習近平在 2014 年中央網絡安全和信息化領導小組第一次會議上強調:“網絡安全和信息化是一體之兩翼、驅動之雙輪,必須統一謀劃、統一部署、統一推進、統一實施。”《中華人民共和國網絡安全法》第一章第三條指出:“國家堅持網絡安全與信息化發展并重,遵循積極利用、科學發展、依法管理、確保安全的方針,推進網絡基礎設施建設和互聯互通,鼓勵網絡技術創新和應用,支持培養網絡安全人才,建立健全網絡安全保障體系,提高網絡安全保護能力。從國家層面高度重視網絡安全與信息化的同步發展,夯實網絡安全保障體系。”按照習總書記的要求,妥善處理好安全和發展的關系,做到網絡安全和智慧城市建設協調一致、齊頭并進,以安全保發展、以發展促安全,為人民群眾提供用得上、用得好、用得安全的信息服務。
一、堅持項目建設與安全保障并重,統籌推進立體化安全保障
2017 年 11 月,揚州市政府正式印發了《云上揚州頂層設計方案》《云上揚州建設行動計劃(2017-2020)》,重點建設“一中心、三平臺、一體系、七朵云應用”,提出了“統籌建云、數據進云、應用上云、安全管云”的推進策略。一體系即一體化安全保障體系,在統籌規劃建設云基礎設施和云業務應用的同時,整合推動信息系統形成統一架構,建設融合通用的大平臺,匯聚全量數據,構建云環境下防護與監測處置一體化體系。安全管云是以關鍵基礎設施安全升級改造為核心,深入結合揚州市政府大數據中心(以下簡稱“中心”)外圍物理實體與內部云計算平臺環境的安全需求,基于虛擬化、云計算及大數據的技術特點,重點關注云平臺安全防護和大數據全生命周期的安全保障,全面推進“云上揚州”安全體系的構建、系統平臺的優化、分層縱深的設計及安全運營能力的提升,形成“可適用、可操作、可裁剪”的整體安全規劃,最終實現“看得見、用得好、管得住”的安全管云的目標。
1. 統籌建立項目推進安全管理機制
充分發揮“云上辦”(云上揚州推進工作領導小組辦公室)的主體統籌地位,出臺《項目建設管理和考核的實施意見》《云上揚州項目管理及總集成工作規范實施細則》等文件,形成《項目方案編制指南》等標準規范,從申報至驗收的項目全流程管理,實現了項目的網絡安全全生命周期管理。同時,創新建立總集成工作機制。通過總集成來促進“云上揚州”安全和業務的融合,牽頭形成安全管理與技術的標準、要求和實施的一致、連貫和統一,確保所有智慧城市項目依據頂層設計理念安全、穩妥落地,強化網絡安全措施的“三同步”原則,即同步規劃、同步建設、同步使用。
2. 建立一體化安全保障體系框架
落實“云上揚州”的安全體系設計指導原則及安全總體建設思路,從安全管理、安全技術、安全運營和安全合規及監管等四個方面建立起一體化安全保障體系。安全管理是指面向云監管方、云服務方、云服務客戶、云安全服務方等四方主體以及相關的產品廠商和服務廠商,落實職責與分工;安全技術是指緊密結合“云上揚州”的“一中心、三平臺、七朵云應用”的業務架構展開安全保障;安全運營是指形成威脅預測、威脅防護、持續檢測、響應處置的閉環安全運營,打造四位一體的安全運營機制,通過持續性安全保障,確保系統安全穩定運行;安全合規及監管是指制定政務云安全標準及規范要求,持續做好運營過程中的合規安全檢查和指導工作,明確安全管云內容和理念。
二、堅持安全管理和安全技術支持并重,一體化設計安全保障體系
確立“安全七分管理,三分技術”的設計理念,堅持體系支撐和技術支持并重。一方面,應用先進技術理念,以創新型技術路線優先考慮、技術與服務獨立模塊導入、產品服務品牌松耦合協同的理念規劃設計一體化保障體系;另一方面,統籌提供安全技術體系、一體化構建安全體系框架、全局性謀劃安全運營體系。二者相融合從設計到建設再到后期的運營全生命周期,保障“云上揚州”安全。通過一體化安全保障體系,實現“看得見、用得好、管得住”的目標。
1. 安全管理是重中之重
一是明確安全責任主體。中心統籌管理的信息系統“安全管理責任不變、數據歸屬關系不變、安全管理標準不變”。其主機安全、應用安全、數據安全以及安全策略與管理制度、安全管理機構與人員、系統安全建設管理、系統安全運維管理等均由所屬部門負責。市政府信息資源管理中心負責保障關鍵信息基礎設施(如物理環境、硬件資源、市電子政務外網、虛擬化平臺及組件)的安全。二是明確安全管云機制。根據《云上揚州項目建設管理和考核的實施意見》,明確新建信息系統網絡安全建設的“三同步”原則,在規劃階段同步設計安全建設內容;在建設階段同步實施安全功能和模塊;在運維階段同步使用安全保障措施。規定新建項目的建設方案必須要設計安全建設方案,進行等級保護自主定級,列支安全建設經費預算,經技術審查和專家論證后方可啟動;建成的信息系統須通過安全服務總包的安全檢測,且等級保護差距性測評達到70 分,才能接入市電子政務外網上線試運行;試運行滿 3 個月,未出現重大故障且等級保護符合性測評達到 80 分,方可驗收。
2. 安全技術支撐保駕護航
中心的關基信息基礎設施,市電子政務外網得到了進一步安全加固。部署了安全數據交換系統,實現數據交換和安全隔離防護;部署了操作和異常行為審計系統,對大數據共享交換平臺進行安全審計;部署了兩套互聯網網站安全監測平臺,進行“雙重監測”“交叉驗證”,實時監測互聯網網站,最大化發現網站的安全漏洞及風險;部署了云安全管理平臺、虛擬主機安全防護、云安全資源池,實現云環境下南北向及東西向安全隔離、數據庫審計、運維審計等云計算安全立體防護;部署了全天候全方位安全態勢感知系統,從網絡、主機、應用、數據進行全面的流量分析、行為分析,形成威脅預測、威脅防護、持續檢測和響應處置全鏈條、全過程的分析、處置、優化、響應的安全防護能力。通過內部威脅預測、外部威脅情報等手段,進行平臺暴露面分析,監控外部威脅,實現攻擊預測、提前預防的目標;對于持續攻擊,降低受攻擊面,實現“攻擊減速”的目標;對所有整合和托管系統進行7×24 小時在線檢測和響應,減少威脅停留時間,及時發現并控制事件,防止事件升級;對深度威脅分析,聯動響應與處置,對發生的重大安全事件進行回溯分析,實現及時處置、止損、追蹤溯源。
三、堅持安全服務和安全培訓并重,確保網絡安全落到實處
網絡安全保障工作是一個動態發展的過程,沒有絕對的安全,只有相對的安全,將風險控制在一定的范圍內。安全服務和安全培訓工作需要同步開展。不僅要強化網絡安全服務,同時也要提高網絡安全工作人員的安全意識和技術水平。
1. 全生命周期的安全服務
部署在中心的系統,上線前必須進行安全檢測。安全檢測包括漏洞掃描、滲透測試、基線檢查、代碼審計和 App 安全評估等,檢測發現問題后,系統責任單位進行整改。整改后再次檢測,如不存在高危、中危風險,系統方能上線試運行;系統運行期間,會采取以上措施定期地開展安全檢測,及時發現新的安全漏洞和風險,并以《安全隱患告知書》的形式,通知系統責任單位修復安全漏洞;日常由安服團隊全天候全方位提供安全服務。每天開展信息資產管理、業務應用安全監測、安全事件研判分析、安全事件實時通報、應急響應處置等工作。在重要活動、重要時期,對重要系統進行重保服務,加強檢測和監控力度,實行 7×24 小時值守、“零報告”和“日報告”等制度。每月組織一次網絡安全事件應急演練,如網頁篡改、病毒感染和網絡攻擊等主題,根據《國家網絡安全事件應急預案》來對安全事件進行應急處置,通過應急演練來修訂應急預案。每年進行一次網絡安全攻防演習,網絡安全攻防演習是在保障業務系統安全的前提下,由網絡安全專家組成的攻擊隊,采用“不限攻擊路徑,不限制攻擊手段”(此處不限攻擊手段是在確保系統正常運行的前提下,不限制進入系統或者獲取權限的手段)的攻擊方式,而形成的“有組織”“真刀真槍”的網絡攻擊行為,以獲取目標系統的最高控制權為目標,進一步檢驗市電子政務外網的安全保障措施。
2. 全流程的安全合規與監督管理
制定“云上揚州”安全標準規范,統一規范一體化安全保障體系建設的安全管理、安全技術、安全運營體系的相關標準;同時符合國家關于關鍵信息基礎設施、等級保護、云計算、大數據、政務數據開放共享和電子政務外網相關的法律法規和國家標準的要求。《云上揚州項目建設管理和考核的實施意見》明確要求,屬于云上揚州新建信息系統,在驗收前,需要通過網絡安全等級保護測評和風險評估。如果這些系統屬于等級保護三級系統,每年還需要進行復測評。對于已經運行于中心的信息系統,每年通過集中打包、分批分類的方式,定期開展等級保護和風險評估的工作,最大限度地做到安全合規。對于一些老舊系統,不配合做等級保護測評和風險評估,或者安全檢測發現問題,不做安全整改的,系統責任單位可以申請下線,并出具《服務退出函》。
3. 全覆蓋的網絡安全培訓體系
成立網絡安全培訓中心,每月定期面向全市黨政機關、企事業單位,以及縣(市、區)的網絡安全負責人、信息系統負責人,舉辦以網絡安全法律法規、網絡安全意識、網絡安全技術等為主題的培訓;每年舉辦一次兩至三天的網絡安全訓練營,定制涵蓋網絡安全管理和網絡安全攻防技術類的課程,并進行結業考試,成績合格后,頒發結業證書。從 2018 年 12 月開始,截至目前,已經舉辦了 32 次網絡安全培訓,包括 2 次超過百人參加的網絡安全訓練營,近 2600 人次參加。今年,創新性地讓網絡安全培訓“走出去”,開展了網絡安全“四進”系列活動,即網絡安全培訓“走進社區”“走進企業”“走進機關”“走進校園”,讓更多的人群,更多的百姓了解網絡安全知識和法律法規,提高網絡安全意識和技能,筑起網絡安全防線。
