谈政务信息系统网络安全防护体系建设

谈政务信息系统网络安全防护体系建设

一、引言

随着以互联网、大数据和云计算为代表的信息技术在各行各业的普及应用,当今社会已经进入互联网时代,人们的工作生活方式发生了划时代的改变。信息技术在政府部门也取得了深入的发展,尤其近几年国务院出台了“互联网+政务服务”相关政策文件之后,各地各部门深入开展了政务信息化建设,目前已经初步建成了涉及门户网站、行政审批、日常监管和稽查执法等多个领域的信息系统,实现了政务服务“一网通办”,企业群众办事“只进一扇门”、“最多跑一次”。让企业和群众到政府办事像“网购”一样方便。信息技术在带给人们工作生活效率成倍提升的同时,也随之带来了网络安全问题。每年国内外都会发生多起大规模的针对关键信息基础设施的攻击事件,政府部门信息系统更是成为境内外黑客组织攻击的重点目标,网络安全状况日趋严峻,黑客攻击数量越来越多,攻击方式越来越复杂,勒索病毒和APT(高级可持续威胁)攻击等新型攻击形式不断出现,对传统的网络安全防护体系带来了很大的挑战。本文将重点分析当前面临的网络安全问题,基于国家的网络安全方面政策法规,提出构建一套涵盖网络安全监测、防御、处置和审计的政务信息系统网络安全防护体系,切实提升网络安全防护水平。

二、网络安全相关的政策法规

信息资源已经成为代表国家综合国力的战略资源。信息资源的保护、信息化进程的健康发展是关乎国家安危、民族振兴的大事,网络安全是保障国家主权、政治、经济、国防、社会安全和公民合法权益的重要保证,没有网络安全就没有国家安全。2017年6月1日起施行的《中华人民共和国网络安全法》明确规定国家实行网络安全等级保护制度,网络运营单位在提供网络服务的同时,应当按照网络安全等级保护制度的要求,承担相应网络安全保护义务,国家支持创新网络安全管理方式,运用网络新技术,提升网络安全保护水平。2019年国家的网络安全等级保护2.0系列标准规范对网络安全等级保护的基本要求、定级和测评等方面给出了明确要求,覆盖了安全技术和安全管理两大类10个方面。

三、政务信息系统主要网络安全问题

(一)安全漏洞

对于信息系统来说,安全漏洞具有种类多样和隐蔽性等特点。安全漏洞可以是网络安全设备等硬件漏洞,也可以是操作系统、数据库、中间件和应用系统等软件漏洞,也可以是网络协议漏洞,这些都是由系统开发和使用过程中的缺陷产生的。攻击者可以利用这些安全漏洞发起攻击,导致信息系统破坏和重要数据泄露。安全漏洞的隐蔽性在于除了已知安全漏洞之外,还存在很多尚未发现的漏洞,这些漏洞就像定时炸弹一样,一旦被攻击者发现、利用,将对信息系统带来重大的安全隐患,例如一些连产品厂商都未发现的0day漏洞,在未提供补丁之前,它的破坏性是非常大的,因为现有的安全设备无法防御。

(二)弱口令问题弱口令问题

主要是信息系统的管理人员和用户网络安全意识淡薄造成的,为了便于记忆使用,经常将使用的信息系统和网络安全设备的账号口令设置为弱口令、出厂默认口令。这些为本人带来使用便利的同时,也为攻击者提供了便利,攻击者可以使用弱口令字典表进行暴力破解,快速获取账号口令,进入重要信息系统和网络安全设备。

(三)安全管理落实不到位

主要体现在网络安全管理制度缺失、落实不到位以及人员安全管理意识不足,导致很多长期不再维护、使用的老旧信息系统仍然暴露在互联网上运行,网络安全设备配置策略不合理导致设备没有真正起到安全防护作用,这些问题都带来了很大的网络安全风险。因此加强安全管理是保证网络安全的重要手段。

四、政务信息系统的网络安全防护体系建设

完备的网络安全防护体系主要由技术防护措施、网络安全管理措施以及网络安全服务等部分组成。

(一)网络安全技术防护措施

1.网络架构设计

任何网络安全措施都不是绝对安全可靠的,为保障攻破一层或一类保护的攻击行为而不会破坏整个单位网络,以达到纵深防御的安全目标,需要按照分区分域防护原则,合理划分安全域,综合采用多种有效安全保护措施,实施多层、多重保护。单位机房网络架构在设计之初就要考虑网络安全需求,划分为不同的安全域,安全域之间做好区域边界防护。

2.区域边界防护

区域边界是该区域内信息系统和外界通信的必经之路,通过区域边界上做好安全控制,对进出该安全域的数据流量进行安全检查,可以保证该安全域内信息系统免遭外部攻击破坏和重要信息泄露。区域边界技术防护措施主要分为访问控制、入侵防范和恶意代码防范。访问控制主要通过在区域边界上部署防火墙实现,防火墙通过访问控制策略实现对进出数据流量基于应用协议和应用内容的访问控制。入侵防范主要通过在区域边界上部署入侵防御系统(IntrusionPreventionSystem,IPS)实现,IPS通过内置攻击行为规则库,实现2-7层网络攻击行为的检测与防御,有效阻断各种网络攻击行为。恶意代码防范可以考虑在防火墙或者IPS上升级防病毒功能,利用丰富的病毒库,实现进出数据流量的病毒木马等恶意代码查杀。如果单位部署有大量提供Web服务的信息系统,建议在服务器区域边界处部署Web应用防火墙(WebApplicationFirewall,WAF),可以实现web应用层防护,有效阻止SQL注入、恶意文件上传和跨站脚本等应用层攻击行为。

3.计算环境安全防护

计算环境安全是信息系统安全的根本。一个安全的计算环境可以有效防止非授权用户访问和授权用户越权访问,为信息系统的正常运行和免遭恶意破坏提供支撑和保障,从而确保信息系统的机密性和完整性。信息系统应通过为每个用户分配账号并为账号分配访问权限实现用户访问控制;通过为账号设置密码,实现用户的身份鉴别;通过日志管理功能实现对用户操作行为的安全审计;通过在服务器上安装杀毒软件实现恶意代码防范;同时要做好信息系统及其数据的备份恢复,避免信息系统及其数据被破坏后,可以快速恢复系统上线。

4.网络安全实时监测预警

威胁态势感知系统作为单位网络的安全眼,可以全天候全方位感知网络安全态势。它以流量镜像部署方式,可以实现对单位网络进出数据流量的实时网络安全监测与预警,实时检测已知及未知安全威胁,精准定位异常网络行为的风险主机及服务器,协助安全管理人员回答单位网络是否安全,安全威胁何时出现、攻击手段极其攻击范围等重要安全问题。

(二)网络安全管理措施

安全管理在整个网络安全防护体系中具备非常重要的作用,正所谓“三分技术、七分管理”,如果疏于管理,构建再好的技术防护措施也发挥不了应有的作用。政府部门需要设置独立的安全管理机构及其岗位,配备专职的安全管理人员,建立健全包含机房管理、网络安全管理和应急预案等一系列安全管理制度。按照安全管理制度要求,做好日常网络安全运维管理。按照网络安全等级保护规范要求,做好重要信息系统的等级保护定级、备案、测评和整改工作。以每年开展的等保测评和整改工作为契机,不断完善网络安全技术与管理措施,提升网络安全整体防护水平。

(三)网络安全服务

为了更好提升网络安全防护能力,需要引入渗透测试和漏洞扫描为代表的网络安全服务手段。渗透测试以模拟真实的网络攻击行为,主动发现信息系统的各种安全漏洞,检验网络架构、网络安全设备设置及其安全策略是否合理,检验单位整体网络安全防护能力到底如何,协助安全管理人员快速查找解决各种潜在安全问题。通过部署漏洞扫描设备可以主动发现单位网络内各主机服务器的安全漏洞,协调技术人员快速修复安全漏洞,避免这些漏洞被黑客利用。

五、结语

信息技术就像一把双刃剑,带给人类社会生活方式发生划时代改变的同时,也随之带来了网络安全问题。包含政府部门在内的网络运营者和用户时刻都面临着复杂多变的网络安全风险。按照网络安全等级保护规范要求,本文从技术、管理和服务三个角度提出一套网络安全防护体系,以应对日趋严重的网络安全挑战,提升政府部门网络安全防护水平。

作者:刘小康  陆诚 单位:江苏省食品药品监督信息中心