版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
BlueBook亚奥理事会官方合作伙伴安恒信息官方公众号 DAS-security女王中感谢关注安恒信息在网信行业的相关业务。蓝皮书统筹协调地位,依据对网信事业的深入学习和持续认恒对网信行业发展趋势的理解和把握,面向网信部门的监管需求,以服务网信监管视角对安恒在网络安全、内容安全主要场景和细分领域的解决方案进行了简要介绍;全统筹协同、内容安全细分业务建设和数据安全监管务,安恒归纳和总结了以上场景的典型解决方案,供网信部门、本次蓝皮书所提供的内容具备面向典型或热点业务并不涵盖网信部门所有业务的使用场景。因合规要求、业务侧重、认知受限等不同原因,蓝皮书中所提供的内容与设难免有细微出入,甚至部分仅仅代表安恒自身观点专家和读者参阅、批判。相关政策和业务走向请以包有名词、网络安全相关术语等。如无特殊说明上述内本蓝皮书主要适用于期望深入了解网信监管业务的读者,包括各级网信部门、相关专业机构、网络安全厂商、关注业的相关工程技术人员以及网络安全技术爱好者等。本文的所有内容,其版权属于杭州安恒信息技术股份有限公司(以下简称“安恒信息”)所有,未经安恒信息的许可,任何人不得防制、拷贝、转译或任意引用。本文没有任何形式的担若因本文或其所提到的任何信息引起的直接或间接的资料流失、利益损失,安恒信息及其员工恕不承担任何责任。本文所提到的解决方案仅供参考,不构成任何要约或承诺,有关内容可©安恒信息comtemts12020303030606073420242424252626262727272828网信行业解决方案-蓝皮书-2024网信事业是在习近平总书记亲自擘画、亲自指导和亲自推动下开创的,因新时代而兴,与新时代同行[1]。新时代网络强国建设进入新的征程,网信事业‘从无到有、从小到大、从弱到强’,取得了历史性成就。在习近平新时代中国特色社会主义思想特别是习近平总书记关于网络强国的重要思想的科学指引下,我国正从网络大国向网络强国阔步迈进,网信行业对于网络空间统筹协管的地位愈加重要,正逐步牵引和指导网络安全产业规模由小积大,网络安全保障力量由散到聚,网络综合治理能力由粗放到精细,引领网信行业发历经十年奋斗,网络意识形态主阵地更加巩固,网络综合治理体系建设加快推进,网络安全保障能力全面提升,信息化驱动引领作用充分发挥,网络空间法治化进程不断加快,网络空间国际合作深化拓展,我国正从网络大国向网络强国阔步迈进[2]。作为我国网信事深入践行党和国家对网络强国建设的新部署,自觉将企业发展战略和网信事业发展“对正看齐”,始终以战略性投入保障对网信行业经历数十载坚持,安恒信息始终如一配合和支撑网信部门各项工作。安恒信息作为荣膺第十届CNCERT国家级网络安全应急服务支撑单位的成员,一方面积极支撑国家网信部门开展战略研究、网络安全信息报送、监测预警、态势研判、应急处置、人才培养等各项工作,开展规范化的网络安全应急服务工作,提升对重大、突发网络安全事件的应对能力,保障国家基础信息网络和重要信息系统的网络安全,展示了安恒信息务实的工作作风和较高的专业技术水平;另一方面,全面参与网信部门主管的包括‘网络安全协调指挥平台’、‘网络数据安全监管平台’、‘网络信息内容生态治理平台’等建设业务在内的网络安全监管和网络空间治理工作,并作为网络安全监管抓手建设的主力厂商,以网络安全协调指挥业务为统领,为各级网信部门提供一揽子解决方案、系统化产品和安全服务,协助属地化网信部门有效应对网信领域风险挑战,体现了安恒信息极高的政治鉴于对网信事业的深刻领悟和充分认知,下一步安恒将依托强大研发实力和丰富的产品体系,围绕加强网络内容建设与管理,着眼网继续打造合规性强、实用性高的平台化抓手,配合各级网信部门,开展平台化抓手的监管下沉,服务各级网信部门补齐“中央-省-地市-区县”立体化网络安全监管体系。持续加强网络安全能力研究和细分产品研发,围绕网空空间安全治理、网络信息安全检查、人才培训等热点诉求,配套贴合网信监管场景、契合网信业务需求的实用化、工具化产品,为各级网信部门推进新技术新应1[引自:中央宣传部副部长、中央网络安全和信息化委员会办公室主任、国家互联网信息办公室主任庄荣文同志署名文章《以网络强国建设助力民族伟大复兴》;《学习时报》02网信行业解决方案-蓝皮书-20240304数据出境、个人信息保护在内多场景下的数据安全防护技术研发和数据安全保障能力研究,发挥“产”“学”“研”“用”环节的应站在国家总体安全观的视角,国家安全是民族复兴的基础,社会稳定是国家繁荣强盛的必要条件。结合国内外日益严峻的网络安全环境,尤其是境外敌对势力或组织对我国关键信息基础设施恶意攻击威胁,关键领域数据安全风险突出,网络重要数据、个人信息泄露频发,网信部门统筹维护网络安全、信息安全和数据安全面向传统的网络安全,以泛网络安全监管为主线,重点防护和全面防护相结合,重点防护突出对重点行业、关键领域关键信息基础设施的安全防护;全面防护针对属地网络资产、关键信息系统、门户网站实施常态化监测和防护,严格落实网络安全工作责任制,持续面向网络信息安全,以内容安全监管为主脉络,关注新技术新应用对舆情传播的影响,加强对数字经济背景下内容安全监管,做好网上舆论引导和管理疏解,塑造主流信息安全格局,牢牢把握面向网络数据安全,聚焦热点场景、紧迫需求下的重要数据安全和个人信息保护,开展数据安全监管业务试点,打造一体化数据安全监管抓手;建立健全数据安全管理、风险评估、检测认证等机制,压实网络平台主体责任,强化重要数据安全保护,完善数据管理制以监管抓手视角看,在网络安全业务层面,建设“中央-省-地市-区县”四级联动、网信部门和其他行业主管部门密切协同的网络安全协调指挥平台,实现网络安全的垂直监管和协同指挥,落实对网络安全风在信息安全业务层面,加强对网情舆论的常态监测和正向引导,构建应急指挥体系强化对网络内容安全监管。在网络数据安全业务层面,抽取数据出境热点场景,聚焦数据要素流动和数据交易全流程环节,强化数据运营者的主体意识,规划一体化数据安全监测和感从监管效力保障角度看,立足运用法治思维和法治方式锻造治网管网能力,加强网信行政执法的约束力,提升网络执法效能,促网治网布局落到实处、看到实效,确保网络安全产业健康、基于网信在网络安全产业领域的统筹监管地位,通过对网络安全产业的正向牵引,逐步强化在网络空间监管地位。发挥网络安全协调指挥平台作为支撑同级网络安全工作的‘中枢’作用,推进网络安全协调指挥业务下沉到地市、区县级网信部门;面向网络空间新特点,网络传播新业态,加强网络安全内容管理,牢牢把握网络空间话语权,强化信息安全监管;直面数据安全紧迫问题和监管诉求,党和国家赋予网信部门在网络安全和信息安全领域的统筹监管地位。《中华人民共和国网络安全法》赋网络安全工作和相关监督管理工作;国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制,制定网络安全事件应急络安全审查、云计算服务评估、打击网络恐怖等具体业务,并利用国家标准制定和管理指向性方式,发挥统筹监管职能,指导和牵引网信部门对于网络安全产业的正向牵引力度和网络空间监管地位逐渐加强。新时代网络安全和信息化仍是网信行业的“一体两翼”,随着党和国家机构改革的格局初定,网信事业发展格局由弱变强,网信主管业务进一步聚焦,网信基于统筹协管地位向立足垂直执法与横向监督的“双轨制”倾向愈加明显,其行业地位进一步加强。网信对于网络空间的监管逐渐过渡到“强力监管”新模式,其背后以党和国家赋予的监管职能,总领和统筹数据安全监管工作。《中华人民共和国数据安全法》赋予国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作;而以运营者即被监管对象视角看,除了关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。实际上,随着《中华人民共和国个人信息保护法》、《数据出境安全评估办法》相继颁布国家网信部门发布《网络数据安全管理条例(征求意见稿)》,都在为网信统领数据安全监管工作明确适用场景,细化执行细则,保障有效执行,为实现监管预期和监管实效的统一逐步夯网信行业解决方案-蓝皮书-2024在泛网络安全及细分领域,积极布局网络安全监管抓手建设。基于网信部门在网信领域的统筹协管地位,其监管范畴涵盖整个网络空间,监管方式凸显以技术治网,监管路径强调多级协同和数据共享,监管效能注重网空治理能力迭代升级。各级网信部门积极布局网络安全监管抓手建设,以匹配数字经济蓬勃发展和网络安全产业快速增长背景,并面向泛网络安全领域,将各级网络安全协调指挥平台定位于支撑同级网络安全工作的“中枢”系统,布局和强化网络安全监管规范化、系统化、平台化在网络安全监管业务落地角度,加强垂直监管和横向监督的业务协同。为拉齐各省业务认知,实现垂直监管效力的最大化、数据共享的便利化和协同指挥的一体化,2021年9加强跨部门、跨层级的业务协同和数据共享,实现全省网信工作“一盘棋”、“一张网”和“一体化指挥”,推动社会治理体系和治理能力现代化。各级网信部门认真落实国家网信部门要求,遵循‘指南’指引,发挥垂直监管的主体作用,注重属地化横向监督业务协同,加强信息基础设施网络安全防护,完善网络安全信息统筹机制,加强网络安全事件应急指挥能力建设,压实主体责任,形成监在深入推进监管抓手建设层面,注重监管业务向地市监管市场的下沉和增效。‘指南’发布后,要求各省在集中窗口期内完成省级网络安全协调指挥平台建设工作,实际上全国范围内省级平台仅有不到5个省份未落实建设。未建设的省份有的正布局建设任务,有的则依托地市开展业务验证;随着各省建设业务的深入布局,为保证网络安全监管业务深入一线,各省在深入推进地市级平台建设同时,注重融入属地化特点和监管诉求,尤其关注平台监管‘价值’发挥,引导监管业务向地市监管市场的下沉和‘增效’。未来1~2年内,推进地市级平台建设仍是网信部门落实网络安全监管业网信部门统筹数据安全监管的走向未变,和有关部门加强数据安全保障的监管格局日渐形成。《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》赋予了国家网信部门统筹数据监管的职责,《网络数据安全管理条例(征求意见稿)》、《数据出境安全评估办法》又从数据备案、数据目录报送实操性业务入手,明确由各级网信部门统筹数据安全监督和监管工作。由国家数据局、中央网信办十七部门关于印发《“数据要素×”三年行动计划(2024—2026年)》的通知,明确要“落实数据安全法规制度,完善050605网信行业解决方案-蓝皮书-2024第二章网信行业网络安全监管趋势面向重点领域和紧迫场景,优先布局对网络重要数据和个人信息的安全监管。按照以安全保发展、以发展促安全基本原则,在网络重要数据监管和防护领域,为规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动,国家互联网信息办公室公布《数据出境安全评估办法》。在个人信息保护和监管领域,国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作,并依托数据出境场景,将关键信息基础设施的运营者、处理重要数据或者赴境外上市的数据处理者和向境外提供个人信息和重要数据的数据处理者纳为数据出境管理对象,细化出境场景,开展路径规划全流程违规、全生命周期追踪场景,执行关口前移、先行一步和动态评估,注重机构主体间风险传播机制和应急处置机制研究;明确数据出境安全风险量化路径,细化评估体系和能力指标,注重跨境数据流量异常事件事前预警,拓展以主体为监管对象的数据安全监国家互联网信息办公室颁布的第14号令,贴近数字经济和网络安全产业发展的新阶段,进一步延展网信部门行政执法的适用范围。2023年3月23日国家互联网信息办公室公布《网信部门行政执法程序规定》,自2023年6月1日起施行,其根本目标是规范和保障网信部门依法履行职责,保护公民、法人和其他组织的合法权益,维护国家安全和公共利益。相较于对2017年5月2日公布的《互联网信息内容管理行政执法程序规定》进行了全面修订,明确网信部门行政执法业务发生“跃迁”,由集中对互联网内容监管扩大、跃升为对网络安全、违法收集个人信息、数据泄露等广泛性、普适性网络空间安全监管,并聚焦人民群众反映强烈的网络数据安全和个人信息保护问题,延展行政执法的适用范围,符合网信部门《网信部门行政执法程序规定》规范了网信部门行政执法程序,立足程序规范和集体决策,进一步强化网信部门行政执法的约束力。一是明确立案、调查取证、审核、决定、送达、执行等多环节的具体程序要求,并规定网信部门应当依法以文字、音像等形式进行全过程记录,归档保存。二是完善回避制度、听证制度和当事人的陈述、申辩制度,切实保障当事人的权利。三是明确法制审核程序,规定应当进行法制审核的案件范围、审核机构、审核人员,明确未经法制审核或者审核未通过的不得作出行政处罚决定。四是明确重大处罚案件集体讨论决定制度,对情节复杂或者重大违法行为给予行政处罚,网信部门负责人应当集体讨论决定。五是明确规定网信部门办理行政处罚案件的期限以及结案的具体情形[3]。《网信部门行政执法程序规定》规定了行政处罚的执行与监督,贴合网络空间复杂性,以人为本,明确监督方式,进一步保障了网信部门行政行为的公定力。明确当事人依法享有的陈述和申辩权,以及申请行政复议、提起行政诉讼的权利。规定国家网信部门依法建立本系统的行政执法监督制度,上级网信部门对下级网信部门实施的行政执法进行监督。网信部门实施行政处罚应当接受社会监督。公民、法人或者其他组织对网信部门实施行政处罚的行为,有权申诉或者检举;网信部门应当认真审查,发现有错误的,应当主动改正[4]。当前,网信行业监管步入新的发展阶段,网络安全抓手初步建立,网络信息安全进入常态化监管阶段,数据安全监管业务聚焦紧迫场景,逐步形成数安业务新的监管支点。网信部门行政执法贴近网络安全和信息发展的新阶段,由内容监管拓展为‘全业务’监管,进一步基于网络空间统筹协调地位,落实网信各业务建设中的常态化监管手段。面向网空治理新特性,逐步完善执法程序,以人为本、规范执法、文明执法,并加强网信行政执法‘弹性执法’和多样化监督探索,为网信对于网络空间的监管逐渐过渡到“强力监管”新3[引见:“国家互联网信息办公室公布《网信部门行政执法程序规定》”,中国网信网,2023年03月23日]0708网络安全协调指挥领袖关怀:2016年4月19日,习近平总书记发表“419讲话”,为我国网络空间安全事业的发展指明了方向。2018年习总书记在全国网络安全和信息化工作座谈会上又着重强调:“加强网络安全信息统筹机制、手段、平台建设,加强网络安全事件应建设,做到关口前移,防患于未然。要落实关键信息基础设施防护责任,行业、企业作为关键信息基础设施运营者承担任,主管部门履行好监管责任。”领袖的谆谆教诲是各方落实网络安全和信息化业务建设的根本指引,是各级网信主管部政策导向:《国家网络空间安全战略》、《网络空间国际合作战略》相继出台,为我国网络空间安全发展勾勒网络安全协调指挥平台建设以《中华人民共和国国家安全法》、《《网络安全审查办法》为基本依据,是各级网信主管部门开展业务规划的法律基础。2021年中央网信办印发‘建设指南’是指导省级网信主管部门开展属地网络安全协同指挥能力建设的业务依据,是面向网络安全和信息化主责主业,突出资产探测、态势指挥、研判分析、协调联动、多源数据汇聚、保障支持主体功能建设要求,发挥属地网信主管部门统筹协调地位,落业务落地:按照国家网信主管部门的业务规划,各省网信主管部门结合省委、省政府对属地化业务管理布局,围监管、侧重融合数字政府建设,以进一步推动和加强区域网络安全工作为主脉络,以树立网络安全工作“一盘棋”、管好“一张网”为工作基调,精心谋划协同联动、及时快捷、高效运转的一体化网络安全工作格局;建成纵向贯通、横向联动、智慧高安全协调指挥平台,并面向监管业务的下沉布局,深入推进综上,通过建设网络安全综合协调指挥平台,实时掌握辖区关键信息基础设施和重要系统的网络安全态势,及时了解网站或系统、重点单位、核心网络节点和在线工控系统的网络安全威胁、风险和隐患,监测其安全漏洞、僵木蠕毒传播和况;整合行业主管部门和第三方安全厂商的威胁情报数据,及时通报预警重大网络安全威胁;形成网信主管部门统筹和其协调联动的网络安全监测预警处置“紧耦合”工作机制,构建社会各方参依据对网信事业的深入学习和持续认知,结合安恒对网趋势的理解和把握,面向网信部门的监管需求,按照网络协同、信息安全细分业务建设和数据安全监管不同细分业09网信行业解决方案-蓝皮书-2024网信行业解决方案-蓝皮书-2024建设现状以安恒掌握的数据看,以省、地市(州)为主体的440个各级网信主管部门已建132个,地市级整体看还仍存在较大市场机会,未来2年内仍存在较可观的建设空间。全国31个省、自治区、直辖市中未建设的省级网络安全协调指挥平台仅存约5省,已建省份中安,(面向属地关键信息基础设施防御体系薄弱、安全监测和感知能力不足等痛点,以国家网信部门发布的‘指南’为行业主管部门和属地被监管单位,协同专业机构、安全厂商和相关组织力量,依托“中央-省-市”网信监管三级架构,构建“垂直到底、横向到边”的网络安全协同处置体系,构建多职能部门参与的网络安全风险协调机制,解决属网站安全监测(云平台)网站安全监测(云平台)威胁监测与威胁监测与态势感知系统据产数资网络安全信息接入系统 网络资产信息汇聚系统数据融合数据融合本方案面向网信主管部门统筹网络安全监管工作,设计纵向贯通、横向联动的业务架构,构建“6+1+N”(6大业集数据中台和安全中台能力于一体的1套网信大数据平台,N个创新监管应用)的平台架构;汇聚边、纵向指挥到底的网络安全协同指挥能力;通过6大业务中心的协同发挥规范化、协同化、实战化网络安全监管功能,沉淀精准预警、高效处置业务能力,并结合各级网信主管部门实际场景;集成资产分级、考核评价、检查监督、移动网信(APP)、教育培训、攻防演练等创新应用;为网信主管部门统筹网络安全保障力量,压实各方主体各级网络安全协调指挥作为同级别网络安全工作的“中枢”,具有协调全局,统筹属地内网络安全综合治理业务的平级和主要地市级网络安全协调指挥平台是中央平台的业务下沉触手,也是横向协调各主管部门的核心抓手,是服务“属地(1)统一信息通报:拉通属地行业主管部门和主要被监(2)安全数据共享:设计属地网络安全数据共享接口,解决主管部门之间(3)统筹协同处置:完善省市两级网络安全指挥协同体系,统筹属地监管力量和安全资源,保障网信行业监管下腰部主体监管力量形成合力,力保形成“中央-省-市”三级联动、协同应对网络安全风险的监管格局。以某省为例,在上级网信主管部门‘指南’发布前就响应省委省政府号召,拉通各方力量,设计属地化建设指南,约定业务接口,贴近网络强省、数字政府建设等重大战略需求开展平台建设。建成纵向贯通、横向联动、智慧高效、全国领先的省调指挥平台。实现全省网络安全态势可见、风险威胁可知、信息通报统一、应急处置高效,全面支撑本省“最多强省建设。在‘指南’发布后,积极响应上级主管部门的建设要求,‘纵向’上完成对央办、地市的业务、态势数据的上通下达;‘横向’上高效完成了公安机关、工信部门、行业主管单位的通方厂商多元异构数据的汇聚清洗接入,统一支持内部的分析研判,并率先完成了与中央平台的联调和对接。目前平台监测省地市和行业主管单位,实现对全省百余家省直单位、七千余家单位、万余个网站系统的全方位监测,并从业务层面彻安全风险牵引的‘上传下达’,率先打造了属地内、行业间、网络安全生态全链得益于在不同网信主管部门的业务实践,安恒信息面向网络安全协调指挥业务体系提供的一揽子方案满足并高于‘指具备完整、详细、齐备的网络安全风险预警和通报管理功能,可分对象、分类别、分层级的向省级党政机关、省内各市通事件、网络安全漏洞、网络安全态势等。在实际业务实践中,安恒信息提供的建设方案具备“分层解耦、异构兼容”的业能够满足主管部门‘紧耦合’建设架构,又能够适应不同支撑单位参与的‘松耦合’建设现状。但随着各省迭代建设的布设能力下沉,为充分发挥平台的监管效力,实现网安恒信息郑重建议各网信主管部门尤其注重平台自身安全能力建设,打造平台自身的内网分析研判能力,并以此营造监管全监测和安全运营能力,力保在统筹监管的同时,平台自网信行业解决方案-蓝皮书-2024合规性层面:安恒信息推出的综合解决方案契合‘指南’要求,满足合规性要求并高于国家网信部门指南要求。安恒“6+1+N”平台架构正是以‘指南’设定的政务目标和需求为指引,念,以加强跨行政执法部门、行业主管部门、关基运营单位等跨层级的业务协同和“一体化指挥”,推动社会治理体系和治理能力现代化。在方案技术路径选择、监管功能设计、业务能力沉淀层面突出创新驱动产优先原则,并率先完成主要软硬件与国产产品的适配,安恒不仅完成了国产化芯片的适配,也完成了对国产化数据库和中间件实用性层面:安恒信息设计的创新应用,更懂网信监管业务,保障业务层面各适用各级网信主管部门的监管场节设计了“综合考核量化评价体系”,按照接入主体的业务特性设立考核主体名单管理和动态维护体系,引入风险评分模评量化、综治考核和质量考核,实现对考核对象的科学评价和动态管理。安恒信息创新业务应用,创新通报方式,开发覆安全性层面:安恒信息打造了保障平台自身安全的创新产品,在自主建设,力求实‘内在性’创新,集成内网安全保障能力,加强平台自身安全的在统筹监管的同时,平台本源业务不出问题。实践证明,安恒依托在安全分析和安全运营方面的‘碾压性’优势的分析,还能包括对网信主管部门自身业务抓手和管理举措的安全监测和运营,不能只管“他人”,也能够针对网信平台可用性层面:安恒信息选择‘弹性’架构,既能够满足网信主管部门“紧耦合”业务模式,也能够适应地市级网“松耦合”建设模式。随着网络安全协调指挥业务的下沉,地市级网信主管部门更加关注有限投入下的建设成效,十分注重资理、安全管理和运营、通报检查等业务实际开展情况,为此安恒创新资产管理模式,设计不同资产属性的分级管理模式,满足各监管主体的实际诉求;针对前期建设平台的价值实现需求,安恒设计了安全运营一体化方案,从业务梳理、角色定位、权限划定程优化、场景抽取、模板细化和制度保障等多个角度强化平台的安全管理和常态化运营,保障平台建设发挥既定价值,保障通报此外,在安恒先进大数据架构加持下,具备多源异构数据汇聚能力,能够面向不同场景的业务应用提供威胁情报、析能力。安恒在本领域“进场”时间早,积累了丰富的实战化经验,针对平台上层应用的通报、考核经过大量客户实战,入精力打磨,上线即可用。一言以蔽之,安恒信息不仅仅能够为网信专有云安全防护在地市推进某业务中,政务云由省侧统建,对安全保障有集中化、集约化和弹性化诉求。可在政务云内划分网信专网过云安全资源池方案建设为市网信专有云内租户提供完善的云安全保障,实现安全轻量化和便捷化服务,网信专有云区域资源区物理隔离;网信专有云内用户按需申请云安全产品,并自动部署到自己隔离的网络空云安全资源池聚焦应用安全,灵活调度安全资源,具备安全可视、可控、安全资源自动化部署、弹性扩展、平台利用本市政务云资源,适用于本行政的区域资源配置,在大幅度降低投资的同时,兼具备(网信专有云)安全防护方案(网信专有云)安全防护方案IPS防火墙/vFWWAFvFWWAF日志审计堡垒机日志审计堡垒机APT漏洞扫描APT漏洞扫描数据库审计主机安全数据库审计主机安全专享安全专享安全组件本地SaaS本地SaaS安全组件专享安全专享安全组件本地SaaS本地SaaS安全组件网信行业解决方案-蓝皮书-2024本方案在政务云互联网和网信专网分别各部署一套云安全资源池,安全资源池建设服务器集群,以旁路的方式部署网和网信专网统一出口核心交换机上,防护类产品将流量通过交换机策略路由牵引到相应的安全引擎或安全组件,监测审计客户云内VPC业务互联进行安全功能的实现。本方案聚焦应用安全,灵活调度安全资源,具备安全可视、可控、安全资源自动化部署、弹性扩展、平台开放等特点,可利用本市政务云资源,适用于本行政的区域资源配置,在大幅度降低投资的同时,兼具(1)降本增效,弹性扩容:本方案聚焦应用安全,可灵活调度安全资源,平台开放等特点,可利用属地政务云资源,适用于本行政的区域资源配置,在大幅度降低投资的同时,兼具备良(2)合规驱动,业务优先:本方案综合考量政务云平台的信息安全架构建设、安全技术体系建设、数据安全建设和标准规范架构建设要求,推动属地网信专有云业务落地实施,并优先满足网络数据安全监管安全驱动:如今数据安全问题频发,近两年来颇有影响力的国内外数据安全事件发生数百起,数据安全风险也越来越高。在国家政策指引:2022年7月7日,国家互联网信息办公室公布《数据出境安全评估办法》,出台《办法》旨在落实《网络安全法》、《数据安全法》、《个人信息保护法》的规定,规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动,切实以安全保发展、以发展促安全;《办法》规定了数据出境安全评估的范围、条件和程序,为数据出境安全评估工作提供了具体指引。2022年8月31日,国家互联网信息办公室发布《数据出境安全评估申报指南(第一版)》,旨在指导和帮助数据处理者规范、有序申报数据出境安全评估;并对数据出境安全评估申报方式、申报流程、申报材料等具体要求作出了说明。以数据出境场景为例,如何识别、量化数据出境的细分场景、出境数据种类和数量成为左右数据出境安全评估的首要问题,随着数据要素作为数字经济关键生产要素的地位愈加凸显,数据流动、数据交易和数据出境场景的日渐兴起,对于数据安全领域的统筹监督和协同处置定会成为国家网信主管部门的主营业务线。为了促进数据依法有序自由流动,激发数据要素价值,扩大高水平对外开放,2024年3月22日,国家互联网信息办公室公布《促进和规范数据跨境流动规定》,对数据出境安全评估、个人信息出境标准合同、个人信息保护认证等监管布局:2021年国家互联网信息办公室就《网络数据安全管理条例(征求意见稿)》公开征求意见,并在近期密集推进数据安全管理的调研工作。‘条例’涵盖了个人信息保护、互联网平台运营者义务等多方面,首次提出平台制定隐私政策需公开征求意见。‘条例’还分别从管理措施和技术措施两个维度阐明了国家网信主管部门负责统筹协调网络数据安全和相关监管工作,并从技术保障维度加强数据安全信息共享、数据安全风险和威胁监测预警,强化数据安全事件应急处置工作。目前各级网信主管部门相继成立了负教育、科技等主管部门结合本行业、本领域行业特性和业务特点,网信行业解决方案-蓝皮书-2024以安恒掌握的情况看,遵照有关规定工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主域数据安全监管职责,已经围绕数据资产梳理、数据分类分级、数据全生命周期防护、数据安全治理等工作做了本行业、大量实践。在网信领域,前期有关专业机构协同相关部委,面向卫生健康和科技生物等相关产业开展了特定细分领域的数和防护行动,并依托多级多部门协同工作方式保证的数据安全监测和防护实效。近期,国家网信主管部门在聚焦网络重要个人信息防护两个场景,布局和推动在相关省市按照‘网安法’、‘数安法’赋予网信主管部门的职责,在管理措施方面,各级网信部门统筹协调网络数据安全作,并会同国务院有关部门组织对大型网络平台的网络数据处理活动开展安全评估,迫切需要面向个人信息、网络重要数境安全等细分领域的协同管理手段;在技术措施方面,为加强数据安全信息共享、数据安全风险和威胁监测预警,强化数应急处置工作,建立健全数据安全应急处置机制,需要构建垂直联动、横线贯通的数据图3:网络数据安全监管方案架构本方案面向网信主管部门统筹数据安全监管工作,设计“纵向数据驱动、能力导向的安全监管能力,通过4大业务中心的协同发挥一体化监管功能,沉淀协同化服务能力,为网信主管部门统筹数据安全保障力量,压实各方数据安全责任提供决策依据和指挥抓手,以监管和服务协同融合两个视角保障数据安全管理落由网信主管部门主导的数据安全监管平台作为重要数据和数据出境安全监管工作的“枢各行业主管单位技术力量,拉齐数据处理决策者数据安全认知,保障网络数据安全及相关监督工作落到实处。数据安全监级网信主管部门落实网络重要数据监管、实施个人信息保护、督促行业主管部门和数据处理者(含大型网络平台)集成化横向协调各工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门健全数据安全应急处置机制的系统化图4:服务省网信部门的数据安全监管业务体系(1)统一承接数据共享和备案管理:平台设计统一化接口,用以各行业主管单位向网信主管部门上报本行业、本领域的网络数据安全风险和事件,进行本行业、本领域、本组织的重要数据目录上传,开展数据出境业务备案,解决网信监督和行业(2)统一开展数据安全风险研判和风险评估:利用安全监测中心,开展对数据安全威胁的研判,利用主被动方式,引导高价值事件的研判,拉通属地行业主管部门和主要被监管对象,开展基于流量的API风险识别,进行敏感数据的发现和监测,面向被监管对(3)统筹数据安全决策指挥和协同处置:完善省市两级数据安全监管和协同体系,统筹属地监管力提供可视化科学指挥和决策手段,以数据安全风险为导向,开展不同行业场景下的风险洞悉和协同处置,力促形成各多级联动、协同应对数据安全风险的监管格局,构建数网信行业解决方案-蓝皮书-20241920图5:数据安全监管平台一体化界面综上,依据软件工程设计原则,按照场景化方式逻辑解耦大屏主题,包括安全监测态势、风险评估态势,多维度呈现势,多角度呈现业务管理界面,串联构建灵活的决策指挥地图,辅助网技术积累优势:安恒信息作为国内一线龙头安全厂商,在数据安全防护领域面向大数据局的数据治理、面向数据交易安全保障、面向政府监管部门的数据安全监管已经积累并形成的配套产品,并依托咨询服务方式协助网信主管部门开展江全监管的试点工作,有意愿、有基础、有能力做好数据安全监数据监管优势:除了省办试点工作,安恒信息业已服务地市级网信主管部门开展数据安全检查工作,比如某市网信办数据安全检查、数据安全风险评估工作。当下,安恒正在跟专业机构、省级网信主管部门保持沟通,一方面布局数据安全台化抓手建设,基于网信统筹协管地位,构建纵向指挥、横向协同的数据安全统筹监管新体系;另一方面,面向数据安全巡查,开发适用各级网信主管部门的数据安全监督检查工具,具备数安全服务优势:安恒信息面向金融、运营商、政府政务、企业主体开展了大量有益实践。数据安全检查、数据安全户覆盖金融、政府、企业等多个行业,针对不同类型的客户积累了丰富的、有针对性的数据安全咨询和检查、评估经验委,开展针对全国下属机构的的数据资产梳理、数据安全风险评估;服务东部沿海某省厅开展数据安全检查服务,支撑该局,开展了公共数据的数据安全制度规范制定、数据安全检查、数据安全组织建设等服务,以上面向不同行业、细分领域服务业务为网信数据安全平台发挥横向监管效网信行政执法与监督检查法制格局:推进网信部门行政执法程序规划化、行政处罚执行文明化与行政处罚监督多元化,是贯彻习近平法治思想记关于网络强国重要思想的应有实践。在深刻领悟‘互联网这块“新疆域”不是“法外之地”,同样讲法治’这一深邃围绕以法治网这一新时代课题,以规范网信行政执法牵引网络空间治理纳入法制化轨道,以文明执法和多元监督保障网工作的“善治”,以严格执法确保互联网在法治轨道上健康运行,以此来政策依据:2023年3月23日国家互联网信息办公室公布《网信部门行政执法程序规定》,《规定》对2017年5月2日公布的《互联网信息内容管理行政执法程序规定》进行了全面修订,自2023年6月1日起施行。明确网信部门行政执法业务发生“跃迁”,由集中对互联网内容监管扩大、跃升为对网络安全、违法收集个人信息、数据泄露等广泛性、普适性网络空间安全监管,并聚焦反映强烈的网络数据安全和个人信息保护问题,业务落地:当前,国家网信部门持续深入开展“净网”“清朗”“护苗”等系列专项行动,加大对人民群众反映色情、虚假信息、网络暴力、算法滥用、未成年人沉迷网络游戏等问题的治理力度,推动网络空间持续向好、天朗气清。全、信息安全和数据安全,各级网信部门逐步建立的垂直监管和横向监督相结合的网信监管体系,尤其是在网络安全细分建成了“垂直到底”、“横向到边”的网络安全协调指挥体系,为保障网信行政执法在网络安全业务领域提供的基础化手。平台化抓手的设计本意是发挥协调指挥的枢纽作用,旨在快速高效开展网络安全事件的协同指挥和应急处置。而落实法需要在相关平台化抓手基础上,以“平台化抓手+系统化工具”的方式开展网信行政执法领域健全执法人员培训、考试考核、资格管理和持证上服务网信部门行政执法的一揽子方案面向各级网信执法部门执法工具缺失,执法检查和取证手段单一问题,结合信安全)、网络安全和数据安全三大业务诉求,打造一体化、集约化执法工具,重点面向网络信息内容、网络安全、数据安息保护等行政处罚案件的线索获取、检查取证和案件研判,抽取通用化和个性化场景,落实“违害程度”的量化判定,为网信行业解决方案-蓝皮书-20242网络安全2网络安全3数据安全(数据出境)1网络信息内容(违法违规)VPN链路发现省/企业未备案++++图6:保障网信行政执法的综合工具集4个人信息保护+APP安全评估(检查)工具APP全景态势感知平台(1)业务优势:安恒信息作为网信业务的主力承建厂商,在网络安全协调指挥细分板块承建了近一半的平台建设业务,熟悉网信监管业务,能够以“平台化监测手段+工具化执法抓手”方式为网信部门落实行政执法提(2)产品优势:安恒信息拥有丰富的产品线和工具化产品,已结合网信行业特点,面向内容安全检查、网络事件应急处置、网络数据安全防护开发了工具化、便携式产品和工具,并优先满足网信主管部门的具体要求,保障(3)服务优势:依托强大的安全服务体系,安恒支撑超过100家网信主管部门、专业机构开展网络安全专项安全检查和重点单位网络安全检查任务,提供体系化应急演练、重保支撑、网络安全意识和技能培训等全方位的安全服务,能够为网信行政网信行业解决方案-蓝皮书-2024为满足全国网信系统网络安全协调平台建设指南和各省平台建设指南要求,提升关键信息基础设施的监管能力上完成央办指挥平台对接,对下介入地市平台下发工作任务,完成关基资产、业务数通管局、安全机关、工信厅、战支及行业主管部门的数据拉通,本个平台体系,以及网络资产信息汇聚、网络安全信息接入、网络安全威胁监测与态势感知、风险预警与事件通报、网络安全处置和网络安全协调指挥等6大核心应用,扩展N个创新应用(如考核评价、检查督查、移动网信、教育培训、攻防演练等),形成安全监管和业务协同的闭环,构建高效协同的网络安全聚焦网络安全和数据安全两大领域,抽取典型案例,门在内的相关受众参阅。其中,面向多级协同的网络安聚焦网络安全和数据安全两大领域,抽取典型案例,门在内的相关受众参阅。其中,面向多级协同的网络安体系建设,抽取省级网信部门、地市网信部门典型应用流动及交换共享过程中产生的数据安全风险,从数据、三个视角建立规则模型,对数据归集、处理、共享、交数据风险进行全域治理和合规监管;以平台为基础工具安全监督管控闭环,形成“多维联动、立体防护”的数建设可视化平台,实现多维态势感知分析,通过建设全息档案、实时监测、通报预警、应急指挥等业务模块(如省教育厅、省人社厅、省水利局等)的全天候流量监测,实时呈现全省网络空间安全总体态势,形成重要系统的资产态势、威胁态势、攻击态势、预警态势、事件态势和处置态势,实现威胁信息分级分类、信息共享、定向分析,及时发现风险隐患。24网信行业解决方案-蓝皮书-2024建设“安全数据大脑”,达成多源数据共享交换。平台纵向实现与中央平台和市级平台的机关、安全机关、通管局、CERT分中心、行业主管部门的数据共享交换和工作业务协同,并通过接入第三方安全厂商威胁情报数据,形成“安全数据大脑”,为盘活全省网络安全建立自身安全防护体系,保障内外双向安全监管工作。作为针对关键信息基础设施安全监中基础数据十分重要且非常敏感,平台自身安全防护将按照《GB/T22239-2019信息安全技术网络安全等级保护基本要求》第三级要求进行建设,主要包括物理与环境安全、网络和通信安全、设备和计算安全、应用和数据安全等层面的规划设计,确建立健全网络安全预警通报和应急指挥机制。根据业务系统报告的预基础信息,依托预定义的预警通报模板,生成预警通报,实现网络安全预警通报信息发布和反馈跟踪功能;向各部门、各络安全事件、网络安全漏洞、网络安全态势等,指导完成相应预防措施,监测范围覆盖属地关键信息基础设施和网络节点。省级平台对千余单位、万余网站系统、百余家省直单位云、政务外网进行监测,实现对多个行业主管单位的全天候流量监测,构建出覆盖重点系统、重点单位及行业网络的立构建省网信部门和其他职能部门协调联动的网络安全业务联动机制。平台横向对接公安机关、安全机关、通企业情报数据,实现行业部门之间安全数据共享;而公安、行业监管向下也形成了纵向贯结合属地施政要求细化工作流程,打造紧密协同、高效处置的威胁处置机制,提升全省网络安全防护水平。全协调指挥业务协同、监测预警机制及其工作流程,明确网络安全涉网监管部门、行业主管单位、被监管部门和各地市相分工,构建省网信部门和其他职能部门协调联动的网络安全监测预警处置工作机制;构建社会各方参与的网络安全综合防随着2021年国家网信部门‘指南’正式发布,省网信部门也相继出台了本省的建设指南。有建设需求的地市迅速递增,地办多以顺承末端监管任务为主,需贯通上级网信部门和市委、市政府及市委网络安全和信息化委员会、市委宣传部交办化,同时指导、检查、推动各县(市、区)和有关部门网络安全和信息化工作。以‘省级网络安全协调指挥平台建设指南引,遵循“纵向贯通,横向联动”理念,建设具有网络安全统筹协调能力的市级管理平台,建设实时监测、威胁感知急指挥、监管对象、情报信息、追踪溯源、检查督查、管理评价和攻防演练等核心业务系统,全面提高全市地市级平台建设以明晰工作职责、多源数据采集、数据资源共享、业务高效协同、辅助构建城市建成可用、实用、好用的资产单位分级管理体系。通过本地市资产单位的分级分类管理,针对党政机关、关基针的方式进行重点监管,每个单位开设平台账号,形成单位安全档案,精细化管理,配合考核、检查业务;对辖区内的备行常态化安全监测,包括漏扫、网站安全监测等监测工作;对互联网资产进行扫构建垂直监管业务下沉,夯实“中央-省-市”三级协同指挥体系。结合省级网信部门建设要求,实现与省网信办网络安全平台建设实现数据传输与级联。围绕地市网络安全战略布局,建设连接各相关部门单位的应急呈报、审核,完成预警发布、事件通报、协调处置等工作,支撑构建全市建立全域情报共享和协同联动机制。通过平台实时监测、情报共享、态势感知等能力,建立动态机制,动员辖区内全社会力量共筑网络安全防线。平台汇聚安全监测信息、国家平台信息、行业主管部门监测信息、其他门信息、第三方威胁情
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2024至2030年中国温奶器行业投资前景及策略咨询研究报告
- 2024至2030年中国月牙导电片行业投资前景及策略咨询研究报告
- 2024年沐足盆项目可行性研究报告
- 2024年单体速冻机项目可行性研究报告
- 2024年亚克力刀具项目可行性研究报告
- 2024年BC灭火器项目可行性研究报告
- 中国高温除油剂行业销售动态及竞争格局分析研究报告(2024-2030版)
- 中国遥控模型玩具行业供需分析及发展前景研究报告(2024-2030版)
- 中国语言翻译机市场销售规模与投资效益评估研究报告(2024-2030版)
- 中国胶印机行业发展形势与应用前景预测研究报告(2024-2030版)
- 2024年广东省深圳市中考历史试题
- 化工(危险化学品)企业主要负责人、安管员安全生产管理专项培训考核试卷(附参考答案)
- 2024年人教版小学三年级语文(上册)期中考卷及答案
- 《信息化项目验收工作规范》
- 2024年全国软件水平考试之高级网络规划设计师考试重点黑金模拟题(详细参考解析)
- 经济学题库(200道)
- 2024年巴西私人安保服务市场机会及渠道调研报告
- 课《闻王昌龄左迁龙标遥有此寄》跨学科公开课一等奖创新教学设计
- 2024年江苏省连云港市中考英语真题(含解析)
- 2024-2030年国内婴童用品行业深度分析及竞争格局与发展前景预测研究报告
- 粤教粤民版《劳动技术》四上 第二单元第3课《提篮》教学设计
评论
0/150
提交评论