關于進一步加強遼寧省政務網絡安全防護手段有效性的工作建議

〔內容提要〕習近平總書記主持召開網絡安全和信息化工作座談會并發表主要講話對國家安全強調“網絡安全牽一發而動全身”，深刻影響政治、經濟、文化、社會、軍事等各領域安全。沒有網絡安全就沒有國家安全，就沒有經濟社會穩定運行，廣大人民群眾利益也難以得到保障”。隨著《中國人民共和國網絡安全法》的施行，網絡空間環境已變成繼海、陸、空、天之后的第五空間，保護網絡空間安全就是保障國家主權的意識已深入人心。本文堅持問題導向，對遼寧省政務網絡安全防護手段有效性的現狀、存在的突出問題、產生問題的原因進行了分析，提出了“數字遼寧、智造強省”可靠政務網絡安全環境建設的對策建議。

〔關鍵詞〕政務網絡；安全防護；工作建議

一、遼寧省政務網絡安全防護手段有效性現狀

（一）制度保障不斷完善

2021年7月1日，《遼寧網絡安全條例》正式頒布實施，該條例是遼寧省人民代表大會常務委員會依法制定實施的地方性法規，為保障遼寧省網絡安全和信息化發展做出了具體規定。目前，遼寧省各級政府機關和事業單位根據政務信息系統的定級情況，每年都會進行等級保護測評，涵蓋物理環境、網絡、主機系統、數據、應用、建設和運維等方面的管理內容，網絡安全等級保護規章制度建設比較完善。

（二）網絡安全防護設備使用范圍不斷擴展

根據《網絡安全等級保護條例》的要求，從機房的物理環境和網絡的整體結構兩個層面切入，省政府數據中心物理機房已全部配備、各廳局保留的物理機房已基本配備了電子門禁、專業精密空調、UPS（不間斷電源）、視頻監控系統、火災自動消防系統、防靜電地板、機柜等安全防護設施。半數以上的單位在網絡安全防護方面配備了日志審計、數據庫審計、防火墻、堡壘機、WAF、IPS、IDS等安全防護設備。

（三）網絡安全保障隊伍建設初具規模

隨著網絡安全相關法規與政策的出臺，遼寧省直各單位對政務信息系統等級保護測評工作的重視大幅提高，都成立了指導和管理網絡信息安全工作的領導小組和協調機構，主要領導由單位“一把手”或分管領導擔任，明確安全管理機構部門和崗位的職責、分工及技能要求。在技術人員方面配備了系統管理員、審計管理員和安全管理員等崗位，信息安全責任制落實情況良好。省數據中心每年定期組織省直部門開展政務信息系統等級保護測評工作，通過政府采購程序確定多家機構提供等級保護測評服務，分別與提出測評需求的部門進行對接，對已部署和未部署在省政務云上的系統都開展測評服務工作，費用統一申請由省財政列支支付。

（四）技術防護能力不斷提升

在過去信息化建設的二三十年間，網絡安全絕大多數都是被動防御，且往往立足于邊界的防護，其防護對象主要為服務器、商用PC及網絡邊緣設備，網絡安全的防御方式集中在防火墻、查殺病毒、入侵檢測上，即當下所說的網絡安全防護“老三樣”。近幾年，《中華人民共和國網絡安全法》《關鍵信息基礎設施安全保護條例》，明確國家實行網絡安全等級保護制度，已進入等級保護2.0標準體系《中華人民共和國密碼法》等文件和條例的出臺，對網絡安全防御也提出了更高的要求。遼寧省大部分省直單位使用的信息系統都通過了等級保護測評，在安全設備配置上可以滿足日常防護需求，在技術人員配置上部分單位通過采購社會第三方服務來進行網絡安全運維工作，少部分單位通過自有信息技術人員自行運維。

二、遼寧省政務網絡安全防護手段差距和存在的問題

（一）傳統網絡安全體系難以應對新挑戰

隨著新項目建設加速，虛擬網絡與現實世界的邊界越來越模糊，用戶和終端入口越來越多樣。傳統網絡安全體系已經難以應對新局面新挑戰新要求，互聯廣泛，入口分散，破一線即潰全身。原有的計算機網絡安全防護更多集中在網絡運行過程的安全防護技術應用，傳統的防火墻技術、數據加密技術、用戶身份認證技術等安全防護手段已經無法滿足應用需求。在數字化轉型背景下，新系統快速迭代上線、業務應用間訪問隨市場需求頻繁調整，針對計算機網絡的安全防護開始從被動防御向主動防御轉變，由單獨安全防護技術應用向網絡安全防護體系建設發展。

（二）安全設備使用有效性有待提高

政府治理體系和治理能力的現代化倒逼政府信息化建設和管理水平的高速發展，IT系統的種類和數量均在不斷增加，各類系統因配置不合理引發的安全問題日益突出。而大部分單位的安全建設集中在設備采購，在部署和配置新的網絡安全設備時，沒有設計和論證應用得當的預防措施，給運行環境帶來極大風險。制定一個普遍保護策略只是開始，部署實施后由于缺乏專人運維、資金保障、技術支撐，受限于人力、技術資源、安全運行經驗不足，導致了安全設備的防護效果無法達到預期。

（三）網絡安全防護技術水平參差不齊

大部分單位安全設備配備已經實現了從無到有，由于資產數量的增加、終端數量較多、環境較復雜，安全威脅的攻擊面也隨之擴大。在日常運維過程中，因運維人員能力和水平的參差不齊，缺少持續可靠的安全技術支撐，任何如補丁更新的及時性、基線配置問題、安全產品應用等方面的工作疏忽，都可能極大增大基礎設施的安全風險。面對突發性安全事件，如果不能很好地把握應急處置的最佳事件窗口，極易擴大安全事件的影響面。

（四）防護手段滯后于攻擊手段

傳統的網絡安全防御手段通常是在系統遭受了攻擊后，根據攻擊情況采取修復行動，包括且不限于：傳統殺毒軟件、基于特征庫入侵檢測、防御等手段，而特征檢測、查殺技術有明顯的弊端就是“滯后于攻擊手段”，面對當下復雜的網絡環境和各種安全威脅已經明顯不足。應對這樣的情況，網絡需要主動防御，即不再依賴于特征庫，可以通過對攻擊者的行為分析做到提前預判并進行應急響應。簡單來講，就是不管對于攻防演練、重保活動，還是日常的安全運維，都要通過技術的手段，自動化的處理掉各類攻擊，將專業技術人員從重復性工作中釋放出來去做更有價值的事，做到更加有效的防守。在網絡安全建設的過程中，應該采用主動防御措施，降低遭受攻擊的概率。

三、對策建議

（一）建立完善的安全防護體系

按照網絡安全等級防護三級基本要求，以等級保護的“一個中心、三重防護”為核心指導思想，構建集防護、檢測、響應、恢復于一體的全面的安全保障體系。具體體現為：以全面貫徹落實等級保護制度為核心，打造科學實用的網絡安全防護能力、安全風險監測能力、應急響應能力和災難恢復能力，從安全技術、安全管理、安全運維三個角度構建安全防護體系，切實保障網絡安全。

（1）安全技術體系。參考《信息安全技術網絡安全等級保護安全設計技術要求》（GB/T25070—2019），安全技術體系設計內容主要涵蓋到“一個中心、三重防護”，即安全管理中心，安全區域邊界、安全通信網絡、安全計算環境。此外，加入等保2.0云計算安全及其擴展要求相關內容。

（2）安全管理體系。在安全建設、運行、維護等各個環節都要重視安全管理，嚴格按制度進行操作，明確責任權力，規范操作，加強人員、設備的管理以及人員的培訓，提高安全管理水平，同時提升對緊急突發事件的應對處置能力，通過預防措施和恢復控制相結合的方式，使由意外事故所引起的破壞減小至可接受程度。

（3）安全運維體系。受安全技術和管理的復雜性、專業性和動態性影響，業務信息系統安全的規劃、設計、建設、運行維護均需要有較為專業的安全服務支持。安全運維服務包括風險評估、滲透測試、漏洞掃描、基線核查、應急響應、應急演練、安全培訓等。

（二）不斷壯大專業的網絡安全防護隊伍

面對新征程新任務，如何應對國家和社會的現實需求，推進網絡安全人才培養是一個亟待解決的問題。網絡安全的本質在于對抗，對抗的本質在于攻防兩端能力較量。人才是網絡安全攻防對抗的核心所在，網絡安全人才培養的最終目標是建立人才梯隊，沒有人才梯隊就談不上網絡安全體系建設。亟須組建由一批具有信息系統安全保護知識經驗的人員組成的網絡安全防護隊伍，負責政務信息系統的維護和管理工作，通過培訓、交流、攻防演練等方式方法提高運維人員的專業能力和水平。需投入合理的財政資金，加強對系統的科學管理，落實關鍵技術，高效地增加系統安全性。

（三）與廠商加強合作，完善安全問題從發現到解決的閉環流程

與網絡安全廠商開展深度合作，建立政府和企業網絡安全信息共享機制，把廠商掌握的大量網絡安全信息利用起來，把網絡安全企業團結起來，通過聯盟、共商共議等機制把整體的安全能力凝聚起來，形成優勢互補。構建和完善以風險為驅動，覆蓋IT資產全生命周期的網絡安全運營體系，實現安全運營工作常態化、體系化、實戰化。通過安全監控、安全評估、安全處置和安全管控四個環節對風險實行閉環管理，做好資產管理、漏洞管理、威脅管理工作，為安全運行工作打下堅實基礎。

（四）提升網絡安全風險預警能力

網絡安全具有很強的隱蔽性，一個技術漏洞、安全風險可能隱藏幾年都發現不了，結果是“誰進來了不知道、是敵是友不知道、干了什么不知道”，導致技術漏洞、安全風險長期“潛伏”在網絡中。全面提高全方位全天候網絡安全態勢感知能力，提升風險預警是我們必須要解決的問題。感知網絡安全態勢是最基本最基礎的工作，要全面加強網絡安全檢查，摸清家底，認清風險，找出漏洞，通報結果，督促整改。要建立統一高效的網絡安全風險報告機制、情報共享機制、研判處置機制，準確把握網絡安全風險發生的規律、動向、趨勢。

（作者單位：遼寧省數據中心）