船舶企业信息安全保障体系建设探索.pdfVIP

船舶企业信息安全保障体系建设探索 沪东中华造船(集团)有限公司上海200129江民达陈凌宙 摘要 船舶企业在提升信息化集成水平，以信息化促进工业化的过程中，必须重视信息安全保障建设。本文 针对船舶企业信息安全保障建设过程中，依照国家等级保护相关标准要求从安全管理体系和安全技术体系 建设进行了探索。 关蝴；信息安全船舶企业等级保护 中国是世界上具有重要影响地位的造船大国，作为海洋装备建设的主要承制、科研部门， 我国船舶工业必须以信息化带动工业化，进一步提升信息集成化水平，夯实船舶企业信息化 基础工作，积极探索船舶企业在信息化促进工业化进程中的信息安全保障体系建设，为船舶 企业的不断发展提供安全保障，以适应船舶企业的发展需要。 一、充分认识信息安全对船舶企业的保障和促进作用 随着网络技术日新月异的飞速发展，网络信息安全日益成为国家和企业共同面临的挑 战。尤其要指出的，全球经济一体化的发展，使得我国国民经济对远洋运输呈高依存度，突 显了我国海洋安全和海洋权益维护的重要性。作为承担我国海军装备建设和其它海洋装备建 设的船舶企业，在其生产、科研实践中，对网络和数字化造船技术的广泛应用，也日益突显 了企业信息安全保障体系建设的重要性。 此外，信息应用的智能化也已成为另一个重要趋势。智能化确实意味着方便，但也隐藏 着巨大的安全隐患。这是因为，凡是有智能运用的地方，就意味着系统或者设备里面有程序 存在，而凡是有程序存在的地方就意味着有面临网络攻击的可能。毫无疑问在维护国家海洋 权益和海洋安全，为海洋装备建设的过程中，船舶企业必将成为各种敌对势力和新的竞争对 手窃取各类秘密信息的对象，而通过计算机和网络进行窃密、破坏和攻击往往就会成为最大 的现实可能和最便捷的方法。因此，导致船舶企业的信息安全威胁逐步升级，必须引起我们 足够的重视和警惕。如果说网络安全问题仅仅是网络空间本身的属性，可能还不足以引起所 有人的关注。但是，2010年有西方政府背景“震网”病毒的发生，直接针对伊朗核离心机 进行了远程网络攻击并对伊朗核计划进程造成严重打击的事例，则彻底颠覆了人们对信息安 全的看法，信息安全将与国家基础设施安全，与国家重要战略资源的安全紧紧地联系在一起， 信息安全将对实体世界安全构成重大威胁和挑战已成为不争的事实。“信息安全已变成国家 主权的象征。美国己宣布要为网络空间安全打仗了。保护网络空间，等同于保护我们国家的 领土主权。”(中国工程院院士沈昌祥) 事实证明，切实加强我国船舶企业信息安全建设步伐，即关系国家安全的需要，也关系 船舶企业自身商业秘密安全需要。 第一作者简介：江民达(1954)，男，高级工程师。1980年毕业于哈尔滨工程学院电子技术专业，长期从 事信息安全管理工作。 27 二、船舶企业信息安全现状和面临的主要问题 我国船舶企业虽然较重视信息安全工作，也进行了信息安全初步建设，但在信息安全总 体建设上没有和造船生产信息化发展同步，尤其没有健全和完善信息安全技术和管理体系机 制，仅靠个别安全产品进行被动防御，缺乏和造船能力相称的信息安全防护能力。 1。信息安全建设投入不足，各层领导重视不够：总体安全水平较低 出于企业效益利润考虑，船舶企业领导更加重视能直接带来经济效益的信息化软、硬件 建设，对保障知识产权等无形资产的有关信息安全保护重视不够，造成信息安全建设投入不 足。另外，安全保密防范和工作便利性本就是一对矛盾，需要依靠船舶企业领导的智慧进行 “平衡”，现实中多数船企为了便于开展工作而弱化了保密安全。即使采取了一些安全措施， 也出于避免员工离职离岗时利用移动存储介质带走设计资料到竞争对手那里，造成不必要的 经济损失而进行的较简单的终端防护。一旦遇到黑客入侵、恶意代码注入等计算机复杂技术， 这些简单防护形同虚设，起不了任何防护作用。 2．未按照国家等级保护规范标准进行全面、系统、规范的信息安全建设 信息安全是一个全体员工参与的、涉及整个船舶企业各方面的系统工程。遵循“木桶理 论”～木筒装水的多少决定于最矮的木板，系统整体安全级别的高低取决于系统安全管理最 薄弱的环节。要提高企业的总体信息安全级别，不是安装一个产品或几个功能单一的工具就 能实现的，而是一个复杂、综合的需要不断改进完善的系统工程。目前多数船企尚未建立完 善的信息安全管理和技术保障