◆戴麗金 張麗娜 巫立華 林加寶 江寧

福建地震信息系統(tǒng)等級(jí)保護(hù)應(yīng)用實(shí)踐

◆戴麗金 張麗娜 巫立華 林加寶 江寧

（福建省地震局 福建 350000）

隨著國(guó)家信息化發(fā)展戰(zhàn)略的不斷推進(jìn)，各行各業(yè)的信息化水平不斷提升，網(wǎng)絡(luò)安全問(wèn)題也在不斷涌現(xiàn)，信息系統(tǒng)安全受到嚴(yán)重威脅，直接影響著國(guó)家安全、社會(huì)的穩(wěn)定。信息安全等級(jí)保護(hù)制度，是維護(hù)國(guó)家信息安全的根本保障。為了保障地震行業(yè)信息系統(tǒng)安全，地震行業(yè)在落實(shí)國(guó)家網(wǎng)絡(luò)安全要求的同時(shí)，積極開(kāi)展地震系統(tǒng)信息安全等級(jí)保護(hù)工作。福建地震信息系統(tǒng)的信息安全保障工作也在安全等級(jí)保護(hù)的要求和規(guī)范下有序?qū)嵤?，大大提高了福建地震網(wǎng)絡(luò)的安全系數(shù)，有效地規(guī)避和降低風(fēng)險(xiǎn)，保障了系統(tǒng)的穩(wěn)定、高效運(yùn)行。

信息化；網(wǎng)絡(luò)安全；等級(jí)保護(hù)；地震系統(tǒng)

1 引言

2003年中央辦公廳、國(guó)務(wù)院辦公廳轉(zhuǎn)發(fā)的《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)[2003]27號(hào)）明確指出：“要重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要辦公系統(tǒng)和郵件系統(tǒng)，抓緊建立信息安全等級(jí)保護(hù)制度，制定信息安全等級(jí)保護(hù)的管理辦法和技術(shù)指南”（以下簡(jiǎn)稱“27號(hào)文件”）[1]。信息安全等級(jí)保護(hù)制度是提高信息安全保障能力和水平，維護(hù)國(guó)家安全、社會(huì)穩(wěn)定和公共利益，保障和促進(jìn)信息化建設(shè)健康發(fā)展的一項(xiàng)基本制度，是開(kāi)展信息安全保護(hù)工作的有效辦法，是信息安全保護(hù)工作的發(fā)展方向。為了響應(yīng)國(guó)家27號(hào)文件的精神，貫徹落實(shí)網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略，進(jìn)一步提升地震部門網(wǎng)絡(luò)安全管理水平，加快推進(jìn)地震網(wǎng)絡(luò)安全工作合規(guī)有序開(kāi)展，依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》和網(wǎng)絡(luò)安全等級(jí)保護(hù)相關(guān)政策標(biāo)準(zhǔn)，結(jié)合地震部門工作實(shí)際，2018年中國(guó)地震局發(fā)布了《地震部門網(wǎng)絡(luò)安全保護(hù)等級(jí)工作指南》（以下簡(jiǎn)稱“指南”），該指南提出地震部門網(wǎng)絡(luò)安全等級(jí)保護(hù)對(duì)象分類與防護(hù)級(jí)別建議，明確了地震部門網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)、備案、測(cè)評(píng)、自查和整改等工作程序。2019年地震行業(yè)在全國(guó)范圍內(nèi)普遍展開(kāi)了地震重要信息系統(tǒng)的信息安全等級(jí)保護(hù)工作。

2 地震信息系統(tǒng)安全現(xiàn)狀

地震網(wǎng)絡(luò)是一張全國(guó)大網(wǎng)，根據(jù)地震系統(tǒng)行業(yè)網(wǎng)網(wǎng)絡(luò)規(guī)劃，主要承載的業(yè)務(wù)系統(tǒng)有，前兆業(yè)務(wù)系統(tǒng)、測(cè)震業(yè)務(wù)系統(tǒng)、強(qiáng)震業(yè)務(wù)系統(tǒng)、預(yù)警業(yè)務(wù)系統(tǒng)、分析預(yù)報(bào)系統(tǒng)等，這些系統(tǒng)部署在地震行業(yè)內(nèi)網(wǎng)，GNSS業(yè)務(wù)系統(tǒng)因業(yè)務(wù)需求與互聯(lián)網(wǎng)有映射關(guān)系。目前各單位普遍存在地震網(wǎng)絡(luò)邊界不清、內(nèi)部區(qū)域劃分混亂、行業(yè)網(wǎng)和互聯(lián)網(wǎng)出口多、對(duì)外服務(wù)混亂等現(xiàn)象，絕大多數(shù)單位未實(shí)現(xiàn)行業(yè)網(wǎng)、互聯(lián)網(wǎng)兩網(wǎng)隔離，導(dǎo)致各類互聯(lián)網(wǎng)攻擊直接滲透到行業(yè)網(wǎng)內(nèi)，對(duì)行業(yè)網(wǎng)的安全造成重大沖擊，嚴(yán)重影響行業(yè)網(wǎng)穩(wěn)定運(yùn)行。同時(shí)，行業(yè)內(nèi)各業(yè)務(wù)系統(tǒng)普遍存在系統(tǒng)老舊、主機(jī)漏洞多和安全基線低的問(wèn)題，未能形成長(zhǎng)效更新機(jī)制，缺少上線準(zhǔn)入機(jī)制，對(duì)于外包建設(shè)服務(wù)的安全性約束不夠重視，導(dǎo)致業(yè)務(wù)系統(tǒng)普遍存在賬號(hào)及權(quán)限管理混亂、更新機(jī)制差、代碼安全性差等問(wèn)題；另外，業(yè)務(wù)系統(tǒng)及儀器設(shè)備較脆弱，容易因某些因素影響穩(wěn)定運(yùn)行。

3 信息安全等級(jí)保護(hù)在地震信息系統(tǒng)中應(yīng)用的必要性

根據(jù)27號(hào)文件明確要求我國(guó)信息安全需要實(shí)行等級(jí)保護(hù)制度來(lái)保障，信息系統(tǒng)等級(jí)保護(hù)制度是我國(guó)關(guān)于提高網(wǎng)絡(luò)安全的基本政策和措施。我們需要在依據(jù)國(guó)家法律法規(guī)、基本政策的前提下去執(zhí)行等級(jí)保護(hù)工作，不做等級(jí)保護(hù)工作就是不合法行為。

通過(guò)等級(jí)保護(hù)工作的開(kāi)展，可以發(fā)現(xiàn)地震信息系統(tǒng)安全防護(hù)與國(guó)家標(biāo)準(zhǔn)之間的差距，根據(jù)等級(jí)保護(hù)的標(biāo)準(zhǔn)去理清本單位內(nèi)各個(gè)系統(tǒng)的用途、使用人員及侵害的客體，根據(jù)不同系統(tǒng)不同的重要程度確定不同的保護(hù)級(jí)別，根據(jù)不同的等級(jí)對(duì)信息系統(tǒng)實(shí)施不同的防護(hù)措施，并對(duì)系統(tǒng)目前存在的安全隱患進(jìn)行整改，提高信息系統(tǒng)抵御攻擊及風(fēng)險(xiǎn)的能力，保障信息系統(tǒng)的安全穩(wěn)定運(yùn)行，可以更好地規(guī)避或降低風(fēng)險(xiǎn)。

4 福建地震信息系統(tǒng)等級(jí)保護(hù)實(shí)施

4.1 地震信息系統(tǒng)定級(jí)對(duì)象的確定

作為定級(jí)對(duì)象的信息系統(tǒng)是指由計(jì)算機(jī)或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M(jìn)行收集、存儲(chǔ)、傳輸、交換、處理、服務(wù)的系統(tǒng)[2]，并根據(jù)文獻(xiàn)[2]中給出的定級(jí)對(duì)象的三個(gè)基本特征：（1）具有唯一確定的安全責(zé)任單位；（2）具有信息系統(tǒng)的基本要素；（3）承載單一或相對(duì)獨(dú)立的業(yè)務(wù)應(yīng)用。結(jié)合《指南》中給出的地震信息系統(tǒng)定級(jí)對(duì)象和級(jí)別的建議，可以確定我局以下兩個(gè)等級(jí)保護(hù)定級(jí)對(duì)象：（1）福建省地震局綜合業(yè)務(wù)系統(tǒng)；（2）福建省地震局門戶網(wǎng)站系統(tǒng)。

4.2 地震信息系統(tǒng)定級(jí)級(jí)別

福建省地震局門戶網(wǎng)站系統(tǒng)主要承載業(yè)務(wù)是向政務(wù)信息網(wǎng)絡(luò)上的各級(jí)用戶提供防震減災(zāi)綜合信息服務(wù)，如福建省及周邊地區(qū)的最新震情速報(bào)信息服務(wù)，地震科普知識(shí)宣傳，防震減災(zāi)法律法規(guī)宣傳教育，最新地震科技進(jìn)展介紹等，網(wǎng)站后臺(tái)管理模塊提供網(wǎng)站管理員管理網(wǎng)站和更新網(wǎng)站信息的管道。根據(jù)《GA/T1389-2017《信息安全技術(shù)--網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》和《指南》要求，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害。客觀方面表現(xiàn)的侵害結(jié)果為：（1）影響系統(tǒng)正常運(yùn)行及單位形象；（2）對(duì)平臺(tái)涉及的公民、法人、其他組織的合法權(quán)益造成特別嚴(yán)重?fù)p害；（3）對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害。因此該系統(tǒng)考慮定級(jí)為第三級(jí)。

福建省地震局綜合業(yè)務(wù)系統(tǒng)包含地震監(jiān)測(cè)業(yè)務(wù)系統(tǒng)、地震社會(huì)服務(wù)工程應(yīng)急救援系統(tǒng)、現(xiàn)代化震情會(huì)商技術(shù)系統(tǒng)三個(gè)業(yè)務(wù)系統(tǒng)，主要承載地震工作的地震監(jiān)測(cè)、地震應(yīng)急、地震分析預(yù)報(bào)三個(gè)方面的業(yè)務(wù)，根據(jù)《GA/T1389-2017《信息安全技術(shù)--網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》和《指南》要求，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害?？陀^方面表現(xiàn)的侵害結(jié)果為：（1）影響系統(tǒng)正常運(yùn)行及單位形象；（2）對(duì)平臺(tái)涉及的公民、法人、其他組織的合法權(quán)益造成特別嚴(yán)重?fù)p害；（3）對(duì)社會(huì)秩序和公共利益造成一般損害。因此該系統(tǒng)考慮定級(jí)為第二級(jí)。

4.3 地震信息系統(tǒng)等級(jí)保護(hù)差距評(píng)估與自測(cè)評(píng)

單位內(nèi)部信息網(wǎng)絡(luò)技術(shù)人員通過(guò)前期對(duì)單位內(nèi)系統(tǒng)進(jìn)行全面的梳理及清理，并依托第三方公司對(duì)單位內(nèi)的信息系統(tǒng)進(jìn)行自測(cè)評(píng)，使得信息網(wǎng)絡(luò)決策者及負(fù)責(zé)人能更快更清楚了解本單位的信息系統(tǒng)情況及整體的信息安全狀況，以便更好開(kāi)展后期安全建設(shè)及整改工作。

通過(guò)對(duì)定級(jí)的兩個(gè)系統(tǒng)進(jìn)行自測(cè)評(píng)的結(jié)果數(shù)據(jù)分析，對(duì)本單位內(nèi)信息系統(tǒng)安全狀況有了初步的判斷。主要存在以下幾個(gè)方面的內(nèi)容：

4.3.1物理安全

機(jī)房部分部位未做防水保護(hù)，存在漏水安全隱患，不利于設(shè)備安全穩(wěn)定的運(yùn)行，存在因濕度過(guò)高引起設(shè)備故障的風(fēng)險(xiǎn)；機(jī)房未采用耐火等級(jí)的建筑材料進(jìn)行裝修裝飾，增加了在發(fā)生火情時(shí)助燃火災(zāi)的風(fēng)險(xiǎn)；機(jī)房未配置電子門禁系統(tǒng)，無(wú)法對(duì)出入人員進(jìn)行有效控制并自動(dòng)進(jìn)行記錄；未配備紅外線等防盜報(bào)警設(shè)施，無(wú)法對(duì)盜竊破壞行為及時(shí)偵測(cè)并報(bào)警，增加了被盜竊破壞的風(fēng)險(xiǎn)，使未授權(quán)用戶可以更為容易的訪問(wèn)機(jī)房等敏感物理區(qū)域，可能對(duì)系統(tǒng)的平穩(wěn)運(yùn)行造成影響。

4.3.2網(wǎng)絡(luò)安全

未設(shè)置嚴(yán)格的接入控制措施，存在違規(guī)接入的風(fēng)險(xiǎn)，能夠隨意接入內(nèi)網(wǎng)對(duì)系統(tǒng)進(jìn)行操作；未對(duì)遠(yuǎn)程管理地址進(jìn)行合理限制，存在設(shè)備被非授權(quán)訪問(wèn)進(jìn)行攻擊或破壞的風(fēng)險(xiǎn)；網(wǎng)絡(luò)設(shè)備未采用兩種或以上的組合身份鑒別，一旦用戶口令遭到竊取，將無(wú)其他鑒別機(jī)制來(lái)防止授權(quán)登錄設(shè)備等風(fēng)險(xiǎn)；網(wǎng)絡(luò)設(shè)備沒(méi)有提供（或設(shè)置）登錄失敗和超時(shí)處理功能，非授權(quán)用戶可能通過(guò)暴力口令猜測(cè)等手段登錄系統(tǒng)，對(duì)系統(tǒng)造成一定破壞；系統(tǒng)未采取措施對(duì)內(nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，存在內(nèi)部用戶旁路邊界訪問(wèn)控制措施私自連接外部網(wǎng)絡(luò)的可能。

4.3.3主機(jī)安全

未對(duì)數(shù)據(jù)庫(kù)資源使用進(jìn)行限制，若單個(gè)用戶過(guò)度占用數(shù)據(jù)庫(kù)資源，可能導(dǎo)致數(shù)據(jù)庫(kù)癱瘓、服務(wù)器宕機(jī)等安全事故；數(shù)據(jù)庫(kù)未重命名系統(tǒng)默認(rèn)賬戶root，可能導(dǎo)致外部能猜測(cè)系統(tǒng)用戶名口令，造成信息泄露；部分服務(wù)器未安裝網(wǎng)絡(luò)版惡意代碼軟件，對(duì)病毒無(wú)法進(jìn)行有效查殺，導(dǎo)致服務(wù)器異?；蛐畔?shù)據(jù)的泄露、非授權(quán)的訪問(wèn)等；有的操作系統(tǒng)未限制單個(gè)用戶對(duì)系統(tǒng)資源的最大或最小使用限度，該問(wèn)題可能引發(fā)系統(tǒng)資源耗盡，導(dǎo)致業(yè)務(wù)中斷等風(fēng)險(xiǎn)；未對(duì)操作系統(tǒng)的服務(wù)水平進(jìn)行檢測(cè)和報(bào)警，管理者無(wú)法及時(shí)掌握可能出現(xiàn)的異常事件，無(wú)法及時(shí)對(duì)出現(xiàn)的異常問(wèn)題進(jìn)行分析和應(yīng)對(duì)，對(duì)信息系統(tǒng)的平穩(wěn)運(yùn)行帶來(lái)影響；操作系統(tǒng)未采取措施對(duì)入侵事件進(jìn)行監(jiān)測(cè)，可能無(wú)法及時(shí)發(fā)現(xiàn)入侵行為，不便于對(duì)入侵行為進(jìn)行分析、追溯；有些操作系統(tǒng)沒(méi)有及時(shí)更新系統(tǒng)補(bǔ)丁，可能導(dǎo)致遭受由系統(tǒng)漏洞帶來(lái)的風(fēng)險(xiǎn)。

4.3.4應(yīng)用安全

未使用密碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的完整性，可能導(dǎo)致重要數(shù)據(jù)在傳輸過(guò)程中被攻擊者劫持、篡改；系統(tǒng)未提供監(jiān)控報(bào)警功能，無(wú)法發(fā)現(xiàn)系統(tǒng)出現(xiàn)的異常征兆，導(dǎo)致管理者無(wú)法及時(shí)發(fā)現(xiàn)并排除隱患；有些系統(tǒng)未使用負(fù)載均衡、集群、熱備等方式對(duì)系統(tǒng)進(jìn)行自動(dòng)保護(hù)，當(dāng)故障發(fā)生時(shí)無(wú)法自動(dòng)進(jìn)行恢復(fù)。

4.3.5管理安全

安全管理制度未通過(guò)正式、有效的方式發(fā)布，未對(duì)安全管理制度進(jìn)行評(píng)審和修訂；沒(méi)有建立人員離崗管理規(guī)定，會(huì)給信息系統(tǒng)帶來(lái)安全隱患，尤其是越權(quán)訪問(wèn)的隱患；對(duì)外包軟件源代碼未全面審查，無(wú)法確保及時(shí)發(fā)現(xiàn)軟件中可能存在的后門；未建立相關(guān)的安全管理規(guī)范，對(duì)信息處理設(shè)備帶入機(jī)房或辦公區(qū)域進(jìn)行嚴(yán)格的審批管理等，給系統(tǒng)安全穩(wěn)定運(yùn)行帶來(lái)安全隱患；未指定專人負(fù)責(zé)惡意代碼庫(kù)的升級(jí)并進(jìn)行記錄，可能導(dǎo)致系統(tǒng)惡意代碼監(jiān)測(cè)管理不到位，存在信息系統(tǒng)感染惡意代碼進(jìn)而導(dǎo)致信息泄露的風(fēng)險(xiǎn)。

4.4 地震信息系統(tǒng)等級(jí)保護(hù)安全建設(shè)與整改

根據(jù)差距分析與自測(cè)評(píng)，總結(jié)出已有信息系統(tǒng)與信息安全等級(jí)保護(hù)之間的差距，并參照信息系統(tǒng)當(dāng)前等級(jí)要求和標(biāo)準(zhǔn)，購(gòu)買和使用相應(yīng)級(jí)別的信息安全產(chǎn)品，采取安全技術(shù)措施，對(duì)信息系統(tǒng)進(jìn)行安全加固，最終完成系統(tǒng)整改工作。

5 結(jié)束語(yǔ)

通過(guò)信息安全等級(jí)保護(hù)工作的實(shí)施，使得決策者能夠準(zhǔn)確把握信息系統(tǒng)安全狀況，福建地震信息系統(tǒng)的信息安全保障工作也在安全等級(jí)保護(hù)的要求和規(guī)范下逐步完善和健全，大大提高了福建地震網(wǎng)絡(luò)的安全系數(shù)，有效地規(guī)避和降低風(fēng)險(xiǎn)，對(duì)事前的防護(hù)、風(fēng)險(xiǎn)規(guī)避以及事后恢復(fù)、溯源都有極大幫助。安全性的提升可以最大程度保證業(yè)務(wù)系統(tǒng)的平穩(wěn)運(yùn)行，實(shí)現(xiàn)系統(tǒng)的穩(wěn)定.、高效運(yùn)行。

[1]易振宇.電力信息系統(tǒng)等級(jí)保護(hù)實(shí)施淺談[J].信息安全與通信保密，2011（12）：97-99.

[2]于海. 信息安全等級(jí)保護(hù)在電力信息系統(tǒng)中的應(yīng)用分析[J]．信息技術(shù)與信息化，2018（11）：210-212．

[3]趙林林，梁立星，高永國(guó)，等.淺談甘肅地震信息系統(tǒng)等級(jí)保護(hù)定級(jí)[J].甘肅科技，2017（33）：6-9.

[4]鄧偉玲.開(kāi)展信息安全等級(jí)保護(hù)工作應(yīng)建立安全保護(hù)機(jī)制[J].河南科技，2013（14）：14-15.

[5]朱圣才.基于等級(jí)保護(hù)基本要求的云計(jì)算安全研究[J].微型機(jī)與應(yīng)用，2013（14）：3-6.

[6]肖國(guó)煜.信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)實(shí)踐[J].信息網(wǎng)絡(luò)安全，2011（07）：86-88.

[7]王伯興.對(duì)信息安全等級(jí)保護(hù)工作的一些思考[J].中國(guó)信息安全，2014（02）：15-17.

[8]吳賢.信息安全等級(jí)保護(hù)和風(fēng)險(xiǎn)評(píng)估的關(guān)系研究[J].信息網(wǎng)絡(luò)安全，2007（11）：56-59.

[9]周元德，董鳳翔，胡波.基于等級(jí)保護(hù)的信息安全風(fēng)險(xiǎn)評(píng)估方法[J].鐵道工程學(xué)報(bào)，2007（09）：94-97.

[10]王亞?wèn)|，呂麗萍，湯永利.信息安全管理體系與等級(jí)保護(hù)的關(guān)系研究[J].北京電子科技學(xué)院學(xué)報(bào)， 2012（02）：75-78.

[11]韋湘，宋好好.信息安全等級(jí)保護(hù)綜合管理平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn)[J].信息安全與技術(shù)，2014（11）：36-39.

[12]楊德保.黨政機(jī)關(guān)信息系統(tǒng)等級(jí)保護(hù)研究[J].無(wú)線互聯(lián)科技，2015（5）：98-101.

[13]傅鈺.網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0下的安全體系建設(shè)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018（8）：58-61.

[14]李明，曲潔.《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》修訂要點(diǎn)解析[J].信息網(wǎng)絡(luò)安全，2016（S1）：19-21.

[15]任婷，于城.從新技術(shù)角度談等級(jí)保護(hù)2.0[J].信息通信技術(shù)，2018（6）：12-16.

福建省地震局“福建省地震網(wǎng)絡(luò)信息安全技術(shù)策略應(yīng)用研究”課題資助