数据安全管控平台建设方案

杭州市数据安全管控平台建设方案第71页共72页杭州数据安全管控平台建设方案方案编制单位：杭州安恒信息技术有限公司杭州xxx有限公司20182019年9月

目录1. 项目概述 51.1. 项目名称 51.2. 建设方案编制依据 51.3. 项目建设目标、规模、内容 61.3.1. 项目建设目标 61.3.2. 项目建设规模 71.3.3. 项目建设内容 72. 需求分析 82.1. 政务业务目标需求分析结论 82.2. 系统功能需求的理解及指标设定 112.2.1. 数据采集功能指标 112.2.2. 数据处理功能 122.2.3. 数据存储功能 132.2.4. 信息通知功能 142.2.5. 信息通报功能 142.2.6. 通报预警功能 152.2.7. 应急指挥功能 152.2.8. 全市安全资源整合 162.2.9. 终端安全管控 162.2.10. 政务云安全保障 172.2.11.信息安全评价 172.3. 信息量指标 172.4. 系统性能指标 193. 总体建设方案 213.1. 总体设计原则 213.2. 总体目标 223.3. 总体建设任务 243.3.1. 建设具有网络安全统筹协调指挥能力的管理平台 243.3.2. 建设网络安全信息共享和大数据分析能力 243.3.3. 建设全市网络安全指挥响应机制 253.3.4. 建设全市网络安全信息通报机制 253.3.5. 建设市内网络溯源取证管理能力 263.3.6. 建设全市云上系统安全保障系统 263.3.7. 建设终端安全管理机制 273.3.8. 开发信息安全管理评价系统 273.3.9. 开发检查调查系统 283.3.10. 开发安全产品/服务集约化支撑系统 284. 本期项目设计方案 294.1. 本期建设内容 294.1.1. 软件开发部分 294.1.2. 标准制定部分 424.1.3. 数据服务 434.2. 平台总体设计 444.2.1. 平台角色设计 464.2.2. 平台功能设计 464.2.3. 平台标准设计 474.3. 应用支撑平台和应用系统设计方案 484.3.1. 态势感知系统建设 484.3.2. 应急指挥系统建设 514.3.3. 实时预警系统建设 534.3.4. 信息通报系统建设 544.3.5. 大数据存储系统建设 554.3.6. 大数据分析系统建设 564.3.7. 政务数据安全人员管控措施 604.3.8. 安全防护系统建设 624.3.9. 数据交换共享及资源整合系统建设 644.3.10. 终端安全管控子系统建设 644.3.11. 云平台安全防护子系统 664.3.12. 安全评价系统建设 704.3.13. 安全能力集约化系统建设 724.4. 平台安全系统设计方案 734.4.1. 平台通讯链路安全性 734.4.2. 平台自身安全防护 754.5. 平台及系统部署设计方案 764.6. 人员培训方案 795. 方案实施路径 825.1. 第一阶段建设 825.2. 第二阶段建设 835.3. 第三阶段建设 85

项目概述项目名称项目名称：杭州数据安全管控平台建设项目建设方案编制依据《中华人民共和国网络安全法》《国家网络空间安全战略》《国家网络安全事件应急预案》（中网办发文〔2017〕4号）《关于加强党政机关网站安全管理的通知》（中网办发文〔2014〕1号）《国务院办公局关于印发政府网站发展指引的通知》（国办发〔2017〕47号）《关于加强国家网络安全标准化的若干意见》（中网办〔2016〕5号）《杭州市促进大数据发展实施计划》《杭州市城市数据大脑规划》《信息安全技术云计算服务安全指南》（GB/T31167-2014）《信息安全技术云计算服务安全能力要求》（GB/T31168-2014）项目建设目标、规模、内容项目建设目标建设杭州数据安全管控平台，实时掌握杭州市重要信息系统及数据资产的网络安全态势，及时了解市级党政机关部门重要信息系统及数据资产和相关网络安全威胁、风险和隐患，监测安全漏洞、病毒木马和网络攻击情况，整合多部门和第三方安全厂家的威胁情报数据，及时通报预警重大网络安全威胁，调查、防范和阻断网络入侵行为，实现“看得见网络、防得住攻击、控得住网情、止的住风险”，为杭州市数据安全监管工作提供有效技术支撑，保障我市政治、经济、文化和社会安全稳定。项目建设规模杭州数据安全管控平台，选取典型的重要信息系统与数据资产用户进行多维度数据采集：流量监测数据、漏洞检测数据、业务可用性检测数据、威胁情报数据等等，综合提高安全感知、预警、防护、响应能力。杭州数据安全管控平台，将对杭州市地域范围内的政务外网系统进行全天候全方位可用性监测、篡改监测、漏洞检测、流量检测、重大漏洞专项检测响应、威胁情报筛选等，实时呈现政务网络空间安全总体态势。项目建设内容建设杭州数据安全管控平台，对杭州市内重要信息系统及数据资产进行的全天候全方位可用性监测、篡改监测、漏洞检测、重大漏洞专项检测响应、流量监测攻击采集等，实时呈现杭州市网络空间安全总体态势，包括重要数据处理系统和网络空间资产态势、威胁态势、攻击态势、预警态势、事件态势和处置态势。建设数据资源局和其他职能部门协调联动的网络安全监测预警处置工作机制，构建社会各方参与的网络安全综合防控体系，推动大数据社会综合治理向深层次发展，整体提升杭州市数据安全防护水平。需求分析政务业务目标需求分析结论（1）建立杭州市跨部门数据安全协调指挥体系根据《中华人民共和国网络安全法》的相关要求，为积极落实责任要求，加快杭州市数据安全协作机制建设，需建立数据安全管控平台，实现杭州数据资源局以及其他系统运营使用单位、信息安全支撑单位等单位、组织在网络安全上的协作、互通，建立监测预警、信息通报、应急处置、追踪溯源等相关机制建设。（2）建立杭州市网络安全数据共享机制，整合全市信息安全优质资源目前杭州市数据资源局下辖部分区县委办局等单位相关政务管理单位均对各自负责监管领域建设监测、存储系统，但尚未建设市内信息互通、共享的数据交换平台，数据无法连通，工作难以互动。为解决这一问题，需建立共享数据机制，互通有无，信息共享。建设统一的安全大数据平台，整合优秀安全厂商及服务商等优质信息安全资源，将数据提供给相关单位灵活运营，为杭州市数据安全管控工作提供支撑。（3）加强重要信息系统及数据资产保护的需求杭州市内重要信息系统及数据资产的安全技术水平参差不齐，区分重点，识别关键，根据实际需要对市内重要信息系统及数据资产建立监测、预警、防范机制，加强对关键目标的管控、风险识别的能力水平。（4）提升杭州市整体数据安全感知分析能力目前杭州市缺乏对市内整体数据安全水平感知、分析能力，难以实时掌控全市安全动态，发生网络安全险情时，也无法进行精准预警。为实时掌握全市数据安全情况、安全动态，发生安全隐患时可以进行快速、精准预警，需依托大数据技术建立全市数据安全感知分析能力，实现精准匹配、重点分析。并需通过多个维度，提供可视化方式的大数据分析结果，为研判、决策及重要时期的网络安全保障工作提供有效支撑。（5）建立市、区县、村/街道三级网络安全指挥协同体系目前网络安全的落地工作根据本地电子政务管理机构分别管理，但由于各地技术实力不同、网络攻击又没有边界，导致市内各区县各街道安全水平千差万别。为提高杭州市数据安全整体水平，实现市内数据安全工作统一安排、统一指挥、相互协作、能力共享，需打通市、区县、/村街道三级监管体系，打造数据互通、业务联动。（6）建立全市网络安全信息通报、预警机制进一步加强安全数据的收集，加强第三方威胁情报的接入，建设多方参与的信息安全情报网络，进一步完善本地信息安全威胁情报库的建设，建立基于威胁情报的全新外部监测体系。结合网络安全态势感知和通报预警系统，政务服务体系安全措施，提升各个系统间的协作与整体防护能力，实现对重要政务系统的安全监测，对安全事件的及时通报，进一步提高对全市电子政务攻击事件的预警及通报真该能力。（7）提高安保活动的临战能力除了日常网络安全保障工作外，需要提高杭州市在重大活动期间应对突发重大信息安全事件的应急处理能力，形成事前预警通报，事中防护应急的信息安全指挥与安保体系，针对重大活动实行重点关注，保障活动有序、安全的进行，加强临战指挥能力，进一步提升杭州市安保期间的数据安全保障能力。系统功能需求的理解及指标设定数据采集功能指标（1）对全市重点在线政务系统进行监测目前杭州市尚缺乏针对全市范围在线政务系统整体监控，需要针对在线政务系统建设大范围感知系统，对在线系统通过远程探测方式进行重点监控，对其服务质量（是否稳定在线）、漏洞情况、内容是否发生篡改等情况进行监控。当发现在线系统出现问题时，可以第一时间进行预警、通报。（2）对重要对象、重点单位进行重点布控对市直属单位、重要企业进行重点监控，除在线系统的监测外，还需要对接各政务单位信息系统的出口进行流量监测，实时感知各单位数据安全及受攻击状况，以便发现攻击时能够第一时间研判、通知、处置，保障系统安全。（3）针对互联网端资产进行普查、识别在进行网络空间治理工作中，最基础也最重要的一项工作就是网络资产的识别与分析，平台需要建设针对杭州市网络空间的网络及数据资产探测、识别、分析能力，配合线下调研的方式实现网络资产的清底工作，为后续监察、预警、分析研判提供基础数据。（4）数据采集接口平台需要接收其他政务安全管理部门以及社会上从事网络安全工作的企业单位的数据，并且与区县、村/街道重要信息系统及重点单位数据资产建立数据联通，实现数据上传、下达。为此需要提供自动化的数据接口、制定相关标准规范，以实现数据的采集、联通。从而构建数据完备的杭州数据安全管控平台。数据处理功能由于平台采集数据具有多种方式、多种来源，数据会存在多种形式、样式，针对同一内容也会存在不同的表达方式，所以平台采集数据后，应该经过数据处理后方能在平台中进行分门别类的存储，便于后续分析。数据处理的方式主要包括数据预处理、去重合并、日志类数据的格式范化以及语义统一等方式。（1）数据预处理：主要指将相同数据类型、不同来源的数据进行数据补全，如厂商A数据中带有IP信息和单位信息，厂商B数据带有IP信息单不带有单位信息（厂商B无法获知该IP对应单位），平台在预处理过程中，需从资产库中获取单位信息并补全厂商B传输的数据。（2）去重合并：对不同来源的相同数据进行去重合并，减少数据冗余。（3）日志类数据范化：对于不同来源的日志信息，提供标准的格式要求，能够支持将个别、特殊的日志处理为一般信息，便于后续存储、分析。（4）语义统一：对各类数据建设统一知识库，将数据能够匹配统一的语义说明，避免不同单位、不同安全厂商对同一问题上的理解不一致，并降低安全事件、告警等信息的理解难度，便于安全管理。而在数据处理层，就要对不同类型的告警或事件进行归类与匹配，使用既定的知识库为告警或事件提供语义解释。数据存储功能由于平台以全市重要信息系统及重点单位为目标，又要对其他行业主管单位的数据进行汇总、分析，数据量较为庞大，需要通过大数据的存查技术，实现平台底层搭建。从数据存储的功能分类来讲，平台数据主要需包括知识库、人员库、业务数据、监管资产数据、安全数据等。（1）知识库：主要为平台中的规则体系，如攻击规则库、木马病毒库、事件规则库、漏洞规则库、应急预案库等。（2）人员库：主要包括支持人员信息、黑客信息。（3）业务数据：主要指平台管理、使用过程中产生的业务操作数据，主要包括通报管理数据（通报情况、处理进度等）、处置管理数据、预警数据、应急指挥数据等。（4）监管资产数据：主要指平台中监管对象数据，包括单位信息、系统信息、网站信息、IDC信息、服务器信息、社会化网站信息等。（5）安全数据：主要包括事件、隐患、告警。其中事件为人工参与确认或通过智能计算得出的，并且需要监管人员管理及处置的可能对重要信息系统及数据资产造成影响的行为与结果。事件分类需要参照目前国家标准中的事件分类分级方法。事件本身在平台后续设计中将区分为一般事件和高级事件两种，一般事件即目前的事件概念，高级事件则由多种事件沟通、归类、关联后产生，即一个高级事件包含了多个一般事件。告警为平台中使用的各类引擎直接报送的信息，未经过人工或智能计算确认、审计、分析处理。而隐患则为信息系统由于配置不当、软件设计开发缺陷或者不符合某种行业基线规范而使系统存在被攻击、入侵风险的问题。信息通知功能平台需建立杭州市网络安全信息通知机制，建立信息发布渠道和技术手段，满足日常信息通知需要。信息通报功能统一信息发布渠道，实现单位接收端统一，与下辖区县等单位共建信息通报机制。信息通报机制支持对安全隐患、安全事件等信息的提醒、限期整改、通报不同级别通知通报能力。通报预警功能目前，杭州市尚未建立网络安全预警机制，当发生安全险情时，可以快速开展预警工作，针对特定区域、特定目标发起预警公告，即时提醒相关单位、组织机构开展防护工作，做好应对准备。应急指挥功能由于中国在国际上的社会地位与日增高，重大外事活动越来越多，尤其杭州市会杭州市作为全国经济发达省份，多次承担国家重要会议、会展任务，如G20峰会以及即将召开的亚运会。同样国内的安保需求也越来越重，十九大、两会等重要会议的召开，也对网络安保工作提出了非常严峻的考验。对此，需要杭州数据及行业主管部门开展联合协同作战，对平台则要求能将各部门协调起来，为保障重要时期的网络安全，提供有力支持。提供本地志愿者、安全单位的协调管理能力、提供安保的整体感知、提供安保演练的能力、提供监管单位协同能力、提供应急防护资源池，并且建设网络安保应急预案体系。平台需要对能够将杭州数据资源局、本地支撑单位、志愿者等进行指挥、协调，以便网络安保工作有条不紊的进行。杭州市内政务信息系统及数据的安全技术水平参差不齐，难以对目前先进、复杂的网络安全技术保持跟进。在重点网络安保时期，在业主单位原有防护措施失效的情况下，需能迁入一个标准的统一应急防护资源池中，提升重要信息系统及数据资产的关键时期整体安全水平。平台应建设应急预案库，将历史应急预案、演练等知识形成积累，为后续的安保活动提供指导、依据。全市安全资源整合在支撑团队方面，目前由于人员受限，下辖单位的安全技术支撑主要还依赖于信息安全厂商及服务商，需要资源局对安全能力进行整合，将现有的安全服务商与厂商进行能力整合，通过安全数据服务，产品等方式为各个单位提供服务，且各个单位可以在线为服务单位进行评价。终端安全管控杭州市大数据资源各类使用人员和运维人员都是通过终端设备访问大脑的，这些终端设备不可避免的会接触到政务数据资源及重要信息系统的敏感数据。终端如果感染了病毒、木马也会对政务偶的安全构成严重威胁，因此需要对终端持续监控，在终端整个生命周期里确保设备安全可控。政务云安全保障杭州市是最早利用云计算技术开展电子政务基础设施集约化管理的城市，按照“上云为常态、不上云为例外”原则，积极推动全市非涉密政务系统上云，政务云平台已成为杭州重要的基础设施，需要设计完善相对应的信息安全措施，制定全面、有效的云计算IT基础架构安全体系和具备针对性的安全解决方案，从而控制杭州市云计算环境信息安全风险，保证杭州市云上业务系统可靠、稳定、安全地运营。信息安全评价各类信息安全项目目前由各个单位独立建设，由于对建设单位的资产以及信息安全基础建设情况未知，因此无法形成信息安全建设的评价体系，同时建设过程无法有效监督，建设结果未能有效评价。因此需要建设一套完善的信息安全管理评价体系，对各个单位的信息安全建设及管理工作进行有效评价及指导。信息量指标杭州数据安全管控平台项目，前期选取典型的区县及委办局用户及杭州市政务云内各业务系统进行多维度数据采集：流量监测数据、漏洞检测数据、业务可用性检测数据、威胁情报数据等等，综合提高安全感知、预警、防护、响应能力。并规划实现对全市600个重要外网业务系统进行全天候全方位可用性监测、篡改监测、漏洞检测、重大漏洞专项检测响应、威胁情报筛选等。系统性能指标稳定性指标：（1）系统有效工作时间：≥99%；（2）系统故障平均间隔时间：≥180天；（3）系统一年的故障停机时间不超过15分钟（停电等不可预测因素除外）；（4）不出现以下情况：无故退出系统；发生系统不可控制的故障提示；因系统故障导致操作系统或机器无法正常工作。并发支持指标：（1）最大同时在线用户数5000≥在线用户≥1000；（2）并发数按同时在线用户数的25%计算：1250≥并发用户≥250；响应指标：（1）即时操作响应时间<2秒,高峰期最大响应时间〈3秒；（2）事务处理，平均3秒，最长时间<5秒；（3）普通应用查询平均2秒，最长时间<4秒；（4）统计分析类查询平均6秒，最长时间<15秒。

总体建设方案总体设计原则厉行节约原则：在数据安全管控平台建设过程中，要尽量利用现有的信息系统、网络基础设施、安全监控数据等，综合考虑对已有资源的共享和利用，避免重复建设和浪费。标准规划原则：在方案设计和设备选型方面遵循国家以及行业内的相关标准，严格按照有关程序组织项目建设，并且建设标准符合杭州数据资源局提出的接口规范和技术架构，在平台后期扩容建设中做到项目有章可循。重点保护原则：根据信息系统的重要程度、业务特点，实现不同强度的安全保护，集中资源优先保护涉及核心业务或重要数据资产的信息系统。技术先进原则：平台设计立足先进技术，采用先进的系统结构、开放的体系架构，使系统在一个周期内保持技术领先水平，具备长足的发展能力，以适应未来网络技术和安全技术的发展和系统使用的科学性。风险管理原则：进行安全风险管理，确认可能影响信息系统的安全风险，正确的识别风险、合理的管理风险，并让信息系统的安全风险降低到可以接受的水平以内。总体目标杭州数据安全管控平台的建设，将完成对杭州市重要信息系统及数据资产安全的态势感知，及时了解市本本级、区县（市）、乡镇街道政务部门重要系统的相关网络安全威胁、风险和隐患，监测安全漏洞、病毒木马和网络攻击情况，整合杭州市上级及其他管理部门和第三方安全厂家的威胁情报数据，及时通报预警重大网络安全威胁，调查、防范和打击网络入侵行为。以建设杭州数据安全管控平台为契机，加快推进杭州市网络信息技术自主创新，加快提高数据安全管理水平，加快增强网络空间安全防御能力，加快利用网络信息技术推进社会治理，为网络强省建设、实施“互联网+”战略、加快信息化发展保驾护航。（1）网络安全协同指挥能力全面提升。协调指挥机制健全、高效；指挥响应可视化平台，实现网络安全的决策指挥、资源调度、任务下达、互动反馈、指导与督查。（2）网络安全应急响应能力全面提升。形成完善的市、区县、村/街道三级以及多部门联动的应急指挥机制、应急处置队伍。应急响应预案，面对网络安全事件、威胁能够快速组织、高效处置。（3）网络安全态势感知能力全面提升。整合政务及其他安全管理部门和若干优秀企业现有资源，具备全天候全方位感知我市重要信息系统及数据资产安全态势，实现网络安全威胁分级分类、信息共享、定向分析预警。（4）网络安全追踪溯源能力全面提升。构建可信计算环境、可信网络边界、可信身份管理平台，实现网络安全事件的可溯源、可取证、可追责。总体建设任务建设具有网络安全统筹协调指挥能力的管理平台建设杭州数据安全管控平台形成杭州数据资源局和其他职能部门协调联动的网络安全监测预警处置工作机制，构建社会各方参与的网络安全综合防控体系，推动网络社会综合治理向深层次发展，整体提升杭州市网络安全防护水平。建设网络安全信息共享和大数据分析能力建设与市级有关部门、优秀信息安全企业的信息共享机制，建立网络安全威胁特征共享数据库，支撑网络安全威胁及事件的大数据挖掘分析。汇聚重要信息系统及数据资产的网络安全监测信息、企业监测信息、网络安全事件及威胁等关联信息，运用大数据技术对各类数据进行分类、归并，对各种网络行为、安全攻击事件、持续性攻击行为进行关联分析和深度挖掘，不断提升已知、未知网络安全威胁的研判和预警能力。建设全市网络安全应急指挥机制建设全市网络安全应急指挥平台，预留数据接口，对接市内相关机构应急响应子平台。利用安全数据动态可视化技术和深度数据挖掘技术，实现区县、街道的网络安全应急响应，全市网络安全应急响应资源协调联动、事件处置统一指挥，确保应急指挥的渠道畅通、部门联动、高效处置。建设全市网络安全信息通报机制建设网络安全信息通报机制，根据监测预警、态势分析、威胁处置等结果，杭州市杭州数据资源局统筹协调，指定通报机构，统一及时发布权威的网络安全信息。对全市各单位、重要新闻单位等通报网络安全重大事件、隐患、漏洞，提出应对策略，整改情况等，为省委省政府提供决策咨询。对外发布重大网络安全漏洞报告、病毒通报、相关网络安全事件、安全分析报告等资讯，提供处置措施与建议，为全社会提供网络安全服务。建设杭州市网络溯源取证管理能力建设杭州市网络溯源取证管理能力，基于下辖单位及第三方专业平台现有网络安全威胁情报收集、处理、分析、应用平台，通过多源交叉甄别方法，实现攻击行为的认定及攻击节点的定位。为网络空间违规违法行为追溯定位提供支撑。提高溯源、电子证物取证和技术分析能力，增强信息安全对抗和数据截获能力。建设全市云上系统安全保障系统通过建立云安全资源池的方式，引入优秀厂家的产品和服务形成全市安全资源池，实现各单位按需自主选择安全产品和服务的模式，形成一套取之于云，用之于云的租户安全保障新模式。通过云上资产的梳理，基线检查，云上安全产品集中运营等方式，实现对云平台与云租户进行统一，有机，协调的管理，从而形成安全保障，管理，策略下发，安全检查，跟踪监督，形成“一站式”的云安全保障中心。建设终端安全管理机制终端是数据管控的薄弱环节，在7月份开展的全市政务数据安全检查中发现，各单位对于终端的管控措施不足，终端敏感数据的防护措施缺失，极易造成数据的泄露。因此需要建立对政务系统终端设备的安全管理机制，建立终端资产管理、终端行为安全管理、终端服务安全管理、终端数据安全管理以及移动存储介质安全管理等安全机制，加强对终端的安全防护。开发信息安全管理评价系统实现对各维度安全监管工作以及各支持单位的产品及服务的评价，包括安全管理工作统计分析（按数据源统计、按市级情况统计、按行业情况统计、按单位情况统计、全市整体情况统计）、考核评分系统（单位考核、工作质量考核、行政区域考核）、制度法规管理等。支撑单位业务评价:厂商产品及服务评价，厂商售前售后支撑能力评价，培训及其他服务评价等。开发检查调查系统实现线下检查、线上填报两个业务过程，促进各单位积极开展安全管理工作，定期反馈资产情况，配合专项线下检查工作任务，收集检查结果。开发安全产品/服务集约化支撑系统为实现区县、村/街道自建数据安全管控平台自主化、简易化。平台将开发自助购买子平台，产品界面如同淘宝购物一样直观简明，各个单位可以根据自身等保等级和数据规范特征，自行在子平台选购适合自身的套餐，上线的产品应该满足易于安装调试、普适性高、价格透明且各个产品附有详细的参数和供应单位介绍，供各单位选用。本期项目设计方案本期建设内容杭州数据安全管控平台(一期)建设内容主要包括软件开发部分、标准制定部分、现有技术集成、专用硬件部分以及数据服务部分，另外为保障平台系统的正常使用及日常安全分析，项目中规划常年人工驻场安全服务。软件开发部分序号系统名称功能模块要点描述实时预警系统网站监测引擎对接网站监测引擎管理，任务调度，周期设置网站隐患数据对接网站篡改事件数据对接资产普查数据对接资产普查数据对接，实现IP段资产情况分析，包括操作系统、开放端口、开放协议、可能使用用途等数据流量监测引擎对接对接流量监测引擎实时攻防数据获取，包括僵木蠕毒传播、Web攻击、钓鱼邮件、恶意文件、DDOS攻击等识别攻击者IP、攻击方式、攻击时间、攻击目标网络安全防护数据对接对接各类防护产品告警日志第三方威胁情报数据对接手机号安全情报，识别风险画像标签，包含黑灰产活跃信息，基本归属地信息等IP安全情报，输出IP的识别风险画像标签，包含黑灰产活跃信息，基本归属地信息等邮箱风险画像，输出邮箱地址的信息和风险描述安全事件数据接入网站、系统漏洞数据接入其他数据内容定制专家验证系统提供安全隐患数据的验证流程，发现的安全隐患支持专家验证、审核态势感知系统综合态势分析从整体情况分析安全态势从区域情况分析安全态势从行业纬度分析安全态势从监控目标类型分析安全态势统计各纬度监控数据量级统计安全隐患、事件最多的行业、单位、信息系统统计各类安全事件、隐患的占比统计隐患、事件、攻击情况的趋势变化实时显示最新高危以上隐患和事件资产态势分析统计各市、区资产底数情况统计各行业资产底数情况统计各单位资产底数情况从多纬度统计资产分布情况，包括资产类型、操作系统、协议端口等统计最新行业、单位、信息系统安全指数隐患态势分析统计各市、区威胁隐患数量实时展示最新发现的高危以上安全隐患情况统计各单位、系统威胁隐患情况统计各行业、单位威胁隐患占比情况统计杭州市各隐患类型的占比分布统计各类型安全隐患爆发趋势网络攻击态势分析网络实时攻防情况攻击者、攻击目标、攻击事件、攻击方式统计攻击行为画像攻击分类统计，包括DDOS攻击、WEB攻击、僵木蠕传播等受攻击影响对象统计攻击源统计安全事件态势分析安全事件类型统计最新安全事件情况，事件名称、类型、数据来源、事件说明、时间等安全事件分布统计安全事件证据情况行业、区域事件统计预警处置态势分析统计省、市、区通报工作进展情况统计省、市、区通报工作效率统计各单位通报反馈情况统计最新安全通报及其跟进情况统计预警工作开展情况信息通报系统信息同步机制建立信息同步机制，对各单位、主管单位、监管单位发布信息同步信息通报机制建立信息通报机制，实现与其他单位通报系统对接，完成信息通报流程建立隐患提醒、整改流程建立安全事件通报流程建立隐患、事件跟进机制一般威胁预警机制实现一般威胁的预警机制，能够对所有范围人员发起信息预警专项威胁预警机制1、支持对特定对象的专项预警2、实现根据资产底数情况，自动筛选、分析受影响单位，发送相关资产清单，提醒处置报告中心实现通报报告输出，支持WORD\PDF格式实现统计报告输出，支持WORD\PDF格式，支持选择对象、时间范围，或自动定时输出报告，包括周报、月报、季报、年报实现整改通知书输出，支持WORD\PDF格式实现自定义修改报告模板5、实现包邮自动邮件发送角色机制1、在信息通报工作中，实现杭州数据资源局的省、市、区县三级角色2、实现行业主管单位、被监管单位等角色体系应急指挥系统消除影响支持信息同步其他监管单位，在线决策在阿里公有云上系统，对接阿里云接口，实现在线系统一键关停/屏蔽服务，阻断URL或停止域名解析现场调查分析研判组织相关单位开展现场调查实现调查结果存档每日信息同步对接安保参与人员，每日接收值班反馈驻场值班值守1、制定值守计划2、指定团队或个人进行驻场值班3、开展现场应急处置工作并上报结果4、接收上级下发指令建设案例库安保活动结束后，安保期间的所有数据进行归档，形成案例库，便于归纳总结，为后续组织活动提供参考视频会议系统整合对接杭州市电子政务视联网系统实现网络安全会议组织工作追踪溯源系统攻防数据对接1、对接流量数据、日志数据以及其他威胁情报2、提供数据查询，包括精准条件查询、模糊匹配、场景分析安全事件分析从流量数据、日志数据中归纳总结，分析安全事件事件关联多个事件进行组织关联，对相同攻击源、攻击目标等多种纬度进行关联，组成高级事件或APT事件攻击链还原对有组织、有步骤的攻击事件形成攻击链，便于识别攻击意图，还原攻击过程扩线分析当存在多级跳板系统无法自动追溯时，可由专家进行信息补充，继续扩线分析线索转移针对重要事件，需要开展立案侦查的，相关信息、线索可转移至公安平台，由公安机关开展立案侦查大数据存储系统单位信息库建设单位信息库，包括单位基本信息，单位所属的系统或网站，单位所属的服务器信息等网络资产信息库建设网络资产库，存储互联网上网络信息资产情况攻击事件库攻击事件信息存储安全隐患库安全隐患信息存储可疑人画像可疑人信息的存储，包括惯用IP、攻击手段、历史攻击行为及目标等支撑队伍信息库本地专家、技术支撑团队、安全企业、志愿者等人员信息大数据分析系统安全事件关联分析支持事件关联分析，将相关告警、事件进行快速关联攻击溯源模型对不同类型的网络攻击行为深度分析模型杀伤链攻击行为模型攻击类型、阶段、有效性分析模型攻击目标权重危害性模型攻击事件危害性分析攻击者反向检测模型自动从海量数据中分析攻击者情况，包括攻击时间、攻击目标、攻击手段等数据归类统计与查询提供数据统计、查询等基础手段算子定制开发对接阿里云大数据分析技术，定制设计分析算子数据交换共享系统政务管理机构数据交换系统为政务管理机构及部门定向开发数据交换系统，根据其现有数据情况以及需要的数据内容，提供数据查询接口、数据查询系统、数据接收接口数据上报接口对接国家杭州数据资源局，提供数据上报接口，完成数据自动上报数据下发接口对接地市杭州数据资源局，根据数据标准规范，制定数据下发接口，实现数据下发与业务联动数据接收接口根据数据类型分开放数据接收接口标准制定部分序号标准名称功能要点描述1数据格式标准规范制定数据标准规范，用于明确本级平台数据接口，并且作为地市平台建设指导意见，下发各地市，明确后续对接要求2业务流程标准规范制定业务流程标准，明确市级平台与地市平台的业务工作过程，明确各监管机关协同工作业务过程，说明各角色的角色分工、参与阶段3安全事件分类及处置标准说明平台对网络安全事件的分类、描述，统一安全事件语义，便于统一理解与认识，明确处置办法数据服务序号数据服务内容要点描述1威胁情报数据网络安全事件（反共、网站篡改、暗链、钓鱼网站、DDOS攻击等）手机号安全情报，以API形式输出手机号的识别风险画像标签，包含黑灰产活跃信息，基本归属地信息等；IP安全情报，以API形式输出IP的识别风险画像标签，包含黑灰产活跃信息，基本归属地信息等邮箱风险画像，以API形式输出邮箱地址的信息和风险描述虚假地址评分，以API形式，对具体的地址真实程度进行评分，方便风控决策参考平台总体设计杭州数据安全管控平台的设计将根据预期目标和需求分析要求，从一个大平台辐射多个层面，从重要政务系统单位最原始的多纬度多渠道数据采集、过滤、传输到数据存储层，通过对多维度的信息和多源数据进行整合、关联、智能分析和预测，通过业务应用层实时掌握杭州市网络安全态势，帮助单位做出最精准的判断和调查，通过信息通报闭环，从而提高对威胁攻击的发现、处置、防护的能力。并整合其他监管部门和第三方安全厂家的威胁情报数据，及时通报预警重大网络安全威胁，调查、防范和打击网络犯罪行为，为杭州市网络安全监管工作提供有效技术支撑。图：整体架构设计示意图平台角色设计平台是专门针对全市重要信息系统及数据资产安全监管平台，具有信息通报、监测预警、应急指挥、态势感知、追踪溯源等核心业务，是联系杭州市各网络安全管理相关组织机构、办公协同的业务平台。为满足业务需要，需定义平台中相关的角色体系，定义不同角色在平台中的操作与交互，明确分工职责与数据权限。根据当前杭州市网络安全管理环境以及《网络安全法》等相关法律、规章要求，本平台角色应包括杭州数据资源局、区县（市）数据安全管理机构、行业主管单位、系统运营使用单位、运维人员、专家团队、安全企业（或技术支撑单位）、测评机构等。根据参与业务不同，实现不用的角色权限、流程环节。平台功能设计平台核心业务应用系统主要包括实时预警系统、态势感知系统、信息通报系统、追踪溯源系统、应急指挥系统，为支撑业务功能的正常使用，还应考虑数据存储、数据分析、数据处理等相关环节。（详细设计参考4.4节应用支撑平台和应用系统设计方案）平台标准设计平台是专门针对重要政务系统及数据资产的安全监管平台，具有信息通报、监测预警、应急指挥、态势感知、追踪溯源等核心业务，是联系杭州市各网络安全管理相关组织机构、办公协同的业务平台。为满足业务需要，需定义平台中相关的角色体系，定义不同角色在平台中的操作与交互，明确分工职责与数据权限，并制定业务流程标准规范。根据业务需要以及工作场景，平台各角色交互业务流程主要包括信息同步、信息通报、应急处置、追踪溯源、安保协同、检查调查几个部分。应用支撑平台和应用系统设计方案政务系统业务系统安全威胁、风险和隐患，安全漏洞、病毒木马和网络攻击等原始安全数据，通过汇总、处理、分析在业务应用层供以下子系统使用，主要包括态势感知系统、实时预警系统、信息通报系统、追踪溯源系统、应急指挥系统五大业务系统，以及其他辅助系统。态势感知系统建设态势感知是以网络安全事件与威胁风险监测为驱动，对网络空间安全相关信息进行汇聚融合，形成针对人、物、地、事、关系的多维视图，从不同视角出发感知网络安全态势。态势感知主要包括综合态势、资产态势、威胁风险态势、攻击态势、安全事件态势、预警处置态势六大视角。（1）综合态势以综合角度出发，汇集重要信息系统的资产、威胁风险、网络攻击、安全事件、预警处置总体分布情况，通过柱形图、饼图、趋势曲线图以及不断变化的趋势数值进行综合展现。并提供最新相关网络安全新闻、资讯，把握行业最新动向。（2）资产态势以资产角度出发，包括重要信息系统、网站、终端等不同资产类型。可实时获取当前资产总数，按区域、类型、高危资产分布。重点监控资产的可用性情况，尤其针对政务类站点进行重点实时关注。并结合地图、表单、趋势曲线图进行生动化展现。通过大屏交互，还可以查看资产详细信息，包括资产所属的IP或IP段、操作系统、端口、中间件、服务器类型等。（3）威胁态势以安全威胁角度出发，包括漏洞、木马、变更、关键字、可用性等不同威胁类型。结合对重要信息系统运营、使用单位的系统的监测、第三方信息安全企业、历史数据积累等多个数据来源，后期还支持其他数据来源接入，形成实时的大数据支撑源。通过该大屏，可实时获取当前安全威胁总数、各类型数量、按区域、数据来源分布、可用性分布、典型0day、心脏滴血、僵木蠕漏洞等获取分布信息。最新监测发现的威胁详情，如存在威胁风险的URL、监测发现时间、等级、详细描述及威胁处理建议等信息。（4）网络攻击态势以攻击角度出发，从攻击、访问两个维度，可实时获取当前攻击、访问总体情况，并结合地图展现攻击实况，包括攻击时间、攻击源IP、目标IP、攻击类型方式、攻击路线图。最近24小时，访问、攻击曲线趋势走向。结合环形、条形、热力图，对主要攻击类型、攻击源、被攻击目标、访问源、被访问对象分布、排行进行实时、可交互的动态展现。（5）安全事件态势以安全事件角度出发，主要包括反共、博彩、色情、暗链、黑页等安全事件类型。可实时获取不同事件类型总量，支持按地域、行业、时间分布，结合取证式抓取技术进行证据留存积累。可查看最新安全事件发生时间、事件类型、涉及的单位重要信息系统IP、所在地区、行业、来源、取证截图等信息。（6）预警处置态势以安全事件、威胁风险预警处置的角度出发，主要包括预警、处置两种类型。针对存在威胁风险隐患，通常进行预警通报、限期整改两种预警方式；针对已经发生的安全事件，可发布安全事件通报，要求单位开展应急响应工作。产生的预警处置数据可实时传输到平台。结合预警处置各类型分布、时间趋势分布、区域、行业响应处理效率、最新预警处置处理进度等信息进行实时展现，把握预警处置工作开展情况。应急指挥系统建设应急指挥系统吸取并总结G20、互联网大会等重大活动安保期间的宝贵经验，形成重要网络安全事件或重大会议期间保障应急指挥功能体系。应急指挥系统包括了应急处置、指挥协同两部分主要业务。（1）应急处置应急处置是当发生网络安全事件时，开展应急处置工作，处置工作包括消除影响、现场调查分析研判二个场景过程。消除影响当发生网络安全事件时，需要第一时间消除对外影响、停止遭受的侵害时，需要实行系统或网站对外服务的关停。消除影响的手段有两种：1、通管局关网；2、通知单位下架服务器或替换备用系统。通管局关停网络使用通管局现有技术手段关闭互联网IP、域名对外服务，由于需要与通管局协同，所以需要发送指令至通管局联络人实施断网。受影响系统处置完毕后，再通知恢复。现场调查分析研判现场调查由杭州数据资源局等监管部门联合发起，由安全企业、技术支撑单位提供技术协助现场开展调查、取证。产生结果需填录报告或上传数据包进行记录。（2）协同指挥协同指挥是在重大安保活动期间，组织、协调安保工作，共同制定安保计划、开展检查工作，督促落实安全整改，制定应急预案，开展攻防演练。安保协同的主要业务流程包括：制定安保计划、检查工作、安保演练、每日信息同步、驻场值班值守。由于杭州市安保工作分工为杭州数据资源局统筹协调。本平台实现应急值守管理、值守任务指派、接收值班报告以及汇总同步公安安保情况，建立案例档案，实现在线视频会议系统对接，并对接公安系统，同步安保情况。实时预警系统建设实时预警系统建设及时发现、识别网络攻击威胁，监测恐怖组织、黑客组织、不法分子等的攻击活动、攻击行为、攻击方法手段；监测重点保护对象所受的攻击威胁、破坏、窃密、渗透等情况，以及重点保护对象的网络、系统、大数据等安全状况、存在的漏洞、隐患等，为快速处置、通报预警提供支撑。实时预警系统能提供多种监测能力，包括重点网站监测能力、布点监测并获取数据能力、流量监测能力、资产普查能力等。平台数据采集层主要用于进行多源数据的采集与汇总，从数据采集的来源上，包括其他监管单位系统现有网络安全威胁数据、重点网站重要信息系统安全监测数据、资产普查数据及典型单位的数据流量检测和统一防护数据，从事网络安全工作的相关企事业单位监测与分析的威胁情报数据。平台数据采集层是平台的核心，是态势感知、追踪溯源、应急响应、信息共享的基础。信息通报系统建设信息通报系统是根据态势感知、实时预警等模块获取的态势、趋势、攻击、威胁、风险、隐患、问题等情况，利用信息通报系统汇总、分析、研判，并及时将情况上报、通报、下达，进行预警及快速处置。当数据安全管控平台监测到重要信息系统运营、使用单位的系统存在重大风险威胁隐患，或受到攻击、入侵、已被植入后门、篡改、植入暗链、拖库等形成重大安全事件时，根据谁使用、谁管理原则，通过平台将事件情况通过预警、通报处置等流程手段进行通报下发，业主单位反馈处置结果。平台与手机移动端相结合的多种方式的通报，包括邮件、短信等。在发生严重情况时，如突发的安全事件、重大漏洞等，可立即通过下发处置，或直接通过短信、电话的方式进行传达；当系统监测到存在轻微的安全隐患时可通过手机进行预警提醒、或限期整改等。通报完成后，通报成员单位可通过进行及时的处置结果反馈，相关监管单位也可对通报过程进行跟踪记录，查看通报进度。大数据存储系统建设杭州数据安全管控平台的搭建，以数据资源为核心，以云平台为支撑，整合现有云上技术与云环境资源，节约减少能耗，通过弹性计算、分布式存储、负载均衡等技术，整合全市安全态势感知数据，构建大数据分析处理能力，满足信息化建设应用轻量化模式的发展与革新。在政务专有云上部署核心网络安全协调指挥业务平台，并对重要业务系统进行流量采集分析，综合政务公有云上采集的数据，经过大数据分析平台的去重合并和建模分析，以提供上层业务支撑数据，并将原始数据和分析后的数据存储到对象存储OSS中。大数据分析系统建设平台基于Elasticsearch和Hadoop底层架构，采用spark内存计算框架建立各类分析模型，为业务应用层的各类非实时分析应用提供支撑，采用Storm或SparkStreaming建立计算模型，为业务应用层的低延时应用提供分析支撑。大数据分析系统是平台建设重点，需要根据实际情况针对性、长期持续的建立、梳理相关分析模型，以下模型作为举例：（1）安全事件关联分析模型提供了基于规则、基于统计、基于资产的关联分析功能，可以实现对于安全事件的误报排除、事件源推论、安全事件级别重新定义等效能，支持安全事件的横向关联和纵向关联分析，并支持关联阈值设定与安全事件黑名单设置。1、安全事件的纵向关联（在多个产品之间关联）分析，可以根据安全事件发生的因果关系，进行逻辑上关联分析。2、关联事件阈值设定[1] 支持设定安全事件关联的时间窗口，如设置最大关联时间为1小时等；[2] 支持设定安全事件发生次数的阈值，如设定最少发生2次的安全事件才进行关联等。3、安全事件黑白名单设定对于系统检测出的所有异常数据存储在异常行为库产生，系统应该对其提供实时维护功能，保证其中异常行为数据的安全性、可用性和完整性，并支持黑白名单添加。（2）攻击溯源模型攻击溯源联动分析是以攻击手法作为模型进行检测，这些攻击手法的模型源自于攻击者历史攻击的特征的累计识别。依靠多个云端引擎库和智能算法的结合、依托于互联网大数据深度挖掘分析技术、联动了互联网其他安全厂商共同组成了攻击溯源体系。攻击溯源联动分析在确定攻击事件后会回溯所有攻击相关的网络数据包，对系统近期的所有行为进行串联，确定攻击事件的整个事件周期，展示整个攻击事件的所有攻击路径。以时间轴的方式将攻击者的所有攻击动作列举出来。通过安全设备的告警日志、系统设备日志与资产画像对比分析，确定遭受攻击的服务器。通过分析这些被攻击的设备的系统日志，挖掘出攻击者的攻击入口。还原出攻击者在不同服务器之间的攻击路径。如图，模拟出某次攻击的攻击跳转路径，还原出如图所示的攻击路径。某IP的攻击路径图还原攻击过程以检测威胁为基础，攻击者可能采用多种绕过技术绕过了大部分检测机制，通过大数据分析模型检测到攻击者的IP，还原该ip的所有行为重新回滚，进行二次分析，避免了因攻击者不连续的攻击而造成漏报。如某攻击者第一天对网站仅仅是简单的扫描探测，但几天后又对网站有进行其他疑似攻击行为，单条行为都不满足攻击的报警条件，传统安全设备则会单独处理不同的安全事件，而该模型则会利用大数据分析模型对不同时间的攻击行为进行串联，做二次深度分析。（3）攻击者反向检测模型通过攻击入口确定分析过程，获取攻击者的网络指纹，结合威胁情报数据，获取攻击者的网络身份。结合用户画像和资产画像定位攻击者：根据攻击者的攻击路径和攻击溯源分析，结合用户画像和资产画像数据，使用大数据联动分析，定位到具体的攻击者的IP和身份信息。结合威胁情报定位攻击者：对于来自互联网的攻击者，结合威胁情报数据，进行黑客攻击渗透分析，定位到IP的来源，如攻击者的是否来自某个黑客组织等。政务数据安全人员管控措施非授权人员入侵管控未来杭州市政务数据资源整合的内容会越来越广泛，数据资源的整合，大大的增加了数据利用的价值，同时也带来了更大的安全隐患。因此需要利用安全管控平台对非授权人员的访问行为或入侵行为进行实时的发现和管控。在入侵行为的监测与管控方面，利用平台整合全市政务网信息安全情报及安全数据，实现在线实时的信息安全入侵行为的预判，向相关单位进行通报和预警，对于非授权人员的IP，行为特征等进行通报，让各单位提前做好管控策略。在防护方面，可以由管控平台当中的安全防护模块协助进行联动防护，对于非法的入侵人员的行为进行阻断，并对入侵的事件及特征进行记录与分析，纳入安全大数据。授权人员非法访问控制针对于合法的人员，需要进行严格的监督与审计，可以借助各个单位及平台的行为审计模块与日志分析模块共同完成授权人员的行为与特征分析，通过建立日常行为模型，维度包括操作事件、操作习惯、操作步骤、登录地址等，对于授权授权人员的任何异常操作行为都可以进行告警和威慑，同时记录相关人员的操作行为，便于事后进行追溯与统计分析。在技术实现上，各个委办局及单位，可以将自身业务系统的日志信息以及安全设备的审计信息集中发送到安全管控平台，由安全管控平台协助各个委办局进行人员的行为审计与分析。安全防护系统建设为解决重点单位的网站安全防护，杭州数据安全管控平台中建设安全防护系统，采用SAAS服务模式为重保单位外网业务系统独立防护，防护设计通过DNS映射方式实现，将需要防护的网站解析指向到杭州数据安全管控平台云防护系统所分配的CNAME上，网站流量通过DNS调度中心根据用户的不同线路解析到云防护系统，云防护节点对流量过滤后再回源到真实服务器。（1）网站防护安全防护系统对Web网站或应用进行严格的保护。安全策略来自于Snort、CWE、OWASP组织，以及对国内典型应用的深入研究成果，包括XSS、SQL注入、CSRF、文件上传、暴力破解等。（2）内容加速内置内容加速机制，对静态页面进行高速缓存，提升Web服务器连接可用性，对页面内容进行文件压缩，提升服务器带宽使用率。（3）防DDoS、CC攻击系统设计采用防DDoS/CC算法，实现对syn-flood、upd-flood、tcp-flood、应用层CC等DDoS攻击，一方面解决政府网站被DDoS攻击时的可用性问题，另一方面对平台本身也加强防护，持续保证政府网站稳定运行。（4）安全审计对各类日志进行综合审计分析，以图表的形势展现在线服务的业务访问情况。通过对访问记录的深度分析，发掘出潜在的威胁，起到追根索源的目的，并且记录服务器返回的内容，便于取证式分析，以及作为案件的取证材料。数据交换共享及资源整合系统建设（1）数据共享及交换杭州数据安全管控平台需向杭州市内重点保障单位进行事件通报，并由各单位反馈相关处置结果；对于需进行布点监测的单位，部署相关软硬件，进行数据采集。针对数据安全管控平台需具备能与其他监管部门进行数据同享和业务协同，并能导入第三方安全机构威胁情报数据。（2）安全资源整合通过对全市信息安全数据及情报的收集，建立起全市统一的信息安全大数据共享平台，由数据资源局进行统筹，将优秀的信息安全企业单位进行整合，将相关数据资源共享给各方进行分析和研判，协助杭州市数据安全管控工作顺利开展。终端安全管控子系统建设（1）终端安全保护利用终端安全控制措施提供强大的病毒、木马查杀功能，防止终端设备被病毒、木马感染，并可连接云端的威胁情报库，对最新的病毒、木马以及异常行为进行监测、拦截。通过终端安全措施进行异常进程监测，提供策略级异常进程监控能力，通过数十类行为模型，包括进程注入、注册表操作监控、敏感文件完整性监控、服务和启动项篡改监控、临时文件写入、特定文件写入、系统关键结构的检测、权限提升、驱动加载、访问持久化等常见高风险监控内容。终端管控系统可以进行系统文件完整性监控，通过策略管理设置指定的一个或多个监控目录并对其目录下所有内容进行完整性监控。支持对指定文件扩展名进行过滤。确保终端设备系统文件不被篡改。（2）终端用户监控终端对外网络连接审计：终端监控系统提供网络对外连接审计功能，实时记录终端设备进程对外连接情况，提供由用户、进程、网络等信息构成的通信记录清单，并发送给监管平台。由监管平台根据各类信息分析终端是否存在敏感数据外传的可能。终端对外USB传输审计：终端监控系统对USB外传行为进行实时记录，包含传输时间、USB设备类型、传输文件信息等，并将审计记录及时发送给监管平台进一步分析，防止用户通过USB等设备外传敏感信息。终端用户敏感操作审计：终端监控系统记录用户的软件安装、系统设置更改等行为，并将审计记录发送到监管平台分析用户的行为是否合规，防止用户通过各种手段绕过监管。云平台安全防护子系统建设整个政务云安全保障体系的核心--云安全运营系统。系统是用户进行安全资源的申请，下载，计费以及统一管理的主要支撑，可以有效实现各个云租户权限的分离以及安全资产的按需部署，运营平台与云产品资源池，及云安全服务资源池，联动工作，为资源池提供平台支撑，同时也是云平台及云租户安全运营的主要支撑。主要包括以下几个方面（1）云平台安全管理云平台安全管理模块，主要是针对对云平台提供防护的安全产品进行统一管理和分析的模块，该模块主要实现对云内虚拟安全设备如防火墙，VPN，堡垒机等的全方位管理，提供了丰富的拓扑、设备配置、故障告警、性能、安全、报表等网络安全管理功能。实现了对云平台上安全资源集中、统一、全面的监控与管理。使安全㢆过程标准化、流程化、规范化，极大地提高故障应急处理能力，降低人工操作和管理带来的风险，提升信息系统的管理效率和服务水平。同时，该模块也是云平台层面安全运营的主要模块，该模块可以通过与相关产品及服务联动工作，系统作为安全管理运营中心的技术支撑平台，结合安全服务的最佳实践，以安全资产管理为基础，以风险管理为核心，以事件管理为主线，通过深度数据挖掘、事件关联等技术，辅以有效的网络管理与监视，安全报警响应，工单处理等功能，对云平台各类安全事件进行集中管理和智能分析，最终实现对企业安全风险态势的统一监控分析和预警处理，并对云平台某一阶段的安全运行情况进行展示和报告的输出，为管理人员进行策略的调整和安全的加固提供依据。（2）云租户安全管理云租户安全管理模块主要为云平台上各个租户提供SaaS方式的运营中心服务云平台上各个单位的租户可以依靠各自的运营中心，对自己业务环境内的安全产品进行统一的管理和安全资产的梳理，并对自己云内业务环境的安全状况进行掌握。根据大平台管理者授予的权限，每个云租户只能看到本单位的业务运行环情况，也只能管理自己单位云安全产品，用户可根据自己的分析报告及安全弱点，进行产品和服务的申购。（3）运营平台用户管理用户管理模块，主要为云平台各租户提供认证，授权及资源审批管理，具体功能如下：用户用户认证主要为每个租户提供平台的账号，对每个租户进行严格的身份验证，采用双因子认证方式进入运营平台，对平台所覆盖的安全资产进行管理和运营，同时，每个认证账号也是资源申请的唯一账号，每个账号可以下设子账号，分别进行管理和监控等工作。权限管理及访问控制该功能主要针对每个租户进行细粒度的访问控制和授权设置，确保每个用户只能登陆自己的运营界面，只能管理自己的云端安全产品。资源审批每个云租户可以根据自身的需求在云产品资源池及服务资源池当中申请所需的安全资源，平台管理者可以根据相关申请的合理性进行审批和备案，确保每个用户的资源利用合理以及计费准确。（4）云安全服务申请云安全服务申请模块主要为云平台管理者及每一个云租户提供相关的SaaS安全服务以及常规安全服务，SaaS安全服务可以通过内置的资源申请工单直接上传至平台管理者，管理者审批通过后，由厂商直接根据云租户提供的服务需求和信息进行SaaS服务的提供，常规服务在通过审批和费用上交后，由厂商及服务商安全团队在现场进行服务。（5）镜像资源市场镜像资源市场，是给云租户提供的云安全产品申购市场，相关安全产品都以镜像的方式放在云安全资源池当中，云租户可以根据自己的需求，进行镜像的下载和部署，在使用时只需向平台管理者申请购买license授权，即可快速部署和实施，同时，市场当中，每款安全产品都配备响应的安装操作手册，使用手册和FAQ等文档工具，确保用户可以快速掌握相关安全产品的适用。安全评价系统建设信息安全管理评价对各委办局的信息安全规划、建设、实施、运营等过程进行评价，同时需要对各个单位的信息安全建设情况以及合规建设情况进行检查，以往的检查比较被动，不具备实时性，可以通过建立信息安全评价系统的方式来解决，每个单位在数据局的安全监管平台上建立自身的信息安全评价指标，各个单位将自身的信息安全管理体系文件，安全配置策略以及合规流程文档等交付件上传至评价库当中，由数据局组织专家团队进行评价和审核，数据局也可以掌握每个单位最新的信息安全状态，进行评价和审核，同时对于检查过程当中发现的问题，以及问题的整改情况也可进行持续的监控。安全产品及服务评价建设安全服务及产品评价系统，数据局进行在线的资源整合，由各个单位利用大数据服务为各委办局及区县、村、街道提供安全服务及产品，且各个单位可以在线对相关的产品及服务进行评价。安全能力集约化系统建设建设安全产品及服务的能力集约化系统，通过制定与政务数据安全管理相关的制度与流程，将平台进行技术和管理的整合，借助先进的安全产品及服务集约化管理系统，建设一体化的安全资源服务体系，利用池化技术将信息安全技术能力进行统一化，集约化，能力化，实现信息安全资源的按需分配，各委办局及区县、村/街道单位可按照业务特点和实际安全需求，按需申请所需的安全资源，并按照各自安全方案规划进行自身的信息安全技术体系建设，数据资源局作为管理方也可以从全局角度有效把控每一个用户的安全建设现状与安全资源的使用情况，从而将各个单位的安全运营与管控平台的安全管理进行有机的结合，实现平台、用户单位一体化的安全管理。当用户的政务数据业务增加时，相对应的全服务也需要相应的增加扩容，如原来只有5个网站，现在增加到10个网站，那么对应的网站防护能力也需要增加到10个网站的防护能力。通过安全能力集约化系统，用户只需要通过在线申请扩容及产品/服务支持，就可以对自己的政务数据安全服务做弹性扩容。平台安全系统设计方案杭州数据安全管控平台作为杭州市重要信息系统及数据资产安全检测、感知、分析的基础设施平台，平台中基础数据十分重要且非常敏感，在对外进行监测、检测、分析等安全监管工作的同时平台自身安全性也尤为重要。平台自身安全性设计主要体现在通讯链路的安全性以及平台自身防护体系的建设。平台通讯链路安全性平台设计中包含多处数据传输、存储部分的要求，包含但不限于：各渠道数据采集汇总模块的数据传输、业务平台访问的渠道加密、数据库本身内容的加密等。（1）中央市级地市平台数据对接加密中央杭州数据资源局到杭州市平台采用“403vpn”加密通道，省平台到地市杭州数据资源局采用IPSecVPN连接，保障传输数据的可用性、保密性、完整性。（2）平台和各数据支撑单位数据对接加密平台和数据支撑单位数据对接采用IPSecVPN连接，使用行业标准的IPSec和IKE（秘钥交换协议），确保数据通信安全，将安全威胁数据回传到杭州数据安全管控平台。（3）平台和运维终端安全机制采用堡垒机利用HTTPS连接数据安全管控平台各WEB系统，并限定运维接入终端IP，在此基础上设计采用双因子认证模式，如用户名密码+动态令牌、用户名密码+USBKEY等等，满足安全运维要求。（4）各渠道数据采集汇总模块的数据传输通过各渠道采集的数据需按照统一的加密算法进行加密，并汇总至管理平台的数据采集模块中，由数据采集模块进行解密处理。（5）业务平台访问的渠道加密业务平台使用Web业务系统对系统使用者提供业务服务，系统访问时需使用Https协议，对平台访问进行加密。（7）数据库本身内容的加密数据库中存储的数据内容应进行加密，直接访问数据库时无法直接解读，保障数据安全。平台自身安全防护平台自身防护将对照《GB/T22239-2008信息安全技术信息系统安全等级保护基本要求》三级要求，保障杭州数据安全管控平台的保密性、完整性和可用性。图：平台自身安全防护示意图平台及系统部署设计方案杭州数据安全管控平台建立在杭州市云环境中，利用目前政务云上环境与先进的大数据分析存储能力，节约节能，实现平台绩效与成本节约最大化。政务公有云实现了与互联网的安全连接，并经过安全策略控制可以允许制定的IP、端口访问政务专有云环境。政务专有云不可直接连接互联网，但可以通过安全访问控制规则控制访问政务公有云，数据可传输到政务公有云上，同时可以与其他监管单位通过专线直接对接。杭州市政务云环境如下图所示：图：杭州市政务云环境示意图流量探针功能设计要求：（1）IDS入侵检测分析检测各种应用层攻击，包括但不限于：后门程序，木马程序，间谍软件，蠕虫，僵尸主机，异常代码，协议异常，扫描，可疑行为审计类等，能够检测对跨站攻击、SQL注入等WEB攻击行为进，预定义入侵防御签名库数量不得少于5500条，支持用户自定义签名规则，支持正则表达式,支持对SMTP、POP3、HTTP、FTP、IMAP、SMB协议实现病毒扫描检测.（2）沙箱检测分析需具备独立的流量还原能力，识别主流的网络协议HTTP、SMTP、POP3、IMAP、FTP、SMB，从