论文部分内容阅读
【摘要】随着科技的不断进步,办公网络等信息化技术在机关事业单位中广泛应用,然而目前很多单位网络安全防范意识和技术不足,网络安全管理工作存在漏洞,给单位信息安全带来隐患。本文分析了当前机关事业单位网络安全管理工作中存在的共性问题,探讨了如何从制度、技术、人员等方面全面提升单位网络安全管理工作水平,为机关事业单位提出可供参考的解决对策。
【关键词】机关事业单位;网络安全;管理;防护措施
中图分类号:TN92 文献标识码:A DOI:10.12246/j.issn.1673-0348.2021.05.045
随着我国信息技术发展水平的不断提高,各级机关事业单位都纷纷建立并不断扩充着自身的网络信息系统,借助信息资源共享,大大提升了工作效率和质量。但另一方面,我们也应该看到,信息化加速飞跃给我们带来便利的同时,也增大了网络运行的成本和风险。《中华人民共和国网络安全法》和网络安全等级保护2.0等法律规定颁布实施以来,网络安全管理标准规范的精细化程度日益提高,对于网络安全事件的定责处罚也进一步明确。尤其机关事业单位信息系统大多事关民生,数据涉及隐私,如果网络安全管理工作不到位,则会给信息系统带来一定的安全隐患,不仅影响工作人员的正常办公和业务办理,而且敏感信息一旦泄露,则会给机关事业单位信息安全带来严重影响,甚至会对社会政治、经济等各方面带来很大损失。鉴于此,本文就当前机关事业单位网络安全管理现状问题及解决对策进行探讨,以期为更好加强单位网络安全管理服务。
1. 机关事业单位网络安全管理现状中存在的问题
1.1 网络安全管理意识不强
当前机关事业单位工作人员对网络安全问题还未能引起足够重视,关于网络安全对工作成效的促进作用认识不足,人们的网络安全意识还有待提高。单位领导对于普遍可见的管理工作比较重视,但是对于没有显性成效的网络安全管理,则不够重视,或不知该从何抓起。一些单位尽管规定了网络安全分管领导和相应的管理层级,但是领导安全意识薄弱,工作人员责任感不强,认为网络安全是技术问题,由专业技术人员负责,与管理无关,这就造成了看似有人领导和负责,实则无人问津的安全管理漏洞。特别是在实际的网络安全管理工作中,由于幕后工作领导看不见,容易出现不出问题就是最大成效的心态,加之奖励措施有限,导致工作人员积极性严重缺乏,这无疑阻碍了机关事业单位网络安全管理工作的正常发展。
1.2 网络安全管理制度不完善
给很多机关事业单位网络安全管理带来隐患的又一主要原因,就是网络安全相关制度建设不够完善,甚至忽视了建章立制。单位缺乏一套健全的网络安全管理体系,制度有漏洞,或者即便有制度,但是可操作性和执行力度不强,导致网络安全工作缺乏指导。比如对于机房安全的管理,只制定了宏观上的管理规章,明确由谁负责,确未明确具体事项,细化到每一条可实际操作的规程。对于托管机房的,一些单位认为只需由管理方负责全部安全责任即可,本单位无需再另行规定。诸如此类片面的认识,都阻碍了单位网络安全管理制度的完善,进而造成单位网络安全管理混乱无序,没有抓手,一旦出现问题,不知如何整改。网络安全工作相对抽象且复杂,涉及面广,如果没有完善的制度体系,网络安全管理工作就无法有序开展,单位网络安全就将面临严峻的挑战。
1.3 网络安全管理技术需提高
单位网络安全工作隐患之处,还在于安全软硬件设施及安全防范操作技术有待提高。有的单位信息化资金和力量投入不足,导致网络安全方面缺乏技术支撑;有的单位即便部署了相应的用于网络安全管理的设备设施,但也只是一些基础防护手段,采用的设备质量也参差不齐,缺乏关键防护手段,对于一些复杂的网络攻击依旧无法及时发现并拦截;有的单位信息系统中虽然安全设备配置齐全,但是管理欠缺,比如未按等保要求进行部署,需串联部署的按旁路部署,需开启的策略未开启等,尤其是各种安全策略的配置缺乏规划,比如为方便省事,配置地址为any的策略,或者未限定端口号,开放了业务不需要的端口,为网络攻击留下了可能的路径。在当前网络安全环境日益复杂的形势下,给单位网络安全带来很大的隐患。
1.4 网络安全管理人员不专业
网络安全管理是一项专业程度很高的工作,需要具备较高专业技术水平的工作人员才能胜任。从很多机关事业单位的人员结构来看,虽然单位在人员招聘时招入了一定数量的专业技术人员,但是因各种原因,有的逐渐从事非本专业技术工作,有的甚至不再从事专业技术工作,造成单位专业技术力量不足,这对于网络安全管理这种专业性要求较高的工作更为不利。单位专业从事网络安全工作的人员不足,或者专业程度不够高,使得单位网络安全管理效能低,在形势多变的网络环境下无法游刃有余,无法应对复杂多样的黑客攻击、计算机病毒等网络安全问题。
2. 机关事业单位网络安全管理对策
2.1 强化培训教育,牢固树立网络安全意识
网络安全教育培训是成本最低、最有效利用现有技术和资源的、效果最快最显著的信息安全管理措施。实践证明,经过反复宣传教育培训,可以加深人们的认知和意识。機关事业单位岗位设置精细、人员类别多,各类岗位和人员对应不同的安全要求,应针对单位内部不同层次的安全需求制定相应有针对性的信息安全培训体系,形成全面融合技术和管理要素的专业培训体系。比如对偏向管理的人员则应侧重网络安全宏观概念、法律法规、管理规范等的培训;对偏向具体技术实施的人员,则应侧重于网络攻防、渗透技术、黑客攻击、入侵防御等的技术内容。要将网络安全教育作为一项常态化工作来抓,可协请网信、公安部门、培训机构,或者外请专业安全公司为单位开展培训,内容应涵盖基本安全意识、具体安全攻防操作、信息安全管理等全方位的安全知识和技能。同时,也可将网络安全教育培训作为对单位及人员的考核指标,是否组织过此类培训,以及培训后进行相应考核测验结果等,都可以作为量化指标项,促进单位教育培训工作的开展,提高单位员工参与积极性和对待认真程度。只有提高单位内部人员的安全防范意识与技能,不断更新网络安全观念,才能提升在信息安全实践当中“人”这个决定因素的关键作用,为有效做好网络安全管理工作提供保障。 2.2 完善安全制度,有效規范各项安全管理
制度是确保工作有序开展的根本底线和保障,对于单位网络安全管理工作也同样,完善的网络安全管理制度可以为单位日常管理工作提供规范性的保障和可参照执行的标准规程。单位只要制定有严格的安全管理制度,各部门之间边界明晰、安全职责划分明确,负责网络安全工作的人员配置齐整、技术过硬,就可以在很大程度上减少网络安全管理的漏洞。机关事业单位除了自身内部工作人员外,还有通过购买服务方式引入的服务于某些项目的外部人员,人员构成相对复杂,从事的工作也分门别类,因此单位应当建立健全网络安全管理各类制度规程,以有效规范内部工作人员和其他各类人员的行为。对于单位人员进出关键区域、各类设施设备使用规范、信息系统网络接入要求、各类业务经办流程等,均应当制定明确的规章制度,以供参照执行,同时各项规章制度应当具备较强的可操作性,易于落实。此外,网络安全管理也离不开制度的执行力,单位应及时关注内外网络安全动态,对于新发布、修订的制度进行宣传解读,组织学习,单位上下各级均应自觉落实好制度规范,从而确保各项管理制度得以有效执行。
2.3 加大各类投入,切实加强技术防范措施
建立健全一套全面的软硬件防护体系是保证单位信息系统网络安全的技术基础。由于机关事业单位信息数据大多涉及国计民生,尤其是一些关键单位和部门,信息具有较高的保密性,因此对网络安全提出了更高的现实要求。单位应在年度预算中留有充分的信息化资金,用于信息系统,尤其是网络安全建设,合理加大对网络安全软硬件设施设备的投入,将资金用足,用在构建并强化信息系统安全体系的刀刃上。单位应严格落实等保2.0相关要求,针对自身信息系统进行定级备案管理,严格按照等保要求部署安全设备,串联、旁路设备按要求接入网络中。如在网络边界处配备功能强大的防火墙、防毒墙、入侵防御、漏洞扫描等设备,内外网之间用网闸做好隔离,在所有终端和服务器部署安全防护软件,并定期更新特征库。安全设备策略配置应妥善规划,安全策略应按需配置,精确到IP、端口号,防止过大的放通策略。另外,应使用正版操作系统,敏感系统还应采用国产化系统,且定期对操作系统进行全面扫描,及时进行补丁升级。信息系统应采用加密传输及多因子身份认证技术,有效提高安全性与可靠性。操作系统、数据库、安全管理设备等的登陆口令应设置更新周期要求、复杂度要求,并严格按照规定落实。还应定期检查、锁定或撤销网络设备、主机系统中不必要的用户账号,避免多余账号被非法利用、防止存在共享账号此外,还应部署功能强大的数据备份恢复设备,保证数据既能得到完整、系统的备份,一旦发生安全事件,也可以及时恢复,防止因数据丢失可能造成的严重社会影响。
4 结语
由于信息技术的飞速发展,不可避免会带来新的漏洞、病毒、攻击等的不断产生,要实现信息网络的完全安全是不可能的,只能通过安全防护技术手段的丰富和人员能力的不断提升来减小信息系统漏洞隐患,降低网络安全事件发生的概率。对于机关事业单位而言,网络安全关乎国计民生,势必对网络安全管理工作提出更高的要求,目前有的单位网络安全工作较为薄弱,有的单位尽管开展了一些安全防护工作,但是还存在一定的问题,无法满足当前网络安全工作要求。尽管网络安全工作头绪多、技术复杂,然而万变不离其宗,只要机关事业单位始终重视网络安全管理,统筹考虑制度、管理、技术、人员等各方面的因素,不断查漏补缺,动态的开展网络安全防护工作,抓好“人防”与“技防”的结合,在网络攻防大战中不断加固自身的盾,就一定能有效抵御网络攻击之“矛”。网络安全和信息化是一体之两翼、驱动之双轮,日益严峻的网络安全形势也告诉我们,为确保信息化的发展,以及依托信息化推动其他各项事业发展,网络安全持续性建设必须要作为一项重中之重的工作常抓不懈。
参考文献:
[1]胡翔.计算机网络安全防护技术的探讨[J].电子世界,2013(7):137-138.
[2]赵跃.机关事业单位中计算机网络安全与管理的探讨[J].科技创新导报,2019(20):191-192.
[3]韩锐.计算机网络安全的主要隐患及管理措施分析[J].信息通信,2014(1):152-153.
【关键词】机关事业单位;网络安全;管理;防护措施
中图分类号:TN92 文献标识码:A DOI:10.12246/j.issn.1673-0348.2021.05.045
随着我国信息技术发展水平的不断提高,各级机关事业单位都纷纷建立并不断扩充着自身的网络信息系统,借助信息资源共享,大大提升了工作效率和质量。但另一方面,我们也应该看到,信息化加速飞跃给我们带来便利的同时,也增大了网络运行的成本和风险。《中华人民共和国网络安全法》和网络安全等级保护2.0等法律规定颁布实施以来,网络安全管理标准规范的精细化程度日益提高,对于网络安全事件的定责处罚也进一步明确。尤其机关事业单位信息系统大多事关民生,数据涉及隐私,如果网络安全管理工作不到位,则会给信息系统带来一定的安全隐患,不仅影响工作人员的正常办公和业务办理,而且敏感信息一旦泄露,则会给机关事业单位信息安全带来严重影响,甚至会对社会政治、经济等各方面带来很大损失。鉴于此,本文就当前机关事业单位网络安全管理现状问题及解决对策进行探讨,以期为更好加强单位网络安全管理服务。
1. 机关事业单位网络安全管理现状中存在的问题
1.1 网络安全管理意识不强
当前机关事业单位工作人员对网络安全问题还未能引起足够重视,关于网络安全对工作成效的促进作用认识不足,人们的网络安全意识还有待提高。单位领导对于普遍可见的管理工作比较重视,但是对于没有显性成效的网络安全管理,则不够重视,或不知该从何抓起。一些单位尽管规定了网络安全分管领导和相应的管理层级,但是领导安全意识薄弱,工作人员责任感不强,认为网络安全是技术问题,由专业技术人员负责,与管理无关,这就造成了看似有人领导和负责,实则无人问津的安全管理漏洞。特别是在实际的网络安全管理工作中,由于幕后工作领导看不见,容易出现不出问题就是最大成效的心态,加之奖励措施有限,导致工作人员积极性严重缺乏,这无疑阻碍了机关事业单位网络安全管理工作的正常发展。
1.2 网络安全管理制度不完善
给很多机关事业单位网络安全管理带来隐患的又一主要原因,就是网络安全相关制度建设不够完善,甚至忽视了建章立制。单位缺乏一套健全的网络安全管理体系,制度有漏洞,或者即便有制度,但是可操作性和执行力度不强,导致网络安全工作缺乏指导。比如对于机房安全的管理,只制定了宏观上的管理规章,明确由谁负责,确未明确具体事项,细化到每一条可实际操作的规程。对于托管机房的,一些单位认为只需由管理方负责全部安全责任即可,本单位无需再另行规定。诸如此类片面的认识,都阻碍了单位网络安全管理制度的完善,进而造成单位网络安全管理混乱无序,没有抓手,一旦出现问题,不知如何整改。网络安全工作相对抽象且复杂,涉及面广,如果没有完善的制度体系,网络安全管理工作就无法有序开展,单位网络安全就将面临严峻的挑战。
1.3 网络安全管理技术需提高
单位网络安全工作隐患之处,还在于安全软硬件设施及安全防范操作技术有待提高。有的单位信息化资金和力量投入不足,导致网络安全方面缺乏技术支撑;有的单位即便部署了相应的用于网络安全管理的设备设施,但也只是一些基础防护手段,采用的设备质量也参差不齐,缺乏关键防护手段,对于一些复杂的网络攻击依旧无法及时发现并拦截;有的单位信息系统中虽然安全设备配置齐全,但是管理欠缺,比如未按等保要求进行部署,需串联部署的按旁路部署,需开启的策略未开启等,尤其是各种安全策略的配置缺乏规划,比如为方便省事,配置地址为any的策略,或者未限定端口号,开放了业务不需要的端口,为网络攻击留下了可能的路径。在当前网络安全环境日益复杂的形势下,给单位网络安全带来很大的隐患。
1.4 网络安全管理人员不专业
网络安全管理是一项专业程度很高的工作,需要具备较高专业技术水平的工作人员才能胜任。从很多机关事业单位的人员结构来看,虽然单位在人员招聘时招入了一定数量的专业技术人员,但是因各种原因,有的逐渐从事非本专业技术工作,有的甚至不再从事专业技术工作,造成单位专业技术力量不足,这对于网络安全管理这种专业性要求较高的工作更为不利。单位专业从事网络安全工作的人员不足,或者专业程度不够高,使得单位网络安全管理效能低,在形势多变的网络环境下无法游刃有余,无法应对复杂多样的黑客攻击、计算机病毒等网络安全问题。
2. 机关事业单位网络安全管理对策
2.1 强化培训教育,牢固树立网络安全意识
网络安全教育培训是成本最低、最有效利用现有技术和资源的、效果最快最显著的信息安全管理措施。实践证明,经过反复宣传教育培训,可以加深人们的认知和意识。機关事业单位岗位设置精细、人员类别多,各类岗位和人员对应不同的安全要求,应针对单位内部不同层次的安全需求制定相应有针对性的信息安全培训体系,形成全面融合技术和管理要素的专业培训体系。比如对偏向管理的人员则应侧重网络安全宏观概念、法律法规、管理规范等的培训;对偏向具体技术实施的人员,则应侧重于网络攻防、渗透技术、黑客攻击、入侵防御等的技术内容。要将网络安全教育作为一项常态化工作来抓,可协请网信、公安部门、培训机构,或者外请专业安全公司为单位开展培训,内容应涵盖基本安全意识、具体安全攻防操作、信息安全管理等全方位的安全知识和技能。同时,也可将网络安全教育培训作为对单位及人员的考核指标,是否组织过此类培训,以及培训后进行相应考核测验结果等,都可以作为量化指标项,促进单位教育培训工作的开展,提高单位员工参与积极性和对待认真程度。只有提高单位内部人员的安全防范意识与技能,不断更新网络安全观念,才能提升在信息安全实践当中“人”这个决定因素的关键作用,为有效做好网络安全管理工作提供保障。 2.2 完善安全制度,有效規范各项安全管理
制度是确保工作有序开展的根本底线和保障,对于单位网络安全管理工作也同样,完善的网络安全管理制度可以为单位日常管理工作提供规范性的保障和可参照执行的标准规程。单位只要制定有严格的安全管理制度,各部门之间边界明晰、安全职责划分明确,负责网络安全工作的人员配置齐整、技术过硬,就可以在很大程度上减少网络安全管理的漏洞。机关事业单位除了自身内部工作人员外,还有通过购买服务方式引入的服务于某些项目的外部人员,人员构成相对复杂,从事的工作也分门别类,因此单位应当建立健全网络安全管理各类制度规程,以有效规范内部工作人员和其他各类人员的行为。对于单位人员进出关键区域、各类设施设备使用规范、信息系统网络接入要求、各类业务经办流程等,均应当制定明确的规章制度,以供参照执行,同时各项规章制度应当具备较强的可操作性,易于落实。此外,网络安全管理也离不开制度的执行力,单位应及时关注内外网络安全动态,对于新发布、修订的制度进行宣传解读,组织学习,单位上下各级均应自觉落实好制度规范,从而确保各项管理制度得以有效执行。
2.3 加大各类投入,切实加强技术防范措施
建立健全一套全面的软硬件防护体系是保证单位信息系统网络安全的技术基础。由于机关事业单位信息数据大多涉及国计民生,尤其是一些关键单位和部门,信息具有较高的保密性,因此对网络安全提出了更高的现实要求。单位应在年度预算中留有充分的信息化资金,用于信息系统,尤其是网络安全建设,合理加大对网络安全软硬件设施设备的投入,将资金用足,用在构建并强化信息系统安全体系的刀刃上。单位应严格落实等保2.0相关要求,针对自身信息系统进行定级备案管理,严格按照等保要求部署安全设备,串联、旁路设备按要求接入网络中。如在网络边界处配备功能强大的防火墙、防毒墙、入侵防御、漏洞扫描等设备,内外网之间用网闸做好隔离,在所有终端和服务器部署安全防护软件,并定期更新特征库。安全设备策略配置应妥善规划,安全策略应按需配置,精确到IP、端口号,防止过大的放通策略。另外,应使用正版操作系统,敏感系统还应采用国产化系统,且定期对操作系统进行全面扫描,及时进行补丁升级。信息系统应采用加密传输及多因子身份认证技术,有效提高安全性与可靠性。操作系统、数据库、安全管理设备等的登陆口令应设置更新周期要求、复杂度要求,并严格按照规定落实。还应定期检查、锁定或撤销网络设备、主机系统中不必要的用户账号,避免多余账号被非法利用、防止存在共享账号此外,还应部署功能强大的数据备份恢复设备,保证数据既能得到完整、系统的备份,一旦发生安全事件,也可以及时恢复,防止因数据丢失可能造成的严重社会影响。
4 结语
由于信息技术的飞速发展,不可避免会带来新的漏洞、病毒、攻击等的不断产生,要实现信息网络的完全安全是不可能的,只能通过安全防护技术手段的丰富和人员能力的不断提升来减小信息系统漏洞隐患,降低网络安全事件发生的概率。对于机关事业单位而言,网络安全关乎国计民生,势必对网络安全管理工作提出更高的要求,目前有的单位网络安全工作较为薄弱,有的单位尽管开展了一些安全防护工作,但是还存在一定的问题,无法满足当前网络安全工作要求。尽管网络安全工作头绪多、技术复杂,然而万变不离其宗,只要机关事业单位始终重视网络安全管理,统筹考虑制度、管理、技术、人员等各方面的因素,不断查漏补缺,动态的开展网络安全防护工作,抓好“人防”与“技防”的结合,在网络攻防大战中不断加固自身的盾,就一定能有效抵御网络攻击之“矛”。网络安全和信息化是一体之两翼、驱动之双轮,日益严峻的网络安全形势也告诉我们,为确保信息化的发展,以及依托信息化推动其他各项事业发展,网络安全持续性建设必须要作为一项重中之重的工作常抓不懈。
参考文献:
[1]胡翔.计算机网络安全防护技术的探讨[J].电子世界,2013(7):137-138.
[2]赵跃.机关事业单位中计算机网络安全与管理的探讨[J].科技创新导报,2019(20):191-192.
[3]韩锐.计算机网络安全的主要隐患及管理措施分析[J].信息通信,2014(1):152-153.