没有网络安全就没有国家安全,没有信息化就没有现代化,网络安全已成为我国国家安全的重要组成部分,为深入学习贯彻习近平总书记关于网络安全和信息化工作重要讲话精神,全面贯彻国家统计局2022年统计部门网络安全工作视频培训精神和广东调查总队(以下简称总队)关于信息化建设和网络安全工作部署,为保证调查队系统网络与信息安全,防范蓄意攻击、破坏网络信息系统及传播、粘贴非法信息等突发紧急事件的发生,本文从基层队工作实际出发,浅谈优化县级队信息化建设和网络安全工作的几点思考。
一、目前信息化建设和网络安全工作现状
随着调查信息采集系统的发展,以计算机网络为依托的信息采集格局已基本固定,形成了以国家局—总队—市县队的三级网络,并通过PAD作为数据采集终端向基层镇街(村居)单位延伸。
(一)信息化资产配置和管理方面
在计算机终端使用上,要求所有干部职工为自己使用的计算机添加登录密码并定期更换。同时,要求登录各应用/直报系统的账号需定期更换并设置长度和复杂程度高的密码,尽可能降低被他人通过习惯推测(用生日、纪念数字、常用的英语单词)、账号撞库(用其他应用的账号和密码尝试登录)、暴力破解(使用所有的密码字符组合可能性不断尝试登录)等恶意攻击方式登入,造成资料信息泄露的风险可能性。严格落实信息化资产管理,由综合科负责信息化资产统筹调配,各科室根据“谁使用、谁管理、谁负责”原则协管,指定1名资产协管员负责本科室信息化资产的日常动态管理,明晰协管员日常管理工作内容和流程规范,各协管员除了按资产管理规定耕好“责任田”以外,重点抓好信息化资产在统计业务开展期间保管、留存、运行状态的全过程监控,强化责任到科室,责任到人,进一步深化信息化资产管理精细化、动态化、实时化。
(二)网络安全管理方面
番禺队目前所用的采集系统主要是国家局的联网统计直报平台,区级、镇街、村居调查人员通过PAD采集终端从公众互联网网络接口上报信息,区级督导员通过内网端口查看和审核数据。由于大部分数据采集都是通过采集系统来进行,所以番禺队不需建立自研或自制的应用系统,也不需在线运作的服务器。除了网关和网神防火墙,不需持续链接内外网络设备,通过网关和防火墙的安全策略设置,使内外网的通道实现逻辑隔离。今年,为网神防火墙和网关交换机等网络设备设置了专用机房并安装了电子密码锁,杜绝了无关人员物理接触网络核心设备的可能。
番禺队目前与第三方合作公司签订了办公设备和耗材供货合约以及技术支持,同时签订了安全保密协议。第三方公司只有在供货和提供技术服务时候会派人上门,根据番禺队“一对一”接待策略,在收货和技术服务的时候,执行单位专业人员“一对一”全程陪同,杜绝人为操作中泄露信息的风险。
二、目前信息化建设和网络安全工作中存在的问题
(一)重视程度不足
个别干部职工对网络安全和信息化建设在思想上不够重视,对木马泄露数据、勒索病毒感染、黑客攻击等可能遭遇的安全问题缺乏防范意识,总认为不会发生在自己身上,而心存侥幸。一定程度上存在没有通过指定渠道购置安装程序、重要账号没有设置强密码、没有甄别钓鱼邮件的能力,存在点击钓鱼邮件地址的危险、没有定期进行安全软件全盘扫描等不符合规范的危险操作,这些行为不仅容易导致办公电脑感染计算机病毒,而且还增加了泄露资料和信息的风险。
(二)技术能力不强
这几乎是基层调查队的共性问题。由于区县级队本身体量较小,懂网络安全和信息化建设的专业人员少,技术能力储备不足等问题,导致信息化建设和网络安全保障成效欠佳。尽管成立了网络安全和信息化工作领导小组,但是工作领导小组以及下设的办公室大部分构成人员都非计算机专业,且成员自身还要兼顾其他调查业务工作,加上计算机专业方面具有知识和技术壁垒,非专业人员学习成效有限,不具备快速有效地应对网络和信息化安全等突发事件的能力,在应对一些专业程度较高的疑难杂症时往往需要第三方服务公司的技术支持,面对风险的处置效率上大打折扣。
三、改进信息化建设和网络安全工作的建议
(一)强化宣传教育,切实提升人员思想认识
网络安全影响着我们工作、生活的各个细节,从聊天记录到调查数据采集、审核、上报全过程再到涉密文件,都有可能因各种各样的网络安全漏洞或人为操作不当导致重要信息泄露,从而导致一系列不可挽回的后果。需切实加强网络安全和信息化建设宣传教育,提高干部职工重视程度,针对部分人员网络安全意识薄弱、对信息化建设工作不重视等问题,应强化对信息化建设和网络安全的全面理解,加强计算机安全意识教育。同时通过一些不当操作、网络安全事故的实例作为反面教材,最好选择因人为操作不当而产生的重大影响和严重后果等典型案例作为警示教育,使干部职工充分认识到强化信息化建设和维护网络安全的严肃性和重要性。
(二)落实培训机制,有力提升防范技能
由于计算机相关技术存在的知识壁垒,非计算机专业的干部职工对计算机的应用理解往往“知其然不知其所以然”,即便通过宣传教育使干部职工主观上对网络安全予以重视,但在实际工作中却仍存在不知道应当如何操作的情况。需进一步落实培训机制,通过理论学习、实操演练、指导培训,强化防范技能训练。通过借助多媒体科普视频、漫画等新媒体讲解方式,将复杂晦涩难懂的计算机术语通过可视化、趣味化,将网络安全知识更直观且更容易理解的展现出来,增强人员的学习相应内容的积极性和有效性,从而进一步优化信息化建设和网络安全工作。