基层检察机关网络安全现状调研报告
基层检察机关网络安全现状调研报告
近年来,随着互联网技术的深入发展,大数据、物联网、云计算、人工智能、区块链等新技术层出不穷。各级检察机关也按照最高人民检察院的统一部署加快了检察机关信息化建设的进程,检察院网络信息系统的应用范围日益深入,科技强检带动检察工作现代化的应用效能明显提升,应用领域主要在业务系统、视频会议、数据传输、web服务、电子邮件、办公自动化等方面。因此如何在检察信息化发展大趋势下防范可能存在的安全隐患,保障网络信息的安全性、可控性、完整性、可用性,将是一个严峻的问题。
一、检察机关网络现状与存在问题。
(一)检察信息网络建设的现状
随着"科技强检"进程的逐步深入,检察机关已经在全国范围内初步形成了较为系统的信息一体化网络,按照高检院"213"工程和全国检察机关信息化建设工作"统一规划、统一技术、统一规范、统一应用软件和统一归口管理"的原则,目前十师检察机关的二级专线网络已经应用成熟,两级三院与兵团检察院的专线电话、视频会议和计算机数据传输的"三网合一"也已经实现,工作网的搭建也列入了本年度的工作计划,网络建设已经基本满足了十师检察机关的需要。
(二)网络安全现状
1.维护网络安全意识薄弱。当前我国信息技术呈现全球化发展趋势,但是非法入侵以及网络攻击、病毒等各项问题,严重影响着网络信息安全。兵团检察机关构建了技术防御措施,但是信息化技术相对而言较为简单,缺乏全面、有效的安全保护,并且未构建科学完善的网络安全保护制度,难以有效协调好信息安全管理机制。检察机关网络信息安全工作中存在任务不明,职责不清等各项问题,很多基层院只有1人兼任网络安全工作,但是网络安全是需要所有人参与才能完成的任务,中央网信办2019年和2020年网络安全宣传周的主题是"网络安全为人民、网络安全靠人民",要求打造"人人参与、人人受益"的网络安全新格局,仅靠一人对于网络安全中的薄弱环节,是难以进行有效的风险管理控制,再加之,单位工作人员的网络技术操作水平参差不齐,在信息系统使用过程中为了图方便,可能会采取不正规的操作方式,具有一定的泄密风险。
2.网络建设以及网络安全建设缺乏顶层设计。建立健全各项信息安全管理制度以及责任体系,是进行安全管理的基础,虽然检察机关目前已有许多针对网络系统信息系统方面的安全制度和建设,但是这些制度和建设方案通常都是为了某个安全问题而制定的,没有建立起一个系统的、分级、分层的能够对信息安全的各个方面都能有效约束的管理制度,对网络安全缺乏顶层设计,通常是"头疼医头,脚疼医脚"。目前统一业务系统已经是检察机关办案最重要的业务系统,同业绩考评挂钩,与所有检察人员职责息息相关,2020年年底准备升级2.0版本,与公安、法院等其他政法机关也打通了信息孤岛,开展了系统业务数据对接,但是统一业务平台在整个兵团的运行却不尽如人意,经常出现卡顿的情况,很多办案干警反馈录入一个案件需要几个小时(正常20分钟),甚至被逼到频繁的关机重启来尝试进入系统,这样既耽误工作,也影响了检察机关的形象。
3.信息安全建设经费投入匮乏。当前兵团检察机关存在网络设备与安全防护设备购置、软件升级与运维服务、人才培养等诸多问题,要想有效实现机关单位网络信息化管理必须投入一定的经费。但是将钱花在看不见的地方,很可能会感觉是花冤枉钱,逐渐淡化网络信息安全管理工作的重要性。所以,检察机关的网络信息安全仍然处于被动阶段,一旦存在漏洞,只能盲目的封堵漏洞。难以形成主动预防、积极面对的大局发展意识,也无法从本质上提高机关单位网络防护以及监测、响应与抗击能力。例如:检察内网竟然没有部署最基本的桌面杀毒防御软件,只有一个瑞星杀毒系统,但也3年没有做病毒库更新(当前版本为24.00.11.69,病毒库更新日期为2017-03-13),也没有进行漏洞补丁升级等最基本的安全工作。
4.安全防御能力不足,缺乏专业技术人员。检察机关信息化建设过程中,必须要充分重视各信息系统的有效建设,但是当前情况是过于重视信息化基础设施建设,但是却忽略了网络系统安全保护。虽然进行了信息系统规划,但是却难以充分考虑到信息安全保护措施,信息化建设与安全保护管理工作难以同时进行。根据近几年我国政府机关信息化建设的发展情况能够看出,虽然建设水平极为迅速,但是由于缺乏专业技术以及相应的管理人才队伍,所以网络安全配置以及管理操作过程中存在诸多不规范情况,兵团检察机关也存在"重开发、重应用、轻安全、轻维护"的现象,例如:信息系统中邮件系统使用率不高,平时文件传输还存在使用第三方应用以及共享方式的情况,这种情况存在信息泄露的风险;业务系统购买维护外包服务这本无可厚非,但没有一个在职人员进行系统学习,一旦外包企业或者人员变动,业务系统的维护工作移交就存在很大的问题;基层院机房建设也没有达到标准,缺乏消防、除湿除尘等相关设备。
二、解决检察机关网络安全问题的对策。
(一)加强宣传力度,提高信息安全意识
检察机关加强网络安全信息建设,必须要充分重视信息安全宣传教育,有助于提高干警的信息安全防范意识,引领干警不断的学习,提高专业水平与综合素养。根据当前我国信息安全立法工作发展情况能够看出由于处于起步阶段,无法满足新形势下信息安全工作的多样化需求。所以必须要引领干警正确认识到法律法规条例学习的重要性,能够从多方面提高信息安全防护水平,正确认识网络信息安全管理工作的重要性,贯彻落实到具体管理行为。
(二)重视组织领导,构建完善管理体系
成立以一把手为组长的信息安全领导机构,贯彻落实好工作岗位职责。实现权责利分明,确保以较少的投入实现最佳的安全防范状态。构建科学完善的网络信息安全制度,实现以预防为主,以补救为辅的发展原则,充分重视信息安全管理建设水平,投入较多的管理资金。构建符合于本单位发展的网络信息安全防范制度,构建科学完善的考核制度,能够有效检查并且通报管理制度执行情况,对于违反规定人员必须要追究相关责任,将责任贯彻落实到个人。
(三)信息化建设与信息安全保障工作同步进行
检察必须要充分结合安全评估管理工作内容,重视网络信息系统的规划与建设。实现机房安全到信息系统建设、计算机设备选型与硬件配置、应用平台与操作系统、防火墙与加密机制同步建设。既要贯彻落实好安全保护机制,也应当确保经费到位,实现安全技术的全方位防护。在此过程中,要想扭转传统的管理体系,必须要有效解决安全技术防护存在的不足之处,能够将网络应用与信息安全有效衔接,从而最大程度上的发挥网络信息安全的重要作用。
(四)形成应急预案,实现网络安全预防演练常态化
要想确保检察机关网络信息安全防御工作贯彻落实,应当积极有效的采取主动预防措施,构建应急预案,实现网络安全演练常态化。应当加强与外部部门互联网工作的有效融合,例如:应用防火墙逻辑隔离以及物理隔离方式进行数据交换,有效应用通讯控制审计以及数据记录等各项功能。内部网络应当与互联网进行物理隔离,对于网络设备以及主机中应用频率较少或者是不使用、存在一定的安全风险的服务系统必须要进行停用。网络建设与改造过程中,应当充分考虑到网络安全性能,设置较为完善的备用设备。如果局域网与广域网设备存在故障,必须及时的更换与维修。正确认识到网络安全防范演练常态化的重要意义。要确保关键主机设备与网络设备的密码,有专业人员进行保管备案,能够定期的予以更换。如果未采取加密措施,禁止使用单位计算机传递涉及业务信息。预防局域网与广域网在外路线路中存在断网导致发生危险事故或者是突发事件,有效开展网络信息安全防范演练,一旦软件系统遭到破坏,或者是病毒感染、黑客攻击等等,必须要及时启动应急预案。
(5)加强安全管理人才与专业人才队伍建设
构建高素质人才队伍是机关单位信息安全保障体系发展的重要支持。根据近几年政府部门的网络信息化发展情况能够看出,由于信息化发展水平不断提高,网络信息安全设备的投入力度也在不断加大,设备建设逐渐完善,但是却存在专业化人员配备不足等各项问题。根据这些问题,必须要培养业务娴熟、专业知识精湛、具有创新精神以及较高的技术管理水平的人才。通过打造高素质信息安全人才队伍有助于检察机关单位信息安全管理工作有效落实,实现机关单位各项工作的信息化建设。
一言以蔽之,我们可以清楚的认识到当前我国已经进入到信息化时代,计算机网络信息安全是一个复杂且又科学性的工程。检察机关要想有效确保信息安全管理工作可持续进行,必须要结合机关单位网络信息特点,设置专业性的防御措施。在此过程中加强网络信息安全的教育和宣传,提高全体干警的网络信息安全防范意识,有助于确保各项服务的严谨性与全面性。检察机关应当形成主动性的防御机制,在管理过程中增强网络安全的应急演练,提升安全意识,打造高素质的人才团队,为兵团检察工作信息化科技化发展打下坚实的基础。
XX区人民检察院
20XX年9月2日
上一篇:网络安全工作调研报告(税务)