數(shù)字化項目須遵循網(wǎng)絡安全“三同步”原則

2023-01-10 21:14:23揭建成浙江省經(jīng)濟信息中心首席專家網(wǎng)絡安全部主任

浙江經(jīng)濟 2022年1期

文/揭建成浙江省經(jīng)濟信息中心首席專家、網(wǎng)絡安全部主任

隨著浙江數(shù)字化改革的持續(xù)推進，落實好網(wǎng)絡安全“三同步”原則，是統(tǒng)籌發(fā)展和安全、推動電子政務高質(zhì)量發(fā)展的必然要求

數(shù)字化項目的規(guī)劃、建設、運行、迭代是一個持續(xù)優(yōu)化升級的過程，網(wǎng)絡安全貫穿數(shù)字化項目的全生命周期。然而，在數(shù)字化改革實踐中，存在把網(wǎng)絡安全作為整體IT 運維支撐保障工作的一部分實施的現(xiàn)象，即在項目建成投入運行之后才開始考慮評估網(wǎng)絡安全風險并實施相關改進措施，造成數(shù)字化平臺的安全性“先天不足”“帶病上線”等問題，不僅數(shù)字化平臺與數(shù)據(jù)安全運行帶來巨大風險，而且后期整改難度更大、成本也更高。

網(wǎng)絡安全“同步規(guī)劃、同步建設、同步使用”原則，其目的是在數(shù)字化項目生命周期各階段明確責任部門及網(wǎng)絡安全職責，推進網(wǎng)絡安全工作同步開展，強化關口前移，做到網(wǎng)絡安全與平臺建設齊頭并進，降低運維階段的整改難度和服務壓力。落實網(wǎng)絡安全“三同步”的重要抓手是關鍵環(huán)節(jié)進行審查或評估。

近年來，浙江省本級電子政務相關主管部門陸續(xù)制定了相關制度，網(wǎng)絡安全“三同步”原則被越來越重視。然而，實踐中受到安全意識、專業(yè)人才、項目進度、經(jīng)費預算等的影響，網(wǎng)絡安全“三同步”原則落實存在不少問題。如網(wǎng)絡安全重視程度不夠、網(wǎng)絡安全責任未有效落實；一些單位“重應用、輕安全”，數(shù)字化項目規(guī)劃階段主要關注業(yè)務需求，網(wǎng)絡安全方案不符合要求甚至缺失；網(wǎng)絡安全預算落實不到位、網(wǎng)絡安全預算與方案內(nèi)容不匹配；上線前安全檢測有待強化，缺乏軟件源代碼安全審計，重要信息系統(tǒng)未開展商用密碼應用安全性評估等；“先上車后補票”現(xiàn)有時有發(fā)生，有的數(shù)字化系統(tǒng)未做檢測就先上線；“動態(tài)”網(wǎng)絡安全觀念淡薄，缺乏常態(tài)化安全運維；安全監(jiān)測預警能力不足，缺乏高水平網(wǎng)絡日志分析，問題快速定位、處置和溯源能力。因此，亟需深化落實網(wǎng)絡安全“三同步”原則。

提高認識，完善網(wǎng)絡安全責任分工。樹立正確的網(wǎng)絡安全觀，加強對網(wǎng)絡安全工作的組織領導。認真貫徹《黨委（黨組）網(wǎng)絡安全工作責任制實施辦法》，落實主體責任。加強網(wǎng)絡安全制度建設，明確相關各方網(wǎng)絡安全責任分工，并強化制度執(zhí)行。

關口前移，明確項目立項安全要求。同步設計網(wǎng)絡安全方案。嚴格落實網(wǎng)絡安全法律法規(guī)和標準規(guī)范要求，在立項階段開展系統(tǒng)定級，按規(guī)定要求和實際需求科學設計網(wǎng)絡安全方案。同步落實網(wǎng)絡安全預算。新建項目在建設經(jīng)費中落實網(wǎng)絡安全預算，不低于項目總投資的5%，已建項目在運維經(jīng)費中安排網(wǎng)絡安全預算，預算投資額應與方案內(nèi)容匹配一致。加強網(wǎng)絡安全論證審核。電子政務審批部門應會同網(wǎng)信部門建立網(wǎng)絡安全專家?guī)欤趯＜以u審環(huán)節(jié)每個項目應至少有1名網(wǎng)絡安全專家參加評審，增強網(wǎng)絡安全評審能力和結(jié)果應用“剛性”。

加強管理，確保網(wǎng)絡安全同步建設。加強軟件開發(fā)安全。項目建設單位應在合同中明確軟件開發(fā)單位的安全責任，要求制定代碼開發(fā)規(guī)范。加強上線前安全檢測。等保二級以上數(shù)字化平臺上線前應開展軟件代碼安全審計和等保測評，未通過安全測評的數(shù)字化平臺原則上不得上線運行。加強供應鏈安全管理。明確供應鏈廠商、服務商的安全責任，不采購未通過網(wǎng)絡安全審查的產(chǎn)品或服務，加強外包單位人員的背景審查和保密管理。

強化運維，提升網(wǎng)絡安全保障水平。強化常態(tài)化安全運維。樹立動態(tài)防御理念，推進安全策略配置和優(yōu)化、規(guī)則庫更新、補丁更新、變更管理、人員安全管理常態(tài)化，減少安全風險。強化安全監(jiān)測預警。構(gòu)建統(tǒng)一安全監(jiān)測平臺，提升主動發(fā)現(xiàn)問題的能力，做到及時預警。強化安全應急處置。完善應急預案，定期開展演練，提升分析問題、解決問題能力，做到及時處置。