“粤盾-2022”广东省数字政府网络安全攻防演练活动现场。 省政数局供图
专访为节选内容 更多详情请扫码阅读
采集21个地市安全运行维护、大数据监测、应急、攻防演练等数万项相关数据,形成全国首个体系化、可落地的省级数字政府网络安全指数,有效促进各地市不断完善网络安全防御体系,推动网络安全工作“可量化、可评估”。
——杨鹏飞
2022年广东省网络安全宣传周活动正在举行,广东省政务服务数据管理局局长杨鹏飞接受南方都市报专访,就广东数字政府网络安全建设的探索与创新作出阐述。
今年广东省网络安全宣传周由省委网信办牵头会同省委宣传部、省委编办、省教育厅、省公安厅、省国资委、省广电局、省政务服务数据管理局、省总工会、团省委、省妇联、省通信管理局、人民银行广州分行主办,将持续到9月11日。
A
架构 四个层面保障数字政府网络安全
南方都市报(以下简称“南都”):随着数字化转型加速,广东在全面深化数字政府2.0建设的过程中,将如何更好地保障网络安全?
杨鹏飞:广东数字政府建设主要从四个层面构建网络安全保障架构体系。首先是加强顶层设计,明确职责分工。明确省政务服务数据管理局、省委网信办、省保密局、省公安厅、省通信管理局等安全监管部门和省直其他部门、省数字政府建设运营中心的安全职责,建立网信、保密、公安、政数等多部门参与的联防联控和安全检查机制,加强对参与数字政府建设、运营企业的规范管理。
二是构建“三横四纵”的网络安全体系。具体包括构建“安全管理、安全技术、安全运营、安全监管”四大安全体系,贯穿数字政府云平台、大数据中心、政务应用建设运营全程。对网络安全体系框架涉及的各项工作,依据轻重缓急形成总体实施方案。
三是建立纵深的网络安全保护体系。建设省统一身份管理平台,实现“一次注册、全网通用”。编制网络、云平台、主机、应用、数据等方面安全标准,构建安全服务能力池。建设统一安全态势平台,实现数字政府网络内部安全态势与互联网威胁情报联动分析,加强大规模网络安全事件、网络泄密事件预警和发现能力。开展上线前风险评估、深度渗透测试、实战攻防演练等活动,及时发现安全隐患,全面提升数字政府防御能力。开展监督检查。省政务服务数据管理局联合省委网信办、省保密局、省公安厅、省通信管理局等部门,通过定期开展“粤盾”实战攻防演练、政务信息系统保密检查、关键信息基础设施安全检查等活动,及时发现、整改安全隐患,确保漏洞隐患闭环管理。
B
亮点 解决做什么、谁来做等四类问题
南都:广东在数字政府网络安全领域建设方面有哪些亮点举措?
杨鹏飞:广东在数字政府网络安全建设中,着力解决“做什么”“谁来做”“怎么做”“如何评价效果”等四类问题。具体而言,依托网络安全“国家队”和国内顶尖安全企业能力,编制全国首个省级数字政府网络安全体系建设总体规划,明确了安全监督部门、系统主管单位、数字政府建设运营中心的安全职责,明确了统筹协调、组织管理、技术防护、监测预警与应急处置、安全保密监管、培训教育与评估等六方面22项具体任务。
同时,推动建立网信、保密等多部门参与的多维度网络安全联防联控机制。组织工信部电子五所及深信服等国内龙头单位,从安全管理、安全建设、安全运营、安全效果四个维度,构建起数字政府网络安全能力评估的指标体系,采集21个地市安全运行维护、大数据监测、应急、攻防演练等数万项相关数据,形成全国首个体系化、可落地的省级数字政府网络安全指数,有效促进各地市不断完善网络安全防御体系,推动网络安全工作“可量化、可评估”。
为了检验数字政府网络安全整体防护能力,广东还组织开展全领域覆盖的“粤盾”数字政府网络安全实战攻防演练,对在线政务系统进行“体检”。邀请全国顶尖网络安全攻击队伍,对全省1万多个政务信息系统,重点对100多个核心重要政务系统、云平台及大数据中心,开展实兵、实网、实战攻防演练,发现并清除各类网络安全隐患。
目前,“粤盾”攻防演练结果是网络安全指数评估的重要来源,网络安全指数也成为地市网络安全工作绩效考核的重要依据。“粤盾”攻防演练、网络安全指数和网络安全考核形成“相互支撑”、“三方联动”,共同促进数字政府网络安全整体水平全方位提升。
C
举措 建立统一的数据安全防护体系
南都:广东去年出台了公共数据管理办法,那么,在推进公共数据共享开放、开发利用的过程中,如何兼顾数据安全?
杨鹏飞:广东加快推进建立了统一的数字政府数据安全防护体系,不仅明确职责分工,建立规章制度,而且加强网络、应用和数据安全技术管控,加强人员及账号权限管理,加强数据安全检测评估、安全风险监测及突发事件应急处置,以及规范数据资源开发利用管理。
具体而言,省政务服务数据管理局负责监督管理省级信息系统数据安全,组织省级部门加强行业数据重点保护,指导公共数据流通安全防护工作;省级各行业主管部门承担本行业、本领域公共数据安全监管职责;数源单位承担公共数据采集、核准和提供过程的数据安全管理职责,数据使用单位承担公共数据使用过程的数据安全管理职责。为了促进数据资源有序开发利用,编制《广东省公共数据安全管理办法》《广东省公共数据脱敏规范》等,推动数据安全管理规范化、标准化,探索数据安全使用承诺制。
同时,依托省政务云平台网络安全防护能力,为数据安全提供基础安全保障。省“一网共享”平台应用系统在设计、开发、运营、运维各环节同步规划、同步实施、同步运行各项数据安全技术保护措施,从数据采集、存储、传输、使用、共享和销毁等加强数据全生命周期保护。平台开发、运营、运维人员均要签署保密协议,相关人员账号口令由省统一身份认证平台管理,统一授权。其中,数据访问权限按照“按需申请、最小授权”原则,赋予用户最小操作权限。
此外,数据资源统一编目挂接到省“一网共享”平台。数据共享开放需求经审批同意后,以API接口形式提供对应数据服务,确保数据“可用不可见”,避免数据随意共享、数据失控。同时,依托第三方常态化安全测评服务、数据安全管理系统及日志中台,建立数据安全常态化风险评估及监测机制,主动发现数据安全风险。定期开展实战演练,“以攻促防”,提高应急响应和突发事件的能力。
D
动向 61家单位加入数字政府网安产业联盟
南都:在培育网络安全社会生态、产业生态上,还有哪些思路、动作?
杨鹏飞:广东发起成立了首个数字政府网络安全产业联盟,打造数字政府网络安全共建共享平台。目前,联盟凝聚了61家积极投身于数字政府网络安全产业发展的互联网公司、安全企业、高校、研究机构和应用单位,成立了产业合作与发展委员会、人才培养发展委员会、基础研究委员会、应用实践委员会、规划与标准委员会、市场与投资委员会等6个专业委员会。
此外,联盟还搭建了网络安全交流平台,定期举办“行业网络安全与数据安全交流会”系列交流会,助力网络安全产业发展;协助制定数字政府数据安全治理、数据安全技术、数据安全管理以及数据安全运营等标准,指导各地各部门加强数据全生命周期安全管理和技术防护,推动安全可靠技术和产品的落地应用,进一步提升数字政府整体安全防护水平。
出品:南方都市报 南都大数据研究院
统筹:邹莹 凌慧珊
采写:南都记者 袁炯贤
