为了帮助数字政府建立先进的安全运营保障体系,为政务服务的安全建设提供原则和指导,帮助描绘未来安全运营保障建设的思路和任务,理清日后安全运营保障建设的内容,以满足当前和长期的安全业务发展需求,为数字政府战略目标的实现保驾护航,设计符合组织机构安全现状的安全运营保障体系,体系建设主要目标有:
(一)优化安全管理体系,逐步优化数字政府管理体系。
(二)健全安全技术体系,逐步建立健全数字政府网络的基础安全防护手段。
(三)夯实安全支撑能力,持续加强内部平台的运营。
(四)加强监督检查机制,提升安全监督检查能力。
通过建设数字政府安全运营保障体系,提升数字政府电子政务系统的安全保障能力和防护水平,确保信息系统的安全稳定的运行。为未来的信息安全建立蓝图,为中长期信息安全建设指明方向。
安全管理体系方面,建立有效、高效的安全运营管理策略、组织、流程与安全培训机制等,结合数字政府实际情况,建议从管理、技术、支撑、检查检查四个层次构建数字政府自上而下的一套安全运营管理保障体系,并利用基于此体系的制度矩阵、控制矩阵、检查矩阵对数字政府及其相关单位提供理论与实践基础。
安全技术方面,基于身份鉴别、访问控制、内容安全、监控审计、备份与恢复等安全技术手段,从基础安全和新技术安全两方面出发逐层进行安全防护,形成多维度、体系化的纵深防御架构。安全技术体系是安全运营的基础,通过构建各个层面的安全数据,持续保证客户的业务安全,让安全真正为组织创造效益。
安全支撑方面,安全运营支撑平台、服务是安全运营的核心,通过建设安全运营支撑系统或者工具手段,实现安全的集中安全运营控制与有效管理。通过安全运营支撑平台和安全支撑服务以及和其他的体系架构相互作用相互补充,落实数字政府安全运营保障体系的有效落地。
安全监督检查方面,通过开展综合安全验证手段,如信息安全漏洞扫描、渗透测试、基线核查等方面的工作,以保证安全管理、安全技术和安全支撑措施有效性。同时通过一系列安全运营评价指标,衡量评价安全运营质量水平,并针对性持续过程改进,实现安全质量的螺旋上升。
重点建设项目如下:
一、网络安全体系总体规划设计与标准规范
(一) 主要内容
设计“数字政府”安全体系整体规划,从全局出发,提出构建贯穿建设、运营、管理不同阶段,覆盖基础设施、网络、系统、数据和平台等全要素空间多层次、多维度的主被动相结合的安全体系建设总体架构、建设内容、项目规划、任务分工和实施计划;通过建立覆盖组织、人员、技术、云平台、数据、应用的一系列安全规范制度,强化政府部门对整体安全的控制。
(二) 主要服务
1. 网络安全体系总体规划设计服务
2. 安全制度与标准规范编制服务
二、云平台安全
(一) 主要内容
建设云平台安全威胁智能感知系统,自动化发现各类网络攻击威胁;构建安全运营服务平台,向州直机构进行安全能力输出,实现安全能力的按需分配、快速应用。做好州直机构纳管安全运营,为各州直单位信息系统在迁云前后提供设备安全监测、自动化安全漏洞扫描等安全运营能力。
(二) 主要服务
1.云平台安全威胁感知服务
2.安全资源池防护服务
3.州直机构纳管安全运营服务
三、数据安全
(一) 主要内容
建设数据中心权限管理平台,按照统一的权限管理模块,按照数据分级分类要求,进行大数据中心内的统一认证和授权管理,建立数据在大数据中心内各个模块(服务、分析、物理数据库)的跟踪;开展数据安全治理服务,做好数据安全需求调研分析、数据安全建设方案编制、数据安全体系文件建立、数据分级授权管理、个人信息安全与隐私保护、数据脱敏脱密规则;建立数据安全保障服务体系框架,设计安全服务保障体系实施方案,提升大数据系统的安全保障能力和防护水平;全面梳理评估数据资产、基于风险驱动实现大数据全生命周期安全防护、数据安全能力和全局可视可控能力一体化交付、建立健全数据安全管理制度、实现数据安全合规和明确数据共享交换权责;
(二) 主要服务
1.数据风险评估和资产梳理服务
2.数据共享交换安全保护服务
3.数据安全管理服务
4.数据安全一体化交付平台服务
5. 数据安全态势与综合管控服务
四、安全支撑服务
(一) 主要内容
建立安全专家技术服务,一是通过安全咨询,建立涵盖规划、立项、开发、建设、运营等系统建设全周期的安全评估咨询,提升信息安全管控的一致性,持续降低业务风险;二是建立安全培训演练服务,通过组织不同层次的安全培训和安全演练,加强参与“数字政府” 建设各方的安全意识,加强“数字政府”自身和周边生态体公司的应用开发、测试、运营等岗位人员的安全应用水平,持续提升安全技能和安全应急能力;三是建立安全测评服务,从网站安全检查、深度渗透测试、等级保护测评、上线前风险评估、网络靶场应用仿真测试等方面组织第三方安全机构, 对“数字政府” 进行渗透,及时发现安全风险。
(二) 主要服务
1.安全运营支撑平台服务
2.威胁监测与主动响应服务
3.应急演练服务
4.应急保障服务
5.漏洞管理服务
6.网站安全服务
7.安全培训服务
五、安全监督检查服务
(一) 主要内容
建设安全监督检查服务,通过安全评估、安全加固、漏洞管理、威胁检测与应急响应、安全开发管理及安全培训等信息安全技术,对信息系统的各个阶段进行检查、控制与修正,保障信息系统的持续安全运营。
(二) 主要服务
1.风险评估服务
2.渗透测试服务
3.代码审计服务
4.APP检测服务
5.基线核查服务
6.漏洞扫描服务