網(wǎng)絡(luò)安全護(hù)航“最多跑一次”改革

□揭建成

作為浙江企業(yè)投資項(xiàng)目“最多跑一次”改革的“重頭戲”，浙江政務(wù)服務(wù)網(wǎng)投資項(xiàng)目在線審批監(jiān)管平臺(tái)2.0版（以下簡(jiǎn)稱在線平臺(tái)2.0）已經(jīng)正式投入運(yùn)行，實(shí)現(xiàn)了四個(gè)100%(100%應(yīng)用平臺(tái)、100%系統(tǒng)打通、100%網(wǎng)上審批、100%網(wǎng)上申報(bào))目標(biāo)。在線平臺(tái)2.0是省市縣縱向一體化、橫向協(xié)同化的平臺(tái)，平臺(tái)部署于省政務(wù)云，全省的企業(yè)投資項(xiàng)目數(shù)據(jù)將匯聚于此，涉及面廣、關(guān)聯(lián)單位多、關(guān)聯(lián)系統(tǒng)多。

值得注意的是，近年來(lái)網(wǎng)絡(luò)安全事件頻發(fā)，關(guān)鍵信息基礎(chǔ)設(shè)施、重要信息系統(tǒng)屢遭攻擊。在線平臺(tái)2.0影響力大、關(guān)注度高、匯聚數(shù)據(jù)多，容易成為黑客組織的攻擊目標(biāo)，安全威脅隱患較大。

從在線平臺(tái)2.0運(yùn)行情況看，網(wǎng)絡(luò)安全保障仍相對(duì)滯后。一是安全責(zé)任有待明晰。在線平臺(tái)2.0的網(wǎng)絡(luò)與信息安全既涉及各類項(xiàng)目審批和監(jiān)管職能的應(yīng)用管理部門(mén)，又涉及各地政務(wù)服務(wù)網(wǎng)、權(quán)力運(yùn)行系統(tǒng)、數(shù)據(jù)交換平臺(tái)、身份認(rèn)證系統(tǒng)、事項(xiàng)申報(bào)系統(tǒng)、辦件庫(kù)、電子證照、電子簽章、政務(wù)云、政務(wù)外網(wǎng)等各類配套系統(tǒng)的建設(shè)、運(yùn)維部門(mén)。目前，各單位之間的網(wǎng)絡(luò)安全責(zé)任邊界還不夠清晰，相關(guān)責(zé)任難落實(shí)。二是安全防護(hù)有待加強(qiáng)。在線平臺(tái)2.0被定為信息安全等級(jí)保護(hù)三級(jí)，在省政務(wù)公有云和專有云區(qū)域均有部署。但目前在網(wǎng)關(guān)惡意代碼防范、主機(jī)惡意代碼防范、日志集中審計(jì)、數(shù)據(jù)備份和系統(tǒng)容災(zāi)備份等方面能力還較為薄弱；省政務(wù)專有云區(qū)域尚不能為在線平臺(tái)2.0提供必要的安全組件和服務(wù)，離等級(jí)保護(hù)三級(jí)的安全防護(hù)要求差距較大。三是安全測(cè)評(píng)有待開(kāi)展。2017年，在線平臺(tái)2.0建設(shè)的重點(diǎn)在于應(yīng)用軟件的開(kāi)發(fā)設(shè)計(jì)。但投入運(yùn)行后，在線平臺(tái)2.0的安全保障與等級(jí)保護(hù)三級(jí)標(biāo)準(zhǔn)的差距有待測(cè)評(píng)，平臺(tái)存在哪些安全風(fēng)險(xiǎn)和脆弱性有待評(píng)估，軟件代碼的安全狀況有待檢測(cè)，平臺(tái)的抗攻擊性有待測(cè)試。四是應(yīng)急能力有待提升。在線平臺(tái)2.0的網(wǎng)絡(luò)安全關(guān)聯(lián)單位多、協(xié)調(diào)難度大，且防護(hù)能力、工作基礎(chǔ)參差不齊，監(jiān)測(cè)預(yù)警、應(yīng)急預(yù)案制定、應(yīng)急演練等能力不足。

下一步，建議從“合規(guī)”和“有效”兩個(gè)維度，盡快明晰相關(guān)各方網(wǎng)絡(luò)安全責(zé)任，加快網(wǎng)絡(luò)安全建設(shè)，強(qiáng)化安全保障服務(wù)，保障在線平臺(tái)2.0安全穩(wěn)定運(yùn)行，為企業(yè)投資項(xiàng)目“最多跑一次”改革保駕護(hù)航。

明晰安全責(zé)任。建議制定出臺(tái)在線平臺(tái)2.0運(yùn)行管理辦法，明確應(yīng)用管理、云平臺(tái)管理、云平臺(tái)運(yùn)營(yíng)、配套系統(tǒng)建設(shè)等相關(guān)部門(mén)的網(wǎng)絡(luò)安全責(zé)任，包括明晰應(yīng)用管理部門(mén)和政務(wù)云平臺(tái)管理部門(mén)、應(yīng)用管理部門(mén)與配套系統(tǒng)建設(shè)部門(mén)、政務(wù)云平臺(tái)管理部門(mén)和政務(wù)云運(yùn)營(yíng)商之間的網(wǎng)絡(luò)安全責(zé)任邊界，明確關(guān)聯(lián)單位的安全工作要求。

加強(qiáng)安全防護(hù)。建議省政務(wù)云平臺(tái)管理部門(mén)會(huì)同云運(yùn)營(yíng)商加快安全服務(wù)能力建設(shè)，補(bǔ)齊安全建設(shè)短板，包括云平臺(tái)自身安全建設(shè)、租戶側(cè)安全服務(wù)能力建設(shè)。在線平臺(tái)2.0應(yīng)用管理部門(mén)分階段開(kāi)展租戶側(cè)安全建設(shè)，一階段主要購(gòu)置云服務(wù)商為云租戶提供的云服務(wù)器安全、虛擬化下一代防火墻、云堡壘機(jī)等服務(wù)，購(gòu)買常態(tài)化的安全監(jiān)測(cè)、云防護(hù)、重大活動(dòng)期間安全保障服務(wù)；二階段是在省政務(wù)云平臺(tái)租戶側(cè)安全服務(wù)能力建設(shè)完成后，補(bǔ)齊公有云區(qū)域的網(wǎng)關(guān)惡意代碼防范、主機(jī)惡意代碼防范、日志集中審計(jì)、數(shù)據(jù)備份和系統(tǒng)容災(zāi)備份能力，并按照等級(jí)保護(hù)三級(jí)要求建設(shè)專有云區(qū)域的安全防護(hù)能力；關(guān)聯(lián)單位應(yīng)按照在線平臺(tái)2.0關(guān)聯(lián)系統(tǒng)安全要求，加強(qiáng)關(guān)聯(lián)系統(tǒng)的安全防護(hù)。

開(kāi)展安全測(cè)評(píng)。一是開(kāi)展等級(jí)保護(hù)測(cè)評(píng)和風(fēng)險(xiǎn)評(píng)估。查找與等級(jí)保護(hù)三級(jí)要求的差距，評(píng)估安全風(fēng)險(xiǎn)，為安全建設(shè)和運(yùn)維提供依據(jù)。二是開(kāi)展源代碼安全審計(jì)。檢查源代碼中的缺點(diǎn)和錯(cuò)誤信息，分析并找到這些問(wèn)題引發(fā)的安全漏洞，并提供代碼修訂措施和建議。三是開(kāi)展?jié)B透測(cè)試。以模擬黑客的攻擊方法對(duì)在線平臺(tái)2.0的系統(tǒng)和運(yùn)行環(huán)境進(jìn)行非破壞性的攻擊性測(cè)試，發(fā)現(xiàn)存在的安全隱患和風(fēng)險(xiǎn)，促使進(jìn)一步完善軟件的安全性、完善軟硬件部署的安全策略。

強(qiáng)化安全應(yīng)急。一是強(qiáng)化安全監(jiān)測(cè)。對(duì)在線平臺(tái)2.0開(kāi)展應(yīng)用層實(shí)時(shí)安全監(jiān)測(cè)，主動(dòng)、及時(shí)發(fā)現(xiàn)問(wèn)題并督促整改。二是編制應(yīng)急預(yù)案。明確應(yīng)急處置相關(guān)方職責(zé)、處置流程，確保應(yīng)急處置規(guī)范、快速、有序開(kāi)展。三是強(qiáng)化應(yīng)急演練。定期組織開(kāi)展應(yīng)急演練，提升應(yīng)急各方的協(xié)同配合水平。