网络安全护航“最多跑一次”改革

□揭建成

作为浙江企业投资项目“最多跑一次”改革的“重头戏”，浙江政务服务网投资项目在线审批监管平台2.0版（以下简称在线平台2.0）已经正式投入运行，实现了四个100%(100%应用平台、100%系统打通、100%网上审批、100%网上申报)目标。在线平台2.0是省市县纵向一体化、横向协同化的平台，平台部署于省政务云，全省的企业投资项目数据将汇聚于此，涉及面广、关联单位多、关联系统多。

值得注意的是，近年来网络安全事件频发，关键信息基础设施、重要信息系统屡遭攻击。在线平台2.0影响力大、关注度高、汇聚数据多，容易成为黑客组织的攻击目标，安全威胁隐患较大。

从在线平台2.0运行情况看，网络安全保障仍相对滞后。一是安全责任有待明晰。在线平台2.0的网络与信息安全既涉及各类项目审批和监管职能的应用管理部门，又涉及各地政务服务网、权力运行系统、数据交换平台、身份认证系统、事项申报系统、办件库、电子证照、电子签章、政务云、政务外网等各类配套系统的建设、运维部门。目前，各单位之间的网络安全责任边界还不够清晰，相关责任难落实。二是安全防护有待加强。在线平台2.0被定为信息安全等级保护三级，在省政务公有云和专有云区域均有部署。但目前在网关恶意代码防范、主机恶意代码防范、日志集中审计、数据备份和系统容灾备份等方面能力还较为薄弱；省政务专有云区域尚不能为在线平台2.0提供必要的安全组件和服务，离等级保护三级的安全防护要求差距较大。三是安全测评有待开展。2017年，在线平台2.0建设的重点在于应用软件的开发设计。但投入运行后，在线平台2.0的安全保障与等级保护三级标准的差距有待测评，平台存在哪些安全风险和脆弱性有待评估，软件代码的安全状况有待检测，平台的抗攻击性有待测试。四是应急能力有待提升。在线平台2.0的网络安全关联单位多、协调难度大，且防护能力、工作基础参差不齐，监测预警、应急预案制定、应急演练等能力不足。

下一步，建议从“合规”和“有效”两个维度，尽快明晰相关各方网络安全责任，加快网络安全建设，强化安全保障服务，保障在线平台2.0安全稳定运行，为企业投资项目“最多跑一次”改革保驾护航。

明晰安全责任。建议制定出台在线平台2.0运行管理办法，明确应用管理、云平台管理、云平台运营、配套系统建设等相关部门的网络安全责任，包括明晰应用管理部门和政务云平台管理部门、应用管理部门与配套系统建设部门、政务云平台管理部门和政务云运营商之间的网络安全责任边界，明确关联单位的安全工作要求。

加强安全防护。建议省政务云平台管理部门会同云运营商加快安全服务能力建设，补齐安全建设短板，包括云平台自身安全建设、租户侧安全服务能力建设。在线平台2.0应用管理部门分阶段开展租户侧安全建设，一阶段主要购置云服务商为云租户提供的云服务器安全、虚拟化下一代防火墙、云堡垒机等服务，购买常态化的安全监测、云防护、重大活动期间安全保障服务；二阶段是在省政务云平台租户侧安全服务能力建设完成后，补齐公有云区域的网关恶意代码防范、主机恶意代码防范、日志集中审计、数据备份和系统容灾备份能力，并按照等级保护三级要求建设专有云区域的安全防护能力；关联单位应按照在线平台2.0关联系统安全要求，加强关联系统的安全防护。

开展安全测评。一是开展等级保护测评和风险评估。查找与等级保护三级要求的差距，评估安全风险，为安全建设和运维提供依据。二是开展源代码安全审计。检查源代码中的缺点和错误信息，分析并找到这些问题引发的安全漏洞，并提供代码修订措施和建议。三是开展渗透测试。以模拟黑客的攻击方法对在线平台2.0的系统和运行环境进行非破坏性的攻击性测试，发现存在的安全隐患和风险，促使进一步完善软件的安全性、完善软硬件部署的安全策略。

强化安全应急。一是强化安全监测。对在线平台2.0开展应用层实时安全监测，主动、及时发现问题并督促整改。二是编制应急预案。明确应急处置相关方职责、处置流程，确保应急处置规范、快速、有序开展。三是强化应急演练。定期组织开展应急演练，提升应急各方的协同配合水平。