来源：CIO时代网 国家气象信息中心总工 沈文海

【摘要】信息安全是信息社会永恒的话题。信息安全是系统的、动态的、无边界的和非传统的安全。信息安全主要是管理问题，而不单纯是技术问题。所有的信息安全都是相对的，是多种约束条件下折衷选择的结果。风险管理是指如何在一个肯定有风险的环境里，利用有限资源把风险减至最低的管理过程。信息安全管理体系是以策略为核心，以管理为基础，以技术为手段的安全理念的具体落实。气象部门应当建立起基于风险管理的完整的信息安全管理体系。全面提高信息安全管理理念和意识，是气象信息安全所有工作正常开展的前提。 

　　1、引言 

　　没有安全，何以生存，遑论发展；而信息时代安全的核心内容之一，便是信息安全。盖缘于此，世界上主要发达国家始终十分重视信息安全工作。 

　　1998年5月22日，美国克林顿政府颁布了《保护美国关键基础设施》总统令（PDD63），围绕“信息安全”成立了包括全国信息安全委员会、全国信息安全同盟、关键基础设施保障办公室、首席信息官委员会等10余各全国性机构。同年，美国国家安全局（NSA）制定了《信息安全保障框架》（IATF），提燺了深度防御策略。2000年发表了《总统国家安全战略报告》，首次将信息安全明确列入其中。布什政府在911之后成立了国土安全部、国家KIP委员会，并于2002年和2003年陆续颁布了《国家保障数字空间安全策略》、《国家安全战略报告》和《网络空间安全国家战略计划》。奥巴马总统上台不久，就亲自主导了为期60天的信息安全评估项目，并于2009年5月公布了《美国网络安全评估》报告，评估了美国政府在网络空间的安全战略、策略和标准，指出了存在的问题，并提出相应的行动计划。在此基础上，美国政府成立了网络安全办公室，任命了网络安全协调官。2010年6月，美国国防部正式成立了由战略司令部领导的网络战司令部，于2010年10月正式运行。2015年年底，美国《网络安全法》获得正式通过，成为美国当前规制网络安全信息共享的一部较为完备的法律，首次明确了网络安全信息共享的范围，并通过修订2002年《国土安全法》的相关内容，规范国家网络安全增强、联邦网络安全人事评估及其他网络事项【1】。 

　　俄罗斯则早在1995年便颁布了《联邦信息、信息化和信息保护法》，明确界定了信息资源开放和保密的范畴，提出了保护信息的法律责任。1997年俄罗斯出台的《俄罗斯国家安全构想》中明确提出，“保障国家安全应把保障国家经济安全放在第一位”，而“信息安全又是经济安全的重中之重”。2000年普京总统批准了《国家信息安全学说》，明确了俄罗斯联邦信息安全建设的目的、任务、原则和主要内容。 

　　我国政府高度重视信息安全工作，早在1994年，国务院便以147号令颁布了《中华人民共和国计算机信息系统安全保护条例》；2003年国务院成立应急办，颁布了《国家突发公共卫生事件应急条例》；2006年公布了《国家突发公共事件总体应急预案》和《国家网络与信息安全事件应急预案》，确定了4大公共事件及网络信息安全事件的应急措施预案；2007年制定发布了《国家突发事件应对法》。此外，信息产业部、工信部以及各地方政府和部门在近十余年时间里也陆续出台了各类与信息安全相关的法律法规。信息安全在我国的国家层面上受到高度重视，目前已上升为国家战略。相应地，信息安全工作也已成为各行各业信息化战略规划和信息化建设中不可或缺的内容，气象部门也不例外。 

　　信息安全是一个永恒的主题，信息安全工作永远没有终结的一刻。在国家大力倡导信息化、互联网+、大数据应用和信息安全的现在，认真系统地回顾和审视气象信息安全工作，是完全必要的，因为这可使我们及早发现问题、查漏补缺，使气象信息安全工作进一步发挥出应有的作用。 

　　2、信息安全的本质 

　　2.1 信息安全的内涵和特征 

　　信息是气象部门最宝贵的资产，是气象部门赖以立身的最为珍贵的资源。因此，必须对所有气象信息进行妥善的保护。 

　　按业界的规范定义，信息安全主要指信息的保密性、完整性和可用性的保持，即：通过采用计算机软硬件技术、网络技术、密钥技术等安全技术和各种组织管理措施，保护信息在其生命周期内的产生、传输、交换、处理和存储等各个环节中，信息的保密性、完整性和可用性不被破坏，保障业务的连续性，最大限度地减少业务的损失，最大限度地获取业务回报。其中：保密性是指确保只有那些被授予特定权限的人才能够访问到信息；完整性是指保证信息和处理方法的正确性和完整性；可用性则是指确保那些已被授权的用户在其需要的时候，确实可以访问到所需信息。【2】此属常识，不予展开。 

　　信息安全具有如下特征： 

　　（1）信息安全是系统的安全 

　　信息产生于系统、存在于系统、被系统所使用并由系统发挥其作用，所有与信息相关的各系统皆必须纳入信息安全的视野，予以充分的关注和考虑。此外，信息安全是整体的安全，所有与信息相关的部分由信息串联而构成一个相对完整的系统，它的安全直接关系到信息的安全。 

　　（2）信息安全是动态的安全 

　　信息的安全保障是一个动态的过程，没有永久的安全，也不存在满足信息安全的充分条件，信息安全问题不可能一劳永逸地予以解决。保护信息安全不可能是绝对的，而是多种约束条件下的折衷的选择【3】。随着事物的发展和技术的进步，约束条件必然发生变化，而约束条件的变化又将必然导致信息安全方针、策略和措施的相应调整和变化。 

　　（3）信息安全是无边界的安全 

　　网络的广泛互联使得信息系统环境的边界越来越模糊，传统意义上的国界、前方和后方正在消失，人们几乎可以从任何地点、任何时间对任何对象发起网络攻击，因此信息安全是广泛的、无国界的，它无法单凭一个国家、地区或部门就能完全控制，需要从全球信息化角度综合考虑和整体布局。【4】 

　　（4）信息安全是非传统的安全 

　　传统的具有典型外在物理特征的安全因素（如：军事、自然灾害、人为暴力破坏等等）已无法涵盖信息安全所应考虑的全部范畴。在没有诸如军事入侵、自然灾害、传统意义上的恐怖袭击等情况下，信息和信息系统的安全依然会受到诸如计算机病毒、黑客攻击、计算机犯罪、信息垃圾和信息污染等严重威胁【5】。国家的电信、金融、能源、交通等核心领域，气象部门的数据通信、信息处理等核心系统，可能在极短的时间内被攻击瘫痪，导致社会运转的瘫痪和气象业务的崩溃，而此时所有系统的物理器件并未因此而发生实质性的损伤。 

　　信息安全既是信息技术问题，也是组织管理问题。因为信息安全最终必将落实到信息系统的安全层面上，并最终由一个个具体的信息技术和相关产品的有机组合予以实现，没有符合实际的明确的安全目标和方针、科学的设计、认真的维护、以及不断地主动发现新的安全问题并及时予以解决，是无法有效地形成安全环境的；就一个部门而言，一个相对安全的环境的构成必须从人的行为规范、安全体系的科学设计以及部门内部安全环境的构成等诸多方面综合考虑、整体设计，方才可能。因此信息安全并非单纯是技术和技术产品问题，更是组织管理问题，无法单凭技术手段予以解决。 

　　此外，从法律、舆论以及信息战和虚拟空间等更高层面考虑，信息安全也是社会问题和国家安全问题。此非本文所考虑的范围，故不予展开。 

　　2.2 信息安全的一些认识误区 

　　应当承认，由于各种原因，至今气象部门的一些同事中，对信息安全仍存在一定的认识误区，以下问题应予充分重视： 

　　（1）单纯的安全技术和产品的应用不能解决信息安全 

　　信息安全问题并非单纯的技术问题，信息安全技术和产品的简单应用并不意味着部门整体的信息安全，不能指望简单地规划了DMZ区、在局域网出入端配置了防火墙、在个人电脑中安装了杀毒软件、远程通信采用VPN技术后，部门的信息安全问题便可基本解决。事实上，诸如防火墙、堡垒机、杀毒软件等安全产品，仅仅是构建部门信息安全防护体系的砖石，如果没有科学的整体设计和有效的实施方案，单凭砖石和瓦块的简单甚至随意堆垒，是无法构建成有效的安全防护体系的。因此： 

　　防火墙 + 堡垒机 + 杀毒软件 ≠ 信息安全 

　　（2）业务连续性的有效保障不能替代部门的信息安全 

　　业务连续性的有效保障是部门行政领导最为关注的安全问题之一，为此往往不惜代价不计成本，而建立业务备份中心或灾难备份中心是目前较为流行的保障措施。但备份中心的建立也并不一定意味着部门整体的信息安全，因为业务连续性的保障仅属于信息安全三要素中“信息可用性”的范畴，如果不同时考虑信息的保密性和完整性，同样无法从整体上解决部门的信息安全问题；而信息的私密性和完整性与备份中心之间并无必然联系。因此： 

　　备份中心 ≠ 信息安全 

　　（3）网络防御不能代替信息安全 

　　传统意义上的网络安全包括网络协议安全、网络设备安全和网络架构安全，侧重于网络自身的健壮性以及抗网络攻击的能力。然而如果网络上运行的系统自身存在一定缺陷、软件存在BUG，以及人为操作失误（如：误删除、误修改等），则上述内容和措施便将束手无策。所以，网络的抗攻击和抗偷盗能力不能完全解决信息安全问题。 

　　类似的认识误区还有若干，限于篇幅，不再枚举。 

　　3、基于风险管理的信息安全管理 

　　3.1 信息安全管理 

　　统计结果表明，在所有信息安全事故中，只有20%～30%是由于黑客入侵或其他外部原因造成的，其余的70%～80%则是因内部员工的疏忽或有意违规而造成的。站在全局的高度上来考察信息和网络安全的全貌就会发现：安全问题实际上都是人的问题，单凭技术手段是无法予以根本解决的。 

　　信息安全是一个多层面、多因素的过程，如果仅凭一时的需要，头疼医头脚疼医脚地制定一些控制措施和引入某些技术产品，难免挂一漏万、顾此失彼，使得信息安全这只“木桶”出现若干“短板”，从而无法提高信息安全的整体水平。 

　　对于信息安全而言，技术和产品是基础，管理才是关键。如同砖瓦建材需要良好的设计和施工才能搭建成坚固耐用的建筑，安全技术和安全产品需要通过管理的组织职能方才能够发挥出最佳效果。事实充分证明，管理良好的系统远比技术虽然高超但管理混乱不堪的系统安全得多。因此，先进科学的、易于理解且方便操作的安全策略对信息安全至关重要；而建立一个管理框架，让好的安全策略在这个框架内可重复实施，并不断得到修正，就会拥有持续的安全【6】。 

　　所谓信息安全管理，是指部门或组织中为了完成信息安全目标，针对信息系统，遵循安全策略，按照规定的程序，运用恰当的方法，而进行的规划、组织、指导、协调和控制等活动和过程；是通过维护信息的保密性、完整性和可用性，来管理和保护组织所有的信息资产的一项体制；是部门或组织中用于指导和管理各种控制信息安全风险的一组相互协调的活动。有效的信息安全管理要尽量做到在有限的成本下，保证将安全风险控制在可接受的范围之内。 

　　信息安全管理包括：安全规划、风险管理、应急计划、安全教育培训、安全系统评估、安全认证等多方面内容【7】。 

　　3.2 基于风险的信息安全 

　　（1）安全和风险 

　　步履蹒跚的耄耋老人终日待在家中肯定比在熙熙攘攘的大街上行走安全，但即使在家中，也仍有因行走或站立不稳而跌倒的可能，不如身边陪有专人看护安全；然即便家中有专人看护，也不如将老人长期安置在医院，在全套设备和专业医护人员看护下安全，如此等等。可见，所谓安全都是相对而言的，没有绝对的安全；而安全的效果或等级越高，往往付出的代价或成本也越高，信息安全也是如此。 

　　安全是相对于风险而言的，某种安全水平的达到意味着某种或某类风险的得以规避：双机热备技术可以避免单点故障所导致的业务中断，两地三中心灾备模式可以保证即便在发生局地严重灾害时部门业务的连续性。但绝对的安全是没有的：双机热备技术无法避免供电系统故障的风险，而大型陨石撞击地球，将导致生态系统的崩溃和物种灭绝，遑论灾备两地三中心以及部门业务连续性了。 

　　然而，风险是由可能性与后果的组合来计算和度量的【8】。尽管两地三中心灾备模式无法应对地球遭遇大型陨石撞击的毁灭性灾害，但该灾害发生的可能性却微乎其微，未来数百年几乎没有可能。因此此灾虽然为害甚烈，但发生的可能性却几近于零，不必予以考虑。 

　　（2）风险管理 

　　绝对的零风险是不存在的，要想实现零风险也是不现实的。同时，规避风险是需要代价的，规避的风险种类越多，所付出的代价往往越大。就计算机系统而言，安全性越高，其可用性往往越低，需要付出的成本也越大【6】。因此，信息安全建设的宗旨之一，就是在综合考虑成本与效益的前提下，通过恰当、足够、综合的安全措施来控制风险，使残余风险降低到可接受的程度。亦即，需要在安全性和可用性，以及安全性和成本投入之间做出一种平衡。 

　　所以，根本上说，信息安全是一个风险管理过程，而不是一个技术实现过程【6】。 

　　风险管理是指如何在一个肯定有风险的环境里，利用有限的资源把风险减至最低的管理过程。风险管理包括对风险的量度、评估和应变策略等。理想的风险管理，是一连串排好优先次序的过程，使导致最大损失及最可能发生的安全事件优先处理、而相对风险较低的事件则押后处理。 

　　风险管理的首要内容之一，是风险识别和风险评估。因为，信息安全体系的建立首先需要确定信息安全的需求，而获取信息安全需求的主要手段就是安全风险评估。因此，信息安全风险评估是信息安全管理体系建立的基础；没有风险评估，信息安全管理体系的建立就没有依据。 

　　风险管理的另一项重要内容，就是对风险评估的结果进行相应的风险处置，只有对已知风险逐一进行有针对性的妥善处置，才能化解和规避这些风险，达到信息安全的目的。因此，风险处置是信息安全的核心。从本质上讲，风险处置的最佳集合就是信息安全管理体系的控制措施集合；而控制目标、控制手段、实施指南的逻辑梳理、以形成这些风险控制措施集合的过程，就是信息安全体系的建立过程。亦即，信息安全管理体系的核心就是这些最佳控制措施的集合。 

　　需要强调的是，由于信息安全风险和事件不可能完全避免，因此信息安全管理必须以风险管理的方式，不求完全消除风险，但求限制、化解和规避风险。而好的风险管理过程可以让气象部门以最具有成本效益的方式运行，并且使已知的风险维持在可接受的水平，使气象部门可以用一种一致的、条理清晰的方式来组织有限的资源，确定风险处置优先级，更好地管理风险，而不是将保贵的资源用于解决所有可能的风险。

　　事物是在不断变化的，新的风险不断出现，因此风险管理过程需要不断改进、完善、更新和提高。

4、当前气象信息安全存在的问题 

　　尽管气象部门至今尚未发生重大信息安全事件，但这并不能说明气象部门的信息安全工作已万事大吉，信息安全体系固若金汤。依照信息安全管理的规范考察，气象部门的信息安全工作至少存在如下问题：

　　4.1 基础工作存在缺失 

　　（1）信息安全目标 

　　通常意义下的信息安全目标，一般都是确保信息的机密性、完整性、可用性，以及可控性和不可否认性等等。但部门不同，具体的情况不同，安全性需求的程度、信息安全所面临的风险、付出的代价也各有不同；如：就信息的机密性而言，军事部门的要求远远高于气象部门；而就信息的可用性而言，气象部门对业务连续性的要求也较土地勘测管理部门为高。因此，泛泛的信息安全目标没有任何意义，所有可用的信息安全目标都是切合部门具体实际情况的，是本土化、部门化的。 

　　没有切合气象部门具体实际情况的、具有鲜明气象特色的信息安全目标，是目前存在的突出问题。 

　　必须明确，气象部门信息安全目标的确定，是管理层的职责。管理层对信息安全目标的要求，决定了气象部门信息安全工作的走向。气象信息业务部门负责气象信息安全既定目标的具体落实，其工作的质量和效率，决定了气象部门是否能够达到信息安全管理的目标【9】。 

　　（2）信息安全方针 

　　信息安全方针是为信息安全工作提供与业务需求和法律法规相一致的管理指示及相应的支持举措。信息安全方针应该做到：对本部门的信息安全加以定义，陈述管理层对信息安全的意图，明确分工和责任，约定信息安全管理的范围，对特定的原则、标准和遵守要求进行说明，等等。气象部门的信息安全方针至少应当说明以下问题：气象信息安全的整体目标、范围以及重要性，气象信息安全工作的基本原则，风险评估和风险控制措施的架构，需要遵守的法规和制度，信息安全责任分配，信息系统用户和运行维护人员应该遵守的规则，等等。 

　　遗憾的是，以此为基本内容的信息安全方针，至今在气象部门尚未确立。 

　　（3）信息安全组织机构 

　　为有效实施部门的信息安全管理，保障和实施部门的信息安全，在部门内部建立信息安全组织架构（或指定现有单位承担其相应职责）是十分必要的。 

　　在一个部门或机构中，安全角色与责任的不明确是实施信息安全过程中的最大障碍。因此，建立信息安全组织并落实相应责任，是该部门实施信息安全管理的第一步。这些组织机构需要高层管理者的参与（如本部门信息化领导小组），以负责重大决策，提供资源并对工作方向、职责分配给出清晰的说明，等等。此外，信息安全组织成员还应包括与信息安全相关的所有部门（如行政、人事、安保、采购、外联），以便各司其责，协调配合。 

　　遗憾的是，类似的组织机构在气象部门内即便已经存在，至今也未真正履行其应负的职责。 

　　（4）信息资产管理 

　　信息资产管理的主要内容包括：识别信息资产，确定信息资产的属主及责任方，信息资产的安全需求分类，以及各类信息资产的安全策略和具体措施，等等。 

　　就气象部门而言，对信息资产（即：气象信息资源和气象信息系统）进行识别、明确归属以及分类等工作，有利于信息安全措施的有效实施。以分类为例：我们知道，对某特定气象资料或业务系统实施过多和过度的保护不仅浪费资源，而且不利于资料效益的充分发挥和系统的正常运行；而若保护不力，则更可能导致气象信息数据和系统产生重大安全隐患，乃至出现安全事故。对气象信息资产进行分类，可明确界定各具体资产的保护需求和等级，如此可以根据类别的不同，调整合适的资源、财力、物力，对重要的气象信息资源和系统实施有针对性的、符合其特点的信息安全重点保护，如此等等【9】。 

　　同样遗憾的是，气象部门至今尚未实施真正意义上的完整的气象信息资产管理。 

　　类似缺失的基础工作还有很多，不再枚举。 

　　基础工作的缺失，导致气象信息安全工作的不扎实、不稳固，是气象信息安全工作长期滞后于信息化基础建设的主要原因之一。 

　　4.2 完整的信息安全管理体系尚未建成 

　　按照ISO的定义，信息安全管理体系（ISMS：Information Security Management System）是“组织在整体或特定范围内建立的信息安全方针和目标，以及完成这些目标所用的方法和体系。它是直接管理活动的结果，表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合”。【10】 

　　信息安全管理体系要求部门或组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择安全事件控制目标和相应处置措施等一系列活动，来建立信息安全管理体系。该体系是基于系统、全面、科学的安全风险评估而建立起来的，它体现以预防控制为主的思想，强调遵守国家有关信息安全的法律法规及其它地方、行业的相关要求。该体系强调全过程管理和动态控制，本着控制费用与风险相平衡的原则，合理选择安全控制方式。该体系同时强调保护部门所拥有的关键性信息资产（而不见得是全部信息资产），确保需要保护的信息的保密性、完整性和可用性，以最佳效益的形式维护部门的合法利益、保持部门的业务连续性。 

　　由于基础性工作尚未全部就绪，目前气象部门尚未建立真正意义上的、基于风险管理的科学而完整的气象信息安全管理体系。 

　　在气象部门建立完整的信息安全管理体系，可以对气象部门的关键信息资产进行全面系统的保护，在信息系统受到侵袭时确保业务持续开展并将损失降到最低程度；并使气象部门在信息安全工作领域实现动态的、系统地、全员参与的、制度化的、以预防为主的信息安全管理方式，用最低的成本，达到可接受的信息安全水平。此外，完整的信息安全管理体系的建立，也可使部门外协作单位对气象部门的安全能力充满信心，这一点在当前大数据应用浪潮正在全社会迅速漫延的背景下，尤其重要。 

　　4.3 业务格局的分散加大了安全管理问题的复杂度 

　　目前气象部门依然沿用着已延续数十年的国省地县四级业务层级，而业务系统的属地化，以及诸如“具备业务功能意味着拥有业务系统、拥有业务系统意味着拥有信息资产以及基础资源和设施”等传统观念的束缚，使得各个业务系统在地理分布上呈现出全国遍地开花的局面，各级业务单位都拥有自己的信息业务系统和相应的局地信息业务环境。彼此通过内部专网（VPN）或甚至通过互联网进行互联，在全国形成网状与树状相结合的、十分复杂的业务网络结构。 

　　由于各级单位都在当地拥有各自规模不等的信息业务系统及相应环境（包括为业务系统提供数据支撑的气象数据库），因此各单位都面临着本单位的信息安全管理问题。尤其是一些气象数据在各级业务单位的广泛复制，使得各级业务单位中数据同质化现象十分突出，也为这些数据的保密性和完整性（包括一致性）的保持增加了大量变数。此外，由于编制所限，地县两级业务单位中IT技术人员奇缺，既无法保障信息业务系统的日常维护，更无法为本单位信息安全提供专业化管理。 

　　这种业务格局的分散，加大了气象部门信息安全管理问题的复杂度。 

　　限于篇幅，其余问题不再枚举。 

　　5、建立完整的气象信息安全管理体系 

　　综上所述，在气象部门建立完整的气象信息安全管理体系，是非常必要的；就目前全社会所倡导的大数据应用和云计算趋势而言，这项工作具有较强的紧迫性，应尽早开展相应的工作。归纳起来，有如下几点：

　　5.1 适时着手建立完整的气象信息安全管理体系 

　　（1）完成基础性工作 

　　应尽早明确信息安全的方针，为气象部门信息安全工作确定目标、范围、责任、原则、标准、架构和法律法规。 

　　应以适当方式组建或明确气象信息安全的管理和实施机构，并确保所有相关单位能够悉数纳入其中，明确分工和职责，以便各司其职，彼此协调工作。 

　　应在管理层的统一组织下，以适当的形式，全面完成气象部门内部的信息资产普查、归属认定、安全需求等级划分以及安全等级保护措施等，制定气象信息资产管理策略、制度和方法，逐步推广实施，从而完成气象信息资产的有效管理。 

　　（2）适时进行信息安全风险评估并制订风险处置方案 

　　制定风险评估方案、选择评估方法，以此为依据完成气象信息安全风险要素识别，发现系统存在的威胁和系统的脆弱性，并确定相应的控制措施。在此基础上，对所有风险逐一判断其发生的可能性和影响的范围及程度，综合各种分析结果，最终逐一判定这些风险各自的等级。 

　　在风险等级判定的基础上，以“将风险始终控制在可接受范围内”为宗旨，制订有针对性的风险处置方案，包括：可接受风险的甄别和确定，不可接受风险的控制程度，风险处置方式的选择和控制措施的确定，制订具体的气象信息安全方案和综合控制措施，科学合理地运用“减低风险”、“转移风险”、“规避风险”和“接受风险”等方法，形成综合的气象信息安全风险处置方案，并部署实施。 

　　（3）建立完整的气象信息安全管理体系 

　　在上述工作以及其它相关工作的基础上，参照BS 7799-2：2002 《信息安全管理体系规范》、 ISO/ IEC17799:2000《信息技术-信息安全管理实施细则》等国际标准，以及GB/T22080-2008《信息安全管理体系要求》、GB/T20269-2006《信息系统安全管理要求》、GB/T20984-2007《信息安全风险评估规范》等国家标准，完成组织落实、措施落实、方案落实和相应文档的编写，以及所有相关的审查、职责界定和制度建设，以构成气象部门的信息安全管理体系。 

　　5.2 将信息安全管理体系纳入气象信息化战略之中 

　　信息安全与信息化发展息息相关，是一切信息化工作的基础，涉及到信息化工作的方方面面。气象部门是以信息采集、分析处理和发布为工作特征的典型的信息应用部门，气象业务系统是典型的信息系统，因此信息安全对于气象部门尤为重要。气象事业的健康发展离不开信息化，也同样离不开信息安全。气象信息安全应当是气象信息化工作中最为重要的内容之一，气象信息安全管理体系的构建和持续改进也应当成为未来气象信息化战略中极其重要的内容。 

　　信息安全是管理问题而非技术问题，从某种角度看，信息安全管理体系是以策略为核心，以管理为基础，以技术为手段的安全理念的具体落实【11】。有什么样的理念，就有什么样的方针、策略、制度措施和体系架构。无法想象在管理理念和安全意识十分落后的思维环境中，能够构建起科学完备的信息安全管理体系来。因此，安全管理理念的全面提高和安全意识的充分到位，是气象信息安全所有工作正常开展的前提。就气象部门管理层而言，着力消除曾长时间弥漫于全部门信息安全领域的重技术轻管理的观念，将关注点从研究安全技术和产品应用转移到信息资产管理、风险识别和控制以及整体安全战略的制定等管理层面上来，是其不可推卸的责任。应当在全部门倡导信息安全意识、制定并推行信息安全制度、确定信息安全责任、组织信息安全培训，构建起完整的气象信息安全管理体系。 

　　6、结语 

　　在政府大力强调信息安全意识，强力推动信息安全工作的背景下，各行各业均把信息安全工作列入本部门或单位的工作议程，气象部门也是如此。但如何科学有效地构建起具有鲜明气象特色的信息安全防护体系，充分把控所有已知的安全风险，使有限的投入得到最大限度的安全回报，这是气象部门管理层和IT工作者需要认真研究并努力实践的工作。 

　　信息安全首先是意识问题、观念问题，要想真正打造安全的业务环境，在气象部门全体员工中（特别是在管理层干部中）树立良好的安全意识，是至关重要的。 

　　2014年，在深刻领会习近平主席“没有信息化就没有现代化”的重要指示精神后，气象部门提出了“没有信息化就没有气象现代化”的口号。那么，针对习主席提出的“没有信息安全就没有国家安全”的另一重要论断，气象部门是否也应提出相应的口号—— 

　　“没有信息安全，就没有气象业务安全”。 

　　笔者期待着能就此在气象部门内达成广泛的共识。 

　　本文在撰写过程中曾多次参考和引用中国信息安全评测中心的CISP认证培训教材，在此深表感谢。 

　　2016年3月9日，初稿于国家气象信息中心 

　　3月10日，修改 

　　【1】中国信息安全法律网：2015年美国《网络安全法》，http://www.infseclaw.net/news/html/ 1219.html 

　　【2】英国国家标准：BS 7799-2:1999《信息安全管理体系规范》，《世界标准信息》，2000年09期。 

　　【3】裴定一：保证信息安全是一种动态的过程，http://www.ccidnet.com/2011/1102/3053191.shtml 

　　【4】毛东东：信息安全是无边界的安全http://www.ailaba.org/zhengzhou/jianzhan/178241159848608x.html 

　　【5】殷勤：《试论非传统安全中的信息安全》，[硕士论文]公共管理：中国人民大学：2005年。 

　　【6】肖鹏：信息安全分享，在Aisit三十人论坛B论坛上的报告，2016年1月28日。 

　　【7】赵刚：《信息安全管理与风险评估》，清华大学出版社，2014年1月第一版 

　　【8】张剑：《信息安全风险管理》，电子科技大学出版社，2015年2月第一版。 

　　【9】陆预林：如何进行企业信息安全目标管理设定，http://articles.e-works.net.cn/security/article81887.htm 

　　【10】ISO/IEC 27001：2006-10-15《信息安全管理体系要求》 

　　【11】吴俊：企业信息化战略中的信息安全体系研究，[硕士论文]工商管理：复旦大学：2003年。