基層單位計(jì)算機(jī)信息系統(tǒng)安全現(xiàn)狀及建議

劉文平

1總體情況和存在問(wèn)題

1.1總體情況。最近筆者有幸參加了縣有關(guān)部門組織的計(jì)算機(jī)系統(tǒng)安全檢查,從自查報(bào)告和現(xiàn)場(chǎng)檢查情況看,基層單位計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作從重視程度到采取各種保護(hù)措施都較以往有了很大的提高,網(wǎng)絡(luò)信息安全已越來(lái)越引起重視。有些單位計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作做得較成功,辦公自動(dòng)化以及信息資源共享得到普及,為單位各類業(yè)務(wù)系統(tǒng)的安全運(yùn)行提供了可靠的保障;有些單位計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作做得相對(duì)較好,建立了完善的信息安全保護(hù)制度,安全保護(hù)技術(shù)措施和管理人員安全保護(hù)意識(shí)較強(qiáng),各種規(guī)章制度落實(shí)情況也較好。這些單位在安全保障方面的工作經(jīng)驗(yàn)均值得各單位學(xué)習(xí)。

1.2存在的主要問(wèn)題。通過(guò)本次檢查發(fā)現(xiàn),有些單位計(jì)算機(jī)信息系統(tǒng)存在不少安全隱患問(wèn)題,應(yīng)引起足夠的重視。主要有以下幾方面:

1.2.1安全保護(hù)意識(shí)有待增強(qiáng),各種安全保護(hù)措施有待加強(qiáng)。大部分縣直機(jī)關(guān)單位已建立了簡(jiǎn)單的技術(shù)防范措施,其中一些單位,采取了有效的安全保護(hù)技術(shù)措施,并能嚴(yán)格執(zhí)行安全保護(hù)制度。但仍有部分單位的信息系統(tǒng)沒(méi)有采取任何安全保護(hù)技術(shù)措施,沒(méi)有建立相應(yīng)的計(jì)算機(jī)安全保護(hù)制度,有的建立了制度,卻落實(shí)不到位,管理人員的安全保護(hù)意識(shí)薄弱。

同時(shí),從現(xiàn)場(chǎng)檢查情況看,各單位對(duì)計(jì)算機(jī)信息系統(tǒng)的系統(tǒng)數(shù)據(jù)安全保護(hù)意識(shí)普遍較低,涉密數(shù)據(jù)以及重要生產(chǎn)數(shù)據(jù)的存儲(chǔ)及備份機(jī)制不夠完善,存在信息泄密和丟失的隱患。

1.2.2重技術(shù)建設(shè)、輕安全保護(hù)問(wèn)題較為突出。大部分單位進(jìn)行計(jì)算機(jī)信息系統(tǒng)建設(shè)規(guī)劃時(shí),主要考慮了業(yè)務(wù)需求和系統(tǒng)技術(shù)性能要求,沒(méi)有將系統(tǒng)的安全保護(hù)措施一并考慮,造成安全保護(hù)工作相對(duì)滯后。大部分單位安全保障體系配置的更新和維護(hù)工作不到位,存在被攻擊和入侵的安全隱患。

1.2.3計(jì)算機(jī)信息系統(tǒng)、機(jī)房安全保障體系的設(shè)計(jì)、建設(shè)和檢測(cè)不規(guī)范。相當(dāng)一部分單位的信息系統(tǒng)及計(jì)算機(jī)機(jī)房安全保障體系的設(shè)計(jì)、建設(shè)和檢測(cè)沒(méi)有按規(guī)定由具備安全服務(wù)資質(zhì)的企業(yè)承擔(dān),信息系統(tǒng)及計(jì)算機(jī)機(jī)房在建成后,未經(jīng)具備安全服務(wù)資質(zhì)的機(jī)構(gòu)檢測(cè)合格就投入使用,導(dǎo)致計(jì)算機(jī)信息系統(tǒng)安全方面存在諸多問(wèn)題和隱患。

2加強(qiáng)安全保護(hù)工作的意見(jiàn)和建議

根據(jù)安全檢查的情況,結(jié)合基層單位實(shí)際,現(xiàn)就加強(qiáng)基層單位計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作,提出以下意見(jiàn)和建議:

2.1加強(qiáng)領(lǐng)導(dǎo),提高對(duì)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作重要性和緊迫性的認(rèn)識(shí)。各單位要組織有關(guān)領(lǐng)導(dǎo)、信息系統(tǒng)安全管理負(fù)責(zé)人以及相關(guān)人員認(rèn)真學(xué)習(xí)《江西省計(jì)算機(jī)信息系統(tǒng)安全管理?xiàng)l例》(以下簡(jiǎn)稱《管理?xiàng)l例》)和《江西省計(jì)算機(jī)信息系統(tǒng)安全保護(hù)辦法》(以下簡(jiǎn)稱《管理辦法》),不斷增強(qiáng)信息系統(tǒng)安全保護(hù)意識(shí),做到認(rèn)識(shí)到位、措施到位、管理到位。

2.2加強(qiáng)監(jiān)督,加大計(jì)算機(jī)信息系統(tǒng)安全管理力度。

2.2.1加強(qiáng)計(jì)算機(jī)信息系統(tǒng)安全項(xiàng)目的管理。縣信息中心是指導(dǎo)全縣信息化發(fā)展的職能部門,縣公安局是主管全縣行政區(qū)域內(nèi)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作的職能部門。

2.2.2進(jìn)一步建立健全計(jì)算機(jī)信息系統(tǒng)安全保護(hù)制度。為加大安全管理力度,各單位應(yīng)根據(jù)《管理?xiàng)l例》和《管理辦法》的要求,結(jié)合本單位實(shí)際,盡快建立相應(yīng)的信息系統(tǒng)安全保護(hù)制度,并抓好落實(shí)。已建立安全保護(hù)制度的單位,要不斷完善,確保干部、職工了解安全保護(hù)制度,明確自己的職責(zé)和任務(wù),增強(qiáng)信息系統(tǒng)安全保護(hù)意識(shí)。各單位應(yīng)建立、執(zhí)行的安全保護(hù)制度包括:

(1)計(jì)算機(jī)機(jī)房安全管理制度;

(2)信息發(fā)布審核、登記制度;

(3)信息監(jiān)視、保存、清除和備份制度;

(4)病毒檢測(cè)和網(wǎng)絡(luò)安全漏洞檢測(cè)制度;

(5)帳戶使用登記和操作權(quán)限管理制度;

(6)安全教育和培訓(xùn)制度;

(7)違法案件報(bào)告和協(xié)助查處制度

2.2.3加大計(jì)算機(jī)信息系統(tǒng)安全建設(shè)力度。各基層單位要加大信息系統(tǒng)安全建設(shè)力度,把建立或改進(jìn)信息系統(tǒng)安全措施工作列入本單位的工作計(jì)劃。同時(shí),在進(jìn)行信息系統(tǒng)建設(shè)規(guī)劃時(shí),應(yīng)一并考慮安全保障體系的建設(shè),以及安全保障體系的日常維護(hù)、升級(jí)和租用線路等經(jīng)費(fèi)問(wèn)題。

2.2.4認(rèn)真落實(shí)技術(shù)防范措施。根據(jù)《管理?xiàng)l例》,計(jì)算機(jī)信息系統(tǒng)使用單位應(yīng)當(dāng)落實(shí)以下安全保護(hù)技術(shù)措施:

(1)60日以上系統(tǒng)網(wǎng)絡(luò)運(yùn)行日志和用戶使用日志記錄保存措施;

(2)安全審計(jì)和預(yù)警措施;

(3)垃圾郵件清理措施;

(4)身份登記和識(shí)別確認(rèn)措施;

(5)計(jì)算機(jī)病毒防治措施;

(6)信息群發(fā)限制和有害數(shù)據(jù)防治措施。

同時(shí),各單位要落實(shí)專職部門或人員,定期對(duì)日常使用的信息系統(tǒng)進(jìn)行自查,及時(shí)發(fā)現(xiàn)和消除計(jì)算機(jī)信息系統(tǒng)安全隱患。

2.2.5將計(jì)算機(jī)信息系統(tǒng)安全納入安全生產(chǎn)管理。鑒于計(jì)算機(jī)信息系統(tǒng)與日常生產(chǎn)緊密相連,其運(yùn)行狀況關(guān)系著正常生產(chǎn)工作。因此,建議將計(jì)算機(jī)信息系統(tǒng)的安全保障納入安全生產(chǎn)管理。各單位對(duì)發(fā)生的重大信息安全事故,須及時(shí)向縣信息化領(lǐng)導(dǎo)小組辦公室和縣公安局網(wǎng)絡(luò)安全監(jiān)察部門報(bào)告。

2.2.6加強(qiáng)計(jì)算機(jī)信息系統(tǒng)及計(jì)算機(jī)機(jī)房安全保障體系的設(shè)計(jì)、建設(shè)和檢測(cè)的監(jiān)督工作。根據(jù)《管理?xiàng)l例》,重點(diǎn)單位計(jì)算機(jī)信息系統(tǒng)及計(jì)算機(jī)機(jī)房安全保障體系的設(shè)計(jì)、建設(shè)和檢測(cè)應(yīng)當(dāng)交由有安全服務(wù)資質(zhì)的機(jī)構(gòu)承擔(dān)。

2.3建立健全重大突發(fā)事件應(yīng)急處置工作機(jī)制,提高應(yīng)急處置能力。由信息化領(lǐng)導(dǎo)小組辦公室牽頭,成立縣計(jì)算機(jī)信息安全聯(lián)席會(huì)議制度,并與各計(jì)算機(jī)信息系統(tǒng)使用單位建立工作聯(lián)系機(jī)制,制定重大安全事故處置的應(yīng)急工作預(yù)案及措施,組織應(yīng)急演練,以提高各單位信息系統(tǒng)抵御各種風(fēng)險(xiǎn)的能力。

2.4加強(qiáng)機(jī)房管理和防火、防雷工作。各單位要加強(qiáng)對(duì)本單位的機(jī)房安全管理和防火、防雷工作。工作人員出入機(jī)房須進(jìn)行身份認(rèn)證或登記,機(jī)房監(jiān)控系統(tǒng)應(yīng)對(duì)機(jī)房出入口和關(guān)鍵服務(wù)器進(jìn)行24小時(shí)監(jiān)控。同時(shí),機(jī)房應(yīng)采用氣體滅火系統(tǒng),按照有關(guān)技術(shù)標(biāo)準(zhǔn)建設(shè)防雷設(shè)施,并通過(guò)防雷部門檢測(cè)。

2.5走社會(huì)化道路,為信息安全提供持續(xù)有力的技術(shù)保障。鑒于目前計(jì)算機(jī)技術(shù)更新速度快,安全保障體系的維護(hù)和配置專業(yè)化程度越來(lái)越高,建議使用單位走社會(huì)化的道路,將安全保障體系的維護(hù)工作交由具備安全服務(wù)資質(zhì)的公司去做,為信息安全提供持續(xù)有力的技術(shù)保障。