前言：本站為你精心整理了信息體系論文：海洋信息體系問題與方略范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

本文作者：劉豐韓偉作者單位：國家海洋信息中心

對策研究

1建設(shè)目標(biāo)

海洋信息安全體系建設(shè)的目標(biāo)是建設(shè)一個由策略、防護(hù)、檢測和響應(yīng)組成的完整安全體系，從而最大限度地保護(hù)信息不受諸多威脅的侵犯，確保連續(xù)性，將損失和風(fēng)險降低到最低程度。為保證系統(tǒng)的安全運行，安全系統(tǒng)建設(shè)確定以下具體建設(shè)目標(biāo)。（1）在系統(tǒng)各個網(wǎng)絡(luò)上建立比較完整的安全防護(hù)體系，為核心業(yè)務(wù)應(yīng)用提供安全可靠的網(wǎng)絡(luò)環(huán)境。網(wǎng)絡(luò)安全需要分級、分層次的防護(hù)措施，充分利用現(xiàn)階段的各種防護(hù)產(chǎn)品，加強網(wǎng)絡(luò)信息系統(tǒng)的基礎(chǔ)安全防護(hù)。（2）實現(xiàn)多級的安全訪問控制功能。按照“縱深防御，重點保護(hù)”的策略，對網(wǎng)絡(luò)中的不同級別的資源實現(xiàn)不同程度的防護(hù)強度和不同的訪問控制力度。（3）實現(xiàn)對重要信息的傳輸加密保護(hù)。建立以VPN為基礎(chǔ)的數(shù)據(jù)傳輸加密系統(tǒng)，防止信息在網(wǎng)絡(luò)傳輸中被竊取和破壞。（4）做好網(wǎng)絡(luò)安全基礎(chǔ)建設(shè)。做好網(wǎng)絡(luò)邊界和安全域邊界的隔離和保護(hù)，通過部署防火墻或安全隔離系統(tǒng)，防止非法訪問；部署網(wǎng)絡(luò)入侵防御和漏洞掃描系統(tǒng)，加強對網(wǎng)絡(luò)非法活動的監(jiān)測，及時修補網(wǎng)絡(luò)和系統(tǒng)的漏洞；部署應(yīng)用和網(wǎng)絡(luò)的審計系統(tǒng)，追蹤和審計應(yīng)用和網(wǎng)絡(luò)操作行為，做到有據(jù)可查；根據(jù)數(shù)字海洋各應(yīng)用系統(tǒng)安全狀況，做好其他安全產(chǎn)品的部署和實施。（5）完善各業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)全方位的病毒防范體系。采用包括客戶端、服務(wù)器、郵件以及防病毒硬件網(wǎng)關(guān)等系列產(chǎn)品構(gòu)筑強大有效的網(wǎng)絡(luò)防病毒體系。（6）完善重要應(yīng)用系統(tǒng)的數(shù)據(jù)和關(guān)鍵的主機系統(tǒng)冗余備份系統(tǒng)。建立數(shù)據(jù)備份系統(tǒng)，包括異地容災(zāi)建設(shè)，以保證關(guān)鍵業(yè)務(wù)的系統(tǒng)和數(shù)據(jù)有效備份。（7）完善簡易身份認(rèn)證系統(tǒng)和授權(quán)系統(tǒng)。為了滿足業(yè)務(wù)系統(tǒng)對身份認(rèn)證和授權(quán)系統(tǒng)的急迫要求，需要先建立內(nèi)部以數(shù)字證書為基礎(chǔ)的簡易身份認(rèn)證系統(tǒng)和授權(quán)系統(tǒng)。對于注冊賬號可采用的認(rèn)證方式包括口令、CA證書、雙因素和雙向等認(rèn)證方式。（8）完善有效的安全管理機制和組織體系。要培養(yǎng)和建立起一支網(wǎng)絡(luò)信息安全的技術(shù)隊伍和管理隊伍，保證各級網(wǎng)絡(luò)系統(tǒng)安全技術(shù)和管理落實到人。在制定實用的可操作的安全管理制度的前提下，強化安全意識和培訓(xùn)，加強安全管理制度的執(zhí)行力度，確保海洋局各級機構(gòu)各項業(yè)務(wù)的安全運行。

2策略原則

在海洋信息安全體系建設(shè)過程中，應(yīng)該遵循“統(tǒng)籌規(guī)劃、分步實施、安全可靠、經(jīng)濟實用、靈活方便、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一規(guī)范”的原則進(jìn)行。要遵循的主要原則如下。（1）業(yè)務(wù)需求的原則：系統(tǒng)信息安全體系建設(shè)的目標(biāo)和安全行為應(yīng)根據(jù)業(yè)務(wù)的目標(biāo)和需要進(jìn)行，并接受業(yè)務(wù)管理的指導(dǎo)。（2）可靠性原則：系統(tǒng)信息安全體系在基本不影響應(yīng)用系統(tǒng)功能和效率的前提下，必須做到穩(wěn)定、可靠地不間斷運行。（3）可擴展性原則：系統(tǒng)信息安全體系必須允許增加新的安全組件與安全功能，保證系統(tǒng)安全性不斷增長的需要。（4）標(biāo)準(zhǔn)化原則：系統(tǒng)信息安全體系建設(shè)的各個環(huán)節(jié)都必須符合國家關(guān)于信息安全的法律和法規(guī)。（5）可管理性原則：系統(tǒng)信息安全體系必須可管理，做到分布式安全布控，集中式安全管理。（6）經(jīng)濟適用原則：系統(tǒng)信息安全體系的設(shè)計要在安全需求、安全風(fēng)險和安全成本之間進(jìn)行科學(xué)的平衡、比較和折中，使系統(tǒng)信息安全體系安全、經(jīng)濟、適用，易用、性能價格比合理。（7）聯(lián)合共建的原則：在系統(tǒng)信息安全體系建設(shè)過程中，充分利用現(xiàn)有的安全資源，發(fā)揮企業(yè)的積極性和安全系統(tǒng)集成商、安全產(chǎn)品供應(yīng)商、安全技術(shù)服務(wù)商的積極性，促進(jìn)安全技術(shù)廣泛的應(yīng)用和共享，避免重復(fù)設(shè)計和重復(fù)建設(shè)。（8）統(tǒng)籌規(guī)劃、分步實施的原則：做好統(tǒng)籌規(guī)劃工作，制定總體方案，采取邊建設(shè)、邊服務(wù)的分步實施方針，確保工程建設(shè)的順利進(jìn)行，避免出現(xiàn)重大的投資失誤或因系統(tǒng)不能有效發(fā)揮作用而影響投資的效益。（9）嚴(yán)格監(jiān)督的原則：建立相應(yīng)組織，采取有效措施，對工程質(zhì)量、工程進(jìn)度和投資狀況進(jìn)行嚴(yán)格的論證、把關(guān)和監(jiān)督，確保項目工程有計劃、按步驟地順利進(jìn)行。

海洋信息系統(tǒng)安全體系建設(shè)內(nèi)容及分析

通過分析《國家信息系統(tǒng)安全保護(hù)等級基本要求》的相關(guān)標(biāo)準(zhǔn)，對等級保護(hù)的安全層級劃分為安全技術(shù)與安全管理兩大部分，對于海洋信息系統(tǒng)的安全建設(shè)也將從這兩個方面進(jìn)行著手。

1技術(shù)安全解決措施

1）物理安全。機房具有較強防震、防風(fēng)和防雨等能力。完全與用水設(shè)備隔離。機房出入口安排專人值守，記錄進(jìn)入人員，機房的來訪人員經(jīng)過申請審批流程，安排工作人員一起陪同，并限制和監(jiān)視其活動范圍。對機房劃分區(qū)域進(jìn)行管理，區(qū)域和區(qū)域之間設(shè)置物理隔離裝置，在重要區(qū)域前設(shè)置過渡區(qū)域。在機房的門口配置電子門禁系統(tǒng)。各種設(shè)備放置在機柜內(nèi)，設(shè)置明顯的標(biāo)記。所有線路鋪設(shè)在防靜電地板下的線槽內(nèi)。安裝視屏監(jiān)控系統(tǒng)。機房所在的建筑安裝避雷裝置，海洋信息系統(tǒng)安全體系如圖1所示。機房內(nèi)安裝自動氣體滅火系統(tǒng)，在值班室設(shè)置控制臺，以達(dá)到自動檢測火情，自動報警，自動滅火等功能。機房墻面采用耐火的彩鋼板。在機房的地板下面安裝漏水檢測系統(tǒng)，一旦漏水系統(tǒng)將及時報警。每個機柜都連接接地放靜電。機房地板采用防靜電地板。將房內(nèi)設(shè)置機房專用恒溫恒濕機，并且合理地分配機房專用空調(diào)位置，達(dá)到合理溫度和濕度調(diào)節(jié)效果。在機房的四周安裝溫度和濕度的實時監(jiān)控系統(tǒng)。當(dāng)溫度和濕度超出了設(shè)定范圍值，系統(tǒng)將自動報警。電源線和通信線路隔離鋪設(shè)，避免相互干擾。磁介質(zhì)部署電磁屏蔽裝置。

2）網(wǎng)絡(luò)安全。為業(yè)務(wù)專網(wǎng)和外界物理隔離。主干網(wǎng)絡(luò)帶寬為采用155MCPOS結(jié)構(gòu)，完全滿足業(yè)務(wù)高峰期的需要。采用VPN技術(shù)。制定重要業(yè)務(wù)系統(tǒng)各子網(wǎng)之間的訪問控制策略，重要網(wǎng)段的邊界處均部署防火墻，并通過防火墻安全策略實現(xiàn)各網(wǎng)段間邏輯隔離。按照不同的地域和業(yè)務(wù)劃分虛擬子網(wǎng)、網(wǎng)段分配地址段。根據(jù)各個業(yè)務(wù)部門的工作職能和業(yè)務(wù)重要性，控制各子網(wǎng)之間的訪問。按照業(yè)務(wù)重要性為業(yè)務(wù)分配帶寬。并在網(wǎng)絡(luò)邊界部署防火墻，啟用訪問控制功能，控制端口，實現(xiàn)對應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議的控制，限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。部署集中安全審計系統(tǒng)，對網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量和用戶行為等進(jìn)行日志記錄。并進(jìn)行分析，生成審計報表。將邊界和網(wǎng)絡(luò)設(shè)備日志集中管理并定期進(jìn)行審計。在網(wǎng)絡(luò)邊界部署非法外聯(lián)檢測系統(tǒng)服務(wù)器，通過外聯(lián)方式對終端用戶進(jìn)行監(jiān)控，如各種撥號行為，發(fā)現(xiàn)違規(guī)外聯(lián)行為時實時阻斷，通過網(wǎng)絡(luò)間的連通性來判斷終端主機是否已經(jīng)外聯(lián)，如果發(fā)現(xiàn)已經(jīng)外聯(lián)，按照管理員預(yù)設(shè)的動作，執(zhí)行提示終端用戶、禁用網(wǎng)卡、向管理員告警等動作。整體達(dá)到嚴(yán)密的外聯(lián)監(jiān)控效果。在網(wǎng)絡(luò)邊界部署入侵防御系統(tǒng)，能夠精確識別并實時防范各種網(wǎng)絡(luò)攻擊和濫用行為。通過深入到七層的分析與檢測，實時阻斷網(wǎng)絡(luò)流量中隱藏的病毒、蠕蟲、木馬、間諜軟件和網(wǎng)頁篡改等攻擊和惡意行為，實現(xiàn)對網(wǎng)絡(luò)應(yīng)用、網(wǎng)絡(luò)基礎(chǔ)設(shè)施和網(wǎng)絡(luò)性能的全面保護(hù)。部署防毒網(wǎng)關(guān)在網(wǎng)絡(luò)邊界處對惡意代碼進(jìn)行檢測和清除，建立病毒庫的定期更新升級要求并嚴(yán)格執(zhí)行，定期檢查病毒庫的更新情況。用SSH加密傳輸替代Telnet遠(yuǎn)程管理方式；并能使用其他身份審核方式以保證用戶登陸的可信性。

3）主機安全。對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行身份表示和鑒別。增加主機口令策略中對口令長度，口令復(fù)雜，口令生命周期，新舊口令的替換的策略。采用證書加上USB－key認(rèn)證的方式。啟用安全審計策略。建立訪問控制策略，依據(jù)最小原則授予用戶權(quán)限；對主機內(nèi)無用、多余的賬戶進(jìn)行刪除。對賬號采用分級最小化原則管理。部署主機審計系統(tǒng)，審計功能與用戶標(biāo)志與鑒別、自主訪問控制、標(biāo)記及強制訪問控制等安全功能的設(shè)計緊密結(jié)合。使用空間清理和數(shù)據(jù)擦寫工具確保動態(tài)分配與管理的資源，在保持信息安全的情況下被再利用，確保非授權(quán)用戶不能查找在使用后返還系統(tǒng)的記錄介質(zhì)中的信息內(nèi)容；確保非授權(quán)用戶不能查找系統(tǒng)現(xiàn)已分配給他的記錄介質(zhì)中以前的信息內(nèi)容。在重要服務(wù)器網(wǎng)段部署IDS／IPS，及時發(fā)現(xiàn)入侵行為并及時通過多種方式報警、阻斷。能夠記錄入侵的源IP、攻擊類型、攻擊的目的、攻擊的時間并在發(fā)生嚴(yán)重入侵事件時提供警報。服務(wù)器上部署瑞星防病毒軟件，統(tǒng)一管理，保持及時升級；防病毒軟件和防病毒網(wǎng)關(guān)協(xié)同工作，建立統(tǒng)一防毒體系，保證安全性。建立運控系統(tǒng)，對主機和其他網(wǎng)絡(luò)設(shè)備的CPU、硬盤、內(nèi)存以及占用網(wǎng)絡(luò)帶寬等資源進(jìn)行實時監(jiān)控。

4）應(yīng)用安全。系統(tǒng)提供單點登錄的控制模塊，使用證書USB－key和用戶名密碼的身份鑒別技術(shù)時間身份鑒別，定義鑒別嘗試允許次數(shù)，并通過延長鑒別失敗超出允許次數(shù)后，再次允許鑒別的時間間隔來限制重復(fù)嘗試，并對此過程進(jìn)行記錄。用于身份鑒別的用戶名／口令對應(yīng)當(dāng)在信道中加密傳輸。對用戶的來源進(jìn)行控制和監(jiān)控。定期審計身份鑒別日志，對發(fā)現(xiàn)的異常進(jìn)行及時處理，對累積性事件進(jìn)行必要的趨勢分析。部署安全審計系統(tǒng)，覆蓋事件的日期、時間、發(fā)起者信息、類型、描述和結(jié)果等內(nèi)容，審計記錄的內(nèi)容應(yīng)盡可能詳細(xì)；系統(tǒng)生成的日志最好采取一次性存儲設(shè)備，以防篡改，可采取集中異地存儲的形式，防止數(shù)據(jù)被破壞或篡改；應(yīng)當(dāng)設(shè)立單獨的日志審計人員維護(hù)和管理數(shù)據(jù)。對網(wǎng)絡(luò)環(huán)境下運行的數(shù)據(jù)庫管理系統(tǒng)，應(yīng)建立分布式的審計系統(tǒng)，并以審計中心進(jìn)行管理和控制。使用專用的磁盤空間擦寫工具和內(nèi)存釋放工具，保證在使用后的信息不被未授權(quán)人員獲得。

5）數(shù)據(jù)安全及備份恢復(fù)。系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸和存儲過程中完整性受到破壞時，系統(tǒng)應(yīng)具有監(jiān)測并能采取必要恢復(fù)措施的功能。在數(shù)據(jù)傳輸?shù)倪吔绮渴鸺用軝C。實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸和存儲保密性。在保存、修改和傳輸數(shù)據(jù)時，對于敏感信息，例如賬號、密碼和證件號碼等字段采用事先約定對稱加密算法進(jìn)行加密。在本地建立磁盤陣列和磁帶庫并安裝相應(yīng)的存儲備份軟件，建立存儲備份機制，完整的數(shù)據(jù)每周備份一次，差異備份每天進(jìn)行一次，備份的時間在每天凌晨，數(shù)據(jù)量最小時進(jìn)行備份。采用SAN網(wǎng)絡(luò)存儲，選用管線磁盤存儲陣列和光纖帶庫作為存儲載體，選用光纖交換機作為存儲網(wǎng)絡(luò)的交換部件，用于連接數(shù)據(jù)庫服務(wù)器、光纖磁盤存儲陣列和光纖帶庫，配合專用的數(shù)據(jù)庫、存儲管理、備份恢復(fù)軟件共同構(gòu)建一個全光纖、全冗余的SAN存儲網(wǎng)絡(luò)環(huán)境。避免單點故障。提供網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)的高可用性。

2安全管理體系建設(shè)

海洋信息系統(tǒng)所在的各個單位成立專門的運行管理機構(gòu)負(fù)責(zé)信息系統(tǒng)的運行維護(hù)與安全管理工作，配備專門的運行維護(hù)管理人員，并制定安全管理制度，制定網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案以應(yīng)對突發(fā)的網(wǎng)絡(luò)與信息安全事件。

1）增強相關(guān)工作人員的安全防范意識。當(dāng)前信息安全管理工作中首要的突出的問題是工作人員的安全意識淡薄，安全措施責(zé)任落實不明確。因此，在實際工作中，我們要不斷增強相關(guān)工作人員的安全防范意識，時時刻刻，在頭腦中繃緊安全這根弦。從根本上杜絕因工作人員的粗心大意而造成的安全問題。同時，加大對工作人員的安全技能培訓(xùn)力度，工作人員安全知識的掌握程度直接關(guān)系到信息系統(tǒng)安全保障應(yīng)用程度。因此，對工作人員采取必要的安全技能培訓(xùn)，并且不斷豐富他們的業(yè)務(wù)知識。建立一支政治可靠、技術(shù)精湛、作風(fēng)優(yōu)良的內(nèi)部技術(shù)人員隊伍［3］。

2）建立健全相關(guān)的安全管理制度。目前，我國在網(wǎng)絡(luò)信息安全方面制定了相當(dāng)數(shù)量的法律、法規(guī)及一些規(guī)范性的文件，但仍有許多不足之處。如缺乏統(tǒng)一標(biāo)準(zhǔn)、監(jiān)管成本高、可操作性不強等。因此我們應(yīng)充分認(rèn)識到依法保障和促進(jìn)信息系統(tǒng)健康發(fā)展的重要性，盡快完善相應(yīng)法律、法規(guī)建設(shè)，使信息安全管理有法可依。