王鹏
摘要:随着各级工会网上平台建设进程的加快,对工会网上平台的网络安全提出更高的要求。网络安全是工会网上平台的重要基础和前提,为工会网上业务的有序开展提供基本的支撑和保障。该文基于工会网上平台建设现状,分析工会网上平台的网络安全风险,并提出对策建议,构筑工会网上平台网络安全防护屏障,保障工会网上工作持续深入。
关键词:网上工会平台网络安全工会服务工会
中图分类号:D412.6文献标识码:A 文章编号:1672-3791(2022)04(a)-0000-00
A Study on Network Security Protection of the Online Platform of the Trade Union
WANG Peng
( Internet&Information center, Federation of Trade Unions, Jiangsu Province, Nanjing,Jiangsu Province, 210000 China)
Abstract:With the accelerated development of the online platform of the trade union, there is also an increasing demand for the network security. The network security is the base and the premise for the the online platform of the trade union, which provides great support for the ordered trade union online work. Based on the status of the online platform of the trade union, this paper has analyzed the network security risks, and afforded some practical advice to build the network security barrier.
Key Words: Online platform of the trade union; Network security; Trade union service; The trade union
隨着互联网、大数据等技术的快速发展,各级工会组织先后开展了工会网上平台的建设,在基础数据库建设、网上办公平台、新媒体矩阵、综合性业务服务平台等方面不断深入,取得阶段性进展[1-2],但伴随网上平台建设、运营工作的不断深入,工会网上平台网络安全防御压力不断增大,对网络安全工作要求越来越高。目前,网络攻击技术手段层出不穷,攻击频次不断攀升,仅2020年11月,境内被篡改网站数量达16 114个,境内被木马或僵尸程序控制的IP地址对应的主机数量达120余万个,全国各级网络举报部门受理举报数量达1 200余万件。工会网上平台大多部署在接入互联网区,且具有用户数量庞大、存储数据海量、业务系统复杂等特点,尤其在信息传输和处理过程中,受各种因素影响,平台很容易受到注入攻击、病毒感染和木马植入等网络安全攻击和入侵。
1工会网上平台建设现状
各级工会先后开展了网上工会平台建设的探索,文献[3]对网上工会工作进行调查研究、总结,梳理和总结了全国各地工会网上工作进展和存在问题,并提出相应的对策建议。浙江工会网上平台[4]稳步推进,通过构筑平台,开拓服务职工新阵地,通过试点先行,打造普惠化服务职工的新载体。文献[5]对山东“智慧工会”建设的必要性,存在的困难、建设思路及建议开展了深入的讨论。基于高校工会的特点,文献[6]开展了高校智慧工会的构建研究,从理念树立、队伍建设、数据库设计、服务模式建设等方面开展讨论。
网络安全是稳步推进数字化转型的前提和基础[7]。全国各级工会正加快网上平台建设进程,工会网上平台的建设离不开网络安全的保驾护航,亟需在规划、建设、运维的各阶段充分考虑网络安全因素,做足配套的网络安全工作,确保平台的安全平稳运行。
2工会网上平台网络安全风险
2.1工作人员意识不足
人是网络系统中最薄弱的一环,人的弱点会造成的网络安全隐患和信息泄露风险[8]。工会网上平台与各级工会干部职工,信息系统承建单位项目经理、开发人员、运维工程师等有关人员密切相关,同时工会网上平台业务开展需要服务对象会员职工的深度参与,但由于用户数量庞大、管理机制不健全、思想观念偏差等方面的原因,导致工作人员的不合规行为给工会网上平台带来一定的风险,产生诸如弱口令、SQL注入、越权、违规后门等常见的网络安全漏洞,给恶意攻击者一定的可乘之机。
2.2外部攻击层出不穷
工会网上平台遭受境内外恶意攻击。同时,先进技术为网络恶意攻击提供新的手段,诸如人工智能、量子计算、机器学习等最前沿的技术在提供更强大防护能力同时,也用于创造更具威胁的网络安全攻击新载体[9]。
2.3网安防护措施缺位
在工会网上平台建设、运行过程中轻视忽视网络安全工作,“安全技术措施同步规划、同步建设、同步使用”落实不到位,致使网络安全防护缺位,包括缺少网络安全防护产品,缺少专业网络安全工作人员,缺少网络安全策略配置,例如采购的防火墙不加以正确的防护策略配置,网络边界不清晰,用户认证逻辑不严密等。在攻防过程中,即使一个微小的设计疏忽都可能产生严重的漏洞,攻击者利用这些漏洞攻击系统可能产生严重的危害[10]。
3工会网上平台网络安全对策
工会网上平台具有规模大,用户群体多,受关注度高等特点,网络安全形势相对严峻,传统“亡羊补牢”式网络安全防护手段无法保障工会网上平台的网络安全,要从机制、人员、技术、落实要求、借助新手段等方面开展构筑多层次、全方位的网络安全防护体系,保障工会网上工会长期安全平稳运行。
3.1建立健全机制
运用整体思维,做好工会网上平台网络安全机制建立工作,一方面制定网络安全配套制度,包括网络安全工作责任制实施、网络安全事件应急管理、联网资产管理、网络安全检查检测、网络安全工作有关奖惩等制度;另一方面狠抓制度落实,推动网络安全工作全面深入开展,确保制度要求落地落实,发挥作用。
3.2提高人员素质
工会组织信息化进程起步相对较晚,网上工会工作人员存在网络安全素质不高、意识不足、技能不够等问题。为此要加强专业人员队伍建设,通过设置网络安全专职人员,采购专业网络安全服务,积极开展网络安全宣传工作,组织参加网络安全培训等途径,进一步充实工会组织网络安全人才队伍。充分压实工会网上平台承建单位网络安全责任,通过签订保密协议,在合同中添加网络安全有关条款,提供网络安全开发承诺书等方式,明确安全与保密义务责任,约束承建单位项目经理、开发人员、运维人员在工会网上平台建设、运营过程中的活动行为。此外,工会网上平台要借助宣传优势,广泛开展网络安全宣传引导,提升职工用户网络安全意识、素养。
3.3落实网络安全要求
网络安全工作是一项强专业型的业务工作,国家和地方制定出台了网络安全领域法律法规、政策文件,工会网上平台网络安全工作要根据主管部门有关要求,做好网络安全方面工作,包括等级保护、密码应用、数据保护,落实监测预警、运维管理、检查检测、应急保障、宣传培训等要求。互联网协议第六版(IPv6)能提供身份验证和加密,具有更高的安全性[11],工会网上平台要落实规模部署要求,持续完成IPv6 升级。通过有效落实网络安全主管部门相关要求,切实保护工会网上平台物理安全、网络安全、主机安全、应用安全和数据安全。
3.4加强技术保障
充分应用技术手段抵抗网络攻击,保护工会网上平台安全。一是常态化开展网络安全应急演练,在保障安全的情况下运用各种网络安全攻击手段模拟工会网上平台遭受攻击、发现攻击、处置攻击、溯源攻击、拒绝再次攻击的完整流程,检验网络安全事件应急处置能力,并基于演练结果完善应急处置流程,修订应急预案,确保事前预案有效,事中处置管用,事后溯源準确。二是落实对拟上线的信息系统进行全面网络安全检查的要求,禁止“带病上线”,信息系统网络安全检查检测报告是项目验收、上线前的必备材料,确保在源头减少一定量的网络安全漏洞。三是常态化开展网络安全检查检测,充分运用技术手段加人工审查相结合的模式,深挖工会网上平台开发、运维漏洞,对发现的漏洞限期整改并组织复测,直至已发现的漏洞完全修复,减少工会网上平台网络安全风险。
3.5借助新技术手段
网络攻击技术和手段更新的同时,网络安全防御技术也在同步升级,工会网上平台网络安全工作要充分借助最新手段,构筑网络安全防护屏障。一是人工智能作为最具颠覆性和战略性的核心关键技术,在网络安全攻防领域的实践成为其最重要应用方向之一[12],工会网上平台网络安全工作可以充分借助防御性人工智能网络安全技术和进攻性人工智能网络安全技术,加强在威胁检测分类、密码保护及身份验证、漏洞管理等方面发挥人工智能作用。二是利用网络安全主动防御技术——蜜罐,作为一种主动防御手段,其通过在网络中部署感知节点,可以收集网络攻击数据,并将捕获到的数据用于网络攻击行为分析和网络取证分析[13]。
4结语
网络安全是推进工会网上平台建设和开展工会网上业务工作的重要前提和基础,工会网上平台建设要确保安全措施同步规划、同步建设、同步使用。网络恶意攻击具有手段多、成本低、攻击隐蔽、持续时间长等特点,因此网络安全工作与其他常规工作有很大的不同,需要工会组织高度重视,建立健全工作机制,培养专业人才队伍,约束平台承建单位网络安全责任,树立工作人员网络安全意识,强化技术保障,确保网络安全主管部门有关要求落实落地,保障工会网上平台网络安全。
参考文献
[1] 谌佳明.某省工会普惠服务平台设计与实现[D].南昌:江西财经大学,2017.
[2] 王洪星.“互联网+”视角下的济南市市中区工会工作问题与对策研究[D].济南:山东大学,2018.
[3] 苏日娜.“互联网+”时代工会网上工作的进展、问题和对策[J].山东工会论坛,2020,26(5):59-66.
[4] 刘若实.浙江省工会网上工作的实践与思考[J].山东工会论坛,2018(2):54-60.
[5] 魏勇,张崇华,孙利斌,等.“智慧工会”建设探索——以山东省为例[J].山东工会论坛,2019,25(2):1-7.
[6] 覃显晶.新时期高校智慧工会的构建研究[J].新西部(下旬刊),2019(10):130,129.
[7] 安晖.加强网络安全建设促进产业数字化转型[J].中国信息安全,2020(11):32-34.
[8] 王明鹏.社会工程学在网络系统运维中的攻击方法及防范[J].中国科技信息,2020(10):75-78.
[9] 桂畅旎.2020年国际网络空间发展与安全态势[J].中国信息安全,2020(12):40-45.
[10] 王涵,佑军,江逸茗,等.一种拟态蜜罐系统的设计与研究[J].网络安全技术与应用,2021(2):1-3.
[11] 张一梅.电子政务网络安全威胁及应对措施研究[J].网络安全技术与应用,2021(8):112-113.
[12] 穆琳.2020年网络新技术新应用在网络安全领域的发展特点[J].中国信息安全,2020(12):53-57.
[13] 张昊.基于虚拟蜜罐的网络攻击行为分析与取证技术研究[D].沈阳:沈阳理工大学,2018.