政務安全托管服務（GMSS）實踐指南（2024）編寫單位：深信服科技股份有限公司指導單位：國家信息中心等2024年10月習近平總書記指出：安全是發(fā)展的前提，發(fā)展是安全的保障，安全和發(fā)展要同步推進。當下，國內正在進行深入的全面的數字化轉型，政務網絡安全對我國的數字化建設和經濟發(fā)展具有重要保障作用。近年來，我國多部網絡安全法律法規(guī)均提出加全保障體系，建立健全動態(tài)監(jiān)控、主動防御、協同響應的數字政府安全技術保障體系。充分運用主動監(jiān)測、智能感知、威脅預測等安全技術，強化日常監(jiān)測、通報預警、應急處置，拓展網絡安為進一步做好新時代數字政府網絡安全保障工作，國家信息中心和深信服共同設計和開發(fā)了面向政務網絡、政府用戶的安全托管服務。政務安全托管服務聚焦數字政務網絡安全工作場景及需求，主要服務場景、價值與優(yōu)勢、合規(guī)建設情況、服務運營詳情、應用案例等不同方面對政務安全托本指南版權屬于深信服科技股份有限公司，并受法律保護。轉載、摘編或以其他方式使用指南文字或觀點的，均應注明“來源：政務安全托管服務（GMSS）實踐指南”。違反以上聲明者，深信服科技股份有限公司將保留追究其相關法律責任的權利。本指南編寫過程中得到以下單位的專業(yè)錄政務安全托管服務概述政務安全托管服務概述服務特點服務架構服務場景服務內容服務優(yōu)勢資產識別梳理首次安全評估安全問題處置脆弱性管理安全威脅管理事件管理閉環(huán)安全情報通告安全總結復盤政務安全托管服務內容要素20服務技術服務團隊服務流程政務安全托管服務實踐效果29兩周年實踐總結29AI大模型賦能36服務合規(guī)能力41政務安全托管服務實踐案例42內蒙古自治區(qū)大數據中心?一體化安全運營場景42江蘇省大數據管理中心?持續(xù)有效監(jiān)管合規(guī)場景43江西省信息中心?日常網絡安全托管運營保障場景45珠海市政務服務和數據管理局?安全效果提升場景47煙臺市大數據中心?政務云、網一體化運營場景49東莞市政務服務和數據管理局?一體化托管場景51臺州市大數據發(fā)展中心?安全托管擴展能力場景53某省級大數據中心?7*24小時安全托管保障場景54某地市自然資源局?勒索病毒預防與響應場景56某市市場監(jiān)督管理局?重要時期安全保障場景60來越多，但是缺乏足夠的安全人員和技術來應對這些威脅。Gartner認為，將安全管理外包給專業(yè)的安全服務提供商，可以幫助組織降低安全風險，提高安全性能，并節(jié)省安全管理成本?，F如今，伴隨著云計算技術的高速發(fā)展及應用，越來越多的組織將其業(yè)務遷移到云端，各綜合型網絡安全廠商通過其全球化的安全運營中心，為諸多用戶提供7*24小時不停歇近年來，國家信息中心（國家電子政務外網管理中心）先后印發(fā)了《關于加快推進全國政務外網安全監(jiān)測平臺建設工作的推動全國政務外網建設和運行維護單位提升和完善網絡安全監(jiān)測預警和應急處置能力，逐步實現跨地區(qū)、跨層級的安全監(jiān)測數據共享和業(yè)務協同，形成全國政務網絡安全態(tài)勢感知一張網。政務安全托管服務(以下簡稱“政務MSS”或求和特點，通過提供集約化服務方式有效解決了數字政府行業(yè)缺少專業(yè)安全技術人員、資金資源投入不足導致無法開展常態(tài)化安全保障的困難，為用戶提供持續(xù)、有效、省心、便捷的安全托管服務。 政務安全托管服務的服務對象是所有的數字政府單位用戶。各級政府單位經過了多年的安全建設，安全能力與效果已經取救火隊式處置安全事件，缺乏有效安全運營流程機制；缺少高階人才，難以應對復雜事件處置，難以0101重要活動期間、攻防演練期間的安全投入更大，時效性要求更高，應戰(zhàn)能力平時、戰(zhàn)時不對等無法得到充分保障，導致戰(zhàn)時效果檢驗不達預期；而戰(zhàn)時能力未能有效轉化賦能到日常運營中，效果除了提供典型政務安全托管服務的內容之外，政務安全托管服務在國家信息中心的相關團隊和經驗沉淀的賦能下，還針對依據國家信息中心來源更廣、實時性更高、內容覆蓋更全面的威脅情報機制，為廣大政府單位提供更具行業(yè)化的威脅情報，提前預防針對政府行業(yè)的攻擊和脆弱性分析，并通過安全托管服務的云化運營機制，在地方實踐、威脅情報、行業(yè)安全態(tài)勢、典型安全事件、安全建設經驗等重要信息，借助云化托管服務，將經驗，直接與客戶溝通，提供咨詢建議，強化GMS國家信息中心憑借資源整合和組織優(yōu)勢，定期組織全國政府單位各省市級負責政務網絡的主管領導、安全提升技術對抗能力，構建更強的數字政府網絡安全保障體系。如國家信息中心信息與網絡安全部主辦、深信服提供授課支持的國家電子政務外網信息與網絡安全系列培訓，與用戶共同交流安全治理實踐經驗和前沿探索，探討網絡安全面臨的問題與應對方案，對強化數字政務安全管理責任，提升網絡安全保障能力起》》》02020303GMSS服務以網絡安全“持續(xù)有效”為目標，圍繞資產、漏洞、威脅、事人機共智勤于對抗 服務交付體系服務交付體系aES運營準備持運營準備持服務服務質量保障機制問題跟蹤管理GMSS安全能力中臺為服務周期內各類安全風險檢測GMSS服務團隊包含了安全運營中心服務團隊及本地服務團隊，其中安全運營中心團隊分為應急響應中心、攻防實驗室、0404針對重點托管的業(yè)務資產，GMSS服務可以幫助用戶從紛繁復雜的安全瑣事中解放出行承接，比如新系統上線的評估，日常的安全策略有效性評估和調優(yōu)，漏洞、暴露面的定期梳理和跟蹤解決，安全事件的持續(xù)監(jiān)測與響應，協助應對上級單位的通告，針對通報內容進行自查、整改，定期向領導匯報安全工作成果，以及夜間/威脅0505平臺上，首創(chuàng)了勒索風險預防庫，將歷史上所有可能被用于勒索攻擊的風險進行了梳理和匯總，最終形成了勒索風險專項快速進行閉環(huán)處置，實現事中事后的保障。同時，這套方案還可以和托管云災備方案進行聯動，實現對勒索加密數據的快·勒索殘留項檢測·全面IT資產梳理·勒索殘留項檢測·全面IT資產梳理·勒索攻擊實時對抗·勒索攻擊實時對抗·基于ATT&CK的病毒行為·勒索情報動態(tài)預防·云端專家實時推動告警·勒索風險消除·設備策略調優(yōu)·人機共智不間斷動態(tài)清零·勒索攻擊專項保險兜底時保障，每日匯報以及值守后的總結匯報。此場景支持靈活擴展，根據用戶的需求進行不同服務項目的搭配，比如增配紅0606 能夠快速有效、經濟便捷地幫助各級數字政府單位快速建立健全安全監(jiān)測預警防護體系，對抗各類網絡信息安全威脅，服一是保障政務工作人員將更多精力投入到數字通過召之即來的服務效率、來之即戰(zhàn)的堅實能力，讓安全工作更簡潔、更有效；同時基于安全托管服務的模式，與政府單位協同作戰(zhàn)，提供更專業(yè)的技術支撐與指導，分擔工作內容，讓政府單位人員更好地聚焦于高價值的安全建設規(guī)劃、數據主動主動閉環(huán)處置閉環(huán)率100%放心的效果安安心的效率有效預防研判準確率99.99%00:61-00:4100:61-00:410靠依止防力能人個16:0-18:000靠依止防力能人個00:80-00:6000:02-00:8100:80-00:6000:02-00:81ALS諾承果效保確04:00-06:00ALS諾承果效保確00:40-00:2000:40-00:20120實專家0團8戰(zhàn):隊00-2降10低:4成0標0:本00準-02持:0續(xù)0對靠抗可用使熟成程流12:00-1白4班20:夜:000-220:無00損對接207X24小時120實專家0團8戰(zhàn):隊00-2降10低:4成0標0:本00準-02持:0續(xù)0對靠抗可用使熟成程流12:00-1白4班20:夜:000-220:無00損對接20012:0-012:0-4:00707策略檢查、脆弱性評估、暴露面梳理、失陷類事件評漏洞掃描與驗證、漏洞修復優(yōu)先級排序、可落地的修復方案、高可利用漏洞防護、7*24H威脅鑒定與通告、威脅分析與處置、威脅情報管理、高級威脅狩獵、安全安全運營周報、安全運營月報、安全運營季度匯報、安全運營半年度匯報 模式為政務外網提供專業(yè)的安全托管服務，確保安全托管服務的用戶可隨時隨地享受到安全專家團隊的服務，并設置有監(jiān)0808》》》》》》服務過程中服務經理會與客戶實時溝通和反饋，項目經理會定期上門匯報，服務結果直觀展示在用戶0909傳統安全服務通常存在服務過程不可視的問題，作為服務購買方來說，無法實時掌握第三方服務過程，導致服務效果無法把控。為了解決以上問題，GMSS服務使用服務監(jiān)控大屏使得整個服務過程可視化各個階段以評估服務效果。同時，GMSS服務自主研發(fā)了專家服務監(jiān)督和質量保證1010 ·資產識別梳理資產是風險管理中的基礎部分，只有管理好資產才能更有針對性地控制安全風險。資產管理服務提供資產識別、錄入以及1111 服務專家分析判斷主機是否感染服務專家分析判斷主機是否感染礦狀態(tài)；根據已發(fā)生的漏洞攻擊行為分析判斷是否存在以植入挖服務專家確認文件是否被感染，服務專家分析判斷主機是否感染勒索病毒文件；根據已發(fā)生的漏洞攻擊行為分析判斷是否存在勒信息泄露攻擊行為、口令暴力破解攻擊行為、僵尸網絡攻擊行為、系統命令注入攻擊行為及僵尸網絡攻擊行為等常見的攻1212服務專家對失陷主機進行分析研判（如后門腳本類事服務專家分析內網主機的非法外聯威脅行為，判斷是否存在潛伏威脅，如對外攻擊、C&C通道、隱藏外聯通道等外聯威脅行為，并給出解決建議。 針對勒索、挖礦類事件，服務專家主導處置工作，并進行最大程度溯源；定位惡意文件路徑并提供查殺指導；并分析有無針對隱藏通信通道、可疑外發(fā)行為，服務專家提供實際佐證材料，進行最大范圍溯源，并給出修復建議；配合定位異常進1313 利用脆弱性掃描工具掃描網絡中的核心服務器、重要的網絡設備以及Web業(yè)務系統，包括服務器、交換機、防火墻等，以對網絡設備進行脆弱性問題檢測和分析，對識別出的能被入侵者用來非法進入網絡或者非法獲取信息資產的脆弱性，并■■修復方案1414 基于“人機共智”模式，綜合運用資深行業(yè)專家經驗和豐富的威脅情報知識庫，對不同安全組件設備的安全日志、流量進行聚合、關聯分析，并通過資深專家池對安全威脅的專業(yè)分析及定位，幫助客戶精準檢測網絡和主機中的有效安全告警/威脅。同時，GMSS服務專家團隊會對識別到的威脅進行主動響應，采取措施降1515 ·事件管理閉環(huán)對識別到的安全事件進行專業(yè)定位、及時響應、全面調查和最終閉環(huán)，同時建立安全事件的全生命周期管理，形成安全事QQ服務人員主動識別病毒基于GMSS平臺和工具，還原攻擊路徑，分析入侵事件原因以及網絡、主機中的風險點，提供安全事件1616閉環(huán)是事件管理中關鍵的能力要求。其中，統一的閉環(huán)執(zhí)行標準可規(guī)范服務人員的閉環(huán)操作執(zhí)行，通過平臺管控，可將所1717GMSS服務針對網絡攻擊類、病毒類、脆弱性等不同類型的安全事件攻擊失敗攻擊成功非感染型病毒感染型病毒攻擊失敗攻擊成功非感染型病毒感染型病毒 1818 最新漏洞處置指導一旦確認影響范圍后，安全專最新漏洞處置指導一旦確認影響范圍后，安全專家提供專業(yè)的處置建議，處置建議可包含補丁方案以及臨時規(guī)避措施兩部分，按需及時協指紋信息實時抓取互聯網最新威脅情報與詳細資產信息進 定期更新和輸出用戶的項目服務情況和階段性服務成果總結，以圖表的直觀形式和豐富詳實的數據梳理總結安全態(tài)勢變化情況、服務成果、安全效果及剩余風險內容，同時對安全托管服務情況進行復盤，針對組織遺留安全問題、下一步安全能1919GMSS安全能力中臺為服務周期內各類安全風險檢測管理中心管理中心檢測中心檢測中心數據湖數據湖析引擎析引擎數據存儲數據治理2020【管理中心】不僅實現對能力中心可靠性、資源、權限的監(jiān)控管理，還提供規(guī)則管理、數據檢索等能力，實現安全專家對工單、報告等系統，規(guī)范和提升整體安全托管服務質量及體驗。安全能力與效果的兩大量化指標是業(yè)界熟悉的安全事件平2121SOAR技術框架包含了優(yōu)先順序、檢測、分類分診與響應等要素。優(yōu)先順序可讓消息根據商業(yè)情報、事件的風險大小、危害程度來決定事務的處理順序；檢測是指對接收到的事務進行決策；分類分診有助于更快、更準地發(fā)現和驗證不良內容，以便遏制和補救；響應是SOAR技術的最后一步，指執(zhí)行必要的操作來控制潛在風險。GMSS將安全專家和技術通過初始化執(zhí)行持久化初始化執(zhí)行持久化 Rundll32賬號復制 Wi?攻擊Wi?攻擊2222GMSS服務專家團隊基于大量的攻防研究成果和客戶服務經驗，對攻擊者的攻擊行為、特征以及防御措施都有深刻理解。23232424GMSS基于國家信息中心的威脅情報源和廠商打造的威脅情報平臺，采用同時，為了提升用戶對情報內容與自身資產的關聯性的感知，從風險預警、事件響應的角度為客戶提供精準匹配后的情報情報類型主要包括業(yè)內熱點漏洞、熱點事件精準推送、事件情報挖掘、暗網監(jiān)控等。由于威脅情報平臺每天都會接收分布在全國的海量多元化數據，為了使威脅情報平臺能高效地處理這些數據，針對最終通過流量指紋、脆弱性主動掃描、終端調查等方式精準定位用戶可能受影響的資產、檢測預警未知的攻擊威脅，并及基于前向追蹤分析，在定位入口點后，快速發(fā)現此次攻擊的所有路徑，確認受影響資產，評估此次攻擊對用戶環(huán)境造成的損失，包括遭受攻擊的終端以及對終端的損害，如新建特權賬號、對操作系統配置的修GMSS平臺與安全組件設備聯動，提供響應原子操作，如封鎖IP、自定義防御規(guī)則、殺死進程、隔離文件、禁用用戶、終端隔離、注冊表恢復等等，依據根因分析、攻擊面影響分析的結果進行精準處置，避免對業(yè)務造成大幅影響。對于常見的病毒類型、黑客攻擊手法基于前向追蹤分析，在定位入口點后，快速發(fā)現此次攻擊的所有路徑，確認受影響資產，評估此次攻擊對用戶環(huán)境造成的損失，包括遭受攻擊的終端以及對終端的損害，如新建特權賬號、對操作系統配置的修GMSS平臺與安全組件設備聯動，提供響應原子操作，如封鎖IP、自定義防御規(guī)則、殺死進程、隔離文件、禁用用戶、終端隔離、注冊表恢復等等，依據根因分析、攻擊面影響分析的結果進行精準處置，避免對業(yè)務造成大幅影響。對于常見的病毒類型、黑客攻擊手法等內置一鍵處置腳本，實現快基于后向追蹤分析，在發(fā)現攻擊的蛛絲馬跡時，立即對歷史數據進行回溯，發(fā)現攻擊的可能入口點，幫助分析人員定位攻擊根因，提供加固建議，避2525 服務交付團隊包括項目線上交付團隊、業(yè)務保障專家團隊、質量監(jiān)督團隊，通過成熟、規(guī)范的交付服務流程，為用戶提供7*24小時的安全托管服務。項目線上交付團隊由云端分析師、安全工程師共同為用戶提供日常在線服務工作；項目本地交付團隊分布在全國各地，為用戶提供按需的本地化服務。業(yè)務保障專家團隊由安全攻防、滲透測試、威脅情報等業(yè)務方向的高級專家組組成。質量監(jiān)督團隊對用戶服務的整體過程、質量與滿意度負責，通過調查分析和數字化運營，提升服務負責對升級的威脅工單進行研判和主動挖掘服務內資產的隱藏威脅風險，并將其沉淀為平臺技術國家信息中心高級安全專家作為T3負責對升級的威脅工單進行研判和主動挖掘服務內資產的隱藏威脅風險，并將其沉淀為平臺技術國家信息中心高級安全專家作為T3團隊的補充，憑借對政務網絡戶溝通，提供咨詢建議，強化安全托管服務的威脅檢測與響應主要負責項目的日常運營服務工負責協助服務經理解決疑難業(yè)務負責協助應急響應工程師處理威化迭代業(yè)務流程和規(guī)劃設計新業(yè)負責對服務資產進行授權模擬攻負責管理威脅情報，跟蹤情報經驗進行人員賦能和沉淀為平臺應急響應中心用于當服務用戶突發(fā)安全事件時，提供包括事件檢測與分析、風險抑制、問題處置、協助業(yè)務恢復的服務。培訓中心依托高端專家團隊，將安全實踐經驗、研究成果以及積累的其他專業(yè)能力，通過人才培養(yǎng)賦能給全國的合作伙伴2626 在項目啟動階段，通過召開內外部項目啟動會，明確服務預期，對溝通機制和交付內容達成一致，并針對政務安全托管服從脆弱性評估、病毒類事件評估、攻擊行為評估、失陷類事件評估等方面對用戶的現有安從脆弱性評估、病毒類事件評估、攻擊行為評估、失陷類事件評估等方面對用戶的現有安對安全分析發(fā)現的安全問題進借助安全工具對用戶資產進行全面發(fā)現和深度識別，并結合人工梳理成真實、可用的資產持續(xù)運營階段，是指電子政務安全運營中心圍繞資產、脆弱性、威脅、事件四個核心風險要素幫助用戶開展7*24小時持服務資產信息錄入系統后，通過定期主動掃描+被動識別的手段識別2727通過脆弱性掃描工具識別系統安全漏洞及弱口令等，并對脆弱性問題進行專業(yè)驗證，同時結合多種信息對識別的脆弱性問題進行優(yōu)先級排序，最后提出切實可行的修復指導。除此之外，在脆弱性管理工作中借助脆弱性跟蹤管理平臺，可以有效地追蹤資產脆弱性生命周期，清楚地掌握資產的脆弱性狀況，實現全生命根據以往經驗設定的安全用例（UseCase結合大數據分析技術實時監(jiān)測網絡安全狀態(tài)，對監(jiān)測到的安全問題自動化生成工單，通知安全專家介入進行及時進行分析與定位、通告，同時依據由安全專家經驗固化對識別到的安全事件進行專業(yè)定位，及時響應并建立安全事件的全生命周期閉環(huán)管理機制，形成安全事件提供可視化、圖表化的直觀服務成果報告，方便用戶查看服務進展和全面了解安全態(tài)勢及其持續(xù)向好的變化趨勢，并提供》》》2828 管理單位和包括服務自然資源、生態(tài)環(huán)境、人力資源和社會保障、交通、水利、海關、氣象、應急管理、市場監(jiān)督管理、2929信息采集和管理系統、綜合網格化管理平臺、城市綜合管理服務平臺、空氣質量自動通過將安全數據控制在政務網絡內流轉的方式解決用戶的安全性擔憂，GMSS促進更多用戶將更多的核心資產進行托管，政務云、終端辦公設備等，結合不同類型的政府單位的業(yè)務特征、網絡安全建設現狀及需求，各級政府單位安全托管的資12/3/4/5/6//7//8/9///////////3030為了深入了解政府行業(yè)網絡安全建設與運營現狀，為數字政府各單位提升安全運營能力提供參考依據，政務MSS安全運營中心定期隨機調研所服務的客戶及其安全運營情況，并整理平臺上的安全態(tài)勢數據，從外部攻擊威脅、應急事件、威脅情報等維度，對政府行業(yè)安全態(tài)勢進行分析和總結，也通過數據、案例等多種方式對政府行業(yè)網絡安全現狀展開分析。以3131從攻擊目標所在的省份維度進行分析，可以發(fā)現遭受攻擊最多的省份分別是廣東省、遼寧省和湖北省，其中占比最多的廣間件漏洞、數據庫漏洞、系統服務漏洞、開源和商業(yè)在某種具體類型漏洞后，便會圍繞該類型漏洞深入攻擊，調用更多可利用漏洞插件進行全面漏洞利用測試。兩種攻擊方式03232·'八00從攻擊來源IP及地區(qū)分布來看，政府單位面對來自境外的攻擊占大多數，這也從側面證明了數字政府面臨的攻擊形勢非遭受外部攻擊最多的3個業(yè)務系統為政府網站集群、網定期開展互聯網暴露面梳理，結合業(yè)務滲透測試、漏洞掃描、基線核查等技術手段，做到安全風險早發(fā)現早處理，3333由于業(yè)務漏洞利用成功或者歷史后門導致的安全事件占比66.66%。通過對事件案例的分析，部分單位為方便自身業(yè)務系行攻擊利用，從而引發(fā)安全事件。建議定期將單位的內外網服務器的中間件、數進一步預防安全風險。同時，較多單位存在弱口令情況，大大降低攻擊者的難度和門檻，這主要歸因于內部員工的安全意政務MSS基于結合威脅情報平臺的大數據能力，對分布在全國各地的海量多元化數據進行分析，選取其中的關鍵維度高效進行處理，得到有效的威脅情報信息。同時結合國家信息中心的情報賦能，本月共發(fā)布政府行業(yè)相關安全通告18份，3434政務安全托管服務在保障每個用戶的安全效果的同時，也對數字政府整體行業(yè)的安全態(tài)勢進行監(jiān)測與統計，以為用戶提供3535 數字政府單位在日常安全防護以及實戰(zhàn)攻防中，面對的攻擊手段升級加快，如弱特征的高級威脅愈發(fā)主流、0day及高對應充分利用生成式人工智能大模型技術，構建針對高對抗、高隱蔽攻擊的檢測防御能力，進一步通過自然語言交互協助安擊者在系統中執(zhí)行任意命令，從而獲得系統控制權限，并竊取敏感信息。如下圖所示，攻擊者成功利用了該漏洞，在服務器上執(zhí)行任意命令和惡意操作。由于攻擊流量中沒有明顯特征，流量側檢測方法取得的結果均為正常的運維行為，無法有洞的攻擊代碼不同，其原理、攻擊行為、攻擊目的具備共同特征，GPT3636安全GPT運營大模型基于場景化運營工作實踐經驗，將資產梳理、加固預防、監(jiān)測研判、調查處置、聯動處置、情報查詢及溯源總結等方面的工作流程，轉換為大模型的思維鏈提示工程，自動協同相應的組件、工具、人員和流程。目前，安助服務人員開展效率更高、效果更優(yōu)的安全服務工作。安全GPT有助于大幅減少服務人員和用戶的手動重復工作，更聚焦于更高價值的安全工作中；大幅提升實際安全運營工作的效果，如平均檢測與響應時間大幅下降，最高可實現GPTGPT：服務專家的數字化助理減少92%的手動重復運營工作，讓人員更聚焦用戶的高價值服務工作提升平臺的檢測準確性以及取證全面性，降低服務人員工作量通過更多場景的自動化能力，進一步提升檢測與響應的效率入庫時間、活躍行業(yè)、標簽等維度進行分析。威脅情報解讀支持對IPS、黑客工具37373838和漏洞修復整改專項工作，需要快速輸出近七天發(fā)現的高危漏洞，并且需快速對單位近七天需要處置的高危漏洞和業(yè)務系統弱口令情況進行定位和自動化梳理，同時針對需要修復的漏洞的修復方告警進行定性分析，根據智能推理和豐富知識，事件定性結果準確率有明顯提升。當確認為真實事件后，需要進一步完成39394040 四四為適應新的網絡空間發(fā)展態(tài)勢，規(guī)范新技術服務能力，中國信息安全測評中用戶的安全運營工作提供托管，因此服務商需要具備此項安全運營服務資質。據中國信為規(guī)范云化安全運營中心解決方案的能力，幫助用戶更好的選擇和使用安全安全托管服務平臺是為數字政府單位租戶提供服務的重要云端平臺，應當做好嚴格的安全防護，按照全擴展要求完成等級保護建設和測評工作，至少通過等級保護三級測評。深信服政務安全4141 ·內蒙古自治區(qū)大數據中心?一體化安全運營場景《內蒙古自治區(qū)十四五網絡安全規(guī)劃》要求建設自治區(qū)電子政務外網安全監(jiān)測平臺，建立統一高效的安全風險報告機制和情報共享機制，建立跨地區(qū)跨層級的安全監(jiān)測協同聯動機制，形成覆蓋全網、整體聯動、協調規(guī)范的政務外網監(jiān)測運行服漏洞驗證等全方位能力，通過云地協同工作機制有自動化聯動；云端積累的豐富安全事件知識庫，以及涵蓋基線加固、漏洞閉環(huán)、病毒處置等大量可落地處置經驗，可賦能本地處置加固能力；云上專家溯源取證、疑難問題處置、專殺工具等尖端能力，以及線下人員對本地網絡環(huán)境、業(yè)務特點的深入理解，均有助于確保安全運營過程中的協同響應效率漏洞驗證等全方位能力，通過云地協同工作機制有自動化聯動；云端積累的豐富安全事件知識庫，以及涵蓋基線加固、漏洞閉環(huán)、病毒處置等大量可落地處置經驗，可賦能本地處置加固能力；云上專家溯源取證、疑難問題處置、專殺工具等尖端能力，以及線下人員對本地網絡環(huán)境、業(yè)務特點的深入理解，均有助于確保安全運營過程中的協同響應效率政府單位面臨的攻擊越來越多的發(fā)生在安全防護水織天然與我國存在時差，經常性在夜間或節(jié)假日展開非法攻擊活動。為應對這種攻防不對等的情況，家值守能力，確保任何時刻均有安全專家值守，有效對抗非工作時間的攻擊行為。7*24小時持續(xù)監(jiān)測可以貫穿安全事件的全生命周期，針對海量的安全告警進行消減，實現對已知威脅、未知威脅的快速、準確的檢測，在威脅未發(fā)生之前實現最大化精準預警，時刻洞悉安全事件的蛛絲馬跡，并進一步4242 ·江蘇省大數據管理中心?持續(xù)有效監(jiān)管合規(guī)場景江蘇省大數據管理中心圍繞省電子政務外網安全管理工作，初步建成網絡安全運營體系，常態(tài)化開展省電子政務外網實時安全監(jiān)測預警、工單處置等工作，提高了網絡安全事件處置效率及質量，實現了政務外網網絡安全管理工作的流程化、制度化、常態(tài)化。為進一步強化省電子政務外網7*24小時威脅發(fā)現、分析和處置能力，省大數據管理中心擬采購具備常態(tài)通過全流量監(jiān)測分析，為省大數據管理中心自建系統及各委辦局托管系統提供7*24小時不間斷的安全服務，在嚴格遵守數據不出電子政務外網的規(guī)范基礎上，對目標范圍內的信息系統服務資產，持續(xù)開展資產安全、脆弱性、威脅、安全事件管理服務，對主要資產的風險進行定性或定量的脆弱性風險分析，描述不同資產的風險高低狀況，對識別出來的安全風險4343針對基礎信息、資產發(fā)現、資產管理、互聯網暴露面檢測與攻擊面管理、漏洞掃描與管理、資產威脅檢測營服務，通過政務外網網內云端值守和線下各角色人員進行場景化分工協作，云地協同的安全模式，提升檢測與響應系統、APT流量檢測設備等建立全面有效的安全運營實現全網安全流量、終端安全信息與安全日志的匯聚、治理、檢測、分析與處置，并具備數據的傳輸、共配備1名專業(yè)服務經理，負責安全托管的整體協調、統籌工作，把控服務質量，保障日常持續(xù)威脅監(jiān)測與響應服務工作順利開展。每日與本地安服團隊人員進行信息同步，每周定期向用戶匯報服務成效。專業(yè)服務經理背后具備1個遠程專家團隊，如安全分析師、應急響應專家等，負責做好威脅檢測與分析、事件應在重大活動、重要節(jié)日、攻防演練等重要保障時期，基于GMSS構建和攻防態(tài)勢進行匯總分析及匯報。結合“平時”與“戰(zhàn)時”不同時期的安全運營保障措施，沉淀優(yōu)化安全省大數據管理中心的業(yè)務資產較多，需要監(jiān)測超過一千個業(yè)務系統，線下駐場人員也是分工明確，也面面俱到地做到安全設備的告警分析。政務安全托管服務通過人機共智的方式對海量安全告警進行分析、》》》4444省大數據管理中心資產集中、涉及到核心業(yè)務和數據，是黑客的重點攻擊目標，晚上和周末時段均是的活躍高峰期，此前曾在夜間凌晨遭遇過兩次未成功的勒索攻擊，本地安全人員對此非常焦慮。而第一時間通過電話直接聯系客戶進行風險遏制，避免對業(yè)務的負面影響，并且云端配備高級別的安及時下發(fā)安全問題、跟進整改，積極配合、應對監(jiān)管其他政府單位曾因沒有及時進行處置閉環(huán)而被上級監(jiān)管單位通報過安全事件。省大數據管理中心化被主動，積極配合好監(jiān)管單位的安全通報工作，通過政務安全托管服務持續(xù)進行常態(tài)化的風險預防和監(jiān)測響應，實現了漏洞問題和安全事件的及時分析和處置，將安全水平維持在較高水平。完成的工作體現在多個維度：包括惡意域名封禁、安全防護策略優(yōu)化在內的安全設備策略管理工作；脆弱性管理工作，如弱密碼梳理、漏洞掃描、威脅狩獵，結合線下的滲透測試發(fā)現脆弱性，并做到及時下發(fā)整改威脅管理工作，應的響應處置方案，協助運維人員進行升級加固；事件管理工作，針對已經失陷的主機進行及時有效的處 ·江西省信息中心?日常網絡安全托管運營保障場景“大數據”為代表的新型基礎設施省級平臺集中建設并投入使用。新技術的應用，新型基礎設施的集中建設，海量數據的集中存儲，網絡安全牽一發(fā)而動全身，對網絡安全保障工作提到前所未有的高度。的安全運營技術平臺，引入政務安全托管服務新模式，培育本地化安全運營隊伍，全面構建江西“數字政府”日常安全運4545打造一體化安全運營保障能力，構建江西電子政務網“四橫兩縱”整體網絡安全運營保障框架，通過政務安全托管服務持....................................建設安全運營中心工作獨立辦公場地，以避免工作過程中安全保密信息違規(guī)擴散，提升網絡安全工作人員協同效率，同時在政務外網云數據中心建設部署網絡安全運營平臺，對接政務外網現有安全態(tài)勢感知系統與接收各政務網接入部門與單位安全日志，實現電子政務網網絡安全威脅實時監(jiān)測與安全態(tài)勢全面感知。對平臺所產出成果以及配套的專家隊伍以服務形規(guī)劃設計風險評估流程、監(jiān)測預警流程、安全通報流程、應急響應流程、溯源取證流程、運維管理流程六大流程，用于規(guī)整合網絡安全運營中心人員、技術、流程，三者之間共同發(fā)揮作用，以一種面向用戶、保障效果的安全托管服務的方式來輸出各種安全能力。通過規(guī)劃統一服務目錄，設計服務策略，規(guī)范服務流程，向各省直電子政務網接入各部門、單位輸出4646圍繞安全運營平臺，組建安全運營中心技術隊伍，隊伍技術能力初期滿足政務外網日常網絡安全事件監(jiān)測預警、事件分析通過全流量監(jiān)測與大數據分析手及時發(fā)現電子政務網安全隱患，測與威脅感知能力，減少重大網絡安全事件發(fā)生概率，減少或避免重大網絡安全事件所造成的經以安全運營中心和政務安全托管服務為抓手，向政務接入各部門及時精準預警網絡安全威脅、通報網絡安全事件。同時依托運營平臺態(tài)勢預測與智能分析能力，為省信息中心制定年度網絡安全工作規(guī)劃提供決策依據，使網絡通過網絡安全運營平臺與托管運營能力的集約化建設，整合安全運營資源，提升政務網安全運營建設水平與團隊技術能力，以安全托管服務的形式向政務網接入部門統一配置安全資源，優(yōu)化資 ·珠海市政務服務和數據管理局?安全效果提升場景為滿足合規(guī)要求以及數字政府常態(tài)化安全保障工作要求，珠海市政務服務和數據管理局（以下簡稱“珠海政數局”）不斷在日常網絡安全管理工作中缺乏較強的專業(yè)人員力量和技術保障力量；網絡中現有安全設備的日志梳理、異常告警分析處置等工作量巨大；針對危害程度較大的高級攻擊難以及時篩選和高效的處置閉環(huán)。當前互聯網技術發(fā)展迅速，攻防對抗程度不斷加大，大量政府單位已無法獨自確保安全效果，亟需補充專業(yè)人員和技術力量協助進行日常的異常告警日志梳理以另一方面，每年的重要節(jié)假日、重大活動以及各級別實戰(zhàn)攻防演練期間，珠海市政務外網及政府網站系統可能面臨密集式的網絡安全攻擊，需要短時間、高強度的網絡安全保障力量，短時強化整體防御及應急響應能力，全面掌握網絡和系統的安全風險和防護狀況。因此亟需專業(yè)安全人員進行技術支撐，建立配套的7×24小時值守體系，協助開展互聯網出口和互聯網業(yè)務的流量分析，及時發(fā)現政務外網內高風險主機，協助開展漏洞通知整改及強化應急響應和處置工作，確保安全事4747漏洞管理、7×24小時威脅和事件管理，配套的其他服務包括應急響應、滲透測政務安全托管服務依托全國政務外網更大范圍的安全態(tài)勢感知和威脅情報共享能力，提供云端安全專家服務團隊作為本地提供2名專業(yè)安全技術人員進行駐場運維服務，提數據不出政務網絡，安全7*24小時監(jiān)測預警，持續(xù) 市政數局及各區(qū)政數局服務化提供必要安全服務組件，補足通過分布式XDR平臺對接現有市級政務外網互聯網出口、政務外網省地市邊界探針及珠海市各區(qū)政數局安全感知平臺，結合用戶實際情況，政務安全托管服務解放現有人員的精力和能力，從構建持續(xù)有效的安全運營體系為出發(fā)點，通過“人通過安全托管，對珠海市政務外網進行全流量檢測，平均可影響業(yè)務運行、導致數據泄露的多種攻擊類型進行有效防御，如代碼注入、信息泄露攻擊、請求偽造、目錄遍歷和漏洞針對五一、國慶等節(jié)假日和省級、市級實戰(zhàn)攻防演練期間的安全保障，政務MSS成功完成任務，4848 ·煙臺市大數據中心?政務云、網一體化運營場景煙臺市大數據中心承擔全市電子政務云平臺、電子政務外網等基礎設施，政務數據資源共享交換、公共數據開放、大數據煙臺市電子政務云平臺包括互聯網域、公共村居（社區(qū)）按需接入，橫向接入黨委、人大、政協、法院、檢察院等機關。電子政務外網公共服務域覆蓋市級部門和單第一，云化環(huán)境帶來的新安全威脅和挑戰(zhàn)需通過行之有效的技術手段進行應對。云計算虛擬化的環(huán)境，模糊了傳統的物理安全邊界，以硬件為主的安全防護產品無法很好地適用于云計算環(huán)境，難以及時、快速、有效的抵御政務云第二，規(guī)范統一的威脅檢測分析及安全運營能力亟需補充。業(yè)務系統和應用如果存在漏洞和安全隱患，易被攻擊者利用，給整個政務云平臺帶來極大的威脅。業(yè)務系統上云后需要通過一系列技術手段和措施進行有效的安全監(jiān)測和第三，應急響應機制需進一步完善。需建立多方聯動、健全有效的應急響應機制，出現緊急或重大安全事件時，各第四，需補充有效的安全監(jiān)管技術手段。煙臺市大數據中心在履行自身的安全監(jiān)管職責方面，尚不具備專門的安全4949政務MSS解決管理人員研判及處置能力有限、運維精力分散的問題，釋放運維管理壓力。同時采購安全托管服務的增值通過政務MSS的資產梳理與漏洞管理相結合，明確業(yè)務運行風險點并進行定向安全加固，協助用戶針對漏洞的期進行跟蹤管理，實現真正的閉環(huán)處置。通過政務MSS的事件管理機制，借助不斷沉淀知識和工具的服務平臺以及實戰(zhàn)通過簽訂政務安全托管服務的SLA承諾書建立良好信任，以可量化的安全效果提升安全感件通報等文檔滿足用戶對云、網安全方面分 完善的數據安全性 完善的數據安全性是在電子政務外網上部署政務安全運營中心，并組建 理，并基于行政單位進行了分類，定位到具體單位個團隊的管理壓力，同時基于漏洞危害程度形成對應的 體系化的服務機制 體系化的服務機制 在服務合同中，針對各項風險與事件進行了檢測與響通報等文檔也將安全效果可視化，有效體現了用戶安5050 ·東莞市政務服務和數據管理局?一體化托管場景一直以來政務數據的高價值備受黑客關注，尤其是多部門數據打通、政務信息化集中共享后導致暴露面風險增大，安全攻擊顯著增多，APT攻擊也越來越猖獗。安全建設的短板效應也愈發(fā)明顯，通過數字政府網絡的安全檢測體系建設需要從粗放防護轉向精細化運營，東莞市政務服務和數據管理局（以下簡稱“東莞政數國家信息中心持續(xù)賦能，補足安全防護短板?；凇秶译娮诱胀饩W安全監(jiān)測體系技術規(guī)范與實施指南》的指引，依托于在國家電子政務外網核心骨干節(jié)點部署的政務安全托管服務運營中心，將本級單位進行接入，實現全天候24小時不間斷的威脅監(jiān)測、事件閉環(huán)、安全運營的服務保障。保障政務工作人員將更多精力投入到數字政務建設及管理之中，通過召善安全威脅處置效率低下的現狀。通過國家信息中心共享以及安全托管服務自身的威脅情報，聯動本地安全防護組件，實現自動化主動防御、安全威脅動態(tài)清零的防護模式，達成各類安全事件、高級安全威脅、一般安全威脅的判斷準確率不低一體化安全托管，融合模式創(chuàng)新與服務效果升級。一體化安全托管的服務模式，堅持安全可控與開放創(chuàng)新相結合，充分滿管一體”，東莞市政務服務和數據管理局統籌全市網絡安全體系和標準，制定規(guī)范與要求，市級單位按需進行靈活申請，5151運營期間平均每月捕獲網絡攻擊1449.17萬次，業(yè)務資產遭受攻擊次數較多的攻擊類型為“反序列化”和“代碼運營期間平均每月捕獲網絡攻擊1449.17萬次，業(yè)務資產遭受攻擊次數較多的攻擊類型為“反序列化”和“代碼協同客戶處置解決了問題，有效控制了安全事態(tài)。因為事件的發(fā)現、處置、響應都處于非工作時間且實現了高效確地識別到各種安全事件，并第一時間通過電話或在微信群進行通告，運維人員快速定位到異常終端單位并下發(fā)參照參照GB/T42461-2023《信息安全技術一體化安全托管服務在能力上可覆蓋網絡安全監(jiān)測，網絡安全分析，網絡安全應急響應和網絡安全加固等典型服5252 ·臺州市大數據發(fā)展中心?安全托管擴展能力場景經過多年的信息安全建設，當前臺州市電子政務外網已初步建成一套較為完善的安全檢測防御體系。由于信息技術變化越僅依靠安全產品和安全軟件做到永保安全的想法已不合時宜，需要7*24小時的安全事件的監(jiān)測預警、追蹤溯源分析和響應閉環(huán)服務，包括對事件驗證和確認、關聯事件上下文信息和證據補充，以及病毒問題的閉環(huán)解決，充分保障安全效果，以XDR可擴展檢測與響應為平臺構建市域網絡安全監(jiān)管平臺，對區(qū)域電子政務外網的云、網、邊、端的整體安全數據進行數據歸集、匯總、清洗、治理，統一安全數據接口規(guī)范，構建開放、共享、標準的政務安全大數據體系。同時，以市政務云為核心，梳理電子政務外網安全能力，建設安全綜合分析系統，匯總產業(yè)端優(yōu)勢安全能力，打造專業(yè)嚴謹的漏洞分析洞和事件通報，更精準地發(fā)揮通報預警、應急指揮、案事件處置的職能。并且，通報閉環(huán)流程和安全運營中心充分共享，面向各委辦局提供統一的人員、工具、服務三位一體的運營模式，通過專業(yè)的網絡安全隊伍和技術平臺，以及規(guī)范化的運營管理，以服務化的方式協助業(yè)務需求部門提升安全威脅主動發(fā)現和安全處置能力，實現臺州市政務外網網絡安全運行的5353類風險威脅，業(yè)務未曾遭受到大規(guī)模針對性攻擊行為的影響，外部攻擊行為均有效防 ·某省級大數據中心?7*24小時安全托管保障場景定的事件進行處置；針對頻繁發(fā)生的夜間攻擊，希望做到7*24小時監(jiān)測，出現安全事件第一時間響應，避免出現被監(jiān)管并通過資深專家池對安全威脅的專業(yè)分析及定位，幫助客戶精準檢測網絡和主機中的有效安全告警/威脅。同時服務專家團隊會對識別到的威脅進行主動響應，采取措施降低威脅可能造成的影響，協助客戶閉環(huán)處置安全事件。通過建立符合省大數據中心安全保障要求的7*24小時安全運營機制，持續(xù)性開展安全主動響應、漏洞管理、威脅管理、高危漏5454由專屬由專屬服務經理統籌負責響應跟進安全工由專屬由專屬服務經理統籌負責響應跟進安全工分析，針對非誤判告警生成事件，交給服務經理進按照國家標準對威脅和事件進行分級分類，幫助客戶區(qū)分輕重緩急；與客戶提前對齊威脅和事件的分級和響應要求，尤其是夜間事件分級分類和響應標準，并配置響應策略，保證響應動作更符合客戶實對于非工作時間的威脅，利用云端大數據平臺實現深度的多維度數據聚合分析，從海量告警中精準定深度的多維度數據聚合分析，從海量告警中精準定位真實威脅和事件；針對常見的威脅場景（如：勒索攻擊）預設安全用例UseCase，橫向分析多維日志，輸出精準的威脅告警工單，大幅提升正報率客戶監(jiān)測研判流程固化寫入平臺，實時監(jiān)控魚威脅狩獵：釣魚狩獵平臺收集黑客情報網和情報一般而言，對于非重大風險，平臺基于一般而言，對于非重大風險，平臺基于Playbook技術根據風險信息傳遞指令，快速自動化響應，通安全風險，如ip封鎖等操作；對于重大風險：服務經理匯報風險信息和遏制方案，客戶授權后，通過安全組件進行響應遏制操作；并通過多維數據自動關聯分析，迅速溯源入侵路徑；通過實戰(zhàn)積累55557*24小時持