政务安全托管服务（GMSS）实践指南（2024）

政务安全托管服务（GMSS）实践指南（2024） 编写单位：深信服科技股份有限公司指导单位：国家信息中心等2024年10月 前言版权声明 习近平总书记指出：安全是发展的前提，发展是安全的保障，安全和发展要同步推进。当下，国内正在进行深入的全面的数字化转型，政务网络安全对我国的数字化建设和经济发展具有重要保障作用。近年来，我国多部网络安全法律法规均提出加强监测预警和应急处置机制建设，其中《国务院关于加强数字政府建设的指导意见》（国发〔2022〕14号）明确提出构建数字政府全方位安全保障体系，建立健全动态监控、主动防御、协同响应的数字政府安全技术保障体系。充分运用主动监测、智能感知、威胁预测等安全技术，强化日常监测、通报预警、应急处置，拓展网络安全态势感知监测范围，加强大规模网络安全事件、网络泄密事件预警和发现能力。 为进一步做好新时代数字政府网络安全保障工作，国家信息中心和深信服共同设计和开发了面向政务网络、政府用户的安全托管服务。政务安全托管服务聚焦数字政务网络安全工作场景及需求，以保障风险管控效果为目标，以“人机共智”模式为手段，以7*24小时持续在线守护为主线，以“资产、脆弱性、威胁、事件”四个核心安全风险要素为抓手，提升组织安全风险管控能力和安全工作效果。 本书对政务安全托管服务的整体实践情况进行介绍，从发展背景、服务特点、体系架构、服务内容、主要服务场景、价值与优势、合规建设情况、服务运营详情、应用案例等不同方面对政务安全托管服务（GMSS）进行剖析，为数字政府网络安全托管服务建设工作的开展提供全方位的实践参考。 本指南版权属于深信服科技股份有限公司，并受法律保护。转载、摘编或以其他方式使用指南文字或观点的，均应注明“来源：政务安全托管服务（GMSS）实践指南”。违反以上声明者，深信服科技股份有限公司将保留追究其相关法律责任的权利。本指南编写过程中得到以下单位的专业指导与鼎力协助，致以诚挚感谢（排名不分先后）。 指导单位 国家信息中心 内蒙古自治区大数据中心江西省信息中心 江苏省大数据管理中心山东省大数据局 重庆市人民政府电子政务中心湖南省政务服务和大数据中心东莞市政务服务和数据管理局台州市大数据发展中心 烟台市大数据中心 珠海市政务服务和数据管理局 编写单位 深信服科技股份有限公司 录 目 政务安全托管服务概述01 服务特点01 服务架构04 服务场景05 服务内容07 服务优势08 政务安全托管服务执行准则11 资产识别梳理11 首次安全评估12 安全问题处置13 脆弱性管理14 安全威胁管理15 事件管理闭环16 安全情报通告19 安全总结复盘19 政务安全托管服务内容要素20 服务技术20 服务团队26 服务流程27 政务安全托管服务实践效果29 两周年实践总结29 AI大模型赋能36 服务合规能力41 政务安全托管服务实践案例42 内蒙古自治区大数据中心⸺一体化安全运营场景42 江苏省大数据管理中心⸺持续有效监管合规场景43 江西省信息中心⸺日常网络安全托管运营保障场景45 珠海市政务服务和数据管理局⸺安全效果提升场景47 烟台市大数据中心⸺政务云、网一体化运营场景49 东莞市政务服务和数据管理局⸺一体化托管场景51 台州市大数据发展中心⸺安全托管扩展能力场景53 某省级大数据中心⸺7*24小时安全托管保障场景54 某地市自然资源局⸺勒索病毒预防与响应场景56 某市市场监督管理局⸺重要时期安全保障场景60 政务安全托管服务概述 MSS（ManagedSecurityServices，安全托管服务）理念由Gartner于1999年开始提出，当时，组织面临的安全威胁越来越多，但是缺乏足够的安全人员和技术来应对这些威胁。Gartner认为，将安全管理外包给专业的安全服务提供商，可以帮助组织降低安全风险，提高安全性能，并节省安全管理成本。现如今，伴随着云计算技术的高速发展及应用，越来越多的组织将其业务迁移到云端，各综合型网络安全厂商通过其全球化的安全运营中心，为诸多用户提供7*24小时不停歇的远程网络安全托管服务。根据Gartner和IDC的相关研究报告，安全托管服务已在国内外市场得到用户广泛的认可与接受。 近年来，国家信息中心（国家电子政务外网管理中心）先后印发了《关于加快推进全国政务外网安全监测平台建设工作的通知》（政务外网〔2020〕1号）和《关于加快全国政务外网安全监测平台对接工作的通知》（政务外网〔2022〕4号），推动全国政务外网建设和运行维护单位提升和完善网络安全监测预警和应急处置能力，逐步实现跨地区、跨层级的安全监测数据共享和业务协同，形成全国政务网络安全态势感知一张网。政务安全托管服务(以下简称“政务MSS”或“GMSS”)在标准MSS服务基础上，充分利用政务外网建设的网络安全监测基础设施，针对国内数字政府行业网络安全需求和特点，通过提供集约化服务方式有效解决了数字政府行业缺少专业安全技术人员、资金资源投入不足导致无法开展常态化安全保障的困难，为用户提供持续、有效、省心、便捷的安全托管服务。 服务特点 聚焦政务用户需求 政务安全托管服务的服务对象是所有的数字政府单位用户。各级政府单位经过了多年的安全建设，安全能力与效果已经取得了丰富的成果和较大的进步。但是，由于网络空间的形势恶化、攻击威胁的手段升级以及传统建设方式固有存在的局限性，在当前的实际安全工作中，政府单位安全部门仍然面临诸多实际安全问题难以得到妥善解决，主要包括： 战时保障缺资源 重要活动期间、攻防演练期间的安全投入更大，时效性要求更高，应战能力平时、战时不对等，所需资源 无法得到充分保障，导致战时效果检验不达预期；而战时能力未能有效转化赋能到日常运营中，效果难以 常态化。 多项价值服务交付 除了提供典型政务安全托管服务的内容之外，政务安全托管服务在国家信息中心的相关团队和经验沉淀的赋能下，还针对行业化特征提供了定制化、有针对性、效果更好的安全托管服务能力。 威胁情报 整个政务网络进行快速同步，让更多用户快速提升预防的能力。 依业据化国的家威信胁息情中报，心提来前源预更防广针、对实政时府性行更业高、的内攻容击覆和盖脆更弱全性面分的析威，并胁通情过报安机全制，托为管广服大务政的府云单化位运提营供机更制具，在行 每周通讯 全面的安全信息快速下发到更多用户。 国家方信实息践中、心威每胁周情发报布、的行《业电安子全政态务势网、络典安型全安通全讯事》，件集、中安整全理政建府设单经位验所等关重注要的信安息全，政借策助与云要化求托、管专服家务观，点将、 国家信息中心高级安全专家作为政务安全托管服务中T3团队的补充，借助对政务网络和业务系统的丰富 T3团队专家 ① 经与响验应，的直整接体与效客果户。沟通，提供咨询建议，强化GMSS的高阶安全专家能力，提升安全托管服务的威胁检测 安全培训 国管理家人信员息开中展心网凭络借安资全源培整训合，和有组助织于优进势一，步定强期化组网织络全安国全政意府识单，深位化各安省全市形级势负认责识政，务了网解络安的全主技管术领发导展、趋安势，全 风险消除不及时 安全人员不足压力大，疲于应对事务性工作，缺少持续监控和预防能力，被动响应导致风险和威胁攻击扩散；资产类型复杂漏洞修复困难，漏洞修复不及时导致被利用攻击，被通报。 设备效果难发挥 海量日志分析困难，难以区分验证日志中的威胁，导致定位不准确，处置无法有效应对；静态安全策略无效，设备策略无法随着业务变化和攻击态势，动态更新维护。 事件闭环处置慢 救火队式处置安全事件，缺乏有效安全运营流程机制；缺少高阶人才，难以应对复杂事件处置，难以真正 提信服升提技供术授对课抗支能持力，的构国建家更电强子的政数务字外政网府信网息络与安网络全安保全障系体列系。培如训国，与家用信户息共中同心交信流息安与全网治络理安实全践部经主验办和、前深沿到积探极索指，导探作讨用网。络安全面临的问题与应对方案，对强化数字政务安全管理责任，提升网络安全保障能力起 闭环安全事件。 ①威参胁考狩猎IT和服攻务防团技队术梯研度究建等设工标作准。，政务MSS组建了三个级别的专家团队，分别为T1/T2/T3团队，其中T3团队的能力最强、经验最丰富，负责疑难问题处置、应急响应、 01政务安全托管服务（GMSS）实践指南（2024）政务安全托管服务（GMSS）实践指南（2024）02 服务架构 GMSS服务以网络安全“持续有效”为目标，围绕资产、漏洞、威胁、事件四个风险要素，通过行业云端安全运营平台和安全专家团队有效协同的“云地协同”模式，提升组织安全风险管控能力和安全工作效果，为用户提供持续、有效、省心、便捷的安全托管服务，一同构建7*24小时持续守护、有效预防和主动闭环的体系化安全运营能力。 安全能力中台 数据湖 威胁感知 SOAR 数据治理 威胁情报 监控中心 政务安全托管服务(GMSS) 安全运营服务平台 工单系统 报告中心 工具中心 知识库 专家管理 重保中心 人机共智勤于对抗终于效果持续保障 服务权益 VIP微信服务群 专属用户Portal 邮件/短信/电话沟通 专属服务报告 线上/线下汇报 服务承诺7x24H值守重大事件：20分钟内响应高危威胁:闭环率100%高危可利用漏洞:闭环率100%最新漏洞预警与响应：通告时间<8H服务场景 常态化安全运营 实战攻防保障 重要时期保障 勒索预防与响应 等保合规运营 服务交付体系 服务流程服务团队服务平台服务组件 项目启动总结汇报服务经理AF组建团队项目成果汇报云端分析师 项目启动会安全运营指导威胁挖掘专家SIP 运营准备持续运营应急响应专家aES组件实施资产管理云地协同服务上线威胁管理STA资产梳理脆弱性管理首次分析事件管理本地项目经理TSS首次处置服务汇报本地安全服务工程师 服质务量 质量保障机制问题跟踪管理服务SLA监控满意度调研质量管理团队 图1-12023年国家电子政务外网信息与网络安全培训（第三期） 图1-3政务安全托管服务（GMSS）架构 服务平台 图1-22024年国家电子政务外网信息与网络安全培训（第一期） GMSS安全能力中台为服务周期内各类安全风险检测、分析、调查、响应等工作提供能力支撑，通过网络侧、终端侧等安全组件将关键安全数据聚合在云端，通过多维数据协同，深度精准挖掘风险事件，利用云端专家服务提供威胁分析、调查、响应及能力赋能。GMSS安全托管服务平台MSSP为全服务周期内各项服务工作提供支撑，通过不断对服务流程、专家经验沉淀固化，结合知识库、工单、报告等系统，规范和提升整体安全托管服务质量及体验。 服务组件 GMSS服务组件主要包含平台类（如态势感知平台、扩展检测与响应平台）、流量采集类（如威胁流量探针）、边界防护类（如防火墙）、终端安全管理类（如终端安全管理系统）等。用户在接入使用GMSS服务时，需要以服务组件作为接入点，通过政务外网进行安全日志数据传输，保障数据安全。 服务团队 GMSS服务团队包含了安全运营中心服务团队及本地服务团队，其中安全运营中心团队分为应急响应中心、攻防实验室、培训中心和服务交付团队。 03 政务安全托管服务（GMSS）实践指南（2024） 政务安全托管服务（GMSS）实践指南（2024） 04 服务流程 ·全面IT资产梳理 勒索风险排查 勒索预防与响应场景应用 ·勒索残留项检测 ·勒索病毒Checklist库 隐患全面加固 ·设备策略调优 ·勒索风险消除 勒索快速闭环 ·人机共智不间断动态清零 ·基于SOAR的主动响应 ·勒索攻击实时对抗 勒索行为监控 ·基于ATT&CK的病毒行为 检测 ·勒索情报动态预防 ·云端专家实时推动告警 勒索保险 ·勒索攻击专项保险兜底 项目启动运营准备持续运营总结复盘 实施方案和项目计划组件上线资产管理服务情况复盘项目启动会服务启动脆弱性管理项目成果汇报服务信息授权资产梳理威胁管理安全运营指导 首次分析及处置事件管理安全提升建议安全情报通告