煙草在線專稿　　隨著計算機(jī)不斷普及及信息化辦公的廣泛應(yīng)用，基層業(yè)務(wù)流程不斷簡化，節(jié)省了工作時間，提高了工作效率，提升了決策管理力度。與此同時，對管理者及員工信息素質(zhì)也提出了更高的要求。

　　近年來，基層縣局在上級的正確指導(dǎo)下，積極加強(qiáng)計算機(jī)信息安全管理，較好了保障的辦公業(yè)務(wù)系統(tǒng)的正常運(yùn)行。但隨著形勢變化的發(fā)展，基層信息安全管理逐漸暴露出一些迫切需要研究解決的新情況新問題。

　　如何認(rèn)識和分析這些新的情況和問題呢？西方經(jīng)濟(jì)學(xué)歷有個著名的“短板理論”，也稱作“木桶理論”，指的是一只木桶能裝多少水，取決于木桶中最短的那塊木板長度，而非最長的那塊木板。同樣，基層縣局要認(rèn)真分析信息安全管理的“短板”何在，找準(zhǔn)問題癥結(jié)和薄弱環(huán)節(jié)，才能采取對策措施，有效提高計算機(jī)信息安全管理水平，提升管理層次，為突進(jìn)科技創(chuàng)新、管理創(chuàng)新、卷煙上水平提供強(qiáng)大助力。

　　一、基層信息安全管理存在的問題

　　從當(dāng)前基層計算機(jī)信息安全管理實(shí)際來看，主要存在安全文化缺位、安全管理缺陷和安全技術(shù)缺陷三塊較短的“木板”，具體表現(xiàn)在：

　　（一）機(jī)房基礎(chǔ)設(shè)施建設(shè)薄弱

　　由于受資金、技術(shù)因素的困擾，機(jī)房的設(shè)計、安裝達(dá)不到計算機(jī)安全運(yùn)行環(huán)境國家規(guī)定的有關(guān)標(biāo)準(zhǔn)要求，未進(jìn)行或是未通過公安消防部門對計算機(jī)房的檢查驗(yàn)收。普遍存在的現(xiàn)象是機(jī)房鋪上防靜電地板、安裝上普通空調(diào)、放上幾瓶手動滅火器就覺得已經(jīng)足夠了。缺少防電磁干擾、防電磁泄漏、機(jī)房專用空調(diào)等、后備電源等安全設(shè)施；對突發(fā)性火災(zāi)、水災(zāi)、地震、雷擊、鼠患等意外災(zāi)害各引起的設(shè)備損壞、供電系統(tǒng)不穩(wěn)定預(yù)見性不足、缺乏應(yīng)急防范手段和措施。

　　（二）人力資源建設(shè)相對滯后

　　受歷史原因和體制原因影響，基層員工隊伍呈現(xiàn)人才缺乏、整體素質(zhì)不高的局面。隨著行業(yè)人事制度改革的不斷深入，基層單位在員工隊伍建設(shè)上有了明顯進(jìn)步，隊伍整體水平有了明顯提高。但從基層單位這一層面而言，由于編制、薪酬、晉升通道等因素制約，技術(shù)人才的引入仍不盡人意，具備計算機(jī)管理知識的專業(yè)性人才依然缺乏。

　　（三）信息安全管理制度不健全

　　當(dāng)前基層單位多數(shù)都建立了一些計算機(jī)安全的規(guī)章制度，但不可能貫穿計算機(jī)管理的各個方面，特別是計算機(jī)信息技術(shù)發(fā)展中出現(xiàn)的新問題束手無策。存在老制度管不了新系統(tǒng)，現(xiàn)代化的信息系統(tǒng)缺乏強(qiáng)有力的先進(jìn)的管理制度，存在制度老化和新制度制定不力的現(xiàn)象。同時，由于計算機(jī)設(shè)備和操作人員由各部門歸口管理，計算機(jī)管理人員開展工作受各部門內(nèi)的制約較大，管理職能不能很好落實(shí)。從已發(fā)生的信息安全問題來看，主要問題是疏忽檢查、放松管理。內(nèi)部制約機(jī)制不完善、規(guī)章制度不落實(shí)、檢查監(jiān)督不嚴(yán)格使信息安全隱患無法得到及時識別、解決。

　　（四）操作不夠規(guī)范

　　一是部分員安全意識不強(qiáng)，缺乏防病毒的知識。隨便打開陌生郵件，未經(jīng)系統(tǒng)管理員查毒、殺毒的情況下擅自使用盜版軟件、來歷不明軟件或從網(wǎng)上下載軟件；二是不按章操作現(xiàn)象依然比較普遍。如不對重要數(shù)據(jù)進(jìn)行備份；人員調(diào)離或兼職，未按規(guī)定及時對賬號或操作口令進(jìn)行刪除重設(shè)；憑個人關(guān)系相互頂崗或串崗操作，造成一人多號或多人一號現(xiàn)象。操作完成離去不退出登陸界面，使用口令限制用戶登錄失去意義。誤操作現(xiàn)象無法徹底禁止，存在操作風(fēng)險。

　　二、加強(qiáng)基層信息安全管理的對策和建議

　　（一）堅持以人為本，樹立正確意識，培育濃厚的安全文化氛圍

　　結(jié)合實(shí)際采取有效措施促進(jìn)安全文化氛圍的培育和形成，以確保計算機(jī)信息安全成為每個員工的自覺行為。

　　一是要培育科學(xué)精神。要有意識的引導(dǎo)員工樹立科學(xué)精神，把握科學(xué)規(guī)律，以科學(xué)的態(tài)度認(rèn)真對待計算機(jī)信息安全網(wǎng)絡(luò)，自覺的通過科學(xué)方式維護(hù)計算機(jī)信息安全。

　　二是要樹立協(xié)作意識。保障信息安全不僅僅是哪一個部門的事情，而是隨著網(wǎng)絡(luò)化、信息化的深入擴(kuò)展，出現(xiàn)跨部門、跨領(lǐng)域、跨專業(yè)，人員協(xié)同作戰(zhàn)的新趨勢和新變化。每個人都必須樹立網(wǎng)絡(luò)協(xié)作意識，克服單干思想，齊心協(xié)力才能確保計算機(jī)信息安全。

　　三是增強(qiáng)保密觀念。要引導(dǎo)員工繃緊安全這根弦，切實(shí)增強(qiáng)安全保密意識，嚴(yán)格規(guī)范操作行為，確保信息安全。

　　四是營造文化氛圍。通過會議、宣傳欄、展板、舉辦信息安全知識競賽等多種形式和渠道，加大對計算機(jī)信息安全目的、意義、作用等方面的宣傳力度及普及力度，努力營造人人知安全、個個懂安全、全員保安全的濃厚文化氛圍和環(huán)境，為確保計算機(jī)信息安全夯實(shí)基礎(chǔ)，創(chuàng)造條件。

　　（二）完善管理措施，落實(shí)崗位責(zé)任，建設(shè)有效的安全管理體系

　　要進(jìn)一步落實(shí)措施，加強(qiáng)信息安全管理。一是完善管理體系。要成立計算機(jī)安全工作領(lǐng)導(dǎo)小組，切實(shí)發(fā)揮作用。加強(qiáng)領(lǐng)導(dǎo)，經(jīng)常研究、分析和解決計算機(jī)安全問題；二是健全管理制度。全面清理現(xiàn)有的計算機(jī)信息安全制度，與信息化建設(shè)不相符的，要抓緊補(bǔ)充修訂完善，不斷完善要害崗位人員，計算機(jī)安全運(yùn)行、計算機(jī)安全事件應(yīng)急等管理制度。特別是要系統(tǒng)管理員責(zé)權(quán)利不對稱等情況，從制度上予以明確和支持。進(jìn)一步健全計算機(jī)病毒通報、計算機(jī)信息安全季度分析報告等信息安全動態(tài)制度，使之更符合基層實(shí)際，發(fā)揮制度管人、管過程、管安全的作用；三是落實(shí)管理責(zé)任。按照計算機(jī)直接使用部門、人員的不同，細(xì)分信息安全工作職責(zé)，做到崗位清楚、職責(zé)明確、責(zé)任落實(shí)、各司其職。

　　（三）加強(qiáng)技術(shù)培訓(xùn)，增強(qiáng)安全技能，提升安全防范水平

　　一是基層系統(tǒng)管理員要學(xué)深技術(shù)。可以通過參加上級部門舉辦的短期信息安全技術(shù)培訓(xùn)，或者參加大專院校以及IT公司組織的信息技術(shù)培訓(xùn)等渠道，進(jìn)一步加強(qiáng)基層系統(tǒng)管理員對新知識、新技能的學(xué)習(xí)、補(bǔ)充和更新，改善知識結(jié)構(gòu)，在牢牢把握現(xiàn)代信息技術(shù)發(fā)展方向和變化趨勢中提高信息安全防范技術(shù)能力。

　　二是針對各部門挑選素質(zhì)相對較高人員作為信息安全協(xié)管員，通過購買書籍、編印計算機(jī)安全知識小冊子、舉辦信息安全培訓(xùn)等方式，提升信息安全技術(shù)水平，以點(diǎn)帶面引導(dǎo)所在部門計算機(jī)應(yīng)用水平的提高。

　　三是全員學(xué)習(xí)操作基本技術(shù)。普及計算機(jī)應(yīng)用操作基礎(chǔ)知識，著力提高全員實(shí)際應(yīng)用和操作水平，引導(dǎo)員工樹立規(guī)范操作意識，正確遵循操作流程，確保信息系統(tǒng)運(yùn)行安全。

　　（四）夯實(shí)基礎(chǔ)，加強(qiáng)防范，確保計算機(jī)信息系統(tǒng)安全

　　一是加強(qiáng)基礎(chǔ)設(shè)施建設(shè)。計算機(jī)房、配電室等計算機(jī)系統(tǒng)的重要基礎(chǔ)設(shè)施為要害部位，應(yīng)嚴(yán)格管理，配備防盜、防火、防水、防雷、防鼠等設(shè)備，安裝電視監(jiān)控系統(tǒng)，建立達(dá)標(biāo)的計算機(jī)安全運(yùn)行環(huán)境。

　　二是加強(qiáng)信息安全監(jiān)督檢查。系統(tǒng)管理員要制定嚴(yán)格的機(jī)房管理制度，建立局域網(wǎng)監(jiān)控記錄，對計算機(jī)操作人員的操作行為進(jìn)行記錄，及時發(fā)現(xiàn)和阻止異常操作。對各部門所屬計算機(jī)實(shí)行季度檢查和抽查制度，及時發(fā)現(xiàn)和消除信息安全隱患。

　　三是提高技術(shù)防范手段。加強(qiáng)身份管理、訪問管理、威脅管理，通過網(wǎng)絡(luò)防火墻、內(nèi)外網(wǎng)物理隔離、網(wǎng)絡(luò)實(shí)時監(jiān)控來檢測異常行為入侵，防止黑客攻擊。采取身份驗(yàn)證、及時更換賬號密碼等技術(shù)手段，嚴(yán)格權(quán)限操作管理，控制崗位權(quán)限，規(guī)范信息傳輸通道；及時更新防護(hù)軟件，加大安全運(yùn)行檢測，嚴(yán)防病毒攻擊；實(shí)時備份重要數(shù)據(jù)信息，預(yù)防災(zāi)難恢復(fù)，實(shí)時提高防范技術(shù)，捕捉安全漏洞，消除安全隱患。

　　計算機(jī)安全防護(hù)是一項系統(tǒng)的工作，牽涉到技術(shù)、法律、管理等方方面面，需要我們齊心協(xié)力全面加強(qiáng)計算機(jī)信息安全管理，實(shí)時、準(zhǔn)確、全面掌握本單位計算機(jī)信息系統(tǒng)的運(yùn)營狀態(tài)，并通過有效的制度管理和技術(shù)防范，真正保障信息的安全傳遞。