政務(wù)安全托管服務(wù)（GMSS） 實(shí)踐指南 2024

政務(wù)安全托管服務(wù)（GMSS）實(shí)踐指南（2024）編寫單位：深信服科技股份有限公司指導(dǎo)單位：國家信息中心等2024年10月習(xí)近平總書記指出：安全是發(fā)展的前提，發(fā)展是安全的保障，安全和發(fā)展要同步推進(jìn)。當(dāng)下，國內(nèi)正在進(jìn)行深入的全面的數(shù)字化轉(zhuǎn)型，政務(wù)網(wǎng)絡(luò)安全對我國的數(shù)字化建設(shè)和經(jīng)濟(jì)發(fā)展具有重要保障作用。近年來，我國多部網(wǎng)絡(luò)安全法律法規(guī)均提出加全保障體系，建立健全動態(tài)監(jiān)控、主動防御、協(xié)同響應(yīng)的數(shù)字政府安全技術(shù)保障體系。充分運(yùn)用主動監(jiān)測、智能感知、威脅預(yù)測等安全技術(shù)，強(qiáng)化日常監(jiān)測、通報預(yù)警、應(yīng)急處置，拓展網(wǎng)絡(luò)安為進(jìn)一步做好新時代數(shù)字政府網(wǎng)絡(luò)安全保障工作，國家信息中心和深信服共同設(shè)計和開發(fā)了面向政務(wù)網(wǎng)絡(luò)、政府用戶的安全托管服務(wù)。政務(wù)安全托管服務(wù)聚焦數(shù)字政務(wù)網(wǎng)絡(luò)安全工作場景及需求，主要服務(wù)場景、價值與優(yōu)勢、合規(guī)建設(shè)情況、服務(wù)運(yùn)營詳情、應(yīng)用案例等不同方面對政務(wù)安全托本指南版權(quán)屬于深信服科技股份有限公司，并受法律保護(hù)。轉(zhuǎn)載、摘編或以其他方式使用指南文字或觀點(diǎn)的，均應(yīng)注明“來源：政務(wù)安全托管服務(wù)（GMSS）實(shí)踐指南”。違反以上聲明者，深信服科技股份有限公司將保留追究其相關(guān)法律責(zé)任的權(quán)利。本指南編寫過程中得到以下單位的專業(yè)錄政務(wù)安全托管服務(wù)概述政務(wù)安全托管服務(wù)概述服務(wù)特點(diǎn)服務(wù)架構(gòu)服務(wù)場景服務(wù)內(nèi)容服務(wù)優(yōu)勢資產(chǎn)識別梳理首次安全評估安全問題處置脆弱性管理安全威脅管理事件管理閉環(huán)安全情報通告安全總結(jié)復(fù)盤政務(wù)安全托管服務(wù)內(nèi)容要素20服務(wù)技術(shù)服務(wù)團(tuán)隊服務(wù)流程政務(wù)安全托管服務(wù)實(shí)踐效果29兩周年實(shí)踐總結(jié)29AI大模型賦能36服務(wù)合規(guī)能力41政務(wù)安全托管服務(wù)實(shí)踐案例42內(nèi)蒙古自治區(qū)大數(shù)據(jù)中心?一體化安全運(yùn)營場景42江蘇省大數(shù)據(jù)管理中心?持續(xù)有效監(jiān)管合規(guī)場景43江西省信息中心?日常網(wǎng)絡(luò)安全托管運(yùn)營保障場景45珠海市政務(wù)服務(wù)和數(shù)據(jù)管理局?安全效果提升場景47煙臺市大數(shù)據(jù)中心?政務(wù)云、網(wǎng)一體化運(yùn)營場景49東莞市政務(wù)服務(wù)和數(shù)據(jù)管理局?一體化托管場景51臺州市大數(shù)據(jù)發(fā)展中心?安全托管擴(kuò)展能力場景53某省級大數(shù)據(jù)中心?7*24小時安全托管保障場景54某地市自然資源局?勒索病毒預(yù)防與響應(yīng)場景56某市市場監(jiān)督管理局?重要時期安全保障場景60來越多，但是缺乏足夠的安全人員和技術(shù)來應(yīng)對這些威脅。Gartner認(rèn)為，將安全管理外包給專業(yè)的安全服務(wù)提供商，可以幫助組織降低安全風(fēng)險，提高安全性能，并節(jié)省安全管理成本。現(xiàn)如今，伴隨著云計算技術(shù)的高速發(fā)展及應(yīng)用，越來越多的組織將其業(yè)務(wù)遷移到云端，各綜合型網(wǎng)絡(luò)安全廠商通過其全球化的安全運(yùn)營中心，為諸多用戶提供7*24小時不停歇近年來，國家信息中心（國家電子政務(wù)外網(wǎng)管理中心）先后印發(fā)了《關(guān)于加快推進(jìn)全國政務(wù)外網(wǎng)安全監(jiān)測平臺建設(shè)工作的推動全國政務(wù)外網(wǎng)建設(shè)和運(yùn)行維護(hù)單位提升和完善網(wǎng)絡(luò)安全監(jiān)測預(yù)警和應(yīng)急處置能力，逐步實(shí)現(xiàn)跨地區(qū)、跨層級的安全監(jiān)測數(shù)據(jù)共享和業(yè)務(wù)協(xié)同，形成全國政務(wù)網(wǎng)絡(luò)安全態(tài)勢感知一張網(wǎng)。政務(wù)安全托管服務(wù)(以下簡稱“政務(wù)MSS”或求和特點(diǎn)，通過提供集約化服務(wù)方式有效解決了數(shù)字政府行業(yè)缺少專業(yè)安全技術(shù)人員、資金資源投入不足導(dǎo)致無法開展常態(tài)化安全保障的困難，為用戶提供持續(xù)、有效、省心、便捷的安全托管服務(wù)。 政務(wù)安全托管服務(wù)的服務(wù)對象是所有的數(shù)字政府單位用戶。各級政府單位經(jīng)過了多年的安全建設(shè)，安全能力與效果已經(jīng)取救火隊式處置安全事件，缺乏有效安全運(yùn)營流程機(jī)制；缺少高階人才，難以應(yīng)對復(fù)雜事件處置，難以0101重要活動期間、攻防演練期間的安全投入更大，時效性要求更高，應(yīng)戰(zhàn)能力平時、戰(zhàn)時不對等無法得到充分保障，導(dǎo)致戰(zhàn)時效果檢驗(yàn)不達(dá)預(yù)期；而戰(zhàn)時能力未能有效轉(zhuǎn)化賦能到日常運(yùn)營中，效果除了提供典型政務(wù)安全托管服務(wù)的內(nèi)容之外，政務(wù)安全托管服務(wù)在國家信息中心的相關(guān)團(tuán)隊和經(jīng)驗(yàn)沉淀的賦能下，還針對依據(jù)國家信息中心來源更廣、實(shí)時性更高、內(nèi)容覆蓋更全面的威脅情報機(jī)制，為廣大政府單位提供更具行業(yè)化的威脅情報，提前預(yù)防針對政府行業(yè)的攻擊和脆弱性分析，并通過安全托管服務(wù)的云化運(yùn)營機(jī)制，在地方實(shí)踐、威脅情報、行業(yè)安全態(tài)勢、典型安全事件、安全建設(shè)經(jīng)驗(yàn)等重要信息，借助云化托管服務(wù)，將經(jīng)驗(yàn)，直接與客戶溝通，提供咨詢建議，強(qiáng)化GMS國家信息中心憑借資源整合和組織優(yōu)勢，定期組織全國政府單位各省市級負(fù)責(zé)政務(wù)網(wǎng)絡(luò)的主管領(lǐng)導(dǎo)、安全提升技術(shù)對抗能力，構(gòu)建更強(qiáng)的數(shù)字政府網(wǎng)絡(luò)安全保障體系。如國家信息中心信息與網(wǎng)絡(luò)安全部主辦、深信服提供授課支持的國家電子政務(wù)外網(wǎng)信息與網(wǎng)絡(luò)安全系列培訓(xùn)，與用戶共同交流安全治理實(shí)踐經(jīng)驗(yàn)和前沿探索，探討網(wǎng)絡(luò)安全面臨的問題與應(yīng)對方案，對強(qiáng)化數(shù)字政務(wù)安全管理責(zé)任，提升網(wǎng)絡(luò)安全保障能力起》》》02020303GMSS服務(wù)以網(wǎng)絡(luò)安全“持續(xù)有效”為目標(biāo)，圍繞資產(chǎn)、漏洞、威脅、事人機(jī)共智勤于對抗 服務(wù)交付體系服務(wù)交付體系aES運(yùn)營準(zhǔn)備持運(yùn)營準(zhǔn)備持服務(wù)服務(wù)質(zhì)量保障機(jī)制問題跟蹤管理GMSS安全能力中臺為服務(wù)周期內(nèi)各類安全風(fēng)險檢測GMSS服務(wù)團(tuán)隊包含了安全運(yùn)營中心服務(wù)團(tuán)隊及本地服務(wù)團(tuán)隊，其中安全運(yùn)營中心團(tuán)隊分為應(yīng)急響應(yīng)中心、攻防實(shí)驗(yàn)室、0404針對重點(diǎn)托管的業(yè)務(wù)資產(chǎn)，GMSS服務(wù)可以幫助用戶從紛繁復(fù)雜的安全瑣事中解放出行承接，比如新系統(tǒng)上線的評估，日常的安全策略有效性評估和調(diào)優(yōu)，漏洞、暴露面的定期梳理和跟蹤解決，安全事件的持續(xù)監(jiān)測與響應(yīng)，協(xié)助應(yīng)對上級單位的通告，針對通報內(nèi)容進(jìn)行自查、整改，定期向領(lǐng)導(dǎo)匯報安全工作成果，以及夜間/威脅0505平臺上，首創(chuàng)了勒索風(fēng)險預(yù)防庫，將歷史上所有可能被用于勒索攻擊的風(fēng)險進(jìn)行了梳理和匯總，最終形成了勒索風(fēng)險專項(xiàng)快速進(jìn)行閉環(huán)處置，實(shí)現(xiàn)事中事后的保障。同時，這套方案還可以和托管云災(zāi)備方案進(jìn)行聯(lián)動，實(shí)現(xiàn)對勒索加密數(shù)據(jù)的快·勒索殘留項(xiàng)檢測·全面IT資產(chǎn)梳理·勒索殘留項(xiàng)檢測·全面IT資產(chǎn)梳理·勒索攻擊實(shí)時對抗·勒索攻擊實(shí)時對抗·基于ATT&CK的病毒行為·勒索情報動態(tài)預(yù)防·云端專家實(shí)時推動告警·勒索風(fēng)險消除·設(shè)備策略調(diào)優(yōu)·人機(jī)共智不間斷動態(tài)清零·勒索攻擊專項(xiàng)保險兜底時保障，每日匯報以及值守后的總結(jié)匯報。此場景支持靈活擴(kuò)展，根據(jù)用戶的需求進(jìn)行不同服務(wù)項(xiàng)目的搭配，比如增配紅0606 能夠快速有效、經(jīng)濟(jì)便捷地幫助各級數(shù)字政府單位快速建立健全安全監(jiān)測預(yù)警防護(hù)體系，對抗各類網(wǎng)絡(luò)信息安全威脅，服一是保障政務(wù)工作人員將更多精力投入到數(shù)字通過召之即來的服務(wù)效率、來之即戰(zhàn)的堅實(shí)能力，讓安全工作更簡潔、更有效；同時基于安全托管服務(wù)的模式，與政府單位協(xié)同作戰(zhàn)，提供更專業(yè)的技術(shù)支撐與指導(dǎo)，分擔(dān)工作內(nèi)容，讓政府單位人員更好地聚焦于高價值的安全建設(shè)規(guī)劃、數(shù)據(jù)主動主動閉環(huán)處置閉環(huán)率100%放心的效果安安心的效率有效預(yù)防研判準(zhǔn)確率99.99%00:61-00:4100:61-00:410靠依止防力能人個16:0-18:000靠依止防力能人個00:80-00:6000:02-00:8100:80-00:6000:02-00:81ALS諾承果效保確04:00-06:00ALS諾承果效保確00:40-00:2000:40-00:20120實(shí)專家0團(tuán)8戰(zhàn):隊00-2降10低:4成0標(biāo)0:本00準(zhǔn)-02持:0續(xù)0對靠抗可用使熟成程流12:00-1白4班20:夜:000-220:無00損對接207X24小時120實(shí)專家0團(tuán)8戰(zhàn):隊00-2降10低:4成0標(biāo)0:本00準(zhǔn)-02持:0續(xù)0對靠抗可用使熟成程流12:00-1白4班20:夜:000-220:無00損對接20012:0-012:0-4:00707策略檢查、脆弱性評估、暴露面梳理、失陷類事件評漏洞掃描與驗(yàn)證、漏洞修復(fù)優(yōu)先級排序、可落地的修復(fù)方案、高可利用漏洞防護(hù)、7*24H威脅鑒定與通告、威脅分析與處置、威脅情報管理、高級威脅狩獵、安全安全運(yùn)營周報、安全運(yùn)營月報、安全運(yùn)營季度匯報、安全運(yùn)營半年度匯報 模式為政務(wù)外網(wǎng)提供專業(yè)的安全托管服務(wù)，確保安全托管服務(wù)的用戶可隨時隨地享受到安全專家團(tuán)隊的服務(wù)，并設(shè)置有監(jiān)0808》》》》》》服務(wù)過程中服務(wù)經(jīng)理會與客戶實(shí)時溝通和反饋，項(xiàng)目經(jīng)理會定期上門匯報，服務(wù)結(jié)果直觀展示在用戶0909傳統(tǒng)安全服務(wù)通常存在服務(wù)過程不可視的問題，作為服務(wù)購買方來說，無法實(shí)時掌握第三方服務(wù)過程，導(dǎo)致服務(wù)效果無法把控。為了解決以上問題，GMSS服務(wù)使用服務(wù)監(jiān)控大屏使得整個服務(wù)過程可視化各個階段以評估服務(wù)效果。同時，GMSS服務(wù)自主研發(fā)了專家服務(wù)監(jiān)督和質(zhì)量保證1010 ·資產(chǎn)識別梳理資產(chǎn)是風(fēng)險管理中的基礎(chǔ)部分，只有管理好資產(chǎn)才能更有針對性地控制安全風(fēng)險。資產(chǎn)管理服務(wù)提供資產(chǎn)識別、錄入以及1111 服務(wù)專家分析判斷主機(jī)是否感染服務(wù)專家分析判斷主機(jī)是否感染礦狀態(tài)；根據(jù)已發(fā)生的漏洞攻擊行為分析判斷是否存在以植入挖服務(wù)專家確認(rèn)文件是否被感染，服務(wù)專家分析判斷主機(jī)是否感染勒索病毒文件；根據(jù)已發(fā)生的漏洞攻擊行為分析判斷是否存在勒信息泄露攻擊行為、口令暴力破解攻擊行為、僵尸網(wǎng)絡(luò)攻擊行為、系統(tǒng)命令注入攻擊行為及僵尸網(wǎng)絡(luò)攻擊行為等常見的攻1212服務(wù)專家對失陷主機(jī)進(jìn)行分析研判（如后門腳本類事服務(wù)專家分析內(nèi)網(wǎng)主機(jī)的非法外聯(lián)威脅行為，判斷是否存在潛伏威脅，如對外攻擊、C&C通道、隱藏外聯(lián)通道等外聯(lián)威脅行為，并給出解決建議。 針對勒索、挖礦類事件，服務(wù)專家主導(dǎo)處置工作，并進(jìn)行最大程度溯源；定位惡意文件路徑并提供查殺指導(dǎo)；并分析有無針對隱藏通信通道、可疑外發(fā)行為，服務(wù)專家提供實(shí)際佐證材料，進(jìn)行最大范圍溯源，并給出修復(fù)建議；配合定位異常進(jìn)1313 利用脆弱性掃描工具掃描網(wǎng)絡(luò)中的核心服務(wù)器、重要的網(wǎng)絡(luò)設(shè)備以及Web業(yè)務(wù)系統(tǒng)，包括服務(wù)器、交換機(jī)、防火墻等，以對網(wǎng)絡(luò)設(shè)備進(jìn)行脆弱性問題檢測和分析，對識別出的能被入侵者用來非法進(jìn)入網(wǎng)絡(luò)或者非法獲取信息資產(chǎn)的脆弱性，并■■修復(fù)方案1414 基于“人機(jī)共智”模式，綜合運(yùn)用資深行業(yè)專家經(jīng)驗(yàn)和豐富的威脅情報知識庫，對不同安全組件設(shè)備的安全日志、流量進(jìn)行聚合、關(guān)聯(lián)分析，并通過資深專家池對安全威脅的專業(yè)分析及定位，幫助客戶精準(zhǔn)檢測網(wǎng)絡(luò)和主機(jī)中的有效安全告警/威脅。同時，GMSS服務(wù)專家團(tuán)隊會對識別到的威脅進(jìn)行主動響應(yīng)，采取措施降1515 ·事件管理閉環(huán)對識別到的安全事件進(jìn)行專業(yè)定位、及時響應(yīng)、全面調(diào)查和最終閉環(huán)，同時建立安全事件的全生命周期管理，形成安全事QQ服務(wù)人員主動識別病毒基于GMSS平臺和工具，還原攻擊路徑，分析入侵事件原因以及網(wǎng)絡(luò)、主機(jī)中的風(fēng)險點(diǎn)，提供安全事件1616閉環(huán)是事件管理中關(guān)鍵的能力要求。其中，統(tǒng)一的閉環(huán)執(zhí)行標(biāo)準(zhǔn)可規(guī)范服務(wù)人員的閉環(huán)操作執(zhí)行，通過平臺管控，可將所1717GMSS服務(wù)針對網(wǎng)絡(luò)攻擊類、病毒類、脆弱性等不同類型的安全事件攻擊失敗攻擊成功非感染型病毒感染型病毒攻擊失敗攻擊成功非感染型病毒感染型病毒 1818 最新漏洞處置指導(dǎo)一旦確認(rèn)影響范圍后，安全專最新漏洞處置指導(dǎo)一旦確認(rèn)影響范圍后，安全專家提供專業(yè)的處置建議，處置建議可包含補(bǔ)丁方案以及臨時規(guī)避措施兩部分，按需及時協(xié)指紋信息實(shí)時抓取互聯(lián)網(wǎng)最新威脅情報與詳細(xì)資產(chǎn)信息進(jìn) 定期更新和輸出用戶的項(xiàng)目服務(wù)情況和階段性服務(wù)成果總結(jié)，以圖表的直觀形式和豐富詳實(shí)的數(shù)據(jù)梳理總結(jié)安全態(tài)勢變化情況、服務(wù)成果、安全效果及剩余風(fēng)險內(nèi)容，同時對安全托管服務(wù)情況進(jìn)行復(fù)盤，針對組織遺留安全問題、下一步安全能1919GMSS安全能力中臺為服務(wù)周期內(nèi)各類安全風(fēng)險檢測管理中心管理中心檢測中心檢測中心數(shù)據(jù)湖數(shù)據(jù)湖析引擎析引擎數(shù)據(jù)存儲數(shù)據(jù)治理2020【管理中心】不僅實(shí)現(xiàn)對能力中心可靠性、資源、權(quán)限的監(jiān)控管理，還提供規(guī)則管理、數(shù)據(jù)檢索等能力，實(shí)現(xiàn)安全專家對工單、報告等系統(tǒng)，規(guī)范和提升整體安全托管服務(wù)質(zhì)量及體驗(yàn)。安全能力與效果的兩大量化指標(biāo)是業(yè)界熟悉的安全事件平2121SOAR技術(shù)框架包含了優(yōu)先順序、檢測、分類分診與響應(yīng)等要素。優(yōu)先順序可讓消息根據(jù)商業(yè)情報、事件的風(fēng)險大小、危害程度來決定事務(wù)的處理順序；檢測是指對接收到的事務(wù)進(jìn)行決策；分類分診有助于更快、更準(zhǔn)地發(fā)現(xiàn)和驗(yàn)證不良內(nèi)容，以便遏制和補(bǔ)救；響應(yīng)是SOAR技術(shù)的最后一步，指執(zhí)行必要的操作來控制潛在風(fēng)險。GMSS將安全專家和技術(shù)通過初始化執(zhí)行持久化初始化執(zhí)行持久化 Rundll32賬號復(fù)制 Wi?攻擊Wi?攻擊2222GMSS服務(wù)專家團(tuán)隊基于大量的攻防研究成果和客戶服務(wù)經(jīng)驗(yàn)，對攻擊者的攻擊行為、特征以及防御措施都有深刻理解。23232424GMSS基于國家信息中心的威脅情報源和廠商打造的威脅情報平臺，采用同時，為了提升用戶對情報內(nèi)容與自身資產(chǎn)的關(guān)聯(lián)性的感知，從風(fēng)險預(yù)警、事件響應(yīng)的角度為客戶提供精準(zhǔn)匹配后的情報情報類型主要包括業(yè)內(nèi)熱點(diǎn)漏洞、熱點(diǎn)事件精準(zhǔn)推送、事件情報挖掘、暗網(wǎng)監(jiān)控等。由于威脅情報平臺每天都會接收分布在全國的海量多元化數(shù)據(jù)，為了使威脅情報平臺能高效地處理這些數(shù)據(jù)，針對最終通過流量指紋、脆弱性主動掃描、終端調(diào)查等方式精準(zhǔn)定位用戶可能受影響的資產(chǎn)、檢測預(yù)警未知的攻擊威脅，并及基于前向追蹤分析，在定位入口點(diǎn)后，快速發(fā)現(xiàn)此次攻擊的所有路徑，確認(rèn)受影響資產(chǎn)，評估此次攻擊對用戶環(huán)境造成的損失，包括遭受攻擊的終端以及對終端的損害，如新建特權(quán)賬號、對操作系統(tǒng)配置的修GMSS平臺與安全組件設(shè)備聯(lián)動，提供響應(yīng)原子操作，如封鎖IP、自定義防御規(guī)則、殺死進(jìn)程、隔離文件、禁用用戶、終端隔離、注冊表恢復(fù)等等，依據(jù)根因分析、攻擊面影響分析的結(jié)果進(jìn)行精準(zhǔn)處置，避免對業(yè)務(wù)造成大幅影響。對于常見的病毒類型、黑客攻擊手法基于前向追蹤分析，在定位入口點(diǎn)后，快速發(fā)現(xiàn)此次攻擊的所有路徑，確認(rèn)受影響資產(chǎn)，評估此次攻擊對用戶環(huán)境造成的損失，包括遭受攻擊的終端以及對終端的損害，如新建特權(quán)賬號、對操作系統(tǒng)配置的修GMSS平臺與安全組件設(shè)備聯(lián)動，提供響應(yīng)原子操作，如封鎖IP、自定義防御規(guī)則、殺死進(jìn)程、隔離文件、禁用用戶、終端隔離、注冊表恢復(fù)等等，依據(jù)根因分析、攻擊面影響分析的結(jié)果進(jìn)行精準(zhǔn)處置，避免對業(yè)務(wù)造成大幅影響。對于常見的病毒類型、黑客攻擊手法等內(nèi)置一鍵處置腳本，實(shí)現(xiàn)快基于后向追蹤分析，在發(fā)現(xiàn)攻擊的蛛絲馬跡時，立即對歷史數(shù)據(jù)進(jìn)行回溯，發(fā)現(xiàn)攻擊的可能入口點(diǎn)，幫助分析人員定位攻擊根因，提供加固建議，避2525 服務(wù)交付團(tuán)隊包括項(xiàng)目線上交付團(tuán)隊、業(yè)務(wù)保障專家團(tuán)隊、質(zhì)量監(jiān)督團(tuán)隊，通過成熟、規(guī)范的交付服務(wù)流程，為用戶提供7*24小時的安全托管服務(wù)。項(xiàng)目線上交付團(tuán)隊由云端分析師、安全工程師共同為用戶提供日常在線服務(wù)工作；項(xiàng)目本地交付團(tuán)隊分布在全國各地，為用戶提供按需的本地化服務(wù)。業(yè)務(wù)保障專家團(tuán)隊由安全攻防、滲透測試、威脅情報等業(yè)務(wù)方向的高級專家組組成。質(zhì)量監(jiān)督團(tuán)隊對用戶服務(wù)的整體過程、質(zhì)量與滿意度負(fù)責(zé)，通過調(diào)查分析和數(shù)字化運(yùn)營，提升服務(wù)負(fù)責(zé)對升級的威脅工單進(jìn)行研判和主動挖掘服務(wù)內(nèi)資產(chǎn)的隱藏威脅風(fēng)險，并將其沉淀為平臺技術(shù)國家信息中心高級安全專家作為T3負(fù)責(zé)對升級的威脅工單進(jìn)行研判和主動挖掘服務(wù)內(nèi)資產(chǎn)的隱藏威脅風(fēng)險，并將其沉淀為平臺技術(shù)國家信息中心高級安全專家作為T3團(tuán)隊的補(bǔ)充，憑借對政務(wù)網(wǎng)絡(luò)戶溝通，提供咨詢建議，強(qiáng)化安全托管服務(wù)的威脅檢測與響應(yīng)主要負(fù)責(zé)項(xiàng)目的日常運(yùn)營服務(wù)工負(fù)責(zé)協(xié)助服務(wù)經(jīng)理解決疑難業(yè)務(wù)負(fù)責(zé)協(xié)助應(yīng)急響應(yīng)工程師處理威化迭代業(yè)務(wù)流程和規(guī)劃設(shè)計新業(yè)負(fù)責(zé)對服務(wù)資產(chǎn)進(jìn)行授權(quán)模擬攻負(fù)責(zé)管理威脅情報，跟蹤情報經(jīng)驗(yàn)進(jìn)行人員賦能和沉淀為平臺應(yīng)急響應(yīng)中心用于當(dāng)服務(wù)用戶突發(fā)安全事件時，提供包括事件檢測與分析、風(fēng)險抑制、問題處置、協(xié)助業(yè)務(wù)恢復(fù)的服務(wù)。培訓(xùn)中心依托高端專家團(tuán)隊，將安全實(shí)踐經(jīng)驗(yàn)、研究成果以及積累的其他專業(yè)能力，通過人才培養(yǎng)賦能給全國的合作伙伴2626 在項(xiàng)目啟動階段，通過召開內(nèi)外部項(xiàng)目啟動會，明確服務(wù)預(yù)期，對溝通機(jī)制和交付內(nèi)容達(dá)成一致，并針對政務(wù)安全托管服從脆弱性評估、病毒類事件評估、攻擊行為評估、失陷類事件評估等方面對用戶的現(xiàn)有安從脆弱性評估、病毒類事件評估、攻擊行為評估、失陷類事件評估等方面對用戶的現(xiàn)有安對安全分析發(fā)現(xiàn)的安全問題進(jìn)借助安全工具對用戶資產(chǎn)進(jìn)行全面發(fā)現(xiàn)和深度識別，并結(jié)合人工梳理成真實(shí)、可用的資產(chǎn)持續(xù)運(yùn)營階段，是指電子政務(wù)安全運(yùn)營中心圍繞資產(chǎn)、脆弱性、威脅、事件四個核心風(fēng)險要素幫助用戶開展7*24小時持服務(wù)資產(chǎn)信息錄入系統(tǒng)后，通過定期主動掃描+被動識別的手段識別2727通過脆弱性掃描工具識別系統(tǒng)安全漏洞及弱口令等，并對脆弱性問題進(jìn)行專業(yè)驗(yàn)證，同時結(jié)合多種信息對識別的脆弱性問題進(jìn)行優(yōu)先級排序，最后提出切實(shí)可行的修復(fù)指導(dǎo)。除此之外，在脆弱性管理工作中借助脆弱性跟蹤管理平臺，可以有效地追蹤資產(chǎn)脆弱性生命周期，清楚地掌握資產(chǎn)的脆弱性狀況，實(shí)現(xiàn)全生命根據(jù)以往經(jīng)驗(yàn)設(shè)定的安全用例（UseCase結(jié)合大數(shù)據(jù)分析技術(shù)實(shí)時監(jiān)測網(wǎng)絡(luò)安全狀態(tài)，對監(jiān)測到的安全問題自動化生成工單，通知安全專家介入進(jìn)行及時進(jìn)行分析與定位、通告，同時依據(jù)由安全專家經(jīng)驗(yàn)固化對識別到的安全事件進(jìn)行專業(yè)定位，及時響應(yīng)并建立安全事件的全生命周期閉環(huán)管理機(jī)制，形成安全事件提供可視化、圖表化的直觀服務(wù)成果報告，方便用戶查看服務(wù)進(jìn)展和全面了解安全態(tài)勢及其持續(xù)向好的變化趨勢，并提供》》》2828 管理單位和包括服務(wù)自然資源、生態(tài)環(huán)境、人力資源和社會保障、交通、水利、海關(guān)、氣象、應(yīng)急管理、市場監(jiān)督管理、2929信息采集和管理系統(tǒng)、綜合網(wǎng)格化管理平臺、城市綜合管理服務(wù)平臺、空氣質(zhì)量自動通過將安全數(shù)據(jù)控制在政務(wù)網(wǎng)絡(luò)內(nèi)流轉(zhuǎn)的方式解決用戶的安全性擔(dān)憂，GMSS促進(jìn)更多用戶將更多的核心資產(chǎn)進(jìn)行托管，政務(wù)云、終端辦公設(shè)備等，結(jié)合不同類型的政府單位的業(yè)務(wù)特征、網(wǎng)絡(luò)安全建設(shè)現(xiàn)狀及需求，各級政府單位安全托管的資12/3/4/5/6//7//8/9///////////3030為了深入了解政府行業(yè)網(wǎng)絡(luò)安全建設(shè)與運(yùn)營現(xiàn)狀，為數(shù)字政府各單位提升安全運(yùn)營能力提供參考依據(jù)，政務(wù)MSS安全運(yùn)營中心定期隨機(jī)調(diào)研所服務(wù)的客戶及其安全運(yùn)營情況，并整理平臺上的安全態(tài)勢數(shù)據(jù)，從外部攻擊威脅、應(yīng)急事件、威脅情報等維度，對政府行業(yè)安全態(tài)勢進(jìn)行分析和總結(jié)，也通過數(shù)據(jù)、案例等多種方式對政府行業(yè)網(wǎng)絡(luò)安全現(xiàn)狀展開分析。以3131從攻擊目標(biāo)所在的省份維度進(jìn)行分析，可以發(fā)現(xiàn)遭受攻擊最多的省份分別是廣東省、遼寧省和湖北省，其中占比最多的廣間件漏洞、數(shù)據(jù)庫漏洞、系統(tǒng)服務(wù)漏洞、開源和商業(yè)在某種具體類型漏洞后，便會圍繞該類型漏洞深入攻擊，調(diào)用更多可利用漏洞插件進(jìn)行全面漏洞利用測試。兩種攻擊方式03232·'八00從攻擊來源IP及地區(qū)分布來看，政府單位面對來自境外的攻擊占大多數(shù)，這也從側(cè)面證明了數(shù)字政府面臨的攻擊形勢非遭受外部攻擊最多的3個業(yè)務(wù)系統(tǒng)為政府網(wǎng)站集群、網(wǎng)定期開展互聯(lián)網(wǎng)暴露面梳理，結(jié)合業(yè)務(wù)滲透測試、漏洞掃描、基線核查等技術(shù)手段，做到安全風(fēng)險早發(fā)現(xiàn)早處理，3333由于業(yè)務(wù)漏洞利用成功或者歷史后門導(dǎo)致的安全事件占比66.66%。通過對事件案例的分析，部分單位為方便自身業(yè)務(wù)系行攻擊利用，從而引發(fā)安全事件。建議定期將單位的內(nèi)外網(wǎng)服務(wù)器的中間件、數(shù)進(jìn)一步預(yù)防安全風(fēng)險。同時，較多單位存在弱口令情況，大大降低攻擊者的難度和門檻，這主要?dú)w因于內(nèi)部員工的安全意政務(wù)MSS基于結(jié)合威脅情報平臺的大數(shù)據(jù)能力，對分布在全國各地的海量多元化數(shù)據(jù)進(jìn)行分析，選取其中的關(guān)鍵維度高效進(jìn)行處理，得到有效的威脅情報信息。同時結(jié)合國家信息中心的情報賦能，本月共發(fā)布政府行業(yè)相關(guān)安全通告18份，3434政務(wù)安全托管服務(wù)在保障每個用戶的安全效果的同時，也對數(shù)字政府整體行業(yè)的安全態(tài)勢進(jìn)行監(jiān)測與統(tǒng)計，以為用戶提供3535 數(shù)字政府單位在日常安全防護(hù)以及實(shí)戰(zhàn)攻防中，面對的攻擊手段升級加快，如弱特征的高級威脅愈發(fā)主流、0day及高對應(yīng)充分利用生成式人工智能大模型技術(shù)，構(gòu)建針對高對抗、高隱蔽攻擊的檢測防御能力，進(jìn)一步通過自然語言交互協(xié)助安擊者在系統(tǒng)中執(zhí)行任意命令，從而獲得系統(tǒng)控制權(quán)限，并竊取敏感信息。如下圖所示，攻擊者成功利用了該漏洞，在服務(wù)器上執(zhí)行任意命令和惡意操作。由于攻擊流量中沒有明顯特征，流量側(cè)檢測方法取得的結(jié)果均為正常的運(yùn)維行為，無法有洞的攻擊代碼不同，其原理、攻擊行為、攻擊目的具備共同特征，GPT3636安全GPT運(yùn)營大模型基于場景化運(yùn)營工作實(shí)踐經(jīng)驗(yàn)，將資產(chǎn)梳理、加固預(yù)防、監(jiān)測研判、調(diào)查處置、聯(lián)動處置、情報查詢及溯源總結(jié)等方面的工作流程，轉(zhuǎn)換為大模型的思維鏈提示工程，自動協(xié)同相應(yīng)的組件、工具、人員和流程。目前，安助服務(wù)人員開展效率更高、效果更優(yōu)的安全服務(wù)工作。安全GPT有助于大幅減少服務(wù)人員和用戶的手動重復(fù)工作，更聚焦于更高價值的安全工作中；大幅提升實(shí)際安全運(yùn)營工作的效果，如平均檢測與響應(yīng)時間大幅下降，最高可實(shí)現(xiàn)GPTGPT：服務(wù)專家的數(shù)字化助理減少92%的手動重復(fù)運(yùn)營工作，讓人員更聚焦用戶的高價值服務(wù)工作提升平臺的檢測準(zhǔn)確性以及取證全面性，降低服務(wù)人員工作量通過更多場景的自動化能力，進(jìn)一步提升檢測與響應(yīng)的效率入庫時間、活躍行業(yè)、標(biāo)簽等維度進(jìn)行分析。威脅情報解讀支持對IPS、黑客工具37373838和漏洞修復(fù)整改專項(xiàng)工作，需要快速輸出近七天發(fā)現(xiàn)的高危漏洞，并且需快速對單位近七天需要處置的高危漏洞和業(yè)務(wù)系統(tǒng)弱口令情況進(jìn)行定位和自動化梳理，同時針對需要修復(fù)的漏洞的修復(fù)方告警進(jìn)行定性分析，根據(jù)智能推理和豐富知識，事件定性結(jié)果準(zhǔn)確率有明顯提升。當(dāng)確認(rèn)為真實(shí)事件后，需要進(jìn)一步完成39394040 四四為適應(yīng)新的網(wǎng)絡(luò)空間發(fā)展態(tài)勢，規(guī)范新技術(shù)服務(wù)能力，中國信息安全測評中用戶的安全運(yùn)營工作提供托管，因此服務(wù)商需要具備此項(xiàng)安全運(yùn)營服務(wù)資質(zhì)。據(jù)中國信為規(guī)范云化安全運(yùn)營中心解決方案的能力，幫助用戶更好的選擇和使用安全安全托管服務(wù)平臺是為數(shù)字政府單位租戶提供服務(wù)的重要云端平臺，應(yīng)當(dāng)做好嚴(yán)格的安全防護(hù)，按照全擴(kuò)展要求完成等級保護(hù)建設(shè)和測評工作，至少通過等級保護(hù)三級測評。深信服政務(wù)安全4141 ·內(nèi)蒙古自治區(qū)大數(shù)據(jù)中心?一體化安全運(yùn)營場景《內(nèi)蒙古自治區(qū)十四五網(wǎng)絡(luò)安全規(guī)劃》要求建設(shè)自治區(qū)電子政務(wù)外網(wǎng)安全監(jiān)測平臺，建立統(tǒng)一高效的安全風(fēng)險報告機(jī)制和情報共享機(jī)制，建立跨地區(qū)跨層級的安全監(jiān)測協(xié)同聯(lián)動機(jī)制，形成覆蓋全網(wǎng)、整體聯(lián)動、協(xié)調(diào)規(guī)范的政務(wù)外網(wǎng)監(jiān)測運(yùn)行服漏洞驗(yàn)證等全方位能力，通過云地協(xié)同工作機(jī)制有自動化聯(lián)動；云端積累的豐富安全事件知識庫，以及涵蓋基線加固、漏洞閉環(huán)、病毒處置等大量可落地處置經(jīng)驗(yàn)，可賦能本地處置加固能力；云上專家溯源取證、疑難問題處置、專殺工具等尖端能力，以及線下人員對本地網(wǎng)絡(luò)環(huán)境、業(yè)務(wù)特點(diǎn)的深入理解，均有助于確保安全運(yùn)營過程中的協(xié)同響應(yīng)效率漏洞驗(yàn)證等全方位能力，通過云地協(xié)同工作機(jī)制有自動化聯(lián)動；云端積累的豐富安全事件知識庫，以及涵蓋基線加固、漏洞閉環(huán)、病毒處置等大量可落地處置經(jīng)驗(yàn)，可賦能本地處置加固能力；云上專家溯源取證、疑難問題處置、專殺工具等尖端能力，以及線下人員對本地網(wǎng)絡(luò)環(huán)境、業(yè)務(wù)特點(diǎn)的深入理解，均有助于確保安全運(yùn)營過程中的協(xié)同響應(yīng)效率政府單位面臨的攻擊越來越多的發(fā)生在安全防護(hù)水織天然與我國存在時差，經(jīng)常性在夜間或節(jié)假日展開非法攻擊活動。為應(yīng)對這種攻防不對等的情況，家值守能力，確保任何時刻均有安全專家值守，有效對抗非工作時間的攻擊行為。7*24小時持續(xù)監(jiān)測可以貫穿安全事件的全生命周期，針對海量的安全告警進(jìn)行消減，實(shí)現(xiàn)對已知威脅、未知威脅的快速、準(zhǔn)確的檢測，在威脅未發(fā)生之前實(shí)現(xiàn)最大化精準(zhǔn)預(yù)警，時刻洞悉安全事件的蛛絲馬跡，并進(jìn)一步4242 ·江蘇省大數(shù)據(jù)管理中心?持續(xù)有效監(jiān)管合規(guī)場景江蘇省大數(shù)據(jù)管理中心圍繞省電子政務(wù)外網(wǎng)安全管理工作，初步建成網(wǎng)絡(luò)安全運(yùn)營體系，常態(tài)化開展省電子政務(wù)外網(wǎng)實(shí)時安全監(jiān)測預(yù)警、工單處置等工作，提高了網(wǎng)絡(luò)安全事件處置效率及質(zhì)量，實(shí)現(xiàn)了政務(wù)外網(wǎng)網(wǎng)絡(luò)安全管理工作的流程化、制度化、常態(tài)化。為進(jìn)一步強(qiáng)化省電子政務(wù)外網(wǎng)7*24小時威脅發(fā)現(xiàn)、分析和處置能力，省大數(shù)據(jù)管理中心擬采購具備常態(tài)通過全流量監(jiān)測分析，為省大數(shù)據(jù)管理中心自建系統(tǒng)及各委辦局托管系統(tǒng)提供7*24小時不間斷的安全服務(wù)，在嚴(yán)格遵守數(shù)據(jù)不出電子政務(wù)外網(wǎng)的規(guī)范基礎(chǔ)上，對目標(biāo)范圍內(nèi)的信息系統(tǒng)服務(wù)資產(chǎn)，持續(xù)開展資產(chǎn)安全、脆弱性、威脅、安全事件管理服務(wù)，對主要資產(chǎn)的風(fēng)險進(jìn)行定性或定量的脆弱性風(fēng)險分析，描述不同資產(chǎn)的風(fēng)險高低狀況，對識別出來的安全風(fēng)險4343針對基礎(chǔ)信息、資產(chǎn)發(fā)現(xiàn)、資產(chǎn)管理、互聯(lián)網(wǎng)暴露面檢測與攻擊面管理、漏洞掃描與管理、資產(chǎn)威脅檢測營服務(wù)，通過政務(wù)外網(wǎng)網(wǎng)內(nèi)云端值守和線下各角色人員進(jìn)行場景化分工協(xié)作，云地協(xié)同的安全模式，提升檢測與響應(yīng)系統(tǒng)、APT流量檢測設(shè)備等建立全面有效的安全運(yùn)營實(shí)現(xiàn)全網(wǎng)安全流量、終端安全信息與安全日志的匯聚、治理、檢測、分析與處置，并具備數(shù)據(jù)的傳輸、共配備1名專業(yè)服務(wù)經(jīng)理，負(fù)責(zé)安全托管的整體協(xié)調(diào)、統(tǒng)籌工作，把控服務(wù)質(zhì)量，保障日常持續(xù)威脅監(jiān)測與響應(yīng)服務(wù)工作順利開展。每日與本地安服團(tuán)隊人員進(jìn)行信息同步，每周定期向用戶匯報服務(wù)成效。專業(yè)服務(wù)經(jīng)理背后具備1個遠(yuǎn)程專家團(tuán)隊，如安全分析師、應(yīng)急響應(yīng)專家等，負(fù)責(zé)做好威脅檢測與分析、事件應(yīng)在重大活動、重要節(jié)日、攻防演練等重要保障時期，基于GMSS構(gòu)建和攻防態(tài)勢進(jìn)行匯總分析及匯報。結(jié)合“平時”與“戰(zhàn)時”不同時期的安全運(yùn)營保障措施，沉淀優(yōu)化安全省大數(shù)據(jù)管理中心的業(yè)務(wù)資產(chǎn)較多，需要監(jiān)測超過一千個業(yè)務(wù)系統(tǒng)，線下駐場人員也是分工明確，也面面俱到地做到安全設(shè)備的告警分析。政務(wù)安全托管服務(wù)通過人機(jī)共智的方式對海量安全告警進(jìn)行分析、》》》4444省大數(shù)據(jù)管理中心資產(chǎn)集中、涉及到核心業(yè)務(wù)和數(shù)據(jù)，是黑客的重點(diǎn)攻擊目標(biāo)，晚上和周末時段均是的活躍高峰期，此前曾在夜間凌晨遭遇過兩次未成功的勒索攻擊，本地安全人員對此非常焦慮。而第一時間通過電話直接聯(lián)系客戶進(jìn)行風(fēng)險遏制，避免對業(yè)務(wù)的負(fù)面影響，并且云端配備高級別的安及時下發(fā)安全問題、跟進(jìn)整改，積極配合、應(yīng)對監(jiān)管其他政府單位曾因沒有及時進(jìn)行處置閉環(huán)而被上級監(jiān)管單位通報過安全事件。省大數(shù)據(jù)管理中心化被主動，積極配合好監(jiān)管單位的安全通報工作，通過政務(wù)安全托管服務(wù)持續(xù)進(jìn)行常態(tài)化的風(fēng)險預(yù)防和監(jiān)測響應(yīng)，實(shí)現(xiàn)了漏洞問題和安全事件的及時分析和處置，將安全水平維持在較高水平。完成的工作體現(xiàn)在多個維度：包括惡意域名封禁、安全防護(hù)策略優(yōu)化在內(nèi)的安全設(shè)備策略管理工作；脆弱性管理工作，如弱密碼梳理、漏洞掃描、威脅狩獵，結(jié)合線下的滲透測試發(fā)現(xiàn)脆弱性，并做到及時下發(fā)整改威脅管理工作，應(yīng)的響應(yīng)處置方案，協(xié)助運(yùn)維人員進(jìn)行升級加固；事件管理工作，針對已經(jīng)失陷的主機(jī)進(jìn)行及時有效的處 ·江西省信息中心?日常網(wǎng)絡(luò)安全托管運(yùn)營保障場景“大數(shù)據(jù)”為代表的新型基礎(chǔ)設(shè)施省級平臺集中建設(shè)并投入使用。新技術(shù)的應(yīng)用，新型基礎(chǔ)設(shè)施的集中建設(shè)，海量數(shù)據(jù)的集中存儲，網(wǎng)絡(luò)安全牽一發(fā)而動全身，對網(wǎng)絡(luò)安全保障工作提到前所未有的高度。的安全運(yùn)營技術(shù)平臺，引入政務(wù)安全托管服務(wù)新模式，培育本地化安全運(yùn)營隊伍，全面構(gòu)建江西“數(shù)字政府”日常安全運(yùn)4545打造一體化安全運(yùn)營保障能力，構(gòu)建江西電子政務(wù)網(wǎng)“四橫兩縱”整體網(wǎng)絡(luò)安全運(yùn)營保障框架，通過政務(wù)安全托管服務(wù)持....................................建設(shè)安全運(yùn)營中心工作獨(dú)立辦公場地，以避免工作過程中安全保密信息違規(guī)擴(kuò)散，提升網(wǎng)絡(luò)安全工作人員協(xié)同效率，同時在政務(wù)外網(wǎng)云數(shù)據(jù)中心建設(shè)部署網(wǎng)絡(luò)安全運(yùn)營平臺，對接政務(wù)外網(wǎng)現(xiàn)有安全態(tài)勢感知系統(tǒng)與接收各政務(wù)網(wǎng)接入部門與單位安全日志，實(shí)現(xiàn)電子政務(wù)網(wǎng)網(wǎng)絡(luò)安全威脅實(shí)時監(jiān)測與安全態(tài)勢全面感知。對平臺所產(chǎn)出成果以及配套的專家隊伍以服務(wù)形規(guī)劃設(shè)計風(fēng)險評估流程、監(jiān)測預(yù)警流程、安全通報流程、應(yīng)急響應(yīng)流程、溯源取證流程、運(yùn)維管理流程六大流程，用于規(guī)整合網(wǎng)絡(luò)安全運(yùn)營中心人員、技術(shù)、流程，三者之間共同發(fā)揮作用，以一種面向用戶、保障效果的安全托管服務(wù)的方式來輸出各種安全能力。通過規(guī)劃統(tǒng)一服務(wù)目錄，設(shè)計服務(wù)策略，規(guī)范服務(wù)流程，向各省直電子政務(wù)網(wǎng)接入各部門、單位輸出4646圍繞安全運(yùn)營平臺，組建安全運(yùn)營中心技術(shù)隊伍，隊伍技術(shù)能力初期滿足政務(wù)外網(wǎng)日常網(wǎng)絡(luò)安全事件監(jiān)測預(yù)警、事件分析通過全流量監(jiān)測與大數(shù)據(jù)分析手及時發(fā)現(xiàn)電子政務(wù)網(wǎng)安全隱患，測與威脅感知能力，減少重大網(wǎng)絡(luò)安全事件發(fā)生概率，減少或避免重大網(wǎng)絡(luò)安全事件所造成的經(jīng)以安全運(yùn)營中心和政務(wù)安全托管服務(wù)為抓手，向政務(wù)接入各部門及時精準(zhǔn)預(yù)警網(wǎng)絡(luò)安全威脅、通報網(wǎng)絡(luò)安全事件。同時依托運(yùn)營平臺態(tài)勢預(yù)測與智能分析能力，為省信息中心制定年度網(wǎng)絡(luò)安全工作規(guī)劃提供決策依據(jù)，使網(wǎng)絡(luò)通過網(wǎng)絡(luò)安全運(yùn)營平臺與托管運(yùn)營能力的集約化建設(shè)，整合安全運(yùn)營資源，提升政務(wù)網(wǎng)安全運(yùn)營建設(shè)水平與團(tuán)隊技術(shù)能力，以安全托管服務(wù)的形式向政務(wù)網(wǎng)接入部門統(tǒng)一配置安全資源，優(yōu)化資 ·珠海市政務(wù)服務(wù)和數(shù)據(jù)管理局?安全效果提升場景為滿足合規(guī)要求以及數(shù)字政府常態(tài)化安全保障工作要求，珠海市政務(wù)服務(wù)和數(shù)據(jù)管理局（以下簡稱“珠海政數(shù)局”）不斷在日常網(wǎng)絡(luò)安全管理工作中缺乏較強(qiáng)的專業(yè)人員力量和技術(shù)保障力量；網(wǎng)絡(luò)中現(xiàn)有安全設(shè)備的日志梳理、異常告警分析處置等工作量巨大；針對危害程度較大的高級攻擊難以及時篩選和高效的處置閉環(huán)。當(dāng)前互聯(lián)網(wǎng)技術(shù)發(fā)展迅速，攻防對抗程度不斷加大，大量政府單位已無法獨(dú)自確保安全效果，亟需補(bǔ)充專業(yè)人員和技術(shù)力量協(xié)助進(jìn)行日常的異常告警日志梳理以另一方面，每年的重要節(jié)假日、重大活動以及各級別實(shí)戰(zhàn)攻防演練期間，珠海市政務(wù)外網(wǎng)及政府網(wǎng)站系統(tǒng)可能面臨密集式的網(wǎng)絡(luò)安全攻擊，需要短時間、高強(qiáng)度的網(wǎng)絡(luò)安全保障力量，短時強(qiáng)化整體防御及應(yīng)急響應(yīng)能力，全面掌握網(wǎng)絡(luò)和系統(tǒng)的安全風(fēng)險和防護(hù)狀況。因此亟需專業(yè)安全人員進(jìn)行技術(shù)支撐，建立配套的7×24小時值守體系，協(xié)助開展互聯(lián)網(wǎng)出口和互聯(lián)網(wǎng)業(yè)務(wù)的流量分析，及時發(fā)現(xiàn)政務(wù)外網(wǎng)內(nèi)高風(fēng)險主機(jī)，協(xié)助開展漏洞通知整改及強(qiáng)化應(yīng)急響應(yīng)和處置工作，確保安全事4747漏洞管理、7×24小時威脅和事件管理，配套的其他服務(wù)包括應(yīng)急響應(yīng)、滲透測政務(wù)安全托管服務(wù)依托全國政務(wù)外網(wǎng)更大范圍的安全態(tài)勢感知和威脅情報共享能力，提供云端安全專家服務(wù)團(tuán)隊作為本地提供2名專業(yè)安全技術(shù)人員進(jìn)行駐場運(yùn)維服務(wù)，提數(shù)據(jù)不出政務(wù)網(wǎng)絡(luò)，安全7*24小時監(jiān)測預(yù)警，持續(xù) 市政數(shù)局及各區(qū)政數(shù)局服務(wù)化提供必要安全服務(wù)組件，補(bǔ)足通過分布式XDR平臺對接現(xiàn)有市級政務(wù)外網(wǎng)互聯(lián)網(wǎng)出口、政務(wù)外網(wǎng)省地市邊界探針及珠海市各區(qū)政數(shù)局安全感知平臺，結(jié)合用戶實(shí)際情況，政務(wù)安全托管服務(wù)解放現(xiàn)有人員的精力和能力，從構(gòu)建持續(xù)有效的安全運(yùn)營體系為出發(fā)點(diǎn)，通過“人通過安全托管，對珠海市政務(wù)外網(wǎng)進(jìn)行全流量檢測，平均可影響業(yè)務(wù)運(yùn)行、導(dǎo)致數(shù)據(jù)泄露的多種攻擊類型進(jìn)行有效防御，如代碼注入、信息泄露攻擊、請求偽造、目錄遍歷和漏洞針對五一、國慶等節(jié)假日和省級、市級實(shí)戰(zhàn)攻防演練期間的安全保障，政務(wù)MSS成功完成任務(wù)，4848 ·煙臺市大數(shù)據(jù)中心?政務(wù)云、網(wǎng)一體化運(yùn)營場景煙臺市大數(shù)據(jù)中心承擔(dān)全市電子政務(wù)云平臺、電子政務(wù)外網(wǎng)等基礎(chǔ)設(shè)施，政務(wù)數(shù)據(jù)資源共享交換、公共數(shù)據(jù)開放、大數(shù)據(jù)煙臺市電子政務(wù)云平臺包括互聯(lián)網(wǎng)域、公共村居（社區(qū)）按需接入，橫向接入黨委、人大、政協(xié)、法院、檢察院等機(jī)關(guān)。電子政務(wù)外網(wǎng)公共服務(wù)域覆蓋市級部門和單第一，云化環(huán)境帶來的新安全威脅和挑戰(zhàn)需通過行之有效的技術(shù)手段進(jìn)行應(yīng)對。云計算虛擬化的環(huán)境，模糊了傳統(tǒng)的物理安全邊界，以硬件為主的安全防護(hù)產(chǎn)品無法很好地適用于云計算環(huán)境，難以及時、快速、有效的抵御政務(wù)云第二，規(guī)范統(tǒng)一的威脅檢測分析及安全運(yùn)營能力亟需補(bǔ)充。業(yè)務(wù)系統(tǒng)和應(yīng)用如果存在漏洞和安全隱患，易被攻擊者利用，給整個政務(wù)云平臺帶來極大的威脅。業(yè)務(wù)系統(tǒng)上云后需要通過一系列技術(shù)手段和措施進(jìn)行有效的安全監(jiān)測和第三，應(yīng)急響應(yīng)機(jī)制需進(jìn)一步完善。需建立多方聯(lián)動、健全有效的應(yīng)急響應(yīng)機(jī)制，出現(xiàn)緊急或重大安全事件時，各第四，需補(bǔ)充有效的安全監(jiān)管技術(shù)手段。煙臺市大數(shù)據(jù)中心在履行自身的安全監(jiān)管職責(zé)方面，尚不具備專門的安全4949政務(wù)MSS解決管理人員研判及處置能力有限、運(yùn)維精力分散的問題，釋放運(yùn)維管理壓力。同時采購安全托管服務(wù)的增值通過政務(wù)MSS的資產(chǎn)梳理與漏洞管理相結(jié)合，明確業(yè)務(wù)運(yùn)行風(fēng)險點(diǎn)并進(jìn)行定向安全加固，協(xié)助用戶針對漏洞的期進(jìn)行跟蹤管理，實(shí)現(xiàn)真正的閉環(huán)處置。通過政務(wù)MSS的事件管理機(jī)制，借助不斷沉淀知識和工具的服務(wù)平臺以及實(shí)戰(zhàn)通過簽訂政務(wù)安全托管服務(wù)的SLA承諾書建立良好信任，以可量化的安全效果提升安全感件通報等文檔滿足用戶對云、網(wǎng)安全方面分 完善的數(shù)據(jù)安全性 完善的數(shù)據(jù)安全性是在電子政務(wù)外網(wǎng)上部署政務(wù)安全運(yùn)營中心，并組建 理，并基于行政單位進(jìn)行了分類，定位到具體單位個團(tuán)隊的管理壓力，同時基于漏洞危害程度形成對應(yīng)的 體系化的服務(wù)機(jī)制 體系化的服務(wù)機(jī)制 在服務(wù)合同中，針對各項(xiàng)風(fēng)險與事件進(jìn)行了檢測與響通報等文檔也將安全效果可視化，有效體現(xiàn)了用戶安5050 ·東莞市政務(wù)服務(wù)和數(shù)據(jù)管理局?一體化托管場景一直以來政務(wù)數(shù)據(jù)的高價值備受黑客關(guān)注，尤其是多部門數(shù)據(jù)打通、政務(wù)信息化集中共享后導(dǎo)致暴露面風(fēng)險增大，安全攻擊顯著增多，APT攻擊也越來越猖獗。安全建設(shè)的短板效應(yīng)也愈發(fā)明顯，通過數(shù)字政府網(wǎng)絡(luò)的安全檢測體系建設(shè)需要從粗放防護(hù)轉(zhuǎn)向精細(xì)化運(yùn)營，東莞市政務(wù)服務(wù)和數(shù)據(jù)管理局（以下簡稱“東莞政數(shù)國家信息中心持續(xù)賦能，補(bǔ)足安全防護(hù)短板?；凇秶译娮诱?wù)外網(wǎng)安全監(jiān)測體系技術(shù)規(guī)范與實(shí)施指南》的指引，依托于在國家電子政務(wù)外網(wǎng)核心骨干節(jié)點(diǎn)部署的政務(wù)安全托管服務(wù)運(yùn)營中心，將本級單位進(jìn)行接入，實(shí)現(xiàn)全天候24小時不間斷的威脅監(jiān)測、事件閉環(huán)、安全運(yùn)營的服務(wù)保障。保障政務(wù)工作人員將更多精力投入到數(shù)字政務(wù)建設(shè)及管理之中，通過召善安全威脅處置效率低下的現(xiàn)狀。通過國家信息中心共享以及安全托管服務(wù)自身的威脅情報，聯(lián)動本地安全防護(hù)組件，實(shí)現(xiàn)自動化主動防御、安全威脅動態(tài)清零的防護(hù)模式，達(dá)成各類安全事件、高級安全威脅、一般安全威脅的判斷準(zhǔn)確率不低一體化安全托管，融合模式創(chuàng)新與服務(wù)效果升級。一體化安全托管的服務(wù)模式，堅持安全可控與開放創(chuàng)新相結(jié)合，充分滿管一體”，東莞市政務(wù)服務(wù)和數(shù)據(jù)管理局統(tǒng)籌全市網(wǎng)絡(luò)安全體系和標(biāo)準(zhǔn)，制定規(guī)范與要求，市級單位按需進(jìn)行靈活申請，5151運(yùn)營期間平均每月捕獲網(wǎng)絡(luò)攻擊1449.17萬次，業(yè)務(wù)資產(chǎn)遭受攻擊次數(shù)較多的攻擊類型為“反序列化”和“代碼運(yùn)營期間平均每月捕獲網(wǎng)絡(luò)攻擊1449.17萬次，業(yè)務(wù)資產(chǎn)遭受攻擊次數(shù)較多的攻擊類型為“反序列化”和“代碼協(xié)同客戶處置解決了問題，有效控制了安全事態(tài)。因?yàn)槭录陌l(fā)現(xiàn)、處置、響應(yīng)都處于非工作時間且實(shí)現(xiàn)了高效確地識別到各種安全事件，并第一時間通過電話或在微信群進(jìn)行通告，運(yùn)維人員快速定位到異常終端單位并下發(fā)參照參照GB/T42461-2023《信息安全技術(shù)一體化安全托管服務(wù)在能力上可覆蓋網(wǎng)絡(luò)安全監(jiān)測，網(wǎng)絡(luò)安全分析，網(wǎng)絡(luò)安全應(yīng)急響應(yīng)和網(wǎng)絡(luò)安全加固等典型服5252 ·臺州市大數(shù)據(jù)發(fā)展中心?安全托管擴(kuò)展能力場景經(jīng)過多年的信息安全建設(shè)，當(dāng)前臺州市電子政務(wù)外網(wǎng)已初步建成一套較為完善的安全檢測防御體系。由于信息技術(shù)變化越僅依靠安全產(chǎn)品和安全軟件做到永保安全的想法已不合時宜，需要7*24小時的安全事件的監(jiān)測預(yù)警、追蹤溯源分析和響應(yīng)閉環(huán)服務(wù)，包括對事件驗(yàn)證和確認(rèn)、關(guān)聯(lián)事件上下文信息和證據(jù)補(bǔ)充，以及病毒問題的閉環(huán)解決，充分保障安全效果，以XDR可擴(kuò)展檢測與響應(yīng)為平臺構(gòu)建市域網(wǎng)絡(luò)安全監(jiān)管平臺，對區(qū)域電子政務(wù)外網(wǎng)的云、網(wǎng)、邊、端的整體安全數(shù)據(jù)進(jìn)行數(shù)據(jù)歸集、匯總、清洗、治理，統(tǒng)一安全數(shù)據(jù)接口規(guī)范，構(gòu)建開放、共享、標(biāo)準(zhǔn)的政務(wù)安全大數(shù)據(jù)體系。同時，以市政務(wù)云為核心，梳理電子政務(wù)外網(wǎng)安全能力，建設(shè)安全綜合分析系統(tǒng)，匯總產(chǎn)業(yè)端優(yōu)勢安全能力，打造專業(yè)嚴(yán)謹(jǐn)?shù)穆┒捶治龆春褪录▓螅珳?zhǔn)地發(fā)揮通報預(yù)警、應(yīng)急指揮、案事件處置的職能。并且，通報閉環(huán)流程和安全運(yùn)營中心充分共享，面向各委辦局提供統(tǒng)一的人員、工具、服務(wù)三位一體的運(yùn)營模式，通過專業(yè)的網(wǎng)絡(luò)安全隊伍和技術(shù)平臺，以及規(guī)范化的運(yùn)營管理，以服務(wù)化的方式協(xié)助業(yè)務(wù)需求部門提升安全威脅主動發(fā)現(xiàn)和安全處置能力，實(shí)現(xiàn)臺州市政務(wù)外網(wǎng)網(wǎng)絡(luò)安全運(yùn)行的5353類風(fēng)險威脅，業(yè)務(wù)未曾遭受到大規(guī)模針對性攻擊行為的影響，外部攻擊行為均有效防 ·某省級大數(shù)據(jù)中心?7*24小時安全托管保障場景定的事件進(jìn)行處置；針對頻繁發(fā)生的夜間攻擊，希望做到7*24小時監(jiān)測，出現(xiàn)安全事件第一時間響應(yīng)，避免出現(xiàn)被監(jiān)管并通過資深專家池對安全威脅的專業(yè)分析及定位，幫助客戶精準(zhǔn)檢測網(wǎng)絡(luò)和主機(jī)中的有效安全告警/威脅。同時服務(wù)專家團(tuán)隊會對識別到的威脅進(jìn)行主動響應(yīng)，采取措施降低威脅可能造成的影響，協(xié)助客戶閉環(huán)處置安全事件。通過建立符合省大數(shù)據(jù)中心安全保障要求的7*24小時安全運(yùn)營機(jī)制，持續(xù)性開展安全主動響應(yīng)、漏洞管理、威脅管理、高危漏5454由專屬由專屬服務(wù)經(jīng)理統(tǒng)籌負(fù)責(zé)響應(yīng)跟進(jìn)安全工由專屬由專屬服務(wù)經(jīng)理統(tǒng)籌負(fù)責(zé)響應(yīng)跟進(jìn)安全工分析，針對非誤判告警生成事件，交給服務(wù)經(jīng)理進(jìn)按照國家標(biāo)準(zhǔn)對威脅和事件進(jìn)行分級分類，幫助客戶區(qū)分輕重緩急；與客戶提前對齊威脅和事件的分級和響應(yīng)要求，尤其是夜間事件分級分類和響應(yīng)標(biāo)準(zhǔn)，并配置響應(yīng)策略，保證響應(yīng)動作更符合客戶實(shí)對于非工作時間的威脅，利用云端大數(shù)據(jù)平臺實(shí)現(xiàn)深度的多維度數(shù)據(jù)聚合分析，從海量告警中精準(zhǔn)定深度的多維度數(shù)據(jù)聚合分析，從海量告警中精準(zhǔn)定位真實(shí)威脅和事件；針對常見的威脅場景（如：勒索攻擊）預(yù)設(shè)安全用例UseCase，橫向分析多維日志，輸出精準(zhǔn)的威脅告警工單，大幅提升正報率客戶監(jiān)測研判流程固化寫入平臺，實(shí)時監(jiān)控魚威脅狩獵：釣魚狩獵平臺收集黑客情報網(wǎng)和情報一般而言，對于非重大風(fēng)險，平臺基于一般而言，對于非重大風(fēng)險，平臺基于Playbook技術(shù)根據(jù)風(fēng)險信息傳遞指令，快速自動化響應(yīng)，通安全風(fēng)險，如ip封鎖等操作；對于重大風(fēng)險：服務(wù)經(jīng)理匯報風(fēng)險信息和遏制方案，客戶授權(quán)后，通過安全組件進(jìn)行響應(yīng)遏制操作；并通過多維數(shù)據(jù)自動關(guān)聯(lián)分析，迅速溯源入侵路徑；通過實(shí)戰(zhàn)積累55557*24小時持