一、案例背景
随着政府数字化转型工作的深入发展,对安全的要求越来越高,业务发展与安全共同面对的风险和矛盾也在不断升级。由于数据价值的不断提升,在数据采集、储存、共享等诸多环节均存在安全隐患,增加了转型的风险。因此,数字化转型必须焊牢安全底座。
大数据局负责制定数据资源归集、治理、共享、开放、应用、安全等技术标准及管理办法,实现跨层级、跨部门、跨系统、跨业务的数据共享和交换的职责。依照法律、行政法规的规定和国家标准的要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。
为有效支撑城市数字化转型工作,提升城市信息化治理水平,大数据局结合已有“云、网、数、用”等业务板块,建设安全监管及运营管理平台(以下简称“安全运营平台”),与已有的相关业务板块对接,并在平台上实现综合运维流程,提供工作流程化、工作任务可计量考核的能力,综合呈现相关数据,形成一体化安全运营监控工作的支撑能力。
二、案例概述
数字化转型是持续的过程,安全风险不可避免,大数据局在数字化转型过程中主要面临着如下的安全风险:
Ø 随着政务平台和业务规模的不断扩大、政务信息资源的集中,导致攻击目标价值扩大,进而导致风险暴露面越来越大。
Ø 随着大量委办局信息化系统完成政务上云,大数据局管理的应用越来越多,人员也越来越复杂,每个管理系统都有账号及认证,无法做到一次验证,多系统访问,大大降低运营效率。
Ø 大数据局安全运营能力建设相对不足,缺乏有效的安全漏洞管控能力、安全风险运营能力,安全风险处置能力无法满足安全要求,导致安全隐患较大。
Ø 业务流程分散、安全数据分散的挑战:目前各部门流程分散,运营数据和安全数据分散,缺乏统一管理和有效整合,烟囱式管理比较严重。
Ø 随着数字化演进,要求向数字化政府、服务型政府转变,大数据、云计算、区块链等技术的推陈出新会伴随风险,对“云、网、数、用、安” IT系统安全运营工作提出了更高要求。
因此,需要通过有效的运营手段提高整体安全能力、提升运维效率、同时对安全威胁发现和事件处置机制,快速定位和处置安全风险。安全运营平台建设依托大数据局现有“云”“网”“数”“用”软硬件设施,综合应用大数据、人工智能等新技术,夯实转型基础、强化安全保障,以“安全、合规、可控”为实现目标,构建立体纵深防御体系,确保数字化转型的健康高效。
三、 安全技术应用情况:
对标国家及省市要求,从整体安全运营的管控角度,构建大数据局安全运营平台,围绕“三位一体”“五个统一”目标,实现对政务资产信息与政务基础化设施进行采集、监测、分析、态势、预警、处置、情报、自动化运维、安全运营管理等功能,满足对安全运营服务流程与安全管理的要求;同时实现服务工作的展示和监控,对数据运营服务进行全生命周期监控和管理。
“三位一体”实现涵盖“云、网、数、用、端”政务基础设施与政务业务应用,包括网络运行管理、安全运行管理、服务流程管理的一体化运营。
“五个统一”与大数据局管辖的安管及网管平台等信息系统进行对接,接收网络安全监测和网络运营监测数据,实现统一运行状态与安全监控;对所有信息数据进行统一处理、应用和可视化展示。建立统一事件处置流程,对各系统进行统一安全运营分析及可视化展示,实现业务系统、业务流程统一对接,可视化展示。通过统一门户管理与统一权限管理,满足局领导和各部门人员、安全运维人员、各委办局相关人员不同角色应用需求,支持一体化安全运营工作开展。
功能架构:
安全运营平台业务共分为4个层次,分别是数据采集层、安全与运营分析层、业务支撑层、数据展示层。
安全运营平台功能架构图
数据采集层
数据采集层主要是平台数据的来源,数据包括但不限于:政务云、政务外网、数据资源平台及门户网站的网络安全数据、业务数据、IT监测数据。平台采集或对接该层数据后,对数据进行ETL、存储,支撑业务层的各种功能。
安全运营分析层
安全运营分析层主要分为安全监测管理、运营监测管理两部分组成。
安全监测管理中心(以下简称:SOC)主要对xx大数据局的网络安全相关数据进行采集、处理、存储、分析、管理。SOC处理数据采集层中的安全数据,包括安全设备日志、流量数据、安全告警信息等,同时支持情报管理、漏洞管理、威胁管理等。通过对安全数据进行关联分析、异常行为分析、安全数据分析等,根据具体的安全场景产生安全告警。SOC产生的告警信息会提供给运营处置流程管理中心和安全运营分析中心,支撑后续的流程管理和数据展示需求。
运营监测管理中心主要对影响业务连续性安全相关的IT监测数据和业务监测数据进行采集、处理和分析。IT监测数据包括系统软件、实例监测,服务器、操作系统监测,网络设备、链路监测;业务监测包含对应用性能、WEB业务可用性等的监测。此外,运营监测数据来源还包含政务云上的运营监测管理平台数据。运营监测管理中心处理过后的数据会提供给运营处置流程管理中心和安全运营分析中心,支撑后续的流程管理和数据展示需求。
业务支撑层
随着平台的运行,越来越多的数据将会在上面汇集,大数据局的安全运营工作在⼈员组织、告警处置、快速响应、知识沉淀、整合协作等诸多方面面临的挑战将会越来越突出。安全监测管理中心和运营监测管理中心产生的告警,对告警处置进行工单管理,可以实现运维流程的自动化运转及流程节点的操作记录,并提供工作流程化、工作任务可计量考核的能力。平台通过安全编排和自动化响应技术(SOAR)对安全事件进行自动化分析和处置,可以进行设备联动处置,实现主动防御功能。此外,平台提供对外API接口,可与外部通报系统等平台进行数据上传、共享。
数据展示层
安全运营分析数据中心对发生的告警信息、处置的流程、安全事件等安全运营数据进行统计分析,具体分为网络安全运营分析、数据安全运营分析、IT监测运营分析、业务运营分析。提供统计报表、可视化图表展示、综合查询、报表导出等能力。
安全运营平台统一门户。统一门户登录及统一认证管理,平台登录相关人员包括平台运营人员、平台运营主管、各委办局人员等只需通过一个门户,即可满足各角色对平台的使用需求,个性化展示相对应数据,提供相对应的功能支持。
数据展示模块则主要通过信息归集、整理,形成可展示的数据,以可视化大屏的方式进行数据展示,如:展示大屏、指挥中屏、PC端操作界面、移动端门户等。
四、客户反馈效果:
安全运营平台实现了大数据局安全流程标准化、安全运营数字化、安全处置自动化、安全决策科学化。在应用层面,降低了网络、数据安全威胁及新技术应用风险;在日常工作层面,支撑了大数据局开展规范化的业务、服务和安全管理;在合规层面,落实网络安全法、数据安全法和等保2.0要求;在安全可控层面建立了威胁发现、分析、响应和运营处置的安全闭环管理;在成效层面,得到了相关主管部门领导的肯定和认可,获得了业内外的一致好评。
安全运营一体化工作,为政府安全保障工作夯实了转型基础,发挥长效及转型后的安全持续发展,降低了转型风险,加快构建与城市数字化转型相适应的大安全格局。