2022年广东省网络安全宣传周开启之际,广东省政务服务数据管理局局长杨鹏飞接受南方都市报专访,其就广东数字政府网络安全建设的探索与创新作出阐述。


(资料图)

据了解,今年广东省网络安全宣传周由省委网信办牵头会同省委宣传部、省委编办、省教育厅、省公安厅、省国资委、省广电局、省政务服务数据管理局、省总工会、团省委、省妇联、省通信管理局、人民银行广州分行主办,将从9月5日持续到9月11日。

四个层面保障数字政府网络安全

南方都市报(以下简称“南都”):随着数字化转型加速,广东在全面深化数字政府2.0建设的过程中,将如何更好地保障网络安全?

杨鹏飞:广东数字政府建设主要从四个层面构建网络安全保障架构体系。

首先是加强顶层设计,明确职责分工。明确省政务服务数据管理局、省委网信办、省保密局、省公安厅、省通信管理局等安全监管部门和省直其他部门、省数字政府建设运营中心的安全职责,建立网信、保密、公安、政数等多部门参与的联防联控和安全检查机制,加强对参与数字政府建设、运营企业的规范管理。

二是构建“三横四纵”的网络安全体系。具体包括构建“安全管理、安全技术、安全运营、安全监管”四大安全体系,贯穿数字政府云平台、大数据中心、政务应用建设运营全程。对网络安全体系框架涉及的各项工作,依据轻重缓急形成总体实施方案。

三是建立纵深的网络安全保护体系。建设省统一身份管理平台,实现“一次注册、全网通用”。编制网络、云平台、主机、应用、数据等方面安全标准,构建网络、云平台、主机、应用、数据安全服务能力池。建设统一安全态势平台,实现数字政府网络内部安全态势与互联网威胁情报联动分析,加强大规模网络安全事件、网络泄密事件预警和发现能力。开展上线前风险评估、深度渗透测试、实战攻防演练等活动,及时发现安全隐患,全面提升数字政府防御能力。

然后还有开展监督检查。省政务服务数据管理局联合省委网信办、省保密局、省公安厅、省通信管理局等部门,通过定期开展“粤盾”实战攻防演练、政务信息系统保密检查、关键信息基础设施安全检查等活动,及时发现、整改安全隐患,确保漏洞隐患闭环管理。

南都:那么,广东在数字政府网络安全领域建设方面有哪些亮点举措?

杨鹏飞:广东在数字政府网络安全建设中,着力解决“做什么”“谁来做”“怎么做”“如何评价效果”等四类问题。

具体而言,依托网络安全“国家队”和国内顶尖安全企业能力,编制全国首个省级数字政府网络安全体系建设总体规划,明确了安全监督部门、系统主管单位、数字政府建设运营中心的安全职责,明确了统筹协调、组织管理、技术防护、监测预警与应急处置、安全保密监管、培训教育与评估等六方面22项具体任务。

同时,推动建立网信、保密、公安、通信管理、政务服务等多部门参与的多维度网络安全联防联控机制。组织工信部电子五所及深信服等国内龙头单位,从安全管理、安全建设、安全运营、安全效果四个维度,构建起数字政府网络安全能力评估的指标体系,采集21个地市安全运行维护、大数据监测、应急、攻防演练等数万项相关数据,形成全国首个体系化、可落地的省级数字政府网络安全指数,有效促进各地市不断完善网络安全防御体系,推动网络安全工作“可量化、可评估”。

为了检验数字政府网络安全整体防护能力,广东还组织开展全领域覆盖的“粤盾”数字政府网络安全实战攻防演练活动,对在线政务系统进行全面“体检”。邀请全国顶尖网络安全攻击队伍,对全省1万多个政务信息系统,重点对100多个核心重要政务系统、云平台及大数据中心,开展实兵、实网、实战攻防演练,发现并清除各类网络安全隐患。

目前,“粤盾”攻防演练结果是网络安全指数评估的重要来源,网络安全指数也成为地市网络安全工作绩效考核的重要依据。“粤盾”攻防演练、网络安全指数和网络安全考核形成“相互支撑”、“三方联动”,共同促进数字政府网络安全整体水平全方位提升的良好效应。

建立了统一的数据安全防护体系

南都:广东去年出台了公共数据管理办法,那么,在推进公共数据共享开放、开发利用的过程中,如何兼顾数据安全?

杨鹏飞:广东加快推进建立了统一的数字政府数据安全防护体系,不仅明确职责分工,建立规章制度,而且加强网络、应用和数据安全技术管控,加强人员及账号权限管理,加强数据安全检测评估、安全风险监测及突发事件应急处置,以及规范数据资源开发利用管理。

具体而言,省政务服务数据管理局负责监督管理省级信息系统数据安全,组织省级部门加强行业数据重点保护,指导公共数据流通安全防护工作;省级各行业主管部门承担本行业、本领域公共数据安全监管职责;数源单位承担公共数据采集、核准和提供过程的数据安全管理职责,数据使用单位承担公共数据使用过程的数据安全管理职责。为了促进数据资源有序开发利用,编制《广东省公共数据安全管理办法》《广东省公共数据脱敏规范》等,推动数据安全管理规范化、标准化,探索数据安全使用承诺制。

同时,依托省政务云平台网络安全防护能力,为数据安全提供基础安全保障。省“一网共享”平台应用系统在设计、开发、运营、运维各环节同步规划、同步实施、同步运行各项数据安全技术保护措施,从数据采集、存储、传输、使用、共享和销毁等加强数据全生命周期保护。平台开发、运营、运维人员均要签署保密协议,相关人员账号口令由省统一身份认证平台管理,统一授权。其中,数据访问权限按照“按需申请、最小授权”原则,赋予用户最小操作权限。

此外,数据资源统一编目挂接到省“一网共享”平台。数据共享开放需求经审批同意后,以API接口形式提供对应数据服务,确保数据“可用不可见”,避免数据随意共享、数据失控。同时,依托第三方常态化安全测评服务、数据安全管理系统及日志中台,建立数据安全常态化风险评估及监测机制,主动发现数据安全风险。定期开展实战演练,“以攻促防”,提高应急响应和突发事件的能力。

南都:今年以来广东将数据要素市场化配置改革作为发力点,请问,广东数据要素市场化改革在落实安全职责方面有哪些做法?

杨鹏飞:广东构建两级数据要素市场,始终坚持“全省一盘棋”,推进各领域场景数据要素赋能,按照“数据安全、创新引领、融合赋能”,促进数据依法有序流通交易。在落实安全职责上,我们采取了以下举措:

一是建立广东数据流通交易平台体系。以数字政府公共支撑平台为基础,建设“规则统一、服务高效、监督规范”的广东数据流通交易平台体系,构建全省数据流通交易“一张网”。

二是提升数据流通交易公共支撑能力。依托粤省事等公共支撑体系,为全省数据流通交易提供公共支撑和综合技术保障。推进电子证照、数据资产凭证、数字空间、电子印章等在数据流通交易中的应用,实现数据流通交易统一身份认证、统一电子存证、统一数据使用授权、统一电子签章,实现数据流通交易高效便捷、互联互通、有效监督。

三是强化数据流通交易安全支撑能力。涉及数据流通交易的相关平台接入数据资产凭证系统,实践“数据可用不可见,使用可控可计量”的数据流通交易模式,通过数据资产凭证、区块链等技术,实现数据流通交易全程留痕。

四是加强数据流通交易标准规范建设。重点围绕数据资源开发、数据资产登记、流通交易、交付实施、数据授权使用、监督管理等领域制定统一的技术规范和服务规范。

五是构建本省数据流通网络,打造数据流通新型基础设施、数据运营机构、数据交易场所等数据流通交易枢纽。建设数据流通交易基础设施,支撑数据登记、交易流通、纠纷仲裁、监督管理等各平台建设,保证数据在流通、交易、使用中来源清晰、目的合理、场景授权明确、过程公平透明,为建立本省数据要素市场和流通交易机制提供技术和安全支撑。

六是严格落实《个人信息保护法》,构建广东省个人和法人数字空间,强化数据主体授权用数模式。用户通过人脸识别强认证后,才能进入数字空间访问数据,经第二次人脸识别和电子签名授权后才能生成相应的用数授权码,用数单位依授权信息使用相关数据。数据存储、传输过程均采用高等级国产密码加密算法,证照数据均通过水印声明事项用途、有效时间、用数单位等内容。授权的数据内容、用数系统等信息通过广东省数据资产凭证平台生成授权用数凭证并经区块链存证,保证授权记录不可更改、可追溯。同时,所有授权凭证和数据调用记录均通过数字空间面向数据主体开放查看,数据使用更透明、更放心。

61家单位加入数字政府网络安全产业联盟

南都:在培育网络安全社会生态、产业生态上,还有哪些思路、动作?

杨鹏飞:广东发起成立了首个数字政府网络安全产业联盟,打造数字政府网络安全共建共享平台。目前,联盟凝聚了61家积极投身于数字政府网络安全产业发展的互联网公司、安全企业、高校、研究机构和应用单位,成立了产业合作与发展委员会、人才培养发展委员会、基础研究委员会、应用实践委员会、规划与标准委员会、市场与投资委员会等6个专业委员会。

此外,联盟还搭建了网络安全交流平台,定期举办“行业网络安全与数据安全交流会”系列交流会,助力网络安全产业发展;协助制定数字政府数据安全治理、数据安全技术、数据安全管理以及数据安全运营等标准,指导各地各部门加强数据全生命周期安全管理和技术防护,推动安全可靠技术和产品的落地应用,进一步提升数字政府整体安全防护水平。

出品:南方都市报南都大数据研究院

(文章来源:南方都市报)

推荐内容