黃 銳，唐祖華

（1. 水利部海委信息中心，天津 300170；2. 水利部海委綜合管理中心，天津 300170）

構(gòu)建海委信息安全管理體系的研究

黃 銳1，唐祖華2

（1. 水利部海委信息中心，天津 300170；2. 水利部海委綜合管理中心，天津 300170）

信息化的發(fā)展與信息安全保障是密切相關(guān)的，兩者相輔相成、密不可分，沒有安全保障的信息化必定是不能長久的。建立海委信息安全管理體系，需根據(jù)等級保護基本要求，參照國內(nèi)外相關(guān)標準，并結(jié)合海委政務(wù)外網(wǎng)已有網(wǎng)絡(luò)與信息安全體系建設(shè)的實際情況，最終形成依托于安全保護對象為基礎(chǔ)，建立以安全管理中心的“一個中心，三重防護”的安全管理體系框架，并明晰具體的技術(shù)對策，逐步完善安全管理措施。

海委；信息安全；管理體系；安全保障；PDCA 循環(huán)

0 引言

隨著信息產(chǎn)業(yè)近十年的飛速發(fā)展，我國信息化建設(shè)取得了重大成就，各類應(yīng)用系統(tǒng)和數(shù)據(jù)資源成為各行各業(yè)重要的生產(chǎn)管理手段和技術(shù)支撐，發(fā)揮著巨大的作用，但各類安全風險也隨之增加。近年來，我國政府非常重視信息安全建設(shè)與管理，黨中央、國務(wù)院分別提出明確要求，公安部作為信息安全主管部門牽頭確定了信息安全等級保護制度，水利行業(yè)正在全行業(yè)內(nèi)抓緊推進信息安全保障能力建設(shè)。

2012 年 11 月，中國共產(chǎn)黨十八大報告中明確提出建設(shè)下一代信息基礎(chǔ)設(shè)施，發(fā)展現(xiàn)代信息產(chǎn)業(yè)體系，健全信息安全保障體系，推進信息網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用，首次明確提出“健全信息安全保障體系”的目標，這是對新時期信息化發(fā)展的一個準確判斷。信息化的發(fā)展與信息安全保障是密切相關(guān)的，兩者相輔相成、密不可分，要以安全保障發(fā)展，在發(fā)展中求安全，沒有安全保障的信息化必定是不能長久的[1]。2012 年，國務(wù)院發(fā)布了《關(guān)于大力推進信息化發(fā)展和切實保障信息安全的若干意見》（國發(fā)〔2012〕23 號文件），明確指出“健全安全防護和管理，保障重點領(lǐng)域信息安全；加快能力建設(shè)，提升網(wǎng)絡(luò)與信息安全保障水平”是國家一項重點任務(wù)[2]。

近年來，水利部海河水利委員會（以下簡稱海委）信息化建設(shè)穩(wěn)步發(fā)展，信息化工作緊密圍繞著加快推進海河流域城鄉(xiāng)供水、水生態(tài)環(huán)境保護與修復(fù)、防洪減災(zāi)和水資源管理能力建設(shè)等流域民生問題，在防汛指揮調(diào)度、水資源管理、水資源保護、水土保持、水利工程管理和水利電子政務(wù)等多個工作領(lǐng)域建成一批重要信息系統(tǒng)，已成為海委中心工作的重要技術(shù)支撐和組成部分，發(fā)揮出了顯著效益。隨著這些重要系統(tǒng)的投入使用，信息系統(tǒng)安全防護的需求越加迫切，如何構(gòu)建海委信息安全管理體系已成為信息化重點工作之一。

1 信息安全管理體系理論及研究

1.1 信息安全管理體系理論

信息安全管理體系（ISMS）是指在整體或特定范圍內(nèi)建立信息安全策略和目標及完成這些目標所用方法的體系。ISMS 包括建立、實施、操作、監(jiān)視、復(fù)查、維護和改進信息安全等一系列管理活動，并且表現(xiàn)為組織結(jié)構(gòu)、策略方針、計劃活動、目標與原則、人員與責任、過程與方法、資源等諸多要素的集合[3]。

信息安全管理體系的構(gòu)建不是一個單純的技術(shù)和產(chǎn)品工程，而是一個系統(tǒng)化的體系建設(shè)過程，必須緊緊圍繞中心，有計劃、分步驟地實施，具體包括以下 6 個步驟：1）定義信息安全策略；2）定義信息安全管理體系范圍；3）風險評估；4）風險管理；5）選擇控制目標與方式；6）準備適用性聲明。

在實際構(gòu)建中還需充分考慮實施費用、人員的理解與接受程度、與人員原有習慣的沖突、部門或人員間的協(xié)作等問題[4]，管理體系應(yīng)符合國際信息安全管理標準（ISO 27000 標準）和信息安全管理循環(huán)（PDCA 循環(huán)）的相關(guān)要求，有效保護信息系統(tǒng)安全，確保信息安全的持續(xù)發(fā)展。

1.2 國際信息安全管理標準

目前，國際標準化組織（ISO）與國際電工委員會（IEC）聯(lián)合成立的 JTC1/SC27 負責通用信息技術(shù)安全標準的制定，ISO/TC68 負責銀行和金融服務(wù)業(yè)務(wù)應(yīng)用范圍內(nèi)信息安全標準的制定[5]。

ISO 已為信息安全管理體系標準預(yù)留了 ISO/ IEC 27000 系列編號，具體包含以下標準體系：ISO 27000 原理與術(shù)語；ISO 27001 信息安全管理體系－要求（以 BS 7799-2 為基礎(chǔ))；ISO 27002 信息技術(shù)－安全技術(shù)－信息安全管理實踐規(guī)范 (ISO/IEC 17799:2005)；ISO 27003 信息安全管理體系－實施指南；ISO 27004 信息安全管理體系－指標與測量；ISO 27005 信息安全管理體系－風險管理；ISO 27006 信息安全管理體系－認證機構(gòu)的認可要求；ISO 27007 信息技術(shù)－安全技術(shù)－信息安全管理體系審核員指南。

1.3 信息安全管理體系研究方法

PDCA 即 Plan（計劃）、Do（實施）、Check（檢查）、Action（處理），是從事持續(xù)改進（改善）所應(yīng)遵行的基本步驟。PDCA 循環(huán)又叫戴明環(huán)，是美國質(zhì)量管理專家戴明博士提出的，是全面質(zhì)量管理所應(yīng)遵循的科學程序，是有效進行任何一項工作的合乎邏輯的工作程序。在質(zhì)量管理中，PDCA 循環(huán)得到了廣泛應(yīng)用，并取得很好的效果，故稱 PDCA 循環(huán)是質(zhì)量管理的基本方法。因此構(gòu)建海委信息安全管理體系時也要符合 PDCA 循環(huán)模型及 ISO/IEC 27001 標準要求。

全面質(zhì)量管理活動的全部過程，就是質(zhì)量計劃的制訂和組織實現(xiàn)的過程，這個過程是按照 PDCA循環(huán)，不停頓地周而復(fù)始地運轉(zhuǎn)的。戴明環(huán)原理圖如圖 1 所示[6]

圖1 戴明環(huán)原理圖

海委信息安全管理體系構(gòu)建依據(jù) PDCA 循環(huán)模型，由以下 8 個步驟組成：

1）收集資料，摸清現(xiàn)狀。盡可能多地收集國內(nèi)外、行業(yè)內(nèi)外信息安全管理體系的應(yīng)用案例，同時摸清海委各級單位的信息安全管理現(xiàn)狀，列出問題列表。

2）分析原因，確認要因。對照國家信息安全相關(guān)標準，結(jié)合各種信息安全管理體系理論，運用各種集思廣益的科學方法，找準問題產(chǎn)生的全部原因所在，并區(qū)分主因和次因。

3）研究戰(zhàn)略，確定目標。依據(jù)海委信息化發(fā)展近期和中長期規(guī)劃，結(jié)合海委信息化頂層設(shè)計，明確信息安全管理體系對海委中心任務(wù)的關(guān)鍵支撐點，初步確定信息安全管理體系的近期構(gòu)建目標。

4）擬定措施，制定計劃。提出各種方案，并篩選出最佳方案，方案要能夠回答 5W1H（Why—為什么制定，What—達到什么目標，Where—在何處執(zhí)行，Who—由誰負責，When—何時完成，How—如何完成），方案應(yīng)采用過程決策程序圖或流程圖對具體實施步驟進行分解。

5）執(zhí)行措施，執(zhí)行計劃。在計劃執(zhí)行過程中，要實行階段性檢查，分析存在問題，糾正錯誤做法，確保最佳方案能夠得到高效執(zhí)行。

6）檢查驗證，評估效果。確認計劃和技術(shù)方案已被嚴格執(zhí)行，進行抽樣驗證，把完成情況與目標值進行比較，評估是否達到預(yù)定目標。

7）激勵機制，固定成績。根據(jù)信息安全管理體系各個子目標的完成情況，完成承諾的獎懲措施，并對已被證明有成效的措施，進行標準化，制定成工作標準，以便今后的執(zhí)行和推廣。

8）總結(jié)經(jīng)驗，梳理遺留。構(gòu)建信息安全管理體系絕非一朝一夕，完成 1 次 1 個 PDCA 循環(huán)后，要及時總結(jié)經(jīng)驗和教訓，同時也要梳理遺留問題，修訂近期目標，自動轉(zhuǎn)入下一個 PDCA 循環(huán)，如此周而復(fù)始，螺旋上升。

2 海委信息安全體系現(xiàn)狀及問題

2.1 現(xiàn)狀

海委通過多年投入，信息安全管理體系建設(shè)已有一定的基礎(chǔ)，信息安全防范觀念已深入人心，信息安全已被作為各級信息系統(tǒng)管理的工作重點之一，信息防護手段日漸先進；但同時信息基礎(chǔ)設(shè)施嚴重老化，信息安全制度嚴重缺失，信息安全管理人員嚴重不足等問題十分突出。

2.1.1 物理安全現(xiàn)狀

目前，海委共有機房 6 處，即海委機關(guān)數(shù)據(jù)中心機房（天津河東區(qū)）、海委防汛會商中控室（天津河東區(qū)）、漳衛(wèi)南局服務(wù)器機房（山東德州）、引灤局服務(wù)器機房（河北遷西）、海河下游局網(wǎng)絡(luò)及服務(wù)器機房（天津河西區(qū)）和漳河上游局中心機房（河北邯鄲）。

在標準化方面，僅有海委機關(guān)機房全面達到恒溫、恒濕、防塵、防靜電、防雷、防浪涌，配備 UPS 和門禁及視頻監(jiān)控系統(tǒng)、安裝氣體滅火裝置等要求。各管理局機房情況各異，但均遠遠達不到《水利信息網(wǎng)建設(shè)指南》中要求的 Ⅲ 級網(wǎng)絡(luò)節(jié)點機房的要求。

2.1.2 網(wǎng)絡(luò)安全現(xiàn)狀[7]

目前海委機關(guān)網(wǎng)絡(luò)拓撲結(jié)構(gòu)清晰，具有一定的故障恢復(fù)能力，互聯(lián)網(wǎng)出口具有 100 Mbit/s 帶寬，出口處使用流控設(shè)備對垃圾流量過濾，網(wǎng)絡(luò)通過防火墻細分為 INT 服務(wù)器區(qū)、Inside 服務(wù)器區(qū)、DMZ服務(wù)器區(qū)和異地會商接入?yún)^(qū)，但并未按照等級保護要求進行分區(qū)分域防護，缺少安全審計、抗拒絕服務(wù)、行為管理等防護措施；委屬四局的網(wǎng)絡(luò)結(jié)構(gòu)較為簡單，除海河下游局配有核心交換設(shè)備冗余外，其他局僅有防火墻和軟件版防病毒系統(tǒng)，不具備其他網(wǎng)絡(luò)安全防護手段。

2.1.3 主機安全現(xiàn)狀

海委三級信息系統(tǒng)防護手段較為薄弱。目前委屬四局已部署 RA 身份認證系統(tǒng)，但還不能對本單位用戶實行統(tǒng)一管理；海委機關(guān)用于運行安全管理系統(tǒng)的服務(wù)器基本使用時間較長，性能較低，而且存放分散，不利于運維管理；各單位均未對三級系統(tǒng)服務(wù)器進行安全加固，引灤局、海河下游局、漳河上游局未部署漏洞掃描防護手段。

2.1.4 應(yīng)用安全現(xiàn)狀

海委三級應(yīng)用系統(tǒng)在開發(fā)之初以滿足應(yīng)用為主要出發(fā)點，對安全考慮不充分，部分重點應(yīng)用信息系統(tǒng)未采用身份鑒別、訪問控制等技術(shù)進行安全防護；委屬四局的綜合辦公系統(tǒng)均為三級應(yīng)用系統(tǒng)，但政務(wù)信息交換基礎(chǔ)數(shù)據(jù)平臺未能與身份認證系統(tǒng)結(jié)合；海委機關(guān)水信息網(wǎng)未進行網(wǎng)頁防篡改防護。

2.1.5 數(shù)據(jù)安全現(xiàn)狀

目前僅海委機關(guān)建有在線存儲和離線備份系統(tǒng)，委屬四局三級應(yīng)用系統(tǒng)的數(shù)據(jù)僅存放于服務(wù)器硬盤上，也無任何專業(yè)備份手段；各單位都未對數(shù)據(jù)庫進行安全審計防護。

2.1.6 安全管理現(xiàn)狀

海委各單位均根據(jù)自身現(xiàn)狀制定了部分管理辦法和操作規(guī)程，但還不夠全面；在運維管理方面，各單位有專職運維人員，但除了海委機關(guān)和漳衛(wèi)南局外，其他單位還未建立現(xiàn)代化運維管理手段。

2.2 存在問題

經(jīng)過與國家信息系統(tǒng)安全等級保護相關(guān)要求的對比差距分析，運用訪談、文檔審核、配置檢查、實地察看、漏洞掃描和滲透測試等評估方法，分析海委信息安全管理體系存在 5 方面問題。

2.2.1 基礎(chǔ)環(huán)境建設(shè)嚴重滯后

目前，各單位的政務(wù)基礎(chǔ)平臺已經(jīng)建立，應(yīng)用系統(tǒng)紛紛上線，網(wǎng)站運行多年，但支撐這些的信息化基礎(chǔ)環(huán)境相當惡劣，除海委機關(guān)外，各單位均不同程度存在因為基礎(chǔ)環(huán)境不達標而引發(fā)機器故障、系統(tǒng)宕機的現(xiàn)象，機房環(huán)境建設(shè)已經(jīng)成為制約信息化發(fā)展的瓶頸之一。

2.2.2 安全管理制度急需建立

安全是三分技術(shù)、七分管理，管理的好壞又在于制度的健全與否，而目前各單位制度建設(shè)尚處于起步階段，均未形成一整套行之有效、規(guī)范全面的管理制度，使得很多安全管理行為“無法可依、散漫隨意”，從而形成很多不必要的安全漏洞。

2.2.3 系統(tǒng)安全體系尚未健全

由于網(wǎng)絡(luò)無邊界，任何一點安全漏洞都可能引發(fā)一場安全災(zāi)難，因此形成一張嚴密而統(tǒng)一的安全大網(wǎng)是十分必要的，必須做到核心設(shè)備、骨干鏈路的冗余備份，每臺終端的安全防護到位，每位用戶的身份明確、行為跟蹤審計，網(wǎng)絡(luò)資源的安全控制等。

2.2.4 數(shù)據(jù)安全隱患非常突出

隨著政務(wù)應(yīng)用的日益普及、業(yè)務(wù)應(yīng)用的逐步擴展，長年積累的數(shù)據(jù)資源量將日漸增多，數(shù)據(jù)查詢的依賴度將逐漸增加，數(shù)據(jù)不僅具有經(jīng)濟價值，而且具有一定的政治價值，缺少數(shù)據(jù)安全備份和及時恢復(fù)手段的矛盾越來越突出。

2.2.5 安全管理水平亟待提升

信息安全管理人員配備不足、水平參差不齊，同時需要建設(shè)覆蓋全委的信息安全管理平臺，實現(xiàn)安全管理的無縫覆蓋、實時報警、數(shù)據(jù)分析、應(yīng)急處置等。

3 海委信息安全管理體系構(gòu)建

3.1 體系總體框架

“堅持積極防御、綜合防范的方針，全面提高信息安全防護能力”是國家信息保障工作的總體要求之一，“積極防御、綜合防范”是指導(dǎo)等級保護整體保障的戰(zhàn)略方針[8]。

信息安全保障涉及技術(shù)和管理 2 個相互緊密關(guān)聯(lián)的要素。信息安全技術(shù)只是一個基礎(chǔ)，安全管理是使安全技術(shù)有效發(fā)揮作用，從而達到安全保障目標的重要保證。

安全保障不是單個環(huán)節(jié)、單一層面上問題的解決，必須是全方位、多層次地從技術(shù)和管理等方面進行全面的安全設(shè)計和建設(shè)，積極防御和綜合防范戰(zhàn)略要求信息系統(tǒng)整體保障綜合采用覆蓋安全保障各個環(huán)節(jié)的防護、檢測、響應(yīng)、恢復(fù)等多種安全措施和手段，對系統(tǒng)進行動態(tài)的、綜合的保護，在攻擊者破壞了某個保護措施的情況下，其它保護措施仍然能夠有效地對系統(tǒng)進行保護，以抵御不斷出現(xiàn)的安全威脅與風險，保證系統(tǒng)長期穩(wěn)定可靠的運行。

整體保障框架的建設(shè)應(yīng)在相關(guān)的安全政策、法規(guī)、標準、要求的指導(dǎo)下，制訂可具體操作的安全策略，并在充分利用信息安全基礎(chǔ)設(shè)施的基礎(chǔ)上，構(gòu)建信息系統(tǒng)的安全防護體系，形成集防護、檢測、響應(yīng)、恢復(fù)于一體的安全保障體系，從而實現(xiàn)物理、網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)、應(yīng)用的安全及安全管理，以滿足海委重要信息系統(tǒng)全方位的安全保護需求。同時，由于安全的動態(tài)性，還需要建立安全風險評估機制，在安全風險評估的基礎(chǔ)上，調(diào)整和完善安全策略，改進安全措施，以適應(yīng)新的安全需求，滿足安全等級保護的要求，保證長期、穩(wěn)定、可靠運行。海委信息安全管理體系框架如圖 2 所示。

建立海委信息安全管理體系，需根據(jù)等級保護基本要求，參照國內(nèi)外相關(guān)標準，并結(jié)合海委政務(wù)外網(wǎng)已有網(wǎng)絡(luò)與信息安全體系建設(shè)的實際情況，最終形成依托于安全保護對象為基礎(chǔ)，建立以安全管理中心的“一個中心、三重防護”為基礎(chǔ)的安全管理體系框架，體系邏輯結(jié)構(gòu)如圖 3 所示。

1）一個中心，指信息安全管理中心，實現(xiàn)“自動、平臺化”的安全工作、統(tǒng)一技術(shù)和安全運維等管理。

2）三重防護，指將安全技術(shù)控制措施與保護對象相結(jié)合，實現(xiàn)安全計算環(huán)境、區(qū)域邊界和網(wǎng)絡(luò)通信三重防護措施。

3.2 技術(shù)對策

所有的信息安全技術(shù)都是為了達到一定的安全目標，核心包括保密性、完整性、可用性、可控性和不可否認性 5 個安全目標，以及信息安全的可審計性、可鑒別性。信息安全技術(shù)使用必須遵循整體保護、誰主管誰負責、適度保護的等級化、分域保護、動態(tài)保護、多級保護、深度保護和信息流向等原則。

構(gòu)建海委信息安全管理體系首先要劃分清晰的安全區(qū)域，其次要從物理、網(wǎng)絡(luò)、主機、應(yīng)用和數(shù)據(jù)安全等 5 方面明晰具體的技術(shù)要求。

3.2.1 安全區(qū)域劃分

根據(jù)不同的網(wǎng)絡(luò)接入及 3 層架構(gòu)的應(yīng)用安全基礎(chǔ)環(huán)境，在現(xiàn)有網(wǎng)絡(luò)中設(shè)置安全域，給予相同安全域內(nèi)相似的安全控制策略，不同等級域之間設(shè)置不同的訪問控制策略，各安全域間通過安全互聯(lián)和核心交換區(qū)與其他區(qū)域和單位信息系統(tǒng)進行數(shù)據(jù)交換。同一安全域內(nèi)可以承載 1 個或多個相同特性的信息系統(tǒng)。具體劃分為網(wǎng)絡(luò)接入域、核心交換區(qū)、安全管理區(qū)、業(yè)務(wù)接入域和終端域等。

3.2.2 物理安全技術(shù)要求

物理安全主要為信息系統(tǒng)提供機房場地、電力環(huán)境保障，以及設(shè)備、設(shè)施、介質(zhì)的防盜和防破壞等防護。根據(jù)節(jié)點網(wǎng)絡(luò)與信息系統(tǒng)的位置分布不同，物理安全環(huán)境可分為多個部分，每部分按照該部分承載的信息系統(tǒng)的最高安全等級確定防護級別。

圖2 海委信息安全管理體系框架圖

圖3 海委信息安全管理體系邏輯結(jié)構(gòu)圖

物理安全考慮因素包括機房環(huán)境、機柜、電源、服務(wù)器、網(wǎng)絡(luò)設(shè)備和其他設(shè)備的物理環(huán)境，需從物理位置選擇、物理訪問控制、防盜竊、防破壞、防雷擊、防火、防水防潮、防靜電、溫濕度控制、電力供應(yīng)、電磁防護等方面進行規(guī)范。

3.2.3 網(wǎng)絡(luò)安全技術(shù)要求

在網(wǎng)絡(luò)安全防護方面，需要按照三級信息系統(tǒng)的技術(shù)要求進行建設(shè)，一方面要確保網(wǎng)絡(luò)設(shè)備的安全運行，提供有效的網(wǎng)絡(luò)服務(wù)；另一方面確保在網(wǎng)絡(luò)上傳輸數(shù)據(jù)的保密性、完整性和可用性。具體控制點包括網(wǎng)絡(luò)結(jié)構(gòu)安全性設(shè)計、網(wǎng)絡(luò)訪問控制措施、計算環(huán)境邊界完整性保護、網(wǎng)絡(luò)設(shè)備運行情況審計、網(wǎng)絡(luò)入侵及惡意代碼防范、網(wǎng)絡(luò)設(shè)備安全性防護 6 個方面。

3.2.4 主機安全技術(shù)要求

主機安全主要涉及身份鑒別、訪問控制、安全審計、剩余信息保護、入侵防范、惡意代碼防范、資源控制幾大類安全控制，對應(yīng)到安全保護對象，從操作系統(tǒng)安全、安全監(jiān)控和審計、惡意代碼防范、其它保護控制 4 個層面進行防護。

3.2.5 應(yīng)用安全技術(shù)要求

針對應(yīng)用系統(tǒng)的結(jié)構(gòu)特性，將在軟件架構(gòu)、安全功能、程序控制安全 3 方面進行說明，并在架構(gòu)、功能和程序控制中，落實身份鑒別、訪問控制、安全審計、剩余信息保護、通信完整性、通信保密性、抗抵賴、軟件容錯和資源控制等控制項要求。

3.2.6 數(shù)據(jù)安全技術(shù)要求

數(shù)據(jù)是所有業(yè)務(wù)系統(tǒng)的核心和生命，也是信息化存在的根本，對于重要的業(yè)務(wù)系統(tǒng)，保護數(shù)據(jù)安全更是重中之重。根據(jù)國家等級保護相關(guān)技術(shù)要求，對數(shù)據(jù)安全防護的措施體現(xiàn)在數(shù)據(jù)機密性保護、完整性保護和數(shù)據(jù)的備份與恢復(fù) 3 個方面。數(shù)據(jù)機密性、完整性保護又分為數(shù)據(jù)在傳輸及存儲過程中的機密性和完整性保護。

3.3 管理措施

“三分技術(shù)、七分管理”是信息安全體系的真實寫照，信息安全技術(shù)必須與信息安全管理相輔相成才能發(fā)揮最大功效。信息安全管理體系包括管理機構(gòu)、管理制度、人員管理、建設(shè)管理和運維管理等幾方面。

3.3.1 健全管理體系

1）組建領(lǐng)導(dǎo)小組和辦事機構(gòu)。信息安全涉及到方方面面，需要成立分管委領(lǐng)導(dǎo)為組長、相關(guān)部門負責人為成員的信息安全工作領(lǐng)導(dǎo)小組，明確信息安全工作的領(lǐng)導(dǎo)協(xié)調(diào)機構(gòu)，同時需要指定專門的信息安全辦事機構(gòu)，負責政策的擬定、決議的執(zhí)行、落實的檢查等工作。

2）建立健全制度體系。要針對信息安全管理制度缺失、不配套等問題，在管理制度建設(shè)方面加大力度，針對等級保護要求中安全管理制度關(guān)鍵項進行分析研究，合理制定信息安全管理制度建設(shè)計劃，并且在各個信息化管理制度中專門對信息安全管理做出明確的規(guī)定和要求，為規(guī)范化管理建立良好的基礎(chǔ)。

3.3.2 落實工作機制

主要措施如下：

1）建立信息安全常態(tài)化檢查機制。信息安全檢查應(yīng)是海委信息化安全常態(tài)化工作之一，每年要進行 1 次，應(yīng)對海委各級單位機房環(huán)境、網(wǎng)絡(luò)運行管理、重點信息系統(tǒng)管理、數(shù)據(jù)備份情況按照等級保護標準進行安全隱患及風險的排查，同時，每年還應(yīng)確定 1～2 個重點檢查項目進行深入檢查，督促各級單位提升信息安全認識，摸清信息安全防范薄弱環(huán)節(jié)。

2）建立快速有效的信息安全事件處理流程。信息安全事件無小事，均需要得到快速解決，講究一個“快”字，規(guī)范的事件處理流程能夠確保信息安全事件發(fā)生后，相應(yīng)部門或人員能夠及時反應(yīng)，避免出現(xiàn)推諉、扯皮現(xiàn)象。

3）建立信息安全定期評估機制。信息安全管理屬于風險管理，即如何在一個確定有風險的環(huán)境里把風險減至最低的管理過程。同時，由于信息設(shè)備漏洞不斷被發(fā)現(xiàn)，信息系統(tǒng)缺陷不斷被挖掘，黑客技術(shù)不斷發(fā)展，都需定期對網(wǎng)絡(luò)與信息系統(tǒng)安全的潛在威脅、薄弱環(huán)節(jié)、防護措施等進行分析評估，為相應(yīng)等級的安全建設(shè)和管理提供目標與基礎(chǔ)。

4）建立信息安全專題培訓機制。信息技術(shù)發(fā)展迅速，信息安全風險也隨之增多，通過開展工作技術(shù)交流與專業(yè)安全防范技能培訓相結(jié)合的方式，可全面提高安全管理人員水平，使管理人員能及時了解并掌握信息安全發(fā)展的新趨勢，掌握發(fā)現(xiàn)風險、處理問題的能力，力爭培養(yǎng)出一支專業(yè)的安全運維管理隊伍。

5）建立信息安全工作溝通交流簡報編寫制度。信息安全管理保障體制必須做到“領(lǐng)導(dǎo)參與、上下聯(lián)動、部門協(xié)調(diào)”，因此必須在組織內(nèi)建立起暢通的溝通交流機制，編寫信息安全工作簡報是可行的方法之一，不僅能夠提供信息安全防范意識，同時還能提供安全事件處理經(jīng)驗。

3.3.3 統(tǒng)籌體系建設(shè)

1）確保信息安全建設(shè)統(tǒng)籌考慮。信息安全體系遵循木桶短板原理，任何一處信息系統(tǒng)防護不到位，都可能引發(fā)整個系統(tǒng)的災(zāi)難，因此，必須要求信息系統(tǒng)建設(shè)同步考慮安全防護建設(shè)，形成信息安全防護可持續(xù)發(fā)展的長效機制。

2）確保信息安全專項工程加快實施。信息安全是一項關(guān)乎全局的基礎(chǔ)性工作，不僅需要各個信息系統(tǒng)的支持，更需要在全面防護上做大文章、下細功夫，需要進行頂層設(shè)計，需要有專項工程支撐，才能將各個信息系統(tǒng)的安全防護手段由點連成線，最終織成一張信息安全大網(wǎng)。

3）確保信息安全建設(shè)成果及時顯現(xiàn)。任何東西只有經(jīng)過實踐檢驗才能證明其好壞，信息安全建設(shè)成果也應(yīng)及時投入使用，不僅可以測試信息系統(tǒng)防護效果，也能從中找到漏洞，在下一步信息安全建設(shè)中加以調(diào)整或完善。

4 結(jié)語

海委信息安全管理體系建設(shè)是一個持續(xù)改進的過程，需要持續(xù)不斷地通過技術(shù)研究和管理實踐來解決。信息安全不僅僅取決于信息安全技術(shù)，還取決于安全管理，安全管理是使安全技術(shù)有效發(fā)揮作用，從而達到安全保障目標的重要保證。在海委信息安全管理體系的構(gòu)建過程中，管理體制的變革當是重中之重，尤其是信息安全管理意識的形成與提升更非一日之功，需要各級領(lǐng)導(dǎo)的高度重視，真正形成合力，才能確保信息安全管理體系整體建成、完整發(fā)揮效用。

[1]張顯龍. 學習貫徹十八大精神 健全信息安全保障體系[EB/OL]. [2013-12-26]. http://cpc.people.com.cn/.

[2]國務(wù)院. 關(guān)于大力推進信息化發(fā)展和切實保障信息安全的若干意見（國發(fā)[2012]23 號）[EB/OL]. [2013-12-26]. http://www.gov.cn/zwgk/2012-07/17/content_2184979.htm.

[3]柳少華，孫華，文勃. 論企業(yè)信息安全管理體系建設(shè)[J].無線互聯(lián)科技，2013 (6): 99-100.

[4]王玲，徐小濤. 專用網(wǎng)絡(luò)信息安全管理機制研究[J]. 信息網(wǎng)絡(luò)安全，2013 (6): 94-96.

[5]上官曉麗，許玉娜. 國內(nèi)外信息安全管理標準研究[J]. 信息技術(shù)與標準化，2008 (5): 12-16.

[6]PDCA 管理循環(huán)[EB/OL]. [2013-12-26].http://baike.baidu. com/view/280963.htm.

[7]黃銳，王妍. 海委重要信息系統(tǒng)安全等級保護初步設(shè)計報告[R]. 天津：海委水利信息網(wǎng)絡(luò)中心，2013: 12-23..

[8]國家信息化領(lǐng)導(dǎo)小組. 關(guān)于加強信息安全保障工作的意見（中辦發(fā)[2003]27 號）[EB/OL]. [2013-12-26]. http://wenku.baidu.com/view/9f53b20ff12d2af90242e6aa.html.

Study on the Construction of Information Security Management System of Haihe River Water Conservancy Commission

HUANG Rui1, TANG Zuhua2
(1. Information Center of Haihe River Water Conservancy Commission, the Ministry of Water Resources, Tianjin 300170, China；2. Comprehensive Management Center of Haihe River Water Conservancy Commission, the Ministry of Water Resources, Tianjin 300170, China)

Informationization development and information security assurance are inseparable and closely related with each other. Informationization can not be sustained without security assurance. To build information security assurance system in Haihe River Water Conservancy Commission (HWCC), it need to base on the national basic requirements of hierarchical protection, refer to relevant criteria in China and abroad, and also consider on the actual condition of existing construction of information system in HWCC. It ultimately forms a security assurance system with the framework of “one center of security management, three methods of protection and defense”, then clarifies specific technical countermeasures and gradually improves the security management measures.

Haihe River Water Conservancy Commission; information security; management system; security assurance; PDCA cycle

TP309

A

1674-9405(2014)02-0066-07

2014-01-28

黃 銳（1975－），男，江蘇泰州人，高級工程師，主要從事水利信息化規(guī)劃、建設(shè)管理、信息系統(tǒng)運維管理等工作。