2019年第11期131
网络与通信
信息技术与信息化
关于加强政府部门网络安全保障体系建设
的对策建议
谭径元*  魏  磊  宋国训  郑  奇
TAN Jing-yuan  WEI Lei  SONG Guo-xun  ZHENG Qi
摘 要                  十八大以来,党和国家高度重视网络安全工作,随着中央网络安全和信息化领导小组的成立以及《中华
人民共和国网络安全法》的颁布实施,保障网络安全在我国已经上升为国家战略。近年来,随着信息技术应用的日益广泛、深入,我省各行业系统的信息化建设取得了长足的进步,但是面临的网络安全形势依然严峻, 本文从完善制度体系、加强监测预警、做好舆情管控、强化队伍建设等方面,对如何加强政府部门的网络安全工作提出了对策建议。
关键词                  网络安全;信息安全;等级保护;监测预警
doi:10.3969/j.issn.1672-9528.2019.11.044
* 山东省工业和信息化研究院 山东济南 250013
近年来,我省各行业系统的信息化建设取得了长足的进步,基本涵盖了政务公开、行政许可、协同办公、重要业务管理、公共服务、新媒体等各方面应用,为保障网络基础环境、门户网站、各类重要业务系统等关键信息基础设施运行顺畅,加强网络安全工作已成为重中之重。根据国家及我省对网络安全工作的一系列新要求,结合我省特点和调研情况,本文对今后一个时期如何加强政府行业部门的网络安全工作提出如下对策建议。
1  完善制度,明确责任,建立健全网络安全管理体系
《网络安全法》进一步明确了网络安全的责任主体和主体责任,完善了网络安全责任和义务,加大了违法惩处力度。
根据《网络安全法》,进一步完善网络安全管理制度,明确责任,建立健全网络安全管理体系,是加强网络安全保障体系建设的前提和基础。
1.1  进一步加强网络安全管理机构建设
当前我省各单位的网络安全工作一直是由信息化建设领导小组及保密委员会共同管理。根据机构改革过程中各单位的职能和人员调整情况,应该尽快调整信息化建设领导小组成员,并在此基础上成立网络安全领导小组,统筹负责网络安全管理工作。
1.2  进一步完善网络安全制度建设
一是落实《网络安全法》中关于“网络安全与信息化发展并重”的要求,完善并落实信息化建设管理办法。强调“双轮驱动、两翼齐飞”,网络安全和信息化是一体之两翼、驱
后续待处理的快速开机工单,若存在便直接将停机工单进行报俊(不送服务开通系统)。
功能实现:控制停开机工单时序,避免错误将用户停机引起投诉,按照服务开通交换要求,提供停机相关服务指令,为用户停机。停机后将工单通知CBSS 报俊。停机后通知VAC 平台。5  分析总结
山东通过对cBSS 移动网业务原有停开机工单处理流程分析,找到造成工单积压,影响用户感知的关键环节,通过
集团提供的kafka 消息技术手段,同时对原有省分工单处理流程及接口进行解耦,重新打通快速处理通道,最终实现了移动网业务的快速停开机。总结此功能应用的整体建设思路,包括两点:一是运用互联网化思维,引用借鉴新的技术手段,对现有系统处理效能进行提升;一是流程梳理优化提升,对
现有处理流程进行解耦、重组装。从而最终实现了系统处理效率提高,减少客户投诉,提升客户感知。
(收稿日期:2019-10-18)
网络与通信信息技术与信息化
动之双轮,必须统一谋划、统一部署、统一推进、统一实施;强化集约化建议要求,落实信息化建设审批制度,统一安全标准、统一建设实施、统一运维管理;加强信息系统准入管理,未经安全测评的信息系统不得上线运行。二是根据《网络安全法》中关于网络运行安全、网络信息安全等方面的要求,修订网络运行维护管理办法和网络与信息安全管理办法,提高标准、强化措施、狠抓落实。三是完善网络安全事件应急预案,并定期组织演练,提高网络安全应急处置能力。
1.3  进一步明确网络与信息安全责任
一是根据谁建设、谁使用、谁运行、谁负责的原则,落实各信息系统安全责任单位,明确相关部门(单位)一把手为网络与信息安全第一责任人,同时确定系统安全分管领导及安全管理员。二是进一步明确由各单位,特别是直属单位和管理单位自行建设管理的网络和信息系统的安全责任主体。三是建议逐步清理、剥离挂在机关单位名下,实际由企业、协会等建设运行的网站、系统,由于工作需要,
无法清理的,由机关相关部门(单位)加强网络安全监管并承担相应的网络安全责任。四是通过签订安全协议等方式,明确政务云平台等服务支撑机构的安全责任,明确权责、理清边界。
2  提高标准,强化监测预警能力,提升网络与信息安全保障水平
2.1  提高网络安全等级保护标准,确保关键信息基础设施安全
《网络安全法》明确提出“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务”,在此基础上特别强调关键信息基础设施的安全保障。《关键信息基础设施安全保护条例(征求意见稿)》规定政府机关运行、管理的网络设施和信息系统,应当纳入关键信息基础设施保护范围。根据省公安厅等部门要求,关键信息基础设施至少要按照等级保护三级标准进行防护。目前,很多单位非涉密信息系统均按照二级进行备案、防护,明显不符合要求。建议落实等保测评制度,按照等级保护三级标准对网络及重要信息系统定期进行测评、整改,并更新配齐网络安全设备,合理配置网络安全防护策略,强化业务系统防护能力,确保关键信息基础设施的安全。
2.2  建立网络安全监测预警和信息通报制度
通过政府购买服务的方式,请第三方安全服务机构对网络及信息系统进行全天候安全监测,提高网络风险态势感知能力,提前发现风险,提早采取措施,防患于未然。2.3  建立网络准入机制
所有新建设网络及业务系统未经安全测评,不得投入使用。
3  规范信息发布管理,加大舆情管控力度
(1)严格执行政府信息公开中保密审查的相关规定,进一步完善信息发布管理制度并严格落实,加强对门户网站、官方微博、官方微信中信息发布的管理力度,彻底杜绝“危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情”等信息内容及失泄密事件的发生,避免因信息不规范等问题而引起舆情事件。
(2)做好信息备份工作。根据信息重要程度,制定相应的备份策略,落实《网络安全法》中对关键信息基础设施内重要数据强制本地存储等要求。
(3)建立舆情监控系统,提高舆情管控能力。
4  加大培训力度,强化队伍建设,保障资金到位
4.1  加大培训力度
网络安全保障工作涉及全体人员,认真做好培训工作,提高全体人员的网络安全保障意识及防护能力,是做好网络安全工作的基础。
4.2  强化队伍建设
没有一支过硬的专业技术队伍是无法做好网络安全保障工作的,加强队伍建设,一方面要做好现有人员业务培训和管理,另一方面要落实“国家推进网络安全社会化服务体系建设”的要求,充分利用社会力量,做好网络安全保障工作。
4.3  保障资金到位
资金没有保障一直是制约 各单位网络安全工作的一个重要原因。建议一方面把网络设备的维修更新、安全监测服务的采购、安全测评和应急演练等常规安全运维经费列入预算,另一方面,针对当前网络安全保障体系的建设水平与《网络安全法》等法律法规的要求还存在一定差距,建议积极与财政等相关部门沟通,争取落实资金,对现有网络安全保障体系进行全面的升级改造。
(收稿日期:2019-11-08)
2019年第11期132

更多推荐

建设,信息,网络,管理,信息化,要求,系统