简介@@:云计算@@、物联网@@、大数据@@及移动应用拓宽了电子政务@@建设及应用@@,大大提升了海关建设服务型政府@@的能力@@。与此同时@@,新技术应用也带来了安全风险@@。
海关是国家进出境监督管理机构@@,承担监管@@、征税@@、查私和编制海关统计等四项职能@@。30多年来@@,信息化及科技应用在海关各项业务方面取得了飞速发展@@,电子海关@@、电子口岸@@、电子总署三@@大类应用构成了海关信息系统@@。海关信息系统作为国家重要信息系统之一@@@@,目前正在进行金关工程二@@期建设@@,一@@批前沿技术如云计算@@@@、物联网@@、大数据@@及移动应用将在本期项目建设中承担主角@@。我们在享受新技术应用带来的便利@@、高效@@、先进之时@@,潜在的网络与信息安全问题也不容忽视@@,正视并解决这些问题才能更好地为信息化发展保驾护航@@。
一@@、 近十年来网络与信息安全工作回顾@@
自@@2003年中央印发@@《关于加强网络与信息安全保障工作的意见@@》以来@@,国家主管部门加强了信息安全检查工作@@、信息安全通报机制建设@@、协调机制建设@@、信息安全国产化及自@@主可控推进工作及等级保护制度建设等重要工作@@,国家信息安全保障工作步入常态化@@进程@@。国家各部委高度重视信息安全工作@@,尤其是国家重要信息系统主管部门@@,在组织机构@@、管理制度@@、技术手段@@等建设方面取得了显著成绩@@,信息系统具备了较好的防护能力@@@@。海关系统近十年重点推进了如下信息安全保障工作@@,制定并完善信息系统安全管理规定@@、持续开展网络与信息安全检查及教育培训活动@@、与国家有关部门合作建立应急响应机制@@、有序推进国产化应用@@、全面落实信息安全等级保护制度@@。针对@@电子海关@@@@、电子口岸@@、电子总署三@@大类应用开展安全生命周期管理@@,做到应用与安全同步规划@@、同步建设@@、同步运行@@。三@@大类应用根据系统安全级别划分安全区域@@,在计算环境@@、通信网络@@、边界控制@@、安全管理中心建设中根据国家标准落实安全要求@@,通过安全检查及等级保护测评检验实际效果@@。安全工作基本实现规范化@@、常态化@@,着重体现合规性@@。
二@@、 移动互联网@@@@时代的安全态势变化@@
云计算@@、物联网@@、大数据@@及移动应用拓宽了电子政务@@建设及应用@@,大大提升了海关建设服务型政府@@的能力@@。与此同时@@,新技术应用也带来了安全风险@@,安全态势出现多样性及复杂化@@,主要表现如下方面@@:
1、 关于云计算@@的安全风险@@。海关云主要形式为私有云@@,相对公有云的风险要低@@,主要为资源的虚拟池化和共享的安全不足@@,事实上@@,主流的虚拟层@@hypervisor软件屡有漏洞被报告@@,存在未经授权@@的访问等违规行为风险@@。
2、 关于物联网@@的安全风险@@。海关监管场所的卡口设备@@、视频摄像头与海关联网@@,这些设备不属于海关办公区域@@,物理环境及设备网络准入存在风险@@。
3、关于大数据@@的风险@@。与关系型数据@@库在单个位置存储一@@块数据@@不同@@,大数据@@是复制数据@@到很多表以优化查询处理@@,具有冗余性和分散性@@。数据@@分散在不同地理位置的不同服务器的不同的数据@@仓库中@@,信息的完整性及保密性存在风险@@。
4、 关于移动应用的风险@@。政务@@信息化从固定终端应用迈入固定与移动应用的结合的混合模式@@,计算边界变得难以控制@@,终端设备@@、网络接入及数据@@安全存在风险@@。
5、 关于高级持续性攻击@@(APT)等其他风险@@。虽然基于等保等合规性的安全管理及技术措施不断加强@@,但是对@@APT等特定攻击的技术防护手段@@没有根本解决@@,核心数据@@资产存在泄漏的风险@@,且一@@旦泄露也难以追查@@。
三@@、 有关应对措施@@
习近平总书记在今年初召开的中央网络安全与信息化领导小组第一@@次@@会议上强调@@,网络安全和信息化是一@@体之两翼@@、驱动之双轮@@,必须统一@@谋划@@、统一@@部署@@、统一@@推进@@、统一@@实施@@。做好网络安全和信息化工作@@,要处理好安全和发展的关系@@,做到协调一@@致@@、齐头并进@@,以安全保发展@@、以发展促安全@@,努力建久安之势@@、成长治之业@@。为此@@,针对@@移动互联网@@@@时代@@,应重点从如下方面抓好信息安全工作@@:
1、顺应技术发展趋势@@,“以安全保发展@@、以发展促安全@@”。
系统建设具有继承性和创新性@@,对已有系统安全加固@@,以成熟安全手段@@@@“固旧@@”;对引入新技术的系统@@,以创新安全手段@@@@“利新@@”。如针对@@云计算@@安全@@,设计可以支持不同安全等级@@、不同硬件分区和防御策略@@,可借助虚拟化防病毒措施及云杀毒技术保障虚拟机及终端安全@@。在运行阶段设计具有监控是否有未经授权@@的修改和违规活动的技术能力@@。
2、加强边界管控@@,提升对外接入网@@(DMZ)防护能力@@。全面梳理边界进出数据@@流风险@@,制定细颗粒度的控制策略@@(事前@@),部署实时监控@@(事中@@)及审计@@(事后@@)手段@@,确保内网安全@@。
3、 海关政务@@信息化基础数据@@直接关系我国进出境监管@@、税收及贸易统计@@,也是进出口相关企业核心利益所在@@。应该加强数据@@分类分级管理@@,根据数据@@类型及敏感程度做好冗余的@@、分散的关键数据@@安全防护@@。
4、 应针对@@各种类型的移动应用进行全面风险评估@@,根据威胁程度可对移动设备@@、通信链路@@、应用及数据@@@@,从身份认证@@、授权@@、加密及签名等多个方面统一@@规划@@、部署及实施安全策略@@。
5、 针对@@APT等新型攻击@@,应加强核心数据@@的监控及审计@@@@。可引入互联网@@公司先进的安全技术@@,借助云计算@@及大数据@@@@,下大力气做好监控及日志分析@@,持续提高安全态势感知能力@@。
6、 网络及信息系统安全问题的核心是人的安全问题@@,因此@@,普及网络安全知识@@、提高全员网络安全意识@@、加强和完善网络安全法制建设必须是持之以恒的工作@@。
作者单位@@:海关总署科技发展司副处长@@
作者单位@@:海关总署科技发展司副处长@@
