高速公路网络安全并非建好便大功告成,建设期存在着特定的问题,运行期也有其独特的隐患,专家们于近期在辽宁举行的一场研讨会,将这些容易引发麻烦的关键问题详细剖析讲解,有不少能够直接应用的经验。
建设期的五大雷区
合法合规是底线
多个项目为赶工期,将网络安全符合合法规则的要求置于后面。交通运输部科技司的专家周艳芳表明,如等保测评、数据安全法这类严格标准,在开发时期就应当嵌入进去。若系统建成之后再进行补充,常常需要大幅度修改,不仅成本会增加一倍,而且还可能会留下合规方面的漏洞,进而被监管部门通告要求整改。
责任移交别留白
系统开发完成后交付给运营方,并非是把钥匙交出去就大功告成。开发阶段所产生的文档,以及源码,还有运维账号,必定要清清楚楚地移交妥当。周艳芳特意提醒,对于应用软件开发安全,要自始至终密切留意,切不可寄希望于上线之前扫描一遍漏洞就万事大吉安全无虞了。采购设备同样要当心留意,务必要保证硬件后门以及供应链风险在合同制定阶段就被彻底堵住。
运行期不能当甩手掌柜
资产不清万事难
你对于自己网络里接入了多少设备,以及运行了多少系统,都处于不清楚的状态,如此这般又怎么能够进行保护呢?北京市交通委员会科技处调研员张伟着重指出,资产梳理乃是第一步,并且还必须要进行动态更新。众多单位遭受攻击之后,很长时间都无法确定问题资产所处的位置,等到终于找到的时候,早就错过最佳时机了。
外包运维要盯紧
系统被外包给第三方公司进行运维,这并不等于责任也随之被外包出去了。专家龚民提及,外包团队人员存在较大的流动性,交接过程容易出现问题。必须要求外包公司维持团队的稳定性状况,核心人员出现变动时要进行备案操作。与此同时,外包人员对内部系统进行操作时,赋予的权限不能过大,操作日志必须妥善留存好,以此就能防止出现内鬼或者差错明显的误操作情况。
责任要落到具体人头
谁主管谁负责
网络安全责任,绝不能够虚化,仅仅签署责任书是没有用处的。张伟于研讨会上表述得极为直白。领导班子的责任要明确清晰,分管领导的责任要明确清晰,部门负责人的责任要切实明了,具体操作者的责任也要确切清晰。每个环节的各项责任,都务必要书写明白。一旦出现了事端予以追究责任,须得明晰知道追究的对象是谁,按照“谁主管谁负责、谁运营谁负责、谁使用谁负责”这样的原则进行倒查。
人才从哪来
责任清晰确定之后,需要存在具备相应能力之人将其承担起来。仅仅依靠开会进行思想的灌输是远远不够的,必须开展实际的操作演练。今年9月在行业领域会举办网络安全攻防方面的比赛,平常的时候基地会提供TCSP认证的培训。使得技术人员以真实的状态进行操作练习,相较于只是埋头看书要更有成效。辽宁高速此次特意前往参观了基地,是冲着定制化的培训而去的,想要迅速提升团队的水平。
找准差距再定目标
先摸清家底和风险
源于交通运输部规划研究院的专家李柏丹,给出了这样一个较为求实际的思路,也就是,先不要仓促去投用那些显得高端上档次的设备,而是要先对现有的业务以及技术的现实状况展开剖析。查看新业务投入使用之后,其暴露的范围是否有所扩展,原来配备的安全设施是否依旧能够确保安全而稳定不受冲击。就好像如果启用了车路协同,那么原本的老防火墙必然是需要进行升级的,就是这样。
对症下药才有效
在摸清楚当前状况之后,需要去探寻理想情形与实际状况之间所存在的差距,要是缺少日志审计,那就补充日志审计,要是缺少数据分类,那就开展数据分类。李柏丹着重指出,目标应当具体且具备可行性,要踏踏实实地一步一个脚印。今年着重解决几个最为关键要命的风险,到了明年再去规划接下来的步骤,这要比一味贪图规模大而追求全面地堆砌安全产品更为有效。
资金保障不能空谈
专项预算得落实
对于网络安全而言,绝不能仅在口头上予以重视,而在花钱之际却往后退缩躲避,龚民这位专家明确坦言,在日常管理方面,需要设置专门的人员以及专门的岗位,推行网格化管理模式,而这一切都必须依靠实实在在的金钱去养活人员,设备进行更新、服务完成购买、应急展开响应,每一个项目都得有预算来提供支撑,要是没有持续不断的投入,那么安全能力将会很快落后跟丢。
钱花在刀刃上
也并不是提倡毫无目的地进行花钱行为。要先将资产状况摸排得清晰明了,把风险分析探究得透彻深入,之后才去决定资金的投向。是把资金花费在购置最新款式的防火墙方面,还是用于强化人员培训工作,又或者是致力于完善管理制度,这都需要结合本单位的实际情况来考量。辽宁高速此次所进行的交流活动,重点同样在于关注怎样让资金发挥出应有的效果,而非仅仅是一味地堆砌设备。
演练和培训得常态化
实战演练暴露真问题
桌面推演即便做得极为出色,也比不上真正展开一次攻击。张伟着重指出,实战攻防演练能够暴露出平常难以发觉的盲点以及漏洞。借助模拟攻击这一行为,去检验防守团队的响应速度是否够快,流程是否顺畅,人员是否会慌乱。在发现短板之后马上进行整改,到下回演练时再次予以验证,从而形成一个闭环。
基地培训资源要用好
自己若没条件去搞那种复杂的演练,是能够借助外力的。辽宁高速此次参观的那个基地,其功能十分齐全,课程也是多种多样的,从意识层面到技术方面全都涵盖。今年还规划着去开办有关行业网络安全意识、综合管理等等像这样的线上线下班级。把这些外部资源运用好,相较于自己关起门来造车,效率要高很多得多。
试问最后一句:于你们单位而言,在高速或者交通信息化项目里,是曾踩过建设期移交不明晰的坑呢,还是更困扰于运行期外包人员出现流动的这一问题呀?欢迎于评论区去分享自身经历,点赞以便让更多人得以看到这些实战的经验。
