海洋物联网信息安全体系提供海洋信息安全管理和技术安全保障。在信息安全管理方面,实施海洋信息安全等级保护,开展各类重要信息系统定级备案、建设整改、等级测评和监督检查。在技术安全保障方面,开展海洋关键信息基础设施安全防护,提供感知安全、传输安全、云基础设施安全和云应用安全等立体安全防护。安全监测预警和应急处置系统,实现对各种系统、设备、安全产品的集中管理和监控,提高全方位安全态势感知和应急处置能力 [23] 。
依照信息安全等级保护标准和要求,制定海洋信息安全保护策略,针对海洋物联网相关的信息系统在海洋信息采集、传输、存储、分析及综合应用等各个层次的安全需求,综合应用各种安全防护措施与技术,对海洋信息进行严格控制和防护,以确保信息的完整性、保密性、真实性和不可否认性,同时考虑系统的运行维护与管理,以满足海洋信息系统的高可用性。该体系从安全策略、安全防护、安全运维与安全管理四个维度构建海洋物联网信息安全体系,保障海洋信息系统终端、网络、云端数据中心和业务应用的安全。
依据信息安全等级保护标准和要求,提供包括结构化保护、分域防护、纵深防御、异构服务和应用强隔离等策略。其中,结构化保护策略实现覆盖终端、网络和云端的关键设备和部件的安全性;分域防护策略针对业务的关键程度或安全级别进行系统分域。在域内实施访问控制的同时,根据域间的访问关系和信任关系,分域防护策略设计域间访问与边界防护策略,对进入高等级域的信息进行数据规划,对于进入低等级域的信息进行审查和转化;纵深防御策略针对各应用系统边界、内部服务网边界、外部服务网边界进行全面分析和纵深防御体系及策略设计,在边界间设置强隔离设备,在网络层和应用层建立较大纵深的防御层次结构;异构服务策略针对应用系统核心及关键设备的异构性,制定兼容性和可移植性机制,确保系统的容错能力;应用强隔离策略针对应用系统、内部网络和外部网络,通过数据交换机制实现信息的摆渡,对超文本传输协议(Hyper Text Transfer Protocol, HTTP)等进行深度过滤,可防止协议攻击和对服务器的攻击。
信息安全防护主要包括可信终端安全防护、网络通信安全防护、云端安全防护。其中,终端安全防护基于可信密码模块(TCM)安全芯片、可信引导、操作系统内核级度量、远程证明,以硬件TCM安全芯片为信任基础,确保终端安全;网络通信安全防护基于智慧海洋通信传输方式、特征和安全威胁,综合应用加密算法、消息验证、安全路由、网络攻击检测与防护、域内节点认证和访问控制、跨域节点认证和访问控制等机制,确保网络通信安全;云端安全防护基于国产基础软硬件、云存储加密、用户身份管理、密码服务、系统发布授权、应用安全审计、安全访问策略、恶意代码防范等安全技术,构建公钥基础设施(PKI),确保云端安全。同时,信息安全防护提供身份认证、统一的授权机制、行为审计等统一的安全保护机制,防止各业务应用的数据和应用的非授权访问。
安全运维包括安全运维服务、集中运维管理服务、常态化测评服务和风险管理控制服务。其中,安全运维基于综合评估、告警分析、风险预警评估、防护加固、监控应急、审计追查等方面,建立集风险评估、安全加固、安全巡检、应急响应、系统恢复、安全审计和违规取证于一体的完整闭环结构;集中运维管理提供统一的事件采集、存储、查询处理、统计分析及综合呈现等事件集中管理和统一的终端、网络、云端和系统应用相关的安全设备的集中监测与管理;常态化测评提供数据收集与分析、流程管理、测评模型管理、综合分析和统一展现,实现对各业务安全测评的常态化;风险管理控制提供事前安全防护、事中安全运维和事后安全审计。
安全管理包括安全管理制度建设、安全管理机构建设和人员安全管理建设。其中,安全管理制度建设是构建信息安全管理制度体系,同时规范安全管理制度的制定、发布、评审和修订;安全管理机构建设是设置安全领导小组,全面负责信息安全全局工作,同时设置信息安全职能部门,进行相关安全岗位设置;人员安全管理建设是制定并落实对一般岗位人员和关键岗位人员的录用、离岗和考核要求,制定外部人员访问管理办法,同时对人员进行安全培训与教育。