摘 要 網(wǎng)絡(luò)安全是多維的安全，一個安全的信息系統(tǒng)不僅僅要考慮環(huán)境因素和技術(shù)安全，還應(yīng)考慮管理的問題。不管多么先進(jìn)的安全技術(shù)、安全策略都離不開人的執(zhí)行，如何加強(qiáng)對人的管理，就是網(wǎng)絡(luò)安全管理的內(nèi)容。

【關(guān)鍵詞】網(wǎng)絡(luò)安全管理 制度 應(yīng)急演練 檢測

1 政府信息網(wǎng)絡(luò)安全面臨的嚴(yán)峻形勢

1.1 網(wǎng)絡(luò)威脅持續(xù)上升

國際上在美國的主導(dǎo)下，西方發(fā)達(dá)國家先后成立了“網(wǎng)軍”，制定發(fā)展規(guī)劃，不斷發(fā)展網(wǎng)絡(luò)軍備競賽。 “棱鏡門”事件明確的告訴我們，美國政府通過控制著名的網(wǎng)絡(luò)公司竊取其他國家的情報。

1.2 我國政府網(wǎng)絡(luò)面臨的“信息泄密”和“黑客攻擊”問題突出

據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心報告指出2013年中國6000多家政府網(wǎng)站曾被植入后門病毒，特別是區(qū)縣級政府占比最多，例如2013年7月11日凌晨，中國紅十字基金會微博被“反共黑客”登陸，并連續(xù)發(fā)布了大量反動微博。

1.3 信息網(wǎng)絡(luò)基礎(chǔ)設(shè)備安全問題普遍存在

由于我國網(wǎng)絡(luò)設(shè)備的核心技術(shù)缺乏，骨干網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、操作系統(tǒng)等關(guān)鍵設(shè)施都采用國外產(chǎn)品，在安全上存在不可確定性。部、省、市的網(wǎng)絡(luò)安全防護(hù)能力參差不齊，使得相互連接的專網(wǎng)難以做到“同步同級同保護(hù)”。

1.4 信息化安全管理、保障工作相對落后

網(wǎng)絡(luò)安全是三分靠技術(shù)、七分靠管理，建立相應(yīng)的組織機(jī)構(gòu)，制定有針對性的規(guī)章制度，加強(qiáng)對網(wǎng)絡(luò)設(shè)備和相關(guān)人員的管理，對于確保網(wǎng)絡(luò)的安全、可靠地運(yùn)行、將起到十分有效的作用，當(dāng)前信息網(wǎng)絡(luò)使用人員復(fù)雜、網(wǎng)絡(luò)安全技術(shù)素質(zhì)及安全意識參差不齊，導(dǎo)致信息網(wǎng)絡(luò)安全管理工作工作不到位。

2 地方政府網(wǎng)絡(luò)安全管理存在的主要問題

2.1 思想觀念落后，沒有樹立正確的網(wǎng)絡(luò)安全觀

要樹立正確的網(wǎng)絡(luò)安全觀，很多領(lǐng)導(dǎo)干部認(rèn)為，我已經(jīng)花了大價錢買了很多的安全防護(hù)設(shè)備，完全可以高枕無憂了，沒有按照國家規(guī)定制定完善的管理制度，實(shí)際上這是一個錯誤的觀念。在世界上沒有絕對安全的網(wǎng)絡(luò)，網(wǎng)絡(luò)技術(shù)是不斷發(fā)展，根本就不存在一勞永逸的防護(hù)手段。就是作為世界網(wǎng)絡(luò)霸主的美國，在網(wǎng)絡(luò)安全建設(shè)上投入了巨大的資金，還是無法保證其政府的網(wǎng)絡(luò)安全，時常有一些政府的關(guān)鍵部門被入侵。還有的領(lǐng)導(dǎo)很重視網(wǎng)絡(luò)安全建設(shè)，但是苦于經(jīng)費(fèi)等因素的原因，覺得沒有上級的幫助是無法完成這項(xiàng)任務(wù)的，實(shí)際上網(wǎng)絡(luò)安全建設(shè)是要符合本單位的實(shí)際需求的，不是說要把所有的安全設(shè)備能想到的或者想不到的都用上，實(shí)際不僅不能保證網(wǎng)絡(luò)的安全，而且會造成巨大的資金浪費(fèi)。大家應(yīng)該明白一個概念，就是黑客的攻擊也是有成本要求，他們往往使用一些低成本的工具來選擇攻擊目標(biāo)，只要我們合理配置安全設(shè)備，完全可以在黑客攻擊開始的時候讓其知難而退。

2.2 網(wǎng)絡(luò)安全制度落實(shí)不到位，安全防范意識不強(qiáng)

很多人任務(wù)維護(hù)網(wǎng)絡(luò)安全是專業(yè)技術(shù)人員的事情和自己沒有關(guān)系，還有的人思想上麻痹大意，認(rèn)為沒有幾個人敢于入侵政府網(wǎng)絡(luò)，無視各項(xiàng)規(guī)章制度，為了逃避管理，私自刪除安全檢測程序；私自卸載網(wǎng)絡(luò)版殺毒軟件，隨意更換殺毒軟件；隨意拷貝文件引；越權(quán)使用單位的電腦、移動存儲設(shè)備；隨意修改自己的主機(jī)配置、安裝非法軟件等等現(xiàn)象非常突出。網(wǎng)絡(luò)管理人員也出于方便使用的想法，沒有對用戶進(jìn)行身份審計和設(shè)定，關(guān)鍵準(zhǔn)備的密碼也不定期更換，網(wǎng)絡(luò)安全教育也流于形式，不系統(tǒng)，不經(jīng)常，導(dǎo)致部分干部在認(rèn)識上不深刻不到位。

2.3 缺乏有效的應(yīng)對手段，安全保障措施不到位。

沒有危機(jī)意識，缺乏應(yīng)對危機(jī)的能力和手段，目前大多數(shù)信息系統(tǒng)缺少安全管理員，缺少安全管理技術(shù)規(guī)范，缺少定期的系統(tǒng)安全測試，缺少安全審計機(jī)制，缺少年度考核制度，這些疏于管理的網(wǎng)絡(luò)成為黑客們游蕩的樂園，還有的信息系統(tǒng)安全防護(hù)設(shè)備完善，但是管理人員的能力水平有限，當(dāng)遇到危機(jī)的時刻，不知如何處理。

3 提升網(wǎng)絡(luò)安全管理水平的幾點(diǎn)對策

信息網(wǎng)絡(luò)的安全主要包括物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全和管理安全五個方面，信息網(wǎng)絡(luò)安全應(yīng)遵循“木桶理論”，即一個木桶最短的一塊木板決定著木桶的容積，一個系統(tǒng)的安全強(qiáng)度等于它最薄弱環(huán)節(jié)的安全強(qiáng)度。而管理安全是地方政府最容易忽視的管理環(huán)節(jié)，無論采用多么先進(jìn)的設(shè)備，如果安全管理上有漏洞，那么這個網(wǎng)絡(luò)安全一樣沒有保障。

3.1 建立一套行之有效的網(wǎng)絡(luò)安全管理制度

在網(wǎng)絡(luò)管理中，制定有關(guān)的規(guī)則制度，對于確保網(wǎng)絡(luò)的安全可靠的運(yùn)行能起到十分關(guān)鍵的作用。制度制定的前提條件是不能違背國家的法律法規(guī)，不同密級的政府部門的安全制度是有所區(qū)別的，對于安全等級較高的部門至少應(yīng)該有如下制度。

3.1.1 負(fù)責(zé)人制度

負(fù)責(zé)人對本部門總體工作進(jìn)行部署，包括：

（1）安全管理方面的法律、法規(guī)和有關(guān)政策的宣傳。

（2）規(guī)章制度的制定、定期檢測和審查信息網(wǎng)絡(luò)運(yùn)行情況。

（3）工作人員的安全教育和培訓(xùn)。

（4）發(fā)生安全事件時和公安機(jī)關(guān)網(wǎng)監(jiān)部門溝通聯(lián)絡(luò)等工作。

3.1.2 網(wǎng)絡(luò)安全員制度

安全員必須經(jīng)過公安網(wǎng)監(jiān)部門的認(rèn)證培訓(xùn)，考核合格后才能上崗，安全員負(fù)責(zé)的工作包括：

（1）執(zhí)行本單位網(wǎng)絡(luò)安全管理的各項(xiàng)規(guī)章制度。

（2）按照計絡(luò)安全技術(shù)規(guī)范要求對網(wǎng)絡(luò)安全運(yùn)行情況進(jìn)行檢查測試，及時排除各種安全隱患。

（3）對本單位在網(wǎng)絡(luò)上發(fā)布的信息進(jìn)行巡查，如發(fā)現(xiàn)有害信息立即停止傳輸，并向有關(guān)部門報告。

（4）在發(fā)生網(wǎng)絡(luò)突發(fā)性事件時，立即響應(yīng)并承擔(dān)處置任務(wù)，同時做好系統(tǒng)保護(hù)工作。

3.1.3 網(wǎng)絡(luò)信息監(jiān)視、保存、清除和備份制度：包括：

（1）提供的上網(wǎng)信息，必須經(jīng)過相關(guān)部門的審核后方可上網(wǎng)，并及時予以登記。

（2）網(wǎng)絡(luò)運(yùn)行日志的管理，上網(wǎng)日志應(yīng)包括上網(wǎng)時間、下網(wǎng)時間、用戶名、分配的iP地址等，還注意要將系統(tǒng)運(yùn)行日志完整保存3個月或3個月以上，以便網(wǎng)絡(luò)監(jiān)管部門的檢查。

（3）網(wǎng)絡(luò)上傳播的有害信息要及時控制并刪除。嚴(yán)格防止非授權(quán)或非法用戶侵入政府網(wǎng)絡(luò)，，一經(jīng)發(fā)現(xiàn)應(yīng)馬上進(jìn)行相應(yīng)的處理，并且保護(hù)好相關(guān)日志等數(shù)據(jù)，及時向有關(guān)部門報告。

（4）加強(qiáng)對用戶數(shù)據(jù)的管理，發(fā)現(xiàn)異常用戶，及時處理并上負(fù)責(zé)部門備案。

3.1.4 病毒檢測和網(wǎng)絡(luò)安全漏洞檢測制度

（1）給各網(wǎng)絡(luò)內(nèi)計算機(jī)安裝防病毒軟件、防火墻軟件，并對軟件定期升級。

（2）定期檢測網(wǎng)絡(luò)病毒和各種安全漏洞，發(fā)現(xiàn)問題采取必要措施加以防治。

3.1.5 帳號使用登記和操作權(quán)限管理制度

（1）采取安全措施防止無關(guān)用戶進(jìn)入系統(tǒng)。

（2）核心數(shù)據(jù)庫系統(tǒng)的密碼必須由經(jīng)過考核的專人掌管，并且要定期更換。禁止同一人即掌管操作系統(tǒng)密碼又掌管數(shù)據(jù)庫管理系統(tǒng)密碼。

（3）核心數(shù)據(jù)庫的管理人員不能長期從事同一崗位工作，工作人員應(yīng)不定期地循環(huán)任職。操作人員的用戶名應(yīng)各不相同，并且要定期更換操作密碼。

（4）各崗位的操作權(quán)限要嚴(yán)格按各自崗位職責(zé)設(shè)置。應(yīng)不定期隨時檢查操作員的權(quán)限；

3.1.6 安全管理人員崗位工作職責(zé)

（1）要及時向網(wǎng)絡(luò)管理機(jī)關(guān)提供網(wǎng)絡(luò)安全安保護(hù)所需的資料，如本單位的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、安全人員信息、本單位的ip分配、使用情況、安全措施情況等。

（2）負(fù)責(zé)本單位信息網(wǎng)絡(luò)系統(tǒng)安全知識的宣傳教育工作。

（3）定期對本單位的網(wǎng)絡(luò)安全工作進(jìn)行進(jìn)行檢查。

還有其他一些制度：

（1）機(jī)房出入管理制度。禁止無關(guān)人員出入中心機(jī)房，采用識別系統(tǒng)對出入人員進(jìn)行登記管理。

（2）入網(wǎng)人員管理制度。統(tǒng)一管理所有員工的賬號和權(quán)限，根據(jù)涉密信息系統(tǒng)的要求，按照工作人員的工作性質(zhì)和信息使用的安全級別，將員工的賬號劃分到不同的區(qū)域。

（3）應(yīng)急反應(yīng)制度。制定應(yīng)急反應(yīng)方案，定期檢測和組織應(yīng)急演練。

（4）網(wǎng)絡(luò)安全培訓(xùn)考核制度。定期對相關(guān)人員培訓(xùn)和考核。

3.2 做好日常網(wǎng)絡(luò)安全檢測工作

日常的檢測工作分為三種，一種是網(wǎng)絡(luò)安全測試，就是在實(shí)際攻擊發(fā)生前利用檢測工具如漏洞評估、入侵檢測系統(tǒng)、網(wǎng)絡(luò)日志等來了解網(wǎng)絡(luò)系統(tǒng)的安全狀態(tài)，檢測是一種動態(tài)的防御手段，可以事先了解系統(tǒng)的漏洞和缺陷，檢測的目的是檢測系統(tǒng)存在的脆弱性、測試信息是否發(fā)生泄漏、系統(tǒng)是否遭到入侵，并找到泄漏的原因和攻擊的來源。網(wǎng)絡(luò)安全檢測對降低安全風(fēng)險的做法意義重大。另一種是對網(wǎng)絡(luò)上的信息內(nèi)容進(jìn)行檢查，查看是否有沒經(jīng)過審查就發(fā)布的信息和有害信息，現(xiàn)在黑客最常見的攻擊就是在政府網(wǎng)絡(luò)加入一些暗鏈，誤導(dǎo)正常使用用戶訪問非法網(wǎng)站，如果一經(jīng)發(fā)現(xiàn)應(yīng)馬上截圖并保護(hù)現(xiàn)場，及時上報公安網(wǎng)監(jiān)部門。還有一種是檢測安全管理制度是否落實(shí)。一是檢查是工作人員否有違反安全制度，不按照操作流程工作的情況。二是檢測規(guī)則制度有沒有不符合實(shí)際情況的地方，一個好的制度應(yīng)該是全面細(xì)致，又簡練可操作性強(qiáng)，脫離實(shí)際的制度為讓安全管理人員覺得無路如何也無法完成工作，而喪失信心，沒有工作積極性。三是檢測安全管理人員的對待工作否有認(rèn)真履行職責(zé)，并依據(jù)相應(yīng)制度對其進(jìn)行獎懲。

3.3 組織信息安全事件的應(yīng)急演練

信息安全應(yīng)急演練的目的：信息安全應(yīng)急演練是對信息安全專項(xiàng)應(yīng)急預(yù)案的演習(xí)，是通過模擬發(fā)生網(wǎng)絡(luò)語信息安全事件，并依照應(yīng)急預(yù)案的規(guī)定開展事件處置工作，并以此檢驗(yàn)本級政府針對信息安全事件的響應(yīng)能力。由于網(wǎng)絡(luò)安全事件的發(fā)生沒有征兆性，事件影響難以控制，事件處理非常復(fù)雜，所以有必要進(jìn)行應(yīng)急演練。演練包括流程演練和技術(shù)演練兩部分，流程演練是檢驗(yàn)管理型應(yīng)急預(yù)案規(guī)定的應(yīng)急工作主要流程的合理性和應(yīng)急人員對流程的掌握程度。技術(shù)演練是嚴(yán)驗(yàn)證應(yīng)急技術(shù)處置程序、技術(shù)指導(dǎo)書的可操作性和應(yīng)急技術(shù)人員相關(guān)技術(shù)的掌握程度。

3.4 加強(qiáng)網(wǎng)絡(luò)安全培訓(xùn)和考核

網(wǎng)絡(luò)安全培訓(xùn)是提高相關(guān)人員建立安全意識、熟練工作規(guī)則和相關(guān)要求。參加培訓(xùn)的人員應(yīng)該是所有本部門與信息安全工作相關(guān)的人員，如負(fù)責(zé)人、安全管理人員、網(wǎng)絡(luò)化運(yùn)維人員、網(wǎng)絡(luò)使用人員。培訓(xùn)內(nèi)容也根據(jù)參加培訓(xùn)人員職責(zé)的不同也有區(qū)別，比如領(lǐng)導(dǎo)決策者是信息安全工作的領(lǐng)導(dǎo)核心。對于領(lǐng)導(dǎo)決策者角色，首先必須提高信息安全意識，其次則需要了解信息安全工作的相關(guān)規(guī)則，如《中華人民共和國國家安全法》、《中華人民共和國保守國家秘密法》、《信息安全管理?xiàng)l例》等相關(guān)政策法規(guī)。而對于主管人員，除了相關(guān)的法律法規(guī)外，還要了解信息安全工作的各項(xiàng)具體流程，以及出現(xiàn)網(wǎng)絡(luò)安全事件的處理流程。對技術(shù)人員而言是各種網(wǎng)絡(luò)中軟硬件設(shè)備的技術(shù)培訓(xùn)和常見的網(wǎng)絡(luò)攻擊事件的處理方法，對于普通的工作人員是基本技能和安全規(guī)章制度的培訓(xùn)。特別強(qiáng)調(diào)的是對于關(guān)鍵崗位的人員必須通過培訓(xùn)并且還得經(jīng)過相應(yīng)技能測試評估才能上崗。

4 結(jié)束語

網(wǎng)絡(luò)安全是信息網(wǎng)絡(luò)安全體系中不可缺少的一部分。一個完善的信息網(wǎng)絡(luò)解決方案不僅要有預(yù)警、保護(hù)、檢查、響應(yīng)、恢復(fù)和反擊等方面的內(nèi)容，還需要以人為核心的策略和管理支持。網(wǎng)絡(luò)安全至關(guān)重要的往往不是技術(shù)手段，而是對人的管理。

參考文獻(xiàn)

[1]陳能華.政府信息資源管理研究[M].湖南人民出版社，2009.

[2]錢秀儐.政府網(wǎng)絡(luò)與信息安全事件應(yīng)急工作指南[M].中國質(zhì)檢出版社，2012.

[3]黃波.信息網(wǎng)絡(luò)安全管理[M].清華大學(xué)出版社，2010.

[4]Christos Douligeris：以色列.網(wǎng)絡(luò)安全現(xiàn)狀與展望[M].科學(xué)出版社，2010.

[5]王海軍.網(wǎng)絡(luò)信息安全管理研究[M].山東大學(xué)出版社，2009.

[6]殷克強(qiáng).我國政府網(wǎng)絡(luò)系統(tǒng)面臨的安全分析[J].信息科學(xué)，2010.

作者簡介

初鵬（1976-），男，黑龍江佳木斯市人，中級職稱，大學(xué)學(xué)位。主要從事網(wǎng)絡(luò)信息管理研究。

作者單位

佳木斯市委黨校 黑龍江省佳木斯市 154002