福建地震信息系统等级保护应用实践

2020-12-30戴丽金张丽娜巫立华林加宝江宁

网络安全技术与应用 2020年10期

◆戴丽金张丽娜巫立华林加宝江宁

福建地震信息系统等级保护应用实践

◆戴丽金张丽娜巫立华林加宝江宁

（福建省地震局福建 350000）

随着国家信息化发展战略的不断推进，各行各业的信息化水平不断提升，网络安全问题也在不断涌现，信息系统安全受到严重威胁，直接影响着国家安全、社会的稳定。信息安全等级保护制度，是维护国家信息安全的根本保障。为了保障地震行业信息系统安全，地震行业在落实国家网络安全要求的同时，积极开展地震系统信息安全等级保护工作。福建地震信息系统的信息安全保障工作也在安全等级保护的要求和规范下有序实施，大大提高了福建地震网络的安全系数，有效地规避和降低风险，保障了系统的稳定、高效运行。

信息化；网络安全；等级保护；地震系统

1 引言

2003年中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）明确指出：“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要办公系统和邮件系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”（以下简称“27号文件”）[1]。信息安全等级保护制度是提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度，是开展信息安全保护工作的有效办法，是信息安全保护工作的发展方向。为了响应国家27号文件的精神，贯彻落实网络强国战略，进一步提升地震部门网络安全管理水平，加快推进地震网络安全工作合规有序开展，依据《中华人民共和国网络安全法》和网络安全等级保护相关政策标准，结合地震部门工作实际，2018年中国地震局发布了《地震部门网络安全保护等级工作指南》（以下简称“指南”），该指南提出地震部门网络安全等级保护对象分类与防护级别建议，明确了地震部门网络安全等级保护定级、备案、测评、自查和整改等工作程序。2019年地震行业在全国范围内普遍展开了地震重要信息系统的信息安全等级保护工作。

2 地震信息系统安全现状

地震网络是一张全国大网，根据地震系统行业网网络规划，主要承载的业务系统有，前兆业务系统、测震业务系统、强震业务系统、预警业务系统、分析预报系统等，这些系统部署在地震行业内网，GNSS业务系统因业务需求与互联网有映射关系。目前各单位普遍存在地震网络边界不清、内部区域划分混乱、行业网和互联网出口多、对外服务混乱等现象，绝大多数单位未实现行业网、互联网两网隔离，导致各类互联网攻击直接渗透到行业网内，对行业网的安全造成重大冲击，严重影响行业网稳定运行。同时，行业内各业务系统普遍存在系统老旧、主机漏洞多和安全基线低的问题，未能形成长效更新机制，缺少上线准入机制，对于外包建设服务的安全性约束不够重视，导致业务系统普遍存在账号及权限管理混乱、更新机制差、代码安全性差等问题；另外，业务系统及仪器设备较脆弱，容易因某些因素影响稳定运行。

3 信息安全等级保护在地震信息系统中应用的必要性

根据27号文件明确要求我国信息安全需要实行等级保护制度来保障，信息系统等级保护制度是我国关于提高网络安全的基本政策和措施。我们需要在依据国家法律法规、基本政策的前提下去执行等级保护工作，不做等级保护工作就是不合法行为。

通过等级保护工作的开展，可以发现地震信息系统安全防护与国家标准之间的差距，根据等级保护的标准去理清本单位内各个系统的用途、使用人员及侵害的客体，根据不同系统不同的重要程度确定不同的保护级别，根据不同的等级对信息系统实施不同的防护措施，并对系统目前存在的安全隐患进行整改，提高信息系统抵御攻击及风险的能力，保障信息系统的安全稳定运行，可以更好地规避或降低风险。

4 福建地震信息系统等级保护实施

4.1 地震信息系统定级对象的确定

作为定级对象的信息系统是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理、服务的系统[2]，并根据文献[2]中给出的定级对象的三个基本特征：（1）具有唯一确定的安全责任单位；（2）具有信息系统的基本要素；（3）承载单一或相对独立的业务应用。结合《指南》中给出的地震信息系统定级对象和级别的建议，可以确定我局以下两个等级保护定级对象：（1）福建省地震局综合业务系统；（2）福建省地震局门户网站系统。

4.2 地震信息系统定级级别

福建省地震局门户网站系统主要承载业务是向政务信息网络上的各级用户提供防震减灾综合信息服务，如福建省及周边地区的最新震情速报信息服务，地震科普知识宣传，防震减灾法律法规宣传教育，最新地震科技进展介绍等，网站后台管理模块提供网站管理员管理网站和更新网站信息的管道。根据《GA/T1389-2017《信息安全技术--网络安全等级保护定级指南》和《指南》要求，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害。客观方面表现的侵害结果为：（1）影响系统正常运行及单位形象；（2）对平台涉及的公民、法人、其他组织的合法权益造成特别严重损害；（3）对社会秩序和公共利益造成严重损害。因此该系统考虑定级为第三级。

福建省地震局综合业务系统包含地震监测业务系统、地震社会服务工程应急救援系统、现代化震情会商技术系统三个业务系统，主要承载地震工作的地震监测、地震应急、地震分析预报三个方面的业务，根据《GA/T1389-2017《信息安全技术--网络安全等级保护定级指南》和《指南》要求，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害。客观方面表现的侵害结果为：（1）影响系统正常运行及单位形象；（2）对平台涉及的公民、法人、其他组织的合法权益造成特别严重损害；（3）对社会秩序和公共利益造成一般损害。因此该系统考虑定级为第二级。

4.3 地震信息系统等级保护差距评估与自测评

单位内部信息网络技术人员通过前期对单位内系统进行全面的梳理及清理，并依托第三方公司对单位内的信息系统进行自测评，使得信息网络决策者及负责人能更快更清楚了解本单位的信息系统情况及整体的信息安全状况，以便更好开展后期安全建设及整改工作。

通过对定级的两个系统进行自测评的结果数据分析，对本单位内信息系统安全状况有了初步的判断。主要存在以下几个方面的内容：

4.3.1物理安全

机房部分部位未做防水保护，存在漏水安全隐患，不利于设备安全稳定的运行，存在因湿度过高引起设备故障的风险；机房未采用耐火等级的建筑材料进行装修装饰，增加了在发生火情时助燃火灾的风险；机房未配置电子门禁系统，无法对出入人员进行有效控制并自动进行记录；未配备红外线等防盗报警设施，无法对盗窃破坏行为及时侦测并报警，增加了被盗窃破坏的风险，使未授权用户可以更为容易的访问机房等敏感物理区域，可能对系统的平稳运行造成影响。

4.3.2网络安全

未设置严格的接入控制措施，存在违规接入的风险，能够随意接入内网对系统进行操作；未对远程管理地址进行合理限制，存在设备被非授权访问进行攻击或破坏的风险；网络设备未采用两种或以上的组合身份鉴别，一旦用户口令遭到窃取，将无其他鉴别机制来防止授权登录设备等风险；网络设备没有提供（或设置）登录失败和超时处理功能，非授权用户可能通过暴力口令猜测等手段登录系统，对系统造成一定破坏；系统未采取措施对内部网络用户私自联到外部网络的行为进行检查，存在内部用户旁路边界访问控制措施私自连接外部网络的可能。

4.3.3主机安全

未对数据库资源使用进行限制，若单个用户过度占用数据库资源，可能导致数据库瘫痪、服务器宕机等安全事故；数据库未重命名系统默认账户root，可能导致外部能猜测系统用户名口令，造成信息泄露；部分服务器未安装网络版恶意代码软件，对病毒无法进行有效查杀，导致服务器异常或信息数据的泄露、非授权的访问等；有的操作系统未限制单个用户对系统资源的最大或最小使用限度，该问题可能引发系统资源耗尽，导致业务中断等风险；未对操作系统的服务水平进行检测和报警，管理者无法及时掌握可能出现的异常事件，无法及时对出现的异常问题进行分析和应对，对信息系统的平稳运行带来影响；操作系统未采取措施对入侵事件进行监测，可能无法及时发现入侵行为，不便于对入侵行为进行分析、追溯；有些操作系统没有及时更新系统补丁，可能导致遭受由系统漏洞带来的风险。

4.3.4应用安全

未使用密码技术保证通信过程中数据的完整性，可能导致重要数据在传输过程中被攻击者劫持、篡改；系统未提供监控报警功能，无法发现系统出现的异常征兆，导致管理者无法及时发现并排除隐患；有些系统未使用负载均衡、集群、热备等方式对系统进行自动保护，当故障发生时无法自动进行恢复。

4.3.5管理安全

安全管理制度未通过正式、有效的方式发布，未对安全管理制度进行评审和修订；没有建立人员离岗管理规定，会给信息系统带来安全隐患，尤其是越权访问的隐患；对外包软件源代码未全面审查，无法确保及时发现软件中可能存在的后门；未建立相关的安全管理规范，对信息处理设备带入机房或办公区域进行严格的审批管理等，给系统安全稳定运行带来安全隐患；未指定专人负责恶意代码库的升级并进行记录，可能导致系统恶意代码监测管理不到位，存在信息系统感染恶意代码进而导致信息泄露的风险。

4.4 地震信息系统等级保护安全建设与整改

根据差距分析与自测评，总结出已有信息系统与信息安全等级保护之间的差距，并参照信息系统当前等级要求和标准，购买和使用相应级别的信息安全产品，采取安全技术措施，对信息系统进行安全加固，最终完成系统整改工作。

5 结束语

通过信息安全等级保护工作的实施，使得决策者能够准确把握信息系统安全状况，福建地震信息系统的信息安全保障工作也在安全等级保护的要求和规范下逐步完善和健全，大大提高了福建地震网络的安全系数，有效地规避和降低风险，对事前的防护、风险规避以及事后恢复、溯源都有极大帮助。安全性的提升可以最大程度保证业务系统的平稳运行，实现系统的稳定.、高效运行。

[1]易振宇.电力信息系统等级保护实施浅谈[J].信息安全与通信保密，2011（12）：97-99.

[2]于海. 信息安全等级保护在电力信息系统中的应用分析[J]．信息技术与信息化，2018（11）：210-212．

[3]赵林林，梁立星，高永国，等.浅谈甘肃地震信息系统等级保护定级[J].甘肃科技，2017（33）：6-9.

[4]邓伟玲.开展信息安全等级保护工作应建立安全保护机制[J].河南科技，2013（14）：14-15.

[5]朱圣才.基于等级保护基本要求的云计算安全研究[J].微型机与应用，2013（14）：3-6.

[6]肖国煜.信息系统等级保护测评实践[J].信息网络安全，2011（07）：86-88.

[7]王伯兴.对信息安全等级保护工作的一些思考[J].中国信息安全，2014（02）：15-17.

[8]吴贤.信息安全等级保护和风险评估的关系研究[J].信息网络安全，2007（11）：56-59.

[9]周元德，董凤翔，胡波.基于等级保护的信息安全风险评估方法[J].铁道工程学报，2007（09）：94-97.

[10]王亚东，吕丽萍，汤永利.信息安全管理体系与等级保护的关系研究[J].北京电子科技学院学报， 2012（02）：75-78.

[11]韦湘，宋好好.信息安全等级保护综合管理平台的设计与实现[J].信息安全与技术，2014（11）：36-39.

[12]杨德保.党政机关信息系统等级保护研究[J].无线互联科技，2015（5）：98-101.