关于改善地方政府网络安全管理技术的几点方法

摘 要 网络安全是多维的安全，一个安全的信息系统不仅仅要考虑环境因素和技术安全，还应考虑管理的问题。不管多么先进的安全技术、安全策略都离不开人的执行，如何加强对人的管理，就是网络安全管理的内容。

【关键词】网络安全管理 制度 应急演练 检测

1 政府信息网络安全面临的严峻形势

1.1 网络威胁持续上升

国际上在美国的主导下，西方发达国家先后成立了“网军”，制定发展规划，不断发展网络军备竞赛。 “棱镜门”事件明确的告诉我们，美国政府通过控制著名的网络公司窃取其他国家的情报。

1.2 我国政府网络面临的“信息泄密”和“黑客攻击”问题突出

据国家互联网应急中心报告指出2013年中国6000多家政府网站曾被植入后门病毒，特别是区县级政府占比最多，例如2013年7月11日凌晨，中国红十字基金会微博被“反共黑客”登陆，并连续发布了大量反动微博。

1.3 信息网络基础设备安全问题普遍存在

由于我国网络设备的核心技术缺乏，骨干网络设备、数据库、操作系统等关键设施都采用国外产品，在安全上存在不可确定性。部、省、市的网络安全防护能力参差不齐，使得相互连接的专网难以做到“同步同级同保护”。

1.4 信息化安全管理、保障工作相对落后

网络安全是三分靠技术、七分靠管理，建立相应的组织机构，制定有针对性的规章制度，加强对网络设备和相关人员的管理，对于确保网络的安全、可靠地运行、将起到十分有效的作用，当前信息网络使用人员复杂、网络安全技术素质及安全意识参差不齐，导致信息网络安全管理工作工作不到位。

2 地方政府网络安全管理存在的主要问题

2.1 思想观念落后，没有树立正确的网络安全观

要树立正确的网络安全观，很多领导干部认为，我已经花了大价钱买了很多的安全防护设备，完全可以高枕无忧了，没有按照国家规定制定完善的管理制度，实际上这是一个错误的观念。在世界上没有绝对安全的网络，网络技术是不断发展，根本就不存在一劳永逸的防护手段。就是作为世界网络霸主的美国，在网络安全建设上投入了巨大的资金，还是无法保证其政府的网络安全，时常有一些政府的关键部门被入侵。还有的领导很重视网络安全建设，但是苦于经费等因素的原因，觉得没有上级的帮助是无法完成这项任务的，实际上网络安全建设是要符合本单位的实际需求的，不是说要把所有的安全设备能想到的或者想不到的都用上，实际不仅不能保证网络的安全，而且会造成巨大的资金浪费。大家应该明白一个概念，就是黑客的攻击也是有成本要求，他们往往使用一些低成本的工具来选择攻击目标，只要我们合理配置安全设备，完全可以在黑客攻击开始的时候让其知难而退。

2.2 网络安全制度落实不到位，安全防范意识不强

很多人任务维护网络安全是专业技术人员的事情和自己没有关系，还有的人思想上麻痹大意，认为没有几个人敢于入侵政府网络，无视各项规章制度，为了逃避管理，私自删除安全检测程序；私自卸载网络版杀毒软件，随意更换杀毒软件；随意拷贝文件引；越权使用单位的电脑、移动存储设备；随意修改自己的主机配置、安装非法软件等等现象非常突出。网络管理人员也出于方便使用的想法，没有对用户进行身份审计和设定，关键准备的密码也不定期更换，网络安全教育也流于形式，不系统，不经常，导致部分干部在认识上不深刻不到位。

2.3 缺乏有效的应对手段，安全保障措施不到位。

没有危机意识，缺乏应对危机的能力和手段，目前大多数信息系统缺少安全管理员，缺少安全管理技术规范，缺少定期的系统安全测试，缺少安全审计机制，缺少年度考核制度，这些疏于管理的网络成为黑客们游荡的乐园，还有的信息系统安全防护设备完善，但是管理人员的能力水平有限，当遇到危机的时刻，不知如何处理。

3 提升网络安全管理水平的几点对策

信息网络的安全主要包括物理安全、网络安全、系统安全、应用安全和管理安全五个方面，信息网络安全应遵循“木桶理论”，即一个木桶最短的一块木板决定着木桶的容积，一个系统的安全强度等于它最薄弱环节的安全强度。而管理安全是地方政府最容易忽视的管理环节，无论采用多么先进的设备，如果安全管理上有漏洞，那么这个网络安全一样没有保障。

3.1 建立一套行之有效的网络安全管理制度

在网络管理中，制定有关的规则制度，对于确保网络的安全可靠的运行能起到十分关键的作用。制度制定的前提条件是不能违背国家的法律法规，不同密级的政府部门的安全制度是有所区别的，对于安全等级较高的部门至少应该有如下制度。

3.1.1 负责人制度

负责人对本部门总体工作进行部署，包括：

（1）安全管理方面的法律、法规和有关政策的宣传。

（2）规章制度的制定、定期检测和审查信息网络运行情况。

（3）工作人员的安全教育和培训。

（4）发生安全事件时和公安机关网监部门沟通联络等工作。

3.1.2 网络安全员制度

安全员必须经过公安网监部门的认证培训，考核合格后才能上岗，安全员负责的工作包括：

（1）执行本单位网络安全管理的各项规章制度。

（2）按照计络安全技术规范要求对网络安全运行情况进行检查测试，及时排除各种安全隐患。

（3）对本单位在网络上发布的信息进行巡查，如发现有害信息立即停止传输，并向有关部门报告。

（4）在发生网络突发性事件时，立即响应并承担处置任务，同时做好系统保护工作。

3.1.3 网络信息监视、保存、清除和备份制度：包括：

（1）提供的上网信息，必须经过相关部门的审核后方可上网，并及时予以登记。

（2）网络运行日志的管理，上网日志应包括上网时间、下网时间、用户名、分配的iP地址等，还注意要将系统运行日志完整保存3个月或3个月以上，以便网络监管部门的检查。

（3）网络上传播的有害信息要及时控制并删除。严格防止非授权或非法用户侵入政府网络，，一经发现应马上进行相应的处理，并且保护好相关日志等数据，及时向有关部门报告。

（4）加强对用户数据的管理，发现异常用户，及时处理并上负责部门备案。

3.1.4 病毒检测和网络安全漏洞检测制度

（1）给各网络内计算机安装防病毒软件、防火墙软件，并对软件定期升级。

（2）定期检测网络病毒和各种安全漏洞，发现问题采取必要措施加以防治。

3.1.5 帐号使用登记和操作权限管理制度

（1）采取安全措施防止无关用户进入系统。

（2）核心数据库系统的密码必须由经过考核的专人掌管，并且要定期更换。禁止同一人即掌管操作系统密码又掌管数据库管理系统密码。

（3）核心数据库的管理人员不能长期从事同一岗位工作，工作人员应不定期地循环任职。操作人员的用户名应各不相同，并且要定期更换操作密码。

（4）各岗位的操作权限要严格按各自岗位职责设置。应不定期随时检查操作员的权限；

3.1.6 安全管理人员岗位工作职责

（1）要及时向网络管理机关提供网络安全安保护所需的资料，如本单位的网络拓扑结构、安全人员信息、本单位的ip分配、使用情况、安全措施情况等。

（2）负责本单位信息网络系统安全知识的宣传教育工作。

（3）定期对本单位的网络安全工作进行进行检查。

还有其他一些制度：

（1）机房出入管理制度。禁止无关人员出入中心机房，采用识别系统对出入人员进行登记管理。

（2）入网人员管理制度。统一管理所有员工的账号和权限，根据涉密信息系统的要求，按照工作人员的工作性质和信息使用的安全级别，将员工的账号划分到不同的区域。

（3）应急反应制度。制定应急反应方案，定期检测和组织应急演练。

（4）网络安全培训考核制度。定期对相关人员培训和考核。

3.2 做好日常网络安全检测工作

日常的检测工作分为三种，一种是网络安全测试，就是在实际攻击发生前利用检测工具如漏洞评估、入侵检测系统、网络日志等来了解网络系统的安全状态，检测是一种动态的防御手段，可以事先了解系统的漏洞和缺陷，检测的目的是检测系统存在的脆弱性、测试信息是否发生泄漏、系统是否遭到入侵，并找到泄漏的原因和攻击的来源。网络安全检测对降低安全风险的做法意义重大。另一种是对网络上的信息内容进行检查，查看是否有没经过审查就发布的信息和有害信息，现在黑客最常见的攻击就是在政府网络加入一些暗链，误导正常使用用户访问非法网站，如果一经发现应马上截图并保护现场，及时上报公安网监部门。还有一种是检测安全管理制度是否落实。一是检查是工作人员否有违反安全制度，不按照操作流程工作的情况。二是检测规则制度有没有不符合实际情况的地方，一个好的制度应该是全面细致，又简练可操作性强，脱离实际的制度为让安全管理人员觉得无路如何也无法完成工作，而丧失信心，没有工作积极性。三是检测安全管理人员的对待工作否有认真履行职责，并依据相应制度对其进行奖惩。

3.3 组织信息安全事件的应急演练

信息安全应急演练的目的：信息安全应急演练是对信息安全专项应急预案的演习，是通过模拟发生网络语信息安全事件，并依照应急预案的规定开展事件处置工作，并以此检验本级政府针对信息安全事件的响应能力。由于网络安全事件的发生没有征兆性，事件影响难以控制，事件处理非常复杂，所以有必要进行应急演练。演练包括流程演练和技术演练两部分，流程演练是检验管理型应急预案规定的应急工作主要流程的合理性和应急人员对流程的掌握程度。技术演练是严验证应急技术处置程序、技术指导书的可操作性和应急技术人员相关技术的掌握程度。

3.4 加强网络安全培训和考核

网络安全培训是提高相关人员建立安全意识、熟练工作规则和相关要求。参加培训的人员应该是所有本部门与信息安全工作相关的人员，如负责人、安全管理人员、网络化运维人员、网络使用人员。培训内容也根据参加培训人员职责的不同也有区别，比如领导决策者是信息安全工作的领导核心。对于领导决策者角色，首先必须提高信息安全意识，其次则需要了解信息安全工作的相关规则，如《中华人民共和国国家安全法》、《中华人民共和国保守国家秘密法》、《信息安全管理条例》等相关政策法规。而对于主管人员，除了相关的法律法规外，还要了解信息安全工作的各项具体流程，以及出现网络安全事件的处理流程。对技术人员而言是各种网络中软硬件设备的技术培训和常见的网络攻击事件的处理方法，对于普通的工作人员是基本技能和安全规章制度的培训。特别强调的是对于关键岗位的人员必须通过培训并且还得经过相应技能测试评估才能上岗。

4 结束语

网络安全是信息网络安全体系中不可缺少的一部分。一个完善的信息网络解决方案不仅要有预警、保护、检查、响应、恢复和反击等方面的内容，还需要以人为核心的策略和管理支持。网络安全至关重要的往往不是技术手段，而是对人的管理。

参考文献

[1]陈能华.政府信息资源管理研究[M].湖南人民出版社，2009.

[2]钱秀傧.政府网络与信息安全事件应急工作指南[M].中国质检出版社，2012.

[3]黄波.信息网络安全管理[M].清华大学出版社，2010.

[4]Christos Douligeris：以色列.网络安全现状与展望[M].科学出版社，2010.

[5]王海军.网络信息安全管理研究[M].山东大学出版社，2009.

[6]殷克强.我国政府网络系统面临的安全分析[J].信息科学，2010.

作者简介

初鹏（1976-），男，黑龙江佳木斯市人，中级职称，大学学位。主要从事网络信息管理研究。

作者单位

佳木斯市委党校 黑龙江省佳木斯市 154002