□揭建成

网络安全保障是系统工程，应按照体系化推进的思路，加强网络安全管理体系、服务体系和技术平台建设，提升网络安全保障水平

作为省政府数字化转型的重要组成部分，数字发改建设已成为省发改委的“一号工程”，投资项目在线审批监管、经济运行等平台相继投入运行。保障平台网络安全，特别是政务数据的安全，是摆在眼前重要而棘手的课题之一。

新技术带来的挑战日益增多。云计算、大数据、物联网、移动互联等新技术应用带来了资源节约和使用便利，也引发了诸多网络安全风险和挑战，如云计算技术应用引发了虚拟化的安全风险、云租户隔离、数据迁移、云服务商的安全责任鉴定问题，物联网引发了感知设备的安全防护、终端设备安全、应用多样性等的挑战，大数据应用加大了信息泄露风险。

网络安全外部威胁日趋严重。近年来，境外组织、网络黑客等的攻击行为相当猖獗，呈现出攻击目的趋利化、攻击主体组织化、攻击手段体系化、攻击危害严重化的特点，导致网络安全事件频发。省发改委的投资项目、公共信用、招投标、公共资源交易等平台社会关注度高，是黑客攻击的重点目标，外部威胁严重。

网络安全监管要求更加严格。近年来，网络安全工作越来越受到各级党委、政府的重视，特别是《网络安全法》实施后，主管部门的安全管理和执法日趋严格。浙江还出台了《浙江省党委党组网络安全工作责任制实施细则》，网信、公安部门还定期开展网络安全执法检查，网络安全责任履行不力将会被通报，甚至是被处罚。

虽然，省发改委网络安全保障水平取得了明显的进步，但离新形势、新任务的要求尚有差距，主要表现在四个方面：一是网络安全意识有待提升。“没有意识到风险是最大的风险”，仍有部分人员的网络安全意识有待提升，“网络安全说起来重要、做起来次要，忙起来不要”的问题依然存在，重应用、轻安全的问题时有发生。

二是网络安全责任有待明确。数字发改基础设施主要依托政务“一朵云”，而省政务云平台侧和用户侧安全责任边界还不够明确。在发改内部，数字发改管理处室与业务处室之间的责任边界还不够明确，相关各方特别是委管委属单位（包括协会）、基层发改部门对于自身的安全责任还不够清晰。

三是网络安全服务有待强化。安全服务是保障数字发改网络安全的重要抓手。在项目立项环节，存在项目的网络安全方案、预算不完善或缺失问题；在项目验收阶段，存在未经安全测评就上线运行的情况；在项目运行阶段，存在缺乏监测预警和渗透测试问题。

四是网络安全建设有待加强。目前，省政务云平台统一为云上系统提供仅仅是访问控制、云主机入侵检测等基础保障，远不能满足网络安全等级保护要求，省发改委尚需在恶意代码防范、网络边界隔离、Web应用安全防护、运维审计、数据备份和系统容灾备份等加强能力建设。

网络安全保障是系统工程，应按照体系化推进的思路，加强网络安全管理体系、服务体系和技术平台建设，提升网络安全保障水平。一是提升网络安全意识。要正确认识网络安全和信息化的关系，在数字发改建设过程中，网络安全和应用系统建设应同步规划、同步建设、同步运行。要提高全员的网络安全意识，让大家认识到网络安全不仅仅是少数几个专业技术人员的事。要把网络安全贯穿数字化项目的全过程。

二是加强网络安全管理。要积极与政务云平台管理方、运营方沟通，进一步明确平台方和发改委的网络安全责任边界。要研究制定委网络安全管理办法，明确委内相关处室、单位的网络安全责任和工作要求。探索建立网络安全通报预警机制，促进委网络安全信息共享、协同高效。

三是强化网络安全服务。对标网络安全新标准、新要求，推进三个“强化”：强化数字发改项目立项环节的安全方案审核把关服务；强化验收阶段的安全测评服务，包括等保测评、软件代码审计、软件测试等；强化运行阶段的安全监测、渗透测试服务。

四是加强网络安全建设。加强部署在政务云上信息系统的安全能力建设。扩容信息中心网络安全检测监测平台，提升监测预警能力。谋划主动防御、数据安全等技术平台，切实提升数字发改信息系统和数据安全保障能力。