迈向2.0时代！深度解析四位一体的数字城市安全运营长沙模式

以勒索、挖矿、APT等为代表的新型网络攻击活动的持续活跃，引发了全球每年数以千计的重大网络安全事件，工厂停工、城市停摆的新闻屡见不鲜。数字化的城市正面临着网络安全的重重危机。

目前国际环境日趋复杂，全球产业供应链遭受冲击，网络空间安全面临的形势持续复杂多变。此外，随着数字化、网络化进程加快，城市资产暴露面不断扩大，安全漏洞、数据泄露、网络诈骗等风险持续增加。在此背景下，数字城市建设、运营和治理等方面的工作重心也发生了重大的变化，数字城市网络安全的构建需要满足城市自身数字化转型对网络安全保障的要求。

数字城市网络安全的

五大痛点

面对复杂的数字城市网络安全形势，目前城市网络安全主要存在以下五大痛点：

第一，管理制度不够完善。管理部门之间责任边界模糊，导致管理机构重叠、分散管理严重，网络安全主体责任意识不强，信息化基础资源集约建设部门承担过多的非主体安全责任。

第二，联防联控措施不足。大部分数字城市在应对日趋复杂多变的网络安全攻击形势时，缺乏统一调度，部门联动机制不健全，使整个城市网络安全管理功能难以发挥，对影响城市重要信息系统的网络安全问题处理被动滞后。

第三，监督管理抓手不强。缺乏有效技术手段的监督和评价机制，导致城市网络安全管理工作成绩无法度量，安全决策缺少科学化、精细化的数据支撑。

第四，防御能力参差不齐。缺少网络安全战略方针和规划设计，城市各单位网络安全分散建设，导致城市整体网络安全建设成本高、防御能力参差不齐，在应对各种新型网络攻击时，以城市为整体的安全保障能力不足，安全事件频发。

第五，应急处置力量不足。数字城市安全运营机构兼职现象严重，缺乏实战型、技能型网络安全人才，导致网络安全管理人手不足，大量基础性的工作无法被有效执行。

考虑到上述五大问题，统筹网络安全建设、运营和管理，一定是智慧城市发展的必然要求。2020年，长沙市人民政府与奇安信集团签订合作协议，强强联手合资成立奇安星城网络安全运营服务（长沙）有限公司，主要承接两大工作，一是长沙市新型智慧城市和数字政府网络安全保障，二是国家网络安全产业园区（长沙）城市网络安全运营中心建设运营。

图国家网络安全产业园区（长沙）城市网络安全运营中心

为此，长沙市确立了数字城市网络安全建设的专项行动，包括初步建成全市统一的网络安全运营管理中心，全面汇集网络基础信息资源和网络安全威胁信息，建成网络安全管理平台和监测预警与指挥调度平台、可视化安全态势感知、大数据安全智能分析平台，形成统筹多领域、多层面安全监测、智能分析和应急联动的安全防护体系。建成完善分工负责、协同联动的统一安全管理工作机制，提供多层次、多维度的安全管理和服务保障。

中国开始数字城市建设十多年来，长沙第一个将数字城市网络安全能力和数字城市信息化本身画上了“等号”。

四位一体的数字城市

安全运营新框架

城市网络安全治理应当包含四个角色，

即安全监管部门，主要负责相关城市的统筹协调、安全审查、监督考核，评价改进；

行业主管部门，能够基于行业特性，实施本行业内的网络安全工作统一协调；

政企机构等主体责任部门，需要在满足网络安全政策法规和标准规范的基础上，根据自身特点构建相应网络安全保护平台或措施，并且接受安全监管；

运营中心，通过建立科学的网络安全运营体系和集约化的网络安全运营模式，全面加强城市网络安全保障体系和能力建设和数字化运营。

在此基础上，长沙已经完成了“四位一体”的城市级网络安全运营平台一期建设目标，全面覆盖市、区县（市）两级政务云（数据中心），政务外网接入单位，以及全市教育、医疗、交通、重点企业等685家单位的1300多个重点网站以及2600多个应用系统，大数据集群规模超过60台，部署安全探针122台（套），日均接收各类原始日志数据120亿条，处理网络安全告警近1000万起。

但产品用得越多、规模越来越大，越会带来巨大的工作量。包括长沙在内，湖南调研了三座城市的网络安全运营情况，仅仅告警数量均在百万级别以上。显然，这对于承担数字城市安全运营主体工作的奇安星城而言，是一个非常严峻的考验。

想要最大化发挥安全运营工程师的效能，就需要有一套标准化的工作流程。为此，奇安星城创新实践了安全运营“四化”模式，具体包括：

第一，服务线上化。服务产品、交付物标准化及项目管理线上化，替代以往人工线下维护的方式，保证服务进度和交付物可见，服务记录留痕可追溯，提升运营服务效率和质量。

第二，告警精细化。通过安全编排与自动化响应（SOAR）模块，实现自动化告警分诊， 80%告警平台自动研判，通过降噪和运营标识规则，运营分析效率提升70%，极大提升人员复用能力。

第三，事件流程化。每份报告都需要通过工单审核流转至用户服务平台，让相关单位参与工单流转和处置闭环，提升客户参与度，通过工单归档交付物，将事件闭环时间同步提升了105%。

第四，运营集约化。基于统一的安全运营平台，完成NGSOC、态势感知、云监测及补天告警数据统一接入，一站式对全市685家单位的安全事件进行实时监测运营。

平战结合、攻守兼备

需要注意的是，网络安全的本质是对抗，对抗就是攻防两端的较量，因此针对“平时”和“战时”的特点，奇安星城为长沙量身定做了“平战结合、攻防兼备”的数字城市安全运营能力。平时和战时穿插开展，能够大幅提升真实网络安全攻击的应急处置和安全防护能力。

平时的安全运营工作包括日常的资配漏补和告警的运营和针对既定安全缺陷的专项整治。日常运营主要以云地协同的方式，结合运营分析和基础运营团队7x24小时的持续运营，实现对僵尸资产、漏洞、高危端口暴露和安全事件的动态清零。

安全专项整治则是针对集中突出的安全问题进行精准识别，制定专项的解决方案，联合基础运营和应急响应团队实施定点清除，做到安全隐患的闭环处置，例如弱口令、挖矿木马、勒索病毒、僵尸网络等的专项消除工作。

战时的安全保障主要包括重大活动的网络安全保障工作以及重大网络安全突发事件的应急处置工作。针对重大活动和重要时期，奇安星城打造了成建制的安全重保团队，可随时应对各种类型和规模的网络安全重保任务。

针对突发网络安全事件和重大安全漏洞爆发时，奇安星城能够实现7x24小时的值守，支持全市的网络安全应急响应和溯源。

除了支持长沙市的网络安全运营工作外，奇安星城还利用自身白帽子在漏洞挖掘方面的优势，向上级主管单位报送了超过三百个原创漏洞，对消除相应安全隐患做出了积极的贡献。

迈向数字城市

安全运营2.0时代

截至目前，奇安星城已持续运营一年零八个月。一年多来，数字城市安全运营的场景聚焦于互联网出口、云数据中心、网站等网络流量，主要以监测、预警、分析、研判和督促整改为主，同时帮助长沙各级政府、企事业单位制定一些相应的网络安全规章制度、管理办法。但是随着国家十四五信息化的重大工程逐渐深入，安全运营场景也在不断发生变化，现有的以网络安全监测为核心的城市安全运营1.0，需要逐渐迈入2.0时代，把安全工作深入地切入到各行各业的信息化的业务当中去，着力深化业务安全防护能力。

2.0时代是以数据安全作为驱动，把数据整体切入到业务应用当中，所有运营工作都需要以智能化城市安全中枢平台作为基础。

恰在此时，奇安信正式发布了“星城-城市网络安全运营平台2.0”，能够基于安全中台安全网关，构建起覆盖整个城市的安全中枢网络，基于分布式的系统架构和奇安信自研的大数据相关技术，完成城市级海量数据的实时计算和分析。

基于星城2.0，长沙数字城市网络安全运营2.0时代的工作将进一步贴合国家“十四五”信息化规划的重点业务改革方向，重点深化以下四个业务场景下的网络安全：

第一是保障高效协同的数字政府，确保政务数据共享流通安全，保障“一网通办”、“跨城联办”、“一网统管”等业务安全；

第二是服务共享共治的数字社会，保障基于数据的“应急管理”、“社会治理”、“新型智慧城市”的安全；

第三是保障普惠便捷的数字民生，保障 “一卡通”、 “数字医疗”、“数字教育”、“数字文旅”、“数字社保”等公共服务安全；

第四是服务数字化转型的数字经济，深化工业互联网、车联网、5G创新发展的安全保障。