浅议政府机关网络信息安全问题及防范的策略.docVIP

浅议政府机关网络信息安全问题及防范的策略 　　摘 要：政府机关网络信息安全是国家网络信息安全的重要组成部分。然而，相对于电信、金融、军事等机构经过十几年发展起来的高标准管理，政府机关的网络信息管理却具有很多先天的不足。随着政府电子政务战略的实施和推广，越来越多的政府机关工作流程和政务信息实现了电子化、网络化，越来越多的信息披露和与公民的互动依赖网络，网络信息安全出现问题后的影响会越来越大，如何加强政府机关网络信息安全管理工作已经成为各级政府越来越需要重视的课题。该文简要分析了政府机关网络信息安全存在的典型问题，并系统性地阐述了防范这些问题的一些关键策略。 　　关键词：政府机关 网络 信息安全 防范策略 　　中图分类号：TP393 文献标识码：A 文章编号：1672-3791（2015）12（a）-0242-02 　　1 政府机关网络信息安全存在的问题 　　虽然各级政府机关对网络信息安全问题已经有了不同程度的认识，但由于对网络信息安全的管理水平参差不齐，仍然存在非常严重的问题，主要体现在以下几个方面。 　　1.1 制度层面的问题 　　我国的网络信息安全立法尚处在起步阶段，主要的法规包括《计算机信息系统安全保护条例》《网络信息服务管理办法》《计算机病毒防治管理办法》等。这些法规均是通用型法律法规，在政府机关网络信息管理方面进行应用时，还需要更多的细则。由于法律法规的缺失，政府机关在制定管理制度和流程时缺乏法律依据，在出现问题时也难以依据法律法规进行处理和追责。 　　1.2 意识层面的问题 　　由于对网络信息安全缺乏保护意识，部分政府机关在网络信息方面投入严重不足，建立的安全防护措施过于简单，并存在“重建设、轻管理”问题。在使用网络和信息系统时，往往只考虑使用者的便利性，对网络信息安全认识不到位，容易出现泄密风险。出现问题后，意识不到问题的严重性，改进措施不力。 　　1.3 技术能力层面的问题 　　由于政府机关自身的技术人员和技术能力储备不足，政府机关往往把包括计算机、网络等基础设施和应用系统的建设外包给服务公司。由于经费问题，在服务公司的遴选上可选择的范围和质量也难以满足网络信息安全管理的要求。一旦出现问题，不仅自身没有能力解决问题，服务公司也因自身能力问题而不能快速解决问题，这将严重影响政府的公信力。 　　2 网络信息安全问题的防范策略 　　国家领导在网络信息安全方面高度重视，已经开始进行顶层设计和规划。中共中央总书记、国家主席、中央军委主席、中央网络安全和信息化领导小组组长习近平在中央网络安全和信息化领导小组第一次会议提出的“没有网络安全就没有国家安全，没有信息化就没有现代化”“建设网络强国的战略部署要与‘两个一百年’奋斗目标同步推进”等重要论断，深刻阐释了党中央关于加强网络安全和信息化工作的指导思想和方针路线。 　　各级政府机关要深刻认识到，网络信息安全对国家的很多领域都是牵一发而动全身的，要充分认识做好网络信息安全工作的重要性和紧迫性。网络安全和信息化是一体之两翼、驱动之双轮，必须统一谋划、统一部署、统一推进、统一实施。为全面做好网络信息安全工作，各级政府机关要深刻学习国家领导人提出的要求，重点考虑以下策略。 　　2.1 组织架构设计与经费支持 　　组织架构设计是要分层建立对网络信息安全负责的专业队伍，这是有效加强网络信息安全管理工作的基础。有了合理清晰的组织架构，各个岗位的工作人员才能各司其职，工作流程有条不紊。通过对不同岗位的专业培训，使得相关岗位的工作人员具备相关的资质和安全意识。通过建立全面的KPI管理机制，可以对相关岗位的工作人员的工作表现进行评价，对出现问题的人员进行追责，全面提高工作效率和管理水平。同时，对外包服务公司也需要纳入组织架构管理中，并明确外包服务内容边界和服务质量要求，对出现的问题也应有对应的惩罚措施。各级政府机关需要提高对网络信息安全的认识高度，对网络安全管理提供必要的、合理的经费支持。 　　2.2 建立制度管理规范 　　根据组织架构设计，建立网络信息安全分级机制，对各类基础设施、数据、应用系统进行涉密分级，在每个层级上建立完善的管理制度。在系统建设的预研、立项、招标、建设、运行维护等各环节建立风险评估与控制流程。 　　建立全面的安全管理规范，至少需要涵盖以下各个方面。 　　2.2.1 基础设施 　　建立包括计算机硬件、网络设备、防火墙、操作系统、数据库、病毒防范等的安全管理规范，建立基础设施采购、部署、运维监控和巡检制度，确保生产运行安全。关键设备和加密算法要考虑国家标准的要求，避免导致泄密风险。 　　建立健全数据备份和灾难备份机制，确保系统数据安全和系统运行的连续性。必要时，可采用内外网隔离、硬件加密、云计算、大数据等相关先进技术，加强国内科研机