習(xí)近平在 2014 年中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會(huì)議上強(qiáng)調(diào)：“網(wǎng)絡(luò)安全和信息化是一體之兩翼、驅(qū)動(dòng)之雙輪，必須統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進(jìn)、統(tǒng)一實(shí)施?！薄吨腥A人民共和國網(wǎng)絡(luò)安全法》第一章第三條指出：“國家堅(jiān)持網(wǎng)絡(luò)安全與信息化發(fā)展并重，遵循積極利用、科學(xué)發(fā)展、依法管理、確保安全的方針，推進(jìn)網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)和互聯(lián)互通，鼓勵(lì)網(wǎng)絡(luò)技術(shù)創(chuàng)新和應(yīng)用，支持培養(yǎng)網(wǎng)絡(luò)安全人才，建立健全網(wǎng)絡(luò)安全保障體系，提高網(wǎng)絡(luò)安全保護(hù)能力。從國家層面高度重視網(wǎng)絡(luò)安全與信息化的同步發(fā)展，夯實(shí)網(wǎng)絡(luò)安全保障體系?！卑凑樟?xí)總書記的要求，妥善處理好安全和發(fā)展的關(guān)系，做到網(wǎng)絡(luò)安全和智慧城市建設(shè)協(xié)調(diào)一致、齊頭并進(jìn)，以安全保發(fā)展、以發(fā)展促安全，為人民群眾提供用得上、用得好、用得安全的信息服務(wù)。

　　一、堅(jiān)持項(xiàng)目建設(shè)與安全保障并重，統(tǒng)籌推進(jìn)立體化安全保障

　　2017 年 11 月，揚(yáng)州市政府正式印發(fā)了《云上揚(yáng)州頂層設(shè)計(jì)方案》《云上揚(yáng)州建設(shè)行動(dòng)計(jì)劃（2017-2020）》，重點(diǎn)建設(shè)“一中心、三平臺(tái)、一體系、七朵云應(yīng)用”，提出了“統(tǒng)籌建云、數(shù)據(jù)進(jìn)云、應(yīng)用上云、安全管云”的推進(jìn)策略。一體系即一體化安全保障體系，在統(tǒng)籌規(guī)劃建設(shè)云基礎(chǔ)設(shè)施和云業(yè)務(wù)應(yīng)用的同時(shí)，整合推動(dòng)信息系統(tǒng)形成統(tǒng)一架構(gòu)，建設(shè)融合通用的大平臺(tái)，匯聚全量數(shù)據(jù)，構(gòu)建云環(huán)境下防護(hù)與監(jiān)測處置一體化體系。安全管云是以關(guān)鍵基礎(chǔ)設(shè)施安全升級(jí)改造為核心，深入結(jié)合揚(yáng)州市政府大數(shù)據(jù)中心（以下簡稱“中心”）外圍物理實(shí)體與內(nèi)部云計(jì)算平臺(tái)環(huán)境的安全需求，基于虛擬化、云計(jì)算及大數(shù)據(jù)的技術(shù)特點(diǎn)，重點(diǎn)關(guān)注云平臺(tái)安全防護(hù)和大數(shù)據(jù)全生命周期的安全保障，全面推進(jìn)“云上揚(yáng)州”安全體系的構(gòu)建、系統(tǒng)平臺(tái)的優(yōu)化、分層縱深的設(shè)計(jì)及安全運(yùn)營能力的提升，形成“可適用、可操作、可裁剪”的整體安全規(guī)劃，最終實(shí)現(xiàn)“看得見、用得好、管得住”的安全管云的目標(biāo)。

　　1. 統(tǒng)籌建立項(xiàng)目推進(jìn)安全管理機(jī)制

　　充分發(fā)揮“云上辦”（云上揚(yáng)州推進(jìn)工作領(lǐng)導(dǎo)小組辦公室）的主體統(tǒng)籌地位，出臺(tái)《項(xiàng)目建設(shè)管理和考核的實(shí)施意見》《云上揚(yáng)州項(xiàng)目管理及總集成工作規(guī)范實(shí)施細(xì)則》等文件，形成《項(xiàng)目方案編制指南》等標(biāo)準(zhǔn)規(guī)范，從申報(bào)至驗(yàn)收的項(xiàng)目全流程管理，實(shí)現(xiàn)了項(xiàng)目的網(wǎng)絡(luò)安全全生命周期管理。同時(shí)，創(chuàng)新建立總集成工作機(jī)制。通過總集成來促進(jìn)“云上揚(yáng)州”安全和業(yè)務(wù)的融合，牽頭形成安全管理與技術(shù)的標(biāo)準(zhǔn)、要求和實(shí)施的一致、連貫和統(tǒng)一，確保所有智慧城市項(xiàng)目依據(jù)頂層設(shè)計(jì)理念安全、穩(wěn)妥落地，強(qiáng)化網(wǎng)絡(luò)安全措施的“三同步”原則，即同步規(guī)劃、同步建設(shè)、同步使用。

　　2. 建立一體化安全保障體系框架

　　落實(shí)“云上揚(yáng)州”的安全體系設(shè)計(jì)指導(dǎo)原則及安全總體建設(shè)思路，從安全管理、安全技術(shù)、安全運(yùn)營和安全合規(guī)及監(jiān)管等四個(gè)方面建立起一體化安全保障體系。安全管理是指面向云監(jiān)管方、云服務(wù)方、云服務(wù)客戶、云安全服務(wù)方等四方主體以及相關(guān)的產(chǎn)品廠商和服務(wù)廠商，落實(shí)職責(zé)與分工；安全技術(shù)是指緊密結(jié)合“云上揚(yáng)州”的“一中心、三平臺(tái)、七朵云應(yīng)用”的業(yè)務(wù)架構(gòu)展開安全保障；安全運(yùn)營是指形成威脅預(yù)測、威脅防護(hù)、持續(xù)檢測、響應(yīng)處置的閉環(huán)安全運(yùn)營，打造四位一體的安全運(yùn)營機(jī)制，通過持續(xù)性安全保障，確保系統(tǒng)安全穩(wěn)定運(yùn)行；安全合規(guī)及監(jiān)管是指制定政務(wù)云安全標(biāo)準(zhǔn)及規(guī)范要求，持續(xù)做好運(yùn)營過程中的合規(guī)安全檢查和指導(dǎo)工作，明確安全管云內(nèi)容和理念。

　　二、堅(jiān)持安全管理和安全技術(shù)支持并重，一體化設(shè)計(jì)安全保障體系

　　確立“安全七分管理，三分技術(shù)”的設(shè)計(jì)理念，堅(jiān)持體系支撐和技術(shù)支持并重。一方面，應(yīng)用先進(jìn)技術(shù)理念，以創(chuàng)新型技術(shù)路線優(yōu)先考慮、技術(shù)與服務(wù)獨(dú)立模塊導(dǎo)入、產(chǎn)品服務(wù)品牌松耦合協(xié)同的理念規(guī)劃設(shè)計(jì)一體化保障體系；另一方面，統(tǒng)籌提供安全技術(shù)體系、一體化構(gòu)建安全體系框架、全局性謀劃安全運(yùn)營體系。二者相融合從設(shè)計(jì)到建設(shè)再到后期的運(yùn)營全生命周期，保障“云上揚(yáng)州”安全。通過一體化安全保障體系，實(shí)現(xiàn)“看得見、用得好、管得住”的目標(biāo)。

　　1. 安全管理是重中之重

　　一是明確安全責(zé)任主體。中心統(tǒng)籌管理的信息系統(tǒng)“安全管理責(zé)任不變、數(shù)據(jù)歸屬關(guān)系不變、安全管理標(biāo)準(zhǔn)不變”。其主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全以及安全策略與管理制度、安全管理機(jī)構(gòu)與人員、系統(tǒng)安全建設(shè)管理、系統(tǒng)安全運(yùn)維管理等均由所屬部門負(fù)責(zé)。市政府信息資源管理中心負(fù)責(zé)保障關(guān)鍵信息基礎(chǔ)設(shè)施（如物理環(huán)境、硬件資源、市電子政務(wù)外網(wǎng)、虛擬化平臺(tái)及組件）的安全。二是明確安全管云機(jī)制。根據(jù)《云上揚(yáng)州項(xiàng)目建設(shè)管理和考核的實(shí)施意見》，明確新建信息系統(tǒng)網(wǎng)絡(luò)安全建設(shè)的“三同步”原則，在規(guī)劃階段同步設(shè)計(jì)安全建設(shè)內(nèi)容；在建設(shè)階段同步實(shí)施安全功能和模塊；在運(yùn)維階段同步使用安全保障措施。規(guī)定新建項(xiàng)目的建設(shè)方案必須要設(shè)計(jì)安全建設(shè)方案，進(jìn)行等級(jí)保護(hù)自主定級(jí)，列支安全建設(shè)經(jīng)費(fèi)預(yù)算，經(jīng)技術(shù)審查和專家論證后方可啟動(dòng)；建成的信息系統(tǒng)須通過安全服務(wù)總包的安全檢測，且等級(jí)保護(hù)差距性測評(píng)達(dá)到70 分，才能接入市電子政務(wù)外網(wǎng)上線試運(yùn)行；試運(yùn)行滿 3 個(gè)月，未出現(xiàn)重大故障且等級(jí)保護(hù)符合性測評(píng)達(dá)到 80 分，方可驗(yàn)收。

　　2. 安全技術(shù)支撐保駕護(hù)航

　　中心的關(guān)基信息基礎(chǔ)設(shè)施，市電子政務(wù)外網(wǎng)得到了進(jìn)一步安全加固。部署了安全數(shù)據(jù)交換系統(tǒng)，實(shí)現(xiàn)數(shù)據(jù)交換和安全隔離防護(hù)；部署了操作和異常行為審計(jì)系統(tǒng)，對(duì)大數(shù)據(jù)共享交換平臺(tái)進(jìn)行安全審計(jì)；部署了兩套互聯(lián)網(wǎng)網(wǎng)站安全監(jiān)測平臺(tái)，進(jìn)行“雙重監(jiān)測”“交叉驗(yàn)證”，實(shí)時(shí)監(jiān)測互聯(lián)網(wǎng)網(wǎng)站，最大化發(fā)現(xiàn)網(wǎng)站的安全漏洞及風(fēng)險(xiǎn)；部署了云安全管理平臺(tái)、虛擬主機(jī)安全防護(hù)、云安全資源池，實(shí)現(xiàn)云環(huán)境下南北向及東西向安全隔離、數(shù)據(jù)庫審計(jì)、運(yùn)維審計(jì)等云計(jì)算安全立體防護(hù)；部署了全天候全方位安全態(tài)勢感知系統(tǒng)，從網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)進(jìn)行全面的流量分析、行為分析，形成威脅預(yù)測、威脅防護(hù)、持續(xù)檢測和響應(yīng)處置全鏈條、全過程的分析、處置、優(yōu)化、響應(yīng)的安全防護(hù)能力。通過內(nèi)部威脅預(yù)測、外部威脅情報(bào)等手段，進(jìn)行平臺(tái)暴露面分析，監(jiān)控外部威脅，實(shí)現(xiàn)攻擊預(yù)測、提前預(yù)防的目標(biāo)；對(duì)于持續(xù)攻擊，降低受攻擊面，實(shí)現(xiàn)“攻擊減速”的目標(biāo)；對(duì)所有整合和托管系統(tǒng)進(jìn)行7×24 小時(shí)在線檢測和響應(yīng)，減少威脅停留時(shí)間，及時(shí)發(fā)現(xiàn)并控制事件，防止事件升級(jí)；對(duì)深度威脅分析，聯(lián)動(dòng)響應(yīng)與處置，對(duì)發(fā)生的重大安全事件進(jìn)行回溯分析，實(shí)現(xiàn)及時(shí)處置、止損、追蹤溯源。

　　三、堅(jiān)持安全服務(wù)和安全培訓(xùn)并重，確保網(wǎng)絡(luò)安全落到實(shí)處

　　網(wǎng)絡(luò)安全保障工作是一個(gè)動(dòng)態(tài)發(fā)展的過程，沒有絕對(duì)的安全，只有相對(duì)的安全，將風(fēng)險(xiǎn)控制在一定的范圍內(nèi)。安全服務(wù)和安全培訓(xùn)工作需要同步開展。不僅要強(qiáng)化網(wǎng)絡(luò)安全服務(wù)，同時(shí)也要提高網(wǎng)絡(luò)安全工作人員的安全意識(shí)和技術(shù)水平。

　　1. 全生命周期的安全服務(wù)

　　部署在中心的系統(tǒng)，上線前必須進(jìn)行安全檢測。安全檢測包括漏洞掃描、滲透測試、基線檢查、代碼審計(jì)和 App 安全評(píng)估等，檢測發(fā)現(xiàn)問題后，系統(tǒng)責(zé)任單位進(jìn)行整改。整改后再次檢測，如不存在高危、中危風(fēng)險(xiǎn)，系統(tǒng)方能上線試運(yùn)行；系統(tǒng)運(yùn)行期間，會(huì)采取以上措施定期地開展安全檢測，及時(shí)發(fā)現(xiàn)新的安全漏洞和風(fēng)險(xiǎn)，并以《安全隱患告知書》的形式，通知系統(tǒng)責(zé)任單位修復(fù)安全漏洞；日常由安服團(tuán)隊(duì)全天候全方位提供安全服務(wù)。每天開展信息資產(chǎn)管理、業(yè)務(wù)應(yīng)用安全監(jiān)測、安全事件研判分析、安全事件實(shí)時(shí)通報(bào)、應(yīng)急響應(yīng)處置等工作。在重要活動(dòng)、重要時(shí)期，對(duì)重要系統(tǒng)進(jìn)行重保服務(wù)，加強(qiáng)檢測和監(jiān)控力度，實(shí)行 7×24 小時(shí)值守、“零報(bào)告”和“日?qǐng)?bào)告”等制度。每月組織一次網(wǎng)絡(luò)安全事件應(yīng)急演練，如網(wǎng)頁篡改、病毒感染和網(wǎng)絡(luò)攻擊等主題，根據(jù)《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》來對(duì)安全事件進(jìn)行應(yīng)急處置，通過應(yīng)急演練來修訂應(yīng)急預(yù)案。每年進(jìn)行一次網(wǎng)絡(luò)安全攻防演習(xí)，網(wǎng)絡(luò)安全攻防演習(xí)是在保障業(yè)務(wù)系統(tǒng)安全的前提下，由網(wǎng)絡(luò)安全專家組成的攻擊隊(duì)，采用“不限攻擊路徑，不限制攻擊手段”（此處不限攻擊手段是在確保系統(tǒng)正常運(yùn)行的前提下，不限制進(jìn)入系統(tǒng)或者獲取權(quán)限的手段）的攻擊方式，而形成的“有組織”“真刀真槍”的網(wǎng)絡(luò)攻擊行為，以獲取目標(biāo)系統(tǒng)的最高控制權(quán)為目標(biāo)，進(jìn)一步檢驗(yàn)市電子政務(wù)外網(wǎng)的安全保障措施。

　　2. 全流程的安全合規(guī)與監(jiān)督管理

　　制定“云上揚(yáng)州”安全標(biāo)準(zhǔn)規(guī)范，統(tǒng)一規(guī)范一體化安全保障體系建設(shè)的安全管理、安全技術(shù)、安全運(yùn)營體系的相關(guān)標(biāo)準(zhǔn)；同時(shí)符合國家關(guān)于關(guān)鍵信息基礎(chǔ)設(shè)施、等級(jí)保護(hù)、云計(jì)算、大數(shù)據(jù)、政務(wù)數(shù)據(jù)開放共享和電子政務(wù)外網(wǎng)相關(guān)的法律法規(guī)和國家標(biāo)準(zhǔn)的要求。《云上揚(yáng)州項(xiàng)目建設(shè)管理和考核的實(shí)施意見》明確要求，屬于云上揚(yáng)州新建信息系統(tǒng)，在驗(yàn)收前，需要通過網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)和風(fēng)險(xiǎn)評(píng)估。如果這些系統(tǒng)屬于等級(jí)保護(hù)三級(jí)系統(tǒng)，每年還需要進(jìn)行復(fù)測評(píng)。對(duì)于已經(jīng)運(yùn)行于中心的信息系統(tǒng)，每年通過集中打包、分批分類的方式，定期開展等級(jí)保護(hù)和風(fēng)險(xiǎn)評(píng)估的工作，最大限度地做到安全合規(guī)。對(duì)于一些老舊系統(tǒng)，不配合做等級(jí)保護(hù)測評(píng)和風(fēng)險(xiǎn)評(píng)估，或者安全檢測發(fā)現(xiàn)問題，不做安全整改的，系統(tǒng)責(zé)任單位可以申請(qǐng)下線，并出具《服務(wù)退出函》。

　　3. 全覆蓋的網(wǎng)絡(luò)安全培訓(xùn)體系

　　成立網(wǎng)絡(luò)安全培訓(xùn)中心，每月定期面向全市黨政機(jī)關(guān)、企事業(yè)單位，以及縣（市、區(qū)）的網(wǎng)絡(luò)安全負(fù)責(zé)人、信息系統(tǒng)負(fù)責(zé)人，舉辦以網(wǎng)絡(luò)安全法律法規(guī)、網(wǎng)絡(luò)安全意識(shí)、網(wǎng)絡(luò)安全技術(shù)等為主題的培訓(xùn)；每年舉辦一次兩至三天的網(wǎng)絡(luò)安全訓(xùn)練營，定制涵蓋網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)安全攻防技術(shù)類的課程，并進(jìn)行結(jié)業(yè)考試，成績合格后，頒發(fā)結(jié)業(yè)證書。從 2018 年 12 月開始，截至目前，已經(jīng)舉辦了 32 次網(wǎng)絡(luò)安全培訓(xùn)，包括 2 次超過百人參加的網(wǎng)絡(luò)安全訓(xùn)練營，近 2600 人次參加。今年，創(chuàng)新性地讓網(wǎng)絡(luò)安全培訓(xùn)“走出去”，開展了網(wǎng)絡(luò)安全“四進(jìn)”系列活動(dòng)，即網(wǎng)絡(luò)安全培訓(xùn)“走進(jìn)社區(qū)”“走進(jìn)企業(yè)”“走進(jìn)機(jī)關(guān)”“走進(jìn)校園”，讓更多的人群，更多的百姓了解網(wǎng)絡(luò)安全知識(shí)和法律法規(guī)，提高網(wǎng)絡(luò)安全意識(shí)和技能，筑起網(wǎng)絡(luò)安全防線。