广东省数字政府网络安全评估体系与实践.pdfVIP

广东省数字政府网络安全评估体系与实践

1引言

《2020联合国电子政务调查报告》显示，全球电子政务整体发展水平不断提升，数

字政府转型快速推进，在线政务服务水平普遍提高，数据治理框架不断完善。随着数

字政府建设的不断推进和深化应用，网络安全面临的风险和挑战不断增加。世界各国

纷纷在国家战略的要求和指导下制定了与互联网相关的法律或命令，互联网发展越早、

越成熟的国家，对网络安全的治理越关注，例如美国、日本已经发布了国家级网络安

全战略等。政府数字化转型的本质是推进政务数据的整合、开放和共享，然而政务业

务和数据的融合加大了网络安全防护的难度，网络安全治理成为我国数字政府建设的

重点。为了防范和化解广东省数字政府网络安全风险，提高风险预见、预判能力，有

必要对数字政府网络安全防护现状进行评估，促进全省各地市迭代建设网络安全防护

体系，提升整体安全防护能力。

2数字政府面临的网络安全风险分析

随着信息技术的快速发展、国际形势的日趋复杂，网络安全已成为我国面临的极度复

杂、极度现实、极度严峻的非传统安全问题。数字政府在网络安全方面也随之暴露出

愈来愈多的风险隐患，其网络平台和信息系统中存有大量关于国家和政府机密的相关

数据文件信息，存在系统破坏、数据窃取、信息泄露等安全风险。从网络安全管理的

角度来看，数字政府存在内部威胁和外部威胁。如果地方政府没有意识到网络安全的

重要性，就极容易在日常工作中忽视网络安全管理的作用，出现员工操作失误、机构

及服务提供商责任不清等很多非技术性的安全问题。另外，病毒、黑客等外部网络攻

击也占据了相当大的比例，当前，全国已有多个重要部门遭到勒索病毒的攻击，损失

严重，影响十分巨大。从建设与运营的角度来看，数字政府网络安全风险体现在以下

多个方面：一是部分地方政府和相关部门的系统平台建设仅停留在功能层面，缺乏网

络安全顶层设计和防护规划，存在被非法入侵的隐患；二是对关键信息基础设施概念

的理解不准确，未能建立资产档案，未落实强化核心人员管理、整体防护、监测预警

等重点保护措施，难以开展有针对性的安全建设工作；三是对大数据安全、云计算环

境下政“企合作，管运分离”的管理安全、数据上云后的分确“三权”等问题关注不够，导

致大数据安全治理能力低下，这极大地威胁了政务数据安全；四是监控和监测的全面

性和及时性不到位，具体表现为安全监测不成体系、监测数据未能及时报送、数据备

份与恢复测试不足、难以快速有效地做好应急响应以保障业务连续性；五是多采用被

动的网络安全防御机制，对政务系统平台遭受网络攻击的预测和风险分析缺乏实时、

定量的数据计算分析手段。

3数字政府网络安全指数评估

十“三五”期间，广东省率先开展数字政府建设，连续两年在省级政府网上政务服务能

力指数评估中位列全国第一。与此同时，广东省政务外网时刻面临着安全威胁，这对

数字政府网络安全工作提出了更高的要求。为了实现数字政府网络安全工作由看不“

见、摸不着”向可量“化、可评估”转变，由广东省政务服务数据管理局牵头组织、工业

和信息化部电子第五研究所负责、华为技术有限公司等多个单位共同参与，设计并构

建了数字政府网络安全指数评估指标体系，针对广东省21个地市开展第三方评估。

3.1评估原则

●客观性。本次评估依托网络安全监管部门掌握的与数字政府安全相关的监管数据、

网络安全厂商及互联网公司掌握的地区安全大数据、粤盾“”数字政府实战攻防演练结

果数据，采用定量和定性相结合的分析方法，对全省各地市数字政府的网络安全管理、

安全建设、安全运营、安全效果等方面进行评价，客观科学地反映各地市数字政府网

络安全的整体防护水平。●导向性。本次评估以责任明确、保障有力、安全合规、重“

点到位、协同有效”为导向，通过建立指标体系，全面评价各地市数字政府的网络安全

水平，引导、鼓励各地市持续加强网络安全体系建设，推动全省数字政府网络安全建

设迈向新阶段、实现新跃升。●实效性。本次评估按照“以评促管、以评促建、以评促

改”的原则，注重数字政府网络安全管理、建设、运营的实际成效，帮助各地市全面掌

握当前数字政府安全现状，发现存在的问题，找到解决方案，快速提升网络安全整体

水平，形成执“行-评估-反馈-改进”的管理模式。

3.2评估指标体系

数字政府网络安全指数评估指标体系从安全管理、安全建设、安全运营、安全效果4

个方面进行评价，包含24个二级指标，三级指标为具