關于移動互聯網時代下海關電子政務安全的思考

　　李宏圖?海關總署科技發展司副處長

　　簡介：云計算、物聯網、大數據及移動應用拓寬了電子政務建設及應用，大大提升了海關建設服務型政府的能力。與此同時，新技術應用也帶來了安全風險。

　　海關是國家進出境監督管理機構，承擔監管、征稅、查私和編制海關統計等四項職能。30多年來，信息化及科技應用在海關各項業務方面取得了飛速發展，電子海關、電子口岸、電子總署三大類應用構成了海關信息系統。海關信息系統作為國家重要信息系統之一，目前正在進行金關工程二期建設，一批前沿技術如云計算、物聯網、大數據及移動應用將在本期項目建設中承擔主角。我們在享受新技術應用帶來的便利、高效、先進之時，潛在的網絡與信息安全問題也不容忽視，正視并解決這些問題才能更好地為信息化發展保駕護航。

　　一、近十年來網絡與信息安全工作回顧

　　自2003年中央印發《關于加強網絡與信息安全保障工作的意見》以來，國家主管部門加強了信息安全檢查工作、信息安全通報機制建設、協調機制建設、信息安全國產化及自主可控推進工作及等級保護制度建設等重要工作，國家信息安全保障工作步入常態化進程。國家各部委高度重視信息安全工作，尤其是國家重要信息系統主管部門，在組織機構、管理制度、技術手段等建設方面取得了顯著成績，信息系統具備了較好的防護能力。海關系統近十年重點推進了如下信息安全保障工作，制定并完善信息系統安全管理規定、持續開展網絡與信息安全檢查及教育培訓活動、與國家有關部門合作建立應急響應機制、有序推進國產化應用、全面落實信息安全等級保護制度。針對電子海關、電子口岸、電子總署三大類應用開展安全生命周期管理，做到應用與安全同步規劃、同步建設、同步運行。三大類應用根據系統安全級別劃分安全區域，在計算環境、通信網絡、邊界控制、安全管理中心建設中根據國家標準落實安全要求，通過安全檢查及等級保護測評檢驗實際效果。安全工作基本實現規范化、常態化，著重體現合規性。

　　二、 移動互聯網時代的安全態勢變化

　　云計算、物聯網、大數據及移動應用拓寬了電子政務建設及應用，大大提升了海關建設服務型政府的能力。與此同時，新技術應用也帶來了安全風險，安全態勢出現多樣性及復雜化，主要表現如下方面：

　　1、關于云計算的安全風險。海關云主要形式為私有云，相對公有云的風險要低，主要為資源的虛擬池化和共享的安全不足，事實上，主流的虛擬層hypervisor軟件屢有漏洞被報告，存在未經授權的訪問等違規行為風險。

　　2、關于物聯網的安全風險。海關監管場所的卡口設備、視頻攝像頭與海關聯網，這些設備不屬于海關辦公區域，物理環境及設備網絡準入存在風險。

　　3、關于大數據的風險。與關系型數據庫在單個位置存儲一塊數據不同，大數據是復制數據到很多表以優化查詢處理，具有冗余性和分散性。數據分散在不同地理位置的不同服務器的不同的數據倉庫中，信息的完整性及保密性存在風險。

　　4、關于移動應用的風險。政務信息化從固定終端應用邁入固定與移動應用的結合的混合模式，計算邊界變得難以控制，終端設備、網絡接入及數據安全存在風險。

　　5、關于高級持續性攻擊（APT）等其他風險。雖然基于等保等合規性的安全管理及技術措施不斷加強，但是對APT等特定攻擊的技術防護手段沒有根本解決，核心數據資產存在泄漏的風險，且一旦泄露也難以追查。

　　三、 有關應對措施

　　習近平總書記在今年初召開的中央網絡安全與信息化領導小組第一次會議上強調，網絡安全和信息化是一體之兩翼、驅動之雙輪，必須統一謀劃、統一部署、統一推進、統一實施。做好網絡安全和信息化工作，要處理好安全和發展的關系，做到協調一致、齊頭并進，以安全保發展、以發展促安全，努力建久安之勢、成長治之業。為此，針對移動互聯網時代，應重點從如下方面抓好信息安全工作：

　　1、順應技術發展趨勢，“以安全保發展、以發展促安全”。

　　系統建設具有繼承性和創新性，對已有系統安全加固，以成熟安全手段“固舊”；對引入新技術的系統，以創新安全手段“利新”。如針對云計算安全，設計可以支持不同安全等級、不同硬件分區和防御策略，可借助虛擬化防病毒措施及云殺毒技術保障虛擬機及終端安全。在運行階段設計具有監控是否有未經授權的修改和違規活動的技術能力。

　　2、加強邊界管控，提升對外接入網（DMZ）防護能力。全面梳理邊界進出數據流風險，制定細顆粒度的控制策略（事前），部署實時監控（事中）及審計（事后）手段，確保內網安全。

　　3、海關政務信息化基礎數據直接關系我國進出境監管、稅收及貿易統計，也是進出口相關企業核心利益所在。應該加強數據分類分級管理，根據數據類型及敏感程度做好冗余的、分散的關鍵數據安全防護。

　　4、應針對各種類型的移動應用進行全面風險評估，根據威脅程度可對移動設備、通信鏈路、應用及數據，從身份認證、授權、加密及簽名等多個方面統一規劃、部署及實施安全策略。

　　5、針對APT等新型攻擊，應加強核心數據的監控及審計。可引入互聯網公司先進的安全技術，借助云計算及大數據，下大力氣做好監控及日志分析，持續提高安全態勢感知能力。

　　6、網絡及信息系統安全問題的核心是人的安全問題，因此，普及網絡安全知識、提高全員網絡安全意識、加強和完善網絡安全法制建設必須是持之以恒的工作。