習(xí)近平在 2014 年中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會議上強(qiáng)調(diào)：“網(wǎng)絡(luò)安全和信息化是一體之兩翼、驅(qū)動之雙輪，必須統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進(jìn)、統(tǒng)一實(shí)施?！薄吨腥A人民共和國網(wǎng)絡(luò)安全法》第一章第三條指出：“國家堅持網(wǎng)絡(luò)安全與信息化發(fā)展并重，遵循積極利用、科學(xué)發(fā)展、依法管理、確保安全的方針，推進(jìn)網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)和互聯(lián)互通，鼓勵網(wǎng)絡(luò)技術(shù)創(chuàng)新和應(yīng)用，支持培養(yǎng)網(wǎng)絡(luò)安全人才，建立健全網(wǎng)絡(luò)安全保障體系，提高網(wǎng)絡(luò)安全保護(hù)能力。從國家層面高度重視網(wǎng)絡(luò)安全與信息化的同步發(fā)展，夯實(shí)網(wǎng)絡(luò)安全保障體系?！卑凑樟?xí)總書記的要求，妥善處理好安全和發(fā)展的關(guān)系，做到網(wǎng)絡(luò)安全和智慧城市建設(shè)協(xié)調(diào)一致、齊頭并進(jìn)，以安全保發(fā)展、以發(fā)展促安全，為人民群眾提供用得上、用得好、用得安全的信息服務(wù)。

　　一、堅持項(xiàng)目建設(shè)與安全保障并重，統(tǒng)籌推進(jìn)立體化安全保障

　　2017 年 11 月，揚(yáng)州市政府正式印發(fā)了《云上揚(yáng)州頂層設(shè)計方案》《云上揚(yáng)州建設(shè)行動計劃（2017-2020）》，重點(diǎn)建設(shè)“一中心、三平臺、一體系、七朵云應(yīng)用”，提出了“統(tǒng)籌建云、數(shù)據(jù)進(jìn)云、應(yīng)用上云、安全管云”的推進(jìn)策略。一體系即一體化安全保障體系，在統(tǒng)籌規(guī)劃建設(shè)云基礎(chǔ)設(shè)施和云業(yè)務(wù)應(yīng)用的同時，整合推動信息系統(tǒng)形成統(tǒng)一架構(gòu)，建設(shè)融合通用的大平臺，匯聚全量數(shù)據(jù)，構(gòu)建云環(huán)境下防護(hù)與監(jiān)測處置一體化體系。安全管云是以關(guān)鍵基礎(chǔ)設(shè)施安全升級改造為核心，深入結(jié)合揚(yáng)州市政府大數(shù)據(jù)中心（以下簡稱“中心”）外圍物理實(shí)體與內(nèi)部云計算平臺環(huán)境的安全需求，基于虛擬化、云計算及大數(shù)據(jù)的技術(shù)特點(diǎn)，重點(diǎn)關(guān)注云平臺安全防護(hù)和大數(shù)據(jù)全生命周期的安全保障，全面推進(jìn)“云上揚(yáng)州”安全體系的構(gòu)建、系統(tǒng)平臺的優(yōu)化、分層縱深的設(shè)計及安全運(yùn)營能力的提升，形成“可適用、可操作、可裁剪”的整體安全規(guī)劃，最終實(shí)現(xiàn)“看得見、用得好、管得住”的安全管云的目標(biāo)。

　　1. 統(tǒng)籌建立項(xiàng)目推進(jìn)安全管理機(jī)制

　　充分發(fā)揮“云上辦”（云上揚(yáng)州推進(jìn)工作領(lǐng)導(dǎo)小組辦公室）的主體統(tǒng)籌地位，出臺《項(xiàng)目建設(shè)管理和考核的實(shí)施意見》《云上揚(yáng)州項(xiàng)目管理及總集成工作規(guī)范實(shí)施細(xì)則》等文件，形成《項(xiàng)目方案編制指南》等標(biāo)準(zhǔn)規(guī)范，從申報至驗(yàn)收的項(xiàng)目全流程管理，實(shí)現(xiàn)了項(xiàng)目的網(wǎng)絡(luò)安全全生命周期管理。同時，創(chuàng)新建立總集成工作機(jī)制。通過總集成來促進(jìn)“云上揚(yáng)州”安全和業(yè)務(wù)的融合，牽頭形成安全管理與技術(shù)的標(biāo)準(zhǔn)、要求和實(shí)施的一致、連貫和統(tǒng)一，確保所有智慧城市項(xiàng)目依據(jù)頂層設(shè)計理念安全、穩(wěn)妥落地，強(qiáng)化網(wǎng)絡(luò)安全措施的“三同步”原則，即同步規(guī)劃、同步建設(shè)、同步使用。

　　2. 建立一體化安全保障體系框架

　　落實(shí)“云上揚(yáng)州”的安全體系設(shè)計指導(dǎo)原則及安全總體建設(shè)思路，從安全管理、安全技術(shù)、安全運(yùn)營和安全合規(guī)及監(jiān)管等四個方面建立起一體化安全保障體系。安全管理是指面向云監(jiān)管方、云服務(wù)方、云服務(wù)客戶、云安全服務(wù)方等四方主體以及相關(guān)的產(chǎn)品廠商和服務(wù)廠商，落實(shí)職責(zé)與分工；安全技術(shù)是指緊密結(jié)合“云上揚(yáng)州”的“一中心、三平臺、七朵云應(yīng)用”的業(yè)務(wù)架構(gòu)展開安全保障；安全運(yùn)營是指形成威脅預(yù)測、威脅防護(hù)、持續(xù)檢測、響應(yīng)處置的閉環(huán)安全運(yùn)營，打造四位一體的安全運(yùn)營機(jī)制，通過持續(xù)性安全保障，確保系統(tǒng)安全穩(wěn)定運(yùn)行；安全合規(guī)及監(jiān)管是指制定政務(wù)云安全標(biāo)準(zhǔn)及規(guī)范要求，持續(xù)做好運(yùn)營過程中的合規(guī)安全檢查和指導(dǎo)工作，明確安全管云內(nèi)容和理念。

　　二、堅持安全管理和安全技術(shù)支持并重，一體化設(shè)計安全保障體系

　　確立“安全七分管理，三分技術(shù)”的設(shè)計理念，堅持體系支撐和技術(shù)支持并重。一方面，應(yīng)用先進(jìn)技術(shù)理念，以創(chuàng)新型技術(shù)路線優(yōu)先考慮、技術(shù)與服務(wù)獨(dú)立模塊導(dǎo)入、產(chǎn)品服務(wù)品牌松耦合協(xié)同的理念規(guī)劃設(shè)計一體化保障體系；另一方面，統(tǒng)籌提供安全技術(shù)體系、一體化構(gòu)建安全體系框架、全局性謀劃安全運(yùn)營體系。二者相融合從設(shè)計到建設(shè)再到后期的運(yùn)營全生命周期，保障“云上揚(yáng)州”安全。通過一體化安全保障體系，實(shí)現(xiàn)“看得見、用得好、管得住”的目標(biāo)。

　　1. 安全管理是重中之重

　　一是明確安全責(zé)任主體。中心統(tǒng)籌管理的信息系統(tǒng)“安全管理責(zé)任不變、數(shù)據(jù)歸屬關(guān)系不變、安全管理標(biāo)準(zhǔn)不變”。其主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全以及安全策略與管理制度、安全管理機(jī)構(gòu)與人員、系統(tǒng)安全建設(shè)管理、系統(tǒng)安全運(yùn)維管理等均由所屬部門負(fù)責(zé)。市政府信息資源管理中心負(fù)責(zé)保障關(guān)鍵信息基礎(chǔ)設(shè)施（如物理環(huán)境、硬件資源、市電子政務(wù)外網(wǎng)、虛擬化平臺及組件）的安全。二是明確安全管云機(jī)制。根據(jù)《云上揚(yáng)州項(xiàng)目建設(shè)管理和考核的實(shí)施意見》，明確新建信息系統(tǒng)網(wǎng)絡(luò)安全建設(shè)的“三同步”原則，在規(guī)劃階段同步設(shè)計安全建設(shè)內(nèi)容；在建設(shè)階段同步實(shí)施安全功能和模塊；在運(yùn)維階段同步使用安全保障措施。規(guī)定新建項(xiàng)目的建設(shè)方案必須要設(shè)計安全建設(shè)方案，進(jìn)行等級保護(hù)自主定級，列支安全建設(shè)經(jīng)費(fèi)預(yù)算，經(jīng)技術(shù)審查和專家論證后方可啟動；建成的信息系統(tǒng)須通過安全服務(wù)總包的安全檢測，且等級保護(hù)差距性測評達(dá)到70 分，才能接入市電子政務(wù)外網(wǎng)上線試運(yùn)行；試運(yùn)行滿 3 個月，未出現(xiàn)重大故障且等級保護(hù)符合性測評達(dá)到 80 分，方可驗(yàn)收。

　　2. 安全技術(shù)支撐保駕護(hù)航

　　中心的關(guān)基信息基礎(chǔ)設(shè)施，市電子政務(wù)外網(wǎng)得到了進(jìn)一步安全加固。部署了安全數(shù)據(jù)交換系統(tǒng)，實(shí)現(xiàn)數(shù)據(jù)交換和安全隔離防護(hù)；部署了操作和異常行為審計系統(tǒng)，對大數(shù)據(jù)共享交換平臺進(jìn)行安全審計；部署了兩套互聯(lián)網(wǎng)網(wǎng)站安全監(jiān)測平臺，進(jìn)行“雙重監(jiān)測”“交叉驗(yàn)證”，實(shí)時監(jiān)測互聯(lián)網(wǎng)網(wǎng)站，最大化發(fā)現(xiàn)網(wǎng)站的安全漏洞及風(fēng)險；部署了云安全管理平臺、虛擬主機(jī)安全防護(hù)、云安全資源池，實(shí)現(xiàn)云環(huán)境下南北向及東西向安全隔離、數(shù)據(jù)庫審計、運(yùn)維審計等云計算安全立體防護(hù)；部署了全天候全方位安全態(tài)勢感知系統(tǒng)，從網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)進(jìn)行全面的流量分析、行為分析，形成威脅預(yù)測、威脅防護(hù)、持續(xù)檢測和響應(yīng)處置全鏈條、全過程的分析、處置、優(yōu)化、響應(yīng)的安全防護(hù)能力。通過內(nèi)部威脅預(yù)測、外部威脅情報等手段，進(jìn)行平臺暴露面分析，監(jiān)控外部威脅，實(shí)現(xiàn)攻擊預(yù)測、提前預(yù)防的目標(biāo)；對于持續(xù)攻擊，降低受攻擊面，實(shí)現(xiàn)“攻擊減速”的目標(biāo)；對所有整合和托管系統(tǒng)進(jìn)行7×24 小時在線檢測和響應(yīng)，減少威脅停留時間，及時發(fā)現(xiàn)并控制事件，防止事件升級；對深度威脅分析，聯(lián)動響應(yīng)與處置，對發(fā)生的重大安全事件進(jìn)行回溯分析，實(shí)現(xiàn)及時處置、止損、追蹤溯源。

　　三、堅持安全服務(wù)和安全培訓(xùn)并重，確保網(wǎng)絡(luò)安全落到實(shí)處

　　網(wǎng)絡(luò)安全保障工作是一個動態(tài)發(fā)展的過程，沒有絕對的安全，只有相對的安全，將風(fēng)險控制在一定的范圍內(nèi)。安全服務(wù)和安全培訓(xùn)工作需要同步開展。不僅要強(qiáng)化網(wǎng)絡(luò)安全服務(wù)，同時也要提高網(wǎng)絡(luò)安全工作人員的安全意識和技術(shù)水平。

　　1. 全生命周期的安全服務(wù)

　　部署在中心的系統(tǒng)，上線前必須進(jìn)行安全檢測。安全檢測包括漏洞掃描、滲透測試、基線檢查、代碼審計和 App 安全評估等，檢測發(fā)現(xiàn)問題后，系統(tǒng)責(zé)任單位進(jìn)行整改。整改后再次檢測，如不存在高危、中危風(fēng)險，系統(tǒng)方能上線試運(yùn)行；系統(tǒng)運(yùn)行期間，會采取以上措施定期地開展安全檢測，及時發(fā)現(xiàn)新的安全漏洞和風(fēng)險，并以《安全隱患告知書》的形式，通知系統(tǒng)責(zé)任單位修復(fù)安全漏洞；日常由安服團(tuán)隊全天候全方位提供安全服務(wù)。每天開展信息資產(chǎn)管理、業(yè)務(wù)應(yīng)用安全監(jiān)測、安全事件研判分析、安全事件實(shí)時通報、應(yīng)急響應(yīng)處置等工作。在重要活動、重要時期，對重要系統(tǒng)進(jìn)行重保服務(wù)，加強(qiáng)檢測和監(jiān)控力度，實(shí)行 7×24 小時值守、“零報告”和“日報告”等制度。每月組織一次網(wǎng)絡(luò)安全事件應(yīng)急演練，如網(wǎng)頁篡改、病毒感染和網(wǎng)絡(luò)攻擊等主題，根據(jù)《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》來對安全事件進(jìn)行應(yīng)急處置，通過應(yīng)急演練來修訂應(yīng)急預(yù)案。每年進(jìn)行一次網(wǎng)絡(luò)安全攻防演習(xí)，網(wǎng)絡(luò)安全攻防演習(xí)是在保障業(yè)務(wù)系統(tǒng)安全的前提下，由網(wǎng)絡(luò)安全專家組成的攻擊隊，采用“不限攻擊路徑，不限制攻擊手段”（此處不限攻擊手段是在確保系統(tǒng)正常運(yùn)行的前提下，不限制進(jìn)入系統(tǒng)或者獲取權(quán)限的手段）的攻擊方式，而形成的“有組織”“真刀真槍”的網(wǎng)絡(luò)攻擊行為，以獲取目標(biāo)系統(tǒng)的最高控制權(quán)為目標(biāo)，進(jìn)一步檢驗(yàn)市電子政務(wù)外網(wǎng)的安全保障措施。

　　2. 全流程的安全合規(guī)與監(jiān)督管理

　　制定“云上揚(yáng)州”安全標(biāo)準(zhǔn)規(guī)范，統(tǒng)一規(guī)范一體化安全保障體系建設(shè)的安全管理、安全技術(shù)、安全運(yùn)營體系的相關(guān)標(biāo)準(zhǔn)；同時符合國家關(guān)于關(guān)鍵信息基礎(chǔ)設(shè)施、等級保護(hù)、云計算、大數(shù)據(jù)、政務(wù)數(shù)據(jù)開放共享和電子政務(wù)外網(wǎng)相關(guān)的法律法規(guī)和國家標(biāo)準(zhǔn)的要求?！对粕蠐P(yáng)州項(xiàng)目建設(shè)管理和考核的實(shí)施意見》明確要求，屬于云上揚(yáng)州新建信息系統(tǒng)，在驗(yàn)收前，需要通過網(wǎng)絡(luò)安全等級保護(hù)測評和風(fēng)險評估。如果這些系統(tǒng)屬于等級保護(hù)三級系統(tǒng)，每年還需要進(jìn)行復(fù)測評。對于已經(jīng)運(yùn)行于中心的信息系統(tǒng)，每年通過集中打包、分批分類的方式，定期開展等級保護(hù)和風(fēng)險評估的工作，最大限度地做到安全合規(guī)。對于一些老舊系統(tǒng)，不配合做等級保護(hù)測評和風(fēng)險評估，或者安全檢測發(fā)現(xiàn)問題，不做安全整改的，系統(tǒng)責(zé)任單位可以申請下線，并出具《服務(wù)退出函》。

　　3. 全覆蓋的網(wǎng)絡(luò)安全培訓(xùn)體系

　　成立網(wǎng)絡(luò)安全培訓(xùn)中心，每月定期面向全市黨政機(jī)關(guān)、企事業(yè)單位，以及縣（市、區(qū)）的網(wǎng)絡(luò)安全負(fù)責(zé)人、信息系統(tǒng)負(fù)責(zé)人，舉辦以網(wǎng)絡(luò)安全法律法規(guī)、網(wǎng)絡(luò)安全意識、網(wǎng)絡(luò)安全技術(shù)等為主題的培訓(xùn)；每年舉辦一次兩至三天的網(wǎng)絡(luò)安全訓(xùn)練營，定制涵蓋網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)安全攻防技術(shù)類的課程，并進(jìn)行結(jié)業(yè)考試，成績合格后，頒發(fā)結(jié)業(yè)證書。從 2018 年 12 月開始，截至目前，已經(jīng)舉辦了 32 次網(wǎng)絡(luò)安全培訓(xùn)，包括 2 次超過百人參加的網(wǎng)絡(luò)安全訓(xùn)練營，近 2600 人次參加。今年，創(chuàng)新性地讓網(wǎng)絡(luò)安全培訓(xùn)“走出去”，開展了網(wǎng)絡(luò)安全“四進(jìn)”系列活動，即網(wǎng)絡(luò)安全培訓(xùn)“走進(jìn)社區(qū)”“走進(jìn)企業(yè)”“走進(jìn)機(jī)關(guān)”“走進(jìn)校園”，讓更多的人群，更多的百姓了解網(wǎng)絡(luò)安全知識和法律法規(guī)，提高網(wǎng)絡(luò)安全意識和技能，筑起網(wǎng)絡(luò)安全防線。