習近平在 2014 年中央網絡安全和信息化領導小組第一次會議上強調：“網絡安全和信息化是一體之兩翼,、驅動之雙輪,，必須統(tǒng)一謀劃、統(tǒng)一部署,、統(tǒng)一推進、統(tǒng)一實施,?！薄吨腥A人民共和國網絡安全法》第一章第三條指出：“國家堅持網絡安全與信息化發(fā)展并重，遵循積極利用,、科學發(fā)展,、依法管理、確保安全的方針,，推進網絡基礎設施建設和互聯(lián)互通,，鼓勵網絡技術創(chuàng)新和應用，支持培養(yǎng)網絡安全人才,，建立健全網絡安全保障體系,，提高網絡安全保護能力。從國家層面高度重視網絡安全與信息化的同步發(fā)展,，夯實網絡安全保障體系?！卑凑樟暱倳浀囊?，妥善處理好安全和發(fā)展的關系,，做到網絡安全和智慧城市建設協(xié)調一致、齊頭并進,，以安全保發(fā)展,、以發(fā)展促安全，為人民群眾提供用得上,、用得好,、用得安全的信息服務。

　　一,、堅持項目建設與安全保障并重,，統(tǒng)籌推進立體化安全保障

　　2017 年 11 月，揚州市政府正式印發(fā)了《云上揚州頂層設計方案》《云上揚州建設行動計劃（2017-2020）》,，重點建設“一中心,、三平臺、一體系,、七朵云應用”,，提出了“統(tǒng)籌建云、數(shù)據(jù)進云,、應用上云,、安全管云”的推進策略。一體系即一體化安全保障體系,，在統(tǒng)籌規(guī)劃建設云基礎設施和云業(yè)務應用的同時,，整合推動信息系統(tǒng)形成統(tǒng)一架構，建設融合通用的大平臺,，匯聚全量數(shù)據(jù),，構建云環(huán)境下防護與監(jiān)測處置一體化體系。安全管云是以關鍵基礎設施安全升級改造為核心,，深入結合揚州市政府大數(shù)據(jù)中心（以下簡稱“中心”）外圍物理實體與內部云計算平臺環(huán)境的安全需求,，基于虛擬化、云計算及大數(shù)據(jù)的技術特點,，重點關注云平臺安全防護和大數(shù)據(jù)全生命周期的安全保障,，全面推進“云上揚州”安全體系的構建、系統(tǒng)平臺的優(yōu)化,、分層縱深的設計及安全運營能力的提升,，形成“可適用、可操作,、可裁剪”的整體安全規(guī)劃,，最終實現(xiàn)“看得見、用得好、管得住”的安全管云的目標,。

　　1. 統(tǒng)籌建立項目推進安全管理機制

　　充分發(fā)揮“云上辦”（云上揚州推進工作領導小組辦公室）的主體統(tǒng)籌地位,，出臺《項目建設管理和考核的實施意見》《云上揚州項目管理及總集成工作規(guī)范實施細則》等文件，形成《項目方案編制指南》等標準規(guī)范,，從申報至驗收的項目全流程管理,，實現(xiàn)了項目的網絡安全全生命周期管理。同時,，創(chuàng)新建立總集成工作機制,。通過總集成來促進“云上揚州”安全和業(yè)務的融合，牽頭形成安全管理與技術的標準,、要求和實施的一致,、連貫和統(tǒng)一，確保所有智慧城市項目依據(jù)頂層設計理念安全,、穩(wěn)妥落地,，強化網絡安全措施的“三同步”原則，即同步規(guī)劃,、同步建設,、同步使用。

　　2. 建立一體化安全保障體系框架

　　落實“云上揚州”的安全體系設計指導原則及安全總體建設思路,，從安全管理,、安全技術、安全運營和安全合規(guī)及監(jiān)管等四個方面建立起一體化安全保障體系,。安全管理是指面向云監(jiān)管方,、云服務方、云服務客戶,、云安全服務方等四方主體以及相關的產品廠商和服務廠商，落實職責與分工,；安全技術是指緊密結合“云上揚州”的“一中心,、三平臺、七朵云應用”的業(yè)務架構展開安全保障,；安全運營是指形成威脅預測,、威脅防護、持續(xù)檢測,、響應處置的閉環(huán)安全運營,，打造四位一體的安全運營機制，通過持續(xù)性安全保障,，確保系統(tǒng)安全穩(wěn)定運行,；安全合規(guī)及監(jiān)管是指制定政務云安全標準及規(guī)范要求，持續(xù)做好運營過程中的合規(guī)安全檢查和指導工作，明確安全管云內容和理念,。

　　二,、堅持安全管理和安全技術支持并重，一體化設計安全保障體系

　　確立“安全七分管理,，三分技術”的設計理念,，堅持體系支撐和技術支持并重。一方面,，應用先進技術理念,，以創(chuàng)新型技術路線優(yōu)先考慮、技術與服務獨立模塊導入,、產品服務品牌松耦合協(xié)同的理念規(guī)劃設計一體化保障體系,；另一方面，統(tǒng)籌提供安全技術體系,、一體化構建安全體系框架,、全局性謀劃安全運營體系。二者相融合從設計到建設再到后期的運營全生命周期,，保障“云上揚州”安全,。通過一體化安全保障體系，實現(xiàn)“看得見,、用得好,、管得住”的目標。

　　1. 安全管理是重中之重

　　一是明確安全責任主體,。中心統(tǒng)籌管理的信息系統(tǒng)“安全管理責任不變,、數(shù)據(jù)歸屬關系不變、安全管理標準不變”,。其主機安全,、應用安全、數(shù)據(jù)安全以及安全策略與管理制度,、安全管理機構與人員,、系統(tǒng)安全建設管理、系統(tǒng)安全運維管理等均由所屬部門負責,。市政府信息資源管理中心負責保障關鍵信息基礎設施（如物理環(huán)境,、硬件資源、市電子政務外網,、虛擬化平臺及組件）的安全,。二是明確安全管云機制。根據(jù)《云上揚州項目建設管理和考核的實施意見》,，明確新建信息系統(tǒng)網絡安全建設的“三同步”原則,，在規(guī)劃階段同步設計安全建設內容,；在建設階段同步實施安全功能和模塊；在運維階段同步使用安全保障措施,。規(guī)定新建項目的建設方案必須要設計安全建設方案,，進行等級保護自主定級，列支安全建設經費預算,，經技術審查和專家論證后方可啟動,；建成的信息系統(tǒng)須通過安全服務總包的安全檢測，且等級保護差距性測評達到70 分,，才能接入市電子政務外網上線試運行,；試運行滿 3 個月，未出現(xiàn)重大故障且等級保護符合性測評達到 80 分,，方可驗收,。

　　2. 安全技術支撐保駕護航

　　中心的關基信息基礎設施，市電子政務外網得到了進一步安全加固,。部署了安全數(shù)據(jù)交換系統(tǒng),，實現(xiàn)數(shù)據(jù)交換和安全隔離防護；部署了操作和異常行為審計系統(tǒng),，對大數(shù)據(jù)共享交換平臺進行安全審計,；部署了兩套互聯(lián)網網站安全監(jiān)測平臺，進行“雙重監(jiān)測”“交叉驗證”,，實時監(jiān)測互聯(lián)網網站,，最大化發(fā)現(xiàn)網站的安全漏洞及風險；部署了云安全管理平臺,、虛擬主機安全防護,、云安全資源池，實現(xiàn)云環(huán)境下南北向及東西向安全隔離,、數(shù)據(jù)庫審計,、運維審計等云計算安全立體防護；部署了全天候全方位安全態(tài)勢感知系統(tǒng),，從網絡,、主機、應用,、數(shù)據(jù)進行全面的流量分析、行為分析,，形成威脅預測,、威脅防護、持續(xù)檢測和響應處置全鏈條,、全過程的分析,、處置,、優(yōu)化、響應的安全防護能力,。通過內部威脅預測,、外部威脅情報等手段，進行平臺暴露面分析,，監(jiān)控外部威脅,，實現(xiàn)攻擊預測、提前預防的目標,；對于持續(xù)攻擊,，降低受攻擊面，實現(xiàn)“攻擊減速”的目標,；對所有整合和托管系統(tǒng)進行7×24 小時在線檢測和響應,，減少威脅停留時間，及時發(fā)現(xiàn)并控制事件,，防止事件升級,；對深度威脅分析，聯(lián)動響應與處置,，對發(fā)生的重大安全事件進行回溯分析,，實現(xiàn)及時處置、止損,、追蹤溯源,。

　　三、堅持安全服務和安全培訓并重,，確保網絡安全落到實處

　　網絡安全保障工作是一個動態(tài)發(fā)展的過程,，沒有絕對的安全，只有相對的安全,，將風險控制在一定的范圍內,。安全服務和安全培訓工作需要同步開展。不僅要強化網絡安全服務,，同時也要提高網絡安全工作人員的安全意識和技術水平,。

　　1. 全生命周期的安全服務

　　部署在中心的系統(tǒng)，上線前必須進行安全檢測,。安全檢測包括漏洞掃描,、滲透測試、基線檢查,、代碼審計和 App 安全評估等,，檢測發(fā)現(xiàn)問題后，系統(tǒng)責任單位進行整改,。整改后再次檢測,，如不存在高危,、中危風險，系統(tǒng)方能上線試運行,；系統(tǒng)運行期間,，會采取以上措施定期地開展安全檢測，及時發(fā)現(xiàn)新的安全漏洞和風險,，并以《安全隱患告知書》的形式,，通知系統(tǒng)責任單位修復安全漏洞；日常由安服團隊全天候全方位提供安全服務,。每天開展信息資產管理,、業(yè)務應用安全監(jiān)測、安全事件研判分析,、安全事件實時通報,、應急響應處置等工作。在重要活動,、重要時期,，對重要系統(tǒng)進行重保服務，加強檢測和監(jiān)控力度,，實行 7×24 小時值守,、“零報告”和“日報告”等制度。每月組織一次網絡安全事件應急演練,，如網頁篡改,、病毒感染和網絡攻擊等主題，根據(jù)《國家網絡安全事件應急預案》來對安全事件進行應急處置,，通過應急演練來修訂應急預案,。每年進行一次網絡安全攻防演習，網絡安全攻防演習是在保障業(yè)務系統(tǒng)安全的前提下,，由網絡安全專家組成的攻擊隊,，采用“不限攻擊路徑，不限制攻擊手段”（此處不限攻擊手段是在確保系統(tǒng)正常運行的前提下,，不限制進入系統(tǒng)或者獲取權限的手段）的攻擊方式,，而形成的“有組織”“真刀真槍”的網絡攻擊行為，以獲取目標系統(tǒng)的最高控制權為目標,，進一步檢驗市電子政務外網的安全保障措施,。

　　2. 全流程的安全合規(guī)與監(jiān)督管理

　　制定“云上揚州”安全標準規(guī)范，統(tǒng)一規(guī)范一體化安全保障體系建設的安全管理,、安全技術,、安全運營體系的相關標準；同時符合國家關于關鍵信息基礎設施,、等級保護,、云計算、大數(shù)據(jù),、政務數(shù)據(jù)開放共享和電子政務外網相關的法律法規(guī)和國家標準的要求,。《云上揚州項目建設管理和考核的實施意見》明確要求,，屬于云上揚州新建信息系統(tǒng),，在驗收前，需要通過網絡安全等級保護測評和風險評估,。如果這些系統(tǒng)屬于等級保護三級系統(tǒng),，每年還需要進行復測評。對于已經運行于中心的信息系統(tǒng),，每年通過集中打包,、分批分類的方式，定期開展等級保護和風險評估的工作,，最大限度地做到安全合規(guī),。對于一些老舊系統(tǒng)，不配合做等級保護測評和風險評估,，或者安全檢測發(fā)現(xiàn)問題,，不做安全整改的，系統(tǒng)責任單位可以申請下線,，并出具《服務退出函》,。

　　3. 全覆蓋的網絡安全培訓體系

　　成立網絡安全培訓中心，每月定期面向全市黨政機關,、企事業(yè)單位,，以及縣（市、區(qū)）的網絡安全負責人,、信息系統(tǒng)負責人,，舉辦以網絡安全法律法規(guī)、網絡安全意識,、網絡安全技術等為主題的培訓,；每年舉辦一次兩至三天的網絡安全訓練營，定制涵蓋網絡安全管理和網絡安全攻防技術類的課程,，并進行結業(yè)考試,，成績合格后，頒發(fā)結業(yè)證書,。從 2018 年 12 月開始,，截至目前，已經舉辦了 32 次網絡安全培訓,，包括 2 次超過百人參加的網絡安全訓練營,，近 2600 人次參加,。今年，創(chuàng)新性地讓網絡安全培訓“走出去”,，開展了網絡安全“四進”系列活動,，即網絡安全培訓“走進社區(qū)”“走進企業(yè)”“走進機關”“走進校園”，讓更多的人群,，更多的百姓了解網絡安全知識和法律法規(guī),，提高網絡安全意識和技能，筑起網絡安全防線,。