日前成立的中央网络安全与信息化领导小组,习近平组长提出“网络安全与信息化是一体之双翼”将网络安全与信息化提高到同等重要的高度上。当前的信息安全已不再是单纯过去所讲的技术安全,也不单纯是针对某一黑客。“信息网络正逐渐成为现代国家的神经中枢系统,在交通运输行业电子政务信息化建设中,如何有效落实一体双翼,真正实现网络安全与信息化比翼齐飞,成为近年来交通运输信息安全中心重点关注的问题。
交通运输信息化建设熟读及规模推进较快,行业信息化普遍缺乏顶层设计,部省之间,省市之间,不同业务线之间技术标准不统一,形成了大量信息孤岛,同时安全检验评估机制的缺失,导致交通运输行业处于多重,异构,复杂的信息系统环境下,行业中大量采用的国外信息产品和工控系统有可能存在的后门和漏洞,也成为严重威胁交通运输行业安全的重要症结。交通运输行业的信息安全,犹如一把悬于头顶上的达克摩斯之剑,如何处理行业中普遍存在的信息安全问题,期待着交通运输信息安全的同志们去破题。
落实等级保护,建立交通运输行业信息安全保障体系,无疑成为行业当中信息安全保障工作的核心部分,2012年中国交通信息中心承担了交通运输部科技司第一个信息安全科技项目–《异构条件下交通运输行业可信安全环境和安全检测关键技术研究》同时与高校,企业产学研结合,组成十余人的项目组,开展面向行业信息安全等级保护测评调研,编制了《交通运输行业重要业务系统等级保护定级指南》有效降低了交通运输行业异构问题带来的IT风险隐患,确保业务应用安全有序开展,同时有利于真正落实等级保护管理,技术,运行的具体制度,为交通运输行业信息安全建设提供具体指导意见和参考方法,有效提升交通运输行业服务国家,社会的能力,具有深远的行业影响和巨大的社会效益。
信息安全工作是交通运输信息化健康,持续发展的根本保障,也是交通运输信息化发展的短板。通过前期调研发现,交通运输行业基础网络和重要信息系统面临的安全风险和资深脆弱性十分突出。针对普遍信息存在的信息孤岛现象,项目组首先解决的是制定适应交通运输行业的安全技术防护手段。通过开展行业可信安全环境技术体系框架研究,开发跨域身份认证交互,一体化配置基线等关键技术,编制了行业可信应用环境技术指南,并建立行业信息安全等级保护功能复合型检测支撑体系,保证了交通运输行业重要业务系统的安全和可信。
另一项重要工作是完善交通运输行业检测手段,项目组开展了针对行业重要业务系统安全功能符合性检测关键技术研究,自主研发了行业信息安全安全监测平台,和交通运输行业网络和信息安全监测专用工具箱,通过对行业五十余家单位的一百五十余个信息系统进行了远程和现场检测,共计发现存在的安全问题的系统百余个,发现安全漏洞一万余个,其中高危漏洞200多个,检测工具的使用促进了行业整体安全防护能力的防护水平的提升,预防和减少重大信息安全事件和网络失泄密事件的发生。
对行业有关单位的网络和重要信息系统安全情况进行摸底和检查,实现了常态化的行业信息安全风险监测能力,为研究成果的推广普及奠定了坚实的技术基础。
然而目前行业信息安全尚难做到与系统建设同步,导致交通运输系统整体防御和纵深防御体系依然比较薄弱,物理隔离不到位,业务逻辑存在缺陷,依然普遍存在,交通运输行业基础信息网络点数众多,也容易导致网络中一个环节出现问题,整个网络都不在安全。构建完善的行业安全保障体系,必将成为交通运输行业信息化建设工作的重点任务之一。
下一篇:让网络安全之花永远绽放