加強持續風險監測安全運營 構建數字政府安全保障體系
4 月 19 日,中央全面深化改革委員會第二十五次會議審議通過《關于加強數字政府建設的指導意見》(以下簡稱《指導意見》),習近平總書記主持會議時強調,要全面貫徹網絡強國戰略,把數字技術廣泛應用于政府管理服務,推動政府數字化、智能化運行,為推進國家治理體系和治理能力現代化提供有力支撐。
數字政府建設是網絡強國建設的重要組成。我國數字化政府工作正在經歷從電子政府到數字政府的轉型與升級,數字化轉型進入快速發展階段。數字政府建設是一個復雜的系統工程,需要持續、長期的工作投入。在這個過程中,我國數字政府需要構建全方位的安全保障體系,抵御越來越突出的網絡威脅和安全風險挑戰。
安全是建設數字政府的基石。在打造數字化、網絡化、智能化的數字政府生態體系的過程中,網絡安全和數據安全應得到充分保障。當前網絡空間的安全形勢嚴峻,安全攻擊行為和安全事件層出不窮,針對政府機構和關鍵信息基礎設施的攻擊不斷升級。面對這種形勢,作為我國數字經濟和數字社會建設的引領驅動者,數字政府安全保障工作亟須加強。因此,建議在數字政府建設中,同步開展安全保障重點工作,圍繞數字政府建設要素,形成安全保障工作體系,建立面向數字政府的持續風險監測安全運營。
一、結合數字政府建設情況,建議開展安全保障重點工作
根據《指導意見》明確的重點任務,數字政府的安全保障體系需要重點關注數字政府建設和運營過程中的安全管理制度和安全技術能力。建議數字政府領域關鍵信息基礎設施的安全建設工作,在滿足等保等基本合規要求外,還應結合數字政府自身業務和技術特點,進行針對性防護和賦能。
現階段已開展的數字政府建設主要面向政府治理及運行、數據創新應用、數字化履職服務等方面工作。建議安全保障的建設部署工作應結合數字政府業務服務工作同步開展。
(一)對基礎設施底座運行的安全保障
在政府治理及運行方面,數字政府建立政務大數據中心、政務服務平臺等,通過一體化系統集成,形成支撐政務服務、政府履職、協作治理等的一體化基礎設施底座。建議在數字政府建設和運營中,應首先保障基礎設施底座的平穩安全運行,這是數字政府開展工作的安全基礎,也是數字政府安全保障工作的基本著力點。
(二)對數據要素共享流動的安全保障
在數據創新應用方面,數字政府推進數據匯聚融合、開放共享和開發利用,以激發數據活力為主線,充分發揮數據的基礎資源作用和創新引擎作用。因此,建議開展數據安全防護工作,確保數據在各方之間有序共享,安全流動,實現數據全生命周期防護,保障數據要素在數字政府運行過程中共享流動安全。
(三)對新技術新應用的安全保障
在數字化履職服務方面,數字政府以提升政府履職服務效能為目標,為政府機構和企業群眾提供高效快捷的在線辦公辦事平臺服務和移動互聯網服務,逐步實現政務服務電子化、一站化、實時化、便捷化。在這個過程中,互聯網高新技術得到廣泛應用,涉及云安全、大數據安全、移動安全等,這些高新技術是數字政府安全保障工作的關鍵點,建議開展針對性安全建設工作。
二、圍繞數字政府建設要素,形成安全保障工作體系
《指導意見》指出構建數字政府全方位安全保障體系,要全面強化數字政府安全管理責任,落實安全管理制度,加快關鍵核心技術攻關,加強關鍵信息基礎設施安全保障,強化安全防護技術應用,切實筑牢數字政府建設安全防線。
數字政府建設包括對數據、技術、人員、制度等要素的建設,其中數據是核心,技術是載體,人員是工作主體,制度是運行規范。數字政府安全保障工作應圍繞數字政府領域關鍵信息基礎設施展開,以涉及的數據、平臺、人員、制度等要素為安全保障出發點,具體分析所面臨的安全問題,有序推進安全保障體系建設。
(一)圍繞數據要素,強化數據治理,形成全流程數據風險發現
數據安全是數字政府的生命線,個人信息保護是數字經濟的底線。確保數據安全是數字政府安全保障的核心工作。數據保護工作要強化數據治理,在確保數據安全的前提下充分發揮數據的應用價值。
在數字政府建設和運行時,數據呈現高度集中、高頻流動、高度開放的特征,同時數據本身多涉及國家基礎數據、公共數據和個人隱私數據。因此需要在數據分類分級基礎上,針對性地制定完善的安全管理策略、采用可行的安全管控技術,規范必要的安全審計要求。
在做好數據的基本安全保障基礎上,數據的采集、存儲、傳輸和應用等處理環節的安全風險發現和應對能力也應通過安全運營和安全技術的結合進行強化提升,以保障數據處理流程安全。此外,在對數據的安全保障中,還應關注同態加密、隱私計算等數據安全保護技術發展,采用新技術提升安全防護強度。
(二)圍繞技術要素,加強監測管理,形成全周期持續監測防護
技術平臺是實現政府數字化履職能力體系和一體化政務服務體系的重要載體,對數字政府技術平臺的安全防護建設至關重要。云計算、大數據、物聯網、移動通信、人工智能等技術對工作生活方式帶來全方位變革,也將深入融合進數字政府建設之中。對這些關鍵技術要進行重點安全風險監測和管理。
面對數字政府建設過程中的復雜多樣的技術架構和平臺,單一視角的安全防護技術手段不足以保障安全。應考慮綜合網絡安全、系統安全、數據安全的保障體系,并通過持續的風險監測發現應對數字政府領域關鍵信息基礎設施設計、建設、運行各階段的安全風險隱患。此外,國產自主化也是數字政府建設安全可信可控的重要保障。
數字政府建設是一個逐步、持續建設升級的過程,涉及大量的數據遷移匯聚、系統研發改造、平臺融合升級等工作。由此帶來的安全風險也不容小覷。一方面要加強針對這些環節的安全檢查和測試評估,將各階段的安全工作結合起來形成持續的安全工作鏈條;另一方面,做好內部、外部以及技術、業務的規范管理,避免出現管理漏洞。
(三)圍繞人員要素,注重人才培訓,形成多角色安全能力梯隊
人是數字化工作的執行者,也是數字政府運行的主體。數字政府建設提出的三融五跨、協同互通的工作要求,需要多種人員角色共同參與實現,既包括政府單位技術、業務、管理人員,也包括第三方合作的建設、運維等人員。這些角色是需要關注的安全風險因素,也是實施安全保障的第一要素。
針對數字政府建設和運行的參與人員,要切實落實其安全責任工作,加強對人員安全保密管理,定期檢查人員安全保密意識,測試人員安全技術水平,驗證人員安全應急處理能力,提升人員網絡安全風險防范意識和防護能力。加強對第三方人員的安全開發集成、數據安全、隱私保護等方面工作的管理。
當前網絡安全人才短缺,加大網絡安全教育培訓,根據不同崗位角色開展安全意識培訓、安全規范培訓、安全技術培訓、安全從業資格培訓等。加強人才隊伍建設,培養復合型網絡安全人才,打造體系化、專業化的安全能力人員梯隊。
(四)圍繞制度要素,落地責任要求,形成機制化專業安全運營
網絡安全合規是指導網絡安全建設工作,防控網絡安全風險的基本依據,也是保障安全的底線。在數字政府建設和運行中,首先要符合國家制定的網絡安全法律法規、制度標準,其次要結合具體工作,將法律法規、制度標準要求具體化、實踐化,形成合理可行的內部規章制度,將安全工作融入日常工作中,并通過安全運營進行工作實踐。
加強專門的內部安全機構的建設工作,建立健全安全業務流程,明確各主體的安全責任分工,集中安全技術和管理資源,協調各責任主體共同保障數字政府安全。現階段數字化轉型工作以建設為主,容易造成重建設、輕運維的情況。因此需要著重專門化、專業化的數字政府安全運營、安全運維機制建設和實施,避免因設備故障、漏洞隱患、事件響應等造成的安全問題,有效降低安全隱患風險。
三、面向數字政府的持續風險監測安全運營
數字政府提出“構建全方位、多層級、一體化安全防護體系,形成跨地區、跨部門、跨層級的協同聯動機制”和“建立健全動態監控、主動防御、協同響應的數字政府安全技術保障體系”的工作要求。基于我國數字政府建設現狀及所面臨的安全風險,傳統的邊界防御式以及云管端安全加固式的安全保障建設是必要的安全技術建設基礎,但不足以全面應對安全挑戰,滿足工作要求。數字政府安全保障建設還需要在系統工程建設、技術操作和運營服務等方面提供完備的安全能力支撐。
持續風險監測體系旨在為應對高強度網絡威脅和持續性風險變化,以風險監測為驅動,從安全要素、持續方法和協同機制等方面展開,圍繞網絡空間的威脅、數據和漏洞等安全要素,采用持續性跟蹤、持續性檢測、持續性評估、持續性加固的風險監測方法論,實現機構、人員、數據和設備協同聯動機制,構建體系化的網絡防御陣地,開展不間斷、全方位地持續協同防護。
持續風險監測體系主要面向網絡安全建設運營,在工程實踐中,持續風險監測體現出全面監測風險情況、及時評估風險變化、快速靈活應對風險的特點優勢,應與數字政府全方位安全保障體系建設相結合,進行重點實施。
(一)打造“主被結合,持續監測”的運營防護體系
持續監測的運營體系以持續的主被動結合的方式建立識別發現風險、評估風險、最終解決風險隱患的工作閉環,以持續螺旋上升方式提升實施風險控制,從而盡可能縮短風險暴露窗口。持續監測包括持續性跟蹤、持續性檢測、持續性評估、持續性加固等內容。
構建全方位網絡風險監測分析能力。在攻擊語境下建立全面的持續監測能力,主動探索發現內外部安全風險,被動監測分析安全異常行為。具備全鏈條的風險追蹤與回溯能力,形成多層次的協同安全監測分析體系。以大數據技術為基礎,融合全網各種網絡安全要素,提供基于大數據的安全監測感知能力,實現持續性風險的發現、預警和響應,實現對全網安全態勢感知,對重點區域和關鍵資源風險的重點監控,對日常信息安全運營狀態的全面監控。
構建數字政府網絡安全統一運營能力。通過建立完備的運營流程體系,協同不同角色的運營人員,依托一體化技術平臺,實現信息安全突發事件、重大信息安全事件的快速處理,對安全檢查情況、信息安全通報情況、等級保護工作等日常工作進行統一管理。
(二)構建“數網結合,重點防御”的風險防護模式
安全要素是安全運營階段面臨的技術性風險要素,旨在描述安全運營關注的對象,結合數字政府建設的工作重點以及信息安全風險管理理論和網絡安全實踐,安全運營中需要從威脅、數據、漏洞等角度來關注數據安全和網絡安全。對于數字政府基礎設施的安全防護,威脅要素是信息系統可能面臨的潛在安全危害,數據要素是信息系統中需要保護的數據資產的風險情況,漏洞要素是信息系統涉及物理層、網絡層、系統層和應用層等各個層面的安全漏洞情況。
數網結合即結合“以網絡系統防護為核心的網絡安全”及“圍繞業務,以數據要素為核心的數據安全”,進行體系化風險防護。數網結合的風險防護包括威脅監測、數據安全治理、漏洞管理。威脅監測是對內外部的網絡攻擊威脅進行監測;數據安全治理是圍繞數據資產安全開展的相關分類分級、防護加固、使用監測、審計管理等工作;漏洞管理包括:漏洞監測、資產測繪、漏洞評估等工作。數網結合的目標是不間斷持續性收集獲取威脅、數據和漏洞情況,及時感知外部威脅變化和內部業務變化等情況,及時發現并掌握風險的特征、危害等,開展持續性的安全響應。
根據數字政府的建設情況,重視重點區域、重要安全能力的部署。提升一體化基礎設施底座安全,采用零信任安全架構,強化政務應用與數據的訪問控制能力。加強數據應用及共享安全,圍繞并豐富數據應用場景,保障數據全生命周期安全。基于人工智能、動態分析等技術,加強服務終端的安全檢測分析和安全防護能力。
(三)推進“政企結合,協同共享”的聯動防護機制
數字政府打通各層級、各地區、各部門、各業務、各系統的交流協作渠道,也相應帶來了安全防護對象的多樣性、邊界的模糊性、范圍聯系擴大性以及相關方的復雜性,數字政府基礎設施與網絡空間其他網絡資源產生越來越多的交互聯動。因此需要加強政府部門與各方企業的合作,打通對云計算、大數據、物聯網、移動網等平臺的安全監測運營,推進安全預警協同共享,威脅情報實時互通,事件分析協作擴線,取證溯源互證確源,聯合產業相關方、用戶相關方、監管機構及其他相關方,通力合作,有機配合,基于安全產業生態提升安全防御、響應和恢復處理流程。形成一體化持續風險監測防御體系,為數字政府穩健發展保駕護航。
協同共享的聯動機制是持續監測落地實施的重要工作過程,旨在采用系統化方法落實具體的網絡安全運營工作,包括機構協同、人員協同、數據協同、設備協同等。機構協同要求數字政府建設、運行、防護涉及各公共部門,基礎設施建設運營涉及的企業組織,以及安全防護涉及的供應商之間進行信息共享、協同防御、事件處置等方面的深度合作。人員協同通過合理組織內部人員以及充分利用外部力量,提升組織應對網絡安全風險的能力。設備協同通過安全防御系統、設備之間的數據共享和設備聯動實現技術層面的全方位監測預警和協同防御。數據協同通過對安全事件告警、系統設備日志、威脅情報等安全相關數據的多層次綜合分析發現網絡安全風險,提升發現和抵御攻擊的效果。
面向數字政府的持續風險監測安全運營,圍繞數字政府建設要素進行體系化安全防御設計,建立協同聯動的持續性網絡安全防御陣地。在具體的數字政府網絡安全實踐過程中,還需要根據目標業務及組織特點,有針對性地調整相關防護內容和運營機制,更好地適應不同組織機構的切身安全需要。
