□揭建成
作為浙江企業(yè)投資項(xiàng)目“最多跑一次”改革的“重頭戲”,浙江政務(wù)服務(wù)網(wǎng)投資項(xiàng)目在線審批監(jiān)管平臺2.0版(以下簡稱在線平臺2.0)已經(jīng)正式投入運(yùn)行,實(shí)現(xiàn)了四個100%(100%應(yīng)用平臺、100%系統(tǒng)打通、100%網(wǎng)上審批、100%網(wǎng)上申報)目標(biāo)。在線平臺2.0是省市縣縱向一體化、橫向協(xié)同化的平臺,平臺部署于省政務(wù)云,全省的企業(yè)投資項(xiàng)目數(shù)據(jù)將匯聚于此,涉及面廣、關(guān)聯(lián)單位多、關(guān)聯(lián)系統(tǒng)多。
值得注意的是,近年來網(wǎng)絡(luò)安全事件頻發(fā),關(guān)鍵信息基礎(chǔ)設(shè)施、重要信息系統(tǒng)屢遭攻擊。在線平臺2.0影響力大、關(guān)注度高、匯聚數(shù)據(jù)多,容易成為黑客組織的攻擊目標(biāo),安全威脅隱患較大。
從在線平臺2.0運(yùn)行情況看,網(wǎng)絡(luò)安全保障仍相對滯后。一是安全責(zé)任有待明晰。在線平臺2.0的網(wǎng)絡(luò)與信息安全既涉及各類項(xiàng)目審批和監(jiān)管職能的應(yīng)用管理部門,又涉及各地政務(wù)服務(wù)網(wǎng)、權(quán)力運(yùn)行系統(tǒng)、數(shù)據(jù)交換平臺、身份認(rèn)證系統(tǒng)、事項(xiàng)申報系統(tǒng)、辦件庫、電子證照、電子簽章、政務(wù)云、政務(wù)外網(wǎng)等各類配套系統(tǒng)的建設(shè)、運(yùn)維部門。目前,各單位之間的網(wǎng)絡(luò)安全責(zé)任邊界還不夠清晰,相關(guān)責(zé)任難落實(shí)。二是安全防護(hù)有待加強(qiáng)。在線平臺2.0被定為信息安全等級保護(hù)三級,在省政務(wù)公有云和專有云區(qū)域均有部署。但目前在網(wǎng)關(guān)惡意代碼防范、主機(jī)惡意代碼防范、日志集中審計、數(shù)據(jù)備份和系統(tǒng)容災(zāi)備份等方面能力還較為薄弱;省政務(wù)專有云區(qū)域尚不能為在線平臺2.0提供必要的安全組件和服務(wù),離等級保護(hù)三級的安全防護(hù)要求差距較大。三是安全測評有待開展。2017年,在線平臺2.0建設(shè)的重點(diǎn)在于應(yīng)用軟件的開發(fā)設(shè)計。但投入運(yùn)行后,在線平臺2.0的安全保障與等級保護(hù)三級標(biāo)準(zhǔn)的差距有待測評,平臺存在哪些安全風(fēng)險和脆弱性有待評估,軟件代碼的安全狀況有待檢測,平臺的抗攻擊性有待測試。四是應(yīng)急能力有待提升。在線平臺2.0的網(wǎng)絡(luò)安全關(guān)聯(lián)單位多、協(xié)調(diào)難度大,且防護(hù)能力、工作基礎(chǔ)參差不齊,監(jiān)測預(yù)警、應(yīng)急預(yù)案制定、應(yīng)急演練等能力不足。
下一步,建議從“合規(guī)”和“有效”兩個維度,盡快明晰相關(guān)各方網(wǎng)絡(luò)安全責(zé)任,加快網(wǎng)絡(luò)安全建設(shè),強(qiáng)化安全保障服務(wù),保障在線平臺2.0安全穩(wěn)定運(yùn)行,為企業(yè)投資項(xiàng)目“最多跑一次”改革保駕護(hù)航。
明晰安全責(zé)任。建議制定出臺在線平臺2.0運(yùn)行管理辦法,明確應(yīng)用管理、云平臺管理、云平臺運(yùn)營、配套系統(tǒng)建設(shè)等相關(guān)部門的網(wǎng)絡(luò)安全責(zé)任,包括明晰應(yīng)用管理部門和政務(wù)云平臺管理部門、應(yīng)用管理部門與配套系統(tǒng)建設(shè)部門、政務(wù)云平臺管理部門和政務(wù)云運(yùn)營商之間的網(wǎng)絡(luò)安全責(zé)任邊界,明確關(guān)聯(lián)單位的安全工作要求。
加強(qiáng)安全防護(hù)。建議省政務(wù)云平臺管理部門會同云運(yùn)營商加快安全服務(wù)能力建設(shè),補(bǔ)齊安全建設(shè)短板,包括云平臺自身安全建設(shè)、租戶側(cè)安全服務(wù)能力建設(shè)。在線平臺2.0應(yīng)用管理部門分階段開展租戶側(cè)安全建設(shè),一階段主要購置云服務(wù)商為云租戶提供的云服務(wù)器安全、虛擬化下一代防火墻、云堡壘機(jī)等服務(wù),購買常態(tài)化的安全監(jiān)測、云防護(hù)、重大活動期間安全保障服務(wù);二階段是在省政務(wù)云平臺租戶側(cè)安全服務(wù)能力建設(shè)完成后,補(bǔ)齊公有云區(qū)域的網(wǎng)關(guān)惡意代碼防范、主機(jī)惡意代碼防范、日志集中審計、數(shù)據(jù)備份和系統(tǒng)容災(zāi)備份能力,并按照等級保護(hù)三級要求建設(shè)專有云區(qū)域的安全防護(hù)能力;關(guān)聯(lián)單位應(yīng)按照在線平臺2.0關(guān)聯(lián)系統(tǒng)安全要求,加強(qiáng)關(guān)聯(lián)系統(tǒng)的安全防護(hù)。
開展安全測評。一是開展等級保護(hù)測評和風(fēng)險評估。查找與等級保護(hù)三級要求的差距,評估安全風(fēng)險,為安全建設(shè)和運(yùn)維提供依據(jù)。二是開展源代碼安全審計。檢查源代碼中的缺點(diǎn)和錯誤信息,分析并找到這些問題引發(fā)的安全漏洞,并提供代碼修訂措施和建議。三是開展?jié)B透測試。以模擬黑客的攻擊方法對在線平臺2.0的系統(tǒng)和運(yùn)行環(huán)境進(jìn)行非破壞性的攻擊性測試,發(fā)現(xiàn)存在的安全隱患和風(fēng)險,促使進(jìn)一步完善軟件的安全性、完善軟硬件部署的安全策略。
強(qiáng)化安全應(yīng)急。一是強(qiáng)化安全監(jiān)測。對在線平臺2.0開展應(yīng)用層實(shí)時安全監(jiān)測,主動、及時發(fā)現(xiàn)問題并督促整改。二是編制應(yīng)急預(yù)案。明確應(yīng)急處置相關(guān)方職責(zé)、處置流程,確保應(yīng)急處置規(guī)范、快速、有序開展。三是強(qiáng)化應(yīng)急演練。定期組織開展應(yīng)急演練,提升應(yīng)急各方的協(xié)同配合水平。