氣象網(wǎng)絡(luò)安全治理體系研究
發(fā)布時(shí)間:2019-04-18所屬分類:計(jì)算機(jī)職稱論文瀏覽:1次
摘 要: 摘要:本文從氣象全行業(yè)網(wǎng)絡(luò)安全治理角度出發(fā)���,在分析新時(shí)期氣象部門網(wǎng)絡(luò)安全形勢(shì)的基礎(chǔ)上����,基于氣象工作實(shí)際提出了氣象網(wǎng)絡(luò)安全治理體系的框架結(jié)構(gòu)��,并對(duì)該體系的各個(gè)組成部分進(jìn)行了詳細(xì)介紹��。最后對(duì)如何在氣象部門落地建設(shè)該體系提出了具體實(shí)施建議。 關(guān)鍵
摘要:本文從氣象全行業(yè)網(wǎng)絡(luò)安全治理角度出發(fā),在分析新時(shí)期氣象部門網(wǎng)絡(luò)安全形勢(shì)的基礎(chǔ)上���,基于氣象工作實(shí)際提出了氣象網(wǎng)絡(luò)安全治理體系的框架結(jié)構(gòu)���,并對(duì)該體系的各個(gè)組成部分進(jìn)行了詳細(xì)介紹�。最后對(duì)如何在氣象部門落地建設(shè)該體系提出了具體實(shí)施建議��。
關(guān)鍵詞:氣象,網(wǎng)絡(luò)安全,治理體系
0引言
隨著信息技術(shù)的持續(xù)快速發(fā)展,網(wǎng)絡(luò)安全形勢(shì)愈發(fā)嚴(yán)峻,大規(guī)模網(wǎng)絡(luò)攻擊和惡意風(fēng)險(xiǎn)持續(xù)爆發(fā)。棱鏡門信息泄密事件,將網(wǎng)絡(luò)安全演變成為大國(guó)角力戰(zhàn)場(chǎng);勒索病毒席卷全球重創(chuàng)我國(guó)多個(gè)重要部門��。面對(duì)日益嚴(yán)峻的安全形勢(shì)��,全球近60個(gè)國(guó)家先后將網(wǎng)絡(luò)安全納入國(guó)家戰(zhàn)略����。
2014年2月���,我國(guó)成立了中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組����,2017年6月1日《中華人民共和國(guó)網(wǎng)絡(luò)安全法》(以下簡(jiǎn)稱《網(wǎng)絡(luò)安全法》)正式實(shí)施,將網(wǎng)絡(luò)安全問題提到了前所未有的高度���。氣象部門是關(guān)系國(guó)計(jì)民生的重要基礎(chǔ)性部門,隨著信息技術(shù)的迅猛發(fā)展,氣象部門對(duì)信息系統(tǒng)的依賴日益加重。當(dāng)前����,氣象部門正在全面推進(jìn)氣象信息化�����,對(duì)氣象網(wǎng)絡(luò)安全治理提出了更高的要求,2018年4月全國(guó)氣象信息化工作會(huì)明確提出到2020年建成綠色安全的氣象信息化體系。為達(dá)到這一目標(biāo)�,建立一個(gè)規(guī)范的��、完整的、穩(wěn)定的網(wǎng)絡(luò)安全治理體系,已成為氣象信息化發(fā)展的重要課題����。
1網(wǎng)絡(luò)安全在氣象部門的發(fā)展
氣象網(wǎng)絡(luò)安全的發(fā)展大致可以分為3個(gè)階段:
第一階段:從20世紀(jì)80年代中期至90年代初期��,少部分氣象業(yè)務(wù)以計(jì)算機(jī)系統(tǒng)作為工具,取代原有業(yè)務(wù)中的人工處理,各個(gè)業(yè)務(wù)的計(jì)算機(jī)化分別進(jìn)行�,尚未形成體系����,面臨的網(wǎng)絡(luò)安全威脅較小���,主要通過內(nèi)控等方法進(jìn)行網(wǎng)絡(luò)安全控制�。
第二階段:從20世紀(jì)90年代至2000年左右��,隨著信息技術(shù)的發(fā)展�����,計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)日漸成熟,開始以計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)作為氣象數(shù)據(jù)傳輸和業(yè)務(wù)系統(tǒng)的基礎(chǔ)支撐���。主要通過防火墻、入侵檢測(cè)系統(tǒng)��、漏洞修復(fù)��、系統(tǒng)掃描等多種手段逐步形成氣象網(wǎng)絡(luò)安全縱深防御體系����。
第三階段:從2000年至現(xiàn)在�����,隨著互聯(lián)網(wǎng)和云計(jì)算�、大數(shù)據(jù)�、物聯(lián)網(wǎng)等新技術(shù)的飛速發(fā)展,手機(jī)等智能終端普及���,以web技術(shù)為代表的氣象應(yīng)用系統(tǒng)全面鋪開。網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)��,通過加密算法�����、應(yīng)用程序安全開發(fā)����、安全協(xié)議等各種方法����,面對(duì)新形勢(shì)加強(qiáng)了對(duì)網(wǎng)絡(luò)安全的建設(shè)。
30年來��,氣象網(wǎng)絡(luò)安全建設(shè)從無到有��,明確了網(wǎng)絡(luò)安全管理的目標(biāo)和策略����,完善了網(wǎng)絡(luò)安全制度體系����,積極推動(dòng)了國(guó)家等級(jí)保護(hù)制度在氣象部門的落地實(shí)施,構(gòu)建了較為完善的網(wǎng)絡(luò)安全技術(shù)保障體系�����。但是嚴(yán)峻的內(nèi)外部網(wǎng)絡(luò)安全形勢(shì)和新技術(shù)的不斷涌現(xiàn)���,使得現(xiàn)有的網(wǎng)絡(luò)安全管理已經(jīng)無法滿足新時(shí)代發(fā)展需求����,亟需優(yōu)化和升級(jí)。
2氣象部門面臨的網(wǎng)絡(luò)安全威脅及成因分析
氣象部門幾乎所有的業(yè)務(wù)都運(yùn)行在信息技術(shù)基礎(chǔ)之上�,尤其是新出現(xiàn)的產(chǎn)品和服務(wù)更加趨于開放和互聯(lián)����,進(jìn)一步加強(qiáng)了對(duì)信息系統(tǒng)的依賴程度����。氣象信息系統(tǒng)相互牽連�、服務(wù)產(chǎn)品多樣化,信息可靠性��、時(shí)效性的高要求是其突出特點(diǎn)����。網(wǎng)絡(luò)安全對(duì)氣象業(yè)務(wù)的正常開展起著至關(guān)重要的作用。如何應(yīng)對(duì)網(wǎng)絡(luò)安全威脅�,防范和化解網(wǎng)絡(luò)安全風(fēng)險(xiǎn),是氣象部門面臨的重大問題。近年來����,針對(duì)氣象部門的網(wǎng)絡(luò)攻擊時(shí)有發(fā)生。
氣象行業(yè)面臨的威脅主要有以下幾類:(1)信息完整性破壞:數(shù)據(jù)被非授權(quán)地進(jìn)行增刪、修改或破壞而受到損失;(2)信息泄露:信息被泄露或透漏給某個(gè)未授權(quán)的實(shí)體;(3)拒絕服務(wù):對(duì)信息或其他資源的合法訪問被無條件阻止;(4)網(wǎng)絡(luò)攻擊:黑客通過網(wǎng)絡(luò)對(duì)信息系統(tǒng)進(jìn)行攻擊��,造成系統(tǒng)癱瘓、數(shù)據(jù)被盜或丟失等;(5)計(jì)算機(jī)病毒:在計(jì)算機(jī)系統(tǒng)運(yùn)行過程中能夠?qū)崿F(xiàn)傳染和侵害功能的程序;(6)人員不慎:人員安全意識(shí)不到位,放松了對(duì)系統(tǒng)的整體安全防護(hù)。
究其成因��,主要還是由于:
一是信息化在推進(jìn)業(yè)務(wù)發(fā)展的同時(shí)�,也帶來了巨大的風(fēng)險(xiǎn)。由于信息化規(guī)模不斷擴(kuò)大,信息技術(shù)迅速發(fā)展����,氣象信息系統(tǒng)在規(guī)劃���、研發(fā)�����、建設(shè)、運(yùn)行、維護(hù)�、監(jiān)控及退出過程中���,存在著大量的弱點(diǎn)���,這些弱點(diǎn)被特定人員威脅利用,就會(huì)產(chǎn)生風(fēng)險(xiǎn)。信息化程度越高,風(fēng)險(xiǎn)就會(huì)越大。
二是由于云計(jì)算���、大數(shù)據(jù)、移動(dòng)互聯(lián)等信息技術(shù)的普及,網(wǎng)絡(luò)安全管理和技術(shù)能力的建設(shè)滯后于新技術(shù)應(yīng)用的發(fā)展���。個(gè)別技術(shù)防護(hù)手段和措施還落實(shí)不到位。同時(shí)由于數(shù)據(jù)集中成為必然趨勢(shì)��,數(shù)據(jù)集中后安全風(fēng)險(xiǎn)必然增大。
三是氣象信息系統(tǒng)的自主控制能力仍然不強(qiáng),核心關(guān)鍵領(lǐng)域還是依賴于某些廠家的產(chǎn)品和服務(wù)�,缺乏判斷設(shè)備是否存在“后門”���、“軟件缺陷”等安全隱患的能力�。四是對(duì)人員管理����,尤其是外包人員的管理不嚴(yán)。雖然氣象部門從制度、員工意識(shí)等多個(gè)方面進(jìn)行了有效防范,但是安全沒有止境�。
3氣象網(wǎng)絡(luò)安全治理體系框架
網(wǎng)絡(luò)安全包含的內(nèi)容相當(dāng)廣泛����,應(yīng)將網(wǎng)絡(luò)安全當(dāng)作一個(gè)整體加以研究和應(yīng)用�����。網(wǎng)絡(luò)安全治理體系參考框架從整體上視為氣象網(wǎng)絡(luò)安全的所有工作�,在框架層面具有普遍性�,但是各級(jí)氣象部門在開展網(wǎng)絡(luò)安全管理體系建設(shè)時(shí),需要根據(jù)自身實(shí)際對(duì)具體內(nèi)容進(jìn)行修改、調(diào)整和細(xì)化。
3.1參考標(biāo)準(zhǔn)和規(guī)范
提出氣象網(wǎng)絡(luò)安全治理體系參考的標(biāo)準(zhǔn)和規(guī)范包括:“中華人民共和國(guó)網(wǎng)絡(luò)安全法”����、“國(guó)家信息安全等級(jí)保護(hù)制度”���、“ISO/IEC27001標(biāo)準(zhǔn)”�、“信息及相關(guān)技術(shù)的控制目標(biāo)(ControlObjectivesforInformationandRelatedTechnology,COBIT)標(biāo)準(zhǔn)”����、“信息技術(shù)基礎(chǔ)架構(gòu)庫(InformationTechnologyInfrastructureLibrary,ITIL)”�、“ISO31000標(biāo)準(zhǔn)”、“信息技術(shù)安全技術(shù)IT網(wǎng)絡(luò)安全標(biāo)準(zhǔn)(GB/T25068)”���、“信息技術(shù)安全技術(shù)信息技術(shù)安全評(píng)估準(zhǔn)則(GB/T18336)等”。
3.2框架基本構(gòu)成
氣象網(wǎng)絡(luò)安全治理體系參考框架包括:網(wǎng)絡(luò)安全策略��、網(wǎng)絡(luò)安全組織���、網(wǎng)絡(luò)安全制度�����、網(wǎng)絡(luò)安全運(yùn)行���、網(wǎng)絡(luò)安全技術(shù)��,其中網(wǎng)絡(luò)安全運(yùn)行包括網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理、網(wǎng)絡(luò)安全規(guī)劃與建設(shè)�����、網(wǎng)絡(luò)安全監(jiān)控與檢查���、網(wǎng)絡(luò)安全事件管理����、業(yè)務(wù)連續(xù)性與災(zāi)難恢復(fù)管理和網(wǎng)絡(luò)安全審計(jì)等內(nèi)容����。
(1)網(wǎng)絡(luò)安全策略
氣象網(wǎng)絡(luò)安全策略是基于氣象信息化戰(zhàn)略����、業(yè)務(wù)目標(biāo)和審計(jì)要求提出的對(duì)整個(gè)氣象網(wǎng)絡(luò)安全工作起到驅(qū)動(dòng)作用的指導(dǎo)方針�。氣象網(wǎng)絡(luò)安全策略應(yīng)明確網(wǎng)絡(luò)安全治理的范圍、原則和目標(biāo)等��。具體來說����,氣象網(wǎng)絡(luò)安全治理的范圍是氣象部門所有與信息系統(tǒng)開發(fā)、數(shù)據(jù)服務(wù)及信息基礎(chǔ)設(shè)施建設(shè)相關(guān)的業(yè)務(wù)活動(dòng);基本原則包括:“分級(jí)保護(hù)”�、“同步規(guī)劃����、同步建設(shè)、同步運(yùn)行”���、“適度安全”、“三分技術(shù)�����、七分管理”等;目標(biāo)是建立健全氣象部門的安全治理體系��,增強(qiáng)氣象網(wǎng)絡(luò)安全保障能力�����,提高整體網(wǎng)絡(luò)安全水平,保證氣象信息系統(tǒng)正常運(yùn)行�。
(2)網(wǎng)絡(luò)安全組織
網(wǎng)絡(luò)安全組織是在明確了安全策略后�����,定義、建立和維護(hù)的安全組織架構(gòu)�����,是網(wǎng)絡(luò)安全工作得以執(zhí)行的基礎(chǔ)����。網(wǎng)絡(luò)安全組織包括組織架構(gòu)�、崗位和職責(zé)設(shè)計(jì)、與其他部門的協(xié)作、人員管理等����。氣象網(wǎng)絡(luò)安全組織按照國(guó)家網(wǎng)絡(luò)安全主管部門要求實(shí)行統(tǒng)一領(lǐng)導(dǎo)及一把手負(fù)責(zé)制����。同時(shí)�,按照分級(jí)管理、分級(jí)負(fù)責(zé)的原則,通過條塊結(jié)合的管理矩陣模式提升管理效率。網(wǎng)絡(luò)安全崗位應(yīng)設(shè)專人負(fù)責(zé),縱向可分成決策崗、管理崗和執(zhí)行崗�����,分別從政策制定���、業(yè)務(wù)管理和業(yè)務(wù)運(yùn)行各個(gè)層面開展網(wǎng)絡(luò)安全工作�。
橫向由網(wǎng)絡(luò)安全管理崗、技術(shù)崗對(duì)業(yè)務(wù)部門提供網(wǎng)絡(luò)安全業(yè)務(wù)指導(dǎo)���,與保衛(wèi)部門協(xié)同完成物理安全保衛(wèi)的工作,與人事部門協(xié)同完成網(wǎng)絡(luò)安全技術(shù)培訓(xùn)和教育���。人員管理還包括內(nèi)部人員和外包服務(wù)人員的管理,如保密協(xié)議的簽署、信息系統(tǒng)訪問的授權(quán)��、信息資產(chǎn)的使用等�。
(3)網(wǎng)絡(luò)安全制度
網(wǎng)絡(luò)安全制度包括網(wǎng)絡(luò)安全法律法規(guī)、指導(dǎo)意見、管理辦法、規(guī)定、規(guī)范、流程���、細(xì)則、模板表單等涉及網(wǎng)絡(luò)安全的法律、文件�。網(wǎng)絡(luò)安全法律法規(guī)����、指導(dǎo)意見是氣象網(wǎng)絡(luò)安全制度的綱領(lǐng)性文件�,其他文件必須遵從這些綱領(lǐng)性文件�����。網(wǎng)絡(luò)安全制度是網(wǎng)絡(luò)安全活動(dòng)的基礎(chǔ)���,為整個(gè)框架的其他環(huán)節(jié)提供政策和決策依據(jù)�,確保網(wǎng)絡(luò)安全工作的合法性和一致性��。
網(wǎng)絡(luò)安全制度的結(jié)構(gòu)和內(nèi)容應(yīng)充分考慮國(guó)家等級(jí)保護(hù)制度�����、ISO/IEC27001標(biāo)準(zhǔn)等的相關(guān)要求,涵蓋網(wǎng)絡(luò)安全管理策略�����、機(jī)構(gòu)和職責(zé)設(shè)置、人員管理、信息系統(tǒng)全生命周期管理����、數(shù)據(jù)管理�、訪問權(quán)限和密鑰管理�、資產(chǎn)設(shè)備管理、安全檢查、產(chǎn)品和服務(wù)采購管理��、風(fēng)險(xiǎn)管理��、安全事件和應(yīng)急響應(yīng)管理等�。
(4)網(wǎng)絡(luò)安全運(yùn)行
信息系統(tǒng)生命周期的70%-80%處于運(yùn)行階段����。網(wǎng)絡(luò)安全運(yùn)行已經(jīng)越來越受到重視����。隨著氣象信息化建設(shè)的推進(jìn),信息系統(tǒng)建設(shè)工作已經(jīng)從大規(guī)模建設(shè)轉(zhuǎn)型到了“建設(shè)和運(yùn)維”并舉的發(fā)展階段��,運(yùn)維人員需要管理越來越龐大的信息系統(tǒng)�。網(wǎng)絡(luò)安全運(yùn)行不僅要對(duì)網(wǎng)絡(luò)病毒或黑客攻擊等網(wǎng)絡(luò)安全事件進(jìn)行定位、防護(hù)����、清除��,還要圍繞安全事件展開監(jiān)控、告警�、響應(yīng)��、評(píng)估等工作。網(wǎng)絡(luò)安全運(yùn)行包括網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理�、網(wǎng)絡(luò)安全規(guī)劃與建設(shè)�、網(wǎng)絡(luò)安全監(jiān)控與檢查����、網(wǎng)絡(luò)安全事件管理、業(yè)務(wù)連續(xù)性與災(zāi)難恢復(fù)管理和網(wǎng)絡(luò)安全審計(jì)����。
���、倬W(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理:包括風(fēng)險(xiǎn)識(shí)別���、風(fēng)險(xiǎn)評(píng)估�����、風(fēng)險(xiǎn)處置和結(jié)果報(bào)告。風(fēng)險(xiǎn)的處置包括對(duì)網(wǎng)絡(luò)安全措施進(jìn)行優(yōu)先級(jí)排序���、評(píng)估和實(shí)施�����,可以通過風(fēng)險(xiǎn)承受���、風(fēng)險(xiǎn)降低�、風(fēng)險(xiǎn)規(guī)避和風(fēng)險(xiǎn)轉(zhuǎn)移等方式實(shí)現(xiàn)����。
②網(wǎng)絡(luò)安全規(guī)劃與建設(shè):每三至五年��,定期根據(jù)信息化發(fā)展戰(zhàn)略的總體目標(biāo)和各階段的實(shí)施目標(biāo)��,確定網(wǎng)絡(luò)安全的發(fā)展目標(biāo)和總體規(guī)劃�����。通過對(duì)現(xiàn)狀分析,結(jié)合未來幾年的需求��,提出落地實(shí)施的具體措施和辦法�����,并形成文檔����。規(guī)劃的結(jié)果需要項(xiàng)目支撐落實(shí)。網(wǎng)絡(luò)安全建設(shè)以應(yīng)用為目標(biāo)���,以需求為導(dǎo)向,堅(jiān)持統(tǒng)一標(biāo)準(zhǔn)�、統(tǒng)一規(guī)劃�����、統(tǒng)一建設(shè)����、統(tǒng)一管理,包括管理體系建設(shè)和網(wǎng)絡(luò)安全項(xiàng)目建設(shè)���。
③網(wǎng)絡(luò)安全監(jiān)控與檢查:網(wǎng)絡(luò)安全監(jiān)控是采取主動(dòng)積極防御策略����,利用技術(shù)手段�����,通過實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)或主機(jī)活動(dòng),監(jiān)視分析用戶系統(tǒng),監(jiān)測(cè)系統(tǒng)配置和漏洞,識(shí)別攻擊行為����。網(wǎng)絡(luò)安全檢查是對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)���、網(wǎng)絡(luò)安全部署和網(wǎng)絡(luò)防護(hù)措施的有效性進(jìn)行定期或不定期的綜合檢查��。網(wǎng)絡(luò)安全監(jiān)控與檢查結(jié)果用于網(wǎng)絡(luò)安全管理策略和制度的持續(xù)改進(jìn)。
④網(wǎng)絡(luò)安全事件管理:包括網(wǎng)絡(luò)安全事件分類分級(jí)�����、網(wǎng)絡(luò)安全事件報(bào)告����、網(wǎng)絡(luò)安全事件處理和響應(yīng)、網(wǎng)絡(luò)安全事件分析和總結(jié)和事件定性及責(zé)任認(rèn)定。
����、輼I(yè)務(wù)連續(xù)性與災(zāi)難恢復(fù)管理:業(yè)務(wù)連續(xù)性管理包括業(yè)務(wù)影響分析、編制總體應(yīng)急預(yù)案和專項(xiàng)應(yīng)急預(yù)案、開展應(yīng)急演練、業(yè)務(wù)中斷事件的應(yīng)急處置。災(zāi)難恢復(fù)管理包括分析恢復(fù)需求��、制定恢復(fù)策略�����、編制恢復(fù)預(yù)案和開展恢復(fù)演練���。
���、蘧W(wǎng)絡(luò)安全審計(jì):包括制定審計(jì)計(jì)劃����、執(zhí)行審計(jì)任務(wù)���、形成審計(jì)報(bào)告����。審計(jì)的內(nèi)容應(yīng)覆蓋網(wǎng)絡(luò)層面、系統(tǒng)層面和應(yīng)用層面����。
(5)網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù)是整個(gè)參考框架的基礎(chǔ)���,包括網(wǎng)絡(luò)安全技術(shù)手段�����、產(chǎn)品(含購買服務(wù))和安全系統(tǒng)部署����。根據(jù)國(guó)家等級(jí)保護(hù)制度的要求�����,網(wǎng)絡(luò)安全技術(shù)對(duì)信息系統(tǒng)的保護(hù)要達(dá)到物理安全����、網(wǎng)絡(luò)安全���、主機(jī)安全��、應(yīng)用安全和數(shù)據(jù)安全五個(gè)層面的安全�。
4氣象網(wǎng)絡(luò)安全治理體系實(shí)施建議
實(shí)施氣象網(wǎng)絡(luò)安全治理體系���,根據(jù)目前氣象工作實(shí)際情況�,應(yīng)重點(diǎn)加強(qiáng)網(wǎng)絡(luò)安全制度、網(wǎng)絡(luò)安全運(yùn)行���、網(wǎng)絡(luò)安全技術(shù)和網(wǎng)絡(luò)安全組織建設(shè)。具體來說�����,建議從以下幾項(xiàng)工作著手:
(1)加強(qiáng)網(wǎng)絡(luò)安全制度建設(shè)方面���,建議按照“全面防范�、重點(diǎn)突出”的原則,及時(shí)跟蹤對(duì)標(biāo)國(guó)家法律法規(guī)����、政策文件和技術(shù)標(biāo)準(zhǔn)規(guī)范,迅速跟進(jìn)完善氣象部門網(wǎng)絡(luò)安全制度�����,逐步建立起全方位���、持續(xù)改進(jìn)的網(wǎng)絡(luò)安全制度體系��。在彌補(bǔ)制度空白的同時(shí)�,規(guī)范制度文件的制修訂和審核發(fā)布流程�,抓好制度的貫徹落實(shí)。
(2)強(qiáng)化網(wǎng)絡(luò)安全運(yùn)行方面,建議一是將網(wǎng)絡(luò)安全管理要求融入信息系統(tǒng)全生命周期,對(duì)信息系統(tǒng)的可行性研究���、需求分析、立項(xiàng)評(píng)審、編碼�、測(cè)試����、上線運(yùn)行等全過程各環(huán)節(jié)進(jìn)行規(guī)范�����,重點(diǎn)把好“三關(guān)”��,即需求審核關(guān)、研制關(guān)和上線關(guān)。二是加快推進(jìn)信息資產(chǎn)分類分級(jí)管理���。建立信息資產(chǎn)分級(jí)標(biāo)準(zhǔn),明確等級(jí)化的安全保護(hù)策略和要求�����。加強(qiáng)敏感信息保護(hù)����,加強(qiáng)向外部提供信息的統(tǒng)一管理�,嚴(yán)格審核,歸口發(fā)布����,防止信息資產(chǎn)違規(guī)泄露���。加強(qiáng)終端設(shè)備的安全管理�。三是加強(qiáng)網(wǎng)絡(luò)安全監(jiān)測(cè),提升網(wǎng)絡(luò)安全態(tài)勢(shì)感知能力,針對(duì)發(fā)現(xiàn)的主要問題和薄弱環(huán)節(jié)����,加強(qiáng)操作風(fēng)險(xiǎn)控制�,制定和完善系統(tǒng)備份策略���,建立事件處理知識(shí)庫��,定期開展風(fēng)險(xiǎn)排查和整改優(yōu)化��。四是落實(shí)運(yùn)行管理責(zé)任,確保管理范圍的全覆蓋。
(3)提升網(wǎng)絡(luò)安全技術(shù)水平方面��,建議一是依據(jù)國(guó)際國(guó)內(nèi)網(wǎng)絡(luò)安全技術(shù)標(biāo)準(zhǔn)���,根據(jù)國(guó)家信息安全等級(jí)保護(hù)要求���,統(tǒng)一規(guī)劃�����、構(gòu)建氣象部門信息系統(tǒng)安全技術(shù)架構(gòu)���,制定網(wǎng)絡(luò)安全保障策略���,編制網(wǎng)絡(luò)安全技術(shù)指南,持續(xù)加大投資力度���,大力改善信息基礎(chǔ)設(shè)施。二是以自主創(chuàng)新增進(jìn)安全可控能力�����。推動(dòng)應(yīng)用自主創(chuàng)新能力�,力爭(zhēng)氣象領(lǐng)域關(guān)鍵信息技術(shù)自主創(chuàng)新占比逐步提高,不斷提升信息系統(tǒng)的開放性���、靈活性和整體的集成化水平。強(qiáng)化行業(yè)協(xié)作�����,共同應(yīng)對(duì)外包集中等風(fēng)險(xiǎn)�����。三是針對(duì)新形勢(shì)積極探索網(wǎng)絡(luò)安全應(yīng)對(duì)策略���。加強(qiáng)安全威脅發(fā)展趨勢(shì)的跟蹤和分析研究����,及時(shí)淘汰落后的網(wǎng)絡(luò)安全技術(shù)和產(chǎn)品�����,將安全防線前移����,加強(qiáng)縱深防御�。
(4)加強(qiáng)網(wǎng)絡(luò)安全組織方面建設(shè)�,建議逐步建立起一支網(wǎng)絡(luò)安全專業(yè)隊(duì)伍,選拔優(yōu)秀技術(shù)人才充實(shí)管理隊(duì)伍�����,將新員工補(bǔ)充到開發(fā)一線���,形成合理的管理和開發(fā)梯隊(duì)。開展網(wǎng)絡(luò)安全技能培訓(xùn)����,提升人員專業(yè)素質(zhì)和能力�。營(yíng)造網(wǎng)絡(luò)安全深入人心的文化氛圍����,以績(jī)效考核為引導(dǎo),以流程制度為規(guī)范��,加強(qiáng)風(fēng)險(xiǎn)提示宣傳和內(nèi)部風(fēng)險(xiǎn)警示教育���,提升全員安全意識(shí)��。
5結(jié)束語
在歷經(jīng)了網(wǎng)絡(luò)建設(shè)�、數(shù)據(jù)集中���、網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施建設(shè)等階段后��,氣象部門已進(jìn)入了體系化網(wǎng)絡(luò)安全治理的階段�����。氣象部門應(yīng)基于現(xiàn)有的網(wǎng)絡(luò)安全工作,積極開展氣象網(wǎng)絡(luò)安全治理體系的落地建設(shè)��,確保在氣象信息化推進(jìn)過程中有效防范和化解網(wǎng)絡(luò)安全風(fēng)險(xiǎn)��,推動(dòng)實(shí)現(xiàn)網(wǎng)絡(luò)安全治理能力現(xiàn)代化,為氣象事業(yè)發(fā)展提供堅(jiān)實(shí)的網(wǎng)絡(luò)安全保障。
參考文獻(xiàn):
[1]林潤(rùn)輝,李大輝����,謝宗曉����,王興起.信息安全管理理論與實(shí)踐[M].北京:中國(guó)質(zhì)檢出版社��,2015.
[2]中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院.信息安全管理體系理解與實(shí)踐[M].北京:中國(guó)質(zhì)檢出版社���,2017.
[3]謝宗曉.政府部門信息安全管理基本要求理解與實(shí)施[M].北京:中國(guó)質(zhì)檢出版社���,2014.
[4]郇林.云計(jì)算環(huán)境下的計(jì)算機(jī)網(wǎng)絡(luò)安全問題分析[J].技術(shù)與市場(chǎng),2017.
[5]謝宗曉.信息安全管理體系實(shí)施指南[M].北京:中國(guó)質(zhì)檢出版社���,2017.
[6]周世杰�,藍(lán)天����,傅翀,趙洋.信息安全標(biāo)準(zhǔn)與法律法規(guī)[M].北京:科學(xué)出版社,2012.
相關(guān)刊物推薦:《信息安全與技術(shù)》(月刊)創(chuàng)刊于2010年�,是由中國(guó)電子信息產(chǎn)業(yè)發(fā)展研究院主辦的是我國(guó)信息安全和信息技術(shù)領(lǐng)域集學(xué)術(shù)性����、技術(shù)性�����、專業(yè)性和權(quán)威性為一體的國(guó)家級(jí)月刊�,面向中國(guó)信息安全與技術(shù)領(lǐng)域����,展現(xiàn)學(xué)術(shù)水平和專業(yè)技術(shù)成果���,創(chuàng)建中國(guó)信息安全與技術(shù)領(lǐng)域第一交流平臺(tái)����,以期提高我國(guó)信息安全和信息技術(shù)的突破。
