以网络安全指数为抓手,赋能数字政府高质量发展
2022-10-14王蕴辉张浏骅刘丕群李尧
◆王蕴辉 张浏骅 刘丕群 李尧
(1.工业和信息化部电子第五研究所 广东 511370;2.广州赛宝认证中心服务有限公司 广东 511370)
1 引言
数字政府作为网络强国、数字中国战略的重要内容,既是推进国家治理体系和治理能力现代化的重要抓手,也是促进数字经济健康发展的重要驱动[1]。然而,随着数字政府建设的深入推进,政务数据及业务的深度融合增加了网络安全防护难度,使数字政府面临更加复杂的形势和严峻挑战[2]。自2020 年以来,广东已连续2 年发布数字政府网络安全指数(以下简称“安全指数”),并推动数字政府网络安全指数评估指标体系标准化建立,旨在通过评价全省各地市网络安全防护工作的开展情况,促进网络安全防御体系迭代建设,持续提升数字政府网络安全防护水平[3]。
2 数字政府网络安全指数评估的必要性
数字政府网络安全指数评估可全面评价全省各地市数字政府网络安全水平,引导及鼓励各地市持续加强网络安全体系建设,对推动数字政府网络安全能力建设,筑牢数字政府网络安全防线有重要的意义,其必要性体现在以下几个方面。
一是维护国家安全和利益的重要手段。随着各国数字政府建设的不断加快,各国要维护国家主权、信息安全和自身利益,就必须要加强“网络国防”建设。而数字政府网络安全指数评估作为网络安全工作的重要举措,在保护政务信息方面发挥着至关重要的作用,只有打好网络安全建设的基础,才能更好地了解数字政府的网络安全现状,做好数字政府的安全工作,尽可能维护国家的安全和利益。
二是维持数字政府秩序的有力保障。数字政府网络安全指数评估是网络安全管理工作的“利器”,它能够对数字政府的安全素质和应变能力进行评估,及时发现数字政府可能出现的网络安全隐患,为网络安全管理工作提出措施建议,将数字政府网络安全风险降到最低,对数字政府的网络安全提供强有力的保障。
三是引导数字政府建设方向的需要。数字政府网络安全指数评估从表面上看是一个检验体系,而事实上更是一个指导体系。一方面,有了安全指数才能及时发现问题,并且有针对性地解决问题。另一方面,通过建立科学的指标体系和合理的评分标准,可以发现各地市在数字政府网络安全工作水平的差距,从而吸取先进经验,修正自身的不足,为数字政府高质量发展引领正确的建设方向。
四是落实相关法律法规的必然要求。数字政府网络安全指数随着《密码法》《数据安全法》《关键信息基础设施保护条例》《个人信息保护法》等法律法规的颁布实施,将在数据安全、关键信息基础设施保护和个人信息保护等网络安全重要领域全面发力,以法律为依据,以指数为准绳,体现出了国家对于网络安全改革和国家网络安全保卫的决心,为数字政府的合规性发展提供了制度保障。
3 数字政府网络安全指数解读
3.1 安全指数指标体系构建思路
2021 年数字政府网络安全指数评估在2020 年探索的基础上,结合《国家“十四五”规划纲要》《广东省“十四五”规划纲要》[4]以及广东省数字政府改革建设发展要求,进一步完善了数字政府网络安全指数指标体系。一方面以合规为导向,纳入《数据安全法》《个人信息保护法》《密码法》《关键信息基础设施安全保护条例》等法律法规有关要求,增加了个人信息保护和密码应用评估指标,强化了数据安全和关键信息基础设施保护评估内容。另一方面结合2020 年评估经验反馈,补充完善了安全审计、资产管理、安全监测、安全检查、专项工作等评估内容。
广东省数字政府网络安全指数指标体系共包含4 项一级指标,24项二级指标,103 项评估要点。安全管理指标主要从安全规划和管理制度的制定及落实着手,通过强化安全意识,明确安全责任,加大安全投入,使各地市各部门有规可循,从而强化管理、形成闭环。安全建设指标主要从注重定级备案和等级测评、重点保护关键信息基础设施和数据安全方面着手,通过聚焦法律法规热点,抓合规、促落实,建立既强调全面又突出重点的技术防护体系。安全运营指标重点通过摸清资产底数,及时发现风险隐患,采取相应的处置措施,形成联防联控的强大合力,确保数字政府网络安全防护体系稳定运行。安全效果指标侧重从结果的角度进行评价,通过安全大数据、安全运营监管数据以及攻防实战演练,反映数字政府安全管理、安全建设及安全运营等方面工作实施效果[5]。
图1 广东省数字政府网络安全指数指标体系
3.2 安全指数评估结果分析
3.2.1 安全指数总体得分情况
2021 年广东省各地市数字政府网络安全总体指数排名如图2所示。全省平均值为57.41,11 个地市超过平均值,占比52.38%。其中,深圳市以总体指数得分85.24 居全省榜首,广州市、东莞市、佛山市、珠海市分列第2 至5 名,总体指数得分分别为77.28、73.31、70.77、70.25。2021 年前5 名排名与2020 年保持一致,各地安全指数得分有了较大的提升。中山市和梅州市相比2020 年进步较大,其中,中山市从第18 名进步至第8 名,梅州市从第19 名进步至第11 名。2021 年,中山和梅州比较重视数字政府网络安全工作,例如,在《2020 广东省数字政府网络安全指数评估报告》发布后,梅州市市政府办公室印发了针对性的数字政府网络信息安全整改工作方案,制定了详细的整改任务清单,两地市的网络安全工作取得了较好的成效,同时,在“粤盾-2021”攻防演练中防守比较出色,排名得到了较大的提升。
图2 广东省各地市数字政府网络安全指数排名
3.2.2 各地网络安全能力分布
本次数字政府网络安全指数评估,根据各地市指数得分将其数字政府网络安全能力分为了5 个成熟度等级,分别为:优化级(S)、完善级(A)、稳健级(B)、受控级(C)、启动级(D)。不同成熟度等级的定义及其对应的指数得分如表1 所示。
表1 数字政府网络安全能力成熟度定义
根据本次指数评估结果,广东省21 地市数字政府网络安全能力分布如表1 所示。深圳市数字政府实现了良好的制度、人员、技术等多方协同,能根据运行情况不断完善管控措施,总体指数处于完善级(A)。广州市数字政府形成了符合实际的管理制度及配套技术支撑,且内外部实现了较充分的沟通协同,总体指数处于稳健级(B)。东莞、佛山、珠海、惠州、江门、中山、汕头、肇庆、梅州9 个地市数字政府建立了基本的网络安全管理制度及配套技术措施,总体指数处于受控级(C)。其余地市数字政府尚处于网络安全管理制度及技术措施的初步构建阶段,安全保障能力尚不稳定,总体指数处于启动级(D)。目前暂无地市数字政府网络安全总体指数达到优化级(S)。
表2 广东省地市数字政府网络安全能力分布
3.2.3 安全指数一级指标对比分析
2020 与2021 年数字政府网络安全指数一级指标对比情况如图3 所示,通过对比分析可知:
图3 数字政府网络安全指数一级指标对比
安全管理水平显著提升,表示自2020 年安全指数首次发布后受到了高度重视,大部分地市制定相应规划或制度,加大了网络安全的投入力度,但在制度的执行和落地方面还需下功夫。
安全建设工作仍为短板,是四项一级指标中得分最低的,但相比2020 年仍有一定提升,各地虽然加大了安全建设的投入,由于2021 年新增了个人信息保护、密码应用指标,强化了数据安全和关键信息基础设施保护的评估内容,相关工作各地各部门仍在探索开展。
安全运营能力基本持平,各地市初步实现网络安全运营工作的上下协同和多方联动,监测预警和应急处置机制更加完善,但安全审计与业务连续性保障相关工作仍在初步开展阶段,安全运营需要与安全管理和安全建设两方面同步推进、持续改进。
安全效果小幅提升,在“粤盾-2021”攻防演练中,攻守双方均表现出较高水平,大部分地市分析研判及时、应急处置高效,体现了安全保障水平的不断提升。
3.3 数字政府网络安全指数评估的效果
目前,数字政府网络安全指数已成为地市网络安全工作责任制考核的重要依据,广东省已形成“粤盾”攻防演练、网络安全指数和网络安全工作绩效考核“三方联动”的模式,产生了较大的影响力。
安全指数引起了省市各级领导的高度重视,成为提高各地数字政府安全治理能力的“助推器”;指导各级政府有重点地开展网络安全防护工作,成为各地市开展工作的“指南针”;有效提升政府治理和公共服务的安全能力,成为提升公众安全感的“定心丸”。同时,安全指数在国内其他地区和行业领域也获得了广泛的关注,受到了多方的关注与报道,提升了网络安全的关注度,营造了浓厚的舆论氛围,取得了良好示范效应。
4 数字政府网络安全工作建议
一是夯实责任,做实做细安全管理工作。建议各地市科学深入制定针对机构、人员、信息资产、数据等网络安全各方面工作的落地实施细则,并开展落地过程检视评估,保障数字政府的网络安全规划落到实处;持续加大网络安全投入,确保网络安全投入占比不低于信息化资金总量的5%;加快建立供应商的安全评价机制,对采购的重要信息技术产品和服务开展安全审查,提高产品和服务的安全性和可控性。
二是技管并驱,强化重点领域安全建设。建议各地市搭建技术先进、安全可控、攻防兼备的数字政府网络安全综合防御体系,进一步细化数字政府中的云、网、平台、数据、系统等重要信息系统的防护工作,强化和落实运营者主体责任;同步规划、同步建设、同步运行密码保障系统并定期进行评估,适时探索事前、事中和事后的数据安全评估以及监管机制,加大对重要数据和个人信息处理活动的管控力度。
三是联防联控,持续优化安全运营环境。建议各地市建立健全数字政府信息资产发现、跟踪、管理的机制,及时更新维护数字政府信息系统清单,引入专业机构增强风险事件定位和研判处置能力,有效应对安全威胁;建立健全数据安全和个人信息应急处置机制,纳入网络安全事件应急响应机制;强化容灾备份体系建设,持续提升本地、同城、异地备份服务能力;加强网络安全技术和服务资源整合利用,加快推动数字政府网络安全产业联盟发展壮大。
四是以攻促防,全面提升安全效果转化。建议各地市定期开展网络安全评估检查,以考促练,以攻促防,不断丰富演练内涵和实战内容,不断提升政务实战化水平;加强隐患排查、及时修复漏洞,在落实网络安全等级保护要求基础上,不断提升风险识别、攻防对抗、灾备恢复能力。
5 结语
“十四五”时期是数字化战略转型的关键的阶段,在此期间,数字经济全面深化,数字政府作为数字化转型的“重中之重”,对网络安全提出了新要求、新希望。为了应对数字政府面临的安全威胁和严峻挑战,有必要基于评估结果,针对性加强数字政府网络安全保障体系和能力建设。同时持续优化数字政府网络安全指数指标体系,从安全管理、安全建设、安全运营三方面制定针对性的数字政府网络安全保障体系构建和能力提升方案,借助评估工作的引导及促进作用,打造“实战化、体系化、常态化”的数字政府网络安全防护能力,持续提升网络安全效果,推动数字政府网络安全实现“动态防御、主动防御、纵深防御、精准防护、联防联控”,实现数字政府的高质量发展。