数字政府网络安全指数评估体系研究

杨鹏飞 罗奇伟 李 尧

1(广东省政务服务数据管理局 广州 510030)2(广州赛宝认证中心服务有限公司 广州 510610)

(yangpf@gd.gov.cn)

近年来，我国逐渐推进政府数字化转型，数字政府建设进程快速推进[1].数字政府改革建设的重点是推进政务数据的整合、开放和共享，政务数据及业务的融合集中增加了网络安全防护难度，使得数字政府面临更加复杂的形势和严峻挑战[2].只有建立健全数字政府网络安全防护体系，提升整体安全防护能力，才能保障政府数字化转型持续、安全、高质量推进.然而，当前我国各地数字政府网络安全防护工作普遍存在顶层规划设计缺乏、安全管理缺失、安全防护技术落实不到位、安全运营能力不足等问题[3].

为了应对数字政府面临的安全威胁和严峻挑战，有必要建立数字政府网络安全保障架构体系，引导数字政府网络安全防护体系建设工作，并建立数字政府网络安全指数评估指标体系，对其防护工作开展情况及防护效果进行评价，促进网络安全防御体系迭代建设，持续提升数字政府网络安全防护水平.

1 网络安全保障框架研究概述

当前，网络安全保障框架及能力评估模型主要分为2类：

1) 通用型安全保障框架或能力评估模型.国际电信联盟从法律、技术、组织、能力建设以及合作5个方面，提出了全球网络安全指数指标体系[4].等保2.0从安全管理制度、安全管理组织、安全管理人员、安全建设管理以及安全运维管理等9个方面提出了网络安全等级保护通用安全要求[5].GB/T 31495—2015系列标准从保障措施、保障能力和保障效果3个方面提出了信息安全保障模型，并构建了信息安全保障指标体系，包括建设情况指标、运行能力指标和安全态势指标3项一级指标和12项二级指标[6].胡勇[7]在分析信息系统风险评估涉及的诸多因素，如人、业务战略、法律法规及人文环境、资产、威胁、安全事件、安全措施以及安全保护等级等的基础上，提出了网络信息系统风险评估指标体系.刘昱[8]提出了包含管理、技术、操作以及环境4项一级指标的信息安全风险评估模型，研制了信息安全指数，并对其进行了实证验证.吴志军和杨义先[9]从信息安全保障的战略、管理策略、工程规范和技术措施方面出发，构建了包括保障功能、安全运行以及保障效果3个方面的信息安全保障评价指标体系.

2) 面向特定行业的安全保障框架或能力模型.吴静媛和周鹏颖[10]结合港口信息安全保障工作的需求，从管理、技术、工程和人员4个方面，提出了定性与定量结合的港口信息安全3维评价指标体系.施俊[11]从静态技术评价和动态能力评价2个方面提出了烟草行业信息安全评价指标体系.其中：静态技术指标包括安全管理、安全技术、安全运维；动态能力主要评价系统防攻击、防篡改、防病毒、防瘫痪、防窃密等能力.赵婷等人[12]从组织体系、规章制度、资金保障、人员安全、服务外包管控、网络安全防护等15个方面，提出了70项电力信息安全水平评价指标.李岚和杜澄[13]从管理、保障建设和战略3个方面构建了指标体系，对科研机构的信息安全水平进行了评价.李振富等人[14]运用改进型德尔菲法和层次分析法，构建了战术互联网信息安全风险评价指标体系.

通过对已有网络安全相关保障框架和能力评价模型的研究发现，网络安全保障框架主要包括战略规划、政策法规、标准规范等宏观环境因素保障，管理组织、制度体系、人员和经费等组织管理保障，安全防护技术能力建设保障以及安全运维能力保障等.众多机构、专家以及学者对网络安全风险评估的指标设定可以归纳为安全管理、安全建设、安全运营和安全效果4个方面.其中：安全管理主要评价网络安全宏观环境和组织管理情况；安全建设主要评价网络安全防护能力建设情况；安全运维主要评价网络安全运营运维能力情况；安全效果主要评价网络安全防护工作取得的成效情况.具体指标的设定，根据关注重点或行业特点等不同而有所不同.

同时，通过研究发现，当前专门针对数字政府的网络安全保障框架或防护能力评估模型的研究较为缺乏，已有的通用型保障框架或能力评估模型，又缺乏对数字政府的特点及其安全防护需求的考量.基于上述分析，研究并提出数字政府网络安全保障框架及评估指标体系，具有重要的理论和实践意义.

2 数字政府网络安全保障架构体系

通过研究国内外安全保障框架及能力评估模型，并结合数字政府网络安全特点及实际需求，构建了数字政府网络安全保障架构体系.如图1所示，数字政府网络安全保障框架主要包括安全战略保障、组织管理、技术保障、运行保障和服务支撑5个方面.

网络安全战略保障主要从明确网络安全战略规划、完善网络安全法律法规体系、发布网络安全政策规范和指引、健全网络安全标准体系等方面着手，做好数字政府网络安全的整体规划和顶层设计.邀请行业专家组建网络安全智库机构，为网络安全相关工作提供决策支撑.在遵循国家政策法规的基础上，制定数字政府网络安全相关的法规政策及实施办法，健全网络安全相关标准和指南.结合地区实际情况制定网络安全战略目标及规划文件，统筹地区数字政府网络安全工作，指导安全管理、技术防护、安全运营以及服务支撑等相关工作的开展.

网络安全组织管理主要是从网络安全管理组织建设、管理人员配置、安全制度体系建设、安全意识教育培训、安全考核与奖惩、安全经费保障等方面着手，构建高效、协同的安全管理体系.积极推进数字政府网络安全责任落实制度，建立跨部门、跨单位的沟通联络机制，加强网络安全工作协同联动.加强安全管理人员配置，明确安全责任与分工，做到安全工作专人负责.加强网络安全教育与培训，构建安全考核与奖惩机制，提升整体网络安全意识.加大网络安全投入，确保网络安全相关要求的落地实施，协同推进网络安全防护体系建设工作.

网络安全技术保障主要从加强信息资产管理、注重定级备案和等级测评、落实安全防护技术、重点保护关键信息基础设施和数据安全方面着手，建立既强调全面又突出重点的技术防护体系.信息资产管理是基础，通过建立健全数字政府信息资产发现、跟踪、管理的技术手段，建立资产清单，提升资产管理能力.基础网络和重要信息系统按要求定级备案并落实相关安全防护技术措施，及时完成等级测评.梳理识别数字政府相关关键信息基础设施，落实关键信息基础设施保护的重要安全技术要求.将政务数据安全作为网络安全的重中之重，做好数据分类分级，加强数据全生命周期的安全技术防护.

网络安全运行保障从日常运行维护、风险识别、监控与监测、应急响应、事件处置、风险整改加固、业务连续性保障等方面着手，确保数字政府网络安全稳定运行.建设网络安全运营平台，加强日常巡检和定期维护，确保安全检测能力覆盖所有上线系统.定期开展安全基线核查、漏洞扫描、渗透测试以及风险评估等工作，提升安全风险识别能力.购置的网络安全监测平台或服务需具备失陷监测、欺骗防御、异常行为监测、威胁情报感知、全流量监测分析等能力，监测数据及时上报共享.制定网络安全应急预案并定期开展应急演练，形成完善的安全事件应急处置、调查评估、通报上报、溯源分析及整改加固机制.重要数据定期备份并进行恢复测试，进行业务影响性分析并进行业务连续性测试，重要系统建设灾备系统，提升业务连续性保障能力.

网络安全服务支撑是围绕安全咨询、设计、集成、运维、测评、改进等数字政府网络安全防护体系建设的全生命周期，通过采购产品或服务，建立数字政府可持续的安全防护能力，形成规划设计、建设运行、监督评价和持续改进的良性循环.规划设计阶段综合分析数字政府网络安全面临的威胁与挑战，提出系统性的设计要求；设计阶段采取安全防护管理和技术措施，建立网络安全综合防护能力；运维阶段通过检测各设备、系统及应用的运行状况，及时对安全风险和事件进行响应和管理；测评阶段主要是对安全规划设计的实施情况进行监督，全面评估相关安全策略是否有效实施；改进阶段对发现的漏洞及风险及时整改，迭代提升网络安全防护能力.同时，引导服务支撑各环节供应商构建技术协同机制，推动区域产业协同合作.

3 数字政府网络安全指数评估体系

为了全面评价上述数字政府网络安全战略保障的完备性、组织管理和技术保障的有效性、运行保障能力的成熟性，进而提出了数字政府网络安全指数评估指标体系.数字政府网络安全指数评估指标体系是根据网络安全保障的层次对评估对象和内容进行逐层分解得到.指标体系共有3个层级，如图2所示，包含4项一级指标、24项二级指标和70个评估要点，各项指标权重通过专家调查法(Delphi)确定.其中一级指标和二级指标相对固定，评估要点相对灵活，可根据防护需求和防护重点进行扩展或删减.

图2 数字政府网络安全指数评估指标体系

在一级指标中：安全管理指标用于评估安全战略保障、安全组织管理以及服务支撑各环节引入的供应链安全问题；安全建设指标用于评价安全技术保障能力以及安全防护体系建设所需的服务支撑体系完备度；安全运营指标用于评价安全运行保障能力；安全效果指标用于评价安全体系产生的安全效果.

3.1 网络安全管理指标

网络安全管理指标评估搭建的安全管理体系完善及健全程度，包括安全战略规划指标、安全管理组织指标、安全管理人员指标、安全政策规范指标、安全意识指标、安全投入指标、供应链安全管理指标7项二级指标.

安全战略规划指标主要评价网络安全战略明确程度、安全规划文件发布情况，以及安全专家队伍和智库机构建设情况等；安全管理组织指标主要评价网络安全管理机构的健全性及其工作责任的明晰程度，以及与各监管机构之间的主动协同性等；安全管理人员指标主要评价安全管理人员配置情况及其职责分工明确程度等；安全政策规范指标主要评价网络安全地方政策法规、指引及标准制定情况、安全管理体系建立情况及安全政策法规宣贯活动开展情况等；安全意识指标主要评价安全相关人员识别或避免可能危害网络安全的行为能力和警觉性、安全意识教育和培训组织情况以及安全考核和奖惩工作开展情况等；安全投入指标主要评价网络安全年度工作经费占信息化建设经费的比例情况、政务信息化项目网络安全工作经费占比情况等；供应链安全管理指标主要评价采购的产品和服务是否符合国家相关安全规定、供应商安全职责明确程度、供应商服务安全监控和审计机制建立及执行情况、供应商的安全评价机制建立及执行情况等.

3.2 网络安全建设指标

网络安全建设指标评估网络安全防护技术措施建设情况，包括信息资产管理指标、网络安全等级保护指标、关键信息基础设施保护指标、数据安全保护指标、服务支撑体系指标5项二级指标.

信息资产管理指标主要评价政务信息资产发现、探测、管理技术手段建设情况，信息资产与安全弱点关联管理技术手段建设情况，政务信息系统清单建设更新情况，以及政务信息系统重要程度分级准确性等；网络安全等级保护指标主要评价政务信息系统等级保护定级备案和测评情况，以及相关等级安全保护技术要求落实情况；关键信息基础设施保护指标主要评价关键信息基础设施清单建立及重要安全保护技术要求落实情况等；数据安全指标主要评价数据资产梳理技术手段建设情况、重要数据清单建设情况、重要数据安全技术要求落实情况等；服务支撑体系指标主要评价网络安全咨询、设计、集成、运维、测试、评估等安全服务提供商/安全服务资源池的完善程度，以及数字政府网络安全产业协同、合作情况等.

3.3 网络安全运营指标

网络安全运营指标评估网络安全风险发现、监控监测、事件处置等安全运营能力，主要包括安全运行维护指标、安全风险识别指标、安全监控与监测指标、应急响应与处置指标、业务连续性保障指标、安全协同情况指标6项二级指标.

安全运行维护指标主要评价定期安全巡检情况，安全检测防护能力覆盖所有已上线系统情况、防护策略生效情况、安全产品规则库升级情况、网络安全运营平台使用及与省平台级联对接情况等；安全风险识别指标主要评价网络安全风险评估、安全基线核查、漏洞扫描、渗透测试开展及安全风险隐患整改情况等；安全监控与监测指标主要评价是否具有失陷监测、欺骗防御、异常行为监测、威胁情报感知、全流量监测分析等能力；应急响应与处置指标主要评价安全应急预案制定及应急演练开展情况，安全事件通报处置、调查评估、溯源分析及整改情况等；业务连续性保障指标主要评价数据备份与恢复测试情况、业务影响分析及业务连续性测试情况、灾备系统建设情况等方面；安全协同情况指标主要评价安全监测数据、安全事件上报的主动性、及时性和准确性，对上级数字政府安全管理部门管理工作的配合程度等.

3.4 网络安全效果指标

网络安全效果指标主要评估网络安全管理、建设及运营工作的成效，包括安全漏洞情况指标、安全事件情况指标、主机安全情况指标、移动终端安全情况指标、桌面终端安全情况指标以及专项检查结果指标6项二级指标.

安全漏洞情况指标主要评价地区数字政府高中危及以上安全漏洞数量及与地区系统总数比例情况等；安全事件情况指标主要评价“七类”安全事件、信息泄露事件、网络瘫痪事件、其他较大及以上安全事件发生情况等；主机安全情况指标主要评价本地区主机被木马或僵尸网络控制情况；移动终端安全情况指标主要评价地区移动终端中木马、病毒情况及被木马或僵尸网络控制情况等；桌面终端安全情况指标主要评价地区桌面终端中木马、病毒情况及被木马或僵尸网络控制情况等；专项检查结果指标主要评价具有的安全防护、安全监测、应急响应、异常恢复及溯源打击能力情况等.

4 结 论

通过分析研究国内外安全保障框架及能力评估模型，并结合数字政府网络安全特点及实际需求，构建了数字政府网络安全保障架构体系及数字政府网络安全指数评估指标体系.本文提出的数字政府网络安全保障架构体系，能够为数字政府网络安全防护体系建设提供重要参考和指导，能够通过定性与定量相结合的方式对数字政府网络安全防护现状进行客观评价，以便于相关人员采取正确的措施，不断改进防护策略，确保数字政府网络安全的长效性.