文 | 內(nèi)蒙古自治區(qū)大數(shù)據(jù)中心 于麗麗
2020年10月20日,內(nèi)蒙古自治區(qū)大數(shù)據(jù)中心組建成立。經(jīng)過一年多的全力溝通和密切配合,部門間的工作溝通協(xié)調(diào)和工作機(jī)制基本建立。隨著“東數(shù)西算”、“數(shù)字政府”、“數(shù)字經(jīng)濟(jì)”、“數(shù)字產(chǎn)業(yè)化和產(chǎn)業(yè)數(shù)字化”工程的快速推進(jìn),《中華人民共和國(guó)數(shù)據(jù)安全法》、《中華人民共和國(guó)個(gè)人信息保護(hù)法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等法律法規(guī)的出臺(tái),結(jié)合自治區(qū)信息服務(wù)機(jī)構(gòu)改革對(duì)網(wǎng)絡(luò)安全工作提出更高的要求。基于此,本文將從自治區(qū)信息服務(wù)機(jī)構(gòu)改革面臨的問題出發(fā),提出安全防護(hù)措施提出個(gè)人的一些意見,僅供參考。
按照自治區(qū)黨委關(guān)于政府系統(tǒng)信息服務(wù)機(jī)構(gòu)改革的部署要求,2020年10月20日,內(nèi)蒙古自治區(qū)大數(shù)據(jù)中心組建成立。經(jīng)過一年多的全力溝通和密切配合,職能調(diào)整和人員轉(zhuǎn)隸全部到位,部門間的工作機(jī)制基本建立,但還面臨著一些深層次矛盾和亟待解決的問題。大數(shù)據(jù)時(shí)代下,面對(duì)多部門的網(wǎng)絡(luò)安全職責(zé)不清、界限不明、不同架構(gòu)、不同數(shù)據(jù)結(jié)構(gòu)的系統(tǒng)等錯(cuò)綜復(fù)雜的問題,信息安全問題屢見不鮮,因此,如何理清與服務(wù)廳局的安全邊界,有效應(yīng)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息安全問題并且加強(qiáng)相應(yīng)的防護(hù)措施,已經(jīng)成為各行各業(yè)發(fā)展過程中重點(diǎn)研究的課題之一。
機(jī)構(gòu)改革前,自治區(qū)各廳局負(fù)責(zé)廳局信息化建設(shè)的主要任務(wù),是安全責(zé)任的主體。改革后,自治區(qū)大數(shù)據(jù)中心作為原廳局信息系統(tǒng)和網(wǎng)絡(luò)安全運(yùn)行的技術(shù)支撐單位,承擔(dān)著信息系統(tǒng)和網(wǎng)絡(luò)的安全運(yùn)維。
各廳局在完成信息系統(tǒng)和資產(chǎn)劃轉(zhuǎn)后,普遍認(rèn)為信息系統(tǒng)已經(jīng)劃轉(zhuǎn)到大數(shù)據(jù)中心,安全責(zé)任應(yīng)由大數(shù)據(jù)中心負(fù)責(zé)。但實(shí)際工作中,大數(shù)據(jù)中心作為技術(shù)支撐單位,主要負(fù)責(zé)是信息系統(tǒng)和網(wǎng)絡(luò)的安全運(yùn)維與服務(wù)。各廳局作為信息系統(tǒng)和網(wǎng)絡(luò)的應(yīng)用主體,應(yīng)負(fù)責(zé)廳局用戶的安全管理和規(guī)范應(yīng)用等工作。由于機(jī)構(gòu)改革,將分散在各廳局的信息系統(tǒng)劃轉(zhuǎn)到大數(shù)據(jù)中心,應(yīng)用方和技術(shù)服務(wù)職責(zé)的拆分,造成改革初期的服務(wù)廳局與我中心的安全邊界不清晰、各部與運(yùn)維企業(yè)的安全邊界不清晰以及部?jī)?nèi)安全運(yùn)維和服務(wù)內(nèi)容有待進(jìn)一步理清等問題。
機(jī)構(gòu)改革前,多數(shù)廳局更多注重的是系統(tǒng)的建設(shè)和運(yùn)維,在信息系統(tǒng)和網(wǎng)絡(luò)安全運(yùn)維和保障建設(shè)等方面都比較薄弱,多數(shù)未建立專業(yè)的安全運(yùn)維團(tuán)隊(duì),未采購(gòu)專業(yè)的安全服務(wù)團(tuán)隊(duì),專業(yè)的安全人才匱乏。經(jīng)初步統(tǒng)計(jì),中心目前具有安全方面的證書CISP的不足十人,占中心總?cè)藬?shù)的比例較低。
機(jī)構(gòu)改革后,各廳局劃轉(zhuǎn)的信息系統(tǒng)和網(wǎng)絡(luò)安全運(yùn)維和服務(wù)工作由不同程度、不同水平的人員來進(jìn)行管理和維護(hù),技術(shù)力量和水平參差不齊。截至目前,在信息系統(tǒng)劃轉(zhuǎn)后,基本按照各廳局原來的運(yùn)維力量來完成安全保障和服務(wù)工作,未形成安全的合力,整體的大安全保障基本空白。
經(jīng)初步統(tǒng)計(jì),中心針對(duì)改革后出臺(tái)了一些網(wǎng)絡(luò)安全和數(shù)據(jù)安全體系的規(guī)章制度,主要包括《內(nèi)蒙古自治區(qū)大數(shù)據(jù)中心政事權(quán)限清單》《大數(shù)據(jù)中心網(wǎng)絡(luò)安全責(zé)任制實(shí)施細(xì)則》《內(nèi)蒙古自治區(qū)大數(shù)據(jù)中心與各委辦廳局網(wǎng)絡(luò)與數(shù)據(jù)安全協(xié)同聯(lián)動(dòng)工作要求》《大數(shù)據(jù)中心與各委辦廳局突發(fā)網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》,初步明確了中心與各服務(wù)廳局的安全邊界和安全職責(zé),對(duì)運(yùn)維服務(wù)的機(jī)房、網(wǎng)絡(luò)和信息系統(tǒng)安全提供了一些基礎(chǔ)保障。但是這些制度在一定程度上存在普遍性,針對(duì)廳局的實(shí)際,需要進(jìn)一步的細(xì)化和完善。
信息系統(tǒng)和網(wǎng)絡(luò)應(yīng)用主體和運(yùn)維主體的劃分造成安全邊界不清晰。信息系統(tǒng)和網(wǎng)絡(luò)應(yīng)用劃轉(zhuǎn)后,造成應(yīng)用主體為各廳局,技術(shù)服務(wù)支撐主體為大數(shù)據(jù)中心,管理和應(yīng)用主體的劃分,在改革初期存在一定程度上的劃分不清晰。安全邊界的劃分需要與各廳局在實(shí)際對(duì)接中逐步解決。
由于歷史原因,系統(tǒng)建設(shè)初期重建設(shè),輕安全,造成安全服務(wù)滯后。部分業(yè)務(wù)系統(tǒng)前期注重系統(tǒng)建設(shè)和應(yīng)用,考慮安全的比重較少,安全的整體規(guī)劃缺乏一定的頂層設(shè)計(jì),未引入專業(yè)的安全服務(wù)團(tuán)隊(duì),安全服務(wù)的技術(shù)力量比較薄弱。
人員和經(jīng)費(fèi)投入有限,在一定程度上制約安全團(tuán)隊(duì)的建設(shè)。各廳局的安全經(jīng)費(fèi)較建設(shè)和運(yùn)維經(jīng)費(fèi)投入均不多,進(jìn)而專業(yè)安全人員的培養(yǎng)和專業(yè)安全團(tuán)隊(duì)的引入就存在一定的局限性,一定程度上制約了安全服務(wù)團(tuán)隊(duì)的建設(shè)。
按照“誰主管、誰負(fù)責(zé),誰建設(shè)、誰負(fù)責(zé),誰應(yīng)用、誰負(fù)責(zé)”的原則,針對(duì)不同的服務(wù)廳局實(shí)際情況,細(xì)化分類標(biāo)準(zhǔn),在對(duì)接和合作過程中,逐步明確雙方的安全邊界。
由中心統(tǒng)一規(guī)劃設(shè)計(jì)和組織協(xié)調(diào),各處部結(jié)合工作實(shí)際分別組織實(shí)施,按照應(yīng)用驅(qū)動(dòng)原則,進(jìn)一步加大專業(yè)技術(shù)人員安全技能培訓(xùn)力度,激勵(lì)大家將所學(xué)知識(shí)應(yīng)用于工作實(shí)踐。在中心專家委員會(huì)下組建安全服務(wù)專家組,遴選有能力的技術(shù)人員進(jìn)入專家組,作為中心網(wǎng)絡(luò)安全專業(yè)團(tuán)隊(duì),為各處部提供網(wǎng)絡(luò)安全咨詢培訓(xùn)和技術(shù)支持。
中心目前運(yùn)維管理的信息系統(tǒng)數(shù)量大、復(fù)雜度高、范圍廣,涉及的安全管理要求更高、更全、更細(xì)。建議遵循大的安全框架,結(jié)合廳局實(shí)際,逐步完善細(xì)化機(jī)房管理、設(shè)備安全管理、信息系統(tǒng)運(yùn)維管理、數(shù)據(jù)安全管理、終端的安全管理、用戶管理等方面管理制度,堅(jiān)持實(shí)用的原則,確保完善安全管理制度落實(shí)落細(xì)。
安全工作是三分技術(shù),七分管理,建議加強(qiáng)對(duì)運(yùn)維企業(yè)人員、權(quán)限等方面的管理,清理設(shè)備管理權(quán)限、信息系統(tǒng)管理和應(yīng)用權(quán)限、數(shù)據(jù)的分級(jí)分類權(quán)限和運(yùn)維人員賬戶。建立清單,摸清家底,科學(xué)分配各種管理權(quán)限、運(yùn)維權(quán)限和應(yīng)用權(quán)限,客觀上避免開發(fā)企業(yè)和運(yùn)維企業(yè)對(duì)信息系統(tǒng)和數(shù)據(jù)資源的技術(shù)管控權(quán)限很大。