廣東省數(shù)字政府網(wǎng)絡(luò)安全評(píng)估體系與實(shí)踐

1 引言

《2020聯(lián)合國(guó)電子政務(wù)調(diào)查報(bào)告》顯示[1]，全球電子政務(wù)整體發(fā)展水平不斷提升，數(shù)字政府轉(zhuǎn)型快速推進(jìn)，在線政務(wù)服務(wù)水平普遍提高，數(shù)據(jù)治理框架不斷完善。隨著數(shù)字政府建設(shè)的不斷推進(jìn)和深化應(yīng)用，網(wǎng)絡(luò)安全面臨的風(fēng)險(xiǎn)和挑戰(zhàn)不斷增加。世界各國(guó)紛紛在國(guó)家戰(zhàn)略的要求和指導(dǎo)下制定了與互聯(lián)網(wǎng)相關(guān)的法律或命令，互聯(lián)網(wǎng)發(fā)展越早、越成熟的國(guó)家，對(duì)網(wǎng)絡(luò)安全的治理越關(guān)注，例如美國(guó)、日本已經(jīng)發(fā)布了國(guó)家級(jí)網(wǎng)絡(luò)安全戰(zhàn)略等[2]。

政府?dāng)?shù)字化轉(zhuǎn)型的本質(zhì)是推進(jìn)政務(wù)數(shù)據(jù)的整合、開放和共享[3]，然而政務(wù)業(yè)務(wù)和數(shù)據(jù)的融合加大了網(wǎng)絡(luò)安全防護(hù)的難度[4]，網(wǎng)絡(luò)安全治理成為我國(guó)數(shù)字政府建設(shè)的重點(diǎn)[5]。為了防范和化解廣東省數(shù)字政府網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，提高風(fēng)險(xiǎn)預(yù)見(jiàn)、預(yù)判能力，有必要對(duì)數(shù)字政府網(wǎng)絡(luò)安全防護(hù)現(xiàn)狀進(jìn)行評(píng)估，促進(jìn)全省各地市迭代建設(shè)網(wǎng)絡(luò)安全防護(hù)體系，提升整體安全防護(hù)能力。

2 數(shù)字政府面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析

隨著信息技術(shù)的快速發(fā)展、國(guó)際形勢(shì)的日趨復(fù)雜，網(wǎng)絡(luò)安全已成為我國(guó)面臨的極度復(fù)雜、極度現(xiàn)實(shí)、極度嚴(yán)峻的非傳統(tǒng)安全問(wèn)題。數(shù)字政府在網(wǎng)絡(luò)安全方面也隨之暴露出愈來(lái)愈多的風(fēng)險(xiǎn)隱患，其網(wǎng)絡(luò)平臺(tái)和信息系統(tǒng)中存有大量關(guān)于國(guó)家和政府機(jī)密的相關(guān)數(shù)據(jù)文件信息，存在系統(tǒng)破壞、數(shù)據(jù)竊取、信息泄露等安全風(fēng)險(xiǎn)。

從網(wǎng)絡(luò)安全管理的角度來(lái)看，數(shù)字政府存在內(nèi)部威脅和外部威脅[6]。如果地方政府沒(méi)有意識(shí)到網(wǎng)絡(luò)安全的重要性，就極容易在日常工作中忽視網(wǎng)絡(luò)安全管理的作用，出現(xiàn)員工操作失誤、機(jī)構(gòu)及服務(wù)提供商責(zé)任不清等很多非技術(shù)性的安全問(wèn)題。另外，病毒、黑客等外部網(wǎng)絡(luò)攻擊也占據(jù)了相當(dāng)大的比例，當(dāng)前，全國(guó)已有多個(gè)重要部門遭到勒索病毒的攻擊，損失嚴(yán)重，影響十分巨大。

從建設(shè)與運(yùn)營(yíng)的角度來(lái)看，數(shù)字政府網(wǎng)絡(luò)安全風(fēng)險(xiǎn)體現(xiàn)在以下多個(gè)方面：一是部分地方政府和相關(guān)部門的系統(tǒng)平臺(tái)建設(shè)僅停留在功能層面，缺乏網(wǎng)絡(luò)安全頂層設(shè)計(jì)和防護(hù)規(guī)劃，存在被非法入侵的隱患；二是對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施概念的理解不準(zhǔn)確，未能建立資產(chǎn)檔案，未落實(shí)強(qiáng)化核心人員管理、整體防護(hù)、監(jiān)測(cè)預(yù)警等重點(diǎn)保護(hù)措施，難以開展有針對(duì)性的安全建設(shè)工作；三是對(duì)大數(shù)據(jù)安全、云計(jì)算環(huán)境下“政企合作，管運(yùn)分離”的管理安全、數(shù)據(jù)上云后的“分確三權(quán)”等問(wèn)題關(guān)注不夠，導(dǎo)致大數(shù)據(jù)安全治理能力低下，這極大地威脅了政務(wù)數(shù)據(jù)安全[7]；四是監(jiān)控和監(jiān)測(cè)的全面性和及時(shí)性不到位，具體表現(xiàn)為安全監(jiān)測(cè)不成體系、監(jiān)測(cè)數(shù)據(jù)未能及時(shí)報(bào)送、數(shù)據(jù)備份與恢復(fù)測(cè)試不足、難以快速有效地做好應(yīng)急響應(yīng)以保障業(yè)務(wù)連續(xù)性；五是多采用被動(dòng)的網(wǎng)絡(luò)安全防御機(jī)制，對(duì)政務(wù)系統(tǒng)平臺(tái)遭受網(wǎng)絡(luò)攻擊的預(yù)測(cè)和風(fēng)險(xiǎn)分析缺乏實(shí)時(shí)、定量的數(shù)據(jù)計(jì)算分析手段。

3 數(shù)字政府網(wǎng)絡(luò)安全指數(shù)評(píng)估

“十三五”期間，廣東省率先開展數(shù)字政府建設(shè)，連續(xù)兩年在省級(jí)政府網(wǎng)上政務(wù)服務(wù)能力指數(shù)評(píng)估中位列全國(guó)第一。與此同時(shí)，廣東省政務(wù)外網(wǎng)時(shí)刻面臨著安全威脅，這對(duì)數(shù)字政府網(wǎng)絡(luò)安全工作提出了更高的要求。為了實(shí)現(xiàn)數(shù)字政府網(wǎng)絡(luò)安全工作由“看不見(jiàn)、摸不著”向“可量化、可評(píng)估”轉(zhuǎn)變，由廣東省政務(wù)服務(wù)數(shù)據(jù)管理局牽頭組織、工業(yè)和信息化部電子第五研究所負(fù)責(zé)、華為技術(shù)有限公司等多個(gè)單位共同參與，設(shè)計(jì)并構(gòu)建了數(shù)字政府網(wǎng)絡(luò)安全指數(shù)評(píng)估指標(biāo)體系，針對(duì)廣東省21個(gè)地市開展第三方評(píng)估。

3.1 評(píng)估原則

● 客觀性。本次評(píng)估依托網(wǎng)絡(luò)安全監(jiān)管部門掌握的與數(shù)字政府安全相關(guān)的監(jiān)管數(shù)據(jù)、網(wǎng)絡(luò)安全廠商及互聯(lián)網(wǎng)公司掌握的地區(qū)安全大數(shù)據(jù)、“粵盾”數(shù)字政府實(shí)戰(zhàn)攻防演練結(jié)果數(shù)據(jù)，采用定量和定性相結(jié)合的分析方法，對(duì)全省各地市數(shù)字政府的網(wǎng)絡(luò)安全管理、安全建設(shè)、安全運(yùn)營(yíng)、安全效果等方面進(jìn)行評(píng)價(jià)，客觀科學(xué)地反映各地市數(shù)字政府網(wǎng)絡(luò)安全的整體防護(hù)水平。

● 導(dǎo)向性。本次評(píng)估以“責(zé)任明確、保障有力、安全合規(guī)、重點(diǎn)到位、協(xié)同有效”為導(dǎo)向，通過(guò)建立指標(biāo)體系，全面評(píng)價(jià)各地市數(shù)字政府的網(wǎng)絡(luò)安全水平，引導(dǎo)、鼓勵(lì)各地市持續(xù)加強(qiáng)網(wǎng)絡(luò)安全體系建設(shè)，推動(dòng)全省數(shù)字政府網(wǎng)絡(luò)安全建設(shè)邁向新階段、實(shí)現(xiàn)新躍升。

● 實(shí)效性。本次評(píng)估按照“以評(píng)促管、以評(píng)促建、以評(píng)促改”的原則，注重?cái)?shù)字政府網(wǎng)絡(luò)安全管理、建設(shè)、運(yùn)營(yíng)的實(shí)際成效，幫助各地市全面掌握當(dāng)前數(shù)字政府安全現(xiàn)狀，發(fā)現(xiàn)存在的問(wèn)題，找到解決方案，快速提升網(wǎng)絡(luò)安全整體水平，形成“執(zhí)行-評(píng)估-反饋-改進(jìn)”的管理模式。

3.2 評(píng)估指標(biāo)體系

數(shù)字政府網(wǎng)絡(luò)安全指數(shù)評(píng)估指標(biāo)體系從安全管理、安全建設(shè)、安全運(yùn)營(yíng)、安全效果4個(gè)方面進(jìn)行評(píng)價(jià)[8-9]，包含24個(gè)二級(jí)指標(biāo)，三級(jí)指標(biāo)為具體評(píng)估要點(diǎn)，共70項(xiàng)。前兩級(jí)指標(biāo)體系如圖1所示。

（1）安全管理

安全管理方面包含安全戰(zhàn)略規(guī)劃、安全政策規(guī)范、安全意識(shí)、安全投入、安全管理組織、安全管理人員、供應(yīng)鏈安全管理，涉及戰(zhàn)略、政策、意識(shí)、投入、組織、人員等管理工作的眾多要素。

圖1 數(shù)字政府網(wǎng)絡(luò)安全指數(shù)評(píng)估指標(biāo)體系

（2）安全建設(shè)

安全建設(shè)方面包含信息資產(chǎn)管理、網(wǎng)絡(luò)安全等級(jí)保護(hù)、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)、數(shù)據(jù)安全保護(hù)、服務(wù)支撐體系，重點(diǎn)是摸底，有針對(duì)性地開展安全建設(shè)工作。

（3）安全運(yùn)營(yíng)

安全運(yùn)營(yíng)方面包含安全運(yùn)行維護(hù)、安全風(fēng)險(xiǎn)識(shí)別、安全監(jiān)控與監(jiān)測(cè)、應(yīng)急響應(yīng)與處置、業(yè)務(wù)連續(xù)性保障、安全協(xié)同情況，重點(diǎn)是及時(shí)、全面地了解安全事件，控制安全風(fēng)險(xiǎn)，做好應(yīng)急響應(yīng)。

（4）安全效果

安全效果方面包含安全漏洞情況、安全事件情況、主機(jī)安全情況、移動(dòng)終端安全情況、桌面終端安全情況、專項(xiàng)檢查結(jié)果，側(cè)重從結(jié)果的角度進(jìn)行評(píng)價(jià)，反映數(shù)字政府在安全管理、安全建設(shè)及安全運(yùn)營(yíng)等方面實(shí)施的效果和價(jià)值。

3.3 評(píng)估數(shù)據(jù)來(lái)源

本次評(píng)估的數(shù)據(jù)采集對(duì)象涵蓋全省21個(gè)地市政府部門，涉及各地市政務(wù)云平臺(tái)、大數(shù)據(jù)中心、官方網(wǎng)站及重要政務(wù)應(yīng)用等。數(shù)據(jù)來(lái)源主要為：?jiǎn)柧碚{(diào)研，數(shù)字政府安全運(yùn)營(yíng)數(shù)據(jù)，網(wǎng)絡(luò)安全監(jiān)管部門的監(jiān)管數(shù)據(jù)，網(wǎng)絡(luò)安全廠商、互聯(lián)網(wǎng)公司、科研機(jī)構(gòu)掌握的安全大數(shù)據(jù)。

本次評(píng)估對(duì)全省21個(gè)地市在數(shù)字政府網(wǎng)絡(luò)安全管理、建設(shè)、運(yùn)營(yíng)、效果等方面進(jìn)行了調(diào)研，采集了21個(gè)評(píng)估對(duì)象涉及的人員、機(jī)構(gòu)、制度、經(jīng)費(fèi)、系統(tǒng)，以及安全運(yùn)行維護(hù)、安全大數(shù)據(jù)監(jiān)測(cè)、安全應(yīng)急與通報(bào)、攻防演練等相關(guān)數(shù)據(jù)約4.4萬(wàn)項(xiàng)。

3.4 評(píng)估結(jié)果

數(shù)字政府網(wǎng)絡(luò)安全指數(shù)評(píng)估總分為100分，其中安全管理為25分、安全建設(shè)為20分、安全運(yùn)營(yíng)為25分、安全效果為30分。為了驗(yàn)證評(píng)估指標(biāo)體系的可行性和有效性，本文選取廣東省21個(gè)地市開展試點(diǎn)評(píng)估。

通過(guò)評(píng)估，獲得了較為完備的試點(diǎn)地市數(shù)字政府網(wǎng)絡(luò)安全狀況的數(shù)據(jù)，各地市一級(jí)指標(biāo)指數(shù)和總體指數(shù)得分及排名情況如圖2所示。

整體來(lái)看，全省數(shù)字政府網(wǎng)絡(luò)安全指數(shù)平均值為53.81，仍有較大的提升空間。深圳、廣州、東莞、佛山、珠海、江門、汕頭、惠州8個(gè)地市得分高于平均值，占比38.1%。其中，深圳以總體指數(shù)得分73.99居全省榜首，廣州、東莞、佛山、珠海分列第2～5名，總體指數(shù)得分分別為71.01、68.71、66.64、62.59。結(jié)合2020年前三季度GDP來(lái)看，各地市數(shù)字政府網(wǎng)絡(luò)安全指數(shù)排名基本與GDP排名一致，但也存在GDP數(shù)據(jù)與安全指數(shù)得分倒掛的情況。

4 評(píng)估發(fā)現(xiàn)與展望

4.1 評(píng)估發(fā)現(xiàn)

2020年，廣東省各地市數(shù)字政府網(wǎng)絡(luò)安全指數(shù)評(píng)估指標(biāo)體系初步建立，在安全管理、安全建設(shè)、安全運(yùn)營(yíng)等方面持續(xù)推進(jìn)，并取得了一定成效。但從評(píng)估結(jié)果來(lái)看，當(dāng)前網(wǎng)絡(luò)安全工作存在諸多不足，整體安全能力仍需進(jìn)一步提升。

評(píng)估發(fā)現(xiàn)，全省大部分地市制定了網(wǎng)絡(luò)安全總體規(guī)劃或制度規(guī)范，建立了網(wǎng)絡(luò)安全工作管理機(jī)構(gòu)，但在實(shí)際工作中對(duì)網(wǎng)絡(luò)安全重視不足，責(zé)任劃分不夠明確；各地市數(shù)字政府網(wǎng)絡(luò)安全建設(shè)高度重視安全合規(guī)工作，積極貫徹落實(shí)等級(jí)保護(hù)制度，普遍采購(gòu)風(fēng)險(xiǎn)評(píng)估、等保測(cè)評(píng)等基礎(chǔ)安全服務(wù)，但安全建設(shè)還不扎實(shí)，安全工作仍有不足；大部分地市定期開展網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估，持續(xù)推進(jìn)政務(wù)系統(tǒng)安全巡檢和防護(hù)策略升級(jí)，初步實(shí)現(xiàn)了網(wǎng)絡(luò)安全運(yùn)營(yíng)工作的上下協(xié)同，但網(wǎng)絡(luò)安全運(yùn)營(yíng)能力和運(yùn)行機(jī)制還不健全；2020年各地市被監(jiān)管機(jī)構(gòu)通報(bào)的高中危漏洞數(shù)量相比2019年明顯下降，數(shù)字政府未發(fā)生較大及以上等級(jí)的網(wǎng)絡(luò)安全事件，但在“粵盾”2020數(shù)字政府網(wǎng)絡(luò)安全攻防演練活動(dòng)中，各地市暴露了大量安全隱患。

圖2 廣東省各地市數(shù)字政府網(wǎng)絡(luò)安全指數(shù)排名

4.2 工作展望

數(shù)字政府的高質(zhì)量發(fā)展需要不斷優(yōu)化的安全治理架構(gòu)和堅(jiān)實(shí)的網(wǎng)絡(luò)安全防護(hù)能力體系支撐。廣東省要做好數(shù)字政府改革建設(shè)工作，必須夯實(shí)數(shù)字政府網(wǎng)絡(luò)安全基礎(chǔ)，構(gòu)建完善的網(wǎng)絡(luò)安全防護(hù)體系，持續(xù)提升網(wǎng)絡(luò)安全防護(hù)能力。

建議全省各地各部門重視網(wǎng)絡(luò)安全規(guī)劃，加強(qiáng)安全管理，構(gòu)建高效、協(xié)同的安全管理體系；明確安全責(zé)任分工，強(qiáng)化安全建設(shè)、運(yùn)營(yíng)過(guò)程監(jiān)督管理，形成規(guī)劃設(shè)計(jì)、建設(shè)運(yùn)行、監(jiān)督評(píng)價(jià)和持續(xù)改進(jìn)的良性循環(huán)；建立健全數(shù)字政府信息資產(chǎn)發(fā)現(xiàn)、跟蹤、管理機(jī)制，加強(qiáng)資產(chǎn)管理，聚焦數(shù)據(jù)安全，做好數(shù)據(jù)分類分級(jí)及全生命周期安全管理工作；做好安全監(jiān)測(cè)預(yù)警，完善預(yù)警通報(bào)機(jī)制，健全安全應(yīng)急處置機(jī)制，確保數(shù)字政府安全穩(wěn)定運(yùn)行；發(fā)展完善數(shù)字政府網(wǎng)絡(luò)安全產(chǎn)業(yè)生態(tài)，促進(jìn)技術(shù)交流與合作，打造優(yōu)勢(shì)互補(bǔ)的網(wǎng)絡(luò)安全能力體系；加大安全投入，落實(shí)資源保障，將安全指數(shù)評(píng)估納入績(jī)效考核，形成常態(tài)化績(jī)效考核機(jī)制。

5 結(jié)束語(yǔ)

本文介紹了數(shù)字政府網(wǎng)絡(luò)安全面臨的主要風(fēng)險(xiǎn)，提出了數(shù)字政府網(wǎng)絡(luò)安全指數(shù)評(píng)估指標(biāo)體系，遵從客觀性、導(dǎo)向性、實(shí)效性等原則，從安全管理、安全建設(shè)、安全運(yùn)營(yíng)、安全效果4個(gè)方面對(duì)廣東省21個(gè)地市的數(shù)字政府網(wǎng)絡(luò)安全防護(hù)工作進(jìn)行了評(píng)估，提出了評(píng)估工作中發(fā)現(xiàn)的各地市數(shù)字政府網(wǎng)絡(luò)安全防護(hù)工作現(xiàn)狀，并對(duì)未來(lái)整體安全防護(hù)工作進(jìn)行了展望，旨在促進(jìn)各地、各部門不斷提升數(shù)字政府整體安全防護(hù)水平，為相關(guān)決策制定提供參考。

本次評(píng)估工作是創(chuàng)新性的工作探索，后續(xù)將持續(xù)優(yōu)化指數(shù)評(píng)估工作，完善指標(biāo)體系和評(píng)估方法，增加可信數(shù)據(jù)來(lái)源，提升數(shù)據(jù)準(zhǔn)確性、及時(shí)性和全面性，為數(shù)字政府安全建設(shè)提供有力支撐。