同志们:
近年来网络技术快速发展,网络安全事件频频发生,网络安全形势愈加严峻,给国家安全、社会稳定、经济发展和个人信息安全造成严重威胁。为此,党的二十大报告强调必须坚定不移贯彻总体国家安全观,凸显网络安全在国家安全中的重要地位。中共中央、国务院也在印发的《数字中国建设整体布局规划》中指出,要切实维护网络安全,完善网络安全法律法规和政策体系。而习近平总书记则强调:“没有网络安全就没有国家安全”。在此背景下,地方党委政府切实扛起责任,高度重视网络安全建设工作,对公职人员网络安全意识提升的诉求愈加凸显。实践表明,责任制和绩效考核制由于自身存在局限性,不能在网络安全意识提升上充分发挥“激发政府部门及其公务员自觉提高工作质量”的倒逼作用,而培训教育经证明是提升公职人员网络安全意识最直接、最为有力的手段,故各城市加大力度开展公职人员网络安全意识培训教育工作。但在持续开展网络安全意识培训教育工作的基础上,仍发现地方公职人员的网络安全意识不够高,不能与新时代的网络安全建设工作相匹配,使公职人员网络安全意识提升成为地方党委政府面临的重要课题。借此机会,由我为大家作一堂党课报告,与同志们共同探讨交流。
一、提高思想认识,准确把握迫切需要解决网络安全意识培育的重大问题
(一)形势严峻:政务外网受攻击次数居高且事件频发
当前网络安全形势严峻已达成共识,但实际上绝大多数公职人员未能真正“知晓”“感知”地方面临的网络安全问题有多严峻。本文通过梳理、统计部分城市的有关报告,获得一些数据,直观反映出地方面临的网络安全形势严峻、防范压力巨大,提升公职人员网络安全意识确实是急迫而至关重要的。其中,仅2022年10月至2023年3月,对S市政务网站发起攻击的地区就达到389个,攻击者20087个,攻击次数高达370740次,危险系数很大。而S市党政机关和事业单位在网络安全工作中出现很多疏漏,例如信息泄露、弱口令、通报代码泄露等。每月仍有很多单位因此被警告、约谈、责令整改甚至被要求关停服务等。
(二)手段失效:责任制和绩效考核制难发挥倒逼作用
缺乏问责会导致习惯性执行不力。基于此,为确保网络安全工作落实到位,中共中央办公厅早于2017年发布了《党委(党组)网络安全工作责任制实施办法》,以期通过该制度明确党委(党组)领导班子、领导干部网络安全责任。其中明确指出“各级党委(党组)对本地区本部门网络安全工作负主体责任,领导班子主要负责人是第一责任人,主管网络安全的领导班子成员是直接责任人”,并对各级党委(党组)所需要承担的主要网络安全责任作了列举。同时还明确在发生特定事件并产生损失时,将追究网络安全主要负责人的责任。此外,部分城市在中央考核指标的基础上,细化了网络安全工作责任制“检查考核指标”,并将指标结果与各单位绩效相挂钩。理论上,在责任制和绩效考核制的倒逼下,各单位理应意识得到强化、高度重视网络安全建设工作。但实践表明,这两项制度虽然产生了一定的督促作用,但作用有限。一是很多领导干部自知负有主要责任,但因认知不足,认为事故发生概率低,心存侥幸,不积极主动督促落实工作并强化预防;二是考核指标虽然作了细化,指向明确,但是有的单位不一定会对照指标扎实落实,存在以“政绩数据”“人造数据”等假数据应对考核的情况。而主管部门又无从对其提交上来的考核材料作实质性判断,对其数据造假行为无从监督。故想要做好“意识提升”这项“人心工作”,切实提高公职人员网络安全意识,仅靠责任制、绩效考核制的强化显然不是最佳选择。
(三)成效不足:当前网络安全意识培育工作效能不足
1.从领导干部层面看:“一岗双责”意识不够强,未发挥统筹督促作用。领导机关和领导干部带头冲在前、干在先,是做好网络安全建设工作的关键。当前部分单位、镇(街道)的领导“一岗双责”意识不强,对网络安全重视度不够,未将网络安全视为安全生产工作中重要的一环。例如,未完善本单位网络安全有关组织架构,未完善内部网络安全工作机制和组织体系;只重业务系统建设,忽视网络安全防护,吝啬于网络安全资金投入;未对业务系统安全进行全面规划、有效组织,出现问题后未能有效快速处置;对网络安全风险隐患认知不足,在未发生网络安全事件的情况下,不重视督促定期开展培训、应急演练等以提高有关人员的防范意识和能力。
2.从管理人员层面看:部分工作落实不到位,常见漏报不报整改不及时。部分网络管理人员日常没有严格将网络安全工作要求落实到位。例如,没有及时组织开展弱口令清查、安全测试、漏洞排查等工作,容易导致系统被攻破,发生数据泄露的安全事件;对网络和信息系统安全工作重视程度不足,未定期扫描漏洞、未及时整改发现的网络安全问题、未将漏洞扫描备案等。
3.从其他人员层面看:网络安全事件了解少,知识技能与岗位不相匹配。当前公职人员多数对网络安全事件比较关注,但更多停留在事件表面,缺乏相关的网络安全知识和应对技能。仍然存在为获取浏览速度而关闭防火墙、偶尔连接不可信的WIFI站点、敏感信息上传个人网盘、在第三方应用中打开文档、个人邮箱发送单位数据等情况。据问卷调查结果显示,受访人员中虽然有60.5%表示“比较关注”网络安全事件,26.89%表示“非常关注”,但还有11.76%表示“关注较少”,甚至小部分表示“不关注”。另外,有53.78%,也就是超过一半表示对《网络安全法》《数据安全法》《个人信息保护法》《密码法》等有关法律制度“了解较少”,甚至表示“完全不了解”的达到4.2%。还有将近10%的人员表示会“偶尔点击”不知名的邮件、链接、小程序等,甚至有的“点击比较多”。
二、准确分析原因,进一步增强网络安全意识培育效能工作的使命感责任感
行政效能理论视角下的培育效能,指在对培育资源优化配置的基础上,在培育中所表现出来的培育能力、效率以及培育目标的实现程度,是培育资源、培育能力、培育效率、培育效果四大要素有机整合。培育的组织形态、人员组成、预算经费、培育文化、受培育对象情况、制度质量、培育监督等,均可以影响培育效能。本文尝试以行政效能理论为分析工具,得出我国公职人员网络安全意识培育效能不足的主要原因在于以下几点。
(一)从制度和协作看:培育呈碎片化,单位缺乏协作。一方面,从培育制度角度看,网络安全意识培育“碎片化”是地方公职人员网络安全意识培育效能低下的重要因素之一。虽然各城市通过多项制度提出网络安全培育要求,每年市、区各单位也有开展网络安全培训工作,但很多城市未在市级层面统筹谋划,未制定出更为系统、全面的网络安全培育制度或工作方案,导致多数培育工作零散开展、未分级分类、不够精准、质量参差不一。实践表明,“碎片化”强化了市与区、单位与单位间客观存在的壁垒,使各层级、各区域、各单位安于自行组织网络安全意识培育活动,一定程度上减少单位间联动提升网络安全意识培育工作的意识和动力,反映在较少联合开展网络安全意识培育活动,存在“协作不能”。另一方面,从培育协作角度看,当前在网络安全意识培育方面,各单位间缺乏有效的协调与配合,未整合资源,未能以最小成本实现最大效益。在培育内容或培育对象上趋于雷同,造成有的人员重复接受培训、有的人员没有培训机会;有的知识技能重复学习,有的却长期未能了解。据问卷调查结果显示,61.34%的受访者表示有必要通过“加强制度机制建设,强化网络安全意识培育规划、制度制定”以提高培育效能。
(二)从数量和监督看:不作为常发生、监督欠缺依据。一方面,从培育数量角度看,“执行力不强”是造成网络安全意识培育效能低下的重要原因之一。由于单位自身的“自利性”,导致很多单位更为重视跟“经济收益”直接相关的培训活动,不重视网络安全意识培育工作,从而在网络安全意识培育工作中出现不作为、慢作为、假作为。主要表现为部分单位未按照有关制度要求分类组织、切实落实网络安全意识培育工作,弄虚作假、走形式走过场。据问卷调查结果显示,表示在过去一年里“没有”接受过与网络安全有关培训的公职人员占比高达13.45%。另一方面,从培育监督角度看,主管部门对培育活动的质量无从作出实质性监督。公职人员网络安全意识培育活动的开展,很大一部分有赖于各个单位自发组织。按照《党委(党组)网络安全工作责任实施办法》和考核指标的要求,各级党委(党组)有义务“组织开展经常性网络安全宣传教育”,必须组织开展网络安全宣传周活动;在职人员尤其是网络安全专业技术岗位人员,年度人均接受网络安全培训必须达到一定学时;每年必须组织网络安全意识和技能培训。但是上述指标均是对公职人员网络安全意识培育“数量”提出的要求,不涉及“质量”要求。故当前对各区域、各单位所开展的公职人员网络安全意识培育活动的质量监督缺乏依据,无从发现各培育工作的不足之处,故未能督促有关培育工作做得更科学有效。
(三)从资源和能力看:培育资源有限、能力不够匹配。一方面,从培育资源角度看,培育资源的相对稀缺,是公职人员网络安全意识培育效能提升的最大掣肘。公职人员网络安全意识培育活动必须以一定的物质或非物质资源为消耗,只有具备相当的培育资源,并对有限的资源进行合理分配,才能达到培育最优效果。公职人员网络安全意识培育资源应当包含培育的人员配备、信息资源、权力资源、技术装备等等,这是整个培育活动的支撑。第一,人员配备方面,由于很多单位所开展的培育数量和质量不能满足需求,故为确保成效,主管部门需要承担更多培育活动的组织,但由于所需的培育资源非常庞大,现有培育人员难以支撑那么大的培育体量。第二,信息资源方面,培育主体对受培育者的需求信息收集不足,导致开展的公职人员网络安全意识培育活动针对性不足。第三,物资资源方面,各单位未能在网络安全工作方面加大人力物力财力的支持和保障力度,较少能通过邀请第三方专家,组织培育质量较高的场景式、沉浸式培训。也未能提供更为先进的培育设备,例如,未能开发“网络安全意识培育平台系统”以做强做大培育工作。第四,权力资源方面,由于权力欠缺,在开展各项网络安全意识培育活动时,不具有约束力和强制力,以至于很难召集各单位网络安全责任人参与培育活动,直接影响培育效果。另一方面,从培育能力角度看,当前地方公职人员网络安全意识培育力量与培育任务不相匹配。培育能力是培育效能的基础,是做好网络安全意识培育工作的关键点。只有具备与培育任务相匹配的培育能力,才能将网络安全知识与技能顺利通过培育渠道传授给所有的公职人员。仅靠网络安全主管部门和各单位来推行公职人员网络安全意识培育工作,有权责不一致之嫌。毕竟该项培育工作需要覆盖到每一位公职人员,体量之大、要求之高,增加了培育工作开展的复杂性和艰难性。由于相关培育人员只是偶然从事培育活动工作,其素养有限,所具备的培育理念和培育经验智慧较难支撑大规模、常态化公职人员网络安全意识培育任务的完成。
(四)从范围和形式看:分类培育失衡、形式单一枯燥。一方面,从培育范围角度看,当前地方党委政府所能提供的网络安全意识培育服务不足以满足不同类型公职人员的提升需求。是否能够提供覆盖全体公职人员的网络安全意识培育课程服务是衡量培育效果的标准之一,但目前地方公职人员网络安全意识培育工作在“不同岗位人员分级分类培训”方面落实不到位,已开展的培训绝大部分适用于网络安全管理人员,对领导干部、其他公职人员开展的培训较少。多数培训专门针对党政机关、事业单位中的网络安全技能型骨干而开展,例如市网络安全渗透技能专题培训班。偏重对网络安全专业技术岗位人员的培训无可厚非,但对领导干部和其他公职人员的培训占比也不应明显太小。另一方面,从培育形式角度看,由各单位自行组织的多数培育活动形式单一、不具有吸引力和感染力。有的培训流于形式,只为完成考核任务,并不能将认知、知识和技能传递给参训人员;各单位较少使用沉浸式、场景式、实操式、案例式等具有吸引力、感染力的培训方式,导致各公职人员、尤其是非网络安全管理人员很少有机会参与生动的网络安全培训。故在开展了不少网络安全意识培育工作之后,地方公职人员在网络安全意识提升方面仍有“强烈的外部支持需求”。问卷调查结果显示,受访公职人员中仍有24.37%表示自己“非常需要”提升网络安全意识,61.34%表示“比较需要”。除此外,高达82.35%的受访者期望“改变单一、枯燥的培训方式,多开展沉浸式、现场式、实操式、场景式培训”。
三、锚定目标任务,不断提升公职人员网络安全意识培育效能的工作质效
(一)系统规划培育,形成合作优势。一方面,秉持系统化思维理念,系统梳理制定一体化培育规划和方案,建立健全公职人员网络安全意识培育的制度体系,破解既有培育“碎片化”问题,系统谋划、统一推进。整合分散的培育信息资源,在纵横向单位间形成有效共享机制,推动网络安全意识培育“一体化”的形成。在此基础上,配套出台相关激励驱动机制,推动职能部门增强进行网络安全意识培育的主观动力。另一方面,秉持“需合作行政行为”理念,推动共研课题、共建课程、共同宣传等,在网络安全意识提升工作上形成合作优势。规模化的网络安全意识培育离不开各单位间的配合协作,调动各单位的配合协作热情,是网络安全意识培育效能快速提升的关键。实践表明,合作度是培育效能提升的关键因素,在不同主体间形成一种统一的合力去推进有效合作,可以使培育产生更大的影响力。例如,可促进党校、高校乃至其他职能部门的师资队伍与网信办队伍结对,发挥各自优势、协作开发课程,并通过调查研究等方式深化,常态化收集受培育者在网络安全方面的需求信息,为打造出具有针对性的优质网络安全意识培育课程奠定基础。
(二)督促积极作为,强化效果评估。一方面,重点打造“网络安全第一责任人专题培训班”,引导“网络安全管理决策层”学以致用,充分行使手中的“网络安全建设决定权”,体现“关键少数”的示范引领作用,以自身意识的提升推动整个单位、乃至整个区域网络安全意识培育工作的提升,即带着高度的责任感,真正将《党委(党组)网络安全工作责任制实施办法》要求的网络安全责任落实到位,常态化、高质量开展本单位、本区域的网络安全意识培育工作,以此推动构建起更庞大的网络安全意识培育体系,并在此基础上进一步做强做大,最终形成良性循环。另一方面,不忘做实网络安全意识培育效果的评估工作。效果是培育的逻辑终点,培育效果在于培育目标的实现。故要借助指标、系统等,在测试的基础上,通过科学分析以评估培育效果,评估是否真正提供了更多优质的培育服务,是否得到受培育者的认可和支持,是否对受培育者产生了正向影响,是否真的激发出公职人员的网络安全防范意识。由于公职人员的网络安全意识不是一成不变的,为更好筑牢人员网络安全防线,有必要确保周期性使用“TET网络安全意识提升框架”这一循环结构,通过“测试-评估-培训”循环往复、持续强化。
(三)分类均衡培育,丰富“非正式”手段。一方面,进一步开发形成系列能满足不同类别公职人员需求的网络安全意识培育课程,确保培育活动的开展和内容的选择重点突出、针对性强,实现从“粗放培育”到“精准培育”的转变。如何实施具有针对性的、准确到位的网络安全意识培育工作,一直是难点和重点。充分掌握不同类型受培育者的不同需求,并以此决定选择何种培育手段、培育内容来开展工作,科学设置培育内容,打磨、打造系列形式多样的高质量网络安全意识培育课程,从而达到预期目标。另一方面,网络安全意识的培育资源总是有限的,如何配置有限的培育资源以实现提高网络安全意识培育效能的目的,需要积极形塑有助于目标达成的多元化培育方式,增加政府可资使用的培育手段,使政府可选择的网络安全意识培育手段更为多样化。在持续推行传统“正式”培育方式的同时,可积极探索创新“非正式”培育方式,使“正式”与“非正式”的手段以互补的姿态有效完成网络安全意识培育任务。如更加重视创新“说服教育、劝导示范、指导、奖励”等“带有强烈柔性色彩”、低成本的手段,有效发挥教育功能,针对不同的对象,分类、分步实施,以更具针对性、更灵活多变的方式使网络安全知识更易入心入脑。
(四)加大资源投入,构建平台系统。一方面,加大培育资源投入,在人力、物力、财力等基础方面给予充分支持,尤其加大平台系统研发投入,加快“网络安全意识提升平台系统”构建,提高培育“精准度”和培育“效率”。培育信息化的核心和重点在于以科学技术运用推动培育体制、机制和方法的创新,故将科学技术运用其中将在很大程度上推动网络安全意识培育产生效果。因此,要善用“组合拳”,充分投入和利用资源,进一步推广场景式、实操式、沉浸式等融合信息化元素的新型培育方式,使培育更具感染力。另一方面,在构建网络安全意识提升平台系统时,在其中搭建“认知能力测试系统”“知识技能考核系统”“网络安全意识风险评估系统”“网络安全知识技能培训系统”等模块,促使实现这样的功能:一是力促网络安全意识培育资源实现整合化、一体化、科学化,打破传统单位间的界限,使各单位在网络安全意识培育上实时交流、共享,加强案例资源和信息互联互享,最大限度整合培育资源。二是利用平台系统的建设和应用,对受培育者的网络安全意识和能力进行客观测量和科学评价,多维度采集个体网络安全意识数据,将数据进行汇总整合及关联分析,找准受培育者意识的具体薄弱点,有针对性地推送相应的知识和技能,给予精准化的服务。三是依托平台系统提升培育效率,确保培育组织者可以同时进行多项工作,以“同步工作”替换“按次序轮流工作”,大幅提高培育效率。当然,也借此降低受培育者的参与成本。因此,要继续采取“线上+线下”相结合的培育方式,在形塑、壮大线下公职人员网络安全意识培育体系之时,也不忘同步绘制网络安全意识培育的“线上蓝图”,尽快把线上线下这张“培育网”织牢、织密。
网络安全是一个关系到个人、企业和国家的重要问题。在当今数字化时代,我们必须高度重视网络安全,培养网络安全意识,筑牢网络信息安全防线。只有这样,我们才能更好地享受网络带来的便利,同时避免网络安全问题带来的损失。让我们共同努力,为构建一个安全、稳定、和谐的网络空间而奋斗!
谢谢大家!
微信扫一扫在手机阅读、分享本文