發(fā)布時間:所屬分類:計算機職稱論文瀏覽:1次
摘 要: 摘要:本文從氣象全行業(yè)網(wǎng)絡安全治理角度出發(fā),在分析新時期氣象部門網(wǎng)絡安全形勢的基礎上,基于氣象工作實際提出了氣象網(wǎng)絡安全治理體系的框架結構,并對該體系的各個組成部分進行了詳細介紹。最后對如何在氣象部門落地建設該體系提出了具體實施建議。 關鍵
摘要:本文從氣象全行業(yè)網(wǎng)絡安全治理角度出發(fā),在分析新時期氣象部門網(wǎng)絡安全形勢的基礎上,基于氣象工作實際提出了氣象網(wǎng)絡安全治理體系的框架結構,并對該體系的各個組成部分進行了詳細介紹。最后對如何在氣象部門落地建設該體系提出了具體實施建議。
關鍵詞:氣象,網(wǎng)絡安全,治理體系
0引言
隨著信息技術的持續(xù)快速發(fā)展,網(wǎng)絡安全形勢愈發(fā)嚴峻,大規(guī)模網(wǎng)絡攻擊和惡意風險持續(xù)爆發(fā)。棱鏡門信息泄密事件,將網(wǎng)絡安全演變成為大國角力戰(zhàn)場;勒索病毒席卷全球重創(chuàng)我國多個重要部門。面對日益嚴峻的安全形勢,全球近60個國家先后將網(wǎng)絡安全納入國家倡議。
2014年2月,我國成立了中央網(wǎng)絡安全和信息化領導小組,2017年6月1日《中華人民共和國網(wǎng)絡安全法》(以下簡稱《網(wǎng)絡安全法》)正式實施,將網(wǎng)絡安全問題提到了前所未有的高度。氣象部門是關系國計民生的重要基礎性部門,隨著信息技術的迅猛發(fā)展,氣象部門對信息系統(tǒng)的依賴日益加重。當前,氣象部門正在全面推進氣象信息化,對氣象網(wǎng)絡安全治理提出了更高的要求,2018年4月全國氣象信息化工作會明確提出到2020年建成綠色安全的氣象信息化體系。為達到這一目標,建立一個規(guī)范的、完整的、穩(wěn)定的網(wǎng)絡安全治理體系,已成為氣象信息化發(fā)展的重要課題。
1網(wǎng)絡安全在氣象部門的發(fā)展
氣象網(wǎng)絡安全的發(fā)展大致可以分為3個階段:
第一階段:從20世紀80年代中期至90年代初期,少部分氣象業(yè)務以計算機系統(tǒng)作為工具,取代原有業(yè)務中的人工處理,各個業(yè)務的計算機化分別進行,尚未形成體系,面臨的網(wǎng)絡安全威脅較小,主要通過內控等方法進行網(wǎng)絡安全控制。
第二階段:從20世紀90年代至2000年左右,隨著信息技術的發(fā)展,計算機網(wǎng)絡技術日漸成熟,開始以計算機網(wǎng)絡系統(tǒng)作為氣象數(shù)據(jù)傳輸和業(yè)務系統(tǒng)的基礎支撐。主要通過防火墻、入侵檢測系統(tǒng)、漏洞修復、系統(tǒng)掃描等多種手段逐步形成氣象網(wǎng)絡安全縱深防御體系。
第三階段:從2000年至現(xiàn)在,隨著互聯(lián)網(wǎng)和云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新技術的飛速發(fā)展,手機等智能終端普及,以web技術為代表的氣象應用系統(tǒng)全面鋪開。網(wǎng)絡安全面臨新的挑戰(zhàn),通過加密算法、應用程序安全開發(fā)、安全協(xié)議等各種方法,面對新形勢加強了對網(wǎng)絡安全的建設。
30年來,氣象網(wǎng)絡安全建設從無到有,明確了網(wǎng)絡安全管理的目標和策略,完善了網(wǎng)絡安全制度體系,積極推動了國家等級保護制度在氣象部門的落地實施,構建了較為完善的網(wǎng)絡安全技術保障體系。但是嚴峻的內外部網(wǎng)絡安全形勢和新技術的不斷涌現(xiàn),使得現(xiàn)有的網(wǎng)絡安全管理已經無法滿足新時代發(fā)展需求,亟需優(yōu)化和升級。
2氣象部門面臨的網(wǎng)絡安全威脅及成因分析
氣象部門幾乎所有的業(yè)務都運行在信息技術基礎之上,尤其是新出現(xiàn)的產品和服務更加趨于開放和互聯(lián),進一步加強了對信息系統(tǒng)的依賴程度。氣象信息系統(tǒng)相互牽連、服務產品多樣化,信息可靠性、時效性的高要求是其突出特點。網(wǎng)絡安全對氣象業(yè)務的正常開展起著至關重要的作用。如何應對網(wǎng)絡安全威脅,防范和化解網(wǎng)絡安全風險,是氣象部門面臨的重大問題。近年來,針對氣象部門的網(wǎng)絡攻擊時有發(fā)生。
氣象行業(yè)面臨的威脅主要有以下幾類:(1)信息完整性破壞:數(shù)據(jù)被非授權地進行增刪、修改或破壞而受到損失;(2)信息泄露:信息被泄露或透漏給某個未授權的實體;(3)拒絕服務:對信息或其他資源的合法訪問被無條件阻止;(4)網(wǎng)絡攻擊:黑客通過網(wǎng)絡對信息系統(tǒng)進行攻擊,造成系統(tǒng)癱瘓、數(shù)據(jù)被盜或丟失等;(5)計算機病毒:在計算機系統(tǒng)運行過程中能夠實現(xiàn)傳染和侵害功能的程序;(6)人員不慎:人員安全意識不到位,放松了對系統(tǒng)的整體安全防護。
究其成因,主要還是由于:
一是信息化在推進業(yè)務發(fā)展的同時,也帶來了巨大的風險。由于信息化規(guī)模不斷擴大,信息技術迅速發(fā)展,氣象信息系統(tǒng)在規(guī)劃、研發(fā)、建設、運行、維護、監(jiān)控及退出過程中,存在著大量的弱點,這些弱點被特定人員威脅利用,就會產生風險。信息化程度越高,風險就會越大。
二是由于云計算、大數(shù)據(jù)、移動互聯(lián)等信息技術的普及,網(wǎng)絡安全管理和技術能力的建設滯后于新技術應用的發(fā)展。個別技術防護手段和措施還落實不到位。同時由于數(shù)據(jù)集中成為必然趨勢,數(shù)據(jù)集中后安全風險必然增大。
三是氣象信息系統(tǒng)的自主控制能力仍然不強,核心關鍵領域還是依賴于某些廠家的產品和服務,缺乏判斷設備是否存在“后門”、“軟件缺陷”等安全隱患的能力。四是對人員管理,尤其是外包人員的管理不嚴。雖然氣象部門從制度、員工意識等多個方面進行了有效防范,但是安全沒有止境。
3氣象網(wǎng)絡安全治理體系框架
網(wǎng)絡安全包含的內容相當廣泛,應將網(wǎng)絡安全當作一個整體加以研究和應用。網(wǎng)絡安全治理體系參考框架從整體上視為氣象網(wǎng)絡安全的所有工作,在框架層面具有普遍性,但是各級氣象部門在開展網(wǎng)絡安全管理體系建設時,需要根據(jù)自身實際對具體內容進行修改、調整和細化。
3.1參考標準和規(guī)范
提出氣象網(wǎng)絡安全治理體系參考的標準和規(guī)范包括:“中華人民共和國網(wǎng)絡安全法”、“國家信息安全等級保護制度”、“ISO/IEC27001標準”、“信息及相關技術的控制目標(ControlObjectivesforInformationandRelatedTechnology,COBIT)標準”、“信息技術基礎架構庫(InformationTechnologyInfrastructureLibrary,ITIL)”、“ISO31000標準”、“信息技術安全技術IT網(wǎng)絡安全標準(GB/T25068)”、“信息技術安全技術信息技術安全評估準則(GB/T18336)等”。
3.2框架基本構成
氣象網(wǎng)絡安全治理體系參考框架包括:網(wǎng)絡安全策略、網(wǎng)絡安全組織、網(wǎng)絡安全制度、網(wǎng)絡安全運行、網(wǎng)絡安全技術,其中網(wǎng)絡安全運行包括網(wǎng)絡安全風險管理、網(wǎng)絡安全規(guī)劃與建設、網(wǎng)絡安全監(jiān)控與檢查、網(wǎng)絡安全事件管理、業(yè)務連續(xù)性與災難恢復管理和網(wǎng)絡安全審計等內容。
(1)網(wǎng)絡安全策略
氣象網(wǎng)絡安全策略是基于氣象信息化倡議、業(yè)務目標和審計要求提出的對整個氣象網(wǎng)絡安全工作起到驅動作用的指導方針。氣象網(wǎng)絡安全策略應明確網(wǎng)絡安全治理的范圍、原則和目標等。具體來說,氣象網(wǎng)絡安全治理的范圍是氣象部門所有與信息系統(tǒng)開發(fā)、數(shù)據(jù)服務及信息基礎設施建設相關的業(yè)務活動;基本原則包括:“分級保護”、“同步規(guī)劃、同步建設、同步運行”、“適度安全”、“三分技術、七分管理”等;目標是建立健全氣象部門的安全治理體系,增強氣象網(wǎng)絡安全保障能力,提高整體網(wǎng)絡安全水平,保證氣象信息系統(tǒng)正常運行。
(2)網(wǎng)絡安全組織
網(wǎng)絡安全組織是在明確了安全策略后,定義、建立和維護的安全組織架構,是網(wǎng)絡安全工作得以執(zhí)行的基礎。網(wǎng)絡安全組織包括組織架構、崗位和職責設計、與其他部門的協(xié)作、人員管理等。氣象網(wǎng)絡安全組織按照國家網(wǎng)絡安全主管部門要求實行統(tǒng)一領導及一把手負責制。同時,按照分級管理、分級負責的原則,通過條塊結合的管理矩陣模式提升管理效率。網(wǎng)絡安全崗位應設專人負責,縱向可分成決策崗、管理崗和執(zhí)行崗,分別從政策制定、業(yè)務管理和業(yè)務運行各個層面開展網(wǎng)絡安全工作。
橫向由網(wǎng)絡安全管理崗、技術崗對業(yè)務部門提供網(wǎng)絡安全業(yè)務指導,與保衛(wèi)部門協(xié)同完成物理安全保衛(wèi)的工作,與人事部門協(xié)同完成網(wǎng)絡安全技術培訓和教育。人員管理還包括內部人員和外包服務人員的管理,如保密協(xié)議的簽署、信息系統(tǒng)訪問的授權、信息資產的使用等。
(3)網(wǎng)絡安全制度
網(wǎng)絡安全制度包括網(wǎng)絡安全法律法規(guī)、指導意見、管理辦法、規(guī)定、規(guī)范、流程、細則、模板表單等涉及網(wǎng)絡安全的法律、文件。網(wǎng)絡安全法律法規(guī)、指導意見是氣象網(wǎng)絡安全制度的綱領性文件,其他文件必須遵從這些綱領性文件。網(wǎng)絡安全制度是網(wǎng)絡安全活動的基礎,為整個框架的其他環(huán)節(jié)提供政策和決策依據(jù),確保網(wǎng)絡安全工作的合法性和一致性。
網(wǎng)絡安全制度的結構和內容應充分考慮國家等級保護制度、ISO/IEC27001標準等的相關要求,涵蓋網(wǎng)絡安全管理策略、機構和職責設置、人員管理、信息系統(tǒng)全生命周期管理、數(shù)據(jù)管理、訪問權限和密鑰管理、資產設備管理、安全檢查、產品和服務采購管理、風險管理、安全事件和應急響應管理等。
(4)網(wǎng)絡安全運行
信息系統(tǒng)生命周期的70%-80%處于運行階段。網(wǎng)絡安全運行已經越來越受到重視。隨著氣象信息化建設的推進,信息系統(tǒng)建設工作已經從大規(guī)模建設轉型到了“建設和運維”并舉的發(fā)展階段,運維人員需要管理越來越龐大的信息系統(tǒng)。網(wǎng)絡安全運行不僅要對網(wǎng)絡病毒或黑客攻擊等網(wǎng)絡安全事件進行定位、防護、清除,還要圍繞安全事件展開監(jiān)控、告警、響應、評估等工作。網(wǎng)絡安全運行包括網(wǎng)絡安全風險管理、網(wǎng)絡安全規(guī)劃與建設、網(wǎng)絡安全監(jiān)控與檢查、網(wǎng)絡安全事件管理、業(yè)務連續(xù)性與災難恢復管理和網(wǎng)絡安全審計。
①網(wǎng)絡安全風險管理:包括風險識別、風險評估、風險處置和結果報告。風險的處置包括對網(wǎng)絡安全措施進行優(yōu)先級排序、評估和實施,可以通過風險承受、風險降低、風險規(guī)避和風險轉移等方式實現(xiàn)。
②網(wǎng)絡安全規(guī)劃與建設:每三至五年,定期根據(jù)信息化發(fā)展倡議的總體目標和各階段的實施目標,確定網(wǎng)絡安全的發(fā)展目標和總體規(guī)劃。通過對現(xiàn)狀分析,結合未來幾年的需求,提出落地實施的具體措施和辦法,并形成文檔。規(guī)劃的結果需要項目支撐落實。網(wǎng)絡安全建設以應用為目標,以需求為導向,堅持統(tǒng)一標準、統(tǒng)一規(guī)劃、統(tǒng)一建設、統(tǒng)一管理,包括管理體系建設和網(wǎng)絡安全項目建設。
③網(wǎng)絡安全監(jiān)控與檢查:網(wǎng)絡安全監(jiān)控是采取主動積極防御策略,利用技術手段,通過實時監(jiān)控網(wǎng)絡或主機活動,監(jiān)視分析用戶系統(tǒng),監(jiān)測系統(tǒng)配置和漏洞,識別攻擊行為。網(wǎng)絡安全檢查是對網(wǎng)絡安全風險、網(wǎng)絡安全部署和網(wǎng)絡防護措施的有效性進行定期或不定期的綜合檢查。網(wǎng)絡安全監(jiān)控與檢查結果用于網(wǎng)絡安全管理策略和制度的持續(xù)改進。
④網(wǎng)絡安全事件管理:包括網(wǎng)絡安全事件分類分級、網(wǎng)絡安全事件報告、網(wǎng)絡安全事件處理和響應、網(wǎng)絡安全事件分析和總結和事件定性及責任認定。
⑤業(yè)務連續(xù)性與災難恢復管理:業(yè)務連續(xù)性管理包括業(yè)務影響分析、編制總體應急預案和專項應急預案、開展應急演練、業(yè)務中斷事件的應急處置。災難恢復管理包括分析恢復需求、制定恢復策略、編制恢復預案和開展恢復演練。
⑥網(wǎng)絡安全審計:包括制定審計計劃、執(zhí)行審計任務、形成審計報告。審計的內容應覆蓋網(wǎng)絡層面、系統(tǒng)層面和應用層面。
(5)網(wǎng)絡安全技術網(wǎng)絡安全技術是整個參考框架的基礎,包括網(wǎng)絡安全技術手段、產品(含購買服務)和安全系統(tǒng)部署。根據(jù)國家等級保護制度的要求,網(wǎng)絡安全技術對信息系統(tǒng)的保護要達到物理安全、網(wǎng)絡安全、主機安全、應用安全和數(shù)據(jù)安全五個層面的安全。
4氣象網(wǎng)絡安全治理體系實施建議
實施氣象網(wǎng)絡安全治理體系,根據(jù)目前氣象工作實際情況,應重點加強網(wǎng)絡安全制度、網(wǎng)絡安全運行、網(wǎng)絡安全技術和網(wǎng)絡安全組織建設。具體來說,建議從以下幾項工作著手:
(1)加強網(wǎng)絡安全制度建設方面,建議按照“全面防范、重點突出”的原則,及時跟蹤對標國家法律法規(guī)、政策文件和技術標準規(guī)范,迅速跟進完善氣象部門網(wǎng)絡安全制度,逐步建立起全方位、持續(xù)改進的網(wǎng)絡安全制度體系。在彌補制度空白的同時,規(guī)范制度文件的制修訂和審核發(fā)布流程,抓好制度的貫徹落實。
(2)強化網(wǎng)絡安全運行方面,建議一是將網(wǎng)絡安全管理要求融入信息系統(tǒng)全生命周期,對信息系統(tǒng)的可行性研究、需求分析、立項評審、編碼、測試、上線運行等全過程各環(huán)節(jié)進行規(guī)范,重點把好“三關”,即需求審核關、研制關和上線關。二是加快推進信息資產分類分級管理。建立信息資產分級標準,明確等級化的安全保護策略和要求。加強敏感信息保護,加強向外部提供信息的統(tǒng)一管理,嚴格審核,歸口發(fā)布,防止信息資產違規(guī)泄露。加強終端設備的安全管理。三是加強網(wǎng)絡安全監(jiān)測,提升網(wǎng)絡安全態(tài)勢感知能力,針對發(fā)現(xiàn)的主要問題和薄弱環(huán)節(jié),加強操作風險控制,制定和完善系統(tǒng)備份策略,建立事件處理知識庫,定期開展風險排查和整改優(yōu)化。四是落實運行管理責任,確保管理范圍的全覆蓋。
(3)提升網(wǎng)絡安全技術水平方面,建議一是依據(jù)國際國內網(wǎng)絡安全技術標準,根據(jù)國家信息安全等級保護要求,統(tǒng)一規(guī)劃、構建氣象部門信息系統(tǒng)安全技術架構,制定網(wǎng)絡安全保障策略,編制網(wǎng)絡安全技術指南,持續(xù)加大投資力度,大力改善信息基礎設施。二是以自主創(chuàng)新增進安全可控能力。推動應用自主創(chuàng)新能力,力爭氣象領域關鍵信息技術自主創(chuàng)新占比逐步提高,不斷提升信息系統(tǒng)的開放性、靈活性和整體的集成化水平。強化行業(yè)協(xié)作,共同應對外包集中等風險。三是針對新形勢積極探索網(wǎng)絡安全應對策略。加強安全威脅發(fā)展趨勢的跟蹤和分析研究,及時淘汰落后的網(wǎng)絡安全技術和產品,將安全防線前移,加強縱深防御。
(4)加強網(wǎng)絡安全組織方面建設,建議逐步建立起一支網(wǎng)絡安全專業(yè)隊伍,選拔優(yōu)秀技術人才充實管理隊伍,將新員工補充到開發(fā)一線,形成合理的管理和開發(fā)梯隊。開展網(wǎng)絡安全技能培訓,提升人員專業(yè)素質和能力。營造網(wǎng)絡安全深入人心的文化氛圍,以績效考核為引導,以流程制度為規(guī)范,加強風險提示宣傳和內部風險警示教育,提升全員安全意識。
5結束語
在歷經了網(wǎng)絡建設、數(shù)據(jù)集中、網(wǎng)絡安全基礎設施建設等階段后,氣象部門已進入了體系化網(wǎng)絡安全治理的階段。氣象部門應基于現(xiàn)有的網(wǎng)絡安全工作,積極開展氣象網(wǎng)絡安全治理體系的落地建設,確保在氣象信息化推進過程中有效防范和化解網(wǎng)絡安全風險,推動實現(xiàn)網(wǎng)絡安全治理能力現(xiàn)代化,為氣象事業(yè)發(fā)展提供堅實的網(wǎng)絡安全保障。
參考文獻:
[1]林潤輝,李大輝,謝宗曉,王興起.信息安全管理理論與實踐[M].北京:中國質檢出版社,2015.
[2]中國電子技術標準化研究院.信息安全管理體系理解與實踐[M].北京:中國質檢出版社,2017.
[3]謝宗曉.政府部門信息安全管理基本要求理解與實施[M].北京:中國質檢出版社,2014.
[4]郇林.云計算環(huán)境下的計算機網(wǎng)絡安全問題分析[J].技術與市場,2017.
[5]謝宗曉.信息安全管理體系實施指南[M].北京:中國質檢出版社,2017.
[6]周世杰,藍天,傅翀,趙洋.信息安全標準與法律法規(guī)[M].北京:科學出版社,2012.
相關刊物推薦:《信息安全與技術》(月刊)創(chuàng)刊于2010年,是由中國電子信息產業(yè)發(fā)展研究院主辦的是我國信息安全和信息技術領域集學術性、技術性、專業(yè)性和權威性為一體的國家級月刊,面向中國信息安全與技術領域,展現(xiàn)學術水平和專業(yè)技術成果,創(chuàng)建中國信息安全與技術領域第一交流平臺,以期提高我國信息安全和信息技術的突破。