文｜沈文海

?

建設(shè)完整的氣象信息安全管理體系

文｜沈文海

一、引言

沒有安全，何以生存，遑論發(fā)展；而信息時代安全的核心內(nèi)容之一，便是信息安全。蓋緣于此，世界上主要發(fā)達國家始終十分重視信息安全工作。

1998年5月22日，美國克林頓政府頒布了《保護美國關(guān)鍵基礎(chǔ)設(shè)施》總統(tǒng)令（PDD63），圍繞“信息安全”成立了包括全國信息安全委員會、全國信息安全同盟、關(guān)鍵基礎(chǔ)設(shè)施保障辦公室、首席信息官委員會等10余各全國性機構(gòu)。同年，美國國家安全局（NSA）制定了《信息安全保障框架》（IATF），提出了深度防御策略。2000年發(fā)表了《總統(tǒng)國家安全戰(zhàn)略報告》，首次將信息安全明確列入其中。布什政府在911之后成立了國土安全部、國家KIP委員會，并于2002年和2003年陸續(xù)頒布了《國家保障數(shù)字空間安全策略》、《國家安全戰(zhàn)略報告》和《網(wǎng)絡(luò)空間安全國家戰(zhàn)略計劃》。奧巴馬總統(tǒng)上臺不久，就親自主導(dǎo)了為期60天的信息安全評估項目，并于2009年5月公布了《美國網(wǎng)絡(luò)安全評估》報告，評估了美國政府在網(wǎng)絡(luò)空間的安全戰(zhàn)略、策略和標(biāo)準，指出了存在的問題，并提出相應(yīng)的行動計劃。在此基礎(chǔ)上，美國政府成立了網(wǎng)絡(luò)安全辦公室，任命了網(wǎng)絡(luò)安全協(xié)調(diào)官。2010年6月，美國國防部正式成立了由戰(zhàn)略司令部領(lǐng)導(dǎo)的網(wǎng)絡(luò)戰(zhàn)司令部，于2010年10月正式運行。2015年年底，美國《網(wǎng)絡(luò)安全法》獲得正式通過，成為美國當(dāng)前規(guī)制網(wǎng)絡(luò)安全信息共享的一部較為完備的法律，首次明確了網(wǎng)絡(luò)安全信息共享的范圍，并通過修訂2002年《國土安全法》的相關(guān)內(nèi)容，規(guī)范國家網(wǎng)絡(luò)安全增強、聯(lián)邦網(wǎng)絡(luò)安全人事評估及其他網(wǎng)絡(luò)事項。

俄羅斯則早在1995年便頒布了《聯(lián)邦信息、信息化和信息保護法》，明確界定了信息資源開放和保密的范疇，提出了保護信息的法律責(zé)任。1997年俄羅斯出臺的《俄羅斯國家安全構(gòu)想》中明確提出，“保障國家安全應(yīng)把保障國家經(jīng)濟安全放在第一位”，而“信息安全又是經(jīng)濟安全的重中之重”。2000年普京總統(tǒng)批準了《國家信息安全學(xué)說》，明確了俄羅斯聯(lián)邦信息安全建設(shè)的目的、任務(wù)、原則和主要內(nèi)容。

我國政府高度重視信息安全工作，早在1994年，國務(wù)院便以147號令頒布了《中華人民共和國計算機信息系統(tǒng)安全保護條例》；2003年國務(wù)院成立應(yīng)急辦，頒布了《國家突發(fā)公共衛(wèi)生事件應(yīng)急條例》；2006年公布了《國家突發(fā)公共事件總體應(yīng)急預(yù)案》和《國家網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案》，確定了4大公共事件及網(wǎng)絡(luò)信息安全事件的應(yīng)急措施預(yù)案；2007年制定發(fā)布了《國家突發(fā)事件應(yīng)對法》。此外，信息產(chǎn)業(yè)部、工信部以及各地方政府和部門在近十余年時間里也陸續(xù)出臺了各類與信息安全相關(guān)的法律法規(guī)。信息安全在我國的國家層面上受到高度重視，目前已上升為國家戰(zhàn)略。相應(yīng)地，信息安全工作也已成為各行各業(yè)信息化戰(zhàn)略規(guī)劃和信息化建設(shè)中不可或缺的內(nèi)容，氣象部門也不例外。

信息安全是一個永恒的主題，信息安全工作永遠沒有終結(jié)的一刻。在國家大力倡導(dǎo)信息化、互聯(lián)網(wǎng)+、大數(shù)據(jù)應(yīng)用和信息安全的現(xiàn)在，認真系統(tǒng)地回顧和審視氣象信息安全工作，是完全必要的，因為這可使我們及早發(fā)現(xiàn)問題、查漏補缺，使氣象信息安全工作進一步發(fā)揮出應(yīng)有的作用。

二、信息安全的本質(zhì)

（一）信息安全的內(nèi)涵和特征

信息是氣象部門最寶貴的資產(chǎn)，是氣象部門賴以立身的最為珍貴的資源。因此，必須對所有氣象信息進行妥善的保護。

按業(yè)界的規(guī)范定義，信息安全主要指信息的保密性、完整性和可用性的保持，即：通過采用計算機軟硬件技術(shù)、網(wǎng)絡(luò)技術(shù)、密鑰技術(shù)等安全技術(shù)和各種組織管理措施，保護信息在其生命周期內(nèi)的產(chǎn)生、傳輸、交換、處理和存儲等各個環(huán)節(jié)中，信息的保密性、完整性和可用性不被破壞，保障業(yè)務(wù)的連續(xù)性，最大限度地減少業(yè)務(wù)的損失，最大限度地獲取業(yè)務(wù)回報。其中：保密性是指確保只有那些被授予特定權(quán)限的人才能夠訪問到信息；完整性是指保證信息和處理方法的正確性和完整性；可用性則是指確保那些已被授權(quán)的用戶在其需要的時候，確實可以訪問到所需信息。此屬常識，不予展開。

信息安全具有如下特征：

1. 信息安全是系統(tǒng)的安全

信息產(chǎn)生于系統(tǒng)、存在于系統(tǒng)、被系統(tǒng)所使用并由系統(tǒng)發(fā)揮其作用，所有與信息相關(guān)的各系統(tǒng)皆必須納入信息安全的視野，予以充分的關(guān)注和考慮。此外，信息安全是整體的安全，所有與信息相關(guān)的部分由信息串聯(lián)而構(gòu)成一個相對完整的系統(tǒng)，它的安全直接關(guān)系到信息的安全。

2. 信息安全是動態(tài)的安全

信息的安全保障是一個動態(tài)的過程，沒有永久的安全，也不存在滿足信息安全的充分條件，信息安全問題不可能一勞永逸地予以解決。保護信息安全不可能是絕對的，而是多種約束條件下的折衷的選擇。隨著事物的發(fā)展和技術(shù)的進步，約束條件必然發(fā)生變化，而約束條件的變化又將必然導(dǎo)致信息安全方針、策略和措施的相應(yīng)調(diào)整和變化。

3. 信息安全是無邊界的安全

網(wǎng)絡(luò)的廣泛互聯(lián)使得信息系統(tǒng)環(huán)境的邊界越來越模糊，傳統(tǒng)意義上的國界、前方和后方正在消失，人們幾乎可以從任何地點、任何時間對任何對象發(fā)起網(wǎng)絡(luò)攻擊，因此信息安全是廣泛的、無國界的，它無法單憑一個國家、地區(qū)或部門就能完全控制，需要從全球信息化角度綜合考慮和整體布局。

4. 信息安全是非傳統(tǒng)的安全

傳統(tǒng)的具有典型外在物理特征的安全因素（如：軍事、自然災(zāi)害、人為暴力破壞等等）已無法涵蓋信息安全所應(yīng)考慮的全部范疇。在沒有諸如軍事入侵、自然災(zāi)害、傳統(tǒng)意義上的恐怖襲擊等情況下，信息和信息系統(tǒng)的安全依然會受到諸如計算機病毒、黑客攻擊、計算機犯罪、信息垃圾和信息污染等嚴重威脅。國家的電信、金融、能源、交通等核心領(lǐng)域，氣象部門的數(shù)據(jù)通信、信息處理等核心系統(tǒng)，可能在極短的時間內(nèi)被攻擊癱瘓，導(dǎo)致社會運轉(zhuǎn)的癱瘓和氣象業(yè)務(wù)的崩潰，而此時所有系統(tǒng)的物理器件并未因此而發(fā)生實質(zhì)性的損傷。

信息安全既是信息技術(shù)問題，也是組織管理問題。因為信息安全最終必將落實到信息系統(tǒng)的安全層面上，并最終由一個個具體的信息技術(shù)和相關(guān)產(chǎn)品的有機組合予以實現(xiàn)，沒有符合實際的明確的安全目標(biāo)和方針、科學(xué)的設(shè)計、認真的維護、以及不斷地主動發(fā)現(xiàn)新的安全問題并及時予以解決，是無法有效地形成安全環(huán)境的；就一個部門而言，一個相對安全的環(huán)境的構(gòu)成必須從人的行為規(guī)范、安全體系的科學(xué)設(shè)計以及部門內(nèi)部安全環(huán)境的構(gòu)成等諸多方面綜合考慮、整體設(shè)計，方才可能。因此信息安全并非單純是技術(shù)和技術(shù)產(chǎn)品問題，更是組織管理問題，無法單憑技術(shù)手段予以解決。

此外，從法律、輿論以及信息戰(zhàn)和虛擬空間等更高層面考慮，信息安全也是社會問題和國家安全問題。此非本文所考慮的范圍，故不予展開。

（二）信息安全的一些認識誤區(qū)

應(yīng)當(dāng)承認，由于各種原因，至今氣象部門的一些同事中，對信息安全仍存在一定的認識誤區(qū)，以下問題應(yīng)予充分重視：

1. 單純的安全技術(shù)和產(chǎn)品的應(yīng)用不能解決信息安全

信息安全問題并非單純的技術(shù)問題，信息安全技術(shù)和產(chǎn)品的簡單應(yīng)用并不意味著部門整體的信息安全，不能指望簡單地規(guī)劃了DMZ區(qū)、在局域網(wǎng)出入端配置了防火墻、在個人電腦中安裝了殺毒軟件、遠程通信采用VPN技術(shù)后，部門的信息安全問題便可基本解決。事實上，諸如防火墻、堡壘機、殺毒軟件等安全產(chǎn)品，僅僅是構(gòu)建部門信息安全防護體系的磚石，如果沒有科學(xué)的整體設(shè)計和有效的實施方案，單憑磚石和瓦塊的簡單甚至隨意堆壘，是無法構(gòu)建成有效的安全防護體系的。因此：

防火墻+ 堡壘機+ 殺毒軟件≠信息安全

2. 業(yè)務(wù)連續(xù)性的有效保障不能替代部門的信息安全

業(yè)務(wù)連續(xù)性的有效保障是部門行政領(lǐng)導(dǎo)最為關(guān)注的安全問題之一，為此往往不惜代價不計成本，而建立業(yè)務(wù)備份中心或災(zāi)難備份中心是目前較為流行的保障措施。但備份中心的建立也并不一定意味著部門整體的信息安全，因為業(yè)務(wù)連續(xù)性的保障僅屬于信息安全三要素中“信息可用性”的范疇，如果不同時考慮信息的保密性和完整性，同樣無法從整體上解決部門的信息安全問題；而信息的私密性和完整性與備份中心之間并無必然聯(lián)系。因此：

備份中心≠信息安全

3. 網(wǎng)絡(luò)防御不能代替信息安全

傳統(tǒng)意義上的網(wǎng)絡(luò)安全包括網(wǎng)絡(luò)協(xié)議安全、網(wǎng)絡(luò)設(shè)備安全和網(wǎng)絡(luò)架構(gòu)安全，側(cè)重于網(wǎng)絡(luò)自身的健壯性以及抗網(wǎng)絡(luò)攻擊的能力。然而如果網(wǎng)絡(luò)上運行的系統(tǒng)自身存在一定缺陷、軟件存在BUG，以及人為操作失誤（如：誤刪除、誤修改等），則上述內(nèi)容和措施便將束手無策。所以，網(wǎng)絡(luò)的抗攻擊和抗偷盜能力不能完全解決信息安全問題。

類似的認識誤區(qū)還有若干，限于篇幅，不再枚舉。

三、基于風(fēng)險管理的信息安全管理

（一）信息安全管理

統(tǒng)計結(jié)果表明，在所有信息安全事故中，只有20%～30%是由于黑客入侵或其他外部原因造成的，其余的70%～80%則是因內(nèi)部員工的疏忽或有意違規(guī)而造成的。站在全局的高度上來考察信息和網(wǎng)絡(luò)安全的全貌就會發(fā)現(xiàn)：安全問題實際上都是人的問題，單憑技術(shù)手段是無法予以根本解決的。

信息安全是一個多層面、多因素的過程，如果僅憑一時的需要，頭疼醫(yī)頭腳疼醫(yī)腳地制定一些控制措施和引入某些技術(shù)產(chǎn)品，難免掛一漏萬、顧此失彼，使得信息安全這只“木桶”出現(xiàn)若干“短板”，從而無法提高信息安全的整體水平。

對于信息安全而言，技術(shù)和產(chǎn)品是基礎(chǔ)，管理才是關(guān)鍵。如同磚瓦建材需要良好的設(shè)計和施工才能搭建成堅固耐用的建筑，安全技術(shù)和安全產(chǎn)品需要通過管理的組織職能方才能夠發(fā)揮出最佳效果。事實充分證明，管理良好的系統(tǒng)遠比技術(shù)雖然高超但管理混亂不堪的系統(tǒng)安全得多。因此，先進科學(xué)的、易于理解且方便操作的安全策略對信息安全至關(guān)重要；而建立一個管理框架，讓好的安全策略在這個框架內(nèi)可重復(fù)實施，并不斷得到修正，就會擁有持續(xù)的安全。

所謂信息安全管理，是指部門或組織中為了完成信息安全目標(biāo)，針對信息系統(tǒng)，遵循安全策略，按照規(guī)定的程序，運用恰當(dāng)?shù)姆椒?，而進行的規(guī)劃、組織、指導(dǎo)、協(xié)調(diào)和控制等活動和過程；是通過維護信息的保密性、完整性和可用性，來管理和保護組織所有的信息資產(chǎn)的一項體制；是部門或組織中用于指導(dǎo)和管理各種控制信息安全風(fēng)險的一組相互協(xié)調(diào)的活動。有效的信息安全管理要盡量做到在有限的成本下，保證將安全風(fēng)險控制在可接受的范圍之內(nèi)。

信息安全管理包括：安全規(guī)劃、風(fēng)險管理、應(yīng)急計劃、安全教育培訓(xùn)、安全系統(tǒng)評估、安全認證等多方面內(nèi)容。

（二）基于風(fēng)險的信息安全

1. 安全和風(fēng)險

步履蹣跚的耄耋老人終日待在家中肯定比在熙熙攘攘的大街上行走安全，但即使在家中，也仍有因行走或站立不穩(wěn)而跌倒的可能，不如身邊陪有專人看護安全；然即便家中有專人看護，也不如將老人長期安置在醫(yī)院，在全套設(shè)備和專業(yè)醫(yī)護人員看護下安全，如此等等。可見，所謂安全都是相對而言的，沒有絕對的安全；而安全的效果或等級越高，往往付出的代價或成本也越高，信息安全也是如此。

安全是相對于風(fēng)險而言的，某種安全水平的達到意味著某種或某類風(fēng)險的得以規(guī)避：雙機熱備技術(shù)可以避免單點故障所導(dǎo)致的業(yè)務(wù)中斷，兩地三中心災(zāi)備模式可以保證即便在發(fā)生局地嚴重災(zāi)害時部門業(yè)務(wù)的連續(xù)性。但絕對的安全是沒有的：雙機熱備技術(shù)無法避免供電系統(tǒng)故障的風(fēng)險，而大型隕石撞擊地球，將導(dǎo)致生態(tài)系統(tǒng)的崩潰和物種滅絕，遑論災(zāi)備兩地三中心以及部門業(yè)務(wù)連續(xù)性了。

然而，風(fēng)險是由可能性與后果的組合來計算和度量的。盡管兩地三中心災(zāi)備模式無法應(yīng)對地球遭遇大型隕石撞擊的毀滅性災(zāi)害，但該災(zāi)害發(fā)生的可能性卻微乎其微，未來數(shù)百年幾乎沒有可能。因此此災(zāi)雖然為害甚烈，但發(fā)生的可能性卻幾近于零，不必予以考慮。

2. 風(fēng)險管理

絕對的零風(fēng)險是不存在的，要想實現(xiàn)零風(fēng)險也是不現(xiàn)實的。同時，規(guī)避風(fēng)險是需要代價的，規(guī)避的風(fēng)險種類越多，所付出的代價往往越大。就計算機系統(tǒng)而言，安全性越高，其可用性往往越低，需要付出的成本也越大。因此，信息安全建設(shè)的宗旨之一，就是在綜合考慮成本與效益的前提下，通過恰當(dāng)、足夠、綜合的安全措施來控制風(fēng)險，使殘余風(fēng)險降低到可接受的程度。亦即，需要在安全性和可用性，以及安全性和成本投入之間做出一種平衡。

所以，根本上說，信息安全是一個風(fēng)險管理過程，而不是一個技術(shù)實現(xiàn)過程。

風(fēng)險管理是指如何在一個肯定有風(fēng)險的環(huán)境里，利用有限的資源把風(fēng)險減至最低的管理過程。風(fēng)險管理包括對風(fēng)險的量度、評估和應(yīng)變策略等。理想的風(fēng)險管理，是一連串排好優(yōu)先次序的過程，使導(dǎo)致最大損失及最可能發(fā)生的安全事件優(yōu)先處理、而相對風(fēng)險較低的事件則押后處理。

風(fēng)險管理的首要內(nèi)容之一，是風(fēng)險識別和風(fēng)險評估。因為，信息安全體系的建立首先需要確定信息安全的需求，而獲取信息安全需求的主要手段就是安全風(fēng)險評估。因此，信息安全風(fēng)險評估是信息安全管理體系建立的基礎(chǔ)；沒有風(fēng)險評估，信息安全管理體系的建立就沒有依據(jù)。

風(fēng)險管理的另一項重要內(nèi)容，就是對風(fēng)險評估的結(jié)果進行相應(yīng)的風(fēng)險處置，只有對已知風(fēng)險逐一進行有針對性的妥善處置，才能化解和規(guī)避這些風(fēng)險，達到信息安全的目的。因此，風(fēng)險處置是信息安全的核心。從本質(zhì)上講，風(fēng)險處置的最佳集合就是信息安全管理體系的控制措施集合；而控制目標(biāo)、控制手段、實施指南的邏輯梳理、以形成這些風(fēng)險控制措施集合的過程，就是信息安全體系的建立過程。亦即，信息安全管理體系的核心就是這些最佳控制措施的集合。

需要強調(diào)的是，由于信息安全風(fēng)險和事件不可能完全避免，因此信息安全管理必須以風(fēng)險管理的方式，不求完全消除風(fēng)險，但求限制、化解和規(guī)避風(fēng)險。而好的風(fēng)險管理過程可以讓氣象部門以最具有成本效益的方式運行，并且使已知的風(fēng)險維持在可接受的水平，使氣象部門可以用一種一致的、條理清晰的方式來組織有限的資源，確定風(fēng)險處置優(yōu)先級，更好地管理風(fēng)險，而不是將保貴的資源用于解決所有可能的風(fēng)險。

事物是在不斷變化的，新的風(fēng)險不斷出現(xiàn)，因此風(fēng)險管理過程需要不斷改進、完善、更新和提高。

四、當(dāng)前氣象信息安全存在的問題

盡管氣象部門至今尚未發(fā)生重大信息安全事件，但這并不能說明氣象部門的信息安全工作已萬事大吉，信息安全體系固若金湯。依照信息安全管理的規(guī)范考察，氣象部門的信息安全工作至少存在如下問題：

（一）基礎(chǔ)工作存在缺失

1. 信息安全目標(biāo)

通常意義下的信息安全目標(biāo)，一般都是確保信息的機密性、完整性、可用性，以及可控性和不可否認性等等。但部門不同，具體的情況不同，安全性需求的程度、信息安全所面臨的風(fēng)險、付出的代價也各有不同；如：就信息的機密性而言，軍事部門的要求遠遠高于氣象部門；而就信息的可用性而言，氣象部門對業(yè)務(wù)連續(xù)性的要求也較土地勘測管理部門為高。因此，泛泛的信息安全目標(biāo)沒有任何意義，所有可用的信息安全目標(biāo)都是切合部門具體實際情況的，是本土化、部門化的。

沒有切合氣象部門具體實際情況的、具有鮮明氣象特色的信息安全目標(biāo)，是目前存在的突出問題。

必須明確，氣象部門信息安全目標(biāo)的確定，是管理層的職責(zé)。管理層對信息安全目標(biāo)的要求，決定了氣象部門信息安全工作的走向。氣象信息業(yè)務(wù)部門負責(zé)氣象信息安全既定目標(biāo)的具體落實，其工作的質(zhì)量和效率，決定了氣象部門是否能夠達到信息安全管理的目標(biāo)。

2. 信息安全方針

信息安全方針是為信息安全工作提供與業(yè)務(wù)需求和法律法規(guī)相一致的管理指示及相應(yīng)的支持舉措。信息安全方針應(yīng)該做到：對本部門的信息安全加以定義，陳述管理層對信息安全的意圖，明確分工和責(zé)任，約定信息安全管理的范圍，對特定的原則、標(biāo)準和遵守要求進行說明，等等。氣象部門的信息安全方針至少應(yīng)當(dāng)說明以下問題：氣象信息安全的整體目標(biāo)、范圍以及重要性，氣象信息安全工作的基本原則，風(fēng)險評估和風(fēng)險控制措施的架構(gòu)，需要遵守的法規(guī)和制度，信息安全責(zé)任分配，信息系統(tǒng)用戶和運行維護人員應(yīng)該遵守的規(guī)則，等等。

遺憾的是，以此為基本內(nèi)容的信息安全方針，至今在氣象部門尚未確立。

3. 信息安全組織機構(gòu)

為有效實施部門的信息安全管理，保障和實施部門的信息安全，在部門內(nèi)部建立信息安全組織架構(gòu)（或指定現(xiàn)有單位承擔(dān)其相應(yīng)職責(zé)）是十分必要的。

在一個部門或機構(gòu)中，安全角色與責(zé)任的不明確是實施信息安全過程中的最大障礙。因此，建立信息安全組織并落實相應(yīng)責(zé)任，是該部門實施信息安全管理的第一步。這些組織機構(gòu)需要高層管理者的參與（如本部門信息化領(lǐng)導(dǎo)小組），以負責(zé)重大決策，提供資源并對工作方向、職責(zé)分配給出清晰的說明，等等。此外，信息安全組織成員還應(yīng)包括與信息安全相關(guān)的所有部門（如行政、人事、安保、采購、外聯(lián)），以便各司其責(zé)，協(xié)調(diào)配合。

遺憾的是，類似的組織機構(gòu)在氣象部門內(nèi)即便已經(jīng)存在，至今也未真正履行其應(yīng)負的職責(zé)。

4. 信息資產(chǎn)管理

信息資產(chǎn)管理的主要內(nèi)容包括：識別信息資產(chǎn)，確定信息資產(chǎn)的屬主及責(zé)任方，信息資產(chǎn)的安全需求分類，以及各類信息資產(chǎn)的安全策略和具體措施，等等。

就氣象部門而言，對信息資產(chǎn)（即：氣象信息資源和氣象信息系統(tǒng)）進行識別、明確歸屬以及分類等工作，有利于信息安全措施的有效實施。以分類為例：我們知道，對某特定氣象資料或業(yè)務(wù)系統(tǒng)實施過多和過度的保護不僅浪費資源，而且不利于資料效益的充分發(fā)揮和系統(tǒng)的正常運行；而若保護不力，則更可能導(dǎo)致氣象信息數(shù)據(jù)和系統(tǒng)產(chǎn)生重大安全隱患，乃至出現(xiàn)安全事故。對氣象信息資產(chǎn)進行分類，可明確界定各具體資產(chǎn)的保護需求和等級，如此可以根據(jù)類別的不同，調(diào)整合適的資源、財力、物力，對重要的氣象信息資源和系統(tǒng)實施有針對性的、符合其特點的信息安全重點保護，如此等等。

同樣遺憾的是，氣象部門至今尚未實施真正意義上的完整的氣象信息資產(chǎn)管理。

類似缺失的基礎(chǔ)工作還有很多，不再枚舉。

基礎(chǔ)工作的缺失，導(dǎo)致氣象信息安全工作的不扎實、不穩(wěn)固，是氣象信息安全工作長期滯后于信息化基礎(chǔ)建設(shè)的主要原因之一。

（二）完整的信息安全管理體系尚未建成

按照ISO的定義，信息安全管理體系（ISMS：Information Security Management System）是“組織在整體或特定范圍內(nèi)建立的信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用的方法和體系。它是直接管理活動的結(jié)果，表示為方針、原則、目標(biāo)、方法、計劃、活動、程序、過程和資源的集合”。

信息安全管理體系要求部門或組織通過確定信息安全管理體系范圍、制定信息安全方針、明確管理職責(zé)、以風(fēng)險評估為基礎(chǔ)選擇安全事件控制目標(biāo)和相應(yīng)處置措施等一系列活動，來建立信息安全管理體系。該體系是基于系統(tǒng)、全面、科學(xué)的安全風(fēng)險評估而建立起來的，它體現(xiàn)以預(yù)防控制為主的思想，強調(diào)遵守國家有關(guān)信息安全的法律法規(guī)及其它地方、行業(yè)的相關(guān)要求。該體系強調(diào)全過程管理和動態(tài)控制，本著控制費用與風(fēng)險相平衡的原則，合理選擇安全控制方式。該體系同時強調(diào)保護部門所擁有的關(guān)鍵性信息資產(chǎn)（而不見得是全部信息資產(chǎn)），確保需要保護的信息的保密性、完整性和可用性，以最佳效益的形式維護部門的合法利益、保持部門的業(yè)務(wù)連續(xù)性。

由于基礎(chǔ)性工作尚未全部就緒，目前氣象部門尚未建立真正意義上的、基于風(fēng)險管理的科學(xué)而完整的氣象信息安全管理體系。

在氣象部門建立完整的信息安全管理體系，可以對氣象部門的關(guān)鍵信息資產(chǎn)進行全面系統(tǒng)的保護，在信息系統(tǒng)受到侵襲時確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度；并使氣象部門在信息安全工作領(lǐng)域?qū)崿F(xiàn)動態(tài)的、系統(tǒng)地、全員參與的、制度化的、以預(yù)防為主的信息安全管理方式，用最低的成本，達到可接受的信息安全水平。此外，完整的信息安全管理體系的建立，也可使部門外協(xié)作單位對氣象部門的安全能力充滿信心，這一點在當(dāng)前大數(shù)據(jù)應(yīng)用浪潮正在全社會迅速漫延的背景下，尤其重要。

（三）業(yè)務(wù)格局的分散加大了安全管理問題的復(fù)雜度

目前氣象部門依然沿用著已延續(xù)數(shù)十年的國省地縣四級業(yè)務(wù)層級，而業(yè)務(wù)系統(tǒng)的屬地化，以及諸如“具備業(yè)務(wù)功能意味著擁有業(yè)務(wù)系統(tǒng)、擁有業(yè)務(wù)系統(tǒng)意味著擁有信息資產(chǎn)以及基礎(chǔ)資源和設(shè)施”等傳統(tǒng)觀念的束縛，使得各個業(yè)務(wù)系統(tǒng)在地理分布上呈現(xiàn)出全國遍地開花的局面，各級業(yè)務(wù)單位都擁有自己的信息業(yè)務(wù)系統(tǒng)和相應(yīng)的局地信息業(yè)務(wù)環(huán)境。彼此通過內(nèi)部專網(wǎng)（VPN）或甚至通過互聯(lián)網(wǎng)進行互聯(lián)，在全國形成網(wǎng)狀與樹狀相結(jié)合的、十分復(fù)雜的業(yè)務(wù)網(wǎng)絡(luò)結(jié)構(gòu)。

由于各級單位都在當(dāng)?shù)負碛懈髯砸?guī)模不等的信息業(yè)務(wù)系統(tǒng)及相應(yīng)環(huán)境（包括為業(yè)務(wù)系統(tǒng)提供數(shù)據(jù)支撐的氣象數(shù)據(jù)庫），因此各單位都面臨著本單位的信息安全管理問題。尤其是一些氣象數(shù)據(jù)在各級業(yè)務(wù)單位的廣泛復(fù)制，使得各級業(yè)務(wù)單位中數(shù)據(jù)同質(zhì)化現(xiàn)象十分突出，也為這些數(shù)據(jù)的保密性和完整性（包括一致性）的保持增加了大量變數(shù)。此外，由于編制所限，地縣兩級業(yè)務(wù)單位中IT技術(shù)人員奇缺，既無法保障信息業(yè)務(wù)系統(tǒng)的日常維護，更無法為本單位信息安全提供專業(yè)化管理。

這種業(yè)務(wù)格局的分散，加大了氣象部門信息安全管理問題的復(fù)雜度。

限于篇幅，其余問題不再枚舉。

五、建立完整的氣象信息安全管理體系

綜上所述，在氣象部門建立完整的氣象信息安全管理體系，是非常必要的；就目前全社會所倡導(dǎo)的大數(shù)據(jù)應(yīng)用和云計算趨勢而言，這項工作具有較強的緊迫性，應(yīng)盡早開展相應(yīng)的工作。歸納起來，有如下幾點：

（一）適時著手建立完整的氣象信息安全管理體系

1. 完成基礎(chǔ)性工作

應(yīng)盡早明確信息安全的方針，為氣象部門信息安全工作確定目標(biāo)、范圍、責(zé)任、原則、標(biāo)準、架構(gòu)和法律法規(guī)。

應(yīng)以適當(dāng)方式組建或明確氣象信息安全的管理和實施機構(gòu)，并確保所有相關(guān)單位能夠悉數(shù)納入其中，明確分工和職責(zé)，以便各司其職，彼此協(xié)調(diào)工作。

應(yīng)在管理層的統(tǒng)一組織下，以適當(dāng)?shù)男问?，全面完成氣象部門內(nèi)部的信息資產(chǎn)普查、歸屬認定、安全需求等級劃分以及安全等級保護措施等，制定氣象信息資產(chǎn)管理策略、制度和方法，逐步推廣實施，從而完成氣象信息資產(chǎn)的有效管理。

2. 適時進行信息安全風(fēng)險評估并制訂風(fēng)險處置方案

制定風(fēng)險評估方案、選擇評估方法，以此為依據(jù)完成氣象信息安全風(fēng)險要素識別，發(fā)現(xiàn)系統(tǒng)存在的威脅和系統(tǒng)的脆弱性，并確定相應(yīng)的控制措施。在此基礎(chǔ)上，對所有風(fēng)險逐一判斷其發(fā)生的可能性和影響的范圍及程度，綜合各種分析結(jié)果，最終逐一判定這些風(fēng)險各自的等級。

在風(fēng)險等級判定的基礎(chǔ)上，以“將風(fēng)險始終控制在可接受范圍內(nèi)”為宗旨，制訂有針對性的風(fēng)險處置方案，包括：可接受風(fēng)險的甄別和確定，不可接受風(fēng)險的控制程度，風(fēng)險處置方式的選擇和控制措施的確定，制訂具體的氣象信息安全方案和綜合控制措施，科學(xué)合理地運用“減低風(fēng)險”、“轉(zhuǎn)移風(fēng)險”、“規(guī)避風(fēng)險”和“接受風(fēng)險”等方法，形成綜合的氣象信息安全風(fēng)險處置方案，并部署實施。

3. 建立完整的氣象信息安全管理體系

在上述工作以及其它相關(guān)工作的基礎(chǔ)上，參照BS 7799-2：2002 《信息安全管理體系規(guī)范》、 ISO/ IEC17799:2000《信息技術(shù)-信息安全管理實施細則》等國際標(biāo)準，以及GB/T22080-2008《信息安全管理體系要求》、GB/T20269-2006《信息系統(tǒng)安全管理要求》、GB/T20984-2007《信息安全風(fēng)險評估規(guī)范》等國家標(biāo)準，完成組織落實、措施落實、方案落實和相應(yīng)文檔的編寫，以及所有相關(guān)的審查、職責(zé)界定和制度建設(shè)，以構(gòu)成氣象部門的信息安全管理體系。

（二）將信息安全管理體系納入氣象信息化戰(zhàn)略之中

信息安全與信息化發(fā)展息息相關(guān)，是一切信息化工作的基礎(chǔ)，涉及到信息化工作的方方面面。氣象部門是以信息采集、分析處理和發(fā)布為工作特征的典型的信息應(yīng)用部門，氣象業(yè)務(wù)系統(tǒng)是典型的信息系統(tǒng)，因此信息安全對于氣象部門尤為重要。氣象事業(yè)的健康發(fā)展離不開信息化，也同樣離不開信息安全。氣象信息安全應(yīng)當(dāng)是氣象信息化工作中最為重要的內(nèi)容之一，氣象信息安全管理體系的構(gòu)建和持續(xù)改進也應(yīng)當(dāng)成為未來氣象信息化戰(zhàn)略中極其重要的內(nèi)容。

信息安全是管理問題而非技術(shù)問題，從某種角度看，信息安全管理體系是以策略為核心，以管理為基礎(chǔ)，以技術(shù)為手段的安全理念的具體落實。有什么樣的理念，就有什么樣的方針、策略、制度措施和體系架構(gòu)。無法想象在管理理念和安全意識十分落后的思維環(huán)境中，能夠構(gòu)建起科學(xué)完備的信息安全管理體系來。因此，安全管理理念的全面提高和安全意識的充分到位，是氣象信息安全所有工作正常開展的前提。就氣象部門管理層而言，著力消除曾長時間彌漫于全部門信息安全領(lǐng)域的重技術(shù)輕管理的觀念，將關(guān)注點從研究安全技術(shù)和產(chǎn)品應(yīng)用轉(zhuǎn)移到信息資產(chǎn)管理、風(fēng)險識別和控制以及整體安全戰(zhàn)略的制定等管理層面上來，是其不可推卸的責(zé)任。應(yīng)當(dāng)在全部門倡導(dǎo)信息安全意識、制定并推行信息安全制度、確定信息安全責(zé)任、組織信息安全培訓(xùn)，構(gòu)建起完整的氣象信息安全管理體系。

六、結(jié)語

在政府大力強調(diào)信息安全意識，強力推動信息安全工作的背景下，各行各業(yè)均把信息安全工作列入本部門或單位的工作議程，氣象部門也是如此。但如何科學(xué)有效地構(gòu)建起具有鮮明氣象特色的信息安全防護體系，充分把控所有已知的安全風(fēng)險，使有限的投入得到最大限度的安全回報，這是氣象部門管理層和IT工作者需要認真研究并努力實踐的工作。

信息安全首先是意識問題、觀念問題，要想真正打造安全的業(yè)務(wù)環(huán)境，在氣象部門全體員工中（特別是在管理層干部中）樹立良好的安全意識，是至關(guān)重要的。

2014年，在深刻領(lǐng)會習(xí)近平主席“沒有信息化就沒有現(xiàn)代化”的重要指示精神后，氣象部門提出了“沒有信息化就沒有氣象現(xiàn)代化”的口號。那么，針對習(xí)主席提出的“沒有信息安全就沒有國家安全”的另一重要論斷，氣象部門是否也應(yīng)提出相應(yīng)的口號——

“沒有信息安全，就沒有氣象業(yè)務(wù)安全”。

筆者期待著能就此在氣象部門內(nèi)達成廣泛的共識。

本文在撰寫過程中曾多次參考和引用中國信息安全評測中心的CISP認證培訓(xùn)教材，在此深表感謝。

作者單位：國家氣象信息中心