關(guān)于進(jìn)一步加強(qiáng)遼寧省政務(wù)網(wǎng)絡(luò)安全防護(hù)手段有效性的工作建議

〔內(nèi)容提要〕習(xí)近平總書記主持召開網(wǎng)絡(luò)安全和信息化工作座談會(huì)并發(fā)表主要講話對(duì)國家安全強(qiáng)調(diào)“網(wǎng)絡(luò)安全牽一發(fā)而動(dòng)全身”，深刻影響政治、經(jīng)濟(jì)、文化、社會(huì)、軍事等各領(lǐng)域安全。沒有網(wǎng)絡(luò)安全就沒有國家安全，就沒有經(jīng)濟(jì)社會(huì)穩(wěn)定運(yùn)行，廣大人民群眾利益也難以得到保障”。隨著《中國人民共和國網(wǎng)絡(luò)安全法》的施行，網(wǎng)絡(luò)空間環(huán)境已變成繼海、陸、空、天之后的第五空間，保護(hù)網(wǎng)絡(luò)空間安全就是保障國家主權(quán)的意識(shí)已深入人心。本文堅(jiān)持問題導(dǎo)向，對(duì)遼寧省政務(wù)網(wǎng)絡(luò)安全防護(hù)手段有效性的現(xiàn)狀、存在的突出問題、產(chǎn)生問題的原因進(jìn)行了分析，提出了“數(shù)字遼寧、智造強(qiáng)省”可靠政務(wù)網(wǎng)絡(luò)安全環(huán)境建設(shè)的對(duì)策建議。

〔關(guān)鍵詞〕政務(wù)網(wǎng)絡(luò)；安全防護(hù)；工作建議

一、遼寧省政務(wù)網(wǎng)絡(luò)安全防護(hù)手段有效性現(xiàn)狀

（一）制度保障不斷完善

2021年7月1日，《遼寧網(wǎng)絡(luò)安全條例》正式頒布實(shí)施，該條例是遼寧省人民代表大會(huì)常務(wù)委員會(huì)依法制定實(shí)施的地方性法規(guī)，為保障遼寧省網(wǎng)絡(luò)安全和信息化發(fā)展做出了具體規(guī)定。目前，遼寧省各級(jí)政府機(jī)關(guān)和事業(yè)單位根據(jù)政務(wù)信息系統(tǒng)的定級(jí)情況，每年都會(huì)進(jìn)行等級(jí)保護(hù)測(cè)評(píng)，涵蓋物理環(huán)境、網(wǎng)絡(luò)、主機(jī)系統(tǒng)、數(shù)據(jù)、應(yīng)用、建設(shè)和運(yùn)維等方面的管理內(nèi)容，網(wǎng)絡(luò)安全等級(jí)保護(hù)規(guī)章制度建設(shè)比較完善。

（二）網(wǎng)絡(luò)安全防護(hù)設(shè)備使用范圍不斷擴(kuò)展

根據(jù)《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例》的要求，從機(jī)房的物理環(huán)境和網(wǎng)絡(luò)的整體結(jié)構(gòu)兩個(gè)層面切入，省政府?dāng)?shù)據(jù)中心物理機(jī)房已全部配備、各廳局保留的物理機(jī)房已基本配備了電子門禁、專業(yè)精密空調(diào)、UPS（不間斷電源）、視頻監(jiān)控系統(tǒng)、火災(zāi)自動(dòng)消防系統(tǒng)、防靜電地板、機(jī)柜等安全防護(hù)設(shè)施。半數(shù)以上的單位在網(wǎng)絡(luò)安全防護(hù)方面配備了日志審計(jì)、數(shù)據(jù)庫審計(jì)、防火墻、堡壘機(jī)、WAF、IPS、IDS等安全防護(hù)設(shè)備。

（三）網(wǎng)絡(luò)安全保障隊(duì)伍建設(shè)初具規(guī)模

隨著網(wǎng)絡(luò)安全相關(guān)法規(guī)與政策的出臺(tái)，遼寧省直各單位對(duì)政務(wù)信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)工作的重視大幅提高，都成立了指導(dǎo)和管理網(wǎng)絡(luò)信息安全工作的領(lǐng)導(dǎo)小組和協(xié)調(diào)機(jī)構(gòu)，主要領(lǐng)導(dǎo)由單位“一把手”或分管領(lǐng)導(dǎo)擔(dān)任，明確安全管理機(jī)構(gòu)部門和崗位的職責(zé)、分工及技能要求。在技術(shù)人員方面配備了系統(tǒng)管理員、審計(jì)管理員和安全管理員等崗位，信息安全責(zé)任制落實(shí)情況良好。省數(shù)據(jù)中心每年定期組織省直部門開展政務(wù)信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)工作，通過政府采購程序確定多家機(jī)構(gòu)提供等級(jí)保護(hù)測(cè)評(píng)服務(wù)，分別與提出測(cè)評(píng)需求的部門進(jìn)行對(duì)接，對(duì)已部署和未部署在省政務(wù)云上的系統(tǒng)都開展測(cè)評(píng)服務(wù)工作，費(fèi)用統(tǒng)一申請(qǐng)由省財(cái)政列支支付。

（四）技術(shù)防護(hù)能力不斷提升

在過去信息化建設(shè)的二三十年間，網(wǎng)絡(luò)安全絕大多數(shù)都是被動(dòng)防御，且往往立足于邊界的防護(hù)，其防護(hù)對(duì)象主要為服務(wù)器、商用PC及網(wǎng)絡(luò)邊緣設(shè)備，網(wǎng)絡(luò)安全的防御方式集中在防火墻、查殺病毒、入侵檢測(cè)上，即當(dāng)下所說的網(wǎng)絡(luò)安全防護(hù)“老三樣”。近幾年，《中華人民共和國網(wǎng)絡(luò)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》，明確國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，已進(jìn)入等級(jí)保護(hù)2.0標(biāo)準(zhǔn)體系《中華人民共和國密碼法》等文件和條例的出臺(tái)，對(duì)網(wǎng)絡(luò)安全防御也提出了更高的要求。遼寧省大部分省直單位使用的信息系統(tǒng)都通過了等級(jí)保護(hù)測(cè)評(píng)，在安全設(shè)備配置上可以滿足日常防護(hù)需求，在技術(shù)人員配置上部分單位通過采購社會(huì)第三方服務(wù)來進(jìn)行網(wǎng)絡(luò)安全運(yùn)維工作，少部分單位通過自有信息技術(shù)人員自行運(yùn)維。

二、遼寧省政務(wù)網(wǎng)絡(luò)安全防護(hù)手段差距和存在的問題

（一）傳統(tǒng)網(wǎng)絡(luò)安全體系難以應(yīng)對(duì)新挑戰(zhàn)

隨著新項(xiàng)目建設(shè)加速，虛擬網(wǎng)絡(luò)與現(xiàn)實(shí)世界的邊界越來越模糊，用戶和終端入口越來越多樣。傳統(tǒng)網(wǎng)絡(luò)安全體系已經(jīng)難以應(yīng)對(duì)新局面新挑戰(zhàn)新要求，互聯(lián)廣泛，入口分散，破一線即潰全身。原有的計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)更多集中在網(wǎng)絡(luò)運(yùn)行過程的安全防護(hù)技術(shù)應(yīng)用，傳統(tǒng)的防火墻技術(shù)、數(shù)據(jù)加密技術(shù)、用戶身份認(rèn)證技術(shù)等安全防護(hù)手段已經(jīng)無法滿足應(yīng)用需求。在數(shù)字化轉(zhuǎn)型背景下，新系統(tǒng)快速迭代上線、業(yè)務(wù)應(yīng)用間訪問隨市場(chǎng)需求頻繁調(diào)整，針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的安全防護(hù)開始從被動(dòng)防御向主動(dòng)防御轉(zhuǎn)變，由單獨(dú)安全防護(hù)技術(shù)應(yīng)用向網(wǎng)絡(luò)安全防護(hù)體系建設(shè)發(fā)展。

（二）安全設(shè)備使用有效性有待提高

政府治理體系和治理能力的現(xiàn)代化倒逼政府信息化建設(shè)和管理水平的高速發(fā)展，IT系統(tǒng)的種類和數(shù)量均在不斷增加，各類系統(tǒng)因配置不合理引發(fā)的安全問題日益突出。而大部分單位的安全建設(shè)集中在設(shè)備采購，在部署和配置新的網(wǎng)絡(luò)安全設(shè)備時(shí)，沒有設(shè)計(jì)和論證應(yīng)用得當(dāng)?shù)念A(yù)防措施，給運(yùn)行環(huán)境帶來極大風(fēng)險(xiǎn)。制定一個(gè)普遍保護(hù)策略只是開始，部署實(shí)施后由于缺乏專人運(yùn)維、資金保障、技術(shù)支撐，受限于人力、技術(shù)資源、安全運(yùn)行經(jīng)驗(yàn)不足，導(dǎo)致了安全設(shè)備的防護(hù)效果無法達(dá)到預(yù)期。

（三）網(wǎng)絡(luò)安全防護(hù)技術(shù)水平參差不齊

大部分單位安全設(shè)備配備已經(jīng)實(shí)現(xiàn)了從無到有，由于資產(chǎn)數(shù)量的增加、終端數(shù)量較多、環(huán)境較復(fù)雜，安全威脅的攻擊面也隨之?dāng)U大。在日常運(yùn)維過程中，因運(yùn)維人員能力和水平的參差不齊，缺少持續(xù)可靠的安全技術(shù)支撐，任何如補(bǔ)丁更新的及時(shí)性、基線配置問題、安全產(chǎn)品應(yīng)用等方面的工作疏忽，都可能極大增大基礎(chǔ)設(shè)施的安全風(fēng)險(xiǎn)。面對(duì)突發(fā)性安全事件，如果不能很好地把握應(yīng)急處置的最佳事件窗口，極易擴(kuò)大安全事件的影響面。

（四）防護(hù)手段滯后于攻擊手段

傳統(tǒng)的網(wǎng)絡(luò)安全防御手段通常是在系統(tǒng)遭受了攻擊后，根據(jù)攻擊情況采取修復(fù)行動(dòng)，包括且不限于：傳統(tǒng)殺毒軟件、基于特征庫入侵檢測(cè)、防御等手段，而特征檢測(cè)、查殺技術(shù)有明顯的弊端就是“滯后于攻擊手段”，面對(duì)當(dāng)下復(fù)雜的網(wǎng)絡(luò)環(huán)境和各種安全威脅已經(jīng)明顯不足。應(yīng)對(duì)這樣的情況，網(wǎng)絡(luò)需要主動(dòng)防御，即不再依賴于特征庫，可以通過對(duì)攻擊者的行為分析做到提前預(yù)判并進(jìn)行應(yīng)急響應(yīng)。簡(jiǎn)單來講，就是不管對(duì)于攻防演練、重保活動(dòng)，還是日常的安全運(yùn)維，都要通過技術(shù)的手段，自動(dòng)化的處理掉各類攻擊，將專業(yè)技術(shù)人員從重復(fù)性工作中釋放出來去做更有價(jià)值的事，做到更加有效的防守。在網(wǎng)絡(luò)安全建設(shè)的過程中，應(yīng)該采用主動(dòng)防御措施，降低遭受攻擊的概率。

三、對(duì)策建議

（一）建立完善的安全防護(hù)體系

按照網(wǎng)絡(luò)安全等級(jí)防護(hù)三級(jí)基本要求，以等級(jí)保護(hù)的“一個(gè)中心、三重防護(hù)”為核心指導(dǎo)思想，構(gòu)建集防護(hù)、檢測(cè)、響應(yīng)、恢復(fù)于一體的全面的安全保障體系。具體體現(xiàn)為：以全面貫徹落實(shí)等級(jí)保護(hù)制度為核心，打造科學(xué)實(shí)用的網(wǎng)絡(luò)安全防護(hù)能力、安全風(fēng)險(xiǎn)監(jiān)測(cè)能力、應(yīng)急響應(yīng)能力和災(zāi)難恢復(fù)能力，從安全技術(shù)、安全管理、安全運(yùn)維三個(gè)角度構(gòu)建安全防護(hù)體系，切實(shí)保障網(wǎng)絡(luò)安全。

（1）安全技術(shù)體系。參考《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》（GB/T25070—2019），安全技術(shù)體系設(shè)計(jì)內(nèi)容主要涵蓋到“一個(gè)中心、三重防護(hù)”，即安全管理中心，安全區(qū)域邊界、安全通信網(wǎng)絡(luò)、安全計(jì)算環(huán)境。此外，加入等保2.0云計(jì)算安全及其擴(kuò)展要求相關(guān)內(nèi)容。

（2）安全管理體系。在安全建設(shè)、運(yùn)行、維護(hù)等各個(gè)環(huán)節(jié)都要重視安全管理，嚴(yán)格按制度進(jìn)行操作，明確責(zé)任權(quán)力，規(guī)范操作，加強(qiáng)人員、設(shè)備的管理以及人員的培訓(xùn)，提高安全管理水平，同時(shí)提升對(duì)緊急突發(fā)事件的應(yīng)對(duì)處置能力，通過預(yù)防措施和恢復(fù)控制相結(jié)合的方式，使由意外事故所引起的破壞減小至可接受程度。

（3）安全運(yùn)維體系。受安全技術(shù)和管理的復(fù)雜性、專業(yè)性和動(dòng)態(tài)性影響，業(yè)務(wù)信息系統(tǒng)安全的規(guī)劃、設(shè)計(jì)、建設(shè)、運(yùn)行維護(hù)均需要有較為專業(yè)的安全服務(wù)支持。安全運(yùn)維服務(wù)包括風(fēng)險(xiǎn)評(píng)估、滲透測(cè)試、漏洞掃描、基線核查、應(yīng)急響應(yīng)、應(yīng)急演練、安全培訓(xùn)等。

（二）不斷壯大專業(yè)的網(wǎng)絡(luò)安全防護(hù)隊(duì)伍

面對(duì)新征程新任務(wù)，如何應(yīng)對(duì)國家和社會(huì)的現(xiàn)實(shí)需求，推進(jìn)網(wǎng)絡(luò)安全人才培養(yǎng)是一個(gè)亟待解決的問題。網(wǎng)絡(luò)安全的本質(zhì)在于對(duì)抗，對(duì)抗的本質(zhì)在于攻防兩端能力較量。人才是網(wǎng)絡(luò)安全攻防對(duì)抗的核心所在，網(wǎng)絡(luò)安全人才培養(yǎng)的最終目標(biāo)是建立人才梯隊(duì)，沒有人才梯隊(duì)就談不上網(wǎng)絡(luò)安全體系建設(shè)。亟須組建由一批具有信息系統(tǒng)安全保護(hù)知識(shí)經(jīng)驗(yàn)的人員組成的網(wǎng)絡(luò)安全防護(hù)隊(duì)伍，負(fù)責(zé)政務(wù)信息系統(tǒng)的維護(hù)和管理工作，通過培訓(xùn)、交流、攻防演練等方式方法提高運(yùn)維人員的專業(yè)能力和水平。需投入合理的財(cái)政資金，加強(qiáng)對(duì)系統(tǒng)的科學(xué)管理，落實(shí)關(guān)鍵技術(shù)，高效地增加系統(tǒng)安全性。

（三）與廠商加強(qiáng)合作，完善安全問題從發(fā)現(xiàn)到解決的閉環(huán)流程

與網(wǎng)絡(luò)安全廠商開展深度合作，建立政府和企業(yè)網(wǎng)絡(luò)安全信息共享機(jī)制，把廠商掌握的大量網(wǎng)絡(luò)安全信息利用起來，把網(wǎng)絡(luò)安全企業(yè)團(tuán)結(jié)起來，通過聯(lián)盟、共商共議等機(jī)制把整體的安全能力凝聚起來，形成優(yōu)勢(shì)互補(bǔ)。構(gòu)建和完善以風(fēng)險(xiǎn)為驅(qū)動(dòng)，覆蓋IT資產(chǎn)全生命周期的網(wǎng)絡(luò)安全運(yùn)營體系，實(shí)現(xiàn)安全運(yùn)營工作常態(tài)化、體系化、實(shí)戰(zhàn)化。通過安全監(jiān)控、安全評(píng)估、安全處置和安全管控四個(gè)環(huán)節(jié)對(duì)風(fēng)險(xiǎn)實(shí)行閉環(huán)管理，做好資產(chǎn)管理、漏洞管理、威脅管理工作，為安全運(yùn)行工作打下堅(jiān)實(shí)基礎(chǔ)。

（四）提升網(wǎng)絡(luò)安全風(fēng)險(xiǎn)預(yù)警能力

網(wǎng)絡(luò)安全具有很強(qiáng)的隱蔽性，一個(gè)技術(shù)漏洞、安全風(fēng)險(xiǎn)可能隱藏幾年都發(fā)現(xiàn)不了，結(jié)果是“誰進(jìn)來了不知道、是敵是友不知道、干了什么不知道”，導(dǎo)致技術(shù)漏洞、安全風(fēng)險(xiǎn)長(zhǎng)期“潛伏”在網(wǎng)絡(luò)中。全面提高全方位全天候網(wǎng)絡(luò)安全態(tài)勢(shì)感知能力，提升風(fēng)險(xiǎn)預(yù)警是我們必須要解決的問題。感知網(wǎng)絡(luò)安全態(tài)勢(shì)是最基本最基礎(chǔ)的工作，要全面加強(qiáng)網(wǎng)絡(luò)安全檢查，摸清家底，認(rèn)清風(fēng)險(xiǎn)，找出漏洞，通報(bào)結(jié)果，督促整改。要建立統(tǒng)一高效的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)報(bào)告機(jī)制、情報(bào)共享機(jī)制、研判處置機(jī)制，準(zhǔn)確把握網(wǎng)絡(luò)安全風(fēng)險(xiǎn)發(fā)生的規(guī)律、動(dòng)向、趨勢(shì)。

（作者單位：遼寧省數(shù)據(jù)中心）