顏家遠(yuǎn)

（黔南州大數(shù)據(jù)發(fā)展管理局，貴州 黔南 558000）

0 引言

大數(shù)據(jù)時(shí)代，政府對(duì)網(wǎng)絡(luò)安全的關(guān)注度提到了前所未有的高度。為找準(zhǔn)突破口，搶抓網(wǎng)絡(luò)安全新機(jī)遇，本文分析網(wǎng)絡(luò)安全現(xiàn)狀，聚焦痛點(diǎn)和難點(diǎn)，提出解決思路、原則和路徑，為地方政府決策提供參考。

1 問題和挑戰(zhàn)

（1）網(wǎng)絡(luò)安全監(jiān)管合力未形成。地方政府已成立大數(shù)據(jù)安全領(lǐng)導(dǎo)小組，在網(wǎng)絡(luò)安全監(jiān)管過程中，保密、公安、大數(shù)據(jù)等多個(gè)部門均有監(jiān)管職責(zé)，一旦發(fā)生網(wǎng)絡(luò)安全事件，各部門均在開展調(diào)度，沒有形成“統(tǒng)管”合力，存在重復(fù)調(diào)度的情況，且調(diào)度力量不集中，調(diào)度效果也不好。對(duì)已遷云的非涉密自建系統(tǒng)，因各方的安全職責(zé)不清，云平臺(tái)服務(wù)商重點(diǎn)監(jiān)管平臺(tái)安全，用戶單位重點(diǎn)監(jiān)管系統(tǒng)安全，但平臺(tái)與系統(tǒng)銜接的安全監(jiān)管仍存在安全監(jiān)管盲區(qū)，尚未形成統(tǒng)一監(jiān)管合力，導(dǎo)致網(wǎng)絡(luò)安全監(jiān)管散而亂。

（2）安全風(fēng)險(xiǎn)日益嚴(yán)峻。地方政府用于網(wǎng)絡(luò)安全監(jiān)管的費(fèi)用呈逐年遞增趨勢(shì)，且暫未形成產(chǎn)業(yè)生態(tài)，安全風(fēng)險(xiǎn)仍然比較突出，面臨安全服務(wù)廠商多、安全支出分散、安全保障不足等問題，如：云平臺(tái)安全廠商有華為、奇安信等，各自建非涉密系統(tǒng)的安全則由各系統(tǒng)主管部門自行與單獨(dú)的安全服務(wù)商合作，支出費(fèi)用多而分散，一旦出現(xiàn)安全事故，需調(diào)度多個(gè)安全服務(wù)商，且服務(wù)商之間存在推諉責(zé)任的情況，應(yīng)急響應(yīng)的流程多、時(shí)間長(zhǎng)，網(wǎng)絡(luò)安全的保障水平還有短板。

（3）網(wǎng)絡(luò)安全隊(duì)伍專業(yè)水平不高。一是政企單位均具備網(wǎng)絡(luò)安全從業(yè)人員，但大多為兼職人員，對(duì)網(wǎng)絡(luò)安全知識(shí)一知半解，能夠獨(dú)立解決安全事故的專職人員少；二是網(wǎng)絡(luò)安全從業(yè)人員大多沒有接受系統(tǒng)性的培訓(xùn)，整體安全意識(shí)薄弱，安全意識(shí)不強(qiáng)。如：各單位網(wǎng)絡(luò)安全從業(yè)人員培訓(xùn)學(xué)時(shí)相對(duì)較少，暫沒有國(guó)家認(rèn)證的網(wǎng)絡(luò)安全培訓(xùn)中心和實(shí)訓(xùn)演練基地，專業(yè)技術(shù)有待增強(qiáng)，攻防演練水平有待提升。

2 解決問題的思路

（1）整體規(guī)劃與統(tǒng)建統(tǒng)管結(jié)合。以消除“各自為政、分散管理”為重點(diǎn)，強(qiáng)化頂層設(shè)計(jì)，對(duì)網(wǎng)絡(luò)安全進(jìn)行統(tǒng)籌規(guī)劃、統(tǒng)籌建設(shè)、統(tǒng)籌監(jiān)管，推動(dòng)政府網(wǎng)絡(luò)安全監(jiān)管系統(tǒng)化、科學(xué)化和現(xiàn)代化。

（2）共商共建與共治共贏結(jié)合。堅(jiān)持以合作促共贏，以共贏促監(jiān)管，部門聯(lián)動(dòng)、政企校研合作，集中力量開展網(wǎng)絡(luò)安全監(jiān)管。企業(yè)端，通過防護(hù)實(shí)踐，提升企業(yè)防護(hù)能力；政府端，通過招引企業(yè)，促進(jìn)經(jīng)濟(jì)發(fā)展和夯實(shí)地方安全監(jiān)管水平，實(shí)現(xiàn)“外防攻擊、內(nèi)建生態(tài)”的良好格局；學(xué)校端，拓展學(xué)生實(shí)訓(xùn)渠道，提高學(xué)生實(shí)踐能力，增加就業(yè)率?？蒲卸?，培育科研隊(duì)伍，夯實(shí)科研能力，創(chuàng)新打造發(fā)展新引擎，培育增長(zhǎng)新動(dòng)能。以地級(jí)市為單位，政企校研合作建設(shè)統(tǒng)一網(wǎng)絡(luò)安全監(jiān)管平臺(tái)、公共服務(wù)基地和網(wǎng)絡(luò)安全研究院，搭建“一平臺(tái)一基地一學(xué)院”網(wǎng)絡(luò)安全監(jiān)管體系。

（3）統(tǒng)分結(jié)合與分步實(shí)施結(jié)合。地市級(jí)統(tǒng)籌，部門主抓，區(qū)縣級(jí)分級(jí)負(fù)責(zé)，統(tǒng)一網(wǎng)絡(luò)安全監(jiān)管標(biāo)準(zhǔn)，非涉密政務(wù)信息系統(tǒng)、關(guān)鍵信息基礎(chǔ)設(shè)施、政府門戶網(wǎng)站等全部基于“一平臺(tái)一基地一學(xué)院”架構(gòu)開展安全監(jiān)管，按照政府系統(tǒng)先行，先外網(wǎng)、后內(nèi)網(wǎng)的路子逐步統(tǒng)籌，分步實(shí)施。

（4）自主可控與確保安全結(jié)合。樹立總體國(guó)家安全觀，嚴(yán)格落實(shí)《網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)安全責(zé)任制》和國(guó)家網(wǎng)絡(luò)和信息安全法律法規(guī)，積極推進(jìn)重要信息系統(tǒng)、關(guān)鍵信息基礎(chǔ)設(shè)施國(guó)產(chǎn)化替代，健全信息安全制度。建立安全可控的安全保障體系，“一平臺(tái)一基地一學(xué)院”產(chǎn)生的數(shù)據(jù)資產(chǎn)歸地方政府所有，實(shí)施有效的安全監(jiān)管。

3 解決問題的原則

（1）分散規(guī)劃轉(zhuǎn)為統(tǒng)一規(guī)劃。政府職能部門對(duì)本行業(yè)本領(lǐng)域的重要信息系統(tǒng)、關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全人才培訓(xùn)需求等進(jìn)行梳理并報(bào)送網(wǎng)信主管部門，網(wǎng)信主管部門匯總編制“一平臺(tái)一基地一學(xué)院”建設(shè)三年規(guī)劃及年度計(jì)劃，報(bào)政府批準(zhǔn)后實(shí)施。網(wǎng)信主管部門要圍繞平臺(tái)安全、系統(tǒng)安全、數(shù)據(jù)安全等方面擬定網(wǎng)絡(luò)安全相關(guān)技術(shù)標(biāo)準(zhǔn)和規(guī)范，加快建立健全網(wǎng)絡(luò)安全監(jiān)管體系。

（2）分散建設(shè)轉(zhuǎn)為統(tǒng)一建設(shè)?！耙黄脚_(tái)一基地一學(xué)院”涉及的軟硬件建設(shè)由地方政府平臺(tái)公司作為業(yè)主籌集資金，統(tǒng)一投資、統(tǒng)籌建設(shè)，按照安全可控的要求推動(dòng)重要信息系統(tǒng)、關(guān)鍵信息基礎(chǔ)設(shè)施、政府門戶網(wǎng)站的服務(wù)器、數(shù)據(jù)庫(kù)、芯片等逐步實(shí)現(xiàn)國(guó)產(chǎn)化替代。地方政府平臺(tái)公司按照相關(guān)規(guī)定進(jìn)行核準(zhǔn)備案。地方政府平臺(tái)公司按照政府批準(zhǔn)的“一平臺(tái)一基地一學(xué)院”三年規(guī)劃和年度計(jì)劃和相關(guān)技術(shù)標(biāo)準(zhǔn)規(guī)范，以及各職能部門的具體需求，匯總編制“一平臺(tái)一基地一學(xué)院”年度服務(wù)方案，經(jīng)各職能部門確認(rèn)后，由網(wǎng)信主管部門會(huì)同發(fā)改部門、財(cái)政部門審核確定。

（3）政府直接投資轉(zhuǎn)為統(tǒng)一購(gòu)買服務(wù)。網(wǎng)信主管部門根據(jù)審核通過的年度服務(wù)方案，編制“一平臺(tái)一基地一學(xué)院”年度服務(wù)采購(gòu)方案，按政府采購(gòu)流程分批次、分階段向地方政府平臺(tái)公司進(jìn)行采購(gòu)“一平臺(tái)一基地一學(xué)院”服務(wù)。地方政府平臺(tái)公司切實(shí)做好服務(wù)保障，接受政府職能部門的監(jiān)督考核評(píng)價(jià)。網(wǎng)信主管部門會(huì)同政府職能部門對(duì)政府平臺(tái)公司提供的政府采購(gòu)服務(wù)進(jìn)行驗(yàn)收。委托具備資質(zhì)的第三方機(jī)構(gòu)進(jìn)行“雙評(píng)估”，即：對(duì)政府職能部門的網(wǎng)絡(luò)安全監(jiān)管需求等是否合理進(jìn)行評(píng)估，對(duì)地方政府平臺(tái)公司的“服務(wù)水平和質(zhì)量是否達(dá)標(biāo)”進(jìn)行評(píng)估。網(wǎng)信主管部門會(huì)同國(guó)資主管部門對(duì)政府平臺(tái)公司“一平臺(tái)一基地一學(xué)院”服務(wù)水平和質(zhì)量納入年度考核。

（4）分散資金保障轉(zhuǎn)為統(tǒng)籌資金保障。在摸清底數(shù)、科學(xué)規(guī)劃基礎(chǔ)上，由政府財(cái)政主管部門按照“錢隨事走”的原則，按國(guó)庫(kù)管理有關(guān)規(guī)定采取集中支付方式撥付資金，保障“一平臺(tái)一基地一學(xué)院”服務(wù)采購(gòu)。網(wǎng)信主管部門按規(guī)定程序向社會(huì)購(gòu)買服務(wù)，財(cái)政資金要實(shí)現(xiàn)全生命周期的績(jī)效管理。網(wǎng)信主管部門、政府職能部門要按照績(jī)效管理有關(guān)要求，編制績(jī)效目標(biāo)，開展績(jī)效自評(píng)，運(yùn)用好績(jī)效評(píng)價(jià)結(jié)果。

4 構(gòu)建“一平臺(tái)一基地一學(xué)院”網(wǎng)絡(luò)安全監(jiān)管體系

招引國(guó)內(nèi)知名安全企業(yè)落地本地，組建本地政府平臺(tái)公司，構(gòu)建“一平臺(tái)一基地一學(xué)院”網(wǎng)絡(luò)安全監(jiān)管體系，政府按需購(gòu)買服務(wù)。“一平臺(tái)”是指網(wǎng)絡(luò)安全監(jiān)管平臺(tái)，提供監(jiān)測(cè)預(yù)警、協(xié)同處置和應(yīng)急響應(yīng)，聚合地方資源，形成監(jiān)管合力?！耙换亍笔侵妇W(wǎng)絡(luò)安全公共服務(wù)基地，提供運(yùn)維管理、評(píng)估審計(jì)和安全咨詢，防范網(wǎng)絡(luò)安全風(fēng)險(xiǎn)?！耙粚W(xué)院”是網(wǎng)絡(luò)安全研究院，通過與本地院校合作，開展網(wǎng)絡(luò)安全知識(shí)和技能培訓(xùn)，為地方政企單位培養(yǎng)網(wǎng)絡(luò)安全人才，提升地方整體安全素質(zhì)。

為充分發(fā)揮“一平臺(tái)一基地一學(xué)院”網(wǎng)絡(luò)安全監(jiān)管體系的效用，應(yīng)健全完善“制防、人防、技防”機(jī)制。在制度防護(hù)方面，要強(qiáng)化網(wǎng)絡(luò)安全組織保障，健全完善網(wǎng)絡(luò)安全監(jiān)管制度，如：成立網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組，制定預(yù)案、問責(zé)制度等。在人防方面，建立通用人才框架，促進(jìn)人才管理標(biāo)準(zhǔn)化建設(shè)[1]；明確要求本地區(qū)重要信息系統(tǒng)、關(guān)鍵信息基礎(chǔ)設(shè)施、門戶網(wǎng)站要100%完成等保測(cè)評(píng)和備案工作，按照“先政府、后企業(yè)”的順序穩(wěn)步推進(jìn)；新建項(xiàng)目要基于“一平臺(tái)一基地一學(xué)院”網(wǎng)絡(luò)安全監(jiān)管體系進(jìn)行安全的規(guī)劃建設(shè)實(shí)施，已建項(xiàng)目安全運(yùn)維到期后要統(tǒng)一由本地政府平臺(tái)公司進(jìn)行安全運(yùn)維管理。在技防方面，加強(qiáng)網(wǎng)絡(luò)安全技術(shù)手段建設(shè)[2]。

優(yōu)化網(wǎng)絡(luò)安全策略，強(qiáng)化安全態(tài)勢(shì)感知，加強(qiáng)流量控制、數(shù)據(jù)審計(jì)、漏洞監(jiān)測(cè)預(yù)警和漏洞修復(fù)等工作。政務(wù)信息系統(tǒng)的安全措施至少包含下一代防火墻（NGFW）、Web應(yīng)用防火墻（WAF）、堡壘機(jī)（OAS）、數(shù)據(jù)庫(kù)審計(jì)（DBS）、日志審計(jì)（LAS）、探針監(jiān)測(cè)等服務(wù)中的3種，確保系統(tǒng)安全達(dá)到等保二級(jí)及以上。通過成熟的安全防護(hù)技術(shù)，從技術(shù)層面保障地方政府安全監(jiān)管水平。

5 結(jié)束語(yǔ)

本文從監(jiān)管情況、安全風(fēng)險(xiǎn)、人才隊(duì)伍三個(gè)方面分析了政府網(wǎng)絡(luò)安全監(jiān)管存在的問題和挑戰(zhàn)，提出“一平臺(tái)一基地一學(xué)院”網(wǎng)絡(luò)安全監(jiān)管體系，為地方政府有效監(jiān)管網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、強(qiáng)化網(wǎng)絡(luò)安全事件預(yù)警監(jiān)測(cè)和應(yīng)急處置、夯實(shí)網(wǎng)絡(luò)安全防線等具有指導(dǎo)意義。