基层信息系统安全现状及思考.pdf

公共管理 149 w w w . g u a n l i g u a n c h a . c o m 管理观察 总第 5 2 0期 在我国大力推进信息化建设的背景下，各级政府部门、 事业单位的日常工作，无论是政务系统还是业务系统基本上 全实现了信息化，在给各单位自身及人民群众带来便利的同 时，信息系统安全问题也日益凸显。 一、基层信息系统安全问题之现状 1官方网站频频被黑，社会影响恶劣 案例一：计生局官网链接“一夜情” 2013 年 10 月 8 日，根据网友截图，在湖北省公安县计 生局网站的右侧有9排醒目的蓝色字体和4排黑色加粗字体。 最醒目的一行蓝色大字赫然写着“合肥 90 后一夜情”，下 方依次是号称为成都、天津、北京等地“一夜情”网站的链 接。点击进入后，网站中充斥着大量涉黄图片。 基层信息系统安全现状及思考 刘小曲 案例二：教育网站被篡改 黑客竟是初中生 2013 年 9 月 2 日江苏省太仓市某教育博客网站被黑客 攻击，主页被篡改为一只狼的图片，且网站内所有的管理员 均被删除。接到报警后，太仓公安网监部门会同城西派出所 展开调查，然而调查结果让民警大跌眼镜：制造这起网络黑 客攻击的竟是年仅 15 岁的初中生杨某某。 2机密信息大量泄露，犯罪风险骤增 案例一：黑客入侵医院电脑窃取“用药信息”倒卖给医代 2011 年 9 月，福建省福州市几名黑客利用医院的公用 电脑，借助黑客程序侵入医院的计算机信息系统，从而窃取 医院各个科室的医药信息，得手后高价卖给医药代表，十余 家知名医院均被盗。 程中大多数的城市会忽视文教对于生态城市建设的作用，生 态城市不仅仅是环境上的生态，生态城市的建设必须提升到 居民文化精神上的生态化，所谓文化精神上的生态化就是提 高公民在日常生活中生态城市建设的意识，做到生态城市建 设的公民化，落实到公民的日常生活中去。其中，公民文化 精神的生态化离不开宣传的作用。 必须加强城市居民的养老、 失业等保险率，进一步完善和加强保障体系建设。 参考文献： 1 宋永昌等 . 生态城市的指标体系及评价方法J城市 环境与城市生态 ,1999，12（5）：16 19 2 王如松，欧阳志云 . 天城合一：山水城建设的人类生态学 原理 J .鲍世行、 顾孟潮主编：城市学与山水城市 .北京: 中国建筑工业出版社，1994 3 陈勇，生态城市可持续发展的人居模式，重庆建筑大 学学报 ,1998,20（6）：27-32 4 沈清基，生态城市及其规划方法的探索Franco Archibugi 的生态城市和城市影响一书评价 , 城市规划汇刊 2001,132(2),76-80 5 黄肇义、杨东援 . 国内外生态城市理论研究综述 J 城市规划，2001，25 （1）：5966 6 黄光宇 “ 陈勇 , 生态城市概念及其规划设计方法研究 , 城市规划 1997(6):17-20 7 马军卫关于生态城市建设的多维度思考 J山东行 政学院，山东省经济管理干部学院学报 ，2006，(6) 8赵运林， 邹东升 城市生态学M 北京 ：科学出版社， 2005 9 戴天兴城市环境生态学 M 北京 ：中国建材工业 出版社，2002 10Register R. Eco-city Berkeley：Building Cities for A Healthy Future.CA：North Atlantic Books，1987.13 -43 作者简介： 纪晓东（1967），汉族，青岛市规划设计评审中心， 研究方向：规划编研与规划管理。 代同亮（1990），汉族，青岛大学商学院技术经济管 理研究生，研究方向：技术经济及管理。 （作者单位：1. 青岛市规划设计评审中心，山东 青 岛 266000；2. 青岛大学商学院，山东 青岛 266000） 10中黑白.indd 1492013-11-29 14:41:29 公共管理150 管理观察 2 0 1 3年 1 0月中旬出版 案例二：个人信息泛滥 源头皆为“内鬼” 2012年4月20日湖南长沙警方打掉一个名为 “中国资源部” 的信息倒卖团伙，该团伙搜集的信息量至少在 1.5 亿条以上。 掌握的大量证据显示，泄露个人信息的源头一部分来自有关部 门或企事业单位掌握的个人信息，被“内鬼”盗窃后出卖。 3系统研发组织倒闭或失控，业务面临威胁 案例一：全国最大财务软件公司小蜜蜂折翅 2004 年，深软公司曾经以“小蜜蜂”财务软件步 入中国最大的软件开发商行列，在陷入了一系列的官司后， 终于宣告破产。作为知名管理软件品牌，小蜜蜂拥有大量政 府和企业客户，这些单位因此再得不到有关技术支持服务， 业务连续性堪忧。 案例二：工程师侵入移动数据库 盗窃 380 万元充值卡 密码 2005 年，负责西藏移动等公司设备安装及维护的资深 软件工程师程某某，侵入北京移动公司的充值中心数据库， 修改充值卡原始数据并窃取充值卡密码。之后，程某某将这 些密码拿到网上销售，一共获得 380 万元的利润。 二、基层信息系统安全问题之原因分析 1信息系统安全管理制度不健全 现阶段信息技术虽已渗透到业务的各个层面，但是信息 安全管理制度却没有跟上。我们接触的很多信息系统用户部 门根本就没有建立安全管理制度，或有但不标准，缺少规范、 流程、检查，信息安全到底谁来管、管什么、怎么管、管的 目的、是否符合要求等都没有明确的说明，造成了安全最后 “管不住”的被动局面。 在保护信息系统安全方面最重要的就是要通过建立有 效的信息安全管理体系，来为信息安全奠定基础。 2信息系统软、硬件安全建设落后 大部分的信息系统软、硬件由专业厂商提供，由于投入 偏低、安全意识不强的原因，不论是设计阶段还是维护阶段 都天生存在安全问题的硬伤，必须及时弥补。例如： 程序开发不按照 “知所必需” 的原则设置层级访问规则， 随意采用未经测试的技术，允许传输未加密的隐私信息等； 不购置防火墙、入侵检测软件、杀毒软件等相应的安全 设施。 维护时，系统管理员可以访问生产数据 无软件源代码保护，软件开发企业如果消失，业务的持 续都成问题。 3信息系统用户安全意识缺乏 大部分基层单位存在着“重使用，轻安全”的现象，由 于用户安全意识的缺乏，存在很多不安全因素，如： 用户之间共享账号、密码，出问题后无法追责。 密码不定期修改或采用安全级别低的密码，密码太简单 则黑客用工具能轻易破解。 没有养成清除桌面和屏幕锁定的习惯，给外来者或内部 预谋者机会侵入系统。 安装不明来历的软件和工具，给攻击者留下后门。 随意使用、存放移动设备，容易中病毒或失窃。 三、基层信息系统安全问题之防范措施 1构建完整的信息安全管理体系 完整的信息安全管理体系是一个包含政策目标、规范的 操作流程、 职责分配及监督控制的框架。 他的关键要素如下： 管理者的重视与支持 信息安全目标与程序 组织实施（职责的分配） 监督、审核与反馈 应急处理与响应 2全面升级信息系统软、硬件，堵住安全漏洞 预防性控制永远是最好的控制，在安全问题发生之前， 全面升级信息系统软、硬件就是预防性控制。 针对性测试信息系统，记录信息系统中存在的安全漏洞 或错误，要求软件开发企业及时修改。 尽早安装专业的安全防护软件，例如最新的杀毒软件及 防火墙，才能最大限度地保护网站免遭黑客攻击。 3开展信息安全教育、培训 人的因素是最关键的因素，应当对所有用户经常性地进 行安全教育与培训，内容包括信息安全风险与控制、法律责 任、业务相关控制、信息处理设施的使用等等，以提高安全 意识与安全防范技能。 采用的教育与培训方式有： 书面的安全遵守标准 利用各种媒体在内部宣传安全问题 安全规定的强制执行 鼓励报告可疑事件 四、结语 安全不是可选项，而是必选项，起初安全问题只是信息 系统中的一个配角，今天，随着日渐壮大的互联网的广泛使 用，随着对信