廣東省數字政府網路安全評估體系與實踐

高尚省, 郭勇, 高智偉, 鍾世敏, 劉丕群, 劉婷

1 引言

《2020聯合國電子政務調查報告》顯示，全球電子政務整體發展水平不斷提升，數字政府轉型快速推進，線上政務服務水平普遍提高，資料治理框架不斷完善。隨著數字政府建設的不斷推進和深化應用，網路安全面臨的風險和挑戰不斷增加。世界各國紛紛在國家戰略的要求和指導下制定了與網際網路相關的法律或命令，網際網路發展越早、越成熟的國家，對網路安全的治理越關注，例如美國、日本已經發布了國家級網路安全戰略等。

政府數字化轉型的本質是推進政務資料的整合、開放和共享，然而政務業務和資料的融合加大了網路安全防護的難度，網路安全治理成為我國數字政府建設的重點。為了防範和化解廣東省數字政府網路安全風險，提高風險預見、預判能力，有必要對數字政府網路安全防護現狀進行評估，促進全省各地市迭代建設網路安全防護體系，提升整體安全防護能力。

2 數字政府面臨的網路安全風險分析

隨著資訊科技的快速發展、國際形勢的日趨複雜，網路安全已成為我國面臨的極度複雜、極度現實、極度嚴峻的非傳統安全問題。數字政府在網路安全方面也隨之暴露出愈來愈多的風險隱患，其網路平臺和資訊系統中存有大量關於國家和政府機密的相關資料檔案資訊，存在系統破壞、資料竊取、資訊洩露等安全風險。

從網路安全管理的角度來看，數字政府存在內部威脅和外部威脅。如果地方政府沒有意識到網路安全的重要性，就極容易在日常工作中忽視網路安全管理的作用，出現員工操作失誤、機構及服務提供商責任不清等很多非技術性的安全問題。另外，病毒、駭客等外部網路攻擊也佔據了相當大的比例，當前，全國已有多個重要部門遭到勒索病毒的攻擊，損失嚴重，影響十分巨大。

從建設與運營的角度來看，數字政府網路安全風險體現在以下多個方面：一是部分地方政府和相關部門的系統平臺建設僅停留在功能層面，缺乏網路安全頂層設計和防護規劃，存在被非法入侵的隱患；二是對關鍵資訊基礎設施概念的理解不準確，未能建立資產檔案，未落實強化核心人員管理、整體防護、監測預警等重點保護措施，難以開展有針對性的安全建設工作；三是對大資料安全、雲計算環境下“政企合作，管運分離”的管理安全、資料上雲後的“分確三權”等問題關注不夠，導致大資料安全治理能力低下，這極大地威脅了政務資料安全；四是監控和監測的全面性和及時性不到位，具體表現為安全監測不成體系、監測資料未能及時報送、資料備份與恢復測試不足、難以快速有效地做好應急響應以保障業務連續性；五是多采用被動的網路安全防禦機制，對政務系統平臺遭受網路攻擊的預測和風險分析缺乏實時、定量的資料計算分析手段。

3 數字政府網路安全指數評估

“十三五”期間，廣東省率先開展數字政府建設，連續兩年在省級政府網上政務服務能力指數評估中位列全國第一。與此同時，廣東省政務外網時刻面臨著安全威脅，這對數字政府網路安全工作提出了更高的要求。為了實現數字政府網路安全工作由“看不見、摸不著”向“可量化、可評估”轉變，由廣東省政務服務資料管理局牽頭組織、工業和資訊化部電子第五研究所負責、華為技術有限公司等多個單位共同參與，設計並構建了數字政府網路安全指數評估指標體系，針對廣東省21個地市開展第三方評估。

3.1 評估原則

● 客觀性。本次評估依託網路安全監管部門掌握的與數字政府安全相關的監管資料、網路安全廠商及網際網路公司掌握的地區安全大資料、“粵盾”數字政府實戰攻防演練結果資料，採用定量和定性相結合的分析方法，對全省各地市數字政府的網路安全管理、安全建設、安全運營、安全效果等方面進行評價，客觀科學地反映各地市數字政府網路安全的整體防護水平。

● 導向性。本次評估以“責任明確、保障有力、安全合規、重點到位、協同有效”為導向，透過建立指標體系，全面評價各地市數字政府的網路安全水平，引導、鼓勵各地市持續加強網路安全體系建設，推動全省數字政府網路安全建設邁向新階段、實現新躍升。

● 實效性。本次評估按照“以評促管、以評促建、以評促改”的原則，注重數字政府網路安全管理、建設、運營的實際成效，幫助各地市全面掌握當前數字政府安全現狀，發現存在的問題，找到解決方案，快速提升網路安全整體水平，形成“執行-評估-反饋-改進”的管理模式。

3.2 評估指標體系

數字政府網路安全指數評估指標體系從安全管理、安全建設、安全運營、安全效果4個方面進行評價，包含24個二級指標，三級指標為具體評估要點，共70項。前兩級指標體系如圖1所示。

圖1 數字政府網路安全指數評估指標體系

（1）安全管理

安全管理方面包含安全戰略規劃、安全政策規範、安全意識、安全投入、安全管理組織、安全管理人員、供應鏈安全管理，涉及戰略、政策、意識、投入、組織、人員等管理工作的眾多要素。

（2）安全建設

安全建設方面包含資訊資產管理、網路安全等級保護、關鍵資訊基礎設施保護、資料安全保護、服務支撐體系，重點是摸底，有針對性地開展安全建設工作。

（3）安全運營

安全運營方面包含安全執行維護、安全風險識別、安全監控與監測、應急響應與處置、業務連續性保障、安全協同情況，重點是及時、全面地瞭解安全事件，控制安全風險，做好應急響應。

（4）安全效果

安全效果方面包含安全漏洞情況、安全事件情況、主機安全情況、移動終端安全情況、桌面終端安全情況、專項檢查結果，側重從結果的角度進行評價，反映數字政府在安全管理、安全建設及安全運營等方面實施的效果和價值。

3.3 評估資料來源

本次評估的資料採集物件涵蓋全省21個地市政府部門，涉及各地市政務雲平臺、大資料中心、官方網站及重要政務應用等。資料來源主要為：問卷調研，數字政府安全運營資料，網路安全監管部門的監管資料，網路安全廠商、網際網路公司、科研機構掌握的安全大資料。

本次評估對全省21個地市在數字政府網路安全管理、建設、運營、效果等方面進行了調研，採集了21個評估物件涉及的人員、機構、制度、經費、系統，以及安全執行維護、安全大資料監測、安全應急與通報、攻防演練等相關資料約4。4萬項。

3.4 評估結果

數字政府網路安全指數評估總分為100分，其中安全管理為25分、安全建設為20分、安全運營為25分、安全效果為30分。為了驗證評估指標體系的可行性和有效性，本文選取廣東省21個地市開展試點評估。

透過評估，獲得了較為完備的試點地市數字政府網路安全狀況的資料，各地市一級指標指數和總體指數得分及排名情況如圖2所示。

圖2 廣東省各地市數字政府網路安全指數排名

整體來看，全省數字政府網路安全指數平均值為53。81，仍有較大的提升空間。深圳、廣州、東莞、佛山、珠海、江門、汕頭、惠州8個地市得分高於平均值，佔比38。1%。其中，深圳以總體指數得分73。99居全省榜首，廣州、東莞、佛山、珠海分列第2~5名，總體指數得分分別為71。01、68。71、66。64、62。59。結合2020年前三季度GDP來看，各地市數字政府網路安全指數排名基本與GDP排名一致，但也存在GDP資料與安全指數得分倒掛的情況。

4 評估發現與展望

4.1 評估發現

2020年，廣東省各地市數字政府網路安全指數評估指標體系初步建立，在安全管理、安全建設、安全運營等方面持續推進，並取得了一定成效。但從評估結果來看，當前網路安全工作存在諸多不足，整體安全能力仍需進一步提升。

評估發現，全省大部分地市制定了網路安全總體規劃或制度規範，建立了網路安全工作管理機構，但在實際工作中對網路安全重視不足，責任劃分不夠明確；各地市數字政府網路安全建設高度重視安全合規工作，積極貫徹落實等級保護制度，普遍採購風險評估、等保測評等基礎安全服務，但安全建設還不紮實，安全工作仍有不足；大部分地市定期開展網路安全風險評估，持續推進政務系統安全巡檢和防護策略升級，初步實現了網路安全運營工作的上下協同，但網路安全運營能力和執行機制還不健全；2020年各地市被監管機構通報的高中危漏洞數量相比2019年明顯下降，數字政府未發生較大及以上等級的網路安全事件，但在“粵盾”2020數字政府網路安全攻防演練活動中，各地市暴露了大量安全隱患。

4.2 工作展望

數字政府的高質量發展需要不斷最佳化的安全治理架構和堅實的網路安全防護能力體系支撐。廣東省要做好數字政府改革建設工作，必須夯實數字政府網路安全基礎，構建完善的網路安全防護體系，持續提升網路安全防護能力。

建議全省各地各部門重視網路安全規劃，加強安全管理，構建高效、協同的安全管理體系；明確安全責任分工，強化安全建設、運營過程監督管理，形成規劃設計、建設執行、監督評價和持續改進的良性迴圈；建立健全數字政府資訊資產發現、跟蹤、管理機制，加強資產管理，聚焦資料安全，做好資料分類分級及全生命週期安全管理工作；做好安全監測預警，完善預警通報機制，健全安全應急處置機制，確保數字政府安全穩定執行；發展完善數字政府網路安全產業生態，促進技術交流與合作，打造優勢互補的網路安全能力體系；加大安全投入，落實資源保障，將安全指數評估納入績效考核，形成常態化績效考核機制。

5 結束語

本文介紹了數字政府網路安全面臨的主要風險，提出了數字政府網路安全指數評估指標體系，遵從客觀性、導向性、實效性等原則，從安全管理、安全建設、安全運營、安全效果4個方面對廣東省21個地市的數字政府網路安全防護工作進行了評估，提出了評估工作中發現的各地市數字政府網路安全防護工作現狀，並對未來整體安全防護工作進行了展望，旨在促進各地、各部門不斷提升數字政府整體安全防護水平，為相關決策制定提供參考。

本次評估工作是創新性的工作探索，後續將持續最佳化指數評估工作，完善指標體系和評估方法，增加可信資料來源，提升資料準確性、及時性和全面性，為數字政府安全建設提供有力支撐。

作者簡介

高尚省（1977-），男，廣東省政務服務資料管理局副局長，主要研究方向為政務資訊化、數字政府網路安全。

郭勇（1977-），男，就職於廣東省政務服務資料管理局安全管理處，主要研究方向為數字政府網路安全、密碼應用及安全。

高智偉（1981-），男，博士，廣州賽寶認證中心服務有限公司高階工程師，主要研究方向為網路安全、雲計算安全、資料安全與治理等。

鍾世敏（1979-），男，就職於數字廣東網路建設有限公司，主要研究方向為數字政府網路安全、雲計算安全。

劉丕群（1989-），男，廣州賽寶認證中心服務有限公司高階工程師，主要研究方向為網路安全防護與管理、雲計算安全、資料治理等。

劉婷（1989-），女，廣州賽寶認證中心服務有限公司工程師，主要研究方向為政務資訊化、網路安全管理等。

聯絡我們:

Tel:

010-81055448

010-81055490

010-81055534

E-mail:

bdr@bjxintong。com。cn