信息安全等级保护条例范文

时间:2024-02-29 17:50:44

导语:如何才能写好一篇信息安全等级保护条例,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

信息安全等级保护条例

篇1

【 关键词 】 信息安全;等级保护;现状及问题;建议

【 中图分类号 】 TP393.08 【 文献标识码 】 A

Discussion the Status of Information Security base on Graded Protection

Zhang Wei-li

(CCID Think tank, China Center of Information Industry Development Beijing100048)

【 Abstract 】 Information Security base on Graded Protection is a basic regime of the construction of information security in our country, and is an important means to guarantee the healthy development of information technology. Information Security base on Graded Protection ,development both at home and abroad were introduced in this paper, as well as the status quo of Graded Protection in China. On this basis, the paper analyzes the problems existing in the Graded Protection in China, and put forward some Suggestions for bettering Graded Protection work.

【 Keywords 】 information security; graded protection; status and problems; suggestion

1 引言

目前对信息及信息系统实行分等级保护是各国保护关键基础设施的通行做法。在我国信息安全等级保护是保障国家信息安全的一项基本制度。通过信息安全等级保护工作,实现信息安全资源的优化配置,重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全,有效提高我国信息和信息系统安全建设的整体水平。

1.1 信息安全等级保护的概念及等级划分

信息系统安全等级保护是指对信息以及信息系统分等级进行安全保护和监管;对信息安全产品的使用进行分等级管理;对信息系统中发生的信息安全事件分等级响应、处置的综合性工作制度。

根据信息系统在国家安全、经济建设、社会生活中的重要程度,以及信息系统遭到破坏后对国家安全、社会秩序、公共利益,以及公民、法人和其他组织的合法权益的危害程度等因素,将信息系统安全等级由低到高分为五个等级:第一级,自主保护级;第二级,指导保护级;第三级,监督保护级;第四级,强制保护级;第五级,专控保护级。依据安全保护能力也划分为五个等级:第一级,用户自主保护级;第二级,系统审计保护级;第三级,安全标记保护级;第四级结构化保护级;第五级访问验证保护级。

1.2 国外信息安全等级保护的发展历程

等级保护思想最早源于20世纪60年代的美军文件保密制度,其中第一个比较成熟并且具有重大影响的是1985年的《可信计算机系统评估准则》(TCSEC),该准则是当时美国国防部为适应军事计算机的保密需要提出的,主要是针对没有外部连接的多用户系统提出。

受美国等级保护思想的影响,欧盟和加拿大也分别制定自己的等级保护评估准则。英、法、德、荷等四国于1991年提出了包含保密性、完整性、可用性等概念的欧共体的《信息技术安全评估准则》(ITSEC)。ITSEC 作为多国安全评估标准的综合产物,适用于军队、政府和商业部门。1993年加拿大公布《可信计算机产品评估准则》(CTCPEC)3.0版本。CTCPEC作为TCSEC和ITSEC的结合,将安全分为功能性要求和保证性要求两部分。功能性要求分为机密性、完整性、可用性、可控性等四个大类。

为解决原各自标准中出现的概念和技术上的差异,1996年美国、欧盟、加拿大联合起来将各自评估准则合为一体,形成通用评估准则(Common Criteria)。1999年出台的CC2.1版本被ISO采纳,作为ISO15408。在CC中定义了评估信息技术产品和系统安全性所需要的基础准则,是度量信息技术安全性的基准。

1.3 我国信息安全等级保护的发展历程

在国际信息安全等级保护发展的同时,随着信息化建设的发展,我国的等级保护工作也被提上日程。其发展主要经历了四个阶段。

1994-2003年是政策环境营造阶段。国务院于1994年颁布《中华人民共和国计算机信息系统安全保护条例》,规定计算机信息系统实行安全等级保护。2003年,中央办公厅、国务院办公厅颁发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出“实行信息安全等级保护”。此文件的出台标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障一项基本制度。

2004-2006年是等保工作开展准备阶段。2004年至2006年期间,公安部联合四部委开展了涉及65117家单位,共115319个信息系统的等级保护基础调查和等级保护试点工作。通过摸底调查和试点,探索了开展等级保护工作领导、组织、协调的模式和办法,为全面开展等级保护工作奠定了坚实的基础。

2007-2010年是等保工作正式启动阶段。2007年6月,四部门联合出台了《信息安全等级保护管理办法》。7月四部门联合颁布了《关于开展全国重要信息系统安全等级保护定级工作的通知》,并于7月20日召开了全国重要信息系统安全等级保护定级工作部署专题电视电话会议,标志着我国信息安全等级保护制度历经十多年的探索正式开始实施。

2010年至今是等保工作规模推进阶段。2010年4月,公安部出台了《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》,提出等级保护工作的阶段性目标。2010年12月,公安部和国务院国有资产监督管理委员会联合出台了《关于进一步推进中央企业信息安全等级保护工作的通知》,要求中央企业贯彻执行等级保护工作。至此我国信息安全等级保护工作全面展开,等保工作进入规模化推进阶段。

2 我国信息安全等级保护的现状

2.1 等级保护的组织架构初步形成

截止目前,除了国家信息安全等级保护协调小组办公室外,在大陆31个省、自治区、直辖市当中除天津、黑龙江、河南、重庆、陕西外,有26个行政区成立了省级的信息安全等级保护协调小组办公室。22个省、自治区、直辖市建立了信息安全等级保护联络员制度,共确定1598名联络员。获得信息安全等级保护测评机构推荐资质的测评机构共121家,除新疆外各省均有获得资质的等级保护测评机构,其中国家的测评机构有7家,北京市有10家,江苏省有14家,浙江省、山东省各有7家,广东省有6家,其他省、自治区、直辖市有1-5家不等。25个行政区建立了等级保护专家组,共确定441名专家。

2.2 信息安全等级保护的政策体系初步形成

为组织开展信息安全等级保护工作,国家相关部委(主要是公安部牵头组织,会同国家保密局、国家密码管理局、原国务院信息办和发改委等部门)相继出台了一系列文件,对具体工作提供了指导意见和规范,这些文件初步构成了信息安全等级保护政策体系。具体关系如图1。

《中华人民共和国计算机信息系统安全保护条例》和《国家信息化领导小组关于加强信息安全保障工作的意见》分别是开展信息安全等级保护工作的法律依据和政策依据。《关于信息安全等级保护工作的实施意见》和《信息安全等级保护管理办法》是在法律依据和政策依据的基础上制定的政策文件,其为等级保护工作的开展提供宏观指导。在上述基础上,针对信息安全等级保护工作的定级、备案、安全建设整改、等级测评、监督检查的各工作环节制定具有操作性的指导文件。政策体系的形成,为组织开展等级保护工作、建设整改工作和等级测评工作提供了指导,明确了各环节的工作目标、工作要求和工作流程。

2.3 信息安全等级保护的标准体系基本完善

为推动信息安全等级保护工作,全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会组织制订了信息安全等级保护工作需要的一系列标准,汇集成《信息安全等级保护标准汇编》,为开展等级保护工作提供了标准指导。这些标准与等保各环节的工作关系如图2所示。

《计算机信息系统安全保护等级划分准则》及配套标准是《信息系统安全等级保护基本要求》的基础。《信息系统安全等级保护基本要求》是信息系统安全建设整改的依据,信息系统安全建设整改应以落实《基本要求》为主要目标。《信息系统安全等级保护定级指南》是定级工作的指导性文件,为信息系统定级工作提供了技术支持。《信息系统安全等级保护测评要求》等标准规范了等级测评活动,为等级测评机构开展等级测评活动提供了测评方法和综合评价方法。《信息系统安全等级保护实施指南》是信息系统安全等级保护建设实施的过程控制标准,用于指导信息系统运营使用单位了解和掌握信息安全等级保护工作的方法、主要工作内容以及不同的角色在不同阶段的作用。

2.4 信息安全等级保护的工作取得一定进展

各重点行业根据等级保护的政策要求开展了本系统内的等级保护工作。为落实相关等级保护政策有关行业制定了自己的行业标准,例如《广播电视相关信息系统安全等级保护等级指南》、《水利网络与信息安全体系建设基本技术要求》等。金融领域,人民银行出台了《中国人民银行关于银行业金融机构信息系统安全等级保护等级的指导意见》,并于2012年了金融行业的《金融行业信息系统信息安全等级保护实施指引》、《金融行业信息安全等级保护测评服务安全指引》、《金融行业信息系统信息安全等级保护测评指南》等三项行业标准,在采用《信息系统信息安全等级保护基本要求》的590项基本要求的基础上,补充细化基本要求项193项,新增行业特色要求项269项,为金融行业开展关键信息系统信息安全等级保护实施工作具奠定了坚实基础。

测评和安全建设工作有序开展。截止到2012年底,全国已经开展了5万多个第二级信息系统和4万多个三级系统的等级测评,并完成了相应的信息系统的等级保护安全建设整改。2012年底,全国性银行业金融机构完成了880个二级以上信息系统的定级评审。2012年对反洗钱中心、征信中心、清算中心和金融中心的48个重要信息系统进行了测评,共发现4284项安全问题,整改完整3451向,通过整改后其信息系统的整改测评率达到了90%以上。

3 我国信息安全等级保护存在的问题

3.1 信息系统运营使用单位对等级保护工作的重视程度还不够

近年来信息安全等级保护主管部门高度重视等级保护工作,制定相关政策和标准,举办等级测评师培训等,但信息系统主管部门以及全社会对信息安全等级保护在信息安全保障体系中的基础性地位认识还不到位,难以将等级保护制度和已有信息安全防护体系相衔接,工作方式简单,手段缺乏,甚至出现以其他工作代替信息安全等级保护工作的消极倾向。同时,在工作中,一些企业还存在不愿投资,不愿受监管的思想,为节省人力、物力、财力将本该定为三级的重要信息系统定位二级,这些都影响信息安全等级保护制度的全面落实。

3.2 等级保护属于合规性被动防护与目前信息安全主动防御需求还有差距

信息安全等级保护属于政策性驱动的合规性保护,这种合规性保护只关注通用信息安全需求,并且属于被动保护,对于当前信息安全保护中的主动防御要求还有差距。例如,中国铁路客户服务中心12306网站定义为等级保护四级,2012年,曾暴露出被黑客拖库,以及因机房空调问题停止服务等问题,而这两项内容都在等级保护规范中有明确的要求。所以,认为通过等级保护的评测就不会出问题显然是一种误区。

另外,2010年“震网”病毒事件破坏了伊朗核设施,表明网络攻击由传统“软攻击”上升为直接攻击要害系统的“硬摧毁”。2013年曝出的棱镜门事件,2014年曝出的美国国安局入侵华为服务器等,这些事件表明当今信息安全的主要特征是要建立主动防御体系,例如建立授权管理机制、行为控制机制以及信息的加密存储机制,即使信息得到泄露也不会被黑客轻易获得。而等级保护是一种被动的、前置的保护手段,与当前信息安全保护所要求的实时的、主动防御还有一定的差距。

3.3 现有防护手段难以满足新技术发展应用中的信息安全需求

信息安全等级保护政策标准的滞后,难以满足新技术应用的信息安全需求。例如,当前的物联网、云计算、移动互联网的应用呈现出新特点,提出了新的安全需求,在网络层面原本相对比较封闭的政府、金融、能源、制造系统开始越来越多的与互联网相连接;计算资源层面,云计算的应用,呈现出边界的消失、服务的分散、数据的迁移等特点,使得业务应用和信息数据面临的安全风险愈发复杂化。用户终端层面,移动互联、智能终端大行其道,BYOD的应用等,都为企业信息安全管理提出新挑战。

大数据的应用,很可能会出现将某些敏感业务数据放在相对开放的数据存储位置的情况。针对这些边界逐渐消失,服务较为分散,应用呈现虚拟化,敏感业务数据放在相对开放的数据存储位置,等级保护的“分区、分级、分域”保护的原则已无法有效应用。如何有效满足新技术应用下的信息安全需求,也是等级保护下一步需要考虑的内容。

4 进一步做好信息安全等级保护的相关建议

4.1 扩大宣传力度,提高全社会对等保的重视程度

等级保护是我国信息安全建设的基本制度,需提高全社会对等级保护的重视程度,尤其是要提高信息系统主管部门对信息安全等级保护工作重要性的认识。在工作中,可以通过重要信息系统之间的项目依赖性分析,关键部门影响性分析等方法,来增强信息系统主管部门以及全社对信息系统信息安全重要性的认识。在各行业、企业内部,应当通过加强宣传教育培训,提高信息系统使用和运维人员的对信息安全等级保护的重视程度。在等级保护工作推进工作中,对故意将信息系统安全级别定低现象进行严查。

4.2 引入可信计算等主动防御理念,充分发挥等保在信息安全建设中的作用

要充分发挥等保在国家信息安全建设中的作用,需要从技术和管理两个方面进行安全建设,做到可信、可控、可管;并且应当具有抵御来自敌对组织高强度连续攻击(APT)的能力,以满足当前信息安全形势的需求。而可信计算技术可以实现计算处理结果与预期的相一致,中间过程可控制管理、可度量验证。因此,可在信息安全等级保护基本要求等技术标准中引入可信计算的理念,将传统的三重防护上升为可信计算环境、可信边界、可信通信网络组成的可信环境下的三重防护,从而实现主体的可信计算安全,进一步实现等级保护主动防御功能,充分发挥等级保护在信息安全建设中的作用。

4.3 完善等保技术标准体系,推进等级保护在云计算中的应用

针对当前的物联网、工业控制系统、移动互联网,云计算应用中带来的数据高度集中、高虚拟化等的特点,信息安全等级保护应当在等级保护建设时必须加入对终端安全更高的基本需求。例如,在业务终端与业务服务器之间进行路由控制建立安全的访问路径;通过设定终端接入方式、网络地址范围等条件限制终端登录等。同时在虚拟环境下,要求安全设备能识别网络虚拟标签,区分每台虚拟机主机。针对云计算中边界模糊化的特点,可以通过软件安全实现对动态边界的监测,保证其安全。具体推进中,可以通过完善等级保护相关整改建设指南,等级测评工作指南以及相关技术标准等,以指导具体工作的开展,从而以推进等级保护在云计算、物联网、工控领域的等中的应用。

4.4 借鉴经验,完善等级保护制度设计和体系建设

目前《信息安全等级保护定级指南》确定的对象是信息系统,《信息安全等级保护基本要求》也是针对自身具备运行的物理环境、网络环境、系统环境和应用以及相关人员和管理体系等完整、标准的意义上的信息系统而提出的,而对于重要信息系统运行所依赖的网络系统、IDC(互联网数据中心)、灾备中心等这样的对象,无论是定级方法、保护要求还是测评结果判定方面等都还存在不合适的地方。

对此可以在定级过程中,参考美国经验,引入系统法(特别是相互依赖性分析)和象征法,加深对定级对象的认识,通过仿真建模等分析技术进行定级合理性的验证。在等级测评过程可以引入风险分析、威胁评价、系统分析等过程加强测评结果的可量化性。同时研究国外相关信息安全建设中的法律体系、标准体系、组织保障体系等,并在此基础上进行自主创新,以改进我们等级保护实践中发展的制度设计问题,提高政策、理论和技术水平。

5 结束语

当前信息技术发展迅速,信息安全面临的国际形势日益严峻,信息安全等级保护作为贯穿信息系统整个生命周期的信息安全保障措施,应当不断完善其法律体系、技术标准体系以及实施保障机制等,以适应满足新形势下的信息安全需求。

参考文献

[1] 《信息安全等级保护管理办法》(公通字[2007] 43 号).公安部,2007.

[2] 《计算机信息系统安全保护等级划分准则》(GB17859).

[3] DoD ,Trusted Computer System Evaluation Criteria(Orange Book), 26 December 1985.

[4] Information Technology Security Evaluation Criteria;1994.

[5] The Canadian Trusted Computer Product Evaluation Criteria;Version 3 ;1993.

[6] Common Criteria Project Sponsoring Organisations. Common Criteria for Information Security Evaluation Part 1-3, Version2.1. Augest 1999.

[7] ISO/IEC 15408-1:2005 Information technology ―― Security techniques ―― Evaluation criteria for IT security.

[8] 国务院.《中华人民共和国计算机信息系统安全保护条例》. 1994.

[9] 公安部、国家保密局、国家密码管理委员会和国家信息办.《信息安全等级保护的实施意见》(公信安[2007] 861 号). 2007.

[10] 宋言伟,马钦德,张健.信息安全等级保护政策和标准体系综述.信息通信技术,2010(6):59-61.

篇2

信息安全管理系统作为信息安全的支撑体系以及实施信息安全维护的落脚点,是信息安全管理中的重要组成部分。目前我国的信息安全管理系统还尚未完善,其不足之处首先表现为缺少统一的存储平台来对众多的文档进行储存,从而导致大量文档的丢失;其次,如果信息安全管理系统不完善,就不能降低资产等的风险评估以及对资产进行集中式的管理;最后,由于信息安全系统中各个报表功能的不完善,文档信息就无法快速、准确地透露出信息安全的实际状况,从而起到有效地保护作用。信息安全管理系统主要能够通过对关键资产实行定性和定量分析,从而得出资产的精确风险值,识别系统中存在的重要因患资产,并进一步通知信息管理员采取适当地方法来减少隐患事件的发生,通过科学的管理降低企业的资产风险。由此可见,完善的信息安全管理系统是不可或缺的,它一方面决定着信息安全管理体系的具体实施,另一方面也可以促进企业信息安全管理体系的进一步维护与建设。

2信息安全管理系统标准

科学统一的国家信息安全标准,有利于协调与融合各个信息安全管理系统的工作,充分促进信息安全标准系统的功能发挥。我国的信息安全管理标准主要分为ISO/IEC27000系列标准与信息安全等级保护标准两个部分。

2.1ISO/IEC27000系列标准

1995年,英国标准协会(BSI)了BS7799-1和BS7799-2两部标准,随着时代的进步其逐渐发展为ISO/IEC27001和ISO/IEC27002两个部分,并进一步成为目前信息安全管理体系的主要核心标准。BS7799的最初提出目的主要在于建立起一套能够用于开发、实施以及测量的科学信息安全管理惯例,并作为一种通用框架来促进贸易伙伴之间的信任。ISO/IEC27001重视ISMS的建构以及在PDCA基础之上的进一步循环与完善,这一过程实质上就是在宏观的角度上来指导整个项目的有效实施。它意在风险管理的基础之上,用风险分析的途径,把发生信息风险的概率降到最低程度,同时采取适当地措施来保障主体业务的顺利进行。ISO/IEC27002主要阐述了133项控制细则,以及11项需要有效控制的项目,其中包括安全策略、安全组织、信息安全事件管理、人力资源安全、符合性物理与环境安全、访问控制、资产管理、系统的开发与维护、业务连续性管理、通信与操作安全等一系列的安全风险评估与控制。

2.2信息安全等级保护

1994年国务院出台了《中华人民共和国计算机信息系统安全保护条例》,该项基本制度的主要目的在于提高信息安全保障能力的水平、保障并促进信息化的健康与发展,从而进一步维护国家安全、社会发展以及人民群众的利益。它的核心标准《GB17859-1999计算机信息系统安全保护等级划分准则》是在TCSEC的分级保护思想基础之上,针对我国信息安全的发展实际进行改善,最终把安全等级缩减成更具可操作性的5个级别。《GB/T22239-2008信息系统安全等级保护基本要求》则把信息安全控制要求进一步整理为管理要求与技术要求两类,其中前者主要包括系统建设管理、安全管理制度、系统运维管理、安全管理机构和人员安全管理;后者主要包括应用安全、网络安全、物理安全、主机安全以及数据安全与备份恢复。此外,信息安全等级保护的系列标准里还包括《GB/T20270-2006网络基础安全技术要求》以及《GB/T20271-2006信息系统安全通用要求》等一些关于信息安全维护细则的具体操作要求。

3信息安全管理系统的模型设计

根据信息安全管理系统标准,结合以往的信息安全管理系统设计,提出一种新型的四层信息安全管理系统:第一层为信息采集:主要包括人工脆弱性检查、漏洞扫描工具以及日志采集系统三部分。这一信息采集层的主要功能在于采集安全保护对象的漏洞与安全事件。第二层是数据库层:包括日志、资产库、异常日志以及资产弱点库和资产风险库等。该数据库层的主要功能在于对信息安全管理系统中的数据进行存储。第三层为功能模块层:包括资产管理、风险管理、弱点管理、信息安全管理规范下载管理资产等级评估管理、拓补管理以及日志分析。最后一层为展示层:它包含某个具体业务系统中的业务系统整体安全状况、资产安全状况、业务系统拓补以及异常安全事件等相关部分。上述新型信息安全管理系统模型主要体现出以下六点创新之处:

(1)业务系统的动态建模和系统支持资产,可以把业务系统和资产二者绑定在一起,由此,整个信息安全系统一方面可以准确地体现出在一个具体业务系统环境下,其单独资产的具体安全状况;另一方面该信息安全系统还能够根据IS027001的具体标准,反应出整个资产所承载的整体业务系统的安全状况。

(2)所设计的风险模块管理可以把风险评估常态化、主动化,使其对整个业务周期内的所有资产风险进行动态的跟踪与准确分析;另外,该信息安全系统的日志审计功能也可以实现被动式的安全管理,从而使主动管理与被动管理在信息安全管理系统中充分融合。

(3)该新安全管理系统增加并促进了拓补管理功能的发挥。

篇3

 

为了贯彻国家对信息系统安全保障工作的要求以及等级化保护坚持“积极防御、综合防范”的方针,需要全面提高信息安全防护能力。贵州广电网络信息系统建设需要进行整体安全体系规划设计,全面提高信息安全防护能力,创建安全健康的网络环境,保护国家利益,促进贵州广电网络信息化的深入发展。

 

1安全规划的目标和思路

 

贵州广电网络目前运营并管理着两张网络:办公网与业务网;其中办公网主要用于贵州广电网络各部门在线办公,重要的办公系统为OA系统、邮件系统等;业务网主要提供贵州广电网络各业务部门业务平台,其中核心业务系统为BOSS系统、互动点播系统、安全播出系统、内容集成平台以及宽带系统等。

 

基于对贵州广电网络信息系统的理解和国家信息安全等级保护制度的认识,我们认为,信息安全体系是贵州广电网络信息系统建设的重要组成部分,是贵州广电网络业务开展的重要安全屏障,它是一个包含贵州广电网络实体、网络、系统、应用和管理等五个层面,包括保护、检测、响应、恢复四个方面,通过技术保障和管理制度建立起来的可靠有效的安全体系。

 

1.1设计目标

 

贵州广电网络就安全域划分已经进行的初步规划,在安全域整改中初见成效,然而,安全系统建设不仅需要建立重要资源的安全边界,而且需要明确边界上的安全策略,提高对核心信息资源的保护意识。贵州广电网络相关安全管理体系的建设还略显薄弱,管理细则文件亟需补充,安全管理人员亟需培训。因此,本次规划重点在于对安全管理体系以及目前的各个业务系统进行了全面梳理,针对业务系统中安全措施进行了重点分析,综合贵州广电网络未来业务发展的方向,进行未来五年的信息安全建设规划。

 

1.2设计原则

 

1.2.1合规性原则

 

安全设计要符合国家有关标准、法规要求,符合广电总局对信息安全系统的等级保护技术与管理要求。良好的信息安全保障体系必然是分为不同等级的,包括对信息数据保密程度分级,对用户操作权限分级,对网络安全程度分级(安全子网和安全区域),对系统实现结构的分级(应用层、网络层、链路层等),从而针对不同级别的安全对象,提供全面、可选的安全技术和安全体制,以满足贵州广电网络业务网、办公网系统中不同层次的各种实际安全需求。

 

1.2.2技管结合原则

 

信息安全保障体系是一个复杂的系统工程,涉及人、技术、操作等要素,单靠技术或单靠管理都不可能实现。因此,必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。

 

1.2.3实用原则

 

安全是为了保障业务的正常运行,不能为了安全而妨碍业务,同时设计的安全措施要可以落地实现。

 

1.3设计依据

 

1.3.1“原则”符合法规要求

 

依据《中华人民共和国计算机信息系统安全保护条例K国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[20〇3]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)、《信息安全等级保护管理办法》(公通字[2007]43号)和GB/T22240-2009《信息安全技术信息系统安全等级保护定级指南》、GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》、《广播电视安全播出管理规定》(广电总局62号令)、GDJ038-CATV|有线网络。

 

2011《广播电视播出相关信息系统等级保护基本要求》,对贵州省广播电视相关信息系统安全建设进行规划。

 

1.3.2“策略”符合风险管理

 

风险管理是基于“资产-价值-漏洞-风险-保障措施”的思想进行保障的。风险评估与管理的理论与方法已经成为国际信息安全的标准。

 

风险管理是静态的防护策略,是在对方攻击之前的自我巩固的过程。风险分析的核心是发现信息系统的漏洞,包括技术上的、管理上的,分析面临的威胁,从而确定防护需求,设计防护的措施,具体的措施是打补丁,还是调整管理流程,或者是增加、增强某种安全措施,要根据用户对风险的可接受程度,这样就可以与安全建设的成本之间做一个平衡。

 

1.3.3“措施”符合P2DR模型

 

美国ISS公司(IntemetSecuritySystem,INC)设计开发的P2DR模型包括安全策略(Policy)、检测(Detection)、防护(Protection)和响应(Response)四个主要部分,是一个可以随着网络安全环境的变化而变化的、动态的安全防御系统。安全策略是整个P2DR模型的中枢,根据风险分析产生的安全策略描述了系统中哪些资源要得到保护,以及如何实现对它们的保护等,策略是模型的核心,所有的防护、检测和响应都是依据安全策略实施的。

 

检测(Detection)、防护(Protection)和响应(Response)三个部分又构成一个变化的、动态的安全防御体系。P2DR模型是在整体的安全策略的控制和指导下,在综合运用防护工具(如防火墙、身份认证、加密等)的同时,利用检测工具(如漏洞评估、入侵检测等)了解和评估系统的安全状态,通过适当的反应将系统调整至“最安全”和“风险最低”的状态,在安全策略的指导下保证信息系统的安全[3]。

 

1.4安全规划体系架构

 

在进行了规划“原则”、“策略”、“措施”探讨的基础上,我们设计贵州广电网络的安全保障体系架构为“一个中心、两种手段”。

 

“一个中心”,以安全管理中心为核心,构建安全计算环境、安全区域边界和安全通信网络,确保业务系统能够在安全管理中心的统一管控下运行,不会进入任何非预期状态,从而防止用户的非授权访问和越权访问,确保业务系统的安全。

 

“两种手段”,是安全技术与安全管理两种手段,其中安全技术手段是安全保障的基础,安全管理手段是安全技术手段真正发挥效益的关键,管理措施的正确实施同时需要有技术手段来监管和验证,两者相辅相成,缺一不可。

 

2安全保陳方案规划

 

2.1总体设计

 

贵州广电网络的安全体系作为信息安全的技术支撑措施,分为五个方面:

 

边界防护体系:安全域划分,边界访问控制策略的部署,主要是业务核心资源的边界,运维人员的访问通道。

 

行为审计体系:通过身份鉴别、授权管理、访问控制、行为曰志等手段,保证用户行为的合规性。

 

安全监控体系:监控网络中的异常,维护业务运行的安全基线,包括安全事件与设备故障,也包括系统漏洞与升级管理。

 

公共安全辅助:作为整个网络信息安全的基础服务系统,包括身份认证系统、补丁管理系统以及漏洞扫描系统等。

 

IT基础设施:提供智能化、弹能力的基础设施,主要的机房的智能化、服务器的虚拟化、存储的虚拟化等。

 

2.2安全域划分

 

划分安全域的方法是首先区分网络功能区域,服务器资源区、网络连接区、用户接入区、运维管理区、对外公共服务区;其次是在每个区域中,按照不同的安全需求区分不同的业务与用户,进一步划分子区域;最后,根据每个业务应用系统,梳理其用户到服务器与数据库的网络访问路径,通过的域边界或网络边界越少越好。

 

Z3边界防护体系规划

 

边界包括网络边界、安全域边界、用户接口边界(终端与服务器)、业务流边界,边界上部署访问控制措施,是防止非授权的“外部”用户访问“里面”的资源,因此分析业务的访问流向,是访问控制策略设计的依据。

 

2.3.1边界措施选择

 

在边界上我们建议四种安全措施:

 

1.网络边界:与外部网络的边界是安全防护的重点,我们建议采用统一安全网关(UTM),从网络层到应用层的安全检测,采用防火墙(FW)部署访问控制策略,采用入侵防御系统(IPS)部署对黑客入侵的检测,采用病毒网关(AV)部署对病毒、木马的防范;为了方便远程运维工作,与远程办公实施,在网络边界上部署VPN网关,对远程访问用户身份鉴别后,分配内网地址,给予限制性的访问授权。Web服务的SQL注入、XSS攻击等。

 

3.业务流边界:安全需求等级相同的业务应用采用VLAN隔离,采用路由访问限制策略;不同部门的接入域也采用VLAN隔离,防止二层广播,通知可以在发现安全事件时,开启不同子域的安全隔离。

 

4.终端边界:重点业务系统的终端,如运维终端,采用终端安全系统,保证终端上系统的安全,如补丁的管理、黑名单软件管理、非法外联管理、移动介质管理等等。

 

2.3.2策略更新管理

 

边界是提高入侵者的攻击“门槛”的,部署安全策略重点有两个方面:一是有针对性。允许什么,不允许什么,是明确的;二是动态性。就是策略的定期变化,如访问者的口令、允许远程访问的端口等,变化的周期越短,给入侵者留下的攻击窗口越小。

 

2.4行为审计体系规划

 

行为审计是指对网络用户行为进行详细记录,直接的好处是可以为事后安全事件取证提供直接证据,间接的好处乇两方面:对业务操作的日志记录,可以在曰后发现操作错误、确定破坏行为恢复时提供操作过程的反向操作,最大程度地减小损失;对系统操作的日志记录,可以分析攻击者的行为轨迹,从而判断安全防御系统的漏洞所在,亡羊补牢,可以弥补入侵者下次入侵的危害。

 

行为审计主要措施包括:一次性口令、运维审计(堡垒机)、曰志审计以及网络行为审计。

 

2.5安全监控体系规划

 

监控体系不仅是网络安全态势展示平台,也是安全事件应急处理的指挥平台。为了管理工作上的方便,在安全监控体系上做到几方面的统一:

 

1.运维与安全管理的统一:业务运维与安全同平台管理,提高安全事件的应急处理速度。

 

2.曰常安全运维与应急指挥统一:随时了解网络上的设备、系统、流量、业务等状态变化,不仅是日常运维发现异常的平台,而且作为安全事件应急指挥的调度平台,随时了解安全事件波及的范围、影响的业务,同时确定安全措施执行的效果。

 

3.管理与考核的统一:安全运维人员的工作考核就是网络安全管理的曰常工作与紧急事件的处理到位,在安全事件的定位、跟踪、处理过程中,就体现了安全运维人员服务的质量。因此对安全运维平台的行为记录就可以为运维人员的考核提供一线的数据。

 

安全监控措施主要包括安全态势监控以及安全管理平台,2.6公共安全辅助系统

 

作为整个网络信息安全的基础服务系统,需要建设公共安全辅助系统:

 

1.身份认证系统:独立于所有业务系统之外,为业务、运维提供身份认证服务。

 

2.补丁管理系统:对所有系统、应用的补丁进行管理,对于通过测试的补丁、重要的补丁,提供主动推送,或强制执行的技术手段,保证网络安全基线。

 

3.漏洞扫描系统:对于网络上设备、主机系统、数据库、业务系统等的漏洞要及时了解,对于不能打补丁的系统,要确认有其他安全策略进行防护。漏洞扫描分为两个方面,一是系统本身的漏洞,二是安全域边界部署了安全措施之后,实际用户所能访问到的漏洞(渗透性测试服务)。

 

2.7IT基础设施规划

 

IT基础设施是所有网络业务系统服务的基础,具备一个优秀的基础架构,不仅可以快速、灵活地支撑各种业务系统的有效运行,而且可以极大地提高基础IT资源的利用率,节省资金投入,达到环保的要求。

 

IT基础设施的优化主要体现在三个方面:智能机房、服务器虚拟化、存储虚拟化。

 

3安全筐理体系规划

 

在系统安全的各项建设内容中,安全管理体系的建设是关键和基础,建立一套科学的、可靠的、全面而有层次的安全管理体系是贵州省广播电视信息网络股份有限公司安全建设的必要条件和基本保证。

 

3_1安全管理标准依据

 

以GBAT22239-2008《信息安全技术信息系统安全等级保护基本要求》中二级、三级安全防护能力为标准,对贵州广电网络安全管理体系的建设进行设计。

 

3.2安全管理体系的建设目标

 

通过有效的进行贵州广电网络的安全管理体系建设,最终要实现的目标是:采取集中控制模式,建立起贵州广电网络完整的安全管理体系并加以实施与保持,实现动态的、系统的、全员参与的、制度化的、以预防为主的安全管理模式,从而在管理上确保全方位、多层次、快速有效的网络安全防护。

 

3.3安全管理建设指导思想

 

各种标准体系文件为信息安全管理建设仅仅提供一些原则性的建议,要真正构建符合贵州广电网络自身状况的信息安全管理体系,在建设过程中应当以以下思想作为指导:“信CATV丨有线网络息安全技术、信息安全产品是信息安全管理的基础,信息安全管理是信息安全的关键,人员管理是信息安全管理的核心,信息安全政策是进行信息安全管理的指导原则,信息安全管理体系是实现信息安全管理最为有效的手段。”

 

3.4安全管理体系的建设具体内容

 

GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》(以下简称《基本要求》)对信息系统的安全管理体系提出了明确的指导和要求。我们应以《基本要求》为标准,结合目前贵州广电网络安全管理体系的现状,对广电系统的管理机构、管理制度、人员管理、技术手段四个方面进行建设和加强。同时,由于信息安全是一个动态的系统工程,所以,贵州广电网络还必须对信息安全管理措施不断的加以校验和调整,以使管理体系始终适应和满足实际情况的需要,使贵州广电网络的信息资产得到有效、经济、合理的保护。

 

贵州广电网络的安全管理体系主要包括安全管理机构、安全管理制度、安全标准规范和安全教育培训等方面。

 

通过组建完整的信息网络安全管理机构,设置安全管理人员,规划安全策略、确定安全管理机制、明确安全管理原则和完善安全管理措施,制定严格的安全管理制度,合理地协调法律、技术和管理三种因素,实现对系统安全管理的科学化、系统化、法制化和规范化,达到保障贵州广电网络信息系统安全的目的。

 

3.5曰常安全运维3.5.1安全风险评估

 

安全风险评估是建立主动防御安全体系的重要和关键环节,这环的工作做好了可以减少大量的安全威胁,提升整个信息系统的对网络灾难的免疫能力;风险评估是信息安全管理体系建立的基础,是组织平衡安全风险和安全投入的依据,也是信息安全管理体系测量业绩、发现改进机会的最重要途径。

 

3.5.2网络管理与安全管理

 

网络管理与安全管理的主要措施包括:出入控制、场地与设施安全管理、网络运行状态监控、安全设备监控、安全事件监控与分析、提出预防措施。

 

3.5.3备份与容灾管理

 

贵州广电网络主要关键业务系统需要双机本地热备、数据离线备份措施;其他相关业务应用系统需要数据离线备份措施。

 

3.5.4应急响应计划

 

通过建立应急相应机构,制定应急响应预案,通过建立专家资源库、厂商资源库等人力资源措施,通过对应急响应有线网络ICATV预案不低于一年两次的演练,可以在发生紧急事件时,做到规范化操作,更快的恢复应用和数据,并最大可能的减少损失

 

3.6安全人员管理

 

信息系统的运行是依靠在各级党政机构工作的人员来具体实施的,他们既是信息系统安全的主体,也是系统安全管理的对象。所以,要确保信息系统的安全,首先应加强人事安全管理。

 

安全人员应包括:系统安全管理员、系统管理员、办公自动化操作人员、安全设备操作员、软硬件维修人员和警卫人员。

 

其中系统管理员、系统安全管理员必须由不同人员担当。3.7技术安全管理

 

主要措施包括:软件管理、设备管理、备份管理以及技术文档管理。

 

4安全规划分期建设路线

 

信息安全保障重要的是过程,而不一定是结果,重要的是安全意识的提高,而不一定是安全措施的多少。因此,信息安全建设也应该从保障业务运营为目标,提高用户自身的安全意识为思路,根据业务应用的模式与规模逐步、分阶段建设,同时还要符合国家与广电总局关于等级保护的技术与管理要求。

 

4.1主要的工作内容

 

根据安全保障方案规划的设计,贵州广电网络的信息安全建设分为如下几个方面的内容:

 

1.网络优化改造:主要是安全域的划分,网络结构的改造。

 

2.安全措施部署:边界隔离措施部署,行为审计系统部署、安全监控体系部署。

 

3.基础设施改造:主要是数据大集中、服务器虚拟化、存储虚拟化。

 

4.安全运维管理:信息安全管理规范、日常安全运维考核、安全检查与审计流程、安全应急演练、曰常安全服务等。

 

4.2分期建设规划

 

4_2.1达标阶段(2015-2017)

 

1.等保建设

 

2.信任体系:网络审计、运维审计、日志审计

 

3.身份鉴别(一次口令)

 

4.监控平台:入侵检测、流量监测、木马监测

 

5.安全管理平台建设

 

6.等保测评通过(2级3级系统)

 

7.安全服务:建立定期模式

 

8.渗透性测试服务(外部+内部)

 

9.安全加固服务,建立服务器安全底线

 

10.信息安全管理

 

11.落实安全管理细则文件制定

 

12.落实安全运维与应急处理流程

 

13.完善IT服务流程,建设安全运维管理平台

 

14.定期安全演练与培训

 

4.2.2持续改进阶段(2018〜2019)

 

1.等保建设

 

2.完善信息安全防护体系

 

3.提升整体防护能力

 

4.深度安全服务

 

5.有针对性安全演练,协调改进管理与技术措施

 

6.源代码安全审计服务(新上线业务)

 

7.信息安全管理

 

8.持续改进运维与应急流程与制度,提高应急反应能力

 

9.提高运维效率,开拓运维增值模式

 

5结東语

篇4

【关键词】通信网络;因素;技术;建设;措施

1.通信网络安全的内涵

通信网络安全是指信息安全和控制安全。其中国际标准化组织把信息安全定义为信息完整性、可用性、保密性和可靠性。而控制安全是指身份认证、不可否认性、授权和访问控制。通信网络的特点是具有开放性、交互性和分散性,能够为用户提供资源共享、开放、灵活和方便快速的信息传递、交流的方式。

2.通信网络安全的现状

2.1通信网络发展现状

中国互联网络信息中心(CNNIC)的《第27次中国互联网络发展状况统计报告》数据显示,截至2010年12月底,我国网民规模达到4.57亿,较2009年底增加7330万人。我国手机网民规模达3.03亿,而网络购物用户年增长48.6%。Research艾瑞市场咨询根据公安部公共信息网络安全监察局统计数据显示,互联网遭受病毒攻击中“浏览器配置被修改”占20.9%。“数据受损或丢失”18%,“系统使用受限”16.1%,“密码被盗”13.1%。通过以上数据显示,可以看出我国的通信网络在飞速发展,而通信网络安全问题日益加剧,通信网络安全建设仍是亟待解决的重点问题。

2.2造成通信网络安全问题的因素

第一,计算机病毒。计算机病毒(Computer Virus)在《中华人民共和国计算机信息系统安全保护条例》中被明确定义,病毒指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。计算机病毒具有复制性、破坏性和传染性。

第二,黑客攻击。中国互联网络信息中心和国家互联网应急中心的调查报告数据显示,仅在2009年我国就有52%的网民曾遭遇过网络安全事件,而网民处理安全事件所支付的相关费用就达153亿元人民币。网络攻击事件给用户带来了严重的经济损失,其中包括网络游戏、即时通信等账号被盗造成的虚拟财产损失,网银密码、账号被盗造成的财产损失等。产生网络安全事件的主因是黑客恶意攻击。通信网络是基于TCP/IP协议,而TCP/IP协议在设计初期是出于信息资源共享的目的,没有进行安全防护的方面的考虑,因此导致了通信网络自身存在安全隐患,也给黑客提供了可乘之机。

第三,通信网络基础建设存在薄弱环节。例如通信网络相关的软硬件设施存在安全隐患。通信网络运营商为了管理方便,会在一些软硬件系统中留下远程终端的登录控制通道,还有一些通信软件程序在投入市场使用中,缺少安全等级鉴别和防护程序,因此形成了通信网络漏洞,容易被不法分子利用而发起入侵网络系统的攻击,使通信信息遭到窃取、篡改、泄露。另外通讯信息传输信道也存在安全隐患,例如许多通信运营商采取的是普通通信线路,没有安置电磁屏蔽,容易被不法分子利用特殊装置对信息进行窃取。

第四,人为因素造成的通信网络安全问题。通信网络的安全高效运行需要高素质、高专业技术水平的人员,而目前的网络管理人员的安全观念和技术水平还有待提升。

3.解决措施

随着我国通信网络功能的不断完善,在人们日常生活、生产和社会经济发展中起到了越来越重要的作用。因此,通信网络安全建设需要采用有效的措施,消除通信网络的安全隐患,加强对非法入侵的监测、防伪、审查、追踪,保障通信网络信息传递的安全性、可靠性、及时性和完整性,加强和完善通信线路的建立、信息传输全过程的安全防护措施。

3.1完善通信网络基础设施建设

通信网络的物理安全是通信网络安全的基础,通信网络基础设施安全主要包括:保护计算机系统(各种网络服务器)、网络设备和通信链路免受自然灾害、人为破坏和物理手段的攻击,加强对系统帐户的管理、用户的分级管理、用户权限的控制,以及系统关键部位的电磁保护防止电磁泄漏,同时要制定通信网络安全管理制度,避免计算机控制室出现偷窃、破坏活动。

3.2完善通信网络安全的法制体系建设

鉴于通信网络存在安全事件造成巨大经济财产损失,需要制定通信网络安全的法律、法规,这也是打击网络犯罪的重要手段。我国在2009年3月实行了《信息安全条例(部内审议稿)》与《电信设施保护条例(草稿)》,明确了网络与信息系统安全、网络信息服务安全、信息技术产品和服务等内容,而且规范了保障电信设施建设与规划、处理公用设施之间的相邻关系、电信设施保护区的划定、电信设施损坏赔偿制度等方面的内容。进一步完善了通信网络安全的法制体系,也为通信网络安全运行提供了法律依据。

3.3运用网络安全技术,保障通信网络安全

3.3.1保障通信网络安全的技术手段

针对通信网络安全问题,采取的技术手段主要包括以下几种。“身份鉴别”、“网络授权”、“数据保护”、“收发确认”、“保证数据的完整性”、“业务流分析保护”。其中“身份鉴别”是基于身份认证技术,通过身份认证技术可以保障信息的机密性、完整性、不可否认性及可控性等功能特性。这几种安全防范措施,是系统开始运行到数据传输,以及通讯业务完成全过程的安全防护,能够有效的保障数据传输的安全性、机密性、完整性。

3.3.2保障通信网络安全的技术类型

建构防御系统还需要利用防火墙技术、入侵检测技术、漏洞扫描技术等。

(1)防火墙技术

防火墙技术是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,能够最大限度的阻止网络中的黑客入侵。

(2)入侵检测技术

入侵检测技术是对防火墙技术的补充。防火墙技术虽然能够保护内部网络不受外部网络的攻击,但它对内部网络的一些非法活动的监控不够完善。依据入侵检测技术而应用的IDS即入侵检测系统,积极主动地对内部攻击、外部攻击和误操作的提供实时保护,IDS能够在网络系统受到危害之前,拦截和响应入侵,提高了信息安全性,同时也能够主动保护网络系统免于计算机病毒、木马以及黑客的攻击。

(3)漏洞扫描技术

由于通信系统自身存在漏洞,需要采用漏洞扫描技术来优化系统设置,针对不同系统软件存在的安全漏洞下载安装补丁程序,能够及时升级网络系统和修改软件设计缺陷,以此提高通信网络系统可靠性、安全性,保障通信网络系统的运行。

4.总结

随着通信网络在全球范围内的飞速发展,人类生活、工作的全部领域都与通信网络息息相关,通信网络提供高效、方便、强大服务功能的同时,其产生通信网络安全问题也给社会经济发展带来了一定的负面影响。因此国家与相关部门要完善法律体系,依据安全技术手段,提高安全防范意识,全方位的增强网络数据的安全、信息的安全、网络系统的安全,促进通信网络的发展。

【参考文献】

篇5

没有安全,何以生存,遑论发展;而信息时代安全的核心内容之一,便是信息安全。盖缘于此,世界上主要发达国家始终十分重视信息安全工作。

1998年5月22日,美国克林顿政府颁布了《保护美国关键基础设施》总统令(PDD63),围绕“信息安全”成立了包括全国信息安全委员会、全国信息安全同盟、关键基础设施保障办公室、首席信息官委员会等10余各全国性机构。同年,美国国家安全局(NSA)制定了《信息安全保障框架》(IATF),提出了深度防御策略。2000年发表了《总统国家安全战略报告》,首次将信息安全明确列入其中。布什政府在911之后成立了国土安全部、国家KIP委员会,并于2002年和2003年陆续颁布了《国家保障数字空间安全策略》、《国家安全战略报告》和《网络空间安全国家战略计划》。奥巴马总统上台不久,就亲自主导了为期60天的信息安全评估项目,并于2009年5月公布了《美国网络安全评估》报告,评估了美国政府在网络空间的安全战略、策略和标准,指出了存在的问题,并提出相应的行动计划。在此基础上,美国政府成立了网络安全办公室,任命了网络安全协调官。2010年6月,美国国防部正式成立了由战略司令部领导的网络战司令部,于2010年10月正式运行。2015年年底,美国《网络安全法》获得正式通过,成为美国当前规制网络安全信息共享的一部较为完备的法律,首次明确了网络安全信息共享的范围,并通过修订2002年《国土安全法》的相关内容,规范国家网络安全增强、联邦网络安全人事评估及其他网络事项。

俄罗斯则早在1995年便颁布了《联邦信息、信息化和信息保护法》,明确界定了信息资源开放和保密的范畴,提出了保护信息的法律责任。1997年俄罗斯出台的《俄罗斯国家安全构想》中明确提出,“保障国家安全应把保障国家经济安全放在第一位”,而“信息安全又是经济安全的重中之重”。2000年普京总统批准了《国家信息安全学说》,明确了俄罗斯联邦信息安全建设的目的、任务、原则和主要内容。

我国政府高度重视信息安全工作,早在1994年,国务院便以147号令颁布了《中华人民共和国计算机信息系统安全保护条例》;2003年国务院成立应急办,颁布了《国家突发公共卫生事件应急条例》;2006年公布了《国家突发公共事件总体应急预案》和《国家网络与信息安全事件应急预案》,确定了4大公共事件及网络信息安全事件的应急措施预案;2007年制定了《国家突发事件应对法》。此外,信息产业部、工信部以及各地方政府和部门在近十余年时间里也陆续出台了各类与信息安全相关的法律法规。信息安全在我国的国家层面上受到高度重视,目前已上升为国家战略。相应地,信息安全工作也已成为各行各业信息化战略规划和信息化建设中不可或缺的内容,气象部门也不例外。

信息安全是一个永恒的主题,信息安全工作永远没有终结的一刻。在国家大力倡导信息化、互联网+、大数据应用和信息安全的现在,认真系统地回顾和审视气象信息安全工作,是完全必要的,因为这可使我们及早发现问题、查漏补缺,使气象信息安全工作进一步发挥出应有的作用。

二、信息安全的本质

(一)信息安全的内涵和特征

信息是气象部门最宝贵的资产,是气象部门赖以立身的最为珍贵的资源。因此,必须对所有气象信息进行妥善的保护。

按业界的规范定义,信息安全主要指信息的保密性、完整性和可用性的保持,即:通过采用计算机软硬件技术、网络技术、密钥技术等安全技术和各种组织管理措施,保护信息在其生命周期内的产生、传输、交换、处理和存储等各个环节中,信息的保密性、完整性和可用性不被破坏,保障业务的连续性,最大限度地减少业务的损失,最大限度地获取业务回报。其中:保密性是指确保只有那些被授予特定权限的人才能够访问到信息;完整性是指保证信息和处理方法的正确性和完整性;可用性则是指确保那些已被授权的用户在其需要的时候,确实可以访问到所需信息。此属常识,不予展开。

信息安全具有如下特征:

1. 信息安全是系统的安全

信息产生于系统、存在于系统、被系统所使用并由系统发挥其作用,所有与信息相关的各系统皆必须纳入信息安全的视野,予以充分的关注和考虑。此外,信息安全是整体的安全,所有与信息相关的部分由信息串联而构成一个相对完整的系统,它的安全直接关系到信息的安全。

2. 信息安全是动态的安全

信息的安全保障是一个动态的过程,没有永久的安全,也不存在满足信息安全的充分条件,信息安全问题不可能一劳永逸地予以解决。保护信息安全不可能是绝对的,而是多种约束条件下的折衷的选择。随着事物的发展和技术的进步,约束条件必然发生变化,而约束条件的变化又将必然导致信息安全方针、策略和措施的相应调整和变化。

3. 信息安全是无边界的安全

网络的广泛互联使得信息系统环境的边界越来越模糊,传统意义上的国界、前方和后方正在消失,人们几乎可以从任何地点、任何时间对任何对象发起网络攻击,因此信息安全是广泛的、无国界的,它无法单凭一个国家、地区或部门就能完全控制,需要从全球信息化角度综合考虑和整体布局。

4. 信息安全是非传统的安全

传统的具有典型外在物理特征的安全因素(如:军事、自然灾害、人为暴力破坏等等)已无法涵盖信息安全所应考虑的全部范畴。在没有诸如军事入侵、自然灾害、传统意义上的恐怖袭击等情况下,信息和信息系统的安全依然会受到诸如计算机病毒、黑客攻击、计算机犯罪、信息垃圾和信息污染等严重威胁。国家的电信、金融、能源、交通等核心领域,气象部门的数据通信、信息处理等核心系统,可能在极短的时间内被攻击瘫痪,导致社会运转的瘫痪和气象业务的崩溃,而此时所有系统的物理器件并未因此而发生实质性的损伤。

信息安全既是信息技术问题,也是组织管理问题。因为信息安全最终必将落实到信息系统的安全层面上,并最终由一个个具体的信息技术和相关产品的有机组合予以实现,没有符合实际的明确的安全目标和方针、科学的设计、认真的维护、以及不断地主动发现新的安全问题并及时予以解决,是无法有效地形成安全环境的;就一个部门而言,一个相对安全的环境的构成必须从人的行为规范、安全体系的科学设计以及部门内部安全环境的构成等诸多方面综合考虑、整体设计,方才可能。因此信息安全并非单纯是技术和技术产品问题,更是组织管理问题,无法单凭技术手段予以解决。

此外,从法律、舆论以及信息战和虚拟空间等更高层面考虑,信息安全也是社会问题和国家安全问题。此非本文所考虑的范围,故不予展开。

(二)信息安全的一些认识误区

应当承认,由于各种原因,至今气象部门的一些同事中,对信息安全仍存在一定的认识误区,以下问题应予充分重视:

1. 单纯的安全技术和产品的应用不能解决信息安全

信息安全问题并非单纯的技术问题,信息安全技术和产品的简单应用并不意味着部门整体的信息安全,不能指望简单地规划了DMZ区、在局域网出入端配置了防火墙、在个人电脑中安装了杀毒软件、远程通信采用VPN技术后,部门的信息安全问题便可基本解决。事实上,诸如防火墙、堡垒机、杀毒软件等安全产品,仅仅是构建部门信息安全防护体系的砖石,如果没有科学的整体设计和有效的实施方案,单凭砖石和瓦块的简单甚至随意堆垒,是无法构建成有效的安全防护体系的。因此:

防火墙+ 堡垒机+ 杀毒软件≠信息安全

2. 业务连续性的有效保障不能替代部门的信息安全

业务连续性的有效保障是部门行政领导最为关注的安全问题之一,为此往往不惜代价不计成本,而建立业务备份中心或灾难备份中心是目前较为流行的保障措施。但备份中心的建立也并不一定意味着部门整体的信息安全,因为业务连续性的保障仅属于信息安全三要素中“信息可用性”的范畴,如果不同时考虑信息的保密性和完整性,同样无法从整体上解决部门的信息安全问题;而信息的私密性和完整性与备份中心之间并无必然联系。因此:

备份中心≠信息安全

3. 网络防御不能代替信息安全

传统意义上的网络安全包括网络协议安全、网络设备安全和网络架构安全,侧重于网络自身的健壮性以及抗网络攻击的能力。然而如果网络上运行的系统自身存在一定缺陷、软件存在BUG,以及人为操作失误(如:误删除、误修改等),则上述内容和措施便将束手无策。所以,网络的抗攻击和抗偷盗能力不能完全解决信息安全问题。

类似的认识误区还有若干,限于篇幅,不再枚举。

三、基于风险管理的信息安全管理

(一)信息安全管理

统计结果表明,在所有信息安全事故中,只有20%~30%是由于黑客入侵或其他外部原因造成的,其余的70%~80%则是因内部员工的疏忽或有意违规而造成的。站在全局的高度上来考察信息和网络安全的全貌就会发现:安全问题实际上都是人的问题,单凭技术手段是无法予以根本解决的。

信息安全是一个多层面、多因素的过程,如果仅凭一时的需要,头疼医头脚疼医脚地制定一些控制措施和引入某些技术产品,难免挂一漏万、顾此失彼,使得信息安全这只“木桶”出现若干“短板”,从而无法提高信息安全的整体水平。

对于信息安全而言,技术和产品是基础,管理才是关键。如同砖瓦建材需要良好的设计和施工才能搭建成坚固耐用的建筑,安全技术和安全产品需要通过管理的组织职能方才能够发挥出最佳效果。事实充分证明,管理良好的系统远比技术虽然高超但管理混乱不堪的系统安全得多。因此,先进科学的、易于理解且方便操作的安全策略对信息安全至关重要;而建立一个管理框架,让好的安全策略在这个框架内可重复实施,并不断得到修正,就会拥有持续的安全。

所谓信息安全管理,是指部门或组织中为了完成信息安全目标,针对信息系统,遵循安全策略,按照规定的程序,运用恰当的方法,而进行的规划、组织、指导、协调和控制等活动和过程;是通过维护信息的保密性、完整性和可用性,来管理和保护组织所有的信息资产的一项体制;是部门或组织中用于指导和管理各种控制信息安全风险的一组相互协调的活动。有效的信息安全管理要尽量做到在有限的成本下,保证将安全风险控制在可接受的范围之内。

信息安全管理包括:安全规划、风险管理、应急计划、安全教育培训、安全系统评估、安全认证等多方面内容。

(二)基于风险的信息安全

1. 安全和风险

步履蹒跚的耄耋老人终日待在家中肯定比在熙熙攘攘的大街上行走安全,但即使在家中,也仍有因行走或站立不稳而跌倒的可能,不如身边陪有专人看护安全;然即便家中有专人看护,也不如将老人长期安置在医院,在全套设备和专业医护人员看护下安全,如此等等。可见,所谓安全都是相对而言的,没有绝对的安全;而安全的效果或等级越高,往往付出的代价或成本也越高,信息安全也是如此。

安全是相对于风险而言的,某种安全水平的达到意味着某种或某类风险的得以规避:双机热备技术可以避免单点故障所导致的业务中断,两地三中心灾备模式可以保证即便在发生局地严重灾害时部门业务的连续性。但绝对的安全是没有的:双机热备技术无法避免供电系统故障的风险,而大型陨石撞击地球,将导致生态系统的崩溃和物种灭绝,遑论灾备两地三中心以及部门业务连续性了。

然而,风险是由可能性与后果的组合来计算和度量的。尽管两地三中心灾备模式无法应对地球遭遇大型陨石撞击的毁灭性灾害,但该灾害发生的可能性却微乎其微,未来数百年几乎没有可能。因此此灾虽然为害甚烈,但发生的可能性却几近于零,不必予以考虑。

2. 风险管理

绝对的零风险是不存在的,要想实现零风险也是不现实的。同时,规避风险是需要代价的,规避的风险种类越多,所付出的代价往往越大。就计算机系统而言,安全性越高,其可用性往往越低,需要付出的成本也越大。因此,信息安全建设的宗旨之一,就是在综合考虑成本与效益的前提下,通过恰当、足够、综合的安全措施来控制风险,使残余风险降低到可接受的程度。亦即,需要在安全性和可用性,以及安全性和成本投入之间做出一种平衡。

所以,根本上说,信息安全是一个风险管理过程,而不是一个技术实现过程。

风险管理是指如何在一个肯定有风险的环境里,利用有限的资源把风险减至最低的管理过程。风险管理包括对风险的量度、评估和应变策略等。理想的风险管理,是一连串排好优先次序的过程,使导致最大损失及最可能发生的安全事件优先处理、而相对风险较低的事件则押后处理。

风险管理的首要内容之一,是风险识别和风险评估。因为,信息安全体系的建立首先需要确定信息安全的需求,而获取信息安全需求的主要手段就是安全风险评估。因此,信息安全风险评估是信息安全管理体系建立的基础;没有风险评估,信息安全管理体系的建立就没有依据。

风险管理的另一项重要内容,就是对风险评估的结果进行相应的风险处置,只有对已知风险逐一进行有针对性的妥善处置,才能化解和规避这些风险,达到信息安全的目的。因此,风险处置是信息安全的核心。从本质上讲,风险处置的最佳集合就是信息安全管理体系的控制措施集合;而控制目标、控制手段、实施指南的逻辑梳理、以形成这些风险控制措施集合的过程,就是信息安全体系的建立过程。亦即,信息安全管理体系的核心就是这些最佳控制措施的集合。

需要强调的是,由于信息安全风险和事件不可能完全避免,因此信息安全管理必须以风险管理的方式,不求完全消除风险,但求限制、化解和规避风险。而好的风险管理过程可以让气象部门以最具有成本效益的方式运行,并且使已知的风险维持在可接受的水平,使气象部门可以用一种一致的、条理清晰的方式来组织有限的资源,确定风险处置优先级,更好地管理风险,而不是将保贵的资源用于解决所有可能的风险。

事物是在不断变化的,新的风险不断出现,因此风险管理过程需要不断改进、完善、更新和提高。

四、当前气象信息安全存在的问题

尽管气象部门至今尚未发生重大信息安全事件,但这并不能说明气象部门的信息安全工作已万事大吉,信息安全体系固若金汤。依照信息安全管理的规范考察,气象部门的信息安全工作至少存在如下问题:

(一)基础工作存在缺失

1. 信息安全目标

通常意义下的信息安全目标,一般都是确保信息的机密性、完整性、可用性,以及可控性和不可否认性等等。但部门不同,具体的情况不同,安全性需求的程度、信息安全所面临的风险、付出的代价也各有不同;如:就信息的机密性而言,军事部门的要求远远高于气象部门;而就信息的可用性而言,气象部门对业务连续性的要求也较土地勘测管理部门为高。因此,泛泛的信息安全目标没有任何意义,所有可用的信息安全目标都是切合部门具体实际情况的,是本土化、部门化的。

没有切合气象部门具体实际情况的、具有鲜明气象特色的信息安全目标,是目前存在的突出问题。

必须明确,气象部门信息安全目标的确定,是管理层的职责。管理层对信息安全目标的要求,决定了气象部门信息安全工作的走向。气象信息业务部门负责气象信息安全既定目标的具体落实,其工作的质量和效率,决定了气象部门是否能够达到信息安全管理的目标。

2. 信息安全方针

信息安全方针是为信息安全工作提供与业务需求和法律法规相一致的管理指示及相应的支持举措。信息安全方针应该做到:对本部门的信息安全加以定义,陈述管理层对信息安全的意图,明确分工和责任,约定信息安全管理的范围,对特定的原则、标准和遵守要求进行说明,等等。气象部门的信息安全方针至少应当说明以下问题:气象信息安全的整体目标、范围以及重要性,气象信息安全工作的基本原则,风险评估和风险控制措施的架构,需要遵守的法规和制度,信息安全责任分配,信息系统用户和运行维护人员应该遵守的规则,等等。

遗憾的是,以此为基本内容的信息安全方针,至今在气象部门尚未确立。

3. 信息安全组织机构

为有效实施部门的信息安全管理,保障和实施部门的信息安全,在部门内部建立信息安全组织架构(或指定现有单位承担其相应职责)是十分必要的。

在一个部门或机构中,安全角色与责任的不明确是实施信息安全过程中的最大障碍。因此,建立信息安全组织并落实相应责任,是该部门实施信息安全管理的第一步。这些组织机构需要高层管理者的参与(如本部门信息化领导小组),以负责重大决策,提供资源并对工作方向、职责分配给出清晰的说明,等等。此外,信息安全组织成员还应包括与信息安全相关的所有部门(如行政、人事、安保、采购、外联),以便各司其责,协调配合。

遗憾的是,类似的组织机构在气象部门内即便已经存在,至今也未真正履行其应负的职责。

4. 信息资产管理

信息资产管理的主要内容包括:识别信息资产,确定信息资产的属主及责任方,信息资产的安全需求分类,以及各类信息资产的安全策略和具体措施,等等。

就气象部门而言,对信息资产(即:气象信息资源和气象信息系统)进行识别、明确归属以及分类等工作,有利于信息安全措施的有效实施。以分类为例:我们知道,对某特定气象资料或业务系统实施过多和过度的保护不仅浪费资源,而且不利于资料效益的充分发挥和系统的正常运行;而若保护不力,则更可能导致气象信息数据和系统产生重大安全隐患,乃至出现安全事故。对气象信息资产进行分类,可明确界定各具体资产的保护需求和等级,如此可以根据类别的不同,调整合适的资源、财力、物力,对重要的气象信息资源和系统实施有针对性的、符合其特点的信息安全重点保护,如此等等。

同样遗憾的是,气象部门至今尚未实施真正意义上的完整的气象信息资产管理。

类似缺失的基础工作还有很多,不再枚举。

基础工作的缺失,导致气象信息安全工作的不扎实、不稳固,是气象信息安全工作长期滞后于信息化基础建设的主要原因之一。

(二)完整的信息安全管理体系尚未建成

按照ISO的定义,信息安全管理体系(ISMS:Information Security Management System)是“组织在整体或特定范围内建立的信息安全方针和目标,以及完成这些目标所用的方法和体系。它是直接管理活动的结果,表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合”。

信息安全管理体系要求部门或组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择安全事件控制目标和相应处置措施等一系列活动,来建立信息安全管理体系。该体系是基于系统、全面、科学的安全风险评估而建立起来的,它体现以预防控制为主的思想,强调遵守国家有关信息安全的法律法规及其它地方、行业的相关要求。该体系强调全过程管理和动态控制,本着控制费用与风险相平衡的原则,合理选择安全控制方式。该体系同时强调保护部门所拥有的关键性信息资产(而不见得是全部信息资产),确保需要保护的信息的保密性、完整性和可用性,以最佳效益的形式维护部门的合法利益、保持部门的业务连续性。

由于基础性工作尚未全部就绪,目前气象部门尚未建立真正意义上的、基于风险管理的科学而完整的气象信息安全管理体系。

在气象部门建立完整的信息安全管理体系,可以对气象部门的关键信息资产进行全面系统的保护,在信息系统受到侵袭时确保业务持续开展并将损失降到最低程度;并使气象部门在信息安全工作领域实现动态的、系统地、全员参与的、制度化的、以预防为主的信息安全管理方式,用最低的成本,达到可接受的信息安全水平。此外,完整的信息安全管理体系的建立,也可使部门外协作单位对气象部门的安全能力充满信心,这一点在当前大数据应用浪潮正在全社会迅速漫延的背景下,尤其重要。

(三)业务格局的分散加大了安全管理问题的复杂度

目前气象部门依然沿用着已延续数十年的国省地县四级业务层级,而业务系统的属地化,以及诸如“具备业务功能意味着拥有业务系统、拥有业务系统意味着拥有信息资产以及基础资源和设施”等传统观念的束缚,使得各个业务系统在地理分布上呈现出全国遍地开花的局面,各级业务单位都拥有自己的信息业务系统和相应的局地信息业务环境。彼此通过内部专网(VPN)或甚至通过互联网进行互联,在全国形成网状与树状相结合的、十分复杂的业务网络结构。

由于各级单位都在当地拥有各自规模不等的信息业务系统及相应环境(包括为业务系统提供数据支撑的气象数据库),因此各单位都面临着本单位的信息安全管理问题。尤其是一些气象数据在各级业务单位的广泛复制,使得各级业务单位中数据同质化现象十分突出,也为这些数据的保密性和完整性(包括一致性)的保持增加了大量变数。此外,由于编制所限,地县两级业务单位中IT技术人员奇缺,既无法保障信息业务系统的日常维护,更无法为本单位信息安全提供专业化管理。

这种业务格局的分散,加大了气象部门信息安全管理问题的复杂度。

限于篇幅,其余问题不再枚举。

五、建立完整的气象信息安全管理体系

综上所述,在气象部门建立完整的气象信息安全管理体系,是非常必要的;就目前全社会所倡导的大数据应用和云计算趋势而言,这项工作具有较强的紧迫性,应尽早开展相应的工作。归纳起来,有如下几点:

(一)适时着手建立完整的气象信息安全管理体系

1. 完成基础性工作

应尽早明确信息安全的方针,为气象部门信息安全工作确定目标、范围、责任、原则、标准、架构和法律法规。

应以适当方式组建或明确气象信息安全的管理和实施机构,并确保所有相关单位能够悉数纳入其中,明确分工和职责,以便各司其职,彼此协调工作。

应在管理层的统一组织下,以适当的形式,全面完成气象部门内部的信息资产普查、归属认定、安全需求等级划分以及安全等级保护措施等,制定气象信息资产管理策略、制度和方法,逐步推广实施,从而完成气象信息资产的有效管理。

2. 适时进行信息安全风险评估并制订风险处置方案

制定风险评估方案、选择评估方法,以此为依据完成气象信息安全风险要素识别,发现系统存在的威胁和系统的脆弱性,并确定相应的控制措施。在此基础上,对所有风险逐一判断其发生的可能性和影响的范围及程度,综合各种分析结果,最终逐一判定这些风险各自的等级。

在风险等级判定的基础上,以“将风险始终控制在可接受范围内”为宗旨,制订有针对性的风险处置方案,包括:可接受风险的甄别和确定,不可接受风险的控制程度,风险处置方式的选择和控制措施的确定,制订具体的气象信息安全方案和综合控制措施,科学合理地运用“减低风险”、“转移风险”、“规避风险”和“接受风险”等方法,形成综合的气象信息安全风险处置方案,并部署实施。

3. 建立完整的气象信息安全管理体系

在上述工作以及其它相关工作的基础上,参照BS 7799-2:2002 《信息安全管理体系规范》、 ISO/ IEC17799:2000《信息技术-信息安全管理实施细则》等国际标准,以及GB/T22080-2008《信息安全管理体系要求》、GB/T20269-2006《信息系统安全管理要求》、GB/T20984-2007《信息安全风险评估规范》等国家标准,完成组织落实、措施落实、方案落实和相应文档的编写,以及所有相关的审查、职责界定和制度建设,以构成气象部门的信息安全管理体系。

(二)将信息安全管理体系纳入气象信息化战略之中

信息安全与信息化发展息息相关,是一切信息化工作的基础,涉及到信息化工作的方方面面。气象部门是以信息采集、分析处理和为工作特征的典型的信息应用部门,气象业务系统是典型的信息系统,因此信息安全对于气象部门尤为重要。气象事业的健康发展离不开信息化,也同样离不开信息安全。气象信息安全应当是气象信息化工作中最为重要的内容之一,气象信息安全管理体系的构建和持续改进也应当成为未来气象信息化战略中极其重要的内容。

信息安全是管理问题而非技术问题,从某种角度看,信息安全管理体系是以策略为核心,以管理为基础,以技术为手段的安全理念的具体落实。有什么样的理念,就有什么样的方针、策略、制度措施和体系架构。无法想象在管理理念和安全意识十分落后的思维环境中,能够构建起科学完备的信息安全管理体系来。因此,安全管理理念的全面提高和安全意识的充分到位,是气象信息安全所有工作正常开展的前提。就气象部门管理层而言,着力消除曾长时间弥漫于全部门信息安全领域的重技术轻管理的观念,将关注点从研究安全技术和产品应用转移到信息资产管理、风险识别和控制以及整体安全战略的制定等管理层面上来,是其不可推卸的责任。应当在全部门倡导信息安全意识、制定并推行信息安全制度、确定信息安全责任、组织信息安全培训,构建起完整的气象信息安全管理体系。

六、结语

在政府大力强调信息安全意识,强力推动信息安全工作的背景下,各行各业均把信息安全工作列入本部门或单位的工作议程,气象部门也是如此。但如何科学有效地构建起具有鲜明气象特色的信息安全防护体系,充分把控所有已知的安全风险,使有限的投入得到最大限度的安全回报,这是气象部门管理层和IT工作者需要认真研究并努力实践的工作。

信息安全首先是意识问题、观念问题,要想真正打造安全的业务环境,在气象部门全体员工中(特别是在管理层干部中)树立良好的安全意识,是至关重要的。

2014年,在深刻领会主席“没有信息化就没有现代化”的重要指示精神后,气象部门提出了“没有信息化就没有气象现代化”的口号。那么,针对提出的“没有信息安全就没有国家安全”的另一重要论断,气象部门是否也应提出相应的口号――

“没有信息安全,就没有气象业务安全”。