郝新敏 张宁 一、 研究的目的和意义 目前,山西检验检疫局已建成上联总局,覆盖省局、9个分支机构的检验检疫专网,检验检疫主干业务无纸化申报、全省系统视频会议高清化、行政办公电子化,并建成了应用服务器虚拟化集群。检验检疫工作对网络信息系统的依赖加大,因此保障检验检疫信息安全就显的非常重要。 信息安全将保障山西检验检疫现代化、信息化的快速推进。 二、网络安全要求及经验概述 山西检验检疫局出台的《山西检验检疫局信息化"十三五"专项规划》关于信息化建设的总体框架设计是以"一个中心、两个体系、三大基础"为核心,其中,"一个中心"是将省局中心机房建设成为山西质检系统信息资源中心和数据交换中心;"两个体系"是构筑信息化安全保障体系和综合运维体系两个体系,实现对中心机房的运维监控,强化对信息安全的监测和预警;"三大基础"是进一步夯实硬件基础、软件基础和网络基础,保证基础硬件环境的信息安全、增加系统集成度和数据共享程度。 三、山西局信息系统防护措施存在的问题 (一)信息安全管理制度需要完善。山西局还没有建立完善的信息安全防护体系制度。 (二)信息安全管理人员需要充实。山西局信息化管理处现有干部职工4人,其中信息化专业干部2人,并且都没有信息安全管理工作经验,在信息安全人才队伍建设方面存在不足,急需充实。 (三)信息安全技术水平需要提升。山西局在完善安全配置策略、建立安全管理顶层设计方面体现出了不足。 (四)基层信息安全投入需要加强。山西局网络基础设施还比较薄弱,相关的设备和经费投入明显不足。同时,各分支机构没有专职信息安全管理人员。 (五)信息安全宣传工作需要深入。干部职工对信息安全相关规定的了解、遇到信息安全事件的处理方式等相关安全意识不容乐观。基层工作人员也存在信息安全意识薄弱,警惕性不高、自觉性不强的问题。 四、 山西局信息系统安全防护措施对策 为达到山西局信息化的安全目标,必须多管齐下,提出以下措施,以期构建更加完善的质检信息安全体系。 (一)加强信息安全管理。一是健全组织体系。在现有网络安全和信息化领导小组的工作框架下,进一步明确责任,设安全管理员、系统管理员、网络管理员、数据库管理员、应用管理员等安全岗位,并将涉及信息安全的处室工作人员(主要是信息技术人员)分配到安全岗位。二是健全规章制度。各种安全规章制度既要满足总局、山西省相关制度的总体要求,又要贴合山西局具体实际。三是加大宣传力度。需要对干部进行安全培训,要完善培训机制,定期开展培训工作,提高干部的安全意识,使每位干部对安全规定真正做到令行禁止。四是加大信息安全考核力度。考核侧重点应是当前最关注的信息安全问题,促进信息安全水平的全面提高。五是做好应急演练。要根据可能发生的信息类紧急事件,制定应急演练预案。每一种演练都要做到场景真实、人员到位、处理迅速,要确保演练结果符合预案的要求。六是定期开展安全检查。通过定期对基层开展安全检查,切实提高基层安全防控水平。七是对基层单位开展风险评估。通过风险评估来确定安全现状,提取安全需求,并在此基础上对安全保障体系建设进行有序的规划。八是加强值班管理。把安全隐患和安全威胁在上班前化解。 (二)做好人员管理。一是增强领导安全意识。领导是信息化工作的领路人,只有领导带头学习信息安全知识,才能提高广大干部职工的学习热情。二是充实技术人员队伍。补充有信息安全工作经验的人员进入信息安全管理工作领域,着重做好安全管理人员的培养,并保证队伍的稳定性,同时,充实第三方安全技术人员。三是充分发挥信息安全员的作用。要注重信息安全员的培训工作。用好信息安全员,会使信息安全工作事半功倍,会大大地促进基层信息安全水平。 (三)完善信息安全技术手段。一是通过技术手段规范上外网的行為管理。现阶段规范外网管理主要是通过上网行为管理系统规范上网。二是增加主动安全防御设备的配置。增配入侵防御、漏洞扫描、安全审计设备,实现在发现问题和漏洞的同时抵御攻击。三是建立更高标准的安全准入措施。一方面提升外部安全准入措施;另一方面严格内部网络准入控制,实行全省系统内外网物理隔离,内外网准入控制。四是细化信息安全服务管理措施。第一,规范服务外包管理,依靠第三方技术支持单位开展门户网站、重要信息系统和内部网络的渗透测试、安全监测;第二,全面开展新系统、新设备上线前的安全检查和安全测试;第三,在第三方技术单位现场运维的基础上,针对我局网络和系统定期进行漏洞扫描、策略检查、安全加固和日志分析等服务,全面提升安全运维服务措施,发现潜在漏洞;第四,加强重要信息系统的用户授权管理,探索多重授权模式。 五、结束语 本文从山西局信息安全的现实情况和问题出发,运用信息安全的理论和方法,分别从管理、人员和技术三方面提出应对当前信息安全问题的对策。其中管理方面的对策是重点。本文可为山西局的信息安全问题提供解决措施,还可为其他直属检验检疫局的信息安全建设提供借鉴。 检验检疫信息安全建设是质检信息化的重要内容。经过多年努力,已经初步形成信息安全防护体系。但信息安全建设没有终点,它将随着质检信息化的逐步深化而进一步发展。