主动防御技术 新闻资讯

随着数字经济时代的到来，“互联网+政务服务”全面推进，信息技术与政务服务深度融合，“人力资源、社会保障、医疗卫生、电子政务、工商民政、公积金”等政务服务行业业务办理与经营决策更加高效、智能，但在迅速信息化发展的过程中，“后门、陷阱、漏洞、软件炸弹”等安全问题，也给政务服务信息安全带来不小的隐患。

网新恩普作为国内第一批从事人力资源与社会保障业务的IT企业，在经营管理中积极探索、创新、求实，始终肩负着“为客户提供更好的服务”使命，配合政府客户防御黑客攻击，保障政务服务信息系统的信息安全责无旁贷。公司领导深知信息系统安全对系统稳定运行、维护客户权益，甚至对国家经济安全、社会稳定都具有重要意义。

基于此，网新恩普一直致力于信息系统安全建设的探索、研究与实践。在公司领导大力倡导下，质量管理部、研发中心共同努力主动防御技术，网新恩普信息系统安全建设在配合第三方安全评测、国家安全等级保护2.0合规评测的基础上，导入了“安全开发、安全测试”方法、工具、技术，逐步由“被动防御”、“探索积累”迈向“主动防御”。

被动防御：修补漏洞，配合测评

2008年，随着网络安全等级保护1.0系列标准的发布和执行推进，源码审计、漏洞扫描、渗透测试、合规就等同于安全。公司项目的安全工作主要是修补“乌云、补天、CNVD”等各大漏洞平台及客户发来的各种安全漏洞。项目验收时，需配合第三方做安全测试或等保合规测评，然而每次测评或多或少都存在安全漏洞、不符合项，不仅影响验收进度，也一定程度上增加了运营成本。信息技术、网络安全技术、黑客技术的快速发展，“被动防御、配合测评”的安全做法，已完全无法满足政务服务信息系统的信息安全需要。

探索积累：导入“安全测试方法、技术、工具”

在网络安全等级保护1.0后期，无论是公司层面还是国家层面，都更注重实质性的安全。主动防御、态势感知、攻防对抗等安全手段开始通行，云安、大数据、工控安全和移动安全占领主要趋势。网络安全等级保护1.0普及了等保概念，强化了安全意识，从单个系统到部门、行业，再上升到国家层面，从合规到攻防对抗，整体提升了网络安全保障能力技术并且不断进行人才的积累。

网新恩普紧跟科技创新发展新趋势，不断策划部署指导信息系统安全建设工作。质量管理部利用与第三方安全测评机构对接的契机，积极梳理出“源码安全审计、Web漏洞扫描、人工渗透”等安全测试方法、编写了指导书，并在公司项目开展中得到广泛应用。“安全测试方法、技术、工具”的导入，结束了公司信息系统安全建设被动防御阶段，开启了探索积累阶段，并逐渐向主动防御阶段迈进。

主动防御：编撰《安全开发规范》、导入信息安全服务规范CCRC

2019年，网络安全等级保护2.0相关的《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》等国家标准正式发布，并于2019年12月1日开始实施，我国也正式迈入等保2.0时代。

《中华人民共和国网络安全法》第21条规定，国家实行网络安全等级保护制度，要求“网络运营者应当按照网络安全等级保护制度要求，履行安全保护义务”；第31条规定，对于国家关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。等级保护上升到国家法律层面，可见企业进行信息系统安全建设的重要性、必要性。

网络安全等级保护2.0制度，是我国网络安全领域的基本国策、基本制度。等级保护标准在1.0时代的基础上，注重主动防御，从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计，实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工业控制信息系统等级保护对象的全覆盖。

网新恩普研发中心对安全测试发现的问题，进行总结、梳理、并进行了整体设计，将安全防御框架集成到了公司Odin7C框架中，并编写了《Odin7C安全编码指南》，指导项目成员进行安全编码。

2021年6月，公司质量管理部再度协同研发中心，参考OWASP、阿里、华为等顶级大公司的安全编码规范与客户的相关安全要求，结合公司多年来安全测试发现的各类安全问题、实际情况和业务经验，将信息系统安全建设贯穿到软件工程的各个阶段，编写完成《安全开发规范》，并协同培训中心与第三方安全公司，对各项目成员进行“信息系统安全意识、安全开发规范、OWASPTOP10漏洞原理及防御方法”等内容的安全培训，提升项目成员安全开发意识和安全开发能力。

安全防御框架集成到Odin7C框架、《安全开发规范》的发布，以及安全开发能力的导入，标志着网新恩普信息系统安全建设进入了“主动防御”阶段。此外，公司今年计划导入信息安全服务规范CCRC，按照国家安全标准体系要求，进行信息系统安全体系建设，这意味着公司信息系统安全建设将全面步入“主动防御”阶段。

未来，公司各业务部门领导、项目经理、项目成员将严格按照《安全开发规范》进行安全开发，根据公司、客户要求执行“源码安全审计、Web漏洞扫描、渗透测试”，并认真处理安全测试发现的各类安全问题。网新恩普全体成员将携手肩负起“国家形象、利益、安全”的责任、使命，为国家信息系统安全建设贡献自己的力量。

（编辑：晋中站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!