事業單位網絡安全防護與管理措施研究

◆唐文偉

事業單位網絡安全防護與管理措施研究

◆唐文偉

（遼寧省信息中心 遼寧 110032）

在信息化時代，網絡安全對事業單位有重要的意義。我國事業單位總體存在缺乏應有的網絡安全意識，完善的網絡安全管理制度，必要的網絡安全教育，有效應對黑客攻擊的手段，高素質網絡安全管理人才，這些問題的好壞直接影響事業單位網絡安全防護水平。本文根據我國事業單位網絡安全防護問題，有針對性地提出對策建議，希望會對事業單位提升網絡安全防護能力提供幫助。

事業單位；網絡安全防護；信息化時代

隨著信息化技術的廣泛推廣和深度應用，我國事業單位也不可避免的逐步提升了辦公的信息化水平。事業單位是承擔各類政府服務事項的組織，對我國經濟社會發展具有重要的現實意義。當前，在信息化技術飛速發展的大背景下，我國各類單位大多都在深入實施信息化改革，事業單位各項職能大都需要基于網絡完成，或需要網絡技術的支持。計算機網絡技術的推廣使用極大地提升了事業單位的工作效率，但與此同時，事業單位網絡安全防護與管理逐漸成為需要重點關注的事項。

1 事業單位網絡安全防護現狀

（1）缺乏應有的網絡安全防控意識。與企業網絡安全防護相比，事業單位網絡安全防護有明顯不同。企業信息資源，如專利信息、渠道信息、價格信息、成本信息等大多具有相當價值且與信息持有者具有較大利益相關性，而事業單位職工與信息的利益相關度相對較低，主觀上存在事業單位職工安全意識不強的問題。甚至部分事業單位員工在使用個人電腦時注重個人隱私和財產保護，但在使用單位電腦時則放松了警惕。如在瀏覽網頁時缺乏必要的網絡安全防護，登錄信息系統密碼過于簡單，多個網站使用同一組用戶名和密碼，沒有經過保密審查和病毒查殺的移動存儲設備隨意在計算機上使用。

（2）缺乏完善的網絡安全管理制度。按照上級管理機關要求，事業單位往往都建立了相應的網絡安全管理制度，但認真分析發現，大部分事業單位網絡安全管理制度形式大于內容，存在缺乏實施細則，缺乏責任主體，應用適用度不高，管理制度不完善，應對措施落后等問題，不完善的網絡安全管理制度也是引發事業單位網絡安全事故的重要原因。

（3）缺乏必要的網絡安全教育。事業單位對工作人員信息化教育工作落實的并不到位，缺乏整體規劃，很多安全防護措施還僅僅停留在紙面上，沒有通過完善的教育體系變成職工平時約定俗成的習慣。事業單位網絡安全教育缺乏整體規劃，大多數事業單位職工缺乏必要的網絡安全防控知識。事業單位缺乏必要的規范，員工在使用計算機網絡時沒有相應的權限和安全等級限制。

（4）缺乏有效的應對黑客攻擊的手段。當前社會已經進入大數據時代，事業單位在工作的過程中也會與其他單位和個人通過網絡產生頻繁交互，進而產生大量的信息數據。但由于硬件和軟件投入不足，部分計算機網絡信息系統存在一定的漏洞，有黑客入侵的危險，病毒和木馬也可能會經由系統漏洞竊取、竄改、刪除事業單位信息數據，甚至對硬件造成損害。

（5）缺乏高素質網絡安全管理人才。事業單位承擔類政府職能，員工主要按照工作職能配置，再加上近年來各地都在深入實施事業單位改革，認真貫徹落實減員增效方針，事業單位很少配置高素質的網絡安全管理人才，且缺乏必要的培訓、講座機會幫助員工提升網絡安全管理能力。

2 事業單位網絡安全防護重點

面對新的信息化技術和海量的信息數據交互需求，為切實提升事業單位網絡安全防護能力，提升事業單位履職能力，需要重點做好以下網絡安全防護工作。

（1）實施信息網絡加密。事業單位存儲、調用和處理大量企事業經營和民眾個人信息，需要通過網絡加密技術切實保護這些信息的安全性。常見的網絡加密技術有節點加密、端點加密和鏈條加密等方式，每種方式均有其獨特優勢，事業單位可根據業務情況和網絡環境要求，有針對性地選擇加密方式。

（2）嚴格控制上網行為。對上網行為進行嚴格控制可以有效降低網絡危害，保證信息資源安全。具體來說需要對網絡訪問權限進行明確和限制，對信息資源進行分級，不同等級職工賦予不同的訪問權限，越重要的信息資源訪問權限相對較高，訪問人數相對較少；訪問信息資源庫時，除用戶名和密碼外，還需要在電腦中插入物理密鑰，從而有效提升信息資源的網絡安全性。對網絡資源訪問信息，如訪問人、時間、內容、權限等進行記錄并不容如何人修改，設置網絡服務器緊急關閉保護措施，做到全流程留痕，避免非法人員的惡意訪問。

（3）有效實施病毒防護。病毒防護是維護網絡安全的重要方式，也是網絡安全防護的基礎，隨著網絡技術的快速發展，網絡病毒種類更加多樣、傳播更加快速、對信息安全的危害性也逐漸增大，這對事業單位病毒防護工作提出了新的要求。面對新型病毒防護任務，事業單位應切實加強對病毒防護的重視程度，提升計算機病毒查殺頻率，切實維護網絡安全，有效保護信息資源。

（4）完善文件安全管理。文件是信息的主要載體，事業單位文件不僅記錄著各事項的進展情況，還記錄著企業和民眾的個人信息，應妥善加以保護。應對文件訪問進行控制，定期審查訪問日志，如發現非法訪問應及時預警，并按既定方案予以應對。應完善文件的安全防護系統，既要保證文件的安全共享，還應保證信息的安全、可靠。此外，還應對重要文件進行及時備份，防止因文件丟失、損壞使事業單位工作受到不利影響。

3 事業單位提升網絡安全防護和管理水平的建議

（1）樹立良好的網絡安全意識。事業單位應加強對員工的網絡安全教育，通過具體案例讓員工了解自身不規范的操作行為可能會引發的網絡安全事故，教育員工養成良好的安全操作、管理習慣，有效避免事業單位數據信息被竄改、盜取問題。通過網絡安全軟件，自動識別并攔截垃圾郵件、病毒網站鏈接，防止病毒入侵現象。制定網絡安全防護準則，定期對業務系統、數據信息進行安全監測，查找安全隱患和網絡安全漏洞，有針對性地進行安全防護或添加補丁，保護數據信息安全。

（2）建立嚴格的網絡安全管理制度。為有效提升計算機信息安全，降低數據信息安全隱患，應建立覆蓋事業單位各部門、各業務，嚴格的網絡安全管理制度。在事業單位方面，應根據業務類型和信息數據現實情況制定相應的網絡安全管理制度，將網絡安全管理落到實處。進一步完善信息安全管理系統，邀請專業人員對數據信息安全防護措施進行定期升級。在員工方面，除要求員工在使用網絡期間設置較為煩瑣的密碼，不瀏覽或分享與工作不相關的不健康網站外，還應嚴格落實信息保密制度，不得將單位內部信息數據泄露。

（3）加強數據安全監管。應基于信息技術手段對事業單位數據安全狀況進行全面、全時監管，及時發現并評估系統入侵現象，通過數據統計、數據分析和風險識別材料實時評估數據信息隱患，提升數據信息安全使用，保證事業單位業務系統的穩定性和可靠性。近年來，網絡防入侵技術在實踐中越來越成熟，對保護網絡安全的作用也越來越重要。該項技術能夠在信息系統正常運行的過程中判定是否存在濫用、盜用的情況，及時報警并阻止非法侵入行為。因此，應充分借助先進的入侵檢測技術，檢測分析事業單位信息數據是否存在被入侵和竄改的風險，并適時實施數據安全管理維護工作，從根本上加強數據安全監管。

（4）加大對軟件和硬件設施的投入力度。硬件和軟件水平的提升是加強事業單位網絡安全防護和管理的基礎，也是服務于事業單位網絡安全防護和管理的重要途徑。隨著信息技術的發展，事業單位網絡管理對軟件和硬件設施的要求顯著提升，如新的軟件運行速度更快、功能更加強大、功能更加完善、防護能力更高，而新的軟件則需要性能更高硬件設施作為基礎。因此，為應對新的網絡安全防護任務，事業單位應進一步加強對軟件和硬件設施的資金投入力度，及時購買新的軟件，配置新的硬件設施。

（5）加強網絡安全管理人才的選拔任用培養。網絡是服務人類生產和生活的，而網絡管理的主體依然是人，網絡安全管理人才始終是事業單位提升網絡安全水平的核心。專業的網絡安全管理人員能夠依據專業知識對出現的網絡安全問題進行分析和判斷，能夠有效降低網絡安全事故對整體工作的影響程度，因此，事業單位未來應進一步加強網絡安全管理人才的選拔任用和培養。在崗位設置時應至少設置一個網絡安全管理崗位；提供培訓和進修機會，重視網絡安全管理人才的成長。緊緊依靠內部和外部力量，加強對事業單位員工的專業培訓，提升員工網絡安全防范意識，提升網絡安全應對能力，進而提升事業單位整體網絡安全管理能力。

[1]童瀛，姚煥章，周宇.大數據背景下網絡信息安全技術體系分析[J].網絡安全技術與應用，2021（05）：67-68.

[2]趙揚.政府機關網絡安全維護及解決方案思考[J].網絡安全技術與應用，2021（05）：122-123.

[3]李珍蘭.優化人才培養方案，推動網絡信息安全專業快速發展[J].現代職業教育，2021（20）：222-223.

[4]鹿鳴.數據加密技術應用在計算機網絡信息安全中的應用[J].電子測試，2021（09）：80-81.