在信息高速发展的今天,作为政务服务的重要入口,政务自助终端机在各级政务大厅得到了广泛的应用,据不完全统计,目前各级政务大厅中部署的政务自助终端机超过20万台,便民服务效果成效显著,群众的获得感得到有效提升。政务自助终端机已成为政务服务集中办理的主要窗口,是企业和群众办事首选目标。
政务自助终端机在为广大民众带来便捷的同时,也带来了诸多安全隐患,如政务自助终端机存在设计缺陷漏洞、底层系统漏洞、社工漏洞、数据泄露漏洞等,这些漏洞可被黑客利用并以此为突破口发起攻击,公民的个人隐私信息和海量政务数据将面临着严重的安全风险。
为解决政务自助终端机面临的安全问题,保障“互联网+政务服务”深入推进,落实国家等级保护政策要求,运用成熟国家标准,结合政务自助终端相关软硬件安全特点,特制定了一套行之有效的检测方法及检测指标,即;
1、部署网络智能防御系统;
l 采用标准化的操作系统管理
自助服务终端的业务功能需求明确,其软硬件配置应全部为标准化配置, 应可以通过终端管理系统,制作标准化的操作系统映像,并通过相关的部署工具,将标准化的操作系统及环境,快速部署到自助终端物理平台上。同时,自助服务终端管理系统还能实时收集跟踪展现自助服务终端的软硬件资产信息及变更情况。
l 终端运行状态监控
由于自助服务终端大多数属于无人值守终端,因此必须提供基于远程的终端运行及工作状态集中监控机制。
通过终端安全管理系统,可以实时监控收集自助服务终端的系统运行状态及工作状态, 及时发现各类异常及故障情况, 确保业务的正常可靠提供。包括 :
✓可实时监控查看自助服务终端的业务进程信息及状态,及时发现业务故障;
✓可以实时查看CPU、内存、硬盘使用率,确保系统的处理效率及性能;
✓可以实时查看客户端操作系统日志(密切留意系统发生的一切)
l 远程维护及管理
由于自助服务终端大多数属于无人值守终端,大多数的日常管理维护工作需要通过远程的方式进行,终端管理系统可提供远程维护的方式及工具,包括:远程维护桌面及相关的审计记录,补丁、软件的更新及分发等。
l 故障远程恢复
在终端出现系统崩溃等故障无法正常提供服务时,可以通过终端管理系统的远程恢复功能,将初始化的标准操作系统通过网络恢复到故障终端,快速恢复故障终端的正常业务功能。
l 基础安全防护
自助终端及相关业务应用仍承载在通用的操作系统环境之上(windows 操作系统),因此,仍然存在着感染病毒、被攻击入侵的风险及可能性。
因此,在所有的自助服务终端上,仍需要通过终端安全防护软件提供基础的防病毒、防恶意程序等功能。
l 系统应用程序锁定
自助服务终端在一般情况下只需要开放给用户特定的界面及限定的操作权限,应用环境相对标准及固定,且用户操作是完全可以预期的(通常情况下,也不允许用户执行多余及非指定操作),因此,可以对系统进行更为严格的安全防护及锁定,防止自助服务终端感染病毒或者被恶意攻击篡改。
可以通过终端安全防护软件的系统应用程序锁定功能,确保自助服务终端只能运行事先定义的指定业务应用。即,除了标准映像中包含的可执行程序可以启动,禁止其他任意的可执行程序启动。显然,使用了系统锁定后,用户或者病毒也无法往标准的操作系统环境中拷贝写入任何可执行的程序,最大程度确保了自助服务终端不被恶意感染、攻击及篡改,理论上,可以实现针对自助服务终端的零病毒保护。
l 终端网络准入控制
除了自有营业厅之外,自助服务终端还会被部署到社区及企事业单位等 外部处所,由于缺乏现场的监管,如果终端被破坏,或者有人用其它设备冒充自助服务终端连入并访问后端业务系统及网络,可能给整个系统带来极大的安全隐患。
通过终端的网络准入控制技术,可以验证终端的身份(例如绑定 IP 与 MAC 地址),检查终端的安全状态(如相关的安全防护软件及技术是否正常工作,相关的配置是否符合规范等),从而可以确保访问及接入网络的终端是真正的合法的自助服务终端,且其是安全未遭到破坏的。
例如:
⏹ 用户身份是否合法
⏹ 机器身份是否合法
⏹ 主机防火墙是否安装并运行
⏹ 防病毒软件是否安装并运行,病毒特征库是否及时更新
⏹ 其他指定安全工具是否运行、及时更新
⏹ 操作系统关键安全补丁是否安装
⏹ 操作系统安全配置是否妥当
⏹ 桌面设置是否妥当
⏹ 是否感染特定病毒实体
⏹ 是否安装重大违规软件 ……
l 终端接入方式安全
自助服务终端在接入网络并访问后端业务系统服务器的过程中,所有的数据通信应采取加密的方式进行,以避免被恶意窃听及获取。
例如,自有营业厅自助服务终端可以采取 LAN 专线的方式,而部署于 社区及企事业单位等外部处所的自助服务终端则建议采取 SSL VPN 的方式接入网络 。
2、按照三级等保要求进行系统合规检查,主要包括:
身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、数据完整性、数据保密性、数据备份与恢复、剩余信息保护以及个人信息保护等;
通过上述检测工作,可及时发现政务自助终端存在的网络安全风险,指导各级政务管理部门强化政务自助终端机的安全防护能力,有效避免以政务自助终端机为突破口的恶意攻击,有力保护公民个人隐私和政务数据安全。