前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的云计算网络安全培训主题范文,仅供参考,欢迎阅读并收藏。
如果说2013年热炒的大数据概念热让苦闷沉寂多年的数据库管理员和数据分析师们一夜之间成了香饽饽,成了《财富》杂志眼中“二十一世纪最性感的职业人士”。那么,后“棱镜门”时代,信息安全专家将成为下一个明星职业。
近两年来,有超过20亿美元的风险投资涌入硅谷的信息安全企业,信息安全创业投资迎来了久违的;近大半年来,与网络安全行业有着千丝万缕联系的比特币从不足50美元飙升至700美元;最近三个月,在中国市场,低位徘徊多年的信息安全行业也迎来了久违的甘露,有关信息安全概念的股票一路上扬。中国要成立国家安全委员会的战略则确立了网络安全的战略地位,同时也意味着未来几年中国政府和企业在信息安全保护方面的IT支出将进入一个快速持续增长的阶段。
不得不说,去年爆发的“棱镜门”事件,成为全球信息安全市场裂变爆发的催化剂和导火索。其冲击力已超出信息安全范畴,波及IT行业的每个角落,上至国家、行业,下至企业和个人都必须重新审视并调整其信息安全策略。从国家关键信息基础设施到个人数据隐私保护,由于相关监管政策和防护技术的滞后,可以判断2014年将成为信息安全的“乱世之年”,同时也将诞生大量安全技术领域的“枭雄”。
让我们来预测一下2014年信息安全市场的五大趋势和机遇:
移动安全成为热点
随着BYOD(企业员工使用个人设备移动办公)的流行,移动设备的安全问题一直是令企业CIO头疼的问题。与PC端与网络方面的安全的相对成熟相比,移动安全还处于拓荒阶段,与市场需求形成巨大反差的是,安全产品和服务水平还远远达不到要求。而随着企业和用户对于隐私数据的日益重视,BYOD领域的安全管理产品正在成为资本关注的热点,从2013年11月IBM和Oracle两大企业IT巨头争相抢购移动安全管理产品公司可以看出,这一块市场在2014年会有大的发展。
私有云和云安全兴起
“公有云”其实从一开始推概念的时候, 其安全性就饱受质疑。 但是在巨大的利益驱动下, 不少企业和地方政府还是在不遗余力的推动。 而“棱镜门”事件的爆发,使得企业和政府意识到在“公有云”上的数据竟然可以如此不安全。
从IT行业的发展来看, 在并行计算技术的日益成熟和硬件性能瓶颈问题日益突出的趋势下, 云计算的存在和发展有其必然性。这样将会促进“私有云”的大力发展, 同时也会促进基于“私有云”的安全技术的发展,例如德国一家创业公司就推出了基于“私有云”的一体机。 预计在中国市场, 出于安全的考虑, 不少公司和政府也会把云计算计划从“公有云”转向“私有云”平台的搭建,但首先需要解决“私有云”的安全问题。 这种大环境下, 国内的IT安全厂商、云计算基础设施提供商、云计算应用开发商和云应用服务商、电信服务商都面临新的市场机遇。
工控网、物联网安全受重视
其实,早在2010年出现的“震网”病毒以及其后的“火焰”病毒,就已经使得人们意识到工控网和物联网的安全问题。而“棱镜门”则使得随之相关的工控网和物联网的安全也提高到国家政策层面。 随着中美就网络安全对话机制的逐步形成, 特别是中国将成立国家安全委员会的战略,将使得工控网、物联网安全,特别是重要基础设施的网络安全开始被最高层关注。
预计2014年中国政府会推动重要关键基础设施网络安全的建设,一些重点企业也将开始对工控网的安全进行投入。而在中小型工控网和物联网领域,比如智能楼宇、智能数据采集系统等的安全,也会成为企业IT安全的一个考虑因素。
安全培训市场大幅增长
“棱镜门”事件折射出来的另一个问题是,人们对隐私数据保护意识的薄弱。近年来网络犯罪呈现出更加有针对性和手段多样化的趋势, 通过电子邮件、社交网络、U盘等被黑客实施社交工程攻击的例子比比皆是。如今,安全意识已经成了企业信息安全防护的最大“漏洞”,如何提高员工的安全意识和安全风险管理水平其实是每个CIO或信息安全官最头疼的问题。
而“棱镜门”所引发的, 不仅仅是政府对网络安全的重视,传统企业特别是大型企业的管理层和决策层也一样开始重视起来。 网络安全培训市场过去几年一直处于不温不火的状态,预计在2014年将会有比较大的发展。
数据安全市场重新洗牌
如今,全球政府都面临大数据时代的信息透明和数据开放改革,以欧美多国政府推动的OpenData开放数据项目最有代表性,但是不久前美国政府医保网站的安全漏洞为全球政府敲响了警钟,政务大数据的开放是一柄双刃剑,一方面可以调动社会资源,推动群体智慧创新,另外一方面政务数据上网也为黑客打开了一扇窗,政府网站面临的数据安全问题也比过去严峻得多。
黑客更关心应用
整个信息安全领域正在产生巨大的变化,信息安全的主题从终端安全、网络安全向应用安全转变。以前人们可以通过参数决定网络的安全性,而现在网络安全的评估标准是数据的安全,应用漏洞才是风险的根源。软件的安全性变得越来越重要,它正快速延伸到个人应用。以前黑客还仅仅是攻击Windows系统,而现在像Flash这样的应用才是攻击者的最爱。
赫伯特•H•汤普森表示:“信息安全领域中出现了很多非常有意思的问题,有的问题是逻辑性很强的,有的是完全没有逻辑的。对于现在的黑客来说,他们总是在不断进行改进。由于软件设计越来越复杂,我们不能再按照以前的态度去对待黑客,反而要重视一些极端的例子。而且,我们要不断地向自己提问,比如我所研究的应用和系统将会出现什么样的问题。我们要怀有这样的热情,打破以往固有的范式,像黑客一样思维。当前,在美国的大学里,我们已经开始向学生们灌输‘黑客式’的思维方式。”
当前许多关于应用安全的标准定义都仅限于应用的保密性、一致性等问题,但赫伯特•H•汤普森认为,信息安全的脆弱性更多源于应用与安全的不匹配关系。比如,软件设计者如何能够合理地使用户得到相应的信息,如何让软件起到合理的作用。
就某些方面而言,软件开发者的“坏习惯”是让应用不够安全的根源之一,绝大多数开发者在编写代码的过程中都没有考虑安全性。赫伯特•H•汤普森表示,已经有许多大型企业、机构开始对开发人员进行安全培训,培训自己的开发者正确编写安全的代码,增强开发者的安全意识。此外,现在还有对源代码进行安全漏洞扫描的工具,开发者可以利用这些工具,发现其所开发应用的安全隐患。
云计算的双面刃
EMC全球执行副总裁、RSA全球总裁亚瑟•W.•科维洛表示,新一轮经济增长的动力是云计算,但是由于安全问题没有解决,目前人们对云计算缺乏信心。解决云计算的安全问题,需要采取综合的、系统化的、内嵌的安全方式。正如黑客形成地下产业链一样,全社会的企业、厂商和政府也要协同工作,形成针锋相对的产业链,才能击败黑客犯罪集团。
据瑞星安全专家介绍,此次的全新瑞星杀毒软件网络版2012中,增加了“私有云”技术、动态资源分配技术、企业自定义白名单系统、第二代身份标识和客户端密码防护系统。基于这些全新的功能,企业的信息安全管理可以更为稳定,并且更加精准。
瑞星企业专属“私有云”为每个企业单独构建、提供专属的云应用和云服务。它主要有两大功能:其一,为企业提供安全应用软件平台,便于企业获取经过瑞星安全认证的各类应用软件,也便于管理员分发、管理和监控。其二,瑞星“私有云”为每个企业定制专属的安全服务,企业客户端无需存放病毒库和进行复杂的杀毒运算,大大降低了对系统资源的占用。
而全新的企业自定义白名单系统意味着瑞星可以有效解决企业内部程序、文件、网站的误报问题,通过系统,用户可实现文件、网站的自动录入,通过系统的自动识别、入库,并借助瑞星“私有云”技术瞬间将方案分发给所有客户端。
此外,智能动态资源分配技术优化了杀毒引擎的核心技术,使其变得更加轻便,突破了传统杀毒软件一次性将病毒库加载到内存中,使用高负荷CPU进行运算的方式。它还对病毒库进行细化,同时优化其存储和加载方式,在杀毒时,实现化整为零、按需加载,从而达到降低资源占用的目的,使更多老旧电脑也可以流畅运行。
在安全问题日益严峻的大环境下,服务必将成为安全企业最重要的市场标杆。瑞星此次提出的5S专业级企业信息安全服务,即信息安全评估服务、信息安全预警服务、信息安全专家服务、信息安全应急响应服务和信息安全培训服务,充分依托本土化的服务经验,为国内安全行业树立了发展的新标杆。
据了解,本次瑞星全新推出的“私有云”技术,是国内信息安全领域的第一个产品化的“私有云”平台,在国内安全企业中尚属首次。瑞星方面表示,这是继2011年连续推出16款企业级软硬件新品之后,公司发展的又一个新里程碑,
信息安全实训室是包含网络安全教学设备的实训室,除了基础课程外,专业课程主要担负了《服务器配置与管理》、《信息安全技术》、《网络安全管理与维护》等课程的教学,以及针对信息网络安全方向的对外培训、测试、合作等项目。实训室内主要硬件设备有各厂商安全设备,包括防火墙、防毒墙、入侵检测、入侵防护、威胁分析等设备,除此外还有部分网络设备和服务器。在教师和学生机上则主要以独立的软件和项目碎片化的虚拟机为主。即便部分厂商开发的安全实训平台,也多多少少离不开这些项目碎片化的影子。因此要形成过程化的分析系统,必须对硬件进行整合。
2需求分析
当前社会需求的网络安全方面人才主要集中在以下几个方面:1)专业型网络安全人才。这类人员的岗位要求具备较深的网络安全实践基础,对当前主流网络攻击和防御技术有较为全面的掌握;目前,有关监察审查部门、专业安全评测机构等单位对这类人才需求较高。2)综合型网络安全人才。这类人员的岗位原本都不是网络安全方向,但是由于网络安全形势的需要,除了具备原有的知识技能外,还应担负相应的网络安全维护责任;目前党政军重要机构、电子商务和金融等关键机构的网管、维运人员;等级保护安全员等岗位对这类人才需求较高。因此网络安全专业人才的培养应紧贴社会需求,同样网络安全实训室的建设也应具备以下几个功能:1)有效完成教学任务,满足主流信息安全、网络安全类课程实验实训内容的实现和操作。2)能够为相关行业和岗位定向培养输送毕业生,通过实训室训练达到岗位所需求的实践操作水平(如等级保护安全员)。3)能够为需要安全培训的单位(如社保医保等政府单位、电子商务等企业)或者结合权威部门提供培训认证服务。
3改造思路
总体思路是在这些教学和项目在实施过程中,需要对网络攻防双方在操作上进行动态跟踪,其中比较主要的一块是针对网络攻击行为进行捕获和分析,以攻学防、以攻促防;达到良好的实训效果。网络安全实训在传统的教学中,着重以攻辅防,即攻击行为仅仅是学习防御行为的辅助手段,着重采用较为直接的结果引导教学方式,如攻击行为会造成的结果应该如何防御;该方式是通过攻击结果引导学生思考防御方法,虽然有一定的效果,但是仅仅通过结果来逆推攻击手法和原理,难度过高且不利于学生了解本质和举一反三发散性思维,容易导致教学和实训效果不佳。而基于过程的攻击行为分析,能够全程还原攻击细节和方式,引导学习实训过程中的主观能动性,变结果学习为过程学习;此外,在实验室未来的对外安全项目合作、安全产品和系统资质测试、受训人员水平资格考试等过程中,都需要采用细颗粒度的攻防行为分析;该系统的研究能够促进教学、测试及合作项目的效果体现,提升实训室整体品质。
4总体架构
实训室逻辑拓扑总体由四个部分组成,包含攻击区、防御区、互联网模拟区、监测管理区。1)攻击区主要由攻击平台组成,该平台内含主流网络安全测试工具,供学生终端机器调用以进行攻击测试,该平台可以用神码的攻击工具集,也可以采用Backtrack或Kali开源黑客平台。此外攻击区配备文件服务器供训练数据的存储共享,同时提供wifi环境做无线安全方面的实验。如果条件允许,尽量配备流量发生器,用以模拟商业网络流量便于仿真测试。2)防御区是实验室的主要区域,该区域尽量模拟常见园区网络环境和流行应用,供学生模拟黑客攻击以及安全加固。具体配置为防火墙数款,包括微软ISA宿主型软件防火墙、神码堡垒主机和各种独立应用虚拟机。此外放置一台CiscoACS服务器用作AAA认证实验,同时和攻击区一样配备wifi网络环境和流量发生设备。3)互联网模拟区主要担负攻击区和防御区的互联和入网,以及部分广域网协议互联的模拟,如帧中继等,后期也可接入其他广域网协议,便于安全领域的抓包嗅探等测试。4)监测管理区负责对实验过程的监控和结果呈现,同时也担负对整个实验室设备的维护管理任务。其中入侵检测可以采用开源snort系统,流控和日志可以采用神码的设备,另外再配备一台管理主机完成服务器和设备的管理操作。
5项目实施
5.1改革内容
1)针对入侵行为进行检测;2)检测覆盖面应包括扫描、溢出、注入、拒绝服务等攻击内容;3)能够捕获样本数据,显示数据包细节和结构分析信息;4)能够显示直观的报告和分析结果,供安全防御训练参考。
5.2改革目标
建立一个针对网络攻击行为的捕获分析系统,对信息安全实训室内的实训项目中攻击行为能进行捕获和分析,提升实训效果。
5.3拟解决的关键问题
1)大型源码包的编译安装问题;2)网络接口混杂模式、数据捕获模块、数据包分析模块、规则库匹配模块、管理模块的耦合稳定;3)报告系统的时效性和完整性;4)大数据流量下整体系统的稳定性。
5.4实施方法
学习研究国外已经成型的检测评估体系,结合我院网络安全实训室的具体情况,分析需要构建的模块和系统,设计出系统雏形,根据该雏形编译相关的模块和插件,整合系统。在一个标准实验台内可以完成基本的服务器、安全实验,基本满足实验教学需要。另外,可以根据需求进行组合,满足不同层次实验的需要。组合如下:标准型实验(服务器实验、主机安全实验)功能型实验A(标准型+无线AP+流量+安全硬件)功能型实验B(A+网络安全,通过2台防火墙)功能型实验C(B+入侵检测和防御,通过2台安全网关来实现)功能型实验D(C+威胁发现,通过流量、资产监控、入侵检测、威胁发现来实现)学生做实验时,通过访问控制服务器CMS对实验台内的网络实验设备进行配置、管理、实验操作,无须来回插拔控制线。学生只有登录权限,没有修改权限。教师在教师机上可以登录到学生实验的设备上,指导检查学生的实验过程和结果。主要承担的实训项目为网络安全,设备安全包含熟悉互联网主流安全技术配置,包括交换机的端口安全、IP访问控制列表、基于时间的访问控制列表、专家级访问控制列表、防火墙的配置、局域网于Internet之间的互联等。网络安全包含主机和网络安全、攻防模拟、入侵检测和威胁发现、主机和WEB应用、数据库应用安全、云计算的模拟和应用、CTF攻防竞赛等等。此外,也可以完成网络集成教学所需要的局域网基础实验、广域网基础实验、VOIP实验、安全实验、无线实验、网络管理实验、IPV6实验。整个实验室的实验台台数,实验组数由学生人数和实验室项目灵活调整。此外纳入建有的创新实验室,根据实训功能和规模,可灵活调整实训人数和项目。
5.5可行性分析
在网络安全的教学实训活动中,传统的网络安全教学往往是在攻击行为完成后提出防御措施,继而让学生被动学习训练防御和加固技术,但学生在学习过程中容易产生的对攻击细节的疑问往往因为没有可视化或过程化的手段,而无法得到有效解答,同时也限制了学生自行思考、举一反三的可能性。此外,实训室在未来可能担负安全检测、合作项目等方向的内容,都需要对攻击行为进行过程化的还原。针对攻击行为过程的检测分析是近年来网络安全界发展迅猛的一项技术,该技术的出现为网络安全技术从传统的结果分析过度到过程分析奠定了基础;目前,全球各大厂商和标准化组织都提出了各自的标准,其中一些还有较为完善的体系模型和开源项目,并在兼容性、适用性上都取得了很多进步。经过初步调研,这些已有的成果符合实训室现有条件和项目需求,可以取主流的模型加以分解调整,完成本地化,结合实训室实际建设一套实用的分析系统。
6特色与创新
关键词:智慧校园;安全风险;措施
中图分类号:TP311 文献标识码:A 文章编号:1009-3044(2016)27-0042-02
Abstract: Intelligent campus has full intellisense, ubiquitous network, data access resources sharing, and many other advantages, also there are many security risks at the same time, analysis of the security risk types, characteristics and causes, research how to reduce the safety risk, to ensure the safety of intelligent campus data information transmission, and improve the safety and reliability of teachers and students users using the Internet, web pages, and the platform system.
Key words: intelligent campus; security risks; mobile Internet; measure
智慧校园是对传统数字化校园的扩展和提升,无论从技术上还是从设备上都有很大的改进,智慧校园运行框架与体系大致可以分为感知层、网络层、数据层、系统层、应用平台等五层,经过研究分析,智慧校园在物理设备、数据存储与传输、平台系统、网站访问、安全制度、技术人员配备与管理等诸多方面都存在比较大的安全风险,下面将逐一对这些安全风险问题进行分析,仔细查找原因,并研究有关安全风险应对措施。
1 智慧校园安全风险分析
1.1 物理硬件设备与操作系统
据调查,目前高校多存在设备老化、配置过低、系统陈旧等问题,具体包括光纤、网线、服务器、交换机、集线器、路由器等网络设备设施老化、配置过低导致网络运行质量难以保证,安全漏洞层出不穷;电脑主机配置低、操作系统陈旧等导致电脑设备运行缓慢、访问网页速度慢、系统安全漏洞多、容易受病毒感染和攻击等;网络设备、电脑设备、感知设备等建设水平参差不齐,难以与先进的数字化校园平台技术进行对接,造成智慧校园运营风险加大等。
1.2 数据存储与传输
无论是智慧校园还是传统的数字化校园,在数据方面存在的安全风险都很大,主要体现在数据标准、数据存储与传输等方面,具体包括缺乏统一的数据标准和数据接口导致各应用系统使用的数据对接难;未能建立统一数据中心导致没有数据归口管理部门及数据管理混乱;数据库服务器安全性能低、缺乏数据加密及数据备份恢复机制、数据使用操作不当等导致数据存储安全风险大;缺乏数据整合平台及传输链路不安全导致数据传输安全风险大及信息孤岛的出现风险等。
1.3 应用系统
智慧校园所使用的应用系统种类很多,包括学生管理系统、教务管理系统、科研管理系统、办公系统等,应用系统风险主要体现在系统数据使用、系统登陆、用户信息盗窃等方面,具体包括部门多、系统多,各部门使用的系统数据标准不统一及数据共享要求性高等导致系统数据使用风险大;系统登陆安全保障机制不健全导致系统登陆安全风险大;数据库服务器安全性能低、病毒侵入、黑客攻击等导致用户数据被盗窃等。
1.4 网站访问
智慧校园中师生访问各类网站安全风险很大,主要体现在学校上网人数多,网络管理部门未能建立网络安全访问策略,对网络访问缺乏有效监控,电脑缺乏防火墙和有效杀毒软件,学生安全意识不强,访问非法网站及不良信息,随意下载、打开安全可靠性低的文件、邮件,导致电脑病毒感染、木马入侵、黑客攻击、攻击校园网络、网页打不开等安全风险。
1.5 安全制度
高校师生人数多,网络用户数量大,在操作计算机、上网等方面缺乏有效的安全管理制度将导致安全风险大大增加,具体包括缺乏机房安全管理、防火防盗管理制度及计算机多媒体操作使用细则等导致机房电脑设备损耗严重及起火被盗风险加大;缺乏数据备份、灾难恢复有关制度导致计算机核心资源被窃取和篡改;缺乏安全事故处理程序及应急计划导致安全防范环节薄弱。
1.6 技术人员配备与管理
智慧校园建设除了经费、设备设施一系列投入以外,还需要大量的技术管理人员,而目前高校在这方面建设还比较薄弱,比较突出的是实验室管理人员、机房管理人员、多媒体教室管理人员、网站平台维护人员、系统信息管理人员等流动性大,专业性不强,未经正规培训或考核,造成对电脑、机房设备、网络设施及网站、系统平台等操作不当、管理效率低下,智慧校园运营信息泄露、设备被损坏和偷盗等安全风险加大。
2 智慧校园安全风险应对措施
2.1 资金投入和设备设施建设
高校应高度重视智慧校园建设工作,增加建设资金投入,购买性能稳定、安全系数高的网络设备设施、智能感知设备、数字化校园平台及应用系统等,并保持各种设备及系统持续更新。对配置过低,影响上网、上机速度的光纤、网线、服务器、交换机、集线器、路由器、电脑主机等老化设备予以淘汰,及时更新。在建设过程中一定要综合考虑各种设施设备的协调搭配对接,防止参差不齐,影响设备功能发挥和带来运营安全隐患。
2.2 技术措施
安全技术措施很多,拟将其分为物理层、网络层、数据层、系统层、应用层等多个方面。
2.2.1 物理层措施
首先要加强机房建设,机房中的各类网络设施设备、服务器、UPS电源等要摆放合理,注意通风防潮,外人不得轻易进入机房重地,机房设备应由专人管理操作;为防止电脑、服务器等设备因长时间运行导致温度持续升高而损坏,机房还应添置空调、排风扇等设备;另外要加强机房监控和安保等工作,防止机房贵重设备被偷盗和损坏;除了加强机房建设,还应对网线、光纤、集线器、交换机、路由器等进行科学部署和统一摆放。
2.2.2 网络层措施
高校网络管理部门要建立网络安全策略,一是建立网络应用授权、访问控制中心,比如建立全校统一的用户管理平台和授权认证体系,由网络中心派专人负责认证授权管理,自主研发或购买符合学校实际需要的网络监控控制系统,对校园内各网络节点及端口进行有效监控,对有病毒、黄赌毒、暴力等信息的网站系统进行拦截、拒绝访问;二是使用防火墙等软件,对校园内网进行保护,对内外网络访问连接进行检查,防止外部非授权用户非法访问修改内部网络资源,对跨越网络边界的信息按照规定的安全策略进行审查,有效保护内部网络环境和特殊网络设备,监视网络运行处于安全状态。
2.2.3 数据层措施
学校要投入资金购买性能好、安全稳定系数高的数据库服务器,要建立统一的数据中心和数据标准,对智慧校园各系统平台使用到的数据进行统一管理,同时利用云计算平台技术对各种数据资源进行有效整合,防止信息孤岛的出现。学校还要建立用户访问控制机制,针对不同用户群体授予不同权限,比如有些用户只有数据访问权,而无修改、存储等操作权,另外针对用户私人信息等重要数据建立加密机制,学校财务、职工等重要信息传送接收可采用数字签名机制,以防信息被窃取,对师生造成不必要的损失。
2.2.4 系统层措施
系统层安全措施包括操作系统安全措施、数据库系统安全措施、信息资源系统安全措施等,其中操作系统安全措施包括系统漏洞修复、系统杀毒防护等,数据库系统安全措施包括数据存储加密、数据传输加密等,信息资源系统安全措施包括访问控制、身份认证、用户权限授予等。
2.2.5 应用层措施
应用层直接关系到师生用户对智慧校园门户网站及各种平台系统的使用,应在校园各机房电脑上安装杀毒软件,并定期更新杀毒软件病毒数据库,对校园网站服务器、各信息系统服务器及数据库服务器等要进行双源供电,建立数据备份、灾难恢复机制,确保不因断电等异常情况影响师生正常使用校园网及数字化校园平台系统。
2.3 管理措施
2.3.1 安全管理制度
要建立机房安全管理制度,特别是网络中心机房管理制度,责任明确到人,机房管理员要定期对机房设施设备存在的安全隐患进行逐一排查,并及时报告处置异常情况;要建立电脑、网络等设备设施维修、报废制度,派专人对出现故障的设备设施进行维修,确保设备正常运转,及时对各部门报废的设备设施进行鉴定和更换;还要建立信息员安全培训、数据备份等制度,定期组织各部门信息安全员及机房管理员等进行网络安全等专题培训,提高安全防范意识,掌握设备正确操作方法,定期对重要数据进行备份。
2.3.2 人员配备及管理
高校要对各种感知设备、网络设施设备、服务器设备等重要设备设施进行有效管理,确保数字化校园平台及各种应用系统正常运转,组建机房管理人员、信息员、电脑维修员、网络管理员等专业人才队伍,提高技术人员工资,确保队伍稳定性,同时定期开展有关技术培训,提高其技术操作管理水平。
3 结束语
智慧校园使用到的信息技术种类很多,因学校环境条件限制、网络共享开放性要求高等诸多因素,使得各种信息技术在实践应用中暴露出一系列安全问题,对这些问题进行深入分析,研究有关对策,并努力实践,将智慧校园应用安全风险控制在最低范围内,为师生用户创造一个安全、开放、共享的数字化校园环境。
参考文献:
[1] 凌冠华.高校数字化校园的数据建设和安全管理研究[J].价值工程,2010(10).
[2] 唐秀忠.基于数字化校园的管理系统安全研究[J].思茅师范高等专科学校学报,2009(12).
近年来,随着信息安全等级保护工作机制的不断完善,主管部门监督检查力度的不断加大,信息系统开展等级测评的数量稳步增长,测评覆盖率显著提升。通过统计分析本单位近些年测评的数百个信息系统的数据,可以得出以下结论:一是较早开展等级测评的行业,经过测评和整改建设,测评符合率逐年提高;二是随着等级测评工作的持续推进,近期才开展首次测评的行业特别是基层单位的信息安全工作基础较薄弱,测评得分明显偏低。通过对物理安全、网络安全、主机安全、应用安全、数据安全、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等10个层面的测评结果进行统计,其中网络安全、主机安全、应用安全、系统运维管理等方面的不符合率相对较高,信息系统的建设、使用、运维阶段存在一些较普遍的问题。
信息系统安全保护措施落实情况分析
整体而言,随着等级测评工作的持续推进,党政机关、企事业单位对信息系统安全等级保护的认识和重视程度得到普遍提升,在管理和技术两方面主要采取了以下安全措施:
信息安全管理措施落实情况
在信息安全管理方面呈现出两级分化的特点。一些重点行业的业务信息化程度高、自身信息技术队伍力量足、信息安全投入经费有保障,其安全管理措施一般也能得到有效落实,在机构、人员、制度、建设管理、运维管理等方面均能较好地符合相关标准的要求。这一类的典型包括银行、证券、电力等行业主管部门对信息安全监管严格的几大行业。相反,部分对信息系统管控相对松散的单位如大专院校、在信息安全投入方面得不到充分保障的单位如基层政府部门,其信息安全专业人员的配备达不到标准规范的要求,安全责任部门地位偏低权限不足,很难制定并有效贯彻落实结合本单位实际的信息安全管理制度。
信息安全技术措施落实情况
多数单位通过部署边界安全设备,强化入侵防范措施来提高网络的安全性;通过加固操作系统和数据库的安全策略,启用安全审计,安装杀毒软件等措施,来提高主机安全防护水平;通过开发应用系统的安全模块,从身份鉴别、访问控制、日志记录等方面,强化业务应用的安全性;通过部署数据备份设备、加密措施,加强对数据安全的保护。
信息系统常见安全问题分析
随着等级测评工作的覆盖面进一步扩大,近年来初次测评的单位和基层部门仍发现一些典型问题。
信息安全意识有待提高
很多单位对当前日趋严峻的网络安全形势认识不足,将信息安全工作视为被动应付上级检查、被动应对安全事件的任务来消极对待。一些单位认为取得“基本符合”的测评结论就高枕无忧,完成测评备案就完成了等级保护。由此造成对信息安全合规的落实不够、资金和人员投入不足、重建设轻运维、有制度无执行、有预案不演练等问题,根源还是安全意识薄弱。
信息安全管理有待加强
信息安全管理不到位主要表现在安全管理制度、系统建设管理、系统运维管理等方面。
信息安全管理制度不完善。基层单位信息安全管理制度不全、人员配备不足、授权审批流于形式、执行记录缺失等问题较为常见。部分单位的信息安全管理制度照搬模版,未结合本单位实际进行修订,导致缺乏可操作性。
系统建设管理不到位。系统建设过程中落实信息安全“同步建设”原则不到位。在软件开发阶段较普遍未遵循安全编码规范,导致安全功能缺失、应用层漏洞频现。在系统验收阶段,很多单位仅注重业务功能验收,缺乏专门的安全性测试;电子政务类项目较普遍未按规定在项目验收环节完成“一证两报告”(即等级测评报告、风险评估报告和系统备案证明)。
系统运维管理不到位。在系统运维管理方面,部分单位运维和开发岗位不分,职责不清,存在一人身兼数职现象。很多单位在信息资产管理、介质管理、变更管理等方面缺乏操作规程和相关记录,数据备份策略不明,应急预案不完善并缺乏演练。
关键技术措施有待落实
分析近年来的测评结果,安全技术措施不足问题主要体现在以下几个方面:
在物理安全方面,随着电子政务集约化建设的推进,大量信息系统已经集中到高规格的专业机房,但仍有部分单位自有机房条件简陋,位置选择不规范,出入管理较随意,防盗防破坏、防雷防火防潮能力较差,环境监控措施不足。
在网络安全方面,常见网络和安全设备的配置不到位,如未合理划分区域、未精细配置访问控制策略、未对重要设备做地址绑定等;较普遍缺少专业审计系统。部分单位设备老旧,安全产品本身存在一定缺陷导致无法满足等级保护要求。个别单位用于生产控制的重要信息系统在网络层面未采取必要安全措施的同时,还违规接通互联网,存在极大的安全隐患。
在主机安全方面,部分单位存在弱口令、不启用登录失败处理和安全审计功能、不及时更新补丁、不关闭非必要服务等问题。此外,由于主流操作系统和数据库很少支持强制访问控制机制,相关要求普遍未落实。
在应用安全方面,很多应用软件安全功能不足,缺少身份鉴别、审计日志、信息加密等能力。由于很少进行安全扫描、渗透测试,相当一部分系统存在高危风险,如SQL注入、跨站脚本、文件上传等漏洞,以及弱口令、网页木马等问题。
在数据安全方面,较常见的是数据保密性和完整性措施薄弱。此外,部分信息系统的备份和恢复措施欠完善,缺乏有效的灾难恢复手段。
针对新技术的等级保护测评标准有待出台
随着浙江政务服务网的大力推进,省内各级政务云平台的建设使用已全面开展,有相当数量的电子政务系统已迁移上云。同时涉及城市公共设施、水电气等工控系统密集的行业对等级保护工作越来越重视,对云计算、工控系统、移动APP等的测评需求不断加大。但现有的《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》未涉及云计算、工业控制、移动互联等领域,在测评实践中已遇到诸多不适应情况。针对这些新技术新应用的等级保护测评标准需求已非常迫切。
重要信息系统安全保护对策建议
针对上述存在的问题,本文提出以下对策建议,以供参考。
提高信息安全意识
提高全员信息安全意识是全面提升信息安全保障水平的根本解决之道。要树立全体人员的安全观念,加强信息安全培训。除了通过强化工作考核和安全检查来督促信息安全工作的深入开展,还应通过多种方式开展信息安全政策解读和信息安全标准宣贯,强化对全员的安全意识教育和考查。建议结合一些合适的安全职业技能培训,落实信息安全相关岗位“持证上岗”的要求。
加强信息安全管理
“三分技术,七分管理”,各单位应转变观念,将“信息安全”与“系统稳定、功能正常”同等重视起来,将安全管理要求与自身业务紧密结合,制订完善的体系化的安全管理制度。
在系统建设管理过程中,应要求开发人员遵循安全编码规范进行开发;在系统验收环节,应认真做好安全性验收测试。在电子政务领域应落实国家对电子政务项目管理的制度要求,验收阶段完成等级测评,未通过测评的应不予验收。
在系统运维管理方面,应加强制定信息系统日常管理操作的详细规范,明确定义工作流程和操作步骤,使日常运行管理制度化、规范化。对信息资产按重要性进行分类梳理,建立完善应急灾备措施,定期开展演练,确保备份的有效性。
落实关键技术措施
针对测评发现的问题,各单位应根据系统所定级别,结合自身条件,综合考虑问题的影响范围、严重程度、整改难度等因素,制定整改计划,有步骤地落实相关技术措施。对于策略配置类的问题及时纠正;对于整改难度大、需要添置硬件或修改代码的问题,应在充分测试和试运行的基础上实施整改。对于强制访问控制、敏感标记、双因子鉴别等难点问题,建议国家加强相关产业政策的引导,促进安全厂商研发技术、推出产品,解决市场供应问题。各级主管部门应通过测评、整改、监督检查、再测评的闭环管理,督促关键技术措施的落实。
加快新技术的等级保护测评标准编制工作
目前公安部信息安全等级保护评估中心在牵头起草针对云计算安全的等级保护标准,尚处于征求意见阶段。其余新技术领域的等级保护标准制定工作进度更晚,随着智慧城市、云计算、大数据、移动互联、工业控制等新技术的快速应用,安全标准相对滞后的问题更加突出,应进一步加快相关新标准的制定。
关键词:安全;管理;制度;教育
1引言
高校计算机学科实验室是计算机专业人才培养和理论实践的重要平台[1-2]。目前,高校计算机学科实验室已经具备一定的规模,机房数量众多,学生使用频繁,所以能够给学生提供安全有序的实验环境对于实验室工作尤为重要。随着计算机学科实验设备的不断完善,实验设备数量的不断增多,目前主要存在的问题有:使用频率高、维护工作繁重、系统安全、防火防盗等。我们只有合理的预防和解决上述问题,才能确保计算机学科实验室更好地为计算机学科教学服务。
2计算机学科实验室安全管理存在的问题
2.1设备老化和故障问题
一般计算机学科实验室的设备更新周期都比较长,计算机主机及服务器等设备普遍都存在着超期服役的状况。这些设备在经过多年的高负荷运转后,不同批次的设备之间在合作上经常表面上是一片“和谐”,可在实际使用中,哪怕只是偶尔地发一次小脾气就会给实验教学工作带来极大的麻烦。此外设备故障也是计算机学科实验室安全管理最急迫的工作之一。计算机学科实验室的课程往往安排比较紧凑,因此机器使用频率高,设备故障问题特别突出,这就使得计算机学科实验室的管理和维护工作量逐年增大。如果没有及时解决这个问题,势必将直接影响实验教学的正常进行。这些故障中有一部分是设备自身的问题,更多的原因则是由于学生的非正常操作而导致的异常损坏,比如个别学生为了自己的使用偏好,遇到问题私自打开机箱,随意拔插设备部件等;部分学生甚至还会恶意破坏和删除程序,设置BIOS系统密码等,从而导致系统无法正常使用。
2.2系统安全问题
目前计算机学科实验室为了满足实验教学的要求,在学期初实验室都会根据课程要求,提前安装各种相关应用软件,所以基本上每台计算机主机都安装多个系统[2]。这种多操作系统的模式大大方便了平时的教学与考试使用,可是也容易因学生的误操作而导致系统受损、感染病毒甚至于系统崩溃。这其中最难预防的是病毒,因为使用计算机的人员不固定,而且经常用移动存储设备,这样如果设备携带病毒或者木马,病毒会对系统程序进行恶意篡改,造成系统瘫痪,信息丢失,而木马则会非法入侵我们的计算机,影响系统的运行安全。这些都会严重影响到实验室计算机的正常使用,一旦病毒和木马大规模发作和传播,甚至还会产生更严重的后果。
2.3环境安全问题
目前高校特别重视教学科研的资金投入,而对计算机学科实验室的工作重视程度不够,导致计算机学科实验室的环境安全存在很大的漏洞[3]。由于各个实验室都需要承担繁重的授课任务,人员流动性大,各个实验室都是满负荷、超年限工作,设备使用时间长、卫生得不到及时清理、空气得不到流通、电路超负荷、电路老化导致计算机硬件故障时有发生,电子设备引起的电磁干扰与高温也容易引发火灾等问题。同时,实验室内几乎都是电子设备,一旦出现实验室漏水,必将会导致对实验室设备不可逆转的严重损坏。
2.4管理人员问题
在安全领域,普遍认为最大的漏洞就是人。我校计算机学科实验室的实验管理人员日常维护管理工作繁重,需要对大量的计算机设备进行维护管理,同时还需要兼顾防火防盗和网络安全保障[4]。另外,由于课程需要和学院教学工作的统筹安排,中午和周末还需要上实验课,值班压力也大。这些因素都容易使得实验管理人员忽略对新知识、新技术的学习。然而计算机技术发展迅猛,新知识、新技术、新名词更是层出不穷,各种故障的排除方法也日新月异,这些对实验室管理人员的理论知识、技术技能等方面不断的提出新的要求和挑战[5]。
3加强计算机学科实验室安全的措施
通过对当前高校计算机学科实验室管理过程中普遍存在的安全问题的分析,我们必须从环境安全、制度规范,设备保障和安全教育等达到一定的指标要求,才能够保证我校计算机学科实验室安全、平稳的运行。
3.1加强环境安全管理
在计算机学科实验室所在的实验大楼里配备了红外报警系统、门禁管理系统、视频监控系统和场地火警报警系统等一系列现代化智能安全设备,并聘请专业保安人员全天候巡逻,以确保实验大楼的安全。每个实验室都配备消防栓,灭火器等安全设备,在楼道内配备了应急照明灯和感应式走廊灯。同时在实验室内部也采取各种安全保护措施,包括标准的接地保护,安装包括总配电开关、分线配电开关和设备供电开关的三层漏电保护装置,封闭实验室内部所有可能造成漏电的金属部位,以及使用全封闭的实验导线与插座[6]。预计在不久的将来,我校计算机学科实验室还将建成机房内部24小时全方位无死角安全监控系统,从而大大提升整个实验室的安全保障指数。
3.2完善安全管理制度
严格遵守国家在网络信息安全的各项法律、法规,遵守学校、学院和实验教学中心制定的各项信息安全制度,加强网络信息安全审查工作。网站信息系统的内容管理和安全审计由安全责任人执行,计算机学科实验室的网络由信息化建设办公室统一管理。建立有效的信息反馈机制、安全隐患排查机制和危机干预机制,针对计算机学科实验室的特点,制定实验室安全应急预案,预防实验室安全突发事件的发生。当实验室出现紧急情况时,实验室管理人员可以按照指导方针进行妥善处理,最大程度保护实验室内部人员和设备的安全。
3.3增加安全保障措施
及时更新实验室的软硬件设备,合理规划,科学安排,提高计算机系统运行的安全可靠性。同时建立有效的网络防病毒工作机制,保证计算机系统病毒库的及时更新。所有计算机设备定期进行木马查杀,检查系统运行日志,确保个人信息和网站的安全。后期考虑采用云桌面的模式,云桌面普遍使用沙箱系统,在虚拟机内的木马病毒仅存在于差分盘中,随着虚拟机的重启,差分盘会自动清除[7]。更重要的是定期对计算机学科实验室涉及到的重要数据定期进行备份,确保重要数据的安全。实验室的服务器机房规范使用艾默生精密空调进行24小时不间断工作,有效地保证机房内部的恒温恒湿,从而保证机房内部所有服务器安全平稳地运行,提高服务器的安全使用寿命;配备不间断电源UPS系统,保证所有服务器在突发断电的情况下,能够及时有效进行数据保存和恢复,从而保证实验室内部重要数据的安全。机房地板隔层铺设防静电地板,机房还配备烟感温感联合报警器,既能保证防火安全,又能有效降低误报率。
3.4重视师生安全教育
实验室定期开展师生的安全教育,增加安全防范意识,首先是对实验室人员培训如何正确使用灭火器以及对突发事件的处置,全体教师和值班员接受对突发事件处理的培训。新生一入学就分发实验室安全手册,做到人手一册,同时要求全院师生必须认真阅读和严格遵守。加强对新上岗人员和首次进入实验室的学生进行安全培训。新生进入实验室的第一次课就是关于实验室安全制度和实验室使用注意事项的教育,以提高学生的安全防范意识。对进入实验室做毕业设计、创新实验室和各科研实验室的学生加强安全知识和安全措施的学习,安全政策的宣传,安全案例的警示,提高执行制度的自觉性和安全防范的主动性[8]。
3.5定期开展安全检查
为了保证我校计算机学科实验室的使用安全,在每个学期开学前和放假后,实验室都会组织所有实验管理技术人员对各个实验室内配备的实验设备及安全设施进行逐一检查。在日常使用过程中,各个实验室都会经常进行安全自查和检修,确保所有的计算机设备都处于最佳运行状态,最大限度降低由于设备故障而导致的安全隐患。在每学期的最后一周,由学校实验室建设与设备管理处牵头,开展期末计算机学科实验室安全检查,要求实验教学中心各个机房重视实验设备的安全操作和科学管理,落实实验环境安全管理和实验室整洁状况的检查。此外,实验室严格执行学校推行的安全责任人制度,认真落实各个实验室的安全责任人,确保实验设备和实验室的安全有专人负责,真正做到责任落实到个人,安全落实到细节。
4结语
计算机学科实验室的安全管理需要我们科学规划、合理布局和统筹安排。针对我校计算机学科实验室安全所遇到的关键问题,从环境安全、制度规范,设备保障和安全教育等措施进行有利的保证。随着信息技术和各种新技术的出现,计算机学科实验室又将迎来新的安全问题,实验室管理人员只有坚持学习,多走出去,多交流研讨,努力探索,提高自身的业务水平,才能更好地保证计算机学科实验室的安全,提高我校计算机学科的实验教学质量,从而在一定程度上促进学生的动手能力和创新能力的提高,为我校的计算机学科发展提高坚实的基础保障,为我校建设省级高水平大学做出应有的贡献。
参考文献:
[1]谢瑞杰.高职院校计算机实验室建设与策略探讨[J].福建电脑,2015(7):131-132.
[2]胡建,徐汶.高校实验技术人员岗位意识初探[J].实验室科学,2007(3):183-185.
[3]贾雅娟.分析计算机系统安全问题及对策[J].网络安全技术与应用,2015,(05):73-74.
[4]余观夏,吴林根.浅析高校实验室安全与环境保护存在的问题[J].实验室研究与探索,2014,33(9):296-300.
[5]马晓燕,张文娟.新建本科院校计算机实验室的管理[J].电子制作,2015(4z):133-134.
[6]周晓兰,廖志鹏.论高校计算机实验教学中科学精神的培养[J].实验室研究与探索,2012,31(8):97-100.
[7]孙艳.环境科学与工程实验室安全与环保管理实践[J].实验技术与管理,2014,v.31;No.213(6):169-171.
[8]王凡,陈纯炼.基于桌面云的高校计算机实验室组建与管理[J].实验科学与技术,2015,13(3):190-193.
关键词:档案;风险;管理;安全
人事档案随着人事制度的改革,其工作也发展到了网络化和信息化的阶段,基于电子化的认识,档案的管理模式发生了从管档案到提供服务的过渡转变。同时,信息化的环境下各种各样的危险因素和隐患都会导致人事档案信息的泄露、篡改等,影响到人事档案的真实性、完整性、系统性。有鉴于此,本文主要对人事档案在信息时代的安全策略进行研究。
一、电子档案信息的基本特征
电子档案信息属于档案信息,除了网络化特征的共享性、流动性之外,还具有档案信息的基本特点:
(一)本源性特征。电子档案信息是基于人类生活和生产中的记录信息,其具有十分显著的本源特征。这也是电子档案信息和非档案信息的本质区别。
(二)回溯性特征。信息档案中的记录内容是对已经产生的一些历史、活动等信息的记载,这个过程作为一种记录性的内容具有明显的回溯特征。相对于纸质档案,其回溯功能更为简便。
(三)联系性特征。电子档案信息中便显出时间、形式、来源、内容上的关联,尽管是以文件单体的形式形成,但却是以文件组合的形式而存在和运动的。因而,具有显著的联系特征。
(四)分散性特征。在微观上,电子档案的形成有着阶段性、过程性的特点,在时间和内容上被分散和分割。因而,在整体上看信息内容杂乱、零散。在宏观上电子档案的形成数量和内容上多样化、层次不一,职能不同,档案的形成具有分散性和广泛性。除此之外,电子档案还具有网络和计算机软硬件的依赖性特征,存储的高密度特征、信息构成的复杂性特征等。
二、电子人事档案信息的安全需求
人事档案是反映个人的社会经历和工作实践的信息记载,也是一个人技术水平、业务素质、工作能力和思想品质的反映,无论是国有的企事业单位的录用还是民营公司的招聘中,都无一例外的会对个人的档案信息进行查阅。人事档案信息依赖于计算机的操作系统、软件和硬件以及计算机技术和网络技术,因而对互联网具有较大的依赖性,而互联网是一个开放式的平台,安全保障是重点。总的来说,人事电子档案的安全需求在以下几点:
(一)实体安全保护。实体安全保护指的是电子人事档案的存储的载体,也就是计算机的硬件平台,系统设备和相关的物理设施。实体安全是电子人事档案的前提,实体的安全若无法保证,整个电子档案的安全就无从谈起。
(二)软件安全保护。软件安全保护主要是保障电子档案信息在一定的软件环境下的安全操作,使档案信息避免被篡改、复制或是恶意的破坏。主要包括软件的自身安全、存储安全、通信安全以及使用运行安全等。
(三)信息内容的安全。这里主要指的是电子档案信息的数据安全。这是电子档案安全中的最重要的内容,包括数据的完整性保护、存储数据库的保护、档案数据的完整有效性等。
(四)网络安全。网络安全保护主要是针对计算机网络及其节点面临的威胁和网络的脆弱性而采取的防护措施。
三、影响电子人事档案安全的因素
网络环境下,电子人事档案的管理存在着许多的隐患和潜在的危险,主要影响因素表现在以下几个方面:
(一)电子人事档案的信息基础设施落后。这里主要包括计算机的网络系统、通信系统和电力分配系统等,这些系统对信息的安全至关重要。但是,实践中当前的硬件设施条件无法匹配完全管理的需要,使得人事档案的信息管理工作任务繁重,许多设备常常故障运行、运行环境较差、设备的兼容性较差、信息保存的环境恶劣,导致人事系统中的数据不可读取、丢失或被毁坏,严重威胁到电子人事档案的安全。
(二)电子人事档案的软件系统环境薄弱。在最初的软件环境的构建中就忽视了一些漏洞的存在,存在严重的漏洞风险,加上软件自身的安全缺陷和设计初期的遗留问题,给电子人事档案留下了致命的短板。此外,网络管理人员在人事档案的流转中未能发挥作用,对信息的基本加密、传送和存储处理等控制措施没有安全配置,导致了人事信息受到安全威胁。
(三)人事信息的管理不善。档案的安全管理法规和制度尚未健全,加之管理人员的业务素质、责任心等因素的影响都将给人事信息的管理带来安全风险。
(四)不法分子的恶意攻击。由于主观和客观上的原因,导致了许多不法分子恶意的攻击、损毁、窃取和篡改人事信息的案例,网络黑客频繁地攻击计算机系统,破坏数据库。主观上的盗取信息这无疑是最为严重的安全风险。
四、保证电子人事档案安全的对策
无论是实体的安全还是虚拟的安全,当前电子人事档案的管理上和技术上都存在着一些明显的缺陷和不足。为了应对安全风险,保证电子人事档案的安全,应从以下几个方面展开对策:
(一)强化人事档案的安全意识。无论是档案的管理人员、系统的平台维护人员还是信息的使用人员,都应树立科学的档案安全意识,将防御和防治结合起来,以防为主,防治结合的方针要严格贯彻,提升人员的责任感、安全感。认识到档案管理的重要性和网络安全的重要性,开展安全教育,将档案安全贯彻到每个人的头上。
(二)建立档案信息安全的保障体系。简单地从每一个环节上保障安全是不够的,需要联动地将每个环节都联系起来,建立一个整体性的保障体系措施。因而需要从战略角度来构建保障体系,考虑法律制度、法规条文、组织管理、产业发展、基础设施等,将技术措施、管理措施、法律约束融合为一体,让保障体系在根本上保障信息安全,确保信息的不泄密、不损坏、不丢失。
(三)完善相应的技术标准。规范化信息标准主要是针对数据库的运行规范、信息的使用规范做出一定的约束限制,避免因为主观上的失误导致信息的安全风险,通过多种形式制定适合于自身的保护和保密制度,将技术和法规协调,实现人事工作的安全协调,共同防护安全风险。
(四)建立安全保障机制。前面的措施主要的都是防范措施,一旦发生了信息的泄露或是发生了安全风险,如何来积极应对也应提前规划布局。人事信息的管理部门应完善和出台适用自身信息安全的预警系统和响应机制,对可能发生的危机和后果进行提前预判和估计,做好应急准备,完善防范手段,提升安全处置能力。建立人员的管理制度、技术管理制度、病毒防护制度等。加强日常安全风险排查活动,进行必要安全风险的演练,开展各式各样的安全培训活动,提升防护和防治技能。大数据时代,信息的电子化的趋势给档案馆带来了一定的改变和冲击,档案信息的收集和管理也出现了一些新的问题,其中最为突出的当属信息的安全问题。研究电子档案的信息安全是对传统档案管理研究的拓展,这对档案学的相关研究和发展理论有着一定的推动作用。在未来的实践中,档案安全应作为主要的研究方向,进一步从多角度、多维度展开深入研究。
参考文献:
[1]何莎.电子档案的形成及保护[J].档案.2011(02)
没有安全,何以生存,遑论发展;而信息时代安全的核心内容之一,便是信息安全。盖缘于此,世界上主要发达国家始终十分重视信息安全工作。
1998年5月22日,美国克林顿政府颁布了《保护美国关键基础设施》总统令(PDD63),围绕“信息安全”成立了包括全国信息安全委员会、全国信息安全同盟、关键基础设施保障办公室、首席信息官委员会等10余各全国性机构。同年,美国国家安全局(NSA)制定了《信息安全保障框架》(IATF),提出了深度防御策略。2000年发表了《总统国家安全战略报告》,首次将信息安全明确列入其中。布什政府在911之后成立了国土安全部、国家KIP委员会,并于2002年和2003年陆续颁布了《国家保障数字空间安全策略》、《国家安全战略报告》和《网络空间安全国家战略计划》。奥巴马总统上台不久,就亲自主导了为期60天的信息安全评估项目,并于2009年5月公布了《美国网络安全评估》报告,评估了美国政府在网络空间的安全战略、策略和标准,指出了存在的问题,并提出相应的行动计划。在此基础上,美国政府成立了网络安全办公室,任命了网络安全协调官。2010年6月,美国国防部正式成立了由战略司令部领导的网络战司令部,于2010年10月正式运行。2015年年底,美国《网络安全法》获得正式通过,成为美国当前规制网络安全信息共享的一部较为完备的法律,首次明确了网络安全信息共享的范围,并通过修订2002年《国土安全法》的相关内容,规范国家网络安全增强、联邦网络安全人事评估及其他网络事项。
俄罗斯则早在1995年便颁布了《联邦信息、信息化和信息保护法》,明确界定了信息资源开放和保密的范畴,提出了保护信息的法律责任。1997年俄罗斯出台的《俄罗斯国家安全构想》中明确提出,“保障国家安全应把保障国家经济安全放在第一位”,而“信息安全又是经济安全的重中之重”。2000年普京总统批准了《国家信息安全学说》,明确了俄罗斯联邦信息安全建设的目的、任务、原则和主要内容。
我国政府高度重视信息安全工作,早在1994年,国务院便以147号令颁布了《中华人民共和国计算机信息系统安全保护条例》;2003年国务院成立应急办,颁布了《国家突发公共卫生事件应急条例》;2006年公布了《国家突发公共事件总体应急预案》和《国家网络与信息安全事件应急预案》,确定了4大公共事件及网络信息安全事件的应急措施预案;2007年制定了《国家突发事件应对法》。此外,信息产业部、工信部以及各地方政府和部门在近十余年时间里也陆续出台了各类与信息安全相关的法律法规。信息安全在我国的国家层面上受到高度重视,目前已上升为国家战略。相应地,信息安全工作也已成为各行各业信息化战略规划和信息化建设中不可或缺的内容,气象部门也不例外。
信息安全是一个永恒的主题,信息安全工作永远没有终结的一刻。在国家大力倡导信息化、互联网+、大数据应用和信息安全的现在,认真系统地回顾和审视气象信息安全工作,是完全必要的,因为这可使我们及早发现问题、查漏补缺,使气象信息安全工作进一步发挥出应有的作用。
二、信息安全的本质
(一)信息安全的内涵和特征
信息是气象部门最宝贵的资产,是气象部门赖以立身的最为珍贵的资源。因此,必须对所有气象信息进行妥善的保护。
按业界的规范定义,信息安全主要指信息的保密性、完整性和可用性的保持,即:通过采用计算机软硬件技术、网络技术、密钥技术等安全技术和各种组织管理措施,保护信息在其生命周期内的产生、传输、交换、处理和存储等各个环节中,信息的保密性、完整性和可用性不被破坏,保障业务的连续性,最大限度地减少业务的损失,最大限度地获取业务回报。其中:保密性是指确保只有那些被授予特定权限的人才能够访问到信息;完整性是指保证信息和处理方法的正确性和完整性;可用性则是指确保那些已被授权的用户在其需要的时候,确实可以访问到所需信息。此属常识,不予展开。
信息安全具有如下特征:
1. 信息安全是系统的安全
信息产生于系统、存在于系统、被系统所使用并由系统发挥其作用,所有与信息相关的各系统皆必须纳入信息安全的视野,予以充分的关注和考虑。此外,信息安全是整体的安全,所有与信息相关的部分由信息串联而构成一个相对完整的系统,它的安全直接关系到信息的安全。
2. 信息安全是动态的安全
信息的安全保障是一个动态的过程,没有永久的安全,也不存在满足信息安全的充分条件,信息安全问题不可能一劳永逸地予以解决。保护信息安全不可能是绝对的,而是多种约束条件下的折衷的选择。随着事物的发展和技术的进步,约束条件必然发生变化,而约束条件的变化又将必然导致信息安全方针、策略和措施的相应调整和变化。
3. 信息安全是无边界的安全
网络的广泛互联使得信息系统环境的边界越来越模糊,传统意义上的国界、前方和后方正在消失,人们几乎可以从任何地点、任何时间对任何对象发起网络攻击,因此信息安全是广泛的、无国界的,它无法单凭一个国家、地区或部门就能完全控制,需要从全球信息化角度综合考虑和整体布局。
4. 信息安全是非传统的安全
传统的具有典型外在物理特征的安全因素(如:军事、自然灾害、人为暴力破坏等等)已无法涵盖信息安全所应考虑的全部范畴。在没有诸如军事入侵、自然灾害、传统意义上的恐怖袭击等情况下,信息和信息系统的安全依然会受到诸如计算机病毒、黑客攻击、计算机犯罪、信息垃圾和信息污染等严重威胁。国家的电信、金融、能源、交通等核心领域,气象部门的数据通信、信息处理等核心系统,可能在极短的时间内被攻击瘫痪,导致社会运转的瘫痪和气象业务的崩溃,而此时所有系统的物理器件并未因此而发生实质性的损伤。
信息安全既是信息技术问题,也是组织管理问题。因为信息安全最终必将落实到信息系统的安全层面上,并最终由一个个具体的信息技术和相关产品的有机组合予以实现,没有符合实际的明确的安全目标和方针、科学的设计、认真的维护、以及不断地主动发现新的安全问题并及时予以解决,是无法有效地形成安全环境的;就一个部门而言,一个相对安全的环境的构成必须从人的行为规范、安全体系的科学设计以及部门内部安全环境的构成等诸多方面综合考虑、整体设计,方才可能。因此信息安全并非单纯是技术和技术产品问题,更是组织管理问题,无法单凭技术手段予以解决。
此外,从法律、舆论以及信息战和虚拟空间等更高层面考虑,信息安全也是社会问题和国家安全问题。此非本文所考虑的范围,故不予展开。
(二)信息安全的一些认识误区
应当承认,由于各种原因,至今气象部门的一些同事中,对信息安全仍存在一定的认识误区,以下问题应予充分重视:
1. 单纯的安全技术和产品的应用不能解决信息安全
信息安全问题并非单纯的技术问题,信息安全技术和产品的简单应用并不意味着部门整体的信息安全,不能指望简单地规划了DMZ区、在局域网出入端配置了防火墙、在个人电脑中安装了杀毒软件、远程通信采用VPN技术后,部门的信息安全问题便可基本解决。事实上,诸如防火墙、堡垒机、杀毒软件等安全产品,仅仅是构建部门信息安全防护体系的砖石,如果没有科学的整体设计和有效的实施方案,单凭砖石和瓦块的简单甚至随意堆垒,是无法构建成有效的安全防护体系的。因此:
防火墙+ 堡垒机+ 杀毒软件≠信息安全
2. 业务连续性的有效保障不能替代部门的信息安全
业务连续性的有效保障是部门行政领导最为关注的安全问题之一,为此往往不惜代价不计成本,而建立业务备份中心或灾难备份中心是目前较为流行的保障措施。但备份中心的建立也并不一定意味着部门整体的信息安全,因为业务连续性的保障仅属于信息安全三要素中“信息可用性”的范畴,如果不同时考虑信息的保密性和完整性,同样无法从整体上解决部门的信息安全问题;而信息的私密性和完整性与备份中心之间并无必然联系。因此:
备份中心≠信息安全
3. 网络防御不能代替信息安全
传统意义上的网络安全包括网络协议安全、网络设备安全和网络架构安全,侧重于网络自身的健壮性以及抗网络攻击的能力。然而如果网络上运行的系统自身存在一定缺陷、软件存在BUG,以及人为操作失误(如:误删除、误修改等),则上述内容和措施便将束手无策。所以,网络的抗攻击和抗偷盗能力不能完全解决信息安全问题。
类似的认识误区还有若干,限于篇幅,不再枚举。
三、基于风险管理的信息安全管理
(一)信息安全管理
统计结果表明,在所有信息安全事故中,只有20%~30%是由于黑客入侵或其他外部原因造成的,其余的70%~80%则是因内部员工的疏忽或有意违规而造成的。站在全局的高度上来考察信息和网络安全的全貌就会发现:安全问题实际上都是人的问题,单凭技术手段是无法予以根本解决的。
信息安全是一个多层面、多因素的过程,如果仅凭一时的需要,头疼医头脚疼医脚地制定一些控制措施和引入某些技术产品,难免挂一漏万、顾此失彼,使得信息安全这只“木桶”出现若干“短板”,从而无法提高信息安全的整体水平。
对于信息安全而言,技术和产品是基础,管理才是关键。如同砖瓦建材需要良好的设计和施工才能搭建成坚固耐用的建筑,安全技术和安全产品需要通过管理的组织职能方才能够发挥出最佳效果。事实充分证明,管理良好的系统远比技术虽然高超但管理混乱不堪的系统安全得多。因此,先进科学的、易于理解且方便操作的安全策略对信息安全至关重要;而建立一个管理框架,让好的安全策略在这个框架内可重复实施,并不断得到修正,就会拥有持续的安全。
所谓信息安全管理,是指部门或组织中为了完成信息安全目标,针对信息系统,遵循安全策略,按照规定的程序,运用恰当的方法,而进行的规划、组织、指导、协调和控制等活动和过程;是通过维护信息的保密性、完整性和可用性,来管理和保护组织所有的信息资产的一项体制;是部门或组织中用于指导和管理各种控制信息安全风险的一组相互协调的活动。有效的信息安全管理要尽量做到在有限的成本下,保证将安全风险控制在可接受的范围之内。
信息安全管理包括:安全规划、风险管理、应急计划、安全教育培训、安全系统评估、安全认证等多方面内容。
(二)基于风险的信息安全
1. 安全和风险
步履蹒跚的耄耋老人终日待在家中肯定比在熙熙攘攘的大街上行走安全,但即使在家中,也仍有因行走或站立不稳而跌倒的可能,不如身边陪有专人看护安全;然即便家中有专人看护,也不如将老人长期安置在医院,在全套设备和专业医护人员看护下安全,如此等等。可见,所谓安全都是相对而言的,没有绝对的安全;而安全的效果或等级越高,往往付出的代价或成本也越高,信息安全也是如此。
安全是相对于风险而言的,某种安全水平的达到意味着某种或某类风险的得以规避:双机热备技术可以避免单点故障所导致的业务中断,两地三中心灾备模式可以保证即便在发生局地严重灾害时部门业务的连续性。但绝对的安全是没有的:双机热备技术无法避免供电系统故障的风险,而大型陨石撞击地球,将导致生态系统的崩溃和物种灭绝,遑论灾备两地三中心以及部门业务连续性了。
然而,风险是由可能性与后果的组合来计算和度量的。尽管两地三中心灾备模式无法应对地球遭遇大型陨石撞击的毁灭性灾害,但该灾害发生的可能性却微乎其微,未来数百年几乎没有可能。因此此灾虽然为害甚烈,但发生的可能性却几近于零,不必予以考虑。
2. 风险管理
绝对的零风险是不存在的,要想实现零风险也是不现实的。同时,规避风险是需要代价的,规避的风险种类越多,所付出的代价往往越大。就计算机系统而言,安全性越高,其可用性往往越低,需要付出的成本也越大。因此,信息安全建设的宗旨之一,就是在综合考虑成本与效益的前提下,通过恰当、足够、综合的安全措施来控制风险,使残余风险降低到可接受的程度。亦即,需要在安全性和可用性,以及安全性和成本投入之间做出一种平衡。
所以,根本上说,信息安全是一个风险管理过程,而不是一个技术实现过程。
风险管理是指如何在一个肯定有风险的环境里,利用有限的资源把风险减至最低的管理过程。风险管理包括对风险的量度、评估和应变策略等。理想的风险管理,是一连串排好优先次序的过程,使导致最大损失及最可能发生的安全事件优先处理、而相对风险较低的事件则押后处理。
风险管理的首要内容之一,是风险识别和风险评估。因为,信息安全体系的建立首先需要确定信息安全的需求,而获取信息安全需求的主要手段就是安全风险评估。因此,信息安全风险评估是信息安全管理体系建立的基础;没有风险评估,信息安全管理体系的建立就没有依据。
风险管理的另一项重要内容,就是对风险评估的结果进行相应的风险处置,只有对已知风险逐一进行有针对性的妥善处置,才能化解和规避这些风险,达到信息安全的目的。因此,风险处置是信息安全的核心。从本质上讲,风险处置的最佳集合就是信息安全管理体系的控制措施集合;而控制目标、控制手段、实施指南的逻辑梳理、以形成这些风险控制措施集合的过程,就是信息安全体系的建立过程。亦即,信息安全管理体系的核心就是这些最佳控制措施的集合。
需要强调的是,由于信息安全风险和事件不可能完全避免,因此信息安全管理必须以风险管理的方式,不求完全消除风险,但求限制、化解和规避风险。而好的风险管理过程可以让气象部门以最具有成本效益的方式运行,并且使已知的风险维持在可接受的水平,使气象部门可以用一种一致的、条理清晰的方式来组织有限的资源,确定风险处置优先级,更好地管理风险,而不是将保贵的资源用于解决所有可能的风险。
事物是在不断变化的,新的风险不断出现,因此风险管理过程需要不断改进、完善、更新和提高。
四、当前气象信息安全存在的问题
尽管气象部门至今尚未发生重大信息安全事件,但这并不能说明气象部门的信息安全工作已万事大吉,信息安全体系固若金汤。依照信息安全管理的规范考察,气象部门的信息安全工作至少存在如下问题:
(一)基础工作存在缺失
1. 信息安全目标
通常意义下的信息安全目标,一般都是确保信息的机密性、完整性、可用性,以及可控性和不可否认性等等。但部门不同,具体的情况不同,安全性需求的程度、信息安全所面临的风险、付出的代价也各有不同;如:就信息的机密性而言,军事部门的要求远远高于气象部门;而就信息的可用性而言,气象部门对业务连续性的要求也较土地勘测管理部门为高。因此,泛泛的信息安全目标没有任何意义,所有可用的信息安全目标都是切合部门具体实际情况的,是本土化、部门化的。
没有切合气象部门具体实际情况的、具有鲜明气象特色的信息安全目标,是目前存在的突出问题。
必须明确,气象部门信息安全目标的确定,是管理层的职责。管理层对信息安全目标的要求,决定了气象部门信息安全工作的走向。气象信息业务部门负责气象信息安全既定目标的具体落实,其工作的质量和效率,决定了气象部门是否能够达到信息安全管理的目标。
2. 信息安全方针
信息安全方针是为信息安全工作提供与业务需求和法律法规相一致的管理指示及相应的支持举措。信息安全方针应该做到:对本部门的信息安全加以定义,陈述管理层对信息安全的意图,明确分工和责任,约定信息安全管理的范围,对特定的原则、标准和遵守要求进行说明,等等。气象部门的信息安全方针至少应当说明以下问题:气象信息安全的整体目标、范围以及重要性,气象信息安全工作的基本原则,风险评估和风险控制措施的架构,需要遵守的法规和制度,信息安全责任分配,信息系统用户和运行维护人员应该遵守的规则,等等。
遗憾的是,以此为基本内容的信息安全方针,至今在气象部门尚未确立。
3. 信息安全组织机构
为有效实施部门的信息安全管理,保障和实施部门的信息安全,在部门内部建立信息安全组织架构(或指定现有单位承担其相应职责)是十分必要的。
在一个部门或机构中,安全角色与责任的不明确是实施信息安全过程中的最大障碍。因此,建立信息安全组织并落实相应责任,是该部门实施信息安全管理的第一步。这些组织机构需要高层管理者的参与(如本部门信息化领导小组),以负责重大决策,提供资源并对工作方向、职责分配给出清晰的说明,等等。此外,信息安全组织成员还应包括与信息安全相关的所有部门(如行政、人事、安保、采购、外联),以便各司其责,协调配合。
遗憾的是,类似的组织机构在气象部门内即便已经存在,至今也未真正履行其应负的职责。
4. 信息资产管理
信息资产管理的主要内容包括:识别信息资产,确定信息资产的属主及责任方,信息资产的安全需求分类,以及各类信息资产的安全策略和具体措施,等等。
就气象部门而言,对信息资产(即:气象信息资源和气象信息系统)进行识别、明确归属以及分类等工作,有利于信息安全措施的有效实施。以分类为例:我们知道,对某特定气象资料或业务系统实施过多和过度的保护不仅浪费资源,而且不利于资料效益的充分发挥和系统的正常运行;而若保护不力,则更可能导致气象信息数据和系统产生重大安全隐患,乃至出现安全事故。对气象信息资产进行分类,可明确界定各具体资产的保护需求和等级,如此可以根据类别的不同,调整合适的资源、财力、物力,对重要的气象信息资源和系统实施有针对性的、符合其特点的信息安全重点保护,如此等等。
同样遗憾的是,气象部门至今尚未实施真正意义上的完整的气象信息资产管理。
类似缺失的基础工作还有很多,不再枚举。
基础工作的缺失,导致气象信息安全工作的不扎实、不稳固,是气象信息安全工作长期滞后于信息化基础建设的主要原因之一。
(二)完整的信息安全管理体系尚未建成
按照ISO的定义,信息安全管理体系(ISMS:Information Security Management System)是“组织在整体或特定范围内建立的信息安全方针和目标,以及完成这些目标所用的方法和体系。它是直接管理活动的结果,表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合”。
信息安全管理体系要求部门或组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择安全事件控制目标和相应处置措施等一系列活动,来建立信息安全管理体系。该体系是基于系统、全面、科学的安全风险评估而建立起来的,它体现以预防控制为主的思想,强调遵守国家有关信息安全的法律法规及其它地方、行业的相关要求。该体系强调全过程管理和动态控制,本着控制费用与风险相平衡的原则,合理选择安全控制方式。该体系同时强调保护部门所拥有的关键性信息资产(而不见得是全部信息资产),确保需要保护的信息的保密性、完整性和可用性,以最佳效益的形式维护部门的合法利益、保持部门的业务连续性。
由于基础性工作尚未全部就绪,目前气象部门尚未建立真正意义上的、基于风险管理的科学而完整的气象信息安全管理体系。
在气象部门建立完整的信息安全管理体系,可以对气象部门的关键信息资产进行全面系统的保护,在信息系统受到侵袭时确保业务持续开展并将损失降到最低程度;并使气象部门在信息安全工作领域实现动态的、系统地、全员参与的、制度化的、以预防为主的信息安全管理方式,用最低的成本,达到可接受的信息安全水平。此外,完整的信息安全管理体系的建立,也可使部门外协作单位对气象部门的安全能力充满信心,这一点在当前大数据应用浪潮正在全社会迅速漫延的背景下,尤其重要。
(三)业务格局的分散加大了安全管理问题的复杂度
目前气象部门依然沿用着已延续数十年的国省地县四级业务层级,而业务系统的属地化,以及诸如“具备业务功能意味着拥有业务系统、拥有业务系统意味着拥有信息资产以及基础资源和设施”等传统观念的束缚,使得各个业务系统在地理分布上呈现出全国遍地开花的局面,各级业务单位都拥有自己的信息业务系统和相应的局地信息业务环境。彼此通过内部专网(VPN)或甚至通过互联网进行互联,在全国形成网状与树状相结合的、十分复杂的业务网络结构。
由于各级单位都在当地拥有各自规模不等的信息业务系统及相应环境(包括为业务系统提供数据支撑的气象数据库),因此各单位都面临着本单位的信息安全管理问题。尤其是一些气象数据在各级业务单位的广泛复制,使得各级业务单位中数据同质化现象十分突出,也为这些数据的保密性和完整性(包括一致性)的保持增加了大量变数。此外,由于编制所限,地县两级业务单位中IT技术人员奇缺,既无法保障信息业务系统的日常维护,更无法为本单位信息安全提供专业化管理。
这种业务格局的分散,加大了气象部门信息安全管理问题的复杂度。
限于篇幅,其余问题不再枚举。
五、建立完整的气象信息安全管理体系
综上所述,在气象部门建立完整的气象信息安全管理体系,是非常必要的;就目前全社会所倡导的大数据应用和云计算趋势而言,这项工作具有较强的紧迫性,应尽早开展相应的工作。归纳起来,有如下几点:
(一)适时着手建立完整的气象信息安全管理体系
1. 完成基础性工作
应尽早明确信息安全的方针,为气象部门信息安全工作确定目标、范围、责任、原则、标准、架构和法律法规。
应以适当方式组建或明确气象信息安全的管理和实施机构,并确保所有相关单位能够悉数纳入其中,明确分工和职责,以便各司其职,彼此协调工作。
应在管理层的统一组织下,以适当的形式,全面完成气象部门内部的信息资产普查、归属认定、安全需求等级划分以及安全等级保护措施等,制定气象信息资产管理策略、制度和方法,逐步推广实施,从而完成气象信息资产的有效管理。
2. 适时进行信息安全风险评估并制订风险处置方案
制定风险评估方案、选择评估方法,以此为依据完成气象信息安全风险要素识别,发现系统存在的威胁和系统的脆弱性,并确定相应的控制措施。在此基础上,对所有风险逐一判断其发生的可能性和影响的范围及程度,综合各种分析结果,最终逐一判定这些风险各自的等级。
在风险等级判定的基础上,以“将风险始终控制在可接受范围内”为宗旨,制订有针对性的风险处置方案,包括:可接受风险的甄别和确定,不可接受风险的控制程度,风险处置方式的选择和控制措施的确定,制订具体的气象信息安全方案和综合控制措施,科学合理地运用“减低风险”、“转移风险”、“规避风险”和“接受风险”等方法,形成综合的气象信息安全风险处置方案,并部署实施。
3. 建立完整的气象信息安全管理体系
在上述工作以及其它相关工作的基础上,参照BS 7799-2:2002 《信息安全管理体系规范》、 ISO/ IEC17799:2000《信息技术-信息安全管理实施细则》等国际标准,以及GB/T22080-2008《信息安全管理体系要求》、GB/T20269-2006《信息系统安全管理要求》、GB/T20984-2007《信息安全风险评估规范》等国家标准,完成组织落实、措施落实、方案落实和相应文档的编写,以及所有相关的审查、职责界定和制度建设,以构成气象部门的信息安全管理体系。
(二)将信息安全管理体系纳入气象信息化战略之中
信息安全与信息化发展息息相关,是一切信息化工作的基础,涉及到信息化工作的方方面面。气象部门是以信息采集、分析处理和为工作特征的典型的信息应用部门,气象业务系统是典型的信息系统,因此信息安全对于气象部门尤为重要。气象事业的健康发展离不开信息化,也同样离不开信息安全。气象信息安全应当是气象信息化工作中最为重要的内容之一,气象信息安全管理体系的构建和持续改进也应当成为未来气象信息化战略中极其重要的内容。
信息安全是管理问题而非技术问题,从某种角度看,信息安全管理体系是以策略为核心,以管理为基础,以技术为手段的安全理念的具体落实。有什么样的理念,就有什么样的方针、策略、制度措施和体系架构。无法想象在管理理念和安全意识十分落后的思维环境中,能够构建起科学完备的信息安全管理体系来。因此,安全管理理念的全面提高和安全意识的充分到位,是气象信息安全所有工作正常开展的前提。就气象部门管理层而言,着力消除曾长时间弥漫于全部门信息安全领域的重技术轻管理的观念,将关注点从研究安全技术和产品应用转移到信息资产管理、风险识别和控制以及整体安全战略的制定等管理层面上来,是其不可推卸的责任。应当在全部门倡导信息安全意识、制定并推行信息安全制度、确定信息安全责任、组织信息安全培训,构建起完整的气象信息安全管理体系。
六、结语
在政府大力强调信息安全意识,强力推动信息安全工作的背景下,各行各业均把信息安全工作列入本部门或单位的工作议程,气象部门也是如此。但如何科学有效地构建起具有鲜明气象特色的信息安全防护体系,充分把控所有已知的安全风险,使有限的投入得到最大限度的安全回报,这是气象部门管理层和IT工作者需要认真研究并努力实践的工作。
信息安全首先是意识问题、观念问题,要想真正打造安全的业务环境,在气象部门全体员工中(特别是在管理层干部中)树立良好的安全意识,是至关重要的。
2014年,在深刻领会主席“没有信息化就没有现代化”的重要指示精神后,气象部门提出了“没有信息化就没有气象现代化”的口号。那么,针对提出的“没有信息安全就没有国家安全”的另一重要论断,气象部门是否也应提出相应的口号――
“没有信息安全,就没有气象业务安全”。