淺談水務網絡信息安全管理

[摘 要] 本文介紹了水務信息化快速發展進程中，水務網絡信息安全工作的重要性，水務網絡安全管理現狀，分析了當前網絡信息安全面臨的安全風險及主要原因，并從完善信息安全規劃、加強日常安全維護保障和信息安全教育培訓3個方面提出改進措施與解決辦法。

[關鍵詞] 水務；網絡信息安全；管理

[中圖分類號] F272.7 [文獻標識碼] A [文章編號] 1673 - 0194（2013）20- 0054- 03

0 引 言

隨著上海水務信息化工作的快速推進和不斷深化，電子政務、數字水務、水務公共信息平臺、水資源管理系統等信息化成果有力推動了水務的現代化建設。網絡平臺作為信息化建設和信息化成果應用的重要基礎平臺， 支撐起了巨大的IT價值，是水務IT價值實現的根本和基礎。在互聯網快速發展的背景下，網絡攻擊手段日益增多，信息系統所面臨的安全風險也越來越多，如何確保網絡信息安全已成為水務信息化進程中的一項重要工作。

1 現狀分析

上海水務網絡由中國水利信息網接入網、市防汛水務專網、市政務外網接入網、辦公局域網、無線專網等網絡組成，實現了上連國家防總、水利部、全國流域機構，中連全市各委辦局、下連所有局屬單位以及全市各區縣防汛指揮部，系統承載了防汛報訊系統、電子政務系統、水務公共信息平臺、視頻會議系統、視頻監控、水務熱線、水資源管理系統等重要水務防汛應用。

為確保網絡運行安全和系統應用正常，水務網絡實施了一系列的安全防護措施，主要包括：在網絡邊界處部署安全訪問控制設備，如防火墻、上網行為設備等，建立了安全的通信連接，確保數據訪問合法并在有效的安全管理控制之下，同時作為抵御外部威脅的第一道防線，有效檢測和防御惡意入侵；在網絡核心部位和重要區域部署了入侵檢測設備，分析網絡傳輸數據，檢查網絡或系統中是否存在違反安全策略的行為和被攻擊的跡象；開展計算環境安全管理，主要內容包括操作系統策略管理、統一病毒防護管理、安全補丁管理等。

2 面臨的安全風險

2.1 信息系統缺乏同步安全建設

信息化進程中，普遍存在重建設輕管理，重應用功能輕安全防護，導致信息系統在建設過程中沒有充分考慮信息安全防護措施和管理要求，通常在安全測評階段，根據相應的測評指標，臨時、被動地實施相關安全防護措施，雖然滿足了測評的基本要求，但是安全措施比較零散，缺乏體系和相互關聯，甚至實施的安全措施治標不治本，安全隱患重重。

2.2 未充分發揮安全產品防御作用

當前，信息安全已深入到業務行為關聯和信息內容語義范疇。防火墻的訪問控制、入侵檢測的預警判斷、網閘的數據傳輸控制以及安全審計信息的合規性判斷均來自應用安全策略要求，信息安全產品更多的是面向應用層面的信息安全控制。但是由于系統開發缺乏明確的安全需求，造成了信息安全產品針對其實施的安全策略權限開放過大或無安全策略，安全告警無法有效判斷，使得部分產品形同虛設，不能充分發揮其防御作用。

2.3 軟件漏洞

軟件漏洞是信息安全問題的根源之一，易引發信息竊取、資源被控、系統崩潰等安全事件。軟件漏洞主要涉及操作系統漏洞、數據庫系統漏洞、中間件漏洞、應用程序漏洞等。操作系統、數據庫等廠商會不定期針對漏洞發布相應的補丁，但是，由于應用系統運行對程序開發環境的依賴度較高，補丁升級存在較大安全風險和不確定性，使得應用部門通常不實施操作系統等相關補丁升級工作。此外，應用程序本身也普遍缺失安全技術，存在諸多未知安全漏洞等問題。

2.4 網絡病毒

計算機病毒是數據安全的頭號大敵，根據國家計算機病毒應急處理中心發布的《2011年全國信息網絡安全狀況與計算機及移動終端病毒疫情調查分析報告》，2011年全國計算機病毒感染率為48.87%，雖呈下降態勢，但是病毒帶來的危害越來越大。

2.5 黑客攻擊

國家互聯網應急中心（CNCERT）的最新數據顯示，中國遭受境外網絡攻擊的情況日趨嚴重。CNCERT抽樣監測發現，2013年1月1日至2月28日不足60天的時間里，境外6 747臺木馬或僵尸網絡控制服務器控制了中國境內190萬余臺主機。在信息系統漏洞頻出的情況下，面向有組織的黑客攻擊行為，現有的技術防護和安全管理措施捉襟見肘。

2.6 信息安全意識薄弱

人是信息安全工作的核心因素，其安全管理水平將直接影響信息安全保障工作。由于缺少宣傳、培訓和教育，用戶信息安全意識較為淡薄。由于安全意識淡薄和缺乏識別潛在的安全風險，用戶在實際工作中容易產生違規操作，引發信息安全問題或失泄密事件。

3 采取的管理措施

存在這些安全風險的主要原因為缺乏信息安全規劃、缺乏持續改進的安全維護保障措施以及安全意識薄弱等，所以做好該部分工作是解決當前所面臨安全風險的主要措施。

3.1 信息安全規劃

信息安全規劃是一個涉及技術、管理、法規等多方面的綜合工程，是確保物理安全、網絡安全、主機安全、應用安全和數據安全的系統性規劃。信息安全規劃既依托于信息化規劃，又是信息化的重要組成部分。在信息安全規劃的指導下，信息系統安全建設與管理才能有計劃、有方向、有目標。信息安全規劃框架如圖1。

3.1.1 以信息化規劃為指引，以信息化建設現狀為基礎

信息安全規劃是以信息化規劃為指引，以信息化建設現狀為基礎，系統性的規劃信息安全架構，是信息化發展中的重要環節。信息安全規劃一方面要對信息化發展現狀進行深入和全面的調研，摸清家底、掌握情況，分析當前存在的安全問題和信息化發展所帶來的安全需求，另一方面要緊緊圍繞信息化規劃，按照信息化發展戰略和思路，同步考慮信息安全問題。

3.1.2 建立信息安全體系

信息安全規劃需要圍繞技術安全、管理安全、組織安全進行全面的考慮，建立相應的信息安全體系，確定信息安全的任務、目標、戰略以及人員保障。

3.2 日常安全運維保障

3.2.1 關注互聯網安全動態

互聯網的快速發展使得水務網絡安全與互聯網安全密切相關。因此，關注互聯網安全動態，及時更新或調整水務網絡安全策略和防護措施，是日常安全管理工作中的一項重要工作。

3.2.2 安全態勢分析

網絡信息安全是一個動態發展的過程，固化的安全防護措施無法持續確保網絡環境安全。定期對網絡安全環境進行態勢分析不僅可以掌握當前存在的問題，面臨的風險，而且可以及時總結原因，制定改進策略。安全態勢分析主要通過對網絡設備、安全設備、主機設備及安全管理工具等策略變更信息、日志信息、安全告警信息等，經過統計和關聯分析，綜合評估網絡系統安全狀態，并判斷發展變化趨勢。

3.2.3 信息安全風險評估

風險評估是信息安全管理工作的關鍵環節。通過開展風險評估工作，可以發現信息安全存在的主要問題和矛盾，找到解決諸多問題的辦法。安全風險評估的主要步驟和方法：①確定被評估的關鍵信息資產；②通過文檔審閱、脆弱性掃描、本地審計、人員訪談、現場觀測等方式，獲得評估范圍內主機、網絡、應用等方面與信息安全相關的技術與管理信息；③對所獲得的信息進行綜合分析，鑒別被評估信息資產存在的安全問題與風險；④從系統脆弱性鑒別、漏洞和威脅分析、現有技術和管理措施、管理制度等方面，根據不同風險的優先級，分析、確定管理相應風險的控制措施；⑤基于以上分析的結果，形成相應的信息安全風險評估報告。

3.2.4 應急響應

應急響應是信息安全防護的最后一道防線，其主要目的是盡可能地減小和控制信息安全事件的損失，提供有效的響應和恢復。應急響應包括事先應急準備和事件發生后的響應措施兩部分。事先應急準備主要包括明確組織指揮體系，預警及預防機制，應急響應流程，應急隊伍、應急設備、技術資料、經費等應急保障，定期開展應急演練等工作。事件發生后的應急措施包括收集系統特征，檢測病毒、后門等惡意代碼，限制或關閉網絡服務，系統恢復等工作。這兩方面互相補充，事前應急準備為事件發生后的響應提供指導，事后的響應處置進一步促進事前準備工作的不斷完善。

3.3 教育培訓

人是信息安全工作的核心因素，其知識結構和應用水平將直接影響信息安全保障工作。加強相關信息安全管理人員的專業培訓，以及開展面向網絡用戶的信息安全宣傳教育、行為引導等，是提升信息安全專業化管理水平，提高信息安全意識，有效避免信息安全問題或失泄密事件發生的重要工作。

4 總 結

隨著信息化進程的加快，信息系統所面臨的安全風險越來越多，信息安全管理工作要求也逐步提高。持續分析、總結網絡信息安全管理中存在的問題，并采取針對性的措施不斷加以改進，成為保證水務信息化戰略實現、不斷提升水務部門管理能力和服務水平的重要基礎保障工作。

主要參考文獻

[1]GB/T 22239-2008，信息安全技術信息系統安全等級保護基本要求[S].

[2]GB/T 25058-2010，信息安全技術信息系統安全等級保護實施指南[S].

[3]周俐軍，王冬梅，宋皓.政務內網信息安全風險分析及對策[J].電子政務，2008（8）.

[4]ISO/IEC 17799：2005，信息安全管理實施指南[S].