CopyRight 2009-2020 © All Rights Reserved.版权所有: 中国海关未经授权禁止复制或建立镜像
海关网络安全建设的探索与思考
作者:贺海龙 叶松 胡杰力
文 / 贺海龙 叶松 胡杰力
党的十八大以来,习近平总书记高度重视网络安全和信息化工作,从信息化发展大势和国际国内大局出发,就网信工作提出了一系列新思想新观点新论断,为做好新时代网络安全和信息化工作指明了前进方向、提供了根本遵循。海关作为守护国家经济大门、维护国家经济利益的钢铁长城,直接面对复杂多样的网络安全形势,必须在网络安全新常态下,统筹发展和安全,深刻理解总体国家安全观的科学内涵,把握新发展阶段,贯彻新发展理念,构建新发展格局。
海关网络安全发展的新形势
近年来,海关总署以“网络安全等级保护”建设为契机,持续提升海关信息系统保障能力。但是,随着海关业务需求增长、网络快速扩张、云计算、大数据和5G等新技术的应用,新的信息安全风险不断积聚,海关信息安全面临新的形势和挑战,主要表现在:
面临的网络安全威胁持续增长
一是面临的攻击范围和频度持续扩大,大规模针对性网络攻击行动大幅增加,数据泄露、勒索软件、安全漏洞不断升级发展,网络安全已成为国家安全的重要因素;二是面临的攻击强度和防御难度持续增强,国家间攻防水平不断提升;三是内部安全管控手段仍有不足,存在部分盲区,系统漏洞、违规软件、恶意代码入侵等现象时有发生,内网安全形势依旧严峻,不容忽视。
数据安全的重要性显著提升
海关数据在各部委、各关之间流转,由于各地、各部门政务数据标准不一致,属性不同,数据分类分级等安全策略有待落实,难以进行有效管控。随着数据不断量变和质变,海关政务数据价值会随之增大,将面临前所未有的数据安全问题。业务数据不仅存在于数据区域、业务区域、终端区域,还进一步流转到海关之外,数据安全防护需求随之动态变化。因此,当前海关政务数据现状面临较为严峻的安全风险挑战。
建设海关网络安全新模式
在国家总体安全观的大背景下,在“十四五”海关科技规划要求下,海关网络安全建设应该高屋建瓴、站位高远,把握全局,通盘考虑。加强前瞻性思考、全局性谋划、战略性布局、整体性推进。从宏观处做设计,在细微处抓落实,既要有自上而下的总体框架设计,又要有具体针对性的专项建设。
构建海关网络安全总体框架
完善网络安全组织模型,通过建立网络安全责任制,落实网络安全执行力;通过培养内部人才、合作外部专家,组建网络安全专业队伍,提升网络安全专业能力;通过不断聚焦新领域,加强技术课题研究,探索创新成果转化,突出网络安全创新力。以完备的网络安全组织模型作为网络安全管理框架的主体枝干。
在此基础上,从网络安全制度化指引、网络安全运维、网络安全监督、网络安全意识等方面进行丰富和补充。建立和完善顶层的网络安全管理制度和标准,并进行分级细化,从上到下层次管理,高效指引网络安全的合规化工作。同时,配套完善监督机制,提升监督检查效果,并实现监督检查问题的持续评价和改进,最大化发挥管理制度的效能。加强网络安全运维能力,建立一套网络安全事件从预防到处置到恢复的完善运维流程。高度重视人员网络安全意识的宣贯和培养,开展全方位网络安全意识、技术等方面的培训,对不同角色的人员,针对性开展不同层次的意识培训,量身定做,做细做实。
构建网络安全技术框架
以网络安全风险发现能力为基础,通过资产、威胁、脆弱性的识别确定风险事件的轻重缓急、重点突破。辅之以持续性的日常安全监控、安全分析、安全检测等重点工作,监控检测穿透防御措施的内部威胁事件,人工分析研判事件的严重程度和影响面,并定期开展安全检测,排查重要系统安全漏洞和未知风险。从主动预防、深度检测、纵深防御三方面丰富网络安全技术框架,实现从被动防御到主动预防、从传统防护到深度检测、从边界防护到纵深防御的转变,即开展漏洞扫描并进行修复处置,管理用户身份和访问控制,开展网络攻防演习等,较大程度地提升整体网络安全风险防护能力,为业务稳定运行提供安全保障。
强化海关网络安全建设的几点建议
完善网络安全管理的体系建设工作
对于网络安全管理的体系建设,管理制度的建设和完善是不够的,更重要的是管理制度落实执行的监督管控机制的建设。成熟的PDCA(Plan-Do-Check-Act)模型方法,就是最好的管理体系的模式参考。海关系统应该在自身业务特点和安全需求的基础上,建立一套量身定做的管理体系。例如,ISO27001信息安全管理体系(ISMS)就是一套典型的PDCA模型方法。信息安全管理体系将信息安全分为14个控制领域,定义了35项控制目标和114项控制措施,从资产管理、访问控制、物理环境安全、操作安全、通信安全等多方面管控信息化安全工作。
ISO27001作为国际权威的信息安全标准,为各类组织建立并运行信息安全管理体系提供实践指引,被广泛用于组织信息安全管理体系建设,其主要特点包括:整体性,采用体系化思想进行信息安全建设;全面性,十四个领域实践,信息保护较全面;层次性,从方针策略到操作规程,体现逐层落实原则;渐进性, 整个体系遵循PDCA机制,确保可持续发展。基于组织业务风险方法来建立、实施、运行、监视、评审、保持和改进信息安全。在海关建立ISMS,既能保证安全管理制度契合国际标准的要求,又能以内外部审核认证的第三方要求来弥补组织内部执行力的不足,保障网络安全管理制度的落地,完善网络安全管理框架的构建。
发展新型信息技术,支撑海关安全运行
研发国门安全大数据库与智能算法,研究风险入侵机制、应急评估与精准预警技术,研发全球传染病疫情及动植物疫情、外来入侵物种、进口商品安全监测技术,实现风险源头的智能监测、应急评估和快速预警技术突破,以消除境外带来的风险因素。研发远程监管、在线可视监管的智能化技术与装备并应用示范,突破后疫情时代跨境物流全程溯源、闭环管控与应急处置技术,建立国门安全突发事件情景分析、危险态势感知及应急处置模型,研究贸易便利化指标体系与测度模型等。
加强网络安全高层次人才培养,筑牢网络安全防线
网络空间安全竞争实际上是高层次人才的竞争,我国网络安全学科建设面临一定的困难,迫切需要网络空间安全高层次人才来迎接互联网发展带来的机遇。在注重网络安全关键技术发展的同时,要进一步加强网络安全高层次人才培养,促进网络安全事业发展,为实施网络强国战略、维护国家网络安全提供强大的人才保障。
海关网络安全的发展建设,当以总体国家安全观为遵循,以做好网络安全等级保护与关键信息基础设施安全保护为基础,以保护关键信息基础设施、重要网络和数据安全为重点,加强海关网络安全工作统筹规划,强化风险意识、底线思维,全面加强海关网络安全保障体系和能力建设,努力开创海关网络安全新局面。
(作者单位:深圳海关信息中心)
栏目编辑:王国秀 34655075@qq.com