“奇安信云安全帮我们解决了‘委办局’走上政务云过程中，由于缺乏统一的云安全策略和建设经验而产生的安全问题，帮助我们完成云上安全能力体系的建设和运营，让政务云运营者、租户都能以更安全的方式使用云服务。”

——某特大城市政务云相关安全负责人

某特大城市坚持“以人民为中心”的发展理念，在数字政务建设领域已经走在全国的前列，企业和群众在小区、银行、市场、公交站台等日常生活场所扫描二维码，就可以获得个性化的办事助手服务和统一汇聚的办事入口。让老百姓在家就能把事办了，努力为办事群众和企业提供更便捷、更智慧、更暖心的政务服务。

在政务服务上云的的背后，是一朵对于性能、可用性、安全性要求极高的政务云。该城市在已经推出的《智慧2.0建设方案》中，明确提出了在智慧政务基础上，以“规划全面、急用先行、小步快走、建成必用”为原则，形成“一个大脑、四个中心、四个支撑、N个应用”的总体政务云框架。

该框架包括：到2022年底，将智慧中心打造成城区大脑；建成城区运行监测中心、区领导决策分析中心、城区指挥调度中心、城区事件分拨处置中心等四个中心；提升完善云(政务云、网络存储、Al算力)、网(政务内外网、教育网、卫健网）等基础设施建设；加强全域网络安全综合治理，为善政、惠民、兴业等智慧应用提供基础支撑，让市民有获得感、幸福感和安全感；为国内大数据综合试验区试点，打造大数据应用样板提供坚强保障。

01

政务上云面临着四大安全挑战

随着政务信息系统大量部署于政务云平台中，云上的网络安全已成为建设数字政府所面临的主要问题。近年来，政务云面临安全挑战越来越严峻，全球出现过多起如关键系统停机、客户停服、云被黑导致数据丢失、云故障导致网站无法访问等安全事件，政务云自身的安全能力亟需高度重视。

具体到该特大城市的政务云建设中，安全挑战主要来自以下几个方面：

一是建设不统一，能力层次不齐。更多的政务上云，缺乏统一的上云安全规范和安全措施，委办局（政务云租户）各管各的安全，安全建设能力不统一、安全管理能力参差不齐。

二是重基础建设，轻安全防护。常规的政务云更注重于云上基础设施建设，缺乏针对政务安全的风险评估和安全防护体系。

三是合规覆盖有限，租户易成突破口。传统的安全合规方案，只到政务云租户层级，对于租户下属单位没有单独的售卖和计费系统支持。导致租户下属单位成为整个云安全体系的薄弱环节，攻击者的突破口。

四是缺乏运营管理手段，责任不清晰。对于政务云安全，缺乏统一的安全运营和管理平台，云上租户和云运营者安全责任不明确，出现安全事件、被监管部门通报时无法快速溯源和定位相关责任单位。

02

智慧赋能政务云，实现全面的能力提升

围绕政务云建设中面临的四大安全挑战，该城市政务云最终选择了国内领先的网络安全公司奇安信合作，由后者提供全方位的云上安全解决方案。

根据政务云的实际情况和需求，奇安信云安全以更加“原生态”的方式，智慧赋能政务云，提升整体的安全合规、安全防护和安全运营能力，并支持多层次的租户管理，打造政务云与租户之间、租户与下级单位之间的安全纽带。表现在以下几个方面：

首先是基于云安全智慧大脑，构建云上合规建设。

奇安信云安全管理平台CSMP是云安全的“智慧大脑”，支持多资源池弹性部署，从而解决客户快速构建安全合规能力，和多云多区域接入的需求，实现快速交付；通过将安全能力整合在云安全管理平台，进行统一运维管理和数据展现，从而解决客户统一运维管理和日志收集报表展现需求，实现统一安全管理；通过云内部署虚拟化安全实现对云平台内的虚拟机之间进行微隔离，同时可防止恶意软件或脚本在虚拟化网络中横向攻击，保障云工作负载虚拟网络正常使用，通过在平台整合安全组件的网络能力，支持如防火墙、WAF的路由编排和策略下发，从而解决客户的安全联动需求，实现安全能力联动。

奇安信云安全管理平台CSMP具备跨中心调度能力，针对政务云智慧中心和某大型数据中心的分布式数据中心场景，可以帮助实现统一管理、弹性扩展的安全防护体系，以满足不同分中心的个性化安全需求，以及安全统一管理运营的需求。其中智慧中心部署5台物理机承载云安全资源池，某大型数据中心部署3台物理机构建云安全资源池。

根据云计算业务应用场景及行业属性区别，合规要求需考虑的相关准则包括：国家网络安全法、等级保护第三级要求、云计算服务安全指南及安全能力要求、政府门户网站相关安全要求、互联网+政务服务相关要求等。

为政务云客户提供专业的安全合规服务，协助各角色在不同阶段、针对不同技术活动参照相应的标准规范开展安全建设和整改指导、定期开展网络安全情况及能力建设情况检查。

其次是建立多层级的租户体系，实现授权集中管理、便捷计费。

奇安信云安全管理平台CSMP提供可运营的安全即服务的平台，支持按需充值许可的方式，云服务运营商可以随时自由地扩容各种安全组件的授权数量，并向云租户提供计费的安全服务，同时，CSMP支持多租户模式和云平台进行租户信息同步功能。管理员可以在云安全管理平台本地创建多个租户，并添加多个子账号。

在授权集中管理方面，通过总体授权池，集中管控授权时长及数量；支持联合运营模式租户授权相互独立。

在授权模式方面，支持时长、时限、通用授权、组件授权等多种丰富的授权模式；同时还支持组件单步长扩容。

在计费方面，云服务商通过CSMP内置转换模板，便捷向云租户提供计费安全服务。同时，CSMP还支持自定义报表功能，它内置丰富的账单和报表，持续跟踪云安全服务成本，优化授权使用模式。

最后是打造云上威胁检测与响应体系，实现云上安全运营的全局、闭环式运营。

奇安信云安全运营中心CSC通过事前的资产梳理、资产风险识别，事中的高级威胁检测，事后的追踪溯源，提供云上安全运营的全局视角。CSC能无死角发现云数据中心内部的安全风险和高级威胁入侵行为，提升安全运营效率。解决云上资产信息滞后、云内威胁不可见、安全事件响应不及时的问题。

在资产精细化运营方面，通过细粒度自动和手动采集云上3大类资产，12类细项指纹信息，云上资产管理无死角。

在风险&威胁自动化发现方面，主动、精准发现资产存在的各类风险，如漏洞、暴露端口、弱口令、不合规配置等，提供业务维度的资产风险评估，持续监测分析流量和资产信息，及时发现潜在风险和威胁。

在攻击溯源&快速响应处置方面，以攻击链视角，还原告警事件的来龙去脉，实现完整的威胁事件溯源，并联动云内安全资源池，快速下达处置策略，实现秒级响应。

03

兼顾体系化建设、常态化运营，打造数字政务新样板

总体来看，通过奇安信云安全解决方案，帮助政务云客户建立了云安全建设及运营体系，从而打造了数字政务新样板：

第一，建立云计算等级保护体系，从监管方、服务方、安全服务方等各方面角色，为客户制定云计算安全标准规范体系，协助进行等级保护测评及风险评估，持续开展安全合规性检查及指导工作，构建安全合规及监管管理的体系，完成从被动单点防御到主动全面防御的转变。

第二，建立多租户安全管理体系，为客户解决了云上资产多级管理、安全责任划分问题；实现多云异构管理，客户两个云平台、不同版本，实现跨云安全统管，授权自由调度。

第三，建立云上威胁监控与响应体系，通过对云上全资产、全流量的实时监控分析，实现风险提早发现、威胁快速预警、防护自动化编排的安全运营闭环。

2023年2月，中共中央、国务院印发《数字中国建设整体布局规划》，其中关键之一能力是筑牢可信可控的数字安全屏障，切实维护网络安全。而政务云是政务业务承载的基石，是一体化政务服务的基础，汇集大量政务关键业务数据。随着政务云的业务承载率、数据汇聚率的提升，对政务云的安全需求进一步提高。该特大城市在政务云建设中，走出了一条兼顾体系化建设和常态化运营的安全能力体系提升之路，为同行打造了可以充分借鉴参考的云安全建设标杆示范。