今年初,中央网络安全和信息化领导小组成立,将网络安全和信息化提到了前所未有的高度。这意味着我国网络安全与信息化管理体制机制正在发生深刻的变化,这个新框架不仅预示我国新的信息化战略和网络强国战略被提上议事日程,而且也预示我国在信息技术和网络技术的竞争上将有新的突破。
在环保领域,网络与信息系统是开展环境保护工作的重要技术支撑。近年来,我国环境信息化建设快速发展,信息系统安全基础设施和安全监管手段建设取得明显成效,网络与信息系统安全能力建设持续提升。
但同时也存在很多问题。当前我国生态环境形势严峻,打好环境保护攻坚战工作头绪繁多、任务艰巨,构建环境信息化支撑体系掣肘因素多,信息安全工作仍然不同程度地存在安全责任不够明确、制度建设不够完善、标准体系尚不健全、日常运维水平不高、缺乏统一的规划领导、等级保护工作滞后、安全专业技术人才和经费投入不足等急需解决的现实问题。
习近平总书记在中央网络安全和信息化领导小组第一次会议上指出,没有网络安全就没有国家安全,没有信息化就没有现代化。由此可见,系统安全稳定运行关系到国家安全、社会稳定和公众利益,建设安全稳定的环境保护行业网络和信息系统势在必行。
大力增强网络与信息安全责任意识
雨果曾经说过,思想就是力量。同样,建立网络与信息安全体系的第一步便是要增强网络与信息安全的意识,深化各部门对网络与信息安全工作重要性、紧迫性认识,从而加强对网络与信息安全工作的组织领导。各机构在推进环境信息化建设中,应当坚持一手抓信息化发展,一手抓网络与信息安全保障工作。为了强化意识,相关机构应建立完善网络与信息安全管理责任制,将责任落实到人,把信息安全工作纳入年度绩效考核体系。
严格落实信息安全等级保护制度
目前,网络安全等级参差不齐,这成为环境网络安全极大的隐患,尤其近些年环境问题已成为敏感问题,落实网络信息安全等级保护制度尤为重要。
相关机构应按照国家重要信息系统等级保护相关规定,科学确定网络与信息系统安全保护等级,落实好安全管理责任和防护要求,对网络与信息系统进行风险评估,确定安全保护等级。根据对照信息安全测评机构对重要信息系统的测评反馈情况,严格实施限期整改。新建网络与信息系统严格工作程序,立项前,要实施风险评估并确定安全保护等级,报同级等级保护主管部门审查;正式运行前,必须进行安全测评,达到安全保护等级方可运行;投入运行后,按照等级保护要求,定期进行安全评估。只有每个环节都把好关,才能确保环境网络安全,从而推动环保工作有条不紊地开展。
定期开展信息安全检查
网络安全问题的出现往往是分秒之间的事情,所以对信息安全日常的定期检查尤为重要,可以防患于未然。
环保行业的网站机构应依据已确立的技术法规、标准与制度,定期对本单位开展网络与信息安全检查工作,善于综合运用信息化平台和检测工具,开展深度安全检查,确保检查取得实效。检查重点可以围绕信息安全管理、技术防护、应急工作、安全教育培训、安全问题整改等方面,分析安全威胁与风险,评估安全防护水平,查找突出问题和薄弱环节,确保信息安全落到实处。一旦发现问题和隐患,要剖析原因、明确责任、限期整改。
加快推进相关体系建设
为什么网络信息安全强调这么多,还会有不安全因素存在?一方面是技术问题,各机构首先应当加强技术保障体系建设。按照国家密码管理相关规定,合理运用密码技术和产品,规范以身份认证、授权管理、跟踪审计等为主要内容的网络信任体系建设。内部应当加强密钥管控,严格网络安全配置管理。
另一方面则是制度体系不完善、不健全。制度是形成长效机制的关键,各机构应开展信息安全制度标准体系建设,统筹规划、突出重点,制定完善相关标准规范,不断推进信息安全制度化建设管理。比如建立健全安全事件应急处置、安全事件报告、安全考核与奖惩、安全工作人员与资金保障、安全教育培训与演练、保障落实安全管理责任等制度。
除此之外,为进一步保障网络信息安全,各机构还应统筹信息系统灾难备份体系建设,重视应急备份和灾难恢复工作,提高基础信息网络与重要信息系统抗毁性、容灾性。充分利用现有信息基础设施和网络资源,实现资源共享、互为备份。
规范信息安全日常运行维护管理
网络安全的顶层设计、制度管理都要落实到具体的工作中,所以规范日常网络安全运行非常必要。比如,新增应用系统在接入环境保护电子政务系统或业务专网前,系统研发单位必须在身份鉴别、访问控制和安全审计等方面同步开发安全功能;对应用系统安全管理制度、使用管理、系统维修与报废、备份与恢复、软件安装管理等方面也都应有详细的规定和要求。
加强人才队伍建设和安全教育培训
人才是根本,重视和加强人才建设是有效保障网络信息安全的前提。各机构应重视和加强网络与信息安全人才建设,尽可能选拔素质高、技能强、懂管理的人才从事信息安全工作。加大网络信息安全管理和技术人才的培养力度,做好岗前培训和定期培训工作。不仅在专业人才方面有所要求,各机构还应加强对全体员工网络与信息安全教育,采用多种形式、手段普及网络与信息安全常识和基本技能,广泛宣传网络信息安全知识,强化信息安全意识。
作者单位系环境保护部办公厅信息办、环境保护部信息中心
