詹全忠

（水利部水利信息中心，北京 100053）

水利網(wǎng)絡(luò)與信息安全資源整合共享探討

詹全忠

（水利部水利信息中心，北京 100053）

闡述水利網(wǎng)絡(luò)與信息安全建設(shè)中缺乏整體性、各自為戰(zhàn)等突出問題，分析新形勢下水利網(wǎng)絡(luò)與信息安全資源整合共享的必要性，提出水利網(wǎng)絡(luò)與信息安全體系總體框架和資源整合共享框架，在此基礎(chǔ)上探討水利網(wǎng)絡(luò)與信息安全資源整合共享的原則、內(nèi)容及方式。

水利；網(wǎng)絡(luò)與信息安全；資源整合；共享

0 引言

伴隨信息化發(fā)展進(jìn)入新階段，我國網(wǎng)絡(luò)與信息安全也面臨著全新的任務(wù)和挑戰(zhàn)。2014 年，國家成立中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組，習(xí)近平總書記作為領(lǐng)導(dǎo)小組組長，在工作會議中指出“沒有網(wǎng)絡(luò)安全就沒有國家安全”、“網(wǎng)絡(luò)安全和信息化是一體之兩翼、驅(qū)動之雙輪，必須統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進(jìn)、統(tǒng)一實施”，確定了國家網(wǎng)絡(luò)安全和信息化發(fā)展的方向。

水利網(wǎng)絡(luò)與信息安全體系建設(shè)經(jīng)過長期的建設(shè)積累和發(fā)展，取得了長足的進(jìn)步，網(wǎng)絡(luò)與信息安全防護能力有了較大提升，特別是“十二五”以來，安全體系建設(shè)進(jìn)展迅速，水利網(wǎng)絡(luò)與信息安全體系初具規(guī)模，為水利信息化發(fā)展提供了安全保障。

但是水利網(wǎng)絡(luò)與信息安全建設(shè)缺乏整體性，各自為戰(zhàn)的問題比較普遍。各信息化項目、系統(tǒng)均考慮網(wǎng)絡(luò)與信息安全方面的建設(shè)內(nèi)容，但是由于任務(wù)來源、體制機制等原因，相互之間缺乏統(tǒng)籌協(xié)調(diào)，造成一方面一些安全措施特別是防火墻等基礎(chǔ)性安全防護設(shè)施重復(fù)建設(shè)現(xiàn)象嚴(yán)重；另一方面，一些深層次的安全防護措施缺乏，缺項漏項較多，形成一些安全短板。水利網(wǎng)絡(luò)與信息安全建設(shè)不平衡、措施不全面、策略不一致、管理體系不健全等問題，制約了水利信息化的健康發(fā)展[3]。

當(dāng)前網(wǎng)絡(luò)與信息安全形勢日趨嚴(yán)峻，各類信息安全威脅日益演進(jìn)和變化，網(wǎng)絡(luò)安全問題突出，需要加強網(wǎng)絡(luò)與信息安全資源整合和共享，充分整合利用各方面資源，形成完整統(tǒng)一的網(wǎng)絡(luò)與信息安全體系，全面整體提升網(wǎng)絡(luò)與信息安全保障能力。

1 總體架構(gòu)

1.1 水利網(wǎng)絡(luò)與信息安全體系總體框架

開展水利網(wǎng)絡(luò)與信息安全資源整合共享，首先需要梳理水利網(wǎng)絡(luò)與信息安全體系總體框架，基于總體框架有針對性地進(jìn)行資源整合共享。網(wǎng)絡(luò)與信息安全不僅僅是技術(shù)問題，更是管理問題，是在統(tǒng)一安全策略指引下的管理與技術(shù)的融合。水利網(wǎng)絡(luò)與信息安全體系是以水利網(wǎng)絡(luò)與信息安全總體方針為指引，以標(biāo)準(zhǔn)規(guī)范和人才培養(yǎng)為保障，以統(tǒng)一安全策略下的管理體系和技術(shù)能力為手段，以基礎(chǔ)網(wǎng)絡(luò)和信息系統(tǒng)為保護對象的有機整體，總體框架如圖1 所示。

1.2 水利網(wǎng)絡(luò)與信息安全資源整合共享框架

根據(jù)水利網(wǎng)絡(luò)與信息安全體系總體框架，水利網(wǎng)絡(luò)與信息安全資源整合的重點是建立統(tǒng)一的安全策略體系，在統(tǒng)一安全策略下構(gòu)建統(tǒng)一的安全管理和技術(shù)防護體系。通過統(tǒng)一安全策略，將安全方針、政策、思路、要求等貫穿到網(wǎng)絡(luò)與信息安全工作的方方面面；通過統(tǒng)一安全管理、防護，從管理、技術(shù) 2 方面落實統(tǒng)一安全策略，并將二者有機結(jié)合在一起。

水利與信息安全資源整合共享框架如圖2 所示。

圖1 水利網(wǎng)絡(luò)與信息安全體系總體框架圖

圖2 水利網(wǎng)絡(luò)與信息安全資源整合共享框架圖

1.3 水利網(wǎng)絡(luò)與信息安全資源整合共享原則

在水利網(wǎng)絡(luò)與信息安全資源整合共享工作中應(yīng)堅持以下基本原則：

1）統(tǒng)籌規(guī)劃、分步實施。水利網(wǎng)絡(luò)與信息安全資源整合共享涉及面非常廣，不可能一蹴而就，要逐步推進(jìn)，因此需要從全局角度進(jìn)行全面規(guī)劃，根據(jù)總體規(guī)劃有重點、分層次、有步驟地實施。

2）策略先行、管技并舉。開展水利網(wǎng)絡(luò)與信息安全資源整合工作，首先要明確安全目標(biāo)要求，即制定安全策略，在安全策略指引下，從安全管理和技術(shù) 2 方面落實安全要求，確保安全目標(biāo)的實現(xiàn)?！爸丶驾p管”、“重管輕技”或“管技兩張皮”等做法均不能有效保障網(wǎng)絡(luò)與信息安全，片面地強調(diào)安全技術(shù)而不重視有效的管理，技術(shù)難以發(fā)揮效用；片面地強調(diào)安全管理而無技術(shù)支撐，管理蒼白無力。

3）充分利舊、適當(dāng)補充。經(jīng)過多年發(fā)展，各單位已積累豐富的水利網(wǎng)絡(luò)與信息安全資源，需要充分考慮這些資源的合理利用，在此基礎(chǔ)上，根據(jù)總體規(guī)劃進(jìn)行必要的補充和完善，不得借機全盤推翻、另起爐灶。

4）自主可控、安全優(yōu)先。網(wǎng)絡(luò)與信息安全是信息化發(fā)展的保障，更要重視自身的安全，在水利網(wǎng)絡(luò)與信息安全資源整合共享中要堅持采用自主可控的產(chǎn)品、技術(shù)，在安全與功能、性能等其他要素發(fā)生矛盾時，堅持安全優(yōu)先的原則選擇產(chǎn)品、技術(shù)。

2 整合共享主要內(nèi)容

2.1 統(tǒng)一安全策略

安全策略是所有網(wǎng)絡(luò)與信息安全活動的方針和指南。水利網(wǎng)絡(luò)與信息安全資源整合，首要進(jìn)行的是安全策略整合。水利部基于國家對信息安全的要求及水利行業(yè)特點制定水利網(wǎng)絡(luò)與信息安全總體策略，提出總體安全目標(biāo)、原則、要求；各流域機構(gòu)、省級水利部門根據(jù)總體策略及各自實際，細(xì)化總體策略，制定本流域、本省的區(qū)域網(wǎng)絡(luò)與信息安全策略；跨區(qū)域的信息系統(tǒng)（如國家防汛抗旱指揮系統(tǒng)、國家水資源管理系統(tǒng)等）可制定該系統(tǒng)個性化的專項安全策略，但是不得與總體安全策略及同級區(qū)域安全策略矛盾；各單位可在總體、區(qū)域安全策略的基礎(chǔ)上細(xì)化本單位安全策略，但是需要注意與專項安全策略的協(xié)調(diào)。水利網(wǎng)絡(luò)與信息安全策略體系如圖3 所示。

圖3 水利網(wǎng)絡(luò)與信息安全策略體系示意圖

通過安全策略整合，形成上下貫通、左右協(xié)調(diào)的安全策略體系。各單位和項目在網(wǎng)絡(luò)與信息安全規(guī)劃、設(shè)計、建設(shè)、運行管理中共享該安全策略體系，依據(jù)統(tǒng)一的安全策略體系要求完善安全管理和技術(shù)防護，形成一致的安全保障能力。水利部網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組辦公室正在組織開展水利網(wǎng)絡(luò)與信息安全總體策略、水利部網(wǎng)絡(luò)與信息安全策略的修訂和完善，國家水資源監(jiān)控能力建設(shè)項目正在開展國家水資源監(jiān)控系統(tǒng)網(wǎng)絡(luò)與信息安全策略的編制，這些安全策略出臺后將有力推進(jìn)水利網(wǎng)絡(luò)與信息安全策略體系建設(shè)。

2.2 統(tǒng)一安全管理

網(wǎng)絡(luò)與信息安全管理體系包括網(wǎng)絡(luò)與信息安全建設(shè)管理、運行監(jiān)控、應(yīng)急響應(yīng)和監(jiān)督檢查等體系，本質(zhì)上是安全管理組織與制度的結(jié)合，安全管理整合就是在統(tǒng)一安全策略指導(dǎo)下進(jìn)行安全組織和制度的整合。

各單位加強網(wǎng)絡(luò)與信息安全組織建設(shè)，建立統(tǒng)一的網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)協(xié)調(diào)和工作機構(gòu)，水利部網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組及其辦公室負(fù)責(zé)水利行業(yè)網(wǎng)絡(luò)與信息安全工作的指導(dǎo)、監(jiān)督和檢查，各流域機構(gòu)、省級水行政主管部門信息安全主管機構(gòu)，負(fù)責(zé)本流域和地區(qū)水利網(wǎng)絡(luò)與信息安全工作的組織和監(jiān)督檢查；各單位設(shè)立統(tǒng)一的工作機構(gòu)，負(fù)責(zé)本單位網(wǎng)絡(luò)與信息安全管理工作；各重要信息系統(tǒng)主管單位設(shè)立安全專崗，配合工作機構(gòu)具體負(fù)責(zé)本信息系統(tǒng)的安全管理。安全管理組織體系如圖4 所示。通過安全組織體系建設(shè)和整合，落實安全責(zé)任，形成統(tǒng)一、高效的網(wǎng)絡(luò)與信息安全管理和技術(shù)隊伍，統(tǒng)籌開展網(wǎng)絡(luò)與信息安全各項工作。

與此同時，各單位按照國家相關(guān)信息安全政策法規(guī)，依據(jù)水利信息化發(fā)展的實際情況和需求，建立包括工作制度、流程、規(guī)范和操作規(guī)程等在內(nèi)的完善的安全管理制度體系，涵蓋網(wǎng)絡(luò)與信息安全建設(shè)管理、運行管理、應(yīng)急響應(yīng)和監(jiān)督檢查等各項工作。

通過安全組織和制度體系建設(shè)，形成高效的網(wǎng)絡(luò)與信息安全建設(shè)管理、運行監(jiān)控、應(yīng)急響應(yīng)和監(jiān)督檢查等機制，各單位、信息系統(tǒng)利用統(tǒng)一的安全組織體系，遵照統(tǒng)一的安全制度體系開展工作，使各單位、信息系統(tǒng)的網(wǎng)絡(luò)與信息安全管理具有統(tǒng)一水平，避免局部的管理漏洞，整體提升各單位網(wǎng)絡(luò)與信息安全管理水平。水利部機關(guān)通過等級保護整改項目完成了安全管理組織機構(gòu)及制度的整合共享，成立了由水利部網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組、領(lǐng)導(dǎo)小組辦公室為領(lǐng)導(dǎo)協(xié)調(diào)機構(gòu)，水利部水利信息中心為工作機構(gòu)，各業(yè)務(wù)系統(tǒng)主管部門參與的安全管理組織體系；在現(xiàn)有制度的基礎(chǔ)上，補充、完善水利部本級政務(wù)外網(wǎng)安全管理制度，形成水利部政務(wù)外網(wǎng)管理制度匯編，細(xì)化、完善水利部信息系統(tǒng)操作規(guī)范形成技術(shù)手冊，細(xì)化和完善了相關(guān)管理流程和表單，構(gòu)成了由信息安全方針、安全管理制度、安全技術(shù)規(guī)范和流程及表單組成四級信息安全管理制度體系[4]。

圖4 水利網(wǎng)絡(luò)與信息安全組織體系示意圖

2.3 統(tǒng)一安全防護

安全技術(shù)防護整合是在統(tǒng)一安全策略下，依托各單位業(yè)務(wù)網(wǎng)信息系統(tǒng)安全等級、政務(wù)內(nèi)網(wǎng)分級保護改造等項目，充分利用國家防汛抗旱指揮系統(tǒng)一期工程、第一次全國水利普查等項目已建的安全防護設(shè)施，并充分考慮正在建設(shè)的國家防汛抗旱指揮系統(tǒng)二期工程、國家水資源監(jiān)控能力建設(shè)等項目配置的安全防護設(shè)施，同時采用查遺補漏、優(yōu)化改進(jìn)、不斷完善并結(jié)合實際情況的動態(tài)變化補充一些必要的安全防護設(shè)施，依據(jù)水利網(wǎng)絡(luò)與信息安全“兩網(wǎng)三區(qū)四級”的技術(shù)框架和分區(qū)、分域防護的安全策略[2]，從物理、網(wǎng)絡(luò)、主機、應(yīng)用和數(shù)據(jù)等安全方面構(gòu)建統(tǒng)一的安全技術(shù)防護架構(gòu)，建立縱深防御機制，形成系統(tǒng)化、結(jié)構(gòu)化和層次化的安全防護體系。實現(xiàn)在同一節(jié)點下，共用 1 套安全防護措施（可以根據(jù)安全防護等級不同分為統(tǒng)一管理下的不同安全區(qū)），為各信息系統(tǒng)提供統(tǒng)一的安全預(yù)警、安全保護、安全恢復(fù)和評估等能力，保障信息系統(tǒng)安全。水利網(wǎng)絡(luò)與信息安全“兩網(wǎng)三區(qū)四級”的技術(shù)框架如圖5 所示。

圖5 水利網(wǎng)絡(luò)與信息安全技術(shù)框架示意圖

通過安全預(yù)警能力建設(shè)，實現(xiàn)對信息系統(tǒng)安全狀態(tài)的全面監(jiān)測和信息收集分析，對可能出現(xiàn)的安全問題進(jìn)行預(yù)判，并在發(fā)現(xiàn)問題時主動預(yù)警，以便及時制定應(yīng)對方案，避免安全事件的發(fā)生；通過安全保護能力建設(shè)，增強信息系統(tǒng)抵御內(nèi)部、外部惡意攻擊的能力，避免和減少因安全威脅而導(dǎo)致信息系統(tǒng)發(fā)生功能受損、性能受限，數(shù)據(jù)發(fā)生丟失、泄露等安全事件；通過安全恢復(fù)能力建設(shè)，實現(xiàn)關(guān)鍵設(shè)備、系統(tǒng)、數(shù)據(jù)的冗余備份，保障信息系統(tǒng)在發(fā)生安全事件時，能及時恢復(fù)數(shù)據(jù)和業(yè)務(wù)服務(wù)，從而減少安全事件造成的損失；通過安全評估能力建設(shè)，分析信息系統(tǒng)自身存在的脆弱性及面臨的外部安全威脅，結(jié)合信息系統(tǒng)的重要性，分析系統(tǒng)面臨的風(fēng)險，從而有針對性地采取措施，增強安全保護能力。

通過安全技術(shù)防護整合，各單位各信息系統(tǒng)共享公用的、統(tǒng)一的安全防護框架（安全區(qū)域邊界、安全通信網(wǎng)絡(luò)、容災(zāi)備份等基礎(chǔ)安全防護服務(wù)），再加上業(yè)務(wù)應(yīng)用自身的安全功能（應(yīng)用自身實現(xiàn)的權(quán)限控制等安全功能，及利用應(yīng)用支撐平臺提供的身份認(rèn)證、日志審計等應(yīng)用安全服務(wù)實現(xiàn)的安全功能[1]），使各信息系統(tǒng)具備統(tǒng)一的安全防護能力，將由分散的安全防護升級為集中的安全防護體系，避免由于防護不統(tǒng)一造成信息泄露和網(wǎng)絡(luò)攻擊破壞。各信息系統(tǒng)根據(jù)業(yè)務(wù)特點，可以在此基礎(chǔ)上補充專用或增強型技術(shù)防護措施，但是補充的技術(shù)防護措施也應(yīng)納入統(tǒng)一安全管理。水利部機關(guān)通過等級保護整改項目完成了部機關(guān)安全技術(shù)防護框架整合共享，按照“一個中心，三重防御”的架構(gòu)，構(gòu)建了包括網(wǎng)絡(luò)接入?yún)^(qū)、業(yè)務(wù)應(yīng)用區(qū)（根據(jù)安全要求分多個子區(qū)）、終端區(qū)和核心交換區(qū)及安全管理區(qū)等統(tǒng)一的安全防護區(qū)域，為各業(yè)務(wù)提供統(tǒng)一的安全防護[4]。

3 結(jié)語

水利網(wǎng)絡(luò)與信息安全資源整合共享涉及范圍廣、環(huán)節(jié)多，協(xié)調(diào)難度大，需要各方長期、不懈的努力。2014 年 2 月 27 日中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立后，網(wǎng)絡(luò)安全上升為國家戰(zhàn)略的高度，各單位對網(wǎng)絡(luò)與信息安全的重視程度空前提高，所以要抓住機遇，根據(jù)水利信息資源整合共享的統(tǒng)一部署，抓緊開展水利網(wǎng)絡(luò)與信息安全資源整和共享，切實推進(jìn)水利網(wǎng)絡(luò)安全和信息化同步發(fā)展。

[1] 蔡陽.國家防汛抗旱指揮系統(tǒng)技術(shù)叢書：應(yīng)用支撐與數(shù)據(jù)匯集平臺[M].北京：中國水利水電出版社，2012: 90-94.

[2] 詹全忠.水利部出臺《水利網(wǎng)絡(luò)與信息安全體系基本技術(shù)要求》[J].信息網(wǎng)絡(luò)安全，2010 (6): 86.

[3] 詹全忠，陳嵐.淺談水利網(wǎng)絡(luò)與信息安全體系[J].水利信息化，2010 (10): 32.

[4] 詹全忠，陳嵐.水利部本級信息系統(tǒng)安全等級保護整改設(shè)計[J].信息網(wǎng)絡(luò)安全，2012 (2): 85-86.

Discuss on Resource Integration and Sharing Water Resources Network and Information Security

ZHAN Quanzhong

(Water Resources Information Center, the Ministry of Water Resources, Beijing 100053, China)

This paper describes the extraordinary problems such as lack of integrality, the fragmentation of water resources network and information safety construction, analyzes the necessity of integration and sharing of water resources network and information security resources, raises the general framework of water resources network and information security system and sharing framework of resources integration, discusses the principle, content and mode about the integration and sharing.

water resources; network and information security; resources integration; sharing

TP393.08；TP39

A

1674-9405(2014)06-0022-05

2014-12-01

詹全忠（1974－），男，湖北大治人，教授級高工，主要研究方向：網(wǎng)絡(luò)與信息安全。