文│农业农村部信息中心王祺鑫
随着信息化的飞速发展,政府部门对信息化的需求也呈爆发式增长,信息化初期快速发展过程中产生的网络安全、信息孤岛、国外占比等问题,都可以从习近平总书记“网络安全和信息化是一体之两翼、驱动之双轮”的经典论述中找到答案。中央和国家机关是践行“两个维护”的第一方阵,也处在国内外网络安全斗争的最前沿,必须要做好网络安全意识教育工作。
一、网络安全意识普及的常见问题
农业农村部是管理种植业、畜牧业、水产业、农垦、乡镇企业和饲料工业等产业的国务院直属部门,早年间部系统干部职工大部分都是毕业于植物科学、动物科学、农药化肥、水产养殖等农学专业,对信息化的了解和认识存在不足。在实现了从计算机单机向办公自动化的飞跃后,各类业务工作的信息化需求呈爆发式增长,每个单位甚至部门都纷纷自行建设满足本单位本部门需求的网站和业务系统。但由于缺少网络安全意识,很多单位的领导干部只注重业务应用的建设而忽视了网络安全管理,曾发生过一系列的网络安全事件,而导致网络安全事件的原因主要有以下几种类型。(一)政策学习不到位1994年,国务院就发布了《中华人民共和国计算机信息系统安全保护条例》,其中第九条规定“计算机信息系统实行安全等级保护”。而直到2007年《信息安全等级保护管理办法》正式出台,农业农村部的很多干部职工对网络安全相关的法律法规、政策规范和技术标准还非常陌生,甚至某些单位领导不知道等级保护的这一概念,不知道信息系统要定级备案,不知道等级保护的一级是最高还是最低。由于对网络安全政策学习不到位,导致网络安全建设目标和内容不明确,网络安全制度、经费和人才保障等跟不上实际发展,各单位各部门的网络安全建设严重滞后。(二)人员认识不到位在网络安全意识教育还没有普及的时候,政府部门的大多数干部职工会在潜意识里认为,网络安全与自己无关,只是单位信息化部门的职责。受这种心态的影响,网络安全隐患只会层出不穷,例如工作人员只为使用方便不按要求设置复杂口令,导致大量的主机及应用系统存在弱口令、默认口令;项目管理人员对业务系统建设过程中的技术框架、网络结构、建设方案等重要文档管理不严,广泛散布在互联网上;新建业务系统替代老旧业务系统后,老旧业务系统不及时下线,还长期联网运行,成为无人管理的盲区。还有很多计算机终端不装杀毒软件、不打系统补丁、乱点钓鱼邮件、感染木马病毒等网络安全事件不胜枚举,都是由于干部职工网络安全意识淡薄而发生的。(三)运营管理不到位在等级保护制度实施的头几年,农业农村部的很多单位迟迟没有制定本单位的网络安全管理制度。一些单位在申请项目预算时将系统描述的非常重要,但在系统定级备案时却认为越低越好,越低责任越小。部分单位并不知道要给本单位的机房以及运行的业务系统建设哪些配套的安全设施。还有些单位把业务系统托管在IDC服务商后,想当然的觉得放在外面就没有自己的安全责任了。在不能有效地建立、执行网络安全规章制度的情况下,网络安全的隐患便挥之不去。
二、网络安全宣传教育的实践经验
农业农村部信息中心是部机关网络中枢的管理部门,为部机关提供通讯、网络和信息支持,作为部系统网络安全的技术支撑单位,承担着对部机关及直属事业单位开展网络安全宣传、教育和培训的重要工作。多年来,农业农村部信息中心通过不断地开拓创新,开展了形式丰富的网络安全宣传教育工作,取得了显著成效,部系统干部职工的网络安全意识已有了较大程度的提高。主要经验如下:(一)加强制度规范研究网络安全是国家安全的重要内容,但网络安全的专业性太强,信息安全等级保护已形成了一套完整的政策标准体系,需要进行系统的学习。农业农村部信息中心为了让部系统广大干部职工加强对网络安全法律、法规,部门规章及规范性文件的学习,出版了《农业信息网络与电子信息安全法律法规政策指南》;为了提高信息网络安全设计、建设、运维管理的规范化水平,出版了《农业网络系统信息安全策略》;为指导部系统网络安全工作人员进行等级保护安全评估,将网络安全自查与运维管理相结合,编制了《农业系统网络安全自查自评指导手册》;为指导各单位做好网络安全等级保护定级工作,在中国信息安全测评中心的协助下编制了《农业农村部网络安全等级保护定级报告(模板)》;还编制了《农业部信息安全管理制度汇编》《重要农业信息系统安全管理资料汇编》《农业部应用系统开发与部署规范》等内部管理制度,实现部内网络安全的标准化、规范化、制度化管理。通过印发网络安全系列丛书和规范性文件,组织引导广大干部职工对《网络安全法》及网络安全等级保护政策体系进行系统的学习,营造学安全、懂安全、保安全的良好氛围,为普及网络安全意识,自觉遵守相关规定,落实网络安全责任和义务打下了坚实基础。(二)加强安全宣传教育网络安全的意识培养需要长期的耳濡目染和潜移默化,农业农村部信息中心一直坚持不懈地狠抓网络安全宣传教育工作。一是经常性举办大型网络安全专题讲座,邀请网络安全领域的知名专家学者来我部讲学。例如曾邀请公安部十一局总工程师郭启全作《新时代网络安全保护对策》专题讲座,部系统干部职工500余人参会,近距离向网络安全专家学习请教。二是每年举办全国农业网络安全和信息化培训班,对部系统机关及直属事业单位、各省级农业部门的网络安全工作负责人和技术人员进行2天的培训,邀请过中央网信办、公安部、工业和信息化部、中国信息安全测评中心等权威部门的网络安全专家现场授课,提高各单位领导干部的网络安全意识以及技术人员的安全防护技能。三是每年配合国家网络安全宣传周开展农业农村部网络安全的宣传工作,制作并发放了《习近平的网络安全观》《十八大以来网络安全重大成就》《网络安全法及关键基础设施安全保护条例宣传册》《网络安全小贴士》等材料,全面提升广大干部职工的网络安全意识。(三)加强人才队伍培养政府部门要遵照《网络安全法》,落实好等级保护的各项工作,面临着很大的网络安全人才缺口。农业农村部同样存在这样的困难,部系统很多单位的网络安全工作是由其他专业的技术人员兼职完成的。农业农村部信息中心和上级主管部门十分重视部系统网络安全人才队伍的培养,一是组建网络安全联络员队伍。要求各单位指定专人作为网络安全联络员,通过对网络安全联络员的培养,让他们在本单位网络安全建设中起到标兵作用,以点带面地推动各项网络安全工作。二是建立了安全通报与绩效考核机制。信息中心将日常安全监测发现的安全隐患,以及从中央网信办、公安部等部门通报来的安全事件,第一时间在部系统进行通报,指导各单位开展安全整改。通过各单位被通报次数,响应速度,以及整改落实的完成情况等指标来确定该单位的网络安全绩效考评得分,该得分在部系统单位年度绩效总得分中占有一定比例。三是在系统内部组织网络安全攻防演练。为应对日益严峻的网络安全形势,开展网络安全攻防演练可以更好地对各单位防护水平进行实战检验,及时发现安全漏洞,锻炼各单位网络安全应急处置能力。四是选拔网络安全专业人才。通过自愿报名,公开选拔部系统内有网络安全技术潜力的专业人才,将初选合格的人员委托给公安部第一研究所进行专业技能培训,通过考核后颁发“农业农村部网络安全专业技术培训结业证书”,为今后开展各项网络安全工作做好了人才储备。
三、网络安全宣传教育的建议
