刘文平
1总体情况和存在问题
1.1总体情况。最近笔者有幸参加了县有关部门组织的计算机系统安全检查,从自查报告和现场检查情况看,基层单位计算机信息系统安全保护工作从重视程度到采取各种保护措施都较以往有了很大的提高,网络信息安全已越来越引起重视。有些单位计算机信息系统安全保护工作做得较成功,办公自动化以及信息资源共享得到普及,为单位各类业务系统的安全运行提供了可靠的保障;有些单位计算机信息系统安全保护工作做得相对较好,建立了完善的信息安全保护制度,安全保护技术措施和管理人员安全保护意识较强,各种规章制度落实情况也较好。这些单位在安全保障方面的工作经验均值得各单位学习。
1.2存在的主要问题。通过本次检查发现,有些单位计算机信息系统存在不少安全隐患问题,应引起足够的重视。主要有以下几方面:
1.2.1安全保护意识有待增强,各种安全保护措施有待加强。大部分县直机关单位已建立了简单的技术防范措施,其中一些单位,采取了有效的安全保护技术措施,并能严格执行安全保护制度。但仍有部分单位的信息系统没有采取任何安全保护技术措施,没有建立相应的计算机安全保护制度,有的建立了制度,却落实不到位,管理人员的安全保护意识薄弱。
同时,从现场检查情况看,各单位对计算机信息系统的系统数据安全保护意识普遍较低,涉密数据以及重要生产数据的存储及备份机制不够完善,存在信息泄密和丢失的隐患。
1.2.2重技术建设、轻安全保护问题较为突出。大部分单位进行计算机信息系统建设规划时,主要考虑了业务需求和系统技术性能要求,没有将系统的安全保护措施一并考虑,造成安全保护工作相对滞后。大部分单位安全保障体系配置的更新和维护工作不到位,存在被攻击和入侵的安全隐患。
1.2.3计算机信息系统、机房安全保障体系的设计、建设和检测不规范。相当一部分单位的信息系统及计算机机房安全保障体系的设计、建设和检测没有按规定由具备安全服务资质的企业承担,信息系统及计算机机房在建成后,未经具备安全服务资质的机构检测合格就投入使用,导致计算机信息系统安全方面存在诸多问题和隐患。
2加强安全保护工作的意见和建议
根据安全检查的情况,结合基层单位实际,现就加强基层单位计算机信息系统安全保护工作,提出以下意见和建议:
2.1加强领导,提高对计算机信息系统安全保护工作重要性和紧迫性的认识。各单位要组织有关领导、信息系统安全管理负责人以及相关人员认真学习《江西省计算机信息系统安全管理条例》(以下简称《管理条例》)和《江西省计算机信息系统安全保护办法》(以下简称《管理办法》),不断增强信息系统安全保护意识,做到认识到位、措施到位、管理到位。
2.2加强监督,加大计算机信息系统安全管理力度。
2.2.1加强计算机信息系统安全项目的管理。县信息中心是指导全县信息化发展的职能部门,县公安局是主管全县行政区域内计算机信息系统安全保护工作的职能部门。
2.2.2进一步建立健全计算机信息系统安全保护制度。为加大安全管理力度,各单位应根据《管理条例》和《管理办法》的要求,结合本单位实际,尽快建立相应的信息系统安全保护制度,并抓好落实。已建立安全保护制度的单位,要不断完善,确保干部、职工了解安全保护制度,明确自己的职责和任务,增强信息系统安全保护意识。各单位应建立、执行的安全保护制度包括:
(1)计算机机房安全管理制度;
(2)信息发布审核、登记制度;
(3)信息监视、保存、清除和备份制度;
(4)病毒检测和网络安全漏洞检测制度;
(5)帐户使用登记和操作权限管理制度;
(6)安全教育和培训制度;
(7)违法案件报告和协助查处制度
2.2.3加大计算机信息系统安全建设力度。各基层单位要加大信息系统安全建设力度,把建立或改进信息系统安全措施工作列入本单位的工作计划。同时,在进行信息系统建设规划时,应一并考虑安全保障体系的建设,以及安全保障体系的日常维护、升级和租用线路等经费问题。
2.2.4认真落实技术防范措施。根据《管理条例》,计算机信息系统使用单位应当落实以下安全保护技术措施:
(1)60日以上系统网络运行日志和用户使用日志记录保存措施;
(2)安全审计和预警措施;
(3)垃圾邮件清理措施;
(4)身份登记和识别确认措施;
(5)计算机病毒防治措施;
(6)信息群发限制和有害数据防治措施。
同时,各单位要落实专职部门或人员,定期对日常使用的信息系统进行自查,及时发现和消除计算机信息系统安全隐患。
2.2.5将计算机信息系统安全纳入安全生产管理。鉴于计算机信息系统与日常生产紧密相连,其运行状况关系着正常生产工作。因此,建议将计算机信息系统的安全保障纳入安全生产管理。各单位对发生的重大信息安全事故,须及时向县信息化领导小组办公室和县公安局网络安全监察部门报告。
2.2.6加强计算机信息系统及计算机机房安全保障体系的设计、建设和检测的监督工作。根据《管理条例》,重点单位计算机信息系统及计算机机房安全保障体系的设计、建设和检测应当交由有安全服务资质的机构承担。
2.3建立健全重大突发事件应急处置工作机制,提高应急处置能力。由信息化领导小组办公室牵头,成立县计算机信息安全联席会议制度,并与各计算机信息系统使用单位建立工作联系机制,制定重大安全事故处置的应急工作预案及措施,组织应急演练,以提高各单位信息系统抵御各种风险的能力。
2.4加强机房管理和防火、防雷工作。各单位要加强对本单位的机房安全管理和防火、防雷工作。工作人员出入机房须进行身份认证或登记,机房监控系统应对机房出入口和关键服务器进行24小时监控。同时,机房应采用气体灭火系统,按照有关技术标准建设防雷设施,并通过防雷部门检测。
2.5走社会化道路,为信息安全提供持续有力的技术保障。鉴于目前计算机技术更新速度快,安全保障体系的维护和配置专业化程度越来越高,建议使用单位走社会化的道路,将安全保障体系的维护工作交由具备安全服务资质的公司去做,为信息安全提供持续有力的技术保障。