“一平臺一基地一學院”網(wǎng)絡(luò)安全監(jiān)管體系研究

顏家遠

（黔南州大數(shù)據(jù)發(fā)展管理局，貴州 黔南 558000）

0 引言

大數(shù)據(jù)時代，政府對網(wǎng)絡(luò)安全的關(guān)注度提到了前所未有的高度。為找準突破口，搶抓網(wǎng)絡(luò)安全新機遇，本文分析網(wǎng)絡(luò)安全現(xiàn)狀，聚焦痛點和難點，提出解決思路、原則和路徑，為地方政府決策提供參考。

1 問題和挑戰(zhàn)

（1）網(wǎng)絡(luò)安全監(jiān)管合力未形成。地方政府已成立大數(shù)據(jù)安全領(lǐng)導(dǎo)小組，在網(wǎng)絡(luò)安全監(jiān)管過程中，保密、公安、大數(shù)據(jù)等多個部門均有監(jiān)管職責，一旦發(fā)生網(wǎng)絡(luò)安全事件，各部門均在開展調(diào)度，沒有形成“統(tǒng)管”合力，存在重復(fù)調(diào)度的情況，且調(diào)度力量不集中，調(diào)度效果也不好。對已遷云的非涉密自建系統(tǒng)，因各方的安全職責不清，云平臺服務(wù)商重點監(jiān)管平臺安全，用戶單位重點監(jiān)管系統(tǒng)安全，但平臺與系統(tǒng)銜接的安全監(jiān)管仍存在安全監(jiān)管盲區(qū)，尚未形成統(tǒng)一監(jiān)管合力，導(dǎo)致網(wǎng)絡(luò)安全監(jiān)管散而亂。

（2）安全風險日益嚴峻。地方政府用于網(wǎng)絡(luò)安全監(jiān)管的費用呈逐年遞增趨勢，且暫未形成產(chǎn)業(yè)生態(tài)，安全風險仍然比較突出，面臨安全服務(wù)廠商多、安全支出分散、安全保障不足等問題，如：云平臺安全廠商有華為、奇安信等，各自建非涉密系統(tǒng)的安全則由各系統(tǒng)主管部門自行與單獨的安全服務(wù)商合作，支出費用多而分散，一旦出現(xiàn)安全事故，需調(diào)度多個安全服務(wù)商，且服務(wù)商之間存在推諉責任的情況，應(yīng)急響應(yīng)的流程多、時間長，網(wǎng)絡(luò)安全的保障水平還有短板。

（3）網(wǎng)絡(luò)安全隊伍專業(yè)水平不高。一是政企單位均具備網(wǎng)絡(luò)安全從業(yè)人員，但大多為兼職人員，對網(wǎng)絡(luò)安全知識一知半解，能夠獨立解決安全事故的專職人員少；二是網(wǎng)絡(luò)安全從業(yè)人員大多沒有接受系統(tǒng)性的培訓(xùn)，整體安全意識薄弱，安全意識不強。如：各單位網(wǎng)絡(luò)安全從業(yè)人員培訓(xùn)學時相對較少，暫沒有國家認證的網(wǎng)絡(luò)安全培訓(xùn)中心和實訓(xùn)演練基地，專業(yè)技術(shù)有待增強，攻防演練水平有待提升。

2 解決問題的思路

（1）整體規(guī)劃與統(tǒng)建統(tǒng)管結(jié)合。以消除“各自為政、分散管理”為重點，強化頂層設(shè)計，對網(wǎng)絡(luò)安全進行統(tǒng)籌規(guī)劃、統(tǒng)籌建設(shè)、統(tǒng)籌監(jiān)管，推動政府網(wǎng)絡(luò)安全監(jiān)管系統(tǒng)化、科學化和現(xiàn)代化。

（2）共商共建與共治共贏結(jié)合。堅持以合作促共贏，以共贏促監(jiān)管，部門聯(lián)動、政企校研合作，集中力量開展網(wǎng)絡(luò)安全監(jiān)管。企業(yè)端，通過防護實踐，提升企業(yè)防護能力；政府端，通過招引企業(yè)，促進經(jīng)濟發(fā)展和夯實地方安全監(jiān)管水平，實現(xiàn)“外防攻擊、內(nèi)建生態(tài)”的良好格局；學校端，拓展學生實訓(xùn)渠道，提高學生實踐能力，增加就業(yè)率?？蒲卸?，培育科研隊伍，夯實科研能力，創(chuàng)新打造發(fā)展新引擎，培育增長新動能。以地級市為單位，政企校研合作建設(shè)統(tǒng)一網(wǎng)絡(luò)安全監(jiān)管平臺、公共服務(wù)基地和網(wǎng)絡(luò)安全研究院，搭建“一平臺一基地一學院”網(wǎng)絡(luò)安全監(jiān)管體系。

（3）統(tǒng)分結(jié)合與分步實施結(jié)合。地市級統(tǒng)籌，部門主抓，區(qū)縣級分級負責，統(tǒng)一網(wǎng)絡(luò)安全監(jiān)管標準，非涉密政務(wù)信息系統(tǒng)、關(guān)鍵信息基礎(chǔ)設(shè)施、政府門戶網(wǎng)站等全部基于“一平臺一基地一學院”架構(gòu)開展安全監(jiān)管，按照政府系統(tǒng)先行，先外網(wǎng)、后內(nèi)網(wǎng)的路子逐步統(tǒng)籌，分步實施。

（4）自主可控與確保安全結(jié)合。樹立總體國家安全觀，嚴格落實《網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)安全責任制》和國家網(wǎng)絡(luò)和信息安全法律法規(guī)，積極推進重要信息系統(tǒng)、關(guān)鍵信息基礎(chǔ)設(shè)施國產(chǎn)化替代，健全信息安全制度。建立安全可控的安全保障體系，“一平臺一基地一學院”產(chǎn)生的數(shù)據(jù)資產(chǎn)歸地方政府所有，實施有效的安全監(jiān)管。

3 解決問題的原則

（1）分散規(guī)劃轉(zhuǎn)為統(tǒng)一規(guī)劃。政府職能部門對本行業(yè)本領(lǐng)域的重要信息系統(tǒng)、關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全人才培訓(xùn)需求等進行梳理并報送網(wǎng)信主管部門，網(wǎng)信主管部門匯總編制“一平臺一基地一學院”建設(shè)三年規(guī)劃及年度計劃，報政府批準后實施。網(wǎng)信主管部門要圍繞平臺安全、系統(tǒng)安全、數(shù)據(jù)安全等方面擬定網(wǎng)絡(luò)安全相關(guān)技術(shù)標準和規(guī)范，加快建立健全網(wǎng)絡(luò)安全監(jiān)管體系。

（2）分散建設(shè)轉(zhuǎn)為統(tǒng)一建設(shè)?！耙黄脚_一基地一學院”涉及的軟硬件建設(shè)由地方政府平臺公司作為業(yè)主籌集資金，統(tǒng)一投資、統(tǒng)籌建設(shè)，按照安全可控的要求推動重要信息系統(tǒng)、關(guān)鍵信息基礎(chǔ)設(shè)施、政府門戶網(wǎng)站的服務(wù)器、數(shù)據(jù)庫、芯片等逐步實現(xiàn)國產(chǎn)化替代。地方政府平臺公司按照相關(guān)規(guī)定進行核準備案。地方政府平臺公司按照政府批準的“一平臺一基地一學院”三年規(guī)劃和年度計劃和相關(guān)技術(shù)標準規(guī)范，以及各職能部門的具體需求，匯總編制“一平臺一基地一學院”年度服務(wù)方案，經(jīng)各職能部門確認后，由網(wǎng)信主管部門會同發(fā)改部門、財政部門審核確定。

（3）政府直接投資轉(zhuǎn)為統(tǒng)一購買服務(wù)。網(wǎng)信主管部門根據(jù)審核通過的年度服務(wù)方案，編制“一平臺一基地一學院”年度服務(wù)采購方案，按政府采購流程分批次、分階段向地方政府平臺公司進行采購“一平臺一基地一學院”服務(wù)。地方政府平臺公司切實做好服務(wù)保障，接受政府職能部門的監(jiān)督考核評價。網(wǎng)信主管部門會同政府職能部門對政府平臺公司提供的政府采購服務(wù)進行驗收。委托具備資質(zhì)的第三方機構(gòu)進行“雙評估”，即：對政府職能部門的網(wǎng)絡(luò)安全監(jiān)管需求等是否合理進行評估，對地方政府平臺公司的“服務(wù)水平和質(zhì)量是否達標”進行評估。網(wǎng)信主管部門會同國資主管部門對政府平臺公司“一平臺一基地一學院”服務(wù)水平和質(zhì)量納入年度考核。

（4）分散資金保障轉(zhuǎn)為統(tǒng)籌資金保障。在摸清底數(shù)、科學規(guī)劃基礎(chǔ)上，由政府財政主管部門按照“錢隨事走”的原則，按國庫管理有關(guān)規(guī)定采取集中支付方式撥付資金，保障“一平臺一基地一學院”服務(wù)采購。網(wǎng)信主管部門按規(guī)定程序向社會購買服務(wù)，財政資金要實現(xiàn)全生命周期的績效管理。網(wǎng)信主管部門、政府職能部門要按照績效管理有關(guān)要求，編制績效目標，開展績效自評，運用好績效評價結(jié)果。

4 構(gòu)建“一平臺一基地一學院”網(wǎng)絡(luò)安全監(jiān)管體系

招引國內(nèi)知名安全企業(yè)落地本地，組建本地政府平臺公司，構(gòu)建“一平臺一基地一學院”網(wǎng)絡(luò)安全監(jiān)管體系，政府按需購買服務(wù)?！耙黄脚_”是指網(wǎng)絡(luò)安全監(jiān)管平臺，提供監(jiān)測預(yù)警、協(xié)同處置和應(yīng)急響應(yīng)，聚合地方資源，形成監(jiān)管合力。“一基地”是指網(wǎng)絡(luò)安全公共服務(wù)基地，提供運維管理、評估審計和安全咨詢，防范網(wǎng)絡(luò)安全風險?！耙粚W院”是網(wǎng)絡(luò)安全研究院，通過與本地院校合作，開展網(wǎng)絡(luò)安全知識和技能培訓(xùn)，為地方政企單位培養(yǎng)網(wǎng)絡(luò)安全人才，提升地方整體安全素質(zhì)。

為充分發(fā)揮“一平臺一基地一學院”網(wǎng)絡(luò)安全監(jiān)管體系的效用，應(yīng)健全完善“制防、人防、技防”機制。在制度防護方面，要強化網(wǎng)絡(luò)安全組織保障，健全完善網(wǎng)絡(luò)安全監(jiān)管制度，如：成立網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組，制定預(yù)案、問責制度等。在人防方面，建立通用人才框架，促進人才管理標準化建設(shè)[1]；明確要求本地區(qū)重要信息系統(tǒng)、關(guān)鍵信息基礎(chǔ)設(shè)施、門戶網(wǎng)站要100%完成等保測評和備案工作，按照“先政府、后企業(yè)”的順序穩(wěn)步推進；新建項目要基于“一平臺一基地一學院”網(wǎng)絡(luò)安全監(jiān)管體系進行安全的規(guī)劃建設(shè)實施，已建項目安全運維到期后要統(tǒng)一由本地政府平臺公司進行安全運維管理。在技防方面，加強網(wǎng)絡(luò)安全技術(shù)手段建設(shè)[2]。

優(yōu)化網(wǎng)絡(luò)安全策略，強化安全態(tài)勢感知，加強流量控制、數(shù)據(jù)審計、漏洞監(jiān)測預(yù)警和漏洞修復(fù)等工作。政務(wù)信息系統(tǒng)的安全措施至少包含下一代防火墻（NGFW）、Web應(yīng)用防火墻（WAF）、堡壘機（OAS）、數(shù)據(jù)庫審計（DBS）、日志審計（LAS）、探針監(jiān)測等服務(wù)中的3種，確保系統(tǒng)安全達到等保二級及以上。通過成熟的安全防護技術(shù)，從技術(shù)層面保障地方政府安全監(jiān)管水平。

5 結(jié)束語

本文從監(jiān)管情況、安全風險、人才隊伍三個方面分析了政府網(wǎng)絡(luò)安全監(jiān)管存在的問題和挑戰(zhàn)，提出“一平臺一基地一學院”網(wǎng)絡(luò)安全監(jiān)管體系，為地方政府有效監(jiān)管網(wǎng)絡(luò)安全風險、強化網(wǎng)絡(luò)安全事件預(yù)警監(jiān)測和應(yīng)急處置、夯實網(wǎng)絡(luò)安全防線等具有指導(dǎo)意義。