文｜石磊、田培良、郝一桥、刘路

“互联网+”形势下国检网络和信息安全研究

文｜石磊、田培良、郝一桥、刘路

一、国检“互联网+”现状

李克强总理在2016年3月5日政府工作报告时指出：制定“互联网+”行动计划，推动移动互联网、云计算、大数据、物联网等与现代制造业结合，促进电子商务、工业互联网和互联网金融健康发展。“互联网+”是两化融合的升级版，将互联网作为当前信息化发展的核心特征，提取出来，并与工业、商业、金融业等服务业的全面融合。这其中关键就是创新，只有创新才能让这个“+”真正有价值、有意义。正因为此，“互联网+”被认为是创新2.0下的互联网发展新形态、新业态，是知识社会创新2.0推动下的经济社会发展新形态演进。

（一）国检“互联网+”建设背景

根据总局“互联网+”行动计划，综合利用信息化技术和大数据资源，共享国检大数据资源，破除“信息孤岛”和“僵尸数据”；搭建智慧豫检大数据平台，配合总局“智慧口岸”和“智慧质检”总体规划，推进我局相关工作。利用信息化平台和业务数据资源，进行整理分析，既可获取全方位的国检数据，又可以为政府和企业提供公共服务，提高他们的决策水平，助力产业转型升级。

按照我局党组全省系统信息化工作“一盘棋”的基本要求，坚持切合实际、适度超前的工作思路，一方面推动河南智慧国检平台建设，加快实现检验检疫业务的互联互通；另一方面服务地方政府口岸和特殊开放区域信息化项目建设，实现统一规划、统一验收式的信息化同标同步。支持河南省国际贸易单一窗口和河南自由贸易试验区的信息化建设，主动适应外贸形势变化和检验检疫业务模式变化。

（二）国检信息化现状

国检信息化建设主要包括业务系统和网络系统。

业务系统根据业务内容、工作需要及彼此的交叉关联等特点，业务系统可以分为三大类：1.用户申报系统用于强化国检与企业，及相关部门间的数据传输，实施登记备案管理，推行无纸化办公，减少企业申报信息重复录入工作量。2.业务管理系统，这类系统多针对具体业务而开发。3.区域监管系统根据相关业务需要，对特殊监管区域的业务按不同区域、不同环节的情况进行全过程、信息化跟踪监管。

国检网络系统目前使用“分层”的方法，即各分支机构与直属局连接，直属局通过专线与质检总局连接。网内按照功能划分为核心业务区、普通服务器区、互联网服务器区、用户接入区、分支机构接入区、上联接入区等6部分，各区之间通过防火墙等安全设备进行访问控制；通过部署VPN设备实现人员外出期间接入内网办公。

二、国检“互联网+”面临的风险

当前我国网络违法犯罪活动日益猖獗，攻击者的演变从单打独斗到有组织团体，攻击动机更具功利性、经济、政治与意识形态的驱动更加明显。同时新技术新应用带来的安全挑战更加严重。随着公众对办事程序公开、政府工作效率和透明度要求不断提高，国检“互联网+”建设是由传统的窗口模式转变成多种模式、线下模式转变为线上模式、国检网络从传统的封闭模式转为开放模式，信息化建设面临的风险主要为以下几个方面。

（一）应用系统风险

国检业务系统基本使用外包方式进行投标采购，由于公司人员开发水平各异、开发源代码不能一一审核、以及采用系统架构的固有安全风险，导致业务系统出现异常现象。

（二）设备高危漏洞和后门

业务系统的载体在于设备，设备的作为底层的安全犹如一栋大楼的地基，对于国外网络设备的使用需注意安全问题，如多款思科小企业路由器曝出严重安全漏洞、JUNIPER曝高危漏洞、Linux设备TCP连接曝高危漏洞。

（三）病毒风险

计算机病毒具有易传播特性，通过软件下载、电子邮件、文件服务等进入网络内部，删除、修改系统文件，导致程序运行错误或死机。“互联网+应用”为病毒检测与消除带来很大的难度，成为网络安全发展的一大公害。

（四）数据风险（丢失、篡改、泄漏）

数据的价值往往是无法估计，国检的“三单”信息（订单、运单、支付单）含有大量稳私数据，有防止数据丢失、被篡改和被泄漏方面面临着巨大的挑战。

（五）网络对接风险

国检网络是多区域、跨机构的网络结构，需要与地方部门与其他口岸部门对接，客观上会存在一些“不可信”区域，数据在这些区域进行交换同样面临一些风险。同时由于业务系统逐渐增多，管理人员较少也是影响国检“互联网+”安全的一个因素。

三、国检“互联网+”安全策略

国检“互联网+”的建设还处于初级阶段，在信息化建设也积累了一些安全经验，在建设中不断创新，通过实践和经验逐步提高国检信息化安全。同时，在不断学习兄弟局和其它互联网的安全管理的方案，制订了国检“互联网+”的安全策略，主要包括以下四个方面。

（一）安全体系建设

安全涉及到系统的方方面面，任何一点的疏漏都可能是致命的，必须统一进行考虑。利用自有或外部专业安全技术力量对网络信息系统的物理安全、通信安全、边界安全、主机安全、应用安全和备份及日常运维等方面进行全面的风险评估，发现当前存在的安全问题，明确安全需求，确立安全目标，建立安全体系结构。

（二）信息系统建设

严格按照GB22239-2008信息系统安全等级保护基本要求和GBT22080-2008信息技术安全技术信息安全管理体系要求的进行信息化建设。根据信息系统承载业务的重要性，确定信息系统保护等级，并按照相应等级在需求阶段明确系统的安全技术措施要求。

（三）信息系统运维

按照网络信息安全三要素信息的机密性、信息的完整性、信息的可用性要求，将安全策略、硬件及软件等方法结合起来，构成一个统一的防御系统，有效阻止非法用户进入网络，减少网络的安全风险。

定期进行漏洞扫描，及时发现问题，解决问题。通过入侵监测（防御）等方式实现实时安全监控，提供快速响应故障的手段。建立安全日志审计系统和安全取证措施，在系统遭到损害后，具有能够较快恢复正常运行状态的能力。

在计算机设备上采用统一管理的防病毒软件和防病毒网关，在入口处抵挡病毒的入侵和破坏并控制其在网络内部的传播；并通过安全软件对计算机进行认证、终端安全检查。

利用ITIL对服务管理提供一个客观、严谨、可量化的最佳实践的标准和规范，具有对系统资源、用户、安全机制等方面进行规范和量化。

（四）人员管理与培训

国检“互联网+”使用者为人，提高人员的安全意识，培养人员安全使用系统，规范操作手册，也是提高国检信息化安全的一个重要手段。

四、结束语

国检网络安全和信息安全管理工作不仅仅是技术问题，也是肩负着国检机关数据、工作人员信息、以及大量企业数据管理的重任。因此，信息化建设相关部门必须综合考虑安全因素，根据相应的法律法规，制定合理的目标、技术方案等。随着互联网+、云计算等计算机网络技术的进一步发展，国检网络安全防护技术也会随着不断提高。

作者单位：河南出入境检验检疫局信息化管理处