淺談黨政機(jī)關(guān)信息安全風(fēng)險(xiǎn)防控體系建設(shè)

程愷

摘要：近年來我國政務(wù)信息系統(tǒng)發(fā)生安全事件的情況逐漸增多，各級(jí)政府部門網(wǎng)絡(luò)信息系統(tǒng)存在著信息安全風(fēng)險(xiǎn)。本文就如何建立一套能夠有效針對(duì)信息安全風(fēng)險(xiǎn)進(jìn)行預(yù)防和控制的管理技術(shù)體系進(jìn)行論述。

關(guān)鍵詞：黨政機(jī)關(guān);信息安全風(fēng)險(xiǎn)防控;體系建設(shè)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2019）08-0174-02

1 體系建設(shè)目標(biāo)

網(wǎng)絡(luò)信息安全防控體系建設(shè)主要包括以下五個(gè)目標(biāo)。一是規(guī)范全省系統(tǒng)網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)防控工作;二是提升省廳與市局、縣局之間的聯(lián)動(dòng)協(xié)調(diào)，強(qiáng)化省廳統(tǒng)一管控能力;三是打通縣局、市局、省廳到國家部委及其他監(jiān)管部門的多級(jí)報(bào)告和通報(bào)渠道;四是加強(qiáng)全省系統(tǒng)網(wǎng)絡(luò)信息安全文化宣傳工作;五是培養(yǎng)全省系統(tǒng)網(wǎng)絡(luò)信息安全人才。

2 體系建設(shè)規(guī)劃

規(guī)劃建設(shè)以“1175”為主要內(nèi)容的全省系統(tǒng)網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)防控體系，即，一整套組織機(jī)構(gòu)，一系列制度規(guī)范，七大管理機(jī)制以及五大技術(shù)措施。全省系統(tǒng)通過分層負(fù)責(zé)、分級(jí)實(shí)施，做到安全責(zé)任落實(shí)、過程控制落實(shí)、安全整改落實(shí)，解決“誰去落實(shí)，怎樣落實(shí)，落實(shí)得怎么樣”的問題。通過PDCA循環(huán)，持續(xù)改進(jìn)提升網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)防控水平、管理水平和運(yùn)維水平，體系架構(gòu)如圖1所示。

3 風(fēng)險(xiǎn)防控策略

體系總體策略：積極預(yù)防、整體保護(hù)、分級(jí)分域、動(dòng)態(tài)管理。

積極預(yù)防：在信息系統(tǒng)規(guī)劃設(shè)計(jì)、開發(fā)建設(shè)、運(yùn)行維護(hù)和停用廢棄等各環(huán)節(jié)實(shí)行安全審核管理;加強(qiáng)對(duì)重要信息技術(shù)產(chǎn)品的漏洞和后門程序檢查，定期開展安全測評(píng)、風(fēng)險(xiǎn)評(píng)估工作;完善容災(zāi)備份措施，健全應(yīng)急保障隊(duì)伍，開展應(yīng)急演練，增強(qiáng)應(yīng)急處置能力。

整體保護(hù)：按照相互關(guān)聯(lián)、相互均衡的原則，在網(wǎng)絡(luò)以及信息系統(tǒng)運(yùn)行應(yīng)用的各環(huán)節(jié)，全面部署防攻擊、防病毒、防篡改、防癱瘓、防竊密等技術(shù)安全設(shè)施，并按照組件化、平臺(tái)化、集成化技術(shù)路線進(jìn)行整合，實(shí)現(xiàn)協(xié)同防御。

分級(jí)分域：根據(jù)信息系統(tǒng)運(yùn)行安全需求，數(shù)據(jù)和信息內(nèi)容安全需求，以及應(yīng)用范圍，確定信息系統(tǒng)的安全保護(hù)等級(jí)，劃分信息系統(tǒng)運(yùn)行環(huán)境的安全域，針對(duì)不同安全域制定相應(yīng)的分項(xiàng)安全策略，實(shí)行等級(jí)保護(hù)。

動(dòng)態(tài)管理：緊密跟蹤行業(yè)信息化發(fā)展變化情況與網(wǎng)絡(luò)安全攻防技術(shù)的發(fā)展?fàn)顩r，適時(shí)調(diào)整、完善和創(chuàng)新安全管理方法，持續(xù)提升、改進(jìn)和強(qiáng)化技術(shù)防護(hù)手段，保證行業(yè)網(wǎng)絡(luò)安全水平與行業(yè)信息化發(fā)展水平相適應(yīng)。

在總體策略基礎(chǔ)上，建立完善各分項(xiàng)策略。主要包括：物理安全策略、網(wǎng)絡(luò)安全策略、系統(tǒng)安全策略、應(yīng)用安全策略、數(shù)據(jù)安全策略、病毒防護(hù)策略、安全教育策略、信息系統(tǒng)備份與恢復(fù)策略、業(yè)務(wù)連續(xù)性策略、賬號(hào)口令策略、安全審計(jì)策略、系統(tǒng)開發(fā)策略、人員安全策略等。

4 體系主要文件

體系建成后形成體系文件，作為體系運(yùn)行的依據(jù)和準(zhǔn)則。依據(jù)體系建設(shè)相關(guān)規(guī)范，建設(shè)包括組織架構(gòu)、制度規(guī)范、管理機(jī)制、技術(shù)措施、記錄表單等體系文件。除此之外，根據(jù)七大管理機(jī)制和五項(xiàng)技術(shù)措施建立相關(guān)補(bǔ)充文件，主要是用于指導(dǎo)具體工作實(shí)施的技術(shù)指南、操作手冊等。

4.1 組織架構(gòu)

建立包括領(lǐng)導(dǎo)機(jī)構(gòu)、管理機(jī)構(gòu)和執(zhí)行機(jī)構(gòu)，覆蓋省、市、縣三級(jí)機(jī)關(guān)的組織管理架構(gòu)，分別制定三個(gè)層級(jí)相關(guān)崗位角色的職責(zé)說明，明確在風(fēng)險(xiǎn)防控體系中的職責(zé)。

通過構(gòu)建多層多級(jí)的組織架構(gòu)，推動(dòng)網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)防控體系的合理建設(shè)、高效運(yùn)行以及持續(xù)改進(jìn)。

4.2 制度規(guī)范

依據(jù)現(xiàn)有已發(fā)布或未發(fā)布的管理制度，主要是與信息安全風(fēng)險(xiǎn)防控相關(guān)的制度規(guī)范，并按照風(fēng)險(xiǎn)防控工作的要求查漏補(bǔ)缺，完善信息安全風(fēng)險(xiǎn)防控制度規(guī)范。

通過建立完善的制度規(guī)范，并將其落地執(zhí)行，規(guī)范全省系統(tǒng)網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)防控工作，實(shí)現(xiàn)防控工作制度化、規(guī)范化、標(biāo)準(zhǔn)化。

4.3 七大管理機(jī)制

4.3.1 風(fēng)險(xiǎn)識(shí)別機(jī)制

依據(jù)信息安全風(fēng)險(xiǎn)評(píng)估相關(guān)國家和地方標(biāo)準(zhǔn)，制定針對(duì)網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)識(shí)別的管理工作機(jī)制。通過管理和技術(shù)手段確保全省系統(tǒng)存在的信息安全風(fēng)險(xiǎn)被有效識(shí)別，并將識(shí)別的風(fēng)險(xiǎn)作為體系防控的對(duì)象。

4.3.2 等級(jí)保護(hù)機(jī)制

依據(jù)等級(jí)保護(hù)相關(guān)國家標(biāo)準(zhǔn)和管理辦法，建立全省系統(tǒng)網(wǎng)絡(luò)信息系統(tǒng)依法依規(guī)開展等級(jí)保護(hù)的管理機(jī)制。將系統(tǒng)定級(jí)、系統(tǒng)備案、安全測評(píng)、安全整改、監(jiān)督檢查等相關(guān)工作要求形成工作機(jī)制，并形成相關(guān)記錄表單格式。通過建立全省系統(tǒng)等級(jí)保護(hù)管理工作機(jī)制，可規(guī)范全系統(tǒng)等級(jí)保護(hù)工作的實(shí)施執(zhí)行、督促和指導(dǎo)全省系統(tǒng)依法依規(guī)開展等級(jí)保護(hù)工作。

4.3.3 安全審查機(jī)制

建立全省網(wǎng)絡(luò)信息安全審查管理工作機(jī)制，包括審查類型、審查對(duì)象、審查內(nèi)容以及相關(guān)記錄表單格式。通過開展定期和不定期的安全審查，指導(dǎo)和督促全省系統(tǒng)各業(yè)務(wù)條線，落實(shí)信息安全防控職責(zé)，嚴(yán)把安全關(guān)，確?！?”事件目標(biāo)實(shí)現(xiàn)。

4.3.4 應(yīng)急處置機(jī)制

建立以網(wǎng)絡(luò)信息安全事件應(yīng)急預(yù)案為基礎(chǔ)的全省信息安全應(yīng)急處置管理工作機(jī)制，包括檢測預(yù)警、應(yīng)急處置、應(yīng)急保障和責(zé)任獎(jiǎng)懲等內(nèi)容。通過建立應(yīng)急處置管理工作機(jī)制，可規(guī)范全省系統(tǒng)各種突發(fā)事件的應(yīng)急處置規(guī)程，建立快速響應(yīng)和應(yīng)急處置機(jī)制，加強(qiáng)信息系統(tǒng)的應(yīng)急管理，降低信息系統(tǒng)事件造成的損失和影響，盡快恢復(fù)業(yè)務(wù)系統(tǒng)的連續(xù)運(yùn)行。

4.4 記錄表單

根據(jù)制度規(guī)范、管理機(jī)制以及技術(shù)措施的實(shí)際運(yùn)行需求，制定符合實(shí)際情況、合理有效的各項(xiàng)記錄表單，作為體系落地運(yùn)行的記錄文件。

5 結(jié)語

綜上所述，建立一套覆蓋全省各級(jí)部門，以有力的組織架構(gòu)和完善的制度規(guī)范為基礎(chǔ)，執(zhí)行各項(xiàng)管理機(jī)制以及技術(shù)措施的信息安全風(fēng)險(xiǎn)防控體系，能夠有效的預(yù)防信息安全事件的發(fā)生，控制信息安全風(fēng)險(xiǎn)，提升黨政機(jī)關(guān)信息安全防護(hù)水平。

Talking About the Construction of Information Security Risk Prevention and Control System in Party and Government Organs

CHENG Kai

（Jiangsu Electronic Information Products Quality Supervision Inspection Research Institute，Wuxi Jiangsu? 214000）

Abstract：In recent years， the situation of security incidents in the government information system of our country has increased gradually，There are risks of information security in the network information system of government departments at all levels. This paper discusses how to establish a set of management technology system which can effectively prevent and control the risk of information security.

Key words：Party and government organs; Information security risk prevention and control; System construction