“一平台一基地一学院”网络安全监管体系研究
2021-01-14颜家远
颜家远
(黔南州大数据发展管理局,贵州 黔南 558000)
0 引言
大数据时代,政府对网络安全的关注度提到了前所未有的高度。为找准突破口,抢抓网络安全新机遇,本文分析网络安全现状,聚焦痛点和难点,提出解决思路、原则和路径,为地方政府决策提供参考。
1 问题和挑战
(1)网络安全监管合力未形成。地方政府已成立大数据安全领导小组,在网络安全监管过程中,保密、公安、大数据等多个部门均有监管职责,一旦发生网络安全事件,各部门均在开展调度,没有形成“统管”合力,存在重复调度的情况,且调度力量不集中,调度效果也不好。对已迁云的非涉密自建系统,因各方的安全职责不清,云平台服务商重点监管平台安全,用户单位重点监管系统安全,但平台与系统衔接的安全监管仍存在安全监管盲区,尚未形成统一监管合力,导致网络安全监管散而乱。
(2)安全风险日益严峻。地方政府用于网络安全监管的费用呈逐年递增趋势,且暂未形成产业生态,安全风险仍然比较突出,面临安全服务厂商多、安全支出分散、安全保障不足等问题,如:云平台安全厂商有华为、奇安信等,各自建非涉密系统的安全则由各系统主管部门自行与单独的安全服务商合作,支出费用多而分散,一旦出现安全事故,需调度多个安全服务商,且服务商之间存在推诿责任的情况,应急响应的流程多、时间长,网络安全的保障水平还有短板。
(3)网络安全队伍专业水平不高。一是政企单位均具备网络安全从业人员,但大多为兼职人员,对网络安全知识一知半解,能够独立解决安全事故的专职人员少;二是网络安全从业人员大多没有接受系统性的培训,整体安全意识薄弱,安全意识不强。如:各单位网络安全从业人员培训学时相对较少,暂没有国家认证的网络安全培训中心和实训演练基地,专业技术有待增强,攻防演练水平有待提升。
2 解决问题的思路
(1)整体规划与统建统管结合。以消除“各自为政、分散管理”为重点,强化顶层设计,对网络安全进行统筹规划、统筹建设、统筹监管,推动政府网络安全监管系统化、科学化和现代化。
(2)共商共建与共治共赢结合。坚持以合作促共赢,以共赢促监管,部门联动、政企校研合作,集中力量开展网络安全监管。企业端,通过防护实践,提升企业防护能力;政府端,通过招引企业,促进经济发展和夯实地方安全监管水平,实现“外防攻击、内建生态”的良好格局;学校端,拓展学生实训渠道,提高学生实践能力,增加就业率。科研端,培育科研队伍,夯实科研能力,创新打造发展新引擎,培育增长新动能。以地级市为单位,政企校研合作建设统一网络安全监管平台、公共服务基地和网络安全研究院,搭建“一平台一基地一学院”网络安全监管体系。
(3)统分结合与分步实施结合。地市级统筹,部门主抓,区县级分级负责,统一网络安全监管标准,非涉密政务信息系统、关键信息基础设施、政府门户网站等全部基于“一平台一基地一学院”架构开展安全监管,按照政府系统先行,先外网、后内网的路子逐步统筹,分步实施。
(4)自主可控与确保安全结合。树立总体国家安全观,严格落实《网络安全法》《网络安全责任制》和国家网络和信息安全法律法规,积极推进重要信息系统、关键信息基础设施国产化替代,健全信息安全制度。建立安全可控的安全保障体系,“一平台一基地一学院”产生的数据资产归地方政府所有,实施有效的安全监管。
3 解决问题的原则
(1)分散规划转为统一规划。政府职能部门对本行业本领域的重要信息系统、关键信息基础设施、网络安全人才培训需求等进行梳理并报送网信主管部门,网信主管部门汇总编制“一平台一基地一学院”建设三年规划及年度计划,报政府批准后实施。网信主管部门要围绕平台安全、系统安全、数据安全等方面拟定网络安全相关技术标准和规范,加快建立健全网络安全监管体系。
(2)分散建设转为统一建设。“一平台一基地一学院”涉及的软硬件建设由地方政府平台公司作为业主筹集资金,统一投资、统筹建设,按照安全可控的要求推动重要信息系统、关键信息基础设施、政府门户网站的服务器、数据库、芯片等逐步实现国产化替代。地方政府平台公司按照相关规定进行核准备案。地方政府平台公司按照政府批准的“一平台一基地一学院”三年规划和年度计划和相关技术标准规范,以及各职能部门的具体需求,汇总编制“一平台一基地一学院”年度服务方案,经各职能部门确认后,由网信主管部门会同发改部门、财政部门审核确定。
(3)政府直接投资转为统一购买服务。网信主管部门根据审核通过的年度服务方案,编制“一平台一基地一学院”年度服务采购方案,按政府采购流程分批次、分阶段向地方政府平台公司进行采购“一平台一基地一学院”服务。地方政府平台公司切实做好服务保障,接受政府职能部门的监督考核评价。网信主管部门会同政府职能部门对政府平台公司提供的政府采购服务进行验收。委托具备资质的第三方机构进行“双评估”,即:对政府职能部门的网络安全监管需求等是否合理进行评估,对地方政府平台公司的“服务水平和质量是否达标”进行评估。网信主管部门会同国资主管部门对政府平台公司“一平台一基地一学院”服务水平和质量纳入年度考核。
(4)分散资金保障转为统筹资金保障。在摸清底数、科学规划基础上,由政府财政主管部门按照“钱随事走”的原则,按国库管理有关规定采取集中支付方式拨付资金,保障“一平台一基地一学院”服务采购。网信主管部门按规定程序向社会购买服务,财政资金要实现全生命周期的绩效管理。网信主管部门、政府职能部门要按照绩效管理有关要求,编制绩效目标,开展绩效自评,运用好绩效评价结果。
4 构建“一平台一基地一学院”网络安全监管体系
招引国内知名安全企业落地本地,组建本地政府平台公司,构建“一平台一基地一学院”网络安全监管体系,政府按需购买服务。“一平台”是指网络安全监管平台,提供监测预警、协同处置和应急响应,聚合地方资源,形成监管合力。“一基地”是指网络安全公共服务基地,提供运维管理、评估审计和安全咨询,防范网络安全风险。“一学院”是网络安全研究院,通过与本地院校合作,开展网络安全知识和技能培训,为地方政企单位培养网络安全人才,提升地方整体安全素质。
为充分发挥“一平台一基地一学院”网络安全监管体系的效用,应健全完善“制防、人防、技防”机制。在制度防护方面,要强化网络安全组织保障,健全完善网络安全监管制度,如:成立网络安全领导小组,制定预案、问责制度等。在人防方面,建立通用人才框架,促进人才管理标准化建设[1];明确要求本地区重要信息系统、关键信息基础设施、门户网站要100%完成等保测评和备案工作,按照“先政府、后企业”的顺序稳步推进;新建项目要基于“一平台一基地一学院”网络安全监管体系进行安全的规划建设实施,已建项目安全运维到期后要统一由本地政府平台公司进行安全运维管理。在技防方面,加强网络安全技术手段建设[2]。
优化网络安全策略,强化安全态势感知,加强流量控制、数据审计、漏洞监测预警和漏洞修复等工作。政务信息系统的安全措施至少包含下一代防火墙(NGFW)、Web应用防火墙(WAF)、堡垒机(OAS)、数据库审计(DBS)、日志审计(LAS)、探针监测等服务中的3种,确保系统安全达到等保二级及以上。通过成熟的安全防护技术,从技术层面保障地方政府安全监管水平。
5 结束语
本文从监管情况、安全风险、人才队伍三个方面分析了政府网络安全监管存在的问题和挑战,提出“一平台一基地一学院”网络安全监管体系,为地方政府有效监管网络安全风险、强化网络安全事件预警监测和应急处置、夯实网络安全防线等具有指导意义。