近年来,各地各部门深入贯彻网络强国、数字中国战略,积极探索数字技术与政府管理有机结合,整合平台与系统资源,提高群众、企业办事效率,取得了初步成效,各地各部门的良好实践可以总结为“数字政府 1.0”时代。2022 年 6 月 6 日,国务院正式印发《关于加强数字政府建设的指导意见》,首次在国家层面形成了数字政府的顶层规划,全面开创了数字政府建设的新时代。本文从广东数字政府构建数字政府网络安全体系建设的工作实践出发,分析当前数字政府网络安全工作的现状、问题,并就数字政府跨越进入新时代如何动态、发展地推动数字政府网络安全体系建设提出思考和建议。
一、数字政府构建网络安全体系的工作实践
2018 年,广东正式印发数字政府改革建设总体规划,率先启动数字政府改革建设,核心思想就是按照“政企合作、管运分离”模式,将海量应用接入平台,汇聚融合涵盖个人和政府敏感信息的海量数据,让群众、企业“零跑腿”,充分享受改革成果。遇到的突出问题就是各个政府职能部门的系统整合、数据汇聚后带来的网络安全、数据安全风险呈现指数级的增长。广东省委省政府高度重视此问题,始终将网络安全视为数字政府改革建设的生命线,数字政府网络安全体系建设已经成为推进数字政府改革建设发展的“燃眉之急”,同步规划、构建数字政府网络安全体系势在必行。
(一)坚持目标导向,以总体规划牵引构建数字政府网络安全体系的“四梁八柱”
广东省整合国内优势力量,联合中科院信工所、公安部第三研究所、工信部电子五所以及国内顶尖安全公司、互联网龙头企业组建 30 多人的专家团队,历时 3 个月左右时间,通过现场走访、问卷调查、集中研讨等多种方式深入开展调研,掌握第一手资料。通过梳理发现,由于前期数字政府建设主要精力集中于理顺机制体制和“上业务、建平台”等基础性、应急性工作,导致网络安全体系建设缺少顶层规划设计;数字政府采用“政企合作、管运分离”建设模式,由于大量信息系统迁移上云,安全的权责归属发生变化,导致网络安全责任边界不够清晰;前期在“数字政府”规划、建设、运营等环节存在“重技术、轻管理”问题,导致各环节各部门缺乏完整的网络安全管理制度;近年来国内外出现的多起网络安全突发事件,进一步凸显“数字政府”建设应对网络安全突发事件的应急响应预案及协同联动机制存在薄弱环节。为解决以上问题,广东编制出台了全国首个省级数字政府网络安全体系建设总体规划——《广东省数字政府网络安全体系建设总体规划(2019-2021 年)》。总体规划以“统筹、集约、动态、科学、可控”为理念,构建贯穿设计、建设、运营、管理、监督不同阶段,覆盖基础设施、网络、系统、数据和平台等全要素空间的多层次、多维度、主被动相结合的网络空间安全体系。通过建立完善“安全管理、安全技术、安全监管、安全运营”等四大体系,搭建网络安全体系建设总体框架,重点在政务云平台、大数据中心、政务应用等三个核心应用场景落地实施,来全面提升数字政府政务系统的监测预警、纵深防御、风险管控和应急处置能力。总体规划配套编制了实施方案,提出用 3 年时间,完成网络安全组织管理、技术防护、监测预警、应急处置、安全保密监管、培训教育与评估等 22 项具体目标任务,推进广东数字政府网络安全体系建设实现“四个转变”,即安全权责不清向责任明确转变(明确责任边界),网络安全防护从分散向集中转变(突出整体防护),安全建设思想从外挂向内置转变(强调内生安全、安全左移),风险防御手段从被动向主动转变(多维主动防御)。目前,广东省已经建设了数字政府密码资源池、政务云安全资源池,建立了涵盖网信、公安及国内顶尖安全公司信息共享互通的统一威胁情报平台。信息系统上云前风险评估、人员意识教育与技能培训、省市一体化安全运营、网络安全“110”应急处置等工作体系已经顺畅运行,有效形成了数字政府网络安全工作闭环。
(二)坚持责任导向,以机制建设推动数字政府网络安全体系落地见效
广东数字政府网络安全工作坚持高位推动,省主要领导亲自研究部署,分管省领导具体抓,按照“一岗双责”,管业务必须管安全,坚决破除“安全是少数几个专业人员的事,与业务无关”的错误思想,全面落实党委(党组)网络安全工作责任制。首先,广东省数字政府改革建设领导小组审议通过了总体规划,明确数字政府网络安全工作由省政务服务数据管理局统筹协调。在此基础上,广东省政务服务数据管理局牵头,联合省委网信办、省委编办、省密码管理局、 省保密局、省公安厅、省通信管理局等部门联合印发了《广东省电子政务外网网络安全管理办法》,进一步明确网络安全监管部门、政务系统主管单位、数字政府建设运营中心的安全职责,建立了多部门联合检查机制。
其次,省政务服务数据管理局把牢政务信息化项目审核关,通过出台政务信息化项目的若干管理办法、细则,加强信创、密码和网络安全的技术审核,严格组织开展信创技术和商密应用安全前置审核,不符合国家相关法规政策要求一律退回不予受理;规定信息系统立项必须明确等保定级,网络安全资金投入比例不少于 5%—10 %;项目验收必须出具等保(分保)测评报告,不断压实业务主管部门的安全责任。
再次,省政务服务数据管理局牵头建立三项安全管理工作机制:1.将数字政府安全工作纳入省委网信委工作议事协调机制和联防联控机制,建立数字政府安全保密联合工作站,解决涉及数字政府的重大网络安全问题;2. 建立了一体化安全运营日报、周报、月报机制,及时通报相关安全漏洞,组织开展核查整改,及时消除风险隐患;3. 围绕核心数据安全问题,建立了省政务大数据中心“建设运营方安全自查、数据管理方安全监查、审计方安全审计”的数据安全治理机制,推动建设运营方开展全员背景调查、签署保密协议,编制 35 项安全防护工作规范,运用商密技术对核心数据和关键场景进行管控。推动数据管理方编制11 项数据安全管理规范和作业规程,加强数据全流程安全合规管理,有效避免数据滥用和超范围共享、应用。推动数据审计方梳理 301 个数据安全审计点和 143 个网络安全审计点,组织开展月度审计和专项审计,督促建设运营方和数据管理方落实各项数据安全工作的具体要求。
经过几年的不断实践,省级各部门网络安全工作的协调联动,省直单位如交通、教育、卫健等部门抓行业网络安全责任的落实,省市之间信息通报与工作协同等工作逐年取得了新进展,重要核心政务网络和信息系统的健壮性、高可用性、安全性不断提升,粤康码每天亮码最高峰超过 2.6 亿次,为广东数字化疫情防控工作提供坚强有力保障。
(三)坚持问题导向,以考核评估发现问题倒逼各地各部门主动发力
在省委、省政府的正确领导下,广东数字政府网络安全工作先后纳入了党委(党组)网络安全工作责任制考核、全省数字政府改革建设工作评价、单位年度工作绩效考核,通过考核评估倒逼责任落地和能力提升。首先,在国办电子政务办、公安部网安局指导下,广东省连续两年组织开展“粤盾”广东省数字政府网络安全攻防实战演练,在安全可控的环境下,组织数百人的白帽子团队,对全省上万个政务信息系统进行实地、实兵、实网攻击,发现并清除了上千个安全隐患,全面体检了政务网络和平台的安全防护能力。目前,粤盾攻防演练已形成“演练前抓教育培训、巡检排查、应急预案,演练中抓攻防对抗、应急处置、追踪溯源,演练后抓结果通报、复盘总结、考核评价”的整体工作机制,为快速处置大面积政务网络攻击积累了经验。其次,为了推动数字政府网络安全工作“可量化、可评估”,2020 年,广东省发布了全国首个体系化、可落地的省级数字政府网络安全指数《2020 广东省数字政府网络安全指数评估报告》。安全指数设计了 4 个一级指标、24 个二级指标,70 个评估项,从安全管理、安全建设、安全运营、安全效果四个维度,采集了全省 21 个地市 4.4 万项数据并建模分析,形成评估结果。2021 年,为进一步推动数字政府网络安全指数评估工作标准化,广东省组织国内 21 家顶尖网络安全厂商、互联网公司、高校和科研院所,充分参考美国国家标准与技术研究院(NIST)网络安全框架、信息安全管理体系(ISO 27001)标准、等级保护安全技术设计框架等成熟模型,结合《网络安全法》《密码法》《数据安全法》《关键信息基础设施安全保护条例》《个人信息保护法》等法律法规的要求,编制印发了《广东省数字政府网络安全指数指标体系》标准。在一级指标不变,二级指标微调的基础上,将指标评估项由 70 个增加到 103 个,采集相关数据达到 6.6 万项(增加约50% 的数据量),最终整理形成了 2021 年度广东省数字政府网络安全指数评估结果。再次,广东省加强“粤盾”攻防演练、网络安全指数评估和网络安全考核的“三方联动”。“粤盾”攻防演练结果纳入网络安全指数评估的重要内容,网络安全指数评估的结果又纳入各地党委一把手落实网络安全工作责任制考核的重要组成部分。这种“三方联动”“一环扣一环”的做法,客观上倒逼各地各部门高度重视网络安全问题的发现和整改,成为提高数字政府安全治理能力的“助推器”。
二、数字政府新时代构建网络安全体系的几点思考
当今世界正经历百年未有之大变局,国际国内复杂严峻形势与当前新冠疫情防控工作交织叠加,网络安全风险正在向其他传统安全和非传统安全风险渗透、传递、转化和叠加,网络安全已经成为总体国家安全观不可或缺的组成部分。数字政府建设必须以国家《关于加强数字政府建设的指导意见》为指导方向,一方面在“打造泛在普惠数字化服务体系,以数字化改革助力政府职能转变,构建协同高效的政府数字化履职能力体系,健全科学规范的数字政府建设制度体系”等方面进一步深化拓展。更为重要的是,针对“数据”作为新的生产要素,提出了依法依规促进数据高效共享和有序开发利用,核心是推动数据要素市场化配置改革工作。最后,强调把坚持和加强党的全面领导贯穿数字政府建设各领域各环节,坚持正确政治方向,要求始终绷紧数据安全这根弦,加快构建数字政府全方位安全保障体系,全面强化数字政府安全管理责任。这些要点对如何构建数字政府新时代的网络安全体系提出了新的更高要求。与此同时,我们必须清醒地认识到,当前数字政府网络安全体系建设仍然存在诸多深层次问题与挑战,如网络安全管理工作的体系化、标准化、规范化程度不高,部分人员网络安全意识淡漠,网络安全工作“说起来重要、忙起来不要”,统筹协调难度大;网络安全、数据安全技术体系基础薄弱、能力分散、人才匮乏,难以形成合力;网络安全工作“看不见、摸不着”,工作成效的评价体系缺失,权责不对等,缺乏激励机制等。结合以上内容,关于新时期数字政府网络安全体系建设有以下几点思考和建议。
(一)强化国家级网络安全顶层规划和统筹协调,构建关键性、基础性安全能力
首先,建议加快国家级网络安全基础设施的设计、部署,如国家级可信身份认证基础设施、国家级网络靶场、国家级威胁情报库(病毒库、漏洞库)等,为各地构建数字政府网络安全体系提供底层能力支撑。其次,建议加强国家政务骨干网络与各省、市、县、镇(村)的统一接入和安全管理,收紧各级政务外网的互联网出口,强化国家与省、省与省、省与市之间必要的网络隔离,有效避免“一点突破,全网沦陷”的状况。再次,建议加强国家商用密码技术应用。广东在前期开展国家首批政务云密码资源池试点的基础上,总结了一系列密码应用的难点痛点问题,研究制定了《数字政府密码应用支撑能力清单》,正在探索建立政务信息化项目密码应用服务目录,以商密资源池市场化运作模式,让有能力的集成商、密码产品商脱颖而出,破解数字政府密码应用“不会用、用不了、用不好”的问题。最后,建议在网络安全能力体系中增加“技术自主可控度”的 评估,即评估提供网络安全核心关键能力的产品是否满足信息技术应用创新的要求,解决整个体系特别是关键环节可能出现“卡脖子”问题的困境。
(二)强化整体分层设计和部署实施,夯实推动数据要素发展的安全基座
数据已经成为国家基础性和战略性资源。数字政府新时代的核心就是将数据要素像黄金、石油一样宝贵的价值挖掘出来并充分利用,带来的必然是对数据安全保护更广泛、更全面的思考。
建议分三个层次来考量数字政府面临的数据安全问题。第一个层次是从国家安全、整体安全、大安全的视角来谋划数字政府数据安全的责任体系、整体策略、边界范围、风险底线,核心是责任清晰、机制顺畅、预案完备、处置高效。第二个层次是数据采集、传输、存储、处理、交换、销毁等全生命周期的安全问题,核心是防数据泄露、防数据擦除、防数据滥用。第三个层次是加强个人隐私保护的问题,核心是保障公民对政府掌握的个人隐私信息相关数据的知情权、授权许可访问权、删除权,政府承担的更多是类似银行金库的职责,即涉及个人隐私数据应当得到本人授权、一事一授权,且做好必要的数据脱敏工作。
(三)强化数字政府改革建设引领作用,带动网络安全产业发展
网络安全的本质是对抗 , 对抗的本质是攻防两端能力较量。这决定了数字政府网络安全工作是动态的、发展的,核心在“人才”、在“场景”、在“产业”。建议要紧紧抓住数字政府体制机制创新带来的重大发展机遇,充分发挥数字政府改革建设“头雁”效应,通过组建数字政府网络安全产业联盟,凝聚互联网公司、安全企业、高校、研究机构、应用单位等各方优势力量,对标国际先进水平,将“政、产、学、研、用”贯穿一体、紧密结合,建立标准先行、技术领先、产业完整的安全生态,多层次培养网络安全人才,聚焦5G、大数据、云计算、人工智能、物联网、数字孪生、智慧社区等数字政府核心场景和关键技术,不断推出政务网络安全和数据安全问题的最新最优解决方案,进一步完善网络安全体系建设,有效提升数字政府整体安全防护水平。
作者系广东省政务服务数据管理局