楊鵬飛 羅奇?zhèn)?李 堯

1(廣東省政務服務數(shù)據(jù)管理局 廣州 510030)2(廣州賽寶認證中心服務有限公司 廣州 510610)

(yangpf@gd.gov.cn)

近年來，我國逐漸推進政府數(shù)字化轉型，數(shù)字政府建設進程快速推進[1].數(shù)字政府改革建設的重點是推進政務數(shù)據(jù)的整合、開放和共享，政務數(shù)據(jù)及業(yè)務的融合集中增加了網(wǎng)絡安全防護難度，使得數(shù)字政府面臨更加復雜的形勢和嚴峻挑戰(zhàn)[2].只有建立健全數(shù)字政府網(wǎng)絡安全防護體系，提升整體安全防護能力，才能保障政府數(shù)字化轉型持續(xù)、安全、高質量推進.然而，當前我國各地數(shù)字政府網(wǎng)絡安全防護工作普遍存在頂層規(guī)劃設計缺乏、安全管理缺失、安全防護技術落實不到位、安全運營能力不足等問題[3].

為了應對數(shù)字政府面臨的安全威脅和嚴峻挑戰(zhàn)，有必要建立數(shù)字政府網(wǎng)絡安全保障架構體系，引導數(shù)字政府網(wǎng)絡安全防護體系建設工作，并建立數(shù)字政府網(wǎng)絡安全指數(shù)評估指標體系，對其防護工作開展情況及防護效果進行評價，促進網(wǎng)絡安全防御體系迭代建設，持續(xù)提升數(shù)字政府網(wǎng)絡安全防護水平.

1 網(wǎng)絡安全保障框架研究概述

當前，網(wǎng)絡安全保障框架及能力評估模型主要分為2類：

1) 通用型安全保障框架或能力評估模型.國際電信聯(lián)盟從法律、技術、組織、能力建設以及合作5個方面，提出了全球網(wǎng)絡安全指數(shù)指標體系[4].等保2.0從安全管理制度、安全管理組織、安全管理人員、安全建設管理以及安全運維管理等9個方面提出了網(wǎng)絡安全等級保護通用安全要求[5].GB/T 31495—2015系列標準從保障措施、保障能力和保障效果3個方面提出了信息安全保障模型，并構建了信息安全保障指標體系，包括建設情況指標、運行能力指標和安全態(tài)勢指標3項一級指標和12項二級指標[6].胡勇[7]在分析信息系統(tǒng)風險評估涉及的諸多因素，如人、業(yè)務戰(zhàn)略、法律法規(guī)及人文環(huán)境、資產(chǎn)、威脅、安全事件、安全措施以及安全保護等級等的基礎上，提出了網(wǎng)絡信息系統(tǒng)風險評估指標體系.劉昱[8]提出了包含管理、技術、操作以及環(huán)境4項一級指標的信息安全風險評估模型，研制了信息安全指數(shù)，并對其進行了實證驗證.吳志軍和楊義先[9]從信息安全保障的戰(zhàn)略、管理策略、工程規(guī)范和技術措施方面出發(fā)，構建了包括保障功能、安全運行以及保障效果3個方面的信息安全保障評價指標體系.

2) 面向特定行業(yè)的安全保障框架或能力模型.吳靜媛和周鵬穎[10]結合港口信息安全保障工作的需求，從管理、技術、工程和人員4個方面，提出了定性與定量結合的港口信息安全3維評價指標體系.施俊[11]從靜態(tài)技術評價和動態(tài)能力評價2個方面提出了煙草行業(yè)信息安全評價指標體系.其中：靜態(tài)技術指標包括安全管理、安全技術、安全運維；動態(tài)能力主要評價系統(tǒng)防攻擊、防篡改、防病毒、防癱瘓、防竊密等能力.趙婷等人[12]從組織體系、規(guī)章制度、資金保障、人員安全、服務外包管控、網(wǎng)絡安全防護等15個方面，提出了70項電力信息安全水平評價指標.李嵐和杜澄[13]從管理、保障建設和戰(zhàn)略3個方面構建了指標體系，對科研機構的信息安全水平進行了評價.李振富等人[14]運用改進型德爾菲法和層次分析法，構建了戰(zhàn)術互聯(lián)網(wǎng)信息安全風險評價指標體系.

通過對已有網(wǎng)絡安全相關保障框架和能力評價模型的研究發(fā)現(xiàn)，網(wǎng)絡安全保障框架主要包括戰(zhàn)略規(guī)劃、政策法規(guī)、標準規(guī)范等宏觀環(huán)境因素保障，管理組織、制度體系、人員和經(jīng)費等組織管理保障，安全防護技術能力建設保障以及安全運維能力保障等.眾多機構、專家以及學者對網(wǎng)絡安全風險評估的指標設定可以歸納為安全管理、安全建設、安全運營和安全效果4個方面.其中：安全管理主要評價網(wǎng)絡安全宏觀環(huán)境和組織管理情況；安全建設主要評價網(wǎng)絡安全防護能力建設情況；安全運維主要評價網(wǎng)絡安全運營運維能力情況；安全效果主要評價網(wǎng)絡安全防護工作取得的成效情況.具體指標的設定，根據(jù)關注重點或行業(yè)特點等不同而有所不同.

同時，通過研究發(fā)現(xiàn)，當前專門針對數(shù)字政府的網(wǎng)絡安全保障框架或防護能力評估模型的研究較為缺乏，已有的通用型保障框架或能力評估模型，又缺乏對數(shù)字政府的特點及其安全防護需求的考量.基于上述分析，研究并提出數(shù)字政府網(wǎng)絡安全保障框架及評估指標體系，具有重要的理論和實踐意義.

2 數(shù)字政府網(wǎng)絡安全保障架構體系

通過研究國內外安全保障框架及能力評估模型，并結合數(shù)字政府網(wǎng)絡安全特點及實際需求，構建了數(shù)字政府網(wǎng)絡安全保障架構體系.如圖1所示，數(shù)字政府網(wǎng)絡安全保障框架主要包括安全戰(zhàn)略保障、組織管理、技術保障、運行保障和服務支撐5個方面.

網(wǎng)絡安全戰(zhàn)略保障主要從明確網(wǎng)絡安全戰(zhàn)略規(guī)劃、完善網(wǎng)絡安全法律法規(guī)體系、發(fā)布網(wǎng)絡安全政策規(guī)范和指引、健全網(wǎng)絡安全標準體系等方面著手，做好數(shù)字政府網(wǎng)絡安全的整體規(guī)劃和頂層設計.邀請行業(yè)專家組建網(wǎng)絡安全智庫機構，為網(wǎng)絡安全相關工作提供決策支撐.在遵循國家政策法規(guī)的基礎上，制定數(shù)字政府網(wǎng)絡安全相關的法規(guī)政策及實施辦法，健全網(wǎng)絡安全相關標準和指南.結合地區(qū)實際情況制定網(wǎng)絡安全戰(zhàn)略目標及規(guī)劃文件，統(tǒng)籌地區(qū)數(shù)字政府網(wǎng)絡安全工作，指導安全管理、技術防護、安全運營以及服務支撐等相關工作的開展.

網(wǎng)絡安全組織管理主要是從網(wǎng)絡安全管理組織建設、管理人員配置、安全制度體系建設、安全意識教育培訓、安全考核與獎懲、安全經(jīng)費保障等方面著手，構建高效、協(xié)同的安全管理體系.積極推進數(shù)字政府網(wǎng)絡安全責任落實制度，建立跨部門、跨單位的溝通聯(lián)絡機制，加強網(wǎng)絡安全工作協(xié)同聯(lián)動.加強安全管理人員配置，明確安全責任與分工，做到安全工作專人負責.加強網(wǎng)絡安全教育與培訓，構建安全考核與獎懲機制，提升整體網(wǎng)絡安全意識.加大網(wǎng)絡安全投入，確保網(wǎng)絡安全相關要求的落地實施，協(xié)同推進網(wǎng)絡安全防護體系建設工作.

網(wǎng)絡安全技術保障主要從加強信息資產(chǎn)管理、注重定級備案和等級測評、落實安全防護技術、重點保護關鍵信息基礎設施和數(shù)據(jù)安全方面著手，建立既強調全面又突出重點的技術防護體系.信息資產(chǎn)管理是基礎，通過建立健全數(shù)字政府信息資產(chǎn)發(fā)現(xiàn)、跟蹤、管理的技術手段，建立資產(chǎn)清單，提升資產(chǎn)管理能力.基礎網(wǎng)絡和重要信息系統(tǒng)按要求定級備案并落實相關安全防護技術措施，及時完成等級測評.梳理識別數(shù)字政府相關關鍵信息基礎設施，落實關鍵信息基礎設施保護的重要安全技術要求.將政務數(shù)據(jù)安全作為網(wǎng)絡安全的重中之重，做好數(shù)據(jù)分類分級，加強數(shù)據(jù)全生命周期的安全技術防護.

網(wǎng)絡安全運行保障從日常運行維護、風險識別、監(jiān)控與監(jiān)測、應急響應、事件處置、風險整改加固、業(yè)務連續(xù)性保障等方面著手，確保數(shù)字政府網(wǎng)絡安全穩(wěn)定運行.建設網(wǎng)絡安全運營平臺，加強日常巡檢和定期維護，確保安全檢測能力覆蓋所有上線系統(tǒng).定期開展安全基線核查、漏洞掃描、滲透測試以及風險評估等工作，提升安全風險識別能力.購置的網(wǎng)絡安全監(jiān)測平臺或服務需具備失陷監(jiān)測、欺騙防御、異常行為監(jiān)測、威脅情報感知、全流量監(jiān)測分析等能力，監(jiān)測數(shù)據(jù)及時上報共享.制定網(wǎng)絡安全應急預案并定期開展應急演練，形成完善的安全事件應急處置、調查評估、通報上報、溯源分析及整改加固機制.重要數(shù)據(jù)定期備份并進行恢復測試，進行業(yè)務影響性分析并進行業(yè)務連續(xù)性測試，重要系統(tǒng)建設災備系統(tǒng)，提升業(yè)務連續(xù)性保障能力.

網(wǎng)絡安全服務支撐是圍繞安全咨詢、設計、集成、運維、測評、改進等數(shù)字政府網(wǎng)絡安全防護體系建設的全生命周期，通過采購產(chǎn)品或服務，建立數(shù)字政府可持續(xù)的安全防護能力，形成規(guī)劃設計、建設運行、監(jiān)督評價和持續(xù)改進的良性循環(huán).規(guī)劃設計階段綜合分析數(shù)字政府網(wǎng)絡安全面臨的威脅與挑戰(zhàn)，提出系統(tǒng)性的設計要求；設計階段采取安全防護管理和技術措施，建立網(wǎng)絡安全綜合防護能力；運維階段通過檢測各設備、系統(tǒng)及應用的運行狀況，及時對安全風險和事件進行響應和管理；測評階段主要是對安全規(guī)劃設計的實施情況進行監(jiān)督，全面評估相關安全策略是否有效實施；改進階段對發(fā)現(xiàn)的漏洞及風險及時整改，迭代提升網(wǎng)絡安全防護能力.同時，引導服務支撐各環(huán)節(jié)供應商構建技術協(xié)同機制，推動區(qū)域產(chǎn)業(yè)協(xié)同合作.

3 數(shù)字政府網(wǎng)絡安全指數(shù)評估體系

為了全面評價上述數(shù)字政府網(wǎng)絡安全戰(zhàn)略保障的完備性、組織管理和技術保障的有效性、運行保障能力的成熟性，進而提出了數(shù)字政府網(wǎng)絡安全指數(shù)評估指標體系.數(shù)字政府網(wǎng)絡安全指數(shù)評估指標體系是根據(jù)網(wǎng)絡安全保障的層次對評估對象和內容進行逐層分解得到.指標體系共有3個層級，如圖2所示，包含4項一級指標、24項二級指標和70個評估要點，各項指標權重通過專家調查法(Delphi)確定.其中一級指標和二級指標相對固定，評估要點相對靈活，可根據(jù)防護需求和防護重點進行擴展或刪減.

圖2 數(shù)字政府網(wǎng)絡安全指數(shù)評估指標體系

在一級指標中：安全管理指標用于評估安全戰(zhàn)略保障、安全組織管理以及服務支撐各環(huán)節(jié)引入的供應鏈安全問題；安全建設指標用于評價安全技術保障能力以及安全防護體系建設所需的服務支撐體系完備度；安全運營指標用于評價安全運行保障能力；安全效果指標用于評價安全體系產(chǎn)生的安全效果.

3.1 網(wǎng)絡安全管理指標

網(wǎng)絡安全管理指標評估搭建的安全管理體系完善及健全程度，包括安全戰(zhàn)略規(guī)劃指標、安全管理組織指標、安全管理人員指標、安全政策規(guī)范指標、安全意識指標、安全投入指標、供應鏈安全管理指標7項二級指標.

安全戰(zhàn)略規(guī)劃指標主要評價網(wǎng)絡安全戰(zhàn)略明確程度、安全規(guī)劃文件發(fā)布情況，以及安全專家隊伍和智庫機構建設情況等；安全管理組織指標主要評價網(wǎng)絡安全管理機構的健全性及其工作責任的明晰程度，以及與各監(jiān)管機構之間的主動協(xié)同性等；安全管理人員指標主要評價安全管理人員配置情況及其職責分工明確程度等；安全政策規(guī)范指標主要評價網(wǎng)絡安全地方政策法規(guī)、指引及標準制定情況、安全管理體系建立情況及安全政策法規(guī)宣貫活動開展情況等；安全意識指標主要評價安全相關人員識別或避免可能危害網(wǎng)絡安全的行為能力和警覺性、安全意識教育和培訓組織情況以及安全考核和獎懲工作開展情況等；安全投入指標主要評價網(wǎng)絡安全年度工作經(jīng)費占信息化建設經(jīng)費的比例情況、政務信息化項目網(wǎng)絡安全工作經(jīng)費占比情況等；供應鏈安全管理指標主要評價采購的產(chǎn)品和服務是否符合國家相關安全規(guī)定、供應商安全職責明確程度、供應商服務安全監(jiān)控和審計機制建立及執(zhí)行情況、供應商的安全評價機制建立及執(zhí)行情況等.

3.2 網(wǎng)絡安全建設指標

網(wǎng)絡安全建設指標評估網(wǎng)絡安全防護技術措施建設情況，包括信息資產(chǎn)管理指標、網(wǎng)絡安全等級保護指標、關鍵信息基礎設施保護指標、數(shù)據(jù)安全保護指標、服務支撐體系指標5項二級指標.

信息資產(chǎn)管理指標主要評價政務信息資產(chǎn)發(fā)現(xiàn)、探測、管理技術手段建設情況，信息資產(chǎn)與安全弱點關聯(lián)管理技術手段建設情況，政務信息系統(tǒng)清單建設更新情況，以及政務信息系統(tǒng)重要程度分級準確性等；網(wǎng)絡安全等級保護指標主要評價政務信息系統(tǒng)等級保護定級備案和測評情況，以及相關等級安全保護技術要求落實情況；關鍵信息基礎設施保護指標主要評價關鍵信息基礎設施清單建立及重要安全保護技術要求落實情況等；數(shù)據(jù)安全指標主要評價數(shù)據(jù)資產(chǎn)梳理技術手段建設情況、重要數(shù)據(jù)清單建設情況、重要數(shù)據(jù)安全技術要求落實情況等；服務支撐體系指標主要評價網(wǎng)絡安全咨詢、設計、集成、運維、測試、評估等安全服務提供商/安全服務資源池的完善程度，以及數(shù)字政府網(wǎng)絡安全產(chǎn)業(yè)協(xié)同、合作情況等.

3.3 網(wǎng)絡安全運營指標

網(wǎng)絡安全運營指標評估網(wǎng)絡安全風險發(fā)現(xiàn)、監(jiān)控監(jiān)測、事件處置等安全運營能力，主要包括安全運行維護指標、安全風險識別指標、安全監(jiān)控與監(jiān)測指標、應急響應與處置指標、業(yè)務連續(xù)性保障指標、安全協(xié)同情況指標6項二級指標.

安全運行維護指標主要評價定期安全巡檢情況，安全檢測防護能力覆蓋所有已上線系統(tǒng)情況、防護策略生效情況、安全產(chǎn)品規(guī)則庫升級情況、網(wǎng)絡安全運營平臺使用及與省平臺級聯(lián)對接情況等；安全風險識別指標主要評價網(wǎng)絡安全風險評估、安全基線核查、漏洞掃描、滲透測試開展及安全風險隱患整改情況等；安全監(jiān)控與監(jiān)測指標主要評價是否具有失陷監(jiān)測、欺騙防御、異常行為監(jiān)測、威脅情報感知、全流量監(jiān)測分析等能力；應急響應與處置指標主要評價安全應急預案制定及應急演練開展情況，安全事件通報處置、調查評估、溯源分析及整改情況等；業(yè)務連續(xù)性保障指標主要評價數(shù)據(jù)備份與恢復測試情況、業(yè)務影響分析及業(yè)務連續(xù)性測試情況、災備系統(tǒng)建設情況等方面；安全協(xié)同情況指標主要評價安全監(jiān)測數(shù)據(jù)、安全事件上報的主動性、及時性和準確性，對上級數(shù)字政府安全管理部門管理工作的配合程度等.

3.4 網(wǎng)絡安全效果指標

網(wǎng)絡安全效果指標主要評估網(wǎng)絡安全管理、建設及運營工作的成效，包括安全漏洞情況指標、安全事件情況指標、主機安全情況指標、移動終端安全情況指標、桌面終端安全情況指標以及專項檢查結果指標6項二級指標.

安全漏洞情況指標主要評價地區(qū)數(shù)字政府高中危及以上安全漏洞數(shù)量及與地區(qū)系統(tǒng)總數(shù)比例情況等；安全事件情況指標主要評價“七類”安全事件、信息泄露事件、網(wǎng)絡癱瘓事件、其他較大及以上安全事件發(fā)生情況等；主機安全情況指標主要評價本地區(qū)主機被木馬或僵尸網(wǎng)絡控制情況；移動終端安全情況指標主要評價地區(qū)移動終端中木馬、病毒情況及被木馬或僵尸網(wǎng)絡控制情況等；桌面終端安全情況指標主要評價地區(qū)桌面終端中木馬、病毒情況及被木馬或僵尸網(wǎng)絡控制情況等；專項檢查結果指標主要評價具有的安全防護、安全監(jiān)測、應急響應、異常恢復及溯源打擊能力情況等.

4 結 論

通過分析研究國內外安全保障框架及能力評估模型，并結合數(shù)字政府網(wǎng)絡安全特點及實際需求，構建了數(shù)字政府網(wǎng)絡安全保障架構體系及數(shù)字政府網(wǎng)絡安全指數(shù)評估指標體系.本文提出的數(shù)字政府網(wǎng)絡安全保障架構體系，能夠為數(shù)字政府網(wǎng)絡安全防護體系建設提供重要參考和指導，能夠通過定性與定量相結合的方式對數(shù)字政府網(wǎng)絡安全防護現(xiàn)狀進行客觀評價，以便于相關人員采取正確的措施，不斷改進防護策略，確保數(shù)字政府網(wǎng)絡安全的長效性.