针对当前日益严峻的网络安全形势,为进一步检验和提高网络系统检测发现、安全防护、应急处置能力,促进网络安全积极防御体系建设,市人社局组织了首次人社系统网络攻防演练,即2019年人社系统网络攻防演练,也是全市首家开展网络攻防演练的政府部门。
一是演练涵盖“全”要素。为确保此次攻防演练工作顺利有序开展,专门成立了网络攻防演练工作领导小组,制定了网络攻防演练工作方案,并邀请业内安全领域专家指导推进,邀请专业技术人员担任攻击方。演练目标上,以防攻击、防破坏、防泄密、防重大网络安全故障为重点。演练内容上,七个参演系统均为市人社局正在使用的真实业务系统,并基本涵盖所有服务器部署形态。演练成员上,所有参演系统所属单位的工作人员,及华为、东软、迪普等系统运维公司技术人员均纳入防守方。演练中,攻防双方在真实的系统环境下,实施“背靠背”的攻防对抗。为真正贴近实战,此次演练过程中特意安排了未告知防守组情况下的远程攻击测试及休息日无人值守情况下的系统攻击测试,力求在最大限度内检验网络安全的真实状况。
二是演练查找“实”问题。通过演练看,金保专线及产业园视频监控网络做到了与互联网的物理隔绝,在中云托管机房部署的外网应用系统经受住了考验,但在互联网上的业务系统所使用的操作系统、web服务器、中间件、数据库等方面也存在可利用的漏洞,其中,高危漏洞3项、中危漏洞4项。此外,此次演练还针对产业园招聘大厅管理系统部署在多个机房,使用环境复杂、人员流动大等情况,利用招聘大厅的自助查询机、暴露在公共区的网络接口等方式进行内部的模拟攻击测试,发现了存在DHCP服务、弱口令的SSH登录、空密码的ftp服务器等风险点,全面检验了人社网络的真实防御水平。
三是演练促进“真”治理。针对网络攻防演练发现的问题,市人社局召开专门例会进行剖析,查找出部分设备老化、无专业技术人员运维服务、软件部署未严格执行安全操作规程、未购买正版操作系统、公共区自助终端设备未严格落实安全防护措施等五方面深层次问题根源,并有针对性的采取更新老化设备、组织专业技术人员调试与策略加固、建立专业化运维团队、统一购买正版软件、锁死公共区自助终端设备页面权限、常态化网络攻防演练等六项整改举措,实现了以演促管、以练保安。
今后,市人社局将以此为契机,持续推进演练活动的常态化、长效化,将网络安全打造成为长春人社大数据发展的一张靓丽名片,更好地保障和促进长春人社大数据战略行动的安全顺利实施,为全面振兴长春提供强力支撑。
