淺議政府機關網絡信息安全問題及防范策略

韓明霞

摘 要：政府機關網絡信息安全是國家網絡信息安全的重要組成部分。然而，相對于電信、金融、軍事等機構經過十幾年發展起來的高標準管理，政府機關的網絡信息管理卻具有很多先天的不足。隨著政府電子政務戰略的實施和推廣，越來越多的政府機關工作流程和政務信息實現了電子化、網絡化，越來越多的信息披露和與公民的互動依賴網絡，網絡信息安全出現問題后的影響會越來越大，如何加強政府機關網絡信息安全管理工作已經成為各級政府越來越需要重視的課題。該文簡要分析了政府機關網絡信息安全存在的典型問題，并系統性地闡述了防范這些問題的一些關鍵策略。

關鍵詞：政府機關 網絡 信息安全 防范策略

中圖分類號：TP393 文獻標識碼：A 文章編號：1672-3791（2015）12（a）-0242-02

1 政府機關網絡信息安全存在的問題

雖然各級政府機關對網絡信息安全問題已經有了不同程度的認識，但由于對網絡信息安全的管理水平參差不齊，仍然存在非常嚴重的問題，主要體現在以下幾個方面。

1.1 制度層面的問題

我國的網絡信息安全立法尚處在起步階段，主要的法規包括《計算機信息系統安全保護條例》《網絡信息服務管理辦法》《計算機病毒防治管理辦法》等。這些法規均是通用型法律法規，在政府機關網絡信息管理方面進行應用時，還需要更多的細則。由于法律法規的缺失，政府機關在制定管理制度和流程時缺乏法律依據，在出現問題時也難以依據法律法規進行處理和追責。

1.2 意識層面的問題

由于對網絡信息安全缺乏保護意識，部分政府機關在網絡信息方面投入嚴重不足，建立的安全防護措施過于簡單，并存在“重建設、輕管理”問題。在使用網絡和信息系統時，往往只考慮使用者的便利性，對網絡信息安全認識不到位，容易出現泄密風險。出現問題后，意識不到問題的嚴重性，改進措施不力。

1.3 技術能力層面的問題

由于政府機關自身的技術人員和技術能力儲備不足，政府機關往往把包括計算機、網絡等基礎設施和應用系統的建設外包給服務公司。由于經費問題，在服務公司的遴選上可選擇的范圍和質量也難以滿足網絡信息安全管理的要求。一旦出現問題，不僅自身沒有能力解決問題，服務公司也因自身能力問題而不能快速解決問題，這將嚴重影響政府的公信力。

2 網絡信息安全問題的防范策略

國家領導在網絡信息安全方面高度重視，已經開始進行頂層設計和規劃。中共中央總書記、國家主席、中央軍委主席、中央網絡安全和信息化領導小組組長習近平在中央網絡安全和信息化領導小組第一次會議提出的“沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化”“建設網絡強國的戰略部署要與‘兩個一百年奮斗目標同步推進”等重要論斷，深刻闡釋了黨中央關于加強網絡安全和信息化工作的指導思想和方針路線。

各級政府機關要深刻認識到，網絡信息安全對國家的很多領域都是牽一發而動全身的，要充分認識做好網絡信息安全工作的重要性和緊迫性。網絡安全和信息化是一體之兩翼、驅動之雙輪，必須統一謀劃、統一部署、統一推進、統一實施。為全面做好網絡信息安全工作，各級政府機關要深刻學習國家領導人提出的要求，重點考慮以下策略。

2.1 組織架構設計與經費支持

組織架構設計是要分層建立對網絡信息安全負責的專業隊伍，這是有效加強網絡信息安全管理工作的基礎。有了合理清晰的組織架構，各個崗位的工作人員才能各司其職，工作流程有條不紊。通過對不同崗位的專業培訓，使得相關崗位的工作人員具備相關的資質和安全意識。通過建立全面的KPI管理機制，可以對相關崗位的工作人員的工作表現進行評價，對出現問題的人員進行追責，全面提高工作效率和管理水平。同時，對外包服務公司也需要納入組織架構管理中，并明確外包服務內容邊界和服務質量要求，對出現的問題也應有對應的懲罰措施。各級政府機關需要提高對網絡信息安全的認識高度，對網絡安全管理提供必要的、合理的經費支持。

2.2 建立制度管理規范

根據組織架構設計，建立網絡信息安全分級機制，對各類基礎設施、數據、應用系統進行涉密分級，在每個層級上建立完善的管理制度。在系統建設的預研、立項、招標、建設、運行維護等各環節建立風險評估與控制流程。

建立全面的安全管理規范，至少需要涵蓋以下各個方面。

2.2.1 基礎設施

建立包括計算機硬件、網絡設備、防火墻、操作系統、數據庫、病毒防范等的安全管理規范，建立基礎設施采購、部署、運維監控和巡檢制度，確保生產運行安全。關鍵設備和加密算法要考慮國家標準的要求，避免導致泄密風險。

建立健全數據備份和災難備份機制，確保系統數據安全和系統運行的連續性。必要時，可采用內外網隔離、硬件加密、云計算、大數據等相關先進技術，加強國內科研機構科研成果的轉化應用。

2.2.2 用戶認證與授權管理

建立完善的用戶認證機制，包括管理用戶、業務用戶和公眾用戶。必要時，在保護用戶隱私的前提下，對用戶采用身份認證、指紋認證、手機短信認證等認證方式。

對操作系統、網絡、數據庫的訪問用戶需要進行嚴格限制，盡量減少直接通過數據庫用戶訪問和修改數據的行為，重要系統級用戶的登錄密碼需要分段分人進行管理。

2.2.3 應用系統管理

應用系統需要建立全面的權限控制機制，對不同的用戶能夠訪問的系統功能和數據信息需要進行嚴格控制。建立應用系統開發、測試、上線、變更、運維的全流程管理機制，避免因系統運維流程、系統壓力等方面原因導致生產服務中斷事故。

2.2.4 電子檔案管理

政府政務越來越依賴信息化以后，需要建立完善的電子檔案管理機制來保證信息的妥善保存和事后查證需要。尤其是無紙化辦公逐步推進的過程中，重要信息的保存期限要求會越來越高，建立統一的內容管理、文件傳輸機制是各種應用系統共同的要求。

2.2.5 信息安全審計

信息安全審計是一個通過收集和評價審計證據，對信息系統是否能夠保護信息資產的安全和維護數據的完整，使被審計單位的目標得以有效地實現，使組織的資源得到高效地利用等方面做出判斷的過程。信息安全審計（IT Audit）是保證信息安全的重要手段，建立內部審計與外部審計結合的信息安全審計制度是非常必要的。信息安全審計制度需要明確信息系統審計部門在何時介入信息安全審計工作（如例行審計、司法介入審計的啟動條件是有很大差異的），并定義工作范圍和工作流程。同時，信息安全審計反過來也可以影響系統建設過程，建立系統開發過程中的日志規范，應用系統記錄的日志對信息安全審計提供數據支持。

2.3 申請信息安全管理體系認證

有條件的政府機關，可申請通過ISO27001：2005信息安全管理體系認證。該認證為建立、實施、運行、監視、評審、保持和改進信息安全管理體系提供了模型，是管理體系思想和方法在信息安全領域的應用，已經越來越被各國接受和認可。整個管理體系包括組織結構、方針策略、規劃活動、職責、實踐、程序、過程和資源，通過該體系認證將對政府機關的信息安全體系化是一次非常大的促進。

3 結語

綜上所述，政府機關的網絡信息安全管理不是一朝一夕的問題，管理制度和機制的建立和優化也將是長期的任務，需要各級政府機關在實踐過程中不斷地進行探索和改進。

參考文獻

[1] 林潤輝，李大輝，謝宗曉，等.信息安全管理理論與實踐[M].中國質檢出版社，中國標準出版社，2012.

[2] （美）Michael E.Whitman，Herbert J.Matto，著.信息安全原理[M].清華大學出版社，2006.

[3] （美）Mark Rhodes-Ousley，著.信息安全完全參考手冊[M].清華大學出版社，2004.