网络无边,安全有界。近年来,常州市坚持问题导向,筑牢技术堤坝,推动网络安全工作由“被动防御”向“主动出击”转变,全面提升网络安全质效,为城市经济社会高质量发展保驾护航。
智慧赋能,提升网络安全监管效能
应对网络安全风险挑战,要防患于未然。常州市通过多年的安全监测实践,不断更新技术,在全省范围内首次构建“1+N”智慧监测新模式,为全市互联网资产撑起“防护伞”。
早在2015年,常州市以政务和公共服务网站及信息系统为重点,长期开展网络安全技术监测。然而,随着互联网的迅猛发展,常州市互联网资产数量陡增,网络安全技术监测遇到了极大挑战,常规监测方式的问题也日益突出。
“常规监测存在监测范围小、技术有局限、带动作用小等情况。一些不在日常监管范围的资产如数据库、监控系统、停车系统、联网打印机等边缘系统也有被入侵和攻击的痕迹。”常州市委网信办相关负责人介绍。
为了弥补监管短板,突破技术瓶颈,常州市对网络安全监管平台全面升级,通过调研各板块、行业和市级责任单位网络安全保障现状,充分了解各系统网络安全服务机构能力水平,多轮次组织专家组论证,建构起“1+N”智慧监测新模式,在常规监测的基础上,增加了随机抽查监测。新模式对全市重点网络资产进行定向监测、对其余一般网络资产进行随机抽检,构建全方位、分层次、立体式资产监管体系。
“交叉验证能保证及时发现有效漏洞。”常州市委网信办相关负责人说。全流程的漏洞风险监管机制,不仅让漏洞监测高效精准,也让各责任单位的绩效考评更加清晰明了,大幅提升了监管效能。
自上线运行以来,平台对常州市党政机关和重要企事业单位20286个网站、系统、应用进行实时网络安全预警监测,累计检测发现、通报网络安全漏洞5833个。
加强管理,把好全生命周期关口
“我们一直在发现漏洞,堵漏洞。”随着网络安全监管工作的深入,常州市委网信办意识到做“救火”的“消防员”不能从根本上解决问题,必须要将审查关口前移。
2020年,常州市率先启动了政务信息化项目网络安全事前、事中、事后合规对标管理,创新开展全生命周期安全管理。2022年,常州市出台《常州市政务信息化项目建设网络安全管理规定》,为政务信息化项目网络安全全生命周期监管提供政策支持。
经过近3年的努力,常州已完成100多个政务信息化项目网络安全前置审查。今年,常州将对2020年经审核项目进行网络安全事后检查。“上线之前,我们会对项目的网络安全设计方案进行审查;上线之后,我们的监管平台随时监测;一段时间后,我们会定期回头审查项目方是否按照前期审查过的方案进行建设。”常州市委网信办相关负责人说。
除了把好审查关,加强供应链安全保障也是关键。常州市组织20多家党政机关系统软件开发单位进行集中约谈,深入剖析各单位在设计开发、运行维护以及整改修改等阶段存在的突出问题,要求各单位提高安全开发意识,从供应链安全角度全面加强系统内生安全水平。
激活数据,建立防护能力评定标准
依托常州市网络安全监管平台,常州市委网信办建立了网络安全漏洞事件月度通报以及威胁预警不定期通报制度,积累了14万条记录、420万个关键字段的网络安全监测数据。如何通过这些基础数据,设计一套统一的度量标尺,对各地各单位网络安全防护能力进行客观公正的评价,成为常州市网络安全工作发展过程中的新问题。
在此形势下,常州市组织本地网络安全企业和在常高等院校,就如何活用“沉睡”的监测数据,进行了多次交流探讨,搭建起网络安全防护能力指数模型,对模型算法和结果进行严谨细致的评估。
“2021年,我们在全市范围内进行互联网基础资产普查,随后建立了覆盖全市的资产数据库,明确各个互联网资产的归属情况。”常州市委网信办相关负责人介绍。为使网络安全防护能力指数模型算法更具科学性,常州市还全面厘清监测数据和各单位之间的对应关系,建立资产动态更新调整机制。
经过反复的科学验证和认真验算,在2021年网络安全宣传周开幕式上,常州市正式发布了全市2020年网络安全防护能力指数报告,对全市、各地区、各行业以及非行业主管单位的防护能力指数进行剖析,对低指数单位提出针对性整改建议。据悉,最新版常州市网络安全防护能力指数报告将于今年网络安全宣传周期间对外发布,新版在白皮书的基础上增加了视频形式,更加直观。
网络安全既是防线也是底线。常州市通过前瞻性思考、全局性谋划、战略性布局,不断实践和探索,蹚出了一条易操作、有效果、可复制的市域网络安全防护新路径,对推动网络安全工作发挥了积极作用。
新江苏·中国江苏网记者 任虹 徐春晖