數字政府網絡安全體系建設的實踐與思考
近年來,各地各部門深入貫徹網絡強國、數字中國戰略,積極探索數字技術與政府管理有機結合,整合平臺與系統資源,提高群眾、企業辦事效率,取得了初步成效,各地各部門的良好實踐可以總結為“數字政府 1.0”時代。2022 年 6 月 6 日,國務院正式印發《關于加強數字政府建設的指導意見》,首次在國家層面形成了數字政府的頂層規劃,全面開創了數字政府建設的新時代。本文從廣東數字政府構建數字政府網絡安全體系建設的工作實踐出發,分析當前數字政府網絡安全工作的現狀、問題,并就數字政府跨越進入新時代如何動態、發展地推動數字政府網絡安全體系建設提出思考和建議。
一、數字政府構建網絡安全體系的工作實踐
2018 年,廣東正式印發數字政府改革建設總體規劃,率先啟動數字政府改革建設,核心思想就是按照“政企合作、管運分離”模式,將海量應用接入平臺,匯聚融合涵蓋個人和政府敏感信息的海量數據,讓群眾、企業“零跑腿”,充分享受改革成果。遇到的突出問題就是各個政府職能部門的系統整合、數據匯聚后帶來的網絡安全、數據安全風險呈現指數級的增長。廣東省委省政府高度重視此問題,始終將網絡安全視為數字政府改革建設的生命線,數字政府網絡安全體系建設已經成為推進數字政府改革建設發展的“燃眉之急”,同步規劃、構建數字政府網絡安全體系勢在必行。
(一)堅持目標導向,以總體規劃牽引構建數字政府網絡安全體系的“四梁八柱”
廣東省整合國內優勢力量,聯合中科院信工所、公安部第三研究所、工信部電子五所以及國內頂尖安全公司、互聯網龍頭企業組建 30 多人的專家團隊,歷時 3 個月左右時間,通過現場走訪、問卷調查、集中研討等多種方式深入開展調研,掌握第一手資料。通過梳理發現,由于前期數字政府建設主要精力集中于理順機制體制和“上業務、建平臺”等基礎性、應急性工作,導致網絡安全體系建設缺少頂層規劃設計;數字政府采用“政企合作、管運分離”建設模式,由于大量信息系統遷移上云,安全的權責歸屬發生變化,導致網絡安全責任邊界不夠清晰;前期在“數字政府”規劃、建設、運營等環節存在“重技術、輕管理”問題,導致各環節各部門缺乏完整的網絡安全管理制度;近年來國內外出現的多起網絡安全突發事件,進一步凸顯“數字政府”建設應對網絡安全突發事件的應急響應預案及協同聯動機制存在薄弱環節。為解決以上問題,廣東編制出臺了全國首個省級數字政府網絡安全體系建設總體規劃——《廣東省數字政府網絡安全體系建設總體規劃(2019-2021 年)》。總體規劃以“統籌、集約、動態、科學、可控”為理念,構建貫穿設計、建設、運營、管理、監督不同階段,覆蓋基礎設施、網絡、系統、數據和平臺等全要素空間的多層次、多維度、主被動相結合的網絡空間安全體系。通過建立完善“安全管理、安全技術、安全監管、安全運營”等四大體系,搭建網絡安全體系建設總體框架,重點在政務云平臺、大數據中心、政務應用等三個核心應用場景落地實施,來全面提升數字政府政務系統的監測預警、縱深防御、風險管控和應急處置能力。總體規劃配套編制了實施方案,提出用 3 年時間,完成網絡安全組織管理、技術防護、監測預警、應急處置、安全保密監管、培訓教育與評估等 22 項具體目標任務,推進廣東數字政府網絡安全體系建設實現“四個轉變”,即安全權責不清向責任明確轉變(明確責任邊界),網絡安全防護從分散向集中轉變(突出整體防護),安全建設思想從外掛向內置轉變(強調內生安全、安全左移),風險防御手段從被動向主動轉變(多維主動防御)。目前,廣東省已經建設了數字政府密碼資源池、政務云安全資源池,建立了涵蓋網信、公安及國內頂尖安全公司信息共享互通的統一威脅情報平臺。信息系統上云前風險評估、人員意識教育與技能培訓、省市一體化安全運營、網絡安全“110”應急處置等工作體系已經順暢運行,有效形成了數字政府網絡安全工作閉環。
(二)堅持責任導向,以機制建設推動數字政府網絡安全體系落地見效
廣東數字政府網絡安全工作堅持高位推動,省主要領導親自研究部署,分管省領導具體抓,按照“一崗雙責”,管業務必須管安全,堅決破除“安全是少數幾個專業人員的事,與業務無關”的錯誤思想,全面落實黨委(黨組)網絡安全工作責任制。首先,廣東省數字政府改革建設領導小組審議通過了總體規劃,明確數字政府網絡安全工作由省政務服務數據管理局統籌協調。在此基礎上,廣東省政務服務數據管理局牽頭,聯合省委網信辦、省委編辦、省密碼管理局、 省保密局、省公安廳、省通信管理局等部門聯合印發了《廣東省電子政務外網網絡安全管理辦法》,進一步明確網絡安全監管部門、政務系統主管單位、數字政府建設運營中心的安全職責,建立了多部門聯合檢查機制。
其次,省政務服務數據管理局把牢政務信息化項目審核關,通過出臺政務信息化項目的若干管理辦法、細則,加強信創、密碼和網絡安全的技術審核,嚴格組織開展信創技術和商密應用安全前置審核,不符合國家相關法規政策要求一律退回不予受理;規定信息系統立項必須明確等保定級,網絡安全資金投入比例不少于 5%—10 %;項目驗收必須出具等保(分保)測評報告,不斷壓實業務主管部門的安全責任。
再次,省政務服務數據管理局牽頭建立三項安全管理工作機制:1.將數字政府安全工作納入省委網信委工作議事協調機制和聯防聯控機制,建立數字政府安全保密聯合工作站,解決涉及數字政府的重大網絡安全問題;2. 建立了一體化安全運營日報、周報、月報機制,及時通報相關安全漏洞,組織開展核查整改,及時消除風險隱患;3. 圍繞核心數據安全問題,建立了省政務大數據中心“建設運營方安全自查、數據管理方安全監查、審計方安全審計”的數據安全治理機制,推動建設運營方開展全員背景調查、簽署保密協議,編制 35 項安全防護工作規范,運用商密技術對核心數據和關鍵場景進行管控。推動數據管理方編制11 項數據安全管理規范和作業規程,加強數據全流程安全合規管理,有效避免數據濫用和超范圍共享、應用。推動數據審計方梳理 301 個數據安全審計點和 143 個網絡安全審計點,組織開展月度審計和專項審計,督促建設運營方和數據管理方落實各項數據安全工作的具體要求。
經過幾年的不斷實踐,省級各部門網絡安全工作的協調聯動,省直單位如交通、教育、衛健等部門抓行業網絡安全責任的落實,省市之間信息通報與工作協同等工作逐年取得了新進展,重要核心政務網絡和信息系統的健壯性、高可用性、安全性不斷提升,粵康碼每天亮碼最高峰超過 2.6 億次,為廣東數字化疫情防控工作提供堅強有力保障。
(三)堅持問題導向,以考核評估發現問題倒逼各地各部門主動發力
在省委、省政府的正確領導下,廣東數字政府網絡安全工作先后納入了黨委(黨組)網絡安全工作責任制考核、全省數字政府改革建設工作評價、單位年度工作績效考核,通過考核評估倒逼責任落地和能力提升。首先,在國辦電子政務辦、公安部網安局指導下,廣東省連續兩年組織開展“粵盾”廣東省數字政府網絡安全攻防實戰演練,在安全可控的環境下,組織數百人的白帽子團隊,對全省上萬個政務信息系統進行實地、實兵、實網攻擊,發現并清除了上千個安全隱患,全面體檢了政務網絡和平臺的安全防護能力。目前,粵盾攻防演練已形成“演練前抓教育培訓、巡檢排查、應急預案,演練中抓攻防對抗、應急處置、追蹤溯源,演練后抓結果通報、復盤總結、考核評價”的整體工作機制,為快速處置大面積政務網絡攻擊積累了經驗。其次,為了推動數字政府網絡安全工作“可量化、可評估”,2020 年,廣東省發布了全國首個體系化、可落地的省級數字政府網絡安全指數《2020 廣東省數字政府網絡安全指數評估報告》。安全指數設計了 4 個一級指標、24 個二級指標,70 個評估項,從安全管理、安全建設、安全運營、安全效果四個維度,采集了全省 21 個地市 4.4 萬項數據并建模分析,形成評估結果。2021 年,為進一步推動數字政府網絡安全指數評估工作標準化,廣東省組織國內 21 家頂尖網絡安全廠商、互聯網公司、高校和科研院所,充分參考美國國家標準與技術研究院(NIST)網絡安全框架、信息安全管理體系(ISO 27001)標準、等級保護安全技術設計框架等成熟模型,結合《網絡安全法》《密碼法》《數據安全法》《關鍵信息基礎設施安全保護條例》《個人信息保護法》等法律法規的要求,編制印發了《廣東省數字政府網絡安全指數指標體系》標準。在一級指標不變,二級指標微調的基礎上,將指標評估項由 70 個增加到 103 個,采集相關數據達到 6.6 萬項(增加約50% 的數據量),最終整理形成了 2021 年度廣東省數字政府網絡安全指數評估結果。再次,廣東省加強“粵盾”攻防演練、網絡安全指數評估和網絡安全考核的“三方聯動”。“粵盾”攻防演練結果納入網絡安全指數評估的重要內容,網絡安全指數評估的結果又納入各地黨委一把手落實網絡安全工作責任制考核的重要組成部分。這種“三方聯動”“一環扣一環”的做法,客觀上倒逼各地各部門高度重視網絡安全問題的發現和整改,成為提高數字政府安全治理能力的“助推器”。
二、數字政府新時代構建網絡安全體系的幾點思考
當今世界正經歷百年未有之大變局,國際國內復雜嚴峻形勢與當前新冠疫情防控工作交織疊加,網絡安全風險正在向其他傳統安全和非傳統安全風險滲透、傳遞、轉化和疊加,網絡安全已經成為總體國家安全觀不可或缺的組成部分。數字政府建設必須以國家《關于加強數字政府建設的指導意見》為指導方向,一方面在“打造泛在普惠數字化服務體系,以數字化改革助力政府職能轉變,構建協同高效的政府數字化履職能力體系,健全科學規范的數字政府建設制度體系”等方面進一步深化拓展。更為重要的是,針對“數據”作為新的生產要素,提出了依法依規促進數據高效共享和有序開發利用,核心是推動數據要素市場化配置改革工作。最后,強調把堅持和加強黨的全面領導貫穿數字政府建設各領域各環節,堅持正確政治方向,要求始終繃緊數據安全這根弦,加快構建數字政府全方位安全保障體系,全面強化數字政府安全管理責任。這些要點對如何構建數字政府新時代的網絡安全體系提出了新的更高要求。與此同時,我們必須清醒地認識到,當前數字政府網絡安全體系建設仍然存在諸多深層次問題與挑戰,如網絡安全管理工作的體系化、標準化、規范化程度不高,部分人員網絡安全意識淡漠,網絡安全工作“說起來重要、忙起來不要”,統籌協調難度大;網絡安全、數據安全技術體系基礎薄弱、能力分散、人才匱乏,難以形成合力;網絡安全工作“看不見、摸不著”,工作成效的評價體系缺失,權責不對等,缺乏激勵機制等。結合以上內容,關于新時期數字政府網絡安全體系建設有以下幾點思考和建議。
(一)強化國家級網絡安全頂層規劃和統籌協調,構建關鍵性、基礎性安全能力
首先,建議加快國家級網絡安全基礎設施的設計、部署,如國家級可信身份認證基礎設施、國家級網絡靶場、國家級威脅情報庫(病毒庫、漏洞庫)等,為各地構建數字政府網絡安全體系提供底層能力支撐。其次,建議加強國家政務骨干網絡與各省、市、縣、鎮(村)的統一接入和安全管理,收緊各級政務外網的互聯網出口,強化國家與省、省與省、省與市之間必要的網絡隔離,有效避免“一點突破,全網淪陷”的狀況。再次,建議加強國家商用密碼技術應用。廣東在前期開展國家首批政務云密碼資源池試點的基礎上,總結了一系列密碼應用的難點痛點問題,研究制定了《數字政府密碼應用支撐能力清單》,正在探索建立政務信息化項目密碼應用服務目錄,以商密資源池市場化運作模式,讓有能力的集成商、密碼產品商脫穎而出,破解數字政府密碼應用“不會用、用不了、用不好”的問題。最后,建議在網絡安全能力體系中增加“技術自主可控度”的 評估,即評估提供網絡安全核心關鍵能力的產品是否滿足信息技術應用創新的要求,解決整個體系特別是關鍵環節可能出現“卡脖子”問題的困境。
(二)強化整體分層設計和部署實施,夯實推動數據要素發展的安全基座
數據已經成為國家基礎性和戰略性資源。數字政府新時代的核心就是將數據要素像黃金、石油一樣寶貴的價值挖掘出來并充分利用,帶來的必然是對數據安全保護更廣泛、更全面的思考。
建議分三個層次來考量數字政府面臨的數據安全問題。第一個層次是從國家安全、整體安全、大安全的視角來謀劃數字政府數據安全的責任體系、整體策略、邊界范圍、風險底線,核心是責任清晰、機制順暢、預案完備、處置高效。第二個層次是數據采集、傳輸、存儲、處理、交換、銷毀等全生命周期的安全問題,核心是防數據泄露、防數據擦除、防數據濫用。第三個層次是加強個人隱私保護的問題,核心是保障公民對政府掌握的個人隱私信息相關數據的知情權、授權許可訪問權、刪除權,政府承擔的更多是類似銀行金庫的職責,即涉及個人隱私數據應當得到本人授權、一事一授權,且做好必要的數據脫敏工作。
(三)強化數字政府改革建設引領作用,帶動網絡安全產業發展
網絡安全的本質是對抗 , 對抗的本質是攻防兩端能力較量。這決定了數字政府網絡安全工作是動態的、發展的,核心在“人才”、在“場景”、在“產業”。建議要緊緊抓住數字政府體制機制創新帶來的重大發展機遇,充分發揮數字政府改革建設“頭雁”效應,通過組建數字政府網絡安全產業聯盟,凝聚互聯網公司、安全企業、高校、研究機構、應用單位等各方優勢力量,對標國際先進水平,將“政、產、學、研、用”貫穿一體、緊密結合,建立標準先行、技術領先、產業完整的安全生態,多層次培養網絡安全人才,聚焦5G、大數據、云計算、人工智能、物聯網、數字孿生、智慧社區等數字政府核心場景和關鍵技術,不斷推出政務網絡安全和數據安全問題的最新最優解決方案,進一步完善網絡安全體系建設,有效提升數字政府整體安全防護水平。
