信息安全保密工作3篇
前言:本站为你精心整理了信息安全保密工作3篇范文,希望能为你的创作提供参考价值,我们的客服老师可以帮助你提供个性化的参考范文,欢迎咨询。
网络安全信息化工作1
随着世界信息化的高速发展,网络安全保密问题也日益突出,做好网络安全保密意义重要、任务艰巨。本文将着力研究目前在网络信息化时代信息安全保密工作中普遍存在的问题和对策,供相关读者参考。
1信息安全的基本含义与现状
1.1信息安全的概念
信息安全实质上是互联网信息系统的安全性。从广义上来讲,信息安全就是指为了阻止未经许可的用户存取计算机系统及其网络资源和信息资料,而在计算机系统和网络上的硬件和数据遭到意外或非法破坏、更改或泄漏之时。持续安全地正常工作,保持网络服务不中断。而狭义的信息安全则是对计算机和互联网上信息在保存、传递和处理中的保密性、完整度、使用和有效控制的保障。
1.2影响信息安全的因素
影响信息安全的原因众多,但大致来自两方面。一是完全无意的人为错误。指由运营商安全策略选择错误、使用者的安全意识缺失、密钥选择不当、账号密码错误或遗忘等而导致的安全漏洞,属于此类。二是互联网应用软件遗漏和“后门”。互联网应用软件不是百分之一百完整或完美。而这种遗漏和缺陷,正是黑客们更愿意攻击的。从宏观上看,由于计算机科学的发展,人类经济社会进入了信息时代发展,人类社会固有的经济社会生产方式和生活方式也出现了巨大改变。经济社会互联网信息化,就是通过运用电子计算机和资源推动信息技术互动和知识资源共享,以提升社会国民经济发展质量,从而推动人类经济社会发展。以电子计算机和应用领域的发展为典型代表的收集、处理过程、传递和储存方法也产生了本质的改变,资源共享和自主交换变成了信息时代发展的主要方面。党的十五届五中全会以来,把信息化工作提到了国家战略的新高度。随着工业化的蓬勃发展以及国家信息化建设的基本完成,我国也不断走上了新型工业化道路。为促进国民经济发展与社会信息化,促进改变国民经济发展的方式,党重新强调新时代信息化战略。党的十八大报告指出,全面推动工业化、信息化、新城镇化与农村现代化建设共同加快发展,积极推进信息化与工业化建设相互促进和谐发展,将信息化目标作为全方位建设小康社会的战略。
2信息安全保密工作新特点与新任务
2.1信息安全保密工作新变化
随着我国国防和防御能力的提高,西方国家和敌对势力大大加强了侦查和窃取我国机密的力度。违法行为给党政军机关带来了新的挑战,企业和事业单位的信息安全保密工作也呈现出新的特点。(1)前瞻性。在信息盗窃与防盗的较量中,病毒、循环木马、跳板攻击等新的黑客技术和手段不断出现,成为频繁泄密的主因。5G智能手机、云计算技术和产品等新型信息技术和信息产品的应用,也给信息数据的存储带来了新的安全隐患。(2)可扩展性。在当今的信息时代,网络安全已不仅仅针对过去标记为绝密、隐私、机密的文档、数据和文档内容,还涉及行政秘密、商业秘密和个人信息等,其内涵与外延也出现了明显改变。(3)渗透性。保密工作总是依附并渗入各类工作之中,保密工作和社会服务管理等工作不可分割。保密工作是其本身服务经营的客观要求,但并非秘密机关施加于其他机关或部门的额外任务。这些依赖性和渗透性规定秘密操作应当同各项服务操作紧密联系。(4)相关性。保密工作不是单一的任务,需要各部门的协调配合才能完成。例如,机密文件由于机密人员的流动、分发的分散、职责的分工等原因,在它们来来去去的过程中被接收、发送、传播、复制、借用、存储、存储和归档。
2.2信息安全保密新任务
(1)管理任务日益繁重我国的改革开放现代化得到加强和加快,信息化发展速度迅速。因此,国家信息安全保密工具也开始由纸质媒介逐步发展为计算机媒介,采用了光信息、噪声、电子等新形式和方法。获取、收集、管理和传播国家机密消息的设施从普通打字机、电话电脑等传统设施升级换代了各种更现代化的计算机和网络等工具,而泄露秘密的渠道也在不断改变和扩大。各种媒体的综合应用也增大了泄漏量,所储存的大数据量也提高了风险,而相关问题的广泛性也使危害越来越严重。(2)保密工作的要求越来越高几年来,随着网络等现代信息技术的蓬勃发展,更加扩大了涉密管理对象的数量,也更加拓宽了范围,对当前态势下的涉密操作也提出了更高的要求。而互联网信息时代的安全技术,不但涉及加密器、交换机、安全网关、路由器、防火墙等现代互联网技术设备,还涉及网络安全隔离卡、视频干扰器等现代网络安全保护技术设备,另外还有密钥计算、网络安全管理等专业。以及网络安全的解决对策。换言之,保密科技已是现代信息技术的典型代表。也因此,更需要保密工作人员通过将电脑基础知识和互联网专业知识相结合,以及法律基础知识和有关法规专业知识,逐渐形成懂法规、懂信息技术的普通人员。法制、科技、行政一体化是保密的新特征,保密工作机关要适时转换角色,形成一个集法律咨询、科技业务、保密业务管理于一身的综合型机关。(3)信息安全保密难度越来越大过去,计算机网络已成为外国敌对势力和间接情报机构窃取机密、阻挠我们党政机关活动的重要舞台。由于我国计算机和网络系统固有的安全性和保密性,我们所有的核心技术和硬件设备都是从美国进口的,外国对手和阴谋情报机构使用内置的木马程序来扫描和嗅探端口或计算机,利用漏洞,采取非法访问、黑客入侵、窃听、病毒入侵、“后门”等手段窃取和下载我国机密和内幕信息。
3信息泄密的主要方式与信息安全保密工作存在问题
3.1信息泄露的主要途径
在实际使用过程中,计算机网络信息泄漏主要有二大类:一是因网络安全漏洞造成的泄漏,二是信息介质或存储设备泄漏。当然,也因为地震、失火、设备丢失等不可抗力,可能会引起个人信息泄漏。首先是基于网络安全漏洞而造成的信息泄露问题。这也是现代网络安全技术与保密管理措施解决的重点问题。在计算机远程应用的过程中,人们利用通讯网络进行互联互通,在不同的操作系统间、不同数据传输距离、不同使用的目标条件之间,由互联网黑客或者某些非法分子渗透到互联网的每一环节,实施入侵,可能会造成大量信息泄漏。电脑成了一种真实的应用程序载体,很容易遭遇操作系统中安全漏洞、协议泄漏等的入侵,这也是犯罪分子常常利用的“进攻渠道”。而根据有关调查,在大型软件中每一千至四千行源程序就会发生安全漏洞,当信息系统软件连接通讯网络时,就会变成不法分子实施远程或远程方式访问的主要目标,对信息系统服务器的监视或威胁形成影响。另外,由于网络安全漏洞会造成网上病毒、网络攻击等危害情况的出现,犯罪分子可能利用漏洞进入操作系统以及关键数据库系统,进行盗取、损毁、修改个人信息。再次,信息介质储存泄露问题一般是指U盘、移动电脑硬盘等移动储存媒介在连接各种各样的电脑上时,它们的安全性设计都可能会出现问题,比如出现非法复制和应用等。当前,由于无线网络技术使用范围的不断扩大,无线网络设备的信息泄露开始成为国家安全与保密管理的重点目标。通过WLAN接入的互联网极易遭到远程入侵和监控,关闭无线网络并不能有效缓解这种问题。同时,无线鼠标、蓝牙等电子设备和技术工具的使用,也是信息容易泄漏的一个渠道。
3.2信息安全保密的不足之处
(1)尚未完善的保密制度为有序开展信息安全保密工作,需要建立完善的信息安全保密制度,规范其行为,明确各项保密工作。从目前来看,信息安全保密制度不健全,保密分类不准确,保密落实不到位。(2)需要加强管理为消除国家秘密的薄弱环节,政府必须逐步加强秘密工作监督管理,秘密管理工作不仅包括硬件,还包括软件,因此还必须控制软件安装。另外,保密领域的技术人员还缺乏全面的继续教育和培训。(3)保密性不够强提高保密意识,加强宣传和保密教育,是提高保密工作质量和效率的有效途径。但是,在实际实践中,仍有部分人的保密意识并不强,且负面警示教育很差,用户虽然明白了什么才是安全规定,却不明白为什么,很容易陷入瘫痪。如将涉密U盘与非涉密U盘混合在一起,所以没有采取主动的防御保护措施以避免泄密。有的人员误认为离自己很遥远,从而耽误了安全隐患,也忘记了“安全来自长期的重视,事故来自一时的麻痹”的警示。(4)泄露同类设备机密,不按需要使用电脑和网络的使用必须按照要求进行操作,如果使用不当,很容易泄露。现阶段使用异常的保密装置、未按要求配置保密计算机、违反法律规定访问网络等公共信息网络、使用非保密的移动存储介质、使用无线设备等行为均易造成信息泄露。另外,非机密计算机存储和处理机密信息,也容易造成信息泄露。(5)计算机感染病毒在使用计算机时,需要有很高的防病毒意识,以防止病毒进入和泄漏到系统中,但需要许多工作人员对此有所了解。对于U盘等移动设备,在处理接收到的数据时,不进行病毒检测,或者计算机操作人员通过安装、运行、查看、复制与工作无关的、未经许可从网上下载的带有病毒的软件、文件和照片等,均易使计算机感染病毒。
4做好信息安全保密工作的思路与对策
(1)增强信息安全保密意识由于大数据时代信息安全的复杂化与多样化,为了确保网络安全,首先需要增强公民的安全保密意识。上网的人需要保证自身的信息安全,尤其是在访问和登录不熟悉的网页时,防范由非法网页提供的病毒。二是政府部门应当强化安全监管措施,在安全区域内设置适当的管理机制,使信息管理更加高效可控,以防止海量数据的泄漏风险。(2)加大力度提高安全技术创新大数据分析科技的蓬勃发展,暴露了传统网络安全科技的短板,同时也促进和引导着安全保密科技的发展趋势。大数据处理背景下的信息安全科技研发需要与物联网、云计算等多种信息技术高度融合,因此研究与创新难度很大,但我们仍将不断发展与壮大安全科技,使之能够通过加大人力、物质和创新资源来满足新科技的发展。(3)加强信息安全保密措施在技术创新的今天,国家应当增加必要的安全措施,以适应外界和国内的安全和保密需求(例如,使用更安全保密的系统和数据加密技术,以及安装杀毒软件和防火墙)。如可部署入侵检测系统、网络欺骗系统等安全设备和软件产品等。(4)完善信息安全保密制度规章制度是管理工作的灵魂。一种合理的管理制度才能保障管理工作任务的高效执行。大数据发展势头迅速,不但要创新安全保密技术手段,更要建立健全立法体制。在处置非法请求的个人信息问题时,政府正在思考大数据个人信息保障与国家安全问题等。建立健全的法规机制能够震慑某些不法分子,从而保障了大数据的安全性。
5结语
无论是对于一个国家,还是一个企业,信息安全都是非常重要的。信息安全和保密是事关国防和国家安全的国家事务的重要组成部分,事关国家根本利益。但是,信息泄漏率逐年上升,信息安全保密形势十分严峻。因此,只有时刻提高保密意识,加强保密管理,积极寻找泄密隐患,制定切实可行的对策,从制度、安全措施和技术等方面做好保密工作,严防泄密,才能顺利推进社会主义现代化建设。.
作者:吴保安 单位:广州体育职业技术学院
网络安全信息化工作2
中国在世界互联网大会上贡献的智慧方案、召开的网络安全和信息化座谈会,六个“加快”建设网络强国,这些战略布局,为网络与信息化事业的发展提供了根本遵循,指明了网络强国建设的前进方向。网络安全和信息化是互补的,是不可分割的整体。安全是前提条件,信息化发展是不可或缺的重要保障。一直以来,西南石油大学坚持以网络强国以及“立德树人”等重要思想为根本遵循,全力培养能够担当起时代重任的新人,着力培养德智体美劳全面发展的社会主义建设者和接班人。这既是在能源时代背景下,西南石油大学人才培养的“必答题”,也是学校取得进一步突破的“必选项”。作为教育信息化工作者,我们要深入学习贯彻中央的精神,坚持把信息化建设同学校“立德树人”任务相结合,把信息化建设目标任务分解并落实到日常工作中。落到细处和实处,以持续有力的手段大力推动信息化与人才培养、教育教学、科学科研、行政管理、文化传承、社会服务等方面的深度结合,为全校师生提供方便智能的教育教学环境和舒适便利的生活环境,助推学校“双一流”建设,助力学校实现高质量发展,努力推动教育信息化工作迈向新的更高的台阶。
一、牢记初心和使命,增强责任与担当
众所周知,中国共产党人的初心和使命就是为中国人民谋幸福、为中华民族谋复兴。教育信息化带动教育现代化,是适应新时代的必然要求、是推动公共教育服务质量的必然选择,将有利于贯彻落实教育大计,服务国家发展大局。网络与信息化工作是高等学校教育的基础性保障工作,作为高校信息化工作者的我们,既要主动积极去适应新时代的变化,同时更应该牢牢铭记共产党员的身份,铭记时代的重任,铭记教育工作者的初心和使命,根据学校实际情况,紧密围绕学校中心业务工作发展需要和师生的实际需求,充分利用信息化手段,为学校提供信息化支撑,努力提升信息化服务的发展水平。同时,结合党史学习教育,全心全意致力于以信息化推进服务师生的“最后一公里”,充分运用互联网思维,让信息化成果更好地服务于师生的需求,为高水平大学建设提供重要的支撑与保障。
二、确保红色精神代代相传
作为教育信息化工作者,我们要始终牢记“立德树人”的使命,将“立德树人”使命贯穿于教育信息化工作的各方面、各层次、全过程。所谓“立德”,就是要教育和培养学生形成正确的价值观,扣好人生的第一粒扣子,坚定理想信念。所谓“树人”,就是培养能够担当起中国特色社会主义重任的建设者和接班人。在新时代背景下,培养德智体美劳全面发展的社会主义建设者和接班人是高校的责任和使命,同时也是衡量人才培养质量的根本标准。1998年6月,西南石油大学网络与信息化中心成立,是学校网络和信息化工作的重要业务部门,同时也是 “双一流”建设的保障部门。其业务范围包括:信息化基础设施建设、教学信息化规划建设、信息系统与数据服务等,是学校教学科研、管理服务的重要保障平台。在发挥信息化领域优势的同时,网络与信息化中心党总支格外注重党建建设,坚持以改革创新作为根本动力,将学习教育作为支部思想建设的首要任务,把竭诚为全校师生服务作为根本理念,提升全体职工信息服务能力作为关键环节,把师生的满意度作为检验服务性党组织的标准。秉承“创新、和谐、进步、服务”的理念,全力以赴为全校师生提供周到的服务。网络与信息化中心党总支组织开展了各种活动,例如:“英雄故事革命精神”“红色伟业青春梦想”专题读书会、“礼赞百年共襄复兴”“学党史守初心廉政警示知敬畏”“学习十九届六中全会精神”专题学习研讨会;在网络与信息化中心官方网站平台开设“支部动态”“学习园地”专栏,以丰富的红色资源为载体,大力弘扬红色精神,致力于培养师生的政治认同以及情感认同,让红色精神代代传承。同时,我们教育信息化工作者更要以中国共产党成立100周年会议精神为指导,继续做好传承国家意志与民族文化的专业支撑,为更好地贯彻国家的教育方针贡献自己的力量。
三、重视信息技术的普及
网络与信息化中心以党史教育为契机,以全心全意为师生服务为根本宗旨,结合自身工作业务特色,努力为师生做好事、办实事、解难题,不断增强师生获得感、幸福感、安全感,为学校网络安全和信息化应用持续发展凝聚共识、汇聚力量。1.网络安全方面。一是根据西南石油大学的实际情况和网络安全责任制的要求,从技术防护、运营与维护、后期保障服务等多方面层层部署落实。出台《西南石油大学网络安全管理办法》《西南石油大学信息化管理办法(试行)》《西南石油大学信息化管理办法》,落细落实高校网络安全责任制;二是通过“物防+技防+人防”手段,保障学校的网络系统、用户端、服务器等正常运行;三是不断优化技术手段,实行重要时段24小时安全值守,开展形式多样的安全宣传,确保无重大责任事故发生。2.信息化应用方面。一是为了满足管理服务、教学科研等方面的需求,提升学校教师和其他工作人员的工作效率。无线网络覆盖学校所有教室,网络速度成倍提升,满足了师生对网络的需求;二是针对长期困扰教师的办事慢、效率低、流程繁琐、流程多等痛点、苦点、难点、堵点问题,专门打造开设服务门户,开通了教务系统、科研系统、人事系统、财务系统、邮件系统、办公系统、一卡通服务等学校各个业务系统平台的通道,为全校师生用户提供一个统一的信息服务入口。同时还开通了办事大厅,为教师、学生、访客提供包括党政、人事、科研、教学、财务、生活等多达304个事项服务,让高校师生办理工作变得更加简单、更加通畅,大力提升了办事服务的“速度”和“温度”;三是依托于先进的移动互联网技术,开发了课程中心,打造了学习通APP,让学生能够不受时间和空间的限制,在任何时间、任何地点都能够学习,让学生能够体验到信息技术带来的高效与快捷。网信中心信息技术化手段的有效运用,为师生校园生活奠定了坚实的基础,为打造有深度、有温度、有态度的智慧校园贡献力量。四、讲好西南石油故事2020年暴发的新冠肺炎疫情扰乱了人们正常的生产生活秩序,同时给教育事业带来了一定的影响。网络与信息化中心积极响应贯彻教育部“停课不停学”号召,迎难而上,充分发挥网络信息化业务优势,担负起“讲好”石油故事的责任和使命。网络与信息化中心充分利用一切可用资源,做好网络教学的信息化服务保障,面向南充校区、学校各个学院、各个教学单位提供了24轮教师在线教学直播培训,对教师在教学直播过程中使用的方式方法进行了培训,对常见的问题分门别类进行耐心解答,教学直播培训受益人次多达2500余人。本次教学的网络保障工作要求高、数量大、场地散。为保障新冠肺炎疫情期间学校教学的正常运行,使教师按照正常的教学计划开展教学,使学生在紧急关头不掉队,网络与信息化中心及时同研究生院、教师教学发展中心、教务处进行沟通和交流,及时了解和掌握教师的课时安排和计划。同学校的职能部门提前进行了沟通和交流,了解办公服务等需求;通过详细了解,制订《关于线上教学和在线办公保障服务的通知》,为西南石油大学提供了强有力的信息技术支撑保障服务。疫情期间,做好如下几步工作:一是全力配合疫情防控的开展,全力以赴确保线上教学顺利进行,在最短的时间内开发了支持在线教学的网站,为西南石油大学的师生提供了精准优质、快捷方便的服务。中心全体人员协作高质量完成新增线上工作任务,开发线上教材登记系统,进行了共计27场2500余人次参加的教师线上教学培训,中心技术人员随时在线,为教师们授课当中遇到的问题提供技术支持,解决了线上教学难等一系列问题。为了深入帮助各个学院,网络与信息化中心通过网格化服务的方式深入各学院进行一对一研招复试技术保障,现场值守40余场次。承担各级各类视频会议、网上答辩等50余场次。二是持续推进信息化建设,教学资源建设再获佳绩。网络安全能力不断增强。完善数据填报系统分权管理及年度汇总功能,扩充职称数据收集功能,论文专利信息全面实行自动收集;实现新生物品在线选购和认证智能核验,站群系统完成升级改造。依靠自身力量,完成88个网上办事事项的移动版制作,使师生通过手机办理网上事务成为可能。建成虚拟校园卡系统和基于校园卡的人脸识别系统,教职工食堂实现人脸识别消费。录制课程30门,协助石工院成功申报国家级虚拟仿真实验项目,协助完成了33门省级“金课”申报,中心自制资源获得全国高校教师创新大赛3D/VR/AR赛项一等奖。三是对部分多媒体教室、服务器机房等基础设施进行了改造完善。按时完成IPV6部署,网络速度、延时、系统监测均得到优化提升。以制度为抓手,不断优化技术手段,重要时段24小时安全值守,开展形式多样的安全宣传,确保全年无重大责任事故发生。四是依托国家教育资源公共服务体系,与中国大学慕课平台,学堂在线等平台合作,学生可以在这些平台里面自主选择丰富的课程资源,即使在偏远的地区,也可以享受教育资源,从而达到优质教育资源共享,实现教育公平的愿景。同时,网络与信息化中心还门要坚持“严”的主基调,真抓真管正风肃纪,推动党委主体责任、纪委监督责任、党委书记第一责任人责任、班子成员“一岗双责”的统一和联动。高校党委要强化监督考核,确保各单位、部门及领导干部切实履行主体责任,形成从严治党层层推进、不正之风有效遏制的良好校园氛围。
(三)提升队伍建设。“四种形态”要想发挥实效,离不开敢担当、善作为的党员领导干部及立场坚定、素质过硬的纪检监察队伍。高校应当多措并举,有针对性地加强对干部的教育培养,对一些干部不愿不善使用“第一种形态”的问题,要组织加强政治理论学习,牢固树立权责意识;对“第二种形态”使用不准的问题,要通过参加专门培训或高校间横向交流等方法,督促相关单位、部门深入学习执纪要求,精准把握量纪尺度;对“第三、四种形态”使用经验不足的问题,可以安排纪检监察队伍中精兵强将参加属地所在省、市专案办理,掌握审查调查要求技巧,结合高校实际内化提炼,不断提高执纪执法的规范化水平。(四)加强宣传引导。在调研中发现,有的党员领导干部出于“保护”下属同志的目的而不愿意使用“四种形态”;有的领导干部抹不开面子,不想使用“四种形态”;还有的领导干部不重视“四种形态”的运用,存在形式主义和官僚主义思想。针对以上问题,高校党委必须加强教育引导,坚决抵制纠正这些错误思想,必须使各级党员领导干部认识到,“四种形态”的初衷不是惩戒,而是惩前毖后、治病救人,是为了严肃规矩纪律,持续推进正风肃纪。只有精准运用“四种形态”,才是对下属同志真正的爱护,才是对承担的责任义务的正确履行,才是对党和师生赋予权力的积极回馈。
作者:黄月 张桂力 余英龙 单位:西南石油大学网络与信息化中心
网络安全信息化工作3
0引言
近年来,云计算、大数据、物联网、移动互联网等信息技术不断从互联网领域向传统行业渗透和融合,促进了传统行业的信息化转型和经济发展,并推进了智慧社会的建设。2022年3月5日,《政府工作报告》指出:“促进数字经济发展。加强数字中国建设整体布局。建设数字信息基础设施。”水利信息化平台是国家关键信息基础设施之一,水利信息系统的安全关乎国计民生,一旦水利信息系统中关键业务应用被攻击破坏,重要业务数据遭到窃取或篡改,就可能存在严重危害国家经济安全和社会公共利益的风险。水利信息化平台的网络安全是国家网络安全的重要组成部分。2017年6月1日《中华人民共和国网络安全法》正式施行,该法第三十一条明确规定:“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。”本文主要对水利信息化平台的网络安全现状和系统基础设施进行分析,讨论可能影响水利信息化平台正常持续运行的因素,再结合当前主流的网络安全技术,对水利信息化平台的安全防护政策和方案进行分析,搭建水利网络与信息安全体系总框架[1]。
1水利信息化平台的网络安全现状
目前,水利信息化平台以建设智慧水利为目标,依托水利网络安全建设专项、国家水资源监控能力建设、国家防汛抗旱指挥系统等重大工程,积极探索新型信息技术在水利信息化领域的应用,水利信息系统的技术框架、安全管理水平、风险管控等有了大幅提升,安全意识明显增强。网络安全工作基本可保障水利信息化建设健康发展。然而,根据每年水利部开展的网络安全检查以及国家有关部门向水利部通报的网络安全事件等,水利信息化平台仍然存在不少薄弱环节需要加固,水利网络安全现状需做出提升[2]。目前存在的主要问题有4点。
1.1安全防护措施不严密安全防护措施不严密包括以下几点:不少水利体系单位存在单点故障的隐患,未做冗余备份;安全审计系统部署不足,无法有效对用户行为、主机及业务系统进行审计;将防火墙作为唯一的安全措施,但常用的防火墙中存在高危漏洞,一旦漏洞被利用,攻击者就会获得远程攻击水利系统的能力,这时防火墙几乎完全没有防御能力;机房未对关键设备进行电磁屏蔽。
1.2安全建设管理不完善安全建设管理不完善包括以下几点:水利信息化平台中各软件系统,在交付前未对开发单位提供的源代码是否存在恶意代码做人工审查或使用第三方检查工具检测,验收时开发单位未提供软件设计文档和使用指南以供后续系统维护使用;未对软件后门、隐蔽信道等进行检测,未对外包开发的软件严格执行代码审查,未全面审查源代码中可能存在的后门;软件系统上线前未进行安全性测试,如未按照国家密码局印发的有关规定执行密码应用安全性评估。1.3安全运维管理不健全不少水利体系单位未定期对软件系统进行漏洞扫描、恶意代码检测,并未保存检测记录,未更新漏洞补丁[3]。1.4安全执行策略不一致目前,各水利体系单位水利信息化发展水平各有不同,在安全策略制定方面更是难以统一,没有完整的管理体系,很难实现全局的一致性,导致应急响应机制不完善。
2水利信息化平台网络安全防护对策
基于水利信息化平台面临的网络安全现状,为应对水利信息化平台中存在的网络安全威胁,完善网络安全保障体系建设,考虑从非核心控制类信息资产安全加固、水利信息化平台网络安全防护机制、数据安全治理、安全管理制度及人员意识培养等方面进行提升和改进。
2.1水利信息化平台网络安全防护体系针对水利信息化平台存在的安全威胁,为提升水利信息化平台的网络安全防护机制,完善网络安全保障体系,健全网络安全管理制度,采用新技术、新应用,在原有网络安全等级保护的基础进行密码保障系统建设,继续开展网络安全等级保护备案与测评、关键信息基础设施安全保护,同时开展密码应用安全性评估工作。水利信息化平台网络安全防护体系如图1所示。为应对新的网络安全态势,同时满足新技术的要求,将基于商用密码的安全防护技术、更细粒度的访问控制、对病毒的防范3个维度提高水利信息化平台的安全防护能力。
2.1.1基于商用密码的安全防护技术2020年1月1日,《中华人民共和国密码法》(以下简称《密码法》)正式实施。《密码法》指出,商用密码用于保护不属于国家秘密的信息,公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。密码技术可以实现防假冒、防篡改、防泄密、抗抵赖等功能,是国家核心技术的3大“杀手锏”之一。商用密码在维护国家安全、促进经济社会发展、保护人民群众利益方面发挥着重要的作用。电信、电力、能源、金融以及交通等多个国家关键信息基础设施,都大量使用商用密码实现网络及信息的加密保护和安全认证。随着以数据为核心的数字经济成为经济发展的新动力,数据安全上升到国家主权的高度,商用密码作为数据安全防护的核心技术和基础支持,用于布局国家信息化发展战略及国家大数据战略。商用密码是网络信任体系的重要基石,是保障网络与信息安全最有效、最可靠、最经济的关键核心技术。《网络安全法》《密码法》《数据安全法》《个人信息保护法》以及《关键信息基础设施安全保护条例》等法律法规均提出,对于一些关系国家安全、经济发展、社会稳定的重要网络和信息系统,必须使用商用密码技术构建一个安全、有效的密码保障系统,用于有效抵御有组织、有目的的网络攻击,有效地保护数据的机密性、完整性,保证访问用户的身份真实性和行为的不可否认性。水利信息化平台安全防护的重中之重是保护水利系统中的重要数据不被泄露。因此,在水利信息化平台中需建设以水利部为根的密钥管理体系,部署基于商用密码的纵向加密认证系统,充分利用密码技术,确保重要业务数据的存储安全、动态传输安全,以此增强关键信息基础设施和重要数据防护能力。2021年10月1日,《信息安全技术信息系统密码应用基本要求》(GB/T39786—2021)正式实施。该标准是指导我国商用密码应用与安全性评估工作开展的纲领性、框架性标准,从物理和环境安全、网络和通信安全、设备和计算安全以及应用和数据安全4个方面提出了密码应用技术要求,从管理制度、人员管理、建设运行和应急处置4个方面提出了密码应用管理要求[4]。
2.1.2对病毒的防范计算机病毒会破坏计算机信息或系统作用,是在信息化技术发展过程中不得不重视的问题。一旦水利信息系统遭到病毒入侵,就会给用户带来极大损失,影响水资源监控、取水用户用水、防汛抗旱等业务正常运转。对病毒的防范是水利信息化平台安全防护需要重点关注的内容之一,建议从以下几个方面着手:一是对水利信息化平台中的数据资产进行分类分级管理;二是针对重要数据建立备份机制;三是定期开展病毒查杀、漏洞扫描并关闭不必要端口;四是对水利信息化平台中的重要资产定期盘点并开展风险评估。
2.1.3更健全的访问控制在水利工程方面,从物理接入、第三方实体管控角度,依托密码技术对系统身份鉴别进行安全保护,从数据流转角度的建立覆盖终端、网络和业务层面的访问控制能力[5]。在水文水资源监测预警中心,融合密码技术和网络安全技术,实现物联网身份标识和认证、数据和控制指令安全保护、运行和通信状态监测、漏洞利用和网络攻击监测以及主动安全防御5大能力,打造物联网安全综合管理系统[6]。
2.2安全管理制度及人才培养水利信息化平台应在统一安全策略的指导下,以主动防御、积极防范、科学管控的原则,将技术手段、管理制度相结合,逐步完善水利信息化平台安全保障体系,促进水利信息化的健康有序发展[7]。
2.2.1完善安全管理制度结合当前安全建设管理不完善、安全运维管理不健全、安全执行策略不一致的现状,有针对性地完善安全组织管理体系,成立专门的运行管理组织,负责信息系统的运行维护和安全管理工作,配备专门的运行维护和管理人员,建立职责分工明晰、运转效率高效的安全管理机构[8]。根据《信息安全技术网络安全等级保护基本要求》(GB/T22239—2019)的管理要求,制定通用的安全管理制度,同时根据密码应用的基本要求,制定密码应用安全管理制度和密钥管理规则、建立操作规程、定期修订安全管理制度、明确管理制度发布流程以及制度执行过程记录存档[9]。
2.2.2加强人才培养进一步贯彻落实《中华人民共和国密码法》,重视密码技术在网络安全防护中发挥的基础支撑作用。依据GB/T39786—2021中的人员管理要求管理,使相关人员了解并遵守密码相关法律法规和密码管理制度,建立密码应用岗位责任制度,建立上岗人员培训制度,定期进行安全岗位人员考核,建立关键岗位人员保密制度和调离制度。
3结语
将网络安全等级保护与商用密码应用及安全性评估制度相结合,不但在技术层面注重水平及方案的改进与提升,而且主要管理制度的完善,着力培养相关参与人员的网络安全意识,技术与管理两手抓,打造坚实的水利信息化平台网络安全保障体系。在网络安全与信息安全资源整合过程中,坚持采用自主安全可控的技术、产品及服务,坚持内生安全优先的原则选择技术、产品及服务。
参考文献
[1]詹全忠,陈岚.浅谈水利网络与信息安全体系[J].水利信息化,2010(5):31-33.
[2]王岚,谷金钰.水利信息化发展综述[J].水利建设与管理,2018,38(10):33-36.
[3]苏秀峰,黄慧,卜凡静.基层水利安全信息化研究分析[J].水资源开发与管理,2022,8(3):70-76.
[4]国家市场监督管理总局,国家标准化管理委员会.信息安全技术信息系统密码应用基本要求:GB/T39786—2021[S].北京:中国标准出版社,2021.
[5]曾凡丽,富春岩.水利信息化平台计算环境的设计[J].黑龙江水利科技,2011,39(3):72-73.
作者:庄磊 李莹 葛召华 单位:山东省水利厅
