作者：王建兵

1   前  言

    国土资源信息是全面和准确反映资源状况的数据，是实施国土资源规划、管理、保护和合理利用的基础和依据，是各行各业和社会公众强烈需求的重要资料。国土资源信息化建设以实施金土工程为重点，以国土资源各类数据库为基础，以国土资源信息网络为依托，形成互联互通、贯穿上下的政务管理、决策支持和社会服务信息化体系。目前，国土资源部已经建成了包括网络、应用、服务、开发、数据库和网络管理等平台的较为先进的局域网系统，并且，通过国土资源主干网实现了全国 37个省、自治区、直辖市和计划单列市国土资源厅（局），以及部直属事业单位的网络连接。网络规模的不断扩大和应用系统的日益丰富极大促进了国土资源信息化的发展。因此信息安全需要在国家相关政策与法规的框架下，结合国土资源管理工作实际，逐步建立健全国土资源信息安全保障体系，确保国家、省、市、县四级国土资源政务信息系统上下联动和稳定运行。

2   安全需求

    从国土资源现有的网络和信息系统的结构来看，既要落实国家安全政策，又要实现国土资源业务发展需求，会导致一些突出的矛盾和问题。目前，国土资源部及各省（市、自治区）国土资源厅的网络结构主要由主干网和局域网二部分构成，国土资源部局域网又分为内部局域网和外部局域网，内部局域网和外部局域网之间物理隔离，外部局域网与互联网通过防火墙逻辑隔离，主干网与外部局域网连接，而各级国土资源业务系统主要运行在国土资源内部局域网内，这样，业务系统之间在纵向上无法实现互联互通。同时，由于国土资源政务管理信息系统的运行需要远程调用基础数据，其中绝大部分涉及国家秘密或机密，根据国家保密要求绝对不允许在外网上运行，因此，涉密数据需要双向交换的应用发展需求与网络结构之间的矛盾，已经成为制约国土资源信息化和金土工程发展的最大障碍。此外，包括地政管理、矿政管理、综合业务、综合服务和基础服务等信息在内的国土资源业务和管理信息没有区分涉密与非涉密；各类数据系统和业务应用系统没有严格进行等级划分，针对涉密信息和非涉密信息的规范化程度不够；网络边界划分不清；存储和处理涉密信息的网络和信息系统没有严格按照国家保密要求进行建设，数据的机密性、完整性和可用性容易遭到破坏；已部署的安全系统没有实现统一管理等等都是目前需要函待解决的问题。

    所以，建立健全国土资源信息安全保障体系，应该以“适度安全”和“分级保护”为主要原则，在实现网络互联互通的同时，根据国家政策要求，积极做好风险评估和信息系统安全等级保护等基础性工作，根据国土资源信息和业务系统的重要程度和实际安全需求，实行分级、分类、分阶段保护，合理划分安全域，明确各区域之间的保护边界和相应的保护措施，同时，充分利用现有安全资源，补充和增加必要的安全保护措施，将有限的安全资源投入到需要保护的核心资产和重要系统上去，进一步加强对重要信息系统的监管，从而实现国土资源不同等级、不同密级的数据、系统和网络的安全保护要求，推动国土资源电子政务顺利发展。


3  风险评估

    加强安全保障，建立健全国土资源信息安全保障体系，首先应做好风险评估工作。这实际上是一个了解安全现状、明确安全需求、确定保障重点的过程，同时也是建立国土资源信息安全管理体系的要求和制订安全策略和实施安全措施的依据。通过系统地分析网络和信息系统所面临的威胁及其存在的脆弱性，评估信息安全事件一旦发生可能造成的危害，制订并切实落实抵御威胁的对策和具体措施。该项工作必须遵循“严密组织、规范操作、讲究科学、注重实效”的原则，并形成一种持续改进的长效机制。

    首先对信息资产进行识别，对现有信息资产进行分类和描述，在识别的基础上，从信息的机密性、完整性和可用性方面，采用定性方法对其进行赋值，确定信息资产的价值。比如，可以分别对应资产在完整性方面的价值，或者在完整性方面受到损失时对整个评估体的影响，定义极高、高、中、低、可忽略五个不同级别，分别对应 5 , 4 , 3 , 2 , 1 等级值。“极高”级表示完整性价值非常关键，未经授权的修改或破坏会对评估体造成重大的或无法接受、特别不愿接受的影响，对业务冲击重大，并可能造成严重的业务中断，难以弥补；“高”级表示完整性价值较高，未经授权的修改或破坏会对评估体造成重大影响，对业务冲击严重，比较难以弥补；“中”级表示完整性价值中等，未经授权的修改或破坏会对评估体造成影响，对业务冲击明显，但可以弥补；“低”级表示完整性价值较低，未经授权的修改或饭习、公对评估体造成轻微影响，可以忍受，对业务冲击轻微，容易弥补；“可忽略”级表示完整性价值非常低，未经授权的修改或破坏会对评估体造成的影响可以忽略，对业务冲击可以忽略（表 l ）。

    其次，从安全威胁来源和安全威胁种类两个方面，描述安全威胁利用网络或系统漏洞可能对信息系统造成的直接或间接危害，然后做出交叉表，对威胁发生的概率和频率进行赋值。比如，可以将不少于 1 次／周、在大多数情况下几乎不可避免或者可以证实发生过的威胁定义为 5 级，不少于 l 次／月、在大多数情况下很有可能会发生或者证实曾经发生过的威胁定义为 4 级，威胁发生的可能性较小、一般不太可能发生、也没有被证实发生过的威胁定义为 2 级，威胁几乎不可能发生，仅可能在非常罕见和例外的情况下发生的威胁定义为 1 级。其中，威胁来源主要包括环境因素、意外事故或故障、无恶意内部人员、恶意内部人员、第三方和外部人员攻击等，威胁种类主要包括软硬件故障、物理环境威胁、无作为或操作失误、管理不到位、恶意代码和病毒、越权或滥用、黑客攻击、物理攻击、泄密、篡改、抵赖等（表 2 ）。

    再者，由于资产本身存在弱点或脆弱性，其本身并不对资产构成危害，但是在一定条件得到满足时，可能会被威胁利用而造成资产损失。所以，还需要针对每一项需要保护的信息资产，找出每一种威胁可能在物理层、网络层、系统层、应用层、管理层等方面利用的安全脆弱性，并采用定性方式对脆弱性的严重程度进行赋值。同时，在技术方面，可以通过本地或远程扫描方式，对网络设备和主机进行人工抽查，以保证技术脆弱性评估的全面性和有效性；在管理方面，按照 BS 7799 等标准的安全管理要求，对现有的安全管理制度及其执行情况进行检查，发现其中的管理漏洞和不足。安全脆弱性赋值可参照上述方法。

    最后，根据资产价值、资产脆弱性和资产所面临的威胁，计算风险值。确定风险数值的大小并不是风险评估的最终目的，重要的是要明确不同威胁对资产所产生风险的相对值，即要确定不同风险的优先次序或等级，对于风险级别高的资产应被优先分配资源进行保护。可以将风险等级划分为 5个级别，等级越大，风险越高。比如导致系统受到非常严重影响的很高风险定义为 5 级，导致系统受到严重影响的高级风险定义为 4 级，导致系统受到较重影响的中级风险定义为 3 级，导致系统受到一般影响的低级风险定义为 2 级，导致系统受到较小影响的很低风险定义为了 1 级。得到信息资产的风险级别后，根据实际业务发展要求，采取适当的控制措施，对不可接受的风险进行避免、降低、减小、转移等处理，并对残余风险进行评估（表 3 ）。

4   等级保护

    为了能够有效提高国土资源信息网络系统的整体安全建设水平，有效控制信息安全建设成本，优化安全资源配置，对信息系统进行有针对性的保护，需要在风险评估的基础上，依据国家相关安全政策，积极开展国土资源信息系统安全等级保护工作，确保国土资源信息安全保障体系建设与国土资源信息化建设相协调，并为安全建设和管理提供系统性、针对性和可行性的指导和服务。

    国家对信息安全工作高度重视，相继颁布了一系列相关法律、法规和政策，对我国的信息安全保障工作做了整体部署并提出了具体措施。 2003 年，国家信息化领导小组提出要坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全； 2004 年，公安部、国家保密局等四部委强调了开展信息安全等级保护工作的重要意义，规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划，并部署了实施信息安全等级保护工作的操作办法； 2005 年，国务院信息化工作办公室又明确了电子政务实施等级保护的方法和流程，公安部随即发布了等级保护相关的定级指南和保护要求等相关策略，国家保密局规定了涉密信息系统必须分别按照秘密、机密和绝密三个级别进行分级保护和管理。

    实施和开展国土资源信息系统安全等级保护，应首先做好信息分类和信息密级的定级工作。由于国土资源信息是全面和准确掌握资源状况，以及实施国土资源规划、管理、保护和合理利用的基础和依据，同时，也是安全保障的最小单元，所以，对国土资源信息进行合理分类，是落实“适度安全”工作原则和有效推动信息系统安全等级保护工作的关键步骤。分类不是最终目的，而是明确保护重点，优化信息安全资源、实施系统分级保护、合理进行信息安全体系建设的重要手段。

    首先，信息总体上可划分为涉密和非涉密两大类，其中，非涉密信息可分为敏感信息和公开信息；涉密信息则根据国家保密要求，从低到高划分为秘密、机密和绝密二个等级；其次，根据国土资源管理特点，针对各类信息就其性质和服务范围进行划分，比如，可划分为政务管理信息、服务信息、基础地质和基础地理信息，政务管理信息下还可再细分为地政信息和矿政信息等，明确哪些信息属于涉密信息、哪些属于非涉密信息。在实际工作中，对涉密信息要严格保护，对可以公开的信息资源要充分利用，做到定密规范化，涉密系统最小化，该保的坚决保住，尽量避免出现定密不准、定密随意性大，保密范围过宽、密级偏高等问题。在信息分类的基础上，再进行相应的系统分类，然后根据国家相关标准，同时结合自身业务和信息化发展的实际情况进行系统定级。对于处理敏感和公开信息的非涉密系统，具体方法可以采用公安部信息系统安全保护等级定级指南中的有关规则，从信息系统所属类型、信息系统主要处理的业务信息类别、信息系统服务范围和业务对信息系统的依赖程度四个方面，确定系统的安全保护等级；或者，参照国信办的有关实施指南执行，从信息安全的保密性、完整性和可用性三个基本属性在遭到破坏时对政务机构履行其政务职能、机构财产、人员造成的影响来确定系统等级。涉密系统则必须按照国家保密局涉及国家秘密的信息系统分级保护管理办法和技术要求进行系统定级。

    由于国土资源网络中运行的应用系统数量繁多，而且，部分子系统涉密程度较高，因此，为了更有效地实施等级保护，需要进一步划分安全域，将具有相同安全防护要求的系统置于同一安全域内，不同安全域内部署不同等级的安全防护策略和保护措施，通过对计算区域、区域边界和网络基础设施等保护对象的不同组合，对信息系统进行分级保护，实现不同强度的安全保护要求。通过安全域划分，可以使整体网络结构边界清晰，各区域防护重点明确，有利于贯彻适度和分级防护工作原则。

5  网络改造

    通过前面的需求分析可以得知，国土资源现有的网络结构已经无法满足金土工程发展的需要，因此，需要对国土资源部局域网进行合理改造，使之适应国土资源信息化发展的实际需要，其核心工作内容在于明确网络安全保护边界。将国土资源部内网划分为涉密和非涉密两个区域，两者均与互联网完全物理断开。国土资源基础数据等涉密信息只在涉密网中处理，建设用地区块、矿业权区块等各级国土资源管理部门之间需要进行交换的中间敏感数据（军事用地等个别情况除外）和业务处理结果等公开信息，通过国家保密部门认可的安全隔离与信息交换系统摆渡到非涉密网，再通过逐级降级传输措施，在与互联网完全物理断开的主干网上传输，实现与各省之间的非涉密数据交换。

    对于非涉密网，根据公安部安全保护等级的有关规定和定级规则，确定非涉密系统的安全等级，在信息保密性、完整性和可用性上，实现相应的基本保护要求。对于涉密网，按照国家有关涉密信息系统分级保护管理规定和技术要求划分系统等级，在物理安全、运行安全和信息安全保密要求等方面，确定系统保护所达到的基本要求，在此基础之上，根据涉密信息的重要程度和各应用系统的功能特性，划分不同等级的安全域，分别采取有针对性的增强性保护措施。各安全域之间通过部署严格有效的访问控制策略和机制，确保数据通信安全可控，防止高密级信息从高等级安全域流向低等级安全域。

6   结  语

    建立与国土资源信息化发展相适应的国土资源信息安全保障体系，是一个长期艰巨的过程，需要在符合国家信息安全政策与法规的前提下，有重点、有步骤地不断建设和完善，必须以适度安全和分级保护作为核心工作原则，积极开展风险评估等基础性工作，全面落实信息安全责任制，完善信息安全基础防御设施和安全管理体系，实现国土资源信息系统的等级保护和国土资源涉密信息系统的安全保护要求，在发展中求安全，以安全保发展，为国土资源管理工作提供一个既满足国家信息安全要求、又能支撑国土资源业务运行的安全网络信息平台，为建成和谐高效、信息共享、数据安全、监控严密、运行稳定的国土资源信息安全保障体系的最终目标奠定坚实的基础。