贯彻《网络安全法》 构建水利网络安全保障体系

蔡 阳

（水利部水利信息中心，北京 100053）

贯彻《网络安全法》 构建水利网络安全保障体系

蔡 阳

（水利部水利信息中心，北京 100053）

2016年 11月 7日，第十二届全国人大常委会第二十四次会议表决通过《中华人民共和国网络安全法》，该法于 2017年 6月 1日起施行。《中华人民共和国网络安全法》是我国网络安全领域的基础性、框架性法律，对于我国网络安全立法进程具有里程碑式意义。结合《中华人民共和国网络安全法》实施从水利网络安全现状入手，指出水利网络安全存在的问题，分析水利网络安全面临的形势，阐述构建水利网络安全保障体系的总体思路，提出加强水利网络安全的工作要求。

水利；网络安全；信息化

0 引言

随着信息技术的发展和深入应用，网络空间已成为继海、陆、空、天之后的第五大战略空间，网络安全已上升到国家安全的高度，世界大国已经深刻认识到网络空间安全对国家安全的重大影响，并采取了一系列行动维护其在网络空间的核心利益。党的十八大以来，以习近平总书记为核心的党中央高度重视网络安全工作，作出了一系列决策部署。2016年 11月 7日，第十二届全国人大常委会第二十四次会议表决通过《中华人民共和国网络安全法》，该法于 2017年 6月 1日起施行。《中华人民共和国网络安全法》是我国网络安全领域的基础性、框架性法律，对于我国网络安全立法进程具有里程碑式意义。

水利网络安全是国家网络安全的重要组成部分，《中华人民共和国网络安全法》“第三十一条国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护[1]”。水利与金融、能源、电力、通信、交通等领域的关键信息基础设施一样是经济社会运行的神经中枢，是网络安全的重中之重，也是可能遭到重点攻击的目标，必须深入研究，采取有效措施，切实做好安全防护。

1 水利网络安全现状

近几年，依托水利网络安全建设专项和国家防汛抗旱指挥系统、国家水资源监控能力建设等重大信息化工程，水利部以网络安全等级保护工作为抓手，采取多种措施，不断强化网络安全防护、安全管理和有关制度标准建设，水利网络安全体系建设取得了长足发展，安全意识明显加强，安全管理水平显著提高，安全防护能力大幅提升[2]。据统计，截至 2016年，全国省级以上水利部门共有 112 个三级信息系统，186 个二级信息系统，61 个一级信息系统，其中 50% 的三级信息系统、45% 的二级信息系统完成等级保护整改，2016年，70% 的单位组织开展了网络安全检查，70% 的单位开展了至少一次网络安全应急演练，网络安全工作取得初步成效，有效保障水利信息化健康发展[3]。但是，从每年水利部开展的网络安全检查和国家有关部门向水利部通报的网络安全事件来看，仍然存在不少安全隐患和薄弱环节。水利网络安全形势不容乐观，存在的主要问题有：

1）安全管理制度不到位。部分单位安全管理制度不健全，或者制度有缺失，存在很多管理空白点；还有一些单位虽制定了较为全面的制度，但是制度没有与本单位实际情况相结合，没有针对性，摘抄标准要求的现象比较严重，制度难以落实；再者，部分单位虽有较完善的管理制度，但是在执行方面不严格，制度成为摆设，未起到应有的作用。

2）防护能力不足。水利部门已定级的三级信息系统中有一半未进行等级保护整改，安全防护手段单一，网络安全防护体系不完善，检查中发现部分服务器、数据库、终端、网站及应用系统存在安全隐患。2016年在抽查的 7 个单位中，共发现高危风险 157 项。其中，Struts2 远程命令执行漏洞占52.06%，SQL 注入攻击 8.6%，弱口令 7.3%，微软远程桌面协议的远程代码执行漏洞 3.2%，跨站脚本1.2%。今年对省级以上水利部门 75 个重点网站的实时监测中，到目前共发现 11 个安全问题。还有一点是普遍存在的作为水利关键信息基础设施的工程控制类未进行网络安全等级保护定级的现象，系统自身的封闭性及其与互联网物理隔离的特殊性，造成管理人员的麻痹思想，安全防护措施不足[4]。

3）安全保障措施不完善。网络安全管理人才短缺，在网络安全管理人才方面，一些单位没有设立专门的安全管理部门，没有专职的安全技术人员，日常安全管理工作不到位，安全隐患不能及时发现；一些单位虽有专职人员，但是缺乏必要的网络安全技术培训，难以承担复杂的网络安全管理工作；网络安全建设与管理经费不足，网络安全投入比例还是非常低，安全设施不足，特别是在备份方面，虽然大部分重要信息系统实现了本地数据级备份，但缺少系统级备份及异地容灾备份措施，在日常运行维护中，安全服务和工作方面的投入极少，由于经费不足，安全检查、风险评估、应急演练等工作不能深入开展。

2 构建水利网络安全保障体系

日前，水利部针对水利网络安全存在的问题和国家对网络安全的新要求制定了《水利网络安全顶层设计》[5]，对水利网络安全的发展思路、目标任务进行了统筹规划设计，是下一步工作的指导性文件。

水利网络安全总体思路是以建设网络强国总体战略为指引，遵循“积极利用、科学发展、依法管理、确保安全”的国家网络安全总体方针，以创新为动力，以需求为导向，以落实网络安全等级保护制度为抓手，以保护水利关键信息基础设施为重点，以可控为核心，坚持网络安全和信息化发展并重、管理机制和技术手段并举，建立和完善水利网络安全保障体系，保障水利信息化健康发展[6]。

水利网络安全应遵循基本原则：1）统筹规划、同步发展。从水利网络安全与信息化发展全局出发，统筹水利网络安全和信息化工作，建设关键信息基础设施应确保其具有支持业务发展、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用；处理好安全和发展的关系，做到协调一致、同步发展，以安全保发展、以发展促安全。2）依法合规、安全可控。水利网络安全工作必须遵循国家网络安全相关政策、法规，符合国家及水利行业相关标准、规范要求，在水利网络安全与信息化建设中要落实国家网络安全审查制度，确保技术、产品和服务安全可控。3）明确责任、分级管理。建立健全水利网络安全责任制，明确网络安全管理机构、运营机构、业务主管部门和用户等各方安全职责，坚持“谁主管谁负责、谁运行谁负责”的原则，各级单位分别做好所辖范围的网络安全工作。4）整体防护、重点保护。水利网络安全要构建纵向联动的整体防护体系，全面保障水利信息化基础设施、水利数据资源和水利业务应用的安全，突出重点，优先保护水利关键信息基础设施安全。5）主动防御、强化监管。建立主动防御的安全体系，加强网络安全纵深防御能力建设，逐步将网络安全被动防御提升为主动防御能力；构建自管、自查和各级网络安全主管部门监管相结合的网络安全监督管理模式，促进水利网络安全持续健康发展。

水利网络安全总体目标是依据国家网络安全法，全面落实国家网络安全等级保护制度，统一水利网络安全总体策略，强化组织管理和监督检查，加快构建网络安全内外协同上下联动的主动监测预警能力、对抗有组织攻击的纵深防御能力和快速恢复业务的应急恢复能力，形成“严格管理、责任明确、预警及时、防御有效、响应快捷、督查有力”的水利网络安全保障体系，确保水利关键信息基础设施的安全可控，支撑水利改革发展。

根据国家网络安全相关政策标准要求，结合我国网络安全形势与水利网络安全建设现状，围绕水利网络安全和信息化发展目标，水利网络安全总体框架如图1 所示。

图1 水利网络安全总体框架

水利网络安全是在统一安全策略的指导下，以水利信息化基础设施、数据资源和业务应用等为安全保护对象，以组织管理、监督检查作为推进安全工作的基础保障，加强监测预警、纵深防御、应急响应 3 个方面安全能力建设。

1）统一安全策略。依据国家网络安全相关政策、标准，结合水利行业组织体系、业务特点及基础环境，提出水利网络安全总体目标、原则与要求，指导水利网络安全工作。

2）落实两大保障。健全组织管理，建立健全水利网络安全组织机构，明确责任分工，落实安全责任，强化内部协调和外部协助，完善包括工作制度、流程、规范和操作规程在内的网络安全管理制度；强化监督检查，建立常态化的网络安全监督检查机制，形成日常检查、定期自查、不定期抽查相结合的监督检查工作模式，持续推进水利网络安全工作，不断提升各单位网络安全水平。

3）提升三大能力。构建内外协同、上下联动的主动监测预警技术支撑平台及网络安全信息通报机制，加强安全风险及安全势态检测能力，实现对各类网络安全攻击，特别是大规模、有针对性、有组织的安全攻击行为进行安全预警，提升网络安全监测预警能力；落实国家信息安全等级保护制度，采用“一个中心、三重防护”的网络安全纵深防御体系建设思路，以关键信息基础设施保护为保护重点，推进安全可控产品、技术和服务在水利信息化中的应用，提升网络安全纵深防御能力；建立水利行业内外结合、协同有效的网络安全应急响应和恢复机制，完善应急响应组织建设和应急预案，建设应急指挥中心，完善容灾备份，提高网络安全应急响应能力。

3 扎实推进水利网络安全工作

目前水利网络安全的形势不容乐观，应乘《中华人民共和国网络安全法》实施的东风，加强宣传、明确责任，推进监控常态化，加强应急演练，着力做好水利关键信息基础设施安全防护，促进安全可控技术应用[7]。

1）加强宣传普及。知法懂法是保证法律贯彻落实的基础，采用讲座、会议等方式进行宣讲，普及《中华人民共和国网络安全法》。将开展经常性的网络安全宣传教育纳入议事日程，将《中华人民共和国网络安全法》列入水利行业内各级机关的学习和干部培训内容。今后每年至少开展一次培训、检验、检查等活动，让网络安全意识植根人心，让网络安全观念深入到业务工作和信息化工作中。

2）明确安全责任。陈雷部长在水利网信工作视频会议上强调“主要领导亲自抓、带头抓、负总责，分管领导全程抓、抓具体、勇担责”。按照“谁主管，谁负责”的原则，构建完善网络安全管理责任制，特别是落实主体责任，将责任落实到人，并把网络安全工作情况纳入单位、领导和相关人员的年度绩效考核内容。

3）推进监控常态化。依托国家防汛抗旱指挥系统建设的安全管理中心，实时监测全网安全事件，综合分析各类安全事件日志，及时发现安全威胁，完成安全事件处置。水利部对水利部门户网站群及直属单位、省（自治区、直辖市）水利部门重要网站进行实时安全监测，对网站的漏洞、篡改、挂马、暗链、敏感信息等进行监控，有问题及时处理。定期对服务器、终端、网络设备、安全设备、网站及应用系统等进行漏洞扫描，并完成整改。规范新上线设备、应用系统安全入网前安全检测流程，开展主机、应用系统漏洞检测和安全基线核查，避免带病上线。定期对重要门户网站主动进行安全可控、非破坏性的渗透测试，查找存在的安全隐患，并采取措施进行整改，水利部每年抽取部分重点网站进行一次远程渗透测试。水利部通过多种途径收集水利行业安全风险和威胁，整理并编制《水利行业网络安全周报》，通过水利部信息安全工作平台向行业发布。

4）重点防护水利关键信息基础设施安全。《中华人民共和国网络安全法》首次明确提出关键信息基础设施概念，规定了关键信息基础设施的安全管理、保护、检查等内容，为关键信息基础设施安全保护工作提供了重要法律依据。水利行业属于重要基础行业，拥有众多信息系统和水利工程控制系统，其中不乏关键信息基础设施。一直以来，水利部高度重视水利行业网络安全，取得了一定成效，但由于对关键信息基础设施的界定范围和要求不十分明晰，还存在不少薄弱环节。《中华人民共和国网络安全法》的出台，在界定范围、明确要求、分清责任等方面为水利关键信息基础设施安全保护工作提供了重要法律依据和坚强支撑。下一步应重点开展以下工作：正式发布《水利关键信息基础设施名录》，在水利行业关键信息基础设施摸底调查的基础上，进一步分析、梳理，形成《水利关键信息基础设施名录》并正式印发，为水利关键信息基础设施安全保护工作奠定基础；出台水利关键信息基础设施安全保护指导意见，明确水利关键信息基础设施安全保护指导思想、总体目标、工作重点、职责分工、保障措施等；制定水利关键信息基础设施安全保护标准，根据国家相关标准规范要求，结合水利实际情况，制定水利关键信息基础设施网络安全建设指南，指导行业开展工作；建立健全水利关键信息基础设施网络安全事件应急响应体系，组织制定和完善应急预案并定期开展演练；强化水利关键信息基础设施安全保护监督检查，形成制度化、规范化的网络安全监督检查长效机制。

5）加强应急演练。应急响应是网络安全防护的最后一道防线，在发生网络安全事件后，快捷、高效的应急响应体系，可以快速恢复系统能力，降低网络安全事件造成的损失。各单位应重视网络安全应急响应能力建设，从应急响应的组织、预案及定期演练、资源保障等方面增强应急响应能力，提升重大网络安全事件应急处置能力。

6）促进安全可控技术应用。习近平总书记在去年 4.19 网信工作座谈会上讲到“核心技术受制于人是我们最大的隐患”“核心技术是国之重器，最关键最核心的技术要立足自主创新、自立自强。市场换不来核心技术，有钱也买不来核心技术，必须靠自己研发、自己发展[8]”，要发展我国的核心技术，一个基础条件是要积极、主动使用我国自己的技术和产品。目前，国产的网络设备、服务器、存储设备等硬件设备技术已基本成熟，完全可以满足大多数应用场景，国产操作系统、中间件、数据库等软件产品也有较大发展，大多数情况下可以满足应用需求，应给这些国产产品更多的机会，在进行网络安全与信息化建设时，应优先选用安全可控的产品、技术和服务。

4 结语

水利行业作为国家关键信息基础设施的重要行业之一，其网络安全事关国家安全和社会稳定，事关长治久安和可持续发展，要扎实做好水利网络安全工作，提升水利网络安全防护能力，特别是水利关键信息基础设施网络安全防护能力，为提升我国网络安全能力做出自己应有的贡献。

[1] 中华人民共和国第十二届全国人民代表大会常务委员会.中华人民共和国网络安全法[A]. 北京：人民出版社，2016: 1-36.

[2] 陈雷. 贯彻网络强国战略思想 开创水利网信新局面[J].水利信息化，2016 （4）: 1-4.

[3] 蔡阳. 水利信息化“十三五”发展应着力解决的几个问题[J]. 水利信息化，2016 （1）: 1-5.

[4] 詹全忠. 水利网络与信息安全资源整合共享探讨[J]. 水利信息化，2014 （6）: 22-26.

[5] 水利部网络安全与信息化领导小组办公室. 水利网络安全顶层设计[R]. 北京：水利部网络安全与信息化领导小组办公室， 2016.

[6] 曾焱，王爱莉，黄藏青. 全国水利信息化发展“十三五”规划关键问题的研究与思考[J]. 水利信息化，2015 （1）: 14-19.

[7] 邓坚. 开拓创新 扎实做好新时期水利网信工作[J]. 水利信息化，2016（4）:5-9.

[8] 习近平. 习近平：在网络安全和信息化工作座谈会上的讲话[R/OL]. （2016-04-26）[2016-06-16].http://cpc.people. com.cn/n1/2016/0426/c64094-28303771.html.

Implement Cybersecurity Lawand construction of water conservancy guarantee system

CAI Yang

（Information Center, the Ministry of Water Resources, Beijing 100053, China）

The Cybersecurity Law of the People’s Republic of China was passed at the 24th session of the 12th NPC Standing Committee, and went into effect on June 1, 2017. The Cybersecurity Law of the People’s Republic of China is the foundation of the cybersecurity field, and is a significant milestone in the cybersecurity legislation process in China According to the Cybersecurity Law of the People’s Republic of China, this paper analyzes the present situation and problems of water resources cybersecurity, expounds the general idea of constructing water conservancy network safety guarantee system, and puts forward the work requirements for strengthening water resources cybersecurity.

water resources; cybersecurity; informatization

TV211；TP393.08

A

1674-9405（2017）03-0001-04

2017-05-04

蔡 阳（1963-），男，江苏泰兴人，教授级高工，主要研究方向：水利信息化。

10.19364/j.1674-9405.2017.03.001