数字政府网络和数据安全能力评估白皮书(2023) 数字政府网络安全产业联盟 2023年12月 指导单位: 广东省政务服务数据管理局 组织单位: 数字政府网络安全产业联盟 编写单位: 工业和信息化部电子第五研究所、广州赛宝认证中心服务有限公司、数字广东网络建设有限公司、华为技术有限公司、深信服科技股份有限公司、奇安信网神信息技术(北京)股份有限公司、公安部第三研究所、广州绿盟网络安全技术有限公司、亚信安全科技股份有限公司、安天科技集团股份有限公司、广州竞远安全技术股份有限公司、杭州安恒信息技术股份有限公司、广东省网络安全应急响应中心(网络安全110)、永信至诚科技集团股份有限公司、广东省信息安全测评中心 指导组: 杨鹏飞、魏文涛、罗奇伟、郭勇 编写组: 李尧、高智伟、刘丕群、张浏骅、钟世敏、陈伟洪、林晓明、刘启超、贺高戈、黄其森、苏哲恒、程小磊、欧校志、吴海明、胡济民、黄振毅、陈周伟、甄茁。 前言 数字政府作为数字中国、数字经济的重要基础,已成为提升国家治理能力现代化的重要战略举措和推进服务型政府建设的有力抓手。当前,“一网通办”“跨省通办”、政务“秒批”“秒办”、身份证“网证”、“城市大脑”等试点示范措施,有力促进了政府和社会治理的高效化、精准化和智能化。但不容忽视的是,数字政府系统作为超级数据平台,面临巨大的安全威胁和风险,如黑客对政府网站的攻击、 金融数据被不法分子窃取、个人敏感信息大规模泄露等。可以说,数字政府建设已经成为建设网络强国战略的重要组成部分,而网络和数据安全则是数字政府建设中的底线。 2022年6月国务院印发了《关于加强数字政府建设的指导意见》,将“构建数字政府全方位安全保障体系”作为第二位重要任务来部署,并提出了“强化安全管理责任、落实安全制度要求、提升安全保障能力和提高自主可控水平”四方面具体要求。各个省份在加速数字政府建设的同时也强调了数字安全的重要性。比如,《广东省数字政府改革建设2023年工作要点》强调“完善网络数据安全考核评价体系,推动将数字政府网络数据安全考核纳入党委(党组)网络安全工 作责任制考核;组织开展数字政府网络安全指数评估,常态 化开展网络安全培训、安全审计、安全测评、漏洞排查、供 应链安全管控和安全检查”。江苏省发布的《江苏省数字政府建设2023年工作要点》指出,“要建立数字政府安全评 估、责任落实和重大事件处置机制;定期开展网络安全和密 码应用检查,拓展网络安全态势感知监测范围,切实提升大规模网络安全事件、网络泄密事件预警和应急处置能力”。因此,为了更好地保障数字政府的安全稳定运行,亟需 对数字政府网络和数据安全进行全面评估,这将有助于全面了解数字政府的安全状况,发现和消除安全隐患,提高数字政府的安全防护能力,确保数字政府的正常运行和公民的信息安全,护航数字经济发展。在此背景下,我们组织编写了 《数字政府网络和数据安全能力评估白皮书》,以期为我国数字政府网络和数据安全能力评估提供理论依据和实践参考。 本白皮书分为以下几个部分:第一部分为数字政府网络 和数据安全总体情况,主要介绍数字政府网络安全的背景、内涵和发展态势;第二部分为数字政府网络和数据安全能力评估模型,主要介绍国内外主流的网络安全能力评估的基本原理、方法和技术;第三部分为数字政府网络和数据安全能力评估实践,主要介绍不同省、市、厅(局)在数字政府网络和数据安全能力评估的评估背景、评估实施步骤和评估成效;第四部分为数字政府网络和数据安全能力评估存在的问题,主要介绍数字政府网络和数据安全能力评估的不足之处;第五部分为趋势及建议,主要总结数字政府网络和数据安全的趋势,提出评估改进和完善的建议。 在本次白皮书的编制过程中,我们得到了广东省委网信 办、广东省公安厅、广东省通信管理局等相关部门的大力支 持,以及众多专家学者的积极参与。在此表示衷心的感谢!同时,我们也欢迎社会各界对本白皮书提出宝贵意见和建议,共同推动我国数字政府网络和数据安全能力评估工作的深入开展。 最后,祝愿我国数字政府网络和数据安全能力评估工作取得新的更好的成效,为构建网络强国、实现中华民族伟大复兴的中国梦助力! 目录 前言I 一、数字政府网络和数据安全总体情况1 (一)国家高度重视数字政府网络安全工作1 (二)数字政府网络和数据安全基本内涵2 (三)数字政府网络和数据安全风险态势4 (四)数字政府网络和数据安全能力评估的重要性9 二、数字政府网络和数据安全能力评估模型10 (一)国外数字政府网络和数据安全能力评估模型10 1.美国NIST信息安全能力评估指南10 2.欧盟国家网络安全能力评估框架14 3.英国网络安全风险评估模型15 (二)国内数字政府网络和数据安全能力评估模型17 1.广东省数字政府网络安全指数指标体系17 2.浙江省电子政务外网安全评估指标体系19 3.山东省智慧城市网络安全评估模型20 4.贵州省城市网络安全评估模型21 5.苏州市数字政府城市网络安全评价指标体系23 三、数字政府网络和数据安全能力评估实践24 (一)国外数字政府网络和数据安全能力评估实践24 1.欧盟国家网络安全能力评估实践24 2.英国网络安全风险评估实践25 (二)国内数字政府网络和数据安全能力评估实践26 1.广东省数字政府网络安全指数评估实践26 2.浙江省电子政务外网安全能力评估实践31 3.其他省份评估实践34 四、数字政府网络和数据安全能力评估存在的问题36 五、数字政府网络和数据安全趋势及评估建议39 一、数字政府网络和数据安全总体情况 (一)国家高度重视数字政府网络安全工作 习近平总书记在党的二十大报告中深刻指出,国家安全是民族复兴的根基,社会稳定是国家强盛的前提,强调必须坚定不移贯彻总体国家安全观,把维护国家安全贯穿于党和国家工作各方面全过程,确保国家安全和社会稳定。总书记以马克思主义政治家强烈的忧患意识和历史担当,提出“没有网络安全就没有国家安全;过不了互联网这一关,就过不了长期执政这一关”,将网络安全提高到前所未有的地位和高度。2022年,国务院印发《关于加强数字政府建设的指导意见》,提出加强数字政府建设是适应新一轮科技革命和产业变革趋势、引领驱动数字经济发展和数字社会建设、营造良好数字生态、加快数字化发展的必然要求,是建设网络强国、数字中国的基础性和先导性工程,是创新政府治理理念和方式、形成数字治理新格局、推进国家治理体系和治理能力现代化的重要举措。 近几年,数字政府建设践行以人民为中心的发展思想, 借助信息化技术,在政务服务一网通办、省域治理一网统管、政府运行一网协同、政务数据一网共享等方面取得了显著的成绩,极大提升了政府效率和公共服务水平,进而促进社会和谐稳定、社会经济发展和人民幸福生活,形成了整体联动的数字化治理新格局。但是,随着数字政府建设的深入,数字政府成为政府服务的主要形式之一,同时,各地数字政府承载的政府数据价值也越来越高,保障数字政府网络和数据 安全的可用性、保密性、完整性至关重要,网络和数据安全成为数字政府建设的生命线。 我国以总体国家安全观为指导,不断完善网络和数据安全法制体系,坚决维护网络安全、数据安全和公民个人信息安全。2017年6月1日,《中华人民共和国网络安全法》正式施行,这是我国网络安全领域的首部基础性、框架性、综合性法律。之后,相继颁布《中华人民共和国密码法》《中华人民共和国数据安全法》《关键信息基础设施安全保护条例》《中华人民共和国个人信息保护法》等法律法规,出台 《云计算服务安全评估办法》《网络安全审查办法》等政策文件,发布了《网络数据安全管理条例(征求意见稿)》并将之列为国务院2023年度立法工作计划。特别是,2023年,中共中央、国务院印发《数字中国建设整体布局规划》,提出强化数字中国关键能力,“筑牢可信可控的数字安全屏障。切实维护网络安全,完善网络安全法律法规和政策体系。增强数据安全保障能力,建立数据分类分级保护基础制度,健全网络数据监测预警和应急处置工作体系”,为数字政府网络和数据安全工作指明了方向。 (二)数字政府网络和数据安全基本内涵 中国政府整体经历了“政府信息化—电子政务—数字政府”三个阶段。“政府信息化”阶段是以政府为中心,以提高行政效率为目标,数据作为一种资料,不对外公开,处于“保密状态”;“电子政务”阶段,政府逐渐把信息技术作为改进组织内部效率的工具,“块”状的各级政府开始建设 政府门户网站,推出政务微博,及时回应公众网络参与需求,积极改进政府服务质量,数据作为一种工具,在《政府信息公开条例》的规范和要求下,逐渐开始对外公开,保障公众的知情权;“数字政府”阶段是以推进国家治理体系与治理能力现代化为目标,实现了向以人民为中心的行政理念转变,政府数字化转型过程中,由于缺乏相应的技术资源,便与互联网企业合作建设与运营数字公共服务平台,平台成为资源配置的重要方式,优化了公共资源的使用效率,数字政府正式进入了以数据为核心的建设阶段,数据治理、数据资产化成为关键,呈现普惠化、智能化、平台化、集约化、自主化趋势。同时,政府网络作为政府关键信息基础设施,承载了全国一体化政务服务业务和重要数据,政府网络一旦遇到安全风险,可能导致重要信息丢失甚至暴露,带来难以估量的损失,因此,数字政府对网络安全提出了泛在化、生态化、要素化、交叉化等新的挑战,亟需建立兼顾发展与安全的数字政府网络和数据安全综合保障体系。 数字政府网络和数据安全,是指政府在引领驱动数字经 济发展和数字社会建设、营造良好数字生态、加快数字化转型的过程中,通过采取必要措施确保政府信息化服务不中断,数据处于有效保护、合法利用、有序流通的状态,以及政府网络空间安全具备持续安全状态的能力。 数字政府网络和数据安全既涵盖网络安全和数据安全,也体现了兼顾发展与安全的内涵(如图1-1所示)。一是网络安全方面,指通过采取必要的措施,防范对政府网络的攻 击、侵入、干扰、破坏和非法使用以及意外事故,使数字政府的网络处于稳定可靠运行的状态,以及保障数字政府网络数据的完整性、保密性、可用性的能力,支撑政府信息化设施的安全运行和合法使用。二是数据安全方面,指通过采取必要措施,确保政府数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力,实现数据作为关键要素安全有序的流通和使用。三是兼顾发展与安全内涵方面。发展层面,政府数据作为我国重要的生产要素,政府网络和数据安全体现了国家对政务网络和政务数据的管辖权和所有权的数据主权深意,保障政府数据在安全合规的前提下有序流通;安全层面,数字政府网络安全保障了网络内数据创建、存储、使用、共享、保护和删除全生命周期的安全,并对跨网流通的数据实施安全管控,同时,数据加密、数据脱敏等数据安全技术的提高也保障了政府网络信息和数据信息的安全。 图1-1网络安全和数据安全模式变化 (三)数字政府网络和数据安全风险态势 网络和数据安全已经成为影响国家安全和社会经济运行发展的关键因素,与公民的隐私安全和财产安全息息相关。 4 大数据技术的快速发展加速推动全球政府治理方式的变革,打破各种信息“壁垒”和数据“孤岛”,推动政府数据跨部门、跨层级、跨区域共建共享共用,扩大政府数据应用场景,已逐渐成为基本态势。数字政府网络和数据为各部门的科学决策提供了支撑,给人民群众生活生产带来了便利的同时,也为不法分子树立了攻击目标,使得数字政府网络和数据面临的安全问题日益凸显,网络和数据安全形势愈加严峻。 一是关键信息基础设施成为数字政府网络攻击的重点。 政务、能源、电力、通信等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,但同时也是重点被攻击的目标。根据CheckPointResearch(CPR)发布的有关2022年网络攻击趋势的新数据,与2021年相比, 2022年全球网络攻击增加了38%,其中政府/军事部门,平 均每周所遇攻击次数为1661次,与2021同期相比增长了 46%(如图1-2所示)。 图1-22022年按行业划分每个组织平均每周发生的攻击次数 2