今年初,中央網絡安全和信息化領導小組成立,將網絡安全和信息化提到了前所未有的高度。這意味著我國網絡安全與信息化管理體制機制正在發(fā)生深刻的變化,這個新框架不僅預示我國新的信息化戰(zhàn)略和網絡強國戰(zhàn)略被提上議事日程,而且也預示我國在信息技術和網絡技術的競爭上將有新的突破。

  在環(huán)保領域,網絡與信息系統(tǒng)是開展環(huán)境保護工作的重要技術支撐。近年來,我國環(huán)境信息化建設快速發(fā)展,信息系統(tǒng)安全基礎設施和安全監(jiān)管手段建設取得明顯成效,網絡與信息系統(tǒng)安全能力建設持續(xù)提升。

  但同時也存在很多問題。當前我國生態(tài)環(huán)境形勢嚴峻,打好環(huán)境保護攻堅戰(zhàn)工作頭緒繁多、任務艱巨,構建環(huán)境信息化支撐體系掣肘因素多,信息安全工作仍然不同程度地存在安全責任不夠明確、制度建設不夠完善、標準體系尚不健全、日常運維水平不高、缺乏統(tǒng)一的規(guī)劃領導、等級保護工作滯后、安全專業(yè)技術人才和經費投入不足等急需解決的現(xiàn)實問題。

  習近平總書記在中央網絡安全和信息化領導小組第一次會議上指出,沒有網絡安全就沒有國家安全,沒有信息化就沒有現(xiàn)代化。由此可見,系統(tǒng)安全穩(wěn)定運行關系到國家安全、社會穩(wěn)定和公眾利益,建設安全穩(wěn)定的環(huán)境保護行業(yè)網絡和信息系統(tǒng)勢在必行。

  大力增強網絡與信息安全責任意識

  雨果曾經說過,思想就是力量。同樣,建立網絡與信息安全體系的第一步便是要增強網絡與信息安全的意識,深化各部門對網絡與信息安全工作重要性、緊迫性認識,從而加強對網絡與信息安全工作的組織領導。各機構在推進環(huán)境信息化建設中,應當堅持一手抓信息化發(fā)展,一手抓網絡與信息安全保障工作。為了強化意識,相關機構應建立完善網絡與信息安全管理責任制,將責任落實到人,把信息安全工作納入年度績效考核體系。

  嚴格落實信息安全等級保護制度

  目前,網絡安全等級參差不齊,這成為環(huán)境網絡安全極大的隱患,尤其近些年環(huán)境問題已成為敏感問題,落實網絡信息安全等級保護制度尤為重要。

  相關機構應按照國家重要信息系統(tǒng)等級保護相關規(guī)定,科學確定網絡與信息系統(tǒng)安全保護等級,落實好安全管理責任和防護要求,對網絡與信息系統(tǒng)進行風險評估,確定安全保護等級。根據對照信息安全測評機構對重要信息系統(tǒng)的測評反饋情況,嚴格實施限期整改。新建網絡與信息系統(tǒng)嚴格工作程序,立項前,要實施風險評估并確定安全保護等級,報同級等級保護主管部門審查;正式運行前,必須進行安全測評,達到安全保護等級方可運行;投入運行后,按照等級保護要求,定期進行安全評估。只有每個環(huán)節(jié)都把好關,才能確保環(huán)境網絡安全,從而推動環(huán)保工作有條不紊地開展。

  定期開展信息安全檢查

  網絡安全問題的出現(xiàn)往往是分秒之間的事情,所以對信息安全日常的定期檢查尤為重要,可以防患于未然。

  環(huán)保行業(yè)的網站機構應依據已確立的技術法規(guī)、標準與制度,定期對本單位開展網絡與信息安全檢查工作,善于綜合運用信息化平臺和檢測工具,開展深度安全檢查,確保檢查取得實效。檢查重點可以圍繞信息安全管理、技術防護、應急工作、安全教育培訓、安全問題整改等方面,分析安全威脅與風險,評估安全防護水平,查找突出問題和薄弱環(huán)節(jié),確保信息安全落到實處。一旦發(fā)現(xiàn)問題和隱患,要剖析原因、明確責任、限期整改。

  加快推進相關體系建設

  為什么網絡信息安全強調這么多,還會有不安全因素存在?一方面是技術問題,各機構首先應當加強技術保障體系建設。按照國家密碼管理相關規(guī)定,合理運用密碼技術和產品,規(guī)范以身份認證、授權管理、跟蹤審計等為主要內容的網絡信任體系建設。內部應當加強密鑰管控,嚴格網絡安全配置管理。

  另一方面則是制度體系不完善、不健全。制度是形成長效機制的關鍵,各機構應開展信息安全制度標準體系建設,統(tǒng)籌規(guī)劃、突出重點,制定完善相關標準規(guī)范,不斷推進信息安全制度化建設管理。比如建立健全安全事件應急處置、安全事件報告、安全考核與獎懲、安全工作人員與資金保障、安全教育培訓與演練、保障落實安全管理責任等制度。

  除此之外,為進一步保障網絡信息安全,各機構還應統(tǒng)籌信息系統(tǒng)災難備份體系建設,重視應急備份和災難恢復工作,提高基礎信息網絡與重要信息系統(tǒng)抗毀性、容災性。充分利用現(xiàn)有信息基礎設施和網絡資源,實現(xiàn)資源共享、互為備份。

  規(guī)范信息安全日常運行維護管理

  網絡安全的頂層設計、制度管理都要落實到具體的工作中,所以規(guī)范日常網絡安全運行非常必要。比如,新增應用系統(tǒng)在接入環(huán)境保護電子政務系統(tǒng)或業(yè)務專網前,系統(tǒng)研發(fā)單位必須在身份鑒別、訪問控制和安全審計等方面同步開發(fā)安全功能;對應用系統(tǒng)安全管理制度、使用管理、系統(tǒng)維修與報廢、備份與恢復、軟件安裝管理等方面也都應有詳細的規(guī)定和要求。

  加強人才隊伍建設和安全教育培訓

  人才是根本,重視和加強人才建設是有效保障網絡信息安全的前提。各機構應重視和加強網絡與信息安全人才建設,盡可能選拔素質高、技能強、懂管理的人才從事信息安全工作。加大網絡信息安全管理和技術人才的培養(yǎng)力度,做好崗前培訓和定期培訓工作。不僅在專業(yè)人才方面有所要求,各機構還應加強對全體員工網絡與信息安全教育,采用多種形式、手段普及網絡與信息安全常識和基本技能,廣泛宣傳網絡信息安全知識,強化信息安全意識。

  作者單位系環(huán)境保護部辦公廳信息辦、環(huán)境保護部信息中心

責任編輯:admin