網絡安全護航“最多跑一次”改革

□揭建成

作為浙江企業投資項目“最多跑一次”改革的“重頭戲”，浙江政務服務網投資項目在線審批監管平臺2.0版（以下簡稱在線平臺2.0）已經正式投入運行，實現了四個100%(100%應用平臺、100%系統打通、100%網上審批、100%網上申報)目標。在線平臺2.0是省市縣縱向一體化、橫向協同化的平臺，平臺部署于省政務云，全省的企業投資項目數據將匯聚于此，涉及面廣、關聯單位多、關聯系統多。

值得注意的是，近年來網絡安全事件頻發，關鍵信息基礎設施、重要信息系統屢遭攻擊。在線平臺2.0影響力大、關注度高、匯聚數據多，容易成為黑客組織的攻擊目標，安全威脅隱患較大。

從在線平臺2.0運行情況看，網絡安全保障仍相對滯后。一是安全責任有待明晰。在線平臺2.0的網絡與信息安全既涉及各類項目審批和監管職能的應用管理部門，又涉及各地政務服務網、權力運行系統、數據交換平臺、身份認證系統、事項申報系統、辦件庫、電子證照、電子簽章、政務云、政務外網等各類配套系統的建設、運維部門。目前，各單位之間的網絡安全責任邊界還不夠清晰，相關責任難落實。二是安全防護有待加強。在線平臺2.0被定為信息安全等級保護三級，在省政務公有云和專有云區域均有部署。但目前在網關惡意代碼防范、主機惡意代碼防范、日志集中審計、數據備份和系統容災備份等方面能力還較為薄弱；省政務專有云區域尚不能為在線平臺2.0提供必要的安全組件和服務，離等級保護三級的安全防護要求差距較大。三是安全測評有待開展。2017年，在線平臺2.0建設的重點在于應用軟件的開發設計。但投入運行后，在線平臺2.0的安全保障與等級保護三級標準的差距有待測評，平臺存在哪些安全風險和脆弱性有待評估，軟件代碼的安全狀況有待檢測，平臺的抗攻擊性有待測試。四是應急能力有待提升。在線平臺2.0的網絡安全關聯單位多、協調難度大，且防護能力、工作基礎參差不齊，監測預警、應急預案制定、應急演練等能力不足。

下一步，建議從“合規”和“有效”兩個維度，盡快明晰相關各方網絡安全責任，加快網絡安全建設，強化安全保障服務，保障在線平臺2.0安全穩定運行，為企業投資項目“最多跑一次”改革保駕護航。

明晰安全責任。建議制定出臺在線平臺2.0運行管理辦法，明確應用管理、云平臺管理、云平臺運營、配套系統建設等相關部門的網絡安全責任，包括明晰應用管理部門和政務云平臺管理部門、應用管理部門與配套系統建設部門、政務云平臺管理部門和政務云運營商之間的網絡安全責任邊界，明確關聯單位的安全工作要求。

加強安全防護。建議省政務云平臺管理部門會同云運營商加快安全服務能力建設，補齊安全建設短板，包括云平臺自身安全建設、租戶側安全服務能力建設。在線平臺2.0應用管理部門分階段開展租戶側安全建設，一階段主要購置云服務商為云租戶提供的云服務器安全、虛擬化下一代防火墻、云堡壘機等服務，購買常態化的安全監測、云防護、重大活動期間安全保障服務；二階段是在省政務云平臺租戶側安全服務能力建設完成后，補齊公有云區域的網關惡意代碼防范、主機惡意代碼防范、日志集中審計、數據備份和系統容災備份能力，并按照等級保護三級要求建設專有云區域的安全防護能力；關聯單位應按照在線平臺2.0關聯系統安全要求，加強關聯系統的安全防護。

開展安全測評。一是開展等級保護測評和風險評估。查找與等級保護三級要求的差距，評估安全風險，為安全建設和運維提供依據。二是開展源代碼安全審計。檢查源代碼中的缺點和錯誤信息，分析并找到這些問題引發的安全漏洞，并提供代碼修訂措施和建議。三是開展滲透測試。以模擬黑客的攻擊方法對在線平臺2.0的系統和運行環境進行非破壞性的攻擊性測試，發現存在的安全隱患和風險，促使進一步完善軟件的安全性、完善軟硬件部署的安全策略。

強化安全應急。一是強化安全監測。對在線平臺2.0開展應用層實時安全監測，主動、及時發現問題并督促整改。二是編制應急預案。明確應急處置相關方職責、處置流程，確保應急處置規范、快速、有序開展。三是強化應急演練。定期組織開展應急演練，提升應急各方的協同配合水平。