数字政府数据支撑和安全保障能力建设实践
数字政府数据支撑和安全保障能力
建设实践
为了全面落实十九届四中全会提出的"推进数字政府建设,加强数据有序共享,依法保护个人信息"以及《中共中央、国务院关于构建更加完善的要素市场化配置体制机制的意见》中"推进政府数据开放共享""加强数据资源整合和安全保护"的要求,X省大数据管理局加强网络安全和数据安全体系建设,强化网络安全监测、防护水平,提升了省政务外网数据安全保障能力,切实保障数据合法、合规和安全地使用,为推进数字政府建设提供了有力信息基础设施支撑。
一、践行集约化建设理念,建成"七个一"一体化大数据支撑体系
加快一体化大数据建设是提升社会治理能力的迫切需要,X坚持和深化"全省一盘棋、全岛同城化"的理念,按照全省"大集中"和"大网络、大平台、大系统"的集约化建设思路,建成了全省统一的"一张网、一朵云、一个中心、一个中台、一条链、一个共享交换平台、一个开放平台",形成"七个一"的一体化大数据支撑体系,为各部门信息化建设提供技术支撑。
"一张网"即全省统一的电子政务外网,实现省、市县、乡镇、行政村四级覆盖,包括50家省直单位、20个市县(含洋浦开发区)、所有乡镇和行政村,并与国家电子政务外网实现互联互通,目前已接入313条政务专线,分配政务外网IP达130000余个。为了应对大幅新增的政务云互联网业务,省政务外网互联发布区出口带宽由1000M提升至5000M,大幅提升互联网出口带宽冗余能力。
"一个中心"即X省政府数据中心。省政府数据中心分为"两地三中心",即在海口的省政务数据中心、省社管数据中心和在三亚的灾备数据中心,共配备1200个服务器机柜,解决了以往部门分散投资建设机房的问题,实现了机房的统一集中式管理、硬件和系统软件的最大化共享,以及安全措施的配套保障。
"一朵云"即全省统一的电子政务云,基于全省政务信息化顶层设计,依托省政府数据中心和电子政务外网平台,按照"企业建设和运维,政府按需统一购买服务"的模式建设全省统一的电子政务云,目前有太极云、电信云、紫光云三家云服务提供商。截至2022年6月8日,政务云已承载全省120家单位1500余个系统,共运行了16000台虚拟机,云资源总量为虚拟CPU核数67000个、内存250TB,存储14PB,基本实现了电子政务基础设施的全省统建共享。
"一个中台"即X省政务中台,包括X省政务大数据公共服务平台和X省业务中台,省政务大数据公共服务平台,集中为各级政务部门大数据建设提供服务,目前平台已归集完成全省各部门95家单位、473个系统的65832张表的数据112.72万信息项,实现一次归集多次使用,为社管平台、省一体化在线政务服务平台等平台提供数据治理和数据共享服务。
X省业务中台则集中为全省各部门行业应用系统建设提供支撑,平台聚合了统一事项中心、统一办件中心、统一表单中心、统一流程中心、统一用户中心、统一通知中心等通用应用,完成基础业务服务能力、公共支撑能力的聚合和沉淀。目前X省业务中台已集中为海易办平台、一体化平台、海政通平台、金椰分应用平台、省市监局综合平台(二期)、互联网+监管平台等建设提供业务支撑。
"一条链"即全省统一的政务区块链基础平台,已完成部署了7个公共节点(其中一个为管理节点),已适配Fabric非国密、FISCO国密、蚂蚁链等主流区块链底层框架,未来将适配兼容9类区块链底层框架,满足各部门对区块链底层框架个性化的需求,推动全省政务区块链应用在一个平台上构建。目前,省政务区块链基础平台已对接X"海易办"平台,电子证照、电子病历上链应用,实现电子证照、电子病历共享可信、可查、可追溯。已接入海口海关、浦发银行等业务系统,实现政务数据的安全可信交换。
"一个数据共享交换平台"即X省数据共享交换平台,为省直各单位和市县科工信局提供业务协调和数据交换,推进三融五跨。截至目前,省数据共享交换平台已累计发布省直单位、各市县676个系统共5708条信息资源目录。
"一个开放平台"即X省政府数据统一开放平台,为社会公众、企业基于互联网端获取可公开的政府数据资源提供便捷通道,鼓励各类社会主体进行开放数据的增值开发利用,进行数据需求的分析、挖掘。目前,省政府数据统一开放平台上发布开放目录2878条,共挂接了涉及20个主题15单位的3个数据集和1052个数据接口。
二、多措并举,建立健全政务安全体系
(一)政务外网安全基础设施建设
X省电子政务外网依据《国家电子政务外网信息安全标准体系框架》《国家信息安全技术网络安全等级保护基本要求》(2.0版)和《国家政务服务平台网络安全保障要求》等相关要求规范标准进行建设部署。在省电子政务外网区和互联网发布区严格划分安全域,包括安全接入区、物理服务器区、核心交换区、专线接入区、政务云区、安全隔离区等区域,在各安全域边界部署下一代防火墙、WEB应用防火墙、安全隔离网闸等网络安全设备,对跨边界的访问进行安全防护。通过部署虚拟专用网络(VPN)、堡垒机,并启用"短信+账号口令",满足全省15万用户的安全接入需求;部署网络回溯分析系统满足事后流量回溯需求;部署漏洞扫描系统、配置核查系统、主机防护软件(EDR)等设施用于安全运营团队的常态化安全检查和系统入网安全基线核查需求。目前,X省电子政务外网已通过2022年度等级保护测评,测评结果为良好,可有效支撑各市县部门的政务外网安全接入需求。
(二)建设网络安全和数据安全保障平台
建设集威胁监测、漏洞管理、资产管理、态势感知、研判分析、预警通报、应急处置等于一体的网络安全态势感知平台,接入共800余个网络安全设备日志、1200余台关键服务器日志、4朵政务云态势感知日志,并在省电子政务外网公共区域及各委办局专线接入节点共部署39台流量探针,实现对整个省电子政务外网流量监测的基本覆盖,平台日均接收和处理日志数量达3亿多条。同时,网络安全态势感知平台根据实际情况,制定70余项自动化应急响应策略,与边界防火墙等网关设备实现联动处置,可针对恶意入侵行为进行自动化阻断,极大减轻日常安全运营尤其是护网演习的工作量,进一步提高了安全应急处置效率。
建设集数据脱敏、追踪溯源、安全审计、安全网关等八大功能模块,建立覆盖数据归集、传输、存储、处理、交换、销毁全生命周期的安全防护体系,严控数据安全风险,杜绝数据泄漏、误用与滥用。目前平台已与X省海易办、大数据公共服务平台、数据中台、数据开放平台、共享交换平台等14个重要业务系统、37个数据库完成对接,为37家数源单位1429张数据表进行敏感数据脱敏。平台针对重要业务系统的各类型操作日志、流量进行采集、分析,并对产生的9万余条告警实施风险预警并建立相关安全整改措施闭环,持续深入开展全运营监管工作,为保障数据要素的市场化流动以及探索自贸港数据要素的跨境流通夯实基础。
(三)完善安全管理制度体系建设
X省大数据管理局编制印发了《X省大数据管理局人员安全管理制度(暂行)》《X省大数据管理局网络安全应急响应制度(暂行)》等五项安全管理制度,明确了X省大数据管理局网络安全工作总体方针、目标和原则,建立网络安全责任追究制度,以及网络安全相关岗位配置和人员分工,系统建设、运维、应急处置等具体安全管理要求。
编制印发《X省电子政务外网网络安全管理规范》,涵盖人员组织管理、安全生产管理、资源管理流程等15个领域,为日常安全管理提供依据,2022年累计审批全省VPN、堡垒机、网络安全策略申请共25800条。
X省于2022年6月建立省大数据安全制度规范体系,发布《政务数据分级分类指南》,将于今年9月完成《政务数据安全管理办法》和《政务数据安全管理规范》的编制印发,为自贸港政务数据的共享、传输尤其是跨境数据流通提供重要制度保障。
(四)建设密码服务平台
为实现全省密码资源集约、高效、安全发展,保障网络与信息安全,X省大数据管理局统一部署搭建云密码服务平台,构建包括云密码机、协同签名、时间戳、数字认证、安全网关、量子通道加密等密码服务能力,为全省电子政务三级等保以上信息系统密码应用改造提供服务,为信息系统安全保驾护航。目前已支撑X省最大的政务服务"海易办"平台密码应用改造,提供服务目录包括密码机加解密服务、时间戳服务、协同签名验签服务、数据库加解密服务、安全套接层(SSL)通道加密服务等。
(五)组建专业化安全运营团队
X大数据管理局组建安全运营团队,开展7*24小时常态化安全运营工作,为各委办单位提供安全咨询、安全加固、安全事件处置、重大活动保障、应急演练、攻防演练等安全服务,通过网络安全态势感知平台,完成全网漏洞整改、资产梳理、安全事件通报等多项安全整改工作,大幅提升了大数据管理局数据中心的安全防护和应急能力。
同时,X大数据管理局履行网络安全监管职能,对接入省政务外网的39家厅局、19个市县单位以及省内4朵政务云开展常态化安全监管工作,并厘清了管理边界和责任边界,形成一套全方位、多层级、一体化的网络安全防护体系。
此外,X大数据管理局对照制度规范的要求,利用大数据安全保障平台以及现有的工具,对接各委办局业务系统,开展大数据安全运营监管工作,严格控制政务数据安全风险,杜绝数据泄漏、误用与滥用。
三、以政策为导向,为"智慧X"建设提供有力安全保障
在推动X省政府数字化转型进程中,X省大数据管理局将以习近平总书记关于X工作的系列重要讲话和指示批示精神为根本,以省委省政府的工作指导为重心,以X自由贸易港建设为总体目标,驱动政府数字化转型。全面落实自贸港"一本三基四梁八柱"战略框架,强化技术融合、业务融合、数据融合,推进政府治理流程优化、模式创新和履职能力提升,提升跨层级、跨地域、跨系统、跨部门、跨业务的协同管理和服务水平,促进数据高质量共享和安全有序流动。
X省大数据管理局将继续打牢"七个一"的基础设施支撑能力,健全组织保障体系、标准规范体系、政策制度体系、安全保障体系、社会信用体系,建立健全网络安全态势感知平台、大数据安全保障平台、云监管平台、云密码服务管理平台等牢固的安全"保护墙",为"智慧X"建设提供强有力的安全保障。