信息安全保密工作3篇
前言:本站為你精心整理了信息安全保密工作3篇范文,希望能為你的創作提供參考價值,我們的客服老師可以幫助你提供個性化的參考范文,歡迎咨詢。
網絡安全信息化工作1
隨著世界信息化的高速發展,網絡安全保密問題也日益突出,做好網絡安全保密意義重要、任務艱巨。本文將著力研究目前在網絡信息化時代信息安全保密工作中普遍存在的問題和對策,供相關讀者參考。
1信息安全的基本含義與現狀
1.1信息安全的概念
信息安全實質上是互聯網信息系統的安全性。從廣義上來講,信息安全就是指為了阻止未經許可的用戶存取計算機系統及其網絡資源和信息資料,而在計算機系統和網絡上的硬件和數據遭到意外或非法破壞、更改或泄漏之時。持續安全地正常工作,保持網絡服務不中斷。而狹義的信息安全則是對計算機和互聯網上信息在保存、傳遞和處理中的保密性、完整度、使用和有效控制的保障。
1.2影響信息安全的因素
影響信息安全的原因眾多,但大致來自兩方面。一是完全無意的人為錯誤。指由運營商安全策略選擇錯誤、使用者的安全意識缺失、密鑰選擇不當、賬號密碼錯誤或遺忘等而導致的安全漏洞,屬于此類。二是互聯網應用軟件遺漏和“后門”。互聯網應用軟件不是百分之一百完整或完美。而這種遺漏和缺陷,正是黑客們更愿意攻擊的。從宏觀上看,由于計算機科學的發展,人類經濟社會進入了信息時代發展,人類社會固有的經濟社會生產方式和生活方式也出現了巨大改變。經濟社會互聯網信息化,就是通過運用電子計算機和資源推動信息技術互動和知識資源共享,以提升社會國民經濟發展質量,從而推動人類經濟社會發展。以電子計算機和應用領域的發展為典型代表的收集、處理過程、傳遞和儲存方法也產生了本質的改變,資源共享和自主交換變成了信息時代發展的主要方面。黨的十五屆五中全會以來,把信息化工作提到了國家戰略的新高度。隨著工業化的蓬勃發展以及國家信息化建設的基本完成,我國也不斷走上了新型工業化道路。為促進國民經濟發展與社會信息化,促進改變國民經濟發展的方式,黨重新強調新時代信息化戰略。黨的十八大報告指出,全面推動工業化、信息化、新城鎮化與農村現代化建設共同加快發展,積極推進信息化與工業化建設相互促進和諧發展,將信息化目標作為全方位建設小康社會的戰略。
2信息安全保密工作新特點與新任務
2.1信息安全保密工作新變化
隨著我國國防和防御能力的提高,西方國家和敵對勢力大大加強了偵查和竊取我國機密的力度。違法行為給黨政軍機關帶來了新的挑戰,企業和事業單位的信息安全保密工作也呈現出新的特點。(1)前瞻性。在信息盜竊與防盜的較量中,病毒、循環木馬、跳板攻擊等新的黑客技術和手段不斷出現,成為頻繁泄密的主因。5G智能手機、云計算技術和產品等新型信息技術和信息產品的應用,也給信息數據的存儲帶來了新的安全隱患。(2)可擴展性。在當今的信息時代,網絡安全已不僅僅針對過去標記為絕密、隱私、機密的文檔、數據和文檔內容,還涉及行政秘密、商業秘密和個人信息等,其內涵與外延也出現了明顯改變。(3)滲透性。保密工作總是依附并滲入各類工作之中,保密工作和社會服務管理等工作不可分割。保密工作是其本身服務經營的客觀要求,但并非秘密機關施加于其他機關或部門的額外任務。這些依賴性和滲透性規定秘密操作應當同各項服務操作緊密聯系。(4)相關性。保密工作不是單一的任務,需要各部門的協調配合才能完成。例如,機密文件由于機密人員的流動、分發的分散、職責的分工等原因,在它們來來去去的過程中被接收、發送、傳播、復制、借用、存儲、存儲和歸檔。
2.2信息安全保密新任務
(1)管理任務日益繁重我國的改革開放現代化得到加強和加快,信息化發展速度迅速。因此,國家信息安全保密工具也開始由紙質媒介逐步發展為計算機媒介,采用了光信息、噪聲、電子等新形式和方法。獲取、收集、管理和傳播國家機密消息的設施從普通打字機、電話電腦等傳統設施升級換代了各種更現代化的計算機和網絡等工具,而泄露秘密的渠道也在不斷改變和擴大。各種媒體的綜合應用也增大了泄漏量,所儲存的大數據量也提高了風險,而相關問題的廣泛性也使危害越來越嚴重。(2)保密工作的要求越來越高幾年來,隨著網絡等現代信息技術的蓬勃發展,更加擴大了涉密管理對象的數量,也更加拓寬了范圍,對當前態勢下的涉密操作也提出了更高的要求。而互聯網信息時代的安全技術,不但涉及加密器、交換機、安全網關、路由器、防火墻等現代互聯網技術設備,還涉及網絡安全隔離卡、視頻干擾器等現代網絡安全保護技術設備,另外還有密鑰計算、網絡安全管理等專業。以及網絡安全的解決對策。換言之,保密科技已是現代信息技術的典型代表。也因此,更需要保密工作人員通過將電腦基礎知識和互聯網專業知識相結合,以及法律基礎知識和有關法規專業知識,逐漸形成懂法規、懂信息技術的普通人員。法制、科技、行政一體化是保密的新特征,保密工作機關要適時轉換角色,形成一個集法律咨詢、科技業務、保密業務管理于一身的綜合型機關。(3)信息安全保密難度越來越大過去,計算機網絡已成為外國敵對勢力和間接情報機構竊取機密、阻撓我們黨政機關活動的重要舞臺。由于我國計算機和網絡系統固有的安全性和保密性,我們所有的核心技術和硬件設備都是從美國進口的,外國對手和陰謀情報機構使用內置的木馬程序來掃描和嗅探端口或計算機,利用漏洞,采取非法訪問、黑客入侵、竊聽、病毒入侵、“后門”等手段竊取和下載我國機密和內幕信息。
3信息泄密的主要方式與信息安全保密工作存在問題
3.1信息泄露的主要途徑
在實際使用過程中,計算機網絡信息泄漏主要有二大類:一是因網絡安全漏洞造成的泄漏,二是信息介質或存儲設備泄漏。當然,也因為地震、失火、設備丟失等不可抗力,可能會引起個人信息泄漏。首先是基于網絡安全漏洞而造成的信息泄露問題。這也是現代網絡安全技術與保密管理措施解決的重點問題。在計算機遠程應用的過程中,人們利用通訊網絡進行互聯互通,在不同的操作系統間、不同數據傳輸距離、不同使用的目標條件之間,由互聯網黑客或者某些非法分子滲透到互聯網的每一環節,實施入侵,可能會造成大量信息泄漏。電腦成了一種真實的應用程序載體,很容易遭遇操作系統中安全漏洞、協議泄漏等的入侵,這也是犯罪分子常常利用的“進攻渠道”。而根據有關調查,在大型軟件中每一千至四千行源程序就會發生安全漏洞,當信息系統軟件連接通訊網絡時,就會變成不法分子實施遠程或遠程方式訪問的主要目標,對信息系統服務器的監視或威脅形成影響。另外,由于網絡安全漏洞會造成網上病毒、網絡攻擊等危害情況的出現,犯罪分子可能利用漏洞進入操作系統以及關鍵數據庫系統,進行盜取、損毀、修改個人信息。再次,信息介質儲存泄露問題一般是指U盤、移動電腦硬盤等移動儲存媒介在連接各種各樣的電腦上時,它們的安全性設計都可能會出現問題,比如出現非法復制和應用等。當前,由于無線網絡技術使用范圍的不斷擴大,無線網絡設備的信息泄露開始成為國家安全與保密管理的重點目標。通過WLAN接入的互聯網極易遭到遠程入侵和監控,關閉無線網絡并不能有效緩解這種問題。同時,無線鼠標、藍牙等電子設備和技術工具的使用,也是信息容易泄漏的一個渠道。
3.2信息安全保密的不足之處
(1)尚未完善的保密制度為有序開展信息安全保密工作,需要建立完善的信息安全保密制度,規范其行為,明確各項保密工作。從目前來看,信息安全保密制度不健全,保密分類不準確,保密落實不到位。(2)需要加強管理為消除國家秘密的薄弱環節,政府必須逐步加強秘密工作監督管理,秘密管理工作不僅包括硬件,還包括軟件,因此還必須控制軟件安裝。另外,保密領域的技術人員還缺乏全面的繼續教育和培訓。(3)保密性不夠強提高保密意識,加強宣傳和保密教育,是提高保密工作質量和效率的有效途徑。但是,在實際實踐中,仍有部分人的保密意識并不強,且負面警示教育很差,用戶雖然明白了什么才是安全規定,卻不明白為什么,很容易陷入癱瘓。如將涉密U盤與非涉密U盤混合在一起,所以沒有采取主動的防御保護措施以避免泄密。有的人員誤認為離自己很遙遠,從而耽誤了安全隱患,也忘記了“安全來自長期的重視,事故來自一時的麻痹”的警示。(4)泄露同類設備機密,不按需要使用電腦和網絡的使用必須按照要求進行操作,如果使用不當,很容易泄露。現階段使用異常的保密裝置、未按要求配置保密計算機、違反法律規定訪問網絡等公共信息網絡、使用非保密的移動存儲介質、使用無線設備等行為均易造成信息泄露。另外,非機密計算機存儲和處理機密信息,也容易造成信息泄露。(5)計算機感染病毒在使用計算機時,需要有很高的防病毒意識,以防止病毒進入和泄漏到系統中,但需要許多工作人員對此有所了解。對于U盤等移動設備,在處理接收到的數據時,不進行病毒檢測,或者計算機操作人員通過安裝、運行、查看、復制與工作無關的、未經許可從網上下載的帶有病毒的軟件、文件和照片等,均易使計算機感染病毒。
4做好信息安全保密工作的思路與對策
(1)增強信息安全保密意識由于大數據時代信息安全的復雜化與多樣化,為了確保網絡安全,首先需要增強公民的安全保密意識。上網的人需要保證自身的信息安全,尤其是在訪問和登錄不熟悉的網頁時,防范由非法網頁提供的病毒。二是政府部門應當強化安全監管措施,在安全區域內設置適當的管理機制,使信息管理更加高效可控,以防止海量數據的泄漏風險。(2)加大力度提高安全技術創新大數據分析科技的蓬勃發展,暴露了傳統網絡安全科技的短板,同時也促進和引導著安全保密科技的發展趨勢。大數據處理背景下的信息安全科技研發需要與物聯網、云計算等多種信息技術高度融合,因此研究與創新難度很大,但我們仍將不斷發展與壯大安全科技,使之能夠通過加大人力、物質和創新資源來滿足新科技的發展。(3)加強信息安全保密措施在技術創新的今天,國家應當增加必要的安全措施,以適應外界和國內的安全和保密需求(例如,使用更安全保密的系統和數據加密技術,以及安裝殺毒軟件和防火墻)。如可部署入侵檢測系統、網絡欺騙系統等安全設備和軟件產品等。(4)完善信息安全保密制度規章制度是管理工作的靈魂。一種合理的管理制度才能保障管理工作任務的高效執行。大數據發展勢頭迅速,不但要創新安全保密技術手段,更要建立健全立法體制。在處置非法請求的個人信息問題時,政府正在思考大數據個人信息保障與國家安全問題等。建立健全的法規機制能夠震懾某些不法分子,從而保障了大數據的安全性。
5結語
無論是對于一個國家,還是一個企業,信息安全都是非常重要的。信息安全和保密是事關國防和國家安全的國家事務的重要組成部分,事關國家根本利益。但是,信息泄漏率逐年上升,信息安全保密形勢十分嚴峻。因此,只有時刻提高保密意識,加強保密管理,積極尋找泄密隱患,制定切實可行的對策,從制度、安全措施和技術等方面做好保密工作,嚴防泄密,才能順利推進社會主義現代化建設。.
作者:吳保安 單位:廣州體育職業技術學院
網絡安全信息化工作2
中國在世界互聯網大會上貢獻的智慧方案、召開的網絡安全和信息化座談會,六個“加快”建設網絡強國,這些戰略布局,為網絡與信息化事業的發展提供了根本遵循,指明了網絡強國建設的前進方向。網絡安全和信息化是互補的,是不可分割的整體。安全是前提條件,信息化發展是不可或缺的重要保障。一直以來,西南石油大學堅持以網絡強國以及“立德樹人”等重要思想為根本遵循,全力培養能夠擔當起時代重任的新人,著力培養德智體美勞全面發展的社會主義建設者和接班人。這既是在能源時代背景下,西南石油大學人才培養的“必答題”,也是學校取得進一步突破的“必選項”。作為教育信息化工作者,我們要深入學習貫徹中央的精神,堅持把信息化建設同學校“立德樹人”任務相結合,把信息化建設目標任務分解并落實到日常工作中。落到細處和實處,以持續有力的手段大力推動信息化與人才培養、教育教學、科學科研、行政管理、文化傳承、社會服務等方面的深度結合,為全校師生提供方便智能的教育教學環境和舒適便利的生活環境,助推學校“雙一流”建設,助力學校實現高質量發展,努力推動教育信息化工作邁向新的更高的臺階。
一、牢記初心和使命,增強責任與擔當
眾所周知,中國共產黨人的初心和使命就是為中國人民謀幸福、為中華民族謀復興。教育信息化帶動教育現代化,是適應新時代的必然要求、是推動公共教育服務質量的必然選擇,將有利于貫徹落實教育大計,服務國家發展大局。網絡與信息化工作是高等學校教育的基礎性保障工作,作為高校信息化工作者的我們,既要主動積極去適應新時代的變化,同時更應該牢牢銘記共產黨員的身份,銘記時代的重任,銘記教育工作者的初心和使命,根據學校實際情況,緊密圍繞學校中心業務工作發展需要和師生的實際需求,充分利用信息化手段,為學校提供信息化支撐,努力提升信息化服務的發展水平。同時,結合黨史學習教育,全心全意致力于以信息化推進服務師生的“最后一公里”,充分運用互聯網思維,讓信息化成果更好地服務于師生的需求,為高水平大學建設提供重要的支撐與保障。
二、確保紅色精神代代相傳
作為教育信息化工作者,我們要始終牢記“立德樹人”的使命,將“立德樹人”使命貫穿于教育信息化工作的各方面、各層次、全過程。所謂“立德”,就是要教育和培養學生形成正確的價值觀,扣好人生的第一粒扣子,堅定理想信念。所謂“樹人”,就是培養能夠擔當起中國特色社會主義重任的建設者和接班人。在新時代背景下,培養德智體美勞全面發展的社會主義建設者和接班人是高校的責任和使命,同時也是衡量人才培養質量的根本標準。1998年6月,西南石油大學網絡與信息化中心成立,是學校網絡和信息化工作的重要業務部門,同時也是 “雙一流”建設的保障部門。其業務范圍包括:信息化基礎設施建設、教學信息化規劃建設、信息系統與數據服務等,是學校教學科研、管理服務的重要保障平臺。在發揮信息化領域優勢的同時,網絡與信息化中心黨總支格外注重黨建建設,堅持以改革創新作為根本動力,將學習教育作為支部思想建設的首要任務,把竭誠為全校師生服務作為根本理念,提升全體職工信息服務能力作為關鍵環節,把師生的滿意度作為檢驗服務性黨組織的標準。秉承“創新、和諧、進步、服務”的理念,全力以赴為全校師生提供周到的服務。網絡與信息化中心黨總支組織開展了各種活動,例如:“英雄故事革命精神”“紅色偉業青春夢想”專題讀書會、“禮贊百年共襄復興”“學黨史守初心廉政警示知敬畏”“學習十九屆六中全會精神”專題學習研討會;在網絡與信息化中心官方網站平臺開設“支部動態”“學習園地”專欄,以豐富的紅色資源為載體,大力弘揚紅色精神,致力于培養師生的政治認同以及情感認同,讓紅色精神代代傳承。同時,我們教育信息化工作者更要以中國共產黨成立100周年會議精神為指導,繼續做好傳承國家意志與民族文化的專業支撐,為更好地貫徹國家的教育方針貢獻自己的力量。
三、重視信息技術的普及
網絡與信息化中心以黨史教育為契機,以全心全意為師生服務為根本宗旨,結合自身工作業務特色,努力為師生做好事、辦實事、解難題,不斷增強師生獲得感、幸福感、安全感,為學校網絡安全和信息化應用持續發展凝聚共識、匯聚力量。1.網絡安全方面。一是根據西南石油大學的實際情況和網絡安全責任制的要求,從技術防護、運營與維護、后期保障服務等多方面層層部署落實。出臺《西南石油大學網絡安全管理辦法》《西南石油大學信息化管理辦法(試行)》《西南石油大學信息化管理辦法》,落細落實高校網絡安全責任制;二是通過“物防+技防+人防”手段,保障學校的網絡系統、用戶端、服務器等正常運行;三是不斷優化技術手段,實行重要時段24小時安全值守,開展形式多樣的安全宣傳,確保無重大責任事故發生。2.信息化應用方面。一是為了滿足管理服務、教學科研等方面的需求,提升學校教師和其他工作人員的工作效率。無線網絡覆蓋學校所有教室,網絡速度成倍提升,滿足了師生對網絡的需求;二是針對長期困擾教師的辦事慢、效率低、流程繁瑣、流程多等痛點、苦點、難點、堵點問題,專門打造開設服務門戶,開通了教務系統、科研系統、人事系統、財務系統、郵件系統、辦公系統、一卡通服務等學校各個業務系統平臺的通道,為全校師生用戶提供一個統一的信息服務入口。同時還開通了辦事大廳,為教師、學生、訪客提供包括黨政、人事、科研、教學、財務、生活等多達304個事項服務,讓高校師生辦理工作變得更加簡單、更加通暢,大力提升了辦事服務的“速度”和“溫度”;三是依托于先進的移動互聯網技術,開發了課程中心,打造了學習通APP,讓學生能夠不受時間和空間的限制,在任何時間、任何地點都能夠學習,讓學生能夠體驗到信息技術帶來的高效與快捷。網信中心信息技術化手段的有效運用,為師生校園生活奠定了堅實的基礎,為打造有深度、有溫度、有態度的智慧校園貢獻力量。四、講好西南石油故事2020年暴發的新冠肺炎疫情擾亂了人們正常的生產生活秩序,同時給教育事業帶來了一定的影響。網絡與信息化中心積極響應貫徹教育部“停課不停學”號召,迎難而上,充分發揮網絡信息化業務優勢,擔負起“講好”石油故事的責任和使命。網絡與信息化中心充分利用一切可用資源,做好網絡教學的信息化服務保障,面向南充校區、學校各個學院、各個教學單位提供了24輪教師在線教學直播培訓,對教師在教學直播過程中使用的方式方法進行了培訓,對常見的問題分門別類進行耐心解答,教學直播培訓受益人次多達2500余人。本次教學的網絡保障工作要求高、數量大、場地散。為保障新冠肺炎疫情期間學校教學的正常運行,使教師按照正常的教學計劃開展教學,使學生在緊急關頭不掉隊,網絡與信息化中心及時同研究生院、教師教學發展中心、教務處進行溝通和交流,及時了解和掌握教師的課時安排和計劃。同學校的職能部門提前進行了溝通和交流,了解辦公服務等需求;通過詳細了解,制訂《關于線上教學和在線辦公保障服務的通知》,為西南石油大學提供了強有力的信息技術支撐保障服務。疫情期間,做好如下幾步工作:一是全力配合疫情防控的開展,全力以赴確保線上教學順利進行,在最短的時間內開發了支持在線教學的網站,為西南石油大學的師生提供了精準優質、快捷方便的服務。中心全體人員協作高質量完成新增線上工作任務,開發線上教材登記系統,進行了共計27場2500余人次參加的教師線上教學培訓,中心技術人員隨時在線,為教師們授課當中遇到的問題提供技術支持,解決了線上教學難等一系列問題。為了深入幫助各個學院,網絡與信息化中心通過網格化服務的方式深入各學院進行一對一研招復試技術保障,現場值守40余場次。承擔各級各類視頻會議、網上答辯等50余場次。二是持續推進信息化建設,教學資源建設再獲佳績。網絡安全能力不斷增強。完善數據填報系統分權管理及年度匯總功能,擴充職稱數據收集功能,論文專利信息全面實行自動收集;實現新生物品在線選購和認證智能核驗,站群系統完成升級改造。依靠自身力量,完成88個網上辦事事項的移動版制作,使師生通過手機辦理網上事務成為可能。建成虛擬校園卡系統和基于校園卡的人臉識別系統,教職工食堂實現人臉識別消費。錄制課程30門,協助石工院成功申報國家級虛擬仿真實驗項目,協助完成了33門省級“金課”申報,中心自制資源獲得全國高校教師創新大賽3D/VR/AR賽項一等獎。三是對部分多媒體教室、服務器機房等基礎設施進行了改造完善。按時完成IPV6部署,網絡速度、延時、系統監測均得到優化提升。以制度為抓手,不斷優化技術手段,重要時段24小時安全值守,開展形式多樣的安全宣傳,確保全年無重大責任事故發生。四是依托國家教育資源公共服務體系,與中國大學慕課平臺,學堂在線等平臺合作,學生可以在這些平臺里面自主選擇豐富的課程資源,即使在偏遠的地區,也可以享受教育資源,從而達到優質教育資源共享,實現教育公平的愿景。同時,網絡與信息化中心還門要堅持“嚴”的主基調,真抓真管正風肅紀,推動黨委主體責任、紀委監督責任、黨委書記第一責任人責任、班子成員“一崗雙責”的統一和聯動。高校黨委要強化監督考核,確保各單位、部門及領導干部切實履行主體責任,形成從嚴治黨層層推進、不正之風有效遏制的良好校園氛圍。
(三)提升隊伍建設。“四種形態”要想發揮實效,離不開敢擔當、善作為的黨員領導干部及立場堅定、素質過硬的紀檢監察隊伍。高校應當多措并舉,有針對性地加強對干部的教育培養,對一些干部不愿不善使用“第一種形態”的問題,要組織加強政治理論學習,牢固樹立權責意識;對“第二種形態”使用不準的問題,要通過參加專門培訓或高校間橫向交流等方法,督促相關單位、部門深入學習執紀要求,精準把握量紀尺度;對“第三、四種形態”使用經驗不足的問題,可以安排紀檢監察隊伍中精兵強將參加屬地所在省、市專案辦理,掌握審查調查要求技巧,結合高校實際內化提煉,不斷提高執紀執法的規范化水平。(四)加強宣傳引導。在調研中發現,有的黨員領導干部出于“保護”下屬同志的目的而不愿意使用“四種形態”;有的領導干部抹不開面子,不想使用“四種形態”;還有的領導干部不重視“四種形態”的運用,存在形式主義和官僚主義思想。針對以上問題,高校黨委必須加強教育引導,堅決抵制糾正這些錯誤思想,必須使各級黨員領導干部認識到,“四種形態”的初衷不是懲戒,而是懲前毖后、治病救人,是為了嚴肅規矩紀律,持續推進正風肅紀。只有精準運用“四種形態”,才是對下屬同志真正的愛護,才是對承擔的責任義務的正確履行,才是對黨和師生賦予權力的積極回饋。
作者:黃月 張桂力 余英龍 單位:西南石油大學網絡與信息化中心
網絡安全信息化工作3
0引言
近年來,云計算、大數據、物聯網、移動互聯網等信息技術不斷從互聯網領域向傳統行業滲透和融合,促進了傳統行業的信息化轉型和經濟發展,并推進了智慧社會的建設。2022年3月5日,《政府工作報告》指出:“促進數字經濟發展。加強數字中國建設整體布局。建設數字信息基礎設施。”水利信息化平臺是國家關鍵信息基礎設施之一,水利信息系統的安全關乎國計民生,一旦水利信息系統中關鍵業務應用被攻擊破壞,重要業務數據遭到竊取或篡改,就可能存在嚴重危害國家經濟安全和社會公共利益的風險。水利信息化平臺的網絡安全是國家網絡安全的重要組成部分。2017年6月1日《中華人民共和國網絡安全法》正式施行,該法第三十一條明確規定:“國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護。”本文主要對水利信息化平臺的網絡安全現狀和系統基礎設施進行分析,討論可能影響水利信息化平臺正常持續運行的因素,再結合當前主流的網絡安全技術,對水利信息化平臺的安全防護政策和方案進行分析,搭建水利網絡與信息安全體系總框架[1]。
1水利信息化平臺的網絡安全現狀
目前,水利信息化平臺以建設智慧水利為目標,依托水利網絡安全建設專項、國家水資源監控能力建設、國家防汛抗旱指揮系統等重大工程,積極探索新型信息技術在水利信息化領域的應用,水利信息系統的技術框架、安全管理水平、風險管控等有了大幅提升,安全意識明顯增強。網絡安全工作基本可保障水利信息化建設健康發展。然而,根據每年水利部開展的網絡安全檢查以及國家有關部門向水利部通報的網絡安全事件等,水利信息化平臺仍然存在不少薄弱環節需要加固,水利網絡安全現狀需做出提升[2]。目前存在的主要問題有4點。
1.1安全防護措施不嚴密安全防護措施不嚴密包括以下幾點:不少水利體系單位存在單點故障的隱患,未做冗余備份;安全審計系統部署不足,無法有效對用戶行為、主機及業務系統進行審計;將防火墻作為唯一的安全措施,但常用的防火墻中存在高危漏洞,一旦漏洞被利用,攻擊者就會獲得遠程攻擊水利系統的能力,這時防火墻幾乎完全沒有防御能力;機房未對關鍵設備進行電磁屏蔽。
1.2安全建設管理不完善安全建設管理不完善包括以下幾點:水利信息化平臺中各軟件系統,在交付前未對開發單位提供的源代碼是否存在惡意代碼做人工審查或使用第三方檢查工具檢測,驗收時開發單位未提供軟件設計文檔和使用指南以供后續系統維護使用;未對軟件后門、隱蔽信道等進行檢測,未對外包開發的軟件嚴格執行代碼審查,未全面審查源代碼中可能存在的后門;軟件系統上線前未進行安全性測試,如未按照國家密碼局印發的有關規定執行密碼應用安全性評估。1.3安全運維管理不健全不少水利體系單位未定期對軟件系統進行漏洞掃描、惡意代碼檢測,并未保存檢測記錄,未更新漏洞補丁[3]。1.4安全執行策略不一致目前,各水利體系單位水利信息化發展水平各有不同,在安全策略制定方面更是難以統一,沒有完整的管理體系,很難實現全局的一致性,導致應急響應機制不完善。
2水利信息化平臺網絡安全防護對策
基于水利信息化平臺面臨的網絡安全現狀,為應對水利信息化平臺中存在的網絡安全威脅,完善網絡安全保障體系建設,考慮從非核心控制類信息資產安全加固、水利信息化平臺網絡安全防護機制、數據安全治理、安全管理制度及人員意識培養等方面進行提升和改進。
2.1水利信息化平臺網絡安全防護體系針對水利信息化平臺存在的安全威脅,為提升水利信息化平臺的網絡安全防護機制,完善網絡安全保障體系,健全網絡安全管理制度,采用新技術、新應用,在原有網絡安全等級保護的基礎進行密碼保障系統建設,繼續開展網絡安全等級保護備案與測評、關鍵信息基礎設施安全保護,同時開展密碼應用安全性評估工作。水利信息化平臺網絡安全防護體系如圖1所示。為應對新的網絡安全態勢,同時滿足新技術的要求,將基于商用密碼的安全防護技術、更細粒度的訪問控制、對病毒的防范3個維度提高水利信息化平臺的安全防護能力。
2.1.1基于商用密碼的安全防護技術2020年1月1日,《中華人民共和國密碼法》(以下簡稱《密碼法》)正式實施。《密碼法》指出,商用密碼用于保護不屬于國家秘密的信息,公民、法人和其他組織可以依法使用商用密碼保護網絡與信息安全。密碼技術可以實現防假冒、防篡改、防泄密、抗抵賴等功能,是國家核心技術的3大“殺手锏”之一。商用密碼在維護國家安全、促進經濟社會發展、保護人民群眾利益方面發揮著重要的作用。電信、電力、能源、金融以及交通等多個國家關鍵信息基礎設施,都大量使用商用密碼實現網絡及信息的加密保護和安全認證。隨著以數據為核心的數字經濟成為經濟發展的新動力,數據安全上升到國家主權的高度,商用密碼作為數據安全防護的核心技術和基礎支持,用于布局國家信息化發展戰略及國家大數據戰略。商用密碼是網絡信任體系的重要基石,是保障網絡與信息安全最有效、最可靠、最經濟的關鍵核心技術。《網絡安全法》《密碼法》《數據安全法》《個人信息保護法》以及《關鍵信息基礎設施安全保護條例》等法律法規均提出,對于一些關系國家安全、經濟發展、社會穩定的重要網絡和信息系統,必須使用商用密碼技術構建一個安全、有效的密碼保障系統,用于有效抵御有組織、有目的的網絡攻擊,有效地保護數據的機密性、完整性,保證訪問用戶的身份真實性和行為的不可否認性。水利信息化平臺安全防護的重中之重是保護水利系統中的重要數據不被泄露。因此,在水利信息化平臺中需建設以水利部為根的密鑰管理體系,部署基于商用密碼的縱向加密認證系統,充分利用密碼技術,確保重要業務數據的存儲安全、動態傳輸安全,以此增強關鍵信息基礎設施和重要數據防護能力。2021年10月1日,《信息安全技術信息系統密碼應用基本要求》(GB/T39786—2021)正式實施。該標準是指導我國商用密碼應用與安全性評估工作開展的綱領性、框架性標準,從物理和環境安全、網絡和通信安全、設備和計算安全以及應用和數據安全4個方面提出了密碼應用技術要求,從管理制度、人員管理、建設運行和應急處置4個方面提出了密碼應用管理要求[4]。
2.1.2對病毒的防范計算機病毒會破壞計算機信息或系統作用,是在信息化技術發展過程中不得不重視的問題。一旦水利信息系統遭到病毒入侵,就會給用戶帶來極大損失,影響水資源監控、取水用戶用水、防汛抗旱等業務正常運轉。對病毒的防范是水利信息化平臺安全防護需要重點關注的內容之一,建議從以下幾個方面著手:一是對水利信息化平臺中的數據資產進行分類分級管理;二是針對重要數據建立備份機制;三是定期開展病毒查殺、漏洞掃描并關閉不必要端口;四是對水利信息化平臺中的重要資產定期盤點并開展風險評估。
2.1.3更健全的訪問控制在水利工程方面,從物理接入、第三方實體管控角度,依托密碼技術對系統身份鑒別進行安全保護,從數據流轉角度的建立覆蓋終端、網絡和業務層面的訪問控制能力[5]。在水文水資源監測預警中心,融合密碼技術和網絡安全技術,實現物聯網身份標識和認證、數據和控制指令安全保護、運行和通信狀態監測、漏洞利用和網絡攻擊監測以及主動安全防御5大能力,打造物聯網安全綜合管理系統[6]。
2.2安全管理制度及人才培養水利信息化平臺應在統一安全策略的指導下,以主動防御、積極防范、科學管控的原則,將技術手段、管理制度相結合,逐步完善水利信息化平臺安全保障體系,促進水利信息化的健康有序發展[7]。
2.2.1完善安全管理制度結合當前安全建設管理不完善、安全運維管理不健全、安全執行策略不一致的現狀,有針對性地完善安全組織管理體系,成立專門的運行管理組織,負責信息系統的運行維護和安全管理工作,配備專門的運行維護和管理人員,建立職責分工明晰、運轉效率高效的安全管理機構[8]。根據《信息安全技術網絡安全等級保護基本要求》(GB/T22239—2019)的管理要求,制定通用的安全管理制度,同時根據密碼應用的基本要求,制定密碼應用安全管理制度和密鑰管理規則、建立操作規程、定期修訂安全管理制度、明確管理制度發布流程以及制度執行過程記錄存檔[9]。
2.2.2加強人才培養進一步貫徹落實《中華人民共和國密碼法》,重視密碼技術在網絡安全防護中發揮的基礎支撐作用。依據GB/T39786—2021中的人員管理要求管理,使相關人員了解并遵守密碼相關法律法規和密碼管理制度,建立密碼應用崗位責任制度,建立上崗人員培訓制度,定期進行安全崗位人員考核,建立關鍵崗位人員保密制度和調離制度。
3結語
將網絡安全等級保護與商用密碼應用及安全性評估制度相結合,不但在技術層面注重水平及方案的改進與提升,而且主要管理制度的完善,著力培養相關參與人員的網絡安全意識,技術與管理兩手抓,打造堅實的水利信息化平臺網絡安全保障體系。在網絡安全與信息安全資源整合過程中,堅持采用自主安全可控的技術、產品及服務,堅持內生安全優先的原則選擇技術、產品及服務。
參考文獻
[1]詹全忠,陳嵐.淺談水利網絡與信息安全體系[J].水利信息化,2010(5):31-33.
[2]王嵐,谷金鈺.水利信息化發展綜述[J].水利建設與管理,2018,38(10):33-36.
[3]蘇秀峰,黃慧,卜凡靜.基層水利安全信息化研究分析[J].水資源開發與管理,2022,8(3):70-76.
[4]國家市場監督管理總局,國家標準化管理委員會.信息安全技術信息系統密碼應用基本要求:GB/T39786—2021[S].北京:中國標準出版社,2021.
[5]曾凡麗,富春巖.水利信息化平臺計算環境的設計[J].黑龍江水利科技,2011,39(3):72-73.
作者:莊磊 李瑩 葛召華 單位:山東省水利廳
