政务安全托管服务（GMSS）实践指南（2024）

版权声明 前言 习近平总书记指出：安全是发展的前提，发展是安全的保障，安全和发展要同步推进。当下，国内正在进行深入的全面的数字化转型，政务网络安全对我国的数字化建设和经济发展具有重要保障作用。近年来，我国多部网络安全法律法规均提出加强监测预警和应急处置机制建设，其中《国务院关于加强数字政府建设的指导意见》（国发〔2022〕14 号）明确提出构建数字政府全方位安全保障体系，建立健全动态监控、主动防御、协同响应的数字政府安全技术保障体系。充分运用主动监测、智能感知、威胁预测等安全技术，强化日常监测、通报预警、应急处置，拓展网络安全态势感知监测范围，加强大规模网络安全事件、网络泄密事件预警和发现能力。 本指南版权属于深信服科技股份有限公司，并受法律保护。转载、摘编或以其他方式使用指南文字或观点的，均应注明“来源：政务安全托管服务（GMSS）实践指南”。违反以上声明者，深信服科技股份有限公司将保留追究其相关法律责任的权利。本指南编写过程中得到以下单位的专业指导与鼎力协助，致以诚挚感谢（排名不分先后）。 指导单位 国家信息中心内蒙古自治区大数据中心江西省信息中心江苏省大数据管理中心山东省大数据局重庆市人民政府电子政务中心湖南省政务服务和大数据中心东莞市政务服务和数据管理局台州市大数据发展中心烟台市大数据中心珠海市政务服务和数据管理局 为进一步做好新时代数字政府网络安全保障工作，国家信息中心和深信服共同设计和开发了面向政务网络、政府用户的安全托管服务。政务安全托管服务聚焦数字政务网络安全工作场景及需求，以保障风险管控效果为目标，以“人机共智”模式为手段，以 7*24 小时持续在线守护为主线，以“资产、脆弱性、威胁、事件”四个核心安全风险要素为抓手，提升组织安全风险管控能力和安全工作效果。 本书对政务安全托管服务的整体实践情况进行介绍，从发展背景、服务特点、体系架构、服务内容、主要服务场景、价值与优势、合规建设情况、服务运营详情、应用案例等不同方面对政务安全托管服务（GMSS）进行剖析，为数字政府网络安全托管服务建设工作的开展提供全方位的实践参考。 编写单位深信服科技股份有限公司 目录 政务安全托管服务实践案例42 内蒙古自治区大数据中心⸺一体化安全运营场景江苏省大数据管理中心⸺持续有效监管合规场景江西省信息中心⸺日常网络安全托管运营保障场景珠海市政务服务和数据管理局⸺安全效果提升场景烟台市大数据中心⸺政务云、网一体化运营场景东莞市政务服务和数据管理局⸺一体化托管场景台州市大数据发展中心⸺安全托管扩展能力场景某省级大数据中心⸺7*24小时安全托管保障场景某地市自然资源局⸺勒索病毒预防与响应场景某市市场监督管理局⸺重要时期安全保障场景42434547495153545660 政务安全托管服务执行准则11 政务安全托管服务内容要素20 战时保障缺资源 政务安全托管服务概述 重要活动期间、攻防演练期间的安全投入更大，时效性要求更高，应战能力平时、战时不对等，所需资源无法得到充分保障，导致战时效果检验不达预期；而战时能力未能有效转化赋能到日常运营中，效果难以常态化。 MSS（Managed Security Services，安全托管服务）理念由 Gartner 于 1999 年开始提出，当时，组织面临的安全威胁越来越多，但是缺乏足够的安全人员和技术来应对这些威胁。Gartner 认为，将安全管理外包给专业的安全服务提供商，可以帮助组织降低安全风险，提高安全性能，并节省安全管理成本。现如今，伴随着云计算技术的高速发展及应用，越来越多的组织将其业务迁移到云端，各综合型网络安全厂商通过其全球化的安全运营中心，为诸多用户提供 7*24 小时不停歇的远程网络安全托管服务。根据 Gartner 和 IDC 的相关研究报告，安全托管服务已在国内外市场得到用户广泛的认可与接受。 多项价值服务交付 除了提供典型政务安全托管服务的内容之外，政务安全托管服务在国家信息中心的相关团队和经验沉淀的赋能下，还针对行业化特征提供了定制化、有针对性、效果更好的安全托管服务能力。 威胁情报 近年来，国家信息中心（国家电子政务外网管理中心）先后印发了《关于加快推进全国政务外网安全监测平台建设工作的通知》（政务外网〔2020〕1 号）和《关于加快全国政务外网安全监测平台对接工作的通知》（政务外网〔2022〕4 号），推动全国政务外网建设和运行维护单位提升和完善网络安全监测预警和应急处置能力，逐步实现跨地区、跨层级的安全监测数据共享和业务协同，形成全国政务网络安全态势感知一张网。政务安全托管服务 ( 以下简称“政务 MSS”或“GMSS”) 在标准 MSS 服务基础上，充分利用政务外网建设的网络安全监测基础设施，针对国内数字政府行业网络安全需求和特点，通过提供集约化服务方式有效解决了数字政府行业缺少专业安全技术人员、资金资源投入不足导致无法开展常态化安全保障的困难，为用户提供持续、有效、省心、便捷的安全托管服务。 依据国家信息中心来源更广、实时性更高、内容覆盖更全面的威胁情报机制，为广大政府单位提供更具行业化的威胁情报，提前预防针对政府行业的攻击和脆弱性分析，并通过安全托管服务的云化运营机制，在整个政务网络进行快速同步，让更多用户快速提升预防的能力。 每周通讯 国家信息中心每周发布的《电子政务网络安全通讯》，集中整理政府单位所关注的安全政策与要求、专家观点、地方实践、威胁情报、行业安全态势、典型安全事件、安全建设经验等重要信息，借助云化托管服务，将全面的安全信息快速下发到更多用户。 服务特点 T3 团队专家 国家信息中心高级安全专家作为政务安全托管服务中 T3 团队 的补充，借助对政务网络和业务系统的丰富经验，直接与客户沟通，提供咨询建议，强化 GMSS 的高阶安全专家能力，提升安全托管服务的威胁检测与响应的整体效果。① 聚焦政务用户需求 政务安全托管服务的服务对象是所有的数字政府单位用户。各级政府单位经过了多年的安全建设，安全能力与效果已经取得了丰富的成果和较大的进步。但是，由于网络空间的形势恶化、攻击威胁的手段升级以及传统建设方式固有存在的局限性，在当前的实际安全工作中，政府单位安全部门仍然面临诸多实际安全问题难以得到妥善解决，主要包括： 安全培训 国家信息中心凭借资源整合和组织优势，定期组织全国政府单位各省市级负责政务网络的主管领导、安全管理人员开展网络安全培训，有助于进一步强化网络安全意识，深化安全形势认识，了解安全技术发展趋势，提升技术对抗能力，构建更强的数字政府网络安全保障体系。如国家信息中心信息与网络安全部主办、深信服提供授课支持的国家电子政务外网信息与网络安全系列培训，与用户共同交流安全治理实践经验和前沿探索，探讨网络安全面临的问题与应对方案，对强化数字政务安全管理责任，提升网络安全保障能力起到积极指导作用。 风险消除不及时 安全人员不足压力大，疲于应对事务性工作，缺少持续监控和预防能力，被动响应导致风险和威胁攻击扩散；资产类型复杂漏洞修复困难，漏洞修复不及时导致被利用攻击，被通报。 设备效果难发挥 海量日志分析困难，难以区分验证日志中的威胁，导致定位不准确，处置无法有效应对；静态安全策略无效，设备策略无法随着业务变化和攻击态势，动态更新维护。 事件闭环处置慢 救火队式处置安全事件，缺乏有效安全运营流程机制；缺少高阶人才，难以应对复杂事件处置，难以真正闭环安全事件。 服务架构 GMSS 服务以网络安全“持续有效”为目标，围绕资产、漏洞、威胁、事件四个风险要素，通过行业云端安全运营平台和安全专家团队有效协同的“云地协同”模式，提升组织安全风险管控能力和安全工作效果，为用户提供持续、有效、省心、便捷的安全托管服务，一同构建 7*24 小时持续守护、有效预防和主动闭环的体系化安全运营能力。 服务平台 GMSS 安全能力中台为服务周期内各类安全风险检测、分析、调查、响应等工作提供能力支撑，通过网络侧、终端侧等安全组件将关键安全数据聚合在云端，通过多维数据协同，深度精准挖掘风险事件，利用云端专家服务提供威胁分析、调查、响应及能力赋能。GMSS 安全托管服务平台 MSSP 为全服务周期内各项服务工作提供支撑，通过不断对服务流程、专家经验沉淀固化，结合知识库、工单、报告等系统，规范和提升整体安全托管服务质量及体验。 服务组件 GMSS 服务组件主要包含平台类（如态势感知平台、扩展检测与响应平台）、流量采集类（如威胁流量探针）、边界防护类（如防火墙）、终端安全管理类（如终端安全管理系统）等。用户在接入使用 GMSS 服务时，需要以服务组件作为接入点，通过政务外网进行安全日志数据传输，保障数据安全。 服务团队 GMSS 服务团队包含了安全运营中心服务团队及本地服务团队，其中安全运营中心团队分为应急响应中心、攻防实验室、培训中心和服务交付团队。 勒索预防与响应场景应用 服务流程 GMSS 服务在国内首创的勒索预防与响应服务叠加勒索保险的模式，为用户有效应对勒索提供了双重保障。在 GMSS 服务平台上，首创了勒索风险预防库，将历史上所有可能被用于勒索攻击的风险进行了梳理和汇总，最终形成了勒索风险专项排查 checklist，云端安全专家可以定期调用这个风险排查工具，帮助用户进行勒索风险隐患的摸底，并协助进行全面加固；做到事前的预防。同时，还借助 GMSS 服务平台和专家 7*24 小时的值守，实现对勒索行为的全天候监测，一旦发现及时快速进行闭环处置，实现事中事后的保障。同时，这套方案还可以和托管云灾备方案进行联动，实现对勒索加密数据的快速恢复。 GMSS 服务主要通过项目启动、运营准备、持续运营、总结复盘等 4 个阶段流程组成，其中每个阶段均由多个子服务流程组成，如持续运营阶段由资产管理、脆弱性管理、威胁管理、事件管理和汇报服务等子流程构成。 服务场景 常态化安全保障场景应用 针对重点托管的业务资产，GMSS 服务可以帮助用户从纷繁复杂的安全琐事中解放出来，将用户最常见的安全保障工作进行承接，比如新系统上线的评估，日常的安全策略有效性评估和调优，漏洞、暴露面的定期梳理和跟踪解决，安全事件的持续监测与响应，协助应对上级单位的通告，针对通报内容进行自查、整改，定期向领导汇报安全工作成果，以及夜间 /周末的值守等等；通过安全托管服务平台，将上述常态化安全运营保障工作进行流程编排，确保云端安全服务专家能够及时、规范地开展安全运营保障工作，真正实现 7*24 小时的持续守护。 重要时期（节假日、重要活动、实战攻防）保障场景应用 针对重要时期保障场景，GMSS 服务提供一站式的值守保障方案。包括了值守前的风险排查和加固，值守期间的 7*24 小时保障，每日汇报以及值守后的总结汇报。此场景支持灵活扩展，根据用户的需求进行不同服务项目的搭配，比如增配红队检测、攻防演练等高阶项目，以便更好地满足不同用户的保障目标。 四是主动闭环 服务内容 通过累积服务 5000 余家各类客户的形成的实战应用 UseCase，充分利用 SOAR 自动化编排处置 +AI 等技术能力，高效辅助安全处置人员，将安全风险 / 威胁 100% 处置闭环，形成动态清零机制，有效面对各类真实攻击威胁。 GMSS 服务依托电子政务外网，面向各级接入单位提供全天候 24 小时不间断的威胁监测、事件闭环、安全运营的安全服务，能够快速有效、经济便捷地帮助各级数字政府单位快速建立健全安全监测预警防护体系，对抗各类网络信息安全威胁，服务保障内容主要包括如下： 一是保障政务工作人员将更多精力投入到数字政府建设及管理之中 通过召之即来的服务效率、来之即战的坚实能力，让安全工作更简洁、更有效；同时基于安全托管服务的模式，与政府单位协同作战，提供更专业的技术支撑与指导，分担工作内容，让政府单位人员更好地聚焦于高价值的安全建设规划、数据安全和数字政府建设优化等工作。 服务优势 相较于其他的自建自运营或传统的驻场服务等建设方