引论:我们为您整理了1篇网络安全策略研究3篇范文,供您借鉴以丰富您的创作。它们是您写作时的宝贵资源,期望它们能够激发您的创作灵感,让您的文章更具深度。
我国当前医院所构建的信息化程度相对较好,不断扩大信息化业务范围,全范围覆盖医院各个门诊科室等,提供了较大的就医便利,而随着信息化建设程度的加深,促使医院整体信息数据储量不断提高,呈现出明显的信息安全问题,医院信息网络当中所包含的数据内容关乎到医院及病患的权益保障,如若一旦发生网络安全问题,造成泄露、丢失,则会造成严重后果,因此,需要医院不断强化自身信息化建设中的网络安全管理,才能够促使医院整体信息系统呈现出更加良好的建设趋势。
1医院信息化建设网络安全的必要性
在现代化的发展过程当中,医院为了提高自身运营效率,形成现代化发展效果,大力发展信息化建设,作为其中的基础结构,计算机网络承载着医院当中的众多医疗管理系统。结合实际当中的医院计算机网络构架进行分析发现,其中包括了服务器、网络设备、交换设备以及储存设备在内的相关结构,同时,并伴有相关安全设备能够保障各项系统架构不受网络攻击。医院服务器内存储着大量的业务部署信息,利用高效存储设备对医院当中海量的医疗数据信息、用户资料等进行储存,结合网络设备促使医院当中的各个不同信息系统之间数据传输处于高效快捷功能状态。但是在此基础之上,为了保障数据运行安全以及信息系统的平稳,则需要安全设备予以充足保障,避免服务器以及网络设备等遭受攻击,影响医院正常运营。处于复杂的国际环境当中,促使信息化建设网络安全呈现出严峻形式表现,而在医院信息化建设过程当中的网络安全重要意义则尤为重要。因此,在当前医院建设信息化系统的过程当中,如何保障其安全稳定运行,有效预防网络安全风险,并降低系统运行安全威胁,避免就医患者数据隐私不被泄露成为了当前医院最为关注的重要话题[1]。只有全面完善医院信息化建设网络安全构建,才能够促使医疗服务体系形成更加高水平、高质量的发展成果。建设信息系统需要网络安全作出充足保障,因此,作为医院建设信息化服务过程当中的头等大事,网络安全则是首要影响因素。信息化服务流程中的系统以及网络安全二者之间相辅相成,缺一不可,全面加强网络安全构建,及时预防风险问题,做好全面安全控制则能够有效保障医院基础业务信息以及患者隐私数据的严密安全性,进一步为医院信息化高水平建设提供保障。
2造成医院信息化建设网络安全问题的因素
2.1硬件影响现代化信息技术的高水平发展,促使信息化系统建设逐渐融合了安全防范技术,形成更加稳定的网络运行效果,能够对数据运行、储存、交换状态下的网络环境实施更加严格的管控,有效保障基础信息建设当中的数据安全。而我国当前大多数医院构建信息化的过程当中,逐渐实现了国产化软件应用,然,在这一基础上不难发现,大多数的国产软件其内部仍然应用到国外科技技术构建相应设备,包括中央处理器、操作系统以及内存等,均使用国外进口设备技术。除了国产设备其本身的技术缺陷,不能够及时对相关设备做好配置优化软件升级,无法应用更加安全的交换机以及网络设备,难以对相关设备应用进行密码重置,亦或是部分医院无法应用到正规采购软件出现盗版设备应用的网络安全风险,众多设备硬件层面当中出现的安全漏洞,将会促使医院实际应用信息化设备过程当中频繁面临系统崩溃,造成数据丢失。结合实际当中的信息建设网络安全问题进行研究发现,近年来基于这样的原因,促使多家医疗机构出现严重的网络入侵事件,造成信息数据的丢失,造成严重损失的同时,对医院信息化的建设发展造成影响,降低了医院整体服务质量水平。
2.2软件技术影响医院信息化建设涉及到众多复杂软件结构,形成庞大的信息系统,其中不仅涉及到包括临床、医疗、药事、保障等众多结构内容,同时也呈现出更加频繁的多维度业务交叉数据,因此,为了适应这样的应用环境,软件工程不能够仅仅依靠于某一特定厂家完成[2]。由于在市场环境当中每一不同的软件厂商都具有不同领域特长优势,医院则会分别采购不同厂商的各项优势产品进行应用。然而,这样的应用后果则会导致每一系统虽然能够符合不同应用功能的实际需求,但是众多软件之间存在着较大的差异性,则在管理过程当中不能够形成统一化管理效果,所构建的软件网络安全保障措施也无法满足全部软件的实际需求,促使软件系统管理过程当中将会存在明显的漏洞。尤其是针对于众多不同软件厂商,其软件产品不能够全面检测其本身是否具有安全漏洞,同样也不能够设定一致的密码规则以及访问权限等,埋下严重的网络安全隐患。
2.3人为影响而当前医院当中所构建的信息化建设,包括信息管理系统以及计算机网络在业内作为医院信息化运营管理的主要方式,其中信息系统内储存着大量的信息资源,如若由于人为操作失误,则会导致信息系统受到病毒入侵,顺延整体信息网络蔓延至整体信息系统框架当中,促使医院信息化系统全面瘫痪。并且在实际当中,如若出现基于网络黑客的攻击行为,医院整体网络系统受到病毒攻击,则过于庞大的系统难以及时查杀有关病毒。并且,医院信息系统管理者难以认真负责保存密码设置,促使管理疏忽大意由于人为原因造成密码泄露等,都将会对医院整体信息网络安全造成影响。关于网络系统所构建的密码安全等级相对较低,复杂程度不够,促使外力能够轻松破解密码,医院信息数据被盗造成严重网络安全事故。
3强化信息化建设网络安全的方法措施
3.1构建网络安全保障体系对医院当前信息化建设当中的网络安全进行全面分析,分解其影响因素并建立相应的强化安全措施,则需要建立在完善的制度保障基础之上。基于医院当前信息化建设当中的网络安全,则首先需要全面分析其信息系统下的网络构架,全面监测其中存在的隐藏网络安全隐患。结合信息化系统的实际构架以及风险隐患等,制定针对性网络安全保障制度以及应对方案,并促使医院当中的相关信息技术人员能够全面按照既定制度保障落实网络安全管理。同时,也需要加强系统操作规范,针对于各项信息化建设需要实施定期安全排查,全面监测其中风险发生周期解决隐藏网络安全问题。并加强信息化建设下各环节主体的明确责任保障,加强安全监管,避免网络安全问题的发生。具体来讲,在医院当中的信息化建设,对无线端口实施强化保护,则能够有效屏蔽非法信号接入,为医院网络用户信息筛选与隔离做出充足安全保障。同时,也需要加强信息化网络访问安全认证管理,在患者登录医院网站注册使用时,需要做好更加详细且严格的安全认证,验证患者提交的个人信息真实性,对比确认无误之后才能够允许患者访问医院网络,借助于安全认证措施,能够有效避免身份信息盗用。同时,对身份信息认证同样也可以结合不同访问次数设定分级权限,通过设定密码等不同方式,全面保护医院信息网络使用者的信息安全性[2]。同时,医院内部在传输患者信息时注意日常登录使用等数据加密处理,避免网络信息防火墙过弱造成患者信息泄露被窃取。建立完善管理制度,能够针对于医院内部信息化建设的各网络平台做好日常巡检评估,对其整体系统安全做好控制管理。
3.2安全隔离网络系统医院作为保障民生基础活动,为人民大众生命安全做出努力的特殊机构,其日常当中所形成的经营业务相对较为繁琐,因此,会涉及到众多不同类型的数据资源,且医院日常当中的人员数量流动规模相对较大,形成的数据量同样更为庞大。并且医院部门科室的分类相对繁多,则基于每个不同部门下所构建的就诊业务所需对应的信息系统,其建设标准与数据要求等不一。而实施网络安全隔离最重要的就是构建安全的物理环境,作为网络安全的基础保护措施,医院各项信息建设设备的物理环境对其网络安全状态具有直接影响。首先来讲,信息系统机房的位置需要避免选择最顶层或最底层的位置,远离水管结构等设施,促使设备机房能够形成良好的防潮防雷功能。并保障信息化建设当中所有的硬件设备机房外部具有良好的防破坏设施,构建安全防盗门。并在机房内外安装充足监控设备,基于医院整体控制中心后台24h动态监控,在发生异常状况的第一时间能够及时发出警报并得到有效处理。并且,为了保障医院各项数据信息在信息化设备机房当中的储存具有良好安全保护效果,则需要机房本身能够形成良好防静电功能,且构建相应的智能空调设施,对机房内部温度、湿度条件进行控制,避免由于设备长时间运转造成负荷过大,产生损坏故障影响数据安全。并配备例如七氟丙烷灭火装置等消防设备,且保障为机房供应不间断电源,全面提高网络安全保护效果[3]。
3.3定期安全检测防护医院的现代化、信息化发展必然建立在充足的网络安全保障基础之上,除了需要对当前医院信息化建设做好完善的安全保障制度建设以及技术设备防范隔离之外,同时,也需要加强信息化建设当中的专用网络软件安全防护。需要医院能够加大软件安全防护资金投入力度,结合多方面安全防护措施,保障信息软件应用效果。例如,购买具有较好检测性能的杀毒软件,对医院信息化建设中所涉及到的软件结构实施全面检测杀毒,一旦发现操作过程当中出现明显的安全隐患,通过智能弹窗及时提醒并帮助医院以及网络用户作出判断。同时,对医院信息网络病毒库进行及时更新,结合不同时段背景下所传输的系统数据中风险系数进行检测界定。结合现有信息化系统当中所形成的病毒库对应数据做好判断分类,如若通过对比发现其为某种特殊病毒风险,则需要及时进行查杀,从而避免内部网络受到病毒入侵。同时,也需要对医院各处信息系统服务器做好备份处理,构建双重安全保障机制,当其中某一服务器出现明显故障问题时,则通过自动检测,对其进行切换,避免业务处理时由于服务器故障问题而影响到业务进度,造成数据丢失。4结语医院不断发展信息化建设的过程当中,其中最为严峻的网络安全问题需要得到全面解决,才能够保障医院整体信息化服务水平得到提升,并同时为医疗数据以及患者隐私做出相应的保障,基于这样的需求,需要医院相关管理人员能够积极重视网络信息安全意义,加强日常当中的网络安全防护,尽善尽美做好软、硬件设备的防护措施,加强数据管理,做好定期备份,细化日常安全管理细则,有效提升信息化建设水平,为医院高质量发展做出贡献。
作者:韩国梁 单位:蚌埠医学院第二附属医院
网络安全策略研究2
网络安全的三个基本属性是保密性、完整性和可用性;保密工作的三大管理重点是定密管理、网络保密管理和涉密人员管理,因此网络安全和保密工作二者相辅相成、密不可分。加强中央企业信息化建设,坚持以创新驱动带动生产力,是“十四五”重要战略规划时期所必须做出的改革创新举措。只有积极地应用推广新型信息技术,中央企业才能进一步实现工业信息化、生产信息化和管理信息化发展格局,而开发利用好信息资源,也正是中央企业形成自己的核心竞争力,在主业上做大做强所必需的物质基础。但新型信息技术的应用,带给中央企业的除了生产与管理技术的变革以外,也对中央企业的安全保密工作提出了更高难度的挑战,因此只有应用网络安全技术,加强网络保密管理水平,提高中央企业信息化集中管控能力,才能进一步促进中央企业实现增值保值的长效运营目标。
1网络安全与保密工作的重要性
中央企业是由国家党政组织独资控股的国有企业,通常在某个或多个行业内占据主要支配地位,在该行业内能够起到引领经济、带动经济、规范市场定价的作用,是国民经济体系中不容分割的重要经济支柱。而中央企业由于运营规模远大于常规民营企业与地方企业,所以它在资产管理、财务管理、人力资源调度、业务受理与风险管理上,所涉及的信息交互内容往往更加复杂多样,因此中央企业近年来在战略计划部署中,都会将信息管理系统建设和数字化转型放在重要位置。这样做的目的是通过信息技术高效率的处理与共享机制,提高企业的决策与执行效率,进一步规范管理体制流程,从而支撑中央企业长期稳定发展。中央企业的正常运作,离不开对各类信息和数据的保密,例如企业的核心生产技术、知识产权、重要的生产工艺配方、科研数据、设计图纸、方案文件以及客户资料、财务数据等生产信息和经营信息,关系着企业的核心竞争力,反映了企业的经营发展状况。一旦中央企业在信息化管理过程中因网络安全与保密工作不到位,引起信息丢失或扩散,将会直接影响企业行业优势,导致战略决策和经营生产的困难。例如关键生产技术的信息泄漏,会导致企业在专业技术领域或业务市场中失去竞争优势;客户资料失窃会引发社会层面的公关问题,给企业声誉带来严重损失;企业战略计划方案的泄漏,将会给他人带来可乘之机,使竞争企业可以提前谋划,抢占市场,我方企业可能会失去行业和市场的优势地位。无论是哪一种失泄密事件的出现,最终都会对企业的生产经营和长期发展产生难以估量的影响;由于中央企业特殊的市场地位,甚至会造成国际影响和社会舆情。所以中央企业在信息化转型模式下,应当从以往失泄密事件中得到警醒,在前车之鉴中吸取经验教训,走出以往传统管理模式的局限误区,将信息网络安全工作与保密管理工作提上日程,进一步保障中央企业的信息安全[1]。唯有这样,中央企业才能够在新型信息技术的支撑下,在新时代经济时期长久发展与生存。
2中央企业安全管理与保密工作的隐患因素与薄弱问题
2.1网络安全隐患
2.1.1网络业务复杂,互联网暴露面大为响应国家网络强国的号召,中央企业已将内部专线与移动5G、IPv6等技术相结合作为企业网络建设的重要方向,这使得内部网络可以获得更快的速度、更好的扩展性和更强安全性。但在方便业务系统联通的同时,也方便了系统入侵、病毒传播、数据窃取。近年来,通过互联网攻击入侵企业服务器进行“挖矿”的事件层出不穷,对企业的信誉造成了严重损害;勒索病毒改变了传统病毒破坏数据、阻塞网络、损坏硬件的方式,通过对重要数据进行高强度加密,让受害企业只能交钱就范,买回数据,且病毒一旦在内部网络传播,对前期发现、中期清除和后期溯源工作都带来了极大的挑战;互联网网站、企业信息系统数据库拖库事件频发,造成企业和人员信息泄漏的同时,也为不法人员的进一步网络攻击提供了便利。以上的网络攻击多数都是通过互联网进行,但互联网的使用已经深入到了企业日常生产经营的各个方面。企业为了自身宣传和便于日常工作,建立了互联网门户、采购交易等网站和移动办公、差旅管理等移动应用;由于行业监管、信息公开和业务发展的需要,中央企业的部分信息系统需要与主管部门和地方政府的互联网政务平台连接;企业员工需要与外部人员进行日常的工作交流和信息传递,及时通讯工具、互联网邮箱、网盘的使用不可或缺[2]。中央企业的信息系统使用在这个问题上,存在两种极端情况:一是消极保安全,直接采用“一刀切”的管理模式,直接以物理隔断的方式将企业内部网络与公网对接,虽然可以避免由于网络连通导致的信息失窃和网络攻击,但长此以往由于企业内部网络环境始终处于与外界隔离状态,没有基本的信息交互,就会出现“信息孤岛”效应,严重阻碍了企业信息化水平发展,也对人员办公造成不便,降低了工作效率;二是未采取任何隔离防护措施,直接将内网与互联网连接,使各类信息系统和办公计算机暴露在互联网上,用于商业秘密和企业敏感信息的信息系统和处理终端未加以区分,移动存储介质的管理比较随意,使用人员的登记不规范,存在较大失泄密风险。
2.1.2信息系统建设业务面广,人员管理困难中央企业担负着强化主责主业,发挥国民经济“稳定器”和“压舱石”的作用,而多数中央企业并非专业的网络技术公司,所以多数内部管理人员和业务人员缺乏基础的网络安全技术知识,信息系统使用过程中将电子文件随意的保存,通过不安全的设备和网络进行处理传递,存在较大的失泄密风险,极易造成企业敏感信息扩散。从人员编制和用人成本的考虑,多数中央企业在系统开发和网络运维工作的用工制度多样,存在着大量的劳务派遣、项目外委、厂商驻场的开发和运维人员,这类技术人员普遍年轻有活力,但政治敏锐性不强、人员流动性大、缺乏管理约束,工作中网络安全技术欠缺,保密知识和保密常识不足,容易因麻痹大意导致网络安全事件或失泄密事件,成为了网络安全保密工作的短板[3]。
2.1.3信息化和数字化成果多样,供应链攻击难以防范随着中央企业数字化事业的多年发展,主营业务与信息系统深度融合,云计算、大数据、物联网应用多种多样,形成了繁多复杂的信息系统集群。各信息系统集群是由不同子系统通过多次迭代开发完成,其中使用了大量的外部软硬件产品,这些软硬件产品不但品类繁多,而且来源复杂。目前开源软件和免费软件成为漏洞攻击的重点,尤其是通用性强的中间件产品更是发现问题的重灾区。相应的,payload(有效载荷)迅速在网上扩散,极大降低了漏洞的利用门槛,使一些初级“黑客”可以轻易的利用,随之而来的就是由于初级“黑客”知识的欠缺,造成对系统的破坏不可控。虽然软件社区和安全厂商会快速跟进漏洞的验证和修复,发布poc(概念验证)和安全补丁,但也极大加重了运维人员的负担。近年来国产软件硬件屡屡取得突破,但其中大量产品都应用了国外产品或使用了开源技术,这就对产品的安全可靠性提出挑战,例如国外的产品是否存在设计缺陷和漏洞,是否存在后门,如评估终止产品供应或中断服务将对整个信息系统产生何用影响;开源的产品是否安全,后续的升级和服务如何保障等等。即使是完全国内自主开发的产品也同样存在自身的安全问题,如安全漏洞能否被及时发现,厂商能否第一时间提供安全补丁进行修复,安全威胁能否及时得到解决等。
3加强中央企业网络安全与保密的对策措施
3.1提高政治意识,强化信息化顶层设计布局中央企业要首先明确政治站位,要从国家发展的角度统筹发展和安全,坚持总体国家安全观,牢固树立“没有网络安全就没有国家安全,没有信息化就没有现代化”“保密就是保党的长期执政地位、保国家安全、保人民幸福、保民族复兴”的意识,要兼顾数字化事业发展和安全保密,不能盲目追求速度和便利而不顾安全保密,也不能因噎废食将数字化转型停滞不前。中央企业的数字信息化转型,要遵循《“十四五”国家信息化规划》,强化中央企业信息化转型的顶层设计,将网络安全防护能力作为一项基本建设要求,促进中央企业自有业务与信息化系统应用的深度结合,通过人防、物防、技防多位一体地开展系统化、工程化的网络安全与保密工作。
3.2建设内紧外松的信息网络,提高网络安全防范能力对于中央企业来说,通过内外网对接实现信息传输,是多数核心业务不可避免的内容,在网络设计中应遵循《中央企业商业秘密安全保护技术指引》,设计出符合自身业务实际的网络,制定高效、便捷、安全、可靠的网络隔离方案。可采取以下措施:一是通过网闸等隔离设备实现数据的可控交换和网络协议的断开,在有效缩小企业内部系统在互联网的暴露的同时,保证内外网的相互独立运转和数据的高效联通,避免因内外网隔离造成的工作不便。二是加强办公电脑和移动存储介质的管控,避免优盘、移动硬盘的数据摆渡行为,避免“病”从“口”入。三是坚持信息系统建设与网络安全的同步规划、同步建设、同步使用,在系统建设之初除了考虑到系统自身的安全性以外,还要考虑系统的安全功能,如文件和屏幕的水印(盲水印)、电子签章、打印审计等。四是加强移动应用和移动终端的管控,结合移动应用的使用场景,在数据擦除、远程管理等方面提出更高的安全防护要求。五是精细化网络日常管理,适当收拢互联网出口,细化网络访问控制策略,规范信息系统授权,使网络安全的日常管理切实有效开展。六是在企业内部定期展开网络安全攻防演练,动态评估企业网络安全防护工作水平,对查找发现的问题及时分析处理,并形成长效处置机制[4]。
3.3以安全保密为推手,加强人员和供应链管理中央企业的保密工作相较于网络安全起步早,有着十分丰富的管理经验和能力积累,各类管理制度完善,保守国家秘密是每个公民应尽义务的观念更是深入人心。在中央企业的信息网络、信息系统、信息设备均可以按照所承载数据的涉密情况进行分级分类,制定不同的管理策略和保障等级,选择合适的软件厂商、选用安全可靠的硬件设备,配备适当的运维保障人员,从而实现对信息系统的重点、动态、适度防护。加强对中央企业员工的保密教育培训,提高全员保密意识,掌握保密知识和技能,知晓工作中的保密红线和底线,约束日常工作中的行为。加大网络安全和保密工作的奖惩力度,对有突出贡献的人员进行奖励,对过失行为人和相关部门负责人进行严肃处理,遵守国家法律法规,维护企业内部的保密工作纪律,最大程度避免失泄密事件的发生。专业的人做专用的工作。中央企业可适当引入背景可靠、技术过硬的第三方安全厂商作为技术支持,构建由内而外、由易到难的技术支撑团队,及时有效的获得安全咨询和行业动态,始终保持敏锐的态势感知能力。
3.4各类管理部门齐抓共管形成合力,赋能数字化业务安全发展我国信息化发展正处于内外部环境的深刻变化中,新一轮的科技革命和产业变革为中央企业的网络安全和保密工作的发展提出了新的挑战。在中央企业的内部管理中,网络安全和保密管理分属不同管理部门,面对数字化转型和信息化发展面临的挑战,各部门应在业务模型设计、数据分类、人员管理、设备管理、数据回收、监督检查等方面的相互配合,强化优势,弥补短板,形成合力,在中央企业内部形成无死角的网络安全防御机制。利用齐抓共管的网络安全和保密管理模式,建设可靠高效的信息系统,赋能数字化业务安全发展,提高中央企业的核心竞争力。综上所述,随着中央企业信息化业务的发展,系统的应用情景中存在着互联网暴露面大、技术人员管理困难、供应链管控不足三类安全风险隐患,因此需要企业站在统筹规划的角度上分析网络安全形势,认清网络安全与保密管理工作对于信息化转型期企业发展的重要意义。在网络安全和保密工作相互借鉴的基础上,通过网络安全的技术规范提高信息系统的技术防护能力,借鉴保密管理积累的经验加强制度建设和人员管控,综合人防、物防、技防手段,配齐安全防护保障、优化安全防护策略,全面提高中央企业的网络安全与保密工作的质量,赋能产业数字化转型和企业安全稳定发展。
作者:张琦 单位:国能信息技术有限公司
网络安全策略研究3
随着云计算、大数据等信息技术迅猛发展,数字政府建设也进入快车道,尤其在国务院出台“互联网+政务服务”和“数字政府建设”相关政策文件之后,全国各地各部门深入开展政务信息化建设,目前已经初步建成了涉及门户网站、行政审批、监管执法等多个领域的信息系统。近年来,全球范围内网络安全事故屡见不鲜,网络攻击向多样化、组织化、专业化、系统化方向快速蔓延。政务网站和政务系统作为政府面向社会大众提供服务的网络平台,成为了境内外黑客组织攻击的重点目标。由于黑客和病毒的入侵导致的网络瘫痪、网站页面篡改、重要数据和信息泄露等网络事件,严重影响了政府网站公信力,造成了严重政治、社会事件。政府部门必须主动求变、应对挑战、多措并举,加强网络安全管理和防护工作,维护政务网络安全稳定运行。本文通过对数字政府网络安全情况进行全面摸排梳理,分析了当前政务网络在管理体系、技术体系和服务体系方面的现状和存在问题,并研究提出了进一步强化网络安全防护综合体系的策略建议。
1网络安全整体态势分析
《东京奥运会的网络安全对策和今后的措施方针》报告显示,东京奥运会期间,共遭遇约4.5亿次网络攻击。东京奥运会开幕当天日本时间凌晨1点左右,由于相关企业和机构的网络系统问题,东京奥运会官网及日本东京都政府官网等众多网站瘫痪约1小时。2022年北京冬奥会期间,根据奇安信网络安全保障中心统计数据,累计监测到各类网络攻击超过2.4亿次,跟踪、研判、处置涉奥舆情和威胁事件105件,累计发现、修复安全漏洞5782个,排查风险主机150台,发现恶意样本数54个。全世界网络安全形势日益严峻,每年国内外都会发生多起大规模的针对关键信息基础设施的攻击事件,政府部门信息系统更是成为境内外黑客组织攻击的重点目标,黑客有组织有目的性攻击数量呈增加趋势,攻击方式日趋多样化,勒索病毒和APT攻击等新型攻击形式层出不穷,对网络安全防护体系带来重大挑战。
2政务网络安全情况摸排
政务网覆盖全市各级党政机关,是以政府部门作为核心,通过构建汇聚层及核心层建立的政务系统平台,其数据中心包括政府网站云平台及各类系统数据平台等资源。政务外网主要承载政府各类应用,具有网络规模大、系统数据量大、用户群体大等特性,是政府面向社会大众提供服务的网络平台,主要作用是增加政府部门与社会大众的沟通交流,提高政府在社会大众之间的影响力,也为政府人员提供上网应用[1]。政务内网作为政府网络核心部分,通过局域网在不同部门间传输信息,是政府部门最主要的办公网络平台。网络终端承担信息交互、处理和存储数据功能,其安全性涉及网络安全、操作系统安全和数据安全等方面。根据木桶效应,系统安全性的整体水位与最脆弱的组件水位相同,其中任何一部分出现安全隐患,都可能成为攻击者的突破口。目前政务信息系统主要存在以下两类风险漏洞:一是应用层漏洞,比如任意文件上传漏洞、SQL注入漏洞、XSS漏洞等,指由信息系统承建方在建设过程中因开发不规范导致的安全漏洞[2]。攻击者可以利用此类漏洞获取重要数据或系统权限,严重威胁服务器及内网安全。比如,黑客远程扫描发现某服务器3389远程桌面服务端口开放,通过暴力破解获取了服务器权限。由于互联网服务器和内网服务器未做逻辑隔离,在内网横向渗透获取了所有内网终端的控制权限,导致大量数据面临暴露风险。二是弱口令漏洞。弱口令历来都是利用难度最低、危害最大以及出现频率最高的漏洞,实战中通过弱口令获得权限的情况占比高达70%以上[3]。弱口令不是技术漏洞,其成因主要是网络安全管理人员和用户安全意识淡薄,为了便于记忆使用,便将口令设置为弱口令。这些为使用带来便利的同时,也为攻击者提供了可趁之机。攻击者可以使用弱口令字典表进行暴力破解,进入重要信息系统和网络安全设备,进而引发网站篡改、数据泄露等重大网络安全事件。据统计,2021年世界上最受欢迎的弱口令是“123456”,第二名是“123456789”。
3政务网络安全现状分析
3.1网络安全管理制度与高标准落实尚有距离
(1)网络安全意识虽有提升,但责任意识欠缺各单位领导虽然对网络安全高度重视,但在具体业务开展过程中,缺乏对重点环节、重要工作网络安全问题的清晰认识。绝大部分单位未组织开展过应急预案培训和演练,导致人员普遍缺乏网络安全应急处突能力,在网络安全事件发生时无法迅速做出规定动作,错过降低损失和影响的最佳机会。另外,各单位人员在不同程度上网络安全意识淡薄,认为网络安全事件是小概率事件,不会发生在自己身上。部分工作人员责任意识不到位,认为单位上的重要数据、终端安全与自己利益相关度较低,对网络安全事件可能带来的影响存在认知偏差,在日常工作中放松了警惕。
(2)网络安全主体责任虽按要求基本落实,但专业程度欠缺各单位在网络安全主体责任落实方面稳步推进,目前仅有极少部分单位存在未完全落实情况,但目前主要问题转移至网络安全管理制度不完善不具体。大部分政府部门对于网络安全职责分工、定岗定责等方面缺乏深入研究,单位内部网络安全相关工作分散负责、责任各自承担,未做到统一领导、统一规划、统一指挥、统一行动[4]。例如,部分单位将网络安全管理工作归口至综合办公室,信息系统建设和运维由各自业务科室负责。由于综合办公室缺乏相关专业知识和不了解项目具体细节,在涉及具体事务或者出现网络安全事件时,依旧需要业务科室配合完成处置。
(3)网络安全管理规范虽持续完善,但落实执行欠缺各单位均不同程度存在未按照相关要求执行相关网络安全管理规范。部分单位通过政府与企业、项目建设与服务外包相结合的良性互动模式,聘请第三方技术公司进行信息系统管理和运维,但仍有部分单位对信息系统安全管理要求执行不到位,未开展信息系统等级保护测评,不符合《信息安全技术网络安全等级保护要求》。另外,国家保密机关多次通报微信、QQ等网络通讯软件泄密典型案件,泄密方式涉及“违规使用微信传达涉密信息”、“工作文件拍照后用微信发送”等,普遍存在网络通讯软件传输工作文件管理规定不完善问题。
3.2网络安全技术防护体系尚未建立完全
(1)网络安全防护新技术新设施的应用不到位目前信息化建设普遍存在“重建设、轻维护”现象,但面对网络安全问题时,“预防”大于“治疗”。对照网络安全等级保护的基本技术要求,目前政务网络整体安全技术防护能力欠缺,亟需根据最新网络安全形势部署先进的软硬件科技手段,提升防护设施水准。绝大多数政府部门存在未采取访问控制等措施进行网络边界防护;未部署网络安全防护设备,如安全网关、入侵检测等问题。访问控制、防火墙等技术手段可以有效提升网络安全,通过阻止不具备相应权限用户的访问、过滤网络中无效信息,多层次有效控制网络信息,降低网络安全隐患[5]。入侵检测等手段是防火墙之后的第二道安全闸门,能够实时、动态地检测来自外部和内部的攻击,增强系统防御能力。
(2)终端设备安全防护不到位计算机终端是使用最广泛的办公设备,数量多、分布广,大部分政府部门面临着终端管理不当、信息保护不当和非法接入三重威胁,普遍存在未采用集中统一管理方式对使用端计算机进行管理,包括统一软件下发、统一安装系统补丁、统一实施病毒库升级和病毒查杀、统一进行漏洞扫描;未对接入互联网的使用端计算机采取控制措施,包括实名接入认证、IP地址与MAC地址绑定等问题。
(3)技术检测及漏洞修复落实不到位大部分单位未对信息系统开展过渗透测试、系统层和应用层漏洞扫描等风险评估自检查工作。对于信息系统而言,安全漏洞具有种类多和隐蔽性强等特点,安全漏洞可能来自网络安全设备等硬件漏洞,亦可能来源于操作系统、数据库、中间件、应用系统、网络协议漏洞等软件漏洞。由于缺少对本单位信息系统的全面梳理和定期技术检查,导致常见的漏洞隐患依然存在,比如,SQL注入、文件上传、高危端口服务开放等。攻击者可以利用这些安全漏洞发起攻击,导致信息系统破坏或重要数据泄露。
3.3网络安全服务体系仍需提高专业水平和联动能力
(1)安全保障人员不足各单位受人员编制限制,普遍缺少高素质的网络安全管理人才。少部分单位采用聘用或服务外包的形式配备日常运维人员,但相应的安全服务和运营能力不够强,面对复杂、多变、隐蔽的网络安全威胁,网络安全防护和应急处置能力相对较弱。另外,各单位普遍无安全责任机构,存在专业人员数量匮乏、技术能力水平不足、应急服务能力薄弱等现象,导致网络安全服务工作开展困难[6]。
(2)安全保障资金不足大部分单位网络安全标准化工作经费保障不足。一方面由于加速推进信息化建设的需要,建设方在安全和效率之间进行取舍,选择将绝大部分经费投入建设当中。另一方面是日常安全保障类资金储备不足,各单位基本不会预留安全保障和突发事件响应的网络安全类资金预算,日常安全保障资金未得到重视,特殊时期安全保障工作推进越发举步维艰。
(3)安全监测和保障服务协同不足大部分单位的监测防御能力和网络安全基础设施停留在自行独立运转、被动防护的状态,缺乏数据统筹和共享。少部分单位自建了网络安全监测系统,但网络安全情报和技术力量仅用于部门内部,安全设备的告警信息、审计数据单独存放,未实现部门间共享联防,安全防御体系未得到充分利用,易形成数据孤岛[7]。网络安全是整体的而不是割裂的,是共同的而不是孤立的,需强化政务网络安全一盘棋思想,加强统筹规划,实现所有部门的情报共享、联防联动,全网安全才是真正安全。
4政务网络安全提升策略
4.1健全网络安全管理体系
(1)强化网络安全意识和水平各单位需压实网络安全主体责任,加强全体工作人员的网络安全教育,提高对网络安全重要性的认识。一是以案说法。通过讲解具体事例,比如,典型网络攻击事件、常见网络诈骗手段、网络黑灰产业等,让工作人员充分了解不规范操作可能会引发的网络安全事故,帮助员工养成良好的操作习惯,提升整体网络安全意识。二是宣传引导。各单位应充分利用人们喜闻乐见的方式宣传网络安全知识,如借助快手、微博、微信等互联网平台开展宣传或者网络答题活动,广泛宣传网络安全知识。三是应急演练。各单位应在日常网络安全培训和法律法规学习基础上加入应急预案演练,按照“预防为主,积极处置”的原则,切实做好后续评估总结、成果运用等工作,根据演练中发现问题隐患开展相应整改,并及时修改和完善应急预案,切实提高人员对于信息外泄、病毒入侵等常见攻击手段的应急处置能力,保障重要信息系统安全稳定运行,最大限度地减少网络安全突发事件带来的影响。
(2)细化网络安全协调处置机制进一步推动落实“谁主管谁负责、谁运营谁负责、谁使用谁负责”的网络安全主体责任,推动各单位落实一把手负责制,根据自身工作要求、信息系统建设情况和信息系统等级保护要求完善安全管理制度,健全信息共享、设施防护、会商研判等工作机制[8]。相关单位需依据网络安全工作责任制推进工作,将网络安全各项责任落实到岗、落实到人,贯通到各个环节,做到领导、人员、责任、措施到位。同时严格落实网络安全和信息安全责任追究制度,一旦出现信息泄露等网络安全事件,严厉追究个人或单位相应责任。
(3)建立网络安全管理指标考评体系建立全面有效、易于施行的网络安全管理指标考评体系,落实政务信息系统安全建设、运维的考核工作,加强各级党政机关、企事业单位的网络安全管理。网信部门和行业监管部门可充分利用社会资源,借助第三方安全服务和评价机构,开展常态化、持续性的网络安全能力考评,并将考评结果作为管理指标考评体系的科学参考和体系补充,以查“促建、促管、促改、促防”,确保政务网络安全信息管理过程的规范化、科学化。
4.2完善网络安全技术体系
(1)完善网络安全技术规范标准依据《网络安全法》《数据安全法》《个人信息保护法》等法律法规,借鉴国际和行业先进做法,在信息系统建设和运维的全周期落实网络安全技术规范标准,推动政务信息系统建设规范化、专业化,实现信息系统全生命周期安全管理。各单位在网信、公安、经信等部门指导下,配合第三方测评机构开展网站等级保护工作,按照系统定级、公安备案、等级测评、建设整改、定期自查等规定程序,逐一落实到位。针对等级测评查出的系统安全隐患,认真整改,确保问题彻底解决。同时,建立健全政务数据采集、传输、储存、处理、交换和销毁等全生命周期管理规定,有关部门应出台政务信息数据安全管理办法和操作指引,根据各行业各部门标准对政务数据敏感程度进行明确划分,提升数据共享水平,降低敏感数据泄漏风险,明确数据责任主体,确保政务数据安全可控[9]。
(2)健全网络安全防护机制立足整体网络安全态势健康发展,以关键信息基础设施管理为核心来摸清家底,做好监管区域内的重要网站和信息系统的管理工作,强化网络安全防护能力。通过开展7×24小时网络安全资产监测,实时掌握网络整体情况,辅以定期组织开展网络安全攻防演练、网络安全检查,以模拟黑客入侵的方式,发现网络安全风险隐患、评估安全状况,提高系统安全防护能力、安全运维保障能力及安全事件监测、响应能力,实现统一的网络安全防护机制。针对暴露的风险隐患,及时处置,形成网络安全事件发现、报告、处置和整改闭环管理,确保问题彻底解决。
4.3创新网络安全服务体系
(1)加强技术力量和人才储备通过联合科研院所、高校大专和社会企业,开展网络安全人才的专项培养和进修,提升网络安全工作人员的专业技能。建立网络信息安全专家库,专业领域涵盖网络安全政策咨询、项目评审支持、网络安全评估等工作,充分发挥行业专家在学术和技术上的支撑作用,协助单位应对日趋复杂的网络安全形势。另外,针对信息发布类型单一、缺少专业技术力量的信息系统,可采用网站集约化方式进行日常运维和统一技术防护[10]。各单位应积极对接主管部门争取技术支持,将自建或共建的信息系统纳入网络安全防护体系,增强信息系统建设顶层设计,强化网络安全防护能力。
(2)增加网络安全资金投入各单位要突出网络安全工作的重要性,将网络安全作为系统建设的重要组成部分,提前谋划、一体推进、确保落实。通过加大在软硬件设备、服务运维方面、网络安全宣传教育、培训交流等方面投入,确保网络安全基础设施的建设和运行维护,夯实网络安全防护和管理基础,加速建设完善的网络安全防护体系。同时,信息系统建设不是“一锤子买卖”,亦需前瞻性预留硬件设备老化、产品升级、系统漏洞风险修复等支出。对于政府机关信息化网络安全建设方面,财政部门建议予以财政政策支持。对于社会企事业单位,出台优惠政策或网络安全基金予以支持和激励,推动行业和企事业单位加强网络信息安全投入。
(3)建立网络安全综合管理平台通过建立集网络安全管理、技术应用、运营监管等功能为一体的综合网络安全管理平台,对接省市区县级平台,覆盖委办局、街乡镇、个人,实现辖区内党政机关、企事业单位等网络安全管理和应急指挥的协同联动,强化安全运营,统筹网上网下两条战线,形成统一的安全防护能力体系,打造网络安全建设、运维、管理一体化信息平台。同时在确保数据安全可信的前提下实现辖区内网络安全数据共享,为各级管理部门提供第一手网络安全数据和资料。另外,通过多渠道采集异常数据、网络攻击信息,借助威胁情报感知、共享和分析技术,对收集数据进行合并归纳,在机器学习、数据挖掘等技术帮助下,分析已出现网络入侵的特征或关键要素,进而对未来潜在安全威胁的攻击特征、攻击方法进行预测,有力指导用户制定针对性应对措施和安全策略,提升整体的网络安全防御能力和水平,积极推进数字政府网络安全管理体系和防护能力信息化、智能化和现代化[11]。
作者:刘卓 何冬平 刘德民 单位:北京市朝阳区互联网信息办公室