前言：本站為你精心整理了信息體系論文：海洋信息體系問題與方略范文，希望能為你的創(chuàng)作提供參考價(jià)值，我們的客服老師可以幫助你提供個(gè)性化的參考范文，歡迎咨詢。

本文作者：劉豐韓偉作者單位：國(guó)家海洋信息中心

對(duì)策研究

1建設(shè)目標(biāo)

海洋信息安全體系建設(shè)的目標(biāo)是建設(shè)一個(gè)由策略、防護(hù)、檢測(cè)和響應(yīng)組成的完整安全體系，從而最大限度地保護(hù)信息不受諸多威脅的侵犯，確保連續(xù)性，將損失和風(fēng)險(xiǎn)降低到最低程度。為保證系統(tǒng)的安全運(yùn)行，安全系統(tǒng)建設(shè)確定以下具體建設(shè)目標(biāo)。（1）在系統(tǒng)各個(gè)網(wǎng)絡(luò)上建立比較完整的安全防護(hù)體系，為核心業(yè)務(wù)應(yīng)用提供安全可靠的網(wǎng)絡(luò)環(huán)境。網(wǎng)絡(luò)安全需要分級(jí)、分層次的防護(hù)措施，充分利用現(xiàn)階段的各種防護(hù)產(chǎn)品，加強(qiáng)網(wǎng)絡(luò)信息系統(tǒng)的基礎(chǔ)安全防護(hù)。（2）實(shí)現(xiàn)多級(jí)的安全訪問控制功能。按照“縱深防御，重點(diǎn)保護(hù)”的策略，對(duì)網(wǎng)絡(luò)中的不同級(jí)別的資源實(shí)現(xiàn)不同程度的防護(hù)強(qiáng)度和不同的訪問控制力度。（3）實(shí)現(xiàn)對(duì)重要信息的傳輸加密保護(hù)。建立以VPN為基礎(chǔ)的數(shù)據(jù)傳輸加密系統(tǒng)，防止信息在網(wǎng)絡(luò)傳輸中被竊取和破壞。（4）做好網(wǎng)絡(luò)安全基礎(chǔ)建設(shè)。做好網(wǎng)絡(luò)邊界和安全域邊界的隔離和保護(hù)，通過部署防火墻或安全隔離系統(tǒng)，防止非法訪問；部署網(wǎng)絡(luò)入侵防御和漏洞掃描系統(tǒng)，加強(qiáng)對(duì)網(wǎng)絡(luò)非法活動(dòng)的監(jiān)測(cè)，及時(shí)修補(bǔ)網(wǎng)絡(luò)和系統(tǒng)的漏洞；部署應(yīng)用和網(wǎng)絡(luò)的審計(jì)系統(tǒng)，追蹤和審計(jì)應(yīng)用和網(wǎng)絡(luò)操作行為，做到有據(jù)可查；根據(jù)數(shù)字海洋各應(yīng)用系統(tǒng)安全狀況，做好其他安全產(chǎn)品的部署和實(shí)施。（5）完善各業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)全方位的病毒防范體系。采用包括客戶端、服務(wù)器、郵件以及防病毒硬件網(wǎng)關(guān)等系列產(chǎn)品構(gòu)筑強(qiáng)大有效的網(wǎng)絡(luò)防病毒體系。（6）完善重要應(yīng)用系統(tǒng)的數(shù)據(jù)和關(guān)鍵的主機(jī)系統(tǒng)冗余備份系統(tǒng)。建立數(shù)據(jù)備份系統(tǒng)，包括異地容災(zāi)建設(shè)，以保證關(guān)鍵業(yè)務(wù)的系統(tǒng)和數(shù)據(jù)有效備份。（7）完善簡(jiǎn)易身份認(rèn)證系統(tǒng)和授權(quán)系統(tǒng)。為了滿足業(yè)務(wù)系統(tǒng)對(duì)身份認(rèn)證和授權(quán)系統(tǒng)的急迫要求，需要先建立內(nèi)部以數(shù)字證書為基礎(chǔ)的簡(jiǎn)易身份認(rèn)證系統(tǒng)和授權(quán)系統(tǒng)。對(duì)于注冊(cè)賬號(hào)可采用的認(rèn)證方式包括口令、CA證書、雙因素和雙向等認(rèn)證方式。（8）完善有效的安全管理機(jī)制和組織體系。要培養(yǎng)和建立起一支網(wǎng)絡(luò)信息安全的技術(shù)隊(duì)伍和管理隊(duì)伍，保證各級(jí)網(wǎng)絡(luò)系統(tǒng)安全技術(shù)和管理落實(shí)到人。在制定實(shí)用的可操作的安全管理制度的前提下，強(qiáng)化安全意識(shí)和培訓(xùn)，加強(qiáng)安全管理制度的執(zhí)行力度，確保海洋局各級(jí)機(jī)構(gòu)各項(xiàng)業(yè)務(wù)的安全運(yùn)行。

2策略原則

在海洋信息安全體系建設(shè)過程中，應(yīng)該遵循“統(tǒng)籌規(guī)劃、分步實(shí)施、安全可靠、經(jīng)濟(jì)實(shí)用、靈活方便、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一規(guī)范”的原則進(jìn)行。要遵循的主要原則如下。（1）業(yè)務(wù)需求的原則：系統(tǒng)信息安全體系建設(shè)的目標(biāo)和安全行為應(yīng)根據(jù)業(yè)務(wù)的目標(biāo)和需要進(jìn)行，并接受業(yè)務(wù)管理的指導(dǎo)。（2）可靠性原則：系統(tǒng)信息安全體系在基本不影響應(yīng)用系統(tǒng)功能和效率的前提下，必須做到穩(wěn)定、可靠地不間斷運(yùn)行。（3）可擴(kuò)展性原則：系統(tǒng)信息安全體系必須允許增加新的安全組件與安全功能，保證系統(tǒng)安全性不斷增長(zhǎng)的需要。（4）標(biāo)準(zhǔn)化原則：系統(tǒng)信息安全體系建設(shè)的各個(gè)環(huán)節(jié)都必須符合國(guó)家關(guān)于信息安全的法律和法規(guī)。（5）可管理性原則：系統(tǒng)信息安全體系必須可管理，做到分布式安全布控，集中式安全管理。（6）經(jīng)濟(jì)適用原則：系統(tǒng)信息安全體系的設(shè)計(jì)要在安全需求、安全風(fēng)險(xiǎn)和安全成本之間進(jìn)行科學(xué)的平衡、比較和折中，使系統(tǒng)信息安全體系安全、經(jīng)濟(jì)、適用，易用、性能價(jià)格比合理。（7）聯(lián)合共建的原則：在系統(tǒng)信息安全體系建設(shè)過程中，充分利用現(xiàn)有的安全資源，發(fā)揮企業(yè)的積極性和安全系統(tǒng)集成商、安全產(chǎn)品供應(yīng)商、安全技術(shù)服務(wù)商的積極性，促進(jìn)安全技術(shù)廣泛的應(yīng)用和共享，避免重復(fù)設(shè)計(jì)和重復(fù)建設(shè)。（8）統(tǒng)籌規(guī)劃、分步實(shí)施的原則：做好統(tǒng)籌規(guī)劃工作，制定總體方案，采取邊建設(shè)、邊服務(wù)的分步實(shí)施方針，確保工程建設(shè)的順利進(jìn)行，避免出現(xiàn)重大的投資失誤或因系統(tǒng)不能有效發(fā)揮作用而影響投資的效益。（9）嚴(yán)格監(jiān)督的原則：建立相應(yīng)組織，采取有效措施，對(duì)工程質(zhì)量、工程進(jìn)度和投資狀況進(jìn)行嚴(yán)格的論證、把關(guān)和監(jiān)督，確保項(xiàng)目工程有計(jì)劃、按步驟地順利進(jìn)行。

海洋信息系統(tǒng)安全體系建設(shè)內(nèi)容及分析

通過分析《國(guó)家信息系統(tǒng)安全保護(hù)等級(jí)基本要求》的相關(guān)標(biāo)準(zhǔn)，對(duì)等級(jí)保護(hù)的安全層級(jí)劃分為安全技術(shù)與安全管理兩大部分，對(duì)于海洋信息系統(tǒng)的安全建設(shè)也將從這兩個(gè)方面進(jìn)行著手。

1技術(shù)安全解決措施

1）物理安全。機(jī)房具有較強(qiáng)防震、防風(fēng)和防雨等能力。完全與用水設(shè)備隔離。機(jī)房出入口安排專人值守，記錄進(jìn)入人員，機(jī)房的來訪人員經(jīng)過申請(qǐng)審批流程，安排工作人員一起陪同，并限制和監(jiān)視其活動(dòng)范圍。對(duì)機(jī)房劃分區(qū)域進(jìn)行管理，區(qū)域和區(qū)域之間設(shè)置物理隔離裝置，在重要區(qū)域前設(shè)置過渡區(qū)域。在機(jī)房的門口配置電子門禁系統(tǒng)。各種設(shè)備放置在機(jī)柜內(nèi)，設(shè)置明顯的標(biāo)記。所有線路鋪設(shè)在防靜電地板下的線槽內(nèi)。安裝視屏監(jiān)控系統(tǒng)。機(jī)房所在的建筑安裝避雷裝置，海洋信息系統(tǒng)安全體系如圖1所示。機(jī)房?jī)?nèi)安裝自動(dòng)氣體滅火系統(tǒng)，在值班室設(shè)置控制臺(tái)，以達(dá)到自動(dòng)檢測(cè)火情，自動(dòng)報(bào)警，自動(dòng)滅火等功能。機(jī)房墻面采用耐火的彩鋼板。在機(jī)房的地板下面安裝漏水檢測(cè)系統(tǒng)，一旦漏水系統(tǒng)將及時(shí)報(bào)警。每個(gè)機(jī)柜都連接接地放靜電。機(jī)房地板采用防靜電地板。將房?jī)?nèi)設(shè)置機(jī)房專用恒溫恒濕機(jī)，并且合理地分配機(jī)房專用空調(diào)位置，達(dá)到合理溫度和濕度調(diào)節(jié)效果。在機(jī)房的四周安裝溫度和濕度的實(shí)時(shí)監(jiān)控系統(tǒng)。當(dāng)溫度和濕度超出了設(shè)定范圍值，系統(tǒng)將自動(dòng)報(bào)警。電源線和通信線路隔離鋪設(shè)，避免相互干擾。磁介質(zhì)部署電磁屏蔽裝置。

2）網(wǎng)絡(luò)安全。為業(yè)務(wù)專網(wǎng)和外界物理隔離。主干網(wǎng)絡(luò)帶寬為采用155MCPOS結(jié)構(gòu)，完全滿足業(yè)務(wù)高峰期的需要。采用VPN技術(shù)。制定重要業(yè)務(wù)系統(tǒng)各子網(wǎng)之間的訪問控制策略，重要網(wǎng)段的邊界處均部署防火墻，并通過防火墻安全策略實(shí)現(xiàn)各網(wǎng)段間邏輯隔離。按照不同的地域和業(yè)務(wù)劃分虛擬子網(wǎng)、網(wǎng)段分配地址段。根據(jù)各個(gè)業(yè)務(wù)部門的工作職能和業(yè)務(wù)重要性，控制各子網(wǎng)之間的訪問。按照業(yè)務(wù)重要性為業(yè)務(wù)分配帶寬。并在網(wǎng)絡(luò)邊界部署防火墻，啟用訪問控制功能，控制端口，實(shí)現(xiàn)對(duì)應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議的控制，限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。部署集中安全審計(jì)系統(tǒng)，對(duì)網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量和用戶行為等進(jìn)行日志記錄。并進(jìn)行分析，生成審計(jì)報(bào)表。將邊界和網(wǎng)絡(luò)設(shè)備日志集中管理并定期進(jìn)行審計(jì)。在網(wǎng)絡(luò)邊界部署非法外聯(lián)檢測(cè)系統(tǒng)服務(wù)器，通過外聯(lián)方式對(duì)終端用戶進(jìn)行監(jiān)控，如各種撥號(hào)行為，發(fā)現(xiàn)違規(guī)外聯(lián)行為時(shí)實(shí)時(shí)阻斷，通過網(wǎng)絡(luò)間的連通性來判斷終端主機(jī)是否已經(jīng)外聯(lián)，如果發(fā)現(xiàn)已經(jīng)外聯(lián)，按照管理員預(yù)設(shè)的動(dòng)作，執(zhí)行提示終端用戶、禁用網(wǎng)卡、向管理員告警等動(dòng)作。整體達(dá)到嚴(yán)密的外聯(lián)監(jiān)控效果。在網(wǎng)絡(luò)邊界部署入侵防御系統(tǒng)，能夠精確識(shí)別并實(shí)時(shí)防范各種網(wǎng)絡(luò)攻擊和濫用行為。通過深入到七層的分析與檢測(cè)，實(shí)時(shí)阻斷網(wǎng)絡(luò)流量中隱藏的病毒、蠕蟲、木馬、間諜軟件和網(wǎng)頁(yè)篡改等攻擊和惡意行為，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)應(yīng)用、網(wǎng)絡(luò)基礎(chǔ)設(shè)施和網(wǎng)絡(luò)性能的全面保護(hù)。部署防毒網(wǎng)關(guān)在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行檢測(cè)和清除，建立病毒庫(kù)的定期更新升級(jí)要求并嚴(yán)格執(zhí)行，定期檢查病毒庫(kù)的更新情況。用SSH加密傳輸替代Telnet遠(yuǎn)程管理方式；并能使用其他身份審核方式以保證用戶登陸的可信性。

3）主機(jī)安全。對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶進(jìn)行身份表示和鑒別。增加主機(jī)口令策略中對(duì)口令長(zhǎng)度，口令復(fù)雜，口令生命周期，新舊口令的替換的策略。采用證書加上USB－key認(rèn)證的方式。啟用安全審計(jì)策略。建立訪問控制策略，依據(jù)最小原則授予用戶權(quán)限；對(duì)主機(jī)內(nèi)無用、多余的賬戶進(jìn)行刪除。對(duì)賬號(hào)采用分級(jí)最小化原則管理。部署主機(jī)審計(jì)系統(tǒng)，審計(jì)功能與用戶標(biāo)志與鑒別、自主訪問控制、標(biāo)記及強(qiáng)制訪問控制等安全功能的設(shè)計(jì)緊密結(jié)合。使用空間清理和數(shù)據(jù)擦寫工具確保動(dòng)態(tài)分配與管理的資源，在保持信息安全的情況下被再利用，確保非授權(quán)用戶不能查找在使用后返還系統(tǒng)的記錄介質(zhì)中的信息內(nèi)容；確保非授權(quán)用戶不能查找系統(tǒng)現(xiàn)已分配給他的記錄介質(zhì)中以前的信息內(nèi)容。在重要服務(wù)器網(wǎng)段部署IDS／IPS，及時(shí)發(fā)現(xiàn)入侵行為并及時(shí)通過多種方式報(bào)警、阻斷。能夠記錄入侵的源IP、攻擊類型、攻擊的目的、攻擊的時(shí)間并在發(fā)生嚴(yán)重入侵事件時(shí)提供警報(bào)。服務(wù)器上部署瑞星防病毒軟件，統(tǒng)一管理，保持及時(shí)升級(jí)；防病毒軟件和防病毒網(wǎng)關(guān)協(xié)同工作，建立統(tǒng)一防毒體系，保證安全性。建立運(yùn)控系統(tǒng)，對(duì)主機(jī)和其他網(wǎng)絡(luò)設(shè)備的CPU、硬盤、內(nèi)存以及占用網(wǎng)絡(luò)帶寬等資源進(jìn)行實(shí)時(shí)監(jiān)控。

4）應(yīng)用安全。系統(tǒng)提供單點(diǎn)登錄的控制模塊，使用證書USB－key和用戶名密碼的身份鑒別技術(shù)時(shí)間身份鑒別，定義鑒別嘗試允許次數(shù)，并通過延長(zhǎng)鑒別失敗超出允許次數(shù)后，再次允許鑒別的時(shí)間間隔來限制重復(fù)嘗試，并對(duì)此過程進(jìn)行記錄。用于身份鑒別的用戶名／口令對(duì)應(yīng)當(dāng)在信道中加密傳輸。對(duì)用戶的來源進(jìn)行控制和監(jiān)控。定期審計(jì)身份鑒別日志，對(duì)發(fā)現(xiàn)的異常進(jìn)行及時(shí)處理，對(duì)累積性事件進(jìn)行必要的趨勢(shì)分析。部署安全審計(jì)系統(tǒng)，覆蓋事件的日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果等內(nèi)容，審計(jì)記錄的內(nèi)容應(yīng)盡可能詳細(xì)；系統(tǒng)生成的日志最好采取一次性存儲(chǔ)設(shè)備，以防篡改，可采取集中異地存儲(chǔ)的形式，防止數(shù)據(jù)被破壞或篡改；應(yīng)當(dāng)設(shè)立單獨(dú)的日志審計(jì)人員維護(hù)和管理數(shù)據(jù)。對(duì)網(wǎng)絡(luò)環(huán)境下運(yùn)行的數(shù)據(jù)庫(kù)管理系統(tǒng)，應(yīng)建立分布式的審計(jì)系統(tǒng)，并以審計(jì)中心進(jìn)行管理和控制。使用專用的磁盤空間擦寫工具和內(nèi)存釋放工具，保證在使用后的信息不被未授權(quán)人員獲得。

5）數(shù)據(jù)安全及備份恢復(fù)。系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸和存儲(chǔ)過程中完整性受到破壞時(shí)，系統(tǒng)應(yīng)具有監(jiān)測(cè)并能采取必要恢復(fù)措施的功能。在數(shù)據(jù)傳輸?shù)倪吔绮渴鸺用軝C(jī)。實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸和存儲(chǔ)保密性。在保存、修改和傳輸數(shù)據(jù)時(shí)，對(duì)于敏感信息，例如賬號(hào)、密碼和證件號(hào)碼等字段采用事先約定對(duì)稱加密算法進(jìn)行加密。在本地建立磁盤陣列和磁帶庫(kù)并安裝相應(yīng)的存儲(chǔ)備份軟件，建立存儲(chǔ)備份機(jī)制，完整的數(shù)據(jù)每周備份一次，差異備份每天進(jìn)行一次，備份的時(shí)間在每天凌晨，數(shù)據(jù)量最小時(shí)進(jìn)行備份。采用SAN網(wǎng)絡(luò)存儲(chǔ)，選用管線磁盤存儲(chǔ)陣列和光纖帶庫(kù)作為存儲(chǔ)載體，選用光纖交換機(jī)作為存儲(chǔ)網(wǎng)絡(luò)的交換部件，用于連接數(shù)據(jù)庫(kù)服務(wù)器、光纖磁盤存儲(chǔ)陣列和光纖帶庫(kù)，配合專用的數(shù)據(jù)庫(kù)、存儲(chǔ)管理、備份恢復(fù)軟件共同構(gòu)建一個(gè)全光纖、全冗余的SAN存儲(chǔ)網(wǎng)絡(luò)環(huán)境。避免單點(diǎn)故障。提供網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)的高可用性。

2安全管理體系建設(shè)

海洋信息系統(tǒng)所在的各個(gè)單位成立專門的運(yùn)行管理機(jī)構(gòu)負(fù)責(zé)信息系統(tǒng)的運(yùn)行維護(hù)與安全管理工作，配備專門的運(yùn)行維護(hù)管理人員，并制定安全管理制度，制定網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案以應(yīng)對(duì)突發(fā)的網(wǎng)絡(luò)與信息安全事件。

1）增強(qiáng)相關(guān)工作人員的安全防范意識(shí)。當(dāng)前信息安全管理工作中首要的突出的問題是工作人員的安全意識(shí)淡薄，安全措施責(zé)任落實(shí)不明確。因此，在實(shí)際工作中，我們要不斷增強(qiáng)相關(guān)工作人員的安全防范意識(shí)，時(shí)時(shí)刻刻，在頭腦中繃緊安全這根弦。從根本上杜絕因工作人員的粗心大意而造成的安全問題。同時(shí)，加大對(duì)工作人員的安全技能培訓(xùn)力度，工作人員安全知識(shí)的掌握程度直接關(guān)系到信息系統(tǒng)安全保障應(yīng)用程度。因此，對(duì)工作人員采取必要的安全技能培訓(xùn)，并且不斷豐富他們的業(yè)務(wù)知識(shí)。建立一支政治可靠、技術(shù)精湛、作風(fēng)優(yōu)良的內(nèi)部技術(shù)人員隊(duì)伍［3］。

2）建立健全相關(guān)的安全管理制度。目前，我國(guó)在網(wǎng)絡(luò)信息安全方面制定了相當(dāng)數(shù)量的法律、法規(guī)及一些規(guī)范性的文件，但仍有許多不足之處。如缺乏統(tǒng)一標(biāo)準(zhǔn)、監(jiān)管成本高、可操作性不強(qiáng)等。因此我們應(yīng)充分認(rèn)識(shí)到依法保障和促進(jìn)信息系統(tǒng)健康發(fā)展的重要性，盡快完善相應(yīng)法律、法規(guī)建設(shè)，使信息安全管理有法可依。