关于改善地方政府网络安全管理技术几点方法.docVIP

关于改善地方政府网络安全管理技术几点方法 　　摘 要 网络安全是多维的安全，一个安全的信息系统不仅仅要考虑环境因素和技术安全，还应考虑管理的问题。不管多么先进的安全技术、安全策略都离不开人的执行，如何加强对人的管理，就是网络安全管理的内容。 　　【关键词】网络安全管理 制度 应急演练 检测 　　1 政府信息网络安全面临的严峻形势 　　1.1 网络威胁持续上升 　　国际上在美国的主导下，西方发达国家先后成立了“网军”，制定发展规划，不断发展网络军备竞赛。 “棱镜门”事件明确的告诉我们，美国政府通过控制著名的网络公司窃取其他国家的情报。 　　1.2 我国政府网络面临的“信息泄密”和“黑客攻击”问题突出 　　据国家互联网应急中心报告指出2013年中国6000多家政府网站曾被植入后门病毒，特别是区县级政府占比最多，例如2013年7月11日凌晨，中国红十字基金会微博被“反共黑客”登陆，并连续发布了大量反动微博。 　　1.3 信息网络基础设备安全问题普遍存在 　　由于我国网络设备的核心技术缺乏，骨干网络设备、数据库、操作系统等关键设施都采用国外产品，在安全上存在不可确定性。部、省、市的网络安全防护能力参差不齐，使得相互连接的专网难以做到“同步同级同保护”。 　　1.4 信息化安全管理、保障工作相对落后 　　网络安全是三分靠技术、七分靠管理，建立相应的组织机构，制定有针对性的规章制度，加强对网络设备和相关人员的管理，对于确保网络的安全、可靠地运行、将起到十分有效的作用，当前信息网络使用人员复杂、网络安全技术素质及安全意识参差不齐，导致信息网络安全管理工作工作不到位。 　　2 地方政府网络安全管理存在的主要问题 　　2.1 思想观念落后，没有树立正确的网络安全观 　　要树立正确的网络安全观，很多领导干部认为，我已经花了大价钱买了很多的安全防护设备，完全可以高枕无忧了，没有按照国家规定制定完善的管理制度，实际上这是一个错误的观念。在世界上没有绝对安全的网络，网络技术是不断发展，根本就不存在一劳永逸的防护手段。就是作为世界网络霸主的美国，在网络安全建设上投入了巨大的资金，还是无法保证其政府的网络安全，时常有一些政府的关键部门被入侵。还有的领导很重视网络安全建设，但是苦于经费等因素的原因，觉得没有上级的帮助是无法完成这项任务的，实际上网络安全建设是要符合本单位的实际需求的，不是说要把所有的安全设备能想到的或者想不到的都用上，实际不仅不能保证网络的安全，而且会造成巨大的资金浪费。大家应该明白一个概念，就是黑客的攻击也是有成本要求，他们往往使用一些低成本的工具来选择攻击目标，只要我们合理配置安全设备，完全可以在黑客攻击开始的时候让其知难而退。 　　2.2 网络安全制度落实不到位，安全防范意识不强 　　很多人任务维护网络安全是专业技术人员的事情和自己没有关系，还有的人思想上麻痹大意，认为没有几个人敢于入侵政府网络，无视各项规章制度，为了逃避管理，私自删除安全检测程序；私自卸载网络版杀毒软件，随意更换杀毒软件；随意拷贝文件引；越权使用单位的电脑、移动存储设备；随意修改自己的主机配置、安装非法软件等等现象非常突出。网络管理人员也出于方便使用的想法，没有对用户进行身份审计和设定，关键准备的密码也不定期更换，网络安全教育也流于形式，不系统，不经常，导致部分干部在认识上不深刻不到位。 　　2.3 缺乏有效的应对手段，安全保障措施不到位。 　　没有危机意识，缺乏应对危机的能力和手段，目前大多数信息系统缺少安全管理员，缺少安全管理技术规范，缺少定期的系统安全测试，缺少安全审计机制，缺少年度考核制度，这些疏于管理的网络成为黑客们游荡的乐园，还有的信息系统安全防护设备完善，但是管理人员的能力水平有限，当遇到危机的时刻，不知如何处理。 　　3 提升网络安全管理水平的几点对策 　　信息网络的安全主要包括物理安全、网络安全、系统安全、应用安全和管理安全五个方面，信息网络安全应遵循“木桶理论”，即一个木桶最短的一块木板决定着木桶的容积，一个系统的安全强度等于它最薄弱环节的安全强度。而管理安全是地方政府最容易忽视的管理环节，无论采用多么先进的设备，如果安全管理上有漏洞，那么这个网络安全一样没有保障。 　　3.1 建立一套行之有效的网络安全管理制度 　　在网络管理中，制定有关的规则制度，对于确保网络的安全可靠的运行能起到十分关键的作用。制度制定的前提条件是不能违背国家的法律法规，不同密级的政府部门的安全制度是有所区别的，对于安全等级较高的部门至少应该有如下制度。 　　3.1.1 负责人制度 　　负责人对本部门总体工作进行部署，包括： 　　（1）安全管理方面的法律、法规和有关政策的宣传。 　　（2）规章制度的制定、定期检测和审查信息