2024优秀案例丨滨湖区网络安全管理平台

1、建设背景

1.1、为贯彻落实国家网络安全工作要求

全球新一轮科技革命和产业变革深入推进，网络信息技术日新月异，深刻改变着全球经济格局、利益格局、安全格局。党的二十大提出，要把思想和行动统一到习近平总书记重要指示精神和党中央决策部署上来，牢记使命任务，细化任务举措，着力推动落实。按照全国网络安全和信息化工作会议部署要求，实施网络安全重大战略和任务，构建大网络安全工作格局，筑牢国家网络安全屏障。

《网络安全法》第25条规定网络运营者应当制定网络安全事件应急预案。力求从源头对网络攻击进行防范，在攻击发生时，确保能够迅速响应与处置，将损害降至最低，最后再对犯罪行为人进行惩处。第21条规定，网络运营者应当按照网络安全等级保护制度的要求，履行采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；遵循相关法律法规，构建网络安全综合治理体系，有效应对网络攻击。

1.2、为落实滨湖区城运中心安全建设要求

为落实安全建设工作，开展信息安全三级等保测评、商用密码应用、数据保护、人员安全管理工作，建立系统上线前、运行中、运行后的安全保障机制。

1.3、做好城运关键基础设施防护

建设分层次防御体系，依托全社会力量，确保城运关键基础设施和重要领域信息系统及数据的安全可靠。推进党政机关重要网络系统国产化进程，掌握安全发展主动权。

落实关键信息基础设施安全防护。明确区城运、运营单位和互联委办单位的安全主体责任，采取技术与管理相结合方式，加强内部自身安全监测和防御能力，建设安全防护和监管平台。加强网络安全保障。落实等级保护、安全测评、密码应用、应急管理等基础制度，健全网络安全管理体系，强化依法监管。

1.4、切实保障业务系统稳定运行

做好信息安全工作也是保障区城运平台业务稳定运行的需要。防止外界通过非法途径进行恶意攻击、数据窃取等信息安全问题；同时也保证内部网络能够合法使用网络与数据，禁止从内部进行非法操作。从外部到内部全方位地保护业务系统的网络安全，做到对系统进行全面网络安全防护、安全事件应急处理、安全事件事后查询定位。

1.5、现阶段网络安全形势复杂

政务云平台存放大量电子政务、社会治理、公共服务等多种关键信息，一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益。目前关键信息基础设施面临复杂的网络安全形势，面临着各类风险来源，如漏洞入侵、APT攻击等；因外部攻击、内部人员主动泄密等因素，导致的重要政务数据、个人信息泄露；网络木马、勒索病毒；安全意识淡薄、安全制度管理不到位等。

2、建设意义

2.1、外部攻击防护

解决了云平台及项目系统面临的外部黑客攻击威胁，通过入侵检测和防火墙技术，及时发现并阻止未经授权的访问和恶意行为。

2.2、内部威胁监测

解决了内部员工的安全风险，通过行为分析和权限管理技术，监测和预防了内部威胁和滥用行为。

2.3、数据隐私保护

解决了客户对敏感数据的隐私保护需求，采用了数据加密和访问控制措施，确保只有授权人员可以访问和使用数据。

1、总体架构

1.1、网络架构

政务云平台是以一体化全栈方式交付的完整的云服务平台，通过提供独立的物理资源池，以云服务的方式帮助政府各委办局关键业务快速上云。另外，云平台就近部署在无锡本地机房，可减少服务时延，数据本地保存，满足政务云平台安全合规、稳定可靠、极致性能体验的要求，如图1 政务云平台网络架构所示。

1.2、技术架构

平台技术架构云平台主要由基础设施层、资源池层、云服务层、展现层和管理域组成，如图2 云平台技术架构所示。

基础设施层：基础设施层指的是无锡市政务云平台实际运行的物理设施，这些物理设备（包含计算服务器和存储服务器），通过网络交换机、路由器、防火墙组网互联起来。

资源池层：资源池层是个偏逻辑的概念，将基础设施层提供的硬件设备按照逻辑功能的不同划分为不同功能的资源池。按照提供服务能力的不同可以分为基础服务资源池和数据服务资源池。

云服务层：云服务层作为云服务的后端实现实体，主要完成服务的封装和对资源的自动化分配、使用。通过对资源池层相关资源的封装，实现云资源服务的发现、路由、编排、计量、接入等功能，实现从资源到服务的转换。

展现层：展现层是云管理平台的对外呈现，分为用户门户及管理员门户。用户门户面向最终租户/用户，管理员门户面向系统运营/运维管理员等。租户/用户可通过服务控制台自助实现对服务的申请、使用、监控、删除等生命周期管理的操作。运营/运维管理员可以通过管理员门户完成对系统的管理。

2、系统和平台

2.1、主要系统

（一）政务云安全系统

依照电子政务外网系列（GW0204-2014）安全标准进行整体网络规划，满足电子政务外网接入和统一出口，以及带外安全管理、业务系统隔离、数据安全交互的标准规范要求。

遵循等级保护标准，进行“一个中心，三重防护”设计和安全措施部署；满足云安全专项标准中对安全责任的明晰，虚拟化安全措施部署和要求满足；安全防护、检测、响应三个维度满足；通过安全设备的安全防护，以及部署边界安全防护措施，有效满足区域边界的访问控制、攻击防护和入侵防范；部署的下一代防火墙、威胁检测探针，均具备2~7层双向安全检测能力；可以和安全管理中心、安全服务云端良好互动，保障快速响应能力。

安全域的划分是安全体系构建的基础，事实上每一个安全边界所包含的区域都形成了一个安全域。这些区域具有不同的使命，具有不同的功能，分域保护的框架为明确各个域的安全等级奠定了基础，保证了信息流在交换过程中的安全性。

严格按照电子政务外网相关标准，以及信息系统的重要性和网络使用的逻辑特性划分安全域，将划分如下确定的安全域：

（1）网络接入区

各委办局通过该区域，连接到电子政务外网网络核心区，访问、使用部署在政务云上的业务系统如“图3 政务云安全系统网络接入区”所示。

（2）核心交换区

为通过电子政务外网接入的各委办局工作人员提供网络交换，访问电子政务相关业务系统；为运维管理人员提供带外的运维管理交换通道。

（3）业务区

利用虚拟化、资源池技术向各委办局提供业务系统迁移前测试服务和业务系统承载服务，包括提供计算、网络和安全等IaaS资源。

（4）数据存储与数据库区

为各委办局提供数据库中间件形态的PaaS以及IaaS服务。

（5）运维管理区

主要承载针对整体云平台的统一安全管理、云平台管理等服务。

（二）安全运营中心系统

安全运营中心系统“3+N+1”框架，包括3个一体化安全、N个安全原子能力、1套安全运营服务，如“图4 安全运营中心系统“3+N+1”框架”所示。

一体化安全管控中心：实现对全网威胁的统一感知、定位、决策和处置。基于AI、威胁情报、大数据技术提供7×24安全监测服务，为区城运中心、区域内关键基础设施单位的建立监测预警体系，构筑应急联动响应能力。

一体化应用安全：统一进行应用安全保障框架的基础能力建设，避免单个应用出现安全短板导致大面积的系统失陷，一体化应用安全功能主要包括：提供业务应用上线前的渗透测试服务；部署Web应用安全防护系统保障系统上线后的安全。

一体化数据安全：从数据平台面临的安全风险出发构建全生命周期的数据安全保障方案，主要面向数据平台构建整体数据安全防护体系，围绕数据安全资产管理，和数据流转过程中的安全进行设计。实现数据分类分级保护，数据传输/存储的加密，基于数据表和字段的严格访问授权，强化API/数据库表调用的审计。

基础安全保障：包括区城运中心以及数据中心安全保障，城运中心提供防火墙、堡垒机、杀毒软件、行为管理、日志审计以及漏洞扫描等模块，数据中心提供网页防篡改、云防火墙、主机安全、主机防病毒、Web应用防火墙、堡垒机、日志审计、漏洞扫描等模块。

2.2、应用场景

（一）数据集成与共享

通过云计算、大数据等技术手段，实现滨湖区城市运行数据的实时采集、传输、处理和应用，促进数据的集成和共享，打破信息壁垒，提高信息利用率。

（二）城市治理能力提升

使滨湖区城市治理更加精细化和智能化，提高城市治理能力和公共服务水平。例如，通过实时监测交通情况，可以及时调整交通方案，减少交通拥堵；通过监测环境污染情况，可以及时采取治理措施，改善环境质量。

（三）决策支持

为滨湖区各委办局决策提供科学依据，通过大数据分析，可以发现隐藏在数据中的规律和趋势，为政府决策提供有力支持。

（四）公共服务优化

滨湖区城运云平台搭建统一的应用支撑平台和服务入口，为滨湖区政府部门上层应用提供统一的公共服务、技术和业务支撑，提升各部门的业务协同、应用整合，使得公共服务得以优化和提升。

2.3、应用效果

云平台通过构建网络安全系统，成功解决了系统面临的网络安全及数据安全方面的问题。该解决方案提供了全面的安全保障，有效地防止了恶意攻击、数据泄露和未经授权的访问。平台的数据和业务得到了可靠的保护，业务连续性得到了有效的保障。

（一）政务云安全系统

一是保障数据安全。敏感数据得到有效的加密和访问控制，数据泄露的风险大大降低。二是快速发现和应对威胁。威胁检测系统能够及时发现各种威胁，配合快速响应机制，有效地减少了潜在风险和损失。三是保障业务持续运行。通过高可用性的云平台架构和灾备措施，我们保障了业务连续性，避免了因网络故障或攻击而导致的业务中断。

（二）安全运营中心系统

一方面提升无锡市滨湖区安全防护等级，促进新城产业数字化转型。全面提升无锡市滨湖区重要单位和业务系统的安全防护等级。另一方面提升新城网络安全统筹管理能力。建立区级的安全运营中心，构建全域安全大脑，形成区域级的网络空间安全预警监测体系。积极响应“全天候、全方位”感知网络安全态势的大战略。

1、安全数据归一化与风险监测

安全运营中心专有云SOC构建了归一化引擎，通过SOC类产品对企业IT环境中多源、异构、繁杂且规模庞大的各类安全数据进行统一有效地风险监测和深入分析，实现对各类安全数据的实时归一化和情报富化，输出能够支撑多维风险监测的标准化Events。

1.1、支持的风险监测维度

Events经过归一化后的标准化Events拥有多达250+字段。其中，基本类别包括基本信息类字段、资产和GeoIP等信息字段、安全相关字段等。

对于Alarms，除了基本的信息类字段，专有云SOC还从网络攻击、入侵的角度定义了“攻击意图”“攻击策略”和“攻击方法”字段，实现精准的威胁和案件的管理。

1.2、支持行为异常监测

UEBA使用包含机器学习在内的多种分析方法，对组织内部人员（雇员、员工）、外部人员（第三方供应商、承包商）、实体（端点、服务器、账户、终端）、应用程序的行为以及安全设备的安全事件进行持续分析，如“图5 行为异常监测”所示。

采用用户、实体视角的风险和安全态势概览，包括用户/资产的基本信息呈现、用户/资产的综合性安全画像。包括动态评分和用户实体画像，如“图6 用户画像”所示。

（3）全数据源的监测

安全运营中心专有云SOC的归一化引擎通过插件方式提供了高可扩展及易用的数据源接入方式。对于新增且需要风险监测和运营的安全设备，通过产品界面配置数据归一化过程的映射方式，即可生成引擎支持的归一化插件，从而实现对新安全数据源的风险监测。

2、云平台关键技术与亮点

2.1、数据存储技术

云平台的建设采用分布式网络存储系统及可扩展的系统结构。可以利用多台存储服务器分担存储负荷，利用位置服务器定位存储信息。

2.2、自主可控

本次建设的云平台是基于端到端全栈自研的云解决方案，可提供基础设施云、PaaS、大数据、AI、区块链等全栈云服务，支持从硬件底层芯片、服务器，到中间操作系统、虚拟化技术，以及上层的云平台全部自研，能够结合软硬件特性进行优化，实现最优性能。云平台完全自主研发，具备核心技术，是一朵自主可控的云平台。

2.3、升级迭代

云平台需要经过多年大规模应用的考验，从基础架构到精细化运营，从平台实力到生态能力建设，能够为政府行业提供集云计算、云数据、云运营于一体的云端服务体验，能力可靠。同时，技术支持和产品迭代升级也有保障。

2.4、开放兼容

云平台与国产厂商的硬件产品配合默契，同时对于软件和应用开发商适配也非常简单，兼容适配主流的国产操作系统。

2.5、安全可靠

除了基于全面规划的整体架构，通过多元化的产品与安全属性，全方位的防护，在各个层面均部署安全防护，形成事前、事中、事后的全过程防护等。云平台具备全面的安全资质与合规性管控能力，包括等级保护等必要的安全资质。

1、经济效益

在滨湖区数字化转型建设统筹下，加强网络基础设施、信息技术应用、数据资源共享、信息安全一体化构建，打造数字化转型发展生态。关注AI、区块链、大数据、云计算、物联网、5G等新一代信息技术在数字政府改革中的创新应用，深化管理、生产、服务等各领域的融合应用及模式创新，加快政府数字化转型，推进滨湖建设。通过复用城市公共安全平台资源，统筹平台安全管理，可以为政府节省大量资金，节省城市管理成本，实现城市高效发展。

2、社会效益

推进网络安全信息统筹机制和平台建设，将促进网络安全教育、技术、产业融合发展，形成人才培养、技术创新、产业发展的良性生态。坚持安全可控和开放创新并重，立足于开放环境维护网络安全。落实等级保护、安全测评、密码应用、应急管理等基础制度，健全网络安全管理体系，强化依法监管。整合提升各类应用和服务的安全，加快互联网与政府公共服务体系深度融合，建设面向市民、企业的融合服务体系，提高居民幸福感，推进城市管理、社会治理“碎片式”参与向系统化共建共治转变，为建设智能、宜居、便捷的服务型政府提供支撑。