韓明霞

摘 要：政府機(jī)關(guān)網(wǎng)絡(luò)信息安全是國(guó)家網(wǎng)絡(luò)信息安全的重要組成部分。然而，相對(duì)于電信、金融、軍事等機(jī)構(gòu)經(jīng)過(guò)十幾年發(fā)展起來(lái)的高標(biāo)準(zhǔn)管理，政府機(jī)關(guān)的網(wǎng)絡(luò)信息管理卻具有很多先天的不足。隨著政府電子政務(wù)戰(zhàn)略的實(shí)施和推廣，越來(lái)越多的政府機(jī)關(guān)工作流程和政務(wù)信息實(shí)現(xiàn)了電子化、網(wǎng)絡(luò)化，越來(lái)越多的信息披露和與公民的互動(dòng)依賴網(wǎng)絡(luò)，網(wǎng)絡(luò)信息安全出現(xiàn)問(wèn)題后的影響會(huì)越來(lái)越大，如何加強(qiáng)政府機(jī)關(guān)網(wǎng)絡(luò)信息安全管理工作已經(jīng)成為各級(jí)政府越來(lái)越需要重視的課題。該文簡(jiǎn)要分析了政府機(jī)關(guān)網(wǎng)絡(luò)信息安全存在的典型問(wèn)題，并系統(tǒng)性地闡述了防范這些問(wèn)題的一些關(guān)鍵策略。

關(guān)鍵詞：政府機(jī)關(guān) 網(wǎng)絡(luò) 信息安全 防范策略

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-3791（2015）12（a）-0242-02

1 政府機(jī)關(guān)網(wǎng)絡(luò)信息安全存在的問(wèn)題

雖然各級(jí)政府機(jī)關(guān)對(duì)網(wǎng)絡(luò)信息安全問(wèn)題已經(jīng)有了不同程度的認(rèn)識(shí)，但由于對(duì)網(wǎng)絡(luò)信息安全的管理水平參差不齊，仍然存在非常嚴(yán)重的問(wèn)題，主要體現(xiàn)在以下幾個(gè)方面。

1.1 制度層面的問(wèn)題

我國(guó)的網(wǎng)絡(luò)信息安全立法尚處在起步階段，主要的法規(guī)包括《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》《網(wǎng)絡(luò)信息服務(wù)管理辦法》《計(jì)算機(jī)病毒防治管理辦法》等。這些法規(guī)均是通用型法律法規(guī)，在政府機(jī)關(guān)網(wǎng)絡(luò)信息管理方面進(jìn)行應(yīng)用時(shí)，還需要更多的細(xì)則。由于法律法規(guī)的缺失，政府機(jī)關(guān)在制定管理制度和流程時(shí)缺乏法律依據(jù)，在出現(xiàn)問(wèn)題時(shí)也難以依據(jù)法律法規(guī)進(jìn)行處理和追責(zé)。

1.2 意識(shí)層面的問(wèn)題

由于對(duì)網(wǎng)絡(luò)信息安全缺乏保護(hù)意識(shí)，部分政府機(jī)關(guān)在網(wǎng)絡(luò)信息方面投入嚴(yán)重不足，建立的安全防護(hù)措施過(guò)于簡(jiǎn)單，并存在“重建設(shè)、輕管理”問(wèn)題。在使用網(wǎng)絡(luò)和信息系統(tǒng)時(shí)，往往只考慮使用者的便利性，對(duì)網(wǎng)絡(luò)信息安全認(rèn)識(shí)不到位，容易出現(xiàn)泄密風(fēng)險(xiǎn)。出現(xiàn)問(wèn)題后，意識(shí)不到問(wèn)題的嚴(yán)重性，改進(jìn)措施不力。

1.3 技術(shù)能力層面的問(wèn)題

由于政府機(jī)關(guān)自身的技術(shù)人員和技術(shù)能力儲(chǔ)備不足，政府機(jī)關(guān)往往把包括計(jì)算機(jī)、網(wǎng)絡(luò)等基礎(chǔ)設(shè)施和應(yīng)用系統(tǒng)的建設(shè)外包給服務(wù)公司。由于經(jīng)費(fèi)問(wèn)題，在服務(wù)公司的遴選上可選擇的范圍和質(zhì)量也難以滿足網(wǎng)絡(luò)信息安全管理的要求。一旦出現(xiàn)問(wèn)題，不僅自身沒(méi)有能力解決問(wèn)題，服務(wù)公司也因自身能力問(wèn)題而不能快速解決問(wèn)題，這將嚴(yán)重影響政府的公信力。

2 網(wǎng)絡(luò)信息安全問(wèn)題的防范策略

國(guó)家領(lǐng)導(dǎo)在網(wǎng)絡(luò)信息安全方面高度重視，已經(jīng)開(kāi)始進(jìn)行頂層設(shè)計(jì)和規(guī)劃。中共中央總書記、國(guó)家主席、中央軍委主席、中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組組長(zhǎng)習(xí)近平在中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會(huì)議提出的“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全，沒(méi)有信息化就沒(méi)有現(xiàn)代化”“建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó)的戰(zhàn)略部署要與‘兩個(gè)一百年奮斗目標(biāo)同步推進(jìn)”等重要論斷，深刻闡釋了黨中央關(guān)于加強(qiáng)網(wǎng)絡(luò)安全和信息化工作的指導(dǎo)思想和方針路線。

各級(jí)政府機(jī)關(guān)要深刻認(rèn)識(shí)到，網(wǎng)絡(luò)信息安全對(duì)國(guó)家的很多領(lǐng)域都是牽一發(fā)而動(dòng)全身的，要充分認(rèn)識(shí)做好網(wǎng)絡(luò)信息安全工作的重要性和緊迫性。網(wǎng)絡(luò)安全和信息化是一體之兩翼、驅(qū)動(dòng)之雙輪，必須統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進(jìn)、統(tǒng)一實(shí)施。為全面做好網(wǎng)絡(luò)信息安全工作，各級(jí)政府機(jī)關(guān)要深刻學(xué)習(xí)國(guó)家領(lǐng)導(dǎo)人提出的要求，重點(diǎn)考慮以下策略。

2.1 組織架構(gòu)設(shè)計(jì)與經(jīng)費(fèi)支持

組織架構(gòu)設(shè)計(jì)是要分層建立對(duì)網(wǎng)絡(luò)信息安全負(fù)責(zé)的專業(yè)隊(duì)伍，這是有效加強(qiáng)網(wǎng)絡(luò)信息安全管理工作的基礎(chǔ)。有了合理清晰的組織架構(gòu)，各個(gè)崗位的工作人員才能各司其職，工作流程有條不紊。通過(guò)對(duì)不同崗位的專業(yè)培訓(xùn)，使得相關(guān)崗位的工作人員具備相關(guān)的資質(zhì)和安全意識(shí)。通過(guò)建立全面的KPI管理機(jī)制，可以對(duì)相關(guān)崗位的工作人員的工作表現(xiàn)進(jìn)行評(píng)價(jià)，對(duì)出現(xiàn)問(wèn)題的人員進(jìn)行追責(zé)，全面提高工作效率和管理水平。同時(shí)，對(duì)外包服務(wù)公司也需要納入組織架構(gòu)管理中，并明確外包服務(wù)內(nèi)容邊界和服務(wù)質(zhì)量要求，對(duì)出現(xiàn)的問(wèn)題也應(yīng)有對(duì)應(yīng)的懲罰措施。各級(jí)政府機(jī)關(guān)需要提高對(duì)網(wǎng)絡(luò)信息安全的認(rèn)識(shí)高度，對(duì)網(wǎng)絡(luò)安全管理提供必要的、合理的經(jīng)費(fèi)支持。

2.2 建立制度管理規(guī)范

根據(jù)組織架構(gòu)設(shè)計(jì)，建立網(wǎng)絡(luò)信息安全分級(jí)機(jī)制，對(duì)各類基礎(chǔ)設(shè)施、數(shù)據(jù)、應(yīng)用系統(tǒng)進(jìn)行涉密分級(jí)，在每個(gè)層級(jí)上建立完善的管理制度。在系統(tǒng)建設(shè)的預(yù)研、立項(xiàng)、招標(biāo)、建設(shè)、運(yùn)行維護(hù)等各環(huán)節(jié)建立風(fēng)險(xiǎn)評(píng)估與控制流程。

建立全面的安全管理規(guī)范，至少需要涵蓋以下各個(gè)方面。

2.2.1 基礎(chǔ)設(shè)施

建立包括計(jì)算機(jī)硬件、網(wǎng)絡(luò)設(shè)備、防火墻、操作系統(tǒng)、數(shù)據(jù)庫(kù)、病毒防范等的安全管理規(guī)范，建立基礎(chǔ)設(shè)施采購(gòu)、部署、運(yùn)維監(jiān)控和巡檢制度，確保生產(chǎn)運(yùn)行安全。關(guān)鍵設(shè)備和加密算法要考慮國(guó)家標(biāo)準(zhǔn)的要求，避免導(dǎo)致泄密風(fēng)險(xiǎn)。

建立健全數(shù)據(jù)備份和災(zāi)難備份機(jī)制，確保系統(tǒng)數(shù)據(jù)安全和系統(tǒng)運(yùn)行的連續(xù)性。必要時(shí)，可采用內(nèi)外網(wǎng)隔離、硬件加密、云計(jì)算、大數(shù)據(jù)等相關(guān)先進(jìn)技術(shù)，加強(qiáng)國(guó)內(nèi)科研機(jī)構(gòu)科研成果的轉(zhuǎn)化應(yīng)用。

2.2.2 用戶認(rèn)證與授權(quán)管理

建立完善的用戶認(rèn)證機(jī)制，包括管理用戶、業(yè)務(wù)用戶和公眾用戶。必要時(shí)，在保護(hù)用戶隱私的前提下，對(duì)用戶采用身份認(rèn)證、指紋認(rèn)證、手機(jī)短信認(rèn)證等認(rèn)證方式。

對(duì)操作系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)的訪問(wèn)用戶需要進(jìn)行嚴(yán)格限制，盡量減少直接通過(guò)數(shù)據(jù)庫(kù)用戶訪問(wèn)和修改數(shù)據(jù)的行為，重要系統(tǒng)級(jí)用戶的登錄密碼需要分段分人進(jìn)行管理。

2.2.3 應(yīng)用系統(tǒng)管理

應(yīng)用系統(tǒng)需要建立全面的權(quán)限控制機(jī)制，對(duì)不同的用戶能夠訪問(wèn)的系統(tǒng)功能和數(shù)據(jù)信息需要進(jìn)行嚴(yán)格控制。建立應(yīng)用系統(tǒng)開(kāi)發(fā)、測(cè)試、上線、變更、運(yùn)維的全流程管理機(jī)制，避免因系統(tǒng)運(yùn)維流程、系統(tǒng)壓力等方面原因?qū)е律a(chǎn)服務(wù)中斷事故。

2.2.4 電子檔案管理

政府政務(wù)越來(lái)越依賴信息化以后，需要建立完善的電子檔案管理機(jī)制來(lái)保證信息的妥善保存和事后查證需要。尤其是無(wú)紙化辦公逐步推進(jìn)的過(guò)程中，重要信息的保存期限要求會(huì)越來(lái)越高，建立統(tǒng)一的內(nèi)容管理、文件傳輸機(jī)制是各種應(yīng)用系統(tǒng)共同的要求。

2.2.5 信息安全審計(jì)

信息安全審計(jì)是一個(gè)通過(guò)收集和評(píng)價(jià)審計(jì)證據(jù)，對(duì)信息系統(tǒng)是否能夠保護(hù)信息資產(chǎn)的安全和維護(hù)數(shù)據(jù)的完整，使被審計(jì)單位的目標(biāo)得以有效地實(shí)現(xiàn)，使組織的資源得到高效地利用等方面做出判斷的過(guò)程。信息安全審計(jì)（IT Audit）是保證信息安全的重要手段，建立內(nèi)部審計(jì)與外部審計(jì)結(jié)合的信息安全審計(jì)制度是非常必要的。信息安全審計(jì)制度需要明確信息系統(tǒng)審計(jì)部門在何時(shí)介入信息安全審計(jì)工作（如例行審計(jì)、司法介入審計(jì)的啟動(dòng)條件是有很大差異的），并定義工作范圍和工作流程。同時(shí)，信息安全審計(jì)反過(guò)來(lái)也可以影響系統(tǒng)建設(shè)過(guò)程，建立系統(tǒng)開(kāi)發(fā)過(guò)程中的日志規(guī)范，應(yīng)用系統(tǒng)記錄的日志對(duì)信息安全審計(jì)提供數(shù)據(jù)支持。

2.3 申請(qǐng)信息安全管理體系認(rèn)證

有條件的政府機(jī)關(guān)，可申請(qǐng)通過(guò)ISO27001：2005信息安全管理體系認(rèn)證。該認(rèn)證為建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全管理體系提供了模型，是管理體系思想和方法在信息安全領(lǐng)域的應(yīng)用，已經(jīng)越來(lái)越被各國(guó)接受和認(rèn)可。整個(gè)管理體系包括組織結(jié)構(gòu)、方針策略、規(guī)劃活動(dòng)、職責(zé)、實(shí)踐、程序、過(guò)程和資源，通過(guò)該體系認(rèn)證將對(duì)政府機(jī)關(guān)的信息安全體系化是一次非常大的促進(jìn)。

3 結(jié)語(yǔ)

綜上所述，政府機(jī)關(guān)的網(wǎng)絡(luò)信息安全管理不是一朝一夕的問(wèn)題，管理制度和機(jī)制的建立和優(yōu)化也將是長(zhǎng)期的任務(wù)，需要各級(jí)政府機(jī)關(guān)在實(shí)踐過(guò)程中不斷地進(jìn)行探索和改進(jìn)。

參考文獻(xiàn)

[1] 林潤(rùn)輝，李大輝，謝宗曉，等.信息安全管理理論與實(shí)踐[M].中國(guó)質(zhì)檢出版社，中國(guó)標(biāo)準(zhǔn)出版社，2012.

[2] （美）Michael E.Whitman，Herbert J.Matto，著.信息安全原理[M].清華大學(xué)出版社，2006.

[3] （美）Mark Rhodes-Ousley，著.信息安全完全參考手冊(cè)[M].清華大學(xué)出版社，2004.