數字發改建設須確保網絡安全

□揭建成

網絡安全保障是系統工程，應按照體系化推進的思路，加強網絡安全管理體系、服務體系和技術平臺建設，提升網絡安全保障水平

作為省政府數字化轉型的重要組成部分，數字發改建設已成為省發改委的“一號工程”，投資項目在線審批監管、經濟運行等平臺相繼投入運行。保障平臺網絡安全，特別是政務數據的安全，是擺在眼前重要而棘手的課題之一。

新技術帶來的挑戰日益增多。云計算、大數據、物聯網、移動互聯等新技術應用帶來了資源節約和使用便利，也引發了諸多網絡安全風險和挑戰，如云計算技術應用引發了虛擬化的安全風險、云租戶隔離、數據遷移、云服務商的安全責任鑒定問題，物聯網引發了感知設備的安全防護、終端設備安全、應用多樣性等的挑戰，大數據應用加大了信息泄露風險。

網絡安全外部威脅日趨嚴重。近年來，境外組織、網絡黑客等的攻擊行為相當猖獗，呈現出攻擊目的趨利化、攻擊主體組織化、攻擊手段體系化、攻擊危害嚴重化的特點，導致網絡安全事件頻發。省發改委的投資項目、公共信用、招投標、公共資源交易等平臺社會關注度高，是黑客攻擊的重點目標，外部威脅嚴重。

網絡安全監管要求更加嚴格。近年來，網絡安全工作越來越受到各級黨委、政府的重視，特別是《網絡安全法》實施后，主管部門的安全管理和執法日趨嚴格。浙江還出臺了《浙江省黨委黨組網絡安全工作責任制實施細則》，網信、公安部門還定期開展網絡安全執法檢查，網絡安全責任履行不力將會被通報，甚至是被處罰。

雖然，省發改委網絡安全保障水平取得了明顯的進步，但離新形勢、新任務的要求尚有差距，主要表現在四個方面：一是網絡安全意識有待提升。“沒有意識到風險是最大的風險”，仍有部分人員的網絡安全意識有待提升，“網絡安全說起來重要、做起來次要，忙起來不要”的問題依然存在，重應用、輕安全的問題時有發生。

二是網絡安全責任有待明確。數字發改基礎設施主要依托政務“一朵云”，而省政務云平臺側和用戶側安全責任邊界還不夠明確。在發改內部，數字發改管理處室與業務處室之間的責任邊界還不夠明確，相關各方特別是委管委屬單位（包括協會）、基層發改部門對于自身的安全責任還不夠清晰。

三是網絡安全服務有待強化。安全服務是保障數字發改網絡安全的重要抓手。在項目立項環節，存在項目的網絡安全方案、預算不完善或缺失問題；在項目驗收階段，存在未經安全測評就上線運行的情況；在項目運行階段，存在缺乏監測預警和滲透測試問題。

四是網絡安全建設有待加強。目前，省政務云平臺統一為云上系統提供僅僅是訪問控制、云主機入侵檢測等基礎保障，遠不能滿足網絡安全等級保護要求，省發改委尚需在惡意代碼防范、網絡邊界隔離、Web應用安全防護、運維審計、數據備份和系統容災備份等加強能力建設。

網絡安全保障是系統工程，應按照體系化推進的思路，加強網絡安全管理體系、服務體系和技術平臺建設，提升網絡安全保障水平。一是提升網絡安全意識。要正確認識網絡安全和信息化的關系，在數字發改建設過程中，網絡安全和應用系統建設應同步規劃、同步建設、同步運行。要提高全員的網絡安全意識，讓大家認識到網絡安全不僅僅是少數幾個專業技術人員的事。要把網絡安全貫穿數字化項目的全過程。

二是加強網絡安全管理。要積極與政務云平臺管理方、運營方溝通，進一步明確平臺方和發改委的網絡安全責任邊界。要研究制定委網絡安全管理辦法，明確委內相關處室、單位的網絡安全責任和工作要求。探索建立網絡安全通報預警機制，促進委網絡安全信息共享、協同高效。

三是強化網絡安全服務。對標網絡安全新標準、新要求，推進三個“強化”：強化數字發改項目立項環節的安全方案審核把關服務；強化驗收階段的安全測評服務，包括等保測評、軟件代碼審計、軟件測試等；強化運行階段的安全監測、滲透測試服務。

四是加強網絡安全建設。加強部署在政務云上信息系統的安全能力建設。擴容信息中心網絡安全檢測監測平臺，提升監測預警能力。謀劃主動防御、數據安全等技術平臺，切實提升數字發改信息系統和數據安全保障能力。