浅述水务网络信息安全管理.docVIP

浅述水务网络信息安全管理 　　[摘 要] 本文介绍了水务信息化快速发展进程中，水务网络信息安全工作的重要性，水务网络安全管理现状，分析了当前网络信息安全面临的安全风险及主要原因，并从完善信息安全规划、加强日常安全维护保障和信息安全教育培训3个方面提出改进措施与解决办法。 　　[关键词] 水务；网络信息安全；管理 　　[中图分类号] F272.7 [文献标识码] A [文章编号] 1673 - 0194（2013）20- 0054- 03 　　0 引 言 　　随着上海水务信息化工作的快速推进和不断深化，电子政务、数字水务、水务公共信息平台、水资源管理系统等信息化成果有力推动了水务的现代化建设。网络平台作为信息化建设和信息化成果应用的重要基础平台， 支撑起了巨大的IT价值，是水务IT价值实现的根本和基础。在互联网快速发展的背景下，网络攻击手段日益增多，信息系统所面临的安全风险也越来越多，如何确保网络信息安全已成为水务信息化进程中的一项重要工作。 　　1 现状分析 　　上海水务网络由中国水利信息网接入网、市防汛水务专网、市政务外网接入网、办公局域网、无线专网等网络组成，实现了上连国家防总、水利部、全国流域机构，中连全市各委办局、下连所有局属单位以及全市各区县防汛指挥部，系统承载了防汛报讯系统、电子政务系统、水务公共信息平台、视频会议系统、视频监控、水务热线、水资源管理系统等重要水务防汛应用。 　　为确保网络运行安全和系统应用正常，水务网络实施了一系列的安全防护措施，主要包括：在网络边界处部署安全访问控制设备，如防火墙、上网行为设备等，建立了安全的通信连接，确保数据访问合法并在有效的安全管理控制之下，同时作为抵御外部威胁的第一道防线，有效检测和防御恶意入侵；在网络核心部位和重要区域部署了入侵检测设备，分析网络传输数据，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象；开展计算环境安全管理，主要内容包括操作系统策略管理、统一病毒防护管理、安全补丁管理等。 　　2 面临的安全风险 　　2.1 信息系统缺乏同步安全建设 　　信息化进程中，普遍存在重建设轻管理，重应用功能轻安全防护，导致信息系统在建设过程中没有充分考虑信息安全防护措施和管理要求，通常在安全测评阶段，根据相应的测评指标，临时、被动地实施相关安全防护措施，虽然满足了测评的基本要求，但是安全措施比较零散，缺乏体系和相互关联，甚至实施的安全措施治标不治本，安全隐患重重。 　　2.2 未充分发挥安全产品防御作用 　　当前，信息安全已深入到业务行为关联和信息内容语义范畴。防火墙的访问控制、入侵检测的预警判断、网闸的数据传输控制以及安全审计信息的合规性判断均来自应用安全策略要求，信息安全产品更多的是面向应用层面的信息安全控制。但是由于系统开发缺乏明确的安全需求，造成了信息安全产品针对其实施的安全策略权限开放过大或无安全策略，安全告警无法有效判断，使得部分产品形同虚设，不能充分发挥其防御作用。 　　2.3 软件漏洞 　　软件漏洞是信息安全问题的根源之一，易引发信息窃取、资源被控、系统崩溃等安全事件。软件漏洞主要涉及操作系统漏洞、数据库系统漏洞、中间件漏洞、应用程序漏洞等。操作系统、数据库等厂商会不定期针对漏洞发布相应的补丁，但是，由于应用系统运行对程序开发环境的依赖度较高，补丁升级存在较大安全风险和不确定性，使得应用部门通常不实施操作系统等相关补丁升级工作。此外，应用程序本身也普遍缺失安全技术，存在诸多未知安全漏洞等问题。 　　2.4 网络病毒 　　计算机病毒是数据安全的头号大敌，根据国家计算机病毒应急处理中心发布的《2011年全国信息网络安全状况与计算机及移动终端病毒疫情调查分析报告》，2011年全国计算机病毒感染率为48.87%，虽呈下降态势，但是病毒带来的危害越来越大。 　　2.5 黑客攻击 　　国家互联网应急中心（CNCERT）的最新数据显示，中国遭受境外网络攻击的情况日趋严重。CNCERT抽样监测发现，2013年1月1日至2月28日不足60天的时间里，境外6 747台木马或僵尸网络控制服务器控制了中国境内190万余台主机。在信息系统漏洞频出的情况下，面向有组织的黑客攻击行为，现有的技术防护和安全管理措施捉襟见肘。 　　2.6 信息安全意识薄弱 　　人是信息安全工作的核心因素，其安全管理水平将直接影响信息安全保障工作。由于缺少宣传、培训和教育，用户信息安全意识较为淡薄。由于安全意识淡薄和缺乏识别潜在的安全风险，用户在实际工作中容易产生违规操作，引发信息安全问题或失泄密事件。 　　3 采取的管理措施 　　存在这些安全风险的主要原因为缺乏信息安全规划、缺乏持续改进的安全维护保障措施以及安全意识薄弱等，所以做好该部分工作是解决当前所面