一、网络安全
《中国互联网发展报告2019》显示,截至2019年6月,中国网民规模为8.54亿人,互联网普及率达61.2%,网站数量518万个,中国已经成为名副其实的网络大国。现实中的网络环境堪忧,网络诈骗层出不穷、个人隐私泄露严重、网络入侵频繁发生。特别是2018年以来,伴随“勒索软件即服务”产业的兴起,勒索病毒传播手段多样,活跃软件数量增长迅速,更新频率和威胁广度都大幅度增大。比如:受Globelmposter、Gand Crab等勒索软件及变种的攻击影响,我国多家医疗机构的信息管理系统无法正常运行。依据发展趋势感知,政府、医疗、教育、研究机构、制造业等成为网络攻击和勒索最为严重的行业领域。
在发动网络攻击的实施者中,除了某些国家级的网络部队外,还有部分民间黑客团队,其破坏力不容小觑,信息安全已经上升为国家安全战略的一个重要组成部分。据统计数据,在我国遭受的网络攻击中,来自美国的数量最多,且呈愈演愈烈之势。事实上,美国对主权国家大肆实施网络攻击早已是家常便饭。2004年,美国曾针对利比亚发起网络攻击,致使利比亚国家顶级域名瘫痪。2010年,伊朗核设施遭受的“震网”病毒攻击事件,“幕后黑手”正是美国。2018年,美国对俄罗斯发动网络攻击,导致俄罗斯通讯社相关网络连续瘫痪数天。2019年3月,委内瑞拉总统马杜罗指出,本国发生的大规模停电事件就是美国的网络攻击所致。美国不仅是全球网络攻击的始作俑者,也是发动网络攻击数量最多、技术最强的国家。
网络安全管理是一项重要且繁杂的基础工作。作为干部网络教育培训平台的运营者,首先要健全和完善网络管理的各项规章制度,明确监督体系,建立奖惩规则,坚决杜绝网络滥用现象;其次是提升管理人员的防范意识和防护技能,增强责任感,明确危害性,防止人为造成信息泄露;最后应用各种有效的技术手段,部署防御系统,建立预警机制,确保网络信息安全。
在网络安全的防御战中,首要任务是认真学习、贯彻和落实《中华人民共和国网络安全法》(简称《网络安全法》)的相关内容。《网络安全法》是我国第一部全面规范网络空间安全管理方面问题的基础性法律,由全国人民代表大会常务委员会于2016年11月7日通过,自2017年6月1日起施行,中华人民共和国主席令(第五十三号)公布。《网络安全法》的实施,是我国网络空间法治建设的重要里程碑,是依法治网、化解网络风险的法律重器,是让互联网在法治轨道上健康运行的重要保障。
《网络安全法》由七个章节、七十九项条款组成,涵盖范围极为广泛,既明确了网络安全的内涵和工作体制,又重点强调了网络产品、服务、运营、信息安全以及监测、早期诊断、应急响应和报告等方面的要求。作为干部网络教育培训平台的运营者,要特别注意其中第二十一条之规定:“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(四)采取数据分类、重要数据备份和加密等措施;(五)法律、行政法规规定的其他义务。”
网络安全等级保护制度要求信息系统责任主体落实信息系统的安全策略和管理制度、安全管理机构和人员、物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、安全建设管理、安全运维管理等系统安全各个维度的工作要求。干部网络教育培训平台是“互联网+教育”的产物,信息系统不能完全地脱离互联网进行物理隔离,业务数据库中包含着大量组织机构和广大干部学员的信息记录,信息安全带来的安全责任自然也就越大。在构建干部网络教育培训平台防御体系的过程中,要不断加快、加强加大部署各类防护系统。
网络安全主要涉及网络安全域的合理划分问题,其中最重要的是进行访问控制。访问控制主要包括防火墙、入侵检测、日志审计、安全运维、虚拟化防护、容灾备份等应用安全技术。
(一)防火墙系统
所谓“防火墙”,是一种特殊的访问控制设施,是一道介于内部网络和Internet之间的安全屏障。防火墙既可以是一组硬件,也可以是一组软件,还可以是硬件和软件的组合。防火墙的基本功能是根据各种网络安全策略的要求对未经授权的访问和数据传递进行筛选和屏蔽,它保护着内部网络数据的安全。从逻辑上讲,防火墙既是一个分析器,又是一个限制器,它要求所有进出内部网络的数据流都必须通过安全策略和安全计划的确认与授权,并在逻辑上实现内外网络的分离,从而保证内部网络的安全。
按照实现技术的不同,防火墙系统大致分为包过滤防火墙、应用代理防火墙和状态检测防火墙三类。干部网络教育培训平台在部署防火墙系统时,需要针对性地部署网络防火墙、Web应用防火墙和移动安全防火墙。
网络防火墙保护整个网络不受非法入侵,其典型技术是包过滤技术,即检查进入网络的分组,将不符合预先设定标准的分组丢掉,而让符合标准的分组通过。包过滤技术主要是基于路由的技术,它依据静态的或动态的过滤逻辑,在对数据包进行转发前根据数据包的目的地址、源地址及端口号来过滤数据包。
Web应用防火墙是通过对HTTP(S)请求进行检测,识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击,保护Web服务安全稳定。
移动安全防火墙是移动应用APP的整体安全防护系统,分为移动应用客户端防护SDK、数据传输防护SDK、移动应用服务端等几个部分,实现在客户端与服务器端之间建立密文传输服务,防止通信过程中数据被抓包或恶意篡改,以最大可能保证通信安全,并提供客户端安全防护(如:防调试、防被代理、防模拟器、防界面劫持、重打包检测等)和性能监测(如:崩溃监测、交互监测、请求错误监测、ANR监测等)功能。
(二)入侵检测系统
入侵检测系统是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。与防火墙等其他设备的不同之处在于,入侵检测系统是一种积极主动的安全防护技术,部署时也不需要跨接在任何链路上,无须网络流量流经便可以工作。入侵检测系统能提供安全审计、监视、攻击识别和反攻击等多项功能,并采取相应的行动,如断开网络连接、记录攻击过程、跟踪攻击源、紧急告警等,它是安全防御体系的一个重要组成部分。
(三)日志审计系统
日志审计系统是用于全面收集信息系统中常见的安全设备、网络设备、数据库、服务器、应用系统、主机等设备所产生的日志(包括运行、告警、操作、消息、状态等)并进行存储、监控、审计、分析、报警、响应和报告的系统。
日志审计系统能够更好地帮助运营者监控和保障干部网络教育培训平台的运行状态,及时识别针对信息系统的攻击和入侵,以及来自内部的违规和信息泄露,能够为事后的问题分析和调查取证提供必要的信息。同时,它也是满足合规与内控需求的必备功能。例如:《网络安全法》第二十一条第三点要求:采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;《信息安全技术信息系统安全等级保护基本要求》对于二级以上信息系统,在网络安全、主机安全和应用安全等基本要求中明确要求进行安全审计;《互联网安全保护技术措施规定》第八条要求“记录、跟踪网络运行状态,监测、记录用户各种信息、网络安全事件等安全审计功能”。
(四)运维审计系统
运维审计系统是集单点登录、账号管理、身份认证、资源授权、访问控制、操作审计等于一体的运维安全审计产品。它能够对操作系统、网络设备、安全设备、数据库等操作过程进行有效的操作审计,使运维审计由事件审计提升为操作内容审计,通过系统平台的事前预防、事中控制和事后溯源来全面解决信息系统的运维安全问题,进而提升综合运维管理水平。
运维审计系统通过集中式的账号管理机制和统一的用户安全策略,能够完成对账号整个生命周期的监控和管理,并发现账号在使用中存在的安全隐患。它能够对常见的运维协议,如SSH、Telnet、FTP、SFTP、HTTP、HTTPS、RDP、VNC等会话过程进行完整的记录,以满足日后审计的需求。针对运维过程中可能存在的潜在操作风险,运维审计系统能够根据用户配置的安全策略实施运维过程中的违规操作检测,对违规操作提供实时告警和阻断。
(五)虚拟化安全防护系统
服务器虚拟化指将一台或多台物理服务器的CPU、内存、磁盘、I/O等硬件资源变成可以动态管理的“资源池”,并利用虚拟化技术抽象成几台甚至上百台相互隔离的服务器逻辑资源,每台虚拟服务器可以运行不同的操作系统,且在相互独立的空间内运行而互不影响,从而提高硬件资源的利用率,简化软件的重新配置过程,实现服务器资源的深度整合,也让业务应用的变化更具适应力。
服务器虚拟化将操作系统和应用业务从硬件设备隔离,支持虚拟服务器的快速复制和转移及备份,可以减少业务中断时间,大大提高了可用性、稳定性和灵活性。虚拟化可以大幅提升物理资源的利用率,减少硬件设备数量,节约电力系统和空间占用等多方面的成本支出,但也带来一些全新的网络威胁和安全风险。比如:虚拟化系统本身的安全漏洞会导致更容易被攻击、传统边界的消失导致无法感知虚拟机之间的流量、木马病毒感染虚拟机导致虚拟机之间互相攻击等等。特别是WannaCry勒索病毒及变种软件高度威胁的大环境下,传统杀毒软件和防护手段无法及时有效防御,就需要以人工智能引擎为核心,通过预防、防御、检测、响应等赋予终端更为细致的隔离策略、更为精准的查杀能力、更为持续的检测能力、更为快速的处置能力,这便是虚拟化安全防护系统的应用范畴。
2012年7月,第一个可感染VMware虚拟机的恶意软件Crisis被发现。Crisis是一个针对mac OS和Windows用户的计算机木马病毒,它可以记录Skype通话,窃取Adium、微软MSN和跟踪Firefox、Safari浏览器历史记录等。它会搜索被感染计算机的VMware虚拟机映像文件,随后使用VMware Player工具将自身复制到虚拟机映像文件中进行传播。Crisis病毒的出现,表明被很多人认为干净纯洁的虚拟机系统也不再安全。
虚拟化安全防护系统构建于防御、加固、云端大数据联动的安防体系,其内置的安全检测模型可以对系统安全状态进行全面的风险评估,在不改变虚拟化结构的前提下,实现对虚拟机间的恶意行为进行阻止和拦截。同时,也解决了多个系统间安全基准不统一、监管难等问题。
(六)容灾备份系统
现如今,网络黑客攻击、非法入侵、计算机病毒破坏、计算机硬件或软件故障、管理人员误操作或恶意破坏数据以及各种自然灾害等都有可能引发灾难事件,导致业务系统中断或数据泄露。
容灾是为计算机信息系统提供的一个能应付各种灾难的环境。一旦灾难发生,容灾系统能保证用户数据的安全,甚至通过恢复还能保持平台业务的不间断运行。容灾系统的目的在于保证系统数据和应用服务的“在线性”。
备份是指为防止系统出现操作失误或系统故障导致数据丢失,而将全系统或部分数据集合从应用系统的存储介质中复制到其他存储介质的过程。备份是数据可用的最后一道防线,是将在线数据转移成离线数据的过程,其目的在于应付系统数据中的逻辑错误和历史数据保存。
部署容灾备份系统是干部网络教育培训平台安全的重要保障。容灾和备份目的不同,容灾不可少,备份是基石。容灾备份系统是指在相隔较远的异地,建立两套或多套功能相同的IT系统,互相之间可以进行健康状态监视和功能切换,当一处系统因意外(如火灾、地震等)停止工作时,整个应用系统可以切换到另一处,使得该系统功能可以继续正常工作。