简介:云计算、物联网、大数据及移动应用拓宽了电子政务建设及应用,大大提升了海关建设服务型政府的能力。与此同时,新技术应用也带来了安全风险。
海关是国家进出境监督管理机构,承担监管、征税、查私和编制海关统计等四项职能。30多年来,信息化及科技应用在海关各项业务方面取得了飞速发展,电子海关、电子口岸、电子总署三大类应用构成了海关信息系统。海关信息系统作为国家重要信息系统之一,目前正在进行金关工程二期建设,一批前沿技术如云计算、物联网、大数据及移动应用将在本期项目建设中承担主角。我们在享受新技术应用带来的便利、高效、先进之时,潜在的网络与信息安全问题也不容忽视,正视并解决这些问题才能更好地为信息化发展保驾护航。
一、 近十年来网络与信息安全工作回顾
自2003年中央印发《关于加强网络与信息安全保障工作的意见》以来,国家主管部门加强了信息安全检查工作、信息安全通报机制建设、协调机制建设、信息安全国产化及自主可控推进工作及等级保护制度建设等重要工作,国家信息安全保障工作步入常态化进程。国家各部委高度重视信息安全工作,尤其是国家重要信息系统主管部门,在组织机构、管理制度、技术手段等建设方面取得了显著成绩,信息系统具备了较好的防护能力。海关系统近十年重点推进了如下信息安全保障工作,制定并完善信息系统安全管理规定、持续开展网络与信息安全检查及教育培训活动、与国家有关部门合作建立应急响应机制、有序推进国产化应用、全面落实信息安全等级保护制度。针对电子海关、电子口岸、电子总署三大类应用开展安全生命周期管理,做到应用与安全同步规划、同步建设、同步运行。三大类应用根据系统安全级别划分安全区域,在计算环境、通信网络、边界控制、安全管理中心建设中根据国家标准落实安全要求,通过安全检查及等级保护测评检验实际效果。安全工作基本实现规范化、常态化,着重体现合规性。
二、 移动互联网时代的安全态势变化
云计算、物联网、大数据及移动应用拓宽了电子政务建设及应用,大大提升了海关建设服务型政府的能力。与此同时,新技术应用也带来了安全风险,安全态势出现多样性及复杂化,主要表现如下方面:
1、 关于云计算的安全风险。海关云主要形式为私有云,相对公有云的风险要低,主要为资源的虚拟池化和共享的安全不足,事实上,主流的虚拟层hypervisor软件屡有漏洞被报告,存在未经授权的访问等违规行为风险。
2、 关于物联网的安全风险。海关监管场所的卡口设备、视频摄像头与海关联网,这些设备不属于海关办公区域,物理环境及设备网络准入存在风险。
3、关于大数据的风险。与关系型数据库在单个位置存储一块数据不同,大数据是复制数据到很多表以优化查询处理,具有冗余性和分散性。数据分散在不同地理位置的不同服务器的不同的数据仓库中,信息的完整性及保密性存在风险。
4、 关于移动应用的风险。政务信息化从固定终端应用迈入固定与移动应用的结合的混合模式,计算边界变得难以控制,终端设备、网络接入及数据安全存在风险。
5、 关于高级持续性攻击(APT)等其他风险。虽然基于等保等合规性的安全管理及技术措施不断加强,但是对APT等特定攻击的技术防护手段没有根本解决,核心数据资产存在泄漏的风险,且一旦泄露也难以追查。
三、 有关应对措施
习近平总书记在今年初召开的中央网络安全与信息化领导小组第一次会议上强调,网络安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施。做好网络安全和信息化工作,要处理好安全和发展的关系,做到协调一致、齐头并进,以安全保发展、以发展促安全,努力建久安之势、成长治之业。为此,针对移动互联网时代,应重点从如下方面抓好信息安全工作:
1、顺应技术发展趋势,“以安全保发展、以发展促安全”。
系统建设具有继承性和创新性,对已有系统安全加固,以成熟安全手段“固旧”;对引入新技术的系统,以创新安全手段“利新”。如针对云计算安全,设计可以支持不同安全等级、不同硬件分区和防御策略,可借助虚拟化防病毒措施及云杀毒技术保障虚拟机及终端安全。在运行阶段设计具有监控是否有未经授权的修改和违规活动的技术能力。
2、加强边界管控,提升对外接入网(DMZ)防护能力。全面梳理边界进出数据流风险,制定细颗粒度的控制策略(事前),部署实时监控(事中)及审计(事后)手段,确保内网安全。
3、 海关政务信息化基础数据直接关系我国进出境监管、税收及贸易统计,也是进出口相关企业核心利益所在。应该加强数据分类分级管理,根据数据类型及敏感程度做好冗余的、分散的关键数据安全防护。
4、 应针对各种类型的移动应用进行全面风险评估,根据威胁程度可对移动设备、通信链路、应用及数据,从身份认证、授权、加密及签名等多个方面统一规划、部署及实施安全策略。
5、 针对APT等新型攻击,应加强核心数据的监控及审计。可引入互联网公司先进的安全技术,借助云计算及大数据,下大力气做好监控及日志分析,持续提高安全态势感知能力。
6、 网络及信息系统安全问题的核心是人的安全问题,因此,普及网络安全知识、提高全员网络安全意识、加强和完善网络安全法制建设必须是持之以恒的工作。