我国数字政府安全实践与国际经验探析
来源:信息安全与通信保密杂志社 更新时间:2023-09-12

 摘 要

数字政府是数字时代政府新形态,而安全是数字政府平稳运行的基石。近年来,我国在国家层面以政策、平台、安全为抓手,在地方层面以规范、机制、能力为重点,加快推动安全标准、产品服务等供给,并取得显著成效。通过对比分析美欧等世界主要经济体在数字政府建设中的安全管理最新进展,我国仍需在数字政府安全方面加强安全管理、技术能力、联防联控、要素保障 4 个方面工作。

作为数字时代政府的新形态,数字政府是连接和贯通数字经济、数字社会的“核心结合部”,也是网络强国、数字中国的“源动力”。近年来,我国数字政府建设取得显著成效。数字政府建设已经成为建设网络强国战略的重要组成部分,而安全已经成为数字政府建设不可或缺的有力保障和关键一环。在 2022 年 6 月发布的《国务院关于加强数字政府建设的指导意见》中强调,要构建数字政府全方位安全保障体系 ,并针对安全管理责任、安全制度要求、安全保障能力、自主可控水平等方面专门成章进行详细规定 。

1.我国数字政府安全建设现状分析

我国高度重视数字政府建设,通过国家政策引领数字政府的顶层设计,并通过《网络安全法》等法律法规落实安全要求。各地政府以规范、机制、能力为重点,加快推动安全标准、产品服务等供给,并取得显著成效。

1.1 国家层面,以政策、平台、安全为抓手加快推进数字政府建设

一 是 顶 层 设 计 持 续 优 化。国 家 相 继 发 布《“十四五”推进国家政务信息化规划》《关于加强数字政府建设的指导意见》《国务院关于在线政务服务的若干规定》《关于建立健全政务数据共享协调机制加快推进数据有序共享的意见》《全国一体化政务大数据体系建设指南》等系列政策文件,为我国数字政府建设指明了方向,构建了运用新一代信息技术服务数字政府建设和安全的顶层设计。

二是平台支撑逐步完善。我国已建立了较完备的数字政府支撑平台,截至 2021 年年底,全国一体化政务服务平台的用户总使用量超 620 亿次。其中,国家政务服务平台已发布来自 53 个国务院部门 9 000 多项数据资源,累计为 5 951 个各级政务部门提供政务数据共享调用超 3 000 亿次,“跨省通办”服务专区提供的可跨省办理的线上事项和便民服务累计浏览量超 83 亿人次。90.5% 的省级行政许可事项已实现“最多跑一次”的网上受理,56.3% 的事项实现“零跑动”的网上审批。可以看出,我国已初步建立了较为完备的数字政府服务平台,覆盖了省、市、县、乡、村五级政务服务体系,为我国 14 亿多人民群众和超过 1.6 亿的市场主体提供线上全天候的政务服务。

三是安全保障不断加强。我国网络安全产业飞速发展,为我国数字政府建设提供了坚实的安全供给能力。2021 年我国网络安全产业规模突破 2 000 亿元,“十三五”时期年均增速达15%,在密码、恶意代码检测、网络安全设备等方面取得了新进展。数字政府建设需要坚持总体国家安全观,通过《关键信息基础设施安全保护条例》《网络安全法》《数据安全法》等系列法规和管理政策,敦促各地方各行业在牵头或参与数字政府建设过程中,强化关键信息基础设施防护,加强网络与数据安全保障体系和能力建设,提升网络安全风险态势感知、事件应急处置、新技术安全监管和应用等能力,加快建设国家网络安全产业园区,积极发展络安全产业,做到关口前移,防患于未然 。

1.2 地方层面,以规范、机制、能力为重点保障数字政府安全建设

一是数字政府安全的规划规则逐渐明晰。目前全国有 20 多个省(自治区 / 直辖市)印发了加强数字政府建设或数字化转型相关规划文件,并在规划中延承《关于加强数字政府建设的指导意见》关于“构建数字政府全方位安全保障体系”的部署 ,高度重视落实落细守护数字政府安全的政策举措。例如海南省先后编制印发了《海南省电子政务外网网络安全管理规范》《政务数据分级分类指南》等规范性政策文件作为指导。广东省先后发布了电子政务外网网络安全管理办法、政务信息资源共享规则、受控信息安全保密管理制度等规范文件,并以网络安全保密监管为重点,推动省政务服务数据管理局、保密局等多部门,诚邀中国科学院信息工程研究所共同编制了全国首个省级数字政府网络安全体系建设的总体规划 。

二是数字政府安全的体制机制持续完善。为统筹和规范数字政府建设,多地政府探索加快体制机制改革。例如广东省加快健全覆盖政务共享数据安全运营、管理、监管的工作机制。在安全管理方面,广东省专门设立数字政府建设保密管理工作站,并建立了多部门协同工作机制,如每两周由省政务服务数据管理局和保密局共同开展保密隐患的风险研判和应对处置的方案协商。在安全监管方面,出台省政务信息化项目管理办法并加强项目前置安全审核,对商密应用安全、信创技术运用、网络安全能力等加强技术审核,对政务数据全流程运用中的安全合规问题加强数据审计。海南省大数据管理局也先后探索建立了网络安全应急响应、人员安全管理等五项安全管理制度。

三是守护数字政府安全的能力不断提升。一方面,加快信息系统整合,减少安全风险点。目前全国已有 29 个省(自治区 / 直辖市)将信息化机构职能统一到新成立的省级政务服务或数据管理机构。上海市通过“一网统管”信息系统每天汇聚处理超 10 亿条数据并支撑全市 70多个部门、200 多个系统、1 200 多个应用的安全有效运行。海南省加快推动电子政务基础设施的全省统建共享,统一在海口和三亚两地部署存储管理全省政务数据的 1 200 个服务器机柜,并建设了网络安全态势感知平台提供网络安全和数据安全保障。河北沧州市已完成全部市级单位自建专网的整合,并建设了全市统一的安全保障体系,2021 年共计发现预警安全风险 1 140 万次。另一方面,加强数字政府建设“管运分离、内置安全、主动防御”的政企合作。统筹数字政府设计、建设、运营全过程的安全权限管理和防护能力建设,从系统建设、数据管理、运维执行、安全监管等多方入手,全面落实数字政府安全防护工作。例如广东省集合腾讯、三大电信运营商合资组建了数字广东公司,并与华为合作建设了省市一体化安全运营平台,并开展5 次为期 6 周的网络安全攻防演练,发现高中风险漏洞 243 个,并进行了漏洞修复和安全加固。

1.3 行业层面,以安全标准、产品服务等为数字政府建设贡献力量

一是加强数字政府网络安全评估、评价等标准输出。为规范数字政府建设中政务外网的安全接入、交换、监测等工作,国家电子政务外网管理中心加快政务信息安全标准体系建设的步伐,先后发布了《国家电子政务外网信息安全标准体系框架》《国家电子政务外网信息安全标准化工作规范》《国家电子政务外网安全监测体系技术规范与实施指南》等 7 项安全标准。国内互联网企业、网络安全企业、高校和科研院所等 21 家非政府机构,从安全建设、运用、管理、效果等维度出发,共同为广东省编制了全国首个省级数字政府网络安全指数体系的标准,包括两级指标超过 100 个评估项,并根据指标体系对全省 21 个地市 6.6 万项数据进行了采集整理和分析评估。

二是加强数字政府安全建设、运营、管理等服务供给。安全建设方面,华为公司为河北沧州市建设了沧州政务云并将来自 54 个部门单位的 117 个信息系统部署上云,沧州政务云自建成以来 5 年期间均未出现数据泄露事件,并获评河北省委网信办政务云护航数据安全实践类的典型案例。安全运营方面,启明星辰多年来为全国多地建立了超过 120 个城市级安全运营中心,并从实践中探索出权责清晰、持续监测、智慧驱动、人机结合的数字政府安全运营体系。安全管理方面,深信服为破解数字政府安全管理难题,依托于国内首个建设于电子政务网络内的安全运营中心,推出了电子政务场景定制、全天候监测、精准防护的安全托管服务,采取基于“人机共智”的创新模式,实现了高阶安全专家知识与人工智能安全威胁检测引擎之间的高效协同配合,有效解决了云端服务模式下的电子政务外网安全运行和数据安全问题 ,并已在国内多个地方政府得到应用。

2.世界主要经济体保障数字政府安全的

实践经验

世界主要国家均关注到数字政府并积极运用新一代信息技术推动政府决策、服务、管理等的数字化转型。目前,全球各国数字政府建设经历了从战略规划、政府运行数字化、政务流程优化等逐步深化的多个阶段,在各个阶段每个国家都高度重视保障数字政府的网络和数据安全,筑牢安全屏障。

2.1 完善数字政府安全管理的体制机制

一是优化政府网络安全组织体系。在政府网络安全管理组织架构中有机融入“数字化”的元素,强调通过安全保障服务进行包括政府在内的数字化转型。例如日本专门成立“数字厅”来统筹数字技术研发、应用与国家网络安全战略指挥工作,并通过日本国家安全保障会议机制,对涉及国家安全的重要事项进行审查。美国设置国家网络总监的岗位,负责在网络安全及相关新兴技术领域为总统提供支撑,协调并监督联邦政府的网络安全管理工作。

二是明确管理部门及其协作机制。通过国家立法设置和战略规划,对涉及网络安全职能的各组织机构的定位、职责及协作机制等进行了明确规定,并推动形成分工清晰、协作密切的安全管理组织架构和运行机制,为数字政府安全管理提供有力保障。例如美国国土安全部发布的《国家网络事件响应计划》规定,一旦重大网络安全事件发生,由相关部门通过信息共享与行动协调机制等进行联合响应,国土安全部、司法部、国家情报总监办公室分别负责资产响应、威胁响应、情报支撑,受影响的联邦机构或者私营机构应采取各种手段控制事件的影响 。

三是完善网络安全审计制度体系。通过对数字政府安全项目的审计机制,评估在数字政府建设过程中网络安全计划的进展程度和战略实施的绩效情况,以及项目资金在计划、实施阶段的科学合理性,保障安全计划落地的有效性、效率性和经济性。同时还可以敦促各相关部门提升安全管理意识,切实履行安全职责。例如英国审计署在政府数字化转型开始后,加强了对内阁办公室、国防部等政府各部门的网络安全审计,大幅降低了各部门所受的网络攻击量,国防部网络安全项目完成率也提升至 80% 以上 。

2.2 强化数字政府安全管理的支撑力量

一是加强国家与地方政府的合作。国家机构与地方政府通过在网络事件协调处置、信息共享和防御应对等方面的合作改善,帮助地方有效应对数字政府建设所面临的安全风险和挑战。例如 2022 年 6 月,美国总统拜登签署了《州和地方政府网络安全法》,在联邦层面的国家网络安全与通信集成中心与各州等地区政府共享网络安全态势感知等的工具与协议,从而改善国土安全部与各地方在网络安全方面的协同能力。

二是发挥非政府机构的支撑作用。政府在数字政府建设规范和安全保障相关政策、标准制定的过程中,充分听取和吸纳科研院所、智库机构、私营部门等的建议和意见。同时,在落实数字政府建设项目和安全保障的实践中,鼓励支持国际组织、私营部门等积极贡献力量。例如国际电信联盟联合世界银行、德勤、微软等伙伴合作推出“国家网络安全战略指南”,旨在帮助政府制定国家网络安全战略,建立安全、弹性、互联互通的数字社会。谷歌公司在 2021 年共向报告谷歌各种安全漏洞的研究人员支付了 870 万美元的奖励,有力提升了政府部门使用其产品和服务的安全性。俄罗斯依托卡巴斯基实验室等专业技术力量,为数字政府网络与数据安全提供全方位保障。

三是扩展深化国际安全伙伴关系。联合主要国家的各方力量共同提升网络安全水平,服务保障数字政府建设。例如日本与德国、荷兰、爱沙尼亚等多国共同成立了全球网络安全基金,并与东盟建立国际网络信息论坛对话机制。2021年 7 月,美国网络安全和基础设施安全局与澳大利亚、英国的国家网络安全中心,主要针对基于云、虚拟专用网络(Virtual Private Network,VPN)等技术远程工作的常见漏洞进行了联合咨询并给出漏洞修复可用的补丁。2021 年 12 月,美国联邦调查局、国家安全局等多部门联合澳大利亚、加拿大、英国等的国家网络安全中心和新西兰计算和应急响应团队,对 Apache Log4j软件库漏洞开展了网络安全咨询 。

2.3 保障数字政府安全管理的资源要素

一是加大安全资金的投入力度。通过在网络安全领域的鼓励投资、财政拨款、悬赏计划等多样化方式,奠定有力保障数字政府安全的资金基础。2021 年全球网络与数据安全行业融资事件数较同期增长了 43%,过去十年间融资事件数增长了 10 倍以上,融资额增长了超过15 倍。美国 2021 财年在网络安全领域的总预算为 188 亿美元,较同期增长了 8%,在信息技术(Information Technology,IT)总预算中的占比为 20.4%。2022 年 9 月,美国拜登政府启动了一项 10 亿美元的网络安全拨款计划,由国土安全部从 2022 财年开始连续 4 年对此进行资助,帮助各州政府更好抵御网络威胁。美国启动“国土安全部(The Department of Homeland Security,DHS)黑客”漏洞悬赏计划,为发现漏洞的黑客提供最高额达 4 300 万美元的一年期合同。

二是培养壮大高素质人才队伍。政府部门与私营机构都在积极充实网络安全人才队伍。2022 年 6 月,美国总统拜登签署的《联邦网络劳动力轮岗计划法》提出允许网络安全专业人员通过在多个联邦机构进行轮岗的形式提升自身专业知识和技能,并要求人事管理办公室每年明确可供选择的职位清单。欧盟通过《欧洲网络和信息安全教育计划路线图》明确安全人才培养的路径,并通过欧洲网络安全挑战赛等方式挖掘培养网络安全人才。从全球看,在过去一年间,许多安全创业公司大量招兵买马,不少拥有数千员工的上市公司仍以超过 20% ~ 30%的增长率扩充队伍。

三是强化技术支持与攻防演练。以 2021 年“太阳风”事件为例,该事件背后的攻击者正在进行针对全球政府机构的网络钓鱼运动,除美国组织受攻击最多外,还有 24 个国家 150 多个组织深受其害。2022 年 6 月,美国国防部举行“网络盾牌”大规模演习,重点针对类似“太阳风”的供应链攻击。同期,欧盟举办迄今为止全球最大规模的网络演习,覆盖欧盟 29 个国家、欧洲自贸区以及欧盟各机构与部门的 800多名网络安全专家参加演习,旨在强化网络安全技术水平、专业知识和危机处置能力。

3.数字政府安全建设的重点方向

结合国内实践和国际经验,强化安全保障、有力护航数字政府高质量建设需要重点做好四个方面工作:

一是优化安全管理。聚焦数字政府建设中安全的薄弱环节和突出问题,重点落实落细安全保障要求,加强全流程安全审计、监管监督和评估评价,建立健全政企合作管理体制机制确保数字政府产品和服务的安全性和可控性。

二是提升技术水平。将网络安全、关键基础设施保护、数据安全、个人信息保护等保障能力嵌入数字政府建设、运行、维护、管理等全过程,鼓励运用零信任架构和大数据、区块链等新信息技术手段,推动数字政府安全治理能力现代化。

三是加强联防联控。汇聚国际组织、行业企业、科研院所等多方力量,定期开展实战演练,以攻促防,持续提升数字政府风险识别、隐患排查、漏洞修复、攻防对抗等安全保障能力,有效应对数字政府建设全过程的重大风险隐患。

四是加大要素投入。稳步提升网络安全在政务信息化总投入中的占比,不断加强政府网络安全人才队伍建设、安全教育培训和考核评估,提升公务人员的安全意识、技能水平和管理能力。

4.结语

本文对我国数字政府建设的安全实践进行了归纳,分析了国家政策、地方政务、行业建设等方面的最新进展。同时,在分析美、欧、日等世界主要国家和地区的数字政府安全管理经验的基础上,提出下一步我国加强数字政府安全工作的建议。