劉文平

1總體情況和存在問題

1.1總體情況。最近筆者有幸參加了縣有關部門組織的計算機系統(tǒng)安全檢查,從自查報告和現(xiàn)場檢查情況看,基層單位計算機信息系統(tǒng)安全保護工作從重視程度到采取各種保護措施都較以往有了很大的提高,網(wǎng)絡信息安全已越來越引起重視。有些單位計算機信息系統(tǒng)安全保護工作做得較成功,辦公自動化以及信息資源共享得到普及,為單位各類業(yè)務系統(tǒng)的安全運行提供了可靠的保障;有些單位計算機信息系統(tǒng)安全保護工作做得相對較好,建立了完善的信息安全保護制度,安全保護技術措施和管理人員安全保護意識較強,各種規(guī)章制度落實情況也較好。這些單位在安全保障方面的工作經(jīng)驗均值得各單位學習。

1.2存在的主要問題。通過本次檢查發(fā)現(xiàn),有些單位計算機信息系統(tǒng)存在不少安全隱患問題,應引起足夠的重視。主要有以下幾方面:

1.2.1安全保護意識有待增強,各種安全保護措施有待加強。大部分縣直機關單位已建立了簡單的技術防范措施,其中一些單位,采取了有效的安全保護技術措施,并能嚴格執(zhí)行安全保護制度。但仍有部分單位的信息系統(tǒng)沒有采取任何安全保護技術措施,沒有建立相應的計算機安全保護制度,有的建立了制度,卻落實不到位,管理人員的安全保護意識薄弱。

同時,從現(xiàn)場檢查情況看,各單位對計算機信息系統(tǒng)的系統(tǒng)數(shù)據(jù)安全保護意識普遍較低,涉密數(shù)據(jù)以及重要生產(chǎn)數(shù)據(jù)的存儲及備份機制不夠完善,存在信息泄密和丟失的隱患。

1.2.2重技術建設、輕安全保護問題較為突出。大部分單位進行計算機信息系統(tǒng)建設規(guī)劃時,主要考慮了業(yè)務需求和系統(tǒng)技術性能要求,沒有將系統(tǒng)的安全保護措施一并考慮,造成安全保護工作相對滯后。大部分單位安全保障體系配置的更新和維護工作不到位,存在被攻擊和入侵的安全隱患。

1.2.3計算機信息系統(tǒng)、機房安全保障體系的設計、建設和檢測不規(guī)范。相當一部分單位的信息系統(tǒng)及計算機機房安全保障體系的設計、建設和檢測沒有按規(guī)定由具備安全服務資質的企業(yè)承擔,信息系統(tǒng)及計算機機房在建成后,未經(jīng)具備安全服務資質的機構檢測合格就投入使用,導致計算機信息系統(tǒng)安全方面存在諸多問題和隱患。

2加強安全保護工作的意見和建議

根據(jù)安全檢查的情況,結合基層單位實際,現(xiàn)就加強基層單位計算機信息系統(tǒng)安全保護工作,提出以下意見和建議:

2.1加強領導,提高對計算機信息系統(tǒng)安全保護工作重要性和緊迫性的認識。各單位要組織有關領導、信息系統(tǒng)安全管理負責人以及相關人員認真學習《江西省計算機信息系統(tǒng)安全管理條例》(以下簡稱《管理條例》)和《江西省計算機信息系統(tǒng)安全保護辦法》(以下簡稱《管理辦法》),不斷增強信息系統(tǒng)安全保護意識,做到認識到位、措施到位、管理到位。

2.2加強監(jiān)督,加大計算機信息系統(tǒng)安全管理力度。

2.2.1加強計算機信息系統(tǒng)安全項目的管理?？h信息中心是指導全縣信息化發(fā)展的職能部門,縣公安局是主管全縣行政區(qū)域內(nèi)計算機信息系統(tǒng)安全保護工作的職能部門。

2.2.2進一步建立健全計算機信息系統(tǒng)安全保護制度。為加大安全管理力度,各單位應根據(jù)《管理條例》和《管理辦法》的要求,結合本單位實際,盡快建立相應的信息系統(tǒng)安全保護制度,并抓好落實。已建立安全保護制度的單位,要不斷完善,確保干部、職工了解安全保護制度,明確自己的職責和任務,增強信息系統(tǒng)安全保護意識。各單位應建立、執(zhí)行的安全保護制度包括:

(1)計算機機房安全管理制度;

(2)信息發(fā)布審核、登記制度;

(3)信息監(jiān)視、保存、清除和備份制度;

(4)病毒檢測和網(wǎng)絡安全漏洞檢測制度;

(5)帳戶使用登記和操作權限管理制度;

(6)安全教育和培訓制度;

(7)違法案件報告和協(xié)助查處制度

2.2.3加大計算機信息系統(tǒng)安全建設力度。各基層單位要加大信息系統(tǒng)安全建設力度,把建立或改進信息系統(tǒng)安全措施工作列入本單位的工作計劃。同時,在進行信息系統(tǒng)建設規(guī)劃時,應一并考慮安全保障體系的建設,以及安全保障體系的日常維護、升級和租用線路等經(jīng)費問題。

2.2.4認真落實技術防范措施。根據(jù)《管理條例》,計算機信息系統(tǒng)使用單位應當落實以下安全保護技術措施:

(1)60日以上系統(tǒng)網(wǎng)絡運行日志和用戶使用日志記錄保存措施;

(2)安全審計和預警措施;

(3)垃圾郵件清理措施;

(4)身份登記和識別確認措施;

(5)計算機病毒防治措施;

(6)信息群發(fā)限制和有害數(shù)據(jù)防治措施。

同時,各單位要落實專職部門或人員,定期對日常使用的信息系統(tǒng)進行自查,及時發(fā)現(xiàn)和消除計算機信息系統(tǒng)安全隱患。

2.2.5將計算機信息系統(tǒng)安全納入安全生產(chǎn)管理。鑒于計算機信息系統(tǒng)與日常生產(chǎn)緊密相連,其運行狀況關系著正常生產(chǎn)工作。因此,建議將計算機信息系統(tǒng)的安全保障納入安全生產(chǎn)管理。各單位對發(fā)生的重大信息安全事故,須及時向縣信息化領導小組辦公室和縣公安局網(wǎng)絡安全監(jiān)察部門報告。

2.2.6加強計算機信息系統(tǒng)及計算機機房安全保障體系的設計、建設和檢測的監(jiān)督工作。根據(jù)《管理條例》,重點單位計算機信息系統(tǒng)及計算機機房安全保障體系的設計、建設和檢測應當交由有安全服務資質的機構承擔。

2.3建立健全重大突發(fā)事件應急處置工作機制,提高應急處置能力。由信息化領導小組辦公室牽頭,成立縣計算機信息安全聯(lián)席會議制度,并與各計算機信息系統(tǒng)使用單位建立工作聯(lián)系機制,制定重大安全事故處置的應急工作預案及措施,組織應急演練,以提高各單位信息系統(tǒng)抵御各種風險的能力。

2.4加強機房管理和防火、防雷工作。各單位要加強對本單位的機房安全管理和防火、防雷工作。工作人員出入機房須進行身份認證或登記,機房監(jiān)控系統(tǒng)應對機房出入口和關鍵服務器進行24小時監(jiān)控。同時,機房應采用氣體滅火系統(tǒng),按照有關技術標準建設防雷設施,并通過防雷部門檢測。

2.5走社會化道路,為信息安全提供持續(xù)有力的技術保障。鑒于目前計算機技術更新速度快,安全保障體系的維護和配置專業(yè)化程度越來越高,建議使用單位走社會化的道路,將安全保障體系的維護工作交由具備安全服務資質的公司去做,為信息安全提供持續(xù)有力的技術保障。