□揭建成

作為浙江企業(yè)投資項(xiàng)目“最多跑一次”改革的“重頭戲”，浙江政務(wù)服務(wù)網(wǎng)投資項(xiàng)目在線審批監(jiān)管平臺2.0版（以下簡稱在線平臺2.0）已經(jīng)正式投入運(yùn)行，實(shí)現(xiàn)了四個100%(100%應(yīng)用平臺、100%系統(tǒng)打通、100%網(wǎng)上審批、100%網(wǎng)上申報)目標(biāo)。在線平臺2.0是省市縣縱向一體化、橫向協(xié)同化的平臺，平臺部署于省政務(wù)云，全省的企業(yè)投資項(xiàng)目數(shù)據(jù)將匯聚于此，涉及面廣、關(guān)聯(lián)單位多、關(guān)聯(lián)系統(tǒng)多。

值得注意的是，近年來網(wǎng)絡(luò)安全事件頻發(fā)，關(guān)鍵信息基礎(chǔ)設(shè)施、重要信息系統(tǒng)屢遭攻擊。在線平臺2.0影響力大、關(guān)注度高、匯聚數(shù)據(jù)多，容易成為黑客組織的攻擊目標(biāo)，安全威脅隱患較大。

從在線平臺2.0運(yùn)行情況看，網(wǎng)絡(luò)安全保障仍相對滯后。一是安全責(zé)任有待明晰。在線平臺2.0的網(wǎng)絡(luò)與信息安全既涉及各類項(xiàng)目審批和監(jiān)管職能的應(yīng)用管理部門，又涉及各地政務(wù)服務(wù)網(wǎng)、權(quán)力運(yùn)行系統(tǒng)、數(shù)據(jù)交換平臺、身份認(rèn)證系統(tǒng)、事項(xiàng)申報系統(tǒng)、辦件庫、電子證照、電子簽章、政務(wù)云、政務(wù)外網(wǎng)等各類配套系統(tǒng)的建設(shè)、運(yùn)維部門。目前，各單位之間的網(wǎng)絡(luò)安全責(zé)任邊界還不夠清晰，相關(guān)責(zé)任難落實(shí)。二是安全防護(hù)有待加強(qiáng)。在線平臺2.0被定為信息安全等級保護(hù)三級，在省政務(wù)公有云和專有云區(qū)域均有部署。但目前在網(wǎng)關(guān)惡意代碼防范、主機(jī)惡意代碼防范、日志集中審計、數(shù)據(jù)備份和系統(tǒng)容災(zāi)備份等方面能力還較為薄弱；省政務(wù)專有云區(qū)域尚不能為在線平臺2.0提供必要的安全組件和服務(wù)，離等級保護(hù)三級的安全防護(hù)要求差距較大。三是安全測評有待開展。2017年，在線平臺2.0建設(shè)的重點(diǎn)在于應(yīng)用軟件的開發(fā)設(shè)計。但投入運(yùn)行后，在線平臺2.0的安全保障與等級保護(hù)三級標(biāo)準(zhǔn)的差距有待測評，平臺存在哪些安全風(fēng)險和脆弱性有待評估，軟件代碼的安全狀況有待檢測，平臺的抗攻擊性有待測試。四是應(yīng)急能力有待提升。在線平臺2.0的網(wǎng)絡(luò)安全關(guān)聯(lián)單位多、協(xié)調(diào)難度大，且防護(hù)能力、工作基礎(chǔ)參差不齊，監(jiān)測預(yù)警、應(yīng)急預(yù)案制定、應(yīng)急演練等能力不足。

下一步，建議從“合規(guī)”和“有效”兩個維度，盡快明晰相關(guān)各方網(wǎng)絡(luò)安全責(zé)任，加快網(wǎng)絡(luò)安全建設(shè)，強(qiáng)化安全保障服務(wù)，保障在線平臺2.0安全穩(wěn)定運(yùn)行，為企業(yè)投資項(xiàng)目“最多跑一次”改革保駕護(hù)航。

明晰安全責(zé)任。建議制定出臺在線平臺2.0運(yùn)行管理辦法，明確應(yīng)用管理、云平臺管理、云平臺運(yùn)營、配套系統(tǒng)建設(shè)等相關(guān)部門的網(wǎng)絡(luò)安全責(zé)任，包括明晰應(yīng)用管理部門和政務(wù)云平臺管理部門、應(yīng)用管理部門與配套系統(tǒng)建設(shè)部門、政務(wù)云平臺管理部門和政務(wù)云運(yùn)營商之間的網(wǎng)絡(luò)安全責(zé)任邊界，明確關(guān)聯(lián)單位的安全工作要求。

加強(qiáng)安全防護(hù)。建議省政務(wù)云平臺管理部門會同云運(yùn)營商加快安全服務(wù)能力建設(shè)，補(bǔ)齊安全建設(shè)短板，包括云平臺自身安全建設(shè)、租戶側(cè)安全服務(wù)能力建設(shè)。在線平臺2.0應(yīng)用管理部門分階段開展租戶側(cè)安全建設(shè)，一階段主要購置云服務(wù)商為云租戶提供的云服務(wù)器安全、虛擬化下一代防火墻、云堡壘機(jī)等服務(wù)，購買常態(tài)化的安全監(jiān)測、云防護(hù)、重大活動期間安全保障服務(wù)；二階段是在省政務(wù)云平臺租戶側(cè)安全服務(wù)能力建設(shè)完成后，補(bǔ)齊公有云區(qū)域的網(wǎng)關(guān)惡意代碼防范、主機(jī)惡意代碼防范、日志集中審計、數(shù)據(jù)備份和系統(tǒng)容災(zāi)備份能力，并按照等級保護(hù)三級要求建設(shè)專有云區(qū)域的安全防護(hù)能力；關(guān)聯(lián)單位應(yīng)按照在線平臺2.0關(guān)聯(lián)系統(tǒng)安全要求，加強(qiáng)關(guān)聯(lián)系統(tǒng)的安全防護(hù)。

開展安全測評。一是開展等級保護(hù)測評和風(fēng)險評估。查找與等級保護(hù)三級要求的差距，評估安全風(fēng)險，為安全建設(shè)和運(yùn)維提供依據(jù)。二是開展源代碼安全審計。檢查源代碼中的缺點(diǎn)和錯誤信息，分析并找到這些問題引發(fā)的安全漏洞，并提供代碼修訂措施和建議。三是開展?jié)B透測試。以模擬黑客的攻擊方法對在線平臺2.0的系統(tǒng)和運(yùn)行環(huán)境進(jìn)行非破壞性的攻擊性測試，發(fā)現(xiàn)存在的安全隱患和風(fēng)險，促使進(jìn)一步完善軟件的安全性、完善軟硬件部署的安全策略。

強(qiáng)化安全應(yīng)急。一是強(qiáng)化安全監(jiān)測。對在線平臺2.0開展應(yīng)用層實(shí)時安全監(jiān)測，主動、及時發(fā)現(xiàn)問題并督促整改。二是編制應(yīng)急預(yù)案。明確應(yīng)急處置相關(guān)方職責(zé)、處置流程，確保應(yīng)急處置規(guī)范、快速、有序開展。三是強(qiáng)化應(yīng)急演練。定期組織開展應(yīng)急演練，提升應(yīng)急各方的協(xié)同配合水平。