文│沧州市政府副秘书长、大数据办主任 刘博胜
数字政府作为数字中国、数字经济的重要基础,已成为提升国家治理能力现代化的重要战略举措和推进服务型政府建设的有力抓手。但不容忽视的是,政务云、城市大数据中心等超级数据平台,面临巨大的安全威胁和风险,因此,网络安全这个“底座”一定要坚如磐石,才能为数字政府保驾护航。沧州市委市政府秉持“数据安全是数字政府的生命线”原则,始终把数据安全问题放在首位,牢固树立了“四统一、三制度、三同步、一体系、一平台、四手段”的安全发展理念。贯彻落实习近平总书记关于网络安全和信息化必须统一谋划、统一部署、统一推进、统一实施“四统一”要求;坚持网络安全等级保护、关键信息基础设施安全保护、涉密信息系统分级保护三项制度;信息化项目建设以《网络安全法》为准绳,坚持安全技术措施与项目“同步规划、同步建设、同步使用”原则;建立完善统一信任服务体系和安全运行监管平台;以“终端保护、边界防护、安全审计、安全管理”为抓手,不断加强安全防护建设、完善安全运行监测、协调联动机制,提升安全应急处突能力。
一、数据中心精准发力,夯实数字沧州信息化底座
(一)推进沧州政务云建设,统一平台
2017 年,沧州市与华为公司签订战略合作协议,高标准建设沧州华为云计算中心,依托华为云平台搭建了沧州政务云。54 个部门单位、117个信息系统部署上云。5 年来,政务云未出现数据泄露事件,既实现了数据中心集约统建,又有效保障了云上的关键和敏感数据(静态和动态)的安全,降低了数据泄露风险,实现了云上业务系统的可靠性和安全性。沧州市政务云护航数据安全案例获评省委网信办实践类典型案例。
(二)推进电子政务外网建设,统一网络
作为全省唯一的电子政务外网整合改造试点城市,沧州市制定了《电子政务外网整合技术方案》《关于开展全市电子政务外网整合改造省级试点工作的实施方案》,并积极推进市级电子政务外网升级改造工作。市级电子政务外网稳定运行,市四套班子机关、所有市政府组成部门已全部接入电子政务外网,并实现统一认证管理和互联网出口管理,县级电子政务外网升级改造已完成。工作成效获得国家电子政务外网管理中心认可,2021 年 5 月获评国家电子政务外网地市网络建设整合试点。沧州市加快推进电子政务外网专网整合工作,目前市本级单位自建专网已全部整合到位,国家、省垂建专网整合工作在逐步推进中。
(三)推进大数据平台建设,统一数据
沧州市于 2018 年启动城市大数据中心建设,通过“数据大会战”在全省率先完成政务信息资源编目,并实现与省政务信息资源目录管理系统的对接。截至 2021 年底已建成人口、法人、空间地理、电子证照、信用体系、城市部件、房屋、视频、信息资源目录等 10 个数据库,采集数据共计 2 亿余条,发布 134 项可共享数据资源、102 条可开放数据资源、103 个基础数据共享接口,68个开放接口、268 个空间地理图层接口、5 个云应用。2021 年 8 月至 11 月,沧州市以政务服务事项为基础,组织市直各部门和各县(市、区)开展了政务数据资源目录梳理工作,涉及 41 个市级部门和475 个县级部门的 19061 个政务事项,包含 74194项信息项。多批次编制数据共享责任清单,将“数据原料”整齐有序地摆上“货架”。沧州市成为河北省数据共享开放试点城市。
(四)推进安全保障中心建设,统一安全
按照国家、河北省对安全体系“同步规划、同步建设、同步使用”的工作要求,沧州市整合全市现有资源,建设全市统一、自主可控、云网数一体化的安全体系。建立了安全应急管理机制和应急预案,信息安全事件应急处理能力有效提升,2021 年共计发现预警 1140 万次,有效排查安全隐患 220 次,处置网络攻击 60 次。建立了信息化系统安全接入、数据交换、数据备份、数据防泄漏、用户信息安全保护等机制,基本形成了安全态势感知、安全预警、防御阻断和追溯体系。
(五)推进时空大数据中心建设,统一城市底图
自 2015 年以来,沧州市收集 32 部门的 268类 1337 个图层数据,成为全国第一批率先完成“一张蓝图”的 49 个地级市之一,受到住建部通报表彰。沧州成功申报全国智慧城市时空大数据平台建设试点城市。
二、机制体制改革,优化数字沧州安全管理体系
(一)实行规范建设安全数字沧州沧州
秉持“标准先行”的原则,在城市信息化底座及业务应用建设方面,始终遵循《政务云安全要求》《国家电子政务外网安全等级保护基本要求》《国家电子政务外网安全接入平台技术规范》等国家电子政务外网标准规范相关要求,打造合规、安全的政务信息系统。
(二)政策指导建设安全数字沧州
沧州市先后印发《沧州市政务云管理办法》《沧州市大数据资源管理办法》《关于建立健全政务数据共享协调机制加快推进数据有序共享的实施细则》《沧州市政务信息资源开发利用工作方案》《沧州市新型智慧城市和电子政务“十四五”发展规划》《沧州市政务云、电子政务外网数据安全管理规定(暂行)》等系列文件,指导在沧州市信息化建设发展中,同步建立有效、高效的安全管理策略。
(三)探索建立多元参与机制
2017 年,沧州市谋划了渤海云计算中心建设、沧州市统一安全保障体系等系列项目建设,并在实施过程中探索建立了多元参与机制,分别由不同企业承建基础设施、应用系统、安全防护等项目建设,避免由一家或几家企业集中建设或主导,充分发挥了各企业优势,形成资源互补,切实加强云平台、电子政务外网、大数据平台等安全防护能力,保障基础设施安全稳定运行。
(四)整合资源构建“统一运维”雏形
沧州市大数据办将全部运维人员整合管理,打造“统一运维”、形成合力,能够起到事半功倍的效果。例如,今年 3 月,沧州市突发疫情,627 万人共 5368 万人次核酸采样,我们立即协调组织 12 个公司的 70 余人运维团队投入信息化支撑工作,圆满完成市应急指挥部交办的核酸采样系统稳定运行、疫情防控通行证开发等各项工作任务。
三、坚持问题导向原则,健全数字沧州安全技术保障体系
(一)保障基础设施安全
由第三方专业编制机构根据沧州市实际情况,设计沧州市统一安全保障系统,已完成建设并落地实施。依托统一安全保障系统,建立了沧州政务云、电子政务外网安全运营机制。通过统一的堡垒机登录来管控安全设备登录情况,保障登录操作可记录和审计,保障安全设备登录、操作、运维安全使用系统。安全设备根据等级保护要求设备强复杂密码,3 个月更新一次。所有设备设置三权分立账号,系统管理员负责账号授权,安全管理员配置设备,安全审计员负责审计系统管理员和安全管理员操作,以确保安全设备账号安全。
统一安全保障系统通过安全管理体系、安全技术体系、安全运维体系三个方面保障系统安全。安全管理体系制度包含了安全管理制度、安全机构管理、安全人员管理、安全建设管理、安全运维管理 5 个部分,从制度方面规范网络安全行为。安全技术体系包含防毒墙、虚拟化安全防护、入侵防御、入侵检测、APT 检测网关、未知威胁分析等设备,用来检测和阻断网络中网络攻击和病毒入侵等网络异常行为,确保网络安全。VPN 做远程访问接入使用,确保远程接入访问安全,态势感知系统通过收集所有设备安全日志,从整体全天候、全访问检测网络安全情况,保障系统网络安全。安全运维体系在安全管理体系的指导下,建设一体化运维平台、网络安全态势感知平台、信息安全运营管理平台等,实现网络安全运维的统一管理,运维人员按照运维管理规定,定期对安全设备巡检、升级特征库、修改密码等常规安全操作,每天根据网络情况进行安全事件分析,形成安全服务日报,保障沧州市政务云、电子政务外网安全运营。
(二)保障大数据平台安全
随着政务云建设的脚步加快,依托政务云建设的大数据平台已成为政务数据的汇聚中心。政务数据的汇聚及大量共享、开放需求,同时也带来大量的安全问题。沧州市从管理和技术两个方面加强大数据平台的安全防护。技术方面,借助政务云平台和政务外网的安全防护体系,提升大数据平台传统信息安全防护,为机房设施安全、云平台安全、网络安全、存储安全、虚拟化安全等方面予以安全保障。同时,也通过基线扫描、脆弱性管理等加强对大数据平台的安全防护。在数据安全方面,主要依托数据分级分类管理、数据脱敏、API 接口等措施保障数据安全。管理方面,确保安全审计、安全管理和平台操作三权分立。
(三)保障应用系统安全
沧州市对标学习先进地区无纸化办公经验,依托政务云和政务外网连通基础系统,建设了智慧协同办公一体化云平台,实现了市县乡三级各类公文、会议、督办、内部邮件等业务的无纸化、自动化、智能化、互联互通和电子公文办理全流程高效运转。为保障此类重要政务系统的安全运行,除依托政务云、政务外网的安全防护体系外,还建立了统一身份认证体系。统一身份认证体系不仅提供单点登录,采用国产密码算法进行身份认证,还支持“用户+时间+IP”等登录控制功能。
四、营造数据安全环境,提升安全监督检查机制
当前,沧州在保障政务云平台、政务外网、政务数据安全等方面积累了大量“实战”经验,致力于探索合规情况下安全与业务易用性的平衡。通过开展综合安全验证手段,如信息安全漏洞扫描、渗透测试、基线核查等方面的工作,以保证安全管理、安全技术和安全支撑措施有效性。
“数字沧州”的下一步安全规划,一是加强数据监管,持续完善数据安全审计平台建设,加强日志数据采集和分析能力,配合加强数据安全管理。同时,加强对大数据平台的资源监控,如监测大量数据下载 IP 的合法性、合规性等,与安全管理平台联动告警,实时阻断。二是持续完善“统一运维”管理体系建设。加快“统一运维”管理体系建设,加强对全市政务云、政务外网、数据中心、重要政务信息系统的管理,健全日常运维和应急保障机制。推进“统一运维”保障模式,提升网络运维保障能力,推动电子政务运维和网络安全服务集约化、专业化、市场化,保障网络安全运行。同时通过一系列安全运营评价指标,衡量评价安全运营质量水平,并在过程中针对性地持续改进,实现安全质量的螺旋上升。
在维护网络和数据安全,保护个人信息权益等方面,数字沧州在建设中积极探索实践,取得一定成效。但要想实现数字政府的长治久安,还需政府部门、行业监管单位、互联网企业、网络平台、公民个人的共同参与,形成“共建共治共享”的新局面、新机制。
(本文刊登于《中国信息安全》杂志2022年第8期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。