郝新敏 張寧

一、 研究的目的和意義

目前，山西檢驗(yàn)檢疫局已建成上聯(lián)總局，覆蓋省局、9個(gè)分支機(jī)構(gòu)的檢驗(yàn)檢疫專網(wǎng)，檢驗(yàn)檢疫主干業(yè)務(wù)無紙化申報(bào)、全省系統(tǒng)視頻會議高清化、行政辦公電子化，并建成了應(yīng)用服務(wù)器虛擬化集群。檢驗(yàn)檢疫工作對網(wǎng)絡(luò)信息系統(tǒng)的依賴加大，因此保障檢驗(yàn)檢疫信息安全就顯的非常重要。

信息安全將保障山西檢驗(yàn)檢疫現(xiàn)代化、信息化的快速推進(jìn)。

二、網(wǎng)絡(luò)安全要求及經(jīng)驗(yàn)概述

山西檢驗(yàn)檢疫局出臺的《山西檢驗(yàn)檢疫局信息化“十三五”專項(xiàng)規(guī)劃》關(guān)于信息化建設(shè)的總體框架設(shè)計(jì)是以“一個(gè)中心、兩個(gè)體系、三大基礎(chǔ)”為核心，其中，“一個(gè)中心”是將省局中心機(jī)房建設(shè)成為山西質(zhì)檢系統(tǒng)信息資源中心和數(shù)據(jù)交換中心；“兩個(gè)體系”是構(gòu)筑信息化安全保障體系和綜合運(yùn)維體系兩個(gè)體系，實(shí)現(xiàn)對中心機(jī)房的運(yùn)維監(jiān)控，強(qiáng)化對信息安全的監(jiān)測和預(yù)警；“三大基礎(chǔ)”是進(jìn)一步夯實(shí)硬件基礎(chǔ)、軟件基礎(chǔ)和網(wǎng)絡(luò)基礎(chǔ)，保證基礎(chǔ)硬件環(huán)境的信息安全、增加系統(tǒng)集成度和數(shù)據(jù)共享程度。

三、山西局信息系統(tǒng)防護(hù)措施存在的問題

（一）信息安全管理制度需要完善。山西局還沒有建立完善的信息安全防護(hù)體系制度。

（二）信息安全管理人員需要充實(shí)。山西局信息化管理處現(xiàn)有干部職工4人，其中信息化專業(yè)干部2人，并且都沒有信息安全管理工作經(jīng)驗(yàn)，在信息安全人才隊(duì)伍建設(shè)方面存在不足，急需充實(shí)。

（三）信息安全技術(shù)水平需要提升。山西局在完善安全配置策略、建立安全管理頂層設(shè)計(jì)方面體現(xiàn)出了不足。

（四）基層信息安全投入需要加強(qiáng)。山西局網(wǎng)絡(luò)基礎(chǔ)設(shè)施還比較薄弱，相關(guān)的設(shè)備和經(jīng)費(fèi)投入明顯不足。同時(shí)，各分支機(jī)構(gòu)沒有專職信息安全管理人員。

（五）信息安全宣傳工作需要深入。干部職工對信息安全相關(guān)規(guī)定的了解、遇到信息安全事件的處理方式等相關(guān)安全意識不容樂觀。基層工作人員也存在信息安全意識薄弱，警惕性不高、自覺性不強(qiáng)的問題。

四、 山西局信息系統(tǒng)安全防護(hù)措施對策

為達(dá)到山西局信息化的安全目標(biāo)，必須多管齊下，提出以下措施，以期構(gòu)建更加完善的質(zhì)檢信息安全體系。

（一）加強(qiáng)信息安全管理。一是健全組織體系。在現(xiàn)有網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組的工作框架下，進(jìn)一步明確責(zé)任，設(shè)安全管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、數(shù)據(jù)庫管理員、應(yīng)用管理員等安全崗位，并將涉及信息安全的處室工作人員（主要是信息技術(shù)人員）分配到安全崗位。二是健全規(guī)章制度。各種安全規(guī)章制度既要滿足總局、山西省相關(guān)制度的總體要求，又要貼合山西局具體實(shí)際。三是加大宣傳力度。需要對干部進(jìn)行安全培訓(xùn)，要完善培訓(xùn)機(jī)制，定期開展培訓(xùn)工作，提高干部的安全意識，使每位干部對安全規(guī)定真正做到令行禁止。四是加大信息安全考核力度?？己藗?cè)重點(diǎn)應(yīng)是當(dāng)前最關(guān)注的信息安全問題，促進(jìn)信息安全水平的全面提高。五是做好應(yīng)急演練。要根據(jù)可能發(fā)生的信息類緊急事件，制定應(yīng)急演練預(yù)案。每一種演練都要做到場景真實(shí)、人員到位、處理迅速，要確保演練結(jié)果符合預(yù)案的要求。六是定期開展安全檢查。通過定期對基層開展安全檢查，切實(shí)提高基層安全防控水平。七是對基層單位開展風(fēng)險(xiǎn)評估。通過風(fēng)險(xiǎn)評估來確定安全現(xiàn)狀，提取安全需求，并在此基礎(chǔ)上對安全保障體系建設(shè)進(jìn)行有序的規(guī)劃。八是加強(qiáng)值班管理。把安全隱患和安全威脅在上班前化解。

（二）做好人員管理。一是增強(qiáng)領(lǐng)導(dǎo)安全意識。領(lǐng)導(dǎo)是信息化工作的領(lǐng)路人，只有領(lǐng)導(dǎo)帶頭學(xué)習(xí)信息安全知識，才能提高廣大干部職工的學(xué)習(xí)熱情。二是充實(shí)技術(shù)人員隊(duì)伍。補(bǔ)充有信息安全工作經(jīng)驗(yàn)的人員進(jìn)入信息安全管理工作領(lǐng)域，著重做好安全管理人員的培養(yǎng)，并保證隊(duì)伍的穩(wěn)定性，同時(shí)，充實(shí)第三方安全技術(shù)人員。三是充分發(fā)揮信息安全員的作用。要注重信息安全員的培訓(xùn)工作。用好信息安全員，會使信息安全工作事半功倍，會大大地促進(jìn)基層信息安全水平。

（三）完善信息安全技術(shù)手段。一是通過技術(shù)手段規(guī)范上外網(wǎng)的行為管理?，F(xiàn)階段規(guī)范外網(wǎng)管理主要是通過上網(wǎng)行為管理系統(tǒng)規(guī)范上網(wǎng)。二是增加主動安全防御設(shè)備的配置。增配入侵防御、漏洞掃描、安全審計(jì)設(shè)備，實(shí)現(xiàn)在發(fā)現(xiàn)問題和漏洞的同時(shí)抵御攻擊。三是建立更高標(biāo)準(zhǔn)的安全準(zhǔn)入措施。一方面提升外部安全準(zhǔn)入措施；另一方面嚴(yán)格內(nèi)部網(wǎng)絡(luò)準(zhǔn)入控制，實(shí)行全省系統(tǒng)內(nèi)外網(wǎng)物理隔離，內(nèi)外網(wǎng)準(zhǔn)入控制。四是細(xì)化信息安全服務(wù)管理措施。第一，規(guī)范服務(wù)外包管理，依靠第三方技術(shù)支持單位開展門戶網(wǎng)站、重要信息系統(tǒng)和內(nèi)部網(wǎng)絡(luò)的滲透測試、安全監(jiān)測；第二，全面開展新系統(tǒng)、新設(shè)備上線前的安全檢查和安全測試；第三，在第三方技術(shù)單位現(xiàn)場運(yùn)維的基礎(chǔ)上，針對我局網(wǎng)絡(luò)和系統(tǒng)定期進(jìn)行漏洞掃描、策略檢查、安全加固和日志分析等服務(wù)，全面提升安全運(yùn)維服務(wù)措施，發(fā)現(xiàn)潛在漏洞；第四，加強(qiáng)重要信息系統(tǒng)的用戶授權(quán)管理，探索多重授權(quán)模式。

五、結(jié)束語

本文從山西局信息安全的現(xiàn)實(shí)情況和問題出發(fā)，運(yùn)用信息安全的理論和方法，分別從管理、人員和技術(shù)三方面提出應(yīng)對當(dāng)前信息安全問題的對策。其中管理方面的對策是重點(diǎn)。本文可為山西局的信息安全問題提供解決措施，還可為其他直屬檢驗(yàn)檢疫局的信息安全建設(shè)提供借鑒。

檢驗(yàn)檢疫信息安全建設(shè)是質(zhì)檢信息化的重要內(nèi)容。經(jīng)過多年努力，已經(jīng)初步形成信息安全防護(hù)體系。但信息安全建設(shè)沒有終點(diǎn)，它將隨著質(zhì)檢信息化的逐步深化而進(jìn)一步發(fā)展。