數(shù)字政府網(wǎng)絡(luò)安全指數(shù)評(píng)估體系研究

楊鵬飛 羅奇?zhèn)?李 堯

1(廣東省政務(wù)服務(wù)數(shù)據(jù)管理局 廣州 510030)2(廣州賽寶認(rèn)證中心服務(wù)有限公司 廣州 510610)

(yangpf@gd.gov.cn)

近年來(lái)，我國(guó)逐漸推進(jìn)政府?dāng)?shù)字化轉(zhuǎn)型，數(shù)字政府建設(shè)進(jìn)程快速推進(jìn)[1].數(shù)字政府改革建設(shè)的重點(diǎn)是推進(jìn)政務(wù)數(shù)據(jù)的整合、開(kāi)放和共享，政務(wù)數(shù)據(jù)及業(yè)務(wù)的融合集中增加了網(wǎng)絡(luò)安全防護(hù)難度，使得數(shù)字政府面臨更加復(fù)雜的形勢(shì)和嚴(yán)峻挑戰(zhàn)[2].只有建立健全數(shù)字政府網(wǎng)絡(luò)安全防護(hù)體系，提升整體安全防護(hù)能力，才能保障政府?dāng)?shù)字化轉(zhuǎn)型持續(xù)、安全、高質(zhì)量推進(jìn).然而，當(dāng)前我國(guó)各地?cái)?shù)字政府網(wǎng)絡(luò)安全防護(hù)工作普遍存在頂層規(guī)劃設(shè)計(jì)缺乏、安全管理缺失、安全防護(hù)技術(shù)落實(shí)不到位、安全運(yùn)營(yíng)能力不足等問(wèn)題[3].

為了應(yīng)對(duì)數(shù)字政府面臨的安全威脅和嚴(yán)峻挑戰(zhàn)，有必要建立數(shù)字政府網(wǎng)絡(luò)安全保障架構(gòu)體系，引導(dǎo)數(shù)字政府網(wǎng)絡(luò)安全防護(hù)體系建設(shè)工作，并建立數(shù)字政府網(wǎng)絡(luò)安全指數(shù)評(píng)估指標(biāo)體系，對(duì)其防護(hù)工作開(kāi)展情況及防護(hù)效果進(jìn)行評(píng)價(jià)，促進(jìn)網(wǎng)絡(luò)安全防御體系迭代建設(shè)，持續(xù)提升數(shù)字政府網(wǎng)絡(luò)安全防護(hù)水平.

1 網(wǎng)絡(luò)安全保障框架研究概述

當(dāng)前，網(wǎng)絡(luò)安全保障框架及能力評(píng)估模型主要分為2類：

1) 通用型安全保障框架或能力評(píng)估模型.國(guó)際電信聯(lián)盟從法律、技術(shù)、組織、能力建設(shè)以及合作5個(gè)方面，提出了全球網(wǎng)絡(luò)安全指數(shù)指標(biāo)體系[4].等保2.0從安全管理制度、安全管理組織、安全管理人員、安全建設(shè)管理以及安全運(yùn)維管理等9個(gè)方面提出了網(wǎng)絡(luò)安全等級(jí)保護(hù)通用安全要求[5].GB/T 31495—2015系列標(biāo)準(zhǔn)從保障措施、保障能力和保障效果3個(gè)方面提出了信息安全保障模型，并構(gòu)建了信息安全保障指標(biāo)體系，包括建設(shè)情況指標(biāo)、運(yùn)行能力指標(biāo)和安全態(tài)勢(shì)指標(biāo)3項(xiàng)一級(jí)指標(biāo)和12項(xiàng)二級(jí)指標(biāo)[6].胡勇[7]在分析信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估涉及的諸多因素，如人、業(yè)務(wù)戰(zhàn)略、法律法規(guī)及人文環(huán)境、資產(chǎn)、威脅、安全事件、安全措施以及安全保護(hù)等級(jí)等的基礎(chǔ)上，提出了網(wǎng)絡(luò)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估指標(biāo)體系.劉昱[8]提出了包含管理、技術(shù)、操作以及環(huán)境4項(xiàng)一級(jí)指標(biāo)的信息安全風(fēng)險(xiǎn)評(píng)估模型，研制了信息安全指數(shù)，并對(duì)其進(jìn)行了實(shí)證驗(yàn)證.吳志軍和楊義先[9]從信息安全保障的戰(zhàn)略、管理策略、工程規(guī)范和技術(shù)措施方面出發(fā)，構(gòu)建了包括保障功能、安全運(yùn)行以及保障效果3個(gè)方面的信息安全保障評(píng)價(jià)指標(biāo)體系.

2) 面向特定行業(yè)的安全保障框架或能力模型.吳靜媛和周鵬穎[10]結(jié)合港口信息安全保障工作的需求，從管理、技術(shù)、工程和人員4個(gè)方面，提出了定性與定量結(jié)合的港口信息安全3維評(píng)價(jià)指標(biāo)體系.施俊[11]從靜態(tài)技術(shù)評(píng)價(jià)和動(dòng)態(tài)能力評(píng)價(jià)2個(gè)方面提出了煙草行業(yè)信息安全評(píng)價(jià)指標(biāo)體系.其中：靜態(tài)技術(shù)指標(biāo)包括安全管理、安全技術(shù)、安全運(yùn)維；動(dòng)態(tài)能力主要評(píng)價(jià)系統(tǒng)防攻擊、防篡改、防病毒、防癱瘓、防竊密等能力.趙婷等人[12]從組織體系、規(guī)章制度、資金保障、人員安全、服務(wù)外包管控、網(wǎng)絡(luò)安全防護(hù)等15個(gè)方面，提出了70項(xiàng)電力信息安全水平評(píng)價(jià)指標(biāo).李嵐和杜澄[13]從管理、保障建設(shè)和戰(zhàn)略3個(gè)方面構(gòu)建了指標(biāo)體系，對(duì)科研機(jī)構(gòu)的信息安全水平進(jìn)行了評(píng)價(jià).李振富等人[14]運(yùn)用改進(jìn)型德?tīng)柗品ê蛯哟畏治龇ǎ瑯?gòu)建了戰(zhàn)術(shù)互聯(lián)網(wǎng)信息安全風(fēng)險(xiǎn)評(píng)價(jià)指標(biāo)體系.

通過(guò)對(duì)已有網(wǎng)絡(luò)安全相關(guān)保障框架和能力評(píng)價(jià)模型的研究發(fā)現(xiàn)，網(wǎng)絡(luò)安全保障框架主要包括戰(zhàn)略規(guī)劃、政策法規(guī)、標(biāo)準(zhǔn)規(guī)范等宏觀環(huán)境因素保障，管理組織、制度體系、人員和經(jīng)費(fèi)等組織管理保障，安全防護(hù)技術(shù)能力建設(shè)保障以及安全運(yùn)維能力保障等.眾多機(jī)構(gòu)、專家以及學(xué)者對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的指標(biāo)設(shè)定可以歸納為安全管理、安全建設(shè)、安全運(yùn)營(yíng)和安全效果4個(gè)方面.其中：安全管理主要評(píng)價(jià)網(wǎng)絡(luò)安全宏觀環(huán)境和組織管理情況；安全建設(shè)主要評(píng)價(jià)網(wǎng)絡(luò)安全防護(hù)能力建設(shè)情況；安全運(yùn)維主要評(píng)價(jià)網(wǎng)絡(luò)安全運(yùn)營(yíng)運(yùn)維能力情況；安全效果主要評(píng)價(jià)網(wǎng)絡(luò)安全防護(hù)工作取得的成效情況.具體指標(biāo)的設(shè)定，根據(jù)關(guān)注重點(diǎn)或行業(yè)特點(diǎn)等不同而有所不同.

同時(shí)，通過(guò)研究發(fā)現(xiàn)，當(dāng)前專門針對(duì)數(shù)字政府的網(wǎng)絡(luò)安全保障框架或防護(hù)能力評(píng)估模型的研究較為缺乏，已有的通用型保障框架或能力評(píng)估模型，又缺乏對(duì)數(shù)字政府的特點(diǎn)及其安全防護(hù)需求的考量.基于上述分析，研究并提出數(shù)字政府網(wǎng)絡(luò)安全保障框架及評(píng)估指標(biāo)體系，具有重要的理論和實(shí)踐意義.

2 數(shù)字政府網(wǎng)絡(luò)安全保障架構(gòu)體系

通過(guò)研究國(guó)內(nèi)外安全保障框架及能力評(píng)估模型，并結(jié)合數(shù)字政府網(wǎng)絡(luò)安全特點(diǎn)及實(shí)際需求，構(gòu)建了數(shù)字政府網(wǎng)絡(luò)安全保障架構(gòu)體系.如圖1所示，數(shù)字政府網(wǎng)絡(luò)安全保障框架主要包括安全戰(zhàn)略保障、組織管理、技術(shù)保障、運(yùn)行保障和服務(wù)支撐5個(gè)方面.

網(wǎng)絡(luò)安全戰(zhàn)略保障主要從明確網(wǎng)絡(luò)安全戰(zhàn)略規(guī)劃、完善網(wǎng)絡(luò)安全法律法規(guī)體系、發(fā)布網(wǎng)絡(luò)安全政策規(guī)范和指引、健全網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系等方面著手，做好數(shù)字政府網(wǎng)絡(luò)安全的整體規(guī)劃和頂層設(shè)計(jì).邀請(qǐng)行業(yè)專家組建網(wǎng)絡(luò)安全智庫(kù)機(jī)構(gòu)，為網(wǎng)絡(luò)安全相關(guān)工作提供決策支撐.在遵循國(guó)家政策法規(guī)的基礎(chǔ)上，制定數(shù)字政府網(wǎng)絡(luò)安全相關(guān)的法規(guī)政策及實(shí)施辦法，健全網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)和指南.結(jié)合地區(qū)實(shí)際情況制定網(wǎng)絡(luò)安全戰(zhàn)略目標(biāo)及規(guī)劃文件，統(tǒng)籌地區(qū)數(shù)字政府網(wǎng)絡(luò)安全工作，指導(dǎo)安全管理、技術(shù)防護(hù)、安全運(yùn)營(yíng)以及服務(wù)支撐等相關(guān)工作的開(kāi)展.

網(wǎng)絡(luò)安全組織管理主要是從網(wǎng)絡(luò)安全管理組織建設(shè)、管理人員配置、安全制度體系建設(shè)、安全意識(shí)教育培訓(xùn)、安全考核與獎(jiǎng)懲、安全經(jīng)費(fèi)保障等方面著手，構(gòu)建高效、協(xié)同的安全管理體系.積極推進(jìn)數(shù)字政府網(wǎng)絡(luò)安全責(zé)任落實(shí)制度，建立跨部門、跨單位的溝通聯(lián)絡(luò)機(jī)制，加強(qiáng)網(wǎng)絡(luò)安全工作協(xié)同聯(lián)動(dòng).加強(qiáng)安全管理人員配置，明確安全責(zé)任與分工，做到安全工作專人負(fù)責(zé).加強(qiáng)網(wǎng)絡(luò)安全教育與培訓(xùn)，構(gòu)建安全考核與獎(jiǎng)懲機(jī)制，提升整體網(wǎng)絡(luò)安全意識(shí).加大網(wǎng)絡(luò)安全投入，確保網(wǎng)絡(luò)安全相關(guān)要求的落地實(shí)施，協(xié)同推進(jìn)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)工作.

網(wǎng)絡(luò)安全技術(shù)保障主要從加強(qiáng)信息資產(chǎn)管理、注重定級(jí)備案和等級(jí)測(cè)評(píng)、落實(shí)安全防護(hù)技術(shù)、重點(diǎn)保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施和數(shù)據(jù)安全方面著手，建立既強(qiáng)調(diào)全面又突出重點(diǎn)的技術(shù)防護(hù)體系.信息資產(chǎn)管理是基礎(chǔ)，通過(guò)建立健全數(shù)字政府信息資產(chǎn)發(fā)現(xiàn)、跟蹤、管理的技術(shù)手段，建立資產(chǎn)清單，提升資產(chǎn)管理能力.基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)按要求定級(jí)備案并落實(shí)相關(guān)安全防護(hù)技術(shù)措施，及時(shí)完成等級(jí)測(cè)評(píng).梳理識(shí)別數(shù)字政府相關(guān)關(guān)鍵信息基礎(chǔ)設(shè)施，落實(shí)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的重要安全技術(shù)要求.將政務(wù)數(shù)據(jù)安全作為網(wǎng)絡(luò)安全的重中之重，做好數(shù)據(jù)分類分級(jí)，加強(qiáng)數(shù)據(jù)全生命周期的安全技術(shù)防護(hù).

網(wǎng)絡(luò)安全運(yùn)行保障從日常運(yùn)行維護(hù)、風(fēng)險(xiǎn)識(shí)別、監(jiān)控與監(jiān)測(cè)、應(yīng)急響應(yīng)、事件處置、風(fēng)險(xiǎn)整改加固、業(yè)務(wù)連續(xù)性保障等方面著手，確保數(shù)字政府網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行.建設(shè)網(wǎng)絡(luò)安全運(yùn)營(yíng)平臺(tái)，加強(qiáng)日常巡檢和定期維護(hù)，確保安全檢測(cè)能力覆蓋所有上線系統(tǒng).定期開(kāi)展安全基線核查、漏洞掃描、滲透測(cè)試以及風(fēng)險(xiǎn)評(píng)估等工作，提升安全風(fēng)險(xiǎn)識(shí)別能力.購(gòu)置的網(wǎng)絡(luò)安全監(jiān)測(cè)平臺(tái)或服務(wù)需具備失陷監(jiān)測(cè)、欺騙防御、異常行為監(jiān)測(cè)、威脅情報(bào)感知、全流量監(jiān)測(cè)分析等能力，監(jiān)測(cè)數(shù)據(jù)及時(shí)上報(bào)共享.制定網(wǎng)絡(luò)安全應(yīng)急預(yù)案并定期開(kāi)展應(yīng)急演練，形成完善的安全事件應(yīng)急處置、調(diào)查評(píng)估、通報(bào)上報(bào)、溯源分析及整改加固機(jī)制.重要數(shù)據(jù)定期備份并進(jìn)行恢復(fù)測(cè)試，進(jìn)行業(yè)務(wù)影響性分析并進(jìn)行業(yè)務(wù)連續(xù)性測(cè)試，重要系統(tǒng)建設(shè)災(zāi)備系統(tǒng)，提升業(yè)務(wù)連續(xù)性保障能力.

網(wǎng)絡(luò)安全服務(wù)支撐是圍繞安全咨詢、設(shè)計(jì)、集成、運(yùn)維、測(cè)評(píng)、改進(jìn)等數(shù)字政府網(wǎng)絡(luò)安全防護(hù)體系建設(shè)的全生命周期，通過(guò)采購(gòu)產(chǎn)品或服務(wù)，建立數(shù)字政府可持續(xù)的安全防護(hù)能力，形成規(guī)劃設(shè)計(jì)、建設(shè)運(yùn)行、監(jiān)督評(píng)價(jià)和持續(xù)改進(jìn)的良性循環(huán).規(guī)劃設(shè)計(jì)階段綜合分析數(shù)字政府網(wǎng)絡(luò)安全面臨的威脅與挑戰(zhàn)，提出系統(tǒng)性的設(shè)計(jì)要求；設(shè)計(jì)階段采取安全防護(hù)管理和技術(shù)措施，建立網(wǎng)絡(luò)安全綜合防護(hù)能力；運(yùn)維階段通過(guò)檢測(cè)各設(shè)備、系統(tǒng)及應(yīng)用的運(yùn)行狀況，及時(shí)對(duì)安全風(fēng)險(xiǎn)和事件進(jìn)行響應(yīng)和管理；測(cè)評(píng)階段主要是對(duì)安全規(guī)劃設(shè)計(jì)的實(shí)施情況進(jìn)行監(jiān)督，全面評(píng)估相關(guān)安全策略是否有效實(shí)施；改進(jìn)階段對(duì)發(fā)現(xiàn)的漏洞及風(fēng)險(xiǎn)及時(shí)整改，迭代提升網(wǎng)絡(luò)安全防護(hù)能力.同時(shí)，引導(dǎo)服務(wù)支撐各環(huán)節(jié)供應(yīng)商構(gòu)建技術(shù)協(xié)同機(jī)制，推動(dòng)區(qū)域產(chǎn)業(yè)協(xié)同合作.

3 數(shù)字政府網(wǎng)絡(luò)安全指數(shù)評(píng)估體系

為了全面評(píng)價(jià)上述數(shù)字政府網(wǎng)絡(luò)安全戰(zhàn)略保障的完備性、組織管理和技術(shù)保障的有效性、運(yùn)行保障能力的成熟性，進(jìn)而提出了數(shù)字政府網(wǎng)絡(luò)安全指數(shù)評(píng)估指標(biāo)體系.數(shù)字政府網(wǎng)絡(luò)安全指數(shù)評(píng)估指標(biāo)體系是根據(jù)網(wǎng)絡(luò)安全保障的層次對(duì)評(píng)估對(duì)象和內(nèi)容進(jìn)行逐層分解得到.指標(biāo)體系共有3個(gè)層級(jí)，如圖2所示，包含4項(xiàng)一級(jí)指標(biāo)、24項(xiàng)二級(jí)指標(biāo)和70個(gè)評(píng)估要點(diǎn)，各項(xiàng)指標(biāo)權(quán)重通過(guò)專家調(diào)查法(Delphi)確定.其中一級(jí)指標(biāo)和二級(jí)指標(biāo)相對(duì)固定，評(píng)估要點(diǎn)相對(duì)靈活，可根據(jù)防護(hù)需求和防護(hù)重點(diǎn)進(jìn)行擴(kuò)展或刪減.

圖2 數(shù)字政府網(wǎng)絡(luò)安全指數(shù)評(píng)估指標(biāo)體系

在一級(jí)指標(biāo)中：安全管理指標(biāo)用于評(píng)估安全戰(zhàn)略保障、安全組織管理以及服務(wù)支撐各環(huán)節(jié)引入的供應(yīng)鏈安全問(wèn)題；安全建設(shè)指標(biāo)用于評(píng)價(jià)安全技術(shù)保障能力以及安全防護(hù)體系建設(shè)所需的服務(wù)支撐體系完備度；安全運(yùn)營(yíng)指標(biāo)用于評(píng)價(jià)安全運(yùn)行保障能力；安全效果指標(biāo)用于評(píng)價(jià)安全體系產(chǎn)生的安全效果.

3.1 網(wǎng)絡(luò)安全管理指標(biāo)

網(wǎng)絡(luò)安全管理指標(biāo)評(píng)估搭建的安全管理體系完善及健全程度，包括安全戰(zhàn)略規(guī)劃指標(biāo)、安全管理組織指標(biāo)、安全管理人員指標(biāo)、安全政策規(guī)范指標(biāo)、安全意識(shí)指標(biāo)、安全投入指標(biāo)、供應(yīng)鏈安全管理指標(biāo)7項(xiàng)二級(jí)指標(biāo).

安全戰(zhàn)略規(guī)劃指標(biāo)主要評(píng)價(jià)網(wǎng)絡(luò)安全戰(zhàn)略明確程度、安全規(guī)劃文件發(fā)布情況，以及安全專家隊(duì)伍和智庫(kù)機(jī)構(gòu)建設(shè)情況等；安全管理組織指標(biāo)主要評(píng)價(jià)網(wǎng)絡(luò)安全管理機(jī)構(gòu)的健全性及其工作責(zé)任的明晰程度，以及與各監(jiān)管機(jī)構(gòu)之間的主動(dòng)協(xié)同性等；安全管理人員指標(biāo)主要評(píng)價(jià)安全管理人員配置情況及其職責(zé)分工明確程度等；安全政策規(guī)范指標(biāo)主要評(píng)價(jià)網(wǎng)絡(luò)安全地方政策法規(guī)、指引及標(biāo)準(zhǔn)制定情況、安全管理體系建立情況及安全政策法規(guī)宣貫活動(dòng)開(kāi)展情況等；安全意識(shí)指標(biāo)主要評(píng)價(jià)安全相關(guān)人員識(shí)別或避免可能危害網(wǎng)絡(luò)安全的行為能力和警覺(jué)性、安全意識(shí)教育和培訓(xùn)組織情況以及安全考核和獎(jiǎng)懲工作開(kāi)展情況等；安全投入指標(biāo)主要評(píng)價(jià)網(wǎng)絡(luò)安全年度工作經(jīng)費(fèi)占信息化建設(shè)經(jīng)費(fèi)的比例情況、政務(wù)信息化項(xiàng)目網(wǎng)絡(luò)安全工作經(jīng)費(fèi)占比情況等；供應(yīng)鏈安全管理指標(biāo)主要評(píng)價(jià)采購(gòu)的產(chǎn)品和服務(wù)是否符合國(guó)家相關(guān)安全規(guī)定、供應(yīng)商安全職責(zé)明確程度、供應(yīng)商服務(wù)安全監(jiān)控和審計(jì)機(jī)制建立及執(zhí)行情況、供應(yīng)商的安全評(píng)價(jià)機(jī)制建立及執(zhí)行情況等.

3.2 網(wǎng)絡(luò)安全建設(shè)指標(biāo)

網(wǎng)絡(luò)安全建設(shè)指標(biāo)評(píng)估網(wǎng)絡(luò)安全防護(hù)技術(shù)措施建設(shè)情況，包括信息資產(chǎn)管理指標(biāo)、網(wǎng)絡(luò)安全等級(jí)保護(hù)指標(biāo)、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)指標(biāo)、數(shù)據(jù)安全保護(hù)指標(biāo)、服務(wù)支撐體系指標(biāo)5項(xiàng)二級(jí)指標(biāo).

信息資產(chǎn)管理指標(biāo)主要評(píng)價(jià)政務(wù)信息資產(chǎn)發(fā)現(xiàn)、探測(cè)、管理技術(shù)手段建設(shè)情況，信息資產(chǎn)與安全弱點(diǎn)關(guān)聯(lián)管理技術(shù)手段建設(shè)情況，政務(wù)信息系統(tǒng)清單建設(shè)更新情況，以及政務(wù)信息系統(tǒng)重要程度分級(jí)準(zhǔn)確性等；網(wǎng)絡(luò)安全等級(jí)保護(hù)指標(biāo)主要評(píng)價(jià)政務(wù)信息系統(tǒng)等級(jí)保護(hù)定級(jí)備案和測(cè)評(píng)情況，以及相關(guān)等級(jí)安全保護(hù)技術(shù)要求落實(shí)情況；關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)指標(biāo)主要評(píng)價(jià)關(guān)鍵信息基礎(chǔ)設(shè)施清單建立及重要安全保護(hù)技術(shù)要求落實(shí)情況等；數(shù)據(jù)安全指標(biāo)主要評(píng)價(jià)數(shù)據(jù)資產(chǎn)梳理技術(shù)手段建設(shè)情況、重要數(shù)據(jù)清單建設(shè)情況、重要數(shù)據(jù)安全技術(shù)要求落實(shí)情況等；服務(wù)支撐體系指標(biāo)主要評(píng)價(jià)網(wǎng)絡(luò)安全咨詢、設(shè)計(jì)、集成、運(yùn)維、測(cè)試、評(píng)估等安全服務(wù)提供商/安全服務(wù)資源池的完善程度，以及數(shù)字政府網(wǎng)絡(luò)安全產(chǎn)業(yè)協(xié)同、合作情況等.

3.3 網(wǎng)絡(luò)安全運(yùn)營(yíng)指標(biāo)

網(wǎng)絡(luò)安全運(yùn)營(yíng)指標(biāo)評(píng)估網(wǎng)絡(luò)安全風(fēng)險(xiǎn)發(fā)現(xiàn)、監(jiān)控監(jiān)測(cè)、事件處置等安全運(yùn)營(yíng)能力，主要包括安全運(yùn)行維護(hù)指標(biāo)、安全風(fēng)險(xiǎn)識(shí)別指標(biāo)、安全監(jiān)控與監(jiān)測(cè)指標(biāo)、應(yīng)急響應(yīng)與處置指標(biāo)、業(yè)務(wù)連續(xù)性保障指標(biāo)、安全協(xié)同情況指標(biāo)6項(xiàng)二級(jí)指標(biāo).

安全運(yùn)行維護(hù)指標(biāo)主要評(píng)價(jià)定期安全巡檢情況，安全檢測(cè)防護(hù)能力覆蓋所有已上線系統(tǒng)情況、防護(hù)策略生效情況、安全產(chǎn)品規(guī)則庫(kù)升級(jí)情況、網(wǎng)絡(luò)安全運(yùn)營(yíng)平臺(tái)使用及與省平臺(tái)級(jí)聯(lián)對(duì)接情況等；安全風(fēng)險(xiǎn)識(shí)別指標(biāo)主要評(píng)價(jià)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估、安全基線核查、漏洞掃描、滲透測(cè)試開(kāi)展及安全風(fēng)險(xiǎn)隱患整改情況等；安全監(jiān)控與監(jiān)測(cè)指標(biāo)主要評(píng)價(jià)是否具有失陷監(jiān)測(cè)、欺騙防御、異常行為監(jiān)測(cè)、威脅情報(bào)感知、全流量監(jiān)測(cè)分析等能力；應(yīng)急響應(yīng)與處置指標(biāo)主要評(píng)價(jià)安全應(yīng)急預(yù)案制定及應(yīng)急演練開(kāi)展情況，安全事件通報(bào)處置、調(diào)查評(píng)估、溯源分析及整改情況等；業(yè)務(wù)連續(xù)性保障指標(biāo)主要評(píng)價(jià)數(shù)據(jù)備份與恢復(fù)測(cè)試情況、業(yè)務(wù)影響分析及業(yè)務(wù)連續(xù)性測(cè)試情況、災(zāi)備系統(tǒng)建設(shè)情況等方面；安全協(xié)同情況指標(biāo)主要評(píng)價(jià)安全監(jiān)測(cè)數(shù)據(jù)、安全事件上報(bào)的主動(dòng)性、及時(shí)性和準(zhǔn)確性，對(duì)上級(jí)數(shù)字政府安全管理部門管理工作的配合程度等.

3.4 網(wǎng)絡(luò)安全效果指標(biāo)

網(wǎng)絡(luò)安全效果指標(biāo)主要評(píng)估網(wǎng)絡(luò)安全管理、建設(shè)及運(yùn)營(yíng)工作的成效，包括安全漏洞情況指標(biāo)、安全事件情況指標(biāo)、主機(jī)安全情況指標(biāo)、移動(dòng)終端安全情況指標(biāo)、桌面終端安全情況指標(biāo)以及專項(xiàng)檢查結(jié)果指標(biāo)6項(xiàng)二級(jí)指標(biāo).

安全漏洞情況指標(biāo)主要評(píng)價(jià)地區(qū)數(shù)字政府高中危及以上安全漏洞數(shù)量及與地區(qū)系統(tǒng)總數(shù)比例情況等；安全事件情況指標(biāo)主要評(píng)價(jià)“七類”安全事件、信息泄露事件、網(wǎng)絡(luò)癱瘓事件、其他較大及以上安全事件發(fā)生情況等；主機(jī)安全情況指標(biāo)主要評(píng)價(jià)本地區(qū)主機(jī)被木馬或僵尸網(wǎng)絡(luò)控制情況；移動(dòng)終端安全情況指標(biāo)主要評(píng)價(jià)地區(qū)移動(dòng)終端中木馬、病毒情況及被木馬或僵尸網(wǎng)絡(luò)控制情況等；桌面終端安全情況指標(biāo)主要評(píng)價(jià)地區(qū)桌面終端中木馬、病毒情況及被木馬或僵尸網(wǎng)絡(luò)控制情況等；專項(xiàng)檢查結(jié)果指標(biāo)主要評(píng)價(jià)具有的安全防護(hù)、安全監(jiān)測(cè)、應(yīng)急響應(yīng)、異常恢復(fù)及溯源打擊能力情況等.

4 結(jié) 論

通過(guò)分析研究國(guó)內(nèi)外安全保障框架及能力評(píng)估模型，并結(jié)合數(shù)字政府網(wǎng)絡(luò)安全特點(diǎn)及實(shí)際需求，構(gòu)建了數(shù)字政府網(wǎng)絡(luò)安全保障架構(gòu)體系及數(shù)字政府網(wǎng)絡(luò)安全指數(shù)評(píng)估指標(biāo)體系.本文提出的數(shù)字政府網(wǎng)絡(luò)安全保障架構(gòu)體系，能夠?yàn)閿?shù)字政府網(wǎng)絡(luò)安全防護(hù)體系建設(shè)提供重要參考和指導(dǎo)，能夠通過(guò)定性與定量相結(jié)合的方式對(duì)數(shù)字政府網(wǎng)絡(luò)安全防護(hù)現(xiàn)狀進(jìn)行客觀評(píng)價(jià)，以便于相關(guān)人員采取正確的措施，不斷改進(jìn)防護(hù)策略，確保數(shù)字政府網(wǎng)絡(luò)安全的長(zhǎng)效性.