-z.淺談水務網絡信息平安管理[摘要]本文介紹了水務信息化快速開展進程中，水務網絡信息平安工作的重要性，水務網絡平安管理現狀，分析了當前網絡信息平安面臨的平安風險及主要原因，并從完善信息平安規劃、加強日常平安維護保障和信息平安教育培訓3個方面提出改良措施與解決方法。[關鍵詞]水務；網絡信息平安；管理[中圖]F272.7[文獻標識碼]A[文章編號]1673-0194〔2013〕20-0054-030引言隨著**水務信息化工作的快速推進和不斷深化，電子政務、數字水務、水務公共信息平臺、水資源管理系統等信息化成果有力推動了水務的現代化建立。網絡平臺作為信息化建立和信息化成果應用的重要根底平臺，支撐起了巨大的IT價值，是水務IT價值實現的根本和根底。在互聯網快速開展的背景下，網絡攻擊手段日益增多，信息系統所面臨的平安風險也越來越多，如何確保網絡信息平安已成為水務信息化進程中的一項重要工作。1現狀分析**水務網絡由中國水利信息網接入網、市防汛水務專網、市政務外網接入網、辦公局域網、無線專網等網絡組成，實現了上連國家防總、水利部、全國流域機構，中連全市各委辦局、下連所有局屬單位以及全市各區縣防汛指揮部，系統承載了防汛報訊系統、電子政務系統、水務公共信息平臺、視頻會議系統、視頻監控、水務熱線、水資源管理系統等重要水務防汛應用。為確保網絡運行平安和系統應用正常，水務網絡實施了一系列的平安防護措施，主要包括：在網絡邊界處部署平安訪問控制設備，如防火墻、上網行為設備等，建立了平安的通信連接，確保數據訪問合法并在有效的平安管理控制之下，同時作為抵御外部威脅的第一道防線，有效檢測和防御惡意入侵；在網絡核心部位和重要區域部署了入侵檢測設備，分析網絡傳輸數據，檢查網絡或系統中是否存在違反平安策略的行為和被攻擊的跡象；開展計算環境平安管理，主要內容包括操作系統策略管理、統一病毒防護管理、平安補丁管理等。2面臨的平安風險2.1信息系統缺乏同步平安建立信息化進程中，普遍存在重建立輕管理，重應用功能輕平安防護，導致信息系統在建立過程中沒有充分考慮信息平安防護措施和管理要求，通常在平安測評階段，根據相應的測評指標，臨時、被動地實施相關平安防護措施，雖然滿足了測評的根本要求，但是平安措施比擬零散，缺乏體系和相互關聯，甚至實施的平安措施治標不治本，平安隱患重重。2.2未充分發揮平安產品防御作用當前，信息平安已深入到業務行為關聯和信息內容語義*疇。防火墻的訪問控制、入侵檢測的預警判斷、網閘的數據傳輸控制以及平安審計信息的合規性判斷均來自應用平安策略要求，信息平安產品更多的是面向應用層面的信息平安控制。但是由于系統開發缺乏明確的平安需求，造成了信息平安產品針對其實施的平安策略權限開放過大或無平安策略，平安告警無法有效判斷，使得局部產品形同虛設，不能充分發揮其防御作用。2.3軟件漏洞軟件漏洞是信息平安問題的根源之一，易引發信息竊取、資源被控、系統崩潰等平安事件。軟件漏洞主要涉及操作系統漏洞、數據庫系統漏洞、中間件漏洞、應用程序漏洞等。操作系統、數據庫等廠商會不定期針對漏洞發布相應的補丁，但是，由于應用系統運行對程序開發環境的依賴度較高，補丁升級存在較大平安風險和不確定性，使得應用部門通常不實施操作系統等相關補丁升級工作。此外，應用程序本身也普遍缺失平安技術，存在諸多未知平安漏洞等問題。2.4網絡病毒計算機病毒是數據平安的頭號大敵，根據國家計算機病毒應急處理中心發布的?2011年全國信息網絡平安狀況與計算機及移動終端病毒疫情調查分析報告?，2011年全國計算機病毒感染率為48.87%，雖呈下降態勢，但是病毒帶來的危害越來越大。2.5黑客攻擊國家互聯網應急中心〔CERT〕的最新數據顯示，中國遭受境外網絡攻擊的情況日趨嚴重。CERT抽樣監測發現，2013年1月1日至2月28日缺乏60天的時間里，境外6747臺木馬或僵尸網絡控制效勞器控制了中國境內190萬余臺主機。在信息系統漏洞頻出的情況下，面向有組織的黑客攻擊行為，現有的技術防護和平安管理措施捉襟見肘。2.6信息平安意識薄弱人是信息平安工作的核心因素，其平安管理水平將直接影響信息平安保障工作。由于缺少宣傳、培訓和教育，用戶信息平安意識較為淡薄。由于平安意識淡薄和缺乏識別潛在的平安風險，用戶在實際工作中容易產生違規操作，引發信息平安問題或失泄密事件。3采取的管理措施存在這些平安風險的主要原因為缺乏信息平安規劃、缺乏持續改良的平安維護保障措施以及平安意識薄弱等，所以做好該局部工作是解決當前所面臨平安風險的主要措施。3.1信息平安規劃信息平安規劃是一個涉及技術、管理、法規等多方面的綜合工程，是確保物理平安、網絡平安、主機平安、應用平安和數據平安的系統性規劃。信息平安規劃既依托于信息化規劃，又是信息化的重要組成局部。在信息平安規劃的指導下，信息系統平安建立與管理才能有方案、有方向、有目標。信息平安規劃框架如圖1。3.1.1以信息化規劃為指引，以信息化建立現狀為根底信息平安規劃是以信息化規劃為指引，以信息化建立現狀為根底，系統性的規劃信息平安架構，是信息化開展中的重要環節。信息平安規劃一方面要對信息化開展現狀進展深入和全面的調研，摸清家底、掌握情況，分析當前存在的平安問題和信息化開展所帶來的平安需求，另一方面要緊緊圍繞信息化規劃，按照信息化開展戰略和思路，同步考慮信息平安問題。3.1.2建立信息平安體系信息平安規劃需要圍繞技術平安、管理平安、組織平安進展全面的考慮，建立相應的信息平安體系，確定信息平安的任務、目標、戰略以及人員保障。3.2日常平安運維保障3.2.1關注互聯網平安動態互聯網的快速開展使得水務網絡平安與互聯網平安密切相關。因此，關注互聯網平安動態，及時更新或調整水務網絡平安策略和防護措施，是日常平安管理工作中的一項重要工作。3.2.2平安態勢分析網絡信息平安是一個動態開展的過程，固化的平安防護措施無法持續確保網絡環境平安。定期對網絡平安環境進展態勢分析不僅可以掌握當前存在的問題，面臨的風險，而且可以及時總結原因，制定改良策略。平安態勢分析主要通過對網絡設備、平安設備、主機設備及平安管理工具等策略變更信息、日志信息、平安告警信息等，經過統計和關聯分析，綜合評估網絡系統平安狀態，并判斷開展變化趨勢。3.2.3信息平安風險評估風險評估是信息平安管理工作的關鍵環節。通過開展風險評估工作，可以發現信息平安存在的主要問題和矛盾，找到解決諸多問題的方法。平安風險評估的主要步驟和方法：①確定被評估的關鍵信息資產；②通過文檔審閱、脆弱性掃描、本地審計、人員訪談、現場觀測等方式，獲得評估范圍內主機、網絡、應用等方面與信息平安相關的技術與管理信息；③對所獲得的信息進展綜合分析，鑒別被評估信息資產存在的平安問題與風險；④從系統脆弱性鑒別、漏洞和威脅分析、現有技術和管理措施、管理制度等方面，根據不同風險的優先級，分析、確定管理相應風險的控制措施；⑤基于以上分析的結果，形成相應的信息平安風險評估報告。3.2.4應急響應應急響應是信息平安防護的最后一道防線，其主要目的是盡可能地減小和控制信息平安事件的損失，提供有效的響應和恢復。應急響應包括事先應急準備和事件發生后的響應措施兩局部。事先應急準備主要包括明確組織指揮體系，預警及預防機制，應急響應流程，應急隊伍、應急設備、技術資料、經費等應急保障，定期開展應急演練等工作。事件發生后的應急措施包括收集系統特征，檢測病毒、后門等惡意代碼，限制或關閉網絡效勞，系統恢復等工作。這兩方面互相補充，事前應急準備為事件發生后的響應提供指導，事后的響應處置進一步促進事前準備工作的不斷完善。3.3教育培訓人是信息平安工作的核心因素，其知識構造和應用水平將直接影響信息平安保障工作。加強相關信息平安管理人員的專業培訓，以及開展面向網絡用戶的信息平安宣傳教育、行為引導等，是提升信息平安專業化管理水平，提高信息平安意識，有效防止信息平安問題或失泄密事件發生的重要工作。4總結隨著信息化進程的加快，信息系統所面臨的平安風險越來越多，信息平安管理工作要求也逐步提高。持續分析、總結網絡信息平安管理中存在的問題，并采取針對性的措施不斷加以改良，成為保證水務信息化戰略實現、不斷提升水務部門管理能力和效勞水平的重要根底保障工作。