项目背景概述

21世纪是新兴技术爆发式发展的时代，5G网络、云计算、大数据、物联网、人工智能等新型技术开始进入社会与生活的方方面面，在推动业务模式发展与场景变革的同时，也带来了新的网络安全风险。

纵观全球的网络安全态势，一直处于汹涌澎湃的巨浪之中。由经济利益驱动的网络攻击，攻击手段愈发多样化、复杂化，攻击频次与日俱增，攻击者也变得更加组织化、产业化。全球每年关键基础设施遭遇的攻击层出不穷，有国家层面的APT攻击，也有面向重点单位如能源、医疗领域的针对性牟利攻击。据统计，2020年全球网络犯罪黑灰产高达6000亿美元，其中勒索软件攻击次数增长150%以上，大部分攻击都是专业黑客组织完成的。而最重要的是，国内的政府与企事业单位面对专业化的攻击，其防守能力与资源严重不足，难以有效应对国家级或有组织的高强度网络攻击。

习近平主席在2016年4月19日的网信工作座谈会上发表重要讲话，从整体战略的高度勾勒出了中国网络空间安全战略框架。习主席要求全面加强网络安全检查，“摸清家底，认清风险，找出漏洞，通报结果，督促整改”，同时还要求“全天候全方位感知网络安全态势”，只有加强网络安全大检查，更好感知网络安全态势，才能做到知己知彼，百战不殆。

为了应对这些网络安全问题带来的挑战，国务院办公厅、网信办、公安、工信等相关主管监管单位，先后出台了针对网络及关键信息基础设施的政策、标准要求，同时安全监测检查也趋于常态化，重大网络安全保障（如攻防演练、HW、两会、国庆）的压力也越来越大。《中华人民共和国网络安全法》、《网络安全等级保护2.0》、《关键信息基础设施安全保护条例》、《数据安全法》、《个人信息保护法》等相关法规和标准陆续出台，在网络安全监测预警、安全管理和运维制度等方面明确要求，组织应建立配套的常态化、长效化新型安全运营指挥技术和管理体系，通过自动化手段实现安全事件处置、隐患发现，完善应急指挥机制，建立设备资源、人力资源、管理资源之间的高效协同，对安全事件进行及时有效处置，实现统一的网络安全协同运营，保障本单位网络安全稳定运行，业务系统持续安全运转。

安全现状及挑战

国家层面的合规监管挑战

近年来政策监管愈加严格，导致企事业单位经常被通报、HW被扣分的情况时有发生。

随着网络安全法、网络安全等级保护2.0等政策法规不断完善，国家相关主管、监管单位对管辖单位的安全监测检查趋于常态化，相关单位重大网络安全保障的压力也越来越大，如网络攻防演练、两会、国庆等重要时期需要重点保障，需要具备一套整体安全机制提前发现各类安全问题，并进行协助处置、应急，避免被通报扣分，但很多运营者缺乏有效的技术和人员支撑。

随着信息安全形势的发展，国家相关监管部门对信息安全提出了明确的政策要求。这些要求进一步明确了信息安全主体责任，按照“分级管理、逐级负责”和“谁主管谁负责、谁使用谁负责”的原则，完善网络安全监管制度，并建立合规以及监管机制，这也使得监管力度不断增强。根据不完全统计，监管单位一般以通报单位存在的漏洞为主，包含了WEB类漏洞，系统类漏洞。2018年监管单位针对漏洞型的通报占比76.2%，可以说管好单位的漏洞，减少信息系统的脆弱性暴露面是面对监管单位的有效手段。

外部复杂的安全形势挑战

1）网络黑客产业化，安全形势严峻

近年来，安全漏洞呈不断上升的态势。根据国家信息安全漏洞共享平台（CNVD）统计来看，2020年，CNVD共收录通用软硬件漏洞20,704个。其中，高危漏洞7,420个（占35.8%），中危漏洞10,842个（占52.4%），低危漏洞2,442个（占11.8%）。这个趋势一直在往上涨，漏洞数量越来越多。在2020年收录的漏洞中，有8,902个属于零日漏洞，可用于实施远程网络攻击的漏洞有16,466个，可用于实施本地攻击的漏洞有3,855个，可用于实施临近网络攻击的漏洞有383个。

根据《2020年中国互联网网络安全报告》显示，全年仅CNCERT/CC就累计监测发现政务公开、招考公示等平台未脱敏展示公民个人信息事件107起，涉及未脱敏个人信息近10万条。并累计监测发现个人信息非法售卖事件203起。2020年累计监测并通报联网信息系统数据库存在安全漏洞、遭受入侵控制，以及个人信息遭盗取和非法售卖等重要数据安全事件3,000余起，涉及电子商务、互联网企业、医疗卫生、校外培训等众多行业机构。安全漏洞已经成为安全事件爆发的最关键导火索之一。漏洞的危害越来越严重，统计表明利用已知系统漏洞成功入侵的占到了72.6%。绝大多数的网络攻击事件都是厂商已公布、用户未及时修补的漏洞引发的。

黑灰产业利用漏洞也形成了各种各样的产业链，其中如恶意注册、虚假认证、虚假交易等部分黑灰产业甚至已经发展成了“一条龙服务”，从前期骗取农村、工厂等人口的身份信息，到后期网络交易平台虚假认证和虚假交易的整个过程，都有跨境跨地区的专人或公司负责。

2）网络攻击日趋复杂，攻防能力不对等

从上个世纪九十年代到现在，黑客的攻击手段一直在变化，总体上呈现更加智能化、复杂化的趋势。从攻击目的来看，从最初的黑客炫耀、破坏、窃取数据，转向以牟利为主的黑灰产产业化运作为主，如僵尸网络、挖矿程序、用户数据窃取等；从攻击技术手段来看，在最开始的僵木蠕、漏洞利用、口令入侵为主，演变成更加复杂的攻击方式，例如APT攻击、社会工程学、水坑攻击等；从攻击层面来看，从最初的网络层攻击如DDoS、身份冒仿等，向应用层的攻击如应用层漏洞利用、SQL注入、XSS攻击等演进。

根据威瑞森数据泄露调查报告，攻击者启动攻击到攻击成功往往只需要数分钟甚至几十秒便可完成。针对这些攻击事件，防守方的平均检测时间及平均处置时间却越来越长，普遍需要几周、几月才能发现攻击行为并加以处置。攻击方和防守方严重不对等。

3）新型威胁爆发，难以有效检测与应对

近几年，随着区块链和勒索病毒等新型技术和威胁的出现，整个黑产发生了很大的变化，因为勒索病毒，改变了获利模式；比特币，改变了交易模式，两者结合让安全事件发生频率大大提高，让攻防对抗变得更加不对等。

2020年CNCERT捕获勒索软件近78.1万个，总体呈现快速增长趋势。勒索软件GandCrab一年时间内就出现约19个版本，其更新迭代速度远超组织安全架构的迭代速度。“人机共智”加速了“勒索帝国”的发展，勒索病毒开启了更疯狂的进化，勒索病毒已经形成产业化的勒索“供应链”，分工更加明细的产业化犯罪活动。勒索软件即服务RaaS成为当前网络攻击的新运营模式，使得攻击门槛逐渐降低，广泛招收附属成员，让更多的攻击者参与并实现大范围敲诈的能力，快速形成勒索病毒产业化、病毒多平台扩散等的变化趋势。Cybereason发布了企业遭到勒索攻击的损失的分析报告显示,平均每11秒就会发生一次勒索软件攻击，据数据统计2021年组织的损失将达到200亿美元。索病毒的技术手段不断升级，利用漏洞入侵过程以及随后的内网横向移动过程的自动化、集成化、模块化、组织化特点愈发明显，攻击技术呈现快速升级趋势，且更新频率和威胁影响范围都大幅度增加，导致用户网络安全的有效性面临极大的挑战。而在防守方面，当前防病毒软件或硬件网关，基本上以依靠病毒特征库为主，而针对经过变种的病毒、木马或者未知恶意代码，不具备监测能力。

组织内部安全运营的挑战

1. 资产信息不清晰，安全风险难消减

只有知道需要保护的是什么，才能更好针对性地提供防御措施，但现在很多企事业单位，特别是分支机构及员工数量庞大的企事业单位，其资产信息的梳理却变得越来越困难，不清楚有多少IT资产（业务系统、中间件、数据库、虚拟机、服务器、网络设备等），存在大量影子资产、废弃资产，给黑客可趁之机，缺乏精细化的资产、漏洞管理手段，导致存在多种网络安全风险及大量可被利用的安全隐患，使得安全运营工作无法落到实处。

1. 防御体系不健全，安全效果难发挥

攻击者的技术不断进步，单一防御策略很难阻止攻击者的入侵，而作为防守方的企事业单位需要建立纵深防御体系，以便延缓攻击者入侵进度，给防守和处置留下充足时间。

现在的情况是，在合规驱动背景下，很多单位都做了一定的安全建设，购买不少的安全防御设备，但却没有构成体系化的防御能力，加之业务交互复杂，经常变动，安全策略却没有及时跟进，导致效果大打折扣。同时随着网络攻击快速演进，传统基于静态特征库检测、静态策略的防御手段开始失效，难以检测APT、0day等未知威胁以及勒索变种等新型威胁。新技术如大物移云智推动业务环境发生变化，也使原有的防护出现了短板。组织部署的各类安全设备，因各自为战不能形成合力、安全策略有效性难验证难优化、缺乏联动响应能力等导致安全割裂，无法有效发挥出价值。

1. 安全设备种类多，威胁告警难分析

为了对抗威胁，很多单位部署了大量安全设备或软件，这样导致的问题就是安全设备/软件产生了大量的安全告警，要从海量的告警中分析出真实的攻击行为，对很多企业来说都是一个巨大的挑战，加上误报、漏报、不同安全设备产生的告警信息都不一样等特点，依靠人工去检索和分析安全事件变成了一个不可能完成的任务，这就导致安全设备/软件最终成为摆设，即使有安全事件发生，安全人员也难以在第一时间发现。

1. 安全人员数量少，响应处置难高效

国内大多数的政府及企事业单位安全人员编制少，很多安全运维人员都身兼多职，且由于国内信息安全人员数量存在巨大缺口，短期内很难满足组织补充自有安全人力的需求，缺人的状态仍将持续很长一段时期。同时，现有的信息安全人员普遍基础较薄弱，安全运维能力不足，如对于复杂的问题安全分析能力不足，对于安全漏洞该不该处置、应该如何处置缺乏经验和知识积累，发生安全事件时缺乏足够的应急响应能力等。

1. 安全工作难衡量，工作价值难体现

安全部门不像业务部门一样有非常明显的量化产出物，安全运维人员做了大量的工作，也很难向上体现出来。安全工作时常陷入一个不幸的循环，即“出了事不认可、也不出也不认可”、“即使一千次不出事也毫无感觉、但只要有一次出事就是大事”。在平时的安全工作推进中，安全部门也很难顺利取得其他部门的配合。总之，安全运营工作者心中悬着三座大山：安全工作成果说不清、绩效难衡量、工作难推进。

项目建设需求分析

能力补齐

安全运营的核心价值源于人的专业实践与体系化运作。XX 单位在网络安全常态化运维中，深刻意识到传统模式下的效能瓶颈 —— 现有团队在专业人才储备、岗位权责体系、技术实战能力等方面存在短板，导致安全事件响应的时效性与精准度未能满足业务保障需求。为此，单位致力于推动安全运营体系的深度升级，构建 “人才 - 技术 - 流程” 三位一体的现代化运营模式，具体方向如下：

立足单位人力资源现状与业务运维场景，对标行业合规标准与最佳实践，重构安全运营组织架构。通过引入外部资深安全专家团队，搭建分层级、强协同的人才梯队，明确各岗位核心职责与协作机制，实现人力配置的最优化与团队专业能力的阶梯式成长，打造权责清晰、高效协同的运营核心。

以效率提升与风险防控为双核心，推动运营模式数字化转型。一方面，借助自动化工具平台实现重复性工作的智能替代，例如报表生成、日志关联分析、攻击溯源等流程的自助化输出，释放人力聚焦高价值安全工作；另一方面，依托外部专家的实战指导与技术赋能，系统性提升内部团队的安全事件处置能力，构建快速响应、精准研判的应急机制，确保合规运营无风险，杜绝监管通报隐患。

整合外部专业团队的成熟经验与方法论，推动单位安全运营体系的规范化迭代。打破以往 “事后补救” 的被动模式，建立覆盖 “事前风险评估与预防、事中实时监测与预警、事后复盘加固与优化” 的全生命周期运营闭环，实现安全管理从碎片化应对向体系化防控的转变，全面提升安全运营的专业性、全面性与可持续性。。

工具整合

技术工具是安全运营工作的主要载体和基础。现有各类安全设备和组件各自为战、日志分散、能力不集中，且对内网横向流量与虚拟化平台内部东西向流量缺乏有效检测，无法全面看清全网流量风险。为了自身网络安全防护需要，同时满足合规与主管单位监管要求，XX单位亟需搭建一套行之有效的安全运营平台，希望实现以下需求目标：

①　实现全网安全流量与日志的统一汇聚、检测与分析，提供集中安全告警，收敛安全运维入口，提高安全分析与运维效率；

②　增强对安全日志的关联分析能力和深度挖掘能力，通过AI、UEBA等新技术的运用，发现新型威胁、潜伏威胁与未知威胁；

③　实现安全风险实时可感知，风险多维度可视化监控，可以定期查看整体网络安全态势报告、资产与脆弱性风险报告、运维报告等；

④　形成自动化联动处置能力，针对高危事件与已失陷主机，能提前预设剧本，联动防火墙、EDR等安全系统自动化执行策略，缩短MTTR时间。

流程落地

运营流程是安全运营工作的重要保障和核心。当前，XX单位的安全运营流程体系还不完善，如没有建立各类安全事件处置流程、漏洞补丁修复流程等，导致安全运营工作不能有效串起来、快速流转与闭环。XX单位对安全运营流程的需求主要表现为：

①　建立规范化的安全管理制度，包括安全事件管理、安全应急管理、安全运营管理与安全管理人员等，让所有安全运营工作的开展都有章可循，又便于回溯与追责；

②　建立各类安全处置工作的标准化流程步骤和应对措施，例如漏洞修复与管理流程、勒索挖矿等病毒事件处置流程、工单预警通报流程等，出现安全事件时，不会再光着急上头却茫然不知所措，使安全运营工作有序、高效开展；

③　加强公司上下的安全运营流程意识，建立学习与检查机制，如定期组织培训学习、开展安全演练等，从根本上提供整体团队对安全运营工作的认知水平和重视程度，使越来越多的组织成员加入到安全运营工作中来。

项目建设思路

建设依据

安全运营体系建设主要参考和遵循的国内外相关法律法规和标准规范如下：

法规政策

• 《中华人民共和国网络安全法》
• 《国家网络空间安全战略》
• 《国家网络安全事件应急预案》

国家标准

• 《信息系统安全运维管理指南 GB/T 36626-2018》
• 《信息安全技术网络安全等级保护基本要求 GB/T22239-2019》
• 《信息安全技术网络安全等级保护安全设计技术要求 GBT25070-2019》
• 《信息安全技术 信息安全风险管理指南 GB/Z 24364-2009》
• 《信息技术 安全技术 信息安全事件管理 第1部分：事件管理原理 GB/T 20985.1-2017》
• 《信息安全事件分类分级指南 GB/Z 20986-2007》
• 《关键信息基础设施安全保护条例》

国际标准

• 《SP800-137 联邦信息系统和组织的信息安全连续性监控（ISCM）》
• 《信息技术 安全技术 信息安全风险管理 ISO/IEC 27005》
• 《风险管理标准 ISO/IEC 31000》

建设原则

先进性和适用性相结合的原则

在设计安全运营体系建设方案时应使用较为成熟、先进的技术。技术上要能保证在相当长的一段时间内不会落后同时在保证实现系统建设目标的前提下应尽量选择价廉物美、技术成熟、质量可靠的技术，不盲目追求技术的超前，使整个系统具有较高的性能价格比。

系统性原则

所设计的方案应能支持多种操作系统、多种网络协议和多种软硬件平台充分利用现有投资在设计的各子系统之间实现资源、设备等的共享同时系统应符合国际、国内所制定的各项标准采用模块化设计方法预留标准化接口以满足将来的发展、信息共享、功能扩展和升级的需要避免投资的重复和浪费。

可靠性和安全性原则

可靠性和安全性体现在设备安全可靠、数据安全可靠、网络安全可靠和软件安全可靠因此要求系统必须具备自检功能和故障冗余容错功能。

智能性原则

智能性主要体现在安全运营的处理能力、事件和故障处理的准确性、事件处理的深度、故障反应和处理的快速性等方面因此要求系统在处理常见故障时能及时、准确地调用备份资料或使用备用设施保障系统的不间断正常运行在处理常规事件时能体现出自动化、智能化、高速度和高效率；在处理复杂、敏感、影响力大的安全事件时系统的综合协同调度指挥能力要能与之适应。

实用性原则

考虑到安全运营中心工作人员的配置，整体方案所设计内容应提供规范的人机交互环境操作使用手册和日常维护要合理，方便方案涉及内容整体建成后工作人员经短期培训即可熟练操作。

“三同步”原则

在整体方案设计、建设推进中充分考虑同时设计、同时施工、同时使用的这一原则，保障安全运营体系正常运行

建设范围

根据实际情况填写

举例：XX单位本次安全运营建设范围包括：总部服务器区、核心交换区、办公区、云化业务区等总部重要网络区域，以及二级分支的互联网业务区、办公区以及服务器区等。

建设目标

本次安全运营体系建设以XX单位的网络、重要服务器、核心业务系统等IT资产为保护对象，依据网络安全法、网络安全等级保护要求和相关标准规范，安全“自动协同闭环、持续安全运营”的理念，建设安全运营平台为主要载体与基础、以安全运营人员与组织保障为主体与关键、以安全运营机制流程为保障和核心，建设具备安全运营平台、安全运营流程、安全运营人员三大体系的有机组成部分，建立与XX单位网络信息化与组织架构相配套的安全运营中心，提供统一安全运营技术能力、统一安全监管能力、统一安全运营流程和安全服务能力，打通各类事件处置流程、监测预警、应急响应等的运营流程，实现网络安全从被动向主动、从静态到动态、从单点到整体、从粗放到精准防御的转变，全方位全天候的保障网络信息系统安全可靠，全面监测和阻断已知网络攻击和未知入侵渗透风险，防范来自外部和内部多类型攻击，以安全保发展，以发展促安全，推动XX单位网络安全发展迈向新的高度。

方案总体设计

安全运营整体架构

安全运营解决方案框架包括安全运营平台、安全运营组件、安全运营组织、安全运营流程、安全运营支撑服务五部分：

安全运营平台：作为安全运营中心的核心主体，承担着对全部运营对象的资产采集、安全数据分析和处理、安全风险和运行状态的综合呈现工作。包括数据接入、安全数据治理、数据存储域计算、核心能力引擎、可视化展示。

安全运营组件：各种网络端检测组件、防御组件、端点检测组件等

安全运营流程：主要是建立符合组织自身情况的安全运流程，如事件处置流程、应急响应流程等，并将这些线下的运营流程通过安全运营平台实现电子化的线上标准化流程，实现高效安全运营。

安全运营组织：安全运营组织是整个安全运营中心的主体，组织架构的完善和人员能力的高低决定了综合安全效能的好坏，因此需要建设完善的组织架构和团队能力。根据企业或组织的实际情况进行权责划分和人员分组，根据人员能力划分三级人员，如包括T1运维为主的工程师、T2研判指挥专家、T3攻防对抗专家三类，也能提供这三类不同级别的安全服务。

安全运营支撑服务：提供安全运营工作的支撑服务，可有效解决用户缺乏专业的安全运营人员及运营能力，帮助用户有效开展日常安全运营工作、重大安全保障、以及战时安全运营工作。

安全运营能力说明

借助安全运营（平台+组件+服务+组织+流程）五个核心要素，从风险识别、协同防御、监测预警、响应处置、监督检查五个能力维度构建安全运营能力体系，指导落实网络安全运营工作。

风险识别能力

安全运营应能通过资产全生命周期管理，有效控制安全风险，通过风险识别能力能够全面、准确的了解组织机构的网络安全现状，发现系统的安全问题及其可能的危害，为系统最终安全需求的提出提供依据。

通过资产管理，同步漏洞管理、业务脆弱性管理等快速发现内外网安全风险，并及时收敛，减少攻击面。

协同防御能力

协同防御能力即当攻击行为发生时，相关的安全设备能相应地协同响应，作出防御措施，如网络流量检测设备在发现威胁时，能够通知防火墙对非法IP进行阻断，或防火墙在发现非法外联行为时，阻断非法外联行为，同时通知相关终端安装的EDR软件进行杀毒操作。通过这种联动机制实现对信息系统的综合防御能力，而这种防御措施都应该在安全运营的有效部署和协调下准确高效地完成。

监测预警能力

监测预警作为安全运营的核心能力，通过全方位、全覆盖监测，发现网络、资产安全威胁、脆弱性等问题，并以多种形式的有效预警，为响应处置工作提供详实的处置依据，提高响应处置工作的效率，并且对响应处置反馈结果进行重点监测，检验处置工作的效果。

另一方面通过监测预警能力支撑持续优化工作，将全生命周期监测发现的风险隐患，以及各阶段输出的成果作为依据，深度剖析面临的安全威胁、脆弱性、合规性等问题，从技术、管理、制度等方面，进行有计划、有重点的持续优化完善，同时对监测预警能力进行不断迭代，周而复始、循序渐进、动态地提升网络安全保障能力。

响应处置能力

在发生安全事件期间，思路清晰并迅速采取预先计划的事件响应步骤，可以防止许多不必要的业务影响和声誉受损。通过安全运营提供的事件响应处置能力，制定全面的事件响应（IR）计划，帮助安全团队对网络安全事件做出完整，快速和有效的响应，通过准备（Preparation）、检测（Detection）、抑制（Containment）、根除（Eradication）、恢复（Recovery）、跟踪（Follow-up）6个阶段的响应处置工作，降低因安全事件带来的损失。

监督检查能力

网络安全的建设效果不仅仅是靠部署产品和购买服务来完成，还应通过监督检查来检验具体落实情况，如等级保护的落实情况、关健信息基础安全设施保护的落实情况，HW等重大活动保障场景下的安全措施落实情况等，通过安全运营为网络安全相关的各类监督检查工作提供支撑平台，通过制定相应的绩效考核标准和流程，对总部、分支等安全建设落实情况实现有效掌控。

方案部署及实施

安全运营中心方案是在被保护及运营对象和网络目标范围内，部署各类安全组件和建立人员组织来实现整体安全效能的提升。核心部署组件包括：

安全运营平台：安全运营平台是安全运营中心的核心承载，通过安全运营平台打通安全运营人员和流程，并通过大数据、威胁情报、SOAR、人机共智的交互界面，提升本地已部署的各类安全组件的联动能力，实现对各类威胁及时、深度检测，安全风险全面分析，并提供自动响应策略实现对一部分安全事件的处置闭环。

数据采集探针：通过在核心交换机、重要服务器区域和其他网络区域的交换机上旁路部署各类数据采集探针，如威胁潜伏探针、日志采集探针、文件威胁分析系统等，实现对全网关键区域流量的采集与威胁分析，各类IT资产的日志和告警采集，并分析网络中存在的各类高级安全威胁。

云端服务：通过云端的安全大脑、云眼云盾及安全运营服务，可实现对用户的对互联网提供服务的各类业务系统、网站等实现安全防护与监测，实现基于大数据平台的威胁情报碰撞与深度安全分析，并提供专业化、持续化的安全运营服务。

可以分期建设，达成阶段性目标，逐步完善平台及运营能力：

方案核心价值点

安全运营中心是安全效能倍增的网络安全建设模式，通过建设安全运营平台、安全运营组织、安全运营流程，打通技术、流程、人员各部分能力并形成有机结合的整体，实现组织现有安全运维效率的提升、安全建设效果的提升，并通过安全运营平台有效体现安全部门和负责安全工作的各类人员的工作价值。满足国家法律法规和标准规范中对网络安全运维和安全监测管理方面的要求，提升组织的整体安全能力。各部分核心价值点主要体现在以下几个方面：

1）提升安全监测掌控能力

• 整合碎片化安全信息集中分析
• 流程化安全事件通报及热点事件预警
• 实现全面协同响应

2）提高运营工作快速高效

• 精准还原安全事件故事线，快速溯源
• 安全事件自动处置能力
• 提供电子化流程提升事件流转处置效率

3）提升网络安全建设效果

• 通过平台联动网端云各组件提升整体安全建设效果
• 云地协同解决闭环服务体系

4）体现安全工作价值与绩效

• 体现安全部门及负责安全工作的人员价值
• 对相关部门单位进行安全评级，以评促管

项目管控方案

控制目标

以 “合规落地、风险可控、成果有效” 为核心，通过标准化、精细化管控，确保项目在既定范围、进度、成本内，完成省级政务外网与政务云边界安全验证，输出精准风险评估报告与可落地加固方案，满足等保三级、密评三级等合规要求，保障政务数据与业务系统安全。

控制原则

合规优先：严格遵循《网络安全法》《数据安全法》及政府信息化项目管理相关规定；

甲方主导：把控项目核心决策、范围界定与验收标准，统筹协调各方资源；

全流程管控：覆盖项目准备、执行、分析、闭环全阶段，实现 “事前规划、事中监控、事后复盘”；

风险前置：重点防控业务中断、数据泄露、范围蔓延等核心风险，建立快速响应机制。

适用范围

本方案适用于项目全生命周期，涵盖甲方内部跨部门协同、乙方（测试机构）履约管理、监理单位监督协调等所有相关环节。

1. 范围界定（前期锁定）

制定《项目范围说明书》，明确验证对象（政务外网出入口、政务云边界设备、跨区域数据交换接口等）、验证内容（网络层 / 应用层 / 社会工程学攻击模拟、纵深防御各维度验证）、排除项（涉密系统、核心生产环境非测试窗口时段操作）；

梳理核心资产清单，标注资产优先级，形成《政务网络核心资产明细表》，作为范围基准，双方签字确认。

2. 范围监控（过程管控）

建立变更控制流程：任何范围变更（如新增验证节点、调整攻击模拟手法）需由乙方提交《变更申请表》，甲方联合技术部门、监理单位评估影响（对进度、成本、风险的影响），审批通过后方可执行；

每周项目例会核对范围执行情况，对比《项目范围说明书》，确保无未经审批的额外工作，避免 “搭车需求”。

3. 范围验收（成果对标）

验收阶段以《项目范围说明书》为基准，核查是否完成全部验证内容，是否存在遗漏或未达标的验证维度，确保成果与范围一致。

风险控制措施

风险误差可能是多方面的，误差的及早发现是保证项目成功的基本保障。对误差的严肃性是项目管理的基本要素，因此，我司对误差的控制尤其重视。

对以下各个事件，必须做出误差分析：

• 设计方案有重大改动
• 设备有较大变化
• 技术有严重的缺陷
• 进度与计划差别较大
• 设计有误
• 其它重大事件

项目经理应给出误差（失误）分析报告，并有每一误差的详细分析报告，此报告应提交相关人员。

1、项目风险管理

风险管理计划是项目管理的组成部分之一，基于项目启动前的评估、分析和减负而产生。风险管理是一个重复的过程，从项目开始时贯穿整个项目生命周期。以下几个部分构成风险管理过程：

• 在项目开始时，我司项目组和甲方相关人员必须对项目组中参与风险管理的人员和责任达到共识，我司将确定何时和如何重新评估风险及报告风险管理状态。
• 通常信息安全服务是根据每周的项目小组进展报告会议的议程来进行的，但必要时要召开专门会议评估和管理风险。
• 项目经理总结项目组的服务情况并向项目发起人报告风险发现情况。

2、风险分析

风险分析是一个持续实施的过程。在一个项目从始到终，任何新的或变更的风险应重新进行风险分析。对每一个风险确认应完成以下的风险列表：

• 风险描述
• 风险影响类型和可能影响的日期
• 风险告警标记
• 风险可能性
• 潜在的和可能的风险成本
• 风险优先级

3、风险确定

确定项目中潜在负面结果的不确定性，在项目生命周期中尽可能早的确定风险并存放在风险评估报表中，同时风险确定要在项目生命周期中持续进行。

在开始项目风险确定时，所有项目组成员有责任去发现自己负责部分工作中的潜在风险，并在每周的项目组例会上提交，或者在风险比较紧急的情况下直接提交给项目经理。

通过实现软件和技术结构的经验，我司项目组设计了一个风险评估报表由以下几类构成：

• 与运行支持相关的风险
• 与应用操作相关的风险
• 与人力资源成本相关的风险
• 与项目实施时间相关的风险
• 与技术使用相关的风险

每一类列出可能的风险项目，并询问客户此项风险在项目中作为低／中／高风险考虑。这个评估或者由几个关键小组成员进行并交给项目组讨论，或者由关键的项目组成员在会议上讨论并记录下共同的评估结果。在评估会议中，新的风险项目要加到风险评估报表中。

4、风险降低

风险降低即采取行动去除、减少、最小化项目风险的影响。

通过风险分析，形成一个风险降低计划，形式为风险降低策略表，其中包括一系列为项目成功而采取的最小化风险影响的行动，针对每一个风险都指定一个负责人，由负责人负责跟踪风险状态并随时更新风险降低计划。

对于那些影响低、可能性低的风险一般不需要制定风险降低计划，但是这些风险必须要监控，避免发展或转化为高风险。

对于需要降低的风险，有两个降低策略需要考虑：

预前处理策略：通过清除、减少或避免风险来最小化风险带来的威胁。

意外处理策略：在情况发生时采用一个意外处理计划可以最小化风险的影响。

风险降低控制

在整个项目过程中，为了有效的管理风险，如果需要，项目经理需执行下面的活动：

• 实施风险降低计划如果通过发现风险告警标记为正面，那么可采用预前处理策略，执行风险降低计划。
• 评估风险降低计划的效率
• 再评估：针对项目中动态变化的风险，定期要再评估这些风险的状态

应急保障措施

项目风险应急管理包括风险管理规划、风险识别、风险分析、风险应对规划和风险监控等各个过程。项目风险管理的目标在于提高项目积极事件的概率和影响，降低项目消极事件的概率和影响。

（1）风险管理计划

风险管理计划描述将如何安排与实施项目风险管理。确定风险管理计划中每项活动的领导者和支持者，以及风险管理团队的成员，并明确其职责。

• 风险管理的内容
• 风险管理成员
• 风险管理职责
• 风险识别与评估

识别风险是判断哪些风险会影响项目并记录其特征的过程。识别风险是一个反复进行的过程，因为在项目过程中，随着项目的进展，新的风险可能产生或为人所知。

评估并综合分析风险的发生概率和影响，对风险进行优先排序，从而为后续分析或行动提供基础

在风险的识别的基础上，得到了风险的来源，接着便是根据掌握的资料、风险信息及风险的性质对风险进行有效的系统的分析与研究，确定风险的特征和强度等级。

对被认为对项目的竞争性需求存在潜在重大影响的风险的影响进行分析。

1. 风险应对

根据风险的优先级来制定应对措施，并把风险应对所需的资源和活动加进项目的进度计划和项目管理计划等。

风险应对措施必须与风险的重要性相匹配，能经济有效地应对挑战，在当前项目背景下现实可行，能获得全体相关方的同意，并由一名责任人具体负责。风险应对措施还必须及时。

1. 交付风险应急方案

本项目是一个复杂的、长期的项目，实施具有一定风险，如何在项目实施中有效地管理风险、控制风险，已经成为了项目实施成功的必要条件。

项目风险的管理不仅贯穿于整个项目过程，而且在项目事件发生之前风险的分析就已经开始。

风险管理过程分为6项活动，使项目的风险得到识别、缓解和监控。

• 识别项目风险
• 对项目风险登记并确定优先级
• 识别风险缓解行动
• 分配并监督风险缓解行动
• 确定并在发生问题时实施应急行动
• 项目风险结束

项目风险管理的流程如下图所示：

（2）风险管理流程

1）风险的分类

对本项目建设过程中包含的风险因素，按照多种分析方法进行整理和分类后，可以将项目风险分为五大类别，详细内容如下图：

运用系统风险分析理论，将五大风险因素继续细分为：技术风险、费用风险和进度风险属于系统内部风险因素；社会风险和管理风险属于系统外部风险因素。

2）内部风险因素

技术风险

技术风险是指当与项目相关的技术因素变化后，给项目建设引入的风险。通常定义为项目开发或实施在规定时间内、计划费用条件下，不能满足技术指标要求的可能性，或项目某部分出现意外结果，对整个系统造成负面影响的可能性及后果。

就技术风险而言，一般从技术成熟性、复杂性和相关性三个方面来衡量风险大小，从技术性能、费用和进度三方面来考虑该风险损失。

风险级别

3）费用风险

费用风险指由于项目任务要求不明确，或受技术和进度等因素的影响而导致项目费用超支的可能性。该风险将从任务要求明确性、技术风险影响性、进度风险影响性、成本预算准确性、合同类型影响性、合同报价影响性六个因素出发进行评估。

（3）费用风险级别

（4）进度风险

进度风险指由于各种不确定性因素的存在，导致项目工期拖延的风险。该风险主要取决于技术因素、计划合理性、资源充分性、项目人员经验等几个方面。

进度风险级别

| 进度风险级别描述表 | | | |
| --- | | | | --- | --- | --- |

（5）外部风险因素

1. 社会风险

社会环境风险是指由于国际、国内的政治、经济技术的波动，如政策变化、战争、动乱等，或者由于自然界产生的灾害而可能给项目带来的风险，这类风险属于大环境下的自然风险，一般是致命的，几乎无法弥补的风险。

1. 管理风险

管理风险指由于项目建设的管理职能与管理对象，如管理组织、领导素质、管理计划等因素变化，给项目建设带来的风险。

2、风险的量化

对每项风险发生的概率和对项目和有关业务的影响进行量化。对于每项风险要划分优先级，这要按照概率和影响的等级，并清楚的标明低、中、高的优先级。

风险概率

描述度量风险发生的概率的评分体系。

风险概率量化参考表

风险影响

描述度量风险的影响的评分体系。

风险影响表

风险管理是贯穿整个工程的建设过程中的，需要项目组及时发现，及时规避项目风险。

3、风险管理措施

（1）识别风险

主要的任务是发现和识别风险，考虑相应的对策和预案，便于未来的监控和更好的规避风险。

提出风险的人员要识别项目各方面的可能的风险（例如，范围、交付物品、时间表或资源）；

风险的管理是一个动态的过程，随着项目的进展会不断地出现新的风险，发生的风险也可能造成新的风险，所以目前列出的风险只是当前能考虑到的部分风险。

（2）登记风险

项目经理评审全部被提交的风险，并确定是否每个识别的风险对项目都适用。根据本项目的需求，分析这些风险是否对项目如下方面有影响：

• 在工作产品登记表中规定的产品
• 在质量要求中规定的质量目标
• 在项目计划中规定的进度要求
• 在项目计划中规定的资源
• 在项目计划中规定成本和预算

如果项目经理认为它们是风险，则在风险登记表中正式列出，并赋予一项风险的ID号；

根据风险的严重程度，项目负责人将分配风险的“影响”和“概率”。

（3）确定和指派行动

用户方在项目组的协助下，完成对列在风险登记表中的每项风险的正式的评价，并根据风险的影响和概率，完成如下工作：

如果没有明显的行动，并且风险可能不再对项目有影响，就关闭这项风险；

如果为缓解风险需要实行项目的变更，按照“问题处理规程”提出变更请求；

指派风险行动以缓解风险；

确定风险发生后的应急行动；

项目经理将此风险计划通知给用户和监理单位（如有）。

（4）监督项目的风险状态

在定期的项目工作会议、月例会、里程碑会议上或有重大的风险状态变化时，项目组对工程项目的风险进行状态分析和处理，完成如下工作：

• 根据“风险登记表”逐一的检查各个项目风险的状态
• 根据项目的进展情况，对各个风险的概率和影响重新评估并得出新的风险优先级和对应的排队
• 不断识别和登记可能的新的风险
• 当对项目不再可能有影响时，关闭风险
• 将项目的风险状态通知采购方和监理单位（如有），以及采购方的高层管理人员

（5）执行和监督风险缓解行动

采购方为风险的缓解指派并实施缓解行动。这包括：

• 准备实施风险缓解行动，订立执行每项行动的时间进度
• 按照进度执行行动
• 监督全部实施的风险缓解行动的发展情况
• 定期评审记录在风险登记表中的全部风险
• 识别为缓解风险需要的变更请求
• 继续实施风险缓解行动
• 评审每项已执行行动是否成功
• 将缓解行动的执行情况定期通知各方，并上报用户方领导

（6）执行和监督风险应急行动

当风险成为问题后，采购方实施应急行动。这包括：

• 准备实施应急计划，订立执行每项行动的时间进度
• 按照进度执行行动
• 监督全部实施的风险应急行动的发展情况
• 评审每项已执行行动是否成功
• 将应急行动的执行情况定期通知各方，并上报用户方领导

3、风险控制策略

风险分配

为了有效的实现项目风险的分配，必须在项目参加者之间进行合理的分配，只有每个参加者都有一定的风险责任，才有可能对项目管理和控制的积极性和创造性，只有合理的分配风险才能调动各方面的积极性，才能有项目的高效益。从项目整体效益的角度出发，最大限度地发挥各方面的积极性。

项目参与各方如果都不承担任何风险，也就没有控制的积极性，就不可能搞好工作。因此只有让各方承担相应的风险责任，通过风险的分配以加强责任心和积极性，达到能更好地计划与控制。其有效的做法应为合同管理的机制到位，并面向各参与方的项目合同，应站在项目总体的高度上进行控制和实施，公平合理，责、权、利平衡。

合理分配风险要依照以下几个原则进行：

（1）险的责任和权力应是平衡的。有承担风险的责任，也要给承担者以控制和处理的权力，但如果已有某些权力，则同样也要承担相应的风险责任；

（2）风险与机会尽可能对等，对于风险的承担者应该同时享受风险控制获得的收益和机会收益，也只有这样才能使参与者勇于去承担风险；

（3）承担的可能性和合理性，承担者应该拥有预测、计划、控制的条件和可能性，有迅速采取控制风险措施的时间、信息等条件，只有这样，参与者才能理性地承担风险。

风险对策

任何项目都存在不同的风险，风险的承担者应对不同的风险有着不同的准备和对策，这应把它列入计划中的一部分，只有在项目的运营过程中，对产生的不同风险采取相应的风险对策，才能进行良好的风险控制，尽可能地减小风险可能产生的危害，以确保效益。

本项目的风险对策包括：

采取先进的技术措施和完善的组织措施，以减小风险产生的可能性和可能产生的影响。如选择有弹性的、抗风险能力强的技术方案，进行预先的技术模拟试验，采用可靠的保护和安全措施。

对管理的项目选派得力的技术和管理人员，采取有效的管理组织形式，并在实施的过程中实行严密的控制，加强计划工作，抓紧阶段控制和中间决策等。

风险控制

实施中的风险控制贯穿于项目控制（进度、成本、质量、合同控制等）的全过程中，是项目控制中不可或缺的重要环节，也影响项目实施的最终结果。

加强风险的预控和预警工作。在实施过程中，要不断地收集和分析各种信息和动态，捕捉风险的前奏信号，以便更好地准备和采取有效的风险对策，以抗可能发生的风险。

在风险发生时，及时采取措施以控制风险的影响，这是降低损失，防范风险的有效办法。

在风险状态下，依然必须保证工程的顺利实施，如迅速恢复生产，按原计划保证完成预定的目标，防止工程中断和成本超支，唯有如此才能有机会对已发生和还可能发生的风险进行良好的控制，并争取获得风险的赔偿，如向保险单位、风险责任者提出索赔，以尽可能地减少风险的损失。