氣象網絡安全治理體系研究

◆劉東君 何恒宏 譚 振 李 博

氣象網絡安全治理體系研究

◆劉東君1何恒宏2譚 振1李 博3

（1.中國氣象局預報與網絡司 北京 100081；2.國家氣象信息中心 北京 100081； 3.中國氣象局發展研究中心 北京 100081）

本文從氣象全行業網絡安全治理角度出發，在分析新時期氣象部門網絡安全形勢的基礎上，基于氣象工作實際提出了氣象網絡安全治理體系的框架結構，并對該體系的各個組成部分進行了詳細介紹。最后對如何在氣象部門落地建設該體系提出了具體實施建議。

氣象；網絡安全；治理體系

0 引言

隨著信息技術的持續快速發展，網絡安全形勢愈發嚴峻，大規模網絡攻擊和惡意風險持續爆發。棱鏡門信息泄密事件，將網絡安全演變成為大國角力戰場；勒索病毒席卷全球重創我國多個重要部門。面對日益嚴峻的安全形勢，全球近60個國家先后將網絡安全納入國家戰略。2014年2月，我國成立了中央網絡安全和信息化領導小組，2017年6月1日《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）正式實施，將網絡安全問題提到了前所未有的高度。氣象部門是關系國計民生的重要基礎性部門，隨著信息技術的迅猛發展，氣象部門對信息系統的依賴日益加重。當前，氣象部門正在全面推進氣象信息化，對氣象網絡安全治理提出了更高的要求，2018年4月全國氣象信息化工作會明確提出到2020年建成綠色安全的氣象信息化體系。為達到這一目標，建立一個規范的、完整的、穩定的網絡安全治理體系，已成為氣象信息化發展的重要課題。

1 網絡安全在氣象部門的發展

氣象網絡安全的發展大致可以分為3個階段：

第一階段：從20世紀80年代中期至90年代初期，少部分氣象業務以計算機系統作為工具，取代原有業務中的人工處理，各個業務的計算機化分別進行，尚未形成體系，面臨的網絡安全威脅較小，主要通過內控等方法進行網絡安全控制。

第二階段：從20世紀90年代至2000年左右，隨著信息技術的發展，計算機網絡技術日漸成熟，開始以計算機網絡系統作為氣象數據傳輸和業務系統的基礎支撐。主要通過防火墻、入侵檢測系統、漏洞修復、系統掃描等多種手段逐步形成氣象網絡安全縱深防御體系。

第三階段：從2000年至現在，隨著互聯網和云計算、大數據、物聯網等新技術的飛速發展，手機等智能終端普及，以web技術為代表的氣象應用系統全面鋪開。網絡安全面臨新的挑戰，通過加密算法、應用程序安全開發、安全協議等各種方法，面對新形勢加強了對網絡安全的建設。

30年來，氣象網絡安全建設從無到有，明確了網絡安全管理的目標和策略，完善了網絡安全制度體系，積極推動了國家等級保護制度在氣象部門的落地實施，構建了較為完善的網絡安全技術保障體系。但是嚴峻的內外部網絡安全形勢和新技術的不斷涌現，使得現有的網絡安全管理已經無法滿足新時代發展需求，亟需優化和升級。

2 氣象部門面臨的網絡安全威脅及成因分析

氣象部門幾乎所有的業務都運行在信息技術基礎之上，尤其是新出現的產品和服務更加趨于開放和互聯，進一步加強了對信息系統的依賴程度。氣象信息系統相互牽連、服務產品多樣化，信息可靠性、時效性的高要求是其突出特點。網絡安全對氣象業務的正常開展起著至關重要的作用。如何應對網絡安全威脅，防范和化解網絡安全風險，是氣象部門面臨的重大問題。

近年來，針對氣象部門的網絡攻擊時有發生。氣象行業面臨的威脅主要有以下幾類：

（1）信息完整性破壞：數據被非授權地進行增刪、修改或破壞而受到損失；

（2）信息泄露：信息被泄露或透漏給某個未授權的實體；

（3）拒絕服務：對信息或其他資源的合法訪問被無條件阻止；

（4）網絡攻擊：黑客通過網絡對信息系統進行攻擊，造成系統癱瘓、數據被盜或丟失等；

（5）計算機病毒：在計算機系統運行過程中能夠實現傳染和侵害功能的程序；

（6）人員不慎：人員安全意識不到位，放松了對系統的整體安全防護。

究其成因，主要還是由于：

一是信息化在推進業務發展的同時，也帶來了巨大的風險。由于信息化規模不斷擴大，信息技術迅速發展，氣象信息系統在規劃、研發、建設、運行、維護、監控及退出過程中，存在著大量的弱點，這些弱點被特定人員威脅利用，就會產生風險。信息化程度越高，風險就會越大。

二是由于云計算、大數據、移動互聯等信息技術的普及，網絡安全管理和技術能力的建設滯后于新技術應用的發展。個別技術防護手段和措施還落實不到位。同時由于數據集中成為必然趨勢，數據集中后安全風險必然增大。

三是氣象信息系統的自主控制能力仍然不強，核心關鍵領域還是依賴于某些廠家的產品和服務，缺乏判斷設備是否存在“后門”、“軟件缺陷”等安全隱患的能力。

四是對人員管理，尤其是外包人員的管理不嚴。雖然氣象部門從制度、員工意識等多個方面進行了有效防范，但是安全沒有止境。

3 氣象網絡安全治理體系框架

網絡安全包含的內容相當廣泛，應將網絡安全當作一個整體加以研究和應用。網絡安全治理體系參考框架從整體上視為氣象網絡安全的所有工作，在框架層面具有普遍性，但是各級氣象部門在開展網絡安全管理體系建設時，需要根據自身實際對具體內容進行修改、調整和細化。

3.1 參考標準和規范

提出氣象網絡安全治理體系參考的標準和規范包括：“中華人民共和國網絡安全法”、“國家信息安全等級保護制度”、“ISO/IEC 27001標準”、“信息及相關技術的控制目標（Control Objectives for Information and Related Technology, COBIT）標準”、“信息技術基礎架構庫（Information Technology Infrastructure Library, ITIL）”、“ISO 31000標準”、“信息技術 安全技術 IT網絡安全標準（GB/T 25068）”、“信息技術 安全技術 信息技術安全評估準則（GB/T 18336）等”。

3.2 框架基本構成

氣象網絡安全治理體系參考框架包括：網絡安全策略、網絡安全組織、網絡安全制度、網絡安全運行、網絡安全技術，其中網絡安全運行包括網絡安全風險管理、網絡安全規劃與建設、網絡安全監控與檢查、網絡安全事件管理、業務連續性與災難恢復管理和網絡安全審計等內容。氣象網絡安全治理體系參考框架如圖1所示。

圖1 氣象網絡安全治理體系框架圖

（1）網絡安全策略

氣象網絡安全策略是基于氣象信息化戰略、業務目標和審計要求提出的對整個氣象網絡安全工作起到驅動作用的指導方針。

氣象網絡安全策略應明確網絡安全治理的范圍、原則和目標等。具體來說，氣象網絡安全治理的范圍是氣象部門所有與信息系統開發、數據服務及信息基礎設施建設相關的業務活動；基本原則包括：“分級保護”、“同步規劃、同步建設、同步運行”、“適度安全”、“三分技術、七分管理”等；目標是建立健全氣象部門的安全治理體系，增強氣象網絡安全保障能力，提高整體網絡安全水平，保證氣象信息系統正常運行。

（2）網絡安全組織

網絡安全組織是在明確了安全策略后，定義、建立和維護的安全組織架構，是網絡安全工作得以執行的基礎。網絡安全組織包括組織架構、崗位和職責設計、與其他部門的協作、人員管理等。

氣象網絡安全組織按照國家網絡安全主管部門要求實行統一領導及一把手負責制。同時，按照分級管理、分級負責的原則，通過條塊結合的管理矩陣模式提升管理效率。網絡安全崗位應設專人負責，縱向可分成決策崗、管理崗和執行崗，分別從政策制定、業務管理和業務運行各個層面開展網絡安全工作。橫向由網絡安全管理崗、技術崗對業務部門提供網絡安全業務指導，與保衛部門協同完成物理安全保衛的工作，與人事部門協同完成網絡安全技術培訓和教育。人員管理還包括內部人員和外包服務人員的管理，如保密協議的簽署、信息系統訪問的授權、信息資產的使用等。

（3）網絡安全制度

網絡安全制度包括網絡安全法律法規、指導意見、管理辦法、規定、規范、流程、細則、模板表單等涉及網絡安全的法律、文件。網絡安全法律法規、指導意見是氣象網絡安全制度的綱領性文件，其他文件必須遵從這些綱領性文件。網絡安全制度是網絡安全活動的基礎，為整個框架的其他環節提供政策和決策依據，確保網絡安全工作的合法性和一致性。

網絡安全制度的結構和內容應充分考慮國家等級保護制度、ISO/IEC 27001標準等的相關要求，涵蓋網絡安全管理策略、機構和職責設置、人員管理、信息系統全生命周期管理、數據管理、訪問權限和密鑰管理、資產設備管理、安全檢查、產品和服務采購管理、風險管理、安全事件和應急響應管理等。

（4）網絡安全運行

信息系統生命周期的70%-80%處于運行階段。網絡安全運行已經越來越受到重視。隨著氣象信息化建設的推進，信息系統建設工作已經從大規模建設轉型到了“建設和運維”并舉的發展階段，運維人員需要管理越來越龐大的信息系統。

網絡安全運行不僅要對網絡病毒或黑客攻擊等網絡安全事件進行定位、防護、清除，還要圍繞安全事件展開監控、告警、響應、評估等工作。

網絡安全運行包括網絡安全風險管理、網絡安全規劃與建設、網絡安全監控與檢查、網絡安全事件管理、業務連續性與災難恢復管理和網絡安全審計。

①網絡安全風險管理：包括風險識別、風險評估、風險處置和結果報告。風險的處置包括對網絡安全措施進行優先級排序、評估和實施，可以通過風險承受、風險降低、風險規避和風險轉移等方式實現。網絡安全風險管理流程如圖2所示。

圖2 氣象網絡安全風險管理流程圖

②網絡安全規劃與建設：每三至五年，定期根據信息化發展戰略的總體目標和各階段的實施目標，確定網絡安全的發展目標和總體規劃。通過對現狀分析，結合未來幾年的需求，提出落地實施的具體措施和辦法，并形成文檔。規劃的結果需要項目支撐落實。網絡安全建設以應用為目標，以需求為導向，堅持統一標準、統一規劃、統一建設、統一管理，包括管理體系建設和網絡安全項目建設。

③網絡安全監控與檢查：網絡安全監控是采取主動積極防御策略，利用技術手段，通過實時監控網絡或主機活動，監視分析用戶系統，監測系統配置和漏洞，識別攻擊行為。網絡安全檢查是對網絡安全風險、網絡安全部署和網絡防護措施的有效性進行定期或不定期的綜合檢查。網絡安全監控與檢查結果用于網絡安全管理策略和制度的持續改進。

④網絡安全事件管理：包括網絡安全事件分類分級、網絡安全事件報告、網絡安全事件處理和響應、網絡安全事件分析和總結和事件定性及責任認定。

⑤業務連續性與災難恢復管理：業務連續性管理包括業務影響分析、編制總體應急預案和專項應急預案、開展應急演練、業務中斷事件的應急處置。災難恢復管理包括分析恢復需求、制定恢復策略、編制恢復預案和開展恢復演練。

⑥網絡安全審計：包括制定審計計劃、執行審計任務、形成審計報告。審計的內容應覆蓋網絡層面、系統層面和應用層面。

（5）網絡安全技術

網絡安全技術是整個參考框架的基礎，包括網絡安全技術手段、產品（含購買服務）和安全系統部署。根據國家等級保護制度的要求，網絡安全技術對信息系統的保護要達到物理安全、網絡安全、主機安全、應用安全和數據安全五個層面的安全。常用的網絡安全技術手段與五個層面的對應關系如表1所示。

表1 常用網絡安全技術手段與五個網絡安全層面對應表

4 氣象網絡安全治理體系實施建議

實施氣象網絡安全治理體系，根據目前氣象工作實際情況，應重點加強網絡安全制度、網絡安全運行、網絡安全技術和網絡安全組織建設。具體來說，建議從以下幾項工作著手：

（1）加強網絡安全制度建設方面，建議按照“全面防范、重點突出”的原則，及時跟蹤對標國家法律法規、政策文件和技術標準規范，迅速跟進完善氣象部門網絡安全制度，逐步建立起全方位、持續改進的網絡安全制度體系。在彌補制度空白的同時，規范制度文件的制修訂和審核發布流程，抓好制度的貫徹落實。

（2）強化網絡安全運行方面，建議一是將網絡安全管理要求融入信息系統全生命周期，對信息系統的可行性研究、需求分析、立項評審、編碼、測試、上線運行等全過程各環節進行規范，重點把好“三關”，即需求審核關、研制關和上線關。二是加快推進信息資產分類分級管理。建立信息資產分級標準，明確等級化的安全保護策略和要求。加強敏感信息保護，加強向外部提供信息的統一管理，嚴格審核，歸口發布，防止信息資產違規泄露。加強終端設備的安全管理。三是加強網絡安全監測，提升網絡安全態勢感知能力，針對發現的主要問題和薄弱環節，加強操作風險控制，制定和完善系統備份策略，建立事件處理知識庫，定期開展風險排查和整改優化。四是落實運行管理責任，確保管理范圍的全覆蓋。

（3）提升網絡安全技術水平方面，建議一是依據國際國內網絡安全技術標準，根據國家信息安全等級保護要求，統一規劃、構建氣象部門信息系統安全技術架構，制定網絡安全保障策略，編制網絡安全技術指南，持續加大投資力度，大力改善信息基礎設施。二是以自主創新增進安全可控能力。推動應用自主創新能力，力爭氣象領域關鍵信息技術自主創新占比逐步提高，不斷提升信息系統的開放性、靈活性和整體的集成化水平。強化行業協作，共同應對外包集中等風險。三是針對新形勢積極探索網絡安全應對策略。加強安全威脅發展趨勢的跟蹤和分析研究，及時淘汰落后的網絡安全技術和產品，將安全防線前移，加強縱深防御。

（4）加強網絡安全組織方面建設，建議逐步建立起一支網絡安全專業隊伍，選拔優秀技術人才充實管理隊伍，將新員工補充到開發一線，形成合理的管理和開發梯隊。開展網絡安全技能培訓，提升人員專業素質和能力。營造網絡安全深入人心的文化氛圍，以績效考核為引導，以流程制度為規范，加強風險提示宣傳和內部風險警示教育，提升全員安全意識。

5 結束語

在歷經了網絡建設、數據集中、網絡安全基礎設施建設等階段后，氣象部門已進入了體系化網絡安全治理的階段。氣象部門應基于現有的網絡安全工作，積極開展氣象網絡安全治理體系的落地建設，確保在氣象信息化推進過程中有效防范和化解網絡安全風險，推動實現網絡安全治理能力現代化，為氣象事業發展提供堅實的網絡安全保障。

[1]林潤輝，李大輝，謝宗曉，王興起.信息安全管理理論與實踐[M].北京：中國質檢出版社，2015.

[2]中國電子技術標準化研究院.信息安全管理體系理解與實踐[M].北京：中國質檢出版社，2017.

[3]謝宗曉.政府部門信息安全管理基本要求理解與實施[M].北京：中國質檢出版社，2014．

[4]郇林. 云計算環境下的計算機網絡安全問題分析[J].技術與市場,2017.

[5]謝宗曉.信息安全管理體系實施指南[M].北京：中國質檢出版社，2017.

[6]周世杰，藍天，傅翀，趙洋.信息安全標準與法律法規[M].北京：科學出版社，2012.

[7]姚相振，周睿康，范科峰.網絡安全標準體系研究[J].信息安全與通信保密，2015.

[8]陳珍成．信息安全管理體系審核指南[M]．北京：中國標準出版社，2006.

[9]張臻,孫寶云,李波洋.美國網絡安全應急管理體系及其啟示[J].情報雜志,2018.

[10]周小健，魯梁梁.大數據時代背景下計算機網絡安全防范應用與運行[J].網絡安全技術與應用，2017.