构建大安全大运维支撑体系护航亚运

俞志川 龙为超 楼涛

余杭区以数字化改革为核心，构建了一系列具有区域特色的改革成果，并实施了首席数据官制度。但面临新的机遇和挑战，特别是在基础设施安全、数据安全、应用安全、终端安全和供应链安全等方面存在短板。為应对挑战，提出大安全和大运维体系护航亚运。大安全体系包含全流程立体化的安全防护，大运维体系则利用政务云资源、公共数据资源、公共组件资源、统一安全能力等构建。通过全局视角、全员动员、全链路闭环和统筹协同推进，力求实现亚运期间政务外网数据以及门户网站等的安全，为我国数字化改革提供有力的安全支撑。

一、安全能力现状

余杭区为保障政务终端安全和数据安全采取了多种措施，实现安全防护软件全覆盖，加强终端资产管理，实施公共数据全生命周期管理，严格控制数据导出，开展非工作时间电脑关闭行动，禁用远程访问，加强木马病毒管控等。同时，依托API审计系统和态势感知系统发现并处理安全事件，组建数据安全运营团队，建立协同防御机制。为确保政务系统的安全稳定运行，实施全流程闭环策略，开展应急演练，提升政务系统的安全性和运行效率。此外，通过三位一体齐抓共管保障供应链安全，制定规章制度规范外包服务行业管理，依托省ISV平台加强服务外包人员管理，建立ISV服务商质量评价体系量化外包服务单位质量，提高供应链的安全性和可靠性。

二、存在的常见问题

（一）基础设施安全

在我国软件开发和运维过程中，存在一些显著的问题。测试环境和生产环境混用导致软件版本混乱、应用软件质量不高，并增加了数据泄漏的风险。整体运维统筹协调难度较大，由于外包服务管理未标准化，导致服务方众多，人员质量参差不齐，管理风险较大，不同外包服务商之间的合作协调也存在问题。应急指挥协同能力不足，无法快速跨部门、跨层级有效联动各方资源，无法对安全事件实施多跨协同、多级联动、快速定位问题和快速闭环处置。这些问题严重影响了我国软件开发和运维的效率和安全性，需要采取有效措施进行改进。

（二）应用安全

在我国信息化项目建设中，存在规划建设错位、开发过程缺位和安全资金缺位等问题。这些问题导致项目目标不清、定位不明，缺乏过程管理和安全指导，存在代码漏洞和安全隐患，且后期运维难度大。为解决这些问题，应在立项阶段充分考虑各方面因素和总体框架结构，完善用户认证体系，建立可信认证机制，指导用户设置强口令，并包括基线检查、渗透测试、代码安全测评等预算。

（三）数据安全

在我国的数据安全管理和运维过程中，存在接口管控机制不足、远程运维安全性欠佳以及数据安全审计缺失等问题。为解决这些问题，应严格落实加密传输、请求限制、访问控制、输入验证、定期更新等技术举措，设置严格的管控策略，采用加密保护措施防止数据外泄，并建立数据安全审计机制，以便及时发现和解决安全问题。

（四）供应链安全

在我国信息化项目建设中，存在分包现象、交付代码质量较低、开发人员流动性较大等问题。这些问题导致实际运维人员社保和中标单位不一致，交付产品安全隐患较大，存在数据外泄风险。为解决这些问题，需要加强对分包现象的管理，提高交付代码质量，规范开发人员和运维人员使用自带笔记本接入政务网的行为，减少人员流动性，确保信息化项目建设的顺利进行和高效运营。

三、相关对策建议

（一）健全大运维组织保障体系

在《关于实行首席数据官制度推动数字化改革的实施意见》基础上，将网络安全和信息化项目管理纳入区管干部年度培训计划，安排区管干部参加网络安全和信息化项目管理培训，提高干部在网络安全和信息化项目管理方面的知识和能力，将相关工作纳入年度综合考核，明确守网护数主体责任。成立网络数据安全工作领导小组，指导镇街、平台和区直各部门成立网络数据安全工作领导小组，明确各部门在网络数据安全工作中的职责。针对工作人员，开设能力素养培训班，广泛开展“守网护数”宣传工作，提升工作人员的安全意识和业务水平。本地专业化运维团队建立，做好“传帮带”，逐步建立本地专业化运维团队，提高本地运维能力，确保网络安全和信息化项目的高效稳定运行。通过上述措施以健全大运维组织保障体系，推动网络安全和信息化项目管理工作深入开展。

（二）优化大运维制度管理体系

本文提出政务网络和公共数据安全管理的优化方案，包括修订完善相关制度，针对《余杭区政务网络与公共数据安全管理暂行办法》、《余杭区网络安全事件应急预案》等11项制度进行优化，提升制度实用性。完善工作指导手册，修订《余杭区业务部门工作指导手册》、《余杭区业务上云安全流程》，补充《余杭区安全运维工作指导手册》，提供操作性强的服务指导。强化第三方人员规范管理，严格执行人员入职离岗离职安全管理规定，重点岗位人员签署安全保密协议。严格落实外部人员访问管理，落实审批管理登记制度，对外部人员访问机房等重要区域进行严格管理。制定应急预案，建立有效的应急预案及检验管理机制，开展网络安全攻防演练，提高实战化应急响应能力。探索建立运维监理制度，对第三方技术服务实施监督管理，建立系统运维管理制度、规范、流程和表单，提升运维服务质量，以提升运维服务质量。同时，通过修订管理办法、更新工作指导手册、上门送服务、增强整体安全意识等措施，提高管理能力。此外，深入推进ISV服务商质量评价体系，协同专业安全服务机构对第三方服务质量进行评价，确保供应链安全，以提升政务系统的安全防护能力、运维质量和效率，保障政务工作的稳定运行。通过上述措施以提升网络安全和数据管理能力，为政务网络和公共数据安全提供坚实保障。

（三）夯实大运维技术保障体系

本文提出了针对政务网络和数据安全管理的解决方案，包括实施全生命周期管理，提高应用安全，确保代码安全，落实数据安全，建立安全监管体系，提高基础设施安全，清理低频僵尸应用，加强终端安全，实现100%安装防毒软件，落实零信任原则，完善API审计能力，确保数据不落地，做好开发人员安全认证，实施动态管理，定期开展运维日志安全审计，提高整体安全防护能力。

以上表格旨在对政务网络和数据安全的各个方面的措施进行梳理和整合，以提升安全防护能力，确保政务网络和数据的安全。

（四）构建大运维指标管理体系

引入规范和流程，使运维技术人员严格按照规范操作，构建完善的大运维系统。围绕资产清单、风险清单、责任清单进行“三张清单”梳理。从稳定、安全、高效三个层面定义运维指标，建立日报、周报、月报机制，将安全风险因子编进日报中。通过预防性安全巡查和运维，实现日常安全运维指标标准化、流程化、自动化、体系化和一体化，降低对运维人员依赖，解决运维过程缺项漏项等问题，缓解人员力量不足、专业人才不均，降低过度依赖服务外包人员问题。

（五）构建大运维绩效评价体系。

修订《余杭区政务网络和公共数据管理办法》，配套更新《余杭区业务部门工作指导手册》，结合“大走访大调研大服务大解题”提升服务水平，上门送服务，增强整体安全意识、补齐管理人员不足、管理能力高低不齐的短板。量化管理指标，增强整体安全意识，弥补管理人员不足和管理能力高低不齐的短板。针对供应链安全，深入推进《余杭区ISV服务商质量评价体系》，组织对政务信息系统服务外包承包机构网络安全落实情况进行第三方抽查、评价和打分，定期晾晒，供采购参考。协同网络安全联盟专业安全服务机构，采用渗透测试、攻防演练等手段，对现有业务单位已购买第三方服务质量进行再次评价，确保服务质量。

四、結语

本文探讨了政务网络和数据安全管理的重要性，并提出了一系列解决方案，如夯实大运维技术保障体系、构建大运维指标管理体系以及构建大运维绩效评价体系等。通过全生命周期管理、安全评审机制、开发测试云环境等手段，提高应用安全。完善API审计能力、建立安全监管体系以及定期开展数据灾备等，确保数据安全。落实最小化授权、7*24小时网络安全资产监测、实时掌握整体网络安全情况等，提高基础设施安全。实现100%安装防毒软件、严格上网行为管理、推进终端国产化等，提升终端安全。通过修订管理办法、更新工作指导手册、上门送服务、增强整体安全意识等，提高管理能力。深入推进ISV服务商质量评价体系、组织第三方抽查评价、协同专业安全服务机构对第三方服务质量进行评价等，确保供应链安全。未来，需持续关注网络安全问题，不断完善和优化安全防护体系，应对严峻网络安全挑战。