基層單位計算機(jī)信息系統(tǒng)安全現(xiàn)狀及建議

劉文平

1總體情況和存在問題

1.1總體情況。最近筆者有幸參加了縣有關(guān)部門組織的計算機(jī)系統(tǒng)安全檢查,從自查報告和現(xiàn)場檢查情況看,基層單位計算機(jī)信息系統(tǒng)安全保護(hù)工作從重視程度到采取各種保護(hù)措施都較以往有了很大的提高,網(wǎng)絡(luò)信息安全已越來越引起重視。有些單位計算機(jī)信息系統(tǒng)安全保護(hù)工作做得較成功,辦公自動化以及信息資源共享得到普及,為單位各類業(yè)務(wù)系統(tǒng)的安全運(yùn)行提供了可靠的保障;有些單位計算機(jī)信息系統(tǒng)安全保護(hù)工作做得相對較好,建立了完善的信息安全保護(hù)制度,安全保護(hù)技術(shù)措施和管理人員安全保護(hù)意識較強(qiáng),各種規(guī)章制度落實情況也較好。這些單位在安全保障方面的工作經(jīng)驗均值得各單位學(xué)習(xí)。

1.2存在的主要問題。通過本次檢查發(fā)現(xiàn),有些單位計算機(jī)信息系統(tǒng)存在不少安全隱患問題,應(yīng)引起足夠的重視。主要有以下幾方面:

1.2.1安全保護(hù)意識有待增強(qiáng),各種安全保護(hù)措施有待加強(qiáng)。大部分縣直機(jī)關(guān)單位已建立了簡單的技術(shù)防范措施,其中一些單位,采取了有效的安全保護(hù)技術(shù)措施,并能嚴(yán)格執(zhí)行安全保護(hù)制度。但仍有部分單位的信息系統(tǒng)沒有采取任何安全保護(hù)技術(shù)措施,沒有建立相應(yīng)的計算機(jī)安全保護(hù)制度,有的建立了制度,卻落實不到位,管理人員的安全保護(hù)意識薄弱。

同時,從現(xiàn)場檢查情況看,各單位對計算機(jī)信息系統(tǒng)的系統(tǒng)數(shù)據(jù)安全保護(hù)意識普遍較低,涉密數(shù)據(jù)以及重要生產(chǎn)數(shù)據(jù)的存儲及備份機(jī)制不夠完善,存在信息泄密和丟失的隱患。

1.2.2重技術(shù)建設(shè)、輕安全保護(hù)問題較為突出。大部分單位進(jìn)行計算機(jī)信息系統(tǒng)建設(shè)規(guī)劃時,主要考慮了業(yè)務(wù)需求和系統(tǒng)技術(shù)性能要求,沒有將系統(tǒng)的安全保護(hù)措施一并考慮,造成安全保護(hù)工作相對滯后。大部分單位安全保障體系配置的更新和維護(hù)工作不到位,存在被攻擊和入侵的安全隱患。

1.2.3計算機(jī)信息系統(tǒng)、機(jī)房安全保障體系的設(shè)計、建設(shè)和檢測不規(guī)范。相當(dāng)一部分單位的信息系統(tǒng)及計算機(jī)機(jī)房安全保障體系的設(shè)計、建設(shè)和檢測沒有按規(guī)定由具備安全服務(wù)資質(zhì)的企業(yè)承擔(dān),信息系統(tǒng)及計算機(jī)機(jī)房在建成后,未經(jīng)具備安全服務(wù)資質(zhì)的機(jī)構(gòu)檢測合格就投入使用,導(dǎo)致計算機(jī)信息系統(tǒng)安全方面存在諸多問題和隱患。

2加強(qiáng)安全保護(hù)工作的意見和建議

根據(jù)安全檢查的情況,結(jié)合基層單位實際,現(xiàn)就加強(qiáng)基層單位計算機(jī)信息系統(tǒng)安全保護(hù)工作,提出以下意見和建議:

2.1加強(qiáng)領(lǐng)導(dǎo),提高對計算機(jī)信息系統(tǒng)安全保護(hù)工作重要性和緊迫性的認(rèn)識。各單位要組織有關(guān)領(lǐng)導(dǎo)、信息系統(tǒng)安全管理負(fù)責(zé)人以及相關(guān)人員認(rèn)真學(xué)習(xí)《江西省計算機(jī)信息系統(tǒng)安全管理條例》(以下簡稱《管理條例》)和《江西省計算機(jī)信息系統(tǒng)安全保護(hù)辦法》(以下簡稱《管理辦法》),不斷增強(qiáng)信息系統(tǒng)安全保護(hù)意識,做到認(rèn)識到位、措施到位、管理到位。

2.2加強(qiáng)監(jiān)督,加大計算機(jī)信息系統(tǒng)安全管理力度。

2.2.1加強(qiáng)計算機(jī)信息系統(tǒng)安全項目的管理。縣信息中心是指導(dǎo)全縣信息化發(fā)展的職能部門,縣公安局是主管全縣行政區(qū)域內(nèi)計算機(jī)信息系統(tǒng)安全保護(hù)工作的職能部門。

2.2.2進(jìn)一步建立健全計算機(jī)信息系統(tǒng)安全保護(hù)制度。為加大安全管理力度,各單位應(yīng)根據(jù)《管理條例》和《管理辦法》的要求,結(jié)合本單位實際,盡快建立相應(yīng)的信息系統(tǒng)安全保護(hù)制度,并抓好落實。已建立安全保護(hù)制度的單位,要不斷完善,確保干部、職工了解安全保護(hù)制度,明確自己的職責(zé)和任務(wù),增強(qiáng)信息系統(tǒng)安全保護(hù)意識。各單位應(yīng)建立、執(zhí)行的安全保護(hù)制度包括:

(1)計算機(jī)機(jī)房安全管理制度;

(2)信息發(fā)布審核、登記制度;

(3)信息監(jiān)視、保存、清除和備份制度;

(4)病毒檢測和網(wǎng)絡(luò)安全漏洞檢測制度;

(5)帳戶使用登記和操作權(quán)限管理制度;

(6)安全教育和培訓(xùn)制度;

(7)違法案件報告和協(xié)助查處制度

2.2.3加大計算機(jī)信息系統(tǒng)安全建設(shè)力度。各基層單位要加大信息系統(tǒng)安全建設(shè)力度,把建立或改進(jìn)信息系統(tǒng)安全措施工作列入本單位的工作計劃。同時,在進(jìn)行信息系統(tǒng)建設(shè)規(guī)劃時,應(yīng)一并考慮安全保障體系的建設(shè),以及安全保障體系的日常維護(hù)、升級和租用線路等經(jīng)費(fèi)問題。

2.2.4認(rèn)真落實技術(shù)防范措施。根據(jù)《管理條例》,計算機(jī)信息系統(tǒng)使用單位應(yīng)當(dāng)落實以下安全保護(hù)技術(shù)措施:

(1)60日以上系統(tǒng)網(wǎng)絡(luò)運(yùn)行日志和用戶使用日志記錄保存措施;

(2)安全審計和預(yù)警措施;

(3)垃圾郵件清理措施;

(4)身份登記和識別確認(rèn)措施;

(5)計算機(jī)病毒防治措施;

(6)信息群發(fā)限制和有害數(shù)據(jù)防治措施。

同時,各單位要落實專職部門或人員,定期對日常使用的信息系統(tǒng)進(jìn)行自查,及時發(fā)現(xiàn)和消除計算機(jī)信息系統(tǒng)安全隱患。

2.2.5將計算機(jī)信息系統(tǒng)安全納入安全生產(chǎn)管理。鑒于計算機(jī)信息系統(tǒng)與日常生產(chǎn)緊密相連,其運(yùn)行狀況關(guān)系著正常生產(chǎn)工作。因此,建議將計算機(jī)信息系統(tǒng)的安全保障納入安全生產(chǎn)管理。各單位對發(fā)生的重大信息安全事故,須及時向縣信息化領(lǐng)導(dǎo)小組辦公室和縣公安局網(wǎng)絡(luò)安全監(jiān)察部門報告。

2.2.6加強(qiáng)計算機(jī)信息系統(tǒng)及計算機(jī)機(jī)房安全保障體系的設(shè)計、建設(shè)和檢測的監(jiān)督工作。根據(jù)《管理條例》,重點單位計算機(jī)信息系統(tǒng)及計算機(jī)機(jī)房安全保障體系的設(shè)計、建設(shè)和檢測應(yīng)當(dāng)交由有安全服務(wù)資質(zhì)的機(jī)構(gòu)承擔(dān)。

2.3建立健全重大突發(fā)事件應(yīng)急處置工作機(jī)制,提高應(yīng)急處置能力。由信息化領(lǐng)導(dǎo)小組辦公室牽頭,成立縣計算機(jī)信息安全聯(lián)席會議制度,并與各計算機(jī)信息系統(tǒng)使用單位建立工作聯(lián)系機(jī)制,制定重大安全事故處置的應(yīng)急工作預(yù)案及措施,組織應(yīng)急演練,以提高各單位信息系統(tǒng)抵御各種風(fēng)險的能力。

2.4加強(qiáng)機(jī)房管理和防火、防雷工作。各單位要加強(qiáng)對本單位的機(jī)房安全管理和防火、防雷工作。工作人員出入機(jī)房須進(jìn)行身份認(rèn)證或登記,機(jī)房監(jiān)控系統(tǒng)應(yīng)對機(jī)房出入口和關(guān)鍵服務(wù)器進(jìn)行24小時監(jiān)控。同時,機(jī)房應(yīng)采用氣體滅火系統(tǒng),按照有關(guān)技術(shù)標(biāo)準(zhǔn)建設(shè)防雷設(shè)施,并通過防雷部門檢測。

2.5走社會化道路,為信息安全提供持續(xù)有力的技術(shù)保障。鑒于目前計算機(jī)技術(shù)更新速度快,安全保障體系的維護(hù)和配置專業(yè)化程度越來越高,建議使用單位走社會化的道路,將安全保障體系的維護(hù)工作交由具備安全服務(wù)資質(zhì)的公司去做,為信息安全提供持續(xù)有力的技術(shù)保障。