体国家安全观是当前我国为应对国内外复杂多变的局势和环境所提出的一种全新的国家安全理念。党的十九大报告明确将“坚持总体国家

2、安全观”作为新时代中国特色社会主义思想和基本方略之一, 提出“必须坚持国家利益至上加强国家安全能力建设”, 将内部与外部安全、传统与非传统安全统一于一体, 成为指导国家安全工作的科学理论。这要求社会主义各项事业建设必须符合总体国家安全观的要求。政务信息资源共享作为当前我国进行简政放权改革, 积极加快推进信息化建设的重要战略部署和政务信息资源治理工作的关键环节, 在整个国家安全体系中具有重要地位。能否实现安全共享、利用便捷和提升效率是衡量建设成败的关键。因此, 以总体国家安全观为指导, 通过对政务信息资源共享风险的研究与应对, 实现政务信息共享全程控制, 降低共享风险, 保障政务信息共享安全,

3、提升政府服务效率, 就显得十分迫切和必要。2、政务信息资源共享风险防范的背景2.1 现实基础:政务信息资源的数量激增据政务信息资源共享管理暂行办法, 政务信息资源是指政务部门在履行职责过程中制作或获取的, 以一定形式记录、保存的文件、资料、图表和数据等各类信息资源。当前, 我国开展的政务信息资源共享对象主要是数字政务信息资源或数字化的政务信息资源。这些资源的生产主体是“政府部门及法律法规授权具有行政职能的事业单位和社会组织”。数字信息资源作为当前推进政务信息共享的主要信息类型, 广泛生成于电子政务环境或电子政府环境。我国自20世纪80年代末实施“三金工程”起, 历经办公自动化系统、专业领域信息

4、化、政府上网工程实施和全面电子政务建设等阶段, 极大地促进了电子政务的应用和发展。各种政务信息系统的建设使得政务活动由线下向线上迅速迁移, 由此产生并积累了数量庞大、种类繁杂的政务信息, 为共享提供了资源基础。尤其是近些年来, 以云计算和大数据为代表的新技术与政务活动的深度融合, 使政务信息增长更加迅速。如今, 在大数据时代, 这些信息已成为国家的一种重要战略资源, 与国家安全密切相关。如此浩瀚的政务信息是政府部门进行社会治理的重要记录与呈现, 因其蕴藏着难以估量的政治、经济、科学、文化和社会价值, 在国民经济建设和国家安全战略体系中的价值日益凸显。为此, 警惕和应对政务信息资源可能存在的各种

5、风险问题, 便成为当前国家信息安全的重要议题。2.2 外在需求:公众的信息共享需求增强信息需求是人的基本需求, 但是现实中的信息孤岛和信息烟囱却成为公众获取和利用信息的羁绊, 严重影响公众的安全感、获得感和幸福感。究其原因, 最大根源之一就是信息共享建设落后。如公众、企业等主体, 在政府部门办理业务时, 时常因为政府部门利益阻隔和信息不共享而遭遇各种麻烦, 这种现状严重不符合社会进步和公众的发展需要。政府部门掌握着许多政务数据、社会公共数据、产业或行业数据以及个人隐私信息等, 这些数据与公众的个人发展和社会活动休戚相关。当前, 我国社会的主要矛盾已经转化为人民日益增长的美好生活需要和不平衡不充

6、分的发展之间的矛盾。因此, 必须采取积极措施消除公众的信息共享需求与现实信息共享之间不平衡不充分的矛盾。基于此, 从国家安全的视角出发, 以化解这种矛盾为起点, 积极加快构建跨部门、跨机构、跨时空、跨层级和跨行业的政务信息共享与业务协同, 成为社会的共同期待。与此同时, 由于公众的信息需求是无限的, 政府在满足其多元信息需求的过程中, 其信息处理策略和政策调整可能涉及国家秘密、信息产权、个人隐私等, 对由此可能引起的人民安全、政治安全和经济安全等问题和内外风险也要加以重视。2.3 技术条件:信息和通讯技术发展迅速计算机的出现和互联网的发展改变了政务信息资源的生成途径、整合方式、共享模式和治理手

7、段。尤其是以大数据、云计算、人工智能等为代表的新型技术的出现, 为政务信息资源管理带来了全新理念。受其影响, 政府部门的办公环境也更加趋向于电子化、平台化、数据化、自动化、云端化和智能化, 越来越多的政务活动在统一网络平台上实现了记录、汇总和保存。利用这些新技术, 仅需搭建统一的数据共享平台, 就可以打破时空界限, 构建面向公众的一体化在线公共服务系统, 从而实现不同地区、不同部门、不同行业和组织机构的有效信息链接。一方面, 信息和通讯技术的迅速发展极大提升了政务信息资源的生成能力、整合能力、分析能力、运算能力、处理能力、分析能力和传输能力, 打通了政府部门、企事业单位之间的壁垒, 丰富了政务

8、信息资源共享的场景, 为政务信息共享提供了技术条件;另一方面, 信息和通讯技术的高速发展也诱发了许多非传统危机, 信息技术实现了陆海空天电网的连接与共享, 但若因技术失控或运用不合理, 则其所带来的影响也必然是复杂的。2.4 内在动力:建设服务型政府的迫切需要如何实现政务信息共享, 以及如何让这些信息发挥价值, 从而实现安全、高效、快捷的政务服务是当前建设服务型政府的重要内容。为此, 我国颁布了网络安全法, 印发了基于云计算的电子政务公共平台顶层设计指南国家电子政务“十三五”规划政务信息资源共享管理暂行办法政务信息系统整合共享实施方案促进大数据发展行动纲要推进“互联网+”行动的指导意见关于加快

9、推进“互联网+政务服务”工作的指导意见等一系列文件, 旨在更好的服务人民、服务企业、服务行业和服务社会。由此可见, 开展政务信息共享已成为推进服务型政府建设的自觉行动。传统政务服务是以政府为导向的被动服务, 而以用户为中心的电子政务信息共享服务则是一种基于公众政务信息需求, 并且面向公众信息活动过程的资源集约、信息集中、业务集成和服务个性化的信息服务模式。时下, 为了建设现代化的高效政府和服务政府, 政府正在加快建设能够真正体现用户至上、融合创新、高度共享、安全可控、平台生态和去中心化等全新理念的新型政务信息共享平台;同时, 国家也将建设新型的政务信息基础设施纳入工作目标, 以支撑各级政府部门

10、安全互联互通、信息共享与服务协同, 实现政务部门互联共享、纵横协同。然而, 政务信息资源共享建设是一项系统的复杂工程, 涉及社会方方面面。在此过程中, 必然会因此出现许多的新情况和新问题。这些情况和问题没有一个是孤立的, 也没有一种影响是简单的, 可能危及政务信息共享工程建设的成败。为此, 以国家总体安全为考量, 甄别信息安全问题, 科学预见和认识到建设过程中存在的各种风险, 并予以克之, 从而实现服务型政府建设的目标。3、政务信息资源共享面临的主要风险分析厘清政务信息资源共享的主要风险, 是确保政务信息资源共享安全的前提和基础, 也是实现总体国家安全的关键举措。政务信息共享涉及资源的数字化、

11、配置和整合、信息集成、信息交流模式、信息运动, 网络合作, 信息资源共享效率和共享保障体系等。其目的在于实现政务信息资源的高效整合、链接、流动与价值。根据申农维弗的通信模型和维克利的S-C-R模式, 可将其基本原理描述为:政务信息资源通过数据和信息共享平台最终流向用户, 而用户又将利用需求和利用情况通过信息流反馈至共享平台的过程 (见图1) 。然而, 这个看似简单的过程却存在严重的数据风险、平台风险和管理风险。3.1 政务信息资源共享的数据风险信息和数据安全是总体国家安全体系的重要组成部分。作为政务信息资源共享的实现基础, 产生于政务活动的信息和数据资源构成了政务信息共享的前置系统, 包括目录

12、服务信息库和目录管理信息库。然而, 这些原生性政务数据在共享中却常常被忽略, 由此诱发的信息安全问题常常是导致信息共享失败的重要因子。从信息生命周期来看, 政务信息资源共享建设起始于数据的创建。没有安全可靠的数据, 谈何高效安全便捷的共享?正因为长期以来对数据本身的关注不够, 使数据本身在信息共享中存在一定安全风险。因此, 实现政务信息资源安全共享的前提便是确保数据源的权威性、标准化和规范化。权威性是指数据从产生起就是规范的、完整的、真实的;标准化是指数据的生成软件系统或生成环境、元数据、保存和阅览格式, 及其相关属性符合一定的国际或国内标准;规范化是指数据在整个生命周期中按照一定的规范, 得

13、到了有效的管理。事实上, 因为管理体制机制不畅、相关标准不一、行业属性不同、覆盖面大小差异等原因, 导致数据的权威性、标准化和规范化严重不足, 给政务信息的安全高效共享造成了极大的不便。其次, 政务数据资源主要包括原生性数据、数字化档案数据和混合性数据。如何将这些状态各异的数据进行整合与共享, 避免数据浪费, 乃潜在安全风险之二。再者, 随着互联网、大数据、云计算、区块链等新兴技术在政务活动中的应用, 政务数据结构日趋复杂, 包括线下政务活动产生的数据、传统政务系统生成的数据, 以及政务新媒体产生的数据等, 这些数据呈现出结构化、半结构化和非结构化相互交汇融合等特征, 如果不对这些数据进行统一

14、的规划、整合、清洗和标准化、结构化处理, 可能会产生新的信息壁垒, 并由此产生新的系统和平台风险, 难以实现有效安全的共享。图1 政务信息共享原理3.2 政务信息资源共享的平台风险网络空间是维系国家安全的重要基石, 是诱发新型安全问题的“催化剂”。然而, 政务信息共享平台建设却需要以网络为载体来实现信息的实时共享和互通, 这必然导致网络风险向共享平台建设的转移。当前, 我国正处于“互联网+”环境和大数据时代, 其理念和技术已广泛应用于政务活动中, 呈现出的网络化、数字化、智能化和共享性成为其最鲜明的特征。在此背景下, 政务信息资源更多将在数字环境 (平台) 中生成、呈现、管理、集成、共享和利用

15、。可以说, 平台是政务信息资源共享的枢纽, 其是否安全, 尤为重要。然而, 不幸的是, 我国政务信息共享平台却面临一系列潜在风险, 与总体国家安全观对网络安全建设和共享平台搭建的安全绿色高效的总要求严重不符。第一, 共享平台建设标准混乱, 缺乏顶层设计与规划。从“三金工程”起, 在过去的二十多年里, 我国政府部门建设的政务平台举不胜举, 但多数因缺乏统一的建设标准而导致共享困难。当前的现状是政务信息共享平台建设框架、内嵌数据库建设规范、共享工程技术标准、共享平台接口建设标准、共享资源元数据标准、跨域跨系统共享互认证规范、资源在线共享标准、共享资源目录制定标准、共享访问界面呈现标准等标准体系还未

16、形成。在此基础上, 跨层级、跨地域、跨系统、跨部门、跨业务的协同与共享难以实现。第二, 平台整合不彻底, 彼此协同联动不够密切。平台整合包括对门户网站、业务系统、管理系统、数据中心、行业共享系统、运维系统的整合。据全国政府网站基本信息数据库显示, 截至3月18日, 全国政府网站运行总数近2.3万个。这些网站嵌入了数十万个类型多样的政务信息共享平台, 但是, 由于资金和技术投入、建设模式和运维情况差异, 导致各类平台建设参差不齐, 目录管理节点对接、应用系统节点对接、前置交换节点对接、部门平台节点对接困难, 给平台整合中的数据共享、封装、迁移和保存形成困扰, 成为建设安全高效共享平台的桎梏。第三

17、, 共享平台架构建设存在缺陷, 易遭外部攻击和入侵。黑客攻击和病毒入侵是政务共享系统经常遭遇的两种主要风险。一方面, 受政府单位密级属性影响, 政务共享系统的建设架构有别、安全级别和属性有异, 导致安全系数不同;另一方面, 政务共享平台数据高度聚集, 价值密度高, 容易引来黑客攻击, 如席卷全球的“比特币病毒事件”。第四, 虚拟共享云平台建设存在风险。云服务和云计算的迅速发展使政务信息部分脱离了实体保存载体, 为了提升效率, 一些政府部门开始建设数据云。然而, 当前的云服务正处于发展期, 相关技术还不成熟, 缺少规划的盲目建设可能会产生新的数据云孤岛、信息隐私泄漏、对信息的可控性变弱、监测与管

18、理困难, 并由此引发系统风险等问题, 这与国家的网络和信息安全战略是相背离的。3.3 政务信息资源共享的管理风险总体国家安全观要求我们立足实践, 以更广阔的视野审视国家安全问题, 要在正确认识传统风险的基础上, 科学识别政务信息共享中的非传统风险问题。政务信息资源共享的管理风险与数据风险和平台风险不同, 其风险贯穿于政务信息资源共享全过程, 并更多体现为有关人的因素。第一, 信息共享理念不强。当前, 人员因素 (共享知识、共享效果感知、共享责任意识) 和共享部门因素 (成本问题和风险问题) 已经成为影响跨机构政务信息共享的主要因素。事实上, 我国早在21世纪初就已经意识到政务信息共享的重要性。

19、为此, 印发了办公厅关于进一步推进全国政府系统办公自动a化建设和应用工作的通知 (2000年) 、全国政府系统政务信息化建设20012005年规划纲要 (2001年) 、国家信息化领导小组关于我国电子政务指导意见 (2002年) 电子政务信息共享互联互通平台总体框架技术指南 (试行) (2004年) 等文件。然而, 经过多年建设与发展, 政务信息孤岛问题依然严重, 共享缺位现象依然存在。其中, 政务机构及其人员的共享观念不强是导致建设失败的重要原因。第二, 社会需求把握不准。政务信息共享应以满足公众需求为根本, 然而, 当前的建设实效却差强人意。究其原因, 主要是长期以来政务信息共享建设的定位

20、存在偏差, 没有遵循“用户至上”原则, 而是按照“政府至上”原则建设;其次, 政务信息共享建设缺乏对公众真实信息需求的关注, 从而导致共享信源不全面、数据和信息质量不高、信息整合与共享效率不高、用户体检差等。第三, 管理体制机制不畅。政务信息资源共享主体包括了几乎所有的公权力机构。在具体的政务信息共享建设和实现过程中, 因各部门利益的异同, 必然会导致管理的冲突。此外, 按照政务信息系统整合共享实施方案, 政务信息资源共享内容主要是国家基础信息、主题政务信息、部门政务信息;然而, 从社会现实需求来看, 还应包括与公众生活密切相关的行业政务信息和其他政务信息。这五个政务信息模块资源的管理与协调涉

21、及三个体制难题:一是权责分配问题, 即谁主导、谁配合与如何协同的问题;二是实施问题, 即信息如何提供、如何实施、如何呈现、如何监管与如何保障与问责的问题;三是争议性问题, 即如何处理保密与共享的关系、如何协调共享系统内容规划者与开发设计者关系、如何处理产权不明的政务信息问题等。以上这些都是政务信息共享管理体制中的风险性难题。第四, 风险管理预控能力不强。政务信息共享建设需要多方参与, 这种参与有内外之分, 前者指政府部门的横向和纵向协同参与, 后者指非政府机构通过政府委托参与。内部协同风险主要由管理体制和机制障碍引起, 此种风险属行政力量可控范围, 而外部协同风险才更应该值得关注。各地现有的政

22、务信息共享平台主要由政府委托给相关企业承建, 其中存在许多安全隐患, 如承建方资质问题、服务商的管理问题 (如政企服务关系变更后的产权问题、保密问题、法律问题等) 、服务委托风险、信息泄漏风险等。4、总体国家安全观下的政务信息资源共享风险规避对策总体国家安全观要求社会主义事业建设必须从确保国家安全出发, 以科学、宏观和系统的安全观念, 主动预防、抵御和消灭内外风险、传统与非传统风险。总体国家安全观体现了国家对公共风险治理的主动性和常态化, 更加强调对风险的控制能力建设。针对政务信息资源共享系列风险, 总体国家安全观对此提出了新要求。4.1 树立政务信息资源共享安全理念总体国家安全观是一种区别于

23、传统安全的全新安全理念, 它要求我们更新理念, 重新审视所面临的安全问题。政务信息资源共享安全作为总体国家安全在信息安全领域的具体化, 更新和树立科学的政务信息资源共享安全理念十分必要。一是要树立数据资产安全观。政务信息资源作为国家信息资源的核心组成部分, 是国家进行社会治理的重要依据和工具, 也是国家的重要资产和战略资源。因此, 政府部门及其工作人员要理解总体国家安全观的丰富内涵, 以为国家保存资产的理念, 做好政务信息资源的规划和生命周期管理, 为共享的实现提供高质量的政务信息资源。二是树立正确的政务信息资源共享观念。政府部门及其公务人员对电子政务信息资源共享的意义、内容、原则、方法和职责

24、义务等方面的综合反应, 影响着其在电子政务信息资源共享过程中的积极性、主动性和责任心, 最终影响着共享效果。作为政府部门及公务人员要理解国家的共享战略需求, 纠正对政务信息资源共享的认识偏差, 放下不愿共享的心理负担, 以“用户至上”为导向, 打破地域、行业、部门藩篱, 为公众提供更优质的信息共享服务, 实现共建、共享、共生、共荣、互利共赢的结果。三是树立主动应对共享风险常态化的思想观念。以网络为例, 政务信息资源共享主要以互联网为载体, 因此必须关注网络安全。习近平总书记2016年在网络安全和信息化工作座谈会上指出, 网络安全和信息化是相辅相成的, 当前环境下网络安全是整体的、动态的、开放的

25、、相对的和共同的。因此, 必须增强对各类风险源的认识, 加强对共享风险的常态化监控;加强网络基础建设, 关注网络技术创新;建立网络运行防护日志制度, 维护网络边界安全;按照国家网络空间安全战略, 打击恶意攻击和植入病毒者, 加强对网络安全的管控能力, 为跨地区跨部门业务应用、信息共享交换、云计算和云空间等新技术应用等政务信息资源共享系统的高效运行提供良好的网络环境, 从而确保网络按安全、数据流转安全、系统运行安全以及终端使用安全等。4.2 加强政务信息资源共享全程监管总体国家安全观要求政府加强对信息资源的宏观控制和监管, 并使其实现科学有效、规范、安全的开发与利用, 从而实现政务信息资源价值的

26、最大化。为此, 加强对政务信息资源的宏观控制与监管, 确保数据资产安全至关重要。第一, 加强对信源的监管。信源决定信息的质量。首先, 要摸清政务信息资源的存量和增量, 做好信息发展规划, 制定政务信息生成环境规范, 控制信息的生成环节, 统一新生信息元数据和演绎路径;其次, 加大归档政务资源开发力度, 尤其已经归档的纸质资源, 要对其进行数字化加工处理;最后, 利用大数据和云计算技术加强对混合性数据的解析, 对非结构化数据进行结构化处理, 确保所有政务信息资源都能够得到充分的利用。第二, 加强对信道的监管。信道指信息共享通道、平台或系统。首先, 加强对信息共享目录、资源置换系统运行、业务协同系

27、统或平台运行、云平台或空间等进行全方位的扫描, 健全共享平台操作与运维日志制度, 建立人防与技防相结合的风险预警系统, 完整记录平台日常操作轨迹和网络攻击及入侵情况;其次, 开展对信道的仿真模拟攻击, 提升风险应急与抵御能力。最后, 加强对信道中僵尸平台和相关系统的整合力度。第三, 加强对信宿的监管。政务信息资源共享的最终归宿和受众主要是用户。因此, 要关注和调查用户的信息需求, 探寻用户的信息利用轨迹, 调整政务信息共享管理体制和机制, 优化服务模式。图2 政务信息资源共享全程监管体系4.3 开展政务信息资源共享系统审计政务信息资源系统审计是指为了保证政务信息系统及其运行的安全性、稳定性和持

28、续性, 提高政务信息系统运行效率和社会效益, 降低运维成本, 由审计机构或人员按照一定的科学方法, 对某一政务信息系统, 从其规划、开发到运行的全过程进行全面综合测量和评估, 并为改善和健全政务信息资源共享系统提出建议的过程。印发的政务信息系统整合共享实施方案把政务信息系统审计纳入政务信息共享工程, 提出要“探索政务信息系统审计的方式方法”“审计结合, 加快消除僵尸信息系统”。因此, 根据国家政策规定和现实安全需要, 对政务信息资源共享系统开展审计十分必要。第一, 建立常态化的政务信息系统审计机制。政务信息资源共享系统的规划者、建设者和管理者应更新系统审计观念, 主动对正在规划的、正在建设的和

29、已经投入运行的政务信息资源共享系统进行常态化审计、全天候智能审计、不定期抽查审计等, 及时发现和更正政务信息系统建设和运行过程中的漏洞, 避免重复建设或投资浪费等问题;同时, 将内部审计与外部审计相结合、传统共享系统审计与移动终端共享系统审计相结合、专项审计与全面审计相结合, 以评促改, 以审带建。第二, 建立政务信息共享系统审计标准。在当前大数据、大平台、多应用协同的政务环境下, 应建立科学的审计标准。主要包括硬件标准, 即政务信息共享系统所需要的专业设备是否齐全和完备;软件标准, 即政务信息共享系统中所嵌入、协同与融合的各类数据库、软件和系统的安全性、稳定性和前瞻性是否达到一定标准;技术标

30、准, 即系统建设与管理中运用的技术是否符合要求;环境标准, 即建设环境、运维环境和管理环境;安全标准, 即法律问题、伦理问题和保密问题。第三, 明确政务信息共享系统审计内容。其内容主要包括信息系统管理审计、应用审计、网络审计、安全审计以及信息系统的保障审计。第四, 确定审计方案与方法。针对复杂的政务信息系统风险, 要结合我国政务信息资源共享客观实际, 设计审计方案, 统一部署审计工作;关于审计方法, 2012年国家审计署印发的信息系统审计指南计算机审计实务公告第34号, 提出了八种审计方法:系统调查法、资料审查法、系统检查法、数据测试法、数据检验法、工具检测法、风险评估法、专家评估法。从当前实践来看, 这些方法对政务信息系统的审计依然合适, 但是, 针对新的技术环境和人文理念, 还应该增加技术审查法和伦理审查法等。第五, 加大信息系统审计人才队伍建设力度。信息系统审计融合了多种技术、学科和方法, 其审计形式包括内部审查和外部审查, 因此要建立专业的审计队伍。4.4 实施政务信息资源共享风险管理总体国家安全观要求我们要有忧患意识, 强化风险管理观念。从当前电子政务信息资源共享建设的实践来看, 安全因素和便利程度是需要考虑的首要因素。政务信息资源共享系统和工程建设覆盖面广、周期长、投资大、成本高, 对其实施风险管理能够有效降低信源、信道