□揭建成

網(wǎng)絡(luò)安全保障是系統(tǒng)工程，應(yīng)按照體系化推進(jìn)的思路，加強(qiáng)網(wǎng)絡(luò)安全管理體系、服務(wù)體系和技術(shù)平臺建設(shè)，提升網(wǎng)絡(luò)安全保障水平

作為省政府?dāng)?shù)字化轉(zhuǎn)型的重要組成部分，數(shù)字發(fā)改建設(shè)已成為省發(fā)改委的“一號工程”，投資項(xiàng)目在線審批監(jiān)管、經(jīng)濟(jì)運(yùn)行等平臺相繼投入運(yùn)行。保障平臺網(wǎng)絡(luò)安全，特別是政務(wù)數(shù)據(jù)的安全，是擺在眼前重要而棘手的課題之一。

新技術(shù)帶來的挑戰(zhàn)日益增多。云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)等新技術(shù)應(yīng)用帶來了資源節(jié)約和使用便利，也引發(fā)了諸多網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和挑戰(zhàn)，如云計(jì)算技術(shù)應(yīng)用引發(fā)了虛擬化的安全風(fēng)險(xiǎn)、云租戶隔離、數(shù)據(jù)遷移、云服務(wù)商的安全責(zé)任鑒定問題，物聯(lián)網(wǎng)引發(fā)了感知設(shè)備的安全防護(hù)、終端設(shè)備安全、應(yīng)用多樣性等的挑戰(zhàn)，大數(shù)據(jù)應(yīng)用加大了信息泄露風(fēng)險(xiǎn)。

網(wǎng)絡(luò)安全外部威脅日趨嚴(yán)重。近年來，境外組織、網(wǎng)絡(luò)黑客等的攻擊行為相當(dāng)猖獗，呈現(xiàn)出攻擊目的趨利化、攻擊主體組織化、攻擊手段體系化、攻擊危害嚴(yán)重化的特點(diǎn)，導(dǎo)致網(wǎng)絡(luò)安全事件頻發(fā)。省發(fā)改委的投資項(xiàng)目、公共信用、招投標(biāo)、公共資源交易等平臺社會關(guān)注度高，是黑客攻擊的重點(diǎn)目標(biāo)，外部威脅嚴(yán)重。

網(wǎng)絡(luò)安全監(jiān)管要求更加嚴(yán)格。近年來，網(wǎng)絡(luò)安全工作越來越受到各級黨委、政府的重視，特別是《網(wǎng)絡(luò)安全法》實(shí)施后，主管部門的安全管理和執(zhí)法日趨嚴(yán)格。浙江還出臺了《浙江省黨委黨組網(wǎng)絡(luò)安全工作責(zé)任制實(shí)施細(xì)則》，網(wǎng)信、公安部門還定期開展網(wǎng)絡(luò)安全執(zhí)法檢查，網(wǎng)絡(luò)安全責(zé)任履行不力將會被通報(bào)，甚至是被處罰。

雖然，省發(fā)改委網(wǎng)絡(luò)安全保障水平取得了明顯的進(jìn)步，但離新形勢、新任務(wù)的要求尚有差距，主要表現(xiàn)在四個(gè)方面：一是網(wǎng)絡(luò)安全意識有待提升?！皼]有意識到風(fēng)險(xiǎn)是最大的風(fēng)險(xiǎn)”，仍有部分人員的網(wǎng)絡(luò)安全意識有待提升，“網(wǎng)絡(luò)安全說起來重要、做起來次要，忙起來不要”的問題依然存在，重應(yīng)用、輕安全的問題時(shí)有發(fā)生。

二是網(wǎng)絡(luò)安全責(zé)任有待明確。數(shù)字發(fā)改基礎(chǔ)設(shè)施主要依托政務(wù)“一朵云”，而省政務(wù)云平臺側(cè)和用戶側(cè)安全責(zé)任邊界還不夠明確。在發(fā)改內(nèi)部，數(shù)字發(fā)改管理處室與業(yè)務(wù)處室之間的責(zé)任邊界還不夠明確，相關(guān)各方特別是委管委屬單位（包括協(xié)會）、基層發(fā)改部門對于自身的安全責(zé)任還不夠清晰。

三是網(wǎng)絡(luò)安全服務(wù)有待強(qiáng)化。安全服務(wù)是保障數(shù)字發(fā)改網(wǎng)絡(luò)安全的重要抓手。在項(xiàng)目立項(xiàng)環(huán)節(jié)，存在項(xiàng)目的網(wǎng)絡(luò)安全方案、預(yù)算不完善或缺失問題；在項(xiàng)目驗(yàn)收階段，存在未經(jīng)安全測評就上線運(yùn)行的情況；在項(xiàng)目運(yùn)行階段，存在缺乏監(jiān)測預(yù)警和滲透測試問題。

四是網(wǎng)絡(luò)安全建設(shè)有待加強(qiáng)。目前，省政務(wù)云平臺統(tǒng)一為云上系統(tǒng)提供僅僅是訪問控制、云主機(jī)入侵檢測等基礎(chǔ)保障，遠(yuǎn)不能滿足網(wǎng)絡(luò)安全等級保護(hù)要求，省發(fā)改委尚需在惡意代碼防范、網(wǎng)絡(luò)邊界隔離、Web應(yīng)用安全防護(hù)、運(yùn)維審計(jì)、數(shù)據(jù)備份和系統(tǒng)容災(zāi)備份等加強(qiáng)能力建設(shè)。

網(wǎng)絡(luò)安全保障是系統(tǒng)工程，應(yīng)按照體系化推進(jìn)的思路，加強(qiáng)網(wǎng)絡(luò)安全管理體系、服務(wù)體系和技術(shù)平臺建設(shè)，提升網(wǎng)絡(luò)安全保障水平。一是提升網(wǎng)絡(luò)安全意識。要正確認(rèn)識網(wǎng)絡(luò)安全和信息化的關(guān)系，在數(shù)字發(fā)改建設(shè)過程中，網(wǎng)絡(luò)安全和應(yīng)用系統(tǒng)建設(shè)應(yīng)同步規(guī)劃、同步建設(shè)、同步運(yùn)行。要提高全員的網(wǎng)絡(luò)安全意識，讓大家認(rèn)識到網(wǎng)絡(luò)安全不僅僅是少數(shù)幾個(gè)專業(yè)技術(shù)人員的事。要把網(wǎng)絡(luò)安全貫穿數(shù)字化項(xiàng)目的全過程。

二是加強(qiáng)網(wǎng)絡(luò)安全管理。要積極與政務(wù)云平臺管理方、運(yùn)營方溝通，進(jìn)一步明確平臺方和發(fā)改委的網(wǎng)絡(luò)安全責(zé)任邊界。要研究制定委網(wǎng)絡(luò)安全管理辦法，明確委內(nèi)相關(guān)處室、單位的網(wǎng)絡(luò)安全責(zé)任和工作要求。探索建立網(wǎng)絡(luò)安全通報(bào)預(yù)警機(jī)制，促進(jìn)委網(wǎng)絡(luò)安全信息共享、協(xié)同高效。

三是強(qiáng)化網(wǎng)絡(luò)安全服務(wù)。對標(biāo)網(wǎng)絡(luò)安全新標(biāo)準(zhǔn)、新要求，推進(jìn)三個(gè)“強(qiáng)化”：強(qiáng)化數(shù)字發(fā)改項(xiàng)目立項(xiàng)環(huán)節(jié)的安全方案審核把關(guān)服務(wù)；強(qiáng)化驗(yàn)收階段的安全測評服務(wù)，包括等保測評、軟件代碼審計(jì)、軟件測試等；強(qiáng)化運(yùn)行階段的安全監(jiān)測、滲透測試服務(wù)。

四是加強(qiáng)網(wǎng)絡(luò)安全建設(shè)。加強(qiáng)部署在政務(wù)云上信息系統(tǒng)的安全能力建設(shè)。擴(kuò)容信息中心網(wǎng)絡(luò)安全檢測監(jiān)測平臺，提升監(jiān)測預(yù)警能力。謀劃主動防御、數(shù)據(jù)安全等技術(shù)平臺，切實(shí)提升數(shù)字發(fā)改信息系統(tǒng)和數(shù)據(jù)安全保障能力。