信息安全对于我国海洋信息化的作用和影响

董 瑞，庞静茹，陈 思

（国家海洋信息中心 天津市 300171）

海洋信息化是国家信息化的重要组成部分，也是我国海洋事业发展的重要保障，其不仅是推动我国海洋管理科学化、现代化的必要手段，也是实现我国海洋强国战略目标的有力支撑。众所周知，信息安全是信息化的重要组成部分。信息安全要求信息可控，接触信息的人越少越易控制，而信息化要求信息共享，使用的人越多实现的价值越大。因此，要想实现海洋信息化就必须从可控和共享的融合中发现联系、寻找统一。

1 信息安全与海洋信息化的关系

信息安全是海洋信息化的基础建设之一，贯穿于海洋信息化建设全过程，与海洋信息的价值实现密不可分，在海洋信息化中发挥着重要的壁垒保障作用。

1.1 信息安全的定义及内容

随着信息技术的飞速发展和广泛应用，信息安全的涵义经历了通信保密、信息保护、信息保障3 个发展阶段，已经从单纯信息内容的保密性扩展到信息和信息系统的完整性和可用性，衍生出可控性、抗抵赖性、真实性等其他属性[1]。也就是说，信息安全现今更多地表现为整个信息系统的安全，着眼于信息系统整个生命周期的防御和恢复，而远不止单个信息的安全。这就引出当今通用的信息安全定义：从技术和管理上，使信息网络的硬件、软件及其系统中的信息数据得到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。信息安全就是要通过对整个信息系统的保护，确保信息的真实性、保密性、完整性、可用性、不可抵赖性、可控制性和可审查性。

1.2 海洋信息化的定义及内容

海洋信息化是利用现代信息技术，开发和利用海洋信息资源，促进海洋信息的交流与共享，提升海洋各项工作效率和效益的过程[2]。海洋信息化建设包括4 个层面，一是海洋信息的自动化采集、规范化汇交、数字化转换、标准化处理，这是海洋信息化建设的基础；二是海洋信息技术的大力开发和广泛应用，这是海洋信息化建设的关键；三是海洋信息的全面整合和充分共享，这是海洋信息化建设的核心；四是海洋信息的深入挖掘和高效利用，这是海洋信息化建设的目地。这4 个层面包含了海洋信息的产生、获取、存储、传输、处理、整合、挖掘、应用等诸多环节，无一离得开信息安全的保障。信息安全俨然已经成为决定海洋信息化成败的重要因素。

1.3 信息安全与海洋信息化的关系

信息安全是海洋信息化的基石，存在于海洋信息化的各个环节。从某种意义上讲，信息安全可谓是海洋信息化的生命线。如果没有信息安全作保障，海洋信息的真实性、保密性、完整性、可用性、不可抵赖性、可控制性和可审查性都无法得到保障。海洋信息本身一旦出了问题，海洋信息化追求的充分共享和高效利用就无从谈起。可以说不提高信息安全意识，不重视信息安全问题，不加强信息安全管理，不强化信息安全保障，海洋信息化就不可能实现。如果把海洋信息比作自来水，把实现自来水的有效、可靠供给比作海洋信息化，那么水质监测、检测机构和水务稽查部门就是海洋信息的安全管理机构，自来水净化就是海洋信息的过滤、筛查机制，自来水的应急抢修就是海洋信息系统的漏洞防护，蓄水池的水泥防护就是海洋信息数据库的边界加固，输水管道就是海洋信息传输网络的边界防护，阀门就是海洋信息传输网络的接口控制，水龙头就是海洋信息输出终端的安全控制，水表就是海洋信息的授权访问控制；如果把海洋信息比作车辆，把实现车辆在高速公路的有效、安全行驶比作海洋信息化，那么高速公路管理局就是海洋信息安全管理机构，收费站就是海洋信息的访问控制，高速公路就是海洋信息传输网络的传输线路，摄像头和测速雷达等设备就是海洋信息的安全监控和预警装置，护栏就是海洋信息的安全边界保障，交警就是海洋信息安全应急响应处置人员。通过上述比喻，可以直观地看到信息安全与海洋信息化的紧密关系，脱离了信息安全，海洋信息化就无法得到保障。

2 信息安全在海洋信息化中的作用

海洋信息化的终极目标是通过对海洋信息资源的充分共享和高效利用，提升海洋各项工作的效率和效益。而实现上述目标的一个重要前提就是确保海洋信息的真实性、保密性、完整性、可用性、不可抵赖性、可控制性和可审查性。信息安全正是在这当中发挥了举足轻重的作用。

2.1 确保海洋信息的真实性

真实性就是对海洋信息的来源进行判断，对伪造来源的信息进行过滤，保证来源真实可靠。主要表现在海洋信息的产生状态中。由于海洋信息来自卫星、飞机、船舶、浮标、潜标、岸站等多种载体，来源种类繁多、获取和传输方式复杂。因此，采取信息安全防范措施，甄别海洋信息的来源并给予可信认证、确保获取的海洋信息真实可靠就变得尤为重要。倘若不能鉴别信息来源、实现信息传输渠道的安全可控，得不到真实的海洋信息，那么海洋信息化就丧失了根本意义。

2.2 确保海洋信息的保密性

保密性就是保证非公开海洋信息不被窃取，或窃取者不能了解信息的真实含义，确保只有那些被授予特定权限的人才能访问信息。主要表现在海洋信息的利用状态中。由于海洋工作涉及国家安全和利益，不少海洋信息都属于国家秘密和敏感信息，必须限制访问。这就对海洋信息的保密性提出了很高要求。制定并实施海洋信息安全管理制度可以确定保密的对象、范围和层级，明确什么信息该保，怎么去保，保到什么程度，有效施行访问权限控制。如果保密对象不明确，就不能突出重点、积极防御；如果保密范围过大则会阻碍信息共享和公开，范围过小则会使该保密的信息得不到保护；如果保密层级不清晰，易造成安全保障投入过大、资源浪费。这些都会对海洋信息化建设造成不利影响。

2.3 确保海洋信息的完整性

完整性就是保证海洋信息和处理方法的正确性和完整性，确保海洋信息不会遭到未经授权的、非预期的或无意的修改和破坏。主要表现在海洋信息的存储、传输、使用状态中。包括两个方面，一方面是利用信息技术手段或采用国产可信产品保证操作系统的逻辑正确性和可靠性，实现保护机制的硬件和软件的逻辑完备性、数据结构和存储数据的一致性[1]，有效堵住操作系统和软硬件漏洞，防止海洋信息被恶意修改和破坏；另一方面是通过制定正确得当的海洋信息处理操作方法，进行权限分配和质量控制，通过建立容灾备份安全机制，避免重要海洋信息的丢失或损坏，避免信息系统的瘫痪。可以说，海洋信息和信息系统的正确、完整、可靠，对于海洋信息化来说至关重要。

2.4 确保海洋信息的可用性

可用性就是能够按照用户需要提供可用海洋信息，保证合法用户对海洋信息资源的及时访问和使用不会被不正当地拒绝，即海洋信息及相关资源在授权人需要的时候，可以立即获得。主要表现在海洋信息的传输状态中。海洋信息能否及时地出现在用户面前、供用户使用，决定了海洋信息价值的实现。通过海洋通信传输网络监测、预警以及应急响应等信息安全能力建设，可以有效解决海洋信息的及时供给问题。如果忽视了信息安全建设，海洋通信传输网络异常时就无法及时发现和处理，授权用户就无法使用请求的海洋信息，海洋信息化就无法达到预期的目的。

2.5 确保海洋信息的不可抵赖性

不可抵赖性就是保证海洋信息的发送者提供的交付证据和接受者提供的发送者证据一致，使其以后不能否认信息过程行为。主要表现在海洋信息的传输状态中。信息安全包含的电子签名和认证等机制，可以使海洋信息发送者和接受者都不能抵赖其行为，便于追责和考证。如果信息发送者和接受者可以随意对其行为进行狡辩和抵赖，就会造成海洋信息管理无序、服务混乱，海洋信息化就会与其所追求的最终目标渐行渐远。

2.6 确保海洋信息的可控性

可控性就是对海洋信息的传播及内容具有控制能力[3]，可以控制授权范围内的信息流向及行为方式。通过建立海洋信息安全管理制度限定拷贝信息的传播范围和内容，及时发现非授权传播行为，利用网络信息发布和公开审查机制，对海洋信息发布和公开进行控制和监管，并及时更改授权范围和对象，惩戒非授权传播行为，确保海洋信息在合理范围内正当使用。

2.7 确保海洋信息的可审查性

可审查性就是对出现的海洋信息网络安全问题提供调查的依据和手段[3]。充分利用现代信息安全理念和技术成果，建立海洋信息使用登记、审批备案制度以及海洋信息网络系统审计制度，完善海洋信息使用调查机制，配备相应的监测、检查、取证工具，避免出现问题时无证可依、无据可查，迅速确定责任主体，依法依规进行处置。这一点在海洋信息化的应用服务阶段作用尤为明显。

3 现阶段信息安全相关工作对海洋信息化的影响

弄清信息安全相关工作各自的职责分工及其与信息安全的关系，对于分析信息安全相关工作对海洋信息化的影响具有指导意义。国家信息安全工作由国家信息化领导小组、计算机网络与信息安全领导小组统一领导；工业和信息化部承担通信网络安全及相关信息安全管理的责任，负责协调维护国家信息安全和国家信息安全保障体系建设，协调处理网络与信息安全的重大事件等；公安部负责公共信息网络的安全保护工作，负责信息安全等级保护工作的监督、检查、指导；国家安全部负责因特网外部入侵防范管理、邮件检查及电信侦控等；国家保密局负责国家秘密信息的监督管理等；国家密码管理局负责承担密码及密码设备的分析、检测、综合评估和审批任务等。

3.1 等级保护

等级保护工作是指计算机信息系统安全等级保护工作。海洋信息系统安全等级保护工作是提高海洋信息安全保障水平、确保海洋信息化建设顺利进行的重要手段，主要是针对海洋信息系统展开的系统的信息安全管理工作。当前，由于我国实行行业部门管理为主、综合协调管理为辅的海洋管理体制，使得海洋信息化工作均由相应的海洋行业部门自行规划建设，海洋信息系统数量众多，缺乏海洋全局层面的统筹谋划和顶层设计，重复建设、重复保护问题严重。加之各类海洋信息系统建设多以专项形式予以经费支持，谁负责建设就意味着谁拥有专项资金的支配权，导致各行业乃至行业内的不同部门竞相建设、各行其是，缺乏对海洋信息系统的整合动力，甚至产生抵触。本来只需一套或几套信息安全机制就可以解决海洋信息系统的保护问题，而现在则需要与每个海洋信息系统一一对应。有限的信息安全保障经费，根本无法满足众多海洋信息系统的保护需求。海洋信息系统安全等级保护工作开展几年来，仍然没有找到一个省钱高效的办法确保众多海洋信息系统的安全，很多等级保护措施由于缺乏经费无法得到有效落实，海洋信息系统各节点和终端的安全保护水平也没有得到本质上的提升。这反过来影响了海洋信息安全和海洋信息化建设。鉴于这种状况，如果能够统筹使用各专项中信息化建设特别是信息安全保障工作的经费，突出保护重点，不但能使保护工作有的放矢，而且能在一定程度上促成海洋信息系统的整合，有利推进海洋信息化建设。

3.2 国家安全

国家安全工作就是维护国家安全和利益的工作。在网络时代和信息社会中，信息安全具有头等重要的地位。信息安全作为一种非传统安全因素在国家安全工作中所占比重越来越大，已经成为当今国家安全工作不可或缺的一部分。从目前看，国家安全工作中的信息安全工作重点是，畅通协调沟通机制，增强网络外敌入侵检测预警能力，提高网络外敌入侵等突发事件的处置能力。其对海洋信息化影响最大的就是网络外敌入侵的检测、预警和应急响应。长期以来，我们对国家安全部门的协助防范作用认识不深、重视不够，甚至因怕被国家安全部门侦控和检查而盲目抵触，导致公共网络上的海洋信息保护能力相对薄弱，影响海洋信息在公共信息网络上的传输安全和连接互联网计算机上的存储安全。加强与国家安全部门的密切配合，不断提高海洋信息网络外敌攻击入侵的检测、预警、处置能力，应是今后海洋信息安全工作的一个重要方向。

3.3 保密工作

保密工作就是保守国家秘密的工作。而海洋保密工作就是保守海洋工作中的国家秘密（以下简称海洋秘密）。国家秘密是一种关乎国家安全和利益的重要信息。所以从宏观上讲，海洋秘密是海洋信息的核心。海洋保密工作属于海洋信息安全管理范畴，具有海洋信息安全管理的所有属性，只是与海洋信息安全管理的对象和范围不同。从目前看，海洋保密工作对海洋信息化影响最大的就是《海洋工作中国家秘密密级及其具体范围的规定》。尽管2012年国家海洋行政主管部门会同国家保密行政主管部门对《海洋工作中国家秘密密级及其具体范围的规定》进行了修订，但由于种种原因修订后的规定保密范围限定还不够具体细致，涵盖范围偏大、定密过宽，保留了拖底条款，离保密最小化的原则要求仍然有不小的距离加之解密工作还未常态化展开，大量超过保密期限的海洋秘密未能及时解密，导致很多重要的海洋信息资源成了信息孤岛，得不到充分共享和有效利用，严重制约了海洋信息化发展，延缓了海洋信息化进程。只有秉持“公开是普遍原则，保密是例外”的理念，严格按照国家相关法律法规科学修订《海洋工作中国家秘密密级及其具体范围的规定》，使其既能有效保护海洋秘密，又能保障海洋信息的共享利用，才能实现海洋信息价值最大化。

3.4 密码机要

密码机要工作就是利用密码技术和机要管理，创建重要信息的传输通道，确保重要信息的传输安全。海洋密码机要工作是海洋信息通讯传输网络建设的重要组成部分。从目前看，海洋密码机要工作对海洋信息化影响最大的就是重要海洋信息的即时通讯和海洋源数据的加密传输。前者由于涉及海陆空的复杂即时通讯，且发展速度极快，使海洋信息即时通信的需求与实际供给脱节，导致提供决策的重要海洋信息传输延时、且容易受到安全威胁，虽然现已具备电子邮件加密传输等手段，但应用还不够普及，且无法传输海量的重要海洋信息；后者由于海洋基础数据源种类繁多、获取方式复杂，以现有的信息通讯技术还无法保证对浮标、台站、海床基等观测、监测设施设备获取的海洋基础数据进行全部加密传输，源数据的传输易被窃取或删改，存在安全隐患。这些问题影响了海洋信息的快速利用和真实获取，成为海洋信息化建设过程中亟待解决的问题。

4 结 语

信息安全是海洋信息化的基石，是海洋信息资源管理和利用的安全保证，是实现海洋信息价值的重要条件。我们要深刻理解信息安全对于海洋信息化的重要作用，高度重视信息安全相关工作对于海洋信息化的影响，尽快提高海洋信息安全意识，强化海洋信息安全管理机构，建立海洋信息安全管理协调机制，健全海洋信息安全管理制度和规范，开展海洋信息安全管理体系顶层设计，培养海洋信息安全管理和技术人才，配套海洋信息安全设施设备，加强海洋信息安全管理，真正做到信息安全与海洋信息化建设同规划、同建设、同发展，充分发挥信息安全对海洋信息化的保驾护航作用。

[1] 赵战生，杜虹，吕述望.信息安全保密教程[M].合肥：中国科学技术大学出版社，北京：北京中电电子出版社，2006：28-32.

[2] 国家海洋局.HY/T131-2010 海洋信息化常用术语[S].北京：中国标准出版社，2010.

[3] 李晓娇.浅谈信息化过程中的信息安全问题[J].科技信息，2008（12）.