建设完整的气象信息安全管理体系
时间:2021-06-01 04:00:41 来源:雅意学习网 本文已影响 人 
一、引言
没有安全,何以生存,遑论发展;而信息时代安全的核心内容之一,便是信息安全。盖缘于此,世界上主要发达国家始终十分重视信息安全工作。
1998年5月22日,美国克林顿政府颁布了《保护美国关键基础设施》总统令(PDD63),围绕“信息安全”成立了包括全国信息安全委员会、全国信息安全同盟、关键基础设施保障办公室、首席信息官委员会等10余各全国性机构。同年,美国国家安全局(NSA)制定了《信息安全保障框架》(IATF),提出了深度防御策略。2000年发表了《总统国家安全战略报告》,首次将信息安全明确列入其中。布什政府在911之后成立了国土安全部、国家KIP委员会,并于2002年和2003年陆续颁布了《国家保障数字空间安全策略》、《国家安全战略报告》和《网络空间安全国家战略计划》。奥巴马总统上台不久,就亲自主导了为期60天的信息安全评估项目,并于2009年5月公布了《美国网络安全评估》报告,评估了美国政府在网络空间的安全战略、策略和标准,指出了存在的问题,并提出相应的行动计划。在此基础上,美国政府成立了网络安全办公室,任命了网络安全协调官。2010年6月,美国国防部正式成立了由战略司令部领导的网络战司令部,于2010年10月正式运行。2015年年底,美国《网络安全法》获得正式通过,成为美国当前规制网络安全信息共享的一部较为完备的法律,首次明确了网络安全信息共享的范围,并通过修订2002年《国土安全法》的相关内容,规范国家网络安全增强、联邦网络安全人事评估及其他网络事项。
俄罗斯则早在1995年便颁布了《联邦信息、信息化和信息保护法》,明确界定了信息资源开放和保密的范畴,提出了保护信息的法律责任。1997年俄罗斯出台的《俄罗斯国家安全构想》中明确提出,“保障国家安全应把保障国家经济安全放在第一位”,而“信息安全又是经济安全的重中之重”。2000年普京总统批准了《国家信息安全学说》,明确了俄罗斯联邦信息安全建设的目的、任务、原则和主要内容。
我国政府高度重视信息安全工作,早在1994年,国务院便以147号令颁布了《中华人民共和国计算机信息系统安全保护条例》;2003年国务院成立应急办,颁布了《国家突发公共卫生事件应急条例》;2006年公布了《国家突发公共事件总体应急预案》和《国家网络与信息安全事件应急预案》,确定了4大公共事件及网络信息安全事件的应急措施预案;2007年制定发布了《国家突发事件应对法》。此外,信息产业部、工信部以及各地方政府和部门在近十余年时间里也陆续出台了各类与信息安全相关的法律法规。信息安全在我国的国家层面上受到高度重视,目前已上升为国家战略。相应地,信息安全工作也已成为各行各业信息化战略规划和信息化建设中不可或缺的内容,气象部门也不例外。
信息安全是一个永恒的主题,信息安全工作永远没有终结的一刻。在国家大力倡导信息化、互联网+、大数据应用和信息安全的现在,认真系统地回顾和审视气象信息安全工作,是完全必要的,因为这可使我们及早发现问题、查漏补缺,使气象信息安全工作进一步发挥出应有的作用。
二、信息安全的本质
(一)信息安全的内涵和特征
信息是气象部门最宝贵的资产,是气象部门赖以立身的最为珍贵的资源。因此,必须对所有气象信息进行妥善的保护。
按业界的规范定义,信息安全主要指信息的保密性、完整性和可用性的保持,即:通过采用计算机软硬件技术、网络技术、密钥技术等安全技术和各种组织管理措施,保护信息在其生命周期内的产生、传输、交换、处理和存储等各个环节中,信息的保密性、完整性和可用性不被破坏,保障业务的连续性,最大限度地减少业务的损失,最大限度地获取业务回报。其中:保密性是指确保只有那些被授予特定权限的人才能够访问到信息;完整性是指保证信息和处理方法的正确性和完整性;可用性则是指确保那些已被授权的用户在其需要的时候,确实可以访问到所需信息。此属常识,不予展开。
信息安全具有如下特征:
1. 信息安全是系统的安全
信息产生于系统、存在于系统、被系统所使用并由系统发挥其作用,所有与信息相关的各系统皆必须纳入信息安全的视野,予以充分的关注和考虑。此外,信息安全是整体的安全,所有与信息相关的部分由信息串联而构成一个相对完整的系统,它的安全直接关系到信息的安全。
2. 信息安全是动态的安全
信息的安全保障是一个动态的过程,没有永久的安全,也不存在满足信息安全的充分条件,信息安全问题不可能一劳永逸地予以解决。保护信息安全不可能是绝对的,而是多种约束条件下的折衷的选择。随着事物的发展和技术的进步,约束条件必然发生变化,而约束条件的变化又将必然导致信息安全方针、策略和措施的相应调整和变化。
3. 信息安全是无边界的安全
网络的广泛互联使得信息系统环境的边界越来越模糊,传统意义上的国界、前方和后方正在消失,人们几乎可以从任何地点、任何时间对任何对象发起网络攻击,因此信息安全是广泛的、无国界的,它无法单凭一个国家、地区或部门就能完全控制,需要从全球信息化角度综合考虑和整体布局。
4. 信息安全是非传统的安全
传统的具有典型外在物理特征的安全因素(如:军事、自然灾害、人为暴力破坏等等)已无法涵盖信息安全所应考虑的全部范畴。在没有诸如军事入侵、自然灾害、传统意义上的恐怖袭击等情况下,信息和信息系统的安全依然会受到诸如计算机病毒、黑客攻击、计算机犯罪、信息垃圾和信息污染等严重威胁。国家的电信、金融、能源、交通等核心领域,气象部门的数据通信、信息处理等核心系统,可能在极短的时间内被攻击瘫痪,导致社会运转的瘫痪和气象业务的崩溃,而此时所有系统的物理器件并未因此而发生实质性的损伤。
信息安全既是信息技术问题,也是组织管理问题。因为信息安全最终必将落实到信息系统的安全层面上,并最终由一个个具体的信息技术和相关产品的有机组合予以实现,没有符合实际的明确的安全目标和方针、科学的设计、认真的维护、以及不断地主动发现新的安全问题并及时予以解决,是无法有效地形成安全环境的;就一个部门而言,一个相对安全的环境的构成必须从人的行为规范、安全体系的科学设计以及部门内部安全环境的构成等诸多方面综合考虑、整体设计,方才可能。因此信息安全并非单纯是技术和技术产品问题,更是组织管理问题,无法单凭技术手段予以解决。
