美國地調(diào)局自動信息系統(tǒng)安全管理及其對國家地質(zhì)資料數(shù)據(jù)中心建設(shè)的啟示

張翠光　卜小平　侯榮玖　左群超　后立勝　劉振鋒

〔摘 要〕美國地調(diào)局非常重視其包括網(wǎng)絡(luò)服務(wù)在內(nèi)的自動信息系統(tǒng)安全，以保護(hù)美國地調(diào)局所有信息技術(shù)設(shè)備及其所處理的數(shù)據(jù)。美國地調(diào)局自動信息系統(tǒng)敏感等級分為4個(gè)等級，對所有自動信息系統(tǒng)制定了相應(yīng)的安全管理措施，包括安全規(guī)劃、風(fēng)險(xiǎn)管理、信息資源的保護(hù)、應(yīng)急計(jì)劃、敏感應(yīng)用程序安全、職工安全培訓(xùn)、人事安全及報(bào)告制度等。通過研究，對我國國家地質(zhì)資料數(shù)據(jù)中心建設(shè)安全工作提出了參考性建議。

〔關(guān)鍵詞〕美國地調(diào)局；自動信息系統(tǒng)；安全；啟示

〔中圖分類號〕G250.74 〔文獻(xiàn)標(biāo)識碼〕B 〔文章編號〕1008-0821(2009)03-0212-04

美國地調(diào)局將提供地質(zhì)信息列入其戰(zhàn)略計(jì)劃或工作計(jì)劃，強(qiáng)調(diào)要利用網(wǎng)絡(luò)和信息技術(shù)及時(shí)有效地為用戶提供綜合、客觀的地質(zhì)信息服務(wù)[1]，同時(shí)非常重視其包括網(wǎng)絡(luò)服務(wù)在內(nèi)的自動信息系統(tǒng)安全管理[2]。自動信息系統(tǒng)安全管理是指用來保護(hù)自動信息系統(tǒng)資源免于丟失、破壞或?yàn)E用所做的管理控制和保衛(wèi)工作。研究美國地調(diào)局自動信息系統(tǒng)安全管理，對我國國家地質(zhì)資料數(shù)據(jù)中心安全管理具有重要的借鑒和指導(dǎo)作用。

1 美國地調(diào)局自動信息系統(tǒng)安全管理

1.1 美國地調(diào)局自動信息系統(tǒng)安全管理方針

保護(hù)美國地調(diào)局所有信息技術(shù)設(shè)施，避免被損失、破壞、偷竊和濫用；保護(hù)所有美國地調(diào)局自動信息系統(tǒng)所處理的數(shù)據(jù)，避免發(fā)生未被授權(quán)的泄露、修改或破壞；自動信息系統(tǒng)所產(chǎn)生、處理、存儲或傳輸信息受保護(hù)的等級與其敏感等級相一致；對違反聯(lián)邦、部門或局關(guān)于自動信息系統(tǒng)安全法規(guī)者將受到相應(yīng)的行政、法律制裁。

1.2 美國地調(diào)局自動信息系統(tǒng)敏感等級分類

敏感自動信息系統(tǒng)是指運(yùn)行處理敏感數(shù)據(jù)的計(jì)算機(jī)應(yīng)用程序的自動信息系統(tǒng)(設(shè)施、硬件、操作系統(tǒng)軟件、通信系統(tǒng)，等)，其中敏感數(shù)據(jù)是指由于數(shù)據(jù)的故意或意外泄露、更改或破壞會導(dǎo)致?lián)p失或危害的風(fēng)險(xiǎn)及數(shù)量較大而要求保護(hù)的數(shù)據(jù)。美國地調(diào)局為了給每一個(gè)信息系統(tǒng)采取相應(yīng)的保護(hù)措施，對其給定了相應(yīng)的敏感等級，并要求一、二級敏感信息系統(tǒng)應(yīng)到美國地調(diào)局信息系統(tǒng)管理中備案，而0級敏感信息系統(tǒng)不需備案。0級敏感信息相當(dāng)于公開信息；一、二級信息系統(tǒng)的信息不屬于美國國家規(guī)定的保密信息，是根據(jù)其工作任務(wù)、商業(yè)目的及其價(jià)值大小等而設(shè)定；三級敏感信息系統(tǒng)的信息才是真正的保密信息。

0級(非敏感性)自動信息系統(tǒng):自動信息系統(tǒng)上的信息不準(zhǔn)確、更改、泄露或不能利用對美國地調(diào)局的任務(wù)、功能、形象或榮譽(yù)的影響可以忽略不計(jì)。即使有影響，影響也是微不足道，或者導(dǎo)致僅僅很小的有形資產(chǎn)或資源的損失。

一級敏感自動信息系統(tǒng):自動信息系統(tǒng)上的信息不準(zhǔn)確、更改、泄露或不能利用對美國地調(diào)局的任務(wù)、功能、形象或榮譽(yù)影響較小。系統(tǒng)安全方面出現(xiàn)問題可能對有形資產(chǎn)或資源的損失造成潛在的不利影響。

二級敏感自動信息系統(tǒng):自動信息系統(tǒng)上的信息不準(zhǔn)確、更改、泄露或不能利用對美國地調(diào)局的任務(wù)、功能、形象或榮譽(yù)可能產(chǎn)生重要的不利影響。系統(tǒng)安全出現(xiàn)問題可能導(dǎo)致美國地調(diào)局不能完成其1個(gè)或多個(gè)計(jì)劃任務(wù)或商業(yè)功能，或者導(dǎo)致重大的有形資產(chǎn)和資源損失。系統(tǒng)生命周期的開支一般超過1千萬美元。

三級敏感自動信息系統(tǒng):自動信息系統(tǒng)處理機(jī)密信息。一般由提供美國地調(diào)局機(jī)密信息的聯(lián)邦機(jī)構(gòu)制定自動信息處理要求。根據(jù)機(jī)密信息提供者建立的要求，系統(tǒng)的鑒定及認(rèn)可應(yīng)備案。根據(jù)其敏感性再分為類似于秘密、機(jī)密、絕密3個(gè)等級。

1.3 自動信息系統(tǒng)安全規(guī)劃構(gòu)成

確定潛在的威脅和薄弱點(diǎn)，并建立全面的安全保護(hù)制度減少威脅和薄弱點(diǎn)，才能使自動信息系統(tǒng)安全計(jì)劃有效，為此美國地調(diào)局建立了自動信息系統(tǒng)安全規(guī)劃。

1.3.1 安全規(guī)劃

美國地調(diào)局認(rèn)為全面的安全規(guī)劃是任何一個(gè)自動信息系統(tǒng)安全管理的重要部分。美國地調(diào)局支持美國地質(zhì)調(diào)查局所有自動信息系統(tǒng)活動，認(rèn)為安全規(guī)劃是安全管理實(shí)施過程不可分割的部分:(1)安全規(guī)劃為年度預(yù)算的一部分，保證所有自動信息資源有經(jīng)費(fèi)支持，使自動信息系統(tǒng)資源得到充分的保護(hù)；(2)處理敏感信息的所有自動信息系統(tǒng)(設(shè)施和應(yīng)用程序)應(yīng)有正式安全規(guī)劃。在新的敏感自動信息系統(tǒng)開發(fā)階段必須準(zhǔn)備初始計(jì)劃和原系統(tǒng)升級年度計(jì)劃，以反映系統(tǒng)安全執(zhí)行情況和/或主要變化。在計(jì)劃中提供的內(nèi)容要反映系統(tǒng)的大小和復(fù)雜性，規(guī)定系統(tǒng)的基本內(nèi)容和格式應(yīng)遵守當(dāng)前最流行的美國國家管理和預(yù)算局所提供的指導(dǎo)方針。

1.3.2 風(fēng)險(xiǎn)管理

所有擁有或管理自動信息系統(tǒng)的美國地調(diào)局機(jī)構(gòu)必須執(zhí)行和維護(hù)風(fēng)險(xiǎn)管理計(jì)劃，以幫助相應(yīng)的安全保護(hù)措施到位以保護(hù)好所有的信息資源。規(guī)定管理人員應(yīng)知道他們信息資源的潛在威脅和薄弱點(diǎn)。一旦知道潛在威脅、薄弱點(diǎn)和潛在的安全保護(hù)選項(xiàng)，管理上就應(yīng)確定各種安全保護(hù)選項(xiàng)的必要措施和經(jīng)費(fèi)/利益。風(fēng)險(xiǎn)管理一般包括風(fēng)險(xiǎn)分析、安全措施的實(shí)施和風(fēng)險(xiǎn)分析頻率3個(gè)方面的內(nèi)容:

(1)風(fēng)險(xiǎn)分析

風(fēng)險(xiǎn)分析是設(shè)施或敏感應(yīng)用程序定期檢查或應(yīng)急計(jì)劃處理的組成部分。美國地調(diào)局要求在現(xiàn)存的計(jì)算機(jī)設(shè)施或敏感應(yīng)用程序發(fā)生主要變化時(shí)或在批準(zhǔn)敏感自動信息系統(tǒng)設(shè)計(jì)之前作風(fēng)險(xiǎn)分析。風(fēng)險(xiǎn)分析的范圍、復(fù)雜性和頻率與自動信息系統(tǒng)處理數(shù)據(jù)的敏感性和被保護(hù)資源的價(jià)值相稱。風(fēng)險(xiǎn)分析過程步驟如下:(a)估計(jì)自動信息系統(tǒng)(硬件、軟件、數(shù)據(jù)、設(shè)備、人員)資產(chǎn)(現(xiàn)存的或計(jì)劃的)和系統(tǒng)資源相關(guān)的費(fèi)用(價(jià)值)，包括數(shù)據(jù)敏感性的確定；(b)識別和評定自動信息系統(tǒng)的潛在威脅，包括破壞正常操作、導(dǎo)致系統(tǒng)資產(chǎn)破壞或損失，或其他自然災(zāi)害或危險(xiǎn)因素和人為因素。并根據(jù)每一個(gè)潛在威脅產(chǎn)生的可能性分出威脅等級；(c)找出脆弱點(diǎn)，包括確定或找出在敏感應(yīng)用程序、自動信息系統(tǒng)或信息技術(shù)設(shè)備中可能導(dǎo)致安全威脅的弱點(diǎn)或缺點(diǎn)；(d)評估潛在損失，在確定威脅和脆弱點(diǎn)之后，還應(yīng)將包括恢復(fù)損失和破壞數(shù)據(jù)的潛在損失定量化；(e)根據(jù)遇到的威脅和脆弱點(diǎn)，確定可能的安全保護(hù)措施及其相關(guān)費(fèi)用。確定的安全保護(hù)費(fèi)用應(yīng)與未實(shí)施安全保護(hù)措施所造成的預(yù)期損失的費(fèi)用相比較。如果安全保護(hù)措施花費(fèi)超過了預(yù)期保護(hù)利益，那么不應(yīng)采取安全保護(hù)措施。

(2)安全措施的實(shí)施

在風(fēng)險(xiǎn)分析完成之后，管理部門必須決定是否執(zhí)行成本合算的安全保護(hù)或接受這種風(fēng)險(xiǎn)。如果風(fēng)險(xiǎn)分析表明接受這種風(fēng)險(xiǎn)不符合聯(lián)邦、部門或美國地調(diào)局的有關(guān)規(guī)定，那么必須采取必要的保護(hù)措施以最低限度符合這些規(guī)定:(a)利用風(fēng)險(xiǎn)分析結(jié)果，設(shè)備擁有者和敏感應(yīng)用程序擁有者應(yīng)選擇具體的最大限度保護(hù)設(shè)施和數(shù)據(jù)的安全措施；(b)除違反法規(guī)問題外，管理部門可以選擇接受與找出的威脅或脆弱點(diǎn)相關(guān)的風(fēng)險(xiǎn)。如果這樣，自動信息系統(tǒng)所有者必須簽訂一個(gè)聲明，承認(rèn)他們了解不執(zhí)行正確的推薦行動相關(guān)的風(fēng)險(xiǎn)。

(3)風(fēng)險(xiǎn)分析頻率

美國地調(diào)局對風(fēng)險(xiǎn)分析的次數(shù)做了相應(yīng)的規(guī)定:對美國地調(diào)局所有計(jì)算機(jī)設(shè)施至少5年1次；對敏感應(yīng)用程序和敏感計(jì)算機(jī)設(shè)施至少3年1次；在敏感應(yīng)用程序或任何計(jì)算機(jī)設(shè)施進(jìn)行實(shí)質(zhì)性改變時(shí)應(yīng)進(jìn)行風(fēng)險(xiǎn)分析；在計(jì)劃一個(gè)新的系統(tǒng)或設(shè)施開發(fā)時(shí)，應(yīng)進(jìn)行風(fēng)險(xiǎn)分析。

1.3.3 信息資源的保護(hù)

為了使美國地調(diào)局信息資源從風(fēng)險(xiǎn)分析中確定的風(fēng)險(xiǎn)和脆弱點(diǎn)得到合理的保護(hù)，自動信息系統(tǒng)所有者必須采取具體的保護(hù)措施。一般考慮如下類型的安全保護(hù)措施保護(hù)信息資源:(1)物理安全:采取適當(dāng)?shù)牟僮骱鸵?guī)程減少自動信息系統(tǒng)受到的諸如偷盜、意外或故意破壞、非授權(quán)或非法訪問或非授權(quán)信息泄露等威脅；(2)技術(shù)安全:使用適當(dāng)?shù)谋Ｗo(hù)措施(如:密碼、個(gè)人ID識別裝置、殺毒軟件、訪問利用控制表、用戶活動監(jiān)測軟件、加密術(shù)或回?fù)苷{(diào)制調(diào)節(jié)器)防止非授權(quán)的訪問或非法的自動信息系統(tǒng)軟件或數(shù)據(jù)的使用；(3)管理安全:制定或分發(fā)詳細(xì)的指導(dǎo)規(guī)程使所有自動信息系統(tǒng)得到正確的保護(hù)。

1.3.4 應(yīng)急計(jì)劃

為了使服務(wù)中斷等故障最小，應(yīng)對每個(gè)計(jì)算機(jī)設(shè)備和敏感應(yīng)用程序開發(fā)一個(gè)應(yīng)急計(jì)劃。定期評估每一個(gè)應(yīng)急計(jì)劃，確定是否需要對其修改以反映系統(tǒng)或人員情況變化。任何應(yīng)急計(jì)劃的復(fù)雜性和范圍要與自動信息系統(tǒng)所處理數(shù)據(jù)的敏感等級相稱。應(yīng)急計(jì)劃至少包括下列項(xiàng)目:(1)數(shù)據(jù)和軟件的備份存儲器和恢復(fù)規(guī)程；(2)與緊急事件相對應(yīng)的處理規(guī)程、可選處理能力的說明，在必要情況下轉(zhuǎn)移操作到另外一個(gè)可選擇操作的程序等恢復(fù)操作的過程；(3)計(jì)算機(jī)設(shè)施應(yīng)急計(jì)劃與任何敏感應(yīng)用程序應(yīng)急計(jì)劃應(yīng)具一致性；(4)定期檢查應(yīng)急計(jì)劃。

1.3.5 敏感應(yīng)用程序安全

美國國家管理和預(yù)算局A-130通告要求，負(fù)責(zé)開發(fā)和維護(hù)處理敏感數(shù)據(jù)的美國地調(diào)局計(jì)算機(jī)應(yīng)用程序的管理者應(yīng)建立管理控制方法，對所有新的應(yīng)用程序和現(xiàn)存應(yīng)用程序的重大變化應(yīng)采取相應(yīng)的物理、技術(shù)和管理安全保護(hù)措施。敏感應(yīng)用程序管理控制至少包括:(1)安全技術(shù)條件:根據(jù)預(yù)先的風(fēng)險(xiǎn)分析結(jié)果，在應(yīng)用程序獲取或正式開發(fā)之前，應(yīng)規(guī)定或批準(zhǔn)安全要求和安全技術(shù)條件。為一個(gè)應(yīng)用程序規(guī)定和批準(zhǔn)安全規(guī)程時(shí)，應(yīng)把對處理敏感應(yīng)用程序的計(jì)算機(jī)設(shè)施進(jìn)行的風(fēng)險(xiǎn)分析和管理控制檢查的結(jié)果考慮進(jìn)去；(2)設(shè)計(jì)審查和系統(tǒng)測試:在執(zhí)行敏感應(yīng)用程序之前應(yīng)進(jìn)行設(shè)計(jì)評審和系統(tǒng)測試，使安全保護(hù)符合批準(zhǔn)的安全技術(shù)條件；(3)認(rèn)證:在執(zhí)行應(yīng)用程序之前，新的或?qū)嵸|(zhì)性改進(jìn)的敏感應(yīng)用程序的所有者或管理者應(yīng)向局自動信息系統(tǒng)安全行政主管書面證明，證明其符合所有現(xiàn)行的自動信息系統(tǒng)方針、法規(guī)、標(biāo)準(zhǔn)，同時(shí)系統(tǒng)測試的結(jié)果證實(shí)配備的安全保護(hù)措施充分。認(rèn)證過程包括對應(yīng)用程序管理和安全控制的評價(jià)；(4)定期重新認(rèn)證:所有敏感應(yīng)用程序必須每3年認(rèn)證1次。

1.3.6 計(jì)算機(jī)安全知識培訓(xùn)活動

對所有涉及在美國地質(zhì)調(diào)查局之內(nèi)或監(jiān)督之下的每一個(gè)敏感聯(lián)邦信息系統(tǒng)管理、使用或操作的職員，美國地質(zhì)調(diào)查局為他們提供定期計(jì)算機(jī)安全知識強(qiáng)制性的培訓(xùn)和公認(rèn)的計(jì)算機(jī)安全鍛煉。所有使用、管理和操作敏感自動信息系統(tǒng)的新職員在他們上崗60天之內(nèi)必須接受計(jì)算機(jī)安全知識培訓(xùn)。培訓(xùn)用來增強(qiáng)職員了解計(jì)算機(jī)系統(tǒng)的威脅和薄弱點(diǎn)，強(qiáng)調(diào)保護(hù)美國地調(diào)局自動信息資源和正確使用他們的資源的責(zé)任。計(jì)算機(jī)安全培訓(xùn)應(yīng)有證明文件，并保留在每一個(gè)職工的正式個(gè)人檔案中。計(jì)算機(jī)安全知識培訓(xùn)包括:(1)基本知識培訓(xùn):使職工對威脅和薄弱點(diǎn)產(chǎn)生敏感性，認(rèn)識保護(hù)數(shù)據(jù)、信息的必要性和處理他們的方法；(2)高級培訓(xùn):為敏感自動信息系統(tǒng)所有者/管理者、管理員、信息技術(shù)人員和計(jì)算機(jī)安全管理員提供相關(guān)能力，使他們能履行風(fēng)險(xiǎn)分析、制定自動信息系統(tǒng)保護(hù)計(jì)劃、執(zhí)行安全措施或評價(jià)現(xiàn)存安全系統(tǒng)的有效性。

1.3.7 報(bào)告安全事故

對造成自動信息系統(tǒng)技術(shù)、數(shù)據(jù)和服務(wù)設(shè)施網(wǎng)的破壞，或?qū)е旅舾凶詣有畔⑾到y(tǒng)欺騙、或非授權(quán)的泄露等安全事故，所有職員和協(xié)議人員有責(zé)任向上級報(bào)告相關(guān)事故:(1)包括自動信息系統(tǒng)設(shè)備的偷竊或惡意破壞、欺騙、擾亂國家安全、或其他濫用自動信息資源的事故必須立即依據(jù)所處環(huán)境和位置向局安全官員和/或其他地方執(zhí)法人員報(bào)告；(2)包括試圖非法訪問利用任何美國地調(diào)局自動信息資源、惡意密碼事故或敏感信息的非法泄露等事故必須立即向自動信息系統(tǒng)安全管理人員和向局自動信息系統(tǒng)安全行政主管官員報(bào)告。

1.4 人事安全

美國地調(diào)局規(guī)定各部門建立方針或規(guī)程，屏蔽所有參與敏感計(jì)算機(jī)系統(tǒng)設(shè)計(jì)、開發(fā)、操作或維護(hù)人員及可以使用敏感數(shù)據(jù)的人員。屏蔽等級根據(jù)數(shù)據(jù)敏感等級以及由個(gè)人造成的風(fēng)險(xiǎn)等級、損失或危害大小而定。所有負(fù)有管理、設(shè)計(jì)、開發(fā)、操作、維護(hù)或使用美國地調(diào)局任何計(jì)算機(jī)系統(tǒng)的任何職位的人員必須賦予與數(shù)據(jù)敏感等級、風(fēng)險(xiǎn)大小及由個(gè)人導(dǎo)致的損失或危害程度大小相匹配的風(fēng)險(xiǎn)責(zé)任。美國地調(diào)局所有計(jì)算機(jī)系統(tǒng)使用者必須有適當(dāng)?shù)谋尘罢{(diào)查，所要求的調(diào)查必須與所設(shè)定崗位的敏感等級相匹配。

1.5 年度報(bào)告制度

美國地調(diào)局規(guī)定了自動信息安全管理規(guī)定的年度報(bào)告制度。每一個(gè)分機(jī)構(gòu)自動信息系統(tǒng)安全官員每年應(yīng)向局自動信息系統(tǒng)安全管理行政官員報(bào)告現(xiàn)行設(shè)備及敏感應(yīng)用程序安全職員名單。對每一個(gè)設(shè)施或敏感應(yīng)用程序至少必須提供以下信息:安全職員及候選人姓名和電話號碼、設(shè)施和敏感應(yīng)用程序的名稱及地址、每一職員所要求安全培訓(xùn)的水平。這些最新列表每年9月交給局自動信息系統(tǒng)安全行政管理官員。

人事人員要向局自動信息系統(tǒng)安全行政管理者提供以經(jīng)濟(jì)年度為基礎(chǔ)的美國地調(diào)局安全知識培訓(xùn)情況。報(bào)告將包括如下信息:在財(cái)政年度期間，接受基本知識和/或全面計(jì)算機(jī)安全培訓(xùn)的職員和協(xié)議人員(非管理)的數(shù)量、在財(cái)政年度期間接收計(jì)算機(jī)安全知識培訓(xùn)的管理人員數(shù)量。另外，每分機(jī)構(gòu)自動信息安全官員應(yīng)向局自動信息系統(tǒng)安全管理者提供下一個(gè)財(cái)政年度里在上述類目中需要接受培訓(xùn)職員和協(xié)議人員的數(shù)量。每年九月一日將報(bào)告交到局自動信息系統(tǒng)安全行政管理部門。

敏感自動信息系統(tǒng)所有者有責(zé)任維護(hù)他們的敏感信息系統(tǒng)安全規(guī)劃。敏感自動信息系統(tǒng)所有者每年對他們分機(jī)構(gòu)自動信息系統(tǒng)安全管理人員的更新材料及信息系統(tǒng)更新情況上報(bào)局自動信息系統(tǒng)安全管理部門。更新計(jì)劃應(yīng)反映自動信息系統(tǒng)硬件、軟件或功能的主要變化、安全執(zhí)行情況，系統(tǒng)認(rèn)證或重新認(rèn)證計(jì)劃、應(yīng)急計(jì)劃的檢查計(jì)劃。

2 對我國國家地質(zhì)資料數(shù)據(jù)中心建設(shè)安全管理的啟示

筆者認(rèn)為美國地調(diào)局自動信息系統(tǒng)安全管理中好的方法對我國國家地質(zhì)資料數(shù)據(jù)中心建設(shè)中安全管理有借鑒意義。國家地質(zhì)資料數(shù)據(jù)中心的安全管理應(yīng)采取如下的安全管理措施:

2.1 建立國家地質(zhì)資料數(shù)據(jù)中心安全規(guī)劃

安全規(guī)劃是國家地質(zhì)資料數(shù)據(jù)中心建設(shè)方案中不可分割的部分，同時(shí)安全規(guī)劃應(yīng)是地質(zhì)資料管理年度預(yù)算的一部分，安全管理需要有穩(wěn)定的項(xiàng)目經(jīng)費(fèi)支持，使信息資源可以得到充分的保護(hù)。

2.2 應(yīng)進(jìn)行國家地質(zhì)資料數(shù)據(jù)中心風(fēng)險(xiǎn)分析

國家地質(zhì)資料數(shù)據(jù)中心風(fēng)險(xiǎn)分析的范圍、頻率應(yīng)根據(jù)地質(zhì)資料密級及所保護(hù)資源的價(jià)值而定。風(fēng)險(xiǎn)分析內(nèi)容包括:(1)估計(jì)系統(tǒng)資產(chǎn)及資源的價(jià)值；(2)找出存在的威脅及脆弱點(diǎn)；(3)根據(jù)存在的威脅及弱點(diǎn)確定相應(yīng)的保護(hù)措施及經(jīng)費(fèi)；(4)制定應(yīng)急計(jì)劃，一旦出現(xiàn)緊急情況，采用應(yīng)急方案使服務(wù)正常進(jìn)行。應(yīng)急計(jì)劃的復(fù)雜性和范圍應(yīng)與所處理資料的密級相稱。

2.3 采取措施保護(hù)國家地質(zhì)資料數(shù)據(jù)中心的數(shù)據(jù)資源

地質(zhì)資料數(shù)據(jù)中心的信息資源是我國的基礎(chǔ)地質(zhì)信息，應(yīng)采取類似美國地調(diào)局相似的物理安全、技術(shù)安全及管理安全措施保護(hù)數(shù)據(jù)資源。需要引起重視的是在網(wǎng)絡(luò)服務(wù)時(shí)也應(yīng)像美國地調(diào)局那樣防止非授權(quán)的訪問或非法的數(shù)據(jù)資源的使用，作為國家基礎(chǔ)地質(zhì)信息的地質(zhì)資料很多信息是屬于內(nèi)部資料范疇，同時(shí)還存在知識產(chǎn)權(quán)等相關(guān)問題，在用戶范圍無法控制的情況下通過外網(wǎng)向全世界提供實(shí)為不妥。美國地調(diào)局重視自身利益的保護(hù)，大部分?jǐn)?shù)據(jù)資源需要一定費(fèi)用才提供[3]。美國地調(diào)局網(wǎng)絡(luò)服務(wù)時(shí)用戶(單位或個(gè)人)需要申請，經(jīng)審查同意后授予用戶ID、密碼及有效期，同時(shí)對于部分用戶根據(jù)情況簽訂相應(yīng)的協(xié)議[4]。對于網(wǎng)上公開的免費(fèi)數(shù)據(jù)資源，美國內(nèi)務(wù)部及美國地調(diào)局宣稱他們不能控制和不能保證所連網(wǎng)址包含數(shù)據(jù)的準(zhǔn)確性、可靠性、相關(guān)性、及時(shí)性及完整性；也不授權(quán)所連接網(wǎng)址材料的版權(quán)使用，用戶必須從所連網(wǎng)址的主辦者那里得到相關(guān)權(quán)限才能使用[5]。美國地調(diào)局的這些措施值得我們借鑒。

2.4 應(yīng)加強(qiáng)計(jì)算機(jī)安全知識培訓(xùn)