2022 广东省数字政府网络安全指数评估报告 广东省“数字政府”改革建设工作领导小组办公室 2023年1月 组织单位: 广东省“数字政府”改革建设工作领导小组办公室 编写单位: 工业和信息化部电子第五研究所、深信服科技股份有限公司、奇安信科技集团股份有限公司、数字广东网络建设有限公司、广东省网络安全应急响应中心(网络安全110)、三六零数字安全科技集团有限公司、安天科技集团股份有限公司、公安部第三研究所、广州赛宝认证中心服务有限公司 参编人员:(按姓氏笔画排序) 叶滨、刘丕群、刘启超、李尧、李炜、杨鹏飞、吴寒、沈玉龙、张报明、张浏骅、罗奇伟、金楠、钟世敏、洪延青、贺高戈、耿光刚、高尚省、高智伟、郭勇、唐玉鑫、常晓宇、曾磊、董博、詹林献、雷刚 前言 加强数字政府建设是引领和驱动数字经济发展的重要动力,是加快数字社会建设步伐的必然要求,是建设网络强国、数字中国的基础性和先导性工程,是推进国家治理体系和治理能力现代化的重要举措。习近平总书记在党的二十大报告中深刻指出,国家安全是民族复兴的根基,社会稳定是国家强盛的前提,强调必须坚定不移贯彻总体国家安全观,把维护国家安全贯穿于党和国家工作各方面全过程,确保国家安全和社会稳定。总书记以马克思主义政治家强烈的忧患意识和历史担当,提出“没有网络安全就没有国家安全;过不了互联网这一关,就过不了长期执政这一关”。习近平总书记关于网络安全的系列重要论述,高屋建瓴、博大精深,为新时代做好数字政府网络安全工作指明了前进方向、提供了根本遵循。 近年,广东省在全国率先启动数字政府改革建设,不断 提升数据治理、运营能力和公共数据开发应用水平,优化全省政务信息化体制机制。省级政府一体化政务服务能力在连续三年取得全国第一名的基础上,持续保持全国领先水平,稳居前列。一是以粤省事、粤商通、粤政易为代表的“粤系列”政务服务平台社会和经济成效显著,其中粤省事累计注册实名用户数超过1.8亿,粤商通注册用户超过1341万,粤 政易注册用户超过253万;二是首创首席数据官制度,强化 跨部门、跨层级、跨领域统筹协同机制,并在6个省直部门 以及10个地市先行先试;三是首创数据流通交易全周期服务,并在南沙成立广州数据交易所;四是率先推出全国首批数据经纪人名单,以电力、金融领域龙头企业为实验田,探索数据要素流通新模式。 随着数字政府改革建设不断深入,数据流通交易规模快速增长,安全漏洞、数据泄露、网络诈骗、勒索病毒等网络安全威胁日益凸显,有组织、有目的的网络攻击形势愈加明显,为网络安全防护工作带来更多挑战,数字政府面临的网络安全形势愈加严峻复杂。 为贯彻落实党的二十大报告中关于“坚持以新安全格局保障新发展格局”的战略部署,落实国务院《关于加强数字政府建设的指导意见》中提出“构建数字政府全方位安全保障体系”的有关要求,广东省“数字政府”改革建设工作领导小组办公室牵头组织,工业和信息化部电子第五研究所具体负责,深信服、奇安信、数字广东、广东省网络安全应急响应中心、三六零、安天、公安部三所、赛宝认证等单位共同参与,开展了2022年度广东省数字政府网络安全指数评估工作。 本报告是广东省“数字政府”改革建设工作领导小组办 公室组织编写的第3部反映广东省数字政府网络安全体系建设状况的研究报告。报告以调查评估数据为基础,梳理分析当前广东省各地市数字政府网络安全的安全现状、存在问题 和工作亮点,推动、指引各地市持续加强网络安全体系建设,推动全省数字政府网络安全工作迈上新台阶、实现新跃升。 本次评估工作得到了广东省委网信办、广东省公安厅、广东省通信管理局的大力支持。在此,衷心感谢各地市政务服务数据管理局、各地市直部门对评估工作的参与和支持,感谢三六零集团、安天集团提供省域网络安全大数据,感谢暨南大学、北京理工大学、西安电子科技大学、国家计算机网络应急技术处理协调中心广东分中心、北京永信至诚科技股份有限公司等单位专家对本报告的帮助以及提出的宝贵意见。 目录 前言I 第一章评估概况1 一、评估背景1 二、评估对象2 三、评估原则2 四、评估过程3 (一)建立指标体系4 (二)实施指数评估5 五、数据采集6 (一)数据采集对象6 (二)数据采集周期7 第二章评估结果8 一、总体情况8 (一)总体指数排名8 (二)能力水平分布10 (三)总体指数分析11 二、工作成效和存在问题12 (一)工作成效12 (二)存在问题14 第三章安全管理指数17 一、总体分析17 二、分指数分析20 (一)安全战略规划20 (二)安全标准规范21 (三)安全管理组织23 (四)人员安全管理25 (五)安全投入27 (六)供应链安全管理28 第四章安全建设指数31 一、总体分析31 二、分指数分析33 (一)网络安全等级保护33 (二)关键信息基础设施保护35 (三)数据安全保护36 (四)个人信息保护38 (五)密码应用39 (六)安全服务支撑体系41 第五章安全运营指数43 一、总体分析43 二、分指数分析46 (一)信息资产管理46 (二)日常安全运维47 (三)安全监测49 (四)应急处置50 (五)安全检查52 (六)安全审计53 (七)业务连续性保障55 (八)安全协同56 第六章安全效果指数59 一、总体分析59 二、分指数分析61 (一)网络环境安全61 (二)安全漏洞63 (三)安全事件64 (四)专项工作66 第七章思路与建议69 一、工作思路69 二、工作建议70 (一)抓“自身建设”,完善数字政府安全保障体系71 (二)抓“重点环节”,赋能数字政府建设发展动力71 (三)抓“融合优化”,提高数字政府运营保障水平72 (四)抓“综合防控”,提升数字政府整体防护效果73 附录:数字政府网络安全能力成熟度定义74 图目录 图1-1广东省数字政府网络安全指数评估模型4 图2-1广东省各地市数字政府网络安全指数排名10 图2-2数字政府网络安全指数一级指标对比12 图3-1安全管理二级指标指数平均值分析17 图3-2广东省数字政府安全管理指数排名19 图3-3广东省数字政府安全战略规划指数排名20 图3-4广东省数字政府安全政策规范指数排名22 图3-5广东省数字政府安全管理组织指数排名24 图3-6广东省数字政府安全人员安全管理指数排名26 图3-7广东省数字政府安全投入指数排名28 图3-8广东省数字政府供应链安全管理指数排名29 图4-1安全建设二级指标指数平均值分析31 图4-2广东省数字政府安全建设指数排名32 图4-3广东省数字政府网络安全等级保护指数排名34 图4-4广东省数字政府关键信息基础设施保护指数排名35 图4-5广东省数字政府数据安全保护指数排名37 图4-6广东省数字政府个人信息保护指数排名38 图4-7广东省数字政府密码应用指数排名40 图4-8广东省数字政府安全服务支撑体系指数排名41 图5-1安全运营二级指标指数平均值分析43 图5-2广东省数字政府安全运营指数排名44 图5-3广东省数字政府信息资产管理指数排名46 图5-4广东省数字政府日常安全运维指数排名48 图5-5广东省数字政府安全监测指数排名49 图5-6广东省数字政府应急处置指数排名51 图5-7广东省数字政府安全检查指数排名53 图5-8广东省数字政府安全审计指数排名54 图5-9广东省数字政府业务连续性保障指数排名55 图5-10广东省数字政府安全协同指数排名57 图6-1安全效果二级指标指数平均值分析59 图6-2广东省数字政府安全效果指数排名60 图6-3广东省数字政府网络环境安全指数排名62 图6-4广东省数字政府安全漏洞指数排名63 图6-5广东省数字政府安全事件指数排名65 图6-6广东省数字政府专项工作结果指数排名66 表目录 表1-1广东省21个地级市名称2 表1-2数字政府网络安全评估数据采集的地市市直部门名称6 表2-1广东省地市数字政府网络安全指数8 表2-2广东省地市数字政府网络安全能力分布11 第一章评估概况 一、评估背景 当今世界正经历百年未有之大变局,国际国内复杂严峻形势与当前新型冠状病毒感染防控工作交织叠加,网络安全风险正在向其他传统安全和非传统安全风险渗透、传递、转化和叠加,网络安全已成为总体国家安全观不可或缺的组成部分。 党的二十大报告指出,要“以新安全格局保障新发展格局”“完善重点领域安全保障体系和重要专项协调指挥体系”。国务院印发的《关于加强数字政府建设的指导意见》指出,要“全面强化数字政府安全管理责任,落实安全管理制度,加快关键核心技术攻关,加强关键信息基础设施安全保障,强化安全防护技术应用,切实筑牢数字政府建设安全防线”。 《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》指出,要“加强网络安全风险评估和审查,提升网络安全威胁发现、监测预警、应急指挥、攻击溯源能力”。为贯彻落实党中央、国务院关于网络安全的相关要求,省“数字政府”改革建设工作领导小组办公室根据数字政府网络安全指数指标体系(以下简称“指标体系”),组织开展了2022年度数字政府网络安全指数评估工作。 二、评估对象 广东省21个地级市(以下简称“各地市”,如表1-1 所示)。 表1-1广东省21个地级市名称 1 广州 12 中山 2 深圳 13 江门 3 珠海 14 阳江 4 汕头 15 湛江 5 佛山 16 茂名 6 韶关 17 肇庆 7 河源 18 清远 8 梅州 19 潮州 9 惠州 20 揭阳 10 汕尾 21 云浮 11 东莞 三、评估原则 (一)科学导向。本次评估按照《国务院关于加强数字政府建设的指导意见》提出的“强化安全管理责任、落实安全制度要求、提升安全保障能力、提高自主可控水平”有关 要求,通过建立建全指标体系全面评价各地市数字政府网络安全水平,引导、鼓励各地市持续加强网络安全体系建设,推动全省数字政府网络安全工作迈上新台阶、实现新跃升。 (二)数据客观。本次评估依托数字政府建设运营单位 掌握的数字政府安全运营数据、网络安全监管部门掌握的数 字政府安全监管数据、安全调研数据、网络安全厂商及互联网公司掌握的省域网络安全大数据、“粤盾-2022”数字政府实战攻防演练结果数据等,采用定量与定性相结合的分析方法,对全省各地市数字政府网络安全管理、安全建设、安全运营、安全效果等四个方面进行评价,客观科学地反映我省各地市数字政府网络安全整体防护水平。 (三)注重实效。本次评估从提升数字政府网络安全防 护能力的目标出发,注重数字政府网络安全管理、建设、运营的实际成效,帮助各地市全面掌握当前数字政府安全现状,发现存在的问题,找到解决的方案,形成“执行-评估-反馈-改进”的闭环管理模式。 (四)能力评价。本次评估对各地市数字政府网络安全 总体能力进行成熟度分级,成熟度从高至低依次为优化级 (S)、完善级(A)、稳健级(B)、受控级(C)、启动级(D)等五个级别。各能力成熟度等级定义见附录。 四、评估过程 2022年3月,广东省“数字政府”改革建设工作领导小 组办公室牵头成立评估工作组,制定了2022年安全指数评估工作方案。为实现数字政府网络安全指数评估工作整体的规范化和标准化。4月,广东省政务服务数据管理局联合研究院所、高校、安全厂商等11家单位共同编制《广东省数字政府网络安全指数评估实施指南》,帮助评估对象了解广东省数字政府网络安全指数的评估方法和流程,为广东省各地市开展本地化安全指数评估提供参考。7月至11月,评估 工作组采集、处理、分析评估数据,形成安全指数评估结果。 (一)建立指标体系 本年度广东省数字政府网络安全指数评估工作在参照 《广东省数字政府网络安全指数指标体系》标准的基础上,重点围绕安全管理、安全建设、安全运营、安全效果4个方 面,建立面向21个地市的评估指标体系,引导各地市有重点地提升数字政府网络安全防护能力。 2022年度广东省数字政府网络安全指数指标体系共包 含4项一级指标,24项二级指标,103项评估要点,与2021 年保持