前言:尋找寫作靈感?中文期刊網(wǎng)用心挑選的談?wù)?wù)信息系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系建設(shè),希望能為您的閱讀和創(chuàng)作帶來靈感,歡迎大家閱讀并分享。
一、引言
隨著以互聯(lián)網(wǎng)、大數(shù)據(jù)和云計算為代表的信息技術(shù)在各行各業(yè)的普及應(yīng)用,當(dāng)今社會已經(jīng)進(jìn)入互聯(lián)網(wǎng)時代,人們的工作生活方式發(fā)生了劃時代的改變。信息技術(shù)在政府部門也取得了深入的發(fā)展,尤其近幾年國務(wù)院出臺了“互聯(lián)網(wǎng)+政務(wù)服務(wù)”相關(guān)政策文件之后,各地各部門深入開展了政務(wù)信息化建設(shè),目前已經(jīng)初步建成了涉及門戶網(wǎng)站、行政審批、日常監(jiān)管和稽查執(zhí)法等多個領(lǐng)域的信息系統(tǒng),實現(xiàn)了政務(wù)服務(wù)“一網(wǎng)通辦”,企業(yè)群眾辦事“只進(jìn)一扇門”、“最多跑一次”。讓企業(yè)和群眾到政府辦事像“網(wǎng)購”一樣方便。信息技術(shù)在帶給人們工作生活效率成倍提升的同時,也隨之帶來了網(wǎng)絡(luò)安全問題。每年國內(nèi)外都會發(fā)生多起大規(guī)模的針對關(guān)鍵信息基礎(chǔ)設(shè)施的攻擊事件,政府部門信息系統(tǒng)更是成為境內(nèi)外黑客組織攻擊的重點目標(biāo),網(wǎng)絡(luò)安全狀況日趨嚴(yán)峻,黑客攻擊數(shù)量越來越多,攻擊方式越來越復(fù)雜,勒索病毒和APT(高級可持續(xù)威脅)攻擊等新型攻擊形式不斷出現(xiàn),對傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)體系帶來了很大的挑戰(zhàn)。本文將重點分析當(dāng)前面臨的網(wǎng)絡(luò)安全問題,基于國家的網(wǎng)絡(luò)安全方面政策法規(guī),提出構(gòu)建一套涵蓋網(wǎng)絡(luò)安全監(jiān)測、防御、處置和審計的政務(wù)信息系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系,切實提升網(wǎng)絡(luò)安全防護(hù)水平。
二、網(wǎng)絡(luò)安全相關(guān)的政策法規(guī)
信息資源已經(jīng)成為代表國家綜合國力的戰(zhàn)略資源。信息資源的保護(hù)、信息化進(jìn)程的健康發(fā)展是關(guān)乎國家安危、民族振興的大事,網(wǎng)絡(luò)安全是保障國家主權(quán)、政治、經(jīng)濟(jì)、國防、社會安全和公民合法權(quán)益的重要保證,沒有網(wǎng)絡(luò)安全就沒有國家安全。2017年6月1日起施行的《中華人民共和國網(wǎng)絡(luò)安全法》明確規(guī)定國家實行網(wǎng)絡(luò)安全等級保護(hù)制度,網(wǎng)絡(luò)運營單位在提供網(wǎng)絡(luò)服務(wù)的同時,應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求,承擔(dān)相應(yīng)網(wǎng)絡(luò)安全保護(hù)義務(wù),國家支持創(chuàng)新網(wǎng)絡(luò)安全管理方式,運用網(wǎng)絡(luò)新技術(shù),提升網(wǎng)絡(luò)安全保護(hù)水平。2019年國家的網(wǎng)絡(luò)安全等級保護(hù)2.0系列標(biāo)準(zhǔn)規(guī)范對網(wǎng)絡(luò)安全等級保護(hù)的基本要求、定級和測評等方面給出了明確要求,覆蓋了安全技術(shù)和安全管理兩大類10個方面。
三、政務(wù)信息系統(tǒng)主要網(wǎng)絡(luò)安全問題
(一)安全漏洞
對于信息系統(tǒng)來說,安全漏洞具有種類多樣和隱蔽性等特點。安全漏洞可以是網(wǎng)絡(luò)安全設(shè)備等硬件漏洞,也可以是操作系統(tǒng)、數(shù)據(jù)庫、中間件和應(yīng)用系統(tǒng)等軟件漏洞,也可以是網(wǎng)絡(luò)協(xié)議漏洞,這些都是由系統(tǒng)開發(fā)和使用過程中的缺陷產(chǎn)生的。攻擊者可以利用這些安全漏洞發(fā)起攻擊,導(dǎo)致信息系統(tǒng)破壞和重要數(shù)據(jù)泄露。安全漏洞的隱蔽性在于除了已知安全漏洞之外,還存在很多尚未發(fā)現(xiàn)的漏洞,這些漏洞就像定時炸彈一樣,一旦被攻擊者發(fā)現(xiàn)、利用,將對信息系統(tǒng)帶來重大的安全隱患,例如一些連產(chǎn)品廠商都未發(fā)現(xiàn)的0day漏洞,在未提供補(bǔ)丁之前,它的破壞性是非常大的,因為現(xiàn)有的安全設(shè)備無法防御。
(二)弱口令問題弱口令問題
主要是信息系統(tǒng)的管理人員和用戶網(wǎng)絡(luò)安全意識淡薄造成的,為了便于記憶使用,經(jīng)常將使用的信息系統(tǒng)和網(wǎng)絡(luò)安全設(shè)備的賬號口令設(shè)置為弱口令、出廠默認(rèn)口令。這些為本人帶來使用便利的同時,也為攻擊者提供了便利,攻擊者可以使用弱口令字典表進(jìn)行暴力破解,快速獲取賬號口令,進(jìn)入重要信息系統(tǒng)和網(wǎng)絡(luò)安全設(shè)備。
(三)安全管理落實不到位
主要體現(xiàn)在網(wǎng)絡(luò)安全管理制度缺失、落實不到位以及人員安全管理意識不足,導(dǎo)致很多長期不再維護(hù)、使用的老舊信息系統(tǒng)仍然暴露在互聯(lián)網(wǎng)上運行,網(wǎng)絡(luò)安全設(shè)備配置策略不合理導(dǎo)致設(shè)備沒有真正起到安全防護(hù)作用,這些問題都帶來了很大的網(wǎng)絡(luò)安全風(fēng)險。因此加強(qiáng)安全管理是保證網(wǎng)絡(luò)安全的重要手段。
四、政務(wù)信息系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)體系建設(shè)
完備的網(wǎng)絡(luò)安全防護(hù)體系主要由技術(shù)防護(hù)措施、網(wǎng)絡(luò)安全管理措施以及網(wǎng)絡(luò)安全服務(wù)等部分組成。
(一)網(wǎng)絡(luò)安全技術(shù)防護(hù)措施
1.網(wǎng)絡(luò)架構(gòu)設(shè)計
任何網(wǎng)絡(luò)安全措施都不是絕對安全可靠的,為保障攻破一層或一類保護(hù)的攻擊行為而不會破壞整個單位網(wǎng)絡(luò),以達(dá)到縱深防御的安全目標(biāo),需要按照分區(qū)分域防護(hù)原則,合理劃分安全域,綜合采用多種有效安全保護(hù)措施,實施多層、多重保護(hù)。單位機(jī)房網(wǎng)絡(luò)架構(gòu)在設(shè)計之初就要考慮網(wǎng)絡(luò)安全需求,劃分為不同的安全域,安全域之間做好區(qū)域邊界防護(hù)。
2.區(qū)域邊界防護(hù)
區(qū)域邊界是該區(qū)域內(nèi)信息系統(tǒng)和外界通信的必經(jīng)之路,通過區(qū)域邊界上做好安全控制,對進(jìn)出該安全域的數(shù)據(jù)流量進(jìn)行安全檢查,可以保證該安全域內(nèi)信息系統(tǒng)免遭外部攻擊破壞和重要信息泄露。區(qū)域邊界技術(shù)防護(hù)措施主要分為訪問控制、入侵防范和惡意代碼防范。訪問控制主要通過在區(qū)域邊界上部署防火墻實現(xiàn),防火墻通過訪問控制策略實現(xiàn)對進(jìn)出數(shù)據(jù)流量基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的訪問控制。入侵防范主要通過在區(qū)域邊界上部署入侵防御系統(tǒng)(IntrusionPreventionSystem,IPS)實現(xiàn),IPS通過內(nèi)置攻擊行為規(guī)則庫,實現(xiàn)2-7層網(wǎng)絡(luò)攻擊行為的檢測與防御,有效阻斷各種網(wǎng)絡(luò)攻擊行為。惡意代碼防范可以考慮在防火墻或者IPS上升級防病毒功能,利用豐富的病毒庫,實現(xiàn)進(jìn)出數(shù)據(jù)流量的病毒木馬等惡意代碼查殺。如果單位部署有大量提供Web服務(wù)的信息系統(tǒng),建議在服務(wù)器區(qū)域邊界處部署Web應(yīng)用防火墻(WebApplicationFirewall,WAF),可以實現(xiàn)web應(yīng)用層防護(hù),有效阻止SQL注入、惡意文件上傳和跨站腳本等應(yīng)用層攻擊行為。
3.計算環(huán)境安全防護(hù)
計算環(huán)境安全是信息系統(tǒng)安全的根本。一個安全的計算環(huán)境可以有效防止非授權(quán)用戶訪問和授權(quán)用戶越權(quán)訪問,為信息系統(tǒng)的正常運行和免遭惡意破壞提供支撐和保障,從而確保信息系統(tǒng)的機(jī)密性和完整性。信息系統(tǒng)應(yīng)通過為每個用戶分配賬號并為賬號分配訪問權(quán)限實現(xiàn)用戶訪問控制;通過為賬號設(shè)置密碼,實現(xiàn)用戶的身份鑒別;通過日志管理功能實現(xiàn)對用戶操作行為的安全審計;通過在服務(wù)器上安裝殺毒軟件實現(xiàn)惡意代碼防范;同時要做好信息系統(tǒng)及其數(shù)據(jù)的備份恢復(fù),避免信息系統(tǒng)及其數(shù)據(jù)被破壞后,可以快速恢復(fù)系統(tǒng)上線。
4.網(wǎng)絡(luò)安全實時監(jiān)測預(yù)警
威脅態(tài)勢感知系統(tǒng)作為單位網(wǎng)絡(luò)的安全眼,可以全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢。它以流量鏡像部署方式,可以實現(xiàn)對單位網(wǎng)絡(luò)進(jìn)出數(shù)據(jù)流量的實時網(wǎng)絡(luò)安全監(jiān)測與預(yù)警,實時檢測已知及未知安全威脅,精準(zhǔn)定位異常網(wǎng)絡(luò)行為的風(fēng)險主機(jī)及服務(wù)器,協(xié)助安全管理人員回答單位網(wǎng)絡(luò)是否安全,安全威脅何時出現(xiàn)、攻擊手段極其攻擊范圍等重要安全問題。
(二)網(wǎng)絡(luò)安全管理措施
安全管理在整個網(wǎng)絡(luò)安全防護(hù)體系中具備非常重要的作用,正所謂“三分技術(shù)、七分管理”,如果疏于管理,構(gòu)建再好的技術(shù)防護(hù)措施也發(fā)揮不了應(yīng)有的作用。政府部門需要設(shè)置獨立的安全管理機(jī)構(gòu)及其崗位,配備專職的安全管理人員,建立健全包含機(jī)房管理、網(wǎng)絡(luò)安全管理和應(yīng)急預(yù)案等一系列安全管理制度。按照安全管理制度要求,做好日常網(wǎng)絡(luò)安全運維管理。按照網(wǎng)絡(luò)安全等級保護(hù)規(guī)范要求,做好重要信息系統(tǒng)的等級保護(hù)定級、備案、測評和整改工作。以每年開展的等保測評和整改工作為契機(jī),不斷完善網(wǎng)絡(luò)安全技術(shù)與管理措施,提升網(wǎng)絡(luò)安全整體防護(hù)水平。
(三)網(wǎng)絡(luò)安全服務(wù)
為了更好提升網(wǎng)絡(luò)安全防護(hù)能力,需要引入滲透測試和漏洞掃描為代表的網(wǎng)絡(luò)安全服務(wù)手段。滲透測試以模擬真實的網(wǎng)絡(luò)攻擊行為,主動發(fā)現(xiàn)信息系統(tǒng)的各種安全漏洞,檢驗網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)安全設(shè)備設(shè)置及其安全策略是否合理,檢驗單位整體網(wǎng)絡(luò)安全防護(hù)能力到底如何,協(xié)助安全管理人員快速查找解決各種潛在安全問題。通過部署漏洞掃描設(shè)備可以主動發(fā)現(xiàn)單位網(wǎng)絡(luò)內(nèi)各主機(jī)服務(wù)器的安全漏洞,協(xié)調(diào)技術(shù)人員快速修復(fù)安全漏洞,避免這些漏洞被黑客利用。
五、結(jié)語
信息技術(shù)就像一把雙刃劍,帶給人類社會生活方式發(fā)生劃時代改變的同時,也隨之帶來了網(wǎng)絡(luò)安全問題。包含政府部門在內(nèi)的網(wǎng)絡(luò)運營者和用戶時刻都面臨著復(fù)雜多變的網(wǎng)絡(luò)安全風(fēng)險。按照網(wǎng)絡(luò)安全等級保護(hù)規(guī)范要求,本文從技術(shù)、管理和服務(wù)三個角度提出一套網(wǎng)絡(luò)安全防護(hù)體系,以應(yīng)對日趨嚴(yán)重的網(wǎng)絡(luò)安全挑戰(zhàn),提升政府部門網(wǎng)絡(luò)安全防護(hù)水平。
作者:劉小康 陸誠 單位:江蘇省食品藥品監(jiān)督信息中心
