郭志強(qiáng)

摘 要：網(wǎng)絡(luò)信息安全是信息化工作的基石。隨著政府工作增效提速要求的逐步深化以及規(guī)劃信息化工作的迅速發(fā)展，網(wǎng)絡(luò)信息安全工作面臨的問題也日益嚴(yán)峻。本文針對(duì)目前規(guī)劃信息化工作中所面臨的網(wǎng)絡(luò)信息安全問題，對(duì)各類威脅網(wǎng)絡(luò)信息安全的因素進(jìn)行分析，提出新的網(wǎng)絡(luò)信息安全工作思路，針對(duì)面臨的具體安全問題，在工作中進(jìn)行嘗試和實(shí)踐，以圖找到更佳的解決辦法，助力規(guī)劃管理服務(wù)效能提升。

關(guān)鍵詞：增效提速；規(guī)劃信息化；網(wǎng)絡(luò)安全

DOI：10.16640/j.cnki.37-1222/t.2017.19.129

隨著政府工作增效提速要求的逐步深化，規(guī)劃工作與信息化工作結(jié)合程度進(jìn)一步加深，對(duì)信息的安全性及服務(wù)的可用性提出了更高的要求?！熬W(wǎng)絡(luò)安全和信息化是一體之兩翼、驅(qū)動(dòng)之雙輪”，“要處理好安全和發(fā)展的關(guān)系，做到協(xié)調(diào)一致、齊頭并進(jìn)，以安全保發(fā)展、以發(fā)展促安全”[1]。我們?cè)诠ぷ鲗?shí)踐中，以“信息可控、數(shù)據(jù)安全、系統(tǒng)健壯、服務(wù)可靠、管理到位”為核心要求，實(shí)現(xiàn)業(yè)務(wù)信息全生命周期的安全管理，保證整個(gè)規(guī)管系統(tǒng)的保密性、安全性、可用性得到保證，確保規(guī)劃管理服務(wù)的高效有序開展。下邊，我們以濟(jì)南市規(guī)劃局信息系統(tǒng)為例來探討網(wǎng)絡(luò)安全管理體系建設(shè)。

1 目前網(wǎng)絡(luò)信息安全面臨的主要問題

目前網(wǎng)絡(luò)安全形勢(shì)依舊嚴(yán)峻，較之以往，目前面臨的安全問題更為復(fù)雜。移動(dòng)終端惡意程序數(shù)量高速增長(zhǎng)，病毒感染、網(wǎng)絡(luò)攻擊層出不窮，信息泄露風(fēng)險(xiǎn)無處不在；無孔不入的社工攻擊等安全問題日益突出；全球勒索病毒多次大范圍爆發(fā)，數(shù)據(jù)安全受到嚴(yán)重威脅。因此，盡管用戶的網(wǎng)絡(luò)安全意識(shí)普遍提升，但當(dāng)前安全形勢(shì)仍舊不容樂觀。另外，因規(guī)劃業(yè)務(wù)與信息系統(tǒng)的結(jié)合程度日益緊密，對(duì)信息化的要求進(jìn)一步提升，在應(yīng)用服務(wù)、數(shù)據(jù)安全、容災(zāi)備份等方面也提出了新的要求。網(wǎng)絡(luò)信息安全威脅導(dǎo)致的后果主要包括信息泄露、信息篡改、服務(wù)中斷、數(shù)據(jù)丟失等情況。這些情況一旦發(fā)生，可能會(huì)產(chǎn)生嚴(yán)重法律問題，造成不良社會(huì)影響，甚至?xí)?dǎo)致不可挽回的損失。綜上所述，我們嘗試從防范信息泄露/篡改，和保障數(shù)據(jù)/服務(wù)安全兩個(gè)方面來解決網(wǎng)絡(luò)信息安全問題。

2 建立安全體系的層次化結(jié)構(gòu)，形成立體交叉防護(hù)措施，降低信息泄露風(fēng)險(xiǎn)

2.1 網(wǎng)絡(luò)安全體系基礎(chǔ)建設(shè)

針對(duì)目前來自惡意程序、社工攻擊、管理漏洞等多維度的安全問題和挑戰(zhàn)，結(jié)合基于安全工作的思考和實(shí)踐要求，我們?cè)诮K端安全、網(wǎng)絡(luò)安全和業(yè)務(wù)安全三個(gè)安全層次上綜合考慮，協(xié)同防護(hù)、統(tǒng)一管理，實(shí)現(xiàn)技術(shù)層面的立體交叉式安全防護(hù)網(wǎng)絡(luò)，建立完整的技術(shù)保障和網(wǎng)絡(luò)安全的基礎(chǔ)體系，降低信息泄露等安全風(fēng)險(xiǎn)。

2.1.1 終端安全

通過系統(tǒng)補(bǔ)丁的統(tǒng)一升級(jí)管理、系統(tǒng)和網(wǎng)絡(luò)的身份認(rèn)證、網(wǎng)絡(luò)安全設(shè)備的安裝部署等措施，加強(qiáng)對(duì)終端用戶的安全管理，提高終端安全保障力度。

2.1.2 網(wǎng)絡(luò)安全

通過殺毒軟件的統(tǒng)一規(guī)劃部署、強(qiáng)化準(zhǔn)入控制管理、VPN接入等安全措施，提升網(wǎng)絡(luò)安全層次，保障網(wǎng)絡(luò)傳輸和訪問的安全。

2.1.3 業(yè)務(wù)安全

除業(yè)務(wù)系統(tǒng)的性能和健壯性建設(shè)外，我們建立了網(wǎng)絡(luò)和應(yīng)用層面的訪問審計(jì)、網(wǎng)絡(luò)及業(yè)務(wù)訪問流量的記錄和管控，并通過網(wǎng)路結(jié)構(gòu)和訪問控制降低外部入侵威脅。

2.2 從用戶視角看網(wǎng)絡(luò)信息安全建設(shè)實(shí)踐

除了常規(guī)安全技術(shù)措施外，我們通過網(wǎng)絡(luò)安全管理、系統(tǒng)規(guī)劃設(shè)計(jì)、數(shù)據(jù)加密授權(quán)、電子印章服務(wù)、屏幕使用水印等多重技術(shù)手段進(jìn)行綜合性的立體防范，協(xié)同防護(hù)，力圖實(shí)現(xiàn)“不該進(jìn)的進(jìn)不來、不該用的用不了、不該改的改不動(dòng)、不該拿的拿不走、不授權(quán)的拿到也沒有用”的“五不”目標(biāo)，保障規(guī)劃工作安全有序進(jìn)行。

2.2.1 不該進(jìn)的進(jìn)不來

我們從網(wǎng)絡(luò)接入層面開始進(jìn)行管理，建立設(shè)備準(zhǔn)入管理體系，凡是入網(wǎng)設(shè)備必須進(jìn)行設(shè)備登記及設(shè)備、地址、端口三重綁定，非登記設(shè)備在網(wǎng)絡(luò)接入層面即被拒絕接入服務(wù)，通過接入端的安全準(zhǔn)入系統(tǒng)對(duì)網(wǎng)絡(luò)接入設(shè)備進(jìn)行統(tǒng)一管控，從根源上杜絕非授權(quán)訪問，并對(duì)許可訪問的設(shè)備、地址及端口訪問情況進(jìn)行記錄，實(shí)現(xiàn)網(wǎng)絡(luò)接入的全過程管理，真正做到“不該進(jìn)的進(jìn)不來”。

2.2.2 不該用的用不了

涉及網(wǎng)絡(luò)信息安全的關(guān)鍵應(yīng)用系統(tǒng)針對(duì)IP地址和用戶信息進(jìn)行多重認(rèn)證，正常設(shè)備只允許指定的用戶使用指定的設(shè)備在指定的端口訪問應(yīng)用，否則訪問將被拒絕。

通過多重認(rèn)證及強(qiáng)制加密管理，只有被授權(quán)使用的人才能在對(duì)應(yīng)的設(shè)備/端口上以規(guī)定的IP地址訪問數(shù)據(jù)，實(shí)現(xiàn)“不該用的用不了”。

2.2.3 不該改的改不動(dòng)

因規(guī)劃管理業(yè)務(wù)案卷內(nèi)容和使用頻率等方面原因?qū)е录堎|(zhì)檔案的保存、管理、查詢、補(bǔ)充一直是一大難題。隨著規(guī)管業(yè)務(wù)信息化程度日益加深，越來越多的信息儲(chǔ)存于電子文檔之中，其重要性也不斷提高。在此情況下，必須考慮電子檔案的安全性問題。電子檔案使用和編輯上的方便性，同時(shí)也導(dǎo)致其存在易被篡改等問題。如何保障電子檔案的可靠性和權(quán)威性，是我們必須考慮的問題。針對(duì)這個(gè)問題，我們針對(duì)業(yè)務(wù)辦理的不同階段，采取不同的安全策略，保證檔案案卷的安全性和權(quán)威性。首先，在業(yè)務(wù)辦理階段，通過電子簽名，實(shí)現(xiàn)業(yè)務(wù)辦理階段操作的不可否認(rèn)性；通過操作日志保證操作可追溯。其次，在業(yè)務(wù)辦理結(jié)束后，通過案卷靜態(tài)化，實(shí)現(xiàn)案卷的只讀管理；通過加密系統(tǒng)保證安全訪問授權(quán)的可控性；通過案卷補(bǔ)充完善的正式簽批流程實(shí)現(xiàn)個(gè)別案卷的補(bǔ)充完善。通過這一系列措施，實(shí)現(xiàn)案卷修改的嚴(yán)格管理，做到“不該改的改不動(dòng)”。

2.2.4 不該拿的拿不走

通過對(duì)應(yīng)用系統(tǒng)在整個(gè)開發(fā)周期的規(guī)劃設(shè)計(jì)和開發(fā)部署，實(shí)現(xiàn)了系統(tǒng)各類數(shù)據(jù)的在線使用模式，絕大多數(shù)數(shù)據(jù)均采用在線瀏覽/編輯模式，無法下載使用。對(duì)于個(gè)別無法實(shí)現(xiàn)在線瀏覽/編輯的數(shù)據(jù)類型，則通過加密系統(tǒng)在線授權(quán)使用的方式進(jìn)行保護(hù)。同時(shí)通過屏幕水印等技術(shù)手段，實(shí)現(xiàn)對(duì)數(shù)據(jù)的攝屏保護(hù)，杜絕通過拍照、截屏等技術(shù)手段抓取信息。通過以上措施，實(shí)現(xiàn)“不該拿的拿不走”，保護(hù)信息不會(huì)產(chǎn)生非授權(quán)流動(dòng)。

2.2.5 不授權(quán)的拿走也沒有用

對(duì)于需要正式向外部提供數(shù)據(jù)的情況，通過建立完善的授權(quán)簽批供圖供檔流程，提供數(shù)據(jù)外發(fā)和數(shù)據(jù)解密服務(wù)，以滿足正常數(shù)據(jù)流動(dòng)需求。針對(duì)電子圖紙，提供電子簽章授權(quán)服務(wù)，外部單位可通過授權(quán)直接使用本系統(tǒng)簽章后的電子圖紙而不會(huì)破壞原有簽章，保障電子圖紙流轉(zhuǎn)的身份唯一性，為規(guī)管業(yè)務(wù)的指標(biāo)審查提供有力技術(shù)支撐。同時(shí)保證即便個(gè)別人員/單位從非正常途徑拿到數(shù)據(jù)，也無法正常使用，真正做到“不授權(quán)的拿走也沒有用”。

3 系統(tǒng)冗余及數(shù)據(jù)災(zāi)備，保障服務(wù)和數(shù)據(jù)不留隱患

系統(tǒng)的可靠性和數(shù)據(jù)安全，則是網(wǎng)絡(luò)信息安全的另一項(xiàng)內(nèi)容。在系統(tǒng)建設(shè)規(guī)劃設(shè)計(jì)階段，我們對(duì)網(wǎng)絡(luò)和應(yīng)用系統(tǒng)的冗余保障做了充分考慮，基于實(shí)際工作需要，對(duì)重要網(wǎng)絡(luò)節(jié)點(diǎn)/線路和應(yīng)用服務(wù)，實(shí)現(xiàn)雙機(jī)雙線在線冗余，保障系統(tǒng)可用性；對(duì)于數(shù)據(jù)，除了雙機(jī)熱備外，針對(duì)不同數(shù)據(jù)類型和特點(diǎn)，采用手工和自動(dòng)備份相結(jié)合的模式，制定了完善的跨機(jī)、跨區(qū)和跨市域三級(jí)數(shù)據(jù)離機(jī)冷/熱備份。通過以上措施，保障了系統(tǒng)服務(wù)的健壯性和數(shù)據(jù)的安全性。

4 安全管理制度是保障網(wǎng)絡(luò)信息安全的基石

4.1 安全和效率

在網(wǎng)絡(luò)信息安全工作領(lǐng)域，安全和效率無法兼得。但在實(shí)際工作中我們又不能放棄其中任何一個(gè)，安全和效率互為表里，皮之不存毛將焉附，必須處理好安全和發(fā)展的關(guān)系，做到協(xié)調(diào)一致，互相促進(jìn)。因此，在制定和實(shí)踐安全措施時(shí)，我們要對(duì)每一項(xiàng)措施的可行性和對(duì)工作效率的影響做一個(gè)充分評(píng)估，實(shí)現(xiàn)安全和效率的協(xié)調(diào)一致發(fā)展。

4.2 安全管理，制度先行

任何工作的實(shí)際執(zhí)行者都是具體的人，而非計(jì)算機(jī)，這就意味著安全策略的制定和執(zhí)行可能存著不一致的情況。當(dāng)策略執(zhí)行偏離既定方向，安全則無法保障。在實(shí)踐中，我們通過兩個(gè)方面的努力，來處理這個(gè)問題。首先是通過建立監(jiān)督機(jī)制，保障制度的執(zhí)行；其次是通過反饋機(jī)制，來了解制度執(zhí)行過程中的問題，從而不斷完善制度，促進(jìn)執(zhí)行。

參考文獻(xiàn)：

[1]習(xí)近平.在中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會(huì)議上的講話[R].2017，02（27）.

[2]51CTO.安全體系的層次化結(jié)構(gòu)[S].2009，5（19）.endprint