黄 锐，唐祖华

（1. 水利部海委信息中心，天津 300170；2. 水利部海委综合管理中心，天津 300170）

构建海委信息安全管理体系的研究

黄 锐1，唐祖华2

（1. 水利部海委信息中心，天津 300170；2. 水利部海委综合管理中心，天津 300170）

信息化的发展与信息安全保障是密切相关的，两者相辅相成、密不可分，没有安全保障的信息化必定是不能长久的。建立海委信息安全管理体系，需根据等级保护基本要求，参照国内外相关标准，并结合海委政务外网已有网络与信息安全体系建设的实际情况，最终形成依托于安全保护对象为基础，建立以安全管理中心的“一个中心，三重防护”的安全管理体系框架，并明晰具体的技术对策，逐步完善安全管理措施。

海委；信息安全；管理体系；安全保障；PDCA 循环

0 引言

随着信息产业近十年的飞速发展，我国信息化建设取得了重大成就，各类应用系统和数据资源成为各行各业重要的生产管理手段和技术支撑，发挥着巨大的作用，但各类安全风险也随之增加。近年来，我国政府非常重视信息安全建设与管理，党中央、国务院分别提出明确要求，公安部作为信息安全主管部门牵头确定了信息安全等级保护制度，水利行业正在全行业内抓紧推进信息安全保障能力建设。

2012 年 11 月，中国共产党十八大报告中明确提出建设下一代信息基础设施，发展现代信息产业体系，健全信息安全保障体系，推进信息网络技术的广泛应用，首次明确提出“健全信息安全保障体系”的目标，这是对新时期信息化发展的一个准确判断。信息化的发展与信息安全保障是密切相关的，两者相辅相成、密不可分，要以安全保障发展，在发展中求安全，没有安全保障的信息化必定是不能长久的[1]。2012 年，国务院发布了《关于大力推进信息化发展和切实保障信息安全的若干意见》（国发〔2012〕23 号文件），明确指出“健全安全防护和管理，保障重点领域信息安全；加快能力建设，提升网络与信息安全保障水平”是国家一项重点任务[2]。

近年来，水利部海河水利委员会（以下简称海委）信息化建设稳步发展，信息化工作紧密围绕着加快推进海河流域城乡供水、水生态环境保护与修复、防洪减灾和水资源管理能力建设等流域民生问题，在防汛指挥调度、水资源管理、水资源保护、水土保持、水利工程管理和水利电子政务等多个工作领域建成一批重要信息系统，已成为海委中心工作的重要技术支撑和组成部分，发挥出了显著效益。随着这些重要系统的投入使用，信息系统安全防护的需求越加迫切，如何构建海委信息安全管理体系已成为信息化重点工作之一。

1 信息安全管理体系理论及研究

1.1 信息安全管理体系理论

信息安全管理体系（ISMS）是指在整体或特定范围内建立信息安全策略和目标及完成这些目标所用方法的体系。ISMS 包括建立、实施、操作、监视、复查、维护和改进信息安全等一系列管理活动，并且表现为组织结构、策略方针、计划活动、目标与原则、人员与责任、过程与方法、资源等诸多要素的集合[3]。

信息安全管理体系的构建不是一个单纯的技术和产品工程，而是一个系统化的体系建设过程，必须紧紧围绕中心，有计划、分步骤地实施，具体包括以下 6 个步骤：1）定义信息安全策略；2）定义信息安全管理体系范围；3）风险评估；4）风险管理；5）选择控制目标与方式；6）准备适用性声明。

在实际构建中还需充分考虑实施费用、人员的理解与接受程度、与人员原有习惯的冲突、部门或人员间的协作等问题[4]，管理体系应符合国际信息安全管理标准（ISO 27000 标准）和信息安全管理循环（PDCA 循环）的相关要求，有效保护信息系统安全，确保信息安全的持续发展。

1.2 国际信息安全管理标准

目前，国际标准化组织（ISO）与国际电工委员会（IEC）联合成立的 JTC1/SC27 负责通用信息技术安全标准的制定，ISO/TC68 负责银行和金融服务业务应用范围内信息安全标准的制定[5]。

ISO 已为信息安全管理体系标准预留了 ISO/ IEC 27000 系列编号，具体包含以下标准体系：ISO 27000 原理与术语；ISO 27001 信息安全管理体系－要求（以 BS 7799-2 为基础)；ISO 27002 信息技术－安全技术－信息安全管理实践规范 (ISO/IEC 17799:2005)；ISO 27003 信息安全管理体系－实施指南；ISO 27004 信息安全管理体系－指标与测量；ISO 27005 信息安全管理体系－风险管理；ISO 27006 信息安全管理体系－认证机构的认可要求；ISO 27007 信息技术－安全技术－信息安全管理体系审核员指南。

1.3 信息安全管理体系研究方法

PDCA 即 Plan（计划）、Do（实施）、Check（检查）、Action（处理），是从事持续改进（改善）所应遵行的基本步骤。PDCA 循环又叫戴明环，是美国质量管理专家戴明博士提出的，是全面质量管理所应遵循的科学程序，是有效进行任何一项工作的合乎逻辑的工作程序。在质量管理中，PDCA 循环得到了广泛应用，并取得很好的效果，故称 PDCA 循环是质量管理的基本方法。因此构建海委信息安全管理体系时也要符合 PDCA 循环模型及 ISO/IEC 27001 标准要求。

全面质量管理活动的全部过程，就是质量计划的制订和组织实现的过程，这个过程是按照 PDCA循环，不停顿地周而复始地运转的。戴明环原理图如图 1 所示[6]

图1 戴明环原理图

海委信息安全管理体系构建依据 PDCA 循环模型，由以下 8 个步骤组成：

1）收集资料，摸清现状。尽可能多地收集国内外、行业内外信息安全管理体系的应用案例，同时摸清海委各级单位的信息安全管理现状，列出问题列表。

2）分析原因，确认要因。对照国家信息安全相关标准，结合各种信息安全管理体系理论，运用各种集思广益的科学方法，找准问题产生的全部原因所在，并区分主因和次因。

3）研究战略，确定目标。依据海委信息化发展近期和中长期规划，结合海委信息化顶层设计，明确信息安全管理体系对海委中心任务的关键支撑点，初步确定信息安全管理体系的近期构建目标。

4）拟定措施，制定计划。提出各种方案，并筛选出最佳方案，方案要能够回答 5W1H（Why—为什么制定，What—达到什么目标，Where—在何处执行，Who—由谁负责，When—何时完成，How—如何完成），方案应采用过程决策程序图或流程图对具体实施步骤进行分解。

5）执行措施，执行计划。在计划执行过程中，要实行阶段性检查，分析存在问题，纠正错误做法，确保最佳方案能够得到高效执行。

6）检查验证，评估效果。确认计划和技术方案已被严格执行，进行抽样验证，把完成情况与目标值进行比较，评估是否达到预定目标。

7）激励机制，固定成绩。根据信息安全管理体系各个子目标的完成情况，完成承诺的奖惩措施，并对已被证明有成效的措施，进行标准化，制定成工作标准，以便今后的执行和推广。

8）总结经验，梳理遗留。构建信息安全管理体系绝非一朝一夕，完成 1 次 1 个 PDCA 循环后，要及时总结经验和教训，同时也要梳理遗留问题，修订近期目标，自动转入下一个 PDCA 循环，如此周而复始，螺旋上升。

2 海委信息安全体系现状及问题

2.1 现状

海委通过多年投入，信息安全管理体系建设已有一定的基础，信息安全防范观念已深入人心，信息安全已被作为各级信息系统管理的工作重点之一，信息防护手段日渐先进；但同时信息基础设施严重老化，信息安全制度严重缺失，信息安全管理人员严重不足等问题十分突出。

2.1.1 物理安全现状

目前，海委共有机房 6 处，即海委机关数据中心机房（天津河东区）、海委防汛会商中控室（天津河东区）、漳卫南局服务器机房（山东德州）、引滦局服务器机房（河北迁西）、海河下游局网络及服务器机房（天津河西区）和漳河上游局中心机房（河北邯郸）。

在标准化方面，仅有海委机关机房全面达到恒温、恒湿、防尘、防静电、防雷、防浪涌，配备 UPS 和门禁及视频监控系统、安装气体灭火装置等要求。各管理局机房情况各异，但均远远达不到《水利信息网建设指南》中要求的 Ⅲ 级网络节点机房的要求。

2.1.2 网络安全现状[7]

目前海委机关网络拓扑结构清晰，具有一定的故障恢复能力，互联网出口具有 100 Mbit/s 带宽，出口处使用流控设备对垃圾流量过滤，网络通过防火墙细分为 INT 服务器区、Inside 服务器区、DMZ服务器区和异地会商接入区，但并未按照等级保护要求进行分区分域防护，缺少安全审计、抗拒绝服务、行为管理等防护措施；委属四局的网络结构较为简单，除海河下游局配有核心交换设备冗余外，其他局仅有防火墙和软件版防病毒系统，不具备其他网络安全防护手段。

2.1.3 主机安全现状

海委三级信息系统防护手段较为薄弱。目前委属四局已部署 RA 身份认证系统，但还不能对本单位用户实行统一管理；海委机关用于运行安全管理系统的服务器基本使用时间较长，性能较低，而且存放分散，不利于运维管理；各单位均未对三级系统服务器进行安全加固，引滦局、海河下游局、漳河上游局未部署漏洞扫描防护手段。

2.1.4 应用安全现状

海委三级应用系统在开发之初以满足应用为主要出发点，对安全考虑不充分，部分重点应用信息系统未采用身份鉴别、访问控制等技术进行安全防护；委属四局的综合办公系统均为三级应用系统，但政务信息交换基础数据平台未能与身份认证系统结合；海委机关水信息网未进行网页防篡改防护。

2.1.5 数据安全现状

目前仅海委机关建有在线存储和离线备份系统，委属四局三级应用系统的数据仅存放于服务器硬盘上，也无任何专业备份手段；各单位都未对数据库进行安全审计防护。

2.1.6 安全管理现状

海委各单位均根据自身现状制定了部分管理办法和操作规程，但还不够全面；在运维管理方面，各单位有专职运维人员，但除了海委机关和漳卫南局外，其他单位还未建立现代化运维管理手段。

2.2 存在问题

经过与国家信息系统安全等级保护相关要求的对比差距分析，运用访谈、文档审核、配置检查、实地察看、漏洞扫描和渗透测试等评估方法，分析海委信息安全管理体系存在 5 方面问题。

2.2.1 基础环境建设严重滞后

目前，各单位的政务基础平台已经建立，应用系统纷纷上线，网站运行多年，但支撑这些的信息化基础环境相当恶劣，除海委机关外，各单位均不同程度存在因为基础环境不达标而引发机器故障、系统宕机的现象，机房环境建设已经成为制约信息化发展的瓶颈之一。

2.2.2 安全管理制度急需建立

安全是三分技术、七分管理，管理的好坏又在于制度的健全与否，而目前各单位制度建设尚处于起步阶段，均未形成一整套行之有效、规范全面的管理制度，使得很多安全管理行为“无法可依、散漫随意”，从而形成很多不必要的安全漏洞。

2.2.3 系统安全体系尚未健全

由于网络无边界，任何一点安全漏洞都可能引发一场安全灾难，因此形成一张严密而统一的安全大网是十分必要的，必须做到核心设备、骨干链路的冗余备份，每台终端的安全防护到位，每位用户的身份明确、行为跟踪审计，网络资源的安全控制等。

2.2.4 数据安全隐患非常突出

随着政务应用的日益普及、业务应用的逐步扩展，长年积累的数据资源量将日渐增多，数据查询的依赖度将逐渐增加，数据不仅具有经济价值，而且具有一定的政治价值，缺少数据安全备份和及时恢复手段的矛盾越来越突出。

2.2.5 安全管理水平亟待提升

信息安全管理人员配备不足、水平参差不齐，同时需要建设覆盖全委的信息安全管理平台，实现安全管理的无缝覆盖、实时报警、数据分析、应急处置等。

3 海委信息安全管理体系构建

3.1 体系总体框架

“坚持积极防御、综合防范的方针，全面提高信息安全防护能力”是国家信息保障工作的总体要求之一，“积极防御、综合防范”是指导等级保护整体保障的战略方针[8]。

信息安全保障涉及技术和管理 2 个相互紧密关联的要素。信息安全技术只是一个基础，安全管理是使安全技术有效发挥作用，从而达到安全保障目标的重要保证。

安全保障不是单个环节、单一层面上问题的解决，必须是全方位、多层次地从技术和管理等方面进行全面的安全设计和建设，积极防御和综合防范战略要求信息系统整体保障综合采用覆盖安全保障各个环节的防护、检测、响应、恢复等多种安全措施和手段，对系统进行动态的、综合的保护，在攻击者破坏了某个保护措施的情况下，其它保护措施仍然能够有效地对系统进行保护，以抵御不断出现的安全威胁与风险，保证系统长期稳定可靠的运行。

整体保障框架的建设应在相关的安全政策、法规、标准、要求的指导下，制订可具体操作的安全策略，并在充分利用信息安全基础设施的基础上，构建信息系统的安全防护体系，形成集防护、检测、响应、恢复于一体的安全保障体系，从而实现物理、网络、系统、数据、应用的安全及安全管理，以满足海委重要信息系统全方位的安全保护需求。同时，由于安全的动态性，还需要建立安全风险评估机制，在安全风险评估的基础上，调整和完善安全策略，改进安全措施，以适应新的安全需求，满足安全等级保护的要求，保证长期、稳定、可靠运行。海委信息安全管理体系框架如图 2 所示。

建立海委信息安全管理体系，需根据等级保护基本要求，参照国内外相关标准，并结合海委政务外网已有网络与信息安全体系建设的实际情况，最终形成依托于安全保护对象为基础，建立以安全管理中心的“一个中心、三重防护”为基础的安全管理体系框架，体系逻辑结构如图 3 所示。

1）一个中心，指信息安全管理中心，实现“自动、平台化”的安全工作、统一技术和安全运维等管理。

2）三重防护，指将安全技术控制措施与保护对象相结合，实现安全计算环境、区域边界和网络通信三重防护措施。

3.2 技术对策

所有的信息安全技术都是为了达到一定的安全目标，核心包括保密性、完整性、可用性、可控性和不可否认性 5 个安全目标，以及信息安全的可审计性、可鉴别性。信息安全技术使用必须遵循整体保护、谁主管谁负责、适度保护的等级化、分域保护、动态保护、多级保护、深度保护和信息流向等原则。

构建海委信息安全管理体系首先要划分清晰的安全区域，其次要从物理、网络、主机、应用和数据安全等 5 方面明晰具体的技术要求。

3.2.1 安全区域划分

根据不同的网络接入及 3 层架构的应用安全基础环境，在现有网络中设置安全域，给予相同安全域内相似的安全控制策略，不同等级域之间设置不同的访问控制策略，各安全域间通过安全互联和核心交换区与其他区域和单位信息系统进行数据交换。同一安全域内可以承载 1 个或多个相同特性的信息系统。具体划分为网络接入域、核心交换区、安全管理区、业务接入域和终端域等。

3.2.2 物理安全技术要求

物理安全主要为信息系统提供机房场地、电力环境保障，以及设备、设施、介质的防盗和防破坏等防护。根据节点网络与信息系统的位置分布不同，物理安全环境可分为多个部分，每部分按照该部分承载的信息系统的最高安全等级确定防护级别。

图2 海委信息安全管理体系框架图

图3 海委信息安全管理体系逻辑结构图

物理安全考虑因素包括机房环境、机柜、电源、服务器、网络设备和其他设备的物理环境，需从物理位置选择、物理访问控制、防盗窃、防破坏、防雷击、防火、防水防潮、防静电、温湿度控制、电力供应、电磁防护等方面进行规范。

3.2.3 网络安全技术要求

在网络安全防护方面，需要按照三级信息系统的技术要求进行建设，一方面要确保网络设备的安全运行，提供有效的网络服务；另一方面确保在网络上传输数据的保密性、完整性和可用性。具体控制点包括网络结构安全性设计、网络访问控制措施、计算环境边界完整性保护、网络设备运行情况审计、网络入侵及恶意代码防范、网络设备安全性防护 6 个方面。

3.2.4 主机安全技术要求

主机安全主要涉及身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制几大类安全控制，对应到安全保护对象，从操作系统安全、安全监控和审计、恶意代码防范、其它保护控制 4 个层面进行防护。

3.2.5 应用安全技术要求

针对应用系统的结构特性，将在软件架构、安全功能、程序控制安全 3 方面进行说明，并在架构、功能和程序控制中，落实身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错和资源控制等控制项要求。

3.2.6 数据安全技术要求

数据是所有业务系统的核心和生命，也是信息化存在的根本，对于重要的业务系统，保护数据安全更是重中之重。根据国家等级保护相关技术要求，对数据安全防护的措施体现在数据机密性保护、完整性保护和数据的备份与恢复 3 个方面。数据机密性、完整性保护又分为数据在传输及存储过程中的机密性和完整性保护。

3.3 管理措施

“三分技术、七分管理”是信息安全体系的真实写照，信息安全技术必须与信息安全管理相辅相成才能发挥最大功效。信息安全管理体系包括管理机构、管理制度、人员管理、建设管理和运维管理等几方面。

3.3.1 健全管理体系

1）组建领导小组和办事机构。信息安全涉及到方方面面，需要成立分管委领导为组长、相关部门负责人为成员的信息安全工作领导小组，明确信息安全工作的领导协调机构，同时需要指定专门的信息安全办事机构，负责政策的拟定、决议的执行、落实的检查等工作。

2）建立健全制度体系。要针对信息安全管理制度缺失、不配套等问题，在管理制度建设方面加大力度，针对等级保护要求中安全管理制度关键项进行分析研究，合理制定信息安全管理制度建设计划，并且在各个信息化管理制度中专门对信息安全管理做出明确的规定和要求，为规范化管理建立良好的基础。

3.3.2 落实工作机制

主要措施如下：

1）建立信息安全常态化检查机制。信息安全检查应是海委信息化安全常态化工作之一，每年要进行 1 次，应对海委各级单位机房环境、网络运行管理、重点信息系统管理、数据备份情况按照等级保护标准进行安全隐患及风险的排查，同时，每年还应确定 1～2 个重点检查项目进行深入检查，督促各级单位提升信息安全认识，摸清信息安全防范薄弱环节。

2）建立快速有效的信息安全事件处理流程。信息安全事件无小事，均需要得到快速解决，讲究一个“快”字，规范的事件处理流程能够确保信息安全事件发生后，相应部门或人员能够及时反应，避免出现推诿、扯皮现象。

3）建立信息安全定期评估机制。信息安全管理属于风险管理，即如何在一个确定有风险的环境里把风险减至最低的管理过程。同时，由于信息设备漏洞不断被发现，信息系统缺陷不断被挖掘，黑客技术不断发展，都需定期对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估，为相应等级的安全建设和管理提供目标与基础。

4）建立信息安全专题培训机制。信息技术发展迅速，信息安全风险也随之增多，通过开展工作技术交流与专业安全防范技能培训相结合的方式，可全面提高安全管理人员水平，使管理人员能及时了解并掌握信息安全发展的新趋势，掌握发现风险、处理问题的能力，力争培养出一支专业的安全运维管理队伍。

5）建立信息安全工作沟通交流简报编写制度。信息安全管理保障体制必须做到“领导参与、上下联动、部门协调”，因此必须在组织内建立起畅通的沟通交流机制，编写信息安全工作简报是可行的方法之一，不仅能够提供信息安全防范意识，同时还能提供安全事件处理经验。

3.3.3 统筹体系建设

1）确保信息安全建设统筹考虑。信息安全体系遵循木桶短板原理，任何一处信息系统防护不到位，都可能引发整个系统的灾难，因此，必须要求信息系统建设同步考虑安全防护建设，形成信息安全防护可持续发展的长效机制。

2）确保信息安全专项工程加快实施。信息安全是一项关乎全局的基础性工作，不仅需要各个信息系统的支持，更需要在全面防护上做大文章、下细功夫，需要进行顶层设计，需要有专项工程支撑，才能将各个信息系统的安全防护手段由点连成线，最终织成一张信息安全大网。

3）确保信息安全建设成果及时显现。任何东西只有经过实践检验才能证明其好坏，信息安全建设成果也应及时投入使用，不仅可以测试信息系统防护效果，也能从中找到漏洞，在下一步信息安全建设中加以调整或完善。

4 结语

海委信息安全管理体系建设是一个持续改进的过程，需要持续不断地通过技术研究和管理实践来解决。信息安全不仅仅取决于信息安全技术，还取决于安全管理，安全管理是使安全技术有效发挥作用，从而达到安全保障目标的重要保证。在海委信息安全管理体系的构建过程中，管理体制的变革当是重中之重，尤其是信息安全管理意识的形成与提升更非一日之功，需要各级领导的高度重视，真正形成合力，才能确保信息安全管理体系整体建成、完整发挥效用。

[1]张显龙. 学习贯彻十八大精神 健全信息安全保障体系[EB/OL]. [2013-12-26]. http://cpc.people.com.cn/.

[2]国务院. 关于大力推进信息化发展和切实保障信息安全的若干意见（国发[2012]23 号）[EB/OL]. [2013-12-26]. http://www.gov.cn/zwgk/2012-07/17/content_2184979.htm.

[3]柳少华，孙华，文勃. 论企业信息安全管理体系建设[J].无线互联科技，2013 (6): 99-100.

[4]王玲，徐小涛. 专用网络信息安全管理机制研究[J]. 信息网络安全，2013 (6): 94-96.

[5]上官晓丽，许玉娜. 国内外信息安全管理标准研究[J]. 信息技术与标准化，2008 (5): 12-16.

[6]PDCA 管理循环[EB/OL]. [2013-12-26].http://baike.baidu. com/view/280963.htm.

[7]黄锐，王妍. 海委重要信息系统安全等级保护初步设计报告[R]. 天津：海委水利信息网络中心，2013: 12-23..

[8]国家信息化领导小组. 关于加强信息安全保障工作的意见（中办发[2003]27 号）[EB/OL]. [2013-12-26]. http://wenku.baidu.com/view/9f53b20ff12d2af90242e6aa.html.

Study on the Construction of Information Security Management System of Haihe River Water Conservancy Commission

HUANG Rui1, TANG Zuhua2
(1. Information Center of Haihe River Water Conservancy Commission, the Ministry of Water Resources, Tianjin 300170, China；2. Comprehensive Management Center of Haihe River Water Conservancy Commission, the Ministry of Water Resources, Tianjin 300170, China)

Informationization development and information security assurance are inseparable and closely related with each other. Informationization can not be sustained without security assurance. To build information security assurance system in Haihe River Water Conservancy Commission (HWCC), it need to base on the national basic requirements of hierarchical protection, refer to relevant criteria in China and abroad, and also consider on the actual condition of existing construction of information system in HWCC. It ultimately forms a security assurance system with the framework of “one center of security management, three methods of protection and defense”, then clarifies specific technical countermeasures and gradually improves the security management measures.

Haihe River Water Conservancy Commission; information security; management system; security assurance; PDCA cycle

TP309

A

1674-9405(2014)02-0066-07

2014-01-28

黄 锐（1975－），男，江苏泰州人，高级工程师，主要从事水利信息化规划、建设管理、信息系统运维管理等工作。