发布时间:2019-04-18所属分类:计算机职称论文浏览:1次
摘 要: 摘要:本文从气象全行业网络安全治理角度出发,在分析新时期气象部门网络安全形势的基础上,基于气象工作实际提出了气象网络安全治理体系的框架结构,并对该体系的各个组成部分进行了详细介绍。最后对如何在气象部门落地建设该体系提出了具体实施建议。 关键
摘要:本文从气象全行业网络安全治理角度出发,在分析新时期气象部门网络安全形势的基础上,基于气象工作实际提出了气象网络安全治理体系的框架结构,并对该体系的各个组成部分进行了详细介绍。最后对如何在气象部门落地建设该体系提出了具体实施建议。
关键词:气象,网络安全,治理体系
0引言
随着信息技术的持续快速发展,网络安全形势愈发严峻,大规模网络攻击和恶意风险持续爆发。棱镜门信息泄密事件,将网络安全演变成为大国角力战场;勒索病毒席卷全球重创我国多个重要部门。面对日益严峻的安全形势,全球近60个国家先后将网络安全纳入国家战略。
2014年2月,我国成立了中央网络安全和信息化领导小组,2017年6月1日《中华人民共和国网络安全法》(以下简称《网络安全法》)正式实施,将网络安全问题提到了前所未有的高度。气象部门是关系国计民生的重要基础性部门,随着信息技术的迅猛发展,气象部门对信息系统的依赖日益加重。当前,气象部门正在全面推进气象信息化,对气象网络安全治理提出了更高的要求,2018年4月全国气象信息化工作会明确提出到2020年建成绿色安全的气象信息化体系。为达到这一目标,建立一个规范的、完整的、稳定的网络安全治理体系,已成为气象信息化发展的重要课题。
1网络安全在气象部门的发展
气象网络安全的发展大致可以分为3个阶段:
第一阶段:从20世纪80年代中期至90年代初期,少部分气象业务以计算机系统作为工具,取代原有业务中的人工处理,各个业务的计算机化分别进行,尚未形成体系,面临的网络安全威胁较小,主要通过内控等方法进行网络安全控制。
第二阶段:从20世纪90年代至2000年左右,随着信息技术的发展,计算机网络技术日渐成熟,开始以计算机网络系统作为气象数据传输和业务系统的基础支撑。主要通过防火墙、入侵检测系统、漏洞修复、系统扫描等多种手段逐步形成气象网络安全纵深防御体系。
第三阶段:从2000年至现在,随着互联网和云计算、大数据、物联网等新技术的飞速发展,手机等智能终端普及,以web技术为代表的气象应用系统全面铺开。网络安全面临新的挑战,通过加密算法、应用程序安全开发、安全协议等各种方法,面对新形势加强了对网络安全的建设。
30年来,气象网络安全建设从无到有,明确了网络安全管理的目标和策略,完善了网络安全制度体系,积极推动了国家等级保护制度在气象部门的落地实施,构建了较为完善的网络安全技术保障体系。但是严峻的内外部网络安全形势和新技术的不断涌现,使得现有的网络安全管理已经无法满足新时代发展需求,亟需优化和升级。
2气象部门面临的网络安全威胁及成因分析
气象部门几乎所有的业务都运行在信息技术基础之上,尤其是新出现的产品和服务更加趋于开放和互联,进一步加强了对信息系统的依赖程度。气象信息系统相互牵连、服务产品多样化,信息可靠性、时效性的高要求是其突出特点。网络安全对气象业务的正常开展起着至关重要的作用。如何应对网络安全威胁,防范和化解网络安全风险,是气象部门面临的重大问题。近年来,针对气象部门的网络攻击时有发生。
气象行业面临的威胁主要有以下几类:(1)信息完整性破坏:数据被非授权地进行增删、修改或破坏而受到损失;(2)信息泄露:信息被泄露或透漏给某个未授权的实体;(3)拒绝服务:对信息或其他资源的合法访问被无条件阻止;(4)网络攻击:黑客通过网络对信息系统进行攻击,造成系统瘫痪、数据被盗或丢失等;(5)计算机病毒:在计算机系统运行过程中能够实现传染和侵害功能的程序;(6)人员不慎:人员安全意识不到位,放松了对系统的整体安全防护。
究其成因,主要还是由于:
一是信息化在推进业务发展的同时,也带来了巨大的风险。由于信息化规模不断扩大,信息技术迅速发展,气象信息系统在规划、研发、建设、运行、维护、监控及退出过程中,存在着大量的弱点,这些弱点被特定人员威胁利用,就会产生风险。信息化程度越高,风险就会越大。
二是由于云计算、大数据、移动互联等信息技术的普及,网络安全管理和技术能力的建设滞后于新技术应用的发展。个别技术防护手段和措施还落实不到位。同时由于数据集中成为必然趋势,数据集中后安全风险必然增大。
三是气象信息系统的自主控制能力仍然不强,核心关键领域还是依赖于某些厂家的产品和服务,缺乏判断设备是否存在“后门”、“软件缺陷”等安全隐患的能力。四是对人员管理,尤其是外包人员的管理不严。虽然气象部门从制度、员工意识等多个方面进行了有效防范,但是安全没有止境。
3气象网络安全治理体系框架
网络安全包含的内容相当广泛,应将网络安全当作一个整体加以研究和应用。网络安全治理体系参考框架从整体上视为气象网络安全的所有工作,在框架层面具有普遍性,但是各级气象部门在开展网络安全管理体系建设时,需要根据自身实际对具体内容进行修改、调整和细化。
3.1参考标准和规范
提出气象网络安全治理体系参考的标准和规范包括:“中华人民共和国网络安全法”、“国家信息安全等级保护制度”、“ISO/IEC27001标准”、“信息及相关技术的控制目标(ControlObjectivesforInformationandRelatedTechnology,COBIT)标准”、“信息技术基础架构库(InformationTechnologyInfrastructureLibrary,ITIL)”、“ISO31000标准”、“信息技术安全技术IT网络安全标准(GB/T25068)”、“信息技术安全技术信息技术安全评估准则(GB/T18336)等”。
3.2框架基本构成
气象网络安全治理体系参考框架包括:网络安全策略、网络安全组织、网络安全制度、网络安全运行、网络安全技术,其中网络安全运行包括网络安全风险管理、网络安全规划与建设、网络安全监控与检查、网络安全事件管理、业务连续性与灾难恢复管理和网络安全审计等内容。
(1)网络安全策略
气象网络安全策略是基于气象信息化战略、业务目标和审计要求提出的对整个气象网络安全工作起到驱动作用的指导方针。气象网络安全策略应明确网络安全治理的范围、原则和目标等。具体来说,气象网络安全治理的范围是气象部门所有与信息系统开发、数据服务及信息基础设施建设相关的业务活动;基本原则包括:“分级保护”、“同步规划、同步建设、同步运行”、“适度安全”、“三分技术、七分管理”等;目标是建立健全气象部门的安全治理体系,增强气象网络安全保障能力,提高整体网络安全水平,保证气象信息系统正常运行。
(2)网络安全组织
网络安全组织是在明确了安全策略后,定义、建立和维护的安全组织架构,是网络安全工作得以执行的基础。网络安全组织包括组织架构、岗位和职责设计、与其他部门的协作、人员管理等。气象网络安全组织按照国家网络安全主管部门要求实行统一领导及一把手负责制。同时,按照分级管理、分级负责的原则,通过条块结合的管理矩阵模式提升管理效率。网络安全岗位应设专人负责,纵向可分成决策岗、管理岗和执行岗,分别从政策制定、业务管理和业务运行各个层面开展网络安全工作。
横向由网络安全管理岗、技术岗对业务部门提供网络安全业务指导,与保卫部门协同完成物理安全保卫的工作,与人事部门协同完成网络安全技术培训和教育。人员管理还包括内部人员和外包服务人员的管理,如保密协议的签署、信息系统访问的授权、信息资产的使用等。
(3)网络安全制度
网络安全制度包括网络安全法律法规、指导意见、管理办法、规定、规范、流程、细则、模板表单等涉及网络安全的法律、文件。网络安全法律法规、指导意见是气象网络安全制度的纲领性文件,其他文件必须遵从这些纲领性文件。网络安全制度是网络安全活动的基础,为整个框架的其他环节提供政策和决策依据,确保网络安全工作的合法性和一致性。
网络安全制度的结构和内容应充分考虑国家等级保护制度、ISO/IEC27001标准等的相关要求,涵盖网络安全管理策略、机构和职责设置、人员管理、信息系统全生命周期管理、数据管理、访问权限和密钥管理、资产设备管理、安全检查、产品和服务采购管理、风险管理、安全事件和应急响应管理等。
(4)网络安全运行
信息系统生命周期的70%-80%处于运行阶段。网络安全运行已经越来越受到重视。随着气象信息化建设的推进,信息系统建设工作已经从大规模建设转型到了“建设和运维”并举的发展阶段,运维人员需要管理越来越庞大的信息系统。网络安全运行不仅要对网络病毒或黑客攻击等网络安全事件进行定位、防护、清除,还要围绕安全事件展开监控、告警、响应、评估等工作。网络安全运行包括网络安全风险管理、网络安全规划与建设、网络安全监控与检查、网络安全事件管理、业务连续性与灾难恢复管理和网络安全审计。
①网络安全风险管理:包括风险识别、风险评估、风险处置和结果报告。风险的处置包括对网络安全措施进行优先级排序、评估和实施,可以通过风险承受、风险降低、风险规避和风险转移等方式实现。
②网络安全规划与建设:每三至五年,定期根据信息化发展战略的总体目标和各阶段的实施目标,确定网络安全的发展目标和总体规划。通过对现状分析,结合未来几年的需求,提出落地实施的具体措施和办法,并形成文档。规划的结果需要项目支撑落实。网络安全建设以应用为目标,以需求为导向,坚持统一标准、统一规划、统一建设、统一管理,包括管理体系建设和网络安全项目建设。
③网络安全监控与检查:网络安全监控是采取主动积极防御策略,利用技术手段,通过实时监控网络或主机活动,监视分析用户系统,监测系统配置和漏洞,识别攻击行为。网络安全检查是对网络安全风险、网络安全部署和网络防护措施的有效性进行定期或不定期的综合检查。网络安全监控与检查结果用于网络安全管理策略和制度的持续改进。
④网络安全事件管理:包括网络安全事件分类分级、网络安全事件报告、网络安全事件处理和响应、网络安全事件分析和总结和事件定性及责任认定。
⑤业务连续性与灾难恢复管理:业务连续性管理包括业务影响分析、编制总体应急预案和专项应急预案、开展应急演练、业务中断事件的应急处置。灾难恢复管理包括分析恢复需求、制定恢复策略、编制恢复预案和开展恢复演练。
⑥网络安全审计:包括制定审计计划、执行审计任务、形成审计报告。审计的内容应覆盖网络层面、系统层面和应用层面。
(5)网络安全技术网络安全技术是整个参考框架的基础,包括网络安全技术手段、产品(含购买服务)和安全系统部署。根据国家等级保护制度的要求,网络安全技术对信息系统的保护要达到物理安全、网络安全、主机安全、应用安全和数据安全五个层面的安全。
4气象网络安全治理体系实施建议
实施气象网络安全治理体系,根据目前气象工作实际情况,应重点加强网络安全制度、网络安全运行、网络安全技术和网络安全组织建设。具体来说,建议从以下几项工作着手:
(1)加强网络安全制度建设方面,建议按照“全面防范、重点突出”的原则,及时跟踪对标国家法律法规、政策文件和技术标准规范,迅速跟进完善气象部门网络安全制度,逐步建立起全方位、持续改进的网络安全制度体系。在弥补制度空白的同时,规范制度文件的制修订和审核发布流程,抓好制度的贯彻落实。
(2)强化网络安全运行方面,建议一是将网络安全管理要求融入信息系统全生命周期,对信息系统的可行性研究、需求分析、立项评审、编码、测试、上线运行等全过程各环节进行规范,重点把好“三关”,即需求审核关、研制关和上线关。二是加快推进信息资产分类分级管理。建立信息资产分级标准,明确等级化的安全保护策略和要求。加强敏感信息保护,加强向外部提供信息的统一管理,严格审核,归口发布,防止信息资产违规泄露。加强终端设备的安全管理。三是加强网络安全监测,提升网络安全态势感知能力,针对发现的主要问题和薄弱环节,加强操作风险控制,制定和完善系统备份策略,建立事件处理知识库,定期开展风险排查和整改优化。四是落实运行管理责任,确保管理范围的全覆盖。
(3)提升网络安全技术水平方面,建议一是依据国际国内网络安全技术标准,根据国家信息安全等级保护要求,统一规划、构建气象部门信息系统安全技术架构,制定网络安全保障策略,编制网络安全技术指南,持续加大投资力度,大力改善信息基础设施。二是以自主创新增进安全可控能力。推动应用自主创新能力,力争气象领域关键信息技术自主创新占比逐步提高,不断提升信息系统的开放性、灵活性和整体的集成化水平。强化行业协作,共同应对外包集中等风险。三是针对新形势积极探索网络安全应对策略。加强安全威胁发展趋势的跟踪和分析研究,及时淘汰落后的网络安全技术和产品,将安全防线前移,加强纵深防御。
(4)加强网络安全组织方面建设,建议逐步建立起一支网络安全专业队伍,选拔优秀技术人才充实管理队伍,将新员工补充到开发一线,形成合理的管理和开发梯队。开展网络安全技能培训,提升人员专业素质和能力。营造网络安全深入人心的文化氛围,以绩效考核为引导,以流程制度为规范,加强风险提示宣传和内部风险警示教育,提升全员安全意识。
5结束语
在历经了网络建设、数据集中、网络安全基础设施建设等阶段后,气象部门已进入了体系化网络安全治理的阶段。气象部门应基于现有的网络安全工作,积极开展气象网络安全治理体系的落地建设,确保在气象信息化推进过程中有效防范和化解网络安全风险,推动实现网络安全治理能力现代化,为气象事业发展提供坚实的网络安全保障。
参考文献:
[1]林润辉,李大辉,谢宗晓,王兴起.信息安全管理理论与实践[M].北京:中国质检出版社,2015.
[2]中国电子技术标准化研究院.信息安全管理体系理解与实践[M].北京:中国质检出版社,2017.
[3]谢宗晓.政府部门信息安全管理基本要求理解与实施[M].北京:中国质检出版社,2014.
[4]郇林.云计算环境下的计算机网络安全问题分析[J].技术与市场,2017.
[5]谢宗晓.信息安全管理体系实施指南[M].北京:中国质检出版社,2017.
[6]周世杰,蓝天,傅翀,赵洋.信息安全标准与法律法规[M].北京:科学出版社,2012.
相关刊物推荐:《信息安全与技术》(月刊)创刊于2010年,是由中国电子信息产业发展研究院主办的是我国信息安全和信息技术领域集学术性、技术性、专业性和权威性为一体的国家级月刊,面向中国信息安全与技术领域,展现学术水平和专业技术成果,创建中国信息安全与技术领域第一交流平台,以期提高我国信息安全和信息技术的突破。
SCI SSCI AHCI