江麗娟

(遼寧省河庫(kù)管理服務(wù)中心(遼寧省水文局)，沈陽(yáng) 110003)

近年來，黨中央高度重視網(wǎng)絡(luò)安全工作，習(xí)近平總書記先后發(fā)表了一系列重要講話，提出了網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略思想。2016年11月發(fā)布《中華人民共和國(guó)網(wǎng)絡(luò)安全法》之后,2017年至今國(guó)家推出了140多個(gè)信息安全技術(shù)標(biāo)準(zhǔn)(2012年至今發(fā)布標(biāo)準(zhǔn)243個(gè))；2018年和2019年連續(xù)兩年公安部開展了全行業(yè)網(wǎng)絡(luò)安全攻防演練，為全行業(yè)各單位注入了重視網(wǎng)絡(luò)安全、加強(qiáng)安全防護(hù)的強(qiáng)心針。

為貫徹落實(shí)新時(shí)代網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略、落實(shí)網(wǎng)絡(luò)安全相關(guān)法律法規(guī)，水利部印發(fā)了《水利網(wǎng)絡(luò)安全頂層設(shè)計(jì)》，針對(duì)政務(wù)外網(wǎng)提出了水利網(wǎng)絡(luò)安全工作必須基于水利統(tǒng)一的安全策略，以合規(guī)為基礎(chǔ)，以可控為核心，強(qiáng)調(diào)堅(jiān)持“重點(diǎn)保護(hù)、分級(jí)管理”、“主動(dòng)防御、強(qiáng)化監(jiān)管”。在《智慧水利總體方案》，提出全面提升網(wǎng)絡(luò)安全能力的明確任務(wù)。

在這樣的時(shí)代背景和新要求下，怎樣開展遼寧水利網(wǎng)絡(luò)安全管理工作，如何開展網(wǎng)絡(luò)安全規(guī)劃和建設(shè)、管理工作，需要我們深入思考和認(rèn)真謀劃。

在網(wǎng)絡(luò)安全管理工作中涉及到人員、技術(shù)、管理三方面因素。其中技術(shù)是前提、人員是關(guān)鍵、管理是保障。我們必須做到管理和技術(shù)齊抓，充分發(fā)揮人員的作用，在國(guó)家法律規(guī)章和制定的安全管理制度的約束下，才能確保網(wǎng)絡(luò)信息的安全。因此網(wǎng)絡(luò)安全建設(shè)要緊緊圍繞這三方面規(guī)劃。

1 網(wǎng)絡(luò)安全技術(shù)體系建設(shè)

網(wǎng)絡(luò)安全目標(biāo)是確保信息系統(tǒng)的安全性、完整性、機(jī)密性、穩(wěn)定性等。網(wǎng)絡(luò)安全建設(shè)規(guī)劃要滿足國(guó)家網(wǎng)絡(luò)安全和密碼管理的有關(guān)法律法規(guī)、規(guī)章制度、標(biāo)準(zhǔn)規(guī)范要求，嚴(yán)格遵守三同步原則。

1.1 深入、全面的調(diào)研分析總結(jié)

深入學(xué)習(xí)網(wǎng)絡(luò)安全法、密碼法等法律法規(guī)和相關(guān)標(biāo)準(zhǔn)規(guī)范，以及充分調(diào)研國(guó)內(nèi)網(wǎng)絡(luò)安全技術(shù)發(fā)展現(xiàn)狀和了解國(guó)內(nèi)、外網(wǎng)絡(luò)安全發(fā)展趨勢(shì)，根據(jù)遼寧省水利廳網(wǎng)絡(luò)安全現(xiàn)狀，對(duì)標(biāo)等保2.0標(biāo)準(zhǔn)，結(jié)合水利部網(wǎng)絡(luò)安全相關(guān)文件及水利部智慧水利總體方案等相關(guān)規(guī)劃，全面分析遼寧省水利廳網(wǎng)絡(luò)安全方面存在的問題，總結(jié)遼寧省水利廳水利網(wǎng)絡(luò)安全建設(shè)的需求，提出清晰的水利網(wǎng)絡(luò)安全建設(shè)目標(biāo)和規(guī)劃重點(diǎn)建設(shè)任務(wù)。

1.2 明確建設(shè)目標(biāo)

根據(jù)網(wǎng)絡(luò)相關(guān)法律法規(guī)和標(biāo)準(zhǔn)規(guī)范，在同時(shí)適應(yīng)云計(jì)算、工業(yè)互聯(lián)網(wǎng)、大數(shù)據(jù)等新技術(shù)、新應(yīng)用情況下，在現(xiàn)有水利網(wǎng)絡(luò)和信息系統(tǒng)的安全防護(hù)基礎(chǔ)上，完善網(wǎng)絡(luò)安全防御能力、統(tǒng)一管理、威脅感知建設(shè)，為水利行業(yè)整體的安全監(jiān)測(cè)、威脅預(yù)警、應(yīng)急響應(yīng)、追蹤溯源提供依據(jù)，構(gòu)建全網(wǎng)安全運(yùn)營(yíng)體系，快速提升水利行業(yè)網(wǎng)絡(luò)安全縱深防御、監(jiān)測(cè)預(yù)警和應(yīng)急響應(yīng)能力。

1.3 規(guī)劃重點(diǎn)建設(shè)內(nèi)容

1)建設(shè)網(wǎng)絡(luò)安全防御體系。增強(qiáng)縱深防御能力，結(jié)合水利業(yè)務(wù)和水利數(shù)據(jù)實(shí)際情況，綜合采用身份認(rèn)證、訪問控制、邊界防護(hù)等技術(shù)形成基礎(chǔ)的技術(shù)防護(hù)體系。針對(duì)《智慧水利總體方案》規(guī)劃的云平臺(tái)等構(gòu)建云平臺(tái)安全防護(hù)體系。建立完善、合規(guī)的安全物理環(huán)境、計(jì)算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)防護(hù)，從設(shè)備管制、策略分析維護(hù)等方面著手，實(shí)現(xiàn)網(wǎng)絡(luò)安全的精細(xì)化管理。從多方面保證軟件系統(tǒng)上線前的安全性，消除上線前的代碼安全問題，解決高危漏洞修復(fù)，減少后期運(yùn)營(yíng)維護(hù)成本和出現(xiàn)的安全風(fēng)險(xiǎn)。對(duì)于基本的安全需求形成統(tǒng)一的安全服務(wù)，包括身份認(rèn)證服務(wù)、密碼服務(wù)、災(zāi)備服務(wù)等。實(shí)現(xiàn)網(wǎng)絡(luò)安全管理工作從被動(dòng)到主動(dòng)的突破，提水利網(wǎng)絡(luò)、業(yè)務(wù)以及數(shù)據(jù)安全保障能力[1]。

2)建設(shè)網(wǎng)絡(luò)安全威脅感知預(yù)警體系。

采用多種技術(shù)監(jiān)測(cè)和采集網(wǎng)絡(luò)內(nèi)部安全威脅數(shù)據(jù)，建立監(jiān)測(cè)流量數(shù)據(jù)、各類設(shè)備日志、各類主機(jī)日志、應(yīng)用系統(tǒng)日志的數(shù)據(jù)采集基礎(chǔ)，并利用大數(shù)據(jù)技術(shù)進(jìn)行深度分析，從而及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中可能存在的安全威脅或攻擊事件。實(shí)現(xiàn)網(wǎng)絡(luò)安全威脅感知預(yù)警，提高網(wǎng)絡(luò)安全事件監(jiān)測(cè)和通報(bào)預(yù)警能力。

3)建設(shè)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)體系。

建設(shè) “人機(jī)共智”網(wǎng)絡(luò)安全決策指揮系統(tǒng)，可管理網(wǎng)內(nèi)網(wǎng)絡(luò)安全資源，對(duì)網(wǎng)絡(luò)內(nèi)各類風(fēng)險(xiǎn)預(yù)警進(jìn)行綜合研判和閉環(huán)處置，實(shí)現(xiàn)應(yīng)急預(yù)案管理與策略編排。修訂網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，建立應(yīng)急響應(yīng)流程，開展應(yīng)急演練，建立閉環(huán)的流程跟蹤管理。

4)構(gòu)建網(wǎng)絡(luò)安全運(yùn)營(yíng)中心。

采用“人機(jī)共智”模式的安全運(yùn)營(yíng)模式，依靠網(wǎng)絡(luò)安全技術(shù)體系，達(dá)到日常威脅預(yù)測(cè)、威脅防護(hù)、持續(xù)監(jiān)測(cè)、響應(yīng)處置等內(nèi)容的閉環(huán)安全運(yùn)營(yíng)效果。以資產(chǎn)、漏洞、威脅、事件作為安全運(yùn)營(yíng)控制四個(gè)核心控制要素，實(shí)現(xiàn)安全合規(guī)、安全風(fēng)險(xiǎn)可控、安全能力可量化，實(shí)現(xiàn)全網(wǎng)安全管理，保障網(wǎng)絡(luò)安全、業(yè)務(wù)安全及數(shù)據(jù)安全，達(dá)到主動(dòng)防御、實(shí)時(shí)監(jiān)測(cè)、及時(shí)響應(yīng)的聯(lián)動(dòng)效果。

2 網(wǎng)絡(luò)安全管理體系建設(shè)

2.1 修訂網(wǎng)絡(luò)安全工作的總體方針和安全策略

根據(jù)等保2.0標(biāo)準(zhǔn)，結(jié)合智慧水利建設(shè)規(guī)劃，修訂總體方針和安全策略，明確總體目標(biāo)、原則和信息安全策略框架等。

2.2 完善和健全水利網(wǎng)絡(luò)安全工作組織機(jī)構(gòu)

完善和健全水利網(wǎng)絡(luò)安全工作組織機(jī)構(gòu)，根據(jù)單位人事調(diào)動(dòng)情況，及時(shí)更新安全管理領(lǐng)導(dǎo)組織機(jī)構(gòu)成員，嚴(yán)格落實(shí)《黨委(黨組)網(wǎng)絡(luò)安全責(zé)任制實(shí)施辦法》，嚴(yán)格落實(shí)網(wǎng)絡(luò)安全責(zé)任，明確領(lǐng)導(dǎo)小組及其辦公室主要職責(zé)、各成員單位主要職責(zé)。

2.3 補(bǔ)充和完善網(wǎng)絡(luò)安全管理制度

根據(jù)國(guó)家網(wǎng)絡(luò)安全和密碼管理的有關(guān)法律法規(guī)、規(guī)章制度、標(biāo)準(zhǔn)規(guī)范要求，從資產(chǎn)管理、人員安全管理、基礎(chǔ)環(huán)境管理、運(yùn)行管理、訪問控制管理、密碼管理等方面制定管理要求。

2.4 制定操作規(guī)程、記錄表單

根據(jù)網(wǎng)絡(luò)安全管理制度要求，制定網(wǎng)絡(luò)安全日常管理操作規(guī)程和記錄表單，指導(dǎo)人員日常管理操作，安全策略、管理制度、操作流程、表單的4部分，構(gòu)成了完整的網(wǎng)絡(luò)安全管理體系。

3 網(wǎng)絡(luò)安全運(yùn)行保障體系建設(shè)

加強(qiáng)對(duì)辦公人員安全意識(shí)培訓(xùn)和安全管理人員的管理技術(shù)培訓(xùn)，定期開展應(yīng)急演練，提高突發(fā)事件的應(yīng)急處置能力，是網(wǎng)絡(luò)安全運(yùn)行管理的重要保障。

依據(jù)網(wǎng)絡(luò)安全管理制度相關(guān)內(nèi)容，編制運(yùn)維制度，梳理資產(chǎn)清單，對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí)管理，規(guī)范數(shù)據(jù)信息傳輸、存儲(chǔ)和使用等。積極排查安全漏洞和隱患，對(duì)發(fā)現(xiàn)的安全漏洞和隱患及時(shí)進(jìn)行修補(bǔ)。嚴(yán)格控制遠(yuǎn)程運(yùn)維，經(jīng)審批后才可開通遠(yuǎn)程運(yùn)維接口或通道，操作過程中應(yīng)保留不可更改的審計(jì)日志，操作結(jié)束后立即關(guān)閉接口或通道。編制應(yīng)急預(yù)案，開展應(yīng)急預(yù)案培訓(xùn)，并定期進(jìn)行應(yīng)急預(yù)案的演練，提高應(yīng)急反應(yīng)能力和應(yīng)急處理能力。

4 結(jié) 論

新時(shí)期水利網(wǎng)絡(luò)安全建設(shè)，要從網(wǎng)絡(luò)安全技術(shù)體系建設(shè)、網(wǎng)絡(luò)安全管理體系建設(shè)、網(wǎng)絡(luò)安全管理體系建設(shè)三方面綜合考慮，將技術(shù)、管理、人員緊密結(jié)合起來，不斷優(yōu)化和改進(jìn)安全管理的流程和能力，才能做好網(wǎng)絡(luò)安全管理工作，實(shí)現(xiàn)網(wǎng)絡(luò)安全目標(biāo)。