2023年中国移动2023年数字政府安全体系建设指引

中国移动数字政府安全体系建设指引1.1.数字政府基本涵义1.2.新时代数字政府整体框架021.3.数字政府网络安全挑战—O3.3.国家标准规范要求—o4.2.数字政府业务应用安全风险224.3.数字政府数字内容安全风险234.4.政务数据开放共享带来的安全风险244.5.数字政府安全运营能力不足带来的安全风险4.6.自主可控的关键核心技术发展滞后带来的供应链安全风险264.7.网络安全人才队伍建设不完善带来的安全风险284.8.数字政府建设的综合安全需求28 5.1.数字政府安全体系整体框架325.2.数字政府安全制度体系345.3.数字政府安全组织人员体系375.4.数字政府安全技术保障体系42 6.1.政务网络安全466.3.政务应用安全506.4.政务数据安全516.5.密码应用安全53甘肃数字政府案例7.1.项目背景57 “数字政府”一词最早于2017年出现在政府管理视野。2018年广西、广东两省相继发布数字政府建设规划，标志着数字政府从建设理念走向落地实践，随后数字政府建设迅速向国内其他省份扩散。2019年党的十九届四中全会提出“推进数字政府建设，加强数据有序共享”,将数字政府建设由地方探索提升至国家顶层设计层面。2022年6月，国务院发布了《关于加强数字政府建设的指导意见》(国发〔2022〕14号),从多个方面对我国新时期数字政府建设提出了明确要求。数字政府，是指利用互联网、大数据、云计算、人工智能等现代信息技术，以数字化手段为支撑的政府运行新形态。数字政府建设主要包括两方面内容：一是数据融通，借助系统实现跨部门、跨地域、跨层级政务数据贯通，促进政务数据在府际间共享、共用，提高数据利用效率；二是业务融通，政府内部通过数字战略的实施，对业务流程优化再造，建立起基于政府内部数据融通的高效办事网络，节省社会交易成本。新时代赋予了数字政府建设新的内涵。国务院《关于加强数字政府建设的指模式创新和履职能力提升，构建数字化、智能化的政府运行新形态，充分发挥数字政府建设对数字经济、数字社会、数字生态的引领作用，促进经济社会高质量数字化履职能力，提升政务运行效能和政务公开水按照国务院印发的《关于加强数字政府建设的指导意见》,以深化“放管服” 的标准体系、精准持续的考评体系、高效协同的运维体系及动态可信的安全体系，如下图所示：市场监管统一电子签名统一信用体系能力开放平台数据共享交换平台公共数据开放平台数据治理数据开放数据服务政务云政务网政务公开数字机关生态环保社会管理经济调节数据安全治理平台主题库专题库数据资产安全体系运维体系考评体系标准体系统一电子证照统一公共支付统一身份认证统一电子印章体化决策指挥体系共撑台公支平公共服务合一基础设施层全面推动5G与电子政务网络的深度融合，应用网络切片技术、区块链服务网络BSN、量子通信、互联网技术，构建全方位支持IPv6的新一代数字政府电子政务网络设施，致力于助力各级政府打造覆盖技术先进、品质优良的政务网络。融合应用5G+AICDE等新技术，按照“多云统管”的思路，形成一体化云管理平台，对云资源实行统一管理、统一监控和统一运维，打造逻辑集中、物理分散的政务云资源池，试点信创云建设，满足数字政府信创业务适配能力，构建政务“一朵云”,实现数字政府应用高效集约支撑。坚持自主创新原则，持续提升政务云平台的支撑能力、安全水平，为数字政府业务应用提供安全、稳定、可靠、按需使用、弹性伸缩的云资源能力。通过构建以需求为导向、以深化“放管服”改革为抓手、以制度为保障，章等共性服务能力，融合5G、区块链、云计算、大数据、物联网、移动互联网统筹重构一体化政务服务平台，汇聚收敛PC端、移动端、12345热线、自 办好事、让老百姓好办事”,提升用户体验、增强用户获得感。通过统一政务服是支撑系统建设、管理、服务的重要手段。依据国家、行业相关标准，统通过建立数字政府考评指标和评分标准，落实考核和精准督查机制，发挥是数字政府建设和运维的核心要求。以国家法律为依据，按照网络安全等级保护2.0和关键信息基础设施安全保护制度要求，以落实网络安全工作责任制为抓手，以构建高标准安全体系的数字政府为目标，坚持“人防、物防、技防” 随着新一代数字技术的发展和政府治理理念的升级，云计算、大数据、人工智能、区块链等新技术应用的不断深化，数字政府的数字化、智能化程度变得越来越高，随之而来的安全问题愈加突出。在数字化时代，数字政府建设推动政府运行由“物理空间分散化”走向“网络空间一体化”,推动政府实现线上线下深度融合、有效衔接和互为补充，有效提升政府服务效能。数字政府的网络空间和物理空间更多地在融合与渗透，使得网络虚拟空间的安全风险和攻击会更多地进入到现实的物理空间。数字政府一旦成为攻击目标，可能会遭受敌对势力、不法人员发起的网络攻击和恶意入侵，可能会造成数字政府业务瘫痪，敏感数据泄露等安全风险。数字政府的高价值性叠加上数据要素化、网络连接泛在化、云网共生化和能力开放性特征，使得风险暴露面更加突出，进一步加剧了攻防双方的不对称性，使得遭受攻击的概率倍增，带来的危害和影响也将涉及到民生安全、社会安全和国家安全。■数字政府 数字政府安全建设总体思路以党的二十大精神为指引，坚持以新安全格局保障新发展格局，统筹发展与安全，深化贯彻党委(党组)网络安全工作责任制，全面落实国家网络安全法律法规要求，以构建高安全的数字政府为目标，推动“人防、物防、技防”,建立健全数字政府一体化网络安全保障体系，围绕数字政府建设筑牢网络安全“铜墙铁壁”、打造实战化安全“铁军”,把安全发展贯穿于数字政府建设各领域和全过程，达到安全可控可管可信可见，进一步促进数字政府高质量发展。以党的二十大精神为指引，落实总体国家安全观，坚持促进发展和依法管理相统一、安全可控和开放创新并重，严格落实网络安全各项法律法规制度，全面构建制度、管理和技术衔接配套的立体安全防护体系，切实守住数字政府网络安全底线。务安全、网络安全、数据安全”三位一体，坚持“战建互促”、“攻防并举”,坚持“安全即服务”、“以实战为导向”,创新“元信任安全”理念，着力构建涵盖治理、管理、技术、运营四方面的数字政府安全体系，持续提升政务系统网络安全整体防护能力，奋力开创政务系统网络安全工作新局面。2345623456数字政府安全体系建设坚持如下工作原则：坚持统筹发展与安全。安全是发展的前提，发展是安全的保障，坚持总体国家安全观，坚持发展和安全并重，实现数字政府高质量发展和高水平安全的良性互动，努力实现发展和安全的动态平衡。密码应用安全的规划、建设与评估工作，促进落实网络安全主体责任及各项技术和管理举措。坚持“三同步”与“四统一”。制定网络安全制度标准规范、组织人员和技术保障体系，坚持网络安全与数字政府建设“同步规划、同步建设、同步使用”,做到“统一谋划、统一部署、统一推进、统一实施”。坚持问题导向和实战化引领。聚焦数字政府安全的突出问题和薄弱环节，坚持底线思维和极限思维。以防控数字政府重大威胁和风险隐患为重点，立足有效应对大规模网络攻击和基础设施遭摧毁等极端情况，提档升级网络安全重要措施。实训等方面，做好数字政府安全综合保障支撑工作，创新数字政府安全管理方式，全力推进数字政府一体化安全保障体系建设。 数字政府安全工作坚持高位推动，按照“一岗双责”要求，管业务必须管安全，以保障数字政府业务安全为目标，构建数字政府“三大安全体系”,重点聚焦“六大关键领域”,以“技管营”并重方式保证数字政府安全体系建设的完整性和有效性。构建三大安全体系。一是布局实施安全管理制度体系，开展数字政府安全顶层设计、建立数字政府安全管理制度、政策和标准化体系，强化安全规范标准在数字政府建设各个环节中的应用。二是构建符合数字政府安全需要的安全组织人员体系，从组织、人员和制度规范层面落实管理和监督责任，形成数字政府的安全组织人员体制机制。三是构建具有自适应安全能力的数字政府安全技术体系，从风险识别、防御、检测、响应、恢复多个能力要素维度进行闭环安全能力建设。聚焦六大关键领域。聚焦政务网络安全、政务云安全、政务应用安全、政务数据安全、密码应用安全和安全运营等六大专项建设，为数字政府健康可持续发展提供数字化安全基石和底座。以整体性、系统性的视角，将安全能力与数字政府业务实现融合，在有效防止安全能力缺失的同时，更保证安全能力对政务业务的持续保障。在数字政府安全体系建设指引下，安全基础支撑能力大幅度提升，基本建成融合政务业务和安全能力的一体化数字政府，支撑和推动数字政府健康可持续发遵从国家网络和数据安全相关法律规范，通过统筹归总、协同推进安全组织人员体系、安全制度体系和安全技术体系建设，全面强化数字政府安全管理责任，落实安全管理制度，加强关键信息基础设施安全保障，强化安全防护技术应用，切实筑牢数字政府建设安全防线，总体上达到“安全体系有规划、安全管理有制度、安全防护有纵深、安全能力有韧性、安全运营有保障、安全处置有协同”的“六有”安全目标。安全体系有规划。充分考虑数字政府业务特性和合规驱动，强化数字政府安全体系有规划。充分考虑数字政府业务特性和合规驱动，强化数字政府安全工作的顶层设计和统筹规划，自上而下推动安全工作落地做实。安全管理有制度。加强数字政府安全体系建设工作的组织领导，推动数字政府各项安全管理制度规范落地，使安全工作的制度化、规范化能力得到安全防护有纵深。建设数字政府多层次网络安全纵深防御体系，全面提升数字政府网络安全整体防护能力。安全能力有韧性。灵活运用零信任安全理念，构建符合数字政府业务需要的统一多元数字安全韧性能力体系，实现安全能力的灵活、弹性、自适应安全运营有保障。建设“人机结合、持续监测”的安全运营管理工作机制，推动安全运营常态化高质量开展，保障数字政府持续稳定健康运行。安全处置有协同。落实情报共享、实时监测、信息通报预警、重大事件协同处置等措施，提高数字政府网络安全协同分析、决策及处置能力。23456p) 开展数字政府网络安全建设时，必须坚持“安全即合规”,严格遵循落实国家网络安全相关法律法规、政策制度、标准规范要求，做到守住底线、不碰红线，确保各项工作依法合规开展。目前，国家涉及数字政府网络安全建设领域的政策制度、法律法规、标准规范体系框架如下图所示：国家政策制度《中华人民共和国第十四个五年规划和2035年远景目标纲要》《法治政府建设实施纲要(2021-2025)》《全国一体化政务大数据体系建设指南》《关于落实网络安全保护重点措施深入实施网络安国家法律法规《反电信网络诈骗法》《商用密码管理条列》《网络安全审查办法》《个人信息保护法》《关键信息基础设施安全保护条例》《信息安全等级保护管理办法》《计算机信息系统安全保护条列》《国家政务信息化项目建设管理办法》《商用密码应用安全性评估管理办法》国家标准规范等级保护2.0系列标准云计算安全系列标准国家电子政务外网系列标准密码应用安全系列标准数据安全系列标准关键信息基础设施保护系列标准 面对不断恶化的国际网络环境，国家层面相继出台网络安全方面的各项政策制度，国务院办公室等单位也陆续发布了多项政策文件，不断强化电子政务网络安全要求，促进政务领域网络安全建设。在国家政策制度层面，对数字政府网络安全建设提出了如下要求。《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远重要网络和信息系统安全保障”,为高水平数字政府建设提出安全要求。《关于加强数字政府建设的指导意见》,强调构建数字政府全方位安全保障体系，全面强化数字政府安全管理责任，落实安全管理制度，加快关键核心技术攻关，加强关键信息基础设施安全保障，强化安全防护技术应用，切实筑牢数字政府建设安全防线。《法治政府建设实施纲要(2021-2025年)》,明确提出了“全面建设数字法治政府”的基本路径和目标要求，“健全法治政府建设科技保障体系，全面建设数字法治政府”,不断优化依法行政的方式方法，不《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》,明确要求关键信息基础设施建设单位认真落实本意见要求，开展网络安全等级保护建设和关基安全防护，实现“三化六防”。《全国一体化政务大数据体系建设指南》,明确提出健全数据安全制度《全国一体化政务大数据体系建设指南》,明确提出健全数据安全制度规范、提升平台技术防护能力和强化数据安全运行管理方面的建设指南和要求，助力政务数据安全保障一体化。O《关于落实网络安全保护重点措施深入实施网络安全等级保护制度的指导意见》,明确了网络安全保护的总体要求、工作目标和34项重点措施，同时还着重强调了将网络安全等级保护制度与关键信息基础设施保护制度、数据安全保护制度有机衔接，统筹落实，为新时期数字政府安全建设提供了重要指导依据。近年来，国家密集出台了网络安全法、数据安全法、个人信息保护法、密码法、反电信网络诈骗法、关键信息基础设施安全保护条例、网络安全审查办法等网络安全相关法律法规，规范并明确了数字政府网络安全相关责任与要求。在网络安全法中，明确把电子政务领域列入关键信息基础设施保护的范围，要在网络安全等级保护制度的基础上，施行重点保护。同时明确针对未依法履行网络安全保护义务的国家机关政务网络的运营者给予一定程度上的处罚。在数据安全法中，明确提出“建立健全数据安全管理制度，落实数据安在数据安全法中，明确提出“建立健全数据安全管理制度，落实数据安全保护责任，保障政务数据安全”,要求国家机关依照法律、行政法规的规定，建立健全数据安全管理制度，保障政务数据安全。在密码法中，明确提出“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护”,要求政府部门按照法律要求开展密码审查和商用密码应用安全性在个人信息保护法中，明确提出“任何组织、在个人信息保护法中，明确提出“任何组织、个人不得非法收集、使用、加工、传输他人个人信息”,数字政府业务系统中承载着大量个人信息，需要采取有效的技术手段和管理措施来保证个人信息安全。在反电信网络诈骗法中，强调预防、遏制和惩治电信网络诈骗活在反电信网络诈骗法中，强调预防、遏制和惩治电信网络诈骗活动的工作，要求地方各级人民政府组织领导本行政区域内反电信网络诈骗工作，确定反电信网络诈骗目标任务和工作机制，开展综合治理。在关键信息基础设施安全保护条例中，明确指出电子政务属于关键信息基础设施，采取监测、防御、处置等安全措施，施行重点保护。在国家政务信息化项目建设管理办法中，规范了国家政务信息化在国家政务信息化项目建设管理办法中，规范了国家政务信息化建设管理，为推动政务信息系统跨部门跨层级互联互通、信息共享和业务协同，强化政务信息系统应用绩效考核提供了有力的支撑。在网络安全审查办法中，明确提出“关键信息基础设施运营者采购网络产品和服务，网络平台运营者开展数据处理活动，影响或者可能影响国家安全的，应当按照本办法进行网络安全审查”,数字政府作为国家关键信息基础设施，在其安全建设过程中需要符合网络安全审查办法相关标准规范是数字政府网络安全建设推进的具体指针，数字政府网络安全建设要按照等保2.0系列标准、电子政务行业相关标准、数据安全系列标准、云安全系列标准、关键信息基础设施保护系列标准等网络安全标准要求开展，并通过相应的能力测评或评估。在数字政府网络安全建设方面的国家标准规范主要如下。等保2.0系列标准规范，明确了网络安全的全方位主动防御、动态感知等保2.0系列标准规范，明确了网络安全的全方位主动防御、动态感知和全面审计等要求，实现了对传统信息系统、基础信息网络、云计算、大数据等保护对象的全覆盖。关键信息基础设施网络安全保护系列标准规范，明确了对关键信息基关键信息基础设施网络安全保护系列标准规范，明确了对关键信息基础设施的重点保护要求，从识别分析、安全防护、检测评估、监测预警、主动防御、事件处置等方面提出了要求。数据安全系列标准对重要数据识别、数据分类分级、数据处理、数据共数据安全系列标准对重要数据识别、数据分类分级、数据处理、数据共享交换、个人信息保护等方面进行了规范化要求，为数字政府在数据安全建设方面提供了依据。电子政务外网系列标准对电子政务网站系统、政务信息共享、政务平台电子政务外网系列标准对电子政务网站系统、政务信息共享、政务平台接入、政务网络技术及管理等方面进行了细粒度要求，为数字政府在电子政务外网安全建设方面提供了依据。云计算安全系列标准对云计算架构、云服务质量、云服务安全监管、云云计算安全系列标准对云计算架构、云服务质量、云服务安全监管、云服务能力、云服务安全能力等方面进行了规范化要求，为数字政府在电子政务云安全建设方面提供了依据。 数字政府 数字政府安全风险与需求目前，数字政府安全体系建设仍然存在诸多深层次问题与挑战，如网络安全管理工作的体系化、标准化、规范化程度不高；部分人员网络安全意识淡漠，网络安全工作“说起来重要、做起来次要、忙起来不要”,统筹协调难度大；网络安全、数据安全技术体系基础薄弱、能力分散、人才匮乏，难以形成合力；网络安全工作“看不见、摸不着”,工作成效的评价体系缺失，权责不对等；关键核心技术发展滞后带来供应链安全风险等等。在“上云用数赋智”行动计划中，云计算作为信息基础设施承担着越来越重要的基础性和支撑性作用，在实现资源集约化建设、促进业务协同方面效果显著。但同时我们也应该注意到，政务云也面临着突出的安全问题和安全风险，主要包括如下内容：政务云基础设施化、集约化和服务特性导致数字政府的建设、运营、运维和安全等相关方，在遇到安全责任边界不明确时可能会相互推诿，加上日常运维的不规范将加剧数据泄露等安全隐患。政务云作为数字政府建设的核心基础设施，技术和管理更加复杂，安全问题和隐患更多、更隐蔽，主要存在如下几个典型安全问题。(1)缺乏清晰的政务云资产管理手段。针对云平台各类软硬件资产缺乏有效的管理手段，对云平台及其承载的业务应用构成缺乏全面清晰的了解，同时，对于政务云平台、云上业务应用及其安全暴露面也缺乏有效梳理和评估，导致一些存在漏洞的资产直接暴露于互联网，成为入侵者渗透进入内网的跳板。(2)缺乏有效的政务云安全基线机制。政务云未定期开展全面安全检测工作，未结合政务云平台制定相应的安全基线规范，在新设备、系统部署前未按照(3)缺乏可靠的政务云安全应急机制。云服务商未根据用户实际需求制定合适的应急响应计划、灾难恢复计划等，且应急响应和灾难恢复演练不足，容易对用户业务连续性造成负面影响。政务应用作为推进“互联网+政务服务”的重要应用载体，面向互联网提供各类电子政务和其他公共服务，在软件生命周期中会因为安全开发手段缺失而存在业务逻辑缺陷等自身安全风险，同时也会带来恶意破解、核心代码被窃取、恶意代码注入、数据泄漏、内容篡改和关联交易认证风险等一系列安全问题。由于开发人员经验不足可能导致编码不规范、业务逻辑缺陷等问题对政务业务应用将带来严重影响；在发布阶段由于发布准备时间短、版本迭代频率高、难 以进行有效安全测试或者未经过代码安全保护就对外发布等原因，将引发被反编译、破解和二次打包等源代码泄露风险；在运行阶段，政务业务应用的运行环境动态变化，在运行过程中难以判断本身的安全状态，容易诱发撞库、脱壳、API接口暴力破解、横向越权等刷接口操作而导致数据泄露、未知逻辑漏洞被发现以及代码被反编译等风险。政务服务体系中第三方线上支付系统的身份认证主要是依靠支付账号密码、短信验证码、图案密码、指纹识别以及人脸识别等来实现身份认证与交易确认，在身份认证和交易确认过程中存在身份冒用、中间人窃听和数据篡改等风险。由于其代表政务部门的特殊属性，政务网站系统更容易遭到攻击，一旦遭受攻击出现篡改网页、中断服务、窃取信息、控制网站及感染访问用户等问题，将对政府形象、政务工作秩序和政务部门敏感信息等造成严重危害带来不良影响。数据服务API化和政务服务的API化是实现政务数字化，提高政务协同效率，优化政务利民服务的重要途径，由于承载着日益增加的应用程序和重要数据，这些API也将成为重点攻击目标，不安全的API会持续扩大应用程序攻击面，让攻击者更容易进行侦察、收集配置信息和策划网络攻击。当数字政府业务系统平台中出现不良内容或互联网出现负面舆情信息、网络诈骗、页面盗用或被贴上反动标语等情况时，若不及时采取正确的措施分析和应对，会对政府声誉、形象及业务造成难以预估的不良后果，同时由于算法滥用和深度伪造等新技术带来的新问题新挑战也成为数字政府建设的新风险。比如败坏社会风气、破坏社会稳定、破坏民族团结甚至破坏国家统一等。隐蔽性、虚拟性、网络言论发表的匿名性和自由性等，增加了辨别网络舆情真伪的困难度，增加了政府对社会管理的难度，严重的将会影响政府信誉等。比如面临监管考核处罚、增加公众投诉、影响业务运营等。政务数据开放共享成为消除“信息孤岛”、拔掉“数据烟囱”的关键之举，也是支撑各部门业务流程再造、简化办理环节的基础工程。但在政务数据开放共享过程中如果缺失安全措施将会带来诸多安全风险。安全问题和风险主要体现在如下几个方面。◎数据开放共享和流通使得政务数据所有者权益和数据真实性保障更困难政务数据的价值必须要通过流动来实现，在政务数据不同类型的数据在权利内容上存在差异，且数据全生命周期链条上参与者众多，数据权利不完全归属于同一个主体。由此，会出现数据拥有者与管理者不同、数据所有权和使用权分离的情况，即数据会脱离数据所有者的控制而存在，加上数据的虚拟性特征从而会 带来数据滥用、权属不明确、安全监管责任不清晰等安全风险，将严重损害数据所有者的权益。具有政治背景的境外黑客逐渐加大对我国关键信息基础设施攻击力度，试图获取政府重要数据与核心数据。带来更多的服务中断、网络瘫痪和数据泄露等风险。新技术新应用在极大促进生产力发展和数字政府建设同时，也带来了政务数据安全方面的不确定性。在数字政府建设过程中，尚有一些地方未能很好地处理安全和发展的关系，存在重建设轻运营、重应用轻安全的问题。比较典型的问题和风险包括如下几个由于大量安全服务外包和转包而导致安全管理粗放、头绪多、盲点多等问题，使得原本用来解决数字政府安全人员不足问题反而带来了安全问题，引入了安全风险，导致非法入侵、数据泄露、网页挂马和篡改等事件时有发生。在网络安全运营流程方面，一是缺少针对政务重要网站、关键信息基础设施建立及时有效的漏洞监测体系；二是缺乏对常见应用漏洞、系统漏洞、突发性 (0day)安全漏洞进行全面快速的监测、通报、整改的流程约束；三是支撑单位缺少开展数字政府全生命周期的持续化运营中所需要的合规化、标准化作业的固化流程和优化经验，使得在持续监测和预警、增强安全风险主动感知和处置方面的协同力度不够。由于缺少体系化的运营工具和平台作为抓手将使得数字政府安全管理工作难以开展，规模化、体系化、协同化和可编排的联防联控工作更是无从谈起，更是无法支撑整个安全防护体系组件间的能力协同，难以形成数据+威胁情报驱动的全网安全态势感知能力和实施场景化、实战化的网络安全攻演练。数字政府集约化云平台和网络基础设施及其所承载的政务数据和应用均属于社会属性、公共属性都很强的新型基础设施，是跨层级、跨地域、跨系统、跨部门、跨业务的系统性、基础性复杂工程。但是，支撑数字政府的关键核心技术的发展速度和安全可靠程度严重落后于数字政府建设和应用速度，加剧了数字政府的系统性风险，给政务服务甚至国家安全带来了极限挑战。关键核心技术是提高数字政府治理效率和安全水平的基本保障。当前，我国 还面临着原创性和引领性科技攻关能力不足、关键零部件和核心技术受制于人的窘境。按照《科技日报》梳理的“卡脖子”技术清单，我国至少有35项技术与国外先进水平还存在较大的差距。关键核心技术发展滞后，增加了推进数字政府建设的风险，也成为催生技术标准规范风险、技术支持风险、技术防护风险和供数字政府网络化承载和规模化汇聚了海量高价值资源更容易吸引高级别、规模化、组织化和国家级的网络攻击，加上各类基础设施底层软件的开源化，更容易成为攻防对抗、网络战的一线阵地和首要毁瘫目标，一旦“断网停服”将给国计民生带来严重影响。近年来国际上网络攻防对抗和冲突逐步升级，跨境网络攻击活动日趋频繁，针对关键信息基础设施的高级持续威胁等网络攻击愈演愈烈。数字政府作为数字化、网络化、智能化程度较高的国家关键信息基础设施，应用和部署了大量IT新技术和网络设备，如果其中的网络核心设备与关键IT技术没有实现自主可控，势必会带来较大的网络安全风险，严重的甚至可能会危及国家安全。在数字政府建设中，各类漏洞缺陷是难以避免的，比如信息系统设计的漏洞缺陷、软硬件中隐藏的漏洞、系统集成的配置漏洞、信息系统的管理漏洞等。这些漏洞为攻击者留下攻击缺口，利用各种手段对政务信息系统的组件、结构和信息进行篡改和销毁等，直接危及数字政府的运行，甚至引致整个系统的瘫痪和不可恢复。数字政府网络安全人才队伍能力高低的决定因素很多，主要包括攻防业务技术水平、漏洞挖掘、工具生产与利用、前沿技术研究能力以及对特定业务场景的掌握程度等。网络安全人才队伍建设不完善给数字政府建设和保持数字政府健康可持续发展带来一定风险，主要表现在如下几方面：(一)缺少熟悉业务的安全管理及规划人才，难以将安全和业务有机融合，难以制定基于业务、可量化、可衡量的网络安全工作目标，难以制定适应数字政府业务发展需要的整体网络安全、数据安全等顶层设计和长远规划。(二)缺少攻防兼备的安全技术人才，难以应对如高级持续性威胁一类的极端网络威胁。网络安全领域本身具有技术密集等特点，对人员的理论和技术实践都有较高的要求，攻防兼备的技术型人才成为网络安全领域的稀缺资源。(三)缺少经验丰富的安全运营人才，难以应对突发性的网络安全事件。一旦遭受网络入侵、数据泄露、系统无法正常运转等情况时，无法快速利用已有知识和经验进行有效处置和恢复，可能会给数字政府正常稳定运行带来较大影响和(四)存在第三方人员安全风险，第三方人员安全意识和能力水平层次不齐，如果缺乏对第三方人员进行有效的安全意识教育并辅以管理工具作为支撑和操作行为审计的话，第三方人员将成为安全威胁的重要来源和风险入口。根据当前数字政府建设和发展现状，结合近年来各地数字政府网络安全建设的最佳实践，参考国家网络安全法律法规和标准要求，从数字政府政务云安全、 政务业务应用安全、数字内容管控、政务数据安全、安全运营、供应链安全和人才培养等多个维度全面阐述数字政府网络安全总体保障需求。政务云方面，政务云作为数字政府建设的核心基础设施，实现资源集约化建设、拉通数据和实现业务协同方面具有越来越重要的作用和价值。同样，政务云在管理、建设、运维和监管过程中也有其自身的安全要求，需要基于云服务责任边界划分原则，从政务云平台安全、政务云租户安全和政务云安全监管评估几个层面构建政务云安全能力。政务应用方面，数字政府建设、运行、管理活动涉及大量应用服务入口系统，如政务监管工作平台、全国一体化在线监管平台、掌上移动办公系统等，这些应用系统既服务于政府机构，也面向社会提供相应的政务服务，因此，需要进一步加强政务系统应用安全防护。梳理政务服务入口和各种API接口，规范各类政务应用，建立应用安全机制，按照统一标准监测管理各渠道政务服务应用运行情况。为各种政务应用和系统提供密码服务、密钥管理、数字签名、身份认证、访问控制、权限管理、应用数据和安全审计等具有普遍适用性、能力复用的安全能力，对出现问题的及时采取反馈、纠错、下架等措施，确保有关服务应用安全可靠运行，全面提升政务服务能力和水平。按照政府对互联网内容监管的相关要求，需要将网络信息内容安全管控作为数字政府建设中有关内容类业务合规运营和健康发展的基础保障。政务数据方面，需要健全政务数据安全制度规范，贯彻落实《中华人民共和国数据安全法》等法律法规，明确数据分类分级、数据安全审查等制度要求，围绕政务数据全生命周期管理明确数据安全主体责任和建立健全工作责任机制；加强政务数据安全常态化检测和技术防护，建立健全安全技术保障体系；完善政务数据安全运维运营机制，强化数据安全运行管理。安全运营方面，数字政府面临着更加复杂严峻的网络安全形势，需要拉通数字政府建设中的多种安全能力，亟需构建和完善数字政府安全运营体系并持续地优化体系的流程、人员和技术能力来加强数字政府的日常运维和提升重大活动的安全保障能力，利用有效性评价指标更主动有效地提高和衡量数字政府政务安全下，因“卡脖子”技术和供应链问题而将引发的“断网停服”风险将进一步加大，为了降低数字政府供应链安全风险，需要加快关键核心技术研究攻关和产业化，增强产业链供应链自主安全可控能力，建立并不断完善供应链安全保障机制，加强软件开发安全管理和漏洞全生命周期管理，加大信息技术应用创新产品的应用和部署，确保网络核心设备和关键IT技术达到自主可控，实现供应链持续稳定健康。安全人才方面，数字政府的网络安全队伍建设属于跨学科、跨领域、跨专业的融合性系统工程，应该成建制地、成梯队地配置复合型网络安全专家和跨领域人才，加强组织机构建设及人员招募培养选拔工作，建设基于特定业务场景的网络安全仿真平台/靶场用于提升和验证安全人员的实战化网络攻防能力，通过攻防演练实战和模拟相结合提升专业人员的分析决策处置能力等。 数字政府安全体系框架数字政府安全体系建设围绕“全面合规、安全纵深防御、动态主动防护、统一多元韧性、智能指挥调度、协同联防联控”的工作目标，坚持“元信任安全”理念，打造安全制度、安全组织人员和安全技术三大保障体系，重点完成政务网络安全、云计算环境安全、应用安全、数据安全、密码应用安全、安全运营等六大专项建设，全面指导数字政府安全保障体系建设。数字政府安全体系建设重点围绕安全管理制度、安全组织人员、安全技术保障三大体系展开，数字政府安全体系整体架构如图5-1所示：安全管理制度体系安全管理制度体系以总体国家安全观的全局视角，强化安全意识，树立底线思维，明确安全主体责任，遵循国家法律法规、政策文件及标准规范、确保安全资源投入、加强与业务条线和监管部门的协同与合作等方面进行数字政府安全保障体系顶层设计、建立数字政府安全管理制度、政策和标准化体系，以指导和约束数字政府的安全管理、技术建设活动。 建设指引网络安全底座宣贯与执行约束与指导安全组织人员体系安全组织人员体系网络安全的本质在对抗，对抗双方的核心在于人。安全组织和人员体系建设是实现提升数字政府网络安全整体能力目标的组织保障。需要配置专业的组织机构和人员，将静态的立体防御体系与动态的安全运营机制有效结合，统筹人员、技术、流程、数据等多方面因素，形成数字政府的安全组织人员体制机制。安全技术保障体系安全技术保障体系安全技术保障体系通过基础安全资源池+安全能力中心的模式，集约化建设数字政府网络安全底座。基础安全资源池作为安全资源聚集地，对保障数字政府的业务和服务具有基础性的保障作用。安全能力中心，作为拉通多种安全技术的抓手和能力调度、资源协调中枢，负责拉通和连接数字政府各条线安全能力，负责对数字政府上层业务应用提供全面、韧性的多元安全能力保障。总之，数字政府安全体系建设指引遵循数字政府总体发展战略，结合数字政府建设目标，加强网络安全保护，构建“制度保障、组织人员保障和技术保障”三大保障体系，从全局视角进行数字政府安全保障体系的顶层设计，聚焦“政务网络安全、政务云安全、政务数据安全、政务系统应用安全、密码应用安全和数字政府安全运营”六大安全领域，将合规建设和实战化攻防能力建设一体化设计。通过安全运营拉通安全管理制度、安全组织人员和安全技术能力，形成资源丰富、能力聚合的网络安全底座，并以弹性、按需的方式实现数字政府安全能力的运营化交付，构建责任明确、保障有力的数字政府安全体系，能够更加灵活地适配复杂多样的数字政府业务场景，赋能数字政府健康可持续发展。数字政府安全制度体系是以总体国家总体安全观为统领，坚持安全合规和技术对抗相结合，深入贯彻落实网络安全法律法规和各项制度要求，构建从管理制度、管理组织、安全人员管理、安全建设管理、安全运维管理、数据安全管理、供应链安全管理、应急保障管理等和技术有机衔接的安全制度体系。安全管理制度是以安全责任制为中心，并以精细的管理，安全监察和安全绩效考核的方式，来支撑数字政府网络安全工作的推进，保证安全责任落实。按照“需求引领、急用先行、持续演进”的原则，制定一批急需、管用、实用的数字政府安全管理制度，提升安全管理能力和水平，全面推进数字政府制度化体制化建设。 安全管理制度安全管理制度安全管理制度是安全组织(机构)做好网络安全工作的基本依据，包括数字政府网络安全工作的总体方针策略、组织机构与人员职责、技术标准与规范、管理制度与规定、安全操作流程等，通过有效的技术和考核手段，定期组织开展数字政府网络安全制度的修订和完善，保障数字政府安全体系建设中各项管理工作的有效落实。安全组织管理安全组织管理建立数字政府网络安全领导小组，负责数字政府网络安全体系建设顶层设计。建立安全检查制度，定期对数字政府建设中各系统及承载环境进行常规安全检查，定期对现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况进行全面检查；建立授权审批制度，按照审批程序执行审批过程，对重要活动建立逐级审批。安全人员管理安全人员管理建立数字政府人员安全管理制度，对被录用人员进行技术水平和认证资质考察、签署保密协议和岗位责任协议等，对离职人员回收访问权限。建立外协人员管理制度，进行严格的身份认证和访问授权等。建立网络安全教育培训制度对数字政府建设中各类人员进行安全意识教育和岗位技能培训，针对不同岗位制定不同的培训计划并进行技术技能考核等。安全建设管理安全建设管理建立应用系统项目实施过程管理制度，按照应用系统全生命周期开展网络安全建设和管理，落实网络安全责任和义务。建立数字政府网络安全产品采购管理制度，确保网络安全产品采购和使用符合国家的有关规定。建立验收、测试、交付管理制度，进行验收前测试、上线前安全性测试、过程文档备份存档等。安全运维管理安全运维管理安全运维管理是在数字政府业务系统建设完成投入运行之后，对系统实施的有效、完善的维护管理，这是保证系统运行阶段安全的基础。安全运维管理方面的制度需要包括资产安全管理制度、网络系统安全管理制度、业务连续性管理及容灾备份制度、变更管理制度、安全事件管理制度，风险管理制度。通过建立这些安全运维管理制度，实现安全运维管理策略的高效落地。数据安全管理数据安全管理在数字政府安全体系建设中，需建立健全数据分类分级管理、数据共享管理、个人信息安全管理、数据生命周期安全管理、数据安全审计管理、数据运营管理、数据销毁管理等方面的制度，加强数据全生命周期安全管理防护，提升数字政府领域关键信息基础设施安全保护水平。供应链安全管理供应链安全管理数字政府建设过程中涉及多方供应链管理，供应链安全管理是保障综合安全防御体系有效的重要环节。数字政府供应链安全制度建设应参照《信息安全技术ICT供应链安全风险管理指南》(GB/T36637-2018)、《供应链安全管理体系规范》(ISO28000)等标准要求，建立系统化、结构化、文件化的供应链安全管理制度，落实供应链的持续风险监控、预警通告以及有效应对等。定期开展供应链安全风险评估，落实国家网信办等13部门联合发布的《网络安全审查办法》要求，以确保关键信息基础设施供应链安全。加强关键信息基础设施供应链安全管理和督促检查。落实《关键信息基础设施安全保护条例》第19条和20条中 关于运营者采购网络产品和服务的具体要求。加强漏洞生命周期管理工作，落实漏洞全生命周期管理工作。应急保障管理应急保障管理建立数字政府网络安全应急安全管理组织体系，包括成立网络安全应急办公室，负责统筹协调数字政府网络安全应急保障工作。制定网络安全事件应急预案，定期组织开展应急预案培训和应急演练。制定网络安全事件进行分类分级管理制度、制定网络安全事件应急处置制度，高效协调处置各类网络安全事件。在构建数字政府全方位的安全保障体系中，组织人员是有效衔接制度、技术综合安全防护体系的有机组成部分，是贯彻执行安全管理制度、压实安全管理责安全管理机构安全管理机构数字政府组织人员体系中需建立数字政府网络安全领导体系，包括战略规划、统筹决策、组织管理、考核监督、工作推进等职责，以加强对网络安全工作的组织领导和统筹规划。数字政府的安全管理机构应包括决策层、管理层、执行层、监督审计等机构，使得法律法规要求和网络安全责任制得以落实落细、网络安全各项工作有效推进、组织人员体系的安全职责更层次化、具体化、精细化。数字政府安全管理机构各组织机构，要明确安全职责分工及汇报机制，以保障安全管理制度的贯彻执行和安全责任的落实。数字政府网络安全管理机构设置中国移动数字政府安全体系安全管理机构安全管理机构数字政府网络安全领导小组数字政府网络安全领导小组办公室/应急办公室信息安全处/各所辖区网络安全归口部门等供应商/第三方服务商等监督审计层决策层管理层执行层参与层图5-2数字政府网络安全管理机构数字政府网络安全领导小组作为网络安全工作的最高决策机构，负责宏观数字政府网络安全领导小组办公室和数字政府网络安全应急办公室在数字络安全领导小组进行网络安全工作汇报，对网络安全和信息化工作实施统筹规划。 执行层数字政府网络安全归口部门，负责网络安全建设、安全设备运维、安全策略管理、合规性检查等工作；负责归总建设、技术统筹和检查监管责任，建立本单位网络安全体系，制定安全标准规范及通用技术方案，统筹实施部门、运营部门、业主部门等其它部门应用平台的安全技术体系建设，建设安全基础设施，开展网络安全日常巡检监控，牵头网络安全等级保护、关键信息基础设施保护和密码应用保护等网络安全工作，落实“三同步”安全理念，组织网络安全事件处置，落实网络安全评测和检查等。供应商和第三方服务商(包括为信息工程建设、运行、维护提供信息产品、技术、服务的供应商和第三方服务商相关人员)属于网络安全参与层，协助承担工程项目的建设、实施、运营、维护、服务等工作。监督审计层数字政府网络安全监督部门，负责数字政府内部审计和监督工作，依据数字政府网络安全等法律法规和管理办法对数字政府机构管理、人员管理、系统建设管理、运维管理、数据管理等制度、规范文件的贯彻落实情况进行查验与监督考核，及时发现安全管理制度、规范、流程在落地执行层面的问题和风险，促进绩效的持续改进。安全管理人员安全管理人员在“网络安全人人有责”的基础上，各级按照“三员分离”的原则设置相关的专兼职网络安全岗位。增加具有网络安全素养和职业素质的网络安全管理人员，为数字政府网络安全工作开展提供组织保障。网络安全组织岗位设置和职责负责数字政府网络安全制度的制定和落实，开展网络安全等级保护、关键信息基础设施安全保护、密码应用评估等工作，负责网络安全检查、监督应用系统安全“三同步”等工作。负责网络安全系统的管理、升级和维护，负责数字政府网络安全运营平台的使用、维护，定期进行网络安全基线配置核查、漏洞扫描并跟踪整负责数字政府建设、运行、管理活动中支撑政府履行职能的所有网络与业务系统的安全运维、安全审计以及相关安全政策制度、标准规范的执行等工作。负责数字政府建设、运行、管理活动中支撑政府履行职能的网络系统的相关数据资产统计更新、敏感数据保护、数据库审计、数据安全分析总结等工作。负责制定数字政府建设、运行、管理活动中支撑政府履行职能的网络和信息系统安全审计工作计划，组织和协调各个安全岗位开展安全审计工作，汇总审计结果，督促问题整改，研究改进措施。负责组织数字政府建设中网络安全事件处置、特殊敏感时期网络安全重点保障、重大事件应急处置、应急演练等工作。 安全人才培养安全人才培养为了满足数字政府的安全体系的可持续发展，通过设置安全意识、技能知识、实践场景、梯队建设和联合培养等多个角度的可行性人才培养路径，为数字政府的安全体系建设提供高层次、复合型人才保障。安全意识培训面向全体人员开展网络安全意识培训，并通过线上线下灵活培训、实操和考试相结合的方式，最大程度的提高全体人员的安全意识，避免因安全意识薄弱给数字政府安全稳定运行带来风险和隐患。组织网络安全技术从业人员(包括第三方服务人员)参加安全体系和安全技安全开发等方面。通过安全技能和知识的学习，帮助网络安全技术从业人员提升技术实力，为数字政府的网络安全保障提供有力支撑。主要面向领导层与各级管理层制定培训内容，包括但不限于：网络安全管理使领导者、管理者能够了解国家对网络安全的监管要求、网络安全管理的责任、开展网络安全工作的整体思路；掌握网络安全管理的主要理论与方法，具备做好网络安全管理、协调、组织等方面的工作思路。互联网+政务类互联网+政务类安全管理机构中国移动数字政府安全体系数字政府安全技术保障将以数字政府政务云、政务网络、政务应用、内容、数据及密码等保护对象为保护核心，从风险识别、防御、检测、响应、恢复多个能力要素维度建设数字政府安全技术保障体系，为数字政府提供全面的安全防御能力，并与安全运营保障结合实现全面纵深防御、动态主动防护目标。数字政府数字政府网络安全底座网络安全能力输出服务管理能力引擎大数据平台应用安全密码安全云安全每基础安全资源池安全能力中心数据安全图5-3数字政府安全技术保障体系框架 数字政府安全技术保障体系可以用“1+N”来概括，即“打造1个网络安全底座，服务N项业务应用，提供韧性安全服务保障”。“1+N”体系框架设计借鉴了智慧中台理念，以数据和信任为驱动力，打造一个由中央控制台灵活、高效调度底层安全资源的安全指挥控制中心，将安全能力以更加集约化、服务化的方式进行交付，实现为数字政府建设运行保驾护航。1个网络安全底座1个网络安全底座由1个基础安全资源池+1个安全能力中心组成。基础安全资源池是基于传统安全硬件资源、软件安全资源等构成安全资源合集，为数字政府安全体系建设提供基础安全能力，覆盖了政务网络安全、云计算环境安全、应用安全、数据安全、密码应用安全、安全运营六大领域，实现数字政府整体安全能力从风险识别-安全防御-安全检测-安全响应-安全恢复的闭环，通过持续化的安全运营，实现对安全防护能力的持续优化和更新迭代，满足数字政府关键信息基础设施的“三化六防”要求。安全能力中心是基于一体化安全运营平台加多样化的安全运营服务构建的安全运营管理中心。通过对政务网络安全、政务云安全、政务应用安全、政务数据安全、密码应用安全、安全运营六大领域安全能力的汇总和梳理，将原有分散在各系统中的能力进行共享、复用，融入数据、技术要素，用有限的“积木块”,搭建无限的可能性，构建能够复用于六大安全领域的能力集合，构建数字政府安全能力中心，形成统一能力视图，支撑数字政府业务场景灵活编排与应用。通过网络安全底座的灵活、弹性的资源编排和调度能力，实现对承载在政务云平台上的各类业务应用按需提供全面、弹性、快捷的网络安全能力，保障业务平稳健康运行。数字政府安全技术保障体系设计借鉴软件定义安全和中台理念，打破“烟囱”式系统壁垒，对数字政府安全领域进行能力解耦、共性能力抽取、数据沉淀、能力复用和编排等服务化封装，打造数字政府安全能力中枢，以按需随选的方式支撑前台快速形成通用产品或解决方案，助力提升解决方案支撑和项目交付能力，为数字政府业务安全赋能，助力数字政府业务高质量发展。创新一体化全程可信安全解决方案创新一体化全程可信安全解决方案提出适应数字政府安全需求的网络安全新理论——“元信任安全”,并积极探索架构即安全的一体化全程可信安全解决方案。通过将“信任”纳入风险计算因子，发挥基础通信网络的管控优势，将安全防护关口前移，从源头上建立全程全网的信任机制，通过评价用户身份和其通信行为的信任度，综合确定用户访问策略和精细化权限管理，确保数字政府网络安全达到“资产不被控”“攻击不可 数字政府6.6.安全运营数字政府关键领域安全要求网络安全是数字政府建设最重要的基础保障，没有网络安全，就没有数字政府安全。数字政府安全体系建设重点聚焦政务网络安全、政务云安全、政务应用安全、政务数据安全、密码应用安全和安全运营等六大领域。通过六大领域的安全建设构建统一多元韧性的数字政府网络安全底座，实现为数字政府建设保驾护航。政务网络安全建设按照网络安全等级保护、关键信息基础设施安全保护要求以及国家电子政务外网领域相关要求，构建符合网络安全等级保护三级安全要求的安全防护体系，增强各级政务部门到政务云平台以及政务云平台的不同系统之间的安全防护能力，确保数字政府信息基础设施和公共支撑体系符合国家及行业网络架构安全是网络安全的前提和基础，数字政府网络安全建设要与云平台、应用建设保持同步规划、同步建设、同步运行，网络架构方面需要进行合理网络规划，包括链路冗余、网络带宽保障、应用高可用等，满足业务稳定、可靠、可持续等方面的要求。 数字政府通信信息的完整性包括信息传输的完整性校验以及信息存储的完整性校验。对于信息传输的完整性校验采用国产商用密码加密完成；通过采用基于密码技术的安全设备保证数据传输、存储、使用等过程的机密性、完整性。政务网络边界防护是构建数字政府网络安全纵深防御体系中的重要环节，防范非授权的访问、阻断非法入侵以及对恶意代码的检测和防护等技术防护措施是保障政务网络安全防护的基石。在政务网络安全建设时，需要合理划分逻辑区域，基于“元信任安全”一体化全程可信防护架构，对不同区域边界采取安全防护措施，包括边界安全防护、网络访问控制、入侵防范、恶意代码防范、异常流量清洗与防护等，实现在源头对非信任用户进行网络访问隔离，构建无法抵赖、无法篡改、动态访问控制的网络安全边界。随着“一网通办”等“互联网+政务”业务的快速发展，越来越多的政务业务需要通过互联网向公众开放，导致政务外网和互联网的业务交互日趋频繁，互联网的网络安全风险也随之而来，所以需要采取隔离安全防护措施，保障互联网业务区和政务外网区在安全的前提下实现业务互访和数据交换。通过采用物理单向导入/导出技术手段，对出入内网的数据分别进行协议剥离、格式检查和过滤，实现异构系统、数据源之间安全、灵活、有效、快速的数据交换，进而实现政务外网区与互联网区的网络隔离和信息交换，同时也保障了政务内网的安全。数字政府业务复杂，一方面，发生故障或者安全事件时难以定位故障或者追溯事件源头，导致安全责任难以界定；另一方面在对网络的监管层面，对流量的可视停留在IP和比特率层面，缺乏对流量成分分析、及访问会话的分析，致使数字政府的政务网络存在“灯下黑”的安全盲区。数字政府网络安全需要全流量安全解决方案来实现网络安全事件的事后审计，完整真实还原网络安全事件的原始场景，满足合规性和网络安全事件溯源分析的需求。6.26.2、政务云安全政务云安全是数字政府安全的一个重要组成部分，是保障政务云平台、云上应用稳定健康运行的基础。政务云安全建设是落实《网络安全法》、国家网信办等四部门联合发布的《云计算服务安全评估办法》、《信息安全技术网络安全等级保护基本要求》(GB/T22239-2019)、《信息安全技术云计算服务安全指南》(GB/T31167-2014)、《信息安全技术云计算服务安全能力要求》(GB/T31168-2014)等关于云安全方面的要求，保障数字政府异构云环境下云安全能力的一致性和统一性。需要云服务提供商对照《信息安全技术网络安全等级保护基本要求》(GB/T22239-2019)、《信息安全技术云计算服务安全能力要求》(GB2014)等相关国家标准规范，针对云平台在建设、运维、日常管理、安全技术手段等方面开展自评估工作并提交评估报告。 为避免云安全风险依附于服务链不断渗透，控制影响范围与危害程度，需要全面识别云计算相关方安全责任，落实责任承担机制，明晰政务云服务责任边界，根据责任共担模型制定责任共担矩阵。严格云服务商选择和准入管理，明确云服务商遵守网络安全等级保护制度、履行安全保护义务，建立云服务商的安全责任制度，明确运营、运维、建设等相关方在云服务模式下的安全责任，督促制定安全应急响应和灾难恢复计划，并定期开展演练。依据《信息安全技术网络安全等级保护基本要求》(GB/T22239-2019)三级安全要求，开展政务云平台及其云租户安全能力建设，并通过等级能力测评。支持第三方安全组件、服务和安全能力，并制定云安全运维规范，约束和优化政务云日常安全运维人员、第三方人员的工作，构建有序的政务云安全能力体系和安全运维机制。通过云计算服务安全评估等制度牵引，督促引导云服务商加强对平台关键软硬件安全性、开放性、透明性，以及供应渠道可靠性的评估，坚持底线思维，充分考虑在极端情况下“停服断供”后如何保障云平台持续平稳安全运行。6.36.3、政务应用安全在满足网络安全等级保护三级安全要求的基础上，根据国家电子政务外网针对应用服务、对外接口、终端接入、边界控制等方面的相关安全要求，重点针对电子政务外网中对外提供服务的网站业务、接口业务、移动App业务，采用入口防护、终端管控、内容监控、应用安全等多种安全技术手段，进行多维度的防护保障。全面推进政务业务应用的安全保障能力建设，在业务运行、应用安全防护、应用安全管理、移动端、应用内容、应用开发等方面做好全方位安全保障。首先要统一服务入口，规范各类移动政务服务应用，建立应用安全机制，按照统一标准监测管理各渠道移动政务服务应用运行情况，对出现问题的及时采取反馈、纠错、下架等措施，确保有关服务应用安全可靠运行，全面提升移动政务服务能力和水平；其次对应用数据传输加密，为确保应用访问流量传输过程的安全性，所有流量传输需要使用双向认证国密TLS协议进行加密。需加强政务网站系统的安全性。遵循“元信任安全”理念，加强抵御内容篡改、服务中断、信息泄露、恶意控制及仿冒等各类应用安全攻击的防护能力，落实《信息安全技术政务网站系统安全指南》(GB/T31506-2022)的要求，保障政务网站安全及业务稳定运行。应为各种政务应用和系统提供密码服务、密钥管理、数字签名、身份认证、访 需要建立相应安全措施，有效指导各级政府规范化开展应用系统开发建设工作，切实夯实应用系统开发和建设过程的安全规范，并采取API安全管控措施应对政务服务API化带来的风险，做好API接口应用安全，提高政务应用系统自身的安全免疫能力。内容生态治理规定》等法律法规要求，设置配套管理制度、人员和考核机制，明确工作任务，严格监管问责。要求加强互联网业务的内容安全监控，打造优质的内容识别能力，要求能够科学处置互联网业务中含有的“七条底线”有害信息和“九不准”违法不良信息等违法违规内容(文本、图片、视频、音频),落实国家相关部委关于有害信息和不良信息专项行动治理工作考核要求的技术能力。随着国内多个数据安全相关法律法规的落地，政务数据安全的建设需要从零散的要求向符合业务场景的体系化建设上发展，要围绕数据全生命周期各个阶段，构建体系化的数据安全能力，全面提升数字政府数据安全的管控能力和管理政务数据安全建设要以数据保护为核心，以平台为基础，通过对数据能力组件的管控，实现数字政府数据全生命周期的纵深防御，以数据分类分级动态管理为基础，以身份管理与动态授权为手段，实现对所有人员、应用、和服务的强访问控制，实现数据内容级的细粒度授权。通过形成数据安全保障的有机整体，实现政务数据安全保障一体化。归集政务数据目录，对数据进行分级分类，建立数据资产分布视图，实现重要数据的可发现、可展示、可稽核，全面掌控业务数据核心资产，保障重要数据依托数据全生命周期场景思路，从数据采集、传输、存储、使用、共享、销毁等阶段对数据资产进行全生命周期管理，对各个阶段的数据、事件、防护能力进行全方位监测和管理，为数据全生命周期管理能力提供支撑。通过API应用接口地图绘制、行为异常监测、数据内容合规监测等方式，实现敏感数据传输与违规监测、异常行为风险监测，识别数据暴露面风险，避免安全管理盲区，降低数据泄露和合规风险，以确保日常数据处理活动的安全、合规。满足政务数据“可自查、可管控、可监督、可处置”的目标，要有数据生命周期内所有数据处理行为的监测告警、日志记录和事后安全审计，形成以数据为中心的全流程安全监管能力，实现数据全生命周期安全可视化、风险可控化、监管持续化、溯源智能化及预警自动化等。通过对数据进行动态溯源标记，实时对 数据进行水印处理，保障追溯定位责任源和风险点。将数据的资产梳理、安全策略、能力组件、风险以及数据全生命周期流转过程通过可视化的方式进行展现，提供数据资产梳理、能力中心组件、风险中心监测、全生命周期等安全管理视图，及时开展监测，及时掌握安全事件和安全风险。数字政府密码应用安全建设是落实《密码法》、《商用密码管理条例》、《国家政务信息化项目建设管理办法》(国办发〔2019〕57号)中关于信息系统密码应用的相关要求，保障数字政府各类应用系统的身份实体真实性、重要数据的机密性和完整性、操作行为的不可否认性。按照《国家政务信息化项目建设管理办法》(国办发〔2019〕57号)要求，数字政府应用安全要与政务信息系统同步规划、同步建设、同步运行，并定期进行评估。数字政府密码应用安全建设依据《信息安全技术信息系统密码应用基本要求》(GB/T39786-2021),分别从密码应用技术、密码应用管理、密码应用实施保障三个方面开展密码应用安全建设。密码应用技术方案从物理和环境安全、网络和通信安全、设备和计算安全及应用和数据安全方面进行安全设计，密码应用管理从管理制度、人员管理、建设运行及应急处置方面进行开展，密码应用实施保障从计划保障、人员保障、资金保障、集成保障等方面进行保障落实。针对数字政府业务应用系统、政务网络、政务云平台等，都要使用基于国产商用密码算法实现的密码安全产品和服务，实现身份认证、数据保护、访问控制等安全功能。数字政府密码应用安全建设过程中所使用的密码产品或服务，需要国家密码管理局审批和认证。数字政府安全运营需要以全局、整体的思路针对数字政府中的业务应用、基础网络、政务云以及政务数据等目标建设安全运营服务体系，对数字政府实现安全保护，整合资源、优化流程，加强网络安全机制建设，落实网络安全责任，提通过建设“人机结合、持续监测”的安全运营管理工作机制，建立“边界明确、权责清晰”的安全管理机构和人员团队，建立“标准合规、责任明晰”的网络安全责任机制，建立“动态化的专项督查与自监管有机结合”的安全合规管理机制，形成“以智慧驱动的持续安全运营体系”的数字政府安全运营体系。一是应设计安全运营的组织框架。结合数字政府各级业务管理部门的情况，设计符合实际的大型(省级)、中型(市级)、小型各级典型安全运营的组织框架，包含部门设计、角色设计、职能要求等。二是需要建立各级运营中心间、各运营中心的团队间、各团队内部人员间的运营协作流程并细化到日常分工交互界面和内容输出要求。三是应建立量化的数字政府安全运营评价指标，包括安全运营团队的评价指标和安全体系有效性评价指标，指导各级数字政府建设安全运营 需要建立一套安全运营平台，用以支撑和管理数字政府相关的各类安全运营活动，帮助数字政府构建持续监测、全局可视、精准研判、智能决策、联动响应的主动安全闭环体系，不断提升安全能力和效果，提升安全运营和管理效率、展示安全成果等。需要建立一套安全运营平台，用以支撑和管理数字政府相关的各类安全运营活动，基于“元信任安全”统一运营，帮助数字政府构建持续监测、全局可视、精准研判、智能决策、联动响应的主动安全闭环体系，不断提升安全能力和整体效果，提升安全运营和管理效率、展示安全成果等。安全运营服务是数字政府一体化安全运营平台提供价值的具体手段，根据服务对象的不同，可分为安全运营基础服务、资产梳理服务、运营管理服务、安全能力有效性评估服务等。 甘肃数字7.1.项目背景 7.1项目背景7.1项目背景甘肃省数字政府项目是中国移动首次承担全省性完整规划、设计和建设的数字政府项目，是省级数字政府建设的样板工程。随着国际网络安全对抗形势日趋严峻，关键信息基础设施安全风险日益突出，国家数据治理形势愈加严峻，安全已成为数字政府建设考虑的首要问题。甘肃省数字政府项目是中国移动首次承担全省性完整规划、设计和建设的数字政府项目，是省级数字政府建设的样板工程。随着国际网络安全对抗形势日趋严峻，