美国经验对强化政府网络安全能力的启示

闫晓丽

将部署HTTPS、解决关键软硬件漏洞作为政府网站的基本要求。

一是在政府网站全面推行HTTPS加密。目前政府网站部署HTTPS的不足10%，为更好地保护用户敏感数据、避免政府网站被篡改、保障政府网络安全，建议政府网站启用HTTPS加密，选择国产SSL证书实现HTTPS加密传输。二是要求政府信息系统及时修补关键软硬件漏洞。调查显示，我国政府网站的漏洞修复率仅为1.8%，在所有备案网站中排名最低，甚至低于个人网站。关键软硬件漏洞不及时修补，将可能被恶意利用，造成严重后果，建议对关键软硬件漏洞修补提出明确要求。

在现有政府部门互联网安全接入基础上部署统一系统监控和威胁监测。

针对政府网站接入分散、安全管理薄弱等问题，深入开展政府部门互联网安全接入工程，通过统一接口实现政府部门互联网安全接入、信息系统集中监控和安全管理，利用大数据等技术发展基于用户行为的数据分析，及时发现安全威胁。严格落实信息系统信息安全等级保护的有关规定，采取边界防护、电磁泄露防护、终端主机防护、应用系统安全等技术措施，建立从网络层到终端层的纵深安全防御体系。加强对新兴技术安全性、可靠性的研究，对政府部门使用的云计算服务、智能终端等进行安全审查。

创新政府部门高素质网络安全人才选拔、激励机制。

允许政府部门通过黑客大赛或直接招聘等方式选拔网络安全岗位人员，创新网络安全岗位人员激励机制，提供高工资或其他补贴，创造通畅的晋升渠道，以更好地留住人才。建立优秀学生奖学金制度，资助网络安全专业方面的优秀学生，优先选拔获得奖学金的学生到政府部门工作。