構建大安全大運維支撐體系護航亞運

俞志川 龍為超 樓濤

余杭區以數字化改革為核心，構建了一系列具有區域特色的改革成果，并實施了首席數據官制度。但面臨新的機遇和挑戰，特別是在基礎設施安全、數據安全、應用安全、終端安全和供應鏈安全等方面存在短板。為應對挑戰，提出大安全和大運維體系護航亞運。大安全體系包含全流程立體化的安全防護，大運維體系則利用政務云資源、公共數據資源、公共組件資源、統一安全能力等構建。通過全局視角、全員動員、全鏈路閉環和統籌協同推進，力求實現亞運期間政務外網數據以及門戶網站等的安全，為我國數字化改革提供有力的安全支撐。

一、安全能力現狀

余杭區為保障政務終端安全和數據安全采取了多種措施，實現安全防護軟件全覆蓋，加強終端資產管理，實施公共數據全生命周期管理，嚴格控制數據導出，開展非工作時間電腦關閉行動，禁用遠程訪問，加強木馬病毒管控等。同時，依托API審計系統和態勢感知系統發現并處理安全事件，組建數據安全運營團隊，建立協同防御機制。為確保政務系統的安全穩定運行，實施全流程閉環策略，開展應急演練，提升政務系統的安全性和運行效率。此外，通過三位一體齊抓共管保障供應鏈安全，制定規章制度規范外包服務行業管理，依托省ISV平臺加強服務外包人員管理，建立ISV服務商質量評價體系量化外包服務單位質量，提高供應鏈的安全性和可靠性。

二、存在的常見問題

（一）基礎設施安全

在我國軟件開發和運維過程中，存在一些顯著的問題。測試環境和生產環境混用導致軟件版本混亂、應用軟件質量不高，并增加了數據泄漏的風險。整體運維統籌協調難度較大，由于外包服務管理未標準化，導致服務方眾多，人員質量參差不齊，管理風險較大，不同外包服務商之間的合作協調也存在問題。應急指揮協同能力不足，無法快速跨部門、跨層級有效聯動各方資源，無法對安全事件實施多跨協同、多級聯動、快速定位問題和快速閉環處置。這些問題嚴重影響了我國軟件開發和運維的效率和安全性，需要采取有效措施進行改進。

（二）應用安全

在我國信息化項目建設中，存在規劃建設錯位、開發過程缺位和安全資金缺位等問題。這些問題導致項目目標不清、定位不明，缺乏過程管理和安全指導，存在代碼漏洞和安全隱患，且后期運維難度大。為解決這些問題，應在立項階段充分考慮各方面因素和總體框架結構，完善用戶認證體系，建立可信認證機制，指導用戶設置強口令，并包括基線檢查、滲透測試、代碼安全測評等預算。

（三）數據安全

在我國的數據安全管理和運維過程中，存在接口管控機制不足、遠程運維安全性欠佳以及數據安全審計缺失等問題。為解決這些問題，應嚴格落實加密傳輸、請求限制、訪問控制、輸入驗證、定期更新等技術舉措，設置嚴格的管控策略，采用加密保護措施防止數據外泄，并建立數據安全審計機制，以便及時發現和解決安全問題。

（四）供應鏈安全

在我國信息化項目建設中，存在分包現象、交付代碼質量較低、開發人員流動性較大等問題。這些問題導致實際運維人員社保和中標單位不一致，交付產品安全隱患較大，存在數據外泄風險。為解決這些問題，需要加強對分包現象的管理，提高交付代碼質量，規范開發人員和運維人員使用自帶筆記本接入政務網的行為，減少人員流動性，確保信息化項目建設的順利進行和高效運營。

三、相關對策建議

（一）健全大運維組織保障體系

在《關于實行首席數據官制度推動數字化改革的實施意見》基礎上，將網絡安全和信息化項目管理納入區管干部年度培訓計劃，安排區管干部參加網絡安全和信息化項目管理培訓，提高干部在網絡安全和信息化項目管理方面的知識和能力，將相關工作納入年度綜合考核，明確守網護數主體責任。成立網絡數據安全工作領導小組，指導鎮街、平臺和區直各部門成立網絡數據安全工作領導小組，明確各部門在網絡數據安全工作中的職責。針對工作人員，開設能力素養培訓班，廣泛開展“守網護數”宣傳工作，提升工作人員的安全意識和業務水平。本地專業化運維團隊建立，做好“傳幫帶”，逐步建立本地專業化運維團隊，提高本地運維能力，確保網絡安全和信息化項目的高效穩定運行。通過上述措施以健全大運維組織保障體系，推動網絡安全和信息化項目管理工作深入開展。

（二）優化大運維制度管理體系

本文提出政務網絡和公共數據安全管理的優化方案，包括修訂完善相關制度，針對《余杭區政務網絡與公共數據安全管理暫行辦法》、《余杭區網絡安全事件應急預案》等11項制度進行優化，提升制度實用性。完善工作指導手冊，修訂《余杭區業務部門工作指導手冊》、《余杭區業務上云安全流程》，補充《余杭區安全運維工作指導手冊》，提供操作性強的服務指導。強化第三方人員規范管理，嚴格執行人員入職離崗離職安全管理規定，重點崗位人員簽署安全保密協議。嚴格落實外部人員訪問管理，落實審批管理登記制度，對外部人員訪問機房等重要區域進行嚴格管理。制定應急預案，建立有效的應急預案及檢驗管理機制，開展網絡安全攻防演練，提高實戰化應急響應能力。探索建立運維監理制度，對第三方技術服務實施監督管理，建立系統運維管理制度、規范、流程和表單，提升運維服務質量，以提升運維服務質量。同時，通過修訂管理辦法、更新工作指導手冊、上門送服務、增強整體安全意識等措施，提高管理能力。此外，深入推進ISV服務商質量評價體系，協同專業安全服務機構對第三方服務質量進行評價，確保供應鏈安全，以提升政務系統的安全防護能力、運維質量和效率，保障政務工作的穩定運行。通過上述措施以提升網絡安全和數據管理能力，為政務網絡和公共數據安全提供堅實保障。

（三）夯實大運維技術保障體系

本文提出了針對政務網絡和數據安全管理的解決方案，包括實施全生命周期管理，提高應用安全，確保代碼安全，落實數據安全，建立安全監管體系，提高基礎設施安全，清理低頻僵尸應用，加強終端安全，實現100%安裝防毒軟件，落實零信任原則，完善API審計能力，確保數據不落地，做好開發人員安全認證，實施動態管理，定期開展運維日志安全審計，提高整體安全防護能力。

以上表格旨在對政務網絡和數據安全的各個方面的措施進行梳理和整合，以提升安全防護能力，確保政務網絡和數據的安全。

（四）構建大運維指標管理體系

引入規范和流程，使運維技術人員嚴格按照規范操作，構建完善的大運維系統。圍繞資產清單、風險清單、責任清單進行“三張清單”梳理。從穩定、安全、高效三個層面定義運維指標，建立日報、周報、月報機制，將安全風險因子編進日報中。通過預防性安全巡查和運維，實現日常安全運維指標標準化、流程化、自動化、體系化和一體化，降低對運維人員依賴，解決運維過程缺項漏項等問題，緩解人員力量不足、專業人才不均，降低過度依賴服務外包人員問題。

（五）構建大運維績效評價體系。

修訂《余杭區政務網絡和公共數據管理辦法》，配套更新《余杭區業務部門工作指導手冊》，結合“大走訪大調研大服務大解題”提升服務水平，上門送服務，增強整體安全意識、補齊管理人員不足、管理能力高低不齊的短板。量化管理指標，增強整體安全意識，彌補管理人員不足和管理能力高低不齊的短板。針對供應鏈安全，深入推進《余杭區ISV服務商質量評價體系》，組織對政務信息系統服務外包承包機構網絡安全落實情況進行第三方抽查、評價和打分，定期晾曬，供采購參考。協同網絡安全聯盟專業安全服務機構，采用滲透測試、攻防演練等手段，對現有業務單位已購買第三方服務質量進行再次評價，確保服務質量。

四、結語

本文探討了政務網絡和數據安全管理的重要性，并提出了一系列解決方案，如夯實大運維技術保障體系、構建大運維指標管理體系以及構建大運維績效評價體系等。通過全生命周期管理、安全評審機制、開發測試云環境等手段，提高應用安全。完善API審計能力、建立安全監管體系以及定期開展數據災備等，確保數據安全。落實最小化授權、7*24小時網絡安全資產監測、實時掌握整體網絡安全情況等，提高基礎設施安全。實現100%安裝防毒軟件、嚴格上網行為管理、推進終端國產化等，提升終端安全。通過修訂管理辦法、更新工作指導手冊、上門送服務、增強整體安全意識等，提高管理能力。深入推進ISV服務商質量評價體系、組織第三方抽查評價、協同專業安全服務機構對第三方服務質量進行評價等，確保供應鏈安全。未來，需持續關注網絡安全問題，不斷完善和優化安全防護體系，應對嚴峻網絡安全挑戰。