近日，“2023（第五届）中国电子政务安全大会”在北京成功召开，来自中央机构编制委员会、国家保密局、公安部、网信办、应急管理部、国资委、国务院发展研究中心等单位主管领导、安全领域的知名企业领导、专家等600余人参加了本次活动。青藤副总裁万京平受邀出席本次大会，并发表了《面向政府数字化变革，以“业安融合”夯实政务云安全屏障》的主题演讲，详细阐述了在政务云安全领域，青藤“业安融合”理念的落地实践路径。

政务云演进与安全思考

政务数字化转型快速推进，政务云成为数字政府建设的关键载体，肩负着“底座”和“枢纽”的双重使命。

从第一朵政务云出现开始，我国政务云平台建设经历了十多年的发展历程，可分为以下几个阶段：

• 第一阶段(1.0阶段)：以资源为中心,重点在基础设施和资源整合。
• 第二阶段(2.0阶段)：以数据为中心,聚焦数据治理和应用。
• 第三阶段(3.0阶段)：以业务为中心,支持业务创新和数字化转型。

目前，在数字政府业务创新场景落地的新时期，我国政务云建设从“有云用”，向“云有用、云易用、云好用”转变，整体呈现“数据要素化、计算边缘化、应用原生化、服务智能化、运营一体化”的发展趋势。

政务云承载的都是关系国计民生的核心资源，我国已经形成了以法律、法规、规章、标准相结合的安全政策法规体系，对政务云等关键信息基础设施安全提出了更高的要求。与此同时，为满足日益多元化的业务需求，政务应用开始进行云原生化改造，以容器、微服务、DevOps、Serverless为代表的云原生技术正在被广泛采纳。目前，已有超过六成的政务云使用微服务架构进行业务开发和部署。新技术带来新风险，传统的边界防护模式难以应对云原生的安全挑战。

从多维度分析可以发现，政务云安全不仅存在技术层面的风险,在安全管理方面也存在诸多问题。例如，云平台的集约化特性削弱了用户对业务、数据、系统和安全的控制能力和管理能力,导致技术风险加大。此外，政务云安全管理成熟度较低,存在较多管理漏洞。

针对政务云存在的安全问题，究其原因是未能很好地处理安全和业务的关系。因此，在政务云建设和运营过程中，我们需要从“业安融合”的理念出发，重点思考如何构建成熟的安全管理体系、有效的技术保障能力、适合的安全运营服务，并落实安全成效监督和验证工作。

构建政务云“业安融合”安全屏障

云时代需要新安全。从政务云建设初期，就需要考虑安全因素，通过业务梳理、场景化分析，把安全嵌入到信息化发展和安全治理过程中，围绕愿景、战略、目标、任务、指标等领域实现业务与安全的对接融合，做到一体化发展。

1、政务云安全责任模型

政务云建设运营过程中，涉及众多责任主体，包括平台建设方、承建方、安全运营方、平台用户方、第三方安全测评机构等。因此政务云安全应在多方参与的情况下，明确各参与主体的安全责任与义务。通过建立政务云安全协调工作组，打造政务云安全责任模型，保证安全事件及时响应和有效处置。政务云平台参与主体及相关责任如下：

云平台建设方（大数据局）：

• 负责云平台的整体规划设计、资源容量、实施要求、安全要求；
• 负责对云平台配套相关IDC基础设施选址、机房及网络带宽租用与验收；
• 对建设完成的云平台全面测试和验收，确保云平台的质量以及云平台的可靠性与安全性；
• 授权开展安全运营工作。

云平台承建方（云服务商）：

• 负责云上系统建设、管理、运维相关的业务安全、数据安全、虚拟机安全、存储安全、客户端安全等相关责任；
• 按照网络安全法、对应等保级别进行云上系统安全建设、管理和运维。

云平台用户方（委办局）：

• 根据云平台主管单位制定的安全管理要求使用云上资源；
• 接受云运营、监督和审计单位对云上业务系统安全工作指导、监督、监测。

第三方安全评测机构：

• 根据国家相关安全法律法规、国家安全监管要求开展云平台的安全测评，评估云平台的整体安全能力情况；
• 按照网络安全法、三级等级保护要求对提供公共服务的云平台进行评测。

云平台安全运营方（政务云安全运营中心）：

• 建立安全评估、安全基线检查、漏洞管理、日志审计、威胁预测、安全防护、持续监测、响应处置等关键能力；
• 提供7*24小时的实时安全监测，对各类网络攻击和入侵行为进行实时预警并及时处置，保障云平台的安全性。

2、政务云安全运营框架

政务云安全运营需要从多角度出发，以全局、整体的思路整合资源、优化流程，建立权责相符的安全责任机制，通过覆盖管理体系、技术体系、运营体系、考核体系四个维度的框架能力，构筑“事前防御”、“事中监测”、“事后溯源”全方位联动的护城河，为政务云、政务大数据和政务应用提供全面的安全保障，达到“看得清、管得了、防得住、用得好”的安全效果。

• 首先，政务云安全运营应以安全管理体系为保障机制，建立健全安全管理制度与规范，强化组织建设、压实安全责任。
• 其次，通过安全技术体系与安全运营体系的协同联动，在能力、体系、流程等方面实现安全与业务的深度融合，做到一体化发展，提升业务安全性、连续性水平，凸显安全质量。
• 最后，为了保证安全建设和运营的有效性，通过安全考核体系，做到人员管理、安全监督、安全绩效的持续评估，夯实闭环管控、促进以考促效。

通过建立政务云全方位一体化的安全运营体系，打造互联网监测探查、边界安全严控、云上数据流转管控监测、主机安全防控、协同应急处置五道安全防线，实现多方协同、立体纵深、全局可视、主动响应、持续提升的安全保障能力。

3、政务云安全能力评估

随着政务云安全运营体系的不断完善，对安全建设与运营情况开展系统性、深入性、先进性的评估尤为重要。同时，通过对政务云安全的能力指数、运营效果等方面的衡量，可以为其进一步向好发展提供有力依据。此外，科学合理的绩效考评，有利于站在全局视角找问题、觅良策、促优化，进一步提升政务云安全运营质量。如下为政务云安全四大质量管控指标：

• 政务云安全运营中心成熟度模型指数：衡量政务云整体安全发展愿景和战略；
• 政务云安全战略与管理指数：衡量政务云任务执行和安全落实情况；
• 政务云安全运营能力指数：衡量政务云安全运营能力建设达成情况；
• 安全运营质量效果指数：衡量政务云安全运营质量与效果。

政务云“业安融合”安全体系实践

安全只有与业务战略相匹配，支撑数字化的运营体系，为业务目标服务，才是政务云安全发展的本质。也就是说，安全要能够适配云的基础设施，在管理、技术、运营、考核等层面，让安全融入到业务中去，能够像业务一样高速迭代和演进，让客户立刻看到效果。

政务云安全防护是个实时、动态的过程，安全运营接近实战化，需要围绕“业安融合”理念，打造具备全局化、体系化的的安全运营能力。在具体实践中，主要包括三大步骤。

• 业务梳理与安全评估

安全建设的第一步就是进行现有业务和安全能力的梳理评估。通过问卷调研、业务梳理、资产测绘、渗透测试、漏洞评估、安全评估等方式，围绕业务目标、业务范围、数据流转、网络架构、业务活动、业务系统、安全情况等领域，进行全方位的业务梳理和安全现状评估，并输出相关评估报告。

• 政务云安全体系建设落地

依托业务梳理与安全评估，建立符合业务与安全系统要求的管理体系、技术体系和监管体系，并打造多种视角的安全运营服务中心，通过人员、技术、服务的全面对接，实现资源整合、事件归集、协同联动、统一调度的统筹运营。

• 政务云安全运营质量管控

为了保证政务云安全运营的效果，满足多云统一安全管理和业务多维安全防护要求，依托统一化、透明化、集中化、流程化、实时化、制度化原则，提升政务云安全运营成效。

政务云安全综合效益展现

依托“业安融合”理念，打造政务云体系化安全运营能力，实现实战化的安全防御，全面提升政务云安全体系的综合效益，具体体现在以下几个方面：

• 提升安全防护效果：全面及时发现安全威胁，处置安全风险，提升安全事件应对能力，有效防范安全事件的发生，消除或减小安全事件造成的影响，实现安全态势指数可视化、安全运营流程可视化、安全成效指标可视化。
• 降低安全风险影响：建立政务云纵深安全防护体系，通过内部威胁预测、外部威胁情报等手段，进行政务云暴露面分析，监控外部威胁，实现攻击预测、提前预防的目标，降低安全风险。
• 增强安全管控效能：从安全职责、标准、流程、规范、考核等多个方面搭建安全管理框架，构建政务云事前、事中、事后的全方位管控体系，实现政务云安全工作统一纳管。
• 满足关基等保要求：通过对政务云基础设施层、数据层、应用层进行实时监控，保障政务云满足网络安全等级保护等标准法规要求。
• 降低安全运营成本：通过安全运营服务，帮助用户梳理并建立云上安全运营体系，全面提升应用系统安全性，保障用户业务的安全和稳定运行，减少网络安全重复投资，降低网络安全整体成本。

在国家政策号召和社会需求推动下，青藤将持续发挥自身安全技术优势，结合先进的理念和创新的精神，助力政府以及千行百业安全上云、安全用云，实现更安全、更高效、更便捷的数字化转型和业务升级，为数字中国、数字政府安全建设贡献力量。

来源：青藤