以網絡安全指數為抓手，賦能數字政府高質量發展

◆王蘊輝 張瀏驊 劉丕群 李堯

（1.工業和信息化部電子第五研究所 廣東 511370；2.廣州賽寶認證中心服務有限公司 廣東 511370）

1 引言

數字政府作為網絡強國、數字中國戰略的重要內容，既是推進國家治理體系和治理能力現代化的重要抓手，也是促進數字經濟健康發展的重要驅動[1]。然而，隨著數字政府建設的深入推進，政務數據及業務的深度融合增加了網絡安全防護難度，使數字政府面臨更加復雜的形勢和嚴峻挑戰[2]。自2020 年以來，廣東已連續2 年發布數字政府網絡安全指數（以下簡稱“安全指數”），并推動數字政府網絡安全指數評估指標體系標準化建立，旨在通過評價全省各地市網絡安全防護工作的開展情況，促進網絡安全防御體系迭代建設，持續提升數字政府網絡安全防護水平[3]。

2 數字政府網絡安全指數評估的必要性

數字政府網絡安全指數評估可全面評價全省各地市數字政府網絡安全水平，引導及鼓勵各地市持續加強網絡安全體系建設，對推動數字政府網絡安全能力建設，筑牢數字政府網絡安全防線有重要的意義，其必要性體現在以下幾個方面。

一是維護國家安全和利益的重要手段。隨著各國數字政府建設的不斷加快，各國要維護國家主權、信息安全和自身利益，就必須要加強“網絡國防”建設。而數字政府網絡安全指數評估作為網絡安全工作的重要舉措，在保護政務信息方面發揮著至關重要的作用，只有打好網絡安全建設的基礎，才能更好地了解數字政府的網絡安全現狀，做好數字政府的安全工作，盡可能維護國家的安全和利益。

二是維持數字政府秩序的有力保障。數字政府網絡安全指數評估是網絡安全管理工作的“利器”，它能夠對數字政府的安全素質和應變能力進行評估，及時發現數字政府可能出現的網絡安全隱患，為網絡安全管理工作提出措施建議，將數字政府網絡安全風險降到最低，對數字政府的網絡安全提供強有力的保障。

三是引導數字政府建設方向的需要。數字政府網絡安全指數評估從表面上看是一個檢驗體系，而事實上更是一個指導體系。一方面，有了安全指數才能及時發現問題，并且有針對性地解決問題。另一方面，通過建立科學的指標體系和合理的評分標準，可以發現各地市在數字政府網絡安全工作水平的差距，從而吸取先進經驗，修正自身的不足，為數字政府高質量發展引領正確的建設方向。

四是落實相關法律法規的必然要求。數字政府網絡安全指數隨著《密碼法》《數據安全法》《關鍵信息基礎設施保護條例》《個人信息保護法》等法律法規的頒布實施，將在數據安全、關鍵信息基礎設施保護和個人信息保護等網絡安全重要領域全面發力，以法律為依據，以指數為準繩，體現出了國家對于網絡安全改革和國家網絡安全保衛的決心，為數字政府的合規性發展提供了制度保障。

3 數字政府網絡安全指數解讀

3.1 安全指數指標體系構建思路

2021 年數字政府網絡安全指數評估在2020 年探索的基礎上，結合《國家“十四五”規劃綱要》《廣東省“十四五”規劃綱要》[4]以及廣東省數字政府改革建設發展要求，進一步完善了數字政府網絡安全指數指標體系。一方面以合規為導向，納入《數據安全法》《個人信息保護法》《密碼法》《關鍵信息基礎設施安全保護條例》等法律法規有關要求，增加了個人信息保護和密碼應用評估指標，強化了數據安全和關鍵信息基礎設施保護評估內容。另一方面結合2020 年評估經驗反饋，補充完善了安全審計、資產管理、安全監測、安全檢查、專項工作等評估內容。

廣東省數字政府網絡安全指數指標體系共包含4 項一級指標，24項二級指標，103 項評估要點。安全管理指標主要從安全規劃和管理制度的制定及落實著手，通過強化安全意識，明確安全責任，加大安全投入，使各地市各部門有規可循，從而強化管理、形成閉環。安全建設指標主要從注重定級備案和等級測評、重點保護關鍵信息基礎設施和數據安全方面著手，通過聚焦法律法規熱點，抓合規、促落實，建立既強調全面又突出重點的技術防護體系。安全運營指標重點通過摸清資產底數，及時發現風險隱患，采取相應的處置措施，形成聯防聯控的強大合力，確保數字政府網絡安全防護體系穩定運行。安全效果指標側重從結果的角度進行評價，通過安全大數據、安全運營監管數據以及攻防實戰演練，反映數字政府安全管理、安全建設及安全運營等方面工作實施效果[5]。

圖1 廣東省數字政府網絡安全指數指標體系

3.2 安全指數評估結果分析

3.2.1 安全指數總體得分情況

2021 年廣東省各地市數字政府網絡安全總體指數排名如圖2所示。全省平均值為57.41，11 個地市超過平均值，占比52.38%。其中，深圳市以總體指數得分85.24 居全省榜首，廣州市、東莞市、佛山市、珠海市分列第2 至5 名，總體指數得分分別為77.28、73.31、70.77、70.25。2021 年前5 名排名與2020 年保持一致，各地安全指數得分有了較大的提升。中山市和梅州市相比2020 年進步較大，其中，中山市從第18 名進步至第8 名，梅州市從第19 名進步至第11 名。2021 年，中山和梅州比較重視數字政府網絡安全工作，例如，在《2020 廣東省數字政府網絡安全指數評估報告》發布后，梅州市市政府辦公室印發了針對性的數字政府網絡信息安全整改工作方案，制定了詳細的整改任務清單，兩地市的網絡安全工作取得了較好的成效，同時，在“粵盾-2021”攻防演練中防守比較出色，排名得到了較大的提升。

圖2 廣東省各地市數字政府網絡安全指數排名

3.2.2 各地網絡安全能力分布

本次數字政府網絡安全指數評估，根據各地市指數得分將其數字政府網絡安全能力分為了5 個成熟度等級，分別為：優化級（S）、完善級（A）、穩健級（B）、受控級（C）、啟動級（D）。不同成熟度等級的定義及其對應的指數得分如表1 所示。

表1 數字政府網絡安全能力成熟度定義

根據本次指數評估結果，廣東省21 地市數字政府網絡安全能力分布如表1 所示。深圳市數字政府實現了良好的制度、人員、技術等多方協同，能根據運行情況不斷完善管控措施，總體指數處于完善級（A）。廣州市數字政府形成了符合實際的管理制度及配套技術支撐，且內外部實現了較充分的溝通協同，總體指數處于穩健級（B）。東莞、佛山、珠海、惠州、江門、中山、汕頭、肇慶、梅州9 個地市數字政府建立了基本的網絡安全管理制度及配套技術措施，總體指數處于受控級（C）。其余地市數字政府尚處于網絡安全管理制度及技術措施的初步構建階段，安全保障能力尚不穩定，總體指數處于啟動級（D）。目前暫無地市數字政府網絡安全總體指數達到優化級（S）。

表2 廣東省地市數字政府網絡安全能力分布

3.2.3 安全指數一級指標對比分析

2020 與2021 年數字政府網絡安全指數一級指標對比情況如圖3 所示，通過對比分析可知：

圖3 數字政府網絡安全指數一級指標對比

安全管理水平顯著提升，表示自2020 年安全指數首次發布后受到了高度重視，大部分地市制定相應規劃或制度，加大了網絡安全的投入力度，但在制度的執行和落地方面還需下功夫。

安全建設工作仍為短板，是四項一級指標中得分最低的，但相比2020 年仍有一定提升，各地雖然加大了安全建設的投入，由于2021 年新增了個人信息保護、密碼應用指標，強化了數據安全和關鍵信息基礎設施保護的評估內容，相關工作各地各部門仍在探索開展。

安全運營能力基本持平，各地市初步實現網絡安全運營工作的上下協同和多方聯動，監測預警和應急處置機制更加完善，但安全審計與業務連續性保障相關工作仍在初步開展階段，安全運營需要與安全管理和安全建設兩方面同步推進、持續改進。

安全效果小幅提升，在“粵盾-2021”攻防演練中，攻守雙方均表現出較高水平，大部分地市分析研判及時、應急處置高效，體現了安全保障水平的不斷提升。

3.3 數字政府網絡安全指數評估的效果

目前，數字政府網絡安全指數已成為地市網絡安全工作責任制考核的重要依據，廣東省已形成“粵盾”攻防演練、網絡安全指數和網絡安全工作績效考核“三方聯動”的模式，產生了較大的影響力。

安全指數引起了省市各級領導的高度重視，成為提高各地數字政府安全治理能力的“助推器”；指導各級政府有重點地開展網絡安全防護工作，成為各地市開展工作的“指南針”；有效提升政府治理和公共服務的安全能力，成為提升公眾安全感的“定心丸”。同時，安全指數在國內其他地區和行業領域也獲得了廣泛的關注，受到了多方的關注與報道，提升了網絡安全的關注度，營造了濃厚的輿論氛圍，取得了良好示范效應。

4 數字政府網絡安全工作建議

一是夯實責任，做實做細安全管理工作。建議各地市科學深入制定針對機構、人員、信息資產、數據等網絡安全各方面工作的落地實施細則，并開展落地過程檢視評估，保障數字政府的網絡安全規劃落到實處；持續加大網絡安全投入，確保網絡安全投入占比不低于信息化資金總量的5%；加快建立供應商的安全評價機制，對采購的重要信息技術產品和服務開展安全審查，提高產品和服務的安全性和可控性。

二是技管并驅，強化重點領域安全建設。建議各地市搭建技術先進、安全可控、攻防兼備的數字政府網絡安全綜合防御體系，進一步細化數字政府中的云、網、平臺、數據、系統等重要信息系統的防護工作，強化和落實運營者主體責任；同步規劃、同步建設、同步運行密碼保障系統并定期進行評估，適時探索事前、事中和事后的數據安全評估以及監管機制，加大對重要數據和個人信息處理活動的管控力度。

三是聯防聯控，持續優化安全運營環境。建議各地市建立健全數字政府信息資產發現、跟蹤、管理的機制，及時更新維護數字政府信息系統清單，引入專業機構增強風險事件定位和研判處置能力，有效應對安全威脅；建立健全數據安全和個人信息應急處置機制，納入網絡安全事件應急響應機制；強化容災備份體系建設，持續提升本地、同城、異地備份服務能力；加強網絡安全技術和服務資源整合利用，加快推動數字政府網絡安全產業聯盟發展壯大。

四是以攻促防，全面提升安全效果轉化。建議各地市定期開展網絡安全評估檢查，以考促練，以攻促防，不斷豐富演練內涵和實戰內容，不斷提升政務實戰化水平；加強隱患排查、及時修復漏洞，在落實網絡安全等級保護要求基礎上，不斷提升風險識別、攻防對抗、災備恢復能力。

5 結語

“十四五”時期是數字化戰略轉型的關鍵的階段，在此期間，數字經濟全面深化，數字政府作為數字化轉型的“重中之重”，對網絡安全提出了新要求、新希望。為了應對數字政府面臨的安全威脅和嚴峻挑戰，有必要基于評估結果，針對性加強數字政府網絡安全保障體系和能力建設。同時持續優化數字政府網絡安全指數指標體系，從安全管理、安全建設、安全運營三方面制定針對性的數字政府網絡安全保障體系構建和能力提升方案，借助評估工作的引導及促進作用，打造“實戰化、體系化、常態化”的數字政府網絡安全防護能力，持續提升網絡安全效果，推動數字政府網絡安全實現“動態防御、主動防御、縱深防御、精準防護、聯防聯控”，實現數字政府的高質量發展。