□揭建成

網(wǎng)絡(luò)安全保障是系統(tǒng)工程，應(yīng)按照體系化推進的思路，加強網(wǎng)絡(luò)安全管理體系、服務(wù)體系和技術(shù)平臺建設(shè)，提升網(wǎng)絡(luò)安全保障水平

作為省政府數(shù)字化轉(zhuǎn)型的重要組成部分，數(shù)字發(fā)改建設(shè)已成為省發(fā)改委的“一號工程”，投資項目在線審批監(jiān)管、經(jīng)濟運行等平臺相繼投入運行。保障平臺網(wǎng)絡(luò)安全，特別是政務(wù)數(shù)據(jù)的安全，是擺在眼前重要而棘手的課題之一。

新技術(shù)帶來的挑戰(zhàn)日益增多。云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)等新技術(shù)應(yīng)用帶來了資源節(jié)約和使用便利，也引發(fā)了諸多網(wǎng)絡(luò)安全風險和挑戰(zhàn)，如云計算技術(shù)應(yīng)用引發(fā)了虛擬化的安全風險、云租戶隔離、數(shù)據(jù)遷移、云服務(wù)商的安全責任鑒定問題，物聯(lián)網(wǎng)引發(fā)了感知設(shè)備的安全防護、終端設(shè)備安全、應(yīng)用多樣性等的挑戰(zhàn)，大數(shù)據(jù)應(yīng)用加大了信息泄露風險。

網(wǎng)絡(luò)安全外部威脅日趨嚴重。近年來，境外組織、網(wǎng)絡(luò)黑客等的攻擊行為相當猖獗，呈現(xiàn)出攻擊目的趨利化、攻擊主體組織化、攻擊手段體系化、攻擊危害嚴重化的特點，導致網(wǎng)絡(luò)安全事件頻發(fā)。省發(fā)改委的投資項目、公共信用、招投標、公共資源交易等平臺社會關(guān)注度高，是黑客攻擊的重點目標，外部威脅嚴重。

網(wǎng)絡(luò)安全監(jiān)管要求更加嚴格。近年來，網(wǎng)絡(luò)安全工作越來越受到各級黨委、政府的重視，特別是《網(wǎng)絡(luò)安全法》實施后，主管部門的安全管理和執(zhí)法日趨嚴格。浙江還出臺了《浙江省黨委黨組網(wǎng)絡(luò)安全工作責任制實施細則》，網(wǎng)信、公安部門還定期開展網(wǎng)絡(luò)安全執(zhí)法檢查，網(wǎng)絡(luò)安全責任履行不力將會被通報，甚至是被處罰。

雖然，省發(fā)改委網(wǎng)絡(luò)安全保障水平取得了明顯的進步，但離新形勢、新任務(wù)的要求尚有差距，主要表現(xiàn)在四個方面：一是網(wǎng)絡(luò)安全意識有待提升?！皼]有意識到風險是最大的風險”，仍有部分人員的網(wǎng)絡(luò)安全意識有待提升，“網(wǎng)絡(luò)安全說起來重要、做起來次要，忙起來不要”的問題依然存在，重應(yīng)用、輕安全的問題時有發(fā)生。

二是網(wǎng)絡(luò)安全責任有待明確。數(shù)字發(fā)改基礎(chǔ)設(shè)施主要依托政務(wù)“一朵云”，而省政務(wù)云平臺側(cè)和用戶側(cè)安全責任邊界還不夠明確。在發(fā)改內(nèi)部，數(shù)字發(fā)改管理處室與業(yè)務(wù)處室之間的責任邊界還不夠明確，相關(guān)各方特別是委管委屬單位（包括協(xié)會）、基層發(fā)改部門對于自身的安全責任還不夠清晰。

三是網(wǎng)絡(luò)安全服務(wù)有待強化。安全服務(wù)是保障數(shù)字發(fā)改網(wǎng)絡(luò)安全的重要抓手。在項目立項環(huán)節(jié)，存在項目的網(wǎng)絡(luò)安全方案、預算不完善或缺失問題；在項目驗收階段，存在未經(jīng)安全測評就上線運行的情況；在項目運行階段，存在缺乏監(jiān)測預警和滲透測試問題。

四是網(wǎng)絡(luò)安全建設(shè)有待加強。目前，省政務(wù)云平臺統(tǒng)一為云上系統(tǒng)提供僅僅是訪問控制、云主機入侵檢測等基礎(chǔ)保障，遠不能滿足網(wǎng)絡(luò)安全等級保護要求，省發(fā)改委尚需在惡意代碼防范、網(wǎng)絡(luò)邊界隔離、Web應(yīng)用安全防護、運維審計、數(shù)據(jù)備份和系統(tǒng)容災(zāi)備份等加強能力建設(shè)。

網(wǎng)絡(luò)安全保障是系統(tǒng)工程，應(yīng)按照體系化推進的思路，加強網(wǎng)絡(luò)安全管理體系、服務(wù)體系和技術(shù)平臺建設(shè)，提升網(wǎng)絡(luò)安全保障水平。一是提升網(wǎng)絡(luò)安全意識。要正確認識網(wǎng)絡(luò)安全和信息化的關(guān)系，在數(shù)字發(fā)改建設(shè)過程中，網(wǎng)絡(luò)安全和應(yīng)用系統(tǒng)建設(shè)應(yīng)同步規(guī)劃、同步建設(shè)、同步運行。要提高全員的網(wǎng)絡(luò)安全意識，讓大家認識到網(wǎng)絡(luò)安全不僅僅是少數(shù)幾個專業(yè)技術(shù)人員的事。要把網(wǎng)絡(luò)安全貫穿數(shù)字化項目的全過程。

二是加強網(wǎng)絡(luò)安全管理。要積極與政務(wù)云平臺管理方、運營方溝通，進一步明確平臺方和發(fā)改委的網(wǎng)絡(luò)安全責任邊界。要研究制定委網(wǎng)絡(luò)安全管理辦法，明確委內(nèi)相關(guān)處室、單位的網(wǎng)絡(luò)安全責任和工作要求。探索建立網(wǎng)絡(luò)安全通報預警機制，促進委網(wǎng)絡(luò)安全信息共享、協(xié)同高效。

三是強化網(wǎng)絡(luò)安全服務(wù)。對標網(wǎng)絡(luò)安全新標準、新要求，推進三個“強化”：強化數(shù)字發(fā)改項目立項環(huán)節(jié)的安全方案審核把關(guān)服務(wù)；強化驗收階段的安全測評服務(wù)，包括等保測評、軟件代碼審計、軟件測試等；強化運行階段的安全監(jiān)測、滲透測試服務(wù)。

四是加強網(wǎng)絡(luò)安全建設(shè)。加強部署在政務(wù)云上信息系統(tǒng)的安全能力建設(shè)。擴容信息中心網(wǎng)絡(luò)安全檢測監(jiān)測平臺，提升監(jiān)測預警能力。謀劃主動防御、數(shù)據(jù)安全等技術(shù)平臺，切實提升數(shù)字發(fā)改信息系統(tǒng)和數(shù)據(jù)安全保障能力。