1、政務安全托管服務（GMSS）實踐指南（2024）編寫單位：深信服科技股份有限公司指導單位：國家信息中心等2024年10月 前言習近平總書記指出：安全是發展的前提，發展是安全的保障，安全和發展要同步推進。當下，國內正在進行深入的全面的數字化轉型，政務網絡安全對我國的數字化建設和經濟發展具有重要保障作用。近年來，我國多部網絡安全法律法規均提出加強監測預警和應急處置機制建設，其中國務院關于加強數字政府建設的指導意見（國發202214 號）明確提出構建數字政府全方位安全保障體系，建立健全動態監控、主動防御、協同響應的數字政府安全技術保障體系。充分運用主動監測、智能感知、威脅預測等安全技術，強化日常監測

2、、通報預警、應急處置，拓展網絡安全態勢感知監測范圍，加強大規模網絡安全事件、網絡泄密事件預警和發現能力。為進一步做好新時代數字政府網絡安全保障工作，國家信息中心和深信服共同設計和開發了面向政務網絡、政府用戶的安全托管服務。政務安全托管服務聚焦數字政務網絡安全工作場景及需求，以保障風險管控效果為目標，以“人機共智”模式為手段，以7*24小時持續在線守護為主線，以“資產、脆弱性、威脅、事件”四個核心安全風險要素為抓手，提升組織安全風險管控能力和安全工作效果。本書對政務安全托管服務的整體實踐情況進行介紹，從發展背景、服務特點、體系架構、服務內容、主要服務場景、價值與優勢、合規建設情況、服務運營詳情、

3、應用案例等不同方面對政務安全托管服務（GMSS）進行剖析，為數字政府網絡安全托管服務建設工作的開展提供全方位的實踐參考。版權聲明本指南版權屬于深信服科技股份有限公司，并受法律保護。轉載、摘編或以其他方式使用指南文字或觀點的，均應注明“來源：政務安全托管服務（GMSS）實踐指南”。違反以上聲明者，深信服科技股份有限公司將保留追究其相關法律責任的權利。本指南編寫過程中得到以下單位的專業指導與鼎力協助，致以誠摯感謝（排名不分先后）。指導單位國家信息中心內蒙古自治區大數據中心江西省信息中心江蘇省大數據管理中心山東省大數據局重慶市人民政府電子政務中心湖南省政務服務和大數據中心東莞市政務服務和數據管理局臺

4、州市大數據發展中心煙臺市大數據中心珠海市政務服務和數據管理局編寫單位深信服科技股份有限公司目錄政務安全托管服務概述服務特點服務架構服務場景服務內容服務優勢政務安全托管服務執行準則資產識別梳理首次安全評估安全問題處置脆弱性管理安全威脅管理事件管理閉環安全情報通告安全總結復盤政務安全托管服務內容要素服務技術服務團隊服務流程01010405070811111213141516191920202627政務安全托管服務實踐效果兩周年實踐總結AI大模型賦能服務合規能力政務安全托管服務實踐案例內蒙古自治區大數據中心一體化安全運營場景江蘇省大數據管理中心持續有效監管合規場景江西省信息中心日常網絡安全托管運營保

5、障場景珠海市政務服務和數據管理局安全效果提升場景煙臺市大數據中心政務云、網一體化運營場景東莞市政務服務和數據管理局一體化托管場景臺州市大數據發展中心安全托管擴展能力場景某省級大數據中心7*24小時安全托管保障場景某地市自然資源局勒索病毒預防與響應場景某市市場監督管理局重要時期安全保障場景292936414242434547495153545660政務安全托管服務概述MSS（Managed Security Services，安全托管服務）理念由 Gartner 于 1999 年開始提出，當時，組織面臨的安全威脅越來越多，但是缺乏足夠的安全人員和技術來應對這些威脅。Gartner 認為，將安全管

6、理外包給專業的安全服務提供商，可以幫助組織降低安全風險，提高安全性能，并節省安全管理成本?，F如今，伴隨著云計算技術的高速發展及應用，越來越多的組織將其業務遷移到云端，各綜合型網絡安全廠商通過其全球化的安全運營中心，為諸多用戶提供 7*24 小時不停歇的遠程網絡安全托管服務。根據Gartner和IDC的相關研究報告，安全托管服務已在國內外市場得到用戶廣泛的認可與接受。近年來，國家信息中心（國家電子政務外網管理中心）先后印發了關于加快推進全國政務外網安全監測平臺建設工作的通知（政務外網20201 號）和關于加快全國政務外網安全監測平臺對接工作的通知（政務外網20224 號），推動全國政務外網建設和

7、運行維護單位提升和完善網絡安全監測預警和應急處置能力，逐步實現跨地區、跨層級的安全監測數據共享和業務協同，形成全國政務網絡安全態勢感知一張網。政務安全托管服務(以下簡稱“政務 MSS”或“GMSS”)在標準 MSS 服務基礎上，充分利用政務外網建設的網絡安全監測基礎設施，針對國內數字政府行業網絡安全需求和特點，通過提供集約化服務方式有效解決了數字政府行業缺少專業安全技術人員、資金資源投入不足導致無法開展常態化安全保障的困難，為用戶提供持續、有效、省心、便捷的安全托管服務。政務安全托管服務的服務對象是所有的數字政府單位用戶。各級政府單位經過了多年的安全建設，安全能力與效果已經取得了豐富的成果和較

8、大的進步。但是，由于網絡空間的形勢惡化、攻擊威脅的手段升級以及傳統建設方式固有存在的局限性，在當前的實際安全工作中，政府單位安全部門仍然面臨諸多實際安全問題難以得到妥善解決，主要包括：服務特點聚焦政務用戶需求安全人員不足壓力大，疲于應對事務性工作，缺少持續監控和預防能力，被動響應導致風險和威脅攻擊擴散；資產類型復雜漏洞修復困難，漏洞修復不及時導致被利用攻擊，被通報。風險消除不及時海量日志分析困難，難以區分驗證日志中的威脅，導致定位不準確，處置無法有效應對；靜態安全策略無效，設備策略無法隨著業務變化和攻擊態勢，動態更新維護。設備效果難發揮救火隊式處置安全事件，缺乏有效安全運營流程機制；缺少高階人

9、才，難以應對復雜事件處置，難以真正閉環安全事件。事件閉環處置慢01政務安全托管服務（GMSS）實踐指南（2024）多項價值服務交付重要活動期間、攻防演練期間的安全投入更大，時效性要求更高，應戰能力平時、戰時不對等，所需資源無法得到充分保障，導致戰時效果檢驗不達預期；而戰時能力未能有效轉化賦能到日常運營中，效果難以常態化。戰時保障缺資源除了提供典型政務安全托管服務的內容之外，政務安全托管服務在國家信息中心的相關團隊和經驗沉淀的賦能下，還針對行業化特征提供了定制化、有針對性、效果更好的安全托管服務能力。每周通訊國家信息中心每周發布的 電子政務網絡安全通訊，集中整理政府單位所關注的安全政策與要求、專

10、家觀點、地方實踐、威脅情報、行業安全態勢、典型安全事件、安全建設經驗等重要信息，借助云化托管服務，將全面的安全信息快速下發到更多用戶。威脅情報依據國家信息中心來源更廣、實時性更高、內容覆蓋更全面的威脅情報機制，為廣大政府單位提供更具行業化的威脅情報，提前預防針對政府行業的攻擊和脆弱性分析，并通過安全托管服務的云化運營機制，在整個政務網絡進行快速同步，讓更多用戶快速提升預防的能力。T3 團隊專家國家信息中心高級安全專家作為政務安全托管服務中 T3 團隊 的補充，借助對政務網絡和業務系統的豐富經驗，直接與客戶溝通，提供咨詢建議，強化 GMSS 的高階安全專家能力，提升安全托管服務的威脅檢測與響應的

11、整體效果。安全培訓國家信息中心憑借資源整合和組織優勢，定期組織全國政府單位各省市級負責政務網絡的主管領導、安全管理人員開展網絡安全培訓，有助于進一步強化網絡安全意識，深化安全形勢認識，了解安全技術發展趨勢，提升技術對抗能力，構建更強的數字政府網絡安全保障體系。如國家信息中心信息與網絡安全部主辦、深信服提供授課支持的國家電子政務外網信息與網絡安全系列培訓，與用戶共同交流安全治理實踐經驗和前沿探索，探討網絡安全面臨的問題與應對方案，對強化數字政務安全管理責任，提升網絡安全保障能力起到積極指導作用。參考 IT 服務團隊梯度建設標準，政務 MSS 組建了三個級別的專家團隊，分別為 T1/T2/T3 團

12、隊，其中 T3 團隊的能力最強、經驗最豐富，負責疑難問題處置、應急響應、威脅狩獵和攻防技術研究等工作。02政務安全托管服務（GMSS）實踐指南（2024）圖 1-1 2023 年國家電子政務外網信息與網絡安全培訓（第三期）圖 1-2 2024 年國家電子政務外網信息與網絡安全培訓（第一期）03政務安全托管服務（GMSS）實踐指南（2024）GMSS 服務以網絡安全“持續有效”為目標，圍繞資產、漏洞、威脅、事件四個風險要素，通過行業云端安全運營平臺和安全專家團隊有效協同的“云地協同”模式，提升組織安全風險管控能力和安全工作效果，為用戶提供持續、有效、省心、便捷的安全托管服務，一同構建 7*24

13、小時持續守護、有效預防和主動閉環的體系化安全運營能力。圖 1-3 政務安全托管服務（GMSS）架構GMSS 安全能力中臺為服務周期內各類安全風險檢測、分析、調查、響應等工作提供能力支撐，通過網絡側、終端側等安全組件將關鍵安全數據聚合在云端，通過多維數據協同，深度精準挖掘風險事件，利用云端專家服務提供威脅分析、調查、響應及能力賦能。GMSS 安全托管服務平臺 MSSP 為全服務周期內各項服務工作提供支撐，通過不斷對服務流程、專家經驗沉淀固化，結合知識庫、工單、報告等系統，規范和提升整體安全托管服務質量及體驗。服務平臺GMSS 服務組件主要包含平臺類（如態勢感知平臺、擴展檢測與響應平臺）、流量采集

14、類（如威脅流量探針）、邊界防護類（如防火墻）、終端安全管理類（如終端安全管理系統）等。用戶在接入使用 GMSS 服務時，需要以服務組件作為接入點，通過政務外網進行安全日志數據傳輸，保障數據安全。服務組件政務安全托管服務(GMSS)人機共智VIP 微信服務群7x24H 值守常態化安全運營實戰攻防保障組建團隊項目啟動會項目成果匯報安全運營指導組件實施資產管理服務上線威脅管理資產梳理脆弱性管理首次分析事件管理首次處置服務匯報服務經理云端分析師威脅挖掘專家應急響應專家本地項目經理本地安全服務工程師重要時期保障勒索預防與響應等保合規運營重大事件：20 分鐘內響應高危威脅:閉環率 100%高?？衫寐┒?

15、閉環率 100%最新漏洞預警與響應：通告時間 8H專屬用戶 Portal郵件/短信/電話溝通專屬服務報告線上/線下匯報服務權益服務承諾服務場景服務流程服務團隊服務平臺服務組件勤于對抗終于效果持續保障質量保障機制問題跟蹤管理服務 SLA 監控滿意度調研質量管理團隊安全運營服務平臺工單系統知識庫報告中心專家管理工具中心重保中心AFSIPaESSTATSS安全能力中臺數據湖數據治理威脅感知威脅情報SOAR監控中心云地協同項目啟動總結匯報運營準備持續運營服務交付體系服務質量服務架構GMSS 服務團隊包含了安全運營中心服務團隊及本地服務團隊，其中安全運營中心團隊分為應急響應中心、攻防實驗室、培訓中心和服

16、務交付團隊。服務團隊04政務安全托管服務（GMSS）實踐指南（2024）圖 1-4 GMSS 服務流程圖 1-5 GMSS 常態化安全保障場景架構圖GMSS 服務主要通過項目啟動、運營準備、持續運營、總結復盤等 4 個階段流程組成，其中每個階段均由多個子服務流程組成，如持續運營階段由資產管理、脆弱性管理、威脅管理、事件管理和匯報服務等子流程構成。服務流程針對重點托管的業務資產，GMSS 服務可以幫助用戶從紛繁復雜的安全瑣事中解放出來，將用戶最常見的安全保障工作進行承接，比如新系統上線的評估，日常的安全策略有效性評估和調優，漏洞、暴露面的定期梳理和跟蹤解決，安全事件的持續監測與響應，協助應對上級

17、單位的通告，針對通報內容進行自查、整改，定期向領導匯報安全工作成果，以及夜間/周末的值守等等；通過安全托管服務平臺，將上述常態化安全運營保障工作進行流程編排，確保云端安全服務專家能夠及時、規范地開展安全運營保障工作，真正實現 7*24 小時的持續守護。常態化安全保障場景應用常態化安全保障場景應用實施方案和項目計劃項目啟動會服務信息授權組件上線服務啟動資產梳理首次分析及處置資產管理脆弱性管理威脅管理事件管理安全情報通告服務情況復盤項目成果匯報安全運營指導安全提升建議項目啟動運營準備持續運營總結復盤新系統上線脆弱性資產威脅事件7*24H 的 不 間 斷 守護,提供持續預防、檢測、響應保障專業團隊/

18、工具評估日常運營專人定時巡檢,策略持續調優周末/夜間持續值守暴露面/弱口令定期梳理跟蹤安全事件專家 24 小時通告分析應急團隊隨時待命處置上級通告通告漏洞協助自查、閉環安全工作協助解讀、落地安全匯報定期安全匯報，快速掌握安全狀態專業經驗,協助安全工作機制建立服務場景05政務安全托管服務（GMSS）實踐指南（2024）圖 1-6 GMSS 勒索預防與響應場景架構圖圖 1-7 GMSS 重要時期（節假日）保障場景架構圖GMSS 服務在國內首創的勒索預防與響應服務疊加勒索保險的模式，為用戶有效應對勒索提供了雙重保障。在 GMSS 服務平臺上，首創了勒索風險預防庫，將歷史上所有可能被用于勒索攻擊的風險

19、進行了梳理和匯總，最終形成了勒索風險專項排查 checklist，云端安全專家可以定期調用這個風險排查工具，幫助用戶進行勒索風險隱患的摸底，并協助進行全面加固；做到事前的預防。同時，還借助 GMSS 服務平臺和專家 7*24 小時的值守，實現對勒索行為的全天候監測，一旦發現及時快速進行閉環處置，實現事中事后的保障。同時，這套方案還可以和托管云災備方案進行聯動，實現對勒索加密數據的快速恢復。勒索預防與響應場景應用勒索預防與響應場景應用重要時期（節假日)保障場景應用針對重要時期保障場景，GMSS 服務提供一站式的值守保障方案。包括了值守前的風險排查和加固，值守期間的 7*24 小時保障，每日匯報以

20、及值守后的總結匯報。此場景支持靈活擴展，根據用戶的需求進行不同服務項目的搭配，比如增配紅隊檢測、攻防演練等高階項目，以便更好地滿足不同用戶的保障目標。重要時期（節假日、重要活動、實戰攻防）保障場景應用勒索風險排查 全面 IT 資產梳理 勒索病毒 Checklist 庫 勒索殘留項檢測隱患全面加固 勒索風險消除 設備策略調優勒索行為監控 勒索攻擊實時對抗基于ATT&CK的病毒行為檢測 勒索情報動態預防 云端專家實時推動告警勒索快速閉環 基于 SOAR 的主動響應 人機共智不間斷動態清零勒索保險 勒索攻擊專項保險兜底值守前加固安全風險排查重保策略加固持續告警監控專家分析通告深度挖掘分析快速應急響應

21、安全風險快報當日值守匯報全面總結匯報安全規劃建議7*24H值守保障每日匯報值守總結06政務安全托管服務（GMSS）實踐指南（2024）圖 1-8 政務安全托管服務（GMSS）7*24 小時真守護機制通過召之即來的服務效率、來之即戰的堅實能力，讓安全工作更簡潔、更有效；同時基于安全托管服務的模式，與政府單位協同作戰，提供更專業的技術支撐與指導，分擔工作內容，讓政府單位人員更好地聚焦于高價值的安全建設規劃、數據安全和數字政府建設優化等工作。一是保障政務工作人員將更多精力投入到數字政府建設及管理之中通過安全能力全面、優質、專業、經濟的專家服務團隊，采取 8 小時*3 班運轉機制不間斷開展監控、分析、

22、診斷、應急工作，有效降低安全應用成本，補齊工作人員精力有限、能力單一、工作面窄、交接班不能無損承接工作等風險短板，覆蓋夜間、節假日期間的防守薄弱時段，補充攻防演練期間所需的人力和資源投入，確保安全效果持續在線。二是 7*24 小時真守護應對海量告警信息，通過 AI 應用+人工確認達到分鐘級效率和 99.99%準確率，讓安全預警工作實時有效開展，真正有效預防各類安全風險/威脅。三是有效預防GMSS 服務依托電子政務外網，面向各級接入單位提供全天候 24 小時不間斷的威脅監測、事件閉環、安全運營的安全服務，能夠快速有效、經濟便捷地幫助各級數字政府單位快速建立健全安全監測預警防護體系，對抗各類網絡信

23、息安全威脅，服務保障內容主要包括如下：放心的效果安心的效率主動閉環處置閉環率 100%有效預防研判準確率99.99%7X24小時真守護20:00-22:0022:00-24:0024:00-02:0002:00-04:0004:00-06:00 06:00-08:00 08:00-10:0010:00-12:0012:00-14:0014:00-16:0016:00-18:0018:00-20:00流程成熟 使用可靠防止依靠 個人能力專家團隊 降低成本政務安全托管服務（GMSS)7*24 小時真守護機制實戰標準 持續對抗承諾SLA 確保效果白班夜班無損對接服務內容07政務安全托管服務（GMSS

24、）實踐指南（2024）表 1 政務安全托管服務（GMSS）內容服務能力更優通過累積服務 5000 余家各類客戶的形成的實戰應用 UseCase，充分利用 SOAR 自動化編排處置+AI 等技術能力，高效輔助安全處置人員，將安全風險/威脅 100%處置閉環，形成動態清零機制，有效面對各類真實攻擊威脅。詳細的服務內容如下表：相較于其他的自建自運營或傳統的駐場服務等建設方式，GMSS 服務具有以下優勢：GMSS 服務運營中心基于“人機共智”模式，首家應用了高度先進 AI 技術的自動化平臺，使用“產品+平臺+專家”的模式為政務外網提供專業的安全托管服務，確保安全托管服務的用戶可隨時隨地享受到安全專家團

25、隊的服務，并設置有監控大屏、分析大屏、通報預警大屏。四是主動閉環運營平臺更先進服務項服務上線安全現狀評估安全問題處置資產管理脆弱性管理威脅管理事件管理7*24H 專家服務運營成果可視服務細項組件部署與接入、資產的收集與錄入策略檢查、脆弱性評估、暴露面梳理、失陷類事件評估、攻擊行為評估安全策略調優、脆弱性問題修復指導、失陷類事件處置、攻擊行為處置資產指紋探測、資產變更管理專屬服務經理、實時專家咨詢、節假日值守漏洞掃描與驗證、漏洞修復優先級排序、可落地的修復方案、高可利用漏洞防護、漏洞復測與狀態追蹤、弱口令分析與管理7*24H 威脅鑒定與通告、威脅分析與處置、威脅情報管理、高級威脅狩獵、安全策略檢

26、查、安全策略調優安全運營周報、安全運營月報、安全運營季度匯報、安全運營半年度匯報、安全運營年度匯報、可視化 portal安全事件調查與分析、安全事件處置與閉環、重大事件應急響應威脅檢測能力通過每年萬億級日志分析，沉淀了 2000+真實安全用例，能幫助用戶過濾 96%的無效設備告警，同時支持安全服務專家針對單個客戶進行個性化的 UseCase 開發，最終提供更精準的檢測能力。應急響應能力基于業內首個事件調查和處置庫（工具和知識沉淀）、隨時可聯系上經驗豐富的 600+云端安全專家資源，處置有效攻擊事件超過 10 萬次，日均響應用戶次數超過 1000 次，不斷沉淀服務經驗，并持續固化到服務平臺，實現

27、服務能力的持續進化。服務優勢08政務安全托管服務（GMSS）實踐指南（2024）服務體驗更佳服務效果更好風險預防效果更好擁有業內首創的風險預防庫，以勒索預防為例，GMSS 服務全面梳理了可能導致被勒索的漏洞、弱密碼、暴露面、內網橫向爆破、防火墻防御策略等方面的隱患，形成最全的 checklist 及檢測工具集成到平臺?；谧罴褜嵺`的安全策略檢查及調優：通過安全專家團隊在實戰攻防和日常運營過程中的積累，沉淀出防火墻防御策略最佳實踐集成到平臺知識庫，安全專家隨時調用幫助客戶檢查安全策略有效性，并基于檢查結果協助客戶做安全策略調優。行業化服務經驗和能力更強服務人員長期僅服務于政府行業單位用戶，對行業

28、常見的安全風險及其處置方案有更豐富的積累，因此，可有針對性地解決數字政府單位在安全建設過程中的痛點問題，如缺乏專業的安全人員、難以 7*24H 應對 APT 攻擊、處置無法閉環導致病毒反復感染等問題。應急響應速度更快高階安全專家 7*24 小時在線守護，分鐘級的事件發現和響應，事件準確率 99.99%,重大事件發現時間小于 30 分鐘。事件閉環率更優云上專家協同本地線下工程師，確保重大事件的 100%閉環。專屬服務經理，主動服務，讓客戶省心。每個客戶都會配備專屬服務經理，懂客戶的業務、網絡環境、客戶內部的事件處理的流程等，提供主動服務，讓客戶省心。節假日持續守護。節假日期間，服務不間斷，提供每

29、日安全報告，讓客戶能夠隨時了解安全態勢，讓客戶安心。服務過程和結果可視，讓客戶放心。服務過程中服務經理會與客戶實時溝通和反饋，項目經理會定期上門匯報，服務結果直觀展示在用戶portal 頁面。09政務安全托管服務（GMSS）實踐指南（2024）圖 1-9 GMSS 服務監控大屏(示例)傳統安全服務通常存在服務過程不可視的問題，作為服務購買方來說，無法實時掌握第三方服務過程，導致服務效果無法把控。為了解決以上問題，GMSS 服務使用服務監控大屏使得整個服務過程可視化，讓服務購買方及時了解服務過程中的各個階段以評估服務效果。同時，GMSS 服務自主研發了專家服務監督和質量保證機制及功能模塊，便于用

30、戶對線上安全專家的服務進行全面監控，保障服務的及時性以及有效性。服務全程可視化GMSS 服務可將服務的安全效果進行量化，形成服務水平協議 SLA，對用戶進行鄭重承諾，確保用戶對方案的信心與信任。同時 SLA 支持寫進服務合同，具備更高效力，可讓用戶的安全建設效果更加省心安心，具體的 SLA 示例如下：敢承諾的安全效果重大事件分析研判到通告：30 分鐘威脅/事件準確率 99%高?？衫寐┒撮]環率 99%安全事件閉環率 100%重大事故工作時間 15 分鐘響應，非工作時間 30 分鐘響應10政務安全托管服務（GMSS）實踐指南（2024）政務安全托管服務執行準則資產是風險管理中的基礎部分，只有管理

31、好資產才能更有針對性地控制安全風險。資產管理服務提供資產識別、錄入以及資產全生命周期的追蹤管理，為用戶清晰掌握單位資產信息，減少僵尸資產以及安全暴露面。通過在網絡中部署資產探測工具，并按照一定的安全策略進行探測，并主動上報到云端觸發相關流程，具體準則如下：資產識別梳理進行資產探測工具的部署，并設置相關策略；組件部署資產探測工具主動發現資產，配合服務人員首次全面梳理資產，形成資產臺賬，并錄入 GMSS 服務平臺；資產梳理發現資產變更或可用性問題，觸發服務工單與流程，通知用戶，并更新資產信息；觸發流程根據設置策略，周期性探測錄入資產可用性以及資產臺賬變更狀態（設備指紋級別）；同時主動發現是否有新增

32、資產；變更探測GMSS 服務人員維護線上的資產臺賬，與用戶溝通確認資產重要性、責任人等信息，并核對資產指紋準確性，提供及時更新、高度可信的資產信息。維護臺賬11政務安全托管服務（GMSS）實踐指南（2024）首次安全評估從脆弱性評估、病毒類事件評估、攻擊行為評估、失陷類事件評估等方面對現有安全問題以及安全狀況進行客觀評估。脆弱性評估病毒類事件評估系統與 Web 漏洞掃描對操作系統、數據庫、常見應用/協議、Web 通用漏洞與常規漏洞進行漏洞掃描。弱口令掃描實現信息化資產不同應用弱口令猜解檢測，如 SMB、Mssql、Mysql、Oracle、smtp、VNC、ftp、telnet、ssh、mys

33、ql、tomcat 等?；€配置核查檢查支撐信息化業務的主機操作系統、數據庫、中間件的安全基線配置情況，確保達到相應的安全防護要求。如賬號和口令管理、認證、授權策略、網絡與服務、進程和啟動、文件系統權限、訪問控制等配置情況。服務專家分析判斷主機是否感染勒索病毒文件；根據已發生的漏洞攻擊行為分析判斷是否存在勒索病毒攻擊等。勒索病毒事件分析挖礦病毒事件分析蠕蟲病毒事件服務專家分析判斷主機是否感染了挖礦病毒/木馬；是否處于挖礦狀態；根據已發生的漏洞攻擊行為分析判斷是否存在以植入挖礦木馬為目的的漏洞攻擊等。服務專家確認文件是否被感染，定位失陷的代碼?；诠ぞ邫z測和人工研判，針對漏洞利用攻擊行為、Web

34、shell 上傳行為、Web 系統目錄遍歷攻擊行為、SQL 注入攻擊行為、信息泄露攻擊行為、口令暴力破解攻擊行為、僵尸網絡攻擊行為、系統命令注入攻擊行為及僵尸網絡攻擊行為等常見的攻擊進行分析評估，判斷攻擊行為是否成功以及業務風險點。攻擊行為評估12政務安全托管服務（GMSS）實踐指南（2024）安全問題處置失陷類事件評估服務專家對失陷主機進行分析研判（如后門腳本類事件），并給出修復建議。失陷主機分析服務專家分析內網主機的非法外聯威脅行為，判斷是否存在潛伏威脅，如對外攻擊、C&C 通道、隱藏外聯通道等外聯威脅行為，并給出解決建議。潛伏威脅分析對首次評估發現的安全問題進行處置。針對脆弱性，服務專家

35、分析研判后提供實際佐證材料，并給出修復建議。脆弱性問題處置針對病毒類事件，服務專家提供病毒處置工具，提供實際可行的處置措施和建議，協助用戶進行病毒查殺。病毒類事件處置針對分析研判確認的入侵行為，服務專家給出策略調整建議，協助進行安全策略調優。入侵攻擊行為處置針對勒索、挖礦類事件，服務專家主導處置工作，并進行最大程度溯源；定位惡意文件路徑并提供查殺指導；并分析有無異常進程與服務，發現異常及時通知用戶，并協助處置。針對后門腳本類事件，服務專家主導處置工作，提供專殺工具對感染服務器進行全面后門腳本查殺，并進行最大程度溯源。針對隱藏通信通道、可疑外發行為，服務專家提供實際佐證材料，進行最大范圍溯源，并

36、給出修復建議；配合定位異常進程以及惡意文件，并提供查殺建議。失陷類事件處置13政務安全托管服務（GMSS）實踐指南（2024）脆弱性管理利用脆弱性掃描工具掃描網絡中的核心服務器、重要的網絡設備以及 Web 業務系統，包括服務器、交換機、防火墻等，以對網絡設備進行脆弱性問題檢測和分析，對識別出的能被入侵者用來非法進入網絡或者非法獲取信息資產的脆弱性，并將脆弱性信息與業務資產信息通過 GMSS 服務平臺上的脆弱性管理模塊進行統一關聯、展示與追蹤，使得服務人員可以有效地追蹤業務資產脆弱性全生命周期，實現脆弱性問題的可視、可控和可管。圖 2-1 脆弱性管理執行準則框架跟蹤處置價值展示重要性排序識別與評

37、估脆弱性管理通過在網絡中部署脆弱性掃描工具，按照一定的安全策略進行掃描，并主動上報到云端觸發相關流程，具體執行準則如下：組件部署設置定時定期對內網主機、系統進行安全脆弱性掃描，掃描結果同步至 GMSS 服務平臺。修復方案服務專家提供處置建議及方案，通知用戶相關的處理人員。跟蹤復測服務人員通過工單系統跟蹤修復進展，按照脆弱性復測流程，確認脆弱性是否得到成功修復。脆弱性識別與分析服務專家對漏洞工單進行確認，對脆弱性進行識別、分析和評估，并結合漏洞危害、資產價值和利用難度等信息對脆弱性進行優先級排序。安全加固一般由用戶自行進行修復和加固。對于高?？衫寐┒?，可結合安全組件的策略規則進行防護。必要時線

38、上 GMSS 服務人員下發工單，協調本地服務人員進行現場處理，并同步處理結果到 GMSS 服務平臺。14政務安全托管服務（GMSS）實踐指南（2024）安全威脅管理基于“人機共智”模式，綜合運用資深行業專家經驗和豐富的威脅情報知識庫，對不同安全組件設備的安全日志、流量進行聚合、關聯分析，并通過資深專家池對安全威脅的專業分析及定位，幫助客戶精準檢測網絡和主機中的有效安全告警/威脅。同時，GMSS 服務專家團隊會對識別到的威脅進行主動響應，采取措施降低威脅可能造成的影響，協助客戶閉環處置安全威脅，并且通過對安全威脅的趨勢分析，提供長期的安全改進建議。圖 2-2 威脅管理執行準則框架深度分析精準定位

39、威脅持續監測與主動狩獵安全應用場景設計（use case）高效閉環及加固價值展示威脅管理通過在網絡中部署網絡側、終端側的安全組件，并按照一定的安全策略收集安全日志，匯聚同步到云端GMSS，觸發相關流程，具體執行準則如下：組件部署服務組件部署，并將安全日志對接到 GMSS 安全運營中心。持續監測GMSS 服務平臺借助預設的安全用例（UseCase）進行 7*24 小時不間斷的初步分析，并自動化生成威脅告警和事件工單。分析研判服務專家對告警、事件工單進行分析研判與鑒定，并按照安全事件指導手冊和響應劇本，提供處置建議，并通知用戶相關人員。問題處置服務人員對問題進行處置，并將處置結果同步到 GMSS

40、平臺，更新安全威脅處置狀態。策略檢查服務專家對安全組件的安全策略進行統一檢查，確保安全防護策略始終處于最優水平，動態化地針對各種常見威脅進行有效防護。策略調優服務專家根據安全威脅/事件分析的結果以及處置方式，按需對安全組件的策略進行調整。15政務安全托管服務（GMSS）實踐指南（2024）事件管理閉環對識別到的安全事件進行專業定位、及時響應、全面調查和最終閉環，同時建立安全事件的全生命周期管理，形成安全事件處置知識庫，不斷提升安全事件響應閉環能力。具體執行準則如下：圖 2-3 事件管理流程執行準則示例服務專家 7*24H 在線服務，針對發生的安全事件開展調查分析和影響面分析，進行人工鑒定和舉證

41、。安全事件調查與分析協助用戶快速恢復業務，消除或減輕影響，閉環事件工單。安全事件處置與閉環GMSS服務平臺發現事件服務人員主動識別病毒自動生成工單分派工單安全分析師分析安全事件優先級排序升級服務專家遠程處置本地安全服務工程師遠程/現場處置專家組深度溯源分析與響應報告輸出服務人員進行問題復核處理完成歸檔PlayBook和UseCase排查受影響資產，利用工具和腳本對惡意文件、代碼進行根除。入侵威脅清除通過事件檢測分析，通過快速抑制手段降低入侵影響，協助快速恢復業務。事件影響抑制結合現有安全防御體系，提供整改建議、指導用戶進行安全加固，防止事件再次發生。加固建議指導基于 GMSS 平臺和工具，還原

42、攻擊路徑，分析入侵事件原因以及網絡、主機中的風險點，提供安全事件溯源結果。入侵原因調查分析16政務安全托管服務（GMSS）實踐指南（2024）閉環是事件管理中關鍵的能力要求。其中，統一的閉環執行標準可規范服務人員的閉環操作執行，通過平臺管控，可將所有安全事件和對應的閉環標準匹配明確，讓閉環效果衡量更有依據。GMSS 服務閉環執行流程，讓服務過程更規范，確保事件真閉環處置，安全效果充分達成。圖 2-4 GMSS 服務事件閉環執行標準閉環標準閉環標準更清晰，效果衡量有依據，事件全覆蓋網絡攻擊病毒木馬脆弱性設備類攻擊成功抑制抑制抑制抑制抑制抑制抑制調查調查調查調查調查調查調查溯源溯源溯源溯源溯源溯源

43、溯源處置處置處置處置處置處置處置加固加固加固加固加固加固加固攻擊失敗感染型病毒非感染型病毒漏洞弱口令加固杜絕問題再次發生處置已發生問題的解決抑制限制攻擊破壞影響的范圍調查充足的舉證信息溯源完整的入侵路徑17政務安全托管服務（GMSS）實踐指南（2024）GMSS 服務針對網絡攻擊類、病毒類、脆弱性等不同類型的安全事件，在抑制、調查、溯源、處置、加固的各個階段，結合用戶的實際業務場景，積累了針對性的閉環方案，大幅提高事件閉環的效率及效果。圖 2-5 GMSS 服務閉環執行流程閉環流程閉環流程更專業，服務指引更規范，保證真閉環閉環方案閉環方案場景化，更貼合實際環境，省心不復發閉環方案對齊抑制調查溯

44、源處置加固跟進同步基于實際業務環境，就典型類型事件后續協作機制達成一致封鎖 IP/封鎖域名/隔離文件/隔離主機全局掃描 調查進程 調查啟動項 調查計劃任務.分析設備日志 分析系統日志 分析 Web 日志.封鎖 IP 查殺病毒 結束進程 清除異常項.策略調優 指導打補丁 指導修復漏洞.主動跟進遺留問題,并提供協助直至徹底閉環同步處置進展、根因結論及最終的閉環結果500+閉環方案儲備攻擊失敗客戶場景1閉環方案1客戶場景2閉環方案2客戶場景3閉環方案3客戶場景4閉環方案4客戶場景5閉環方案5攻擊成功非感染型病毒感染型病毒服務經理客戶脆弱性設備類根據客戶實際業務場景提供對應閉環方案圖 2-6 GMSS

45、 服務閉環執行方案18政務安全托管服務（GMSS）實踐指南（2024）安全情報通告結合威脅情報，服務專家排查是否對用戶資產造成威脅并通知用戶，協助及時進行安全加固。為提升服務成果的可視化程度，服務人員從資產、脆弱性、威脅、事件維度，以用戶專屬 Web 頁面和服務交付物報告的形式，定期更新和輸出用戶的項目服務情況和階段性服務成果總結，以圖表的直觀形式和豐富詳實的數據梳理總結安全態勢變化情況、服務成果、安全效果及剩余風險內容，同時對安全托管服務情況進行復盤，針對組織遺留安全問題、下一步安全能力提升給出建議和方案。為確保用戶對 GMSS 服務成果和安全效果的充分了解，服務人員應在每季度、年度等關鍵時

46、間節點，基于總結報告主動向用戶相關人員作正式的階段性匯報。精準威脅情報推送與預警基于 GMSS 平臺中可信的資產信息詳情（如操作系統、中間件、數據庫、應用框架、開發語言等指紋信息），實時抓取互聯網最新威脅情報與詳細資產信息進行匹配，對安全風險進行預警。預警信息中包含最新情報詳細信息和影響資產范圍。受影響資產排查結合威脅情報，借助相關工具和組件，服務專家排查是否對服務資產造成影響并通知用戶。最新漏洞處置指導一旦確認影響范圍后，安全專家提供專業的處置建議，處置建議可包含補丁方案以及臨時規避措施兩部分，按需及時協助用戶進行安全加固。安全總結復盤19政務安全托管服務（GMSS）實踐指南（2024）政務

47、安全托管服務一般包含服務技術、服務團隊、服務流程三大核心組成要素。核心要素的實踐落地達到相應的能力要求，是政務安全托管服務的交付價值和效果保障得到充分實現的前提條件。GMSS 安全能力中臺為服務周期內各類安全風險檢測、分析、調查、響應等工作提供能力支撐，通過網絡側、終端側等安全組件將關鍵安全數據聚合在云端，通過多維數據協同，深度精準挖掘風險事件，利用云端專家服務提供威脅分析、調查、響應及能力賦能。通過部署在客戶現場的網絡側、終端側等安全組件，將關鍵安全信息聚合在云端安全能力中臺【數據湖】?！緮祿繉⒒A安全信息經過清晰、豐富、去重等數據治理操作后完成數據存儲動作，供下一步【分析引擎】調用。服

48、務技術安全能力中臺政務安全托管服務內容要素圖 3-1 GMSS 服務安全能力中臺架構管理中心檢測中心數據湖分析引擎數據存儲數據治理可靠性監控規則管理最初入侵橫向權限擴展過濾分析聚類分析實時分析引擎離線分析引擎分布式資源調度引擎（yam）離線數據存儲實時數據存儲關系數據存儲消息隊列數據清洗數據豐富數據去重數據轉義時間序列分析多數據關聯分析圖關聯分析AI 引擎執行攻擊收集信息持續性控制命令與控制權限提升數據滲出躲避防御機制造成影像信息查看憑證訪問資源管理數倉管理API 接口數據檢索用戶/鑒權權限管理20政務安全托管服務（GMSS）實踐指南（2024）托管服務平臺【分析引擎】通常包含多種安全分析引擎

49、，通過對數據湖內安全信息多維分析后，精準挖掘風險事件，并將安全風險映射到【檢測中心】的 ATT&CK 攻擊技戰術模型中。通過【檢測中心】可快速查看安全風險所處攻擊階段，據此云端安全專家進行風險分析、研判、調查、響應，實現深度檢測、威脅狩獵等能力?！竟芾碇行摹坎粌H實現對能力中心可靠性、資源、權限的監控管理，還提供規則管理、數據檢索等能力，實現安全專家對安全事件告警的關聯分析、精準研判、深度挖掘等能力。GMSS 安全托管服務平臺為全服務周期內各項服務工作提供支撐，通過不斷對服務流程、專家經驗沉淀固化，結合知識庫、工單、報告等系統，規范和提升整體安全托管服務質量及體驗。安全能力與效果的兩大量化指標是

50、業界熟悉的安全事件平均檢測時間（MTTD）和平均響應時間（MTTR）。GMSS 服務研發團隊通過對 GMSS 平臺各模塊能力的持續優化，不斷縮短威脅檢測時間，提升安全事件響應效率?！菊宫F層】的所有能力可供【用戶層】各類托管服務角色人員操作使用，提供了一套完整的服務流程，包括從服務上線（組件接入、資產錄入、安全專家分配）、首次上線分析處理、持續運營，到最后服務到期下線的全生命周期活動?！揪W關層】用于為【用戶層】的訪問提供相應的網絡路徑、認證、鑒權、審計等能力?！緫脤印堪苏瞻踩泄芊掌脚_的核心功能。圖 3-2 GMSS 服務安全托管服務平臺架構工單中心：服務工單的生成、派發、跟進、記錄等

51、。報告中心：根據客戶實時安全狀況，自動化周期性生成安全報告。規則中心：內置提前設計的大量 UseCase 庫，以及可基于實戰能力和用戶需求而定制化的 UseCase。知識庫：通過大量客戶服務所積累的風險預防庫、安全風險處置方案、策略優化方案、應急響應工具庫等。用戶層展現層網關層應用層服務經理SOARApi 路由OpenApigRPC安全運營中心任務中心重保中心報告中心工單中心分析中心系統管理中心SOAR backappsPortal backappsVMS backapps基礎數據中心流程中心規則中心知識庫消息列隊認證鑒權限流安全審計安全證書統一域名PortalVMS小程序APP渠道合作方客戶

52、審核人員系統管理員21政務安全托管服務（GMSS）實踐指南（2024）關鍵技術能力安全編排自動化及響應（Security Orchestration,Automation and Response，簡稱 SOAR）技術能夠收集不同來源的安全威脅數據和告警信息，并利用專家與機器的組合執行事件分析和分類，并定義標準工作流；進而根據標準工作流來定義、確定優先級并推動標準化事件的響應活動。SOAR 技術框架包含了優先順序、檢測、分類分診與響應等要素。優先順序可讓消息根據商業情報、事件的風險大小、危害程度來決定事務的處理順序；檢測是指對接收到的事務進行決策；分類分診有助于更快、更準地發現和驗證不良內容，

53、以便遏制和補救；響應是 SOAR 技術的最后一步，指執行必要的操作來控制潛在風險。GMSS 將安全專家和技術通過SOAR 技術編入業務流程，確保安全事件響應的及時性、標準性和專業性。國際知名的非營利組織 MITRE 公司的 ATT&CK 模型是當前廣受認可的主流威脅檢測框架。該框架系統描述了黑客攻擊過程的 12 個階段，收錄了所有已知的黑客攻擊技戰術，由全球頂尖攻防專家共同維護。圖 3-3 SOAR 技術典型框架圖 3-4 基于 ATT&CK 框架的典型攻擊路徑示例安全編排自動化及響應技術基于 ATT&CK 構建的檢測用例初始化影響執行持久化提權防御繞過創建服務惡意代碼簽名憑證訪問發現橫向移動

54、收集用戶執行Rootkit 植入沙盒逃逸遠程登錄移動 媒介數據收集命令控制數據滲漏VPN登錄異常優先順序響應檢測數據破壞Regsvr32注冊運行鍵值 令牌重放文件刪除賬號登錄異常 LDAP域查詢 管理設備滲透音頻捕獲常見C2端口數據壓縮移動介質攻擊數據被加密計劃任務WindowsUAC繞過暴力破解網絡監聽DCOM滲透郵件收集連接代理加密模塊加載釣魚附件磁盤格式化LASSS驅動Windows內存注入權限竊取服務探測PTH移動剪切板收集DGA算法遠程文件拷貝釣魚郵件終端DoS進程注入Rundll32賬號復制Bash歷史端口探測PTT移動錄屏操作非標準端口數據加密Wifi攻擊網絡DoSPowerSh

55、ell隱藏文件鑒權Token重放攻擊Hooking域信任發現登錄腳本截屏操作遠控工具限速傳輸服務執行創建賬號訪問特性 mshta執行鍵擊記錄虛擬化逃逸RDP移動瀏覽器中間人加密通道計劃傳輸分類分診工作流修正風險商業情報收集決策威脅狩獵調查人為干預SOAR編排威脅情報度量22政務安全托管服務（GMSS）實踐指南（2024）基于實戰經驗的事件響應劇本GMSS 憑借自身安全沉淀，對標 ATT&CK 框架，由服務研發團隊根據常見的典型的攻擊手法，針對性地設計精準的安全檢測用例（UseCase），用于在海量碎片化、看似無關聯的信息中分析出真實的安全威脅,目前已具備全面的網絡檢測和端點檢測能力，結合云端強

56、大的威脅情報能力、AI 能力以及專家研判能力，可輸出精準的告警研判信息。GMSS 服務專家團隊基于大量的攻防研究成果和客戶服務經驗，對攻擊者的攻擊行為、特征以及防御措施都有深刻理解。安全專家團隊將實戰經驗不斷總結、沉淀、固化到安全托管服務平臺中，并借助 SOAR 技術編排成標準的工作流程，在工作流程中內置指導安全處置的事件響應劇本 Playbook，確保每類安全事件都能得到專業且精準的響應。01-URL/Domain-事件類-AF/SIP-PlayBook-V202-MD5-事件類-EDR-PlayBook-V203-IP-事件類-AF/SIP-PlayBook-V2IOC 指標:惡意域名、惡

57、意 URLAF、SIP 上報的事件:僵尸網絡木馬病毒蠕蟲病毒挖礦病毒勒索病毒其他病毒AF 上報的【終端行為異?！縄OC 指標:MD5EDR 上報事件:僵尸網絡木馬病毒蠕蟲病毒挖礦病毒勒索病毒其他病毒WebshellIOC 指標:IPAF、SIP 上報的事件:僵尸網絡木馬病毒蠕蟲病毒挖礦病毒勒索病毒其他病毒工單生成工單生成誤判確認誤判確認空節點（后臺）空節點（后臺）空節點（后臺）結束結束結束結束結束定位分析溯源分析加固建議結束結束結束結束結束結束結束結束繼續繼續未處置完成未處置完成全部處置完成結束繼續路徑選擇處理環節（后臺）遏制影響遏制影響遏制影響溯源分析定位分析溯源分析結果建議結束結束結束加固

58、建議結束結束結束獲取深信服威脅情報獲取舉證信息獲取深信服威脅情報填寫處理進展誤報操作提交處理結果白名單操作錄入SOC威脅情報工單環節操作獲取VirusTotal威脅情報分析綜合威脅情報獲取微步威脅情報獲取SOC威脅情報獲取舉證趨勢情報查詢相關歷史工單獲取深信服威脅情報獲取VirusTotal威脅情報獲取VirusTotal威脅情報分析綜合威脅情報分析綜合威脅情報填寫處理進展誤報操作白名單操作錄入SOC威脅情報工單環節操作提交處理結果提交處理結果選擇惡意域名處理方式選擇惡意 URL 處理方式展示遏制影響通知話術填寫處理進展人工處置提示填寫處理進展填寫處理進展工單環節操作填寫溯源進展填寫加固建議工

59、單環節操作工單環節操作選擇惡意文件處理方式選擇惡意 IP處理方式展示遏制影響通知話術填寫處理進展人工處置提示填寫處理進展工單環節操作填寫溯源進展填寫加固建議工單環節操作填寫處置進展繼續結束結束結束工單環節操作人工處置提示填寫溯源進展填寫加固建議工單環節操作填寫處置進展工單環節操作展示遏制影響通知話術填寫處理進展工單自動分配工單自動分配全部處置完成/全部不處置全部處置完成未處置完成未處置完成結束繼續未處置完成工單自動分配獲取微步威脅情報獲取微步威脅情報獲取SOC威脅情報獲取SOC威脅情報獲取舉證趨勢信息查詢相關歷史工單查詢相關歷史工單填寫處理進展誤報操作白名單操作錄入SOC威脅情報工單環節操作工

60、單生成工單生成路徑選擇處理環節（后臺）路徑選擇處理環節（后臺）路徑選擇處理環節（后臺）路徑選擇處理環節（后臺）獲取 URL限制結果路徑選擇處理環節（后臺）路徑選擇處理環節（后臺）路徑選擇處理環節（后臺）工單生成誤判確認工單生成結束繼續獲取文件隔離結果路徑選擇處理環節（后臺）路徑選擇處理環節（后臺）獲取IP封鎖結果路徑選擇處理環節（后臺）23政務安全托管服務（GMSS）實踐指南（2024）圖 3-5 GMSS 已內置的事件響應 Playbook 示例04-IP-橫向移動-AF/SIP-PlayBook-V206-IP-攻擊類-AF-PlayBook-V207-文本-事件類-AF-PlayBook

61、-V2IOC 指標:IPAFSIP上報的橫向移動工單生成工單生成工單生成誤判確認誤判確認誤判確認結束結束定位分析空節點（后臺）空節點（后臺）結束結束結束結束繼續定位分析溯源分析加固建議結束結束結束結束遏制影響溯源分析加固建議結束結束獲取IP 地理位置獲取深信服威脅情報獲取VirusTotal威脅情報分析綜合威脅情報填寫處理進展誤報操作白名單操作錄入SOC威脅情報工單環節操作獲取微步威脅情報獲取SOC威脅情報獲取舉證趨勢信息獲取攻擊日志詳情查詢相關歷史工單獲取舉證信息獲取舉證信息獲取舉證信息查詢相關歷史工單填寫處理進展誤報操作白名單操作白名單操作工單環節操作工單環節操作提交處理結果選擇惡意 IP

62、處理方式溯源分析組件加固建議組件人工處置提示填寫處理進展展示遏制影響通知話術記錄確認結果繼續結束結束繼續進入下一環節進入下一環節誤判關閉接受風險已完成誤判關閉接受風險已完成結束未處置完成填寫處理進展填寫溯源進展填寫加固建議工單環節操作工單環節操作工單自動分配工單自動分配工單自動分配填寫處理進展提交處理結果工單生成工單生成工單生成提交處理結果路徑選擇處理環節（后臺）路徑選擇處理環節（后臺）路徑選擇處理環節（后臺）路徑選擇處理環節（后臺）路徑選擇處理環節（后臺）路徑選擇處理環節（后臺）IOC 指標:IP持續攻擊高級黑客漏洞攻擊IOC 指標:URLSIP 上報【黑鏈】AF 上報【勒索端口開放】獲取I

63、P封鎖結果工單結束空節點（后臺）獲取舉證趨勢信息獲取攻擊日志詳情查詢相關歷史工單路徑選擇處理環節（后臺）24政務安全托管服務（GMSS）實踐指南（2024）基于威脅情報的關聯分析技術人機共智的事件調查閉環技術GMSS 基于國家信息中心的威脅情報源和廠商打造的威脅情報平臺，采用獨特的降誤報技術，結合高質量的行業化的威脅情報白名單，通過云計算技術的優勢確保威脅情報在云端的快速共享、同步和下發等，大幅降低行業威脅情報的平均誤報率。同時，為了提升用戶對情報內容與自身資產的關聯性的感知，從風險預警、事件響應的角度為客戶提供精準匹配后的情報及解決方案。情報類型主要包括業內熱點漏洞、熱點事件精準推送、事件情

64、報挖掘、暗網監控等。由于威脅情報平臺每天都會接收分布在全國的海量多元化數據，為了使威脅情報平臺能高效地處理這些數據，針對不同類型的數據，GMSS 選取其中的關鍵維度用作后續的分析工作，例如 HTTP 請求/響應中的可疑頭部、DNS 請求/響應中的應答類型與應答內容等，同時充分發揮云端大數據的優勢，提取、監測到多個通用組件 0DAY、NDAY 漏洞、典型攻擊源和攻擊手法、APT 攻擊以及新型病毒家族等，最終通過流量指紋、脆弱性主動掃描、終端調查等方式精準定位用戶可能受影響的資產、檢測預警未知的攻擊威脅，并及時協助用戶進行處置。GMSS 通過攻擊鏈還原、端網關聯分析技術，基于后向和前向溯源分析，提

65、供了自動化根因分析和攻擊影響范圍分析的能力。GMSS 在多種安全事件類型上持續攝取、關聯、富化網端遙測數據，將終端的系統事件和網絡的流量數據按照關聯關系連接起來，并將用戶 IT 環境中發生的所有事件繪制成一張威脅圖。在檢測到攻擊后，通過在威脅圖上進行自動化的溯源分析，定位到攻擊的入口點。為避免攻擊者利用之前的攻擊方式再次進入用戶網絡以及多個設備被控制的情況，GMSS 使用根因分析機制，即通過影響面分析，全面掌握攻擊者已經控制的主機范圍，以保障可以全面根除攻擊者對內網造成的影響；同時通過攻擊鏈分析了解攻擊者是通過何種漏洞、配置錯誤或者社交工程方式進入的，對相關的脆弱點進行及時加固處理，防止通過同

66、樣的攻擊方式持續不斷滲透內網。調查閉環技術為服務人員提供安全事件的全局視野，從而徹底清除事件影響、復盤信息系統弱點，構建更完善的防御體系。根因分析基于后向追蹤分析，在發現攻擊的蛛絲馬跡時，立即對歷史數據進行回溯，發現攻擊的可能入口點，幫助分析人員定位攻擊根因，提供加固建議，避免網絡被反復攻破。攻擊影響面分析基于前向追蹤分析，在定位入口點后，快速發現此次攻擊的所有路徑，確認受影響資產，評估此次攻擊對用戶環境造成的損失，包括遭受攻擊的終端以及對終端的損害，如新建特權賬號、對操作系統配置的修改等。處置閉環GMSS 平臺與安全組件設備聯動，提供響應原子操作，如封鎖 IP、自定義防御規則、殺死進程、隔離

67、文件、禁用用戶、終端隔離、注冊表恢復等等，依據根因分析、攻擊面影響分析的結果進行精準處置，避免對業務造成大幅影響。對于常見的病毒類型、黑客攻擊手法等內置一鍵處置腳本，實現快速閉環。25政務安全托管服務（GMSS）實踐指南（2024）GMSS 服務團隊包含了安全運營中心服務團隊及本地服務團隊，其中安全運營中心團隊分為服務交付團隊、應急響應中心、攻防實驗室和培訓中心。服務交付團隊包括項目線上交付團隊、業務保障專家團隊、質量監督團隊，通過成熟、規范的交付服務流程，為用戶提供7*24 小時的安全托管服務。項目線上交付團隊由云端分析師、安全工程師共同為用戶提供日常在線服務工作；項目本地交付團隊分布在全國

68、各地，為用戶提供按需的本地化服務。業務保障專家團隊由安全攻防、滲透測試、威脅情報等業務方向的高級專家組組成。質量監督團隊對用戶服務的整體過程、質量與滿意度負責，通過調查分析和數字化運營，提升服務質量，保證服務效果。應急響應中心用于當服務用戶突發安全事件時，提供包括事件檢測與分析、風險抑制、問題處置、協助業務恢復的服務。通過技術與工具、組織與人員、流程與機制相輔相成，形成完善的響應機制。攻防實驗室是攻防硏究與紅隊實戰的專家團隊。研究方向包括紅藍對抗技戰術研究、滲透攻擊鏈研究、通用漏洞分析與挖掘、攻防武器與工具開發、二進制安全研究等，主要負責的工作是提供實戰高階能力支撐與為政務 MSS 的整體高階

69、能力賦能。培訓中心依托高端專家團隊，將安全實踐經驗、研究成果以及積累的其他專業能力，通過人才培養賦能給全國的合作伙伴和廣大客戶，為中國網絡安全人才培養貢獻力量。圖 3-6 GMSS 服務人員組織架構質量運營專家負責用戶滿意度的調研，客戶質量數據的分析，輸出質量報告項目管理PMO負責項目的交付質量標準定義、項目質量管理推進，達標情況監督和質量問題化工作國家信息中心專家國家信息中心高級安全專家作為T3 團隊的補充，憑借對政務網絡和業務系統的豐富經驗，直接與客戶 溝 通，提 供 咨 詢 建 議，強 化GMSS 的高階安全專家能力，提升安全托管服務的威脅檢測與響應的整體效果云端分析師負責服務項目的告警

70、審核、告警診斷、告警白名單管理等工作應急響應師負責協同服務經理，通過應急響應對威脅事件處置閉環，提升安全風險響應速度和能力主要負責項目的日常運營服務工作，包含資產管理、脆弱性管理、威脅管理、事件管理、項目問題跟進、運營報告編寫、定期匯報等工作客戶服務經理威脅挖掘工程師負責對升級的威脅工單進行研判和主動挖掘服務內資產的隱藏威脅風險，并將其沉淀為平臺技術能力云端業務專家負責協助服務經理解決疑難業務問題，根據服務落地情況，不斷優化迭代業務流程和規劃設計新業務，提升整體安全服務質量應急響應專家負責協助應急響應工程師處理威脅事件，對應急響應情況進行審核復盤，優化提升響應速度高級威脅分析專家負責通過多維度

71、長期深度分析，挖掘高級威脅，并將其威脅特征沉淀為平臺技術能力安全攻防專家負責參與實戰攻防工作，并將實戰經驗進行人員賦能和沉淀為平臺能力威脅情報專家負責管理威脅情報，跟蹤情報POC、EXP，審核和驗證漏洞真實性情況滲透測試專家負責對服務資產進行授權模擬攻擊，對安全性進行評估，查找和展示系統安全隱患問題T2T2T1服務團隊26政務安全托管服務（GMSS）實踐指南（2024）服務流程GMSS 服務主要由項目啟動、運營準備、持續運營、總結復盤組成。在項目啟動階段，通過召開內外部項目啟動會，明確服務預期，對溝通機制和交付內容達成一致，并針對政務安全托管服務進行授權和保密協議的簽署。項目啟動活動運營準備階

72、段，對服務環境上線準備完成后，聚焦于對用戶現有資產、業務的安全問題進行綜合評估工作，也是服務的初始化階段，集中識別和處置已有的安全風險和事件，為持續運營工作打好基礎?；玖鞒倘缦拢哼\營準備活動持續運營階段，是指電子政務安全運營中心圍繞資產、脆弱性、威脅、事件四個核心風險要素幫助用戶開展 7*24 小時持續化的安全托管保障工作，主要分為資產管理、脆弱性管理、威脅管理、事件管理以及安全情報通告服務五個環節。持續運營活動資產管理服務資產信息錄入系統后，通過定期主動掃描+被動識別的手段識別資產類型信息，自動生成資產臺賬并對資產重要程度分級和責任定位，實現服務資產的全網可視和動態更新。資產識別與梳理借助

73、安全工具對用戶資產進行全面發現和深度識別，并結合人工梳理成真實、可用的資產臺賬。首次安全評估從脆弱性評估、病毒類事件評估、攻擊行為評估、失陷類事件評估等方面對用戶的現有安全狀況及問題進行客觀評估。安全問題處置對安全分析發現的安全問題進行針對性處置和加固。27政務安全托管服務（GMSS）實踐指南（2024）脆弱性管理通過脆弱性掃描工具識別系統安全漏洞及弱口令等，并對脆弱性問題進行專業驗證，同時結合多種信息對識別的脆弱性問題進行優先級排序，最后提出切實可行的修復指導。除此之外，在脆弱性管理工作中借助脆弱性跟蹤管理平臺，可以有效地追蹤資產脆弱性生命周期，清楚地掌握資產的脆弱性狀況，實現全生命周期的可

74、視、可控和可管。威脅管理根據以往經驗設定的安全用例（UseCase），結合大數據分析技術實時監測網絡安全狀態，對監測到的安全問題自動化生成工單，通知安全專家介入進行及時進行分析與定位、通告，同時依據由安全專家經驗固化的事件響應指導（Playbook）高效地開展安全事件處置工作。用戶可通過 GMSS 平臺的專屬頁面隨時隨地查看業務資產安全狀態，同時 GMSS 服務人員定期復盤服務情況和安全態勢，提供可視化、圖表化的直觀服務成果報告，方便用戶查看服務進展和全面了解安全態勢及其持續向好的變化趨勢，并提供下一步的安全建議，更好地提升 GMSS 服務和用戶安全體系的有效性?？偨Y復盤活動事件管理對識別到的

75、安全事件進行專業定位，及時響應并建立安全事件的全生命周期閉環管理機制，形成安全事件處置知識庫，提升用戶安全事件響應能力。安全情報通告結合威脅情報，服務專家排查是否對用戶資產造成威脅并通知用戶，協助及時進行安全加固。28政務安全托管服務（GMSS）實踐指南（2024）政務安全托管服務實踐效果截止 2024 年 5 月，政務 MSS 在線服務用戶數量超過 750 家，已覆蓋全國 31 省、自治區、直轄市，主要為電子政務外網管理單位和包括服務自然資源、生態環境、人力資源和社會保障、交通、水利、海關、氣象、應急管理、市場監督管理、住房和城鄉建設、體育、地震、消防、農業農村、科學技術等在內的委辦局單位。

76、客戶分布在北京、上海、廣東、江蘇、山東、浙江、四川、重慶、天津、新疆、建設兵團、陜西、山西、江西、湖南、湖北、內蒙古、遼寧、吉林、河南、河北、云南、貴州、廣西、海南、福建、寧夏、青海、甘肅等地，且已經覆蓋省、地市、區縣等各級政府單位。兩周年實踐總結用戶范圍資產類型整體資源托管主要以在政務云、本地部署的核心業務為主，已覆蓋 200+項電子政務業務。主要的業務類型及托管資產數據具體示例如下：圖 4-1 政務安全托管服務用戶組成比例服務業務類型12345 市民熱線、建設工程交易、公共資源服務、地理信息公共服務平臺、網上政務服務平臺等。一是公眾服務類業務省級電子政務外網管理單位地市級電子政務外網管理單

77、位區縣級電子政務外網管理單位省級委辦局單位地市級委辦局單位10%1%28%20%41%29政務安全托管服務（GMSS）實踐指南（2024）信息采集和管理系統、綜合網格化管理平臺、城市綜合管理服務平臺、空氣質量自動監督運行管理綜合平臺、房產管理綜合信息系統、排污口智慧監控平臺、國資監管平臺等。二是監督管理類業務政企云平臺、市政服務云平臺、科技服務云平臺、金融綜合服務平臺、移動政務服務平臺、一體化綜合指揮平臺、掛圖作戰可視平臺、綜合執法指揮調度平臺、信息資源共享交換平臺、電子印章、電子檔案等。三是業務支撐類平臺社會保障卡管理系統、人事人才管理信息系統、雷電信息系統、農業氣象自動監測管理平臺、123

78、69系統、環境監察移動執法系統、國控污染源自動監控系統、智慧住建平臺、房屋全生命周期智慧監管平臺、車輛超限治理、道路運輸移動稽查系統、自然資源督察工作管理信息系統、12336自然資源違法舉報線索管理信息系統、地震流監測、微信地震速報推送系統、住房公積金網上業務系統、滅火救援業務管理系統/信息直報系統、指揮中心數據研判分析平臺等。四是委辦局專業業務通過將安全數據控制在政務網絡內流轉的方式解決用戶的安全性擔憂，GMSS 促進更多用戶將更多的核心資產進行托管，部分單位已經實現全資產托管。GMSS 服務資產范圍可覆蓋電子政務網絡中的所有資產類型，包括物理服務器、虛擬服務器、政務云、終端辦公設備等，結合

79、不同類型的政府單位的業務特征、網絡安全建設現狀及需求，各級政府單位安全托管的資產數量不盡相同。以下是不同類型單位的托管資產的數量統計情況。資產托管數量序號1234567891011121314151617電子政務外網管理單位自然資源生態環境人力資源和社會保障交通水利海關氣象應急管理市場監督管理住房和城鄉建設體育地震消防農業農村科學技術其他委辦局單位類型2000+2005005005002002001001002002001001001005010050省級1000+100100100100/5050100100/30305030地市級200+/區縣級30政務安全托管服務（GMSS）實踐指南（2

80、024）行業態勢為了深入了解政府行業網絡安全建設與運營現狀，為數字政府各單位提升安全運營能力提供參考依據，政務 MSS 安全運營中心定期隨機調研所服務的客戶及其安全運營情況，并整理平臺上的安全態勢數據，從外部攻擊威脅、應急事件、威脅情報等維度，對政府行業安全態勢進行分析和總結，也通過數據、案例等多種方式對政府行業網絡安全現狀展開分析。以下是 2024 年 5 月基于 300 家政務 MSS 用戶調研和統計得出的安全態勢數據示例。本月政府單位遭受到外部攻擊共計 455275 次，外部攻擊趨勢較為波動，對比上月整體攻擊量趨勢持續上升。經分析，原因之一在于本月部分省份的實戰攻防演練、安全檢查等工作持

81、續增多。攻擊威脅圖 4-2 5 月每日外部攻擊趨勢圖 4-3 5 月對比近三個月的外部攻擊變化趨勢105000100001500020000250003000023456789 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31外部攻擊趨勢外部攻擊趨勢2 月3473963000003200003400003600003800004000004200004053753 月4 月36839631政務安全托管服務（GMSS）實踐指南（2024）從攻擊目標所在的省份維度進行分析，可以發現遭受攻擊最多的省份分別是廣東省、遼寧

82、省和湖北省，其中占比最多的廣東省、遼寧省的攻擊數量均遠多于其他省份。外部攻擊中占比最多的攻擊類型分別是 Web 攻擊占比 60%、漏洞利用攻擊占比 21%、持續攻擊占比 15%，見圖 2-5。以廣東省為例，遭受攻擊類型的分布情況如圖 2-6。其中 Web 攻擊是黑客進行邊界突破和控制互聯網資產的權限作為跳板向內網滲透的常用手段，漏洞攻擊利用攻擊則包含 Web 框架漏洞、Web 中間件漏洞、數據庫漏洞、系統服務漏洞、開源和商業應用漏洞、IoT 設備漏洞等多種漏洞探測手法，一旦識別到目標 IP 存在某種具體類型漏洞后，便會圍繞該類型漏洞深入攻擊，調用更多可利用漏洞插件進行全面漏洞利用測試。兩種攻擊

83、方式均危害較大，一旦攻擊成功，便可以展開獲取敏感信息或進一步內網橫向拓展攻擊。圖 4-4 外部攻擊的地區分布圖 4-5 外部攻擊手段類型分布廣東省020000400006000080000100000120000123151110093272202070219999181851764716794140000遼寧省湖北省天津市河北省山東省浙江省江蘇省四川省上海市1575411588外部攻擊地區 TOP10 分布外部攻擊手段類型分布Web 攻擊 61%Dos 攻擊 1%漏洞利用攻擊 21%系統內核漏洞 0%持續攻擊 15%開源和商業應用漏洞 0%0day 攻擊 1%ACCOUNT_RISK 0%暴

84、力破解 1%掃描攻擊 0%掃描攻擊 0%ACCOUNT_RISK 0%開源和商業應用漏洞 0%Web 攻擊 61%漏洞利用攻擊 21%持續攻擊 15%0day 攻擊 1%暴力破解 1%Dos 攻擊 1%系統內核漏洞 0%32政務安全托管服務（GMSS）實踐指南（2024）從攻擊來源 IP 及地區分布來看，政府單位面對來自境外的攻擊占大多數，這也從側面證明了數字政府面臨的攻擊形勢非常嚴峻，一旦造成系統受控或數據泄露，對國家和人民利益的危害巨大。建議對外部攻擊源 IP 進行封堵：結合大數據統計，遭受外部攻擊最多的 3 個業務系統為政府網站集群、網站系統代理 IP、郵件系統?；谡畣挝坏臉I務特征和

85、屬性，政務MSS 建議從以下方面加強防護：圖 4-6 廣東省遭受的外部攻擊類型分布情況圖 4-7 外部攻擊源 IP通過限制訪問源（基于地域限制）、開啟應用層安全防護策略，嚴禁對外開放管理后臺端口。強化管理員、業務用戶的口令強度，滿足密碼大于 8 位數，包括數字字母和符號。定期開展互聯網暴露面梳理，結合業務滲透測試、漏洞掃描、基線核查等技術手段，做到安全風險早發現早處理，降低安全風險。廣東省遭受的外部攻擊類型分布情況Web 攻擊 71%0day 攻擊 0%漏洞利用攻擊 16%掃描攻擊 0%持續攻擊 9%暴力破解 0%0%系統內核漏洞 2%ACCOUNT_RISK 0%開源和商業應用漏洞 2%開源

86、和商業應用漏洞 2%Web 攻擊 71%漏洞利用攻擊 16%持續攻擊 9%系統內核漏洞 2%外部攻擊源 IP TOP10112.25.蘇州185.224.荷蘭185.191.1荷蘭31.284.545.142.195.1.195.214.荷蘭荷蘭德國挪威波蘭越南荷蘭103.22183.81.1010020030040050060070067466461157155141741335330828533政務安全托管服務（GMSS）實踐指南（2024）圖 4-8 應急事件類型分布5 月應急事件與上月相比數量有所下降，應急響應事件中占比最大的是 Web 類事件和挖礦事件。根據對事件的根因分析，由于業務

87、漏洞利用成功或者歷史后門導致的安全事件占比 66.66%。通過對事件案例的分析，部分單位為方便自身業務系統 7*24 小時運行，很少對數據庫、Web 應用等服務進行定期升級，導致歷史版本的服務器很容易被黑客利用已知漏洞進行攻擊利用，從而引發安全事件。建議定期將單位的內外網服務器的中間件、數據庫、Web 服務等進行升級和安裝補丁，進一步預防安全風險。同時，較多單位存在弱口令情況，大大降低攻擊者的難度和門檻，這主要歸因于內部員工的安全意識薄弱，建議政府單位加強安全意識宣傳教育，同時嚴格規范系統管理員和其他員工的口令設置。應急事件應急事件類型分布Web 類 67%挖礦類 11%其他類 11%日常運營

88、潛伏風險排查 11%日常運營潛伏風險排查 11%Web 類 67%挖礦類 11%其他類 11%圖 4-9 安全威脅通告半月刊目錄示例政務 MSS 基于結合威脅情報平臺的大數據能力，對分布在全國各地的海量多元化數據進行分析，選取其中的關鍵維度高效進行處理，得到有效的威脅情報信息。同時結合國家信息中心的情報賦能，本月共發布政府行業相關安全通告 18 份，其中緊急漏洞占比 80%，另有發布國家信息中心信息與網絡安全部電子政務網絡安全通訊 4 份和深信服安全威脅通告半月刊 2 份。根據排查情況，無相關單位及業務系統受影響。威脅情報34政務安全托管服務（GMSS）實踐指南（2024）2022 年 6 月

89、，國家信息中心與深信服科技合作推出國內首款政務安全托管服務（GMSS）業務，在電子政務外網骨干網上建設安全運營中心，面向全國各級政府單位提供創新性的政務安全托管服務。截止 2024 年 5 月，有效服務 31 個省、自治區和直轄市共 750 余家政務單位，為 17 萬余個關鍵政務資產提供 7*24 小時全天候防護，得到了各級政府單位的肯定與認可。兩年來，通過持續的安全監測與深度運營，GMSS 運營中心積累了 4000 萬+高價值惡意域名、40 億+惡意 IP 情報、1 億+精確 URL 情報、30 億+文件綜合情報，以及 2000+檢測分析模型和算法，實現了以安全監測為核心，聯動事前檢查評估，

90、事中應急處置，事后防御加固，形成全流程協同保障機制。政務安全托管服務在保障每個用戶的安全效果的同時，也對數字政府整體行業的安全態勢進行監測與統計，以為用戶提供更全面的信息參考。根據政務安全托管運營中心 7*24 小時對各級政務單位持續服務的結果匯總，近 1 年的數字政府風險態勢主要如下：實踐效果實踐價值常合規、健機制：常態化保持合法合規狀態，健全安全運營管理機制，確保零安全通報、零安全事故發生，將安全風險隱患有效控制在事故發生之前。輕投入、全能力：高效便捷的服務模式，風險管理、應急響應、攻擊防御等安全能力和專家資源全面覆蓋。最低建設資金投入，獲取全面的安全能力，快速補齊安全工作所需，確保安全工

91、作有序開展、業務平穩運行。不間斷、強對抗:7*24小時不間斷對抗安全風險，高階智能檢測技術+高階專家團隊分析研判，并及時通報預警，確保事件閉環處置及時、安全防御有效。輕壓力、高成效:便捷實用的管理界面，目標清晰的服務流程、實時掌握整體安全狀態，將被動安全防御工作轉變為管家式事前安全防御，減輕安全工作壓力，高效提升工作成效。一是各級政務單位近 1 年分析安全日志 324 多億條，通過安全組件分析、UseCase 用例和關聯分析將安全日志削減成為 6561552 條安全告警，安全專家通過對安全告警進行研判后，生成 34932 條安全事件，并進行全部處置，處置率達到 100%。二是外部威脅總告警數據

92、 220 萬多條，其中確定識別為國內攻擊 IP 為 69 萬條左右（占比 31.4%），國外攻擊 IP 為151 萬條左右（占比 68.6%）。三是 72.2%攻擊來自于非法定工作時間，主要為 18：00 至次日 09：00。四是惡勢力攻擊組織占比 Top6 的為 CNC、Patchwork、戰術模仿者(Timitator)、Bitter、響尾蛇、海蓮花。五是受攻擊最嚴重的 Top3 地區為廣東省、江西省和山東省。六是攻擊類型主要有 Web 攻擊、賬號安全、僵尸網絡、持續攻擊、暴力破解、漏洞利用攻擊、信息泄露，其中在重大節假及活動日的 Top3 攻擊主要為掃描攻擊、漏洞利用攻擊、Web 攻擊。

93、35政務安全托管服務（GMSS）實踐指南（2024）AI大模型賦能安全 GPT 賦能 GMSS 高級威脅檢測能力增強，能檢測高繞過未知威脅，如 Web 0day 漏洞利用檢測，混淆、繞過型攻擊檢測等。以某辦公 OA 系統的漏洞為例說明檢測大模型精準檢測 0day 的能力。某 OA 協同辦公管理系統存在多個命令執行漏洞，尤其是部分未經披露的 0day 漏洞，影響尤其嚴重。這些漏洞可允許攻擊者在系統中執行任意命令，從而獲得系統控制權限，并竊取敏感信息。如下圖所示，攻擊者成功利用了該漏洞，在服務器上執行任意命令和惡意操作。由于攻擊流量中沒有明顯特征，流量側檢測方法取得的結果均為正常的運維行為，無法有

94、效發現攻擊。安全 GPT 具備 HTTP 流量理解能力、代碼理解能力、攻防對抗理解能力和安全常識理解能力。即使不同漏洞的攻擊代碼不同，其原理、攻擊行為、攻擊目的具備共同特征，GPT 均可完成識別。此例中，GPT 先識別到代碼中存在的危險的類和函數調用，再通過識別存在執行命令的攻擊行為，從而精準完成了 0day 漏洞的精準檢測。檢測大模型提升政務安全托管服務檢測能力圖 4-10 安全 GPT 檢測大模型檢測到某 OA 系統的命令執行漏洞數字政府單位在日常安全防護以及實戰攻防中，面對的攻擊手段升級加快，如弱特征的高級威脅愈發主流、0day 及高對抗漏洞迅速增多等，而自身存在海量告警難以定位真實攻擊

95、、安全事件難以準確研判攻擊意圖、安全人員精力瓶頸等痛點，應充分利用生成式人工智能大模型技術，構建針對高對抗、高隱蔽攻擊的檢測防御能力，進一步通過自然語言交互協助安全人員優化威脅檢測、研判及處置的全流程。深信服政務安全托管服務已經內置自研安全 GPT 檢測大模型和運營大模型，以較低的成本和門檻即可讓數字政府單位使用上最新 AI 大模型這一新質生產力，有效應對不斷升級演變的安全威脅。實踐簡介36政務安全托管服務（GMSS）實踐指南（2024）以某客戶服務過程中針對 HTTP 告警解讀的輔助分析研判為例。安全 GPT 在 HTTP 告警數據方面，可以完成對數據包的攻擊類型識別、攻擊 payload

96、解釋、混淆代碼還原、攻擊手法分析、攻擊者意圖判斷、攻擊結果分析等內容。IOC 情報方面，可以對 HTTP 告警數據包解讀、威脅情報解讀、惡意文件解讀威脅情報的活躍程度、惡意性、網絡信息、家族信息、活躍地區、入庫時間、活躍行業、標簽等維度進行分析。威脅情報解讀支持對 IPS、黑客工具、IOC 安全告警的解讀，支持分析惡意文件并支持虛擬執行返回專家解讀結果。安全 GPT 運營大模型基于場景化運營工作實踐經驗，將資產梳理、加固預防、監測研判、調查處置、聯動處置、情報查詢及溯源總結等方面的工作流程，轉換為大模型的思維鏈提示工程，自動協同相應的組件、工具、人員和流程。目前，安全 GPT 運營大模型已可作

97、為“數字化助理”，賦能政務安全托管服務的大部分交付過程，并持續不斷地進行更新迭代，輔助服務人員開展效率更高、效果更優的安全服務工作。安全 GPT 有助于大幅減少服務人員和用戶的手動重復工作，更聚焦于更高價值的安全工作中；大幅提升實際安全運營工作的效果，如平均檢測與響應時間大幅下降，最高可實現MTTD/MTTR 指標降低 85%。具體如下：運營大模型化身數字化助理提升政務安全托管效果圖 4-11 安全 GPT 已經賦能于大部分 MSS 具體工作，效果顯著告警研判：總結定義、數據包分析、關鍵代碼提取、情報查詢、意圖判斷、攻擊手法法剖析。漏洞檢查：判斷哪些主機存在漏洞、找出責任人信息、修復建議。智能

98、響應：安全威脅與事件的智能響應，如處置建議、自動化聯動處置、智能調查與溯源等。安全趨勢分析：告警、資產、攻擊趨勢的總結和展示；最需要關注的事件排序等等。GPT：服務專家的數字化助理減少 92%的手動重復運營工作，讓人員更聚焦用戶的高價值服務工作提升平臺的檢測準確性以及取證全面性，降低服務人員工作量通過更多場景的自動化能力，進一步提升檢測與響應的效率告警研判安全趨勢分析漏洞檢查智能響應應用效果37政務安全托管服務（GMSS）實踐指南（2024）圖 4-12 安全 GPT 輔助對 HTTP 事件的攻擊數據包內容分析解讀圖 4-13 安全 GPT 輔助政務安全托管服務，響應用戶更高效、智能38政務安

99、全托管服務（GMSS）實踐指南（2024）以安全 GPT 輔助政務 MSS 服務人員統計風險數據、提升運營效率為例。某單位在攻防演練前期，聯合供應商開展弱口令和漏洞修復整改專項工作，需要快速輸出近七天發現的高危漏洞，并且需要按照等級排列后研判輸出。服務人員調用 GPT快速對單位近七天需要處置的高危漏洞和業務系統弱口令情況進行定位和自動化梳理，同時針對需要修復的漏洞的修復方案以及防護建議也可快速獲取。以安全 GPT 輔助政務 MSS 的安全事件響應過程為例。服務人員對事件告警分析過程中，為提升效率，可調用 GPT 對事件告警進行定性分析，根據智能推理和豐富知識，事件定性結果準確率有明顯提升。當確

100、認為真實事件后，需要進一步完成調查溯源分析，GPT 可幫助服務人員自動化通過云端大數據進行溯源分析，并給出詳細舉證信息。圖 4-14 安全 GPT 自動統計高危漏洞清單圖 4-15 安全 GPT 自動獲取高危漏洞介紹與建議39政務安全托管服務（GMSS）實踐指南（2024）圖 4-16 安全 GPT 輔助事件定性圖 4-17 GPT 輔助事件調查及舉證（存在地址轉換的情況下依舊可梳理出真實攻擊源 IP）40政務安全托管服務（GMSS）實踐指南（2024）由于政務安全托管服務的服務對象是數字政府用戶，屬于關鍵信息基礎設施運營者，為提高 GMSS 的安全可控水平，增強用戶選擇使用 GMSS 的信心

101、，政務安全托管服務需要滿足一定的合規要求，取得相應的評估認證或資質證明。服務合規能力云計算服務安全評估（以下簡稱“云安全評估”）是由中央網信辦、國家發展改革委、工信部、財政部四部委聯合組織的面向云計算服務平臺進行的安全評估，旨在降低采購使用云計算服務帶來的網絡安全風險。政務安全托管服務云平臺應通過此項評估證明 GMSS 云平臺在安全性、可控性等方面符合標準的嚴格要求。從國家網信辦官方網站的公示名單可看出，深信服安全托管運營服務云平臺（以下簡稱“MSS 云平臺”）成功獲得“增強級”安全能力級別認證，是首個且唯一通過云計算服務安全評估的安全托管（MSS）服務云平臺?；诖似脚_建設的政務安全托管服務

102、，在平臺安全性和可控性方面提供可靠保障。云計算服務安全評估為適應新的網絡空間發展態勢，規范新技術服務能力，中國信息安全測評中心開展安全運營類服務資質認證，對安全運營提供者的資質、能力和穩定性、可靠性、安全有效性等方面進行評估。安全托管服務一般針對用戶的安全運營工作提供托管，因此服務商需要具備此項安全運營服務資質。據中國信息安全測評中心網站發布，深信服政務安全托管服務獲得首批安全運營類資質。安全運營服務資質為規范云化安全運營中心解決方案的能力，幫助用戶更好的選擇和使用安全運營中心，中國信息通信研究院開展可信云安全運營中心能力評估工作。政務安全托管服務平臺應該具備此項認證。據信通院官方網站，深信服

103、 MSS 安全運營平臺是首批通過此評估的 4 個云平臺之一。面向云計算的安全運營中心能力要求安全托管服務平臺是為數字政府單位租戶提供服務的重要云端平臺，應當做好嚴格的安全防護，按照GB/T22239信息安全技術網絡安全等級保護基本要求的第 1 部分安全通用要求和第 2 部分云計算安全擴展要求完成等級保護建設和測評工作，至少通過等級保護三級測評。深信服政務安全托管服務平臺已經通過等級保護三級測評。等級保護測評41政務安全托管服務（GMSS）實踐指南（2024）政務安全托管服務實踐案例內蒙古自治區大數據中心一體化安全運營場景安全需求2022 年 6 月 23 日，國務院正式印發關于加強數字政府建設

104、的指導意見，著重強調建立健全動態監控、主動防御、協同響應的數字政府安全技術保障體系，要求充分運用主動監測、智能感知、威脅預測等安全技術，強化日常監測、通報預警、應急處置，拓展網絡安全態勢感知監測范圍，加強大規模網絡安全事件、網絡泄密事件預警和發現能力。內蒙古自治區十四五網絡安全規劃要求建設自治區電子政務外網安全監測平臺，建立統一高效的安全風險報告機制和情報共享機制，建立跨地區跨層級的安全監測協同聯動機制，形成覆蓋全網、整體聯動、協調規范的政務外網監測運行服務體系。GMSS 實踐機制為落實國務院關于加強數字政府建設的指導意見 內蒙古自治區十四五網絡安全規劃 關于加快推進全國政務外網安全監測平臺建

105、設工作的通知等相關政策要求，內蒙古自治區政務外網安全監測平臺于 2022 年 2 月建設完畢，主要內容包括 20 套流量采集組件、8 套日志采集組件、8 套沙箱采集組件、6 臺蜜罐采集組件，4000 套政務云采集組件，5 套安全監測分析服務、1 套政務安全托管服務和 1 支駐場服務團隊，監測范圍覆蓋廣域網、城域網、局域網和互聯網出口、政務云等骨干網絡和核心應用。借助“政務安全托管服務”，快速形成了覆蓋全網、全域、全時、全業務的云地協同、持續監測、統一標準、統一流程的一體化政務外網安全監測運行服務體系，建立起 7*24 小時持續監測與協同響應的內蒙古自治區數字政府安全技術保障體系。7*24 小時

106、持續監測政府單位面臨的攻擊越來越多的發生在安全防護水平最薄弱的夜間時段，且由于境外攻擊者、APT 組織天然與我國存在時差，經常性在夜間或節假日展開非法攻擊活動。為應對這種攻防不對等的情況，內蒙古自治區大數據中心構建了 7*24 小時安全專家值守能力，確保任何時刻均有安全專家值守，有效對抗非工作時間的攻擊行為。7*24 小時持續監測可以貫穿安全事件的全生命周期，針對海量的安全告警進行消減，實現對已知威脅、未知威脅的快速、準確的檢測，在威脅未發生之前實現最大化精準預警，時刻洞悉安全事件的蛛絲馬跡，并進一步調整策略確保有效性。云地協同響應線上+線下各類專家發揮各自的優勢，共同提供日常實戰的威脅檢測、

107、處置閉環能力和高階威脅狩獵、漏洞驗證等全方位能力，通過云地協同工作機制有機結合，共同助力安全運營效果提升。利用云計算、大數據和 AI 算法的優勢，云地可實現快速智能化、自動化聯動；云端積累的豐富安全事件知識庫，以及涵蓋基線加固、漏洞閉環、病毒處置等大量可落地處置經驗，可賦能本地處置加固能力；云上專家溯源取證、疑難問題處置、專殺工具等尖端能力，以及線下人員對本地網絡環境、業務特點的深入理解，均有助于確保安全運營過程中的協同響應效率和效果的雙重提升。42政務安全托管服務（GMSS）實踐指南（2024）江蘇省大數據管理中心持續有效監管合規場景安全需求江蘇省大數據管理中心圍繞省電子政務外網安全管理工作

108、，初步建成網絡安全運營體系，常態化開展省電子政務外網實時安全監測預警、工單處置等工作，提高了網絡安全事件處置效率及質量，實現了政務外網網絡安全管理工作的流程化、制度化、常態化。為進一步強化省電子政務外網 7*24 小時威脅發現、分析和處置能力，省大數據管理中心擬采購具備常態化威脅監測與響應能力的政務安全托管服務。通過全流量監測分析，為省大數據管理中心自建系統及各委辦局托管系統提供 7*24 小時不間斷的安全服務，在嚴格遵守數據不出電子政務外網的規范基礎上，對目標范圍內的信息系統服務資產，持續開展資產安全、脆弱性、威脅、安全事件管理服務，對主要資產的風險進行定性或定量的脆弱性風險分析，描述不同資

109、產的風險高低狀況，對識別出來的安全風險進行查漏補缺，驗證現有安全體系的有效性和健壯性，重點加強與本地安服團隊協同，及時處置發現的問題隱患。GMSS 實踐效果化繁為簡，簡而易之平臺與設備每天有海量的安全告警，日均流量超過 3000 萬條,涵蓋各市級、區、縣的政府單位流量，若采用人工研判，至少需要 10 個人員不間斷分析 1 個月才可將一天的安全告警全部處理完成。而 GMSS 通過“人機共智”的模式，AI 大數據引擎過濾和消減無效的告警打擾，安全托管服務資深行業專家經驗和豐富的威脅情報知識庫，助力對不同安全設備的安全日志、流量進行聚合分析、研判，幫助客戶精準檢測網絡和主機中的有效安全攻擊威脅，篩選

110、出海量日志中隱藏的真正有危害的威脅，最后協助本地的安全工程師同步下發至各單位解決。不僅節約了線下人員成本，還提高了監測預警的工作效率和事件監測的準確性，避免了重大安全事件的出現。省心、安心、放心首先，7*24 小時持續安全監控有效釋放了本地人員的精力，也讓非工作時間的安全效果得到了保障。在元旦、春節、五一、端午、中秋等節假日期間，云端值守專家 7*24 小時輪班守護，對外部威脅進行了有效防御，未發生任何安全事件；在兩會、國慶，亞運會等重要保障期間，云端專家加強監測力度、重點關注核心業務的安全態勢，并主動增加日志分析頻率保障對外開放服務業務的穩定運行。其次，政務安全托管服務通過可視化的服務成果總

111、結和安全態勢數據總結，梳理出識別發現的安全隱患、遭受的內外部攻擊、安全風險處置情況，幫助區大數據中心完成區里要求的工作指標，省心的工作機制得到用戶認可。最后，服務全程中有效兌現了 SLA 承諾的保障效果，確保了工作時間 15 分鐘內響應、非工作時間30 分鐘內響應，以及威脅檢測率和高?？衫寐┒吹姆雷o率均超過 99%。專屬的云端服務經理全程跟蹤安全問題處置進展和漏洞修復進展，讓所有發現的安全事件和問題均得到了有效閉環。用戶的網絡安全負責人員反饋表示，政務安全托管服務帶來了省心、安心、放心的全新體驗。43政務安全托管服務（GMSS）實踐指南（2024）GMSS 實踐方案GMSS 實踐效果總體技術

112、方案針對基礎信息、資產發現、資產管理、互聯網暴露面檢測與攻擊面管理、漏洞掃描與管理、資產威脅檢測分析與處置、資產應急響應、服務組件策略定期調優等服務內容，進行 7*24 小時政務網絡內的持續托管運營服務，通過政務外網網內云端值守和線下各角色人員進行場景化分工協作，云地協同的安全模式，提升江蘇省大數據管理中心的安全運營效果。平臺與組件聯動通過對接、聯動及補充江蘇省大數據管理中心現有安全組件的能力（NDR 網絡檢測與響應系統、EDR 終端檢測與響應系統、APT 流量檢測設備等），建立全面有效的安全運營技術體系，通過主動采集和接口對接，實現全網安全流量、終端安全信息與安全日志的匯聚、治理、檢測、分析

113、與處置，并具備數據的傳輸、共享等能力，可以基于一段時期內的數據進行網絡安全態勢研判。云地人員協同配備 1 名專業服務經理，負責安全托管的整體協調、統籌工作，把控服務質量，保障日常持續威脅監測與響應服務工作順利開展。每日與本地安服團隊人員進行信息同步，每周定期向用戶匯報服務成效。專業服務經理背后具備 1 個遠程專家團隊，如安全分析師、應急響應專家等，負責做好威脅檢測與分析、事件應急響應等技術工作。平戰結合一體化在重大活動、重要節日、攻防演練等重要保障時期，基于 GMSS 構建整體安全保障服務體系，對發現問題和攻防態勢進行匯總分析及匯報。結合“平時”與“戰時”不同時期的安全運營保障措施，沉淀優化安

114、全運營工作流程、自動化劇本、處置措施等知識經驗，持續提升安全運營人員的實戰對抗能力。創新的 7*24 小時監測值守機制，有效補齊原有 5*8 小時防護機制的不足，安全專家實時在線進行守護。省大數據管理中心的業務資產較多，需要監測超過一千個業務系統，線下駐場人員也是分工明確，也無法面面俱到地做到安全設備的告警分析。政務安全托管服務通過人機共智的方式對海量安全告警進行分析、消減，只通知需要用戶關注的安全威脅和事件，補充了本地人員的精力局限。服務期間，共發現 3489 次高危的外部攻擊威脅，并已全部實現“拒之墻外”；應急處置過 1948 次事件，均已全部實現溯源分析和閉環處置；推送 151 個威脅情

115、報，匹配到受影響的資產全部下發整改，處置閉環率 100%。44政務安全托管服務（GMSS）實踐指南（2024）江西省信息中心日常網絡安全托管運營保障場景安全需求與目標江西省政務數據共享方案深入推進以來，全省電子政務信息化基礎設施建設已全面走向集約化、協同化、共享化，以“云計算”“大數據”為代表的新型基礎設施省級平臺集中建設并投入使用。新技術的應用，新型基礎設施的集中建設，海量數據的集中存儲，網絡安全牽一發而動全身，對網絡安全保障工作提到前所未有的高度。為保障江西“數字政府”數字化轉型工作安全穩定推進，省信息中心組建江西省電子政務外網安全運營中心，通過思路創新、理念創新、模式創新、技術創新，構建

116、全面的電子政務網絡日常安全運營技術保障和服務能力，建設“可感知、可視化、可量化”的安全運營技術平臺，引入政務安全托管服務新模式，培育本地化安全運營隊伍，全面構建江西“數字政府”日常安全運營體系，打造電子政務網絡安全集約化、服務化建設的新標桿。具體目標如下：降低非工作時間對安全問題的擔心省大數據管理中心資產集中、涉及到核心業務和數據，是黑客的重點攻擊目標，晚上和周末時段均是黑客的活躍高峰期，此前曾在夜間凌晨遭遇過兩次未成功的勒索攻擊，本地安全人員對此非常焦慮。而通過線上 7*24 小時安全托管服務建立常態化攻防對抗能力后，出現任何安全問題或緊急事件，服務人員均會在第一時間通過電話直接聯系客戶進行

117、風險遏制，避免對業務的負面影響，并且云端配備高級別的安全專家實時在線響應，可遠程協助客戶完成溯源、處置等應急工作，緩解用戶安全人員的擔心和壓力。及時下發安全問題、跟進整改，積極配合、應對監管單位通報工作其他政府單位曾因沒有及時進行處置閉環而被上級監管單位通報過安全事件。省大數據管理中心化被動為主動，積極配合好監管單位的安全通報工作，通過政務安全托管服務持續進行常態化的風險預防和監測響應，實現了漏洞問題和安全事件的及時分析和處置，將安全水平維持在較高水平。完成的工作體現在多個維度：包括惡意域名封禁、安全防護策略優化在內的安全設備策略管理工作；脆弱性管理工作，如弱密碼梳理、漏洞掃描、威脅狩獵，結合

118、線下的滲透測試發現脆弱性，并做到及時下發整改）；威脅管理工作，如結合互聯網最新 0day 漏洞和惡意軟件等獨家威脅情報，對服務資產受影響程度進行分析識別，提供相應的響應處置方案，協助運維人員進行升級加固；事件管理工作，針對已經失陷的主機進行及時有效的處置和溯源分析，處置完成后提出合理的安全加固方案并保持跟蹤落地效果。提升政務外網安全監測預警能力提升全省網絡安全保障能力為數字政府建設培育網絡安全人才隊伍促進網絡安全產業發展45政務安全托管服務（GMSS）實踐指南（2024）圖 5-1 安全運營中心建設整體框架實踐方案打造一體化安全運營保障能力，構建江西電子政務網“四橫兩縱”整體網絡安全運營保障框

119、架，通過政務安全托管服務持續擴展省信息中心與各級政務部門、事業單位的安全運營能力，提供常態化的安全運營保障。四橫是運營場所、技術平臺、運營流程、運營服務；兩縱是管理制度與技術隊伍。建設安全運營中心工作獨立辦公場地，以避免工作過程中安全保密信息違規擴散，提升網絡安全工作人員協同效率，同時作為網絡安全態勢大屏展示，與網絡安全應急指揮調度中心場地。運營場所在政務外網云數據中心建設部署網絡安全運營平臺，對接政務外網現有安全態勢感知系統與接收各政務網接入部門與單位安全日志，實現電子政務網網絡安全威脅實時監測與安全態勢全面感知。對平臺所產出成果以及配套的專家隊伍以服務形式向省信息中心與政務網接入部門輸出。

120、技術平臺規劃設計風險評估流程、監測預警流程、安全通報流程、應急響應流程、溯源取證流程、運維管理流程六大流程，用于規范化運營中心各項工作。運營流程整合網絡安全運營中心人員、技術、流程，三者之間共同發揮作用，以一種面向用戶、保障效果的安全托管服務的方式來輸出各種安全能力。通過規劃統一服務目錄，設計服務策略，規范服務流程，向各省直電子政務網接入各部門、單位輸出標準化政務安全托管服務保障能力。托管服務.省信息中心管理制度運營服務技術隊伍省、市、縣三級政務部門與事業單位人員管理監測預警服務風險評估流程監測預警流程安全通報流程應急響應流程溯源取證流程運維管理流程應急響應服務安全托管服務運維管理服務風險評估

121、服務咨詢規劃服務安全培訓服務建設管理運維管理事件管理風險管理.監測預警崗研判分析崗響應處置崗運維管理崗流程建設崗咨詢規劃崗安全培訓崗安全運營平臺運營場所流量采集組件資產管理組件威脅情報組件威脅分析組件行為分析組件安全防護組件.運營流程技術平臺46政務安全托管服務（GMSS）實踐指南（2024）珠海市政務服務和數據管理局安全效果提升場景構建“安全運行管理”“安全風險管理”“安全應急管理”“安全服務管理”四個方面安全管理制度，通過管理制度明確運營中心各崗位職責、工作要去、操作規范等，實現安全運營中心規范化運營。管理制度圍繞安全運營平臺，組建安全運營中心技術隊伍，隊伍技術能力初期滿足政務外網日常網絡

122、安全事件監測預警、事件分析與平臺維護等工作需要，同時具備向政務網接入各部門提供風險評估、滲透測試、應用保障等日常安全保障能力。為滿足合規要求以及數字政府常態化安全保障工作要求，珠海市政務服務和數據管理局（以下簡稱“珠海政數局”）不斷強化落實網絡安全全方位監測預警能力，但依靠現有安全體系難以有效滿足。珠海政數局安全管理科現僅有 3 名編制人員，在日常網絡安全管理工作中缺乏較強的專業人員力量和技術保障力量；網絡中現有安全設備的日志梳理、異常告警分析處置等工作量巨大；針對危害程度較大的高級攻擊難以及時篩選和高效的處置閉環。當前互聯網技術發展迅速，攻防對抗程度不斷加大，大量政府單位已無法獨自確保安全效

123、果，亟需補充專業人員和技術力量協助進行日常的異常告警日志梳理以及精準處置高危風險隱患。另一方面，每年的重要節假日、重大活動以及各級別實戰攻防演練期間，珠海市政務外網及政府網站系統可能面臨密集式的網絡安全攻擊，需要短時間、高強度的網絡安全保障力量，短時強化整體防御及應急響應能力，全面掌握網絡和系統的安全風險和防護狀況。因此亟需專業安全人員進行技術支撐，建立配套的 724 小時值守體系，協助開展互聯網出口和互聯網業務的流量分析，及時發現政務外網內高風險主機，協助開展漏洞通知整改及強化應急響應和處置工作，確保安全事件的精準識別和第一時間應急響應處置。技術隊伍實踐成效安全需求通過全流量監測與大數據分析

124、手段，結合高階托管服務專家資源，及時發現電子政務網安全隱患，加強網絡安全威脅 7*24 小時監測與威脅感知能力，減少重大網絡安全事件發生概率，減少或避免重大網絡安全事件所造成的經濟損失。以安全運營中心和政務安全托管服務為抓手，向政務接入各部門及時精準預警網絡安全威脅、通報網絡安全事件。同時依托運營平臺態勢預測與智能分析能力，為省信息中心制定年度網絡安全工作規劃提供決策依據，使網絡安全工作開展更有針對性。通過網絡安全運營平臺與托管運營能力的集約化建設，整合安全運營資源，提升政務網安全運營建設水平與團隊技術能力，以安全托管服務的形式向政務網接入部門統一配置安全資源，優化資源布局。安全態勢全面感知監

125、管力度顯著加強安全保障整體提升47政務安全托管服務（GMSS）實踐指南（2024）通過分布式 XDR 平臺對接現有市級政務外網互聯網出口、政務外網省地市邊界探針及珠海市各區政數局安全感知平臺，政務 MSS 與 XDR 平臺對接開展常態化安全監測與響應的托管運營工作，共同構建起全市政務外網安全運營中心。結合用戶實際情況，政務安全托管服務解放現有人員的精力和能力，從構建持續有效的安全運營體系為出發點，通過“人機共智”的模式，對珠海政數局進行全面的安全風險管控，提升安全工作價值和安全建設整體效果。通過 724 小時“云端安全運營平臺”+“線上線下安全專家”，幫助用戶提升了資產、漏洞、策略、威脅、事件

126、等防護效果。通過安全托管，對珠海市政務外網進行全流量檢測，平均每月針對來自內外部的超過 1000 萬次攻擊進行有效監測，針對可影響業務運行、導致數據泄露的多種攻擊類型進行有效防御，如代碼注入、信息泄露攻擊、請求偽造、目錄遍歷和漏洞利用等攻擊?？偣舶l現 1336 個安全事件，推送威脅情報 147 個，發現脆弱性 17 個，策略調優 25 次，目前已經幫助用戶實現了 100%威脅閉環。針對五一、國慶等節假日和省級、市級實戰攻防演練期間的安全保障，政務 MSS 成功完成任務，保障了業務穩定運行和單位形象，運營期間無重大安全事件出現。GMSS 實踐效果通過平臺+組件+服務的形式打造安全運營體系，其中安

127、全平臺和組件包括國產化分布式 XDR 平臺、安全態勢感知平臺SIP、威脅檢測探針 STA、下一代防火墻 AF、統一終端安全管理系統 aES，安全服務是以政務安全托管服務為中心的多項服務組合方案，對全市政務外網進行統一監測、分析、處置，構建珠海市統一電子政務外網安全運營中心，主要關注資產梳理、漏洞管理、724 小時威脅和事件管理，配套的其他服務包括應急響應、滲透測試、風險評估和漏洞掃描等。政務安全托管服務依托全國政務外網更大范圍的安全態勢感知和威脅情報共享能力，提供云端安全專家服務團隊作為724 小時的不間斷后備支撐力量，提升安全態勢監測、預警及應急響應和處置能力，提供安全威脅處置修復的協助與指

128、導，本地提供 2 名專業安全技術人員進行駐場運維服務，提升本地響應能力。同時，在駐場人員遇到突發情況、疑難問題和重大活動時，線上安全托管服務專家人員立即提供遠程分析研判和應急能力支撐，確保政務外網安全穩定運行。GMSS 實踐機制圖 5-2 珠海政數局政務安全托管服務框架圖政務單位政數局互聯網服務組件服務組件云眼監測云盾防護安全托管服務 MSS（政務版）基于電子政務構建的安全托管服務運營平臺數據不出政務網絡，安全7*24 小時監測預警，持續隨時遠程響應協助，有效電子政務外網政務云網站群委辦局市政數局及各區政數局服務化提供必要安全服務組件，補足本地安全監測、防護能力態勢感知邊界安全終端保護流量分析

129、48政務安全托管服務（GMSS）實踐指南（2024）煙臺市大數據中心政務云、網一體化運營場景煙臺市大數據中心承擔全市電子政務云平臺、電子政務外網等基礎設施，政務數據資源共享交換、公共數據開放、大數據管理、政府網站等平臺建設、運行、維護和安全防護等工作。煙臺市電子政務云平臺包括互聯網域、公共服務域和行政服務域三個子平臺。政務云平臺累計投入服務器設備近 400 臺，網絡設備 80 余臺，備份及安全等設備 30 余臺，專享設備 180 余臺。截至目前，50 多個市直部門、單位的 180 余個業務系統在政務云上運行，市級業務系統上云率 100%，實現應上盡上；區市 190 余個業務系統在政務云上運行，

130、政務服務、公積金、智慧招生、水電氣暖繳費、12345 民生熱線等重要系統均在云上運行。煙臺市電子政務外網分為市廣域網、市城域網。市城域網已接入 130 余家市直部門；市廣域網由市、縣兩級平臺組成，包含 1 個市級核心節點、15 個區市級節點。按照“縱向到底，橫向到邊”的要求，縱向實現了市、區(市)、鄉鎮（街道）全覆蓋，村居（社區）按需接入，橫向接入黨委、人大、政協、法院、檢察院等機關。電子政務外網公共服務域覆蓋市級部門和單位 200 多個，覆蓋縣市區部門數量 2600 多個；行政服務域覆蓋市級部門和單位 200 多個，覆蓋縣市區部門數量 1700 多個，按需接入率達 100%，形成“全市一張網

131、”服務支撐能力。煙臺市電子政務云平臺、電子政務外網均已通過等保三級測評及密碼應用安全性評估，但安全態勢仍不容樂觀。安全需求第一，云化環境帶來的新安全威脅和挑戰需通過行之有效的技術手段進行應對。云計算虛擬化的環境，模糊了傳統的物理安全邊界，以硬件為主的安全防護產品無法很好地適用于云計算環境，難以及時、快速、有效的抵御政務云平臺所面臨的內外部的各種安全威脅。第二，規范統一的威脅檢測分析及安全運營能力亟需補充。業務系統和應用如果存在漏洞和安全隱患，易被攻擊者利用，給整個政務云平臺帶來極大的威脅。業務系統上云后需要通過一系列技術手段和措施進行有效的安全監測和處置閉環，及時發現云平臺及平臺內各業務系統存

132、在的安全漏洞、不明資產、網絡異常和攻擊行為，進行有效處置，最終達到閉環效果。第三，應急響應機制需進一步完善。需建立多方聯動、健全有效的應急響應機制，出現緊急或重大安全事件時，各部門及時充分協調各方資源完成響應，避免出現安全事故。第四，需補充有效的安全監管技術手段。煙臺市大數據中心在履行自身的安全監管職責方面，尚不具備專門的安全監管隊伍。同時，借助安全設備進行安全管理與審計，僅能做到威脅監測和被動防護，難以實現主動防御與安全閉環，無法針對性地對各個政務云系統和用戶實行有效的安全監管。49政務安全托管服務（GMSS）實踐指南（2024）完善的數據安全性體系化的服務機制可靠的監管支撐手段可承諾的量化

133、 SLA目前煙臺市大數據中心安全服務項目部署了三臺探針及態勢感知平臺，本地安排駐場工程師，通過覆蓋 300 個重要資產的政務 MSS 解決管理人員研判及處置能力有限、運維精力分散的問題，釋放運維管理壓力。同時采購安全托管服務的增值模塊網站監控服務，針對外網的攻擊及篡改行為進行管控。通過政務 MSS 的資產梳理與漏洞管理相結合，明確業務運行風險點并進行定向安全加固，協助用戶針對漏洞的全生命周期進行跟蹤管理，實現真正的閉環處置。通過政務 MSS 的事件管理機制，借助不斷沉淀知識和工具的服務平臺以及實戰經驗豐富的高級專家賦能安全事件的應急處置能力。通過簽訂政務安全托管服務的 SLA 承諾書建立良好信

134、任，以可量化的安全效果提升安全感。豐富的日報、月報、季報、事件通報等文檔滿足用戶對云、網安全方面分析總結需求，并展示全局安全態勢，為整體系統安全建設提供極大的幫助。GMSS 實踐方案GMSS 實踐效果早期階段用戶對安全日志上云存在顧慮，而政務 MSS是在電子政務外網上部署政務安全運營中心，并組建獨立政務 MSS 交付團隊，實現了在用戶政務安全數據不出政務外網的基礎上提供 7*24 小時安全托管服務。同時積累大量服務客戶案例，消除了用戶顧慮?；谫Y產、漏洞、威脅、事件四大抓手，形成了監測-研判-響應-通報-整改的體系化服務機制，滿足了用戶應對包括安全運營、監管通報應對、實戰攻防、重要時期保障等各

135、個場景的安全要求。在春節、兩會、國慶、二十大等重要時期，保障客戶系統持續穩定的運行。通過定期進行脆弱性檢測、漏洞掃描、策略檢查等工作，以及對核心網站的監測，防止出現高危漏洞、網絡中斷、植入黑鏈、業務中斷等可能會被通報的安全問題。在服務初始化階段，協助用戶完成了 3000+資產的梳理，并基于行政單位進行了分類，定位到具體單位個人，有效解決應急處置流程在管理側的流暢度問題。在漏洞整改工作中，進行全生命周期的跟蹤，釋放了用戶團隊的管理壓力，同時基于漏洞危害程度形成對應的整改時限要求，可基于月、季度、年漏洞處置情況對各單位進行安全工作質量考核。在服務合同中，針對各項風險與事件進行了檢測與響應效果的 S

136、LA 承諾，取得了客戶的認可與信任。實際的服務過程中也一一兌現了承諾，如 2023 年初兩次惡意攻擊，客戶服務經理均在 15 分鐘內發出安全通報，10分鐘完全遏制攻擊影響。豐富的日報、月報、季報、事件通報等文檔也將安全效果可視化，有效體現了用戶安全工作的價值。50政務安全托管服務（GMSS）實踐指南（2024）東莞市政務服務和數據管理局一體化托管場景一直以來政務數據的高價值備受黑客關注，尤其是多部門數據打通、政務信息化集中共享后導致暴露面風險增大，安全攻擊顯著增多，APT 攻擊也越來越猖獗。安全建設的短板效應也愈發明顯，通過安全防護相對薄弱的地方政務網絡橫向滲透交叉攻擊到其他地方政務網絡所釀成

137、的安全事件層出不窮。整體而言，政務網絡安全威脅問題已經不是單一、孤立的問題，集約化使得網絡資產增多，網絡資產風險頻繁變化，安全管理職責更重。數字政府網絡的安全檢測體系建設需要從粗放防護轉向精細化運營，東莞市政務服務和數據管理局（以下簡稱“東莞政數局”）在滿足監管合規的基礎上積極探索以創新方式構建動態適應當前數字政府安全新形勢的安全運營體系，實現實戰化、體系化、常態化的精準高效防控，有效應對國內外網絡安全威脅持續升級的局面。既要為充分保障網絡安全工作目標的達成，如滿足合規要求、提升實戰對抗能力、提升安全工作的整體效果，同時也要充分考慮建設經濟性及實用性。安全需求東莞政數局對新型的安全服務模式進行

138、探索與實踐，經過測算與實踐，形成了一套集“云地一體”、“三方一體”和“監管一體”的一體化安全托管服務的創新模式。國家信息中心持續賦能，補足安全防護短板?；趪译娮诱胀饩W安全監測體系技術規范與實施指南的指引，依托于在國家電子政務外網核心骨干節點部署的政務安全托管服務運營中心，將本級單位進行接入，實現全天候 24 小時不間斷的威脅監測、事件閉環、安全運營的服務保障。保障政務工作人員將更多精力投入到數字政務建設及管理之中，通過召之即來的服務效率、來之即戰的堅實能力，采取 7*24 小時不間斷運行機制，補充健全傳統的 5*8 小時運維工作機制，改善安全威脅處置效率低下的現狀。通過國家信息中心共享以

139、及安全托管服務自身的威脅情報，聯動本地安全防護組件，實現自動化主動防御、安全威脅動態清零的防護模式，達成各類安全事件、高級安全威脅、一般安全威脅的判斷準確率不低于 99%，安全事件閉環處置率達到 100%。一體化安全托管，融合模式創新與服務效果升級。一體化安全托管的服務模式，堅持安全可控與開放創新相結合，充分滿足東莞市數字政府網絡安全綜合防御體系建設的總體要求?！霸频匾惑w”，本地安全運營服務人員做好日常流程監督和安全效果檢驗，云端高階專家團隊實現全天候不間斷的安全風險對抗和應急響應?！叭揭惑w”，在東莞市政務服務和數據管理局的指導下，運維方和安全廠家實現能力互補，協同服務，沉淀運營流程，共同打

140、造東莞市數字政府的網絡安全屏障?！氨O管一體”，東莞市政務服務和數據管理局統籌全市網絡安全體系和標準，制定規范與要求，市級單位按需進行靈活申請，將監督與管理實現高效的融合。GMSS 實踐機制51政務安全托管服務（GMSS）實踐指南（2024）GMSS 實踐效果運營期間平均每月捕獲網絡攻擊 1449.17 萬次，業務資產遭受攻擊次數較多的攻擊類型為“反序列化”和“代碼注入”。通過“人機共智”運營機制總共發現 123 個安全事件，發現脆弱性 8 個，推送威脅情報 21 個，目前已經幫助用戶實現了 100%威脅閉環，運營期間無重大安全事件出現。實戰有效的事件告警削減在整個服務期間，多次攻擊發生在凌晨，

141、MSS 云上專家均及時發現并做了處置，充分展現 7*24 小時守護的優勢。如某次 Webshell 上傳事件發生在工作日的晚上 23:48，當時 MSSP 平臺發現了異常行為，并經 MSS 云端研判確認了一起 Webshell 上傳成功事件，5 分鐘內服務經理通過電話聯系到了用戶的值班人員對 IP 進行封堵，并遠程協同客戶處置解決了問題，有效控制了安全事態。因為事件的發現、處置、響應都處于非工作時間且實現了高效的閉環處置，用戶也切實感受到 7*24H 安全監測的重要性。7*24 小時值守通過成熟的 7*24 小時運營機制，確保 SLA 的達成，如事件平均響應時間為 8.9 分鐘，所有發現的安全

142、事件均得到有效閉環，閉環率達到 100%。SLA 承諾達成根據東莞政數局的真實反饋，“人機共智”理念的應用幫助大幅提升了安全運營的工作效率，在日常工作中多次準確地識別到各種安全事件，并第一時間通過電話或在微信群進行通告，運維人員快速定位到異常終端單位并下發工單進行處置，形成了一套東莞市政務安全問題運營機制。用戶安全人員認為政務 MSS 真正做到了省心便捷，極大地提升了安全運營生產力。安全運營生產力提升參照 GB/T 42461-2023信息安全技術 網絡安全服務成本度量指南，相比于傳統形式的本地化安全服務模式，一體化安全托管服務在能力上可覆蓋網絡安全監測，網絡安全分析，網絡安全應急響應和網絡安

143、全加固等典型服務需求范疇，安全效果顯著，安全運營機制更優。將安全工作從被動響應升級到了主動響應，在同等業務需求條件下，安全運營人力成本可降低約 50%-70%。相較于傳統的安全服務模式，降本增效成果顯著52政務安全托管服務（GMSS）實踐指南（2024）臺州市大數據發展中心安全托管擴展能力場景經過多年的信息安全建設，當前臺州市電子政務外網已初步建成一套較為完善的安全檢測防御體系。由于信息技術變化越來越快，網絡安全的威脅來源和攻擊手段不斷變化，網絡攻擊、網絡竊密、網絡詐騙、網絡黑產、個人信息泄漏等現象頻發，僅依靠安全產品和安全軟件做到永保安全的想法已不合時宜，需要 7*24 小時的安全事件的監測

144、預警、追蹤溯源分析和響應閉環服務，包括對事件驗證和確認、關聯事件上下文信息和證據補充，以及病毒問題的閉環解決，充分保障安全效果，樹立可協同、可監測、可預警、可防御的安全建設理念。安全需求以 XDR 可擴展檢測與響應為平臺構建市域網絡安全監管平臺，對區域電子政務外網的云、網、邊、端的整體安全數據進行數據歸集、匯總、清洗、治理，統一安全數據接口規范，構建開放、共享、標準的政務安全大數據體系。同時，以市政務云為核心，梳理電子政務外網安全能力，建設安全綜合分析系統，匯總產業端優勢安全能力，打造專業嚴謹的漏洞分析和事件研判流程。充分利用政務安全托管服務 GMSS 將相應系統和流程高效運轉起來，提供經過專

145、業專家研判的高質量漏洞和事件通報，更精準地發揮通報預警、應急指揮、案事件處置的職能。并且，通報閉環流程和安全運營中心充分共享，確保閉環進度和實際效果，做到過程可控、透明可視。面向各委辦局提供統一的人員、工具、服務三位一體的運營模式，通過專業的網絡安全隊伍和技術平臺，以及規范化的運營管理，以服務化的方式協助業務需求部門提升安全威脅主動發現和安全處置能力，實現臺州市政務外網網絡安全運行的閉環。安全運營團隊由線上 GMSS 服務人員和線下不同角色的安全人員組成，根據安全人員技能的差異匹配不同的運營崗位，明確崗位職責，制定標準工作流程，規范協同機制來保障運營能力的持續化輸出，根據安全人員技能的不同分為

146、基礎運營人員、分析人員（線上 GMSS+線下）響應人員和高級攻防人員，然后以服務目錄的方式為各委辦局提供持續化的安全能力輸出。GMSS 實踐機制GMSS 實踐機制7*24H 守護市電子政務外網，提供持續有效的安全托管能力支撐，出現告警后線上安服專家能夠能夠快速分析研判并及時響應，協同本地人員第一時間通知用戶，事后輸出相應報告，做到事事有跟進與反饋。GMSS專家團隊的專業分析、問題定位、漏洞驗證、事件應急、溯源調查等高階能力，能夠確保疑難問題得到妥善處理。一旦出現本地人員無法解決的未知威脅或疑難問題，GMSS 會將其升級到相應的專家，對問題進行深入分析、調查，分析根因，提供處理問題的最佳思路和方

147、案，并協助線下人員直到閉環處置。能力得到保障53政務安全托管服務（GMSS）實踐指南（2024）通過實時監控、威脅情報分析和行為分析等技術，實現提前發現和預測安全威脅，并主動采取措施來阻止攻擊或減輕其影響，通過 7*24 小時持續安全監控各類風險威脅，確保了響應速度達到用戶要求和 SLA 承諾。GMSS 三級專家團隊的協同服務，讓所有發現的安全事件均得到有效閉環，閉環率達到 100%。效果提升明顯GMSS上線以來實現對2661個真實事件的精準識別、研判和定位。實現從傳統的被動發現轉化為主動防御，在二十大、2023 年杭州亞運會、國慶和兩會等重保期間，提供不間斷的守護服務，7*24 小時持續安全

148、監控各類風險威脅，業務未曾遭受到大規模針對性攻擊行為的影響，外部攻擊行為均有效防護；內部主機異常訪問行為均被攔截。通過每日監測和分析，保障每日整體網絡安全情況，并對每日情況在釘釘群進行推送，體驗更安心。體驗更加安心在 2024 年省級主管單位組織的實戰攻防演練中，服務人員加強監測與快速響應、快速聯動處置、按需線下處置相結合，同時通過有力的威脅分析、溯源追蹤等動作，成功溯源攻擊隊人員 2 人，編寫報告向演習指揮部提交有價值信息獲取獎勵加分。目前 MSS 已穩定在線服務超過 4 年時間，期間對各個場景的安全工作均做好了保障，經受住了實戰的檢驗。實戰能力過硬某省級大數據中心7*24小時安全托管保障場

149、景客戶表示，目前安全設備日志量日均 1000 萬條，沒有足夠的安全專家資源進行告警分析，確定威脅告警的影響，并對確定的事件進行處置；針對頻繁發生的夜間攻擊，希望做到 7*24 小時監測，出現安全事件第一時間響應，避免出現被監管單位通報的負面情況，保障終端和服務器安全，但自身缺乏足夠的人員進行不間斷值守。安全需求基于“人機共智”模式，綜合運用資深行業專家經驗和豐富的威脅情報知識庫，對不同安全設備的安全日志、流量進行關聯，并通過資深專家池對安全威脅的專業分析及定位，幫助客戶精準檢測網絡和主機中的有效安全告警/威脅。同時，GMSS服務專家團隊會對識別到的威脅進行主動響應，采取措施降低威脅可能造成的影

150、響，協助客戶閉環處置安全事件。通過建立符合省大數據中心安全保障要求的 7*24 小時安全運營機制，持續性開展安全主動響應、漏洞管理、威脅管理、高危漏洞及威脅閉環處置，應對針對用戶的日趨猖獗的網絡安全攻擊。GMSS 實踐方案54政務安全托管服務（GMSS）實踐指南（2024）GMSS 實踐效果實戰有效事件告警減低通過安全運營總共發現 119 個安全事件，推送威脅情報 37 個，發現脆弱性 6 個，目前已經幫助用戶實現了 100%威脅閉環，運營期間無重大安全事件出現。夜間有效值守在整個服務期間，多次事件發生在凌晨，MSS 云上專家均及時發現并做了處置，充分展現 7*24 小時守護的優勢。7*24H

151、 的服務人員輪值排班，真人專家全天候在線線上通過三級安全專家坐席資源進行 7*24H 輪值，由專屬由專屬服務經理統籌負責響應跟進安全工作。其中 T1 安全分析師負責 7*24H 安全告警研判分析，針對非誤判告警生成事件，交給服務經理進行響應；T2 應急響應專家負責 7*24H 疑難安全告警研判，對重大安全事件進行應急響應并輸出報告；T3 首席安全專家負責 7*24H 高級威脅狩獵，安全告警規則研究、處置工具研究等工作。平臺持續監測+專家實時研判的 7*24H 檢測機制對于非工作時間的威脅，利用云端大數據平臺實現深度的多維度數據聚合分析，從海量告警中精準定位真實威脅和事件；針對常見的威脅場景（如

152、：勒索攻擊）預設安全用例 UseCase，橫向分析多維日志，輸出精準的威脅告警工單，大幅提升正報率和獨報率（目前平臺已內置 2000+UseCase 規則；支持自定義個性化 UseCase，已覆蓋超過 60%的客戶）；監測研判流程固化寫入平臺，實時監控KCP 節點，保障專家實時監測和通告，確保所有告警分析師需在 20 分鐘內完成審核，收到事件/告警后在 10 分鐘完成復審，并向客戶通告；夜間釣魚威脅狩獵：釣魚狩獵平臺收集黑客情報網和情報庫+人工研判，監測客戶郵箱泄露風險。7*24H 響應機制按照國家標準對威脅和事件進行分級分類，幫助客戶區分輕重緩急；與客戶提前對齊威脅和事件的分級和響應要求，尤

153、其是夜間事件分級分類和響應標準，并配置響應策略，保證響應動作更符合客戶實際需求。7*24H 聯動處置機制一般而言，對于非重大風險，平臺基于 Playbook技術根據風險信息傳遞指令，快速自動化響應，通過云網端 API 接口級聯動，無需遠程環境即可遏制安全風險，如 ip 封鎖等操作；對于重大風險：服務經理匯報風險信息和遏制方案，客戶授權后，通過安全組件進行響應遏制操作；并通過多維數據自動關聯分析，迅速溯源入侵路徑；通過實戰積累100+應急/專殺工具，高效處置；聯動設備進一步云端一鍵下發加固策略與配置。55政務安全托管服務（GMSS）實踐指南（2024）實時 SLA 保障通過成熟的 7*24H 運

154、營機制，確保工作時間 15 分鐘內響應，非工作 30 分鐘分響應。由三級專家團隊的協同服務，讓所有發現的安全事件均得到有效閉環，閉環率達到 100%。安心的服務體驗7*24 小時持續安全監控各類風險威脅，在二十大重保、春節期間、兩會期間，依舊保證不間斷的守護，讓用戶通過微信群和相關報告即可了解攻擊態勢，遠程協同完成夜間值守工作，體驗更安心。放心的服務效果用戶工作人員反饋表示：“GMSS 服務真的很棒，專業的安全專家幫我們運營著，平時響應也很非常及時，真正做到了省心便捷”?！霸谥匾獣r期（兩會、國慶、春節），服務專家也是 7*24 小時進行持續監測，監測方面還是很放心的”。某地市自然資源局勒索病毒

155、預防與響應場景安全需求后疫情時代勒索病毒攜帶著日趨成熟的技術革新和愈發隱蔽、復雜的“進化”能力，開啟了“重裝上陣”的瘋狂模式，勒索病毒進入了高速迭代的“人機共智”時代。某市自然資源局未雨綢繆，提前規劃建設勒索病毒的預防與響應體系，基于GMSS 服務健全安全防御體系，提前針對勒索病毒的攻擊特點采取有效預防措施，保障轄區內各項業務及數據安全。GMSS 實踐方案GMSS 的預防能力是基于客戶現網的網絡環境，結合客戶的資產，設備，拓撲進行分析，聚焦于資產上存在的脆弱性數據，如漏洞，弱密碼，高危端口，后臺敏感頁面等信息進行檢查，力爭提前發現可能被黑客進行利用攻擊的弱點，然后進行加固，降低被攻擊的風險。通

156、過對 2009 年以來 1000+個活躍的勒索樣本逆向分析，研究勒索感染傳播方式及攻擊手段等，最終得出的勒索病毒 checklist，結合勒索預防專家與應急專家的經驗和能力構建了勒索預防庫。預防庫已經固化到 GMSS 平臺工具庫模塊，不斷更新迭代，同時提供強大的自動化框架，支持自研以及第三方的工具擴展，實現工具易擴展、持續集成的目標。56政務安全托管服務（GMSS）實踐指南（2024）GMSS 實踐效果2022 年 11 月某日凌晨 1 點，GMSS 服務人員通過監測發現某業務有被勒索攻擊現象，第一時間向客戶請示匯報后，隨即采取防御措施進行防御，保障了服務資產安全，未發生勒索病毒的感染事件。但

157、狡猾的攻擊者依舊在凌晨 5 點尋找到 5 臺業務服務器發起了勒索攻擊，上午 8 點 30 分正式上班后，業務人員發現業務故障后上報安全管理中心，經過溯源排查，被攻擊的 5 臺服務器屬于業務測試服務器，未在 GMSS 服務資產范圍，且業務測試人員未按安全規定報備安全管理中心及遵守相關的安全規定，雖未帶來嚴重損失，但也給客戶安全管理工作敲響警鐘。GMSS 服務人員協助進行病毒的處置和清理后，強烈建議用戶要求將更多重要資產納入 GMSS 服務范圍，對非核心資產亦要加強安全管理及安全監測力度。勒索預防庫支持場景檢測的能力，勒索場景主要評估內容如下：終端檢測與響應組件的聯動部署終端檢測與響應組件并開啟終

158、端命令通道功能，不需要客戶提供遠程環境，只需客戶授權，能夠像在本地操作一樣進行調查閉環。除了執行常規的系統命令之外，還能下發執行 python、ps 調查閉環腳本以及勒索病毒專殺工具。多維度數據自動關聯，還原攻擊路徑政務安全托管服務通過安全設備或安全組件上報的日志數據，包括網絡審計日志、終端行為日志、網絡攻擊日志、終端安全日志、安全告警、安全事件、系統日志、脆弱性數據、資產數據等，并根據安全事件類型通過終端命令通道按需獲取需要的數據，利用機器學習、知識圖譜等技術還原攻擊鏈，利用調查結果自動對事件定性，分析出勒索病毒的入侵路徑、影響范圍、主機內行為等。最后，利用異構數據關聯+AI 算法，得出完成

159、的攻擊鏈。專家溯源能力基于專家團隊的實踐經驗，GMSS 已經積累百余個自動化調查閉環工具，同時專家對政務單位的網絡環境、設備環境和業務特征有較深的認識，以最快的速度、最好的效果實現快速處置閉環。GMSS 的勒索處置閉環能力是基于終端命令通道的聯動、平臺的自動化還原攻擊鏈和專家高階的調查溯源能力實現的。評估內容評估說明通過終端檢測與響應組件和漏掃組件檢查常見的被勒索病毒利用的弱口令，如 RDP 弱口令，SSH 弱口令，VNC 弱口令，msssql 弱口令，mysql 弱口令，smb 弱口令等，如果沒有同時具備這兩個組件，會導致部分檢查項無法執行排查時可根據需要選擇爆破字典，字典可在平臺進行配置提

160、供 27 項勒索病毒常見利用的漏洞檢查，其中終端檢測與響應組件支持 8 項，漏掃組件支持 19 項，如果沒有同時具備這兩個組件，會導致部分檢查項無法執行通過終端檢測與響應組件、漏掃組件、網站監測模塊來檢查客戶內外網可能存在常被勒索病毒利用的 29 項高危端口提供勒索相關的 UseCase 狀態檢查，以及檢查各項 UseCase 對應一個月內的相關告警風險通過平臺自動化工具檢查客戶現網安全設備組件上存在的策略隱患弱密碼掃描漏洞掃描高危端口掃描風險策略檢查勒索行為監測57政務安全托管服務（GMSS）實踐指南（2024）圖 5-3 預防勒索全面加固流程核心業務圖 5-4 應急處置-基于安全運營的勒索

161、工單處置流程示例極大程度修復高危勒索風險的漏洞、弱密碼、關閉高危端口、清除勒索殘留風險現有的安全設備策略調優，安全設備最大化地發揮安全效果安全運營能力補齊，根據當前安全現狀補齊 7*24H 勒索防護能力加固目標安全隱患清除增強安全運營能力勒索風險消除設備策略調優安全運營能力補齊勒索防范意思提升高危漏洞修復安全策略優化核心資產管理勒索攻擊監測終端勒索防護全網勒索感知云網端聯動勒索誘捕.脆弱性管理7*24H 威脅監測安全事件管理部署架構優化白名單梳理優化防護效果檢驗弱口令整改高危端口關閉勒索殘留項清除1-發起工單安全運營平臺UseCase觸發發起工單接收工單誤判確認啟動應急響應流程緊急遏制確定排查

162、思路勒索溯源排查（遠程）排查結束是否需要線下協助按照指導操作遏制快速上門協助遏制勒索溯源排查（現場）收到信息主動配合運營中心服務專家推送真微信、電話、現場指導+工具15分鐘同步情況指導加固結合解決方案事件歸檔云地聯動相互配合知曉排查進展向上反饋事件匯報總結輸出勒索事件報告配合排查提供信息是否協調線下專家實時同步情況脆弱性加固協助加固參與匯報同步結果用戶接口人線下服務專家2-勒索病毒遏制2-勒索溯源排查2-處置加固2-總結匯報+事件歸檔安全運營平臺知識庫積累了豐富的勒索應急案例和緊急遏制工具、腳本等安全運營中心調查庫積累了大量的勒索UseCase、Playbook安全運營中心處置庫積累了大量的勒

163、索加固處置方案58政務安全托管服務（GMSS）實踐指南（2024）圖 5-5 整體交付內容示例安全分析與響應引擎大數據威脅狩獵平臺用戶安全運營中心關聯分析UseCaseSOARPlaybook潛伏威脅威脅面分析溯源分析攻擊態勢機器學習AI 算法引擎安全運營服務平臺合作伙伴聯合運營平臺勒索風險排查和加固持續有效運營階段全流量威脅檢測核心交換機接入交換機下一代防火墻出口設備服務階段資產發現與識別資產信息梳理與管理Checklist勒索風險排查勒索風險排查匯報勒索風險加固指導勒索加固效果驗證勒索行為監測安全策略管理實時攻擊對抗勒索事件定位與預警勒索事件遏制與查殺勒索事件溯源與加固運營結果可視化定期安

164、全匯報勒索威脅情報通告與排查交付細項資產識別與梳理勒索風險排查勒索隱患加固指導勒索持續監測勒索應急處置可視化運營交付項安全專家安全專家安全專家安全專家安全專家+安全運營組件安全專家+安全運營組件安全專家+安全運營組件安全專家+安全運營組件安全專家+安全運營組件安全專家+安全運營組件安全專家+安全運營組件安全專家+安全運營組件安全專家+威脅情報中心交付形式1 次按次每季度每季度按需提供按需提供按需提供7*24H持續持續持續按需按需提供頻率技術（平臺+工具）人員（T1/T2/T3）流程（SOAR）政務外網出口EDREDRDMZ區EDREDR生產系統區EDS數據備份EDREDREDREDR勒索預防勒

165、索處置勒索持續監測GMSS 服務安全運營中心59政務安全托管服務（GMSS）實踐指南（2024）某省積極響應國家網絡安全建設要求，為更好地實現“以攻促防、以攻帶建”的目標，每年定期開展省級、市級和部分重點行業的實戰攻防對抗演習活動。某市市場監督管理局多次被列為攻防演習重點防守目標之一。單位積極部署，主動應對，但往年的效果不達預期，防守中大量丟分，多次成為反面典型。因此，該單位信息中心工作人員希望針對攻防演練類似的重要時期，在事前、事中、事后均有完善的流程進行安全保障，并具備快速監測與響應各種安全攻擊和事件的能力，同時以實戰攻防演習為契機，全面提升單位常態化的安全防護能力。安全需求圖 5-6 線

166、上 7*24 小時為主的實戰攻防演習安全保障機制實戰7*24H 對抗，高效閉環響應備戰快速建立防守壁壘，云網端全面加固戰后專業戰報總結，保障投入成果云端專家團隊 7*24H 值守，高頻次監測攻擊風險;攻擊事件專家分鐘級響應，平臺聯動網端組件自動化處置。平臺關聯網端組件告警還原攻擊故事線,專家快速研判，輸出專業應急溯源報告?！霸频貐f同，以云為主”的防守新思路，線上線下協同聯動，實現能為互補，發揮出安全專家和安全設備的更大效果。演習每日戰報，把握攻防動態。戰后演習工作系統總結，復盤差距明確下一步加固計劃。常態化的領先的安全效果保障:延續7*24H 的守護機制，基于實戰化要求提升安全運營能力，實現實

167、戰更有保障的安全效果，如 99%準確率、100%閉環率、平均 5 分鐘響應。資產全面梳理，業內首創風險預防工具庫，資產/暴露面/漏洞/弱口令全面排查;安全策略有效性檢查，云網端組件全面加固。全面識別互聯網暴露資產(郵箱/app/小程序/公眾號等非傳統資產),覆蓋全網情報收集。以 MSS 7*24H 值守快速擴充專家資源，通過云地協同的響應機制，保障網+端組件防護效果。利用線上 7*24 小時服務的云平臺和專家池資源構建的的大數據分析能力、威脅深度狩獵能力、安全事件自動化響應能力等，補齊線下值守不對等的現狀，同時基于實戰攻防保障活動的全流程，構建云地協同的實戰防御體系：事前減少互聯網資產暴露的端

168、口、漏洞以及潛在風險，事中 7*24 小時與攻擊隊做對抗，實時監測與處置，發現內外網黑客常見攻擊手段和潛在失陷主機，并快速處置，事后提交總結報告，并復盤防護體系的短板，進行科學整改。實踐機制某市市場監督管理局重要時期安全保障場景60政務安全托管服務（GMSS）實踐指南（2024）圖 5-7 安全專家 7*24H 線上值守實時對抗與防護2022 年 8 月某市市場監督管理局為正常參加安全攻防演練活動，同時保障系統在演練活動期間不受到非法惡意攻擊，在使用駐場服務的基礎上，將約 2000 個核心業務資產交由 GMSS 服務進行 7*24 小時不間斷的服務值守。重保期間，服務人員加強監測與快速響應，2

169、 小時線上強化檢測一次、快速聯動處置、按需線下處置相結合，經過 14 天的重保防守，確保了防守資產零失分，同時通過有力的威脅分析、溯源追蹤等動作，向演習指揮部提交有價值信息，獲取 2000+獎勵加分。而活動中，某個使用傳統服務的總資產約 3000 個的防守單位，總丟分達 2 萬+。因此，GMSS 服務的重保能力突出，獲得客戶認可，客戶也將現有的安全保障體系進行了升級，仍采用 GMSS 進行常態化的安全運營保障，目前 GMSS 已穩定在線服務超過 2 年時間，期間對各項重保任務均做好了保障。實踐效果從資產梳理、失陷主機分析、重保策略檢查、互聯網暴露面識別、弱口令等脆弱性識別、首次分析處置以及首次

170、 Webshell 查殺處置等維度進行保障設計，梳理重點資產（尤其是互聯網業務），收斂暴露面，縮減攻擊路徑，減少潛伏風險，補齊短板，整體提升防御能力。備戰階段線上服務經理 7x24 小時對全網資產、安全日志進行實時監測，每兩小時向客戶通報一次（提前創建微信群，在群內進行通報），并于每日 17 點 30 分發送日報，與每日 09 點 00 分通報從夜間至 9 點的安全事件。重點針對外部攻擊（Web 攻擊、系統漏洞攻擊），橫向攻擊（爆破、高危端口掃描）以及外聯攻擊成功事件（如服務器被控制如 cs 外聯事件或 dns 隧道外聯事件等）進行實時監測、告警，并且協助閉環處置及加固。并根據實際情況與客戶要

171、求，針對重大攻擊進行進一步的溯源分析和調查取證，形成報告，提交組織方，以獲取一定的加分。實戰階段對整體安全保障工作進行總結，包括安全保障效果和成果、工作存在的問題和改進計劃、業務和系統遺留風險及持續控制計劃等，為后期保障工作總結最佳實踐，為常態化安全保障工作提供經驗和能力沉淀。戰后階段負責服務項目的告警審核、告警診斷、售墅白名單管理等工作云端分析師組織負責協同服務經理，通過應急響應對威脅事件處置閉環，提升安全風險響應速度和能力應急響應工程師負責對升級的威脅工單進行研判和主動挖掘服務內資產的隱藏威脅風險，并將其沉淀為平臺技術能力;威脅挖掘工程師負責參與實戰攻防工作，并將實戰經驗進行人員賦能和沉淀

172、為平臺能力;安全攻防專家負責管理威脅情報，跟蹤情報POC、EXP,審核和驗證漏洞真實性情況;威脅情報專家負責對服務資產進行授權模擬攻擊，對安全性進行評估，查找和展示系統安全隱患問題;滲透測試專家負責協助服務經理解決疑難業務問題，根據服務落地情況。不斷優化迭代業務流程和規劃設計新業務，提升整體安全服務質量云端業務專家負責通過多維度長期深度分析，挖掘高級威脅，并將其威脅特征沉淀為平臺技術能力高級威脅分析專家負責協助應急響應工程師處理威脅事件，對應急響應情況進行審核復盤，優化提升響應速度應急響應專家7*24H線上服務2小時檢測一次按需線下處置負責用戶滿意度的調研，客戶質量數據的分析，輸出質量報告質量

173、運營專家負責項目的交付質量標準定義、項目質量管理推進，達標情況監督和質量問題化工作項目管理PMO主要負責跟進項目需求，協助線上安全專家，對線上無法快速響應處置的工作進行本地化操作本地安服工程師主要負責項目的日常運營服務工作，包含資產管理、脆弱性管理、威脅管理、事件管理、項目問題跟進、運營報告編寫、定期匯報等工作客戶服務經理質量管理服務支撐61政務安全托管服務（GMSS）實踐指南（2024）攻擊過程防御過程圖 5-8 可落地響應流程和攻防對抗圖 5-9 GMSS 重保防御過程跟蹤閉環對遺留安全風險的修復加固過程每日跟進，服務經理協助客戶進行加固操作報告推送安全專家將安全事件告警、處置、溯源分析及

174、遺留風險加固方案等信息形成報告推送給客戶快速通告客戶服務經理根據事件內容(入侵、病毒、后門、等)快速通知用戶，并調動安全專家進行防御響應初步響應一般事件由服務經理根據Playbook/知識庫進行自動化/半自動化處置;重大事件由安全專家快速阻斷抑制后，進行下一步深度溯源分析。云端分析師對事件告警進行分析研判，防止誤報及告警疲勞,并根據影響面、危害程度等信息依據國標進行風險定級風險研判深度溯源通過溯源攻擊鏈路，分析對應攻擊手段及信息，深度挖掘組織遺留安全風險服務經理定期梳理組織IT資產，分析師嚴格監控加固高危資產，非法探測行為實時阻斷。黑客對目標進行偵察探測，發現映射在互聯網的業務系統01非法探測

175、行為實時阻斷;弱口令問題持續跟進責任人修復;專人限制和監控未修復系統網絡。對業務系統進行弱口令探測，發現業務系統弱口令(test/123456)02專家提供落地修復方案，跟進閉環修復;嚴格限制和監控未修復系統網絡;專人遠程告警/清理木馬攻擊。利用業務系統文件上傳漏洞，上傳木馬文件,獲取服務器控制權限03內置UseCase深度監測橫向網絡入侵行為;利用AF/SIP阻斷探測操作;利用XDR溯源攻擊,評估影響面。進行橫向探測，掃描辦公區、核心區網絡04服務經理通過EDR監測暴破行為,通知管理員并快速阻斷;通過多維度日志溯源攻擊，評估影響面。通過定向暴破,侵入核心區業務系統05阻斷異常數據流向，通知管理員;溯源攻擊路徑,提供安全加固報告。竊取目標數據0662政務安全托管服務（GMSS）實踐指南（2024）