水利网络与信息安全资源整合共享探讨
2014-02-10詹全忠
詹全忠
(水利部水利信息中心,北京 100053)
水利网络与信息安全资源整合共享探讨
詹全忠
(水利部水利信息中心,北京 100053)
阐述水利网络与信息安全建设中缺乏整体性、各自为战等突出问题,分析新形势下水利网络与信息安全资源整合共享的必要性,提出水利网络与信息安全体系总体框架和资源整合共享框架,在此基础上探讨水利网络与信息安全资源整合共享的原则、内容及方式。
水利;网络与信息安全;资源整合;共享
0 引言
伴随信息化发展进入新阶段,我国网络与信息安全也面临着全新的任务和挑战。2014 年,国家成立中央网络安全和信息化领导小组,习近平总书记作为领导小组组长,在工作会议中指出“没有网络安全就没有国家安全”、“网络安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施”,确定了国家网络安全和信息化发展的方向。
水利网络与信息安全体系建设经过长期的建设积累和发展,取得了长足的进步,网络与信息安全防护能力有了较大提升,特别是“十二五”以来,安全体系建设进展迅速,水利网络与信息安全体系初具规模,为水利信息化发展提供了安全保障。
但是水利网络与信息安全建设缺乏整体性,各自为战的问题比较普遍。各信息化项目、系统均考虑网络与信息安全方面的建设内容,但是由于任务来源、体制机制等原因,相互之间缺乏统筹协调,造成一方面一些安全措施特别是防火墙等基础性安全防护设施重复建设现象严重;另一方面,一些深层次的安全防护措施缺乏,缺项漏项较多,形成一些安全短板。水利网络与信息安全建设不平衡、措施不全面、策略不一致、管理体系不健全等问题,制约了水利信息化的健康发展[3]。
当前网络与信息安全形势日趋严峻,各类信息安全威胁日益演进和变化,网络安全问题突出,需要加强网络与信息安全资源整合和共享,充分整合利用各方面资源,形成完整统一的网络与信息安全体系,全面整体提升网络与信息安全保障能力。
1 总体架构
1.1 水利网络与信息安全体系总体框架
开展水利网络与信息安全资源整合共享,首先需要梳理水利网络与信息安全体系总体框架,基于总体框架有针对性地进行资源整合共享。网络与信息安全不仅仅是技术问题,更是管理问题,是在统一安全策略指引下的管理与技术的融合。水利网络与信息安全体系是以水利网络与信息安全总体方针为指引,以标准规范和人才培养为保障,以统一安全策略下的管理体系和技术能力为手段,以基础网络和信息系统为保护对象的有机整体,总体框架如图1 所示。
1.2 水利网络与信息安全资源整合共享框架
根据水利网络与信息安全体系总体框架,水利网络与信息安全资源整合的重点是建立统一的安全策略体系,在统一安全策略下构建统一的安全管理和技术防护体系。通过统一安全策略,将安全方针、政策、思路、要求等贯穿到网络与信息安全工作的方方面面;通过统一安全管理、防护,从管理、技术 2 方面落实统一安全策略,并将二者有机结合在一起。
水利与信息安全资源整合共享框架如图2 所示。
图1 水利网络与信息安全体系总体框架图
图2 水利网络与信息安全资源整合共享框架图
1.3 水利网络与信息安全资源整合共享原则
在水利网络与信息安全资源整合共享工作中应坚持以下基本原则:
1)统筹规划、分步实施。水利网络与信息安全资源整合共享涉及面非常广,不可能一蹴而就,要逐步推进,因此需要从全局角度进行全面规划,根据总体规划有重点、分层次、有步骤地实施。
2)策略先行、管技并举。开展水利网络与信息安全资源整合工作,首先要明确安全目标要求,即制定安全策略,在安全策略指引下,从安全管理和技术 2 方面落实安全要求,确保安全目标的实现。“重技轻管”、“重管轻技”或“管技两张皮”等做法均不能有效保障网络与信息安全,片面地强调安全技术而不重视有效的管理,技术难以发挥效用;片面地强调安全管理而无技术支撑,管理苍白无力。
3)充分利旧、适当补充。经过多年发展,各单位已积累丰富的水利网络与信息安全资源,需要充分考虑这些资源的合理利用,在此基础上,根据总体规划进行必要的补充和完善,不得借机全盘推翻、另起炉灶。
4)自主可控、安全优先。网络与信息安全是信息化发展的保障,更要重视自身的安全,在水利网络与信息安全资源整合共享中要坚持采用自主可控的产品、技术,在安全与功能、性能等其他要素发生矛盾时,坚持安全优先的原则选择产品、技术。
2 整合共享主要内容
2.1 统一安全策略
安全策略是所有网络与信息安全活动的方针和指南。水利网络与信息安全资源整合,首要进行的是安全策略整合。水利部基于国家对信息安全的要求及水利行业特点制定水利网络与信息安全总体策略,提出总体安全目标、原则、要求;各流域机构、省级水利部门根据总体策略及各自实际,细化总体策略,制定本流域、本省的区域网络与信息安全策略;跨区域的信息系统(如国家防汛抗旱指挥系统、国家水资源管理系统等)可制定该系统个性化的专项安全策略,但是不得与总体安全策略及同级区域安全策略矛盾;各单位可在总体、区域安全策略的基础上细化本单位安全策略,但是需要注意与专项安全策略的协调。水利网络与信息安全策略体系如图3 所示。
图3 水利网络与信息安全策略体系示意图
通过安全策略整合,形成上下贯通、左右协调的安全策略体系。各单位和项目在网络与信息安全规划、设计、建设、运行管理中共享该安全策略体系,依据统一的安全策略体系要求完善安全管理和技术防护,形成一致的安全保障能力。水利部网络与信息安全领导小组办公室正在组织开展水利网络与信息安全总体策略、水利部网络与信息安全策略的修订和完善,国家水资源监控能力建设项目正在开展国家水资源监控系统网络与信息安全策略的编制,这些安全策略出台后将有力推进水利网络与信息安全策略体系建设。
2.2 统一安全管理
网络与信息安全管理体系包括网络与信息安全建设管理、运行监控、应急响应和监督检查等体系,本质上是安全管理组织与制度的结合,安全管理整合就是在统一安全策略指导下进行安全组织和制度的整合。
各单位加强网络与信息安全组织建设,建立统一的网络与信息安全领导协调和工作机构,水利部网络与信息安全领导小组及其办公室负责水利行业网络与信息安全工作的指导、监督和检查,各流域机构、省级水行政主管部门信息安全主管机构,负责本流域和地区水利网络与信息安全工作的组织和监督检查;各单位设立统一的工作机构,负责本单位网络与信息安全管理工作;各重要信息系统主管单位设立安全专岗,配合工作机构具体负责本信息系统的安全管理。安全管理组织体系如图4 所示。通过安全组织体系建设和整合,落实安全责任,形成统一、高效的网络与信息安全管理和技术队伍,统筹开展网络与信息安全各项工作。
与此同时,各单位按照国家相关信息安全政策法规,依据水利信息化发展的实际情况和需求,建立包括工作制度、流程、规范和操作规程等在内的完善的安全管理制度体系,涵盖网络与信息安全建设管理、运行管理、应急响应和监督检查等各项工作。
通过安全组织和制度体系建设,形成高效的网络与信息安全建设管理、运行监控、应急响应和监督检查等机制,各单位、信息系统利用统一的安全组织体系,遵照统一的安全制度体系开展工作,使各单位、信息系统的网络与信息安全管理具有统一水平,避免局部的管理漏洞,整体提升各单位网络与信息安全管理水平。水利部机关通过等级保护整改项目完成了安全管理组织机构及制度的整合共享,成立了由水利部网络与信息安全领导小组、领导小组办公室为领导协调机构,水利部水利信息中心为工作机构,各业务系统主管部门参与的安全管理组织体系;在现有制度的基础上,补充、完善水利部本级政务外网安全管理制度,形成水利部政务外网管理制度汇编,细化、完善水利部信息系统操作规范形成技术手册,细化和完善了相关管理流程和表单,构成了由信息安全方针、安全管理制度、安全技术规范和流程及表单组成四级信息安全管理制度体系[4]。
图4 水利网络与信息安全组织体系示意图
2.3 统一安全防护
安全技术防护整合是在统一安全策略下,依托各单位业务网信息系统安全等级、政务内网分级保护改造等项目,充分利用国家防汛抗旱指挥系统一期工程、第一次全国水利普查等项目已建的安全防护设施,并充分考虑正在建设的国家防汛抗旱指挥系统二期工程、国家水资源监控能力建设等项目配置的安全防护设施,同时采用查遗补漏、优化改进、不断完善并结合实际情况的动态变化补充一些必要的安全防护设施,依据水利网络与信息安全“两网三区四级”的技术框架和分区、分域防护的安全策略[2],从物理、网络、主机、应用和数据等安全方面构建统一的安全技术防护架构,建立纵深防御机制,形成系统化、结构化和层次化的安全防护体系。实现在同一节点下,共用 1 套安全防护措施(可以根据安全防护等级不同分为统一管理下的不同安全区),为各信息系统提供统一的安全预警、安全保护、安全恢复和评估等能力,保障信息系统安全。水利网络与信息安全“两网三区四级”的技术框架如图5 所示。
图5 水利网络与信息安全技术框架示意图
通过安全预警能力建设,实现对信息系统安全状态的全面监测和信息收集分析,对可能出现的安全问题进行预判,并在发现问题时主动预警,以便及时制定应对方案,避免安全事件的发生;通过安全保护能力建设,增强信息系统抵御内部、外部恶意攻击的能力,避免和减少因安全威胁而导致信息系统发生功能受损、性能受限,数据发生丢失、泄露等安全事件;通过安全恢复能力建设,实现关键设备、系统、数据的冗余备份,保障信息系统在发生安全事件时,能及时恢复数据和业务服务,从而减少安全事件造成的损失;通过安全评估能力建设,分析信息系统自身存在的脆弱性及面临的外部安全威胁,结合信息系统的重要性,分析系统面临的风险,从而有针对性地采取措施,增强安全保护能力。
通过安全技术防护整合,各单位各信息系统共享公用的、统一的安全防护框架(安全区域边界、安全通信网络、容灾备份等基础安全防护服务),再加上业务应用自身的安全功能(应用自身实现的权限控制等安全功能,及利用应用支撑平台提供的身份认证、日志审计等应用安全服务实现的安全功能[1]),使各信息系统具备统一的安全防护能力,将由分散的安全防护升级为集中的安全防护体系,避免由于防护不统一造成信息泄露和网络攻击破坏。各信息系统根据业务特点,可以在此基础上补充专用或增强型技术防护措施,但是补充的技术防护措施也应纳入统一安全管理。水利部机关通过等级保护整改项目完成了部机关安全技术防护框架整合共享,按照“一个中心,三重防御”的架构,构建了包括网络接入区、业务应用区(根据安全要求分多个子区)、终端区和核心交换区及安全管理区等统一的安全防护区域,为各业务提供统一的安全防护[4]。
3 结语
水利网络与信息安全资源整合共享涉及范围广、环节多,协调难度大,需要各方长期、不懈的努力。2014 年 2 月 27 日中央网络安全和信息化领导小组成立后,网络安全上升为国家战略的高度,各单位对网络与信息安全的重视程度空前提高,所以要抓住机遇,根据水利信息资源整合共享的统一部署,抓紧开展水利网络与信息安全资源整和共享,切实推进水利网络安全和信息化同步发展。
[1] 蔡阳.国家防汛抗旱指挥系统技术丛书:应用支撑与数据汇集平台[M].北京:中国水利水电出版社,2012: 90-94.
[2] 詹全忠.水利部出台《水利网络与信息安全体系基本技术要求》[J].信息网络安全,2010 (6): 86.
[3] 詹全忠,陈岚.浅谈水利网络与信息安全体系[J].水利信息化,2010 (10): 32.
[4] 詹全忠,陈岚.水利部本级信息系统安全等级保护整改设计[J].信息网络安全,2012 (2): 85-86.
Discuss on Resource Integration and Sharing Water Resources Network and Information Security
ZHAN Quanzhong
(Water Resources Information Center, the Ministry of Water Resources, Beijing 100053, China)
This paper describes the extraordinary problems such as lack of integrality, the fragmentation of water resources network and information safety construction, analyzes the necessity of integration and sharing of water resources network and information security resources, raises the general framework of water resources network and information security system and sharing framework of resources integration, discusses the principle, content and mode about the integration and sharing.
water resources; network and information security; resources integration; sharing
TP393.08;TP39
A
1674-9405(2014)06-0022-05
2014-12-01
詹全忠(1974-),男,湖北大治人,教授级高工,主要研究方向:网络与信息安全。