内蒙古大数据安全保障的思考
2018-03-21刘吉玺李景辉
刘吉玺 李景辉
一、网络安全面临威胁和挑战
我国正在由网络大国向网络强国迈进,网络安全形势异常严峻。美国在网络空间领域持续对我国进行遏制打压的基本形势没有改变,关键信息基础设施依然存在严重风险隐患的情况没有改变,随着威胁不断升级,不稳定不确定因素增多,国家网络安全仍面临许多威胁和挑战。境内外黑客组织对我国党政机关网站、基础信息网络、重要信息系统等进行持续攻击、入侵控制的活动增多,分布式拒绝服务、高级持续威胁等网络攻击手法愈演愈烈。大规模攻击日趋频繁、大量用户信息数据被窃取、涉密内网主机屡见被植入后门、重要网站内容持续被篡改或者被攻击、网络安全高危漏洞频现、移动互联网恶意程序数量仍大幅增长、网页仿冒事件数量暴涨等。各种网络安全事件频发,令人疲于应付,网络安全态势趋向恶化。我国大部分关键信息基础设施以边界防护为重点,对核心系统和核心数据缺乏重点保护,一旦边界防护措施被突破,许多非核心系统成为攻击跳板,导致关键信息基础设施被牵连、控制,“一点突破,全网皆失”。
二、内蒙古网络安全存在的主要问题
近年来,内蒙古网络安全形势不容乐观,整体安全防护水平较低,关键信息基础设施对国外产品和服务依赖程度偏高,防入侵、防渗透、防篡改、防泄露、防病毒能力较差,网络安全事件时有发生。这些问题主要表现在以下几个方面:
一是网络安全管理和顶层设计薄弱。许多单位网络安全管理制度未得到有效执行,且缺乏有效监督。网络安全与信息化项目建设未落实同步规划、同步设计、同步实施的要求,缺乏网络安全的顶层设计,重应用、轻安全的问题仍普遍存在。
二是网络安全有效防护不足。全区很多关键信息基础设施技术防护措施不健全,边界防护措施不完善;大部分单位网络安全设备陈旧落后,设备维护、更新不及时,漏洞修复不及时。不少云计算中心在数据管理中存在权责不清的问题,有一定的安全隐患。不少部门缺少网络安全技术队伍,缺乏网络安全应急处置预案,在发生网络安全事件后束手无策。有的地方没有专门安排网络安全预算,无法保证日常等级测评、风险评估、技术检测和安全建设所需经费。
三是网络安全漏洞和隐患突出。2017年上半年,在对全区2000多家重点网站集中监测发现,网络安全风险漏洞3241个,其中高危漏洞409个。对全区24000余家备案主体网站进行网络安全风险排查和梳理过程中发现,2516家存在域名到期、网站被篡改挂马、域名劫持盗用等问题。
三、加强内蒙古大数据网络安全的对策建议
面对复杂严峻的大数据安全问题,应按照《内蒙古自治区大数据发展总体规划》和内蒙古自治区网络安全三年行动计划部署,采取有效措施,构建我区大数据安全保障体系,护航我区大数据产业应用发展。应从以下几个方面开展工作:
(一)加强网络安全工作责任制和组织保障
贯彻落实《党委(党组)网络安全工作责任制实施办法》,制定建立网络安全工作责任制的实施意见,加强网络安全工作统筹协调,明确网络安全属地责任、部门责任,落实网络安全管理部门、行业主管监管部门的管理责任,关键信息基础设施运营单位的网络安全主体责任,建立网络安全检查考核问责制度。各地区、各部门应建立网络安全工作机构,增加网络安全专业人员,不断提升网络安全人员的技术水平和专业能力。
(二)强化网络安全预警监测、信息共享和风险通报
依托大数据技术,完善网络安全态势感知和预警监测手段,建设覆盖全区、全天候、全方位、全领域的网络安全态势感知平台,在重要政务云中心、重点大数据平台部署流量监控探针,提升网络安全预警监测能力。通过多渠道的感知和监测,对有安全隐患的关键信息基础设施,下发《网络安全风险通报》,指导督促进行整改。加强网络安全信息共享与通报机制建设,统一组织开展网络安全风险信息通报工作。
(三)加强关键信息基础设施网络安全防护
推进大数据系统的网络安全等级保护测评工作,建议大数据系统按照不低于等级保护三级的要求建设。落实网络安全保障措施与关键信息基础设施建设项目同步规划、同步建设、同步使用的要求,网信部门、公安机关等相关职能部门参与重要信息化建设项目的评审论证。加强党政机关、事业单位开展网站群建设,对网站进行统一管理、统一防护、统一监测。加强云计算、大数据基础设施特别是各级政务云中心、大数据中心安全保障。加快推动内蒙古大数据核心设备和核心软件国产化工作。
(四)加强数据采集、共享、使用、存储和运维安全
一是明确数据产权,规范数据操作授权原则。对资源提供方和需求方进行身份及权限验证,对操作人员进行身份认证,并采取措施防范口令暴力破解攻击,避免非法登录和非法请求。
二是数据传输过程要采取加密措施,审计系统实时监控数据交换通道、服务接口的运行情况,记录交换及服务调用的时间、资源提供方、资源使用方、数据交换及接口调用情况等信息,出现问题及时预警。
三是对于重要数据的发布经过多次授权和审核,对涉及隐私的数据脱敏后发布,共享网站采取字符串过滤、网页完整性检查等措施防SQL注入攻击、网页爬虫和篡改。
四是数据资源分类分级存储,对存储区域隔离防护,对敏感和重要数据采用国密算法加密。做好大数据平台的容灾备份工作,对数据定期备份,对敏感和重要数据采取同城异地备份方式。
五是明确数据安全管理人员和岗位,“谁主管、谁负责,谁运行、谁负责。”实现系统管理员、安全管理员、审计管理员三权分立,防止特权用户。开发、测试、分析及运维人员严格按权限使用脱敏数据,禁止直接操作原始数据。运维人员使用统一分配的安装防泄露软件的终端,获得授权并进行测试后方可实施系统配置或变更。
(五)加强网络安全事件应急处置能力建设
构建新时期网络安全事件应急体系已成为当务之急。要落实《内蒙古自治区网络安全事件应急预案》,各地区、各部门应开展网络安全事件应急预案制(修)订和网络安全事件应对处置方案制定工作。组织大数据相关单位开展网络安全应急演练,检验预案并提高应急响应和处置恢复能力。自治区建立重大网络安全事件应急指挥平台,做好与国家网络安全应急联动处置平台的对接。
(六)开展网络安全风评和检查工作
應按照全面排查风险、实时发现预警、强力有效处置、确保万无一失的目标和原则,对全区关键信息基础设施开展常态化安全检查。习近平总书记指出:“金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标”。因此要强化重点行业、重要领域的网络安全专项整治和治理,及时督促有关部门和单位立即整改发现的问题和隐患。积极开展关键信息基础设施网络安全风险评估工作,加大云计算中心以及大数据平台的检查力度,做到重点检查、尽早发现、及时修复。
(作者单位:内蒙古自治区党委网信办)
责任编辑:代建明