海关信息安全风险趋势及应对策略.docxVIP

海关信息安全风险趋势及应对策略 海关信息安全风险趋势及应对策略 海关信息安全风险趋势及应对策略 摘要：信息系统安全是海关信息化建设的基石。本文分析了当前海关信息安全面临的拓扑结构碎片化趋势加剧、信息化标准建设滞后、数据安全问题亟待解决、安全运维的架构难以符合新形式的要求等4个方面问题，对未来将发展趋势及风险进行了探讨，对信息安全架构建设、优化风险管理和信息保护的框架、数据分级管理、整合运维体系、加强人员管理等方面提出了建设思路。 关键词：信息安全；风险；策略 近年来，随着海关信息化建设的发展，海关信息安全建设取得巨大的成绩，分网运行、资产管理、补丁分发，准入控制、数据加密、行为审计等信息安全技术逐渐在海关内部得到普及。特别是近期，海关以“信息系统等级保护”评估与整改为契机，对海关安全管理体系、安全技术体系、安全组织体系和安全基础设施等方面进行全面的审视，通过加强机房设施整改、安全域划分、构建纵深安全防御体系等手段，不断提升海关信息系统保障能力。 随着海关业务需求增长、网络快速扩张、云计算和3G 网等新技术的应用，新的信息安全问题逐渐显现，信息安全风险出现新的趋势，海关原有信息安全架构、风险管理和信息保护的框架、安全运维体系也难以完全适应新变化。因此，海关应及时、适度的变更海关信息安全策略。 2 海关信息安全存在的问题及信息安全风险发展趋势 2.1 海关应用的迅速增长与网络快速扩张造成海关系统及拓扑结构碎片化趋势加剧 按总署发布数据，2021年，我国进出口总值为38667.6亿美金，已超过美国成为2021年世界最大贸易国。随着业务的增长，海关信息化应用需求不断增长，业务现场不断增加，应用及网络规模迅速扩 张，信息化项目建设主体、建设标准呈现多样化，海关技术管理部门已很难确保系统开发环境、开发语言、网络接入方式的单一性。现在海关信息系统基础平台已采用Windows 、UNIX 、Linux 、IOS 、Android 等多种操作系统，开发工具使用C++、C#、VB 、ASP.NET 、JA V A 、JSP 、Object-C 等上十种，数据库有Sql server、Oracle 、Sybase 、MySql 等五、六种，网络接入也存在专线、拨号、3G 等多形式、多运营商状况。 平台多样化使海关信息系统逐渐趋于碎片化，海关维护困难度加大，故障几率增加，海关信息安全策略难于设计与部署，相关项目指导方案难于完整实施。如长沙海关移动办公项目，涉及４种操作系统，５种开发语言，２种数据库，８种不同客户端（包括服务器、台式机、平板、智能手机等），数据流长而复杂，问题发生时，故障点排查时间都很长，维护十分困难，难于照搬总署建设方案进行加强安全性方案设计。 2.2 海关信息化标准建设的滞后与新技术突飞猛进式的发展矛盾日益突出 近几年，云计算、移动接入、3G 网络、物联网等IT 技术风起云涌，海关总署在“海关信息化十二五规划”中明确提出，海关将逐步开展云计算 、物联网、移动政务等信息化资源布局优化及功能再构。 作为云计算、3G 网络、物联网等新技术基础，移动终端及网络与内网安全接入方案，在《海关对外接入局域网建设方案》、《海关移动办公项目建设指导方案》等海关项目建设指导方案都有相关规定。但海关实施信息化标准化管理较早，以上项目建设指导方案制定时，云计算、3G 网络、物联网等新技术还处于技术发展初级阶段，现阶段，完全按照以上项目建设指导方案实施，云计算、3G 网络、物联网等新技术方案将难于实施或新技术优势难于完整发挥。如《海关移动办公项目建设指导方案》中明确要求接入客户端需进行健康性检查，但现阶段智能手机多采用IOS ，Android 等操作系统，安全设备制造和供应商没有基于此类设备的健康性检查解决方案，IOS 、Android 等智能手机或平板直连内网应用方案都难于实施。 从技术特点上看，云计算、3G 网络、物联网等新技术自身也存 在不小的安全性问题，如云计算技术，无论采用私有云还是公共云，如论是部署Iaas （基础即是服务），还是Paas （基础即是服务）或Saas （基础即是服务），应用平台、服务、网络、数据都存在一定安全隐患。对于以上新技术所带来的安全风险，海关善无对应的安全标准予以规范。 2.3 海关数据安全问题并未得到根本解决 2021年总署制定的《海关报关单数据安全管理办法》及2021年制定的《海关政务公开管理办法》对海关业务政务数据、信息、公务安全使用就进行了规范，但海关各直属单位执行严密性不够理想，通关类数据查询途径过多、手段混乱、审计不严等现象普遍存在。 海关现在仍无对政务敏感信息