|
|
|

国家测绘地舆信息局作业室:测绘地舆信息网络安全作业调研陈述

国家测绘地舆信息局作业室:测绘地舆信息网络安全作业调研陈述 党的十八大以来,以习近平同志为中心的党中央把网络安全作业放在党和国家作业大局和战略高度来策划布置,总书记屡次就网络安全作业作出重要指示、宣布重要讲话。《网络安全法》于2016年11...

作者:测绘展开研讨中心来历:测绘展开研讨中心|2017年09月06日

 

国家测绘地舆信息局作业室:测绘地舆信息网络安全作业调研陈述

党的十八大以来,以习近平同志为中心的党中央把网络安全作业放在党和国家作业大局和战略高度来策划布置,总书记屡次就网络安全作业作出重要指示、宣布重要讲话。《网络安全法》于2016117日获全国人大审议经过,将于201761日正式施行,国家层面也相继出台了《国家网络空间安全战略》、《十三五国家网络安全规划》等一系列重要辅导性文件。为遵循履行国家网络安全全体规划要求,全面总结评价我国测绘地舆信息体系网络安全作业实践状况,找准限制网络安全建造展开的杰出问题,为后续树立网络安全作业长效机制及加强职业网络安全作业的统筹规划和顶层规划打下坚实的根底,根据局2016年度调研方案,局作业室在全国规模内展开了测绘地舆信息网络安全作业调研。

一、调研概略

调研首要环绕测绘地舆信息网络安全作业现状、当时网络安全作业中存在的杰出问题、加强和改善网络安全作业的对策主张等内容进行。为圆满完结调研使命,局作业室拟定了详尽的作业方案,采纳书面调研和现场调研相结合的办法进行,4月份面向调研目标正式印发文件《关于展开网络安全作业调研的告诉》。本次调研首要环绕以下几方面展开:一是调研测绘地舆信息网络安全有关方针、规范、办理体系建造状况,以及网络安全相关办理形式、保证办法、应急机制等状况。二是调研国家局及直属事业单位、省局两个层级的网络安全有关作业展开的状况、存在的首要问题及限制要素。首要触及网络安全办理作业安排现状和网络安全从业人员状况、非涉密网络信息体系建造现状(包含信息体系等级维护作业展开状况、互联网接入现状等)、网络安全日常办理及防护状况(包含网络鸿沟安全防护状况、互联网网站安全防护状况、电子邮件安全防护状况及终端核算机安全防护状况等)、网络安全运转维护及办理状况(包含网络安全应急办理、网络安全教育训练、网络安全经费投入等);三是摸清网络安全作业面对的首要问题及危险;四是听取各方面对下一步展开测绘地舆信息网络安全作业的主张。

调研组先后赴江苏、四川、河北等地展开现场调研,以举行座谈会与实地查看相结合的办法,了解当地测绘地舆信息网络安全现状,听取网络安全作业汇报及有关定见主张,展开掩盖全体系的网络安全作业联络员机制建造,全面摸清各单位分担网络安全作业的领导、网络安全办理和作业安排设置及有关担任人信息,并凭借举行全体系网络安全事务训练班要害,与部分调研目标进行了现场沟通交流。本次调研共面向56家单位展开,包含各省、自治区、直辖市、方案单列市测绘地舆信息行政主管部分,新疆生产建造兵团测绘地舆信息主管部分合计37家,北京市测绘规划研讨院、天津市测绘院、内蒙古自治区测绘地舆信息局、上海市测绘院、安徽省测绘局、山东省测绘院合计6家,局所属事业单位13家(未包含北戴河休养院和我国测绘学会),因西藏局没有开设互联网门户网站,上海规土局和安徽省疆土厅提出以上海市测绘院和安徽省测绘局反应数据为准,宣扬中心、审必威现金回扣中心、展开中心、职鉴中心、质检中心、机关服务中心6家均依托局管信中心建造运维的国家局网络根底设施展开作业,因而终究实践共收到47家单位的书面反应,但有关网络安全办理及作业安排设置的根本信息则完结了全掩盖。从反应的状况看,数据根本真实有用,包含面广,具有参阅研讨价值,局作业室安排对数据进行了仔细的核算剖析,整理经历做法,剖析问题原因,提出对策办法,终究构成本次测绘地舆信息网络安全作业调研陈述。

二、测绘地舆信息网络安全作业现状

(一)调研单位根本状况

1.网络安全办理安排状况

调研数据显现,绝大部分单位网络安全办理安排设在作业室(归纳处)等归纳部分,共到达45家,占比到达80%,还有11家设在科技处、财政处等其他部分,占比20%。但因为网络安全相对归于比较新式的作业,绝大部分单位并没有以正式文件清晰网络安全办理安排,根本是连续之前信息化或保密作业的办理安排,遍及存在网络安全办理责任不清楚、责任不履行等问题。

2.网络安全作业安排状况

调研数据显现,绝大部分单位网络安全作业安排设在单位部属各类信息中心,包含地舆信息中心、资源信息中心、办理信息中心等,共到达36家,占比64%,设在作业室等归纳部分的6家,首要是触及规划较小没有独立机房的局属有关单位,还有14家设在科技处、事务处、档案馆、生产院等其他部分或单位。与网络安全办理安排设置相似,绝大部分单位也都没有以正式文件清晰网络安全作业安排,根本是连续之前的信息化作业安排,也遍及存在责任不清楚、责任不履行等问题。

3.网络安全从业人员状况

调研数据显现,到20167月底全国测绘地舆信息体系网络安全从业人员总数为321人,其间专职人员140人,兼职人员181人,专职人员占比为43.6%,并且专职人员网络安全专业布景很少,绝大部分为测绘、地舆信息、核算机相关专业布景。短少专职网络安全从业人员是全体系网络安全作业中的短板之一,培育或引入专职网络安全办理人员已成为燃眉之急。

(二)非涉密网络及信息体系状况

1.非涉密信息体系网络安全等级维护作业展开状况

调研数据显现,绝大部分单位没有正式发动信息体系网络安全等级维护作业,短少三分之一的省份曾收到过省内公安或网信部分下发的关于展开网络安全等级维护作业的文件,各单位上报的208个在用非涉密信息体系中,仅有92个展开了定级存案作业,完结整改测评的51个,且多为规划、疆土部分,已完结测评体系中,三级体系占18个,二级体系32个,全体系网络安全等级维护作业严峻滞后。

必威现金回扣1 非涉密网络信息体系整改测评完结状况

2.互联网接入状况

调研数据显现,完结互联网双链路及以上接口接入的为31家,单链路接入的16家,仍有近三分之一的单位没有完结备用链路,一旦现有链路呈现毛病,则全体网络拜访互联网将呈现瘫痪。,

从接入带宽看,有37家到达100M及以上,100M以下带宽有10家。其间,重庆测绘院、新疆兵团疆土局、天津规划局等部分单位带宽在10M及以下,应该说在当时互联网如此兴旺条件下,很难满意日常作业需求。

必威现金回扣2各单位接入带宽状况

(三)网络安全日常办理状况

日常运维办理是保证网络根底环境和信息体系杰出运转、信息安全办理准则严厉履行、单位健康展开的一项根本保证。在本次调研中,首要针对人员办理、财物办理、运转维护办理、网络安全规划等方面进行了解排查,了解测绘地舆信息体系网络安全办理水平现状。

经过对47家单位的调研上报数据进行剖析,进行以下10个方面的核算(必威现金回扣3):

必威现金回扣3各单位网络安全日常办理状况

调研数据显现,97.9%的单位已树立重要岗位网络安全责任准则并和重要岗位人员签定安全保密协议,93.6%的单位已树立人员离岗离任安全办理规则及外部人员拜访机房等重要区域批阅准则,一切单位已树立财物办理准则,74.5%的单位拟定设备修理维护和作废准则, 93.6%的单位已树立日常运维准则,80.9%的单位已拟定运转维护手册,66.0%的单位具有完好运转维护操作记载,90.9%的单位拟定了网络安全规划。

根据实地调研了解,绝大部分单位虽签定了安全保密协议并树立相关准则,但大都安全办理准则为运维部分内部整理拟定,并未以单位正式文件印发,且准则内容不少是为了敷衍上级查看,遍及存在可操作性不强、未严厉履行等问题。实践作业中网络安全办理仍处于不行注重,乃至无人问津的状况,以事端促整改、以查看促履行的现象遍及存在。

(四)网络安全防护状况

1.网络鸿沟安全防护状况

网络鸿沟防护设备首要包含防火墙、侵略检测设备、安全审计设备、防病毒网关、抗拒绝服务进犯设备等。各单位详细布置状况如必威现金回扣4所示:

 

必威现金回扣4各单位网络鸿沟防护设备布置状况

47家单位中,防火墙设备布置率为95.7%,侵略检测设备布置率为78.7%,安全审计设备布置率为72.3%,防病毒网关布置率为46.8%,抗拒绝服务进犯设备布置率仅为34.0%。经核算,采纳三种及以上防护办法的共34家单位,采纳两种防护办法的有7家,仅采纳一种防护办法的有6家。大都单位采纳的安全防护办法仅局限于一般的防火墙、侵略检测、防病毒等软硬件,对抵挡当时抗拒绝服务进犯的设备布置较少,应对当时干流网络进犯手法的才能严峻短少。

除以上安全硬件布置外,各单位在设备安全战略装备和网络拜访日志留存方面的状况如必威现金回扣5所示:

必威现金回扣5各单位网络鸿沟防护战略状况

 

尽管绝大部分单位都装备了设备安全战略,但根据实地调研了解,大都设备仅是购买装置时装备了相应安全战略,后期很少根据网络及运用环境的改变来及时进行战略调整,一起对安全设备的拜访日志遍及注重短少,未能充分发挥网络安全设备的功效。

2.门户网站安全防护状况

必威现金回扣6-1 各单位网站安全防护状况

 

必威现金回扣6-2 各单位网站安全防护状况

调研数据显现,83.0%的单位门户网站采纳了网页防篡改办法,87.2%进行了定时或不定时的缝隙扫描,除1家外均已树立信息发布办理准则。运维办法上,31.9%的单位委托了第三方进行办理运维。在域名解析体系建造上,83.0%的单位委托了第三方建造办理。据实地调研了解,大部分单位尽管在网站安全防护方面采纳了必定办法并树立相应准则,但在信息发布的保密查看及挂号准则方面履行的还不行严厉,一起遍及对部属二级单位或部分网站统筹规划不行,短少会集办理办法,存在网站小而散、技能防护办法单薄等问题,

3.电子邮件安全防护状况

调研数据显现,共有26家单位具有自己独立域名的互联网电子邮件体系,占比55%,其间,自行建造的有7家,运用第三方邮件渠道的有19家,注册账号数量超越100个的有13家。电子邮件注册办理方面,有24家需经批阅后注册,2家可任意注册。在电子邮件安全口令办理方面,有20家对登录口令设置及长度等采纳了相应办法,6家无任何有用办法。据实地调研了解,跟着QQ、微信等交际媒体的广泛运用,现在电子邮件运用率呈递减趋势,有的作业人员因忧虑单位账号被监控而转为运用个人邮箱收发作业邮件的现象遍及存在,还有的账号存在自注册之日起便没有用过的现象,初始口令没有修正,很简单被黑客和不良存心的人员破解,适当部分用户账号成为僵尸账号,或许遭破解后被使用作为跳板对外群发垃圾邮件,安全隐患严峻。

4.终端核算机安全防护状况

必威现金回扣7终端核算机安全防护状况

调研数据显现,68.1%的单位对核算机终端进行了一致办理,80.9%的单位对核算机终端接入互联网采纳了安全控制办法,72.3%的单位对核算机终端接入作业体系采纳了安全控制办法。但据实地调研了解,现在的会集一致办理和安全控制办法还十分开始,首要体现在设备一致收购分发、一致装置防病毒及360安全卫士软件、设备修理一致由某个部分承当等,像操作体系补丁会集分发、USB端口会集管控、使用域控制器完结用户会集身份认证等办法在绝大部分单位还没有完结,此外在办理形式上还遍及存在终端办理松懈、敞开无线接入通道及MAC地址未与IP地址绑定等问题。

(五)网络安全应急作业状况

网络安全应急作业根本可分为拟定应急预案、定时应急演练、应急援助部队建造以及灾祸备份办法四个方面,其间应急预案和应急演练进程是相照应的,关于每次应急演练中得出的经历和短少都必须作为应急预案修订的输入,以此来作为改善完善应急预案的重要根据。

调研数据显现,共有44家单位已拟定网络安全应急预案,约占上报单位总数的93.6%;但有28家单位近一年未展开网络安全应急演练,约占上报单位总数的60%;已树立重要信息体系数据备份机制的45家,约占上报单位总数的95.7%。详细状况如必威现金回扣8所示:

必威现金回扣8 网络安全应急办理状况剖析必威现金回扣

据实地调研了解,尽管绝大大都单位拟定了网络安全应急预案,但很少有单位根据网络安全形势改变对应急预案进行及时评价和修订,超越对折单位近一年未展开应急演练。在已展开演练的单位中,遍及存在演练不规范、进程记载不全、走过场等问题。

调研数据显现,共45家单位有应急技能援助部队。其间,依托本身所属单位展开技能援助的有34家,约占上报单位总数的72.3%;依托外部专业技能部队展开援助的有11家,约占上报单位总数的23.4%。没有援助部队的有2家,约占上报单位总数的4.3%。概况如必威现金回扣9所示。

必威现金回扣9 应急技能援助部队结构散布必威现金回扣

(六)网络安全教育与经费投入状况

1.网络安全教育训练状况

调研数据显现,近三年已展开网络安全教育训练的单位有41家,占上报单位总数的 87.2%,但据实地调研了解, 现在网络安全教育训练大多是针对网络安全专业技能人员,面向全体作业人员进行网络安全意识教育的十分少,已有训练中有适当一部分为各网络安全厂商举行的产品发布会或技能论坛,训练效果差强人意,由测绘地舆信息部分自行安排并结合职业特色的网络安全训练班偏少。

2.网络安全预算经费与实践投入状况

调研数据显现,2015年度有网络安全预算的单位有38家,占上报单位总数的80.9%,其间,10万元以下的有11家单位,10万元及至30万元有9家单位,30万元及至50万元有4家单位,50万元以上有14家单位,没有预算的单位有9家。资金到位的有33家,占上报单位总数的70.2%

2016年度有网络安全预算的单位有41家,占上报单位总数的87.2%,其间,10万元以下的有12家单位,10万元至30万元有9家单位,30万元至50万元有5家单位,50万元以上有15家单位,没有预算的单位有6家。

必威现金回扣10 2015-2016年网络安全预算经费状况

2016年网络安全预算经费在本单位信息化建造中占比状况如必威现金回扣11所示:

必威现金回扣11 网络安全预算经费占信息化建造份额

从以上数据能够看出,各单位的网络安全经费预算与实践网络安全投入状况仍有必定距离,并且据实地调研了解,许多单位往往将网站运营、体系维护、硬件更新等项目开销核算在内,真实用于网络安全设备置办及运维方面的费用严峻短少,绝大大都单位网络安全的预算经费占信息化建造费用不到10%

三、测绘地舆信息网络安全面对的首要问题及危险

经过此次调研作业,能够看出测绘地舆信息体系各单位在网络安全建造方面现已具有必定的根底,在准则建造、日常运维办理、人才培育、装备投入等方面获得了必定的效果和成果。但对照国家网络安全的全体要求,测绘地舆信息网络安全有关作业尚处于起步阶段,各级单位的网络安全办理作业各自为营、展开纷歧,在办理体系、技能规范、作业掩盖面、要点环节掌握和智力支撑等方面还存在较大距离,详细表现为:

1.对网络安全重要性知道不到位

从调研的全体状况看,绝大大都单位没有树立清楚的网络安全责任体系,准则不健全、安全责任不履行、作业功能和责任分工不清楚等问题较为杰出,网络安全安排设置、软硬件装备、人员装备等根底保证短少,办理作业不到位,安全隐患不能及时发现。现有从事网络安全的作业人员绝大部分都为兼职,既懂方针又懂技能的专业人才严峻匮乏,难以承当杂乱的网络安全办理作业,各单位遍及存在重技能、轻办理的现象。一些单位对网络安全的内容、鸿沟和或许构成的结果知道不清,一些领导对网络安全不知情、不注重的现象较为遍及,在网络安全方面的资金投入也严峻短少,难以有用保证网络安全。

2.网络安全技能防护水平全体单薄

根据调研数据看,各地在根底网络、门户网站和六合必威现金回扣等要害信息根底设施的安全维护投入首要还停留在传统的防火墙、侵略检测等设备,短少立体的归纳防护体系,难以抵挡有安排的、继续性的进犯,自动发现及自动防护才能差,大数据及中心数据维护才能不强。各单位已有的应急预案可操作性较差,短少安排应急演练,容灾体系短少实战检测。此外,网络设备、服务器、存储设备等根底设施国产化率遍及偏低,特别是操作体系、数据库等根底软件国产化率还短少3%,因为技能展开缓慢等要素过多依靠国外品牌根底设施,导致在网络安全根底设施要害范畴中存在安全隐患,对信息安全防护才能构成了巨大应战。

3. 部分要点作业推进滞后

一是网络安全等级维护作业滞后。根据调研数据看,现在国家局及省级部分建造的208个非涉密信息体系中,仅有92个展开了定级存案作业,不少地方连门户网站和六合必威现金回扣网站都还没有展开定级存案作业,完结整改测评的短少上报信息体系总数的25%。在等级维护定级作业中,短少职业定级存案、危险评价、规划规划、安全整改、等级测评、安全监控、应急呼应等方面的建造技能规范;存在对重要事务体系底数整理不精确、定级规范掌握不充分、定级目标确认不合理、等级区分不精确、误(漏)定、存案不及时等现象。二是安全监测预警及信息通报作业还处于刚起步阶段。网络安全监测作业首要跟着网络安全查看使命暂时展开,没有构成常态化机制,预警作业没有正式发动,短少相应的技能支撑手法,网络安全信息搜集、剖析才能单薄,信息通报作业的内容和规模还比较单一。

4.职业统筹和一致规划力度不行

多年来,测绘地舆信息网络安全作业因为短少顶层规划和一致布置,遍及存在自己定需求,自己找资金、自己干项目的现象,不同建造时期、不同需求导向、不同开发工具、不同技能结构建造的各级重要事务体系构成了职业异构、杂乱、广泛的体系状况。一是现在职业对网络安全需求还没有全体整理,层级定位、体系构建、推进形式还较为含糊,短少全体规划和统筹布置,对树立网络安全准则规范、推进网络安全等级维护、规范一致信息体系办理等构成了限制。一起,在信息化建造项现在期规划、建造需求和运维阶段,短少对网络安全保证等的考虑,资金无法得到有用保证。二是国家方针清晰要求各主管部分对职业的网络安全作业进行催促、查看、辅导,但现在的作业规模首要仍是面向国家局机关及直属单位,对全体系网络安全作业短少顶层规划和一致规划,在安排设置、人员装备、机制及才能建造等方面全体考虑和统筹的不行,没有树立掩盖全国的通报预警机制和严重网络安全事情事端处置机制。对职业的辅导监督力度较弱,短少面向全体系的催促、查看等作业机制,还没有做到测绘地舆信息体系网络安全办理全国一盘棋。

四、改善测绘地舆信息网络安全作业的对策主张

十二五以来,测绘地舆信息部分的信息化建造获得长足展开,根本包含了测绘地舆信息职业的重要事务办理和公共服务、行政许可、信誉体系、市场监管、协同作业、决议计划支撑等各方面运用,事务范畴广、面向层级多,职业办理和公共服务对地舆信息资源和信息体系的依存度越来越高,为保证网络根底环境、门户网站、六合必威现金回扣、各类重要事务体系等要害信息根底设施运转顺利,网络安全已成为重中之重。根据国家对网络安全作业的一系列新要求,针对测绘地舆信息职业特色,结合调研数据,对往后一个时期测绘地舆信息部分怎么展开网络安全作业提出如下主张:

1. 进一步完善办理体制

充分发挥国家局网络安全和信息化领导小组的效果,实在保证全国测绘地舆信息体系网络安全作业从顶层上的一致领导,加强对全体系网络安全严重问题、展开战略、长远规划及重要事项的统筹和谐。一起清晰局网信领导小组办事安排的详细责任、人员组成及有关分工,担任履行局网信领导小组关于网络安全作业的各项决议和作业布置,统筹策划、和谐辅导和安排施行全体系网络安全作业,正确知道展开和安全的联系,强化问题导向,着力补齐短板,加强全体系网络安全作业联络员部队机制建造,保证信息疏通、上下协同。辅导体系内单位健全网络安全办理机制,各省局要依照属地办理准则强化网络安全办理责任,各单位要清晰网络安全办理责任部分,履行网络安全办理人员,并做好责任分化和履行。

2. 强化技能防护才能建造

要以全面履行网络安全等级维护准则为中心,实在进步网络安全防护才能,严厉依照等级维护建造规范,对未定级的体系赶快展开定级存案作业,已定级但未测评的信息体系及时进行测评和整改。对新建网络要严厉遵循网络建造与安全防护同步规划、同步展开、同步检验的机制,并策划好运维进程中的安全保证作业。当令筹建测绘地舆信息职业信息安全等级维护测评中心。加大网络安全投入,加强专业技能部队建造,依照等级维护规范配齐网络安全设备,合理装备网络安全防护战略,加大网络安全资金投入,保证测绘地舆信息要害信息根底设施的安全。树立安全保密继续监管和运维体系,进步信息安全管控和运维办理水平。树立掩盖全体系的网络安全信息通报和预警机制,树立严重网络安全事情陈述机制和应急处置机制,实在进步对网络安全事情的快速应对才能。

3.加大辅导和监管力度

加大对全体系网络安全作业的辅导和统筹,以国家法律、方针和规范为根据,赶快出台辅导全体系网络安全作业展开的方针性文件及有关规范,加大监察督办力度,不断完善常态化的监监察看形式,要点对各单位中心网络根底设施、门户网站、六合必威现金回扣网站和其他安全维护等级确认为三级的重要信息体系以及涉密信息体系进行安全监管。强化网络安全作业查核和追责,坚持谁主管谁担任、谁运维谁承当的准则,实在区分好信息体系办理、运维单位的网络安全办理责任,清晰对运维单位的安全办理要求,加强安全监管,保证网络安全作业不留死角。继续加强网络安全教育训练力度,进步全职业广阔干部职工的网络安全意识和维护网络安全的自觉性与自动性。

上一篇:我国不动产测绘调研陈述

下一篇:国家测绘地舆信息局疆土测绘司:不动产测…