福建地震信息系統等級保護應用實踐

◆戴麗金 張麗娜 巫立華 林加寶 江寧

福建地震信息系統等級保護應用實踐

◆戴麗金 張麗娜 巫立華 林加寶 江寧

（福建省地震局 福建 350000）

隨著國家信息化發展戰略的不斷推進，各行各業的信息化水平不斷提升，網絡安全問題也在不斷涌現，信息系統安全受到嚴重威脅，直接影響著國家安全、社會的穩定。信息安全等級保護制度，是維護國家信息安全的根本保障。為了保障地震行業信息系統安全，地震行業在落實國家網絡安全要求的同時，積極開展地震系統信息安全等級保護工作。福建地震信息系統的信息安全保障工作也在安全等級保護的要求和規范下有序實施，大大提高了福建地震網絡的安全系數，有效地規避和降低風險，保障了系統的穩定、高效運行。

信息化；網絡安全；等級保護；地震系統

1 引言

2003年中央辦公廳、國務院辦公廳轉發的《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發[2003]27號）明確指出：“要重點保護基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要辦公系統和郵件系統，抓緊建立信息安全等級保護制度，制定信息安全等級保護的管理辦法和技術指南”（以下簡稱“27號文件”）[1]。信息安全等級保護制度是提高信息安全保障能力和水平，維護國家安全、社會穩定和公共利益，保障和促進信息化建設健康發展的一項基本制度，是開展信息安全保護工作的有效辦法，是信息安全保護工作的發展方向。為了響應國家27號文件的精神，貫徹落實網絡強國戰略，進一步提升地震部門網絡安全管理水平，加快推進地震網絡安全工作合規有序開展，依據《中華人民共和國網絡安全法》和網絡安全等級保護相關政策標準，結合地震部門工作實際，2018年中國地震局發布了《地震部門網絡安全保護等級工作指南》（以下簡稱“指南”），該指南提出地震部門網絡安全等級保護對象分類與防護級別建議，明確了地震部門網絡安全等級保護定級、備案、測評、自查和整改等工作程序。2019年地震行業在全國范圍內普遍展開了地震重要信息系統的信息安全等級保護工作。

2 地震信息系統安全現狀

地震網絡是一張全國大網，根據地震系統行業網網絡規劃，主要承載的業務系統有，前兆業務系統、測震業務系統、強震業務系統、預警業務系統、分析預報系統等，這些系統部署在地震行業內網，GNSS業務系統因業務需求與互聯網有映射關系。目前各單位普遍存在地震網絡邊界不清、內部區域劃分混亂、行業網和互聯網出口多、對外服務混亂等現象，絕大多數單位未實現行業網、互聯網兩網隔離，導致各類互聯網攻擊直接滲透到行業網內，對行業網的安全造成重大沖擊，嚴重影響行業網穩定運行。同時，行業內各業務系統普遍存在系統老舊、主機漏洞多和安全基線低的問題，未能形成長效更新機制，缺少上線準入機制，對于外包建設服務的安全性約束不夠重視，導致業務系統普遍存在賬號及權限管理混亂、更新機制差、代碼安全性差等問題；另外，業務系統及儀器設備較脆弱，容易因某些因素影響穩定運行。

3 信息安全等級保護在地震信息系統中應用的必要性

根據27號文件明確要求我國信息安全需要實行等級保護制度來保障，信息系統等級保護制度是我國關于提高網絡安全的基本政策和措施。我們需要在依據國家法律法規、基本政策的前提下去執行等級保護工作，不做等級保護工作就是不合法行為。

通過等級保護工作的開展，可以發現地震信息系統安全防護與國家標準之間的差距，根據等級保護的標準去理清本單位內各個系統的用途、使用人員及侵害的客體，根據不同系統不同的重要程度確定不同的保護級別，根據不同的等級對信息系統實施不同的防護措施，并對系統目前存在的安全隱患進行整改，提高信息系統抵御攻擊及風險的能力，保障信息系統的安全穩定運行，可以更好地規避或降低風險。

4 福建地震信息系統等級保護實施

4.1 地震信息系統定級對象的確定

作為定級對象的信息系統是指由計算機或者其他信息終端及相關設備組成的按照一定的規則和程序對信息進行收集、存儲、傳輸、交換、處理、服務的系統[2]，并根據文獻[2]中給出的定級對象的三個基本特征：（1）具有唯一確定的安全責任單位；（2）具有信息系統的基本要素；（3）承載單一或相對獨立的業務應用。結合《指南》中給出的地震信息系統定級對象和級別的建議，可以確定我局以下兩個等級保護定級對象：（1）福建省地震局綜合業務系統；（2）福建省地震局門戶網站系統。

4.2 地震信息系統定級級別

福建省地震局門戶網站系統主要承載業務是向政務信息網絡上的各級用戶提供防震減災綜合信息服務，如福建省及周邊地區的最新震情速報信息服務，地震科普知識宣傳，防震減災法律法規宣傳教育，最新地震科技進展介紹等，網站后臺管理模塊提供網站管理員管理網站和更新網站信息的管道。根據《GA/T1389-2017《信息安全技術--網絡安全等級保護定級指南》和《指南》要求，信息系統受到破壞后，會對社會秩序和公共利益造成嚴重損害。客觀方面表現的侵害結果為：（1）影響系統正常運行及單位形象；（2）對平臺涉及的公民、法人、其他組織的合法權益造成特別嚴重損害；（3）對社會秩序和公共利益造成嚴重損害。因此該系統考慮定級為第三級。

福建省地震局綜合業務系統包含地震監測業務系統、地震社會服務工程應急救援系統、現代化震情會商技術系統三個業務系統，主要承載地震工作的地震監測、地震應急、地震分析預報三個方面的業務，根據《GA/T1389-2017《信息安全技術--網絡安全等級保護定級指南》和《指南》要求，信息系統受到破壞后，會對社會秩序和公共利益造成嚴重損害。客觀方面表現的侵害結果為：（1）影響系統正常運行及單位形象；（2）對平臺涉及的公民、法人、其他組織的合法權益造成特別嚴重損害；（3）對社會秩序和公共利益造成一般損害。因此該系統考慮定級為第二級。

4.3 地震信息系統等級保護差距評估與自測評

單位內部信息網絡技術人員通過前期對單位內系統進行全面的梳理及清理，并依托第三方公司對單位內的信息系統進行自測評，使得信息網絡決策者及負責人能更快更清楚了解本單位的信息系統情況及整體的信息安全狀況，以便更好開展后期安全建設及整改工作。

通過對定級的兩個系統進行自測評的結果數據分析，對本單位內信息系統安全狀況有了初步的判斷。主要存在以下幾個方面的內容：

4.3.1物理安全

機房部分部位未做防水保護，存在漏水安全隱患，不利于設備安全穩定的運行，存在因濕度過高引起設備故障的風險；機房未采用耐火等級的建筑材料進行裝修裝飾，增加了在發生火情時助燃火災的風險；機房未配置電子門禁系統，無法對出入人員進行有效控制并自動進行記錄；未配備紅外線等防盜報警設施，無法對盜竊破壞行為及時偵測并報警，增加了被盜竊破壞的風險，使未授權用戶可以更為容易的訪問機房等敏感物理區域，可能對系統的平穩運行造成影響。

4.3.2網絡安全

未設置嚴格的接入控制措施，存在違規接入的風險，能夠隨意接入內網對系統進行操作；未對遠程管理地址進行合理限制，存在設備被非授權訪問進行攻擊或破壞的風險；網絡設備未采用兩種或以上的組合身份鑒別，一旦用戶口令遭到竊取，將無其他鑒別機制來防止授權登錄設備等風險；網絡設備沒有提供（或設置）登錄失敗和超時處理功能，非授權用戶可能通過暴力口令猜測等手段登錄系統，對系統造成一定破壞；系統未采取措施對內部網絡用戶私自聯到外部網絡的行為進行檢查，存在內部用戶旁路邊界訪問控制措施私自連接外部網絡的可能。

4.3.3主機安全

未對數據庫資源使用進行限制，若單個用戶過度占用數據庫資源，可能導致數據庫癱瘓、服務器宕機等安全事故；數據庫未重命名系統默認賬戶root，可能導致外部能猜測系統用戶名口令，造成信息泄露；部分服務器未安裝網絡版惡意代碼軟件，對病毒無法進行有效查殺，導致服務器異常或信息數據的泄露、非授權的訪問等；有的操作系統未限制單個用戶對系統資源的最大或最小使用限度，該問題可能引發系統資源耗盡，導致業務中斷等風險；未對操作系統的服務水平進行檢測和報警，管理者無法及時掌握可能出現的異常事件，無法及時對出現的異常問題進行分析和應對，對信息系統的平穩運行帶來影響；操作系統未采取措施對入侵事件進行監測，可能無法及時發現入侵行為，不便于對入侵行為進行分析、追溯；有些操作系統沒有及時更新系統補丁，可能導致遭受由系統漏洞帶來的風險。

4.3.4應用安全

未使用密碼技術保證通信過程中數據的完整性，可能導致重要數據在傳輸過程中被攻擊者劫持、篡改；系統未提供監控報警功能，無法發現系統出現的異常征兆，導致管理者無法及時發現并排除隱患；有些系統未使用負載均衡、集群、熱備等方式對系統進行自動保護，當故障發生時無法自動進行恢復。

4.3.5管理安全

安全管理制度未通過正式、有效的方式發布，未對安全管理制度進行評審和修訂；沒有建立人員離崗管理規定，會給信息系統帶來安全隱患，尤其是越權訪問的隱患；對外包軟件源代碼未全面審查，無法確保及時發現軟件中可能存在的后門；未建立相關的安全管理規范，對信息處理設備帶入機房或辦公區域進行嚴格的審批管理等，給系統安全穩定運行帶來安全隱患；未指定專人負責惡意代碼庫的升級并進行記錄，可能導致系統惡意代碼監測管理不到位，存在信息系統感染惡意代碼進而導致信息泄露的風險。

4.4 地震信息系統等級保護安全建設與整改

根據差距分析與自測評，總結出已有信息系統與信息安全等級保護之間的差距，并參照信息系統當前等級要求和標準，購買和使用相應級別的信息安全產品，采取安全技術措施，對信息系統進行安全加固，最終完成系統整改工作。

5 結束語

通過信息安全等級保護工作的實施，使得決策者能夠準確把握信息系統安全狀況，福建地震信息系統的信息安全保障工作也在安全等級保護的要求和規范下逐步完善和健全，大大提高了福建地震網絡的安全系數，有效地規避和降低風險，對事前的防護、風險規避以及事后恢復、溯源都有極大幫助。安全性的提升可以最大程度保證業務系統的平穩運行，實現系統的穩定.、高效運行。

[1]易振宇.電力信息系統等級保護實施淺談[J].信息安全與通信保密，2011（12）：97-99.

[2]于海. 信息安全等級保護在電力信息系統中的應用分析[J]．信息技術與信息化，2018（11）：210-212．

[3]趙林林，梁立星，高永國，等.淺談甘肅地震信息系統等級保護定級[J].甘肅科技，2017（33）：6-9.

[4]鄧偉玲.開展信息安全等級保護工作應建立安全保護機制[J].河南科技，2013（14）：14-15.

[5]朱圣才.基于等級保護基本要求的云計算安全研究[J].微型機與應用，2013（14）：3-6.

[6]肖國煜.信息系統等級保護測評實踐[J].信息網絡安全，2011（07）：86-88.

[7]王伯興.對信息安全等級保護工作的一些思考[J].中國信息安全，2014（02）：15-17.

[8]吳賢.信息安全等級保護和風險評估的關系研究[J].信息網絡安全，2007（11）：56-59.

[9]周元德，董鳳翔，胡波.基于等級保護的信息安全風險評估方法[J].鐵道工程學報，2007（09）：94-97.

[10]王亞東，呂麗萍，湯永利.信息安全管理體系與等級保護的關系研究[J].北京電子科技學院學報， 2012（02）：75-78.

[11]韋湘，宋好好.信息安全等級保護綜合管理平臺的設計與實現[J].信息安全與技術，2014（11）：36-39.

[12]楊德保.黨政機關信息系統等級保護研究[J].無線互聯科技，2015（5）：98-101.

[13]傅鈺.網絡安全等級保護2.0下的安全體系建設[J].網絡安全技術與應用，2018（8）：58-61.

[14]李明，曲潔.《信息系統安全等級保護定級指南》修訂要點解析[J].信息網絡安全，2016（S1）：19-21.

[15]任婷，于城.從新技術角度談等級保護2.0[J].信息通信技術，2018（6）：12-16.

福建省地震局“福建省地震網絡信息安全技術策略應用研究”課題資助