導(dǎo)語：如何才能寫好一篇信息安全等級保護(hù)條例，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公文云整理的十篇范文，供你借鑒。

篇1

【 關(guān)鍵詞 】 信息安全；等級保護(hù)；現(xiàn)狀及問題；建議

【 中圖分類號 】 TP393.08 【 文獻(xiàn)標(biāo)識碼 】 A

Discussion the Status of Information Security base on Graded Protection

Zhang Wei-li

（CCID Think tank， China Center of Information Industry Development Beijing100048）

【 Abstract 】 Information Security base on Graded Protection is a basic regime of the construction of information security in our country， and is an important means to guarantee the healthy development of information technology. Information Security base on Graded Protection ，development both at home and abroad were introduced in this paper， as well as the status quo of Graded Protection in China. On this basis， the paper analyzes the problems existing in the Graded Protection in China， and put forward some Suggestions for bettering Graded Protection work.

【 Keywords 】 information security； graded protection； status and problems； suggestion

1 引言

目前對信息及信息系統(tǒng)實(shí)行分等級保護(hù)是各國保護(hù)關(guān)鍵基礎(chǔ)設(shè)施的通行做法。在我國信息安全等級保護(hù)是保障國家信息安全的一項基本制度。通過信息安全等級保護(hù)工作，實(shí)現(xiàn)信息安全資源的優(yōu)化配置，重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟(jì)命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)的安全，有效提高我國信息和信息系統(tǒng)安全建設(shè)的整體水平。

1.1 信息安全等級保護(hù)的概念及等級劃分

信息系統(tǒng)安全等級保護(hù)是指對信息以及信息系統(tǒng)分等級進(jìn)行安全保護(hù)和監(jiān)管；對信息安全產(chǎn)品的使用進(jìn)行分等級管理；對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置的綜合性工作制度。

根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會生活中的重要程度，以及信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益，以及公民、法人和其他組織的合法權(quán)益的危害程度等因素，將信息系統(tǒng)安全等級由低到高分為五個等級：第一級，自主保護(hù)級；第二級，指導(dǎo)保護(hù)級；第三級，監(jiān)督保護(hù)級；第四級，強(qiáng)制保護(hù)級；第五級，?？乇Ｗo(hù)級。依據(jù)安全保護(hù)能力也劃分為五個等級：第一級，用戶自主保護(hù)級；第二級，系統(tǒng)審計保護(hù)級；第三級，安全標(biāo)記保護(hù)級；第四級結(jié)構(gòu)化保護(hù)級；第五級訪問驗證保護(hù)級。

1.2 國外信息安全等級保護(hù)的發(fā)展歷程

等級保護(hù)思想最早源于20世紀(jì)60年代的美軍文件保密制度，其中第一個比較成熟并且具有重大影響的是1985年的《可信計算機(jī)系統(tǒng)評估準(zhǔn)則》（TCSEC），該準(zhǔn)則是當(dāng)時美國國防部為適應(yīng)軍事計算機(jī)的保密需要提出的，主要是針對沒有外部連接的多用戶系統(tǒng)提出。

受美國等級保護(hù)思想的影響，歐盟和加拿大也分別制定自己的等級保護(hù)評估準(zhǔn)則。英、法、德、荷等四國于1991年提出了包含保密性、完整性、可用性等概念的歐共體的《信息技術(shù)安全評估準(zhǔn)則》（ITSEC）。ITSEC 作為多國安全評估標(biāo)準(zhǔn)的綜合產(chǎn)物，適用于軍隊、政府和商業(yè)部門。1993年加拿大公布《可信計算機(jī)產(chǎn)品評估準(zhǔn)則》（CTCPEC）3.0版本。CTCPEC作為TCSEC和ITSEC的結(jié)合，將安全分為功能性要求和保證性要求兩部分。功能性要求分為機(jī)密性、完整性、可用性、可控性等四個大類。

為解決原各自標(biāo)準(zhǔn)中出現(xiàn)的概念和技術(shù)上的差異，1996年美國、歐盟、加拿大聯(lián)合起來將各自評估準(zhǔn)則合為一體，形成通用評估準(zhǔn)則（Common Criteria）。1999年出臺的CC2.1版本被ISO采納，作為ISO15408。在CC中定義了評估信息技術(shù)產(chǎn)品和系統(tǒng)安全性所需要的基礎(chǔ)準(zhǔn)則，是度量信息技術(shù)安全性的基準(zhǔn)。

1.3 我國信息安全等級保護(hù)的發(fā)展歷程

在國際信息安全等級保護(hù)發(fā)展的同時，隨著信息化建設(shè)的發(fā)展，我國的等級保護(hù)工作也被提上日程。其發(fā)展主要經(jīng)歷了四個階段。

1994-2003年是政策環(huán)境營造階段。國務(wù)院于1994年頒布《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》，規(guī)定計算機(jī)信息系統(tǒng)實(shí)行安全等級保護(hù)。2003年，中央辦公廳、國務(wù)院辦公廳頒發(fā)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)[2003]27號）明確指出“實(shí)行信息安全等級保護(hù)”。此文件的出臺標(biāo)志著等級保護(hù)從計算機(jī)信息系統(tǒng)安全保護(hù)的一項制度提升到國家信息安全保障一項基本制度。

2004-2006年是等保工作開展準(zhǔn)備階段。2004年至2006年期間，公安部聯(lián)合四部委開展了涉及65117家單位，共115319個信息系統(tǒng)的等級保護(hù)基礎(chǔ)調(diào)查和等級保護(hù)試點(diǎn)工作。通過摸底調(diào)查和試點(diǎn)，探索了開展等級保護(hù)工作領(lǐng)導(dǎo)、組織、協(xié)調(diào)的模式和辦法，為全面開展等級保護(hù)工作奠定了堅實(shí)的基礎(chǔ)。

2007-2010年是等保工作正式啟動階段。2007年6月，四部門聯(lián)合出臺了《信息安全等級保護(hù)管理辦法》。7月四部門聯(lián)合頒布了《關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知》，并于7月20日召開了全國重要信息系統(tǒng)安全等級保護(hù)定級工作部署專題電視電話會議，標(biāo)志著我國信息安全等級保護(hù)制度歷經(jīng)十多年的探索正式開始實(shí)施。

2010年至今是等保工作規(guī)模推進(jìn)階段。2010年4月，公安部出臺了《關(guān)于推動信息安全等級保護(hù)測評體系建設(shè)和開展等級測評工作的通知》，提出等級保護(hù)工作的階段性目標(biāo)。2010年12月，公安部和國務(wù)院國有資產(chǎn)監(jiān)督管理委員會聯(lián)合出臺了《關(guān)于進(jìn)一步推進(jìn)中央企業(yè)信息安全等級保護(hù)工作的通知》，要求中央企業(yè)貫徹執(zhí)行等級保護(hù)工作。至此我國信息安全等級保護(hù)工作全面展開，等保工作進(jìn)入規(guī)模化推進(jìn)階段。

2 我國信息安全等級保護(hù)的現(xiàn)狀

2.1 等級保護(hù)的組織架構(gòu)初步形成

截止目前，除了國家信息安全等級保護(hù)協(xié)調(diào)小組辦公室外，在大陸31個省、自治區(qū)、直轄市當(dāng)中除天津、黑龍江、河南、重慶、陜西外，有26個行政區(qū)成立了省級的信息安全等級保護(hù)協(xié)調(diào)小組辦公室。22個省、自治區(qū)、直轄市建立了信息安全等級保護(hù)聯(lián)絡(luò)員制度，共確定1598名聯(lián)絡(luò)員。獲得信息安全等級保護(hù)測評機(jī)構(gòu)推薦資質(zhì)的測評機(jī)構(gòu)共121家，除新疆外各省均有獲得資質(zhì)的等級保護(hù)測評機(jī)構(gòu)，其中國家的測評機(jī)構(gòu)有7家，北京市有10家，江蘇省有14家，浙江省、山東省各有7家，廣東省有6家，其他省、自治區(qū)、直轄市有1-5家不等。25個行政區(qū)建立了等級保護(hù)專家組，共確定441名專家。

2.2 信息安全等級保護(hù)的政策體系初步形成

為組織開展信息安全等級保護(hù)工作，國家相關(guān)部委（主要是公安部牽頭組織，會同國家保密局、國家密碼管理局、原國務(wù)院信息辦和發(fā)改委等部門）相繼出臺了一系列文件，對具體工作提供了指導(dǎo)意見和規(guī)范，這些文件初步構(gòu)成了信息安全等級保護(hù)政策體系。具體關(guān)系如圖1。

《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》和《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》分別是開展信息安全等級保護(hù)工作的法律依據(jù)和政策依據(jù)?！蛾P(guān)于信息安全等級保護(hù)工作的實(shí)施意見》和《信息安全等級保護(hù)管理辦法》是在法律依據(jù)和政策依據(jù)的基礎(chǔ)上制定的政策文件，其為等級保護(hù)工作的開展提供宏觀指導(dǎo)。在上述基礎(chǔ)上，針對信息安全等級保護(hù)工作的定級、備案、安全建設(shè)整改、等級測評、監(jiān)督檢查的各工作環(huán)節(jié)制定具有操作性的指導(dǎo)文件。政策體系的形成，為組織開展等級保護(hù)工作、建設(shè)整改工作和等級測評工作提供了指導(dǎo)，明確了各環(huán)節(jié)的工作目標(biāo)、工作要求和工作流程。

2.3 信息安全等級保護(hù)的標(biāo)準(zhǔn)體系基本完善

為推動信息安全等級保護(hù)工作，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會和公安部信息系統(tǒng)安全標(biāo)準(zhǔn)化技術(shù)委員會組織制訂了信息安全等級保護(hù)工作需要的一系列標(biāo)準(zhǔn)，匯集成《信息安全等級保護(hù)標(biāo)準(zhǔn)匯編》，為開展等級保護(hù)工作提供了標(biāo)準(zhǔn)指導(dǎo)。這些標(biāo)準(zhǔn)與等保各環(huán)節(jié)的工作關(guān)系如圖2所示。

《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》及配套標(biāo)準(zhǔn)是《信息系統(tǒng)安全等級保護(hù)基本要求》的基礎(chǔ)?！缎畔⑾到y(tǒng)安全等級保護(hù)基本要求》是信息系統(tǒng)安全建設(shè)整改的依據(jù)，信息系統(tǒng)安全建設(shè)整改應(yīng)以落實(shí)《基本要求》為主要目標(biāo)?！缎畔⑾到y(tǒng)安全等級保護(hù)定級指南》是定級工作的指導(dǎo)性文件，為信息系統(tǒng)定級工作提供了技術(shù)支持?！缎畔⑾到y(tǒng)安全等級保護(hù)測評要求》等標(biāo)準(zhǔn)規(guī)范了等級測評活動，為等級測評機(jī)構(gòu)開展等級測評活動提供了測評方法和綜合評價方法?！缎畔⑾到y(tǒng)安全等級保護(hù)實(shí)施指南》是信息系統(tǒng)安全等級保護(hù)建設(shè)實(shí)施的過程控制標(biāo)準(zhǔn)，用于指導(dǎo)信息系統(tǒng)運(yùn)營使用單位了解和掌握信息安全等級保護(hù)工作的方法、主要工作內(nèi)容以及不同的角色在不同階段的作用。

2.4 信息安全等級保護(hù)的工作取得一定進(jìn)展

各重點(diǎn)行業(yè)根據(jù)等級保護(hù)的政策要求開展了本系統(tǒng)內(nèi)的等級保護(hù)工作。為落實(shí)相關(guān)等級保護(hù)政策有關(guān)行業(yè)制定了自己的行業(yè)標(biāo)準(zhǔn)，例如《廣播電視相關(guān)信息系統(tǒng)安全等級保護(hù)等級指南》、《水利網(wǎng)絡(luò)與信息安全體系建設(shè)基本技術(shù)要求》等。金融領(lǐng)域，人民銀行出臺了《中國人民銀行關(guān)于銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)安全等級保護(hù)等級的指導(dǎo)意見》，并于2012年了金融行業(yè)的《金融行業(yè)信息系統(tǒng)信息安全等級保護(hù)實(shí)施指引》、《金融行業(yè)信息安全等級保護(hù)測評服務(wù)安全指引》、《金融行業(yè)信息系統(tǒng)信息安全等級保護(hù)測評指南》等三項行業(yè)標(biāo)準(zhǔn)，在采用《信息系統(tǒng)信息安全等級保護(hù)基本要求》的590項基本要求的基礎(chǔ)上，補(bǔ)充細(xì)化基本要求項193項，新增行業(yè)特色要求項269項，為金融行業(yè)開展關(guān)鍵信息系統(tǒng)信息安全等級保護(hù)實(shí)施工作具奠定了堅實(shí)基礎(chǔ)。

測評和安全建設(shè)工作有序開展。截止到2012年底，全國已經(jīng)開展了5萬多個第二級信息系統(tǒng)和4萬多個三級系統(tǒng)的等級測評，并完成了相應(yīng)的信息系統(tǒng)的等級保護(hù)安全建設(shè)整改。2012年底，全國性銀行業(yè)金融機(jī)構(gòu)完成了880個二級以上信息系統(tǒng)的定級評審。2012年對反洗錢中心、征信中心、清算中心和金融中心的48個重要信息系統(tǒng)進(jìn)行了測評，共發(fā)現(xiàn)4284項安全問題，整改完整3451向，通過整改后其信息系統(tǒng)的整改測評率達(dá)到了90%以上。

3 我國信息安全等級保護(hù)存在的問題

3.1 信息系統(tǒng)運(yùn)營使用單位對等級保護(hù)工作的重視程度還不夠

近年來信息安全等級保護(hù)主管部門高度重視等級保護(hù)工作，制定相關(guān)政策和標(biāo)準(zhǔn)，舉辦等級測評師培訓(xùn)等，但信息系統(tǒng)主管部門以及全社會對信息安全等級保護(hù)在信息安全保障體系中的基礎(chǔ)性地位認(rèn)識還不到位，難以將等級保護(hù)制度和已有信息安全防護(hù)體系相銜接，工作方式簡單，手段缺乏，甚至出現(xiàn)以其他工作代替信息安全等級保護(hù)工作的消極傾向。同時，在工作中，一些企業(yè)還存在不愿投資，不愿受監(jiān)管的思想，為節(jié)省人力、物力、財力將本該定為三級的重要信息系統(tǒng)定位二級，這些都影響信息安全等級保護(hù)制度的全面落實(shí)。

3.2 等級保護(hù)屬于合規(guī)性被動防護(hù)與目前信息安全主動防御需求還有差距

信息安全等級保護(hù)屬于政策性驅(qū)動的合規(guī)性保護(hù)，這種合規(guī)性保護(hù)只關(guān)注通用信息安全需求，并且屬于被動保護(hù)，對于當(dāng)前信息安全保護(hù)中的主動防御要求還有差距。例如，中國鐵路客戶服務(wù)中心12306網(wǎng)站定義為等級保護(hù)四級，2012年，曾暴露出被黑客拖庫，以及因機(jī)房空調(diào)問題停止服務(wù)等問題，而這兩項內(nèi)容都在等級保護(hù)規(guī)范中有明確的要求。所以，認(rèn)為通過等級保護(hù)的評測就不會出問題顯然是一種誤區(qū)。

另外，2010年“震網(wǎng)”病毒事件破壞了伊朗核設(shè)施，表明網(wǎng)絡(luò)攻擊由傳統(tǒng)“軟攻擊”上升為直接攻擊要害系統(tǒng)的“硬摧毀”。2013年曝出的棱鏡門事件，2014年曝出的美國國安局入侵華為服務(wù)器等，這些事件表明當(dāng)今信息安全的主要特征是要建立主動防御體系，例如建立授權(quán)管理機(jī)制、行為控制機(jī)制以及信息的加密存儲機(jī)制，即使信息得到泄露也不會被黑客輕易獲得。而等級保護(hù)是一種被動的、前置的保護(hù)手段，與當(dāng)前信息安全保護(hù)所要求的實(shí)時的、主動防御還有一定的差距。

3.3 現(xiàn)有防護(hù)手段難以滿足新技術(shù)發(fā)展應(yīng)用中的信息安全需求

信息安全等級保護(hù)政策標(biāo)準(zhǔn)的滯后，難以滿足新技術(shù)應(yīng)用的信息安全需求。例如，當(dāng)前的物聯(lián)網(wǎng)、云計算、移動互聯(lián)網(wǎng)的應(yīng)用呈現(xiàn)出新特點(diǎn)，提出了新的安全需求，在網(wǎng)絡(luò)層面原本相對比較封閉的政府、金融、能源、制造系統(tǒng)開始越來越多的與互聯(lián)網(wǎng)相連接；計算資源層面，云計算的應(yīng)用，呈現(xiàn)出邊界的消失、服務(wù)的分散、數(shù)據(jù)的遷移等特點(diǎn)，使得業(yè)務(wù)應(yīng)用和信息數(shù)據(jù)面臨的安全風(fēng)險愈發(fā)復(fù)雜化。用戶終端層面，移動互聯(lián)、智能終端大行其道，BYOD的應(yīng)用等，都為企業(yè)信息安全管理提出新挑戰(zhàn)。

大數(shù)據(jù)的應(yīng)用，很可能會出現(xiàn)將某些敏感業(yè)務(wù)數(shù)據(jù)放在相對開放的數(shù)據(jù)存儲位置的情況。針對這些邊界逐漸消失，服務(wù)較為分散，應(yīng)用呈現(xiàn)虛擬化，敏感業(yè)務(wù)數(shù)據(jù)放在相對開放的數(shù)據(jù)存儲位置，等級保護(hù)的“分區(qū)、分級、分域”保護(hù)的原則已無法有效應(yīng)用。如何有效滿足新技術(shù)應(yīng)用下的信息安全需求，也是等級保護(hù)下一步需要考慮的內(nèi)容。

4 進(jìn)一步做好信息安全等級保護(hù)的相關(guān)建議

4.1 擴(kuò)大宣傳力度，提高全社會對等保的重視程度

等級保護(hù)是我國信息安全建設(shè)的基本制度，需提高全社會對等級保護(hù)的重視程度，尤其是要提高信息系統(tǒng)主管部門對信息安全等級保護(hù)工作重要性的認(rèn)識。在工作中，可以通過重要信息系統(tǒng)之間的項目依賴性分析，關(guān)鍵部門影響性分析等方法，來增強(qiáng)信息系統(tǒng)主管部門以及全社對信息系統(tǒng)信息安全重要性的認(rèn)識。在各行業(yè)、企業(yè)內(nèi)部，應(yīng)當(dāng)通過加強(qiáng)宣傳教育培訓(xùn)，提高信息系統(tǒng)使用和運(yùn)維人員的對信息安全等級保護(hù)的重視程度。在等級保護(hù)工作推進(jìn)工作中，對故意將信息系統(tǒng)安全級別定低現(xiàn)象進(jìn)行嚴(yán)查。

4.2 引入可信計算等主動防御理念，充分發(fā)揮等保在信息安全建設(shè)中的作用

要充分發(fā)揮等保在國家信息安全建設(shè)中的作用，需要從技術(shù)和管理兩個方面進(jìn)行安全建設(shè)，做到可信、可控、可管；并且應(yīng)當(dāng)具有抵御來自敵對組織高強(qiáng)度連續(xù)攻擊（APT）的能力，以滿足當(dāng)前信息安全形勢的需求。而可信計算技術(shù)可以實(shí)現(xiàn)計算處理結(jié)果與預(yù)期的相一致，中間過程可控制管理、可度量驗證。因此，可在信息安全等級保護(hù)基本要求等技術(shù)標(biāo)準(zhǔn)中引入可信計算的理念，將傳統(tǒng)的三重防護(hù)上升為可信計算環(huán)境、可信邊界、可信通信網(wǎng)絡(luò)組成的可信環(huán)境下的三重防護(hù)，從而實(shí)現(xiàn)主體的可信計算安全，進(jìn)一步實(shí)現(xiàn)等級保護(hù)主動防御功能，充分發(fā)揮等級保護(hù)在信息安全建設(shè)中的作用。

4.3 完善等保技術(shù)標(biāo)準(zhǔn)體系，推進(jìn)等級保護(hù)在云計算中的應(yīng)用

針對當(dāng)前的物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、移動互聯(lián)網(wǎng)，云計算應(yīng)用中帶來的數(shù)據(jù)高度集中、高虛擬化等的特點(diǎn)，信息安全等級保護(hù)應(yīng)當(dāng)在等級保護(hù)建設(shè)時必須加入對終端安全更高的基本需求。例如，在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問路徑；通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄等。同時在虛擬環(huán)境下，要求安全設(shè)備能識別網(wǎng)絡(luò)虛擬標(biāo)簽，區(qū)分每臺虛擬機(jī)主機(jī)。針對云計算中邊界模糊化的特點(diǎn)，可以通過軟件安全實(shí)現(xiàn)對動態(tài)邊界的監(jiān)測，保證其安全。具體推進(jìn)中，可以通過完善等級保護(hù)相關(guān)整改建設(shè)指南，等級測評工作指南以及相關(guān)技術(shù)標(biāo)準(zhǔn)等，以指導(dǎo)具體工作的開展，從而以推進(jìn)等級保護(hù)在云計算、物聯(lián)網(wǎng)、工控領(lǐng)域的等中的應(yīng)用。

4.4 借鑒經(jīng)驗，完善等級保護(hù)制度設(shè)計和體系建設(shè)

目前《信息安全等級保護(hù)定級指南》確定的對象是信息系統(tǒng)，《信息安全等級保護(hù)基本要求》也是針對自身具備運(yùn)行的物理環(huán)境、網(wǎng)絡(luò)環(huán)境、系統(tǒng)環(huán)境和應(yīng)用以及相關(guān)人員和管理體系等完整、標(biāo)準(zhǔn)的意義上的信息系統(tǒng)而提出的，而對于重要信息系統(tǒng)運(yùn)行所依賴的網(wǎng)絡(luò)系統(tǒng)、IDC（互聯(lián)網(wǎng)數(shù)據(jù)中心）、災(zāi)備中心等這樣的對象，無論是定級方法、保護(hù)要求還是測評結(jié)果判定方面等都還存在不合適的地方。

對此可以在定級過程中，參考美國經(jīng)驗，引入系統(tǒng)法（特別是相互依賴性分析）和象征法，加深對定級對象的認(rèn)識，通過仿真建模等分析技術(shù)進(jìn)行定級合理性的驗證。在等級測評過程可以引入風(fēng)險分析、威脅評價、系統(tǒng)分析等過程加強(qiáng)測評結(jié)果的可量化性。同時研究國外相關(guān)信息安全建設(shè)中的法律體系、標(biāo)準(zhǔn)體系、組織保障體系等，并在此基礎(chǔ)上進(jìn)行自主創(chuàng)新，以改進(jìn)我們等級保護(hù)實(shí)踐中發(fā)展的制度設(shè)計問題，提高政策、理論和技術(shù)水平。

5 結(jié)束語

當(dāng)前信息技術(shù)發(fā)展迅速，信息安全面臨的國際形勢日益嚴(yán)峻，信息安全等級保護(hù)作為貫穿信息系統(tǒng)整個生命周期的信息安全保障措施，應(yīng)當(dāng)不斷完善其法律體系、技術(shù)標(biāo)準(zhǔn)體系以及實(shí)施保障機(jī)制等，以適應(yīng)滿足新形勢下的信息安全需求。

參考文獻(xiàn)

[1] 《信息安全等級保護(hù)管理辦法》（公通字[2007] 43 號）.公安部，2007.

[2] 《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》（GB17859）.

[3] DoD ，Trusted Computer System Evaluation Criteria（Orange Book）， 26 December 1985.

[4] Information Technology Security Evaluation Criteria；1994.

[5] The Canadian Trusted Computer Product Evaluation Criteria；Version 3 ；1993.

[6] Common Criteria Project Sponsoring Organisations. Common Criteria for Information Security Evaluation Part 1-3， Version2.1. Augest 1999.

[7] ISO/IEC 15408-1：2005 Information technology ―― Security techniques ―― Evaluation criteria for IT security.

[8] 國務(wù)院.《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》. 1994.

[9] 公安部、國家保密局、國家密碼管理委員會和國家信息辦.《信息安全等級保護(hù)的實(shí)施意見》（公信安[2007] 861 號）. 2007.

[10] 宋言偉，馬欽德，張健.信息安全等級保護(hù)政策和標(biāo)準(zhǔn)體系綜述.信息通信技術(shù)，2010（6）：59-61.

篇2

信息安全管理系統(tǒng)作為信息安全的支撐體系以及實(shí)施信息安全維護(hù)的落腳點(diǎn)，是信息安全管理中的重要組成部分。目前我國的信息安全管理系統(tǒng)還尚未完善，其不足之處首先表現(xiàn)為缺少統(tǒng)一的存儲平臺來對眾多的文檔進(jìn)行儲存，從而導(dǎo)致大量文檔的丟失；其次，如果信息安全管理系統(tǒng)不完善，就不能降低資產(chǎn)等的風(fēng)險評估以及對資產(chǎn)進(jìn)行集中式的管理；最后，由于信息安全系統(tǒng)中各個報表功能的不完善，文檔信息就無法快速、準(zhǔn)確地透露出信息安全的實(shí)際狀況，從而起到有效地保護(hù)作用。信息安全管理系統(tǒng)主要能夠通過對關(guān)鍵資產(chǎn)實(shí)行定性和定量分析，從而得出資產(chǎn)的精確風(fēng)險值，識別系統(tǒng)中存在的重要因患資產(chǎn)，并進(jìn)一步通知信息管理員采取適當(dāng)?shù)胤椒▉頊p少隱患事件的發(fā)生，通過科學(xué)的管理降低企業(yè)的資產(chǎn)風(fēng)險。由此可見，完善的信息安全管理系統(tǒng)是不可或缺的，它一方面決定著信息安全管理體系的具體實(shí)施，另一方面也可以促進(jìn)企業(yè)信息安全管理體系的進(jìn)一步維護(hù)與建設(shè)。

2信息安全管理系統(tǒng)標(biāo)準(zhǔn)

科學(xué)統(tǒng)一的國家信息安全標(biāo)準(zhǔn)，有利于協(xié)調(diào)與融合各個信息安全管理系統(tǒng)的工作，充分促進(jìn)信息安全標(biāo)準(zhǔn)系統(tǒng)的功能發(fā)揮。我國的信息安全管理標(biāo)準(zhǔn)主要分為ISO/IEC27000系列標(biāo)準(zhǔn)與信息安全等級保護(hù)標(biāo)準(zhǔn)兩個部分。

2.1ISO/IEC27000系列標(biāo)準(zhǔn)

1995年，英國標(biāo)準(zhǔn)協(xié)會(BSI)了BS7799-1和BS7799-2兩部標(biāo)準(zhǔn)，隨著時代的進(jìn)步其逐漸發(fā)展為ISO/IEC27001和ISO/IEC27002兩個部分，并進(jìn)一步成為目前信息安全管理體系的主要核心標(biāo)準(zhǔn)。BS7799的最初提出目的主要在于建立起一套能夠用于開發(fā)、實(shí)施以及測量的科學(xué)信息安全管理慣例，并作為一種通用框架來促進(jìn)貿(mào)易伙伴之間的信任。ISO/IEC27001重視ISMS的建構(gòu)以及在PDCA基礎(chǔ)之上的進(jìn)一步循環(huán)與完善，這一過程實(shí)質(zhì)上就是在宏觀的角度上來指導(dǎo)整個項目的有效實(shí)施。它意在風(fēng)險管理的基礎(chǔ)之上，用風(fēng)險分析的途徑，把發(fā)生信息風(fēng)險的概率降到最低程度，同時采取適當(dāng)?shù)卮胧﹣肀Ｕ现黧w業(yè)務(wù)的順利進(jìn)行。ISO/IEC27002主要闡述了133項控制細(xì)則，以及11項需要有效控制的項目，其中包括安全策略、安全組織、信息安全事件管理、人力資源安全、符合性物理與環(huán)境安全、訪問控制、資產(chǎn)管理、系統(tǒng)的開發(fā)與維護(hù)、業(yè)務(wù)連續(xù)性管理、通信與操作安全等一系列的安全風(fēng)險評估與控制。

2.2信息安全等級保護(hù)

1994年國務(wù)院出臺了《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》，該項基本制度的主要目的在于提高信息安全保障能力的水平、保障并促進(jìn)信息化的健康與發(fā)展，從而進(jìn)一步維護(hù)國家安全、社會發(fā)展以及人民群眾的利益。它的核心標(biāo)準(zhǔn)《GB17859-1999計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》是在TCSEC的分級保護(hù)思想基礎(chǔ)之上，針對我國信息安全的發(fā)展實(shí)際進(jìn)行改善，最終把安全等級縮減成更具可操作性的5個級別?！禛B/T22239-2008信息系統(tǒng)安全等級保護(hù)基本要求》則把信息安全控制要求進(jìn)一步整理為管理要求與技術(shù)要求兩類，其中前者主要包括系統(tǒng)建設(shè)管理、安全管理制度、系統(tǒng)運(yùn)維管理、安全管理機(jī)構(gòu)和人員安全管理；后者主要包括應(yīng)用安全、網(wǎng)絡(luò)安全、物理安全、主機(jī)安全以及數(shù)據(jù)安全與備份恢復(fù)。此外，信息安全等級保護(hù)的系列標(biāo)準(zhǔn)里還包括《GB/T20270-2006網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》以及《GB/T20271-2006信息系統(tǒng)安全通用要求》等一些關(guān)于信息安全維護(hù)細(xì)則的具體操作要求。

3信息安全管理系統(tǒng)的模型設(shè)計

根據(jù)信息安全管理系統(tǒng)標(biāo)準(zhǔn)，結(jié)合以往的信息安全管理系統(tǒng)設(shè)計，提出一種新型的四層信息安全管理系統(tǒng)：第一層為信息采集：主要包括人工脆弱性檢查、漏洞掃描工具以及日志采集系統(tǒng)三部分。這一信息采集層的主要功能在于采集安全保護(hù)對象的漏洞與安全事件。第二層是數(shù)據(jù)庫層：包括日志、資產(chǎn)庫、異常日志以及資產(chǎn)弱點(diǎn)庫和資產(chǎn)風(fēng)險庫等。該數(shù)據(jù)庫層的主要功能在于對信息安全管理系統(tǒng)中的數(shù)據(jù)進(jìn)行存儲。第三層為功能模塊層：包括資產(chǎn)管理、風(fēng)險管理、弱點(diǎn)管理、信息安全管理規(guī)范下載管理資產(chǎn)等級評估管理、拓補(bǔ)管理以及日志分析。最后一層為展示層：它包含某個具體業(yè)務(wù)系統(tǒng)中的業(yè)務(wù)系統(tǒng)整體安全狀況、資產(chǎn)安全狀況、業(yè)務(wù)系統(tǒng)拓補(bǔ)以及異常安全事件等相關(guān)部分。上述新型信息安全管理系統(tǒng)模型主要體現(xiàn)出以下六點(diǎn)創(chuàng)新之處：

（1）業(yè)務(wù)系統(tǒng)的動態(tài)建模和系統(tǒng)支持資產(chǎn)，可以把業(yè)務(wù)系統(tǒng)和資產(chǎn)二者綁定在一起，由此，整個信息安全系統(tǒng)一方面可以準(zhǔn)確地體現(xiàn)出在一個具體業(yè)務(wù)系統(tǒng)環(huán)境下，其單獨(dú)資產(chǎn)的具體安全狀況；另一方面該信息安全系統(tǒng)還能夠根據(jù)IS027001的具體標(biāo)準(zhǔn)，反應(yīng)出整個資產(chǎn)所承載的整體業(yè)務(wù)系統(tǒng)的安全狀況。

（2）所設(shè)計的風(fēng)險模塊管理可以把風(fēng)險評估常態(tài)化、主動化，使其對整個業(yè)務(wù)周期內(nèi)的所有資產(chǎn)風(fēng)險進(jìn)行動態(tài)的跟蹤與準(zhǔn)確分析；另外，該信息安全系統(tǒng)的日志審計功能也可以實(shí)現(xiàn)被動式的安全管理，從而使主動管理與被動管理在信息安全管理系統(tǒng)中充分融合。

（3）該新安全管理系統(tǒng)增加并促進(jìn)了拓補(bǔ)管理功能的發(fā)揮。

篇3

 

為了貫徹國家對信息系統(tǒng)安全保障工作的要求以及等級化保護(hù)堅持“積極防御、綜合防范”的方針，需要全面提高信息安全防護(hù)能力。貴州廣電網(wǎng)絡(luò)信息系統(tǒng)建設(shè)需要進(jìn)行整體安全體系規(guī)劃設(shè)計，全面提高信息安全防護(hù)能力，創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境，保護(hù)國家利益，促進(jìn)貴州廣電網(wǎng)絡(luò)信息化的深入發(fā)展。

 

1安全規(guī)劃的目標(biāo)和思路

 

貴州廣電網(wǎng)絡(luò)目前運(yùn)營并管理著兩張網(wǎng)絡(luò)：辦公網(wǎng)與業(yè)務(wù)網(wǎng);其中辦公網(wǎng)主要用于貴州廣電網(wǎng)絡(luò)各部門在線辦公，重要的辦公系統(tǒng)為OA系統(tǒng)、郵件系統(tǒng)等;業(yè)務(wù)網(wǎng)主要提供貴州廣電網(wǎng)絡(luò)各業(yè)務(wù)部門業(yè)務(wù)平臺，其中核心業(yè)務(wù)系統(tǒng)為BOSS系統(tǒng)、互動點(diǎn)播系統(tǒng)、安全播出系統(tǒng)、內(nèi)容集成平臺以及寬帶系統(tǒng)等。

 

基于對貴州廣電網(wǎng)絡(luò)信息系統(tǒng)的理解和國家信息安全等級保護(hù)制度的認(rèn)識，我們認(rèn)為，信息安全體系是貴州廣電網(wǎng)絡(luò)信息系統(tǒng)建設(shè)的重要組成部分，是貴州廣電網(wǎng)絡(luò)業(yè)務(wù)開展的重要安全屏障，它是一個包含貴州廣電網(wǎng)絡(luò)實(shí)體、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和管理等五個層面，包括保護(hù)、檢測、響應(yīng)、恢復(fù)四個方面，通過技術(shù)保障和管理制度建立起來的可靠有效的安全體系。

 

1.1設(shè)計目標(biāo)

 

貴州廣電網(wǎng)絡(luò)就安全域劃分已經(jīng)進(jìn)行的初步規(guī)劃，在安全域整改中初見成效，然而，安全系統(tǒng)建設(shè)不僅需要建立重要資源的安全邊界，而且需要明確邊界上的安全策略，提高對核心信息資源的保護(hù)意識。貴州廣電網(wǎng)絡(luò)相關(guān)安全管理體系的建設(shè)還略顯薄弱，管理細(xì)則文件亟需補(bǔ)充，安全管理人員亟需培訓(xùn)。因此，本次規(guī)劃重點(diǎn)在于對安全管理體系以及目前的各個業(yè)務(wù)系統(tǒng)進(jìn)行了全面梳理，針對業(yè)務(wù)系統(tǒng)中安全措施進(jìn)行了重點(diǎn)分析，綜合貴州廣電網(wǎng)絡(luò)未來業(yè)務(wù)發(fā)展的方向，進(jìn)行未來五年的信息安全建設(shè)規(guī)劃。

 

1.2設(shè)計原則

 

1.2.1合規(guī)性原則

 

安全設(shè)計要符合國家有關(guān)標(biāo)準(zhǔn)、法規(guī)要求，符合廣電總局對信息安全系統(tǒng)的等級保護(hù)技術(shù)與管理要求。良好的信息安全保障體系必然是分為不同等級的，包括對信息數(shù)據(jù)保密程度分級，對用戶操作權(quán)限分級，對網(wǎng)絡(luò)安全程度分級(安全子網(wǎng)和安全區(qū)域),對系統(tǒng)實(shí)現(xiàn)結(jié)構(gòu)的分級(應(yīng)用層、網(wǎng)絡(luò)層、鏈路層等)，從而針對不同級別的安全對象，提供全面、可選的安全技術(shù)和安全體制，以滿足貴州廣電網(wǎng)絡(luò)業(yè)務(wù)網(wǎng)、辦公網(wǎng)系統(tǒng)中不同層次的各種實(shí)際安全需求。

 

1.2.2技管結(jié)合原則

 

信息安全保障體系是一個復(fù)雜的系統(tǒng)工程，涉及人、技術(shù)、操作等要素，單靠技術(shù)或單靠管理都不可能實(shí)現(xiàn)。因此，必須將各種安全技術(shù)與運(yùn)行管理機(jī)制、人員思想教育與技術(shù)培訓(xùn)、安全規(guī)章制度建設(shè)相結(jié)合。

 

1.2.3實(shí)用原則

 

安全是為了保障業(yè)務(wù)的正常運(yùn)行，不能為了安全而妨礙業(yè)務(wù)，同時設(shè)計的安全措施要可以落地實(shí)現(xiàn)。

 

1.3設(shè)計依據(jù)

 

1.3.1“原則”符合法規(guī)要求

 

依據(jù)《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例K國務(wù)院147號令)、《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)[20〇3]27號)、《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》(公通字[2004]66號)、《信息安全等級保護(hù)管理辦法》(公通字[2007]43號)和GB/T22240-2009《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南》、GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》、《廣播電視安全播出管理規(guī)定》(廣電總局62號令)、GDJ038-CATV|有線網(wǎng)絡(luò)。

 

2011《廣播電視播出相關(guān)信息系統(tǒng)等級保護(hù)基本要求》，對貴州省廣播電視相關(guān)信息系統(tǒng)安全建設(shè)進(jìn)行規(guī)劃。

 

1.3.2“策略”符合風(fēng)險管理

 

風(fēng)險管理是基于“資產(chǎn)-價值-漏洞-風(fēng)險-保障措施”的思想進(jìn)行保障的。風(fēng)險評估與管理的理論與方法已經(jīng)成為國際信息安全的標(biāo)準(zhǔn)。

 

風(fēng)險管理是靜態(tài)的防護(hù)策略，是在對方攻擊之前的自我鞏固的過程。風(fēng)險分析的核心是發(fā)現(xiàn)信息系統(tǒng)的漏洞，包括技術(shù)上的、管理上的，分析面臨的威脅，從而確定防護(hù)需求，設(shè)計防護(hù)的措施，具體的措施是打補(bǔ)丁，還是調(diào)整管理流程，或者是增加、增強(qiáng)某種安全措施，要根據(jù)用戶對風(fēng)險的可接受程度，這樣就可以與安全建設(shè)的成本之間做一個平衡。

 

1.3.3“措施”符合P2DR模型

 

美國ISS公司(IntemetSecuritySystem，INC)設(shè)計開發(fā)的P2DR模型包括安全策略(Policy)、檢測(Detection)、防護(hù)(Protection)和響應(yīng)(Response)四個主要部分，是一個可以隨著網(wǎng)絡(luò)安全環(huán)境的變化而變化的、動態(tài)的安全防御系統(tǒng)。安全策略是整個P2DR模型的中樞，根據(jù)風(fēng)險分析產(chǎn)生的安全策略描述了系統(tǒng)中哪些資源要得到保護(hù)，以及如何實(shí)現(xiàn)對它們的保護(hù)等，策略是模型的核心，所有的防護(hù)、檢測和響應(yīng)都是依據(jù)安全策略實(shí)施的。

 

檢測(Detection)、防護(hù)(Protection)和響應(yīng)(Response)三個部分又構(gòu)成一個變化的、動態(tài)的安全防御體系。P2DR模型是在整體的安全策略的控制和指導(dǎo)下，在綜合運(yùn)用防護(hù)工具(如防火墻、身份認(rèn)證、加密等)的同時，利用檢測工具(如漏洞評估、入侵檢測等)了解和評估系統(tǒng)的安全狀態(tài)，通過適當(dāng)?shù)姆磻?yīng)將系統(tǒng)調(diào)整至“最安全”和“風(fēng)險最低”的狀態(tài)，在安全策略的指導(dǎo)下保證信息系統(tǒng)的安全[3]。

 

1.4安全規(guī)劃體系架構(gòu)

 

在進(jìn)行了規(guī)劃“原則”、“策略”、“措施”探討的基礎(chǔ)上，我們設(shè)計貴州廣電網(wǎng)絡(luò)的安全保障體系架構(gòu)為“一個中心、兩種手段”。

 

“一個中心”，以安全管理中心為核心，構(gòu)建安全計算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)，確保業(yè)務(wù)系統(tǒng)能夠在安全管理中心的統(tǒng)一管控下運(yùn)行，不會進(jìn)入任何非預(yù)期狀態(tài)，從而防止用戶的非授權(quán)訪問和越權(quán)訪問，確保業(yè)務(wù)系統(tǒng)的安全。

 

“兩種手段”，是安全技術(shù)與安全管理兩種手段，其中安全技術(shù)手段是安全保障的基礎(chǔ)，安全管理手段是安全技術(shù)手段真正發(fā)揮效益的關(guān)鍵，管理措施的正確實(shí)施同時需要有技術(shù)手段來監(jiān)管和驗證，兩者相輔相成，缺一不可。

 

2安全保陳方案規(guī)劃

 

2.1總體設(shè)計

 

貴州廣電網(wǎng)絡(luò)的安全體系作為信息安全的技術(shù)支撐措施，分為五個方面：

 

邊界防護(hù)體系：安全域劃分，邊界訪問控制策略的部署，主要是業(yè)務(wù)核心資源的邊界，運(yùn)維人員的訪問通道。

 

行為審計體系：通過身份鑒別、授權(quán)管理、訪問控制、行為曰志等手段，保證用戶行為的合規(guī)性。

 

安全監(jiān)控體系：監(jiān)控網(wǎng)絡(luò)中的異常，維護(hù)業(yè)務(wù)運(yùn)行的安全基線，包括安全事件與設(shè)備故障，也包括系統(tǒng)漏洞與升級管理。

 

公共安全輔助：作為整個網(wǎng)絡(luò)信息安全的基礎(chǔ)服務(wù)系統(tǒng)，包括身份認(rèn)證系統(tǒng)、補(bǔ)丁管理系統(tǒng)以及漏洞掃描系統(tǒng)等。

 

IT基礎(chǔ)設(shè)施：提供智能化、彈能力的基礎(chǔ)設(shè)施，主要的機(jī)房的智能化、服務(wù)器的虛擬化、存儲的虛擬化等。

 

2.2安全域劃分

 

劃分安全域的方法是首先區(qū)分網(wǎng)絡(luò)功能區(qū)域，服務(wù)器資源區(qū)、網(wǎng)絡(luò)連接區(qū)、用戶接入?yún)^(qū)、運(yùn)維管理區(qū)、對外公共服務(wù)區(qū);其次是在每個區(qū)域中，按照不同的安全需求區(qū)分不同的業(yè)務(wù)與用戶，進(jìn)一步劃分子區(qū)域;最后，根據(jù)每個業(yè)務(wù)應(yīng)用系統(tǒng)，梳理其用戶到服務(wù)器與數(shù)據(jù)庫的網(wǎng)絡(luò)訪問路徑，通過的域邊界或網(wǎng)絡(luò)邊界越少越好。

 

Z3邊界防護(hù)體系規(guī)劃

 

邊界包括網(wǎng)絡(luò)邊界、安全域邊界、用戶接口邊界(終端與服務(wù)器)、業(yè)務(wù)流邊界，邊界上部署訪問控制措施，是防止非授權(quán)的“外部”用戶訪問“里面”的資源，因此分析業(yè)務(wù)的訪問流向，是訪問控制策略設(shè)計的依據(jù)。

 

2.3.1邊界措施選擇

 

在邊界上我們建議四種安全措施：

 

1.網(wǎng)絡(luò)邊界：與外部網(wǎng)絡(luò)的邊界是安全防護(hù)的重點(diǎn)，我們建議采用統(tǒng)一安全網(wǎng)關(guān)(UTM),從網(wǎng)絡(luò)層到應(yīng)用層的安全檢測，采用防火墻(FW)部署訪問控制策略，采用入侵防御系統(tǒng)(IPS)部署對黑客入侵的檢測，采用病毒網(wǎng)關(guān)(AV)部署對病毒、木馬的防范;為了方便遠(yuǎn)程運(yùn)維工作，與遠(yuǎn)程辦公實(shí)施，在網(wǎng)絡(luò)邊界上部署VPN網(wǎng)關(guān)，對遠(yuǎn)程訪問用戶身份鑒別后，分配內(nèi)網(wǎng)地址，給予限制性的訪問授權(quán)。Web服務(wù)的SQL注入、XSS攻擊等。

 

3.業(yè)務(wù)流邊界：安全需求等級相同的業(yè)務(wù)應(yīng)用采用VLAN隔離，采用路由訪問限制策略;不同部門的接入域也采用VLAN隔離，防止二層廣播，通知可以在發(fā)現(xiàn)安全事件時，開啟不同子域的安全隔離。

 

4.終端邊界：重點(diǎn)業(yè)務(wù)系統(tǒng)的終端，如運(yùn)維終端，采用終端安全系統(tǒng)，保證終端上系統(tǒng)的安全，如補(bǔ)丁的管理、黑名單軟件管理、非法外聯(lián)管理、移動介質(zhì)管理等等。

 

2.3.2策略更新管理

 

邊界是提高入侵者的攻擊“門檻”的，部署安全策略重點(diǎn)有兩個方面：一是有針對性。允許什么，不允許什么，是明確的;二是動態(tài)性。就是策略的定期變化，如訪問者的口令、允許遠(yuǎn)程訪問的端口等，變化的周期越短，給入侵者留下的攻擊窗口越小。

 

2.4行為審計體系規(guī)劃

 

行為審計是指對網(wǎng)絡(luò)用戶行為進(jìn)行詳細(xì)記錄，直接的好處是可以為事后安全事件取證提供直接證據(jù)，間接的好處乇兩方面：對業(yè)務(wù)操作的日志記錄，可以在曰后發(fā)現(xiàn)操作錯誤、確定破壞行為恢復(fù)時提供操作過程的反向操作，最大程度地減小損失;對系統(tǒng)操作的日志記錄，可以分析攻擊者的行為軌跡，從而判斷安全防御系統(tǒng)的漏洞所在，亡羊補(bǔ)牢，可以彌補(bǔ)入侵者下次入侵的危害。

 

行為審計主要措施包括:一次性口令、運(yùn)維審計(堡壘機(jī))、曰志審計以及網(wǎng)絡(luò)行為審計。

 

2.5安全監(jiān)控體系規(guī)劃

 

監(jiān)控體系不僅是網(wǎng)絡(luò)安全態(tài)勢展示平臺，也是安全事件應(yīng)急處理的指揮平臺。為了管理工作上的方便，在安全監(jiān)控體系上做到幾方面的統(tǒng)一：

 

1.運(yùn)維與安全管理的統(tǒng)一：業(yè)務(wù)運(yùn)維與安全同平臺管理，提高安全事件的應(yīng)急處理速度。

 

2.曰常安全運(yùn)維與應(yīng)急指揮統(tǒng)一：隨時了解網(wǎng)絡(luò)上的設(shè)備、系統(tǒng)、流量、業(yè)務(wù)等狀態(tài)變化，不僅是日常運(yùn)維發(fā)現(xiàn)異常的平臺，而且作為安全事件應(yīng)急指揮的調(diào)度平臺，隨時了解安全事件波及的范圍、影響的業(yè)務(wù)，同時確定安全措施執(zhí)行的效果。

 

3.管理與考核的統(tǒng)一：安全運(yùn)維人員的工作考核就是網(wǎng)絡(luò)安全管理的曰常工作與緊急事件的處理到位，在安全事件的定位、跟蹤、處理過程中，就體現(xiàn)了安全運(yùn)維人員服務(wù)的質(zhì)量。因此對安全運(yùn)維平臺的行為記錄就可以為運(yùn)維人員的考核提供一線的數(shù)據(jù)。

 

安全監(jiān)控措施主要包括安全態(tài)勢監(jiān)控以及安全管理平臺，2.6公共安全輔助系統(tǒng)

 

作為整個網(wǎng)絡(luò)信息安全的基礎(chǔ)服務(wù)系統(tǒng)，需要建設(shè)公共安全輔助系統(tǒng)：

 

1.身份認(rèn)證系統(tǒng)：獨(dú)立于所有業(yè)務(wù)系統(tǒng)之外，為業(yè)務(wù)、運(yùn)維提供身份認(rèn)證服務(wù)。

 

2.補(bǔ)丁管理系統(tǒng)：對所有系統(tǒng)、應(yīng)用的補(bǔ)丁進(jìn)行管理，對于通過測試的補(bǔ)丁、重要的補(bǔ)丁，提供主動推送，或強(qiáng)制執(zhí)行的技術(shù)手段，保證網(wǎng)絡(luò)安全基線。

 

3.漏洞掃描系統(tǒng)：對于網(wǎng)絡(luò)上設(shè)備、主機(jī)系統(tǒng)、數(shù)據(jù)庫、業(yè)務(wù)系統(tǒng)等的漏洞要及時了解，對于不能打補(bǔ)丁的系統(tǒng)，要確認(rèn)有其他安全策略進(jìn)行防護(hù)。漏洞掃描分為兩個方面，一是系統(tǒng)本身的漏洞，二是安全域邊界部署了安全措施之后，實(shí)際用戶所能訪問到的漏洞(滲透性測試服務(wù))。

 

2.7IT基礎(chǔ)設(shè)施規(guī)劃

 

IT基礎(chǔ)設(shè)施是所有網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)服務(wù)的基礎(chǔ)，具備一個優(yōu)秀的基礎(chǔ)架構(gòu)，不僅可以快速、靈活地支撐各種業(yè)務(wù)系統(tǒng)的有效運(yùn)行，而且可以極大地提高基礎(chǔ)IT資源的利用率，節(jié)省資金投入，達(dá)到環(huán)保的要求。

 

IT基礎(chǔ)設(shè)施的優(yōu)化主要體現(xiàn)在三個方面：智能機(jī)房、服務(wù)器虛擬化、存儲虛擬化。

 

3安全筐理體系規(guī)劃

 

在系統(tǒng)安全的各項建設(shè)內(nèi)容中，安全管理體系的建設(shè)是關(guān)鍵和基礎(chǔ)，建立一套科學(xué)的、可靠的、全面而有層次的安全管理體系是貴州省廣播電視信息網(wǎng)絡(luò)股份有限公司安全建設(shè)的必要條件和基本保證。

 

3_1安全管理標(biāo)準(zhǔn)依據(jù)

 

以GBAT22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》中二級、三級安全防護(hù)能力為標(biāo)準(zhǔn)，對貴州廣電網(wǎng)絡(luò)安全管理體系的建設(shè)進(jìn)行設(shè)計。

 

3.2安全管理體系的建設(shè)目標(biāo)

 

通過有效的進(jìn)行貴州廣電網(wǎng)絡(luò)的安全管理體系建設(shè)，最終要實(shí)現(xiàn)的目標(biāo)是：采取集中控制模式，建立起貴州廣電網(wǎng)絡(luò)完整的安全管理體系并加以實(shí)施與保持，實(shí)現(xiàn)動態(tài)的、系統(tǒng)的、全員參與的、制度化的、以預(yù)防為主的安全管理模式，從而在管理上確保全方位、多層次、快速有效的網(wǎng)絡(luò)安全防護(hù)。

 

3.3安全管理建設(shè)指導(dǎo)思想

 

各種標(biāo)準(zhǔn)體系文件為信息安全管理建設(shè)僅僅提供一些原則性的建議，要真正構(gòu)建符合貴州廣電網(wǎng)絡(luò)自身狀況的信息安全管理體系，在建設(shè)過程中應(yīng)當(dāng)以以下思想作為指導(dǎo)：“信CATV丨有線網(wǎng)絡(luò)息安全技術(shù)、信息安全產(chǎn)品是信息安全管理的基礎(chǔ)，信息安全管理是信息安全的關(guān)鍵，人員管理是信息安全管理的核心,信息安全政策是進(jìn)行信息安全管理的指導(dǎo)原則，信息安全管理體系是實(shí)現(xiàn)信息安全管理最為有效的手段?！?/p>

 

3.4安全管理體系的建設(shè)具體內(nèi)容

 

GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》(以下簡稱《基本要求》)對信息系統(tǒng)的安全管理體系提出了明確的指導(dǎo)和要求。我們應(yīng)以《基本要求》為標(biāo)準(zhǔn)，結(jié)合目前貴州廣電網(wǎng)絡(luò)安全管理體系的現(xiàn)狀，對廣電系統(tǒng)的管理機(jī)構(gòu)、管理制度、人員管理、技術(shù)手段四個方面進(jìn)行建設(shè)和加強(qiáng)。同時，由于信息安全是一個動態(tài)的系統(tǒng)工程，所以，貴州廣電網(wǎng)絡(luò)還必須對信息安全管理措施不斷的加以校驗和調(diào)整，以使管理體系始終適應(yīng)和滿足實(shí)際情況的需要，使貴州廣電網(wǎng)絡(luò)的信息資產(chǎn)得到有效、經(jīng)濟(jì)、合理的保護(hù)。

 

貴州廣電網(wǎng)絡(luò)的安全管理體系主要包括安全管理機(jī)構(gòu)、安全管理制度、安全標(biāo)準(zhǔn)規(guī)范和安全教育培訓(xùn)等方面。

 

通過組建完整的信息網(wǎng)絡(luò)安全管理機(jī)構(gòu)，設(shè)置安全管理人員，規(guī)劃安全策略、確定安全管理機(jī)制、明確安全管理原則和完善安全管理措施，制定嚴(yán)格的安全管理制度，合理地協(xié)調(diào)法律、技術(shù)和管理三種因素，實(shí)現(xiàn)對系統(tǒng)安全管理的科學(xué)化、系統(tǒng)化、法制化和規(guī)范化，達(dá)到保障貴州廣電網(wǎng)絡(luò)信息系統(tǒng)安全的目的。

 

3.5曰常安全運(yùn)維3.5.1安全風(fēng)險評估

 

安全風(fēng)險評估是建立主動防御安全體系的重要和關(guān)鍵環(huán)節(jié)，這環(huán)的工作做好了可以減少大量的安全威脅，提升整個信息系統(tǒng)的對網(wǎng)絡(luò)災(zāi)難的免疫能力;風(fēng)險評估是信息安全管理體系建立的基礎(chǔ)，是組織平衡安全風(fēng)險和安全投入的依據(jù)，也是信息安全管理體系測量業(yè)績、發(fā)現(xiàn)改進(jìn)機(jī)會的最重要途徑。

 

3.5.2網(wǎng)絡(luò)管理與安全管理

 

網(wǎng)絡(luò)管理與安全管理的主要措施包括：出入控制、場地與設(shè)施安全管理、網(wǎng)絡(luò)運(yùn)行狀態(tài)監(jiān)控、安全設(shè)備監(jiān)控、安全事件監(jiān)控與分析、提出預(yù)防措施。

 

3.5.3備份與容災(zāi)管理

 

貴州廣電網(wǎng)絡(luò)主要關(guān)鍵業(yè)務(wù)系統(tǒng)需要雙機(jī)本地?zé)醾?、?shù)據(jù)離線備份措施;其他相關(guān)業(yè)務(wù)應(yīng)用系統(tǒng)需要數(shù)據(jù)離線備份措施。

 

3.5.4應(yīng)急響應(yīng)計劃

 

通過建立應(yīng)急相應(yīng)機(jī)構(gòu)，制定應(yīng)急響應(yīng)預(yù)案，通過建立專家資源庫、廠商資源庫等人力資源措施，通過對應(yīng)急響應(yīng)有線網(wǎng)絡(luò)ICATV預(yù)案不低于一年兩次的演練，可以在發(fā)生緊急事件時，做到規(guī)范化操作，更快的恢復(fù)應(yīng)用和數(shù)據(jù)，并最大可能的減少損失

 

3.6安全人員管理

 

信息系統(tǒng)的運(yùn)行是依靠在各級黨政機(jī)構(gòu)工作的人員來具體實(shí)施的，他們既是信息系統(tǒng)安全的主體，也是系統(tǒng)安全管理的對象。所以，要確保信息系統(tǒng)的安全，首先應(yīng)加強(qiáng)人事安全管理。

 

安全人員應(yīng)包括：系統(tǒng)安全管理員、系統(tǒng)管理員、辦公自動化操作人員、安全設(shè)備操作員、軟硬件維修人員和警衛(wèi)人員。

 

其中系統(tǒng)管理員、系統(tǒng)安全管理員必須由不同人員擔(dān)當(dāng)。3.7技術(shù)安全管理

 

主要措施包括：軟件管理、設(shè)備管理、備份管理以及技術(shù)文檔管理。

 

4安全規(guī)劃分期建設(shè)路線

 

信息安全保障重要的是過程，而不一定是結(jié)果，重要的是安全意識的提高，而不一定是安全措施的多少。因此，信息安全建設(shè)也應(yīng)該從保障業(yè)務(wù)運(yùn)營為目標(biāo)，提高用戶自身的安全意識為思路，根據(jù)業(yè)務(wù)應(yīng)用的模式與規(guī)模逐步、分階段建設(shè)，同時還要符合國家與廣電總局關(guān)于等級保護(hù)的技術(shù)與管理要求。

 

4.1主要的工作內(nèi)容

 

根據(jù)安全保障方案規(guī)劃的設(shè)計，貴州廣電網(wǎng)絡(luò)的信息安全建設(shè)分為如下幾個方面的內(nèi)容：

 

1.網(wǎng)絡(luò)優(yōu)化改造:主要是安全域的劃分，網(wǎng)絡(luò)結(jié)構(gòu)的改造。

 

2.安全措施部署:邊界隔離措施部署，行為審計系統(tǒng)部署、安全監(jiān)控體系部署。

 

3.基礎(chǔ)設(shè)施改造：主要是數(shù)據(jù)大集中、服務(wù)器虛擬化、存儲虛擬化。

 

4.安全運(yùn)維管理:信息安全管理規(guī)范、日常安全運(yùn)維考核、安全檢查與審計流程、安全應(yīng)急演練、曰常安全服務(wù)等。

 

4.2分期建設(shè)規(guī)劃

 

4_2.1達(dá)標(biāo)階段(2015-2017)

 

1.等保建設(shè)

 

2.信任體系：網(wǎng)絡(luò)審計、運(yùn)維審計、日志審計

 

3.身份鑒別(一次口令)

 

4.監(jiān)控平臺：入侵檢測、流量監(jiān)測、木馬監(jiān)測

 

5.安全管理平臺建設(shè)

 

6.等保測評通過(2級3級系統(tǒng))

 

7.安全服務(wù)：建立定期模式

 

8.滲透性測試服務(wù)(外部+內(nèi)部)

 

9.安全加固服務(wù)，建立服務(wù)器安全底線

 

10.信息安全管理

 

11.落實(shí)安全管理細(xì)則文件制定

 

12.落實(shí)安全運(yùn)維與應(yīng)急處理流程

 

13.完善IT服務(wù)流程，建設(shè)安全運(yùn)維管理平臺

 

14.定期安全演練與培訓(xùn)

 

4.2.2持續(xù)改進(jìn)階段(2018?2019)

 

1.等保建設(shè)

 

2.完善信息安全防護(hù)體系

 

3.提升整體防護(hù)能力

 

4.深度安全服務(wù)

 

5.有針對性安全演練，協(xié)調(diào)改進(jìn)管理與技術(shù)措施

 

6.源代碼安全審計服務(wù)(新上線業(yè)務(wù))

 

7.信息安全管理

 

8.持續(xù)改進(jìn)運(yùn)維與應(yīng)急流程與制度，提高應(yīng)急反應(yīng)能力

 

9.提高運(yùn)維效率，開拓運(yùn)維增值模式

 

5結(jié)東語

篇4

【關(guān)鍵詞】通信網(wǎng)絡(luò)；因素；技術(shù)；建設(shè)；措施

1.通信網(wǎng)絡(luò)安全的內(nèi)涵

通信網(wǎng)絡(luò)安全是指信息安全和控制安全。其中國際標(biāo)準(zhǔn)化組織把信息安全定義為信息完整性、可用性、保密性和可靠性。而控制安全是指身份認(rèn)證、不可否認(rèn)性、授權(quán)和訪問控制。通信網(wǎng)絡(luò)的特點(diǎn)是具有開放性、交互性和分散性，能夠為用戶提供資源共享、開放、靈活和方便快速的信息傳遞、交流的方式。

2.通信網(wǎng)絡(luò)安全的現(xiàn)狀

2.1通信網(wǎng)絡(luò)發(fā)展現(xiàn)狀

中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）的《第27次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》數(shù)據(jù)顯示，截至2010年12月底，我國網(wǎng)民規(guī)模達(dá)到4.57億，較2009年底增加7330萬人。我國手機(jī)網(wǎng)民規(guī)模達(dá)3.03億，而網(wǎng)絡(luò)購物用戶年增長48.6%。Research艾瑞市場咨詢根據(jù)公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局統(tǒng)計數(shù)據(jù)顯示，互聯(lián)網(wǎng)遭受病毒攻擊中“瀏覽器配置被修改”占20.9%?！皵?shù)據(jù)受損或丟失”18%，“系統(tǒng)使用受限”16.1%，“密碼被盜”13.1%。通過以上數(shù)據(jù)顯示，可以看出我國的通信網(wǎng)絡(luò)在飛速發(fā)展，而通信網(wǎng)絡(luò)安全問題日益加劇，通信網(wǎng)絡(luò)安全建設(shè)仍是亟待解決的重點(diǎn)問題。

2.2造成通信網(wǎng)絡(luò)安全問題的因素

第一，計算機(jī)病毒。計算機(jī)病毒（Computer Virus）在《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》中被明確定義，病毒指“編制者在計算機(jī)程序中插入的破壞計算機(jī)功能或者破壞數(shù)據(jù)，影響計算機(jī)使用并且能夠自我復(fù)制的一組計算機(jī)指令或者程序代碼”。計算機(jī)病毒具有復(fù)制性、破壞性和傳染性。

第二，黑客攻擊。中國互聯(lián)網(wǎng)絡(luò)信息中心和國家互聯(lián)網(wǎng)應(yīng)急中心的調(diào)查報告數(shù)據(jù)顯示，僅在2009年我國就有52%的網(wǎng)民曾遭遇過網(wǎng)絡(luò)安全事件，而網(wǎng)民處理安全事件所支付的相關(guān)費(fèi)用就達(dá)153億元人民幣。網(wǎng)絡(luò)攻擊事件給用戶帶來了嚴(yán)重的經(jīng)濟(jì)損失，其中包括網(wǎng)絡(luò)游戲、即時通信等賬號被盜造成的虛擬財產(chǎn)損失，網(wǎng)銀密碼、賬號被盜造成的財產(chǎn)損失等。產(chǎn)生網(wǎng)絡(luò)安全事件的主因是黑客惡意攻擊。通信網(wǎng)絡(luò)是基于TCP/IP協(xié)議，而TCP/IP協(xié)議在設(shè)計初期是出于信息資源共享的目的，沒有進(jìn)行安全防護(hù)的方面的考慮，因此導(dǎo)致了通信網(wǎng)絡(luò)自身存在安全隱患，也給黑客提供了可乘之機(jī)。

第三，通信網(wǎng)絡(luò)基礎(chǔ)建設(shè)存在薄弱環(huán)節(jié)。例如通信網(wǎng)絡(luò)相關(guān)的軟硬件設(shè)施存在安全隱患。通信網(wǎng)絡(luò)運(yùn)營商為了管理方便，會在一些軟硬件系統(tǒng)中留下遠(yuǎn)程終端的登錄控制通道，還有一些通信軟件程序在投入市場使用中，缺少安全等級鑒別和防護(hù)程序，因此形成了通信網(wǎng)絡(luò)漏洞，容易被不法分子利用而發(fā)起入侵網(wǎng)絡(luò)系統(tǒng)的攻擊，使通信信息遭到竊取、篡改、泄露。另外通訊信息傳輸信道也存在安全隱患，例如許多通信運(yùn)營商采取的是普通通信線路，沒有安置電磁屏蔽，容易被不法分子利用特殊裝置對信息進(jìn)行竊取。

第四，人為因素造成的通信網(wǎng)絡(luò)安全問題。通信網(wǎng)絡(luò)的安全高效運(yùn)行需要高素質(zhì)、高專業(yè)技術(shù)水平的人員，而目前的網(wǎng)絡(luò)管理人員的安全觀念和技術(shù)水平還有待提升。

3.解決措施

隨著我國通信網(wǎng)絡(luò)功能的不斷完善，在人們?nèi)粘Ｉ睢⑸a(chǎn)和社會經(jīng)濟(jì)發(fā)展中起到了越來越重要的作用。因此，通信網(wǎng)絡(luò)安全建設(shè)需要采用有效的措施，消除通信網(wǎng)絡(luò)的安全隱患，加強(qiáng)對非法入侵的監(jiān)測、防偽、審查、追蹤，保障通信網(wǎng)絡(luò)信息傳遞的安全性、可靠性、及時性和完整性，加強(qiáng)和完善通信線路的建立、信息傳輸全過程的安全防護(hù)措施。

3.1完善通信網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)

通信網(wǎng)絡(luò)的物理安全是通信網(wǎng)絡(luò)安全的基礎(chǔ)，通信網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全主要包括：保護(hù)計算機(jī)系統(tǒng)（各種網(wǎng)絡(luò)服務(wù)器）、網(wǎng)絡(luò)設(shè)備和通信鏈路免受自然災(zāi)害、人為破壞和物理手段的攻擊，加強(qiáng)對系統(tǒng)帳戶的管理、用戶的分級管理、用戶權(quán)限的控制，以及系統(tǒng)關(guān)鍵部位的電磁保護(hù)防止電磁泄漏，同時要制定通信網(wǎng)絡(luò)安全管理制度，避免計算機(jī)控制室出現(xiàn)偷竊、破壞活動。

3.2完善通信網(wǎng)絡(luò)安全的法制體系建設(shè)

鑒于通信網(wǎng)絡(luò)存在安全事件造成巨大經(jīng)濟(jì)財產(chǎn)損失，需要制定通信網(wǎng)絡(luò)安全的法律、法規(guī)，這也是打擊網(wǎng)絡(luò)犯罪的重要手段。我國在2009年3月實(shí)行了《信息安全條例（部內(nèi)審議稿）》與《電信設(shè)施保護(hù)條例（草稿）》，明確了網(wǎng)絡(luò)與信息系統(tǒng)安全、網(wǎng)絡(luò)信息服務(wù)安全、信息技術(shù)產(chǎn)品和服務(wù)等內(nèi)容，而且規(guī)范了保障電信設(shè)施建設(shè)與規(guī)劃、處理公用設(shè)施之間的相鄰關(guān)系、電信設(shè)施保護(hù)區(qū)的劃定、電信設(shè)施損壞賠償制度等方面的內(nèi)容。進(jìn)一步完善了通信網(wǎng)絡(luò)安全的法制體系，也為通信網(wǎng)絡(luò)安全運(yùn)行提供了法律依據(jù)。

3.3運(yùn)用網(wǎng)絡(luò)安全技術(shù)，保障通信網(wǎng)絡(luò)安全

3.3.1保障通信網(wǎng)絡(luò)安全的技術(shù)手段

針對通信網(wǎng)絡(luò)安全問題，采取的技術(shù)手段主要包括以下幾種?！吧矸蓁b別”、“網(wǎng)絡(luò)授權(quán)”、“數(shù)據(jù)保護(hù)”、“收發(fā)確認(rèn)”、“保證數(shù)據(jù)的完整性”、“業(yè)務(wù)流分析保護(hù)”。其中“身份鑒別”是基于身份認(rèn)證技術(shù)，通過身份認(rèn)證技術(shù)可以保障信息的機(jī)密性、完整性、不可否認(rèn)性及可控性等功能特性。這幾種安全防范措施，是系統(tǒng)開始運(yùn)行到數(shù)據(jù)傳輸，以及通訊業(yè)務(wù)完成全過程的安全防護(hù)，能夠有效的保障數(shù)據(jù)傳輸?shù)陌踩浴C(jī)密性、完整性。

3.3.2保障通信網(wǎng)絡(luò)安全的技術(shù)類型

建構(gòu)防御系統(tǒng)還需要利用防火墻技術(shù)、入侵檢測技術(shù)、漏洞掃描技術(shù)等。

（1）防火墻技術(shù)

防火墻技術(shù)是一個有軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障，能夠最大限度的阻止網(wǎng)絡(luò)中的黑客入侵。

（2）入侵檢測技術(shù)

入侵檢測技術(shù)是對防火墻技術(shù)的補(bǔ)充。防火墻技術(shù)雖然能夠保護(hù)內(nèi)部網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)的攻擊，但它對內(nèi)部網(wǎng)絡(luò)的一些非法活動的監(jiān)控不夠完善。依據(jù)入侵檢測技術(shù)而應(yīng)用的IDS即入侵檢測系統(tǒng)，積極主動地對內(nèi)部攻擊、外部攻擊和誤操作的提供實(shí)時保護(hù)，IDS能夠在網(wǎng)絡(luò)系統(tǒng)受到危害之前，攔截和響應(yīng)入侵，提高了信息安全性，同時也能夠主動保護(hù)網(wǎng)絡(luò)系統(tǒng)免于計算機(jī)病毒、木馬以及黑客的攻擊。

（3）漏洞掃描技術(shù)

由于通信系統(tǒng)自身存在漏洞，需要采用漏洞掃描技術(shù)來優(yōu)化系統(tǒng)設(shè)置，針對不同系統(tǒng)軟件存在的安全漏洞下載安裝補(bǔ)丁程序，能夠及時升級網(wǎng)絡(luò)系統(tǒng)和修改軟件設(shè)計缺陷，以此提高通信網(wǎng)絡(luò)系統(tǒng)可靠性、安全性，保障通信網(wǎng)絡(luò)系統(tǒng)的運(yùn)行。

4.總結(jié)

隨著通信網(wǎng)絡(luò)在全球范圍內(nèi)的飛速發(fā)展，人類生活、工作的全部領(lǐng)域都與通信網(wǎng)絡(luò)息息相關(guān)，通信網(wǎng)絡(luò)提供高效、方便、強(qiáng)大服務(wù)功能的同時，其產(chǎn)生通信網(wǎng)絡(luò)安全問題也給社會經(jīng)濟(jì)發(fā)展帶來了一定的負(fù)面影響。因此國家與相關(guān)部門要完善法律體系，依據(jù)安全技術(shù)手段，提高安全防范意識，全方位的增強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)的安全、信息的安全、網(wǎng)絡(luò)系統(tǒng)的安全，促進(jìn)通信網(wǎng)絡(luò)的發(fā)展。

【參考文獻(xiàn)】

篇5

沒有安全，何以生存，遑論發(fā)展；而信息時代安全的核心內(nèi)容之一，便是信息安全。蓋緣于此，世界上主要發(fā)達(dá)國家始終十分重視信息安全工作。

1998年5月22日，美國克林頓政府頒布了《保護(hù)美國關(guān)鍵基礎(chǔ)設(shè)施》總統(tǒng)令（PDD63），圍繞“信息安全”成立了包括全國信息安全委員會、全國信息安全同盟、關(guān)鍵基礎(chǔ)設(shè)施保障辦公室、首席信息官委員會等10余各全國性機(jī)構(gòu)。同年，美國國家安全局（NSA）制定了《信息安全保障框架》（IATF），提出了深度防御策略。2000年發(fā)表了《總統(tǒng)國家安全戰(zhàn)略報告》，首次將信息安全明確列入其中。布什政府在911之后成立了國土安全部、國家KIP委員會，并于2002年和2003年陸續(xù)頒布了《國家保障數(shù)字空間安全策略》、《國家安全戰(zhàn)略報告》和《網(wǎng)絡(luò)空間安全國家戰(zhàn)略計劃》。奧巴馬總統(tǒng)上臺不久，就親自主導(dǎo)了為期60天的信息安全評估項目，并于2009年5月公布了《美國網(wǎng)絡(luò)安全評估》報告，評估了美國政府在網(wǎng)絡(luò)空間的安全戰(zhàn)略、策略和標(biāo)準(zhǔn)，指出了存在的問題，并提出相應(yīng)的行動計劃。在此基礎(chǔ)上，美國政府成立了網(wǎng)絡(luò)安全辦公室，任命了網(wǎng)絡(luò)安全協(xié)調(diào)官。2010年6月，美國國防部正式成立了由戰(zhàn)略司令部領(lǐng)導(dǎo)的網(wǎng)絡(luò)戰(zhàn)司令部，于2010年10月正式運(yùn)行。2015年年底，美國《網(wǎng)絡(luò)安全法》獲得正式通過，成為美國當(dāng)前規(guī)制網(wǎng)絡(luò)安全信息共享的一部較為完備的法律，首次明確了網(wǎng)絡(luò)安全信息共享的范圍，并通過修訂2002年《國土安全法》的相關(guān)內(nèi)容，規(guī)范國家網(wǎng)絡(luò)安全增強(qiáng)、聯(lián)邦網(wǎng)絡(luò)安全人事評估及其他網(wǎng)絡(luò)事項。

俄羅斯則早在1995年便頒布了《聯(lián)邦信息、信息化和信息保護(hù)法》，明確界定了信息資源開放和保密的范疇，提出了保護(hù)信息的法律責(zé)任。1997年俄羅斯出臺的《俄羅斯國家安全構(gòu)想》中明確提出，“保障國家安全應(yīng)把保障國家經(jīng)濟(jì)安全放在第一位”，而“信息安全又是經(jīng)濟(jì)安全的重中之重”。2000年普京總統(tǒng)批準(zhǔn)了《國家信息安全學(xué)說》，明確了俄羅斯聯(lián)邦信息安全建設(shè)的目的、任務(wù)、原則和主要內(nèi)容。

我國政府高度重視信息安全工作，早在1994年，國務(wù)院便以147號令頒布了《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》；2003年國務(wù)院成立應(yīng)急辦，頒布了《國家突發(fā)公共衛(wèi)生事件應(yīng)急條例》；2006年公布了《國家突發(fā)公共事件總體應(yīng)急預(yù)案》和《國家網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案》，確定了4大公共事件及網(wǎng)絡(luò)信息安全事件的應(yīng)急措施預(yù)案；2007年制定了《國家突發(fā)事件應(yīng)對法》。此外，信息產(chǎn)業(yè)部、工信部以及各地方政府和部門在近十余年時間里也陸續(xù)出臺了各類與信息安全相關(guān)的法律法規(guī)。信息安全在我國的國家層面上受到高度重視，目前已上升為國家戰(zhàn)略。相應(yīng)地，信息安全工作也已成為各行各業(yè)信息化戰(zhàn)略規(guī)劃和信息化建設(shè)中不可或缺的內(nèi)容，氣象部門也不例外。

信息安全是一個永恒的主題，信息安全工作永遠(yuǎn)沒有終結(jié)的一刻。在國家大力倡導(dǎo)信息化、互聯(lián)網(wǎng)+、大數(shù)據(jù)應(yīng)用和信息安全的現(xiàn)在，認(rèn)真系統(tǒng)地回顧和審視氣象信息安全工作，是完全必要的，因為這可使我們及早發(fā)現(xiàn)問題、查漏補(bǔ)缺，使氣象信息安全工作進(jìn)一步發(fā)揮出應(yīng)有的作用。

二、信息安全的本質(zhì)

（一）信息安全的內(nèi)涵和特征

信息是氣象部門最寶貴的資產(chǎn)，是氣象部門賴以立身的最為珍貴的資源。因此，必須對所有氣象信息進(jìn)行妥善的保護(hù)。

按業(yè)界的規(guī)范定義，信息安全主要指信息的保密性、完整性和可用性的保持，即：通過采用計算機(jī)軟硬件技術(shù)、網(wǎng)絡(luò)技術(shù)、密鑰技術(shù)等安全技術(shù)和各種組織管理措施，保護(hù)信息在其生命周期內(nèi)的產(chǎn)生、傳輸、交換、處理和存儲等各個環(huán)節(jié)中，信息的保密性、完整性和可用性不被破壞，保障業(yè)務(wù)的連續(xù)性，最大限度地減少業(yè)務(wù)的損失，最大限度地獲取業(yè)務(wù)回報。其中：保密性是指確保只有那些被授予特定權(quán)限的人才能夠訪問到信息；完整性是指保證信息和處理方法的正確性和完整性；可用性則是指確保那些已被授權(quán)的用戶在其需要的時候，確實(shí)可以訪問到所需信息。此屬常識，不予展開。

信息安全具有如下特征：

1. 信息安全是系統(tǒng)的安全

信息產(chǎn)生于系統(tǒng)、存在于系統(tǒng)、被系統(tǒng)所使用并由系統(tǒng)發(fā)揮其作用，所有與信息相關(guān)的各系統(tǒng)皆必須納入信息安全的視野，予以充分的關(guān)注和考慮。此外，信息安全是整體的安全，所有與信息相關(guān)的部分由信息串聯(lián)而構(gòu)成一個相對完整的系統(tǒng)，它的安全直接關(guān)系到信息的安全。

2. 信息安全是動態(tài)的安全

信息的安全保障是一個動態(tài)的過程，沒有永久的安全，也不存在滿足信息安全的充分條件，信息安全問題不可能一勞永逸地予以解決。保護(hù)信息安全不可能是絕對的，而是多種約束條件下的折衷的選擇。隨著事物的發(fā)展和技術(shù)的進(jìn)步，約束條件必然發(fā)生變化，而約束條件的變化又將必然導(dǎo)致信息安全方針、策略和措施的相應(yīng)調(diào)整和變化。

3. 信息安全是無邊界的安全

網(wǎng)絡(luò)的廣泛互聯(lián)使得信息系統(tǒng)環(huán)境的邊界越來越模糊，傳統(tǒng)意義上的國界、前方和后方正在消失，人們幾乎可以從任何地點(diǎn)、任何時間對任何對象發(fā)起網(wǎng)絡(luò)攻擊，因此信息安全是廣泛的、無國界的，它無法單憑一個國家、地區(qū)或部門就能完全控制，需要從全球信息化角度綜合考慮和整體布局。

4. 信息安全是非傳統(tǒng)的安全

傳統(tǒng)的具有典型外在物理特征的安全因素（如：軍事、自然災(zāi)害、人為暴力破壞等等）已無法涵蓋信息安全所應(yīng)考慮的全部范疇。在沒有諸如軍事入侵、自然災(zāi)害、傳統(tǒng)意義上的恐怖襲擊等情況下，信息和信息系統(tǒng)的安全依然會受到諸如計算機(jī)病毒、黑客攻擊、計算機(jī)犯罪、信息垃圾和信息污染等嚴(yán)重威脅。國家的電信、金融、能源、交通等核心領(lǐng)域，氣象部門的數(shù)據(jù)通信、信息處理等核心系統(tǒng)，可能在極短的時間內(nèi)被攻擊癱瘓，導(dǎo)致社會運(yùn)轉(zhuǎn)的癱瘓和氣象業(yè)務(wù)的崩潰，而此時所有系統(tǒng)的物理器件并未因此而發(fā)生實(shí)質(zhì)性的損傷。

信息安全既是信息技術(shù)問題，也是組織管理問題。因為信息安全最終必將落實(shí)到信息系統(tǒng)的安全層面上，并最終由一個個具體的信息技術(shù)和相關(guān)產(chǎn)品的有機(jī)組合予以實(shí)現(xiàn)，沒有符合實(shí)際的明確的安全目標(biāo)和方針、科學(xué)的設(shè)計、認(rèn)真的維護(hù)、以及不斷地主動發(fā)現(xiàn)新的安全問題并及時予以解決，是無法有效地形成安全環(huán)境的；就一個部門而言，一個相對安全的環(huán)境的構(gòu)成必須從人的行為規(guī)范、安全體系的科學(xué)設(shè)計以及部門內(nèi)部安全環(huán)境的構(gòu)成等諸多方面綜合考慮、整體設(shè)計，方才可能。因此信息安全并非單純是技術(shù)和技術(shù)產(chǎn)品問題，更是組織管理問題，無法單憑技術(shù)手段予以解決。

此外，從法律、輿論以及信息戰(zhàn)和虛擬空間等更高層面考慮，信息安全也是社會問題和國家安全問題。此非本文所考慮的范圍，故不予展開。

（二）信息安全的一些認(rèn)識誤區(qū)

應(yīng)當(dāng)承認(rèn)，由于各種原因，至今氣象部門的一些同事中，對信息安全仍存在一定的認(rèn)識誤區(qū)，以下問題應(yīng)予充分重視：

1. 單純的安全技術(shù)和產(chǎn)品的應(yīng)用不能解決信息安全

信息安全問題并非單純的技術(shù)問題，信息安全技術(shù)和產(chǎn)品的簡單應(yīng)用并不意味著部門整體的信息安全，不能指望簡單地規(guī)劃了DMZ區(qū)、在局域網(wǎng)出入端配置了防火墻、在個人電腦中安裝了殺毒軟件、遠(yuǎn)程通信采用VPN技術(shù)后，部門的信息安全問題便可基本解決。事實(shí)上，諸如防火墻、堡壘機(jī)、殺毒軟件等安全產(chǎn)品，僅僅是構(gòu)建部門信息安全防護(hù)體系的磚石，如果沒有科學(xué)的整體設(shè)計和有效的實(shí)施方案，單憑磚石和瓦塊的簡單甚至隨意堆壘，是無法構(gòu)建成有效的安全防護(hù)體系的。因此：

防火墻+ 堡壘機(jī)+ 殺毒軟件≠信息安全

2. 業(yè)務(wù)連續(xù)性的有效保障不能替代部門的信息安全

業(yè)務(wù)連續(xù)性的有效保障是部門行政領(lǐng)導(dǎo)最為關(guān)注的安全問題之一，為此往往不惜代價不計成本，而建立業(yè)務(wù)備份中心或災(zāi)難備份中心是目前較為流行的保障措施。但備份中心的建立也并不一定意味著部門整體的信息安全，因為業(yè)務(wù)連續(xù)性的保障僅屬于信息安全三要素中“信息可用性”的范疇，如果不同時考慮信息的保密性和完整性，同樣無法從整體上解決部門的信息安全問題；而信息的私密性和完整性與備份中心之間并無必然聯(lián)系。因此：

備份中心≠信息安全

3. 網(wǎng)絡(luò)防御不能代替信息安全

傳統(tǒng)意義上的網(wǎng)絡(luò)安全包括網(wǎng)絡(luò)協(xié)議安全、網(wǎng)絡(luò)設(shè)備安全和網(wǎng)絡(luò)架構(gòu)安全，側(cè)重于網(wǎng)絡(luò)自身的健壯性以及抗網(wǎng)絡(luò)攻擊的能力。然而如果網(wǎng)絡(luò)上運(yùn)行的系統(tǒng)自身存在一定缺陷、軟件存在BUG，以及人為操作失誤（如：誤刪除、誤修改等），則上述內(nèi)容和措施便將束手無策。所以，網(wǎng)絡(luò)的抗攻擊和抗偷盜能力不能完全解決信息安全問題。

類似的認(rèn)識誤區(qū)還有若干，限于篇幅，不再枚舉。

三、基于風(fēng)險管理的信息安全管理

（一）信息安全管理

統(tǒng)計結(jié)果表明，在所有信息安全事故中，只有20%～30%是由于黑客入侵或其他外部原因造成的，其余的70%～80%則是因內(nèi)部員工的疏忽或有意違規(guī)而造成的。站在全局的高度上來考察信息和網(wǎng)絡(luò)安全的全貌就會發(fā)現(xiàn)：安全問題實(shí)際上都是人的問題，單憑技術(shù)手段是無法予以根本解決的。

信息安全是一個多層面、多因素的過程，如果僅憑一時的需要，頭疼醫(yī)頭腳疼醫(yī)腳地制定一些控制措施和引入某些技術(shù)產(chǎn)品，難免掛一漏萬、顧此失彼，使得信息安全這只“木桶”出現(xiàn)若干“短板”，從而無法提高信息安全的整體水平。

對于信息安全而言，技術(shù)和產(chǎn)品是基礎(chǔ)，管理才是關(guān)鍵。如同磚瓦建材需要良好的設(shè)計和施工才能搭建成堅固耐用的建筑，安全技術(shù)和安全產(chǎn)品需要通過管理的組織職能方才能夠發(fā)揮出最佳效果。事實(shí)充分證明，管理良好的系統(tǒng)遠(yuǎn)比技術(shù)雖然高超但管理混亂不堪的系統(tǒng)安全得多。因此，先進(jìn)科學(xué)的、易于理解且方便操作的安全策略對信息安全至關(guān)重要；而建立一個管理框架，讓好的安全策略在這個框架內(nèi)可重復(fù)實(shí)施，并不斷得到修正，就會擁有持續(xù)的安全。

所謂信息安全管理，是指部門或組織中為了完成信息安全目標(biāo)，針對信息系統(tǒng)，遵循安全策略，按照規(guī)定的程序，運(yùn)用恰當(dāng)?shù)姆椒?，而進(jìn)行的規(guī)劃、組織、指導(dǎo)、協(xié)調(diào)和控制等活動和過程；是通過維護(hù)信息的保密性、完整性和可用性，來管理和保護(hù)組織所有的信息資產(chǎn)的一項體制；是部門或組織中用于指導(dǎo)和管理各種控制信息安全風(fēng)險的一組相互協(xié)調(diào)的活動。有效的信息安全管理要盡量做到在有限的成本下，保證將安全風(fēng)險控制在可接受的范圍之內(nèi)。

信息安全管理包括：安全規(guī)劃、風(fēng)險管理、應(yīng)急計劃、安全教育培訓(xùn)、安全系統(tǒng)評估、安全認(rèn)證等多方面內(nèi)容。

（二）基于風(fēng)險的信息安全

1. 安全和風(fēng)險

步履蹣跚的耄耋老人終日待在家中肯定比在熙熙攘攘的大街上行走安全，但即使在家中，也仍有因行走或站立不穩(wěn)而跌倒的可能，不如身邊陪有專人看護(hù)安全；然即便家中有專人看護(hù)，也不如將老人長期安置在醫(yī)院，在全套設(shè)備和專業(yè)醫(yī)護(hù)人員看護(hù)下安全，如此等等?？梢姡^安全都是相對而言的，沒有絕對的安全；而安全的效果或等級越高，往往付出的代價或成本也越高，信息安全也是如此。

安全是相對于風(fēng)險而言的，某種安全水平的達(dá)到意味著某種或某類風(fēng)險的得以規(guī)避：雙機(jī)熱備技術(shù)可以避免單點(diǎn)故障所導(dǎo)致的業(yè)務(wù)中斷，兩地三中心災(zāi)備模式可以保證即便在發(fā)生局地嚴(yán)重災(zāi)害時部門業(yè)務(wù)的連續(xù)性。但絕對的安全是沒有的：雙機(jī)熱備技術(shù)無法避免供電系統(tǒng)故障的風(fēng)險，而大型隕石撞擊地球，將導(dǎo)致生態(tài)系統(tǒng)的崩潰和物種滅絕，遑論災(zāi)備兩地三中心以及部門業(yè)務(wù)連續(xù)性了。

然而，風(fēng)險是由可能性與后果的組合來計算和度量的。盡管兩地三中心災(zāi)備模式無法應(yīng)對地球遭遇大型隕石撞擊的毀滅性災(zāi)害，但該災(zāi)害發(fā)生的可能性卻微乎其微，未來數(shù)百年幾乎沒有可能。因此此災(zāi)雖然為害甚烈，但發(fā)生的可能性卻幾近于零，不必予以考慮。

2. 風(fēng)險管理

絕對的零風(fēng)險是不存在的，要想實(shí)現(xiàn)零風(fēng)險也是不現(xiàn)實(shí)的。同時，規(guī)避風(fēng)險是需要代價的，規(guī)避的風(fēng)險種類越多，所付出的代價往往越大。就計算機(jī)系統(tǒng)而言，安全性越高，其可用性往往越低，需要付出的成本也越大。因此，信息安全建設(shè)的宗旨之一，就是在綜合考慮成本與效益的前提下，通過恰當(dāng)、足夠、綜合的安全措施來控制風(fēng)險，使殘余風(fēng)險降低到可接受的程度。亦即，需要在安全性和可用性，以及安全性和成本投入之間做出一種平衡。

所以，根本上說，信息安全是一個風(fēng)險管理過程，而不是一個技術(shù)實(shí)現(xiàn)過程。

風(fēng)險管理是指如何在一個肯定有風(fēng)險的環(huán)境里，利用有限的資源把風(fēng)險減至最低的管理過程。風(fēng)險管理包括對風(fēng)險的量度、評估和應(yīng)變策略等。理想的風(fēng)險管理，是一連串排好優(yōu)先次序的過程，使導(dǎo)致最大損失及最可能發(fā)生的安全事件優(yōu)先處理、而相對風(fēng)險較低的事件則押后處理。

風(fēng)險管理的首要內(nèi)容之一，是風(fēng)險識別和風(fēng)險評估。因為，信息安全體系的建立首先需要確定信息安全的需求，而獲取信息安全需求的主要手段就是安全風(fēng)險評估。因此，信息安全風(fēng)險評估是信息安全管理體系建立的基礎(chǔ)；沒有風(fēng)險評估，信息安全管理體系的建立就沒有依據(jù)。

風(fēng)險管理的另一項重要內(nèi)容，就是對風(fēng)險評估的結(jié)果進(jìn)行相應(yīng)的風(fēng)險處置，只有對已知風(fēng)險逐一進(jìn)行有針對性的妥善處置，才能化解和規(guī)避這些風(fēng)險，達(dá)到信息安全的目的。因此，風(fēng)險處置是信息安全的核心。從本質(zhì)上講，風(fēng)險處置的最佳集合就是信息安全管理體系的控制措施集合；而控制目標(biāo)、控制手段、實(shí)施指南的邏輯梳理、以形成這些風(fēng)險控制措施集合的過程，就是信息安全體系的建立過程。亦即，信息安全管理體系的核心就是這些最佳控制措施的集合。

需要強(qiáng)調(diào)的是，由于信息安全風(fēng)險和事件不可能完全避免，因此信息安全管理必須以風(fēng)險管理的方式，不求完全消除風(fēng)險，但求限制、化解和規(guī)避風(fēng)險。而好的風(fēng)險管理過程可以讓氣象部門以最具有成本效益的方式運(yùn)行，并且使已知的風(fēng)險維持在可接受的水平，使氣象部門可以用一種一致的、條理清晰的方式來組織有限的資源，確定風(fēng)險處置優(yōu)先級，更好地管理風(fēng)險，而不是將保貴的資源用于解決所有可能的風(fēng)險。

事物是在不斷變化的，新的風(fēng)險不斷出現(xiàn)，因此風(fēng)險管理過程需要不斷改進(jìn)、完善、更新和提高。

四、當(dāng)前氣象信息安全存在的問題

盡管氣象部門至今尚未發(fā)生重大信息安全事件，但這并不能說明氣象部門的信息安全工作已萬事大吉，信息安全體系固若金湯。依照信息安全管理的規(guī)范考察，氣象部門的信息安全工作至少存在如下問題：

（一）基礎(chǔ)工作存在缺失

1. 信息安全目標(biāo)

通常意義下的信息安全目標(biāo)，一般都是確保信息的機(jī)密性、完整性、可用性，以及可控性和不可否認(rèn)性等等。但部門不同，具體的情況不同，安全性需求的程度、信息安全所面臨的風(fēng)險、付出的代價也各有不同；如：就信息的機(jī)密性而言，軍事部門的要求遠(yuǎn)遠(yuǎn)高于氣象部門；而就信息的可用性而言，氣象部門對業(yè)務(wù)連續(xù)性的要求也較土地勘測管理部門為高。因此，泛泛的信息安全目標(biāo)沒有任何意義，所有可用的信息安全目標(biāo)都是切合部門具體實(shí)際情況的，是本土化、部門化的。

沒有切合氣象部門具體實(shí)際情況的、具有鮮明氣象特色的信息安全目標(biāo)，是目前存在的突出問題。

必須明確，氣象部門信息安全目標(biāo)的確定，是管理層的職責(zé)。管理層對信息安全目標(biāo)的要求，決定了氣象部門信息安全工作的走向。氣象信息業(yè)務(wù)部門負(fù)責(zé)氣象信息安全既定目標(biāo)的具體落實(shí)，其工作的質(zhì)量和效率，決定了氣象部門是否能夠達(dá)到信息安全管理的目標(biāo)。

2. 信息安全方針

信息安全方針是為信息安全工作提供與業(yè)務(wù)需求和法律法規(guī)相一致的管理指示及相應(yīng)的支持舉措。信息安全方針應(yīng)該做到：對本部門的信息安全加以定義，陳述管理層對信息安全的意圖，明確分工和責(zé)任，約定信息安全管理的范圍，對特定的原則、標(biāo)準(zhǔn)和遵守要求進(jìn)行說明，等等。氣象部門的信息安全方針至少應(yīng)當(dāng)說明以下問題：氣象信息安全的整體目標(biāo)、范圍以及重要性，氣象信息安全工作的基本原則，風(fēng)險評估和風(fēng)險控制措施的架構(gòu)，需要遵守的法規(guī)和制度，信息安全責(zé)任分配，信息系統(tǒng)用戶和運(yùn)行維護(hù)人員應(yīng)該遵守的規(guī)則，等等。

遺憾的是，以此為基本內(nèi)容的信息安全方針，至今在氣象部門尚未確立。

3. 信息安全組織機(jī)構(gòu)

為有效實(shí)施部門的信息安全管理，保障和實(shí)施部門的信息安全，在部門內(nèi)部建立信息安全組織架構(gòu)（或指定現(xiàn)有單位承擔(dān)其相應(yīng)職責(zé)）是十分必要的。

在一個部門或機(jī)構(gòu)中，安全角色與責(zé)任的不明確是實(shí)施信息安全過程中的最大障礙。因此，建立信息安全組織并落實(shí)相應(yīng)責(zé)任，是該部門實(shí)施信息安全管理的第一步。這些組織機(jī)構(gòu)需要高層管理者的參與（如本部門信息化領(lǐng)導(dǎo)小組），以負(fù)責(zé)重大決策，提供資源并對工作方向、職責(zé)分配給出清晰的說明，等等。此外，信息安全組織成員還應(yīng)包括與信息安全相關(guān)的所有部門（如行政、人事、安保、采購、外聯(lián)），以便各司其責(zé)，協(xié)調(diào)配合。

遺憾的是，類似的組織機(jī)構(gòu)在氣象部門內(nèi)即便已經(jīng)存在，至今也未真正履行其應(yīng)負(fù)的職責(zé)。

4. 信息資產(chǎn)管理

信息資產(chǎn)管理的主要內(nèi)容包括：識別信息資產(chǎn)，確定信息資產(chǎn)的屬主及責(zé)任方，信息資產(chǎn)的安全需求分類，以及各類信息資產(chǎn)的安全策略和具體措施，等等。

就氣象部門而言，對信息資產(chǎn)（即：氣象信息資源和氣象信息系統(tǒng)）進(jìn)行識別、明確歸屬以及分類等工作，有利于信息安全措施的有效實(shí)施。以分類為例：我們知道，對某特定氣象資料或業(yè)務(wù)系統(tǒng)實(shí)施過多和過度的保護(hù)不僅浪費(fèi)資源，而且不利于資料效益的充分發(fā)揮和系統(tǒng)的正常運(yùn)行；而若保護(hù)不力，則更可能導(dǎo)致氣象信息數(shù)據(jù)和系統(tǒng)產(chǎn)生重大安全隱患，乃至出現(xiàn)安全事故。對氣象信息資產(chǎn)進(jìn)行分類，可明確界定各具體資產(chǎn)的保護(hù)需求和等級，如此可以根據(jù)類別的不同，調(diào)整合適的資源、財力、物力，對重要的氣象信息資源和系統(tǒng)實(shí)施有針對性的、符合其特點(diǎn)的信息安全重點(diǎn)保護(hù)，如此等等。

同樣遺憾的是，氣象部門至今尚未實(shí)施真正意義上的完整的氣象信息資產(chǎn)管理。

類似缺失的基礎(chǔ)工作還有很多，不再枚舉。

基礎(chǔ)工作的缺失，導(dǎo)致氣象信息安全工作的不扎實(shí)、不穩(wěn)固，是氣象信息安全工作長期滯后于信息化基礎(chǔ)建設(shè)的主要原因之一。

（二）完整的信息安全管理體系尚未建成

按照ISO的定義，信息安全管理體系（ISMS：Information Security Management System）是“組織在整體或特定范圍內(nèi)建立的信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用的方法和體系。它是直接管理活動的結(jié)果，表示為方針、原則、目標(biāo)、方法、計劃、活動、程序、過程和資源的集合”。

信息安全管理體系要求部門或組織通過確定信息安全管理體系范圍、制定信息安全方針、明確管理職責(zé)、以風(fēng)險評估為基礎(chǔ)選擇安全事件控制目標(biāo)和相應(yīng)處置措施等一系列活動，來建立信息安全管理體系。該體系是基于系統(tǒng)、全面、科學(xué)的安全風(fēng)險評估而建立起來的，它體現(xiàn)以預(yù)防控制為主的思想，強(qiáng)調(diào)遵守國家有關(guān)信息安全的法律法規(guī)及其它地方、行業(yè)的相關(guān)要求。該體系強(qiáng)調(diào)全過程管理和動態(tài)控制，本著控制費(fèi)用與風(fēng)險相平衡的原則，合理選擇安全控制方式。該體系同時強(qiáng)調(diào)保護(hù)部門所擁有的關(guān)鍵性信息資產(chǎn)（而不見得是全部信息資產(chǎn)），確保需要保護(hù)的信息的保密性、完整性和可用性，以最佳效益的形式維護(hù)部門的合法利益、保持部門的業(yè)務(wù)連續(xù)性。

由于基礎(chǔ)性工作尚未全部就緒，目前氣象部門尚未建立真正意義上的、基于風(fēng)險管理的科學(xué)而完整的氣象信息安全管理體系。

在氣象部門建立完整的信息安全管理體系，可以對氣象部門的關(guān)鍵信息資產(chǎn)進(jìn)行全面系統(tǒng)的保護(hù)，在信息系統(tǒng)受到侵襲時確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度；并使氣象部門在信息安全工作領(lǐng)域?qū)崿F(xiàn)動態(tài)的、系統(tǒng)地、全員參與的、制度化的、以預(yù)防為主的信息安全管理方式，用最低的成本，達(dá)到可接受的信息安全水平。此外，完整的信息安全管理體系的建立，也可使部門外協(xié)作單位對氣象部門的安全能力充滿信心，這一點(diǎn)在當(dāng)前大數(shù)據(jù)應(yīng)用浪潮正在全社會迅速漫延的背景下，尤其重要。

（三）業(yè)務(wù)格局的分散加大了安全管理問題的復(fù)雜度

目前氣象部門依然沿用著已延續(xù)數(shù)十年的國省地縣四級業(yè)務(wù)層級，而業(yè)務(wù)系統(tǒng)的屬地化，以及諸如“具備業(yè)務(wù)功能意味著擁有業(yè)務(wù)系統(tǒng)、擁有業(yè)務(wù)系統(tǒng)意味著擁有信息資產(chǎn)以及基礎(chǔ)資源和設(shè)施”等傳統(tǒng)觀念的束縛，使得各個業(yè)務(wù)系統(tǒng)在地理分布上呈現(xiàn)出全國遍地開花的局面，各級業(yè)務(wù)單位都擁有自己的信息業(yè)務(wù)系統(tǒng)和相應(yīng)的局地信息業(yè)務(wù)環(huán)境。彼此通過內(nèi)部專網(wǎng)（VPN）或甚至通過互聯(lián)網(wǎng)進(jìn)行互聯(lián)，在全國形成網(wǎng)狀與樹狀相結(jié)合的、十分復(fù)雜的業(yè)務(wù)網(wǎng)絡(luò)結(jié)構(gòu)。

由于各級單位都在當(dāng)?shù)負(fù)碛懈髯砸?guī)模不等的信息業(yè)務(wù)系統(tǒng)及相應(yīng)環(huán)境（包括為業(yè)務(wù)系統(tǒng)提供數(shù)據(jù)支撐的氣象數(shù)據(jù)庫），因此各單位都面臨著本單位的信息安全管理問題。尤其是一些氣象數(shù)據(jù)在各級業(yè)務(wù)單位的廣泛復(fù)制，使得各級業(yè)務(wù)單位中數(shù)據(jù)同質(zhì)化現(xiàn)象十分突出，也為這些數(shù)據(jù)的保密性和完整性（包括一致性）的保持增加了大量變數(shù)。此外，由于編制所限，地縣兩級業(yè)務(wù)單位中IT技術(shù)人員奇缺，既無法保障信息業(yè)務(wù)系統(tǒng)的日常維護(hù)，更無法為本單位信息安全提供專業(yè)化管理。

這種業(yè)務(wù)格局的分散，加大了氣象部門信息安全管理問題的復(fù)雜度。

限于篇幅，其余問題不再枚舉。

五、建立完整的氣象信息安全管理體系

綜上所述，在氣象部門建立完整的氣象信息安全管理體系，是非常必要的；就目前全社會所倡導(dǎo)的大數(shù)據(jù)應(yīng)用和云計算趨勢而言，這項工作具有較強(qiáng)的緊迫性，應(yīng)盡早開展相應(yīng)的工作。歸納起來，有如下幾點(diǎn)：

（一）適時著手建立完整的氣象信息安全管理體系

1. 完成基礎(chǔ)性工作

應(yīng)盡早明確信息安全的方針，為氣象部門信息安全工作確定目標(biāo)、范圍、責(zé)任、原則、標(biāo)準(zhǔn)、架構(gòu)和法律法規(guī)。

應(yīng)以適當(dāng)方式組建或明確氣象信息安全的管理和實(shí)施機(jī)構(gòu)，并確保所有相關(guān)單位能夠悉數(shù)納入其中，明確分工和職責(zé)，以便各司其職，彼此協(xié)調(diào)工作。

應(yīng)在管理層的統(tǒng)一組織下，以適當(dāng)?shù)男问剑嫱瓿蓺庀蟛块T內(nèi)部的信息資產(chǎn)普查、歸屬認(rèn)定、安全需求等級劃分以及安全等級保護(hù)措施等，制定氣象信息資產(chǎn)管理策略、制度和方法，逐步推廣實(shí)施，從而完成氣象信息資產(chǎn)的有效管理。

2. 適時進(jìn)行信息安全風(fēng)險評估并制訂風(fēng)險處置方案

制定風(fēng)險評估方案、選擇評估方法，以此為依據(jù)完成氣象信息安全風(fēng)險要素識別，發(fā)現(xiàn)系統(tǒng)存在的威脅和系統(tǒng)的脆弱性，并確定相應(yīng)的控制措施。在此基礎(chǔ)上，對所有風(fēng)險逐一判斷其發(fā)生的可能性和影響的范圍及程度，綜合各種分析結(jié)果，最終逐一判定這些風(fēng)險各自的等級。

在風(fēng)險等級判定的基礎(chǔ)上，以“將風(fēng)險始終控制在可接受范圍內(nèi)”為宗旨，制訂有針對性的風(fēng)險處置方案，包括：可接受風(fēng)險的甄別和確定，不可接受風(fēng)險的控制程度，風(fēng)險處置方式的選擇和控制措施的確定，制訂具體的氣象信息安全方案和綜合控制措施，科學(xué)合理地運(yùn)用“減低風(fēng)險”、“轉(zhuǎn)移風(fēng)險”、“規(guī)避風(fēng)險”和“接受風(fēng)險”等方法，形成綜合的氣象信息安全風(fēng)險處置方案，并部署實(shí)施。

3. 建立完整的氣象信息安全管理體系

在上述工作以及其它相關(guān)工作的基礎(chǔ)上，參照BS 7799-2：2002 《信息安全管理體系規(guī)范》、 ISO/ IEC17799：2000《信息技術(shù)-信息安全管理實(shí)施細(xì)則》等國際標(biāo)準(zhǔn)，以及GB/T22080-2008《信息安全管理體系要求》、GB/T20269-2006《信息系統(tǒng)安全管理要求》、GB/T20984-2007《信息安全風(fēng)險評估規(guī)范》等國家標(biāo)準(zhǔn)，完成組織落實(shí)、措施落實(shí)、方案落實(shí)和相應(yīng)文檔的編寫，以及所有相關(guān)的審查、職責(zé)界定和制度建設(shè)，以構(gòu)成氣象部門的信息安全管理體系。

（二）將信息安全管理體系納入氣象信息化戰(zhàn)略之中

信息安全與信息化發(fā)展息息相關(guān)，是一切信息化工作的基礎(chǔ)，涉及到信息化工作的方方面面。氣象部門是以信息采集、分析處理和為工作特征的典型的信息應(yīng)用部門，氣象業(yè)務(wù)系統(tǒng)是典型的信息系統(tǒng)，因此信息安全對于氣象部門尤為重要。氣象事業(yè)的健康發(fā)展離不開信息化，也同樣離不開信息安全。氣象信息安全應(yīng)當(dāng)是氣象信息化工作中最為重要的內(nèi)容之一，氣象信息安全管理體系的構(gòu)建和持續(xù)改進(jìn)也應(yīng)當(dāng)成為未來氣象信息化戰(zhàn)略中極其重要的內(nèi)容。

信息安全是管理問題而非技術(shù)問題，從某種角度看，信息安全管理體系是以策略為核心，以管理為基礎(chǔ)，以技術(shù)為手段的安全理念的具體落實(shí)。有什么樣的理念，就有什么樣的方針、策略、制度措施和體系架構(gòu)。無法想象在管理理念和安全意識十分落后的思維環(huán)境中，能夠構(gòu)建起科學(xué)完備的信息安全管理體系來。因此，安全管理理念的全面提高和安全意識的充分到位，是氣象信息安全所有工作正常開展的前提。就氣象部門管理層而言，著力消除曾長時間彌漫于全部門信息安全領(lǐng)域的重技術(shù)輕管理的觀念，將關(guān)注點(diǎn)從研究安全技術(shù)和產(chǎn)品應(yīng)用轉(zhuǎn)移到信息資產(chǎn)管理、風(fēng)險識別和控制以及整體安全戰(zhàn)略的制定等管理層面上來，是其不可推卸的責(zé)任。應(yīng)當(dāng)在全部門倡導(dǎo)信息安全意識、制定并推行信息安全制度、確定信息安全責(zé)任、組織信息安全培訓(xùn)，構(gòu)建起完整的氣象信息安全管理體系。

六、結(jié)語

在政府大力強(qiáng)調(diào)信息安全意識，強(qiáng)力推動信息安全工作的背景下，各行各業(yè)均把信息安全工作列入本部門或單位的工作議程，氣象部門也是如此。但如何科學(xué)有效地構(gòu)建起具有鮮明氣象特色的信息安全防護(hù)體系，充分把控所有已知的安全風(fēng)險，使有限的投入得到最大限度的安全回報，這是氣象部門管理層和IT工作者需要認(rèn)真研究并努力實(shí)踐的工作。

信息安全首先是意識問題、觀念問題，要想真正打造安全的業(yè)務(wù)環(huán)境，在氣象部門全體員工中（特別是在管理層干部中）樹立良好的安全意識，是至關(guān)重要的。

2014年，在深刻領(lǐng)會主席“沒有信息化就沒有現(xiàn)代化”的重要指示精神后，氣象部門提出了“沒有信息化就沒有氣象現(xiàn)代化”的口號。那么，針對提出的“沒有信息安全就沒有國家安全”的另一重要論斷，氣象部門是否也應(yīng)提出相應(yīng)的口號――

“沒有信息安全，就沒有氣象業(yè)務(wù)安全”。