引論:我們為您整理了1篇網絡安全策略研究3篇范文,供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源,期望它們能夠激發您的創作靈感,讓您的文章更具深度。
我國當前醫院所構建的信息化程度相對較好,不斷擴大信息化業務范圍,全范圍覆蓋醫院各個門診科室等,提供了較大的就醫便利,而隨著信息化建設程度的加深,促使醫院整體信息數據儲量不斷提高,呈現出明顯的信息安全問題,醫院信息網絡當中所包含的數據內容關乎到醫院及病患的權益保障,如若一旦發生網絡安全問題,造成泄露、丟失,則會造成嚴重后果,因此,需要醫院不斷強化自身信息化建設中的網絡安全管理,才能夠促使醫院整體信息系統呈現出更加良好的建設趨勢。
1醫院信息化建設網絡安全的必要性
在現代化的發展過程當中,醫院為了提高自身運營效率,形成現代化發展效果,大力發展信息化建設,作為其中的基礎結構,計算機網絡承載著醫院當中的眾多醫療管理系統。結合實際當中的醫院計算機網絡構架進行分析發現,其中包括了服務器、網絡設備、交換設備以及儲存設備在內的相關結構,同時,并伴有相關安全設備能夠保障各項系統架構不受網絡攻擊。醫院服務器內存儲著大量的業務部署信息,利用高效存儲設備對醫院當中海量的醫療數據信息、用戶資料等進行儲存,結合網絡設備促使醫院當中的各個不同信息系統之間數據傳輸處于高效快捷功能狀態。但是在此基礎之上,為了保障數據運行安全以及信息系統的平穩,則需要安全設備予以充足保障,避免服務器以及網絡設備等遭受攻擊,影響醫院正常運營。處于復雜的國際環境當中,促使信息化建設網絡安全呈現出嚴峻形式表現,而在醫院信息化建設過程當中的網絡安全重要意義則尤為重要。因此,在當前醫院建設信息化系統的過程當中,如何保障其安全穩定運行,有效預防網絡安全風險,并降低系統運行安全威脅,避免就醫患者數據隱私不被泄露成為了當前醫院最為關注的重要話題[1]。只有全面完善醫院信息化建設網絡安全構建,才能夠促使醫療服務體系形成更加高水平、高質量的發展成果。建設信息系統需要網絡安全作出充足保障,因此,作為醫院建設信息化服務過程當中的頭等大事,網絡安全則是首要影響因素。信息化服務流程中的系統以及網絡安全二者之間相輔相成,缺一不可,全面加強網絡安全構建,及時預防風險問題,做好全面安全控制則能夠有效保障醫院基礎業務信息以及患者隱私數據的嚴密安全性,進一步為醫院信息化高水平建設提供保障。
2造成醫院信息化建設網絡安全問題的因素
2.1硬件影響現代化信息技術的高水平發展,促使信息化系統建設逐漸融合了安全防范技術,形成更加穩定的網絡運行效果,能夠對數據運行、儲存、交換狀態下的網絡環境實施更加嚴格的管控,有效保障基礎信息建設當中的數據安全。而我國當前大多數醫院構建信息化的過程當中,逐漸實現了國產化軟件應用,然,在這一基礎上不難發現,大多數的國產軟件其內部仍然應用到國外科技技術構建相應設備,包括中央處理器、操作系統以及內存等,均使用國外進口設備技術。除了國產設備其本身的技術缺陷,不能夠及時對相關設備做好配置優化軟件升級,無法應用更加安全的交換機以及網絡設備,難以對相關設備應用進行密碼重置,亦或是部分醫院無法應用到正規采購軟件出現盜版設備應用的網絡安全風險,眾多設備硬件層面當中出現的安全漏洞,將會促使醫院實際應用信息化設備過程當中頻繁面臨系統崩潰,造成數據丟失。結合實際當中的信息建設網絡安全問題進行研究發現,近年來基于這樣的原因,促使多家醫療機構出現嚴重的網絡入侵事件,造成信息數據的丟失,造成嚴重損失的同時,對醫院信息化的建設發展造成影響,降低了醫院整體服務質量水平。
2.2軟件技術影響醫院信息化建設涉及到眾多復雜軟件結構,形成龐大的信息系統,其中不僅涉及到包括臨床、醫療、藥事、保障等眾多結構內容,同時也呈現出更加頻繁的多維度業務交叉數據,因此,為了適應這樣的應用環境,軟件工程不能夠僅僅依靠于某一特定廠家完成[2]。由于在市場環境當中每一不同的軟件廠商都具有不同領域特長優勢,醫院則會分別采購不同廠商的各項優勢產品進行應用。然而,這樣的應用后果則會導致每一系統雖然能夠符合不同應用功能的實際需求,但是眾多軟件之間存在著較大的差異性,則在管理過程當中不能夠形成統一化管理效果,所構建的軟件網絡安全保障措施也無法滿足全部軟件的實際需求,促使軟件系統管理過程當中將會存在明顯的漏洞。尤其是針對于眾多不同軟件廠商,其軟件產品不能夠全面檢測其本身是否具有安全漏洞,同樣也不能夠設定一致的密碼規則以及訪問權限等,埋下嚴重的網絡安全隱患。
2.3人為影響而當前醫院當中所構建的信息化建設,包括信息管理系統以及計算機網絡在業內作為醫院信息化運營管理的主要方式,其中信息系統內儲存著大量的信息資源,如若由于人為操作失誤,則會導致信息系統受到病毒入侵,順延整體信息網絡蔓延至整體信息系統框架當中,促使醫院信息化系統全面癱瘓。并且在實際當中,如若出現基于網絡黑客的攻擊行為,醫院整體網絡系統受到病毒攻擊,則過于龐大的系統難以及時查殺有關病毒。并且,醫院信息系統管理者難以認真負責保存密碼設置,促使管理疏忽大意由于人為原因造成密碼泄露等,都將會對醫院整體信息網絡安全造成影響。關于網絡系統所構建的密碼安全等級相對較低,復雜程度不夠,促使外力能夠輕松破解密碼,醫院信息數據被盜造成嚴重網絡安全事故。
3強化信息化建設網絡安全的方法措施
3.1構建網絡安全保障體系對醫院當前信息化建設當中的網絡安全進行全面分析,分解其影響因素并建立相應的強化安全措施,則需要建立在完善的制度保障基礎之上。基于醫院當前信息化建設當中的網絡安全,則首先需要全面分析其信息系統下的網絡構架,全面監測其中存在的隱藏網絡安全隱患。結合信息化系統的實際構架以及風險隱患等,制定針對性網絡安全保障制度以及應對方案,并促使醫院當中的相關信息技術人員能夠全面按照既定制度保障落實網絡安全管理。同時,也需要加強系統操作規范,針對于各項信息化建設需要實施定期安全排查,全面監測其中風險發生周期解決隱藏網絡安全問題。并加強信息化建設下各環節主體的明確責任保障,加強安全監管,避免網絡安全問題的發生。具體來講,在醫院當中的信息化建設,對無線端口實施強化保護,則能夠有效屏蔽非法信號接入,為醫院網絡用戶信息篩選與隔離做出充足安全保障。同時,也需要加強信息化網絡訪問安全認證管理,在患者登錄醫院網站注冊使用時,需要做好更加詳細且嚴格的安全認證,驗證患者提交的個人信息真實性,對比確認無誤之后才能夠允許患者訪問醫院網絡,借助于安全認證措施,能夠有效避免身份信息盜用。同時,對身份信息認證同樣也可以結合不同訪問次數設定分級權限,通過設定密碼等不同方式,全面保護醫院信息網絡使用者的信息安全性[2]。同時,醫院內部在傳輸患者信息時注意日常登錄使用等數據加密處理,避免網絡信息防火墻過弱造成患者信息泄露被竊取。建立完善管理制度,能夠針對于醫院內部信息化建設的各網絡平臺做好日常巡檢評估,對其整體系統安全做好控制管理。
3.2安全隔離網絡系統醫院作為保障民生基礎活動,為人民大眾生命安全做出努力的特殊機構,其日常當中所形成的經營業務相對較為繁瑣,因此,會涉及到眾多不同類型的數據資源,且醫院日常當中的人員數量流動規模相對較大,形成的數據量同樣更為龐大。并且醫院部門科室的分類相對繁多,則基于每個不同部門下所構建的就診業務所需對應的信息系統,其建設標準與數據要求等不一。而實施網絡安全隔離最重要的就是構建安全的物理環境,作為網絡安全的基礎保護措施,醫院各項信息建設設備的物理環境對其網絡安全狀態具有直接影響。首先來講,信息系統機房的位置需要避免選擇最頂層或最底層的位置,遠離水管結構等設施,促使設備機房能夠形成良好的防潮防雷功能。并保障信息化建設當中所有的硬件設備機房外部具有良好的防破壞設施,構建安全防盜門。并在機房內外安裝充足監控設備,基于醫院整體控制中心后臺24h動態監控,在發生異常狀況的第一時間能夠及時發出警報并得到有效處理。并且,為了保障醫院各項數據信息在信息化設備機房當中的儲存具有良好安全保護效果,則需要機房本身能夠形成良好防靜電功能,且構建相應的智能空調設施,對機房內部溫度、濕度條件進行控制,避免由于設備長時間運轉造成負荷過大,產生損壞故障影響數據安全。并配備例如七氟丙烷滅火裝置等消防設備,且保障為機房供應不間斷電源,全面提高網絡安全保護效果[3]。
3.3定期安全檢測防護醫院的現代化、信息化發展必然建立在充足的網絡安全保障基礎之上,除了需要對當前醫院信息化建設做好完善的安全保障制度建設以及技術設備防范隔離之外,同時,也需要加強信息化建設當中的專用網絡軟件安全防護。需要醫院能夠加大軟件安全防護資金投入力度,結合多方面安全防護措施,保障信息軟件應用效果。例如,購買具有較好檢測性能的殺毒軟件,對醫院信息化建設中所涉及到的軟件結構實施全面檢測殺毒,一旦發現操作過程當中出現明顯的安全隱患,通過智能彈窗及時提醒并幫助醫院以及網絡用戶作出判斷。同時,對醫院信息網絡病毒庫進行及時更新,結合不同時段背景下所傳輸的系統數據中風險系數進行檢測界定。結合現有信息化系統當中所形成的病毒庫對應數據做好判斷分類,如若通過對比發現其為某種特殊病毒風險,則需要及時進行查殺,從而避免內部網絡受到病毒入侵。同時,也需要對醫院各處信息系統服務器做好備份處理,構建雙重安全保障機制,當其中某一服務器出現明顯故障問題時,則通過自動檢測,對其進行切換,避免業務處理時由于服務器故障問題而影響到業務進度,造成數據丟失。4結語醫院不斷發展信息化建設的過程當中,其中最為嚴峻的網絡安全問題需要得到全面解決,才能夠保障醫院整體信息化服務水平得到提升,并同時為醫療數據以及患者隱私做出相應的保障,基于這樣的需求,需要醫院相關管理人員能夠積極重視網絡信息安全意義,加強日常當中的網絡安全防護,盡善盡美做好軟、硬件設備的防護措施,加強數據管理,做好定期備份,細化日常安全管理細則,有效提升信息化建設水平,為醫院高質量發展做出貢獻。
作者:韓國梁 單位:蚌埠醫學院第二附屬醫院
網絡安全策略研究2
網絡安全的三個基本屬性是保密性、完整性和可用性;保密工作的三大管理重點是定密管理、網絡保密管理和涉密人員管理,因此網絡安全和保密工作二者相輔相成、密不可分。加強中央企業信息化建設,堅持以創新驅動帶動生產力,是“十四五”重要戰略規劃時期所必須做出的改革創新舉措。只有積極地應用推廣新型信息技術,中央企業才能進一步實現工業信息化、生產信息化和管理信息化發展格局,而開發利用好信息資源,也正是中央企業形成自己的核心競爭力,在主業上做大做強所必需的物質基礎。但新型信息技術的應用,帶給中央企業的除了生產與管理技術的變革以外,也對中央企業的安全保密工作提出了更高難度的挑戰,因此只有應用網絡安全技術,加強網絡保密管理水平,提高中央企業信息化集中管控能力,才能進一步促進中央企業實現增值保值的長效運營目標。
1網絡安全與保密工作的重要性
中央企業是由國家黨政組織獨資控股的國有企業,通常在某個或多個行業內占據主要支配地位,在該行業內能夠起到引領經濟、帶動經濟、規范市場定價的作用,是國民經濟體系中不容分割的重要經濟支柱。而中央企業由于運營規模遠大于常規民營企業與地方企業,所以它在資產管理、財務管理、人力資源調度、業務受理與風險管理上,所涉及的信息交互內容往往更加復雜多樣,因此中央企業近年來在戰略計劃部署中,都會將信息管理系統建設和數字化轉型放在重要位置。這樣做的目的是通過信息技術高效率的處理與共享機制,提高企業的決策與執行效率,進一步規范管理體制流程,從而支撐中央企業長期穩定發展。中央企業的正常運作,離不開對各類信息和數據的保密,例如企業的核心生產技術、知識產權、重要的生產工藝配方、科研數據、設計圖紙、方案文件以及客戶資料、財務數據等生產信息和經營信息,關系著企業的核心競爭力,反映了企業的經營發展狀況。一旦中央企業在信息化管理過程中因網絡安全與保密工作不到位,引起信息丟失或擴散,將會直接影響企業行業優勢,導致戰略決策和經營生產的困難。例如關鍵生產技術的信息泄漏,會導致企業在專業技術領域或業務市場中失去競爭優勢;客戶資料失竊會引發社會層面的公關問題,給企業聲譽帶來嚴重損失;企業戰略計劃方案的泄漏,將會給他人帶來可乘之機,使競爭企業可以提前謀劃,搶占市場,我方企業可能會失去行業和市場的優勢地位。無論是哪一種失泄密事件的出現,最終都會對企業的生產經營和長期發展產生難以估量的影響;由于中央企業特殊的市場地位,甚至會造成國際影響和社會輿情。所以中央企業在信息化轉型模式下,應當從以往失泄密事件中得到警醒,在前車之鑒中吸取經驗教訓,走出以往傳統管理模式的局限誤區,將信息網絡安全工作與保密管理工作提上日程,進一步保障中央企業的信息安全[1]。唯有這樣,中央企業才能夠在新型信息技術的支撐下,在新時代經濟時期長久發展與生存。
2中央企業安全管理與保密工作的隱患因素與薄弱問題
2.1網絡安全隱患
2.1.1網絡業務復雜,互聯網暴露面大為響應國家網絡強國的號召,中央企業已將內部專線與移動5G、IPv6等技術相結合作為企業網絡建設的重要方向,這使得內部網絡可以獲得更快的速度、更好的擴展性和更強安全性。但在方便業務系統聯通的同時,也方便了系統入侵、病毒傳播、數據竊取。近年來,通過互聯網攻擊入侵企業服務器進行“挖礦”的事件層出不窮,對企業的信譽造成了嚴重損害;勒索病毒改變了傳統病毒破壞數據、阻塞網絡、損壞硬件的方式,通過對重要數據進行高強度加密,讓受害企業只能交錢就范,買回數據,且病毒一旦在內部網絡傳播,對前期發現、中期清除和后期溯源工作都帶來了極大的挑戰;互聯網網站、企業信息系統數據庫拖庫事件頻發,造成企業和人員信息泄漏的同時,也為不法人員的進一步網絡攻擊提供了便利。以上的網絡攻擊多數都是通過互聯網進行,但互聯網的使用已經深入到了企業日常生產經營的各個方面。企業為了自身宣傳和便于日常工作,建立了互聯網門戶、采購交易等網站和移動辦公、差旅管理等移動應用;由于行業監管、信息公開和業務發展的需要,中央企業的部分信息系統需要與主管部門和地方政府的互聯網政務平臺連接;企業員工需要與外部人員進行日常的工作交流和信息傳遞,及時通訊工具、互聯網郵箱、網盤的使用不可或缺[2]。中央企業的信息系統使用在這個問題上,存在兩種極端情況:一是消極保安全,直接采用“一刀切”的管理模式,直接以物理隔斷的方式將企業內部網絡與公網對接,雖然可以避免由于網絡連通導致的信息失竊和網絡攻擊,但長此以往由于企業內部網絡環境始終處于與外界隔離狀態,沒有基本的信息交互,就會出現“信息孤島”效應,嚴重阻礙了企業信息化水平發展,也對人員辦公造成不便,降低了工作效率;二是未采取任何隔離防護措施,直接將內網與互聯網連接,使各類信息系統和辦公計算機暴露在互聯網上,用于商業秘密和企業敏感信息的信息系統和處理終端未加以區分,移動存儲介質的管理比較隨意,使用人員的登記不規范,存在較大失泄密風險。
2.1.2信息系統建設業務面廣,人員管理困難中央企業擔負著強化主責主業,發揮國民經濟“穩定器”和“壓艙石”的作用,而多數中央企業并非專業的網絡技術公司,所以多數內部管理人員和業務人員缺乏基礎的網絡安全技術知識,信息系統使用過程中將電子文件隨意的保存,通過不安全的設備和網絡進行處理傳遞,存在較大的失泄密風險,極易造成企業敏感信息擴散。從人員編制和用人成本的考慮,多數中央企業在系統開發和網絡運維工作的用工制度多樣,存在著大量的勞務派遣、項目外委、廠商駐場的開發和運維人員,這類技術人員普遍年輕有活力,但政治敏銳性不強、人員流動性大、缺乏管理約束,工作中網絡安全技術欠缺,保密知識和保密常識不足,容易因麻痹大意導致網絡安全事件或失泄密事件,成為了網絡安全保密工作的短板[3]。
2.1.3信息化和數字化成果多樣,供應鏈攻擊難以防范隨著中央企業數字化事業的多年發展,主營業務與信息系統深度融合,云計算、大數據、物聯網應用多種多樣,形成了繁多復雜的信息系統集群。各信息系統集群是由不同子系統通過多次迭代開發完成,其中使用了大量的外部軟硬件產品,這些軟硬件產品不但品類繁多,而且來源復雜。目前開源軟件和免費軟件成為漏洞攻擊的重點,尤其是通用性強的中間件產品更是發現問題的重災區。相應的,payload(有效載荷)迅速在網上擴散,極大降低了漏洞的利用門檻,使一些初級“黑客”可以輕易的利用,隨之而來的就是由于初級“黑客”知識的欠缺,造成對系統的破壞不可控。雖然軟件社區和安全廠商會快速跟進漏洞的驗證和修復,發布poc(概念驗證)和安全補丁,但也極大加重了運維人員的負擔。近年來國產軟件硬件屢屢取得突破,但其中大量產品都應用了國外產品或使用了開源技術,這就對產品的安全可靠性提出挑戰,例如國外的產品是否存在設計缺陷和漏洞,是否存在后門,如評估終止產品供應或中斷服務將對整個信息系統產生何用影響;開源的產品是否安全,后續的升級和服務如何保障等等。即使是完全國內自主開發的產品也同樣存在自身的安全問題,如安全漏洞能否被及時發現,廠商能否第一時間提供安全補丁進行修復,安全威脅能否及時得到解決等。
3加強中央企業網絡安全與保密的對策措施
3.1提高政治意識,強化信息化頂層設計布局中央企業要首先明確政治站位,要從國家發展的角度統籌發展和安全,堅持總體國家安全觀,牢固樹立“沒有網絡安全就沒有國家安全,沒有信息化就沒有現代化”“保密就是保黨的長期執政地位、保國家安全、保人民幸福、保民族復興”的意識,要兼顧數字化事業發展和安全保密,不能盲目追求速度和便利而不顧安全保密,也不能因噎廢食將數字化轉型停滯不前。中央企業的數字信息化轉型,要遵循《“十四五”國家信息化規劃》,強化中央企業信息化轉型的頂層設計,將網絡安全防護能力作為一項基本建設要求,促進中央企業自有業務與信息化系統應用的深度結合,通過人防、物防、技防多位一體地開展系統化、工程化的網絡安全與保密工作。
3.2建設內緊外松的信息網絡,提高網絡安全防范能力對于中央企業來說,通過內外網對接實現信息傳輸,是多數核心業務不可避免的內容,在網絡設計中應遵循《中央企業商業秘密安全保護技術指引》,設計出符合自身業務實際的網絡,制定高效、便捷、安全、可靠的網絡隔離方案。可采取以下措施:一是通過網閘等隔離設備實現數據的可控交換和網絡協議的斷開,在有效縮小企業內部系統在互聯網的暴露的同時,保證內外網的相互獨立運轉和數據的高效聯通,避免因內外網隔離造成的工作不便。二是加強辦公電腦和移動存儲介質的管控,避免優盤、移動硬盤的數據擺渡行為,避免“病”從“口”入。三是堅持信息系統建設與網絡安全的同步規劃、同步建設、同步使用,在系統建設之初除了考慮到系統自身的安全性以外,還要考慮系統的安全功能,如文件和屏幕的水印(盲水印)、電子簽章、打印審計等。四是加強移動應用和移動終端的管控,結合移動應用的使用場景,在數據擦除、遠程管理等方面提出更高的安全防護要求。五是精細化網絡日常管理,適當收攏互聯網出口,細化網絡訪問控制策略,規范信息系統授權,使網絡安全的日常管理切實有效開展。六是在企業內部定期展開網絡安全攻防演練,動態評估企業網絡安全防護工作水平,對查找發現的問題及時分析處理,并形成長效處置機制[4]。
3.3以安全保密為推手,加強人員和供應鏈管理中央企業的保密工作相較于網絡安全起步早,有著十分豐富的管理經驗和能力積累,各類管理制度完善,保守國家秘密是每個公民應盡義務的觀念更是深入人心。在中央企業的信息網絡、信息系統、信息設備均可以按照所承載數據的涉密情況進行分級分類,制定不同的管理策略和保障等級,選擇合適的軟件廠商、選用安全可靠的硬件設備,配備適當的運維保障人員,從而實現對信息系統的重點、動態、適度防護。加強對中央企業員工的保密教育培訓,提高全員保密意識,掌握保密知識和技能,知曉工作中的保密紅線和底線,約束日常工作中的行為。加大網絡安全和保密工作的獎懲力度,對有突出貢獻的人員進行獎勵,對過失行為人和相關部門負責人進行嚴肅處理,遵守國家法律法規,維護企業內部的保密工作紀律,最大程度避免失泄密事件的發生。專業的人做專用的工作。中央企業可適當引入背景可靠、技術過硬的第三方安全廠商作為技術支持,構建由內而外、由易到難的技術支撐團隊,及時有效的獲得安全咨詢和行業動態,始終保持敏銳的態勢感知能力。
3.4各類管理部門齊抓共管形成合力,賦能數字化業務安全發展我國信息化發展正處于內外部環境的深刻變化中,新一輪的科技革命和產業變革為中央企業的網絡安全和保密工作的發展提出了新的挑戰。在中央企業的內部管理中,網絡安全和保密管理分屬不同管理部門,面對數字化轉型和信息化發展面臨的挑戰,各部門應在業務模型設計、數據分類、人員管理、設備管理、數據回收、監督檢查等方面的相互配合,強化優勢,彌補短板,形成合力,在中央企業內部形成無死角的網絡安全防御機制。利用齊抓共管的網絡安全和保密管理模式,建設可靠高效的信息系統,賦能數字化業務安全發展,提高中央企業的核心競爭力。綜上所述,隨著中央企業信息化業務的發展,系統的應用情景中存在著互聯網暴露面大、技術人員管理困難、供應鏈管控不足三類安全風險隱患,因此需要企業站在統籌規劃的角度上分析網絡安全形勢,認清網絡安全與保密管理工作對于信息化轉型期企業發展的重要意義。在網絡安全和保密工作相互借鑒的基礎上,通過網絡安全的技術規范提高信息系統的技術防護能力,借鑒保密管理積累的經驗加強制度建設和人員管控,綜合人防、物防、技防手段,配齊安全防護保障、優化安全防護策略,全面提高中央企業的網絡安全與保密工作的質量,賦能產業數字化轉型和企業安全穩定發展。
作者:張琦 單位:國能信息技術有限公司
網絡安全策略研究3
隨著云計算、大數據等信息技術迅猛發展,數字政府建設也進入快車道,尤其在國務院出臺“互聯網+政務服務”和“數字政府建設”相關政策文件之后,全國各地各部門深入開展政務信息化建設,目前已經初步建成了涉及門戶網站、行政審批、監管執法等多個領域的信息系統。近年來,全球范圍內網絡安全事故屢見不鮮,網絡攻擊向多樣化、組織化、專業化、系統化方向快速蔓延。政務網站和政務系統作為政府面向社會大眾提供服務的網絡平臺,成為了境內外黑客組織攻擊的重點目標。由于黑客和病毒的入侵導致的網絡癱瘓、網站頁面篡改、重要數據和信息泄露等網絡事件,嚴重影響了政府網站公信力,造成了嚴重政治、社會事件。政府部門必須主動求變、應對挑戰、多措并舉,加強網絡安全管理和防護工作,維護政務網絡安全穩定運行。本文通過對數字政府網絡安全情況進行全面摸排梳理,分析了當前政務網絡在管理體系、技術體系和服務體系方面的現狀和存在問題,并研究提出了進一步強化網絡安全防護綜合體系的策略建議。
1網絡安全整體態勢分析
《東京奧運會的網絡安全對策和今后的措施方針》報告顯示,東京奧運會期間,共遭遇約4.5億次網絡攻擊。東京奧運會開幕當天日本時間凌晨1點左右,由于相關企業和機構的網絡系統問題,東京奧運會官網及日本東京都政府官網等眾多網站癱瘓約1小時。2022年北京冬奧會期間,根據奇安信網絡安全保障中心統計數據,累計監測到各類網絡攻擊超過2.4億次,跟蹤、研判、處置涉奧輿情和威脅事件105件,累計發現、修復安全漏洞5782個,排查風險主機150臺,發現惡意樣本數54個。全世界網絡安全形勢日益嚴峻,每年國內外都會發生多起大規模的針對關鍵信息基礎設施的攻擊事件,政府部門信息系統更是成為境內外黑客組織攻擊的重點目標,黑客有組織有目的性攻擊數量呈增加趨勢,攻擊方式日趨多樣化,勒索病毒和APT攻擊等新型攻擊形式層出不窮,對網絡安全防護體系帶來重大挑戰。
2政務網絡安全情況摸排
政務網覆蓋全市各級黨政機關,是以政府部門作為核心,通過構建匯聚層及核心層建立的政務系統平臺,其數據中心包括政府網站云平臺及各類系統數據平臺等資源。政務外網主要承載政府各類應用,具有網絡規模大、系統數據量大、用戶群體大等特性,是政府面向社會大眾提供服務的網絡平臺,主要作用是增加政府部門與社會大眾的溝通交流,提高政府在社會大眾之間的影響力,也為政府人員提供上網應用[1]。政務內網作為政府網絡核心部分,通過局域網在不同部門間傳輸信息,是政府部門最主要的辦公網絡平臺。網絡終端承擔信息交互、處理和存儲數據功能,其安全性涉及網絡安全、操作系統安全和數據安全等方面。根據木桶效應,系統安全性的整體水位與最脆弱的組件水位相同,其中任何一部分出現安全隱患,都可能成為攻擊者的突破口。目前政務信息系統主要存在以下兩類風險漏洞:一是應用層漏洞,比如任意文件上傳漏洞、SQL注入漏洞、XSS漏洞等,指由信息系統承建方在建設過程中因開發不規范導致的安全漏洞[2]。攻擊者可以利用此類漏洞獲取重要數據或系統權限,嚴重威脅服務器及內網安全。比如,黑客遠程掃描發現某服務器3389遠程桌面服務端口開放,通過暴力破解獲取了服務器權限。由于互聯網服務器和內網服務器未做邏輯隔離,在內網橫向滲透獲取了所有內網終端的控制權限,導致大量數據面臨暴露風險。二是弱口令漏洞。弱口令歷來都是利用難度最低、危害最大以及出現頻率最高的漏洞,實戰中通過弱口令獲得權限的情況占比高達70%以上[3]。弱口令不是技術漏洞,其成因主要是網絡安全管理人員和用戶安全意識淡薄,為了便于記憶使用,便將口令設置為弱口令。這些為使用帶來便利的同時,也為攻擊者提供了可趁之機。攻擊者可以使用弱口令字典表進行暴力破解,進入重要信息系統和網絡安全設備,進而引發網站篡改、數據泄露等重大網絡安全事件。據統計,2021年世界上最受歡迎的弱口令是“123456”,第二名是“123456789”。
3政務網絡安全現狀分析
3.1網絡安全管理制度與高標準落實尚有距離
(1)網絡安全意識雖有提升,但責任意識欠缺各單位領導雖然對網絡安全高度重視,但在具體業務開展過程中,缺乏對重點環節、重要工作網絡安全問題的清晰認識。絕大部分單位未組織開展過應急預案培訓和演練,導致人員普遍缺乏網絡安全應急處突能力,在網絡安全事件發生時無法迅速做出規定動作,錯過降低損失和影響的最佳機會。另外,各單位人員在不同程度上網絡安全意識淡薄,認為網絡安全事件是小概率事件,不會發生在自己身上。部分工作人員責任意識不到位,認為單位上的重要數據、終端安全與自己利益相關度較低,對網絡安全事件可能帶來的影響存在認知偏差,在日常工作中放松了警惕。
(2)網絡安全主體責任雖按要求基本落實,但專業程度欠缺各單位在網絡安全主體責任落實方面穩步推進,目前僅有極少部分單位存在未完全落實情況,但目前主要問題轉移至網絡安全管理制度不完善不具體。大部分政府部門對于網絡安全職責分工、定崗定責等方面缺乏深入研究,單位內部網絡安全相關工作分散負責、責任各自承擔,未做到統一領導、統一規劃、統一指揮、統一行動[4]。例如,部分單位將網絡安全管理工作歸口至綜合辦公室,信息系統建設和運維由各自業務科室負責。由于綜合辦公室缺乏相關專業知識和不了解項目具體細節,在涉及具體事務或者出現網絡安全事件時,依舊需要業務科室配合完成處置。
(3)網絡安全管理規范雖持續完善,但落實執行欠缺各單位均不同程度存在未按照相關要求執行相關網絡安全管理規范。部分單位通過政府與企業、項目建設與服務外包相結合的良性互動模式,聘請第三方技術公司進行信息系統管理和運維,但仍有部分單位對信息系統安全管理要求執行不到位,未開展信息系統等級保護測評,不符合《信息安全技術網絡安全等級保護要求》。另外,國家保密機關多次通報微信、QQ等網絡通訊軟件泄密典型案件,泄密方式涉及“違規使用微信傳達涉密信息”、“工作文件拍照后用微信發送”等,普遍存在網絡通訊軟件傳輸工作文件管理規定不完善問題。
3.2網絡安全技術防護體系尚未建立完全
(1)網絡安全防護新技術新設施的應用不到位目前信息化建設普遍存在“重建設、輕維護”現象,但面對網絡安全問題時,“預防”大于“治療”。對照網絡安全等級保護的基本技術要求,目前政務網絡整體安全技術防護能力欠缺,亟需根據最新網絡安全形勢部署先進的軟硬件科技手段,提升防護設施水準。絕大多數政府部門存在未采取訪問控制等措施進行網絡邊界防護;未部署網絡安全防護設備,如安全網關、入侵檢測等問題。訪問控制、防火墻等技術手段可以有效提升網絡安全,通過阻止不具備相應權限用戶的訪問、過濾網絡中無效信息,多層次有效控制網絡信息,降低網絡安全隱患[5]。入侵檢測等手段是防火墻之后的第二道安全閘門,能夠實時、動態地檢測來自外部和內部的攻擊,增強系統防御能力。
(2)終端設備安全防護不到位計算機終端是使用最廣泛的辦公設備,數量多、分布廣,大部分政府部門面臨著終端管理不當、信息保護不當和非法接入三重威脅,普遍存在未采用集中統一管理方式對使用端計算機進行管理,包括統一軟件下發、統一安裝系統補丁、統一實施病毒庫升級和病毒查殺、統一進行漏洞掃描;未對接入互聯網的使用端計算機采取控制措施,包括實名接入認證、IP地址與MAC地址綁定等問題。
(3)技術檢測及漏洞修復落實不到位大部分單位未對信息系統開展過滲透測試、系統層和應用層漏洞掃描等風險評估自檢查工作。對于信息系統而言,安全漏洞具有種類多和隱蔽性強等特點,安全漏洞可能來自網絡安全設備等硬件漏洞,亦可能來源于操作系統、數據庫、中間件、應用系統、網絡協議漏洞等軟件漏洞。由于缺少對本單位信息系統的全面梳理和定期技術檢查,導致常見的漏洞隱患依然存在,比如,SQL注入、文件上傳、高危端口服務開放等。攻擊者可以利用這些安全漏洞發起攻擊,導致信息系統破壞或重要數據泄露。
3.3網絡安全服務體系仍需提高專業水平和聯動能力
(1)安全保障人員不足各單位受人員編制限制,普遍缺少高素質的網絡安全管理人才。少部分單位采用聘用或服務外包的形式配備日常運維人員,但相應的安全服務和運營能力不夠強,面對復雜、多變、隱蔽的網絡安全威脅,網絡安全防護和應急處置能力相對較弱。另外,各單位普遍無安全責任機構,存在專業人員數量匱乏、技術能力水平不足、應急服務能力薄弱等現象,導致網絡安全服務工作開展困難[6]。
(2)安全保障資金不足大部分單位網絡安全標準化工作經費保障不足。一方面由于加速推進信息化建設的需要,建設方在安全和效率之間進行取舍,選擇將絕大部分經費投入建設當中。另一方面是日常安全保障類資金儲備不足,各單位基本不會預留安全保障和突發事件響應的網絡安全類資金預算,日常安全保障資金未得到重視,特殊時期安全保障工作推進越發舉步維艱。
(3)安全監測和保障服務協同不足大部分單位的監測防御能力和網絡安全基礎設施停留在自行獨立運轉、被動防護的狀態,缺乏數據統籌和共享。少部分單位自建了網絡安全監測系統,但網絡安全情報和技術力量僅用于部門內部,安全設備的告警信息、審計數據單獨存放,未實現部門間共享聯防,安全防御體系未得到充分利用,易形成數據孤島[7]。網絡安全是整體的而不是割裂的,是共同的而不是孤立的,需強化政務網絡安全一盤棋思想,加強統籌規劃,實現所有部門的情報共享、聯防聯動,全網安全才是真正安全。
4政務網絡安全提升策略
4.1健全網絡安全管理體系
(1)強化網絡安全意識和水平各單位需壓實網絡安全主體責任,加強全體工作人員的網絡安全教育,提高對網絡安全重要性的認識。一是以案說法。通過講解具體事例,比如,典型網絡攻擊事件、常見網絡詐騙手段、網絡黑灰產業等,讓工作人員充分了解不規范操作可能會引發的網絡安全事故,幫助員工養成良好的操作習慣,提升整體網絡安全意識。二是宣傳引導。各單位應充分利用人們喜聞樂見的方式宣傳網絡安全知識,如借助快手、微博、微信等互聯網平臺開展宣傳或者網絡答題活動,廣泛宣傳網絡安全知識。三是應急演練。各單位應在日常網絡安全培訓和法律法規學習基礎上加入應急預案演練,按照“預防為主,積極處置”的原則,切實做好后續評估總結、成果運用等工作,根據演練中發現問題隱患開展相應整改,并及時修改和完善應急預案,切實提高人員對于信息外泄、病毒入侵等常見攻擊手段的應急處置能力,保障重要信息系統安全穩定運行,最大限度地減少網絡安全突發事件帶來的影響。
(2)細化網絡安全協調處置機制進一步推動落實“誰主管誰負責、誰運營誰負責、誰使用誰負責”的網絡安全主體責任,推動各單位落實一把手負責制,根據自身工作要求、信息系統建設情況和信息系統等級保護要求完善安全管理制度,健全信息共享、設施防護、會商研判等工作機制[8]。相關單位需依據網絡安全工作責任制推進工作,將網絡安全各項責任落實到崗、落實到人,貫通到各個環節,做到領導、人員、責任、措施到位。同時嚴格落實網絡安全和信息安全責任追究制度,一旦出現信息泄露等網絡安全事件,嚴厲追究個人或單位相應責任。
(3)建立網絡安全管理指標考評體系建立全面有效、易于施行的網絡安全管理指標考評體系,落實政務信息系統安全建設、運維的考核工作,加強各級黨政機關、企事業單位的網絡安全管理。網信部門和行業監管部門可充分利用社會資源,借助第三方安全服務和評價機構,開展常態化、持續性的網絡安全能力考評,并將考評結果作為管理指標考評體系的科學參考和體系補充,以查“促建、促管、促改、促防”,確保政務網絡安全信息管理過程的規范化、科學化。
4.2完善網絡安全技術體系
(1)完善網絡安全技術規范標準依據《網絡安全法》《數據安全法》《個人信息保護法》等法律法規,借鑒國際和行業先進做法,在信息系統建設和運維的全周期落實網絡安全技術規范標準,推動政務信息系統建設規范化、專業化,實現信息系統全生命周期安全管理。各單位在網信、公安、經信等部門指導下,配合第三方測評機構開展網站等級保護工作,按照系統定級、公安備案、等級測評、建設整改、定期自查等規定程序,逐一落實到位。針對等級測評查出的系統安全隱患,認真整改,確保問題徹底解決。同時,建立健全政務數據采集、傳輸、儲存、處理、交換和銷毀等全生命周期管理規定,有關部門應出臺政務信息數據安全管理辦法和操作指引,根據各行業各部門標準對政務數據敏感程度進行明確劃分,提升數據共享水平,降低敏感數據泄漏風險,明確數據責任主體,確保政務數據安全可控[9]。
(2)健全網絡安全防護機制立足整體網絡安全態勢健康發展,以關鍵信息基礎設施管理為核心來摸清家底,做好監管區域內的重要網站和信息系統的管理工作,強化網絡安全防護能力。通過開展7×24小時網絡安全資產監測,實時掌握網絡整體情況,輔以定期組織開展網絡安全攻防演練、網絡安全檢查,以模擬黑客入侵的方式,發現網絡安全風險隱患、評估安全狀況,提高系統安全防護能力、安全運維保障能力及安全事件監測、響應能力,實現統一的網絡安全防護機制。針對暴露的風險隱患,及時處置,形成網絡安全事件發現、報告、處置和整改閉環管理,確保問題徹底解決。
4.3創新網絡安全服務體系
(1)加強技術力量和人才儲備通過聯合科研院所、高校大專和社會企業,開展網絡安全人才的專項培養和進修,提升網絡安全工作人員的專業技能。建立網絡信息安全專家庫,專業領域涵蓋網絡安全政策咨詢、項目評審支持、網絡安全評估等工作,充分發揮行業專家在學術和技術上的支撐作用,協助單位應對日趨復雜的網絡安全形勢。另外,針對信息發布類型單一、缺少專業技術力量的信息系統,可采用網站集約化方式進行日常運維和統一技術防護[10]。各單位應積極對接主管部門爭取技術支持,將自建或共建的信息系統納入網絡安全防護體系,增強信息系統建設頂層設計,強化網絡安全防護能力。
(2)增加網絡安全資金投入各單位要突出網絡安全工作的重要性,將網絡安全作為系統建設的重要組成部分,提前謀劃、一體推進、確保落實。通過加大在軟硬件設備、服務運維方面、網絡安全宣傳教育、培訓交流等方面投入,確保網絡安全基礎設施的建設和運行維護,夯實網絡安全防護和管理基礎,加速建設完善的網絡安全防護體系。同時,信息系統建設不是“一錘子買賣”,亦需前瞻性預留硬件設備老化、產品升級、系統漏洞風險修復等支出。對于政府機關信息化網絡安全建設方面,財政部門建議予以財政政策支持。對于社會企事業單位,出臺優惠政策或網絡安全基金予以支持和激勵,推動行業和企事業單位加強網絡信息安全投入。
(3)建立網絡安全綜合管理平臺通過建立集網絡安全管理、技術應用、運營監管等功能為一體的綜合網絡安全管理平臺,對接省市區縣級平臺,覆蓋委辦局、街鄉鎮、個人,實現轄區內黨政機關、企事業單位等網絡安全管理和應急指揮的協同聯動,強化安全運營,統籌網上網下兩條戰線,形成統一的安全防護能力體系,打造網絡安全建設、運維、管理一體化信息平臺。同時在確保數據安全可信的前提下實現轄區內網絡安全數據共享,為各級管理部門提供第一手網絡安全數據和資料。另外,通過多渠道采集異常數據、網絡攻擊信息,借助威脅情報感知、共享和分析技術,對收集數據進行合并歸納,在機器學習、數據挖掘等技術幫助下,分析已出現網絡入侵的特征或關鍵要素,進而對未來潛在安全威脅的攻擊特征、攻擊方法進行預測,有力指導用戶制定針對性應對措施和安全策略,提升整體的網絡安全防御能力和水平,積極推進數字政府網絡安全管理體系和防護能力信息化、智能化和現代化[11]。
作者:劉卓 何冬平 劉德民 單位:北京市朝陽區互聯網信息辦公室
