劉小康 陸誠(chéng)

一、引言

隨著以互聯(lián)網(wǎng)、大數(shù)據(jù)和云計(jì)算為代表的信息技術(shù)在各行各業(yè)的普及應(yīng)用，當(dāng)今社會(huì)已經(jīng)進(jìn)入互聯(lián)網(wǎng)時(shí)代，人們的工作生活方式發(fā)生了劃時(shí)代的改變。信息技術(shù)在政府部門也取得了深入的發(fā)展，尤其近幾年國(guó)務(wù)院出臺(tái)了“互聯(lián)網(wǎng)+政務(wù)服務(wù)”相關(guān)政策文件之后，各地各部門深入開展了政務(wù)信息化建設(shè)，目前已經(jīng)初步建成了涉及門戶網(wǎng)站、行政審批、日常監(jiān)管和稽查執(zhí)法等多個(gè)領(lǐng)域的信息系統(tǒng)，實(shí)現(xiàn)了政務(wù)服務(wù)“一網(wǎng)通辦”，企業(yè)群眾辦事“只進(jìn)一扇門”、“最多跑一次”。讓企業(yè)和群眾到政府辦事像“網(wǎng)購(gòu)”一樣方便。

信息技術(shù)在帶給人們工作生活效率成倍提升的同時(shí)，也隨之帶來(lái)了網(wǎng)絡(luò)安全問(wèn)題。每年國(guó)內(nèi)外都會(huì)發(fā)生多起大規(guī)模的針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的攻擊事件，政府部門信息系統(tǒng)更是成為境內(nèi)外黑客組織攻擊的重點(diǎn)目標(biāo)，網(wǎng)絡(luò)安全狀況日趨嚴(yán)峻，黑客攻擊數(shù)量越來(lái)越多，攻擊方式越來(lái)越復(fù)雜，勒索病毒和APT（高級(jí)可持續(xù)威脅）攻擊等新型攻擊形式不斷出現(xiàn)，對(duì)傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)體系帶來(lái)了很大的挑戰(zhàn)。本文將重點(diǎn)分析當(dāng)前面臨的網(wǎng)絡(luò)安全問(wèn)題，基于國(guó)家發(fā)布的網(wǎng)絡(luò)安全方面政策法規(guī)，提出構(gòu)建一套涵蓋網(wǎng)絡(luò)安全監(jiān)測(cè)、防御、處置和審計(jì)的政務(wù)信息系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系，切實(shí)提升網(wǎng)絡(luò)安全防護(hù)水平。

二、網(wǎng)絡(luò)安全相關(guān)的政策法規(guī)

信息資源已經(jīng)成為代表國(guó)家綜合國(guó)力的戰(zhàn)略資源。信息資源的保護(hù)、信息化進(jìn)程的健康發(fā)展是關(guān)乎國(guó)家安危、民族振興的大事，網(wǎng)絡(luò)安全是保障國(guó)家主權(quán)、政治、經(jīng)濟(jì)、國(guó)防、社會(huì)安全和公民合法權(quán)益的重要保證，沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全。

2017年6月1日起施行的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》明確規(guī)定國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，網(wǎng)絡(luò)運(yùn)營(yíng)單位在提供網(wǎng)絡(luò)服務(wù)的同時(shí)，應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，承擔(dān)相應(yīng)網(wǎng)絡(luò)安全保護(hù)義務(wù)，國(guó)家支持創(chuàng)新網(wǎng)絡(luò)安全管理方式，運(yùn)用網(wǎng)絡(luò)新技術(shù)，提升網(wǎng)絡(luò)安全保護(hù)水平。

2019年國(guó)家發(fā)布的網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0系列標(biāo)準(zhǔn)規(guī)范對(duì)網(wǎng)絡(luò)安全等級(jí)保護(hù)的基本要求、定級(jí)和測(cè)評(píng)等方面給出了明確要求，覆蓋了安全技術(shù)和安全管理兩大類10個(gè)方面。

三、政務(wù)信息系統(tǒng)主要網(wǎng)絡(luò)安全問(wèn)題

（一）安全漏洞

對(duì)于信息系統(tǒng)來(lái)說(shuō)，安全漏洞具有種類多樣和隱蔽性等特點(diǎn)。安全漏洞可以是網(wǎng)絡(luò)安全設(shè)備等硬件漏洞，也可以是操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件和應(yīng)用系統(tǒng)等軟件漏洞，也可以是網(wǎng)絡(luò)協(xié)議漏洞，這些都是由系統(tǒng)開發(fā)和使用過(guò)程中的缺陷產(chǎn)生的。攻擊者可以利用這些安全漏洞發(fā)起攻擊，導(dǎo)致信息系統(tǒng)破壞和重要數(shù)據(jù)泄露。安全漏洞的隱蔽性在于除了已知安全漏洞之外，還存在很多尚未發(fā)現(xiàn)的漏洞，這些漏洞就像定時(shí)炸彈一樣，一旦被攻擊者發(fā)現(xiàn)、利用，將對(duì)信息系統(tǒng)帶來(lái)重大的安全隱患，例如一些連產(chǎn)品廠商都未發(fā)現(xiàn)的0day漏洞，在未提供補(bǔ)丁之前，它的破壞性是非常大的，因?yàn)楝F(xiàn)有的安全設(shè)備無(wú)法防御。

（二）弱口令問(wèn)題

弱口令問(wèn)題主要是信息系統(tǒng)的管理人員和用戶網(wǎng)絡(luò)安全意識(shí)淡薄造成的，為了便于記憶使用，經(jīng)常將使用的信息系統(tǒng)和網(wǎng)絡(luò)安全設(shè)備的賬號(hào)口令設(shè)置為弱口令、出廠默認(rèn)口令。這些為本人帶來(lái)使用便利的同時(shí)，也為攻擊者提供了便利，攻擊者可以使用弱口令字典表進(jìn)行暴力破解，快速獲取賬號(hào)口令，進(jìn)入重要信息系統(tǒng)和網(wǎng)絡(luò)安全設(shè)備。

（三）安全管理落實(shí)不到位

主要體現(xiàn)在網(wǎng)絡(luò)安全管理制度缺失、落實(shí)不到位以及人員安全管理意識(shí)不足，導(dǎo)致很多長(zhǎng)期不再維護(hù)、使用的老舊信息系統(tǒng)仍然暴露在互聯(lián)網(wǎng)上運(yùn)行，網(wǎng)絡(luò)安全設(shè)備配置策略不合理導(dǎo)致設(shè)備沒(méi)有真正起到安全防護(hù)作用，這些問(wèn)題都帶來(lái)了很大的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。因此加強(qiáng)安全管理是保證網(wǎng)絡(luò)安全的重要手段。

四、政務(wù)信息系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)體系建設(shè)

完備的網(wǎng)絡(luò)安全防護(hù)體系主要由技術(shù)防護(hù)措施、網(wǎng)絡(luò)安全管理措施以及網(wǎng)絡(luò)安全服務(wù)等部分組成。

（一）網(wǎng)絡(luò)安全技術(shù)防護(hù)措施

1.網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)

任何網(wǎng)絡(luò)安全措施都不是絕對(duì)安全可靠的，為保障攻破一層或一類保護(hù)的攻擊行為而不會(huì)破壞整個(gè)單位網(wǎng)絡(luò)，以達(dá)到縱深防御的安全目標(biāo)，需要按照分區(qū)分域防護(hù)原則，合理劃分安全域，綜合采用多種有效安全保護(hù)措施，實(shí)施多層、多重保護(hù)。單位機(jī)房網(wǎng)絡(luò)架構(gòu)在設(shè)計(jì)之初就要考慮網(wǎng)絡(luò)安全需求，劃分為不同的安全域，安全域之間做好區(qū)域邊界防護(hù)。

2.區(qū)域邊界防護(hù)

區(qū)域邊界是該區(qū)域內(nèi)信息系統(tǒng)和外界通信的必經(jīng)之路，通過(guò)區(qū)域邊界上做好安全控制，對(duì)進(jìn)出該安全域的數(shù)據(jù)流量進(jìn)行安全檢查，可以保證該安全域內(nèi)信息系統(tǒng)免遭外部攻擊破壞和重要信息泄露。區(qū)域邊界技術(shù)防護(hù)措施主要分為訪問(wèn)控制、入侵防范和惡意代碼防范。訪問(wèn)控制主要通過(guò)在區(qū)域邊界上部署防火墻實(shí)現(xiàn)，防火墻通過(guò)訪問(wèn)控制策略實(shí)現(xiàn)對(duì)進(jìn)出數(shù)據(jù)流量基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的訪問(wèn)控制。入侵防范主要通過(guò)在區(qū)域邊界上部署入侵防御系統(tǒng)（Intrusion Prevention System，IPS）實(shí)現(xiàn)，IPS通過(guò)內(nèi)置攻擊行為規(guī)則庫(kù)，實(shí)現(xiàn)2-7層網(wǎng)絡(luò)攻擊行為的檢測(cè)與防御，有效阻斷各種網(wǎng)絡(luò)攻擊行為。惡意代碼防范可以考慮在防火墻或者IPS上升級(jí)防病毒功能，利用豐富的病毒庫(kù)，實(shí)現(xiàn)進(jìn)出數(shù)據(jù)流量的病毒木馬等惡意代碼查殺。

如果單位部署有大量提供Web服務(wù)的信息系統(tǒng)，建議在服務(wù)器區(qū)域邊界處部署Web應(yīng)用防火墻（Web Application Firewall，WAF）， 可以實(shí)現(xiàn)web應(yīng)用層防護(hù)，有效阻止SQL注入、惡意文件上傳和跨站腳本等應(yīng)用層攻擊行為。

3.計(jì)算環(huán)境安全防護(hù)

計(jì)算環(huán)境安全是信息系統(tǒng)安全的根本。一個(gè)安全的計(jì)算環(huán)境可以有效防止非授權(quán)用戶訪問(wèn)和授權(quán)用戶越權(quán)訪問(wèn)，為信息系統(tǒng)的正常運(yùn)行和免遭惡意破壞提供支撐和保障，從而確保信息系統(tǒng)的機(jī)密性和完整性。信息系統(tǒng)應(yīng)通過(guò)為每個(gè)用戶分配賬號(hào)并為賬號(hào)分配訪問(wèn)權(quán)限實(shí)現(xiàn)用戶訪問(wèn)控制；通過(guò)為賬號(hào)設(shè)置密碼，實(shí)現(xiàn)用戶的身份鑒別；通過(guò)日志管理功能實(shí)現(xiàn)對(duì)用戶操作行為的安全審計(jì)；通過(guò)在服務(wù)器上安裝殺毒軟件實(shí)現(xiàn)惡意代碼防范；同時(shí)要做好信息系統(tǒng)及其數(shù)據(jù)的備份恢復(fù)，避免信息系統(tǒng)及其數(shù)據(jù)被破壞后，可以快速恢復(fù)系統(tǒng)上線。

4.網(wǎng)絡(luò)安全實(shí)時(shí)監(jiān)測(cè)預(yù)警

威脅態(tài)勢(shì)感知系統(tǒng)作為單位網(wǎng)絡(luò)的安全眼，可以全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢(shì)。它以流量鏡像部署方式，可以實(shí)現(xiàn)對(duì)單位網(wǎng)絡(luò)進(jìn)出數(shù)據(jù)流量的實(shí)時(shí)網(wǎng)絡(luò)安全監(jiān)測(cè)與預(yù)警，實(shí)時(shí)檢測(cè)已知及未知安全威脅，精準(zhǔn)定位異常網(wǎng)絡(luò)行為的風(fēng)險(xiǎn)主機(jī)及服務(wù)器，協(xié)助安全管理人員回答單位網(wǎng)絡(luò)是否安全，安全威脅何時(shí)出現(xiàn)、攻擊手段極其攻擊范圍等重要安全問(wèn)題。

（二）網(wǎng)絡(luò)安全管理措施

安全管理在整個(gè)網(wǎng)絡(luò)安全防護(hù)體系中具備非常重要的作用，正所謂“三分技術(shù)、七分管理”，如果疏于管理，構(gòu)建再好的技術(shù)防護(hù)措施也發(fā)揮不了應(yīng)有的作用。政府部門需要設(shè)置獨(dú)立的安全管理機(jī)構(gòu)及其崗位，配備專職的安全管理人員，建立健全包含機(jī)房管理、網(wǎng)絡(luò)安全管理和應(yīng)急預(yù)案等一系列安全管理制度。按照安全管理制度要求，做好日常網(wǎng)絡(luò)安全運(yùn)維管理。

按照網(wǎng)絡(luò)安全等級(jí)保護(hù)規(guī)范要求，做好重要信息系統(tǒng)的等級(jí)保護(hù)定級(jí)、備案、測(cè)評(píng)和整改工作。以每年開展的等保測(cè)評(píng)和整改工作為契機(jī)，不斷完善網(wǎng)絡(luò)安全技術(shù)與管理措施，提升網(wǎng)絡(luò)安全整體防護(hù)水平。

（三）網(wǎng)絡(luò)安全服務(wù)

為了更好提升網(wǎng)絡(luò)安全防護(hù)能力，需要引入滲透測(cè)試和漏洞掃描為代表的網(wǎng)絡(luò)安全服務(wù)手段。滲透測(cè)試以模擬真實(shí)的網(wǎng)絡(luò)攻擊行為，主動(dòng)發(fā)現(xiàn)信息系統(tǒng)的各種安全漏洞，檢驗(yàn)網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)安全設(shè)備設(shè)置及其安全策略是否合理，檢驗(yàn)單位整體網(wǎng)絡(luò)安全防護(hù)能力到底如何，協(xié)助安全管理人員快速查找解決各種潛在安全問(wèn)題。

通過(guò)部署漏洞掃描設(shè)備可以主動(dòng)發(fā)現(xiàn)單位網(wǎng)絡(luò)內(nèi)各主機(jī)服務(wù)器的安全漏洞，協(xié)調(diào)技術(shù)人員快速修復(fù)安全漏洞，避免這些漏洞被黑客利用。

五、結(jié)語(yǔ)

信息技術(shù)就像一把雙刃劍，帶給人類社會(huì)生活方式發(fā)生劃時(shí)代改變的同時(shí)，也隨之帶來(lái)了網(wǎng)絡(luò)安全問(wèn)題。包含政府部門在內(nèi)的網(wǎng)絡(luò)運(yùn)營(yíng)者和用戶時(shí)刻都面臨著復(fù)雜多變的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。按照網(wǎng)絡(luò)安全等級(jí)保護(hù)規(guī)范要求，本文從技術(shù)、管理和服務(wù)三個(gè)角度提出一套網(wǎng)絡(luò)安全防護(hù)體系，以應(yīng)對(duì)日趨嚴(yán)重的網(wǎng)絡(luò)安全挑戰(zhàn)，提升政府部門網(wǎng)絡(luò)安全防護(hù)水平。

作者單位：江蘇省食品藥品監(jiān)督信息中心