数字化项目须遵循网络安全“三同步”原则

文/揭建成 浙江省经济信息中心首席专家、网络安全部主任

随着浙江数字化改革的持续推进，落实好网络安全“三同步”原则，是统筹发展和安全、推动电子政务高质量发展的必然要求

数字化项目的规划、建设、运行、迭代是一个持续优化升级的过程，网络安全贯穿数字化项目的全生命周期。然而，在数字化改革实践中，存在把网络安全作为整体IT 运维支撑保障工作的一部分实施的现象，即在项目建成投入运行之后才开始考虑评估网络安全风险并实施相关改进措施，造成数字化平台的安全性“先天不足”“带病上线”等问题，不仅数字化平台与数据安全运行带来巨大风险，而且后期整改难度更大、成本也更高。

网络安全“同步规划、同步建设、同步使用”原则，其目的是在数字化项目生命周期各阶段明确责任部门及网络安全职责，推进网络安全工作同步开展，强化关口前移，做到网络安全与平台建设齐头并进，降低运维阶段的整改难度和服务压力。落实网络安全“三同步”的重要抓手是关键环节进行审查或评估。

近年来，浙江省本级电子政务相关主管部门陆续制定了相关制度，网络安全“三同步”原则被越来越重视。然而，实践中受到安全意识、专业人才、项目进度、经费预算等的影响，网络安全“三同步”原则落实存在不少问题。如网络安全重视程度不够、网络安全责任未有效落实；一些单位“重应用、轻安全”，数字化项目规划阶段主要关注业务需求，网络安全方案不符合要求甚至缺失；网络安全预算落实不到位、网络安全预算与方案内容不匹配；上线前安全检测有待强化，缺乏软件源代码安全审计，重要信息系统未开展商用密码应用安全性评估等；“先上车后补票”现有时有发生，有的数字化系统未做检测就先上线；“动态”网络安全观念淡薄，缺乏常态化安全运维；安全监测预警能力不足，缺乏高水平网络日志分析，问题快速定位、处置和溯源能力。因此，亟需深化落实网络安全“三同步”原则。

提高认识，完善网络安全责任分工。树立正确的网络安全观，加强对网络安全工作的组织领导。认真贯彻《党委（党组）网络安全工作责任制实施办法》，落实主体责任。加强网络安全制度建设，明确相关各方网络安全责任分工，并强化制度执行。

关口前移，明确项目立项安全要求。同步设计网络安全方案。严格落实网络安全法律法规和标准规范要求，在立项阶段开展系统定级，按规定要求和实际需求科学设计网络安全方案。同步落实网络安全预算。新建项目在建设经费中落实网络安全预算，不低于项目总投资的5%，已建项目在运维经费中安排网络安全预算，预算投资额应与方案内容匹配一致。加强网络安全论证审核。电子政务审批部门应会同网信部门建立网络安全专家库，在专家评审环节每个项目应至少有1名网络安全专家参加评审，增强网络安全评审能力和结果应用“刚性”。

加强管理，确保网络安全同步建设。加强软件开发安全。项目建设单位应在合同中明确软件开发单位的安全责任，要求制定代码开发规范。加强上线前安全检测。等保二级以上数字化平台上线前应开展软件代码安全审计和等保测评，未通过安全测评的数字化平台原则上不得上线运行。加强供应链安全管理。明确供应链厂商、服务商的安全责任，不采购未通过网络安全审查的产品或服务，加强外包单位人员的背景审查和保密管理。

强化运维，提升网络安全保障水平。强化常态化安全运维。树立动态防御理念，推进安全策略配置和优化、规则库更新、补丁更新、变更管理、人员安全管理常态化，减少安全风险。强化安全监测预警。构建统一安全监测平台，提升主动发现问题的能力，做到及时预警。强化安全应急处置。完善应急预案，定期开展演练，提升分析问题、解决问题能力，做到及时处置。