贵阳市政府及所属事业单位在推进数字化政务建设过程中,选择网站建设服务商时明确要求其严格遵循国家网络安全等级保护制度第二级(简称“等保二级”)标准,这一举措不仅体现了地方政府对网络安全治理的高度重视,更反映出其在数字政府建设中坚持“安全为基、服务为本、普惠为要”的系统性思维。等保二级作为面向一般性重要信息系统的基本合规门槛,覆盖了物理安全、网络安全、主机安全、应用安全、数据安全与备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理以及系统运维管理等十个核心层面。贵阳市将该标准作为硬性准入条件,并非简单套用技术条款,而是将其深度嵌入网站全生命周期管理:从前期需求分析与架构设计阶段即开展等保合规预评估,到开发过程中强制实施代码安全审计、SQL注入与XSS跨站脚本防护机制,再到上线前必须通过具备资质的第三方测评机构进行渗透测试、漏洞扫描与策略有效性验证,最终形成闭环式安全管控链条。
尤为值得关注的是,贵阳市在强调等保二级合规的同时,并未将安全窄化为技术防御,而是同步强化无障碍访问能力建设,使“安全合规”与“包容可及”形成双轮驱动。根据《无障碍环境建设法》及工信部《互联网网站适老化与无障碍改造专项行动方案》,贵阳市要求所有政府及事业单位网站须全面支持屏幕阅读器兼容、键盘导航替代鼠标操作、高对比度模式切换、文字大小无损缩放、语义化HTML结构标记、表单元素标签关联等关键无障碍特性。服务商需提供WCAG 2.1 AA级符合性声明,并接受残联、老龄办及视障用户代表参与的实测验收。这种将信息平权理念具象为可验证、可追溯、可问责的技术指标的做法,有效避免了无障碍建设流于形式——例如,在贵阳市人社局官网改版中,开发团队不仅实现语音播报政策文件全文,还针对高频业务场景(如养老保险查询)增设“一键语音引导+步骤确认反馈”交互路径,显著降低老年及视障群体的操作门槛。
从制度执行维度看,贵阳市构建了“服务商承诺—主管部门核验—第三方复测—公众监督反馈”的四级保障机制。所有中标服务商须在合同中单独签署《网络安全与无障碍服务责任书》,明确数据不出域、日志留存不少于180天、漏洞响应时限不超过2小时等刚性条款;市委网信办联合市大数据发展管理局按季度开展飞行检查,重点核查CDN节点防护配置、API接口鉴权强度、敏感字段脱敏规则执行情况;每年委托国家信息技术安全研究中心等权威机构开展等保复测与无障碍达标复评;同时开通“贵阳数智政务体验官”公众参与通道,鼓励市民通过小程序提交访问障碍线索,经核实后纳入服务商绩效考核。2023年数据显示,该机制推动全市政务网站平均无障碍缺陷修复周期由47天压缩至6.2天,等保测评一次性通过率提升至98.6%。
更深层次看,贵阳市此举折射出地方政府数字化转型范式的进阶:从早期侧重“建系统、上平台”的功能导向,转向“控风险、保公平、强韧性”的治理导向。当全国多地仍以等保二级为“达标线”时,贵阳已将其升维为“基础线”,并主动叠加无障碍国标(GB/T 37668-2019)、个人信息安全规范(GB/T 35273-2020)等多重标尺。这种标准复合化实践,倒逼服务商突破传统建站思维——某中标企业为满足贵阳市要求,自主研发了“安畅融合引擎”,将等保合规检测模块与无障碍检测模块集成于同一DevOps流水线,实现代码提交即触发双轨自动化扫描,使安全加固与无障碍优化同步嵌入开发流程。这不仅提升了建设效率,更从根本上改变了政务网站“重前端展示、轻底层治理”的惯性路径。
当然,挑战依然存在。部分基层事业单位受限于预算与技术力量,对等保持续运维投入不足;个别服务商存在“重测评过关、轻常态防护”的倾向;无障碍适配在动态更新内容(如新闻快讯、临时公告)场景中仍偶有断点。对此,贵阳市正试点“安全与无障碍能力共建中心”,通过市级统建防护资源池、共享无障碍知识图谱、开放标准化API接口等方式,降低基层单位合规成本。可以预见,随着《网络空间安全战略》《数字中国整体布局规划》的纵深实施,贵阳市以等保二级为基石、以无障碍为延伸的政务网站建设范式,将持续为全国数字政府安全可信、包容普惠发展提供具有实操价值的地方样本。

