關(guān)于移動(dòng)互聯(lián)網(wǎng)時(shí)代下海關(guān)電子政務(wù)安全的思考

　　李宏圖?海關(guān)總署科技發(fā)展司副處長(zhǎng)

　　簡(jiǎn)介：云計(jì)算、物聯(lián)網(wǎng)、大數(shù)據(jù)及移動(dòng)應(yīng)用拓寬了電子政務(wù)建設(shè)及應(yīng)用，大大提升了海關(guān)建設(shè)服務(wù)型政府的能力。與此同時(shí)，新技術(shù)應(yīng)用也帶來(lái)了安全風(fēng)險(xiǎn)。

　　海關(guān)是國(guó)家進(jìn)出境監(jiān)督管理機(jī)構(gòu)，承擔(dān)監(jiān)管、征稅、查私和編制海關(guān)統(tǒng)計(jì)等四項(xiàng)職能。30多年來(lái)，信息化及科技應(yīng)用在海關(guān)各項(xiàng)業(yè)務(wù)方面取得了飛速發(fā)展，電子海關(guān)、電子口岸、電子總署三大類(lèi)應(yīng)用構(gòu)成了海關(guān)信息系統(tǒng)。海關(guān)信息系統(tǒng)作為國(guó)家重要信息系統(tǒng)之一，目前正在進(jìn)行金關(guān)工程二期建設(shè)，一批前沿技術(shù)如云計(jì)算、物聯(lián)網(wǎng)、大數(shù)據(jù)及移動(dòng)應(yīng)用將在本期項(xiàng)目建設(shè)中承擔(dān)主角。我們?cè)谙硎苄录夹g(shù)應(yīng)用帶來(lái)的便利、高效、先進(jìn)之時(shí)，潛在的網(wǎng)絡(luò)與信息安全問(wèn)題也不容忽視，正視并解決這些問(wèn)題才能更好地為信息化發(fā)展保駕護(hù)航。

　　一、近十年來(lái)網(wǎng)絡(luò)與信息安全工作回顧

　　自2003年中央印發(fā)《關(guān)于加強(qiáng)網(wǎng)絡(luò)與信息安全保障工作的意見(jiàn)》以來(lái)，國(guó)家主管部門(mén)加強(qiáng)了信息安全檢查工作、信息安全通報(bào)機(jī)制建設(shè)、協(xié)調(diào)機(jī)制建設(shè)、信息安全國(guó)產(chǎn)化及自主可控推進(jìn)工作及等級(jí)保護(hù)制度建設(shè)等重要工作，國(guó)家信息安全保障工作步入常態(tài)化進(jìn)程。國(guó)家各部委高度重視信息安全工作，尤其是國(guó)家重要信息系統(tǒng)主管部門(mén)，在組織機(jī)構(gòu)、管理制度、技術(shù)手段等建設(shè)方面取得了顯著成績(jī)，信息系統(tǒng)具備了較好的防護(hù)能力。海關(guān)系統(tǒng)近十年重點(diǎn)推進(jìn)了如下信息安全保障工作，制定并完善信息系統(tǒng)安全管理規(guī)定、持續(xù)開(kāi)展網(wǎng)絡(luò)與信息安全檢查及教育培訓(xùn)活動(dòng)、與國(guó)家有關(guān)部門(mén)合作建立應(yīng)急響應(yīng)機(jī)制、有序推進(jìn)國(guó)產(chǎn)化應(yīng)用、全面落實(shí)信息安全等級(jí)保護(hù)制度。針對(duì)電子海關(guān)、電子口岸、電子總署三大類(lèi)應(yīng)用開(kāi)展安全生命周期管理，做到應(yīng)用與安全同步規(guī)劃、同步建設(shè)、同步運(yùn)行。三大類(lèi)應(yīng)用根據(jù)系統(tǒng)安全級(jí)別劃分安全區(qū)域，在計(jì)算環(huán)境、通信網(wǎng)絡(luò)、邊界控制、安全管理中心建設(shè)中根據(jù)國(guó)家標(biāo)準(zhǔn)落實(shí)安全要求，通過(guò)安全檢查及等級(jí)保護(hù)測(cè)評(píng)檢驗(yàn)實(shí)際效果。安全工作基本實(shí)現(xiàn)規(guī)范化、常態(tài)化，著重體現(xiàn)合規(guī)性。

　　二、 移動(dòng)互聯(lián)網(wǎng)時(shí)代的安全態(tài)勢(shì)變化

　　云計(jì)算、物聯(lián)網(wǎng)、大數(shù)據(jù)及移動(dòng)應(yīng)用拓寬了電子政務(wù)建設(shè)及應(yīng)用，大大提升了海關(guān)建設(shè)服務(wù)型政府的能力。與此同時(shí)，新技術(shù)應(yīng)用也帶來(lái)了安全風(fēng)險(xiǎn)，安全態(tài)勢(shì)出現(xiàn)多樣性及復(fù)雜化，主要表現(xiàn)如下方面：

　　1、關(guān)于云計(jì)算的安全風(fēng)險(xiǎn)。海關(guān)云主要形式為私有云，相對(duì)公有云的風(fēng)險(xiǎn)要低，主要為資源的虛擬池化和共享的安全不足，事實(shí)上，主流的虛擬層hypervisor軟件屢有漏洞被報(bào)告，存在未經(jīng)授權(quán)的訪問(wèn)等違規(guī)行為風(fēng)險(xiǎn)。

　　2、關(guān)于物聯(lián)網(wǎng)的安全風(fēng)險(xiǎn)。海關(guān)監(jiān)管場(chǎng)所的卡口設(shè)備、視頻攝像頭與海關(guān)聯(lián)網(wǎng)，這些設(shè)備不屬于海關(guān)辦公區(qū)域，物理環(huán)境及設(shè)備網(wǎng)絡(luò)準(zhǔn)入存在風(fēng)險(xiǎn)。

　　3、關(guān)于大數(shù)據(jù)的風(fēng)險(xiǎn)。與關(guān)系型數(shù)據(jù)庫(kù)在單個(gè)位置存儲(chǔ)一塊數(shù)據(jù)不同，大數(shù)據(jù)是復(fù)制數(shù)據(jù)到很多表以優(yōu)化查詢處理，具有冗余性和分散性。數(shù)據(jù)分散在不同地理位置的不同服務(wù)器的不同的數(shù)據(jù)倉(cāng)庫(kù)中，信息的完整性及保密性存在風(fēng)險(xiǎn)。

　　4、關(guān)于移動(dòng)應(yīng)用的風(fēng)險(xiǎn)。政務(wù)信息化從固定終端應(yīng)用邁入固定與移動(dòng)應(yīng)用的結(jié)合的混合模式，計(jì)算邊界變得難以控制，終端設(shè)備、網(wǎng)絡(luò)接入及數(shù)據(jù)安全存在風(fēng)險(xiǎn)。

　　5、關(guān)于高級(jí)持續(xù)性攻擊（APT）等其他風(fēng)險(xiǎn)。雖然基于等保等合規(guī)性的安全管理及技術(shù)措施不斷加強(qiáng)，但是對(duì)APT等特定攻擊的技術(shù)防護(hù)手段沒(méi)有根本解決，核心數(shù)據(jù)資產(chǎn)存在泄漏的風(fēng)險(xiǎn)，且一旦泄露也難以追查。

　　三、 有關(guān)應(yīng)對(duì)措施

　　習(xí)近平總書(shū)記在今年初召開(kāi)的中央網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組第一次會(huì)議上強(qiáng)調(diào)，網(wǎng)絡(luò)安全和信息化是一體之兩翼、驅(qū)動(dòng)之雙輪，必須統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進(jìn)、統(tǒng)一實(shí)施。做好網(wǎng)絡(luò)安全和信息化工作，要處理好安全和發(fā)展的關(guān)系，做到協(xié)調(diào)一致、齊頭并進(jìn)，以安全保發(fā)展、以發(fā)展促安全，努力建久安之勢(shì)、成長(zhǎng)治之業(yè)。為此，針對(duì)移動(dòng)互聯(lián)網(wǎng)時(shí)代，應(yīng)重點(diǎn)從如下方面抓好信息安全工作：

　　1、順應(yīng)技術(shù)發(fā)展趨勢(shì)，“以安全保發(fā)展、以發(fā)展促安全”。

　　系統(tǒng)建設(shè)具有繼承性和創(chuàng)新性，對(duì)已有系統(tǒng)安全加固，以成熟安全手段“固舊”；對(duì)引入新技術(shù)的系統(tǒng)，以創(chuàng)新安全手段“利新”。如針對(duì)云計(jì)算安全，設(shè)計(jì)可以支持不同安全等級(jí)、不同硬件分區(qū)和防御策略，可借助虛擬化防病毒措施及云殺毒技術(shù)保障虛擬機(jī)及終端安全。在運(yùn)行階段設(shè)計(jì)具有監(jiān)控是否有未經(jīng)授權(quán)的修改和違規(guī)活動(dòng)的技術(shù)能力。

　　2、加強(qiáng)邊界管控，提升對(duì)外接入網(wǎng)（DMZ）防護(hù)能力。全面梳理邊界進(jìn)出數(shù)據(jù)流風(fēng)險(xiǎn)，制定細(xì)顆粒度的控制策略（事前），部署實(shí)時(shí)監(jiān)控（事中）及審計(jì)（事后）手段，確保內(nèi)網(wǎng)安全。

　　3、海關(guān)政務(wù)信息化基礎(chǔ)數(shù)據(jù)直接關(guān)系我國(guó)進(jìn)出境監(jiān)管、稅收及貿(mào)易統(tǒng)計(jì)，也是進(jìn)出口相關(guān)企業(yè)核心利益所在。應(yīng)該加強(qiáng)數(shù)據(jù)分類(lèi)分級(jí)管理，根據(jù)數(shù)據(jù)類(lèi)型及敏感程度做好冗余的、分散的關(guān)鍵數(shù)據(jù)安全防護(hù)。

　　4、應(yīng)針對(duì)各種類(lèi)型的移動(dòng)應(yīng)用進(jìn)行全面風(fēng)險(xiǎn)評(píng)估，根據(jù)威脅程度可對(duì)移動(dòng)設(shè)備、通信鏈路、應(yīng)用及數(shù)據(jù)，從身份認(rèn)證、授權(quán)、加密及簽名等多個(gè)方面統(tǒng)一規(guī)劃、部署及實(shí)施安全策略。

　　5、針對(duì)APT等新型攻擊，應(yīng)加強(qiáng)核心數(shù)據(jù)的監(jiān)控及審計(jì)?？梢牖ヂ?lián)網(wǎng)公司先進(jìn)的安全技術(shù)，借助云計(jì)算及大數(shù)據(jù)，下大力氣做好監(jiān)控及日志分析，持續(xù)提高安全態(tài)勢(shì)感知能力。

　　6、網(wǎng)絡(luò)及信息系統(tǒng)安全問(wèn)題的核心是人的安全問(wèn)題，因此，普及網(wǎng)絡(luò)安全知識(shí)、提高全員網(wǎng)絡(luò)安全意識(shí)、加強(qiáng)和完善網(wǎng)絡(luò)安全法制建設(shè)必須是持之以恒的工作。