保密快讯

广东:全力守护数字政府安全

2020-03-14 保密在线

 以前群众找政府办事要交各种材料、跑多个地方。如今在广东,只要下载一个叫作“粤省事”的微信小程序,足不出户就可坐享1099项政务服务,还可以关联身份证、社保卡、驾驶证等58类电子证照,真正实现“数据多跑路,群众少跑腿”。这个集约化移动政务服务小程序,只是广东省数字政府改革的一个缩影。

 近年来,广东扎实推动数字政府改革,把数字政府建设作为推动经济高质量发展、再创广东营商环境新优势的着力点和突破口,积极推进各级政府部门政务信息化的职能融合、技术融合、业务融合与数据融合,以数据共享释放数字红利,在当前的数字政府改革和建设中实现领跑。

 随着数字政府改革和建设的逐步深入,“云端”汇聚存储了大量政务信息、企业信息和个人信息,网络安全保密风险不断加剧。如何在实现数据共享的同时确保数据安全保密,成为一个全新课题。为此,广东大胆探索,以总体规划推动网络安全保密体系化建设,全力守护数字政府安全。

 总体规划

 早在数字政府改革和建设起步阶段,广东就高度重视网络安全保密工作,把安全保密作为数字政府改革和建设的生命线。省长马兴瑞多次强调,要坚持底线思维,加快构建并不断完善数字政府网络安全保密体系,切实筑牢数字政府安全保密的防火墙、护城河。

 然而,这并非易事。当时,广东的政务外网已建成联通省、市、县三级的纵向网络系统,覆盖204个省级单位、21个地级市、121个县区;政务外网上的应用系统日益丰富,已承载公共应用和部门业务系统两大类851个应用系统;数据覆盖人口、法人、社会信用、空间地理、电子证照等5大基础库,已采集汇聚156亿余条高价值数据。但在安全保密方面却存在5大突出问题:安全管理权责边界不清晰;安全防护有技术、缺体系;安全运营重技术、轻管理;安全监管缺手段、少抓手;数据管理有规划、缺落实。

 “针对这些突出问题,必须转变思路,全省加强统筹,通过总体规划推动网络安全保密体系建设,实现‘四个转变’。”省政务服务数据管理局副局长陈峻华告诉记者。具体说来就是在“政企合作、管运分离”的总框架下,将数据管理方、运维执行方、安全监管方的权限进行严格分离,实现安全权责归属从单元向多元转变;统筹建设部署统一的云平台防护体系,制定统一安全管理策略,将传统N个厅局单位的N个安全防护系统转换为“1加N”模式,实现网络安全防护从分散向集中转变;将安全作为内置“基因”,统筹考虑设计、建设、运营全程的安全问题,实现安全建设思想从外挂向内置转变;建设基于风险预防的主动防御体系,实现风险防护手段从被动向主动转变。

 为了把“四个转变”落到实处,省政务服务数据管理局联合省保密局等有关部门,抓紧编制数字政府网络安全保密体系建设总体规划。在总体规划编制过程中,省保密局提前介入,成立了由贾穗军局长任组长,各处、中心骨干力量组成的数字政府建设保密工作专班,针对数字政府建设中的安全保密风险,分专题组织研究,逐步厘清数字政府保密监管工作思路,在此基础上,制定数字政府保密管理专项工作方案,加强与省政务服务数据管理局的沟通交流,积极参与总体方案论证,推动数字政府建设有关单位落实安全保密主体责任,将保密要求融入系统规划、开发、运维的各环节、全过程。

 同时,省政府原副秘书长、省政务服务数据管理局原局长逯峰在贾穗军局长的陪同下,多次赴国家保密局、中科院信息工程研究所考察网络安全保密工作,并专门邀请中科院信息工程研究所为广东数字政府网络安全保密体系建设做顶层设计。中科院信息工程研究所派出专家技术团队,先后3次赴广东开展现场调研,与省政务服务数据管理局、省保密局等部门通力合作,最终形成了全国首个省级数字政府网络安全体系建设总体规划,将保密监管列为数字政府安全监管的重要内容。

 总体规划立足“四个转变”工作思路,明确提出要全面构建“三横四纵”的网络安全总体框架,即以云平台、大数据中心和应用为重点,全面构建网络安全管理体系、网络安全技术体系、网络安全运营体系、网络安全监管体系。

分类管理

 广东数字政府改革力度很大。改革前,省直单位基本都有自己的信息化部门,省直自建系统多达1068个,各个部门信息系统烟囱林立,数据孤岛大量存在。2017年以来,按照“管运分离、政企合作”模式,广东撤并调整省信息中心和省直各部门44个内设信息化机构,统一到省政务服务数据管理局一个部门,同时公安、民政、人社、卫生等55个部门2389类、153亿条数据实现了互联互通。

 为了进一步规范“上云”政务数据的分类管理,2018年11月,省政府办公厅印发《广东省政务数据资源共享管理办法(试行)》,其中明确规定,政务数据资源共享遵循“共享为原则,不共享为例外”,政务数据资源分为3类:可提供给所有政务部门共享使用的政务数据资源属于无条件共享类,需要使用的可通过省政务大数据中心自行获取;可提供给相关政务部门共享使用或仅能够部分提供给所有政务部门共享使用的政务数据资源属于有条件共享类,需要使用的可提出共享申请,由政务数据主管部门会同政务数据提供部门按照规定的共享条件进行审核;不宜提供给其他政务部门共享使用的政务数据资源属于不予共享类。

 按照省政府办公厅关于加强政务数据分类管理的部署要求,省保密局专门印发通知,明确指出,一期云平台属于非涉密信息系统,不能存储、处理涉密信息,各地各部门要参照政府信息公开保密审查的规定,对迁移数据进行保密审查,严禁将涉密信息迁移至非涉密政务云平台;各地各部门要加强上传数字政府云平台信息的分类管理,非涉密政务信息应当根据省政务信息资源共享规则及目录等规范,分为无条件共享、有条件共享和不予共享类信息。

 根据这两个规范性文件,各部门积极开展本部门政务数据资源编目工作,明确政务数据的分类、共享类型、共享方式、使用要求等内容,严格进行政府信息公开保密审查,及时汇总提交给省政务大数据中心。同时,为了确保数据迁移过程中的安全保密,省保密局先后到省国土资源厅和商务厅实地调研了解相关情况,指导有关单位加强信息分类管理、数据上传保密审查和定密、解密等工作。

 “迁移过来的数据集中在省政务大数据中心,具体由数字广东公司负责运营。为了确保迁移来的数据安全保密,我们联合省保密局,为数字广东公司量身定制了《受控信息安全保密管理制度(试行)》,进一步细化分类管理。”省政务服务数据管理局安全管理处负责人罗奇伟告诉记者。据介绍,该制度明确规定,主动公开或根据法律法规应当主动公开的,不列入受控信息范畴(主要是指无条件共享类的信息);受控信息(主要是指有条件共享和不予共享类的信息)分为“一般”和“重要”两个等级;依申请公开的党政信息,列入“一般”受控信息等级;对党政部门未公开的内部其他工作事项,则归类为“重要”受控信息等级。同时规定,针对不同等级的信息,采取不同的保护措施。

立体防护

 在分级分类管理的基础上,广东不断建立完善政务共享数据资源安全运营、安全管理、安全监管的三方工作机制,构建立体防护网。

 安全运营由数字广东公司负责,承担政务数据资源采集、传输、存储、使用、交换、销毁等全生命周期的安全保障工作,落实信息系统加密、访问认证等安全防护措施,防止数据泄露和非法获取。为了确保运营安全,广东省在组建数字广东公司上颇费心思,引入了最强阵容,由腾讯与三大运营商合资组建数字广东公司,并与华为合作,统筹开展安全运营工作。这就等于把专业的事交给最专业的人干,还解决了政府人才不足、技术落后等问题。

 “我们公司具有腾讯强大的安全内生基因,建设运维的‘粤省事’‘粤商通’、政务服务网等平台均具有极高的安全性。其中,政务服务网正式通过网络安全等级保护三级测评,成为全国首批、全省首个通过网络安全等级保护制度2.0标准测评的政务信息系统。”数字广东公司副总裁、保密总监徐延林自豪地说。记者在采访中了解到,目前,数字广东公司已成立了信息安全保密领导小组,任命了保密总监,组建了保密办,制定了十几项信息安全保密管理制度,开展了全员保密培训、线上安全保密知识竞赛等活动,现在正全力向涉密信息系统集成甲级资质申请冲刺。

 省政务服务数据管理局还依托数字广东公司建设了省市一体化安全运营平台,通过连通各地云平台节点,构建了统一安全威胁情报关联、安全警告分析、预警通报、应急响应、漏洞管理、安全事件处置等安全运营体系。其中,利用人工智能技术打造的安全态势可视化系统,获得省委省政府领导的高度认可。同时,省政务服务数据管理局高度重视“以攻促防”,组织数字广东公司定期开展网络安全攻防演练,近年来已累计举办5次、累计20支安全队伍、110余名安全人员参演,持续时间6周,共发现243个高、中风险安全漏洞并及时予以安全加固。

 除此之外,广东还特别加设了另外两道防线:省政务服务数据管理局委托第三方机构负责安全管理,对数字广东公司的数据安全保障工作实施监督、评估、审计,建立安全日志留存和溯源制度,定期上报数据安全风险分析报告,对发现的重大数据安全风险问题第一时间报告并提出整改意见;会同网信、公安、保密等部门按职能共同负责安全监管,承担对省政务大数据中心接入和输出边界的安全态势监管、内容安全监管、失泄密监管,并联合建立政务数据安全事件通报预警与应急响应机制。

 最近,省政务服务数据管理局和省保密局联合设立了数字政府建设保密管理工作站,建立了定期沟通联系机制,确定每两周开展一次工作对接,共同分析研判保密风险隐患,共同协商应对方案。“下一步,我们将持续推进保密技术监管与数字政府建设深度融合,建立专项监管与自监管有机结合的保密技术监管机制,加强网络攻击窃密、网络泄密和保密违规行为的警告、采集、分析和处置,强化内部威胁风险检测,切实筑牢广东数字政府信息安全保密防线。” 陈峻华说。