国家测绘地理信息局办公室
党的十八大以来,以习近平同志为核心的党中央把网络安全工作放在党和国家工作全局和战略高度来谋划部署,总书记多次就网络安全工作作出重要指示、发表重要讲话。《网络安全法》于2016年11月7日获全国人大审议通过,将于2017年6月1日正式实施,国家层面也相继出台了《国家网络空间安全战略》、《“十三五”国家网络安全规划》等一系列重要指导性文件。为贯彻落实国家网络安全整体规划要求,全面总结评估我国测绘地理信息系统网络安全工作实际情况,找准制约网络安全建设发展的突出问题,为后续建立网络安全工作长效机制及加强行业网络安全工作的统筹规划和顶层设计打下坚实的基础,根据局2016年度调研计划,局办公室在全国范围内开展了测绘地理信息网络安全工作调研。
一、调研概况
调研主要围绕测绘地理信息网络安全工作现状、当前网络安全工作中存在的突出问题、加强和改进网络安全工作的对策建议等内容进行。为圆满完成调研任务,局办公室制定了翔实的工作方案,采取书面调研和现场调研相结合的方式进行,4月份面向调研对象正式印发文件《关于开展网络安全工作调研的通知》。本次调研主要围绕以下几方面开展:一是调研测绘地理信息网络安全有关政策、标准、管理体系建设情况,以及网络安全相关管理模式、保障措施、应急机制等情况。二是调研国家局及直属事业单位、省局两个层级的网络安全有关工作开展的情况、存在的主要问题及制约因素。主要涉及网络安全管理工作机构现状和网络安全从业人员情况、非涉密网络信息系统建设现状(包括信息系统等级保护工作开展情况、互联网接入现状等)、网络安全日常管理及防护情况(包括网络边界安全防护情况、互联网网站安全防护情况、电子邮件安全防护情况及终端计算机安全防护情况等)、网络安全运行维护及管理情况(包括网络安全应急管理、网络安全教育培训、网络安全经费投入等);三是摸清网络安全工作面临的主要问题及风险;四是听取各方面对下一步开展测绘地理信息网络安全工作的建议。
调研组先后赴江苏、四川、河北等地开展现场调研,以召开座谈会与实地查看相结合的方式,了解当地测绘地理信息网络安全现状,听取网络安全工作汇报及有关意见建议,开展覆盖全系统的网络安全工作联络员机制建设,全面摸清各单位分管网络安全工作的领导、网络安全管理和工作机构设置及有关负责人信息,并借助举办全系统网络安全业务培训班契机,与部分调研对象进行了现场沟通交流。本次调研共面向56家单位开展,包括各省、自治区、直辖市、计划单列市测绘地理信息行政主管部门,新疆生产建设兵团测绘地理信息主管部门共计37家,北京市测绘设计研究院、天津市测绘院、内蒙古自治区测绘地理信息局、上海市测绘院、安徽省测绘局、山东省测绘院共计6家,局所属事业单位13家(未包含北戴河休养院和中国测绘学会),因西藏局没有开设互联网门户网站,上海规土局和安徽省国土厅提出以上海市测绘院和安徽省测绘局反馈数据为准,宣传中心、审图中心、发展中心、职鉴中心、质检中心、机关服务中心6家均依托局管信中心建设运维的国家局网络基础设施开展工作,因此最终实际共收到47家单位的书面反馈,但有关网络安全管理及工作机构设置的基本信息则实现了全覆盖。从反馈的情况看,数据基本真实有效,涵盖面广,具有参考研究价值,局办公室组织对数据进行了认真的统计分析,梳理经验做法,剖析问题原因,提出对策措施,最终形成本次测绘地理信息网络安全工作调研报告。
二、测绘地理信息网络安全工作现状
(一)调研单位基本情况
1.网络安全管理机构情况
调研数据显示,绝大部分单位网络安全管理机构设在办公室(综合处)等综合部门,共达到45家,占比达到80%,另有11家设在科技处、财务处等其他部门,占比20%。但由于网络安全相对属于比较新兴的工作,绝大部分单位并没有以正式文件明确网络安全管理机构,基本是延续之前信息化或保密工作的管理机构,普遍存在网络安全管理职责不明晰、责任不落实等问题。
2.网络安全工作机构情况
调研数据显示,绝大部分单位网络安全工作机构设在单位下属各类信息中心,包括地理信息中心、资源信息中心、管理信息中心等,共达到36家,占比64%,设在办公室等综合部门的6家,主要是涉及规模较小没有独立机房的局属有关单位,另有14家设在科技处、业务处、档案馆、生产院等其他部门或单位。与网络安全管理机构设置类似,绝大部分单位也都没有以正式文件明确网络安全工作机构,基本是延续之前的信息化工作机构,也普遍存在职责不明晰、责任不落实等问题。
3.网络安全从业人员情况
调研数据显示,截至2016年7月底全国测绘地理信息系统网络安全从业人员总数为321人,其中专职人员140人,兼职人员181人,专职人员占比为43.6%,而且专职人员网络安全专业背景极少,绝大部分为测绘、地理信息、计算机相关专业背景。缺乏专职网络安全从业人员是全系统网络安全工作中的短板之一,培养或引进专职网络安全管理人员已成为当务之急。
(二)非涉密网络及信息系统情况
1.非涉密信息系统网络安全等级保护工作开展情况
调研数据显示,绝大部分单位尚未正式启动信息系统网络安全等级保护工作,不足三分之一的省份曾收到过省内公安或网信部门下发的关于开展网络安全等级保护工作的文件,各单位上报的208个在用非涉密信息系统中,仅有92个开展了定级备案工作,完成整改测评的51个,且多为规划、国土部门,已完成测评系统中,三级系统占18个,二级系统32个,全系统网络安全等级保护工作严重滞后。
2.互联网接入情况
调研数据显示,实现互联网双链路及以上接口接入的为31家,单链路接入的16家,仍有近三分之一的单位没有实现备用链路,一旦现有链路出现故障,则整体网络访问互联网将出现瘫痪。,
从接入带宽看,有37家达到100M及以上,100M以下带宽有10家。其中,重庆测绘院、新疆兵团国土局、天津规划局等部分单位带宽在10M及以下,应该说在当前互联网如此发达条件下,很难满足日常办公需求。
(三)网络安全日常管理情况
日常运维管理是确保网络基础环境和信息系统良好运行、信息安全管理制度严格落实、单位健康发展的一项基本保证。在本次调研中,主要针对人员管理、资产管理、运行维护管理、网络安全规划等方面进行摸底排查,了解测绘地理信息系统网络安全管理水平现状。
通过对47家单位的调研上报数据进行分析,进行以下10个方面的统计(图3):
调研数据显示,97.9%的单位已建立重要岗位网络安全责任制度并和重要岗位人员签订安全保密协议,93.6%的单位已建立人员离岗离职安全管理规定及外部人员访问机房等重要区域审批制度,所有单位已建立资产管理制度,74.5%的单位制定设备维修维护和报废制度, 93.6%的单位已建立日常运维制度,80.9%的单位已制定运行维护手册,66.0%的单位具有完整运行维护操作记录,90.9%的单位制定了网络安全规划。
根据实地调研了解,绝大部分单位虽签订了安全保密协议并建立相关制度,但多数安全管理制度为运维部门内部梳理制定,并未以单位正式文件印发,且制度内容不少是为了应付上级检查,普遍存在可操作性不强、未严格执行等问题。现实工作中网络安全管理仍处于不够重视,甚至无人问津的状态,“以事故促整改、以检查促落实”的现象普遍存在。
(四)网络安全防护情况
1.网络边界安全防护情况
网络边界防护设备主要包括防火墙、入侵检测设备、安全审计设备、防病毒网关、抗拒绝服务攻击设备等。各单位具体部署情况如图4所示:
在47家单位中,防火墙设备部署率为95.7%,入侵检测设备部署率为78.7%,安全审计设备部署率为72.3%,防病毒网关部署率为46.8%,抗拒绝服务攻击设备部署率仅为34.0%。经统计,采取三种及以上防护措施的共34家单位,采取两种防护措施的有7家,仅采取一种防护措施的有6家。多数单位采取的安全防护措施仅局限于普通的防火墙、入侵检测、防病毒等软硬件,对抵御当前抗拒绝服务攻击的设备部署较少,应对当前主流网络攻击手段的能力严重不足。
除以上安全硬件部署外,各单位在设备安全策略配置和网络访问日志留存方面的情况如图5所示:
虽然绝大部分单位都配置了设备安全策略,但根据实地调研了解,多数设备仅是购买安装时配置了相应安全策略,后期很少根据网络及应用环境的变化来及时进行策略调整,同时对安全设备的访问日志普遍关注不足,未能充分发挥网络安全设备的效用。
2.门户网站安全防护情况
调研数据显示,83.0%的单位门户网站采取了网页防篡改措施,87.2%进行了定期或不定期的漏洞扫描,除1家外均已建立信息发布管理制度。运维方式上,31.9%的单位委托了第三方进行管理运维。在域名解析系统建设上,83.0%的单位委托了第三方建设管理。据实地调研了解,大部分单位虽然在网站安全防护方面采取了一定措施并建立相应制度,但在信息发布的保密审查及登记制度方面执行的还不够严格,同时普遍对下属二级单位或部门网站统筹规划不够,缺少集中管理措施,存在网站小而散、技术防护措施薄弱等问题。
3.电子邮件安全防护情况
调研数据显示,共有26家单位拥有自己独立域名的互联网电子邮件系统,占比55%,其中,自行建设的有7家,使用第三方邮件平台的有19家,开通账号数量超过100个的有13家。电子邮件注册管理方面,有24家需经审批后注册,2家可任意注册。在电子邮件安全口令管理方面,有20家对登录口令设置及长度等采取了相应措施,6家无任何有效措施。据实地调研了解,随着QQ、微信等社交媒体的广泛应用,目前电子邮件使用率呈递减趋势,有的工作人员因担心单位账号被监控而转为使用个人邮箱收发工作邮件的现象普遍存在,还有的账号存在自开通之日起便没有用过的现象,初始口令没有修改,很容易被黑客和不良居心的人员破解,相当部分用户账号成为僵尸账号,或者遭破解后被利用作为跳板对外群发垃圾邮件,安全隐患严重。
4.终端计算机安全防护情况
调研数据显示,68.1%的单位对计算机终端进行了统一管理,80.9%的单位对计算机终端接入互联网采取了安全控制措施,72.3%的单位对计算机终端接入办公系统采取了安全控制措施。但据实地调研了解,目前的集中统一管理和安全控制措施还非常初步,主要体现在设备统一采购分发、统一安装防病毒及360安全卫士软件、设备维修统一由某个部门承担等,像操作系统补丁集中分发、USB端口集中管控、利用域控制器实现用户集中身份认证等措施在绝大部分单位还尚未实现,此外在管理形式上还普遍存在终端管理松散、开放无线接入通道及MAC地址未与IP地址绑定等问题。
(五)网络安全应急工作情况
网络安全应急工作基本可分为制定应急预案、定期应急演练、应急支援队伍建设以及灾难备份措施四个方面,其中应急预案和应急演练过程是相呼应的,对于每次应急演练中得出的经验和不足都必须作为应急预案修订的输入,以此来作为改进完善应急预案的重要依据。
调研数据显示,共有44家单位已制定网络安全应急预案,约占上报单位总数的93.6%;但有28家单位近一年未开展网络安全应急演练,约占上报单位总数的60%;已建立重要信息系统数据备份机制的45家,约占上报单位总数的95.7%。具体情况如图8所示:
据实地调研了解,虽然绝大多数单位制定了网络安全应急预案,但很少有单位根据网络安全形势变化对应急预案进行及时评估和修订,超过半数单位近一年未开展应急演练。在已开展演练的单位中,普遍存在演练不规范、过程记录不全、走过场等问题。
调研数据显示,共45家单位有应急技术支援队伍。其中,依托自身所属单位开展技术支援的有34家,约占上报单位总数的72.3%;依托外部专业技术队伍开展支援的有11家,约占上报单位总数的23.4%。没有支援队伍的有2家,约占上报单位总数的4.3%。详情如图9所示。
(六)网络安全教育与经费投入情况
1.网络安全教育培训情况
调研数据显示,近三年已开展网络安全教育培训的单位有41家,占上报单位总数的 87.2%,但据实地调研了解, 目前网络安全教育培训大多是针对网络安全专业技术人员,面向全体工作人员进行网络安全意识教育的非常少,已有培训中有相当一部分为各网络安全厂商举办的产品发布会或技术论坛,培训效果差强人意,由测绘地理信息部门自行组织并结合行业特点的网络安全培训班偏少。
2.网络安全预算经费与实际投入情况
调研数据显示,2015年度有网络安全预算的单位有38家,占上报单位总数的80.9%,其中,10万元以下的有11家单位,10万元及至30万元有9家单位,30万元及至50万元有4家单位,50万元以上有14家单位,没有预算的单位有9家。资金到位的有33家,占上报单位总数的70.2%。
2016年度有网络安全预算的单位有41家,占上报单位总数的87.2%,其中,10万元以下的有12家单位,10万元至30万元有9家单位,30万元至50万元有5家单位,50万元以上有15家单位,没有预算的单位有6家。
2016年网络安全预算经费在本单位信息化建设中占比情况如图11所示:
从以上数据可以看出,各单位的网络安全经费预算与实际网络安全投入情况仍有一定差距,而且据实地调研了解,很多单位往往将网站运营、系统维护、硬件更新等项目支出计算在内,真正用于网络安全设备购置及运维方面的费用严重不足,绝大多数单位网络安全的预算经费占信息化建设费用不到10%。
三、测绘地理信息网络安全面临的主要问题及风险
通过此次调研工作,可以看出测绘地理信息系统各单位在网络安全建设方面已经具备一定的基础,在制度建设、日常运维管理、人才培养、装备投入等方面取得了一定的效果和成绩。但对照国家网络安全的总体要求,测绘地理信息网络安全有关工作尚处于起步阶段,各级单位的网络安全管理工作各自为政、进展不一,在管理体系、技术规范、工作覆盖面、重点环节把握和智力支撑等方面还存在较大差距,具体表现为:
1.对网络安全重要性认识不到位
从调研的总体情况看,绝大多数单位没有建立明晰的网络安全责任体系,制度不健全、安全责任不落实、工作职能和责任分工不明晰等问题较为突出,网络安全机构设置、软硬件配备、人员配置等基础保障不足,管理工作不到位,安全隐患不能及时发现。现有从事网络安全的工作人员绝大部分都为兼职,既懂政策又懂技术的专业人才严重匮乏,难以承担复杂的网络安全管理工作,各单位普遍存在重技术、轻管理的现象。一些单位对网络安全的内容、边界和可能造成的后果认识不清,一些领导对网络安全不知情、不重视的现象较为普遍,在网络安全方面的资金投入也严重不足,难以有效保障网络安全。
2.网络安全技术防护水平总体薄弱
根据调研数据看,各地在基础网络、门户网站和天地图等关键信息基础设施的安全保护投入主要还停留在传统的防火墙、入侵检测等设备,缺乏立体的综合防护体系,难以抵御有组织的、持续性的攻击,主动发现及主动防护能力差,大数据及核心数据保护能力不强。各单位已有的应急预案可操作性较差,缺乏组织应急演练,容灾系统缺乏实战考验。此外,网络设备、服务器、存储设备等基础设施国产化率普遍偏低,特别是操作系统、数据库等基础软件国产化率还不足3%,由于技术发展迟缓等因素过多依赖国外品牌基础设施,导致在网络安全基础设施关键领域中存在安全隐患,对信息安全防护能力构成了巨大挑战。
3. 部分重点工作推进滞后
一是网络安全等级保护工作滞后。根据调研数据看,目前国家局及省级部门建设的208个非涉密信息系统中,仅有92个开展了定级备案工作,不少地方连门户网站和天地图网站都还没有开展定级备案工作,完成整改测评的不足上报信息系统总数的25%。在等级保护定级工作中,缺少行业定级备案、风险评估、规划设计、安全整改、等级测评、安全监控、应急响应等方面的建设技术规范;存在对重要业务系统底数梳理不准确、定级标准把握不充分、定级对象确定不合理、级别划分不准确、误(漏)定、备案不及时等现象。二是安全监测预警及信息通报工作还处于刚起步阶段。网络安全监测工作主要随着网络安全检查任务临时开展,没有形成常态化机制,预警工作尚未正式启动,缺少相应的技术支撑手段,网络安全信息收集、分析能力薄弱,信息通报工作的内容和范围还比较单一。
4.行业统筹和统一规划力度不够
多年来,测绘地理信息网络安全工作由于缺乏顶层设计和统一部署,普遍存在“自己定需求,自己找资金、自己干项目”的现象,不同建设时期、不同需求导向、不同开发工具、不同技术结构建设的各级重要业务系统形成了行业异构、复杂、广泛的系统状态。一是目前行业对网络安全需求还没有整体梳理,层级定位、体系构建、推进模式还较为模糊,缺乏总体设计和统筹部署,对建立网络安全制度标准、推动网络安全等级保护、规范统一信息系统管理等形成了制约。同时,在信息化建设项目前期设计、建设需求和运维阶段,缺乏对网络安全保障等的考虑,资金无法得到有效保证。二是国家政策明确要求各主管部门对行业的网络安全工作进行督促、检查、指导,但目前的工作范围主要还是面向国家局机关及直属单位,对全系统网络安全工作缺乏顶层设计和统一规划,在机构设置、人员配备、机制及能力建设等方面整体考虑和统筹的不够,尚未建立覆盖全国的通报预警机制和重大网络安全事件事故处置机制。对行业的指导监督力度较弱,缺乏面向全系统的督促、检查等工作机制,还没有做到测绘地理信息系统网络安全管理全国一盘棋。
四、改进测绘地理信息网络安全工作的对策建议
“十二五”以来,测绘地理信息部门的信息化建设取得长足进展,基本涵盖了测绘地理信息行业的重要业务管理和公共服务、行政许可、信用体系、市场监管、协同办公、决策支持等各方面应用,业务领域广、面向层级多,行业管理和公共服务对地理信息资源和信息系统的依存度越来越高,为保障网络基础环境、门户网站、天地图、各类重要业务系统等关键信息基础设施运行顺畅,网络安全已成为重中之重。根据国家对网络安全工作的一系列新要求,针对测绘地理信息行业特点,结合调研数据,对今后一个时期测绘地理信息部门如何开展网络安全工作提出如下建议:
1. 进一步完善管理体制
充分发挥国家局网络安全和信息化领导小组的作用,切实保证全国测绘地理信息系统网络安全工作从顶层上的统一领导,加强对全系统网络安全重大问题、发展战略、长远规划及重要事项的统筹协调。同时明确局网信领导小组办事机构的具体职责、人员组成及有关分工,负责落实局网信领导小组关于网络安全工作的各项决议和工作部署,统筹谋划、协调指导和组织实施全系统网络安全工作,正确认识发展和安全的关系,强化问题导向,着力补齐短板,加强全系统网络安全工作联络员队伍机制建设,确保信息畅通、上下协同。指导系统内单位健全网络安全管理机制,各省局要按照属地管理原则强化网络安全管理责任,各单位要明确网络安全管理职责部门,落实网络安全管理人员,并做好责任分解和落实。
2. 强化技术防护能力建设
要以全面落实网络安全等级保护制度为核心,切实提高网络安全防护能力,严格按照等级保护建设标准,对未定级的系统尽快开展定级备案工作,已定级但未测评的信息系统及时进行测评和整改。对新建网络要严格贯彻网络建设与安全防护同步规划、同步开展、同步验收的机制,并筹划好运维过程中的安全保障工作。适时筹建测绘地理信息行业信息安全等级保护测评中心。加大网络安全投入,加强专业技术队伍建设,按照等级保护标准配齐网络安全设备,合理配置网络安全防护策略,加大网络安全资金投入,确保测绘地理信息关键信息基础设施的安全。建立安全保密持续监管和运维系统,提升信息安全管控和运维管理水平。建立覆盖全系统的网络安全信息通报和预警机制,建立重大网络安全事件报告机制和应急处置机制,切实提高对网络安全事件的快速应对能力。
3.加大指导和监管力度
加大对全系统网络安全工作的指导和统筹,以国家法律、政策和标准为依据,尽快出台指导全系统网络安全工作开展的政策性文件及有关标准,加大督查督办力度,不断完善常态化的监督检查模式,重点对各单位核心网络基础设施、门户网站、天地图网站和其他安全保护等级确定为三级的重要信息系统以及涉密信息系统进行安全监管。强化网络安全工作考核和追责,坚持“谁主管谁负责、谁运维谁承担”的原则,切实划分好信息系统管理、运维单位的网络安全管理职责,明确对运维单位的安全管理要求,加强安全监管,确保网络安全工作不留死角。继续加强网络安全教育培训力度,提高全行业广大干部职工的网络安全意识和维护网络安全的自觉性与主动性。
声明:本文来自国家测绘地理信息局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。