浅谈网络信息安全存在的问题与对策
审计部门是接触涉密信息较多的部门,审计人员的电脑上除被审计单位的业务数据外,还归集了大量其他部门的业务及财务数据。这些数据一旦泄露,甚至被不法分子利用,造成的负面影响不可想象。在此,笔者就基层审计机关网络与信息安全管理中存在的问题及对策谈几点意见:
一、基层审计机关网络与信息安全管理中存在的问题
一是审计人网络安全意识不足,缺乏警惕性。英国有句谚语说“谨慎是安全之本”,但是很多审计人对网络安全知之甚少,个别单位的领导同志观念陈旧,缺乏危机感,不能正确对待新常态下网络与信息安全防范工作中的新问题,给网络安全保密工作带来了相当大的难度。如面对前不久肆虐全球的“永恒之蓝”系列勒索病毒,少数审计机关根本不放在心上,行动不及时、措施不到位,大大增加网络安全风险。
二是审计人的大部分数据处于管理缺位状态。一方面,审计机关在审计专网和审计信息化系统方面的管理比较扎实;但是另一方面,个人使用的计算机终端、移动存储及存储于这些载体上的审计电子数据和相关资料,基本上处于缺乏管理的状态。尤其是一线审计人员使用的计算机设备,里面可能存储多个部门的涉密数据,这些设备和数据实际上就处于一种“高危”的状况。
三是计算机专业人员匮乏,技术力量薄弱。这是审计系统开展网络和信息安全保密工作最大的困难。信息安全技术更新快、专业性极强、且要求工作时极其认真细致。许多同志对计算机知识知之甚少,很多情况下计算机专职人员只能代替操作,难以口授网络安全知识,一旦要应对全国性的网络病毒防治工作,计算机专职人员压力非常大。
四是基层审计机关终端防护能力薄弱。市州级审计机关信息化建设主要以应用为主,仅配备了路由器、防火墙等少量网络安全设备,缺乏内容控制、行为监测,弱口令等问题。这些问题中的任何一处,都有可能成为漏洞,从而“千里之堤毁于蚁穴”,造成严重的信息安全事故。
二、解决问题的对策
解决上述问题,我认为应从以下四个方面着手:
(一)提高认识,加强重视,这是做好网络信息安全工作的重要前提。一是各级审计机关领导干部要重视、关心和支持网络和信息安全工作,牢固树立网络安全意识、计算机保密意识,加强宣传教育,将网络与信息安全工作纳入目标管理考核,明确责任,狠抓落实;二是审计人员都应认真学习国家或上级机关出台的相关政策法规,切实完成网络和信息安全相关的工作要求,同时要了解保密形势、泄密途径,具备基本的网络和信息安全知识和常规安全防范工具的使用。三是从事网络管理工作的技术人员要着眼长远,对计算机信息系统的保密工作要进行深入的研究和探索,跟踪当代世界先进保密技术的发展,掌握专业的安全防范工具和技术手段。
(二)提高技术,壮大力量,这是做好网络信息安全工作的核心要素。一是吸引计算机相关专业的高科技人才加入到审计队伍中来;二是充分利用现有的保密和信息化队伍,采取参加培训班进修,或到高校深造等多种形式,大力提高整体技术水平。三是加强对审计干部的计算机操作技术的培训,特别是计算机保密技术的培训,强化操作人员的安全保密意识,定期邀请上级审计机关或保密、公安等部门专家组织开展专题培训,使审计人员都能安全熟练地掌握、使用新科技手段来做好审计工作。
(三)健全制度,加强检查,这是做好网络信息安全工作的关健环节。审计机关在开展计算机信息网络建设和投入使用的过程中,首先,应严格实行“准入”制度,对接入审计专网或用于审计工作的计算机进行登记,摸清“家底”;要明确信息技术部门在整个信息化建设和使用中应行使的职权和在技术和管理上应发挥的作用;要建设严密的网络安全、信息安全保障系统,拥有相对完善的管理措施和有效的技术检测手段、检测方法及规范化的管理程序;要建立完善的审计电子数据管理和使用制度,明确电子数据使用和管理责任。其次,对网络和信息安全检查要全面细致,检查信息设备、设置场所及传输线路是否符合有关规定,检查电子数据是否按照相关规定使用和管理,检查网络设备、服务器、终端是否进行安全防范加固、是否存在异常访问行为,检查个人终端或移动存储设备是否存储涉密资料等等。三要加强与保密、公安部门的交流协作,制订应急预案,定期开展演练,提高突发性安全事件应对能力。在确保安全措施到位,安全风险最低的情况下,使审计信息化建设实现便捷、实用、安全。
(四)配全设施,加密防护,这是做好网络信息安全工作的可靠保证。一是要加强权限管理,按照“最小授权的原则”,审计人员要强化密码,不得使用默认密码或简单密码,也不得私自使用他人账户及口令使用信息系统。二是加强对网络与信息安全的投入,不断完善信息系统安全防范架构。现阶段,可结合金审工程三期以及信息系统等级保护的要求,对相关信息系统开展评测,结合评测结果和工作需要,配备网闸、防火墙、防水墙、终端监控防护软件等,构建安全防范体系。三是构建一体化用户身份验证与权限管理系统。通过建立一体化用户身份验证与权限管理系统,实现审计人员一次登录,即可访问所有信息系统,避免了多个系统多个用户造成的管理和使用困难,同时更加强了用户身份的统一、权限的统一、行为管理的统一。
