浅谈扬州大数据中心网络安全保障体系建设
2021-08-28
来源: 中国信息安全
习近平在 2014 年中央网络安全和信息化领导小组第一次会议上强调:“网络安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施。”《中华人民共和国网络安全法》第一章第三条指出:“国家坚持网络安全与信息化发展并重,遵循积极利用、科学发展、依法管理、确保安全的方针,推进网络基础设施建设和互联互通,鼓励网络技术创新和应用,支持培养网络安全人才,建立健全网络安全保障体系,提高网络安全保护能力。从国家层面高度重视网络安全与信息化的同步发展,夯实网络安全保障体系。”按照习总书记的要求,妥善处理好安全和发展的关系,做到网络安全和智慧城市建设协调一致、齐头并进,以安全保发展、以发展促安全,为人民群众提供用得上、用得好、用得安全的信息服务。
一、坚持项目建设与安全保障并重,统筹推进立体化安全保障
2017 年 11 月,扬州市政府正式印发了《云上扬州顶层设计方案》《云上扬州建设行动计划(2017-2020)》,重点建设“一中心、三平台、一体系、七朵云应用”,提出了“统筹建云、数据进云、应用上云、安全管云”的推进策略。一体系即一体化安全保障体系,在统筹规划建设云基础设施和云业务应用的同时,整合推动信息系统形成统一架构,建设融合通用的大平台,汇聚全量数据,构建云环境下防护与监测处置一体化体系。安全管云是以关键基础设施安全升级改造为核心,深入结合扬州市政府大数据中心(以下简称“中心”)外围物理实体与内部云计算平台环境的安全需求,基于虚拟化、云计算及大数据的技术特点,重点关注云平台安全防护和大数据全生命周期的安全保障,全面推进“云上扬州”安全体系的构建、系统平台的优化、分层纵深的设计及安全运营能力的提升,形成“可适用、可操作、可裁剪”的整体安全规划,最终实现“看得见、用得好、管得住”的安全管云的目标。
1. 统筹建立项目推进安全管理机制
充分发挥“云上办”(云上扬州推进工作领导小组办公室)的主体统筹地位,出台《项目建设管理和考核的实施意见》《云上扬州项目管理及总集成工作规范实施细则》等文件,形成《项目方案编制指南》等标准规范,从申报至验收的项目全流程管理,实现了项目的网络安全全生命周期管理。同时,创新建立总集成工作机制。通过总集成来促进“云上扬州”安全和业务的融合,牵头形成安全管理与技术的标准、要求和实施的一致、连贯和统一,确保所有智慧城市项目依据顶层设计理念安全、稳妥落地,强化网络安全措施的“三同步”原则,即同步规划、同步建设、同步使用。
2. 建立一体化安全保障体系框架
落实“云上扬州”的安全体系设计指导原则及安全总体建设思路,从安全管理、安全技术、安全运营和安全合规及监管等四个方面建立起一体化安全保障体系。安全管理是指面向云监管方、云服务方、云服务客户、云安全服务方等四方主体以及相关的产品厂商和服务厂商,落实职责与分工;安全技术是指紧密结合“云上扬州”的“一中心、三平台、七朵云应用”的业务架构展开安全保障;安全运营是指形成威胁预测、威胁防护、持续检测、响应处置的闭环安全运营,打造四位一体的安全运营机制,通过持续性安全保障,确保系统安全稳定运行;安全合规及监管是指制定政务云安全标准及规范要求,持续做好运营过程中的合规安全检查和指导工作,明确安全管云内容和理念。
二、坚持安全管理和安全技术支持并重,一体化设计安全保障体系
确立“安全七分管理,三分技术”的设计理念,坚持体系支撑和技术支持并重。一方面,应用先进技术理念,以创新型技术路线优先考虑、技术与服务独立模块导入、产品服务品牌松耦合协同的理念规划设计一体化保障体系;另一方面,统筹提供安全技术体系、一体化构建安全体系框架、全局性谋划安全运营体系。二者相融合从设计到建设再到后期的运营全生命周期,保障“云上扬州”安全。通过一体化安全保障体系,实现“看得见、用得好、管得住”的目标。
1. 安全管理是重中之重
一是明确安全责任主体。中心统筹管理的信息系统“安全管理责任不变、数据归属关系不变、安全管理标准不变”。其主机安全、应用安全、数据安全以及安全策略与管理制度、安全管理机构与人员、系统安全建设管理、系统安全运维管理等均由所属部门负责。市政府信息资源管理中心负责保障关键信息基础设施(如物理环境、硬件资源、市电子政务外网、虚拟化平台及组件)的安全。二是明确安全管云机制。根据《云上扬州项目建设管理和考核的实施意见》,明确新建信息系统网络安全建设的“三同步”原则,在规划阶段同步设计安全建设内容;在建设阶段同步实施安全功能和模块;在运维阶段同步使用安全保障措施。规定新建项目的建设方案必须要设计安全建设方案,进行等级保护自主定级,列支安全建设经费预算,经技术审查和专家论证后方可启动;建成的信息系统须通过安全服务总包的安全检测,且等级保护差距性测评达到70 分,才能接入市电子政务外网上线试运行;试运行满 3 个月,未出现重大故障且等级保护符合性测评达到 80 分,方可验收。
2. 安全技术支撑保驾护航
中心的关基信息基础设施,市电子政务外网得到了进一步安全加固。部署了安全数据交换系统,实现数据交换和安全隔离防护;部署了操作和异常行为审计系统,对大数据共享交换平台进行安全审计;部署了两套互联网网站安全监测平台,进行“双重监测”“交叉验证”,实时监测互联网网站,最大化发现网站的安全漏洞及风险;部署了云安全管理平台、虚拟主机安全防护、云安全资源池,实现云环境下南北向及东西向安全隔离、数据库审计、运维审计等云计算安全立体防护;部署了全天候全方位安全态势感知系统,从网络、主机、应用、数据进行全面的流量分析、行为分析,形成威胁预测、威胁防护、持续检测和响应处置全链条、全过程的分析、处置、优化、响应的安全防护能力。通过内部威胁预测、外部威胁情报等手段,进行平台暴露面分析,监控外部威胁,实现攻击预测、提前预防的目标;对于持续攻击,降低受攻击面,实现“攻击减速”的目标;对所有整合和托管系统进行7×24 小时在线检测和响应,减少威胁停留时间,及时发现并控制事件,防止事件升级;对深度威胁分析,联动响应与处置,对发生的重大安全事件进行回溯分析,实现及时处置、止损、追踪溯源。
三、坚持安全服务和安全培训并重,确保网络安全落到实处
网络安全保障工作是一个动态发展的过程,没有绝对的安全,只有相对的安全,将风险控制在一定的范围内。安全服务和安全培训工作需要同步开展。不仅要强化网络安全服务,同时也要提高网络安全工作人员的安全意识和技术水平。
1. 全生命周期的安全服务
部署在中心的系统,上线前必须进行安全检测。安全检测包括漏洞扫描、渗透测试、基线检查、代码审计和 App 安全评估等,检测发现问题后,系统责任单位进行整改。整改后再次检测,如不存在高危、中危风险,系统方能上线试运行;系统运行期间,会采取以上措施定期地开展安全检测,及时发现新的安全漏洞和风险,并以《安全隐患告知书》的形式,通知系统责任单位修复安全漏洞;日常由安服团队全天候全方位提供安全服务。每天开展信息资产管理、业务应用安全监测、安全事件研判分析、安全事件实时通报、应急响应处置等工作。在重要活动、重要时期,对重要系统进行重保服务,加强检测和监控力度,实行 7×24 小时值守、“零报告”和“日报告”等制度。每月组织一次网络安全事件应急演练,如网页篡改、病毒感染和网络攻击等主题,根据《国家网络安全事件应急预案》来对安全事件进行应急处置,通过应急演练来修订应急预案。每年进行一次网络安全攻防演习,网络安全攻防演习是在保障业务系统安全的前提下,由网络安全专家组成的攻击队,采用“不限攻击路径,不限制攻击手段”(此处不限攻击手段是在确保系统正常运行的前提下,不限制进入系统或者获取权限的手段)的攻击方式,而形成的“有组织”“真刀真枪”的网络攻击行为,以获取目标系统的最高控制权为目标,进一步检验市电子政务外网的安全保障措施。
2. 全流程的安全合规与监督管理
制定“云上扬州”安全标准规范,统一规范一体化安全保障体系建设的安全管理、安全技术、安全运营体系的相关标准;同时符合国家关于关键信息基础设施、等级保护、云计算、大数据、政务数据开放共享和电子政务外网相关的法律法规和国家标准的要求。《云上扬州项目建设管理和考核的实施意见》明确要求,属于云上扬州新建信息系统,在验收前,需要通过网络安全等级保护测评和风险评估。如果这些系统属于等级保护三级系统,每年还需要进行复测评。对于已经运行于中心的信息系统,每年通过集中打包、分批分类的方式,定期开展等级保护和风险评估的工作,最大限度地做到安全合规。对于一些老旧系统,不配合做等级保护测评和风险评估,或者安全检测发现问题,不做安全整改的,系统责任单位可以申请下线,并出具《服务退出函》。
3. 全覆盖的网络安全培训体系
成立网络安全培训中心,每月定期面向全市党政机关、企事业单位,以及县(市、区)的网络安全负责人、信息系统负责人,举办以网络安全法律法规、网络安全意识、网络安全技术等为主题的培训;每年举办一次两至三天的网络安全训练营,定制涵盖网络安全管理和网络安全攻防技术类的课程,并进行结业考试,成绩合格后,颁发结业证书。从 2018 年 12 月开始,截至目前,已经举办了 32 次网络安全培训,包括 2 次超过百人参加的网络安全训练营,近 2600 人次参加。今年,创新性地让网络安全培训“走出去”,开展了网络安全“四进”系列活动,即网络安全培训“走进社区”“走进企业”“走进机关”“走进校园”,让更多的人群,更多的百姓了解网络安全知识和法律法规,提高网络安全意识和技能,筑起网络安全防线。