一@@、背景分析@@
当前@@,在@@数字中国发展战略下@@,作为推进数字中国建设@@的重要内容@@,十九届四@@中全会提出了数字政府@@@@建设@@@@,推进数字政府@@@@建设@@@@,加强数据@@有序共享@@,成为我国政府@@治理现代化的趋势所在@@@@。
以@@浙江省@@为例@@,自@@2003年@@起@@,浙江省@@政府@@推进@@“数字浙江@@”建设@@已有十多年@@@@,2016年@@,浙江又在@@国内首创提出@@“最多跑一@@次@@@@”改革@@,开放更多@@的公共数据@@资源@@,让群众更充分享@@受到@@“数字红利@@”。截至@@2020年@@6月@@,浙江全省@@统一@@的公共数据@@平台@@已累计归集@@322亿条数据@@@@。
汇聚@@了大量的公共信息资源和@@民生应用的政务@@系统上@@,在@@使数据@@资源整合更加有效@@@@、公共服务更加便捷同时@@,庞大的数据@@共享也带来了新的网络安全@@风险@@@@和@@隐患@@。数据@@盗取@@、越权访问@@、内网设备违规外联等造成政府@@敏感数据@@信息泄露@@@@、侵犯公民隐私的现象时有发生@@。
二@@、当前@@政务@@网@@安全管控存在@@的困难和@@问题@@
政务@@网@@内部存在@@海量网络节点@@,各类信息系统众多@@,呈现出网络节点多@@、业务系统多@@、数据@@资源多的特点@@。由于网络攻防技术不断发展@@、应用系统@@和@@安全建设@@分期投入@@、网络安全@@技术人员@@能力@@和@@编制不足@@、网格规模不断扩大@@、网络结构日趋复杂等现实情况@@,安全责任落实和@@日常安全管理@@存在@@的困难和@@问题不容忽视@@。
01、管控什么@@?
在@@“管控什么@@”方面@@,主要存在@@管控对象不清晰的问题@@:
资产@@不明@@——许多单位对包括网络终端@@、应用系统@@、数据@@在@@内的入网资产@@并不完全掌握@@;
风险@@不清@@——特别是对违规外联@@、越权访问@@等内部违规行为的监控能力@@不足@@;
资产@@和@@风险@@因系统不同@@、部门不同@@、层级不同而分散在@@各处@@,未集中量化@@,不利于各级监管@@。
02、谁来管控@@?
职责不清@@——长期以@@来@@,政府@@部门在@@网络和@@信息系统规划@@、建设@@、运行@@和@@维护过程中@@,对网络安全@@责任的落实存在@@认识不足@@、主体@@不明@@、职责不清@@、人员@@不定@@、缺乏抓手等问题@@,导致网络安全@@责任难以@@有效@@落实@@,网络安全@@保障能力@@难以@@有效@@提升@@。
网络安全@@管控未责任到人@@,易造成有事情找不到人@@、出问题追不到责的局面@@,最终导致网络安全@@责任制度只是@@“挂在@@墙上@@,说在@@嘴上@@”,而不能落到实处@@,考核到位@@。
03、怎么管控@@?
在@@“怎么管控@@”方面@@,安全管控体系化建设@@程度不高@@,组织@@、管理@@、运行@@、应急等方面@@的@@“碎片化@@”倾向较严重@@,未形成资产@@@@、风险@@与管理@@制度@@@@、人员@@和@@流程@@的映射@@,导致全网安全管理@@工作协同体制机制有盲区@@@@、断点和@@短板@@,未有效@@形成安全管控的合力@@。以@@上问题@@,使层层压实管理@@责任@@、及时处置@@存在@@问题成为费时费力的难题@@,有的区@@域和@@系统长期在@@@@“亚健康@@”安全状态下运行@@@@。
三@@、解决方案@@
针对@@ “管控什么@@”、“谁来管控@@”和@@“怎么管控@@”等方面@@存在@@的问题@@,我们提出要坚持@@技术与管理@@相结合@@,以@@高度集成的信息化管控平台@@作为管理@@工作技术支撑@@,将@@ “资产@@、风险@@、事件@@、人员@@、流程@@”等管理@@要素有机融合@@,形成齐抓共管的合力@@。具体解决方案@@如下@@:
01、以@@完善制度机制@@,明确安全管控要求@@和@@责任@@
建立涵盖安全管理@@标准@@要求@@@@、责任划分@@、情况通报@@、责任追究等多环节@@、多层次@@@@、全方位@@的制度体系@@。
《网络安全@@法@@》明确了网络运营者@@、关键信息基础设施运营者等的法律责任@@。中央有关党委网络安全@@工作责任制文件中@@,明确了各级党委主要承担的网络安全@@责任@@。按照@@谁主管谁负责@@@@、属地管理@@的原则@@,各级党委对本地区@@本部门网络安全@@工作负主体@@责任@@。这些法律法规和@@相关文件的发布@@@@,为网络安全@@责任体系的建立指明了方向@@,确定了原则@@。网络安全@@责任体系的构建@@和@@落实@@,可以@@从明确主体@@@@@@、分清职责@@、落实人员@@@@、建设@@抓手@@等几个方面@@来入手@@。
(1)明确主体@@@@。在@@网络安全@@保护对象的安全规划@@、建设@@、运行@@、维护和@@监督管理@@的全生命周期过程中都应落实网络安全@@责任制@@,按照@@“谁主管谁负责@@、谁建设@@谁负责@@、谁运行@@谁负责@@、谁使用谁负责@@”的原则进行责任分工@@。
(2)分清职责@@。网络安全@@保护对象应当明确主管单位@@@@、建设@@单位@@、运行@@管理@@单位@@、使用单位@@等责任单位@@,多个责任单位可以@@是同单位@@。
主管单位@@——指网络安全@@保护对象的管理@@单位@@,承担网络安全@@保护对象的网络安全@@监督@@、协调责任@@;
建设@@单位@@——指承担网络安全@@保护对象建设@@任务的项目单位@@,具体承担网络安全@@保护对象网络安全@@建设@@责任@@;
运行@@管理@@单位@@——指承担网络安全@@保护对象运行@@管理@@的单位@@,具体承担网络安全@@保护对象网络安全@@运行@@责任@@,负责运行@@阶段网络安全@@等级保护测评@@,建立完善运行@@安全的相关制度@@,网络安全@@威胁监测@@@@、预警@@和@@事件@@处置@@@@;
使用单位@@——指使用网络安全@@保护对象的单位@@,应当遵守网络安全@@有关规定@@,确保网络安全@@保护对象在@@使用过程中的安全@@。
(3)落实人员@@@@。各单位应当加强网络安全@@责任落实@@,领导班子主要负责人是网络安全@@工作第一@@责任人@@@@,主管网络安全@@的领导班子成员是直接责任人@@@@,各单位主要负责人应当加强本单位网络安全@@工作的统筹管理@@@@,各单位须明确本单位的网络安全@@管理@@机构@@,并落实专人负责网络安全@@管理@@@@。有条件的单位应将@@网络安全@@责任制考核纳入绩效考核评价@@指标体系@@。
(4)建设@@抓手@@。为了将@@网络安全@@责任制有效@@落实@@,建设@@信息化工作抓手尤为重要@@。对网络中各类软硬件资产@@@@,应通过信息化手段排查并注册管理@@@@,落实安全责任人@@@@;对网络中各类安全风险@@事件@@@@,应建设@@信息化手段监测@@预警@@@@,定位责任@@;对需处置@@的安全风险@@事件@@@@,应建立信息化的通报@@、处置@@、反馈@@、考核机制@@,做到@@“处置@@及时@@、考核到位@@”。
02、以@@明晰资产@@为基础@@,切实@@“摸清家底@@”
网络资产@@管理@@工作既繁且杂@@,除了人工管理@@@@,更需依靠有力的技术支撑@@,双管齐下才能事半功倍@@。针对@@目前政务@@网@@资产@@管理@@现状@@,应从管理@@与技术两方面@@入手@@,进行综合治理@@。
管理@@制度@@建设@@@@:制度规范是资产@@管理@@技术手段建设@@@@与落地的根本保障@@,网络资产@@的管理@@不仅仅是信息化管理@@部门的职责@@,需要全员根据资产@@管理@@制度@@落实执行@@,建议建立的制度包括@@《IP地址申请和@@使用管理@@制度@@@@》、《联网资产@@注册管理@@办法@@》、《联网终端资产@@核查制度@@》、《全网资产@@信息采集字段标准@@化@@》等等@@。
技术手段建设@@@@:技术手段是实现全网资产@@明晰化的基础@@,为此@@,需要综合运用网络扫描@@、流量分析@@、场景建模@@、机器学习@@、准入控制等资产@@测绘技术@@,对网络中各类软硬件资产@@@@、业务系统等进行了资产@@智能识别@@和@@注册管理@@@@,厘清资产@@底数和@@属性@@,为安全管理@@奠定基础@@,主要手段包括@@:
全网资产@@发现识别@@@@:采用多种技术手段@@,实现网络内指定@@IP范围@@内软硬件资产@@设备的快速发现@@、自@@动识别@@与归类@@。
网络资产@@注册管理@@@@:对发现的资产@@进行注册管理@@@@,完善资产@@的责任单位@@、责任人@@、联系电话@@、用途@@等信息@@,形成明细的资产@@清单@@。
网络资产@@接入@@控制@@:对网络资产@@的入网进行控制@@,并根据管理@@制度@@的要求@@@@,对各部门@@IP范围@@、设备入网@@注册内容@@、设备入网@@/出网审批流程@@等进行管理@@@@。
IP资源管理@@@@:以@@图表的方式展现网络内@@IP资源的实际使用情况@@,便于管理@@员对网内@@IP资源使用进行整体规划@@、资源分配@@、回收登记管理@@@@。
应用特征关联分析@@:通过对网络资产@@的流量@@、用途@@、应用行为等特征关联分析@@,进一@@步明确资产@@的类型和@@属性@@,并建立相应的行为基线模型@@。
03、加强边界安全管控@@,有效@@“认清风险@@@@”
信息泄露@@、病毒@@、攻击等安全事件@@大多透过网络边界来进行@@,因此@@《信息安全技术@@ 网络安全@@等级保护基本要求@@@@》对三@@级以@@上@@“边界防护@@@@”作出明确要求@@@@。在@@国内网络安全@@主管部门对政企内网实施@@的渗透测试中@@,许多内网违规外联设备被渗透成为攻击跳板@@。从成因分析@@,国内政务@@网@@常见的非授权内外联行为可分为终端多网卡违规使用@@、无线@@AP违规接入@@@@、安全设备不规范配置@@、安全边界设备存在@@漏洞等类型@@。这类行为有时极为隐蔽@@,且已成为多种网络安全@@威胁之源@@。需要行之有效@@的监控技术和@@方法来实时感知网络边界变化@@,并对破坏网络边界的隐患点实现快速定位@@、取证@@、告警@@及阻断@@,为维护网络边界完整@@性提供支撑@@。
我们可以@@从非授权内外联监测@@@@、告警@@取证@@@@、安全加固几方面@@建立综合防护@@模型@@。
内外网互联@@监测@@@@:对内外网互联@@行为进行监测@@@@,对内网设备使用双网卡@@、代理@@、路由@@、边界产品@@不规范配置等方式架设@@“内外网互联@@”通道行为进行发现@@、识别@@。
设备内外网混用监测@@@@:对设备内外网混用行为监测@@@@,对网络内曾经脱离网络并且连接过互联网@@的设备监测@@@@、识别@@,在@@外联服务器@@上取证@@@@、告警@@。
隐患外联线路监测@@@@:对隐患外联线路通道监测@@@@,对管理@@域内网络设备与互联网@@或其他网络互联通道进行发现@@、识别@@,该通道存在@@造成大量网内设备外联的风险@@@@。
移动设备接入@@@@:对移动设备接入@@@@网络内行为发现@@、识别@@。
NAT接入@@:对网络内的@@NAT设备和@@通过该设备私自@@搭建的局域网进行发现识别@@@@。
04、强化数据@@管控@@,加强新型安全监测@@技术手段建设@@@@@@
在@@整合原有的防病毒@@@@、入侵检测系统的基础上@@,增加或增强基于行为模式的风险@@发现等新技术手段建设@@@@@@,针对@@重要业务数据@@@@,建立全天候@@、全方位@@、全生命周期的监控和@@审计@@手段@@。在@@违规行为@@、安全风险@@处置@@上@@,要坚持@@“零容忍@@”,形成安全管控工作闭环@@。在@@重要数据@@安全@@管控上@@,要坚持@@“零信任@@”,实现全生命周期的严密监管@@。
建立设备入网@@准入机制@@
规范网络设备接入@@流程@@@@,对非合规终端实现自@@动化隔离及修复@@,提升对终端的合规性信任@@,实现终端认证@@、权限及访问控制的一@@体化管理@@@@。
对网络内终端主机@@、服务器@@、安全设备等多样化资产@@类型进行分类精确准入控制手段@@,只有通过认证的设备才允许接入@@@@,只有合法的应用才允许在@@网络中传输@@,从而防范非法私接@@、设备仿冒@@、非法扫描等问题@@,达到@@“信任接入@@@@、接入@@可知@@、接入@@可管@@”的管理@@规范@@。
加强终端主机安全管控@@
政务@@网@@内终端主机上存储着多样和@@复杂的数据@@@@,通过这些数据@@往往能够更深入窥探到政企单位的敏感信息@@。数据@@显示@@,政务@@网@@80%以@@上的安全事件@@来自@@于终端主机@@。
因此@@,终端主机安全管控应建立起安全管控为核心@@@@、以@@实时监测@@为支撑的全方位@@终端主机安全解决方案@@@@,构建@@能够有效@@监控非授权外联@@、违规软硬件安装@@、杀毒软件安装@@、外部设备使用的终端主机安全监测@@与管控体系@@,并提供进程@@/服务运行@@管理@@@@、操作系统@@配置管理@@@@、主机连接管理@@@@、信息传输行为管理@@等诸多功能@@,有效@@加强对终端数据@@安全@@防护@@@@。
加强数据@@安全@@应用管控@@
对于信息泄密@@,传统的安全管理@@手段多为事后处置@@@@,只能在@@安全事故发生后取证@@溯源@@,这时社会危害可能已经造成@@。为保障政府@@网络数据@@安全@@@@,应对海量用户行为日志进行规律总结@@、分析挖掘@@、趋势研判@@,并集成多维度风险@@预警@@模型@@,真正做到@@事前预警@@@@、事中管控@@、事后追溯@@。
加强数据@@合规应用管控应以@@用户终端行为日志为核心@@@@,运用大数据@@@@技术手段@@,通过对用户终端行为@@、证书使用行为@@、应用系统@@访问行为@@、数据@@库@@访问行为@@、打印行为@@、刻录行为@@、移动介质使用行为@@、屏幕截屏行为等操作行为进行完整记录@@,实现对用户行为实时监控审计@@@@,具备操作前安全警示@@、违规操作事中预警@@@@、违法事件@@事后追溯@@@@;为用户提供了防范敏感信息泄露@@@@、保护数据@@安全@@的有效@@途径@@,真正实现可跟踪@@、可倒查@@、可预警@@@@、可管控@@。
05、落实应急处置@@@@,提升网络运行@@的安全水平@@
2017年@@1月@@,中央网信办印发@@《国家网络安全@@事件@@应急预案@@》,从国家总体层面上指导国家各级网络安全@@主管单位@@建立建全网络安全@@事件@@的应急工作机制和@@管理@@体系@@。
建立应急协调联动系统@@,根据制度要求@@和@@管理@@流程@@@@,打通线上技术自@@动发现@@、预警@@、阻止@@、通报与线下人工管理@@处置@@反馈@@各工作流程@@@@,形成监督@@、管理@@和@@技术防护@@合力@@,使得管控工作形成闭环@@。
统筹完善网络安全@@应急体系@@
实现跨行业@@、部门的沟通协调机制@@,监管部门@@(垂直@@)与网络安全@@主管单位@@@@(横向@@)之间实现统筹协调@@。
网络安全@@风险@@@@/事件@@汇聚@@共享@@
通过多种报送方式对网络安全@@信息进行汇聚@@@@,将@@安全风险@@@@/事件@@信息统一@@纳入系统@@,进行风险@@研判处理@@,并通过信息推送@@、快报等业务流程@@实现情报共享@@。
网络安全@@风险@@@@/事件@@及时应急处置@@@@
通过流程@@对系统汇聚@@的重@@/特大事件@@@@、威胁风险@@等级进行研判@@、发布@@、应急处置@@等@@;实现网络安全@@信息情报的及时@@、有效@@沟通@@,在@@遇到重@@、特大突发事件@@时@@,能够有效@@协同应对@@,实现快速应急@@。
网络安全@@风险@@@@/事件@@移动端高效处理@@
系统提供移动终端应急管理@@@@APP、钉钉对接等方式@@,为用户提供严重突发事件@@@@、高等级预警@@的快速高效响应处置@@@@。
06、网络安全@@管理@@核心平台@@支撑体系化安全管控@@
具体来说@@,网络安全@@管理@@核心平台@@须满足政府@@部门在@@网络安全@@管理@@工作中的计划@@、实施@@、检查@@、处置@@四@@个阶段的关键技术需求@@,以@@支持政府@@部门建立@@、实施@@、运行@@、保持和@@持续改进适合自@@身安全需求的专网安全管控体系@@。
计划阶段@@
计划阶段@@的核心工作目的是梳理网络安全@@管理@@的目标和@@策略@@,做到@@安全管理@@工作的目标明确@@、决策科学@@。安全目标应依据相关政策法规@@、标准@@规范@@、管理@@制度@@、自@@身生产经营活动的需求来确定@@。平台@@提供相关政策法规和@@管理@@制度@@等信息维护功能来满足此类需求@@。安全策略包括实施@@@@、检查@@、响应处置@@等方面@@的策略@@,这些策略可体现实现安全目标的过程中细化和@@分解的各类管理@@@@、监测@@、防护@@、检查@@的需求@@。平台@@提供各类策略信息维护@@、策略联动功能来满足此类的需求@@。
实施@@阶段@@
实施@@阶段@@的核心工作首先应该明确安全管理@@的对象和@@资产@@@@,同时采用合理的安全防护@@@@、审计@@、运维@@、服务类产品@@来保障政府@@部门的信息网络安全@@@@。平台@@应提供包括对象管理@@@@、防护@@管理@@@@、安全审计@@@@、运维@@管理@@@@、安全服务等相关功能来支持该阶段核心需求@@。
检查@@阶段@@
检查@@阶段@@的主要工作是开展各类安全风险@@和@@事件@@的有效@@监测@@@@、系统建设@@运行@@情况监测@@@@,以@@及合规性的安全检查@@和@@评估等关键事务@@。风险@@和@@事件@@安全监测@@是这个阶段的重点@@,主要是对政务@@网@@内的各类信息安全威胁@@、风险@@和@@事件@@进行常态化监测@@@@。平台@@提供有效@@的安全技术手段@@,依据计划阶段@@的监测@@策略@@,对这些风险@@和@@事件@@进行有效@@监测@@@@,并为其它安全管理@@活动输出监测@@结果信息@@。
处置@@阶段@@
处置@@阶段@@的核心业务就是针对@@检查@@阶段@@的各类风险@@和@@事件@@开展应急响应@@,包括管理@@和@@技术两类@@,同时采取必要措施对政府@@部门当前@@的网络安全@@管理@@体系的进行持续改进@@。平台@@提供包括主机@@、安全设备和@@网络设备三@@类技术响应手段@@,以@@满足终端响应控制@@、网关设备相应控制@@、服务器@@相应控制等需求@@。
四@@、预期收效@@
政务@@网@@安全监管体系通过融合多种安全监管技术来实现政务@@网@@安全管理@@信息化@@,可构建@@起@@“资产@@清晰@@、边界完整@@、数据@@可控@@、风险@@量化@@、处置@@高效@@”的政务@@网@@安全管控体系@@,实现网络安全@@管理@@的信息化@@、网格化@@,形成多级联动的安全监管机制@@。
01、实现安全管理@@工作的信息化@@
改变目前安全管理@@制度@@难以@@有效@@落实@@,管理@@难度大的现状@@,建成统一@@的政务@@网@@安全管理@@信息化工作平台@@@@,实现设备资产@@统一@@管理@@@@、资产@@属性清晰梳理@@、安全风险@@集中监测@@@@、工作流程@@结合实际@@、事件@@处置@@落实到人@@、绩效考核有据可依@@。
02、实现安全技术建设@@的合规化@@
重新进行安全域划分@@,梳理网络架构和@@安全拓扑@@,满足网络安全@@等级保护标准@@三@@级的基本要求@@@@,从网络和@@通信安全@@、设备和@@计算安全@@、应用和@@数据@@安全@@等层面补足短板@@,实现对关键信息基础设施的合规化保护@@,做到@@“设备可知@@、入网可信@@、边界可控@@、行为可查@@”。
03、实现敏感数据@@安全@@的可管控@@@@
从应用系统@@@@、数据@@库@@、服务器@@、业务终端@@、运维@@终端等多个层面加强数据@@安全@@管控@@。对业务终端@@@@、运维@@终端进行重点监控@@,对各类终端行为进行全面审计@@@@。
04、实现安全应急响应的协同化@@
建立起统一@@指挥和@@反应灵敏的应急响应协调联动系统@@,并通过协调联动系统建立应急工作协调机制@@,有效@@应对各类重大网络事件@@的应急响应工作@@。
周征宇@@现任浙江远望信息@@股份有限公司副总裁@@,高级工程师@@,浙江省@@信息安全标准@@化技术委员会委员@@,杭州市@@@@网络安全@@专家库@@成员@@。在@@信息安全管理@@体系上有多年@@的研究@@,参与过国家标准@@@@《信息安全管理@@技术支撑平台@@技术要求@@@@》和@@浙江公安标准@@@@《浙江省@@公安视频专网安全管理@@技术规范@@》的编制工作@@。
附@@1:国脉@@“一@@网通办@@”核心支撑系统@@(GDBOS),助力数字政府@@@@建设@@@@
数字政府@@@@2.0操作系统@@、政务@@数据@@体系@@@@2.0基础标配@@、欧宝娱乐靠谱吗 一@@体化升级方案@@。又名@@“政府@@数据@@业务操作系统@@@@”(GDBOS), 是基于国家有关政策要求@@@@、各地实践经验@@、数据@@体系@@理论@@、微服务技术架构@@,围绕@@“大数据@@@@、大系统@@、大平台@@@@”融合一@@体思路@@,为各地数字政府@@@@升级而量身打造的一@@套作业平台@@@@。运用数据@@体系@@@@、标准@@治理@@、业务再造@@、组织@@进化等工具和@@方式@@,可从结构@@、标准@@、模块架构上对当前@@@@欧宝娱乐靠谱吗 平台@@体系进行优化@@、重组和@@升级@@。有效@@适配部委@@、省@@、市@@、县@@(区@@)不同层次@@需求@@,支撑数据@@整合共享@@、政务@@流程@@再造和@@服务模式升级@@,全面提升@@欧宝娱乐靠谱吗 能力@@,夯实数字政府@@@@基础@@,为国家治理能力@@现代化提供重要支撑@@。
依托@@"产品@@+数据@@+标准@@"框架@@,构建@@"标准@@支撑@@、数据@@体系@@、业务再造@@、数据@@治理@@、管理@@赋能@@"五大体系@@,无缝衔接既有业务系统@@,有效@@驱动@@欧宝娱乐靠谱吗 整体运作@@:①落脚在@@@@“办成@@”,把政务@@数据@@归集到一@@个功能性平台@@@@,企业和@@群众只进一@@扇门就能办成@@不同领域事项@@;②综合提升政府@@@@欧宝娱乐靠谱吗 、数据@@整合与治理能力@@@@,并最终实现数字化转型@@升级与智慧组织@@进化@@。
附@@2:国脉@@政策通@@(又名@@“国脉@@一@@体化惠企政策服务平台@@@@”),是对标中央关于@@“各项惠企政策落实到位@@、易于知晓@@、一@@站办理@@@@”要求@@,打通政策服务@@、优化营商环境@@的帮手级产品@@@@。以@@“惠企政策精准送@@、补贴申报一@@次@@办@@”为核心@@,提供政策@@“发布@@、汇聚@@、查看@@、送达@@、办理@@、督查@@、评价@@”全套解决方案@@@@。基于市@@场主体@@@@、民生服务和@@营商环境@@优化@@,从最小颗粒化@@、数源标准@@化@@、数据@@共享化@@、组织@@协同化@@、业务融合化五个方面@@着手打造@@,实现群众与企业真正@@“知政策@@、懂政策@@、享政策@@”,依托@@政策红利更好发展@@。截至@@目前@@,该系统已于深圳市@@@@、杭州市@@@@、佛山市@@@@、浦东新区@@@@、南山区@@等地应用@@,获企业群众普遍好评@@。
