1、海事信息安全形势分析与对策思考摘要:利用新技术,加强信息安全,提高海事监管能力,促进海事信息安全系统建设。增强民众海洋、海权意识,推动我国海洋经济健康、快速、可持续发展,铸造中国高效海事监管平台,树立国际威信,维护国家海洋权益。 关键词:信息安全 完善监管 海事发展 目前,网络信息无处不在,社会信息化比以往任何时候都更加深入生活与工作的各个领域。我国是国际海事组织(IMO)A 类理事国,是国际海上人命安全公约“SOLAS 公约”的缔约国和国际电联(ITU)会员国。因此,必须严格遵守相关的国际规定和履行相应的国际义务,不断提高海事监管水平和履约能力。网络信息的快速发展,信息服务成为海事监管和海事
2、履约服务的新手段。因此,提高网络信息的安全性及可靠性,在海事科学发展过程中比以往更具有价值和意义。 然而,在日常工作中也发现,我们的网络信息系统中常常出现运转不灵,反应缓慢,甚至出现黑客入侵、数据丢失泄密、网络瘫痪等安全事件。这严重危害海事队伍对海洋监管的有效性,影响我国海事的新形象,破坏海事执法队伍维护海洋利益、主权的能力。我国是海洋大国,海洋权益广泛,随着国际海洋形势的变化,各国对海洋资源的重视,要维护好国家海洋权益,我国海事队伍的发展也越来越依赖于网络信息系统建设和互联网的进步。因此,海事网络信息安全问题就成为值得我们广泛关注与思考的问题。 1 信息安全状况及其重要性 1.1 信息系统及
3、其安全现状 我国的信息化水平无论在广度还是在应用深度上都仍然处于发展的初期,海事网络信息系统也不例外。因此,普遍缺乏对网络信息系统空间的整体规划,缺乏对网络信息通信系统空间管理安全性的关注,缺乏对国家政务信息和业务数据保密性的有效管理,缺乏对整体职能设备资源相互依赖关系的理解,特别是对由于某种原因的相互依赖关系所导致的信息安全风险相互抵押的态势,缺乏各环节、各分机构对信息安全重要性的深入感知,以至于仅凭传统的基于协议、检测响应防火墙、防病毒软件、IDS 等安全老三样技术,甚至再加上 UTM、WEB 防火墙、SOC 等新技术,都无法确保网络信息通信系统的安全性和可靠性。据中国国家计算机网络应急技
4、术处理协调中心的网站称,2012 年 16 月,大约我国780 万台计算机受到来自 27900 个国外 IP 地址的袭击,这些袭击的来源大部分在美国,其比例占 24%以上。日本紧随其后,占 17.2%。2012 年 4月,全球黑客“匿名者”组织说,他们计划摧毁 5 个中国公司网站。同月,来自菲律宾的黑客突破了几家中国网站,表达了在黄岩岛争端的不满。这些非法袭击,不得不引起我们的重视。这就是我国信息安全迫切需要进一步加强的现状。 1.2 信息安全的重要性 建设安全高效网络信息系统,利用先进信息通信手段进行海事监管,履行国际公约,提升海事业务服务质量是“中国海事发展纲要”及“十二五”规划提出的重要
5、内容之一。近几年来,随着国家对海事发展不断投入,海事网络信息系统建设有了很大的进步,经过海事人的不断努力,海事管理网络信息系统平台已成为世界上几个少数具有影响力的海洋管理信息发布与信息处理平台之一,并在国际交流与合作领域发挥着重要作用,这也是我国国际威信和监管能力越来越高的具体标志。但是国际形势变幻莫测,单边主义、霸权主义和恐怖主义依然存在,严重影响了人类的和平进步与发展(如日本对我钓鱼岛侵犯、我南海诸岛受到的挑战) ,一旦机密信息被泄密、窃取、盗用、恶意篡改,将给国家带来无法估量的危害。因此我们必须时刻提高警惕,要站在谋求国家发展,维护世界和平的战略高度,以民族复兴的强烈责任感,在努力推进海
6、事网络信息系统建设的同时,必须进一步加强信息安全工作,保证先进有效的海洋监管能力,维护国家海洋权益和主权。 2 信息安全系统存在的不足 (1)缺乏整体安防规划。由于我国地区发展的不平衡性,各地方海事业务发展也不一致,各地方海事信息安全系统以往常常以单一的业务系统安全需求出发,建立部分或区域性的安全屏障,没有替代整个组织的安全需求进行安全建设。因此,导致整个系统的安全漏洞百出,容易受到病毒、黑客、破坏分子的恶意攻击。 (2)仅以运营商单一产品进行了单一个(系统)的安全防护。由于没有极早的统一规划,按照“谁主管谁负责、谁运营谁负责”的要求,安全工作由各主管部门和运营单位负责。在网络安防分区分域的思
7、想主导下,各地海事局安全系统基本就是不同产品的简单堆砌,或不同时期产品的叠加,没有安全系统升级方案的连贯性,较少考虑产品间的信息互通、身份传递,缺乏安全技术间融合。各安全模块之间、安全数据之间分块而治,大量信息安全孤立并存,没有统一的安全运维管理平台,纵有多道的网络设置屏障,如同虚设,没有相互防范、协调联动,无法形成环环相扣把关的安全屏障。 (3)有简单的防范软件,但没有专业安全系统。一直以来,由于各地方海事系统各自为政,业务重点不同,信息系统建设不同步,甚至同一系统在不同的建设阶段,往往只有一般性的防火墙、IDS/IPS、防病毒软件等基本网络安全产品,没有整体的规划安全硬件开发,更没有完备的
8、安全系统,没有针对应用数据的谁、访问控制、保密、完整、抵抗越权等安全层次的管理限定,造成信息安全管控困难,无法抗拒非法入侵行为。 (4)缺少危机处置机制和数据恢复能力。快速针对危机的处置反应也是信息安全的重要一环,在建设专业安全系统时,要同时注重安全事件协同响应机制的建立和技术的培训,这包括安全系统的实时监察与日常维护技术平台、协同响应组织、危机处置流程、责任追究管理等方面。(5)重建设、轻管理。为了应对新的安全威胁,各信息通信系统都购买安装了大量的中高端防火墙等,甚至有 IPS、IDS 等,但却由于管理和专业能力仅仅启用了产品的基本安全策略,而缺失针对性的安全配置以及人员责任管理,没有按照国
9、家信息安全等级的管理要求,忽略信息安全机制建立,往往漏洞的出现多为管理人员责任的缺失或领导安全意识淡薄所至。 3 信息化发展的趋势及其特点 当前,信息化已深深渗透进国家政治、经济、军事乃至各种社会活动,信息服务已成为社会服务的重要手段,也是提高社会效率的途径之一,信息化发展有如下的趋势及特点: 3.1 信息系统高融合性 信息系统高融合性是海事信息系统发展的趋势。高融合性就是通信技术与网络技术相互融合,进一步发展为以无线保真技术为基础的无线联网。它可以通过便携式电脑或其他运算器件随时随地高速联网,而无需电缆,超越传统技术划分的界限,在不同技术领域或事物之间进行了相互的结合。这将更有效地提升我们海
10、事监管与服务的能力。 3.2 信息系统高效性(高速) Internet 技术的迅猛发展及其应用的不断推广,为信息技术的创新营造了一个良好的需求环境,促进了信息技术的推陈出新。下一代Internet 的网络速度将比现有的快 100 倍1000 倍,甚至几千倍。超高速全光学网络、无线互联网、性能更强的交换机与路由器、网络性能度量监控和管理等技术,为开发形成新的海事监管能力,提升履约水平提供保证。 3.3 信息系统服务多样性 根据国际履约和我国海洋监管的要求,海事信息系统将会变得服务多样性,未来将会出现重质量、项目多样、内容丰富、公众参与和提供个性化服务的局面。站立新的历史时期,开展新技术的应用,开
11、拓新的管理业务,提供办事新环境,提供并普及无线联网,无线保真技术将海事人员在现场执法时拥有安全的网络通信能力,这将是海事通信信息系统的一次深刻的提升。 3.4 信息资源共享化特性 除土地、能源外,信息已成人类的重要资源之一。大互联网时代感的最大价值之一就在于不同系统行业、不同层次、不同部门间的信息交换与使用,以更加合理地达到资源配置,节约社会成本,创造更多更好的财富。海事信息通信系统中的 AIS,VTS,CCTV 等现场监管系统,DSC,GMDSS 救助通信系统,港口指挥调度的沿海 VHF 通信系统、SSB 及GPS 卫星导航系统以及办公服务的政务 OA 管理系统、船舶资料库等,都将是建立起相
12、互连接,相互标识,服务大众的网络共享平台。 4 信息安全问题的对策思考 随着我国信息化的发展,在加快推进海事信息通信系统建设的同时,信息安全保障工作必须基于网络与信息安全的非传统特征与时俱进地演变,按照国家信息安全体系等级保护要求和安全标准等相关文件,科学有效地灵活适应信息安全的新态势。 (1)建立物理、资源分离机制,规范访问控制。信息通信系统在建设过程中有限的物理、资源隔离是各系统求安全的有效途径。规范访问标准就是各地方海事局应当统一各级别的权限标准,即根据用户身份及属性信息来授予或限制用户对某些资源的访问,或限制对某些功能的使用。访问控制通常用于控制主体对获取、应用、数据、服务器、文本、索
13、引、用户资料等网络资源的访问。访问控制的功能主要是防止非法的主体非授权的访问。 (2)统一规划,实行条块结合分层授权,健全专业安防系统。网络信息空间与物理基础设备以及信息控制资源之间存在着相互依赖的关系。我们常常会听说用多少防火墙、防病毒入侵检测、甚至于 UTM 技术,帐号还是被盗,网站还是被侵,数据还是失泄密。这就是操作权限管理不当所至,也就是以向用户和应用程序提供主体对客体的操作权限管理为目标的一系列管理过程失控。划分条块与授权管理,建立专业的安全系统(如上网行为审计系统、漏洞扫描器、终端安全管理系统、数据库审计系统、防病毒系统、流量清洗系统等) ,就是解决的有效办法。 (3)制定安全内容
14、统一标准。安全内容为何,如何规定信息或访问动作的格式及其可追索性,就是要统一的标准。非恶意信息数据是指所传输的信息内容是可靠的、完整的,是标准访问格式的,是符合相关策略要求的,不包括违规的内容或病毒、木马等。基于内容的破坏或攻击,我们通常可通过防病毒、防火墙、UTM、内容过滤、加解密等技术手段进行相关控制。 (4)推进信息系统安全审查。制定信息系统审查制度,根据有关的法律法规或授权,对计算机网络系统环境下的有关活动或行为进行系统的、独立的检查验证,并作出相应评价。如:上网行为审计评价、终端安全预控审查评价、数据库安全审计评价、流量审查评估等。各相关单位必须将信息安全风险管理作为信息安全保障工作
15、的重要措施,要将信息安全风险与业务生产安全、消防安全、综治维稳安全等同重视。海事信息系统的安全性简单说其实就是信息系统的生命力,是提高海事履约能力,提高海事工作效率,接轨国际海事监管行为的必然要求,是信息持续可使用状态的保障。 (5)统一数据加密原则。重要的数据加密不是可有可无,特别是关系到海事执法的行动信息和用户保密资料,加密即通过改变原有数字信息的表现形式来伪装需要保护的敏感信息,以另一个信息形态使非授权使用者不能获悉被保护信息的真实内容。 (6)信息通信技术国产化。在信息系统组建过程中,多采用国产知识产权产品设备。我国自主研发的下一代互联网主干网核心技术 2006 年9 月正式通过国家验
16、收,这一成果确定了我国在下一代互联网中的领先地位,海事管理部门做为国家的职能部门,应当积极参与推广。网络核心技术为我们提供了信息安全发展的有利条件,多利用国产设备,有利于促进民族工业的发展,更重要的是,逐步摆脱对国外互联网关键技术及产品的依赖,真正实现“积极防御,综合防范” ,确保我国海事信息安全。5 结束语 海事信息安全关系到我国海洋监管能力建设,关系到我国对国际海事公约履行能力建设,关系到海事部门对海洋权益、主权的维护能力建设。面对目前国内外严峻的网络攻击态势,为了应对新的安全威胁,我们必须进一步努力健全多种专业安防系统,建立统一的安全管理中心,利用我国自主知识产权产品形成全方位、立体的安全防护体系,坚决维护国家信息安全,维护我国广泛的海洋权益。
