我國數(shù)字政府安全實踐與國際經(jīng)驗探析

作為數(shù)字時代政府的新形態(tài)，數(shù)字政府是連接和貫通數(shù)字經(jīng)濟、數(shù)字社會的“核心結(jié)合部”，也是網(wǎng)絡(luò)強國、數(shù)字中國的“源動力”。近年來，我國數(shù)字政府建設(shè)取得顯著成效。數(shù)字政府建設(shè)已經(jīng)成為建設(shè)網(wǎng)絡(luò)強國戰(zhàn)略的重要組成部分，而安全已經(jīng)成為數(shù)字政府建設(shè)不可或缺的有力保障和關(guān)鍵一環(huán)。在2022年6月發(fā)布的《國務院關(guān)于加強數(shù)字政府建設(shè)的指導意見》中強調(diào)，要構(gòu)建數(shù)字政府全方位安全保障體系，并針對安全管理責任、安全制度要求、安全保障能力、自主可控水平等方面專門成章進行詳細規(guī)定。1我國數(shù)字政府安全建設(shè)現(xiàn)狀分析我國高度重視數(shù)字政府建設(shè)，通過國家政策引領(lǐng)數(shù)字政府的頂層設(shè)計，并通過《網(wǎng)絡(luò)安全法》等法律法規(guī)落實安全要求。各地政府以規(guī)范、機制、能力為重點，加快推動安全標準、產(chǎn)品服務等供給，并取得顯著成效。1.1國家層面，以政策、平臺、安全為抓手加快推進數(shù)字政府建設(shè)一是頂層設(shè)計持續(xù)優(yōu)化。國家相繼發(fā)布《“十四五”推進國家政務信息化規(guī)劃》《關(guān)于加強數(shù)字政府建設(shè)的指導意見》《國務院關(guān)于在線政務服務的若干規(guī)定》《關(guān)于建立健全政務數(shù)據(jù)共享協(xié)調(diào)機制加快推進數(shù)據(jù)有序共享的意見》《全國一體化政務大數(shù)據(jù)體系建設(shè)指南》等系列政策文件，為我國數(shù)字政府建設(shè)指明了方向，構(gòu)建了運用新一代信息技術(shù)服務數(shù)字政府建設(shè)和安全的頂層設(shè)計。二是平臺支撐逐步完善。我國已建立了較完備的數(shù)字政府支撐平臺，截至2021年年底，全國一體化政務服務平臺的用戶總使用量超620億次。其中，國家政務服務平臺已發(fā)布來自53個國務院部門9000多項數(shù)據(jù)資源，累計為5951個各級政務部門提供政務數(shù)據(jù)共享調(diào)用超3000億次，“跨省通辦”服務專區(qū)提供的可跨省辦理的線上事項和便民服務累計瀏覽量超83億人次。90.5%的省級行政許可事項已實現(xiàn)“最多跑一次”的網(wǎng)上受理，56.3%的事項實現(xiàn)“零跑動”的網(wǎng)上審批?？梢钥闯觯覈殉醪浇⒘溯^為完備的數(shù)字政府服務平臺，覆蓋了省、市、縣、鄉(xiāng)、村五級政務服務體系，為我國14億多人民群眾和超過1.6億的市場主體提供線上全天候的政務服務。三是安全保障不斷加強。我國網(wǎng)絡(luò)安全產(chǎn)業(yè)飛速發(fā)展，為我國數(shù)字政府建設(shè)提供了堅實的安全供給能力。2021年我國網(wǎng)絡(luò)安全產(chǎn)業(yè)規(guī)模突破2000億元，“十三五”時期年均增速達15%，在密碼、惡意代碼檢測、網(wǎng)絡(luò)安全設(shè)備等方面取得了新進展。數(shù)字政府建設(shè)需要堅持總體國家安全觀，通過《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》等系列法規(guī)和管理政策，敦促各地方各行業(yè)在牽頭或參與數(shù)字政府建設(shè)過程中，強化關(guān)鍵信息基礎(chǔ)設(shè)施防護，加強網(wǎng)絡(luò)與數(shù)據(jù)安全保障體系和能力建設(shè)，提升網(wǎng)絡(luò)安全風險態(tài)勢感知、事件應急處置、新技術(shù)安全監(jiān)管和應用等能力，加快建設(shè)國家網(wǎng)絡(luò)安全產(chǎn)業(yè)園區(qū)，積極發(fā)展絡(luò)安全產(chǎn)業(yè)，做到關(guān)口前移，防患于未然。1.2地方層面，以規(guī)范、機制、能力為重點保障數(shù)字政府安全建設(shè)一是數(shù)字政府安全的規(guī)劃規(guī)則逐漸明晰。目前全國有20多個省（自治區(qū)/直轄市）印發(fā)了加強數(shù)字政府建設(shè)或數(shù)字化轉(zhuǎn)型相關(guān)規(guī)劃文件，并在規(guī)劃中延承《關(guān)于加強數(shù)字政府建設(shè)的指導意見》關(guān)于“構(gòu)建數(shù)字政府全方位安全保障體系”的部署，高度重視落實落細守護數(shù)字政府安全的政策舉措。例如海南省先后編制印發(fā)了《海南省電子政務外網(wǎng)網(wǎng)絡(luò)安全管理規(guī)范》《政務數(shù)據(jù)分級分類指南》等規(guī)范性政策文件作為指導。廣東省先后發(fā)布了電子政務外網(wǎng)網(wǎng)絡(luò)安全管理辦法、政務信息資源共享規(guī)則、受控信息安全保密管理制度等規(guī)范文件，并以網(wǎng)絡(luò)安全保密監(jiān)管為重點，推動省政務服務數(shù)據(jù)管理局、保密局等多部門，誠邀中國科學院信息工程研究所共同編制了全國首個省級數(shù)字政府網(wǎng)絡(luò)安全體系建設(shè)的總體規(guī)劃

。二是數(shù)字政府安全的體制機制持續(xù)完善。為統(tǒng)籌和規(guī)范數(shù)字政府建設(shè)，多地政府探索加快體制機制改革。例如廣東省加快健全覆蓋政務共享數(shù)據(jù)安全運營、管理、監(jiān)管的工作機制。在安全管理方面，廣東省專門設(shè)立數(shù)字政府建設(shè)保密管理工作站，并建立了多部門協(xié)同工作機制，如每兩周由省政務服務數(shù)據(jù)管理局和保密局共同開展保密隱患的風險研判和應對處置的方案協(xié)商。在安全監(jiān)管方面，出臺省政務信息化項目管理辦法并加強項目前置安全審核，對商密應用安全、信創(chuàng)技術(shù)運用、網(wǎng)絡(luò)安全能力等加強技術(shù)審核，對政務數(shù)據(jù)全流程運用中的安全合規(guī)問題加強數(shù)據(jù)審計。海南省大數(shù)據(jù)管理局也先后探索建立了網(wǎng)絡(luò)安全應急響應、人員安全管理等五項安全管理制度。三是守護數(shù)字政府安全的能力不斷提升。一方面，加快信息系統(tǒng)整合，減少安全風險點。目前全國已有29個?。ㄗ灾螀^(qū)/直轄市）將信息化機構(gòu)職能統(tǒng)一到新成立的省級政務服務或數(shù)據(jù)管理機構(gòu)。上海市通過“一網(wǎng)統(tǒng)管”信息系統(tǒng)每天匯聚處理超10億條數(shù)據(jù)并支撐全市70多個部門、200多個系統(tǒng)、1200多個應用的安全有效運行。海南省加快推動電子政務基礎(chǔ)設(shè)施的全省統(tǒng)建共享，統(tǒng)一在?？诤腿齺唭傻夭渴鸫鎯芾砣≌諗?shù)據(jù)的1200個服務器機柜，并建設(shè)了網(wǎng)絡(luò)安全態(tài)勢感知平臺提供網(wǎng)絡(luò)安全和數(shù)據(jù)安全保障。河北滄州市已完成全部市級單位自建專網(wǎng)的整合，并建設(shè)了全市統(tǒng)一的安全保障體系，2021年共計發(fā)現(xiàn)預警安全風險1140萬次。另一方面，加強數(shù)字政府建設(shè)“管運分離、內(nèi)置安全、主動防御”的政企合作。統(tǒng)籌數(shù)字政府設(shè)計、建設(shè)、運營全過程的安全權(quán)限管理和防護能力建設(shè)，從系統(tǒng)建設(shè)、數(shù)據(jù)管理、運維執(zhí)行、安全監(jiān)管等多方入手，全面落實數(shù)字政府安全防護工作。例如廣東省集合騰訊、三大電信運營商合資組建了數(shù)字廣東公司，并與華為合作建設(shè)了省市一體化安全運營平臺，并開展5次為期6周的網(wǎng)絡(luò)安全攻防演練，發(fā)現(xiàn)高中風險漏洞243個，并進行了漏洞修復和安全加固。1.3行業(yè)層面，以安全標準、產(chǎn)品服務等為數(shù)字政府建設(shè)貢獻力量一是加強數(shù)字政府網(wǎng)絡(luò)安全評估、評價等標準輸出。為規(guī)范數(shù)字政府建設(shè)中政務外網(wǎng)的安全接入、交換、監(jiān)測等工作，國家電子政務外網(wǎng)管理中心加快政務信息安全標準體系建設(shè)的步伐，先后發(fā)布了《國家電子政務外網(wǎng)信息安全標準體系框架》《國家電子政務外網(wǎng)信息安全標準化工作規(guī)范》《國家電子政務外網(wǎng)安全監(jiān)測體系技術(shù)規(guī)范與實施指南》等7項安全標準。國內(nèi)互聯(lián)網(wǎng)企業(yè)、網(wǎng)絡(luò)安全企業(yè)、高校和科研院所等21家非政府機構(gòu)，從安全建設(shè)、運用、管理、效果等維度出發(fā)，共同為廣東省編制了全國首個省級數(shù)字政府網(wǎng)絡(luò)安全指數(shù)體系的標準，包括兩級指標超過100個評估項，并根據(jù)指標體系對全省21個地市6.6萬項數(shù)據(jù)進行了采集整理和分析評估。二是加強數(shù)字政府安全建設(shè)、運營、管理等服務供給。安全建設(shè)方面，華為公司為河北滄州市建設(shè)了滄州政務云并將來自54個部門單位的117個信息系統(tǒng)部署上云，滄州政務云自建成以來5年期間均未出現(xiàn)數(shù)據(jù)泄露事件，并獲評河北省委網(wǎng)信辦政務云護航數(shù)據(jù)安全實踐類的典型案例。安全運營方面，啟明星辰多年來為全國多地建立了超過120個城市級安全運營中心，并從實踐中探索出權(quán)責清晰、持續(xù)監(jiān)測、智慧驅(qū)動、人機結(jié)合的數(shù)字政府安全運營體系。安全管理方面，深信服為破解數(shù)字政府安全管理難題，依托于國內(nèi)首個建設(shè)于電子政務網(wǎng)絡(luò)內(nèi)的安全運營中心，推出了電子政務場景定制、全天候監(jiān)測、精準防護的安全托管服務，采取基于“人機共智”的創(chuàng)新模式，實現(xiàn)了高階安全專家知識與人工智能安全威脅檢測引擎之間的高效協(xié)同配合，有效解決了云端服務模式下的電子政務外網(wǎng)安全運行和數(shù)據(jù)安全問題，并已在國內(nèi)多個地方政府得到應用。2世界主要經(jīng)濟體保障數(shù)字政府安全的實踐經(jīng)驗世界主要國家均關(guān)注到數(shù)字政府并積極運用新一代信息技術(shù)推動政府決策、服務、管理等的數(shù)字化轉(zhuǎn)型。目前，全球各國數(shù)字政府建設(shè)經(jīng)歷了從戰(zhàn)略規(guī)劃、政府運行數(shù)字化、政務流程優(yōu)化等逐步深化的多個階段，在各個階段每個國家都高度重視保障數(shù)字政府的網(wǎng)絡(luò)和數(shù)據(jù)安全，筑牢安全屏障。2.1完善數(shù)字政府安全管理的體制機制一是優(yōu)化政府網(wǎng)絡(luò)安全組織體系。在政府網(wǎng)絡(luò)安全管理組織架構(gòu)中有機融入“數(shù)字化”的元素，強調(diào)通過安全保障服務進行包括政府在內(nèi)的數(shù)字化轉(zhuǎn)型。例如日本專門成立“數(shù)字廳”來統(tǒng)籌數(shù)字技術(shù)研發(fā)、應用與國家網(wǎng)絡(luò)安全戰(zhàn)略指揮工作，并通過日本國家安全保障會議機制，對涉及國家安全的重要事項進行審查。美國設(shè)置國家網(wǎng)絡(luò)總監(jiān)的崗位，負責在網(wǎng)絡(luò)安全及相關(guān)新興技術(shù)領(lǐng)域為總統(tǒng)提供支撐，協(xié)調(diào)并監(jiān)督聯(lián)邦政府的網(wǎng)絡(luò)安全管理工作。二是明確管理部門及其協(xié)作機制。通過國家立法設(shè)置和戰(zhàn)略規(guī)劃，對涉及網(wǎng)絡(luò)安全職能的各組織機構(gòu)的定位、職責及協(xié)作機制等進行了明確規(guī)定，并推動形成分工清晰、協(xié)作密切的安全管理組織架構(gòu)和運行機制，為數(shù)字政府安全管理提供有力保障。例如美國國土安全部發(fā)布的《國家網(wǎng)絡(luò)事件響應計劃》規(guī)定，一旦重大網(wǎng)絡(luò)安全事件發(fā)生，由相關(guān)部門通過信息共享與行動協(xié)調(diào)機制等進行聯(lián)合響應，國土安全部、司法部、國家情報總監(jiān)辦公室分別負責資產(chǎn)響應、威脅響應、情報支撐，受影響的聯(lián)邦機構(gòu)或者私營機構(gòu)應采取各種手段控制事件的影響

。三是完善網(wǎng)絡(luò)安全審計制度體系。通過對數(shù)字政府安全項目的審計機制，評估在數(shù)字政府建設(shè)過程中網(wǎng)絡(luò)安全計劃的進展程度和戰(zhàn)略實施的績效情況，以及項目資金在計劃、實施階段的科學合理性，保障安全計劃落地的有效性、效率性和經(jīng)濟性。同時還可以敦促各相關(guān)部門提升安全管理意識，切實履行安全職責。例如英國審計署在政府數(shù)字化轉(zhuǎn)型開始后，加強了對內(nèi)閣辦公室、國防部等政府各部門的網(wǎng)絡(luò)安全審計，大幅降低了各部門所受的網(wǎng)絡(luò)攻擊量，國防部網(wǎng)絡(luò)安全項目完成率也提升至80%以上

。2.2強化數(shù)字政府安全管理的支撐力量一是加強國家與地方政府的合作。國家機構(gòu)與地方政府通過在網(wǎng)絡(luò)事件協(xié)調(diào)處置、信息共享和防御應對等方面的合作改善，幫助地方有效應對數(shù)字政府建設(shè)所面臨的安全風險和挑戰(zhàn)。例如2022年6月，美國總統(tǒng)拜登簽署了《州和地方政府網(wǎng)絡(luò)安全法》，在聯(lián)邦層面的國家網(wǎng)絡(luò)安全與通信集成中心與各州等地區(qū)政府共享網(wǎng)絡(luò)安全態(tài)勢感知等的工具與協(xié)議，從而改善國土安全部與各地方在網(wǎng)絡(luò)安全方面的協(xié)同能力。二是發(fā)揮非政府機構(gòu)的支撐作用。政府在數(shù)字政府建設(shè)規(guī)范和安全保障相關(guān)政策、標準制定的過程中，充分聽取和吸納科研院所、智庫機構(gòu)、私營部門等的建議和意見。同時，在落實數(shù)字政府建設(shè)項目和安全保障的實踐中，鼓勵支持國際組織、私營部門等積極貢獻力量。例如國際電信聯(lián)盟聯(lián)合世界銀行、德勤、微軟等伙伴合作推出“國家網(wǎng)絡(luò)安全戰(zhàn)略指南”，旨在幫助政府制定國家網(wǎng)絡(luò)安全戰(zhàn)略，建立安全、彈性、互聯(lián)互通的數(shù)字社會。谷歌公司在2021年共向報告谷歌各種安全漏洞的研究人員支付了870萬美元的獎勵，有力提升了政府部門使用其產(chǎn)品和服務的安全性。俄羅斯依托卡巴斯基實驗室等專業(yè)技術(shù)力量，為數(shù)字政府網(wǎng)絡(luò)與數(shù)據(jù)安全提供全方位保障。三是擴展深化國際安全伙伴關(guān)系。聯(lián)合主要國家的各方力量共同提升網(wǎng)絡(luò)安全水平，服務保障數(shù)字政府建設(shè)。例如日本與德國、荷蘭、愛沙尼亞等多國共同成立了全球網(wǎng)絡(luò)安全基金，并與東盟建立國際網(wǎng)絡(luò)信息論壇對話機制。2021年7月，美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局與澳大利亞、英國的國家網(wǎng)絡(luò)安全中心，主要針對基于云、虛擬專用網(wǎng)絡(luò)（VirtualPrivateNetwork，VPN）等技術(shù)遠程工作的常見漏洞進行了聯(lián)合咨詢并給出漏洞修復可用的補丁。2021年12月，美國聯(lián)邦調(diào)查局、國家安全局等多部門聯(lián)合澳大利亞、加拿大、英國等的國家網(wǎng)絡(luò)安全中心和新西蘭計算和應急響應團隊，對ApacheLog4j軟件庫漏洞開展了網(wǎng)絡(luò)安全咨詢

。2.3保障數(shù)字政府安全管理的資源要素一是加大安全資金的投入力度。通過在網(wǎng)絡(luò)安全領(lǐng)域的鼓勵投資、財政撥款、懸賞計劃等多樣化方式，奠定有力保障數(shù)字政府安全的資金基礎(chǔ)。2021年全球網(wǎng)絡(luò)與數(shù)據(jù)安全行業(yè)融資事件數(shù)較同期增長了43%，過去十年間融資事件數(shù)增長了10倍以上，融資額增長了超過15倍。美國2021財年在網(wǎng)絡(luò)安全領(lǐng)域的總預算為188億美元，較同期增長了8%，在信息技術(shù)（InformationTechnology，IT）總預算中的占比為20.4%。2022年9月，美國拜登政府啟動了一項10億美元的網(wǎng)絡(luò)安全撥款計劃，由國土安全部從2022財年開始連續(xù)4年對此進行資助，幫助各州政府更好抵御網(wǎng)絡(luò)威脅。美國啟動“國土安全部（TheDepartmentofHomelandSecurity，DHS）黑客”漏洞懸賞計劃，為發(fā)現(xiàn)漏洞的黑客提供最高額達4300萬美元的一年期合同。二是培養(yǎng)壯大高素質(zhì)人才隊伍。政府部門與私營機構(gòu)都在積極充實網(wǎng)絡(luò)安全人才隊伍。2022年6月，美國總統(tǒng)拜登簽署的《聯(lián)邦網(wǎng)絡(luò)勞動力輪崗計劃法》提出允許網(wǎng)絡(luò)安全專業(yè)人員通過在多個聯(lián)邦機構(gòu)進行輪崗的形式提升自身專業(yè)知識和技能，并要求人事管理辦公室每年明確可供選擇的職位清單。歐盟通過《歐洲網(wǎng)絡(luò)和信息安全教育計劃路線圖》明確安全人才培養(yǎng)的路徑，并通過歐洲網(wǎng)絡(luò)安全挑戰(zhàn)賽等方式挖掘培養(yǎng)網(wǎng)絡(luò)安全人才。從全球看，在過去一年間，許多安全創(chuàng)業(yè)公司大量招兵買馬，不少擁有數(shù)千員工的上市公司仍以超過20%～30%的增長率擴充隊伍。三是強化技術(shù)支持與攻防演練。以2021年“太陽風”事件為例，該事件背后的攻擊者正在進行針對全球政府機構(gòu)的網(wǎng)絡(luò)釣魚運動，除美國組織受攻擊最多外，還有24個國家150多個組織深受其害。2022年6月，美國國防部舉行“網(wǎng)絡(luò)盾牌”大規(guī)模演習，重點針對類似“太陽風”的供應鏈攻擊。同期，歐盟舉辦迄今為止全球最大規(guī)模的網(wǎng)絡(luò)演習，覆蓋歐盟