政务安全托管服务（GMSS） 实践指南 2024

政务安全托管服务（GMSS）实践指南（2024）编写单位：深信服科技股份有限公司指导单位：国家信息中心等2024年10月习近平总书记指出：安全是发展的前提，发展是安全的保障，安全和发展要同步推进。当下，国内正在进行深入的全面的数字化转型，政务网络安全对我国的数字化建设和经济发展具有重要保障作用。近年来，我国多部网络安全法律法规均提出加全保障体系，建立健全动态监控、主动防御、协同响应的数字政府安全技术保障体系。充分运用主动监测、智能感知、威胁预测等安全技术，强化日常监测、通报预警、应急处置，拓展网络安为进一步做好新时代数字政府网络安全保障工作，国家信息中心和深信服共同设计和开发了面向政务网络、政府用户的安全托管服务。政务安全托管服务聚焦数字政务网络安全工作场景及需求，主要服务场景、价值与优势、合规建设情况、服务运营详情、应用案例等不同方面对政务安全托本指南版权属于深信服科技股份有限公司，并受法律保护。转载、摘编或以其他方式使用指南文字或观点的，均应注明“来源：政务安全托管服务（GMSS）实践指南”。违反以上声明者，深信服科技股份有限公司将保留追究其相关法律责任的权利。本指南编写过程中得到以下单位的专业录政务安全托管服务概述政务安全托管服务概述服务特点服务架构服务场景服务内容服务优势资产识别梳理首次安全评估安全问题处置脆弱性管理安全威胁管理事件管理闭环安全情报通告安全总结复盘政务安全托管服务内容要素20服务技术服务团队服务流程政务安全托管服务实践效果29两周年实践总结29AI大模型赋能36服务合规能力41政务安全托管服务实践案例42内蒙古自治区大数据中心⃞一体化安全运营场景42江苏省大数据管理中心⃞持续有效监管合规场景43江西省信息中心⃞日常网络安全托管运营保障场景45珠海市政务服务和数据管理局⃞安全效果提升场景47烟台市大数据中心⃞政务云、网一体化运营场景49东莞市政务服务和数据管理局⃞一体化托管场景51台州市大数据发展中心⃞安全托管扩展能力场景53某省级大数据中心⃞7*24小时安全托管保障场景54某地市自然资源局⃞勒索病毒预防与响应场景56某市市场监督管理局⃞重要时期安全保障场景60来越多，但是缺乏足够的安全人员和技术来应对这些威胁。Gartner认为，将安全管理外包给专业的安全服务提供商，可以帮助组织降低安全风险，提高安全性能，并节省安全管理成本。现如今，伴随着云计算技术的高速发展及应用，越来越多的组织将其业务迁移到云端，各综合型网络安全厂商通过其全球化的安全运营中心，为诸多用户提供7*24小时不停歇近年来，国家信息中心（国家电子政务外网管理中心）先后印发了《关于加快推进全国政务外网安全监测平台建设工作的推动全国政务外网建设和运行维护单位提升和完善网络安全监测预警和应急处置能力，逐步实现跨地区、跨层级的安全监测数据共享和业务协同，形成全国政务网络安全态势感知一张网。政务安全托管服务(以下简称“政务MSS”或求和特点，通过提供集约化服务方式有效解决了数字政府行业缺少专业安全技术人员、资金资源投入不足导致无法开展常态化安全保障的困难，为用户提供持续、有效、省心、便捷的安全托管服务。 政务安全托管服务的服务对象是所有的数字政府单位用户。各级政府单位经过了多年的安全建设，安全能力与效果已经取救火队式处置安全事件，缺乏有效安全运营流程机制；缺少高阶人才，难以应对复杂事件处置，难以0101重要活动期间、攻防演练期间的安全投入更大，时效性要求更高，应战能力平时、战时不对等无法得到充分保障，导致战时效果检验不达预期；而战时能力未能有效转化赋能到日常运营中，效果除了提供典型政务安全托管服务的内容之外，政务安全托管服务在国家信息中心的相关团队和经验沉淀的赋能下，还针对依据国家信息中心来源更广、实时性更高、内容覆盖更全面的威胁情报机制，为广大政府单位提供更具行业化的威胁情报，提前预防针对政府行业的攻击和脆弱性分析，并通过安全托管服务的云化运营机制，在地方实践、威胁情报、行业安全态势、典型安全事件、安全建设经验等重要信息，借助云化托管服务，将经验，直接与客户沟通，提供咨询建议，强化GMS国家信息中心凭借资源整合和组织优势，定期组织全国政府单位各省市级负责政务网络的主管领导、安全提升技术对抗能力，构建更强的数字政府网络安全保障体系。如国家信息中心信息与网络安全部主办、深信服提供授课支持的国家电子政务外网信息与网络安全系列培训，与用户共同交流安全治理实践经验和前沿探索，探讨网络安全面临的问题与应对方案，对强化数字政务安全管理责任，提升网络安全保障能力起》》》02020303GMSS服务以网络安全“持续有效”为目标，围绕资产、漏洞、威胁、事人机共智勤于对抗 服务交付体系服务交付体系aES运营准备持运营准备持服务服务质量保障机制问题跟踪管理GMSS安全能力中台为服务周期内各类安全风险检测GMSS服务团队包含了安全运营中心服务团队及本地服务团队，其中安全运营中心团队分为应急响应中心、攻防实验室、0404针对重点托管的业务资产，GMSS服务可以帮助用户从纷繁复杂的安全琐事中解放出行承接，比如新系统上线的评估，日常的安全策略有效性评估和调优，漏洞、暴露面的定期梳理和跟踪解决，安全事件的持续监测与响应，协助应对上级单位的通告，针对通报内容进行自查、整改，定期向领导汇报安全工作成果，以及夜间/威胁0505平台上，首创了勒索风险预防库，将历史上所有可能被用于勒索攻击的风险进行了梳理和汇总，最终形成了勒索风险专项快速进行闭环处置，实现事中事后的保障。同时，这套方案还可以和托管云灾备方案进行联动，实现对勒索加密数据的快·勒索残留项检测·全面IT资产梳理·勒索残留项检测·全面IT资产梳理·勒索攻击实时对抗·勒索攻击实时对抗·基于ATT&CK的病毒行为·勒索情报动态预防·云端专家实时推动告警·勒索风险消除·设备策略调优·人机共智不间断动态清零·勒索攻击专项保险兜底时保障，每日汇报以及值守后的总结汇报。此场景支持灵活扩展，根据用户的需求进行不同服务项目的搭配，比如增配红0606 能够快速有效、经济便捷地帮助各级数字政府单位快速建立健全安全监测预警防护体系，对抗各类网络信息安全威胁，服一是保障政务工作人员将更多精力投入到数字通过召之即来的服务效率、来之即战的坚实能力，让安全工作更简洁、更有效；同时基于安全托管服务的模式，与政府单位协同作战，提供更专业的技术支撑与指导，分担工作内容，让政府单位人员更好地聚焦于高价值的安全建设规划、数据主动主动闭环处置闭环率100%放心的效果安安心的效率有效预防研判准确率99.99%00:61-00:4100:61-00:410靠依止防力能人个16:0-18:000靠依止防力能人个00:80-00:6000:02-00:8100:80-00:6000:02-00:81ALS诺承果效保确04:00-06:00ALS诺承果效保确00:40-00:2000:40-00:20120实专家0团8战:队00-2降10低:4成0标0:本00准-02持:0续0对靠抗可用使熟成程流12:00-1白4班20:夜:000-220:无00损对接207X24小时120实专家0团8战:队00-2降10低:4成0标0:本00准-02持:0续0对靠抗可用使熟成程流12:00-1白4班20:夜:000-220:无00损对接20012:0-012:0-4:00707策略检查、脆弱性评估、暴露面梳理、失陷类事件评漏洞扫描与验证、漏洞修复优先级排序、可落地的修复方案、高可利用漏洞防护、7*24H威胁鉴定与通告、威胁分析与处置、威胁情报管理、高级威胁狩猎、安全安全运营周报、安全运营月报、安全运营季度汇报、安全运营半年度汇报 模式为政务外网提供专业的安全托管服务，确保安全托管服务的用户可随时随地享受到安全专家团队的服务，并设置有监0808》》》》》》服务过程中服务经理会与客户实时沟通和反馈，项目经理会定期上门汇报，服务结果直观展示在用户0909传统安全服务通常存在服务过程不可视的问题，作为服务购买方来说，无法实时掌握第三方服务过程，导致服务效果无法把控。为了解决以上问题，GMSS服务使用服务监控大屏使得整个服务过程可视化各个阶段以评估服务效果。同时，GMSS服务自主研发了专家服务监督和质量保证1010 ·资产识别梳理资产是风险管理中的基础部分，只有管理好资产才能更有针对性地控制安全风险。资产管理服务提供资产识别、录入以及1111 服务专家分析判断主机是否感染服务专家分析判断主机是否感染矿状态；根据已发生的漏洞攻击行为分析判断是否存在以植入挖服务专家确认文件是否被感染，服务专家分析判断主机是否感染勒索病毒文件；根据已发生的漏洞攻击行为分析判断是否存在勒信息泄露攻击行为、口令暴力破解攻击行为、僵尸网络攻击行为、系统命令注入攻击行为及僵尸网络攻击行为等常见的攻1212服务专家对失陷主机进行分析研判（如后门脚本类事服务专家分析内网主机的非法外联威胁行为，判断是否存在潜伏威胁，如对外攻击、C&C通道、隐藏外联通道等外联威胁行为，并给出解决建议。 针对勒索、挖矿类事件，服务专家主导处置工作，并进行最大程度溯源；定位恶意文件路径并提供查杀指导；并分析有无针对隐藏通信通道、可疑外发行为，服务专家提供实际佐证材料，进行最大范围溯源，并给出修复建议；配合定位异常进1313 利用脆弱性扫描工具扫描网络中的核心服务器、重要的网络设备以及Web业务系统，包括服务器、交换机、防火墙等，以对网络设备进行脆弱性问题检测和分析，对识别出的能被入侵者用来非法进入网络或者非法获取信息资产的脆弱性，并■■修复方案1414 基于“人机共智”模式，综合运用资深行业专家经验和丰富的威胁情报知识库，对不同安全组件设备的安全日志、流量进行聚合、关联分析，并通过资深专家池对安全威胁的专业分析及定位，帮助客户精准检测网络和主机中的有效安全告警/威胁。同时，GMSS服务专家团队会对识别到的威胁进行主动响应，采取措施降1515 ·事件管理闭环对识别到的安全事件进行专业定位、及时响应、全面调查和最终闭环，同时建立安全事件的全生命周期管理，形成安全事QQ服务人员主动识别病毒基于GMSS平台和工具，还原攻击路径，分析入侵事件原因以及网络、主机中的风险点，提供安全事件1616闭环是事件管理中关键的能力要求。其中，统一的闭环执行标准可规范服务人员的闭环操作执行，通过平台管控，可将所1717GMSS服务针对网络攻击类、病毒类、脆弱性等不同类型的安全事件攻击失败攻击成功非感染型病毒感染型病毒攻击失败攻击成功非感染型病毒感染型病毒 1818 最新漏洞处置指导一旦确认影响范围后，安全专最新漏洞处置指导一旦确认影响范围后，安全专家提供专业的处置建议，处置建议可包含补丁方案以及临时规避措施两部分，按需及时协指纹信息实时抓取互联网最新威胁情报与详细资产信息进 定期更新和输出用户的项目服务情况和阶段性服务成果总结，以图表的直观形式和丰富详实的数据梳理总结安全态势变化情况、服务成果、安全效果及剩余风险内容，同时对安全托管服务情况进行复盘，针对组织遗留安全问题、下一步安全能1919GMSS安全能力中台为服务周期内各类安全风险检测管理中心管理中心检测中心检测中心数据湖数据湖析引擎析引擎数据存储数据治理2020【管理中心】不仅实现对能力中心可靠性、资源、权限的监控管理，还提供规则管理、数据检索等能力，实现安全专家对工单、报告等系统，规范和提升整体安全托管服务质量及体验。安全能力与效果的两大量化指标是业界熟悉的安全事件平2121SOAR技术框架包含了优先顺序、检测、分类分诊与响应等要素。优先顺序可让消息根据商业情报、事件的风险大小、危害程度来决定事务的处理顺序；检测是指对接收到的事务进行决策；分类分诊有助于更快、更准地发现和验证不良内容，以便遏制和补救；响应是SOAR技术的最后一步，指执行必要的操作来控制潜在风险。GMSS将安全专家和技术通过初始化执行持久化初始化执行持久化 Rundll32账号复制 Wifi攻击Wifi攻击2222GMSS服务专家团队基于大量的攻防研究成果和客户服务经验，对攻击者的攻击行为、特征以及防御措施都有深刻理解。23232424GMSS基于国家信息中心的威胁情报源和厂商打造的威胁情报平台，采用同时，为了提升用户对情报内容与自身资产的关联性的感知，从风险预警、事件响应的角度为客户提供精准匹配后的情报情报类型主要包括业内热点漏洞、热点事件精准推送、事件情报挖掘、暗网监控等。由于威胁情报平台每天都会接收分布在全国的海量多元化数据，为了使威胁情报平台能高效地处理这些数据，针对最终通过流量指纹、脆弱性主动扫描、终端调查等方式精准定位用户可能受影响的资产、检测预警未知的攻击威胁，并及基于前向追踪分析，在定位入口点后，快速发现此次攻击的所有路径，确认受影响资产，评估此次攻击对用户环境造成的损失，包括遭受攻击的终端以及对终端的损害，如新建特权账号、对操作系统配置的修GMSS平台与安全组件设备联动，提供响应原子操作，如封锁IP、自定义防御规则、杀死进程、隔离文件、禁用用户、终端隔离、注册表恢复等等，依据根因分析、攻击面影响分析的结果进行精准处置，避免对业务造成大幅影响。对于常见的病毒类型、黑客攻击手法基于前向追踪分析，在定位入口点后，快速发现此次攻击的所有路径，确认受影响资产，评估此次攻击对用户环境造成的损失，包括遭受攻击的终端以及对终端的损害，如新建特权账号、对操作系统配置的修GMSS平台与安全组件设备联动，提供响应原子操作，如封锁IP、自定义防御规则、杀死进程、隔离文件、禁用用户、终端隔离、注册表恢复等等，依据根因分析、攻击面影响分析的结果进行精准处置，避免对业务造成大幅影响。对于常见的病毒类型、黑客攻击手法等内置一键处置脚本，实现快基于后向追踪分析，在发现攻击的蛛丝马迹时，立即对历史数据进行回溯，发现攻击的可能入口点，帮助分析人员定位攻击根因，提供加固建议，避2525 服务交付团队包括项目线上交付团队、业务保障专家团队、质量监督团队，通过成熟、规范的交付服务流程，为用户提供7*24小时的安全托管服务。项目线上交付团队由云端分析师、安全工程师共同为用户提供日常在线服务工作；项目本地交付团队分布在全国各地，为用户提供按需的本地化服务。业务保障专家团队由安全攻防、渗透测试、威胁情报等业务方向的高级专家组组成。质量监督团队对用户服务的整体过程、质量与满意度负责，通过调查分析和数字化运营，提升服务负责对升级的威胁工单进行研判和主动挖掘服务内资产的隐藏威胁风险，并将其沉淀为平台技术国家信息中心高级安全专家作为T3负责对升级的威胁工单进行研判和主动挖掘服务内资产的隐藏威胁风险，并将其沉淀为平台技术国家信息中心高级安全专家作为T3团队的补充，凭借对政务网络户沟通，提供咨询建议，强化安全托管服务的威胁检测与响应主要负责项目的日常运营服务工负责协助服务经理解决疑难业务负责协助应急响应工程师处理威化迭代业务流程和规划设计新业负责对服务资产进行授权模拟攻负责管理威胁情报，跟踪情报经验进行人员赋能和沉淀为平台应急响应中心用于当服务用户突发安全事件时，提供包括事件检测与分析、风险抑制、问题处置、协助业务恢复的服务。培训中心依托高端专家团队，将安全实践经验、研究成果以及积累的其他专业能力，通过人才培养赋能给全国的合作伙伴2626 在项目启动阶段，通过召开内外部项目启动会，明确服务预期，对沟通机制和交付内容达成一致，并针对政务安全托管服从脆弱性评估、病毒类事件评估、攻击行为评估、失陷类事件评估等方面对用户的现有安从脆弱性评估、病毒类事件评估、攻击行为评估、失陷类事件评估等方面对用户的现有安对安全分析发现的安全问题进借助安全工具对用户资产进行全面发现和深度识别，并结合人工梳理成真实、可用的资产持续运营阶段，是指电子政务安全运营中心围绕资产、脆弱性、威胁、事件四个核心风险要素帮助用户开展7*24小时持服务资产信息录入系统后，通过定期主动扫描+被动识别的手段识别2727通过脆弱性扫描工具识别系统安全漏洞及弱口令等，并对脆弱性问题进行专业验证，同时结合多种信息对识别的脆弱性问题进行优先级排序，最后提出切实可行的修复指导。除此之外，在脆弱性管理工作中借助脆弱性跟踪管理平台，可以有效地追踪资产脆弱性生命周期，清楚地掌握资产的脆弱性状况，实现全生命根据以往经验设定的安全用例（UseCase结合大数据分析技术实时监测网络安全状态，对监测到的安全问题自动化生成工单，通知安全专家介入进行及时进行分析与定位、通告，同时依据由安全专家经验固化对识别到的安全事件进行专业定位，及时响应并建立安全事件的全生命周期闭环管理机制，形成安全事件提供可视化、图表化的直观服务成果报告，方便用户查看服务进展和全面了解安全态势及其持续向好的变化趋势，并提供》》》2828 管理单位和包括服务自然资源、生态环境、人力资源和社会保障、交通、水利、海关、气象、应急管理、市场监督管理、2929信息采集和管理系统、综合网格化管理平台、城市综合管理服务平台、空气质量自动通过将安全数据控制在政务网络内流转的方式解决用户的安全性担忧，GMSS促进更多用户将更多的核心资产进行托管，政务云、终端办公设备等，结合不同类型的政府单位的业务特征、网络安全建设现状及需求，各级政府单位安全托管的资12/3/4/5/6//7//8/9///////////3030为了深入了解政府行业网络安全建设与运营现状，为数字政府各单位提升安全运营能力提供参考依据，政务MSS安全运营中心定期随机调研所服务的客户及其安全运营情况，并整理平台上的安全态势数据，从外部攻击威胁、应急事件、威胁情报等维度，对政府行业安全态势进行分析和总结，也通过数据、案例等多种方式对政府行业网络安全现状展开分析。以3131从攻击目标所在的省份维度进行分析，可以发现遭受攻击最多的省份分别是广东省、辽宁省和湖北省，其中占比最多的广间件漏洞、数据库漏洞、系统服务漏洞、开源和商业在某种具体类型漏洞后，便会围绕该类型漏洞深入攻击，调用更多可利用漏洞插件进行全面漏洞利用测试。两种攻击方式03232·'八00从攻击来源IP及地区分布来看，政府单位面对来自境外的攻击占大多数，这也从侧面证明了数字政府面临的攻击形势非遭受外部攻击最多的3个业务系统为政府网站集群、网定期开展互联网暴露面梳理，结合业务渗透测试、漏洞扫描、基线核查等技术手段，做到安全风险早发现早处理，3333由于业务漏洞利用成功或者历史后门导致的安全事件占比66.66%。通过对事件案例的分析，部分单位为方便自身业务系行攻击利用，从而引发安全事件。建议定期将单位的内外网服务器的中间件、数进一步预防安全风险。同时，较多单位存在弱口令情况，大大降低攻击者的难度和门槛，这主要归因于内部员工的安全意政务MSS基于结合威胁情报平台的大数据能力，对分布在全国各地的海量多元化数据进行分析，选取其中的关键维度高效进行处理，得到有效的威胁情报信息。同时结合国家信息中心的情报赋能，本月共发布政府行业相关安全通告18份，3434政务安全托管服务在保障每个用户的安全效果的同时，也对数字政府整体行业的安全态势进行监测与统计，以为用户提供3535 数字政府单位在日常安全防护以及实战攻防中，面对的攻击手段升级加快，如弱特征的高级威胁愈发主流、0day及高对应充分利用生成式人工智能大模型技术，构建针对高对抗、高隐蔽攻击的检测防御能力，进一步通过自然语言交互协助安击者在系统中执行任意命令，从而获得系统控制权限，并窃取敏感信息。如下图所示，攻击者成功利用了该漏洞，在服务器上执行任意命令和恶意操作。由于攻击流量中没有明显特征，流量侧检测方法取得的结果均为正常的运维行为，无法有洞的攻击代码不同，其原理、攻击行为、攻击目的具备共同特征，GPT3636安全GPT运营大模型基于场景化运营工作实践经验，将资产梳理、加固预防、监测研判、调查处置、联动处置、情报查询及溯源总结等方面的工作流程，转换为大模型的思维链提示工程，自动协同相应的组件、工具、人员和流程。目前，安助服务人员开展效率更高、效果更优的安全服务工作。安全GPT有助于大幅减少服务人员和用户的手动重复工作，更聚焦于更高价值的安全工作中；大幅提升实际安全运营工作的效果，如平均检测与响应时间大幅下降，最高可实现GPTGPT：服务专家的数字化助理减少92%的手动重复运营工作，让人员更聚焦用户的高价值服务工作提升平台的检测准确性以及取证全面性，降低服务人员工作量通过更多场景的自动化能力，进一步提升检测与响应的效率入库时间、活跃行业、标签等维度进行分析。威胁情报解读支持对IPS、黑客工具37373838和漏洞修复整改专项工作，需要快速输出近七天发现的高危漏洞，并且需快速对单位近七天需要处置的高危漏洞和业务系统弱口令情况进行定位和自动化梳理，同时针对需要修复的漏洞的修复方告警进行定性分析，根据智能推理和丰富知识，事件定性结果准确率有明显提升。当确认为真实事件后，需要进一步完成39394040 四四为适应新的网络空间发展态势，规范新技术服务能力，中国信息安全测评中用户的安全运营工作提供托管，因此服务商需要具备此项安全运营服务资质。据中国信为规范云化安全运营中心解决方案的能力，帮助用户更好的选择和使用安全安全托管服务平台是为数字政府单位租户提供服务的重要云端平台，应当做好严格的安全防护，按照全扩展要求完成等级保护建设和测评工作，至少通过等级保护三级测评。深信服政务安全4141 ·内蒙古自治区大数据中心⃞一体化安全运营场景《内蒙古自治区十四五网络安全规划》要求建设自治区电子政务外网安全监测平台，建立统一高效的安全风险报告机制和情报共享机制，建立跨地区跨层级的安全监测协同联动机制，形成覆盖全网、整体联动、协调规范的政务外网监测运行服漏洞验证等全方位能力，通过云地协同工作机制有自动化联动；云端积累的丰富安全事件知识库，以及涵盖基线加固、漏洞闭环、病毒处置等大量可落地处置经验，可赋能本地处置加固能力；云上专家溯源取证、疑难问题处置、专杀工具等尖端能力，以及线下人员对本地网络环境、业务特点的深入理解，均有助于确保安全运营过程中的协同响应效率漏洞验证等全方位能力，通过云地协同工作机制有自动化联动；云端积累的丰富安全事件知识库，以及涵盖基线加固、漏洞闭环、病毒处置等大量可落地处置经验，可赋能本地处置加固能力；云上专家溯源取证、疑难问题处置、专杀工具等尖端能力，以及线下人员对本地网络环境、业务特点的深入理解，均有助于确保安全运营过程中的协同响应效率政府单位面临的攻击越来越多的发生在安全防护水织天然与我国存在时差，经常性在夜间或节假日展开非法攻击活动。为应对这种攻防不对等的情况，家值守能力，确保任何时刻均有安全专家值守，有效对抗非工作时间的攻击行为。7*24小时持续监测可以贯穿安全事件的全生命周期，针对海量的安全告警进行消减，实现对已知威胁、未知威胁的快速、准确的检测，在威胁未发生之前实现最大化精准预警，时刻洞悉安全事件的蛛丝马迹，并进一步4242 ·江苏省大数据管理中心⃞持续有效监管合规场景江苏省大数据管理中心围绕省电子政务外网安全管理工作，初步建成网络安全运营体系，常态化开展省电子政务外网实时安全监测预警、工单处置等工作，提高了网络安全事件处置效率及质量，实现了政务外网网络安全管理工作的流程化、制度化、常态化。为进一步强化省电子政务外网7*24小时威胁发现、分析和处置能力，省大数据管理中心拟采购具备常态通过全流量监测分析，为省大数据管理中心自建系统及各委办局托管系统提供7*24小时不间断的安全服务，在严格遵守数据不出电子政务外网的规范基础上，对目标范围内的信息系统服务资产，持续开展资产安全、脆弱性、威胁、安全事件管理服务，对主要资产的风险进行定性或定量的脆弱性风险分析，描述不同资产的风险高低状况，对识别出来的安全风险4343针对基础信息、资产发现、资产管理、互联网暴露面检测与攻击面管理、漏洞扫描与管理、资产威胁检测营服务，通过政务外网网内云端值守和线下各角色人员进行场景化分工协作，云地协同的安全模式，提升检测与响应系统、APT流量检测设备等建立全面有效的安全运营实现全网安全流量、终端安全信息与安全日志的汇聚、治理、检测、分析与处置，并具备数据的传输、共配备1名专业服务经理，负责安全托管的整体协调、统筹工作，把控服务质量，保障日常持续威胁监测与响应服务工作顺利开展。每日与本地安服团队人员进行信息同步，每周定期向用户汇报服务成效。专业服务经理背后具备1个远程专家团队，如安全分析师、应急响应专家等，负责做好威胁检测与分析、事件应在重大活动、重要节日、攻防演练等重要保障时期，基于GMSS构建和攻防态势进行汇总分析及汇报。结合“平时”与“战时”不同时期的安全运营保障措施，沉淀优化安全省大数据管理中心的业务资产较多，需要监测超过一千个业务系统，线下驻场人员也是分工明确，也面面俱到地做到安全设备的告警分析。政务安全托管服务通过人机共智的方式对海量安全告警进行分析、》》》4444省大数据管理中心资产集中、涉及到核心业务和数据，是黑客的重点攻击目标，晚上和周末时段均是的活跃高峰期，此前曾在夜间凌晨遭遇过两次未成功的勒索攻击，本地安全人员对此非常焦虑。而第一时间通过电话直接联系客户进行风险遏制，避免对业务的负面影响，并且云端配备高级别的安及时下发安全问题、跟进整改，积极配合、应对监管其他政府单位曾因没有及时进行处置闭环而被上级监管单位通报过安全事件。省大数据管理中心化被主动，积极配合好监管单位的安全通报工作，通过政务安全托管服务持续进行常态化的风险预防和监测响应，实现了漏洞问题和安全事件的及时分析和处置，将安全水平维持在较高水平。完成的工作体现在多个维度：包括恶意域名封禁、安全防护策略优化在内的安全设备策略管理工作；脆弱性管理工作，如弱密码梳理、漏洞扫描、威胁狩猎，结合线下的渗透测试发现脆弱性，并做到及时下发整改威胁管理工作，应的响应处置方案，协助运维人员进行升级加固；事件管理工作，针对已经失陷的主机进行及时有效的处 ·江西省信息中心⃞日常网络安全托管运营保障场景“大数据”为代表的新型基础设施省级平台集中建设并投入使用。新技术的应用，新型基础设施的集中建设，海量数据的集中存储，网络安全牵一发而动全身，对网络安全保障工作提到前所未有的高度。的安全运营技术平台，引入政务安全托管服务新模式，培育本地化安全运营队伍，全面构建江西“数字政府”日常安全运4545打造一体化安全运营保障能力，构建江西电子政务网“四横两纵”整体网络安全运营保障框架，通过政务安全托管服务持....................................建设安全运营中心工作独立办公场地，以避免工作过程中安全保密信息违规扩散，提升网络安全工作人员协同效率，同时在政务外网云数据中心建设部署网络安全运营平台，对接政务外网现有安全态势感知系统与接收各政务网接入部门与单位安全日志，实现电子政务网网络安全威胁实时监测与安全态势全面感知。对平台所产出成果以及配套的专家队伍以服务形规划设计风险评估流程、监测预警流程、安全通报流程、应急响应流程、溯源取证流程、运维管理流程六大流程，用于规整合网络安全运营中心人员、技术、流程，三者之间共同发挥作用，以一种面向用户、保障效果的安全托管服务的方式来输出各种安全能力。通过规划统一服务目录，设计服务策略，规范服务流程，向各省直电子政务网接入各部门、单位输出4646围绕安全运营平台，组建安全运营中心技术队伍，队伍技术能力初期满足政务外网日常网络安全事件监测预警、事件分析通过全流量监测与大数据分析手及时发现电子政务网安全隐患，测与威胁感知能力，减少重大网络安全事件发生概率，减少或避免重大网络安全事件所造成的经以安全运营中心和政务安全托管服务为抓手，向政务接入各部门及时精准预警网络安全威胁、通报网络安全事件。同时依托运营平台态势预测与智能分析能力，为省信息中心制定年度网络安全工作规划提供决策依据，使网络通过网络安全运营平台与托管运营能力的集约化建设，整合安全运营资源，提升政务网安全运营建设水平与团队技术能力，以安全托管服务的形式向政务网接入部门统一配置安全资源，优化资 ·珠海市政务服务和数据管理局⃞安全效果提升场景为满足合规要求以及数字政府常态化安全保障工作要求，珠海市政务服务和数据管理局（以下简称“珠海政数局”）不断在日常网络安全管理工作中缺乏较强的专业人员力量和技术保障力量；网络中现有安全设备的日志梳理、异常告警分析处置等工作量巨大；针对危害程度较大的高级攻击难以及时筛选和高效的处置闭环。当前互联网技术发展迅速，攻防对抗程度不断加大，大量政府单位已无法独自确保安全效果，亟需补充专业人员和技术力量协助进行日常的异常告警日志梳理以另一方面，每年的重要节假日、重大活动以及各级别实战攻防演练期间，珠海市政务外网及政府网站系统可能面临密集式的网络安全攻击，需要短时间、高强度的网络安全保障力量，短时强化整体防御及应急响应能力，全面掌握网络和系统的安全风险和防护状况。因此亟需专业安全人员进行技术支撑，建立配套的7×24小时值守体系，协助开展互联网出口和互联网业务的流量分析，及时发现政务外网内高风险主机，协助开展漏洞通知整改及强化应急响应和处置工作，确保安全事4747漏洞管理、7×24小时威胁和事件管理，配套的其他服务包括应急响应、渗透测政务安全托管服务依托全国政务外网更大范围的安全态势感知和威胁情报共享能力，提供云端安全专家服务团队作为本地提供2名专业安全技术人员进行驻场运维服务，提数据不出政务网络，安全7*24小时监测预警，持续 市政数局及各区政数局服务化提供必要安全服务组件，补足通过分布式XDR平台对接现有市级政务外网互联网出口、政务外网省地市边界探针及珠海市各区政数局安全感知平台，结合用户实际情况，政务安全托管服务解放现有人员的精力和能力，从构建持续有效的安全运营体系为出发点，通过“人通过安全托管，对珠海市政务外网进行全流量检测，平均可影响业务运行、导致数据泄露的多种攻击类型进行有效防御，如代码注入、信息泄露攻击、请求伪造、目录遍历和漏洞针对五一、国庆等节假日和省级、市级实战攻防演练期间的安全保障，政务MSS成功完成任务，4848 ·烟台市大数据中心⃞政务云、网一体化运营场景烟台市大数据中心承担全市电子政务云平台、电子政务外网等基础设施，政务数据资源共享交换、公共数据开放、大数据烟台市电子政务云平台包括互联网域、公共村居（社区）按需接入，横向接入党委、人大、政协、法院、检察院等机关。电子政务外网公共服务域覆盖市级部门和单第一，云化环境带来的新安全威胁和挑战需通过行之有效的技术手段进行应对。云计算虚拟化的环境，模糊了传统的物理安全边界，以硬件为主的安全防护产品无法很好地适用于云计算环境，难以及时、快速、有效的抵御政务云第二，规范统一的威胁检测分析及安全运营能力亟需补充。业务系统和应用如果存在漏洞和安全隐患，易被攻击者利用，给整个政务云平台带来极大的威胁。业务系统上云后需要通过一系列技术手段和措施进行有效的安全监测和第三，应急响应机制需进一步完善。需建立多方联动、健全有效的应急响应机制，出现紧急或重大安全事件时，各第四，需补充有效的安全监管技术手段。烟台市大数据中心在履行自身的安全监管职责方面，尚不具备专门的安全4949政务MSS解决管理人员研判及处置能力有限、运维精力分散的问题，释放运维管理压力。同时采购安全托管服务的增值通过政务MSS的资产梳理与漏洞管理相结合，明确业务运行风险点并进行定向安全加固，协助用户针对漏洞的期进行跟踪管理，实现真正的闭环处置。通过政务MSS的事件管理机制，借助不断沉淀知识和工具的服务平台以及实战通过签订政务安全托管服务的SLA承诺书建立良好信任，以可量化的安全效果提升安全感件通报等文档满足用户对云、网安全方面分 完善的数据安全性 完善的数据安全性是在电子政务外网上部署政务安全运营中心，并组建 理，并基于行政单位进行了分类，定位到具体单位个团队的管理压力，同时基于漏洞危害程度形成对应的 体系化的服务机制 体系化的服务机制 在服务合同中，针对各项风险与事件进行了检测与响通报等文档也将安全效果可视化，有效体现了用户安5050 ·东莞市政务服务和数据管理局⃞一体化托管场景一直以来政务数据的高价值备受黑客关注，尤其是多部门数据打通、政务信息化集中共享后导致暴露面风险增大，安全攻击显著增多，APT攻击也越来越猖獗。安全建设的短板效应也愈发明显，通过数字政府网络的安全检测体系建设需要从粗放防护转向精细化运营，东莞市政务服务和数据管理局（以下简称“东莞政数国家信息中心持续赋能，补足安全防护短板。基于《国家电子政务外网安全监测体系技术规范与实施指南》的指引，依托于在国家电子政务外网核心骨干节点部署的政务安全托管服务运营中心，将本级单位进行接入，实现全天候24小时不间断的威胁监测、事件闭环、安全运营的服务保障。保障政务工作人员将更多精力投入到数字政务建设及管理之中，通过召善安全威胁处置效率低下的现状。通过国家信息中心共享以及安全托管服务自身的威胁情报，联动本地安全防护组件，实现自动化主动防御、安全威胁动态清零的防护模式，达成各类安全事件、高级安全威胁、一般安全威胁的判断准确率不低一体化安全托管，融合模式创新与服务效果升级。一体化安全托管的服务模式，坚持安全可控与开放创新相结合，充分满管一体”，东莞市政务服务和数据管理局统筹全市网络安全体系和标准，制定规范与要求，市级单位按需进行灵活申请，5151运营期间平均每月捕获网络攻击1449.17万次，业务资产遭受攻击次数较多的攻击类型为“反序列化”和“代码运营期间平均每月捕获网络攻击1449.17万次，业务资产遭受攻击次数较多的攻击类型为“反序列化”和“代码协同客户处置解决了问题，有效控制了安全事态。因为事件的发现、处置、响应都处于非工作时间且实现了高效确地识别到各种安全事件，并第一时间通过电话或在微信群进行通告，运维人员快速定位到异常终端单位并下发参照参照GB/T42461-2023《信息安全技术一体化安全托管服务在能力上可覆盖网络安全监测，网络安全分析，网络安全应急响应和网络安全加固等典型服5252 ·台州市大数据发展中心⃞安全托管扩展能力场景经过多年的信息安全建设，当前台州市电子政务外网已初步建成一套较为完善的安全检测防御体系。由于信息技术变化越仅依靠安全产品和安全软件做到永保安全的想法已不合时宜，需要7*24小时的安全事件的监测预警、追踪溯源分析和响应闭环服务，包括对事件验证和确认、关联事件上下文信息和证据补充，以及病毒问题的闭环解决，充分保障安全效果，以XDR可扩展检测与响应为平台构建市域网络安全监管平台，对区域电子政务外网的云、网、边、端的整体安全数据进行数据归集、汇总、清洗、治理，统一安全数据接口规范，构建开放、共享、标准的政务安全大数据体系。同时，以市政务云为核心，梳理电子政务外网安全能力，建设安全综合分析系统，汇总产业端优势安全能力，打造专业严谨的漏洞分析洞和事件通报，更精准地发挥通报预警、应急指挥、案事件处置的职能。并且，通报闭环流程和安全运营中心充分共享，面向各委办局提供统一的人员、工具、服务三位一体的运营模式，通过专业的网络安全队伍和技术平台，以及规范化的运营管理，以服务化的方式协助业务需求部门提升安全威胁主动发现和安全处置能力，实现台州市政务外网网络安全运行的5353类风险威胁，业务未曾遭受到大规模针对性攻击行为的影响，外部攻击行为均有效防 ·某省级大数据中心⃞7*24小时安全托管保障场景定的事件进行处置；针对频繁发生的夜间攻击，希望做到7*24小时监测，出现安全事件第一时间响应，避免出现被监管并通过资深专家池对安全威胁的专业分析及定位，帮助客户精准检测网络和主机中的有效安全告警/威胁。同时服务专家团队会对识别到的威胁进行主动响应，采取措施降低威胁可能造成的影响，协助客户闭环处置安全事件。通过建立符合省大数据中心安全保障要求的7*24小时安全运营机制，持续性开展安全主动响应、漏洞管理、威胁管理、高危漏5454由专属由专属服务经理统筹负责响应跟进安全工由专属由专属服务经理统筹负责响应跟进安全工分析，针对非误判告警生成事件，交给服务经理进按照国家标准对威胁和事件进行分级分类，帮助客户区分轻重缓急；与客户提前对齐威胁和事件的分级和响应要求，尤其是夜间事件分级分类和响应标准，并配置响应策略，保证响应动作更符合客户实对于非工作时间的威胁，利用云端大数据平台实现深度的多维度数据聚合分析，从海量告警中精准定深度的多维度数据聚合分析，从海量告警中精准定位真实威胁和事件；针对常见的威胁场景（如：勒索攻击）预设安全用例UseCase，横向分析多维日志，输出精准的威胁告警工单，大幅提升正报率客户监测研判流程固化写入平台，实时监控鱼威胁狩猎：钓鱼狩猎平台收集黑客情报网和情报一般而言，对于非重大风险，平台基于一般而言，对于非重大风险，平台基于Playbook技术根据风险信息传递指令，快速自动化响应，通安全风险，如ip封锁等操作；对于重大风险：服务经理汇报风险信息和遏制方案，客户授权后，通过安全组件进行响应遏制操作；并通过多维数据自动关联分析，迅速溯源入侵路径；通过实战积累55557*24小时持