文 ｜ 內(nèi)蒙古自治區(qū)大數(shù)據(jù)中心 于麗麗

2020年10月20日，內(nèi)蒙古自治區(qū)大數(shù)據(jù)中心組建成立。經(jīng)過一年多的全力溝通和密切配合，部門間的工作溝通協(xié)調(diào)和工作機制基本建立。隨著“東數(shù)西算”、“數(shù)字政府”、“數(shù)字經(jīng)濟”、“數(shù)字產(chǎn)業(yè)化和產(chǎn)業(yè)數(shù)字化”工程的快速推進，《中華人民共和國數(shù)據(jù)安全法》、《中華人民共和國個人信息保護法》《關鍵信息基礎設施安全保護條例》等法律法規(guī)的出臺，結(jié)合自治區(qū)信息服務機構(gòu)改革對網(wǎng)絡安全工作提出更高的要求?；诖?，本文將從自治區(qū)信息服務機構(gòu)改革面臨的問題出發(fā)，提出安全防護措施提出個人的一些意見，僅供參考。

按照自治區(qū)黨委關于政府系統(tǒng)信息服務機構(gòu)改革的部署要求，2020年10月20日，內(nèi)蒙古自治區(qū)大數(shù)據(jù)中心組建成立。經(jīng)過一年多的全力溝通和密切配合，職能調(diào)整和人員轉(zhuǎn)隸全部到位，部門間的工作機制基本建立，但還面臨著一些深層次矛盾和亟待解決的問題。大數(shù)據(jù)時代下，面對多部門的網(wǎng)絡安全職責不清、界限不明、不同架構(gòu)、不同數(shù)據(jù)結(jié)構(gòu)的系統(tǒng)等錯綜復雜的問題，信息安全問題屢見不鮮，因此，如何理清與服務廳局的安全邊界，有效應對計算機網(wǎng)絡信息安全問題并且加強相應的防護措施，已經(jīng)成為各行各業(yè)發(fā)展過程中重點研究的課題之一。

一、中心網(wǎng)絡安全和數(shù)據(jù)安全體系基本現(xiàn)狀與問題

機構(gòu)改革前，自治區(qū)各廳局負責廳局信息化建設的主要任務，是安全責任的主體。改革后，自治區(qū)大數(shù)據(jù)中心作為原廳局信息系統(tǒng)和網(wǎng)絡安全運行的技術支撐單位，承擔著信息系統(tǒng)和網(wǎng)絡的安全運維。

（一）安全邊界不清晰的問題

各廳局在完成信息系統(tǒng)和資產(chǎn)劃轉(zhuǎn)后，普遍認為信息系統(tǒng)已經(jīng)劃轉(zhuǎn)到大數(shù)據(jù)中心，安全責任應由大數(shù)據(jù)中心負責。但實際工作中，大數(shù)據(jù)中心作為技術支撐單位，主要負責是信息系統(tǒng)和網(wǎng)絡的安全運維與服務。各廳局作為信息系統(tǒng)和網(wǎng)絡的應用主體，應負責廳局用戶的安全管理和規(guī)范應用等工作。由于機構(gòu)改革，將分散在各廳局的信息系統(tǒng)劃轉(zhuǎn)到大數(shù)據(jù)中心，應用方和技術服務職責的拆分，造成改革初期的服務廳局與我中心的安全邊界不清晰、各部與運維企業(yè)的安全邊界不清晰以及部內(nèi)安全運維和服務內(nèi)容有待進一步理清等問題。

（二）安全運維和服務團隊建設欠缺

機構(gòu)改革前，多數(shù)廳局更多注重的是系統(tǒng)的建設和運維，在信息系統(tǒng)和網(wǎng)絡安全運維和保障建設等方面都比較薄弱，多數(shù)未建立專業(yè)的安全運維團隊，未采購專業(yè)的安全服務團隊，專業(yè)的安全人才匱乏。經(jīng)初步統(tǒng)計，中心目前具有安全方面的證書CISP的不足十人，占中心總?cè)藬?shù)的比例較低。

（三）安全運維和服務水平參差不齊，未形成工作合力

機構(gòu)改革后，各廳局劃轉(zhuǎn)的信息系統(tǒng)和網(wǎng)絡安全運維和服務工作由不同程度、不同水平的人員來進行管理和維護，技術力量和水平參差不齊。截至目前，在信息系統(tǒng)劃轉(zhuǎn)后，基本按照各廳局原來的運維力量來完成安全保障和服務工作，未形成安全的合力，整體的大安全保障基本空白。

（四）安全管理制度需要進一步完善

經(jīng)初步統(tǒng)計，中心針對改革后出臺了一些網(wǎng)絡安全和數(shù)據(jù)安全體系的規(guī)章制度，主要包括《內(nèi)蒙古自治區(qū)大數(shù)據(jù)中心政事權限清單》《大數(shù)據(jù)中心網(wǎng)絡安全責任制實施細則》《內(nèi)蒙古自治區(qū)大數(shù)據(jù)中心與各委辦廳局網(wǎng)絡與數(shù)據(jù)安全協(xié)同聯(lián)動工作要求》《大數(shù)據(jù)中心與各委辦廳局突發(fā)網(wǎng)絡安全事件應急預案》，初步明確了中心與各服務廳局的安全邊界和安全職責，對運維服務的機房、網(wǎng)絡和信息系統(tǒng)安全提供了一些基礎保障。但是這些制度在一定程度上存在普遍性，針對廳局的實際，需要進一步的細化和完善。

二、問題產(chǎn)生的原因

信息系統(tǒng)和網(wǎng)絡應用主體和運維主體的劃分造成安全邊界不清晰。信息系統(tǒng)和網(wǎng)絡應用劃轉(zhuǎn)后，造成應用主體為各廳局，技術服務支撐主體為大數(shù)據(jù)中心，管理和應用主體的劃分，在改革初期存在一定程度上的劃分不清晰。安全邊界的劃分需要與各廳局在實際對接中逐步解決。

由于歷史原因，系統(tǒng)建設初期重建設，輕安全，造成安全服務滯后。部分業(yè)務系統(tǒng)前期注重系統(tǒng)建設和應用，考慮安全的比重較少，安全的整體規(guī)劃缺乏一定的頂層設計，未引入專業(yè)的安全服務團隊，安全服務的技術力量比較薄弱。

人員和經(jīng)費投入有限，在一定程度上制約安全團隊的建設。各廳局的安全經(jīng)費較建設和運維經(jīng)費投入均不多，進而專業(yè)安全人員的培養(yǎng)和專業(yè)安全團隊的引入就存在一定的局限性，一定程度上制約了安全服務團隊的建設。

三、工作建議

（一）結(jié)合實際，一廳一策，逐步明確安全服務邊界

按照“誰主管、誰負責，誰建設、誰負責，誰應用、誰負責”的原則，針對不同的服務廳局實際情況，細化分類標準，在對接和合作過程中，逐步明確雙方的安全邊界。

（二）統(tǒng)分結(jié)合，應用驅(qū)動，不斷加強安全服務團隊建設

由中心統(tǒng)一規(guī)劃設計和組織協(xié)調(diào)，各處部結(jié)合工作實際分別組織實施，按照應用驅(qū)動原則，進一步加大專業(yè)技術人員安全技能培訓力度，激勵大家將所學知識應用于工作實踐。在中心專家委員會下組建安全服務專家組，遴選有能力的技術人員進入專家組，作為中心網(wǎng)絡安全專業(yè)團隊，為各處部提供網(wǎng)絡安全咨詢培訓和技術支持。

（三）結(jié)合實際，逐步完善，確保安全管理制度落實落細

中心目前運維管理的信息系統(tǒng)數(shù)量大、復雜度高、范圍廣，涉及的安全管理要求更高、更全、更細。建議遵循大的安全框架，結(jié)合廳局實際，逐步完善細化機房管理、設備安全管理、信息系統(tǒng)運維管理、數(shù)據(jù)安全管理、終端的安全管理、用戶管理等方面管理制度，堅持實用的原則，確保完善安全管理制度落實落細。

（四）加強管理，細化權限，提升管理能力

安全工作是三分技術，七分管理，建議加強對運維企業(yè)人員、權限等方面的管理，清理設備管理權限、信息系統(tǒng)管理和應用權限、數(shù)據(jù)的分級分類權限和運維人員賬戶。建立清單，摸清家底，科學分配各種管理權限、運維權限和應用權限，客觀上避免開發(fā)企業(yè)和運維企業(yè)對信息系統(tǒng)和數(shù)據(jù)資源的技術管控權限很大。