文/揭建成 浙江省經(jīng)濟(jì)信息中心首席專家、網(wǎng)絡(luò)安全部主任

隨著浙江數(shù)字化改革的持續(xù)推進(jìn)，落實(shí)好網(wǎng)絡(luò)安全“三同步”原則，是統(tǒng)籌發(fā)展和安全、推動(dòng)電子政務(wù)高質(zhì)量發(fā)展的必然要求

數(shù)字化項(xiàng)目的規(guī)劃、建設(shè)、運(yùn)行、迭代是一個(gè)持續(xù)優(yōu)化升級(jí)的過程，網(wǎng)絡(luò)安全貫穿數(shù)字化項(xiàng)目的全生命周期。然而，在數(shù)字化改革實(shí)踐中，存在把網(wǎng)絡(luò)安全作為整體IT 運(yùn)維支撐保障工作的一部分實(shí)施的現(xiàn)象，即在項(xiàng)目建成投入運(yùn)行之后才開始考慮評(píng)估網(wǎng)絡(luò)安全風(fēng)險(xiǎn)并實(shí)施相關(guān)改進(jìn)措施，造成數(shù)字化平臺(tái)的安全性“先天不足”“帶病上線”等問題，不僅數(shù)字化平臺(tái)與數(shù)據(jù)安全運(yùn)行帶來巨大風(fēng)險(xiǎn)，而且后期整改難度更大、成本也更高。

網(wǎng)絡(luò)安全“同步規(guī)劃、同步建設(shè)、同步使用”原則，其目的是在數(shù)字化項(xiàng)目生命周期各階段明確責(zé)任部門及網(wǎng)絡(luò)安全職責(zé)，推進(jìn)網(wǎng)絡(luò)安全工作同步開展，強(qiáng)化關(guān)口前移，做到網(wǎng)絡(luò)安全與平臺(tái)建設(shè)齊頭并進(jìn)，降低運(yùn)維階段的整改難度和服務(wù)壓力。落實(shí)網(wǎng)絡(luò)安全“三同步”的重要抓手是關(guān)鍵環(huán)節(jié)進(jìn)行審查或評(píng)估。

近年來，浙江省本級(jí)電子政務(wù)相關(guān)主管部門陸續(xù)制定了相關(guān)制度，網(wǎng)絡(luò)安全“三同步”原則被越來越重視。然而，實(shí)踐中受到安全意識(shí)、專業(yè)人才、項(xiàng)目進(jìn)度、經(jīng)費(fèi)預(yù)算等的影響，網(wǎng)絡(luò)安全“三同步”原則落實(shí)存在不少問題。如網(wǎng)絡(luò)安全重視程度不夠、網(wǎng)絡(luò)安全責(zé)任未有效落實(shí)；一些單位“重應(yīng)用、輕安全”，數(shù)字化項(xiàng)目規(guī)劃階段主要關(guān)注業(yè)務(wù)需求，網(wǎng)絡(luò)安全方案不符合要求甚至缺失；網(wǎng)絡(luò)安全預(yù)算落實(shí)不到位、網(wǎng)絡(luò)安全預(yù)算與方案內(nèi)容不匹配；上線前安全檢測(cè)有待強(qiáng)化，缺乏軟件源代碼安全審計(jì)，重要信息系統(tǒng)未開展商用密碼應(yīng)用安全性評(píng)估等；“先上車后補(bǔ)票”現(xiàn)有時(shí)有發(fā)生，有的數(shù)字化系統(tǒng)未做檢測(cè)就先上線；“動(dòng)態(tài)”網(wǎng)絡(luò)安全觀念淡薄，缺乏常態(tài)化安全運(yùn)維；安全監(jiān)測(cè)預(yù)警能力不足，缺乏高水平網(wǎng)絡(luò)日志分析，問題快速定位、處置和溯源能力。因此，亟需深化落實(shí)網(wǎng)絡(luò)安全“三同步”原則。

提高認(rèn)識(shí)，完善網(wǎng)絡(luò)安全責(zé)任分工。樹立正確的網(wǎng)絡(luò)安全觀，加強(qiáng)對(duì)網(wǎng)絡(luò)安全工作的組織領(lǐng)導(dǎo)。認(rèn)真貫徹《黨委（黨組）網(wǎng)絡(luò)安全工作責(zé)任制實(shí)施辦法》，落實(shí)主體責(zé)任。加強(qiáng)網(wǎng)絡(luò)安全制度建設(shè)，明確相關(guān)各方網(wǎng)絡(luò)安全責(zé)任分工，并強(qiáng)化制度執(zhí)行。

關(guān)口前移，明確項(xiàng)目立項(xiàng)安全要求。同步設(shè)計(jì)網(wǎng)絡(luò)安全方案。嚴(yán)格落實(shí)網(wǎng)絡(luò)安全法律法規(guī)和標(biāo)準(zhǔn)規(guī)范要求，在立項(xiàng)階段開展系統(tǒng)定級(jí)，按規(guī)定要求和實(shí)際需求科學(xué)設(shè)計(jì)網(wǎng)絡(luò)安全方案。同步落實(shí)網(wǎng)絡(luò)安全預(yù)算。新建項(xiàng)目在建設(shè)經(jīng)費(fèi)中落實(shí)網(wǎng)絡(luò)安全預(yù)算，不低于項(xiàng)目總投資的5%，已建項(xiàng)目在運(yùn)維經(jīng)費(fèi)中安排網(wǎng)絡(luò)安全預(yù)算，預(yù)算投資額應(yīng)與方案內(nèi)容匹配一致。加強(qiáng)網(wǎng)絡(luò)安全論證審核。電子政務(wù)審批部門應(yīng)會(huì)同網(wǎng)信部門建立網(wǎng)絡(luò)安全專家?guī)?，在專家評(píng)審環(huán)節(jié)每個(gè)項(xiàng)目應(yīng)至少有1名網(wǎng)絡(luò)安全專家參加評(píng)審，增強(qiáng)網(wǎng)絡(luò)安全評(píng)審能力和結(jié)果應(yīng)用“剛性”。

加強(qiáng)管理，確保網(wǎng)絡(luò)安全同步建設(shè)。加強(qiáng)軟件開發(fā)安全。項(xiàng)目建設(shè)單位應(yīng)在合同中明確軟件開發(fā)單位的安全責(zé)任，要求制定代碼開發(fā)規(guī)范。加強(qiáng)上線前安全檢測(cè)。等保二級(jí)以上數(shù)字化平臺(tái)上線前應(yīng)開展軟件代碼安全審計(jì)和等保測(cè)評(píng)，未通過安全測(cè)評(píng)的數(shù)字化平臺(tái)原則上不得上線運(yùn)行。加強(qiáng)供應(yīng)鏈安全管理。明確供應(yīng)鏈廠商、服務(wù)商的安全責(zé)任，不采購未通過網(wǎng)絡(luò)安全審查的產(chǎn)品或服務(wù)，加強(qiáng)外包單位人員的背景審查和保密管理。

強(qiáng)化運(yùn)維，提升網(wǎng)絡(luò)安全保障水平。強(qiáng)化常態(tài)化安全運(yùn)維。樹立動(dòng)態(tài)防御理念，推進(jìn)安全策略配置和優(yōu)化、規(guī)則庫更新、補(bǔ)丁更新、變更管理、人員安全管理常態(tài)化，減少安全風(fēng)險(xiǎn)。強(qiáng)化安全監(jiān)測(cè)預(yù)警。構(gòu)建統(tǒng)一安全監(jiān)測(cè)平臺(tái)，提升主動(dòng)發(fā)現(xiàn)問題的能力，做到及時(shí)預(yù)警。強(qiáng)化安全應(yīng)急處置。完善應(yīng)急預(yù)案，定期開展演練，提升分析問題、解決問題能力，做到及時(shí)處置。