機(jī)關(guān)事業(yè)單位網(wǎng)絡(luò)安全管理

程家騏

【摘要】隨著科技的不斷進(jìn)步，辦公網(wǎng)絡(luò)等信息化技術(shù)在機(jī)關(guān)事業(yè)單位中廣泛應(yīng)用，然而目前很多單位網(wǎng)絡(luò)安全防范意識(shí)和技術(shù)不足，網(wǎng)絡(luò)安全管理工作存在漏洞，給單位信息安全帶來隱患。本文分析了當(dāng)前機(jī)關(guān)事業(yè)單位網(wǎng)絡(luò)安全管理工作中存在的共性問題，探討了如何從制度、技術(shù)、人員等方面全面提升單位網(wǎng)絡(luò)安全管理工作水平，為機(jī)關(guān)事業(yè)單位提出可供參考的解決對(duì)策。

【關(guān)鍵詞】機(jī)關(guān)事業(yè)單位;網(wǎng)絡(luò)安全;管理;防護(hù)措施

中圖分類號(hào)：TN92? ? ? ? ? ? ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A? ? ? ? ? ? ? ? ? ? ?DOI：10.12246/j.issn.1673-0348.2021.05.045

隨著我國(guó)信息技術(shù)發(fā)展水平的不斷提高，各級(jí)機(jī)關(guān)事業(yè)單位都紛紛建立并不斷擴(kuò)充著自身的網(wǎng)絡(luò)信息系統(tǒng)，借助信息資源共享，大大提升了工作效率和質(zhì)量。但另一方面，我們也應(yīng)該看到，信息化加速飛躍給我們帶來便利的同時(shí)，也增大了網(wǎng)絡(luò)運(yùn)行的成本和風(fēng)險(xiǎn)?！吨腥A人民共和國(guó)網(wǎng)絡(luò)安全法》和網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0等法律規(guī)定頒布實(shí)施以來，網(wǎng)絡(luò)安全管理標(biāo)準(zhǔn)規(guī)范的精細(xì)化程度日益提高，對(duì)于網(wǎng)絡(luò)安全事件的定責(zé)處罰也進(jìn)一步明確。尤其機(jī)關(guān)事業(yè)單位信息系統(tǒng)大多事關(guān)民生，數(shù)據(jù)涉及隱私，如果網(wǎng)絡(luò)安全管理工作不到位，則會(huì)給信息系統(tǒng)帶來一定的安全隱患，不僅影響工作人員的正常辦公和業(yè)務(wù)辦理，而且敏感信息一旦泄露，則會(huì)給機(jī)關(guān)事業(yè)單位信息安全帶來嚴(yán)重影響，甚至?xí)?duì)社會(huì)政治、經(jīng)濟(jì)等各方面帶來很大損失。鑒于此，本文就當(dāng)前機(jī)關(guān)事業(yè)單位網(wǎng)絡(luò)安全管理現(xiàn)狀問題及解決對(duì)策進(jìn)行探討，以期為更好加強(qiáng)單位網(wǎng)絡(luò)安全管理服務(wù)。

1. 機(jī)關(guān)事業(yè)單位網(wǎng)絡(luò)安全管理現(xiàn)狀中存在的問題

1.1 網(wǎng)絡(luò)安全管理意識(shí)不強(qiáng)

當(dāng)前機(jī)關(guān)事業(yè)單位工作人員對(duì)網(wǎng)絡(luò)安全問題還未能引起足夠重視，關(guān)于網(wǎng)絡(luò)安全對(duì)工作成效的促進(jìn)作用認(rèn)識(shí)不足，人們的網(wǎng)絡(luò)安全意識(shí)還有待提高。單位領(lǐng)導(dǎo)對(duì)于普遍可見的管理工作比較重視，但是對(duì)于沒有顯性成效的網(wǎng)絡(luò)安全管理，則不夠重視，或不知該從何抓起。一些單位盡管規(guī)定了網(wǎng)絡(luò)安全分管領(lǐng)導(dǎo)和相應(yīng)的管理層級(jí)，但是領(lǐng)導(dǎo)安全意識(shí)薄弱，工作人員責(zé)任感不強(qiáng)，認(rèn)為網(wǎng)絡(luò)安全是技術(shù)問題，由專業(yè)技術(shù)人員負(fù)責(zé)，與管理無關(guān)，這就造成了看似有人領(lǐng)導(dǎo)和負(fù)責(zé)，實(shí)則無人問津的安全管理漏洞。特別是在實(shí)際的網(wǎng)絡(luò)安全管理工作中，由于幕后工作領(lǐng)導(dǎo)看不見，容易出現(xiàn)不出問題就是最大成效的心態(tài)，加之獎(jiǎng)勵(lì)措施有限，導(dǎo)致工作人員積極性嚴(yán)重缺乏，這無疑阻礙了機(jī)關(guān)事業(yè)單位網(wǎng)絡(luò)安全管理工作的正常發(fā)展。

1.2 網(wǎng)絡(luò)安全管理制度不完善

給很多機(jī)關(guān)事業(yè)單位網(wǎng)絡(luò)安全管理帶來隱患的又一主要原因，就是網(wǎng)絡(luò)安全相關(guān)制度建設(shè)不夠完善，甚至忽視了建章立制。單位缺乏一套健全的網(wǎng)絡(luò)安全管理體系，制度有漏洞，或者即便有制度，但是可操作性和執(zhí)行力度不強(qiáng)，導(dǎo)致網(wǎng)絡(luò)安全工作缺乏指導(dǎo)。比如對(duì)于機(jī)房安全的管理，只制定了宏觀上的管理規(guī)章，明確由誰負(fù)責(zé)，確未明確具體事項(xiàng)，細(xì)化到每一條可實(shí)際操作的規(guī)程。對(duì)于托管機(jī)房的，一些單位認(rèn)為只需由管理方負(fù)責(zé)全部安全責(zé)任即可，本單位無需再另行規(guī)定。諸如此類片面的認(rèn)識(shí)，都阻礙了單位網(wǎng)絡(luò)安全管理制度的完善，進(jìn)而造成單位網(wǎng)絡(luò)安全管理混亂無序，沒有抓手，一旦出現(xiàn)問題，不知如何整改。網(wǎng)絡(luò)安全工作相對(duì)抽象且復(fù)雜，涉及面廣，如果沒有完善的制度體系，網(wǎng)絡(luò)安全管理工作就無法有序開展，單位網(wǎng)絡(luò)安全就將面臨嚴(yán)峻的挑戰(zhàn)。

1.3 網(wǎng)絡(luò)安全管理技術(shù)需提高

單位網(wǎng)絡(luò)安全工作隱患之處，還在于安全軟硬件設(shè)施及安全防范操作技術(shù)有待提高。有的單位信息化資金和力量投入不足，導(dǎo)致網(wǎng)絡(luò)安全方面缺乏技術(shù)支撐;有的單位即便部署了相應(yīng)的用于網(wǎng)絡(luò)安全管理的設(shè)備設(shè)施，但也只是一些基礎(chǔ)防護(hù)手段，采用的設(shè)備質(zhì)量也參差不齊，缺乏關(guān)鍵防護(hù)手段，對(duì)于一些復(fù)雜的網(wǎng)絡(luò)攻擊依舊無法及時(shí)發(fā)現(xiàn)并攔截;有的單位信息系統(tǒng)中雖然安全設(shè)備配置齊全，但是管理欠缺，比如未按等保要求進(jìn)行部署，需串聯(lián)部署的按旁路部署，需開啟的策略未開啟等，尤其是各種安全策略的配置缺乏規(guī)劃，比如為方便省事，配置地址為any的策略，或者未限定端口號(hào)，開放了業(yè)務(wù)不需要的端口，為網(wǎng)絡(luò)攻擊留下了可能的路徑。在當(dāng)前網(wǎng)絡(luò)安全環(huán)境日益復(fù)雜的形勢(shì)下，給單位網(wǎng)絡(luò)安全帶來很大的隱患。

1.4 網(wǎng)絡(luò)安全管理人員不專業(yè)

網(wǎng)絡(luò)安全管理是一項(xiàng)專業(yè)程度很高的工作，需要具備較高專業(yè)技術(shù)水平的工作人員才能勝任。從很多機(jī)關(guān)事業(yè)單位的人員結(jié)構(gòu)來看，雖然單位在人員招聘時(shí)招入了一定數(shù)量的專業(yè)技術(shù)人員，但是因各種原因，有的逐漸從事非本專業(yè)技術(shù)工作，有的甚至不再?gòu)氖聦I(yè)技術(shù)工作，造成單位專業(yè)技術(shù)力量不足，這對(duì)于網(wǎng)絡(luò)安全管理這種專業(yè)性要求較高的工作更為不利。單位專業(yè)從事網(wǎng)絡(luò)安全工作的人員不足，或者專業(yè)程度不夠高，使得單位網(wǎng)絡(luò)安全管理效能低，在形勢(shì)多變的網(wǎng)絡(luò)環(huán)境下無法游刃有余，無法應(yīng)對(duì)復(fù)雜多樣的黑客攻擊、計(jì)算機(jī)病毒等網(wǎng)絡(luò)安全問題。

2. 機(jī)關(guān)事業(yè)單位網(wǎng)絡(luò)安全管理對(duì)策

2.1 強(qiáng)化培訓(xùn)教育，牢固樹立網(wǎng)絡(luò)安全意識(shí)

網(wǎng)絡(luò)安全教育培訓(xùn)是成本最低、最有效利用現(xiàn)有技術(shù)和資源的、效果最快最顯著的信息安全管理措施。實(shí)踐證明，經(jīng)過反復(fù)宣傳教育培訓(xùn)，可以加深人們的認(rèn)知和意識(shí)。機(jī)關(guān)事業(yè)單位崗位設(shè)置精細(xì)、人員類別多，各類崗位和人員對(duì)應(yīng)不同的安全要求，應(yīng)針對(duì)單位內(nèi)部不同層次的安全需求制定相應(yīng)有針對(duì)性的信息安全培訓(xùn)體系，形成全面融合技術(shù)和管理要素的專業(yè)培訓(xùn)體系。比如對(duì)偏向管理的人員則應(yīng)側(cè)重網(wǎng)絡(luò)安全宏觀概念、法律法規(guī)、管理規(guī)范等的培訓(xùn);對(duì)偏向具體技術(shù)實(shí)施的人員，則應(yīng)側(cè)重于網(wǎng)絡(luò)攻防、滲透技術(shù)、黑客攻擊、入侵防御等的技術(shù)內(nèi)容。要將網(wǎng)絡(luò)安全教育作為一項(xiàng)常態(tài)化工作來抓，可協(xié)請(qǐng)網(wǎng)信、公安部門、培訓(xùn)機(jī)構(gòu)，或者外請(qǐng)專業(yè)安全公司為單位開展培訓(xùn)，內(nèi)容應(yīng)涵蓋基本安全意識(shí)、具體安全攻防操作、信息安全管理等全方位的安全知識(shí)和技能。同時(shí)，也可將網(wǎng)絡(luò)安全教育培訓(xùn)作為對(duì)單位及人員的考核指標(biāo)，是否組織過此類培訓(xùn)，以及培訓(xùn)后進(jìn)行相應(yīng)考核測(cè)驗(yàn)結(jié)果等，都可以作為量化指標(biāo)項(xiàng)，促進(jìn)單位教育培訓(xùn)工作的開展，提高單位員工參與積極性和對(duì)待認(rèn)真程度。只有提高單位內(nèi)部人員的安全防范意識(shí)與技能，不斷更新網(wǎng)絡(luò)安全觀念，才能提升在信息安全實(shí)踐當(dāng)中“人”這個(gè)決定因素的關(guān)鍵作用，為有效做好網(wǎng)絡(luò)安全管理工作提供保障。

2.2 完善安全制度，有效規(guī)范各項(xiàng)安全管理

制度是確保工作有序開展的根本底線和保障，對(duì)于單位網(wǎng)絡(luò)安全管理工作也同樣，完善的網(wǎng)絡(luò)安全管理制度可以為單位日常管理工作提供規(guī)范性的保障和可參照?qǐng)?zhí)行的標(biāo)準(zhǔn)規(guī)程。單位只要制定有嚴(yán)格的安全管理制度，各部門之間邊界明晰、安全職責(zé)劃分明確，負(fù)責(zé)網(wǎng)絡(luò)安全工作的人員配置齊整、技術(shù)過硬，就可以在很大程度上減少網(wǎng)絡(luò)安全管理的漏洞。機(jī)關(guān)事業(yè)單位除了自身內(nèi)部工作人員外，還有通過購(gòu)買服務(wù)方式引入的服務(wù)于某些項(xiàng)目的外部人員，人員構(gòu)成相對(duì)復(fù)雜，從事的工作也分門別類，因此單位應(yīng)當(dāng)建立健全網(wǎng)絡(luò)安全管理各類制度規(guī)程，以有效規(guī)范內(nèi)部工作人員和其他各類人員的行為。對(duì)于單位人員進(jìn)出關(guān)鍵區(qū)域、各類設(shè)施設(shè)備使用規(guī)范、信息系統(tǒng)網(wǎng)絡(luò)接入要求、各類業(yè)務(wù)經(jīng)辦流程等，均應(yīng)當(dāng)制定明確的規(guī)章制度，以供參照?qǐng)?zhí)行，同時(shí)各項(xiàng)規(guī)章制度應(yīng)當(dāng)具備較強(qiáng)的可操作性，易于落實(shí)。此外，網(wǎng)絡(luò)安全管理也離不開制度的執(zhí)行力，單位應(yīng)及時(shí)關(guān)注內(nèi)外網(wǎng)絡(luò)安全動(dòng)態(tài)，對(duì)于新發(fā)布、修訂的制度進(jìn)行宣傳解讀，組織學(xué)習(xí)，單位上下各級(jí)均應(yīng)自覺落實(shí)好制度規(guī)范，從而確保各項(xiàng)管理制度得以有效執(zhí)行。

2.3 加大各類投入，切實(shí)加強(qiáng)技術(shù)防范措施

建立健全一套全面的軟硬件防護(hù)體系是保證單位信息系統(tǒng)網(wǎng)絡(luò)安全的技術(shù)基礎(chǔ)。由于機(jī)關(guān)事業(yè)單位信息數(shù)據(jù)大多涉及國(guó)計(jì)民生，尤其是一些關(guān)鍵單位和部門，信息具有較高的保密性，因此對(duì)網(wǎng)絡(luò)安全提出了更高的現(xiàn)實(shí)要求。單位應(yīng)在年度預(yù)算中留有充分的信息化資金，用于信息系統(tǒng)，尤其是網(wǎng)絡(luò)安全建設(shè)，合理加大對(duì)網(wǎng)絡(luò)安全軟硬件設(shè)施設(shè)備的投入，將資金用足，用在構(gòu)建并強(qiáng)化信息系統(tǒng)安全體系的刀刃上。單位應(yīng)嚴(yán)格落實(shí)等保2.0相關(guān)要求，針對(duì)自身信息系統(tǒng)進(jìn)行定級(jí)備案管理，嚴(yán)格按照等保要求部署安全設(shè)備，串聯(lián)、旁路設(shè)備按要求接入網(wǎng)絡(luò)中。如在網(wǎng)絡(luò)邊界處配備功能強(qiáng)大的防火墻、防毒墻、入侵防御、漏洞掃描等設(shè)備，內(nèi)外網(wǎng)之間用網(wǎng)閘做好隔離，在所有終端和服務(wù)器部署安全防護(hù)軟件，并定期更新特征庫。安全設(shè)備策略配置應(yīng)妥善規(guī)劃，安全策略應(yīng)按需配置，精確到IP、端口號(hào)，防止過大的放通策略。另外，應(yīng)使用正版操作系統(tǒng)，敏感系統(tǒng)還應(yīng)采用國(guó)產(chǎn)化系統(tǒng)，且定期對(duì)操作系統(tǒng)進(jìn)行全面掃描，及時(shí)進(jìn)行補(bǔ)丁升級(jí)。信息系統(tǒng)應(yīng)采用加密傳輸及多因子身份認(rèn)證技術(shù)，有效提高安全性與可靠性。操作系統(tǒng)、數(shù)據(jù)庫、安全管理設(shè)備等的登陸口令應(yīng)設(shè)置更新周期要求、復(fù)雜度要求，并嚴(yán)格按照規(guī)定落實(shí)。還應(yīng)定期檢查、鎖定或撤銷網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)中不必要的用戶賬號(hào)，避免多余賬號(hào)被非法利用、防止存在共享賬號(hào)此外，還應(yīng)部署功能強(qiáng)大的數(shù)據(jù)備份恢復(fù)設(shè)備，保證數(shù)據(jù)既能得到完整、系統(tǒng)的備份，一旦發(fā)生安全事件，也可以及時(shí)恢復(fù)，防止因數(shù)據(jù)丟失可能造成的嚴(yán)重社會(huì)影響。

4 結(jié)語

由于信息技術(shù)的飛速發(fā)展，不可避免會(huì)帶來新的漏洞、病毒、攻擊等的不斷產(chǎn)生，要實(shí)現(xiàn)信息網(wǎng)絡(luò)的完全安全是不可能的，只能通過安全防護(hù)技術(shù)手段的豐富和人員能力的不斷提升來減小信息系統(tǒng)漏洞隱患，降低網(wǎng)絡(luò)安全事件發(fā)生的概率。對(duì)于機(jī)關(guān)事業(yè)單位而言，網(wǎng)絡(luò)安全關(guān)乎國(guó)計(jì)民生，勢(shì)必對(duì)網(wǎng)絡(luò)安全管理工作提出更高的要求，目前有的單位網(wǎng)絡(luò)安全工作較為薄弱，有的單位盡管開展了一些安全防護(hù)工作，但是還存在一定的問題，無法滿足當(dāng)前網(wǎng)絡(luò)安全工作要求。盡管網(wǎng)絡(luò)安全工作頭緒多、技術(shù)復(fù)雜，然而萬變不離其宗，只要機(jī)關(guān)事業(yè)單位始終重視網(wǎng)絡(luò)安全管理，統(tǒng)籌考慮制度、管理、技術(shù)、人員等各方面的因素，不斷查漏補(bǔ)缺，動(dòng)態(tài)的開展網(wǎng)絡(luò)安全防護(hù)工作，抓好“人防”與“技防”的結(jié)合，在網(wǎng)絡(luò)攻防大戰(zhàn)中不斷加固自身的盾，就一定能有效抵御網(wǎng)絡(luò)攻擊之“矛”。網(wǎng)絡(luò)安全和信息化是一體之兩翼、驅(qū)動(dòng)之雙輪，日益嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)也告訴我們，為確保信息化的發(fā)展，以及依托信息化推動(dòng)其他各項(xiàng)事業(yè)發(fā)展，網(wǎng)絡(luò)安全持續(xù)性建設(shè)必須要作為一項(xiàng)重中之重的工作常抓不懈。

參考文獻(xiàn)：

[1]胡翔.計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)技術(shù)的探討[J].電子世界，2013（7）：137-138.

[2]趙躍.機(jī)關(guān)事業(yè)單位中計(jì)算機(jī)網(wǎng)絡(luò)安全與管理的探討[J].科技創(chuàng)新導(dǎo)報(bào)，2019（20）：191-192.

[3]韓銳.計(jì)算機(jī)網(wǎng)絡(luò)安全的主要隱患及管理措施分析[J].信息通信，2014（1）：152-153.