“一平臺一基地一學院”網絡安全監管體系研究

顏家遠

（黔南州大數據發展管理局，貴州 黔南 558000）

0 引言

大數據時代，政府對網絡安全的關注度提到了前所未有的高度。為找準突破口，搶抓網絡安全新機遇，本文分析網絡安全現狀，聚焦痛點和難點，提出解決思路、原則和路徑，為地方政府決策提供參考。

1 問題和挑戰

（1）網絡安全監管合力未形成。地方政府已成立大數據安全領導小組，在網絡安全監管過程中，保密、公安、大數據等多個部門均有監管職責，一旦發生網絡安全事件，各部門均在開展調度，沒有形成“統管”合力，存在重復調度的情況，且調度力量不集中，調度效果也不好。對已遷云的非涉密自建系統，因各方的安全職責不清，云平臺服務商重點監管平臺安全，用戶單位重點監管系統安全，但平臺與系統銜接的安全監管仍存在安全監管盲區，尚未形成統一監管合力，導致網絡安全監管散而亂。

（2）安全風險日益嚴峻。地方政府用于網絡安全監管的費用呈逐年遞增趨勢，且暫未形成產業生態，安全風險仍然比較突出，面臨安全服務廠商多、安全支出分散、安全保障不足等問題，如：云平臺安全廠商有華為、奇安信等，各自建非涉密系統的安全則由各系統主管部門自行與單獨的安全服務商合作，支出費用多而分散，一旦出現安全事故，需調度多個安全服務商，且服務商之間存在推諉責任的情況，應急響應的流程多、時間長，網絡安全的保障水平還有短板。

（3）網絡安全隊伍專業水平不高。一是政企單位均具備網絡安全從業人員，但大多為兼職人員，對網絡安全知識一知半解，能夠獨立解決安全事故的專職人員少；二是網絡安全從業人員大多沒有接受系統性的培訓，整體安全意識薄弱，安全意識不強。如：各單位網絡安全從業人員培訓學時相對較少，暫沒有國家認證的網絡安全培訓中心和實訓演練基地，專業技術有待增強，攻防演練水平有待提升。

2 解決問題的思路

（1）整體規劃與統建統管結合。以消除“各自為政、分散管理”為重點，強化頂層設計，對網絡安全進行統籌規劃、統籌建設、統籌監管，推動政府網絡安全監管系統化、科學化和現代化。

（2）共商共建與共治共贏結合。堅持以合作促共贏，以共贏促監管，部門聯動、政企校研合作，集中力量開展網絡安全監管。企業端，通過防護實踐，提升企業防護能力；政府端，通過招引企業，促進經濟發展和夯實地方安全監管水平，實現“外防攻擊、內建生態”的良好格局；學校端，拓展學生實訓渠道，提高學生實踐能力，增加就業率。科研端，培育科研隊伍，夯實科研能力，創新打造發展新引擎，培育增長新動能。以地級市為單位，政企校研合作建設統一網絡安全監管平臺、公共服務基地和網絡安全研究院，搭建“一平臺一基地一學院”網絡安全監管體系。

（3）統分結合與分步實施結合。地市級統籌，部門主抓，區縣級分級負責，統一網絡安全監管標準，非涉密政務信息系統、關鍵信息基礎設施、政府門戶網站等全部基于“一平臺一基地一學院”架構開展安全監管，按照政府系統先行，先外網、后內網的路子逐步統籌，分步實施。

（4）自主可控與確保安全結合。樹立總體國家安全觀，嚴格落實《網絡安全法》《網絡安全責任制》和國家網絡和信息安全法律法規，積極推進重要信息系統、關鍵信息基礎設施國產化替代，健全信息安全制度。建立安全可控的安全保障體系，“一平臺一基地一學院”產生的數據資產歸地方政府所有，實施有效的安全監管。

3 解決問題的原則

（1）分散規劃轉為統一規劃。政府職能部門對本行業本領域的重要信息系統、關鍵信息基礎設施、網絡安全人才培訓需求等進行梳理并報送網信主管部門，網信主管部門匯總編制“一平臺一基地一學院”建設三年規劃及年度計劃，報政府批準后實施。網信主管部門要圍繞平臺安全、系統安全、數據安全等方面擬定網絡安全相關技術標準和規范，加快建立健全網絡安全監管體系。

（2）分散建設轉為統一建設。“一平臺一基地一學院”涉及的軟硬件建設由地方政府平臺公司作為業主籌集資金，統一投資、統籌建設，按照安全可控的要求推動重要信息系統、關鍵信息基礎設施、政府門戶網站的服務器、數據庫、芯片等逐步實現國產化替代。地方政府平臺公司按照相關規定進行核準備案。地方政府平臺公司按照政府批準的“一平臺一基地一學院”三年規劃和年度計劃和相關技術標準規范，以及各職能部門的具體需求，匯總編制“一平臺一基地一學院”年度服務方案，經各職能部門確認后，由網信主管部門會同發改部門、財政部門審核確定。

（3）政府直接投資轉為統一購買服務。網信主管部門根據審核通過的年度服務方案，編制“一平臺一基地一學院”年度服務采購方案，按政府采購流程分批次、分階段向地方政府平臺公司進行采購“一平臺一基地一學院”服務。地方政府平臺公司切實做好服務保障，接受政府職能部門的監督考核評價。網信主管部門會同政府職能部門對政府平臺公司提供的政府采購服務進行驗收。委托具備資質的第三方機構進行“雙評估”，即：對政府職能部門的網絡安全監管需求等是否合理進行評估，對地方政府平臺公司的“服務水平和質量是否達標”進行評估。網信主管部門會同國資主管部門對政府平臺公司“一平臺一基地一學院”服務水平和質量納入年度考核。

（4）分散資金保障轉為統籌資金保障。在摸清底數、科學規劃基礎上，由政府財政主管部門按照“錢隨事走”的原則，按國庫管理有關規定采取集中支付方式撥付資金，保障“一平臺一基地一學院”服務采購。網信主管部門按規定程序向社會購買服務，財政資金要實現全生命周期的績效管理。網信主管部門、政府職能部門要按照績效管理有關要求，編制績效目標，開展績效自評，運用好績效評價結果。

4 構建“一平臺一基地一學院”網絡安全監管體系

招引國內知名安全企業落地本地，組建本地政府平臺公司，構建“一平臺一基地一學院”網絡安全監管體系，政府按需購買服務。“一平臺”是指網絡安全監管平臺，提供監測預警、協同處置和應急響應，聚合地方資源，形成監管合力。“一基地”是指網絡安全公共服務基地，提供運維管理、評估審計和安全咨詢，防范網絡安全風險。“一學院”是網絡安全研究院，通過與本地院校合作，開展網絡安全知識和技能培訓，為地方政企單位培養網絡安全人才，提升地方整體安全素質。

為充分發揮“一平臺一基地一學院”網絡安全監管體系的效用，應健全完善“制防、人防、技防”機制。在制度防護方面，要強化網絡安全組織保障，健全完善網絡安全監管制度，如：成立網絡安全領導小組，制定預案、問責制度等。在人防方面，建立通用人才框架，促進人才管理標準化建設[1]；明確要求本地區重要信息系統、關鍵信息基礎設施、門戶網站要100%完成等保測評和備案工作，按照“先政府、后企業”的順序穩步推進；新建項目要基于“一平臺一基地一學院”網絡安全監管體系進行安全的規劃建設實施，已建項目安全運維到期后要統一由本地政府平臺公司進行安全運維管理。在技防方面，加強網絡安全技術手段建設[2]。

優化網絡安全策略，強化安全態勢感知，加強流量控制、數據審計、漏洞監測預警和漏洞修復等工作。政務信息系統的安全措施至少包含下一代防火墻（NGFW）、Web應用防火墻（WAF）、堡壘機（OAS）、數據庫審計（DBS）、日志審計（LAS）、探針監測等服務中的3種，確保系統安全達到等保二級及以上。通過成熟的安全防護技術，從技術層面保障地方政府安全監管水平。

5 結束語

本文從監管情況、安全風險、人才隊伍三個方面分析了政府網絡安全監管存在的問題和挑戰，提出“一平臺一基地一學院”網絡安全監管體系，為地方政府有效監管網絡安全風險、強化網絡安全事件預警監測和應急處置、夯實網絡安全防線等具有指導意義。