中国移动数字政府安全体系建设指引二零二二年十月 前言党的二十天报告重指出“加快建设制造强国、质量强国、航天强国、交通强国、明确提出：“统筹发展和安全，建设更高水平的平安中国”，数学政府作为数字中国的重要组成部分，其安全重要性不言而喻。面对当前复杂多变的国际局势和网络空间环境，数字政府和数字生态建设将面临更多的网络空间安全威胁。网络安全保障体系将成为数字政府建设和运营的安全底座，支撑数字政府平稳健康运行。中国移动作为网信领域中央企业，错定创世界一流信息服务科技创新公司新定位，践行创世界一流力量大厦新战略目标，全面落实总体国家要全观，统筹发展与要全，始终把安全发展贯穿于数学政府建设各领域和全过程，切实守住网络安全底线。中国移动以国家法律法规为依据，以落实网络安全工作责任制为抓手，以构建高标准要全体系的数学政府为口标，坚持“人防、物防、技防”联防联控的天要全理急，从政务网络、云、应用、数据、密码、运营六个方面，建立健全数字政府一体化网络安全保障体系，推动实现安全风险可管可控的高安全数字政府，打造中国移动“数字政府专家”金字招牌和业界领先的数智服务提供商。本指引主要适用于中国移动在开展数字政府网络安全建设时予以指导与规范。本指引的版权归中国移动所有，未经授权，任何单位或个人不得复制或拷贝本指引中的部分或者全部内容。参编单位中国移动集团公司信息安全管理与运行中心中国移动集团公司政企事业部中移系统集成有限公司北京启明星辰信息安全技术有限公司 CONTENTS目录01概述1.1.数字政府基本涵义011.2.新时代数字政府整体框架021.3.数字政府网络安全挑战06数字政府安全建设总体思路2.1.指导思想092.2.工作原则102.3.建设思路112.4.工作目标11国家政策法规要求3.1.国家政策制度要求153.2.国家法律法规要求163.3.国家标准规范要求18数字政府安全风险与需求4.1.数字政府业务上云安全风险21 224.2.数字政府业务应用安全风险4.3.数字政府数字内容安全风险234.4.政务数据开放共享带来的安全风险244.5.数字政府安全运营能力不足带来的安全风险254.6.自主可控的关键核心技术发展滞后带来的供应链安全风险264.7.网络安全人才队伍建设不完善带来的安全风险284.8.数字政府建设的综合安全需求2805数字政府安全体系框架5.1.数字政府安全体系整体框架325.2.数字政府安全制度体系345.3.数字政府安全组织人员体系375.4.数字政府安全技术保障体系4206数字政府关键领域安全要求6.1.政务网络安全466.2.政务云安全486.3.政务应用安全506.4.政务数据安全516.5.密码应用安全536.6.安全运营54甘肃数字政府案例7.1.项目背景577.2.建设内容577.3.实现效果61 01概述1.1.数字政府基本涵义1.2.新时代数字政府整体框架1.3.数字政府网络安全挑战 建设指引概述“数字政府”一词最早于2017年出现在政府管理视野。2018年广西广东两省相继发布数字政府建设规划，标志着数字政府从建设理念走向落地实践，随后数字政府建设迅速向国内其他省份扩散。2019年党的十九建设由地方探索提升至国家顶层设计层面。2022年6月，国务院发布了《关于加强数字政府建设的指导意见》（国发【2022】14号），从多个方面对我国新时期数字政府建设提出了明确要求。1.1数字政府基本涵义数字政府，是指利用互联网、大数据、云计算、人工智能等现代信息技术，以数字化手段为支撑的政府运行新形态。数字政府建设主要包括两方面内容：一是数据融通，借助系统实现跨部门、跨地域、跨层级政务数据贯通，促进政务数据在府际间共享、共用，提高数据利用效率；二是业务融通，政府内部通过数字战路的实施，对业务流程优化再造，建立起基于政府内部数据融通的高效办事网络，节省社会交易成本。新时代赋予了数字政府建设新的内涵。国务院《关于加强数字政府建设的指导意见》提出，“将数字技术广泛应用于政府管理服务，推进政府治理流程优化模式创新和履职能力提升，构建数字化、智能化的政府运行新形态，充分发挥数字政府建设对数字经济、数字社会、数字生态的引领作用，促进经济社会高质量11 中国移动数字政府安全体系发展，不断增强人民群众获得感、幸福感、安全感，为推进国象治理体养和治理能力现代化提供有力支撑”。中国软件测评中心的报告指出，“新时代数字政府是在“立足新发展阶段、贯彻新发展理念、构建新发展格局”的历史方位下，坚持全心全意为人民服务的根本宗盲，以新一代信息技术为支撑，以应用场景为牵引，以数据治理为关键，通过重组政府架构、再造政府流程、优化政务服务，全面提升政府在经济调节、市场监管、社会治理、公共服务、生态环境保护等领域数字化履职能力，提升政务运行效能和政务公开水平，促进政府治理体系和治理能力现代化，实现政府决策科学化、社会治理精准化、公共服务高效化的新型政府运行形态”。新时代加强数学政府建设是加快转变政府职能，建设法制政府、廉洁政府和服务性政府的内在需求，是推动有效市场和有为政府结合，充分激活经济发展新动能的关键途径，是全面引领和驱动数字化转型，建设网络强国、数字中国的基础性和先导性工程，是适应新一轮科技革命和产业变革趋势、引领驱动数学经济发展和数字社会建设、营造良好数字生态、加快数字化发展的必然诉求，是创新政府治理理念和方式、形成数字治理新格局、推进国家治理体系和治理能力现代化的重要举措。1.2新时代数字政府整体框架照国务院印发的关于加强数学政府建设的指导意见》，以深化“放管服”改革、优化营商环境为切入点，构建省市县一体的“四横五纵”数字政府总体框架，搭起数字政府的“四八柱”。数字政府整体架构自下而上包括基础设施、政务数据、公共支撑平台、应用服务四个层次，同时具备统筹协调的一体化决策指挥体系、符合国家和行业要求12 建设指引的标准体系、精准持续的考评体系、高效协同的运维体系及动态可信的安全体系，如下图所示：数字政府整体构架应用公共服务市场监管服务公共烧一身份认证烧一电子笼名就一电子证照支撑统一电子印意统一信用体系统一公共支付平台能力开放平台数送服务敢据共享支换平台公共收据开故平台数据安全消理平台政务数据基仙库人口综合库、法人综合库、自然商源和地理信息库）主题库专题库大政慈基座散麗治理数据开放数据服务数解资产基础政务云设施政务图图1-1数宇政府整体框架基础设施层全面推动5G与电子政务网络的深度融合，应用网络切片技术、区块链服务网络BSN、量子通信、互联网技术，构建全方位支持IPv6的新一代数字政府电子政务网络设施，致力于助力各级政府打造覆盖技术先进、品质优良的政务网络。融合应用5G+AICDE等新技术，按照“多云统管”的思路，形成一体化云管理平台，对云资源实行统一管理、统一监控和统一运维，打造逻辑集中、物理分散的政务云资源池，试点信创云建设，满足数字政府信创业务适配能力，构建政务“一朵云”，实现数字政府应用高效集约支撑。坚持自主创新原则，持续提升政务云平台的支撑能力、安全水平，为数字政府业务应用提供安全、稳定、可靠、按需使用、弹性伸缩的云资源能力。31 中国移动数字政府安全体系政务数据层通过构建以需求为导向、以深化“放管服”改革为抓手、以制度为保障，构建集数据归集、数据治理、数据开发和服务为一体的大数据基座，提升数据全生命周期管理能力。推动各级各部门政务数据资源向政务数据层汇聚，根据统一标准规范，构建综合人口库、综合法人库、自然资源和地理空间基础信息库三大基础库，构建事项库、办件库和材料库等主题库及“省内通办”“跨省通办”“一件事一次办”等专题库，形成统一的数据资源库，提升数据共享效率。通过多源数据的归集、治理、交换，构建数据融合共享、全域动态感知的数据共享交换平台，推动政府数据共享、开放和应用，驱动数字化转型，打造城市治理、公共服务、生态宜居、产业创新新范式，全面赋能数字政府，实现治理模式、服务模式、经济发展模式优质量升级。公共支撑平台层提供统一身份认证体系、统一公共支付体系、统一电子证照库、统一电子印章等共性服务能力，融合5G、区块链、云计算、大数据、物联网、移动互联网等在政务服务中的应用，为各级、各部门和各类应用系统提供公共应用和支撑能力保障，实现“一网通办”、“网上好办”等应用场景。业务应用层统筹重构一体化政务服务平台，汇聚收敛PC端、移动端、12345热线、自助服务终端等架道触点能力，构建集中服务、多渠道接入的政务服务统一入口，推动分散服务向集中服务转变，实现多家受理向统一受理归集。切实“为老百姓14 建设指引办好事、让老百姓好办事”，提升用户体验、增强用户获得感。通过统一政务服务入口、事项、申报、受理、办理、评价，实现政务服务标准化、规范化、便利化，提升政务服务水平和服务效能。决策指挥体系通过省市县三级一体化数字政府决策指挥中心，建成数字政府支撑、统筹、管理的核心枢纽，从政府效能、营商环境、国办评估等多个领域的深度数据挖掘，发现政务服务堵点、难点，为政府各级领导决策提供数据支撑，旨在全力发挥政府领导“指挥棒”的作用，达到以数“资”政、以“数”辅政场景的深化应用，推动群众办事效率、政府服务质量双提升。标准体系是支撑系统建设、管理、服务的重要手段。依据国家、行业相关标准，统筹制定统一的技术标准和评价指标，遵循集约建设、共建共享、互联互通原则，从基础设施、数据共享、公共支撑、应用标准、网信安全、政务服务、管理体系多个角度，按照统一的规划及技术标准进行分步实施，提升数字政府标准化规范化水平。为数字政府建设的各项环节提供标准化要求，有力支撑数字政府的高效建设。考评体系通过建立数字政府考评指标和评分标准，落实考核和精准督查机制，发挥51 中国移动数字政府安全体系考核督查导向作用，持续推进政府数字化改革纵深发展，实现以评促改、以评促优。重点关注国家数字政府建设、网络安全相关政策变化趋势，结合数字政府业务发展和民生需求，将数字政府建设目标细化量化，通过专项提升、自查评估体系、动态监测政务服务能力提升成效，保障数字政府建设有序推进。运维体系是保障数字政府项目各类业务平稳运行、各类系统承载的重要能力。按照“共同参与、统一标准、分级维护”的原则，建立数字政府改革建设一体化分级运维保障流程，构建技术支撑和制度规范，实行分层分级差异化服务响应标准，提供解决方案、系统运维、技术支持、灾备保障等专业化的技术服务，满足数字政府全天候保障需求。安全体系是数字政府建设和运维的核心要求。以国家法律为依据，按照网络安全等级保护2.0和关键信息基础设施安全保护制度要求，以落实网络安全工作责任制为抓手，以构建高标准安全体系的数字政府为目标，坚持“人防、物防、技防”联防联控大安全理念，从制度、技术、运营、创新四个方面，建立一体化网络安全保障体系，实现安全风险可管可信可控。16 建设指引1.3数字政府网络安全挑战随着新一代数字技术的发展和政府治理理念的升级，云计算、大数据、人工智能、区块链等新技术应用的不断深化，数字政府的数字化、智能化程度变得越来越高，随之而来的安全问题愈加突出。在数字化时代，数字政府建设推动政府运行由“物理空间分散化”走向“网络空间一体化”，推动政府实现线上线下深度融合、有效衔接和互为补充，有效提升政府服务效能。数字政府的网络空间和物理空间更多地在融合与渗透，使得网络虚拟空间的安全风险和攻击会更多地进入到现实的物理空间。数字政府一旦成为攻击目标，可能会遭受敌对势力、不法人员发起的网络攻击和恶意入侵，可能会造成数字政府业务瘫，敏感数据泄露等安全风险。数字政府的高价值性暨加上数据要索化、网络连接泛在化、云网共生化和能力开放性特征，使得风险暴露面更加突出，进一步加剧了攻防双方的不对称性，使得适受攻击的概率倍增，带来的危害和影响也将涉及到民生安全、社会安全和国家安全。71 02数字政府安全建设总体思路2.1.指导思想2.2.工作原则2.3.建设思路2.4.*工作目标 建设指引数字政府安全建设总体思路以党的二十大精神为指引，坚持以新安全格局保障新发展格局，统筹发展与安全，