我國數字政府安全實踐與國際經驗探析

摘　要

數字政府是數字時代政府新形態，而安全是數字政府平穩運行的基石。近年來，我國在國家層面以政策、平臺、安全為抓手，在地方層面以規范、機制、能力為重點，加快推動安全標準、產品服務等供給，并取得顯著成效。通過對比分析美歐等世界主要經濟體在數字政府建設中的安全管理最新進展，我國仍需在數字政府安全方面加強安全管理、技術能力、聯防聯控、要素保障 4 個方面工作。

作為數字時代政府的新形態，數字政府是連接和貫通數字經濟、數字社會的“核心結合部”，也是網絡強國、數字中國的“源動力”。近年來，我國數字政府建設取得顯著成效。數字政府建設已經成為建設網絡強國戰略的重要組成部分，而安全已經成為數字政府建設不可或缺的有力保障和關鍵一環。在 2022 年 6 月發布的《國務院關于加強數字政府建設的指導意見》中強調，要構建數字政府全方位安全保障體系，并針對安全管理責任、安全制度要求、安全保障能力、自主可控水平等方面專門成章進行詳細規定。

我國數字政府安全建設現狀分析

我國高度重視數字政府建設，通過國家政策引領數字政府的頂層設計，并通過《網絡安全法》等法律法規落實安全要求。各地政府以規范、機制、能力為重點，加快推動安全標準、產品服務等供給，并取得顯著成效。

1.1　國家層面，以政策、平臺、安全為抓手加快推進數字政府建設

一是頂層設計持續優化。國家相繼發布《“十四五”推進國家政務信息化規劃》《關于加強數字政府建設的指導意見》《國務院關于在線政務服務的若干規定》《關于建立健全政務數據共享協調機制加快推進數據有序共享的意見》《全國一體化政務大數據體系建設指南》等系列政策文件，為我國數字政府建設指明了方向，構建了運用新一代信息技術服務數字政府建設和安全的頂層設計。

二是平臺支撐逐步完善。我國已建立了較完備的數字政府支撐平臺，截至 2021 年年底，全國一體化政務服務平臺的用戶總使用量超 620 億次。其中，國家政務服務平臺已發布來自 53 個國務院部門 9 000 多項數據資源，累計為 5 951 個各級政務部門提供政務數據共享調用超 3 000 億次，“跨省通辦”服務專區提供的可跨省辦理的線上事項和便民服務累計瀏覽量超 83 億人次。90.5% 的省級行政許可事項已實現“最多跑一次”的網上受理，56.3% 的事項實現“零跑動”的網上審批。可以看出，我國已初步建立了較為完備的數字政府服務平臺，覆蓋了省、市、縣、鄉、村五級政務服務體系，為我國 14 億多人民群眾和超過 1.6 億的市場主體提供線上全天候的政務服務。

三是安全保障不斷加強。我國網絡安全產業飛速發展，為我國數字政府建設提供了堅實的安全供給能力。2021 年我國網絡安全產業規模突破 2 000 億元，“十三五”時期年均增速達15%，在密碼、惡意代碼檢測、網絡安全設備等方面取得了新進展。數字政府建設需要堅持總體國家安全觀，通過《關鍵信息基礎設施安全保護條例》《網絡安全法》《數據安全法》等系列法規和管理政策，敦促各地方各行業在牽頭或參與數字政府建設過程中，強化關鍵信息基礎設施防護，加強網絡與數據安全保障體系和能力建設，提升網絡安全風險態勢感知、事件應急處置、新技術安全監管和應用等能力，加快建設國家網絡安全產業園區，積極發展絡安全產業，做到關口前移，防患于未然。

1.2　地方層面，以規范、機制、能力為重點保障數字政府安全建設

一是數字政府安全的規劃規則逐漸明晰。目前全國有 20 多個省（自治區 / 直轄市）印發了加強數字政府建設或數字化轉型相關規劃文件，并在規劃中延承《關于加強數字政府建設的指導意見》關于“構建數字政府全方位安全保障體系”的部署，高度重視落實落細守護數字政府安全的政策舉措。例如海南省先后編制印發了《海南省電子政務外網網絡安全管理規范》《政務數據分級分類指南》等規范性政策文件作為指導。廣東省先后發布了電子政務外網網絡安全管理辦法、政務信息資源共享規則、受控信息安全保密管理制度等規范文件，并以網絡安全保密監管為重點，推動省政務服務數據管理局、保密局等多部門，誠邀中國科學院信息工程研究所共同編制了全國首個省級數字政府網絡安全體系建設的總體規劃。

二是數字政府安全的體制機制持續完善。為統籌和規范數字政府建設，多地政府探索加快體制機制改革。例如廣東省加快健全覆蓋政務共享數據安全運營、管理、監管的工作機制。在安全管理方面，廣東省專門設立數字政府建設保密管理工作站，并建立了多部門協同工作機制，如每兩周由省政務服務數據管理局和保密局共同開展保密隱患的風險研判和應對處置的方案協商。在安全監管方面，出臺省政務信息化項目管理辦法并加強項目前置安全審核，對商密應用安全、信創技術運用、網絡安全能力等加強技術審核，對政務數據全流程運用中的安全合規問題加強數據審計。海南省大數據管理局也先后探索建立了網絡安全應急響應、人員安全管理等五項安全管理制度。

三是守護數字政府安全的能力不斷提升。一方面，加快信息系統整合，減少安全風險點。目前全國已有 29 個省（自治區 / 直轄市）將信息化機構職能統一到新成立的省級政務服務或數據管理機構。上海市通過“一網統管”信息系統每天匯聚處理超 10 億條數據并支撐全市 70多個部門、200 多個系統、1 200 多個應用的安全有效運行。海南省加快推動電子政務基礎設施的全省統建共享，統一在海口和三亞兩地部署存儲管理全省政務數據的 1 200 個服務器機柜，并建設了網絡安全態勢感知平臺提供網絡安全和數據安全保障。河北滄州市已完成全部市級單位自建專網的整合，并建設了全市統一的安全保障體系，2021 年共計發現預警安全風險 1 140 萬次。另一方面，加強數字政府建設“管運分離、內置安全、主動防御”的政企合作。統籌數字政府設計、建設、運營全過程的安全權限管理和防護能力建設，從系統建設、數據管理、運維執行、安全監管等多方入手，全面落實數字政府安全防護工作。例如廣東省集合騰訊、三大電信運營商合資組建了數字廣東公司，并與華為合作建設了省市一體化安全運營平臺，并開展5 次為期 6 周的網絡安全攻防演練，發現高中風險漏洞 243 個，并進行了漏洞修復和安全加固。

1.3　行業層面，以安全標準、產品服務等為數字政府建設貢獻力量

一是加強數字政府網絡安全評估、評價等標準輸出。為規范數字政府建設中政務外網的安全接入、交換、監測等工作，國家電子政務外網管理中心加快政務信息安全標準體系建設的步伐，先后發布了《國家電子政務外網信息安全標準體系框架》《國家電子政務外網信息安全標準化工作規范》《國家電子政務外網安全監測體系技術規范與實施指南》等 7 項安全標準。國內互聯網企業、網絡安全企業、高校和科研院所等 21 家非政府機構，從安全建設、運用、管理、效果等維度出發，共同為廣東省編制了全國首個省級數字政府網絡安全指數體系的標準，包括兩級指標超過 100 個評估項，并根據指標體系對全省 21 個地市 6.6 萬項數據進行了采集整理和分析評估。

二是加強數字政府安全建設、運營、管理等服務供給。安全建設方面，華為公司為河北滄州市建設了滄州政務云并將來自 54 個部門單位的 117 個信息系統部署上云，滄州政務云自建成以來 5 年期間均未出現數據泄露事件，并獲評河北省委網信辦政務云護航數據安全實踐類的典型案例。安全運營方面，啟明星辰多年來為全國多地建立了超過 120 個城市級安全運營中心，并從實踐中探索出權責清晰、持續監測、智慧驅動、人機結合的數字政府安全運營體系。安全管理方面，深信服為破解數字政府安全管理難題，依托于國內首個建設于電子政務網絡內的安全運營中心，推出了電子政務場景定制、全天候監測、精準防護的安全托管服務，采取基于“人機共智”的創新模式，實現了高階安全專家知識與人工智能安全威脅檢測引擎之間的高效協同配合，有效解決了云端服務模式下的電子政務外網安全運行和數據安全問題，并已在國內多個地方政府得到應用。

世界主要經濟體保障數字政府安全的

實踐經驗

世界主要國家均關注到數字政府并積極運用新一代信息技術推動政府決策、服務、管理等的數字化轉型。目前，全球各國數字政府建設經歷了從戰略規劃、政府運行數字化、政務流程優化等逐步深化的多個階段，在各個階段每個國家都高度重視保障數字政府的網絡和數據安全，筑牢安全屏障。

2.1　完善數字政府安全管理的體制機制

一是優化政府網絡安全組織體系。在政府網絡安全管理組織架構中有機融入“數字化”的元素，強調通過安全保障服務進行包括政府在內的數字化轉型。例如日本專門成立“數字廳”來統籌數字技術研發、應用與國家網絡安全戰略指揮工作，并通過日本國家安全保障會議機制，對涉及國家安全的重要事項進行審查。美國設置國家網絡總監的崗位，負責在網絡安全及相關新興技術領域為總統提供支撐，協調并監督聯邦政府的網絡安全管理工作。

二是明確管理部門及其協作機制。通過國家立法設置和戰略規劃，對涉及網絡安全職能的各組織機構的定位、職責及協作機制等進行了明確規定，并推動形成分工清晰、協作密切的安全管理組織架構和運行機制，為數字政府安全管理提供有力保障。例如美國國土安全部發布的《國家網絡事件響應計劃》規定，一旦重大網絡安全事件發生，由相關部門通過信息共享與行動協調機制等進行聯合響應，國土安全部、司法部、國家情報總監辦公室分別負責資產響應、威脅響應、情報支撐，受影響的聯邦機構或者私營機構應采取各種手段控制事件的影響。

三是完善網絡安全審計制度體系。通過對數字政府安全項目的審計機制，評估在數字政府建設過程中網絡安全計劃的進展程度和戰略實施的績效情況，以及項目資金在計劃、實施階段的科學合理性，保障安全計劃落地的有效性、效率性和經濟性。同時還可以敦促各相關部門提升安全管理意識，切實履行安全職責。例如英國審計署在政府數字化轉型開始后，加強了對內閣辦公室、國防部等政府各部門的網絡安全審計，大幅降低了各部門所受的網絡攻擊量，國防部網絡安全項目完成率也提升至 80% 以上。

2.2　強化數字政府安全管理的支撐力量

一是加強國家與地方政府的合作。國家機構與地方政府通過在網絡事件協調處置、信息共享和防御應對等方面的合作改善，幫助地方有效應對數字政府建設所面臨的安全風險和挑戰。例如 2022 年 6 月，美國總統拜登簽署了《州和地方政府網絡安全法》，在聯邦層面的國家網絡安全與通信集成中心與各州等地區政府共享網絡安全態勢感知等的工具與協議，從而改善國土安全部與各地方在網絡安全方面的協同能力。

二是發揮非政府機構的支撐作用。政府在數字政府建設規范和安全保障相關政策、標準制定的過程中，充分聽取和吸納科研院所、智庫機構、私營部門等的建議和意見。同時，在落實數字政府建設項目和安全保障的實踐中，鼓勵支持國際組織、私營部門等積極貢獻力量。例如國際電信聯盟聯合世界銀行、德勤、微軟等伙伴合作推出“國家網絡安全戰略指南”，旨在幫助政府制定國家網絡安全戰略，建立安全、彈性、互聯互通的數字社會。谷歌公司在 2021 年共向報告谷歌各種安全漏洞的研究人員支付了 870 萬美元的獎勵，有力提升了政府部門使用其產品和服務的安全性。俄羅斯依托卡巴斯基實驗室等專業技術力量，為數字政府網絡與數據安全提供全方位保障。

三是擴展深化國際安全伙伴關系。聯合主要國家的各方力量共同提升網絡安全水平，服務保障數字政府建設。例如日本與德國、荷蘭、愛沙尼亞等多國共同成立了全球網絡安全基金，并與東盟建立國際網絡信息論壇對話機制。2021年 7 月，美國網絡安全和基礎設施安全局與澳大利亞、英國的國家網絡安全中心，主要針對基于云、虛擬專用網絡（Virtual Private Network，VPN）等技術遠程工作的常見漏洞進行了聯合咨詢并給出漏洞修復可用的補丁。2021 年 12 月，美國聯邦調查局、國家安全局等多部門聯合澳大利亞、加拿大、英國等的國家網絡安全中心和新西蘭計算和應急響應團隊，對 Apache Log4j軟件庫漏洞開展了網絡安全咨詢。

2.3　保障數字政府安全管理的資源要素

一是加大安全資金的投入力度。通過在網絡安全領域的鼓勵投資、財政撥款、懸賞計劃等多樣化方式，奠定有力保障數字政府安全的資金基礎。2021 年全球網絡與數據安全行業融資事件數較同期增長了 43%，過去十年間融資事件數增長了 10 倍以上，融資額增長了超過15 倍。美國 2021 財年在網絡安全領域的總預算為 188 億美元，較同期增長了 8%，在信息技術（Information Technology，IT）總預算中的占比為 20.4%。2022 年 9 月，美國拜登政府啟動了一項 10 億美元的網絡安全撥款計劃，由國土安全部從 2022 財年開始連續 4 年對此進行資助，幫助各州政府更好抵御網絡威脅。美國啟動“國土安全部（The Department of Homeland Security，DHS）黑客”漏洞懸賞計劃，為發現漏洞的黑客提供最高額達 4 300 萬美元的一年期合同。

二是培養壯大高素質人才隊伍。政府部門與私營機構都在積極充實網絡安全人才隊伍。2022 年 6 月，美國總統拜登簽署的《聯邦網絡勞動力輪崗計劃法》提出允許網絡安全專業人員通過在多個聯邦機構進行輪崗的形式提升自身專業知識和技能，并要求人事管理辦公室每年明確可供選擇的職位清單。歐盟通過《歐洲網絡和信息安全教育計劃路線圖》明確安全人才培養的路徑，并通過歐洲網絡安全挑戰賽等方式挖掘培養網絡安全人才。從全球看，在過去一年間，許多安全創業公司大量招兵買馬，不少擁有數千員工的上市公司仍以超過 20% ～ 30%的增長率擴充隊伍。

三是強化技術支持與攻防演練。以 2021 年“太陽風”事件為例，該事件背后的攻擊者正在進行針對全球政府機構的網絡釣魚運動，除美國組織受攻擊最多外，還有 24 個國家 150 多個組織深受其害。2022 年 6 月，美國國防部舉行“網絡盾牌”大規模演習，重點針對類似“太陽風”的供應鏈攻擊。同期，歐盟舉辦迄今為止全球最大規模的網絡演習，覆蓋歐盟 29 個國家、歐洲自貿區以及歐盟各機構與部門的 800多名網絡安全專家參加演習，旨在強化網絡安全技術水平、專業知識和危機處置能力。

數字政府安全建設的重點方向

結合國內實踐和國際經驗，強化安全保障、有力護航數字政府高質量建設需要重點做好四個方面工作：

一是優化安全管理。聚焦數字政府建設中安全的薄弱環節和突出問題，重點落實落細安全保障要求，加強全流程安全審計、監管監督和評估評價，建立健全政企合作管理體制機制確保數字政府產品和服務的安全性和可控性。

二是提升技術水平。將網絡安全、關鍵基礎設施保護、數據安全、個人信息保護等保障能力嵌入數字政府建設、運行、維護、管理等全過程，鼓勵運用零信任架構和大數據、區塊鏈等新信息技術手段，推動數字政府安全治理能力現代化。

三是加強聯防聯控。匯聚國際組織、行業企業、科研院所等多方力量，定期開展實戰演練，以攻促防，持續提升數字政府風險識別、隱患排查、漏洞修復、攻防對抗等安全保障能力，有效應對數字政府建設全過程的重大風險隱患。

四是加大要素投入。穩步提升網絡安全在政務信息化總投入中的占比，不斷加強政府網絡安全人才隊伍建設、安全教育培訓和考核評估，提升公務人員的安全意識、技能水平和管理能力。

結　語

本文對我國數字政府建設的安全實踐進行了歸納，分析了國家政策、地方政務、行業建設等方面的最新進展。同時，在分析美、歐、日等世界主要國家和地區的數字政府安全管理經驗的基礎上，提出下一步我國加強數字政府安全工作的建議。