信息化觀察網(wǎng)

為了幫助數(shù)字政府建立先進(jìn)的安全運(yùn)營(yíng)保障體系，為政務(wù)服務(wù)的安全建設(shè)提供原則和指導(dǎo)，幫助描繪未來安全運(yùn)營(yíng)保障建設(shè)的思路和任務(wù)，理清日后安全運(yùn)營(yíng)保障建設(shè)的內(nèi)容，以滿足當(dāng)前和長(zhǎng)期的安全業(yè)務(wù)發(fā)展需求，為數(shù)字政府戰(zhàn)略目標(biāo)的實(shí)現(xiàn)保駕護(hù)航，設(shè)計(jì)符合組織機(jī)構(gòu)安全現(xiàn)狀的安全運(yùn)營(yíng)保障體系，體系建設(shè)主要目標(biāo)有：

（一）優(yōu)化安全管理體系，逐步優(yōu)化數(shù)字政府管理體系。

（二）健全安全技術(shù)體系，逐步建立健全數(shù)字政府網(wǎng)絡(luò)的基礎(chǔ)安全防護(hù)手段。

（三）夯實(shí)安全支撐能力，持續(xù)加強(qiáng)內(nèi)部平臺(tái)的運(yùn)營(yíng)。

（四）加強(qiáng)監(jiān)督檢查機(jī)制，提升安全監(jiān)督檢查能力。

通過建設(shè)數(shù)字政府安全運(yùn)營(yíng)保障體系，提升數(shù)字政府電子政務(wù)系統(tǒng)的安全保障能力和防護(hù)水平，確保信息系統(tǒng)的安全穩(wěn)定的運(yùn)行。為未來的信息安全建立藍(lán)圖，為中長(zhǎng)期信息安全建設(shè)指明方向。

安全管理體系方面，建立有效、高效的安全運(yùn)營(yíng)管理策略、組織、流程與安全培訓(xùn)機(jī)制等，結(jié)合數(shù)字政府實(shí)際情況，建議從管理、技術(shù)、支撐、檢查檢查四個(gè)層次構(gòu)建數(shù)字政府自上而下的一套安全運(yùn)營(yíng)管理保障體系，并利用基于此體系的制度矩陣、控制矩陣、檢查矩陣對(duì)數(shù)字政府及其相關(guān)單位提供理論與實(shí)踐基礎(chǔ)。

安全技術(shù)方面，基于身份鑒別、訪問控制、內(nèi)容安全、監(jiān)控審計(jì)、備份與恢復(fù)等安全技術(shù)手段，從基礎(chǔ)安全和新技術(shù)安全兩方面出發(fā)逐層進(jìn)行安全防護(hù)，形成多維度、體系化的縱深防御架構(gòu)。安全技術(shù)體系是安全運(yùn)營(yíng)的基礎(chǔ)，通過構(gòu)建各個(gè)層面的安全數(shù)據(jù)，持續(xù)保證客戶的業(yè)務(wù)安全，讓安全真正為組織創(chuàng)造效益。

安全支撐方面，安全運(yùn)營(yíng)支撐平臺(tái)、服務(wù)是安全運(yùn)營(yíng)的核心，通過建設(shè)安全運(yùn)營(yíng)支撐系統(tǒng)或者工具手段，實(shí)現(xiàn)安全的集中安全運(yùn)營(yíng)控制與有效管理。通過安全運(yùn)營(yíng)支撐平臺(tái)和安全支撐服務(wù)以及和其他的體系架構(gòu)相互作用相互補(bǔ)充，落實(shí)數(shù)字政府安全運(yùn)營(yíng)保障體系的有效落地。

安全監(jiān)督檢查方面，通過開展綜合安全驗(yàn)證手段，如信息安全漏洞掃描、滲透測(cè)試、基線核查等方面的工作，以保證安全管理、安全技術(shù)和安全支撐措施有效性。同時(shí)通過一系列安全運(yùn)營(yíng)評(píng)價(jià)指標(biāo)，衡量評(píng)價(jià)安全運(yùn)營(yíng)質(zhì)量水平，并針對(duì)性持續(xù)過程改進(jìn)，實(shí)現(xiàn)安全質(zhì)量的螺旋上升。

重點(diǎn)建設(shè)項(xiàng)目如下：

一、網(wǎng)絡(luò)安全體系總體規(guī)劃設(shè)計(jì)與標(biāo)準(zhǔn)規(guī)范

（一） 主要內(nèi)容

設(shè)計(jì)“數(shù)字政府”安全體系整體規(guī)劃，從全局出發(fā)，提出構(gòu)建貫穿建設(shè)、運(yùn)營(yíng)、管理不同階段，覆蓋基礎(chǔ)設(shè)施、網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)和平臺(tái)等全要素空間多層次、多維度的主被動(dòng)相結(jié)合的安全體系建設(shè)總體架構(gòu)、建設(shè)內(nèi)容、項(xiàng)目規(guī)劃、任務(wù)分工和實(shí)施計(jì)劃；通過建立覆蓋組織、人員、技術(shù)、云平臺(tái)、數(shù)據(jù)、應(yīng)用的一系列安全規(guī)范制度，強(qiáng)化政府部門對(duì)整體安全的控制。

（二） 主要服務(wù)

1. 網(wǎng)絡(luò)安全體系總體規(guī)劃設(shè)計(jì)服務(wù)

2. 安全制度與標(biāo)準(zhǔn)規(guī)范編制服務(wù)

二、云平臺(tái)安全

（一） 主要內(nèi)容

建設(shè)云平臺(tái)安全威脅智能感知系統(tǒng)，自動(dòng)化發(fā)現(xiàn)各類網(wǎng)絡(luò)攻擊威脅；構(gòu)建安全運(yùn)營(yíng)服務(wù)平臺(tái)，向州直機(jī)構(gòu)進(jìn)行安全能力輸出，實(shí)現(xiàn)安全能力的按需分配、快速應(yīng)用。做好州直機(jī)構(gòu)納管安全運(yùn)營(yíng)，為各州直單位信息系統(tǒng)在遷云前后提供設(shè)備安全監(jiān)測(cè)、自動(dòng)化安全漏洞掃描等安全運(yùn)營(yíng)能力。

（二） 主要服務(wù)

1.云平臺(tái)安全威脅感知服務(wù)

2.安全資源池防護(hù)服務(wù)

3.州直機(jī)構(gòu)納管安全運(yùn)營(yíng)服務(wù)

三、數(shù)據(jù)安全

（一） 主要內(nèi)容

建設(shè)數(shù)據(jù)中心權(quán)限管理平臺(tái)，按照統(tǒng)一的權(quán)限管理模塊，按照數(shù)據(jù)分級(jí)分類要求，進(jìn)行大數(shù)據(jù)中心內(nèi)的統(tǒng)一認(rèn)證和授權(quán)管理，建立數(shù)據(jù)在大數(shù)據(jù)中心內(nèi)各個(gè)模塊（服務(wù)、分析、物理數(shù)據(jù)庫）的跟蹤；開展數(shù)據(jù)安全治理服務(wù)，做好數(shù)據(jù)安全需求調(diào)研分析、數(shù)據(jù)安全建設(shè)方案編制、數(shù)據(jù)安全體系文件建立、數(shù)據(jù)分級(jí)授權(quán)管理、個(gè)人信息安全與隱私保護(hù)、數(shù)據(jù)脫敏脫密規(guī)則；建立數(shù)據(jù)安全保障服務(wù)體系框架，設(shè)計(jì)安全服務(wù)保障體系實(shí)施方案，提升大數(shù)據(jù)系統(tǒng)的安全保障能力和防護(hù)水平；全面梳理評(píng)估數(shù)據(jù)資產(chǎn)、基于風(fēng)險(xiǎn)驅(qū)動(dòng)實(shí)現(xiàn)大數(shù)據(jù)全生命周期安全防護(hù)、數(shù)據(jù)安全能力和全局可視可控能力一體化交付、建立健全數(shù)據(jù)安全管理制度、實(shí)現(xiàn)數(shù)據(jù)安全合規(guī)和明確數(shù)據(jù)共享交換權(quán)責(zé)；

（二） 主要服務(wù)

1.數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估和資產(chǎn)梳理服務(wù)

2.數(shù)據(jù)共享交換安全保護(hù)服務(wù)

3.數(shù)據(jù)安全管理服務(wù)

4.數(shù)據(jù)安全一體化交付平臺(tái)服務(wù)

5. 數(shù)據(jù)安全態(tài)勢(shì)與綜合管控服務(wù)

四、安全支撐服務(wù)

（一） 主要內(nèi)容

建立安全專家技術(shù)服務(wù)，一是通過安全咨詢，建立涵蓋規(guī)劃、立項(xiàng)、開發(fā)、建設(shè)、運(yùn)營(yíng)等系統(tǒng)建設(shè)全周期的安全評(píng)估咨詢，提升信息安全管控的一致性，持續(xù)降低業(yè)務(wù)風(fēng)險(xiǎn)；二是建立安全培訓(xùn)演練服務(wù)，通過組織不同層次的安全培訓(xùn)和安全演練，加強(qiáng)參與“數(shù)字政府” 建設(shè)各方的安全意識(shí)，加強(qiáng)“數(shù)字政府”自身和周邊生態(tài)體公司的應(yīng)用開發(fā)、測(cè)試、運(yùn)營(yíng)等崗位人員的安全應(yīng)用水平，持續(xù)提升安全技能和安全應(yīng)急能力；三是建立安全測(cè)評(píng)服務(wù)，從網(wǎng)站安全檢查、深度滲透測(cè)試、等級(jí)保護(hù)測(cè)評(píng)、上線前風(fēng)險(xiǎn)評(píng)估、網(wǎng)絡(luò)靶場(chǎng)應(yīng)用仿真測(cè)試等方面組織第三方安全機(jī)構(gòu)， 對(duì)“數(shù)字政府” 進(jìn)行滲透，及時(shí)發(fā)現(xiàn)安全風(fēng)險(xiǎn)。

（二） 主要服務(wù)

1.安全運(yùn)營(yíng)支撐平臺(tái)服務(wù)

2.威脅監(jiān)測(cè)與主動(dòng)響應(yīng)服務(wù)

3.應(yīng)急演練服務(wù)

4．應(yīng)急保障服務(wù)

5.漏洞管理服務(wù)

6．網(wǎng)站安全服務(wù)

7.安全培訓(xùn)服務(wù)

五、安全監(jiān)督檢查服務(wù)

（一） 主要內(nèi)容

建設(shè)安全監(jiān)督檢查服務(wù)，通過安全評(píng)估、安全加固、漏洞管理、威脅檢測(cè)與應(yīng)急響應(yīng)、安全開發(fā)管理及安全培訓(xùn)等信息安全技術(shù)，對(duì)信息系統(tǒng)的各個(gè)階段進(jìn)行檢查、控制與修正，保障信息系統(tǒng)的持續(xù)安全運(yùn)營(yíng)。

（二） 主要服務(wù)

1.風(fēng)險(xiǎn)評(píng)估服務(wù)

2.滲透測(cè)試服務(wù)

3.代碼審計(jì)服務(wù)

4．APP檢測(cè)服務(wù)

5.基線核查服務(wù)

6.漏洞掃描服務(wù)