隨著數字經濟時代的到來，“互聯網+政務服務”全面推進，信息技術與政務服務深度融合，“人力資源、社會保障、醫療衛生、電子政務、工商民政、公積金”等政務服務行業業務辦理與經營決策更加高效、智能，但在迅速信息化發展的過程中，“后門、陷阱、漏洞、軟件炸彈”等安全問題，也給政務服務信息安全帶來不小的隱患。

       網新恩普作為國內第一批從事人力資源與社會保障業務的IT企業，在經營管理中積極探索、創新、求實，始終肩負著“為客戶提供更好的服務”使命，配合政府客戶防御黑客攻擊，保障政務服務信息系統的信息安全責無旁貸。公司領導深知信息系統安全對系統穩定運行、維護客戶權益，甚至對國家經濟安全、社會穩定都具有重要意義。

       基于此，網新恩普一直致力于信息系統安全建設的探索、研究與實踐。在公司領導大力倡導下，質量管理部、研發中心共同努力，網新恩普信息系統安全建設在配合第三方安全評測、國家安全等級保護2.0合規評測的基礎上，導入了“安全開發、安全測試”方法、工具、技術，逐步由“被動防御”、“探索積累”邁向“主動防御”。

被動防御：修補漏洞，配合測評

       2008年，隨著網絡安全等級保護1.0系列標準的發布和執行推進，源碼審計、漏洞掃描、滲透測試、合規就等同于安全。公司項目的安全工作主要是修補“烏云、補天、CNVD”等各大漏洞平臺及客戶發來的各種安全漏洞。項目驗收時，需配合第三方做安全測試或等保合規測評，然而每次測評或多或少都存在安全漏洞、不符合項，不僅影響驗收進度，也一定程度上增加了運營成本。信息技術、網絡安全技術、黑客技術的快速發展，“被動防御、配合測評”的安全做法，已完全無法滿足政務服務信息系統的信息安全需要。

探索積累：導入“安全測試方法、技術、工具”

       在網絡安全等級保護1.0后期，無論是公司層面還是國家層面，都更注重實質性的安全。主動防御、態勢感知、攻防對抗等安全手段開始通行，云安、大數據、工控安全和移動安全占領主要趨勢。網絡安全等級保護1.0普及了等保概念，強化了安全意識，從單個系統到部門、行業，再上升到國家層面，從合規到攻防對抗，整體提升了網絡安全保障能力技術并且不斷進行人才的積累。

       網新恩普緊跟科技創新發展新趨勢，不斷策劃部署指導信息系統安全建設工作。質量管理部利用與第三方安全測評機構對接的契機，積極梳理出“源碼安全審計、Web漏洞掃描、人工滲透”等安全測試方法、編寫了指導書，并在公司項目開展中得到廣泛應用?！鞍踩珳y試方法、技術、工具”的導入，結束了公司信息系統安全建設被動防御階段，開啟了探索積累階段，并逐漸向主動防御階段邁進。

主動防御：編撰《安全開發規范》、導入信息安全服務規范CCRC

       2019年，網絡安全等級保護2.0相關的《信息安全技術 網絡安全等級保護基本要求》、《信息安全技術 網絡安全等級保護測評要求》、《信息安全技術 網絡安全等級保護安全設計技術要求》等國家標準正式發布，并于2019年12月1日開始實施，我國也正式邁入等保2.0時代。

       《中華人民共和國網絡安全法》第21條規定，國家實行網絡安全等級保護制度，要求“網絡運營者應當按照網絡安全等級保護制度要求，履行安全保護義務”；第31條規定，對于國家關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護。等級保護上升到國家法律層面，可見企業進行信息系統安全建設的重要性、必要性。

       網絡安全等級保護2.0制度，是我國網絡安全領域的基本國策、基本制度。等級保護標準在1.0時代的基礎上，注重主動防御，從被動防御到事前、事中、事后全流程的安全可信、動態感知和全面審計，實現了對傳統信息系統、基礎信息網絡、云計算、大數據、物聯網、移動互聯網和工業控制信息系統等級保護對象的全覆蓋。

       網新恩普研發中心對安全測試發現的問題，進行總結、梳理、并進行了整體設計，將安全防御框架集成到了公司Odin7C框架中，并編寫了《Odin7C安全編碼指南》，指導項目成員進行安全編碼。

       2021年6月，公司質量管理部再度協同研發中心，參考OWASP、阿里、華為等頂級大公司的安全編碼規范與客戶的相關安全要求，結合公司多年來安全測試發現的各類安全問題、實際情況和業務經驗，將信息系統安全建設貫穿到軟件工程的各個階段，編寫完成《安全開發規范》，并協同培訓中心與第三方安全公司，對各項目成員進行“信息系統安全意識、安全開發規范、OWASP TOP10漏洞原理及防御方法”等內容的安全培訓，提升項目成員安全開發意識和安全開發能力。

       安全防御框架集成到Odin7C框架、《安全開發規范》的發布，以及安全開發能力的導入，標志著網新恩普信息系統安全建設進入了“主動防御”階段。此外，公司今年計劃導入信息安全服務規范CCRC，按照國家安全標準體系要求，進行信息系統安全體系建設，這意味著公司信息系統安全建設將全面步入“主動防御”階段。

       未來，公司各業務部門領導、項目經理、項目成員將嚴格按照《安全開發規范》進行安全開發，根據公司、客戶要求執行“源碼安全審計、Web漏洞掃描、滲透測試”，并認真處理安全測試發現的各類安全問題。網新恩普全體成員將攜手肩負起“國家形象、利益、安全”的責任、使命，為國家信息系統安全建設貢獻自己的力量。