董 瑞，龐靜茹，陳 思

（國(guó)家海洋信息中心 天津市 300171）

海洋信息化是國(guó)家信息化的重要組成部分，也是我國(guó)海洋事業(yè)發(fā)展的重要保障，其不僅是推動(dòng)我國(guó)海洋管理科學(xué)化、現(xiàn)代化的必要手段，也是實(shí)現(xiàn)我國(guó)海洋強(qiáng)國(guó)戰(zhàn)略目標(biāo)的有力支撐。眾所周知，信息安全是信息化的重要組成部分。信息安全要求信息可控，接觸信息的人越少越易控制，而信息化要求信息共享，使用的人越多實(shí)現(xiàn)的價(jià)值越大。因此，要想實(shí)現(xiàn)海洋信息化就必須從可控和共享的融合中發(fā)現(xiàn)聯(lián)系、尋找統(tǒng)一。

1 信息安全與海洋信息化的關(guān)系

信息安全是海洋信息化的基礎(chǔ)建設(shè)之一，貫穿于海洋信息化建設(shè)全過(guò)程，與海洋信息的價(jià)值實(shí)現(xiàn)密不可分，在海洋信息化中發(fā)揮著重要的壁壘保障作用。

1.1 信息安全的定義及內(nèi)容

隨著信息技術(shù)的飛速發(fā)展和廣泛應(yīng)用，信息安全的涵義經(jīng)歷了通信保密、信息保護(hù)、信息保障3 個(gè)發(fā)展階段，已經(jīng)從單純信息內(nèi)容的保密性擴(kuò)展到信息和信息系統(tǒng)的完整性和可用性，衍生出可控性、抗抵賴性、真實(shí)性等其他屬性[1]。也就是說(shuō)，信息安全現(xiàn)今更多地表現(xiàn)為整個(gè)信息系統(tǒng)的安全，著眼于信息系統(tǒng)整個(gè)生命周期的防御和恢復(fù)，而遠(yuǎn)不止單個(gè)信息的安全。這就引出當(dāng)今通用的信息安全定義：從技術(shù)和管理上，使信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的信息數(shù)據(jù)得到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，信息服務(wù)不中斷。信息安全就是要通過(guò)對(duì)整個(gè)信息系統(tǒng)的保護(hù)，確保信息的真實(shí)性、保密性、完整性、可用性、不可抵賴性、可控制性和可審查性。

1.2 海洋信息化的定義及內(nèi)容

海洋信息化是利用現(xiàn)代信息技術(shù)，開發(fā)和利用海洋信息資源，促進(jìn)海洋信息的交流與共享，提升海洋各項(xiàng)工作效率和效益的過(guò)程[2]。海洋信息化建設(shè)包括4 個(gè)層面，一是海洋信息的自動(dòng)化采集、規(guī)范化匯交、數(shù)字化轉(zhuǎn)換、標(biāo)準(zhǔn)化處理，這是海洋信息化建設(shè)的基礎(chǔ)；二是海洋信息技術(shù)的大力開發(fā)和廣泛應(yīng)用，這是海洋信息化建設(shè)的關(guān)鍵；三是海洋信息的全面整合和充分共享，這是海洋信息化建設(shè)的核心；四是海洋信息的深入挖掘和高效利用，這是海洋信息化建設(shè)的目地。這4 個(gè)層面包含了海洋信息的產(chǎn)生、獲取、存儲(chǔ)、傳輸、處理、整合、挖掘、應(yīng)用等諸多環(huán)節(jié)，無(wú)一離得開信息安全的保障。信息安全儼然已經(jīng)成為決定海洋信息化成敗的重要因素。

1.3 信息安全與海洋信息化的關(guān)系

信息安全是海洋信息化的基石，存在于海洋信息化的各個(gè)環(huán)節(jié)。從某種意義上講，信息安全可謂是海洋信息化的生命線。如果沒有信息安全作保障，海洋信息的真實(shí)性、保密性、完整性、可用性、不可抵賴性、可控制性和可審查性都無(wú)法得到保障。海洋信息本身一旦出了問題，海洋信息化追求的充分共享和高效利用就無(wú)從談起?？梢哉f(shuō)不提高信息安全意識(shí)，不重視信息安全問題，不加強(qiáng)信息安全管理，不強(qiáng)化信息安全保障，海洋信息化就不可能實(shí)現(xiàn)。如果把海洋信息比作自來(lái)水，把實(shí)現(xiàn)自來(lái)水的有效、可靠供給比作海洋信息化，那么水質(zhì)監(jiān)測(cè)、檢測(cè)機(jī)構(gòu)和水務(wù)稽查部門就是海洋信息的安全管理機(jī)構(gòu)，自來(lái)水凈化就是海洋信息的過(guò)濾、篩查機(jī)制，自來(lái)水的應(yīng)急搶修就是海洋信息系統(tǒng)的漏洞防護(hù)，蓄水池的水泥防護(hù)就是海洋信息數(shù)據(jù)庫(kù)的邊界加固，輸水管道就是海洋信息傳輸網(wǎng)絡(luò)的邊界防護(hù)，閥門就是海洋信息傳輸網(wǎng)絡(luò)的接口控制，水龍頭就是海洋信息輸出終端的安全控制，水表就是海洋信息的授權(quán)訪問控制；如果把海洋信息比作車輛，把實(shí)現(xiàn)車輛在高速公路的有效、安全行駛比作海洋信息化，那么高速公路管理局就是海洋信息安全管理機(jī)構(gòu)，收費(fèi)站就是海洋信息的訪問控制，高速公路就是海洋信息傳輸網(wǎng)絡(luò)的傳輸線路，攝像頭和測(cè)速雷達(dá)等設(shè)備就是海洋信息的安全監(jiān)控和預(yù)警裝置，護(hù)欄就是海洋信息的安全邊界保障，交警就是海洋信息安全應(yīng)急響應(yīng)處置人員。通過(guò)上述比喻，可以直觀地看到信息安全與海洋信息化的緊密關(guān)系，脫離了信息安全，海洋信息化就無(wú)法得到保障。

2 信息安全在海洋信息化中的作用

海洋信息化的終極目標(biāo)是通過(guò)對(duì)海洋信息資源的充分共享和高效利用，提升海洋各項(xiàng)工作的效率和效益。而實(shí)現(xiàn)上述目標(biāo)的一個(gè)重要前提就是確保海洋信息的真實(shí)性、保密性、完整性、可用性、不可抵賴性、可控制性和可審查性。信息安全正是在這當(dāng)中發(fā)揮了舉足輕重的作用。

2.1 確保海洋信息的真實(shí)性

真實(shí)性就是對(duì)海洋信息的來(lái)源進(jìn)行判斷，對(duì)偽造來(lái)源的信息進(jìn)行過(guò)濾，保證來(lái)源真實(shí)可靠。主要表現(xiàn)在海洋信息的產(chǎn)生狀態(tài)中。由于海洋信息來(lái)自衛(wèi)星、飛機(jī)、船舶、浮標(biāo)、潛標(biāo)、岸站等多種載體，來(lái)源種類繁多、獲取和傳輸方式復(fù)雜。因此，采取信息安全防范措施，甄別海洋信息的來(lái)源并給予可信認(rèn)證、確保獲取的海洋信息真實(shí)可靠就變得尤為重要。倘若不能鑒別信息來(lái)源、實(shí)現(xiàn)信息傳輸渠道的安全可控，得不到真實(shí)的海洋信息，那么海洋信息化就喪失了根本意義。

2.2 確保海洋信息的保密性

保密性就是保證非公開海洋信息不被竊取，或竊取者不能了解信息的真實(shí)含義，確保只有那些被授予特定權(quán)限的人才能訪問信息。主要表現(xiàn)在海洋信息的利用狀態(tài)中。由于海洋工作涉及國(guó)家安全和利益，不少海洋信息都屬于國(guó)家秘密和敏感信息，必須限制訪問。這就對(duì)海洋信息的保密性提出了很高要求。制定并實(shí)施海洋信息安全管理制度可以確定保密的對(duì)象、范圍和層級(jí)，明確什么信息該保，怎么去保，保到什么程度，有效施行訪問權(quán)限控制。如果保密對(duì)象不明確，就不能突出重點(diǎn)、積極防御；如果保密范圍過(guò)大則會(huì)阻礙信息共享和公開，范圍過(guò)小則會(huì)使該保密的信息得不到保護(hù)；如果保密層級(jí)不清晰，易造成安全保障投入過(guò)大、資源浪費(fèi)。這些都會(huì)對(duì)海洋信息化建設(shè)造成不利影響。

2.3 確保海洋信息的完整性

完整性就是保證海洋信息和處理方法的正確性和完整性，確保海洋信息不會(huì)遭到未經(jīng)授權(quán)的、非預(yù)期的或無(wú)意的修改和破壞。主要表現(xiàn)在海洋信息的存儲(chǔ)、傳輸、使用狀態(tài)中。包括兩個(gè)方面，一方面是利用信息技術(shù)手段或采用國(guó)產(chǎn)可信產(chǎn)品保證操作系統(tǒng)的邏輯正確性和可靠性，實(shí)現(xiàn)保護(hù)機(jī)制的硬件和軟件的邏輯完備性、數(shù)據(jù)結(jié)構(gòu)和存儲(chǔ)數(shù)據(jù)的一致性[1]，有效堵住操作系統(tǒng)和軟硬件漏洞，防止海洋信息被惡意修改和破壞；另一方面是通過(guò)制定正確得當(dāng)?shù)暮Ｑ笮畔⑻幚聿僮鞣椒?，進(jìn)行權(quán)限分配和質(zhì)量控制，通過(guò)建立容災(zāi)備份安全機(jī)制，避免重要海洋信息的丟失或損壞，避免信息系統(tǒng)的癱瘓?？梢哉f(shuō)，海洋信息和信息系統(tǒng)的正確、完整、可靠，對(duì)于海洋信息化來(lái)說(shuō)至關(guān)重要。

2.4 確保海洋信息的可用性

可用性就是能夠按照用戶需要提供可用海洋信息，保證合法用戶對(duì)海洋信息資源的及時(shí)訪問和使用不會(huì)被不正當(dāng)?shù)鼐芙^，即海洋信息及相關(guān)資源在授權(quán)人需要的時(shí)候，可以立即獲得。主要表現(xiàn)在海洋信息的傳輸狀態(tài)中。海洋信息能否及時(shí)地出現(xiàn)在用戶面前、供用戶使用，決定了海洋信息價(jià)值的實(shí)現(xiàn)。通過(guò)海洋通信傳輸網(wǎng)絡(luò)監(jiān)測(cè)、預(yù)警以及應(yīng)急響應(yīng)等信息安全能力建設(shè)，可以有效解決海洋信息的及時(shí)供給問題。如果忽視了信息安全建設(shè)，海洋通信傳輸網(wǎng)絡(luò)異常時(shí)就無(wú)法及時(shí)發(fā)現(xiàn)和處理，授權(quán)用戶就無(wú)法使用請(qǐng)求的海洋信息，海洋信息化就無(wú)法達(dá)到預(yù)期的目的。

2.5 確保海洋信息的不可抵賴性

不可抵賴性就是保證海洋信息的發(fā)送者提供的交付證據(jù)和接受者提供的發(fā)送者證據(jù)一致，使其以后不能否認(rèn)信息過(guò)程行為。主要表現(xiàn)在海洋信息的傳輸狀態(tài)中。信息安全包含的電子簽名和認(rèn)證等機(jī)制，可以使海洋信息發(fā)送者和接受者都不能抵賴其行為，便于追責(zé)和考證。如果信息發(fā)送者和接受者可以隨意對(duì)其行為進(jìn)行狡辯和抵賴，就會(huì)造成海洋信息管理無(wú)序、服務(wù)混亂，海洋信息化就會(huì)與其所追求的最終目標(biāo)漸行漸遠(yuǎn)。

2.6 確保海洋信息的可控性

可控性就是對(duì)海洋信息的傳播及內(nèi)容具有控制能力[3]，可以控制授權(quán)范圍內(nèi)的信息流向及行為方式。通過(guò)建立海洋信息安全管理制度限定拷貝信息的傳播范圍和內(nèi)容，及時(shí)發(fā)現(xiàn)非授權(quán)傳播行為，利用網(wǎng)絡(luò)信息發(fā)布和公開審查機(jī)制，對(duì)海洋信息發(fā)布和公開進(jìn)行控制和監(jiān)管，并及時(shí)更改授權(quán)范圍和對(duì)象，懲戒非授權(quán)傳播行為，確保海洋信息在合理范圍內(nèi)正當(dāng)使用。

2.7 確保海洋信息的可審查性

可審查性就是對(duì)出現(xiàn)的海洋信息網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段[3]。充分利用現(xiàn)代信息安全理念和技術(shù)成果，建立海洋信息使用登記、審批備案制度以及海洋信息網(wǎng)絡(luò)系統(tǒng)審計(jì)制度，完善海洋信息使用調(diào)查機(jī)制，配備相應(yīng)的監(jiān)測(cè)、檢查、取證工具，避免出現(xiàn)問題時(shí)無(wú)證可依、無(wú)據(jù)可查，迅速確定責(zé)任主體，依法依規(guī)進(jìn)行處置。這一點(diǎn)在海洋信息化的應(yīng)用服務(wù)階段作用尤為明顯。

3 現(xiàn)階段信息安全相關(guān)工作對(duì)海洋信息化的影響

弄清信息安全相關(guān)工作各自的職責(zé)分工及其與信息安全的關(guān)系，對(duì)于分析信息安全相關(guān)工作對(duì)海洋信息化的影響具有指導(dǎo)意義。國(guó)家信息安全工作由國(guó)家信息化領(lǐng)導(dǎo)小組、計(jì)算機(jī)網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組統(tǒng)一領(lǐng)導(dǎo)；工業(yè)和信息化部承擔(dān)通信網(wǎng)絡(luò)安全及相關(guān)信息安全管理的責(zé)任，負(fù)責(zé)協(xié)調(diào)維護(hù)國(guó)家信息安全和國(guó)家信息安全保障體系建設(shè)，協(xié)調(diào)處理網(wǎng)絡(luò)與信息安全的重大事件等；公安部負(fù)責(zé)公共信息網(wǎng)絡(luò)的安全保護(hù)工作，負(fù)責(zé)信息安全等級(jí)保護(hù)工作的監(jiān)督、檢查、指導(dǎo)；國(guó)家安全部負(fù)責(zé)因特網(wǎng)外部入侵防范管理、郵件檢查及電信偵控等；國(guó)家保密局負(fù)責(zé)國(guó)家秘密信息的監(jiān)督管理等；國(guó)家密碼管理局負(fù)責(zé)承擔(dān)密碼及密碼設(shè)備的分析、檢測(cè)、綜合評(píng)估和審批任務(wù)等。

3.1 等級(jí)保護(hù)

等級(jí)保護(hù)工作是指計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)工作。海洋信息系統(tǒng)安全等級(jí)保護(hù)工作是提高海洋信息安全保障水平、確保海洋信息化建設(shè)順利進(jìn)行的重要手段，主要是針對(duì)海洋信息系統(tǒng)展開的系統(tǒng)的信息安全管理工作。當(dāng)前，由于我國(guó)實(shí)行行業(yè)部門管理為主、綜合協(xié)調(diào)管理為輔的海洋管理體制，使得海洋信息化工作均由相應(yīng)的海洋行業(yè)部門自行規(guī)劃建設(shè)，海洋信息系統(tǒng)數(shù)量眾多，缺乏海洋全局層面的統(tǒng)籌謀劃和頂層設(shè)計(jì)，重復(fù)建設(shè)、重復(fù)保護(hù)問題嚴(yán)重。加之各類海洋信息系統(tǒng)建設(shè)多以專項(xiàng)形式予以經(jīng)費(fèi)支持，誰(shuí)負(fù)責(zé)建設(shè)就意味著誰(shuí)擁有專項(xiàng)資金的支配權(quán)，導(dǎo)致各行業(yè)乃至行業(yè)內(nèi)的不同部門競(jìng)相建設(shè)、各行其是，缺乏對(duì)海洋信息系統(tǒng)的整合動(dòng)力，甚至產(chǎn)生抵觸。本來(lái)只需一套或幾套信息安全機(jī)制就可以解決海洋信息系統(tǒng)的保護(hù)問題，而現(xiàn)在則需要與每個(gè)海洋信息系統(tǒng)一一對(duì)應(yīng)。有限的信息安全保障經(jīng)費(fèi)，根本無(wú)法滿足眾多海洋信息系統(tǒng)的保護(hù)需求。海洋信息系統(tǒng)安全等級(jí)保護(hù)工作開展幾年來(lái)，仍然沒有找到一個(gè)省錢高效的辦法確保眾多海洋信息系統(tǒng)的安全，很多等級(jí)保護(hù)措施由于缺乏經(jīng)費(fèi)無(wú)法得到有效落實(shí)，海洋信息系統(tǒng)各節(jié)點(diǎn)和終端的安全保護(hù)水平也沒有得到本質(zhì)上的提升。這反過(guò)來(lái)影響了海洋信息安全和海洋信息化建設(shè)。鑒于這種狀況，如果能夠統(tǒng)籌使用各專項(xiàng)中信息化建設(shè)特別是信息安全保障工作的經(jīng)費(fèi)，突出保護(hù)重點(diǎn)，不但能使保護(hù)工作有的放矢，而且能在一定程度上促成海洋信息系統(tǒng)的整合，有利推進(jìn)海洋信息化建設(shè)。

3.2 國(guó)家安全

國(guó)家安全工作就是維護(hù)國(guó)家安全和利益的工作。在網(wǎng)絡(luò)時(shí)代和信息社會(huì)中，信息安全具有頭等重要的地位。信息安全作為一種非傳統(tǒng)安全因素在國(guó)家安全工作中所占比重越來(lái)越大，已經(jīng)成為當(dāng)今國(guó)家安全工作不可或缺的一部分。從目前看，國(guó)家安全工作中的信息安全工作重點(diǎn)是，暢通協(xié)調(diào)溝通機(jī)制，增強(qiáng)網(wǎng)絡(luò)外敵入侵檢測(cè)預(yù)警能力，提高網(wǎng)絡(luò)外敵入侵等突發(fā)事件的處置能力。其對(duì)海洋信息化影響最大的就是網(wǎng)絡(luò)外敵入侵的檢測(cè)、預(yù)警和應(yīng)急響應(yīng)。長(zhǎng)期以來(lái)，我們對(duì)國(guó)家安全部門的協(xié)助防范作用認(rèn)識(shí)不深、重視不夠，甚至因怕被國(guó)家安全部門偵控和檢查而盲目抵觸，導(dǎo)致公共網(wǎng)絡(luò)上的海洋信息保護(hù)能力相對(duì)薄弱，影響海洋信息在公共信息網(wǎng)絡(luò)上的傳輸安全和連接互聯(lián)網(wǎng)計(jì)算機(jī)上的存儲(chǔ)安全。加強(qiáng)與國(guó)家安全部門的密切配合，不斷提高海洋信息網(wǎng)絡(luò)外敵攻擊入侵的檢測(cè)、預(yù)警、處置能力，應(yīng)是今后海洋信息安全工作的一個(gè)重要方向。

3.3 保密工作

保密工作就是保守國(guó)家秘密的工作。而海洋保密工作就是保守海洋工作中的國(guó)家秘密（以下簡(jiǎn)稱海洋秘密）。國(guó)家秘密是一種關(guān)乎國(guó)家安全和利益的重要信息。所以從宏觀上講，海洋秘密是海洋信息的核心。海洋保密工作屬于海洋信息安全管理范疇，具有海洋信息安全管理的所有屬性，只是與海洋信息安全管理的對(duì)象和范圍不同。從目前看，海洋保密工作對(duì)海洋信息化影響最大的就是《海洋工作中國(guó)家秘密密級(jí)及其具體范圍的規(guī)定》。盡管2012年國(guó)家海洋行政主管部門會(huì)同國(guó)家保密行政主管部門對(duì)《海洋工作中國(guó)家秘密密級(jí)及其具體范圍的規(guī)定》進(jìn)行了修訂，但由于種種原因修訂后的規(guī)定保密范圍限定還不夠具體細(xì)致，涵蓋范圍偏大、定密過(guò)寬，保留了拖底條款，離保密最小化的原則要求仍然有不小的距離加之解密工作還未常態(tài)化展開，大量超過(guò)保密期限的海洋秘密未能及時(shí)解密，導(dǎo)致很多重要的海洋信息資源成了信息孤島，得不到充分共享和有效利用，嚴(yán)重制約了海洋信息化發(fā)展，延緩了海洋信息化進(jìn)程。只有秉持“公開是普遍原則，保密是例外”的理念，嚴(yán)格按照國(guó)家相關(guān)法律法規(guī)科學(xué)修訂《海洋工作中國(guó)家秘密密級(jí)及其具體范圍的規(guī)定》，使其既能有效保護(hù)海洋秘密，又能保障海洋信息的共享利用，才能實(shí)現(xiàn)海洋信息價(jià)值最大化。

3.4 密碼機(jī)要

密碼機(jī)要工作就是利用密碼技術(shù)和機(jī)要管理，創(chuàng)建重要信息的傳輸通道，確保重要信息的傳輸安全。海洋密碼機(jī)要工作是海洋信息通訊傳輸網(wǎng)絡(luò)建設(shè)的重要組成部分。從目前看，海洋密碼機(jī)要工作對(duì)海洋信息化影響最大的就是重要海洋信息的即時(shí)通訊和海洋源數(shù)據(jù)的加密傳輸。前者由于涉及海陸空的復(fù)雜即時(shí)通訊，且發(fā)展速度極快，使海洋信息即時(shí)通信的需求與實(shí)際供給脫節(jié)，導(dǎo)致提供決策的重要海洋信息傳輸延時(shí)、且容易受到安全威脅，雖然現(xiàn)已具備電子郵件加密傳輸?shù)仁侄危珣?yīng)用還不夠普及，且無(wú)法傳輸海量的重要海洋信息；后者由于海洋基礎(chǔ)數(shù)據(jù)源種類繁多、獲取方式復(fù)雜，以現(xiàn)有的信息通訊技術(shù)還無(wú)法保證對(duì)浮標(biāo)、臺(tái)站、海床基等觀測(cè)、監(jiān)測(cè)設(shè)施設(shè)備獲取的海洋基礎(chǔ)數(shù)據(jù)進(jìn)行全部加密傳輸，源數(shù)據(jù)的傳輸易被竊取或刪改，存在安全隱患。這些問題影響了海洋信息的快速利用和真實(shí)獲取，成為海洋信息化建設(shè)過(guò)程中亟待解決的問題。

4 結(jié) 語(yǔ)

信息安全是海洋信息化的基石，是海洋信息資源管理和利用的安全保證，是實(shí)現(xiàn)海洋信息價(jià)值的重要條件。我們要深刻理解信息安全對(duì)于海洋信息化的重要作用，高度重視信息安全相關(guān)工作對(duì)于海洋信息化的影響，盡快提高海洋信息安全意識(shí)，強(qiáng)化海洋信息安全管理機(jī)構(gòu)，建立海洋信息安全管理協(xié)調(diào)機(jī)制，健全海洋信息安全管理制度和規(guī)范，開展海洋信息安全管理體系頂層設(shè)計(jì)，培養(yǎng)海洋信息安全管理和技術(shù)人才，配套海洋信息安全設(shè)施設(shè)備，加強(qiáng)海洋信息安全管理，真正做到信息安全與海洋信息化建設(shè)同規(guī)劃、同建設(shè)、同發(fā)展，充分發(fā)揮信息安全對(duì)海洋信息化的保駕護(hù)航作用。

[1] 趙戰(zhàn)生，杜虹，呂述望.信息安全保密教程[M].合肥：中國(guó)科學(xué)技術(shù)大學(xué)出版社，北京：北京中電電子出版社，2006：28-32.

[2] 國(guó)家海洋局.HY/T131-2010 海洋信息化常用術(shù)語(yǔ)[S].北京：中國(guó)標(biāo)準(zhǔn)出版社，2010.

[3] 李曉嬌.淺談信息化過(guò)程中的信息安全問題[J].科技信息，2008（12）.