中國信息安全 - 專題·數字政府安全 | 「數字滄州」安全保障體系建設的探索與實踐－鑽石舞台

Sep 29 Thu 2022 14:30
中國信息安全 - 專題·數字政府安全 | 「數字滄州」安全保障體系建設的探索與實踐

掃碼訂閱《中國信息安全》雜誌

郵發代號 2-786

征訂熱線：010-82341063

文│滄州市政府副秘書長、大數據辦主任劉博勝

數字政府作為數字中國、數字經濟的重要基礎，已成為提升國家治理能力現代化的重要戰略舉措和推進服務型政府建設的有力抓手。但不容忽視的是，政務雲、城市大數據中心等超級數據平台，面臨巨大的安全威脅和風險，因此，網絡安全這個「底座」一定要堅如磐石，才能為數字政府保駕護航。滄州市委市政府秉持「數據安全是數字政府的生命線」原則，始終把數據安全問題放在首位，牢固樹立了「四統一、三制度、三同步、一體系、一平台、四手段」的安全發展理念。貫徹落實習近平總書記關於網絡安全和信息化必須統一謀劃、統一部署、統一推進、統一實施「四統一」要求；堅持網絡安全等級保護、關鍵信息基礎設施安全保護、涉密信息系統分級保護三項制度；信息化項目建設以《網絡安全法》為準繩，堅持安全技術措施與項目「同步規劃、同步建設、同步使用」原則；建立完善統一信任服務體系和安全運行監管平台；以「終端保護、邊界防護、安全審計、安全管理」為抓手，不斷加強安全防護建設、完善安全運行監測、協調聯動機制，提升安全應急處突能力。

一、數據中心精準發力，夯實數字滄州信息化底座

（一）推進滄州政務雲建設，統一平台

2017 年，滄州市與華為公司簽訂戰略合作協議，高標準建設滄州華為雲計算中心，依託華為雲平台搭建了滄州政務雲。54 個部門單位、117個信息系統部署上雲。5 年來，政務雲未出現數據泄露事件，既實現了數據中心集約統建，又有效保障了雲上的關鍵和敏感數據（靜態和動態）的安全，降低了數據泄露風險，實現了雲上業務系統的可靠性和安全性。滄州市政務雲護航數據安全案例獲評省委網信辦實踐類典型案例。

（二）推進電子政務外網建設，統一網絡

作為全省唯一的電子政務外網整合改造試點城市，滄州市制定了《電子政務外網整合技術方案》《關於開展全市電子政務外網整合改造省級試點工作的實施方案》，並積極推進市級電子政務外網升級改造工作。市級電子政務外網穩定運行，市四套班子機關、所有市政府組成部門已全部接入電子政務外網，並實現統一認證管理和互聯網出口管理，縣級電子政務外網升級改造已完成。工作成效獲得國家電子政務外網管理中心認可，2021 年 5 月獲評國家電子政務外網地市網絡建設整合試點。滄州市加快推進電子政務外網專網整合工作，目前市本級單位自建專網已全部整合到位，國家、省垂建專網整合工作在逐步推進中。

（三）推進大數據平台建設，統一數據

滄州市於 2018 年啟動城市大數據中心建設，通過「數據大會戰」在全省率先完成政務信息資源編目，並實現與省政務信息資源目錄管理系統的對接。截至 2021 年底已建成人口、法人、空間地理、電子證照、信用體系、城市部件、房屋、視頻、信息資源目錄等 10 個數據庫，採集數據共計 2 億餘條,發布 134 項可共享數據資源、102 條可開放數據資源、103 個基礎數據共享接口，68個開放接口、268 個空間地理圖層接口、5 個雲應用。2021 年 8 月至 11 月，滄州市以政務服務事項為基礎，組織市直各部門和各縣（市、區）開展了政務數據資源目錄梳理工作，涉及 41 個市級部門和475 個縣級部門的 19061 個政務事項，包含 74194項信息項。多批次編制數據共享責任清單，將「數據原料」整齊有序地擺上「貨架」。滄州市成為河北省數據共享開放試點城市。

（四）推進安全保障中心建設，統一安全

按照國家、河北省對安全體系「同步規劃、同步建設、同步使用」的工作要求，滄州市整合全市現有資源，建設全市統一、自主可控、雲網數一體化的安全體系。建立了安全應急管理機制和應急預案，信息安全事件應急處理能力有效提升，2021 年共計發現預警 1140 萬次，有效排查安全隱患 220 次，處置網絡攻擊 60 次。建立了信息化系統安全接入、數據交換、數據備份、數據防泄漏、用戶信息安全保護等機制，基本形成了安全態勢感知、安全預警、防禦阻斷和追溯體系。

（五）推進時空大數據中心建設，統一城市底圖

自 2015 年以來，滄州市收集 32 部門的 268類 1337 個圖層數據，成為全國第一批率先完成「一張藍圖」的 49 個地級市之一，受到住建部通報表彰。滄州成功申報全國智慧城市時空大數據平台建設試點城市。

二、機制體制改革，優化數字滄州安全管理體系

（一）實行規範建設安全數字滄州滄州

秉持「標準先行」的原則，在城市信息化底座及業務應用建設方面，始終遵循《政務雲安全要求》《國家電子政務外網安全等級保護基本要求》《國家電子政務外網安全接入平台技術規範》等國家電子政務外網標準規範相關要求，打造合規、安全的政務信息系統。

（二）政策指導建設安全數字滄州

滄州市先後印發《滄州市政務雲管理辦法》《滄州市大數據資源管理辦法》《關於建立健全政務數據共享協調機制加快推進數據有序共享的實施細則》《滄州市政務信息資源開發利用工作方案》《滄州市新型智慧城市和電子政務「十四五」發展規劃》《滄州市政務雲、電子政務外網數據安全管理規定（暫行）》等系列文件，指導在滄州市信息化建設發展中，同步建立有效、高效的安全管理策略。

（三）探索建立多元參與機制

2017 年，滄州市謀劃了渤海雲計算中心建設、滄州市統一安全保障體系等系列項目建設，並在實施過程中探索建立了多元參與機制，分別由不同企業承建基礎設施、應用系統、安全防護等項目建設，避免由一家或幾家企業集中建設或主導，充分發揮了各企業優勢，形成資源互補，切實加強雲平台、電子政務外網、大數據平台等安全防護能力，保障基礎設施安全穩定運行。

（四）整合資源構建「統一運維」雛形

滄州市大數據辦將全部運維人員整合管理，打造「統一運維」、形成合力，能夠起到事半功倍的效果。例如，今年 3 月，滄州市突發疫情，627 萬人共 5368 萬人次核酸採樣，我們立即協調組織 12 個公司的 70 餘人運維團隊投入信息化支撐工作，圓滿完成市應急指揮部交辦的核酸採樣系統穩定運行、疫情防控通行證開發等各項工作任務。

三、堅持問題導向原則，健全數字滄州安全技術保障體系

（一）保障基礎設施安全

由第三方專業編制機構根據滄州市實際情況，設計滄州市統一安全保障系統，已完成建設並落地實施。依託統一安全保障系統，建立了滄州政務雲、電子政務外網安全運營機制。通過統一的堡壘機登錄來管控安全設備登錄情況，保障登錄操作可記錄和審計，保障安全設備登錄、操作、運維安全使用系統。安全設備根據等級保護要求設備強複雜密碼，3 個月更新一次。所有設備設置三權分立賬號，系統管理員負責賬號授權，安全管理員配置設備，安全審計員負責審計系統管理員和安全管理員操作，以確保安全設備賬號安全。

統一安全保障系統通過安全管理體系、安全技術體系、安全運維體系三個方面保障系統安全。安全管理體系制度包含了安全管理制度、安全機構管理、安全人員管理、安全建設管理、安全運維管理 5 個部分，從制度方面規範網絡安全行為。安全技術體系包含防毒牆、虛擬化安全防護、入侵防禦、入侵檢測、APT 檢測網關、未知威脅分析等設備，用來檢測和阻斷網絡中網絡攻擊和病毒入侵等網絡異常行為，確保網絡安全。VPN 做遠程訪問接入使用，確保遠程接入訪問安全，態勢感知系統通過收集所有設備安全日誌，從整體全天候、全訪問檢測網絡安全情況，保障系統網絡安全。安全運維體系在安全管理體系的指導下，建設一體化運維平台、網絡安全態勢感知平台、信息安全運營管理平台等，實現網絡安全運維的統一管理，運維人員按照運維管理規定，定期對安全設備巡檢、升級特徵庫、修改密碼等常規安全操作，每天根據網絡情況進行安全事件分析，形成安全服務日報，保障滄州市政務雲、電子政務外網安全運營。

（二）保障大數據平台安全

隨着政務雲建設的腳步加快，依託政務雲建設的大數據平台已成為政務數據的匯聚中心。政務數據的匯聚及大量共享、開放需求，同時也帶來大量的安全問題。滄州市從管理和技術兩個方面加強大數據平台的安全防護。技術方面，藉助政務雲平台和政務外網的安全防護體系，提升大數據平台傳統信息安全防護，為機房設施安全、雲平台安全、網絡安全、存儲安全、虛擬化安全等方面予以安全保障。同時，也通過基線掃描、脆弱性管理等加強對大數據平台的安全防護。在數據安全方面，主要依託數據分級分類管理、數據脫敏、API 接口等措施保障數據安全。管理方面，確保安全審計、安全管理和平台操作三權分立。

（三）保障應用系統安全

滄州市對標學習先進地區無紙化辦公經驗，依託政務雲和政務外網連通基礎系統，建設了智慧協同辦公一體化雲平台，實現了市縣鄉三級各類公文、會議、督辦、內部郵件等業務的無紙化、自動化、智能化、互聯互通和電子公文辦理全流程高效運轉。為保障此類重要政務系統的安全運行，除依託政務雲、政務外網的安全防護體系外，還建立了統一身份認證體系。統一身份認證體系不僅提供單點登錄，採用國產密碼算法進行身份認證，還支持「用戶+時間+IP」等登錄控制功能。

四、營造數據安全環境，提升安全監督檢查機制

當前，滄州在保障政務雲平台、政務外網、政務數據安全等方面積累了大量「實戰」經驗，致力於探索合規情況下安全與業務易用性的平衡。通過開展綜合安全驗證手段，如信息安全漏洞掃描、滲透測試、基線核查等方面的工作，以保證安全管理、安全技術和安全支撐措施有效性。

「數字滄州」的下一步安全規劃，一是加強數據監管，持續完善數據安全審計平台建設，加強日誌數據採集和分析能力，配合加強數據安全管理。同時，加強對大數據平台的資源監控，如監測大量數據下載 IP 的合法性、合規性等，與安全管理平台聯動告警，實時阻斷。二是持續完善「統一運維」管理體系建設。加快「統一運維」管理體系建設，加強對全市政務雲、政務外網、數據中心、重要政務信息系統的管理，健全日常運維和應急保障機制。推進「統一運維」保障模式，提升網絡運維保障能力，推動電子政務運維和網絡安全服務集約化、專業化、市場化，保障網絡安全運行。同時通過一系列安全運營評價指標，衡量評價安全運營質量水平，並在過程中針對性地持續改進，實現安全質量的螺旋上升。

在維護網絡和數據安全，保護個人信息權益等方面，數字滄州在建設中積極探索實踐，取得一定成效。但要想實現數字政府的長治久安，還需政府部門、行業監管單位、互聯網企業、網絡平台、公民個人的共同參與，形成「共建共治共享」的新局面、新機制。

（本文刊登於《中國信息安全》雜誌2022年第8期）

《中國信息安全》雜誌傾情推出

「企業成長計劃」

點擊下圖了解詳情