当前位置:论文网 > 论文宝库 > 信息科技类 > 网络安全论文 > 正文

基于网络安全等级保护2.0标准的中小型海关网络安全体系研究

来源:UC论文网2021-06-29 10:01

摘要:

  [摘要]海关是较早实现信息化的中央直属机构,经过近40年的发展,各种信息技术在海关诸多业务领域得到了极为广泛化的应用。但是随着技术的不断进步,各类新型网络攻击手段层出不穷,给海关信息系统带来了极大威胁。信息安全等级保护制度,是维护国家信息安全的根本保障。2019年5月,网络安全等级保护2.0国家标准正式发布,信息安全技术与网络安全保护迈入一个全新时代。本文的主要内容是在网络安全等级保护2.0体...

  [摘要]海关是较早实现信息化的中央直属机构,经过近40年的发展,各种信息技术在海关诸多业务领域得到了极为广泛化的应用。但是随着技术的不断进步,各类新型网络攻击手段层出不穷,给海关信息系统带来了极大威胁。信息安全等级保护制度,是维护国家信息安全的根本保障。2019年5月,网络安全等级保护2.0国家标准正式发布,信息安全技术与网络安全保护迈入一个全新时代。本文的主要内容是在网络安全等级保护2.0体系下,对中小型海关网络安全体系状况进行研究并分析问题,提出整改意见,为中小型海关实施等级保护测评提供指导。


  [关键词]等级保护2.0;中小型海关;网络安全体系


  [中图分类号]TP393.08[文献标志码]A[文章编号]2095–6487(2020)07–00–04


  [Abstract]Customsisanorganizationdirectlyunderthecentralgovernmentwhichhasrealizedinformatizationearlier.Afternearly40yearsofdevelopment,variousinformationtechnologieshavebeenwidelyusedinmanyfieldsofcustomsbusiness.However,withthecontinuousprogressoftechnology,allkindsofnewnetworkattackmeansemergeinendlessly,whichbringsgreatthreattocustomsinformationsystem.Theclassifiedprotectionsystemofinformationsecurityisthefundamentalguaranteeofnationalinformationsecurity.InMay2019,thenationalstandardofnetworksecuritylevelprotection2.0wasofficiallyreleased,andinformationsecuritytechnologyandnetworksecurityprotectionenteredanewera.Themaincontentofthispaperistostudythenetworksecuritysystemofsmallandmedium-sizedcustomsunderthenetworksecurityclassifiedprotection2.0system,analyzetheproblems,andputforwardtherectificationsuggestions,soastoprovideguidancefortheevaluationoftheclassifiedprotectionofthesmallandmedium-sizedcustoms.


  [Keywords]classifiedprotection2.0;smallandmediumsizedcustoms;networksecuritysystem


  2019年5月,《網络安全等级保护基本要求》(GB/T22239-2019)、《网络安全等级保护测评要求》(GB/T28448-2019)和《网络安全级保护安全设计技术要求》(GB/T25070-2019)三项国家标准正式发布,标志着等级保护工作迈入2.0时代。信息安全等级保护制度是提高网络安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度,是开展信息安全保护工作的有效办法。以下将在网络安全等级保护2.0体系下,对中小型海关网络安全体系状况进行介绍,分析差距,提出整改意见。


  1网络安全等级保护2.0标准简介


  为保障网络安全,维护网络空间主权和国家安全,促进经济社会信息化健康发展,不断完善网络安全保护方面的法律法规十分必要。2015年6月24日,十二届全国人大常委会第十五次会议审议了网络安全法草案,2017年6月1日起正式施行2017年。网络安全法明确要求“国家实行网络安全等级保护制度”(第二十一条)、“国家对一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”(第三十一条)。上述要求为网络安全等赋予了新的含义,重新调整和修订等级保护1.0标准体系,配合网络安全法的实施和落地,指导用户按照网络安全等级保护制度的新要求,履行网络安全保护义务的意义重大。


  与1.0标准相比,等级保护2.0标准下的等级保护对象已经从狭义的信息系统,扩展到网络基础设施(广电网、电信网、专用通信网组等)、云计算平台/系统、大数据平台/系统、物联网、工业控制系统移动互联技术的系统等(如图1所示)。


  在安全通用要求基础上,针对云计算、移动互联、物联网和工控系统提出了安全扩展要求;进一步明确网络安全定级及评审、备案及审核、等级测评、安全建设整改、自查等工作要求。增加了测评活动安全管理、网络服务管理、产品服务采购使用管理、技术维护管理、监测预警和信息通报管理、数据和信息安全保护要求、应急处置要求等内容。该标准是指导用户开展网络安全等级保护建设整改、等级测评等工作的核心标准,是开展新时代网络安全等级保护工作的前提。[1]


  2海关网络安全体系现状


  现海关网络安全保障体系包括管理体系、技术体系、支撑体系和服务体系四个层面如图2所示:


  2.1管理体系


  从管理要素角度看,管理体系包括安全管理、安全组织、建设运行、技术管理、合规管理和安全协调六个方面内容。安全管理是开展信息安全工作的基础,规定了信息安全工作的目标、活动和流程,并提出要求。安全组织是开展信息安全工作的组织保障,明确安全管理机构和人员的职责与分工。建设运行是开展信息安全工作重要措施,将安全工作分解到信息系统全生命周期的各个阶段,进行落实。技术管理是为信息安全工作的开展进行技术研究和储备,应对新技术、新应用对安全工作所带来的挑战。合规管理是对信息安全工作开展情况的监督、检查和审计,掌握信息安全工作的执行状况。安全协调是开展信息工作辅助手段,协调内部资源、借助外部资源及时、有效解决信息安全问题、获取安全情报。


  2.2技术体系


  从保护对象角度看,技术体系包括终端安全、应用安全、数据安全和基础安全四个方面内容。终端是海关业务工作的人机交互界面,是造成安全问题的主要入口,加强终端安全保护,切断安全威胁路径。应用系统是处理海关业务的软件系统,是信息系统脆弱性产生的主要根源,加强应用系统的功能设计和开发,降低应用系统的脆弱性。数据是海关业务的核心资产,落实数据分类分级和全生命周期保护,规避数据被非授权访问或非法窃取的威胁。基础设施是支撑海关信息系统正常运行的基石,是整个技术体系的基础,完善基础安全防护,控制信息系统面临的一般风险。


  2.3支撑体系


  从网络安全综合防范能力角度看,支撑体系包括管理能力、检测能力和响应能力三个方面内容。管理能力是实现海关信息系统网络安全闭环管理的支撑;检测能力是实现海关信息系统网络安全态势的感知与预警的支撑;响应能力是实现海关信息系统网络安全事件的分析、处理和追溯的支撑。


  2.4服务体系


  从安全资源角度看,安全服务体系包括人才共享、政策法规共享、信息共享、安全服务四个方面内容。人才共享是整合海关技术专家资源,充分发挥各技术人员的优势和能力,建立安全专家工作机制;政策法规共享是建立信息安全政策法规库,为海关信息安全工作人员提供服务信息共享是建立安全知识库,将海关信息系统运行过程中出现的安全事件、系统故障等处理的方法与经验进行共享;安全服务是建立能够提供服务的平台与系统,创新安全服务模式,完善安全服务内容,为海关提供网络安全服务。


  3海关信息系统面临的网络安全形势和问题


  3.1需要进一步符合网络安全等级保护的新要求


  随着信息技术的发展和网络安全形势的变化,原信息系统安全等级保护的要求已无法有效应对新的安全风险和新技术应用所带来的新威胁,以被动防御为主的防御思想无法满足当今发展要求,因此新的网络安全等级保护要求适时而出,从法律法规、标准要求、安全体系、实施环节等方面都有了变化[2]。


  针对新的安全形势,信息系统的安全设计应基于业务流程自身特点,利用边界防护、访问控制、入侵防范、安全审计、身份鉴别、数据安全保护、恶意代码防范等技术手段,建立“可信、可控、可管”的安全防护体系,使得系统能够按照预期运行,免受信息安全攻击和破坏。同时,随着海关今后对于新技术的采用,需符合網络安全等级保护中扩展要求的云计算、物联网、移动互联网、工业控制以及大数据的相关要求。


  海关信息系统安全建设应充分吸收网络安全等级保护的实质内涵,有效适应新体系所提出的新要求,做到合规达标。


  3.2应对日趋严峻的网络空间安全挑战


  通过网络安全攻防演习、渗透测试等专项工作,在海关网络安全方面检验了工作水平,积累了实战经验,提升了队伍能力,排查化解了风险。同时,在VPN设备防护能力、专网管理措施、关键设备安全防护措施和监测手段、内网管理策略、边界准入设备权限控制、应用系统漏洞、域安全等方面发现存在诸多问题和隐患,需要对暴露出的问题进行有针对性的整改。


  3.3在数据安全与敏感数据防泄漏方面亟待加强


  数据是海关重要的战略资产,数据安全是网络安全中极其重要的部分。在网络安全法中对数据安全领域的保护也有着明确的要求。如何以数据为视角强化网络安全体系建设,实现数据分级保护,有效保护内部关键数据的安全,防止敏感数据的泄漏和丢失,使得核心业务数据安全、可观、可控、可追溯是需要重点考虑的问题。


  3.4网络安全资源需要进一步整合


  2013年7月,金关工程(二期)项目启动建设。随着项目的推进,各直属海关增配了多种安全设备,进一步丰富了各关的信息安全防护体系,提升了网络安全防护能力。虽然有安全管理平台对各安全设备进行监控和日志采集,但往往各个安全资源各自为战,没有形成统一分层次的防护整体,仍需要耗费人力熟悉操作使用,并对安全日志进行分析,无法准确定位安全问题,降低了安全设备的使用成效,进而制约了海关信息系统信息安全防护体系的有效提升。


  4中小型海关信息系统等级保护测评实施建议


  4.1等级保护对象的确定


  作为定级对象的信息系统是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理、服务的系统。等级保护对象一般具有3个基本特征:(1)具有唯一确定的安全责任单位;(2)具有信息系统的基本要素;(3)承载单一或相对独立的业务应用[3]。结合《海关网络安全等级保护定级备案指导方案》中给出的海关信息系统定级对象和级别的建议,中小型海关的等级保护对象可确定为以下四个系统:(1)海关业务网;(2)海关管理系统;(3)海关作业系统;(4)电子口岸专网系统。


  4.2相关系统的定级级别


  4.2.1海关业务网


  海关业务网是海关信息系统运行的基础网络环境,承载包括:海关作业系统以及与作业系统相关应用的网络运行平台,主要有运行通关管理、物流监控、检验检疫等作业系统。一旦网络中断,相关信息系统将无法正常运行,将给海关正常业务和办公造成影响,造成较为严重的损失,故建议将海关业务网这一网络基础环境单独进行定级。


  中小型海关的海关业务网业务信息安全或系统服务安全受到破坏后,对社会秩序和公共利益造成严重损害,即:工作职能受到影响,业务能力下降,对社会造成大范围的不良影响,以及对组织和个人造成损失;以及对公民、法人、其他组织的合法权益造成严重损害。故该系统可考虑定级为第二级。


  4.2.2海关管理系统


  海关管理系统信承载着相对独立的业务,主要承担:业务管理、综合事务协调、人事管理、通知管理、文件收发、签报管理、政务信息、督查管理、档案管理等海关内部管理业务。


  中小型海关的海关管理系统业务信息安全或系统服务安全受到破坏后,对社会秩序和公共利益以及公民、法人、其他组织的合法权益均造成严重损害,即工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害。故该系统可考虑定级为第二级。


  4.2.3海关作业系统


  海关作业系统承担所属关区的海关业务,主要业务有:关税征管、货运监管、通关监管、海关稽查、国际快件邮件监管、进出境运输工具、人员和行李物品监管、加工贸易监管、卫生检疫、进出境动植物检疫和进出口商品检验鉴定及认证等。


  中小型海关的海关作业系统业务信息安全或系统服务安全受到破坏后,对社会秩序和公共利益造成严重损害,即:工作职能受到影响,业务能力下降,对社会造成大范围的不良影响,以及对组织和个人造成损失;以及对公民、法人、其他组织的合法权益造成严重损害,即:工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害。故该系统可考虑定级为第二级。


  4.2.4电子口岸专网系统


  电子口岸专网系统承载着相对独立的业务,此系统是企业通过Ibmmq连接,发送海关总署16号公告中所有海关开通的接口报文,一般发送的文件为xml。与企业连接采用互联网连接。与数据中心连接采用电子口岸专网连接,目前主要用以传输企业舱单信息,查验信息等。通过MSMQ与企业连接,与企业连接采用互联网连接,与数据中心连接采用互联网连接。


  中小型海关的电子口岸专网系统业务信息安全或系统服务安全受到破坏后,对社会秩序和公共利益造成严重损害,即:工作职能受到影响,业务能力下降,对社会造成大范围的不良影响,以及对组织和个人造成损失;以及对公民、法人、其他组织的合法权益造成严重损害,即:工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害。故该系统可考虑定级为第二级。没有电子口岸相关业务的海关不可定级。


  4.3信息系统安全加固的重点


  4.3.1建立1个安全管理平台


  海关信息安全体系的技術设计围绕安全管理平台进行,面向多个安全等级保护区域统一建设集中化的包括系统管理,安全管理和审计管理的管理平台,安全管理平台统一完成对各区域,各层面的安全机制实施。


  4.3.2设计3重防御措施


  安全计算环境:通过在操作系统核心层、系统层设置以强制访间控制为主体的系统安全机制,形成防护层,通过对用户行为的控制,可以有效防止非授权用户访问和授权用户越权访问,确保信息和信息系统的保密性和完整性,通过接口平台使应用系统的主客体与保护环境的主客体相对应,达到访问控制策略实现的一致性。


  安全区域边界:通过对进入和流出安全保护环境的信息流进行安全检查,确保不会有违反系统安全策略的信息流经过边界。


  安全通信网络:通过对通信数据包的保密性和完整性的保护,确保其在传输过程中不会被非授权窃听和簒改,以保障数据在传输过程中的安全。


  4.3.3形成3道安全防线


  第一道防线:以安全管理体系为基础、以安全技术体系为支撑构建完备的安全管理体制与基础安全设施,形成对安全苗头进行事前防范的第一道防线,为海关信息系统的安全运行打下良好的基础。


  第二道防线:由安全支撑体系构成事中控制的第二道防线。通过周密的调度、安全运维管理、安全监测预警,及时排除安全隐患,确保海关信息系统持续、可靠地运行。


  第三道防线:由安全服务体系构成事后控制的第三道防线。针对各种突发灾难事件,利用专家库建立灾难恢复与业务持续性计划,进行应急演练,形成快速响应、快速恢复的机制,将灾难造成的损失降到可以接受的程度。


  4.3.4完善4个安全体系建设


  安全管理体系:进一步强化海关信息系统的安全管理,建立起以关领导为核心的网络安全管理委员会,明确关区安全发展规划,落实安全管理机构和人员分工,积极协调各部门处室的技术力量,形成安全管理的合理闭环。


  安全技术体系:切实掌握并熟练应用金关工程二期下发的各类安全设备,强化终端安全、应用安全、数据安全和基础安全,降低各层面安全风险。


  安全支撑体系:建立日常安全运行与维护机制,提高管理能力、检测能力和响应能力,重点是建立安全运行问题处理机制,形成完善的运行保障机制,及时、651750bb08a58fad28133df5e797a534准确、快速地处理问题,强调执行过程安全。


  安全服务体系:加快信息安全人才队伍建设,加强海关与其他行业的横向纵向沟通,积极响应科技建立安全专家工作机制,利用安全服务完善安全体系建设。


  5结束语


  综上所述,网络安全等级保护2.0是对等级保护1.0的继承与完善,能够为网络安全防护工作的实施提供有效的指导。海关要结合网络安全等级保护2.0的要求,依照“一个中心、三重防护”的安全架构优化、完善网络安全技术防护与管理防护,结合先进技术的运用以及管理体系的不断完善,有效应对各种安全风险问题,促使海关信息系统的整体安全得到进一步增强。

核心期刊推荐