Cómo llevar a cabo la construcción del sistema de seguridad para el sistema de información de la unidad.

Dong Zhenguo

La construcción de seguridad de la información es una parte indispensable de la construcción del gobierno electrónico. Los sistemas de información del gobierno electrónico transportan una gran cantidad de datos e información relacionados con la seguridad política nacional, la seguridad económica, la seguridad de la defensa nacional y la estabilidad social de la red y la seguridad de la información no solo están relacionados con el desarrollo saludable del gobierno electrónico, sino que también se han convertido; una parte importante del sistema de seguridad nacional. Es imposible realizar un verdadero gobierno electrónico sin una garantía de seguridad del sistema de información del gobierno electrónico.

En primer lugar, fortalecer la conciencia sobre la seguridad y otorgar gran importancia a la seguridad de la información es un requisito previo para garantizar el funcionamiento seguro de los sistemas de información de la red gubernamental.

Actualmente, la mayoría de los sistemas de información de gobierno electrónico utilizan sistemas operativos y protocolos de red abiertos, que tienen riesgos de seguridad inherentes. Los ataques a la red, las intrusiones de piratas informáticos, la proliferación de virus, las fallas del sistema, los desastres naturales, el robo de redes y las operaciones ilegales por parte de personas internas plantean grandes amenazas a la seguridad del gobierno electrónico. Por tanto, la seguridad de la información es una tarea a largo plazo relacionada con la situación general de la economía nacional y la informatización social.

Es necesario implementar concienzudamente el espíritu de “centrarse en la construcción del gobierno electrónico y la seguridad de las redes y la información” y los requisitos generales del documento No. 27 de la Oficina Central [2003], y comprender plenamente la importancia de Fortalecer la importancia y urgencia de la construcción del sistema de seguridad de la información, otorgando gran importancia al trabajo de seguridad de la red y la información. Este es un requisito previo para la seguridad de la información. Los líderes primero deben prestar atención a la "alta atención"; sólo cuando los líderes presten atención se podrá incluir el trabajo de seguridad de la información en la agenda y ocupar una posición importante, y muchos de los problemas que enfrenta el trabajo de seguridad de la información podrán resolverse de manera oportuna. En segundo lugar, al fortalecer la popularización y educación de los conocimientos sobre seguridad de redes, especialmente la capacitación en conocimientos de seguridad de redes para cuadros a nivel de condado o superior, fortalecer enérgicamente la conciencia sobre seguridad y confidencialidad de los funcionarios públicos, de modo que la publicidad y la educación sobre seguridad de la información de redes no dejen muertos. fines y crear condiciones para el funcionamiento seguro de los sistemas de información de la red.

2. Fortalecer la construcción del sistema legal y establecer normas institucionales sólidas son bases importantes para la seguridad de la información.

Para garantizar la seguridad de la información de la red gubernamental, debemos fortalecer la construcción de sistemas legales y estandarización de seguridad de la información, y seguir estrictamente las reglas, regulaciones y estándares de trabajo. Como dice el refrán, no hay reglas sin reglas, especialmente cuando se trata de seguridad de la información. Si podemos persistir en establecer sistemas y estándares legales, mejorar los sistemas y normas e implementarlos bien, minimizaremos los factores y errores inseguros y llevaremos el trabajo de seguridad de la información del gobierno a un nuevo nivel.

Por lo tanto, primero debemos seguir estrictamente las leyes y regulaciones existentes para regular el comportamiento de la red y mantener el orden de la red y, al mismo tiempo, establecer y mejorar gradualmente el sistema legal para la seguridad de la información. Fortalecer la construcción de la estandarización de la seguridad de la información, formular rápidamente los estándares técnicos y de seguridad de la información que se necesitan con urgencia y formar un sistema de estándares de seguridad de la información con características chinas que esté conectado con los estándares internacionales.

En segundo lugar, debemos establecer y mejorar diversas reglas, regulaciones y estándares de trabajo diario. De acuerdo con las nuevas situaciones y los nuevos problemas que enfrenta la seguridad de la red y la información, debemos conectarnos estrechamente con el trabajo real de seguridad de la información de la unidad, adherirnos al principio de "bloquear, reparar y usar" y revisar, mejorar y construir rápidamente. nuevas reglas de trabajo y procedimientos operativos de seguridad de la información, mejoran efectivamente la naturaleza científica, la utilidad y la operatividad del sistema, de modo que el trabajo de seguridad de la información tenga evidencia y reglas a seguir.

En tercer lugar, debemos prestar atención a la implementación de normas y reglamentos de seguridad. Una vez que un sistema está implementado, no se puede dejar en el estante. El incumplimiento del sistema es una causa importante de errores laborales y riesgos para la seguridad. Muchos factores inseguros y vulnerabilidades laborales son causados ​​por el incumplimiento de los procedimientos. Por lo tanto, es necesario organizar a los trabajadores de la información para que estudien repetidamente los sistemas y normas relevantes para que puedan familiarizarse y dominar los contenidos básicos de cada sistema, comprender las reglas y métodos del trabajo de seguridad de la información y utilizar conscientemente el sistema para controlarse. y estandarizar su trabajo.

En cuarto lugar, establecer y mejorar el mecanismo de supervisión, inspección e incentivos para la implementación del sistema. Una vez establecidos los procedimientos de trabajo, las reglas y regulaciones, se deben seguir e implementar para implementar cada artículo y párrafo de las reglas y regulaciones. La implementación del sistema depende principalmente de la conciencia, pero se requiere una supervisión e inspección estrictas. Es necesario establecer un mecanismo de incentivo para el trabajo de seguridad de la información a través de la supervisión e inspección, integrar estrechamente el trabajo de seguridad de la información con evaluaciones anuales y el trabajo de "luchar por la excelencia" para alentar el avance y estimular el progreso para garantizar que se implementen todos los sistemas de trabajo de seguridad de la información. .

Todas las localidades y departamentos deben realizar un autoexamen y una autocorrección sobre la implementación de sus propias regiones y sistemas de vez en cuando, y resolver los problemas lo antes posible si se encuentran problemas.

3. Establecer un sistema organizativo de seguridad de la información e implementar un sistema de responsabilidad de gestión de la seguridad son las claves para hacer un buen trabajo en la seguridad de la información gubernamental.

Las encuestas muestran que alrededor del 80% de los problemas reales de seguridad de la red son causados ​​por problemas de gestión. Por lo tanto, es muy importante establecer una agencia de gestión de la seguridad de la información, fortalecer la coordinación organizacional, aprovechar plenamente su papel en la planificación general, la gestión científica, el macrocontrol y la toma de decisiones, fortalecer la gestión de la seguridad de la información y formar una seguridad de la información integral. sistema organizativo de gestión.

Por un lado, es necesario establecer y mejorar progresivamente el sistema organizativo de seguridad de la información. Este sistema debe incluir un grupo líder de trabajo de confidencialidad establecido por varios departamentos en varios lugares; un grupo de coordinación de seguridad de la información y la red gubernamental al que asisten jefes de departamento y un grupo de expertos en consultoría de seguridad compuesto por expertos en seguridad nacionales y extranjeros; Según las necesidades de construcción y aplicación, también se pueden establecer agencias ejecutivas de gestión de seguridad de la información correspondientes (como el "Centro de seguridad gubernamental") para que sean responsables de la seguridad y confidencialidad de todo el sistema de información gubernamental, incluida la prestación de servicios relacionados.

Por otro lado, sobre la base de mejorar el sistema organizacional de seguridad de la información, debemos implementar efectivamente el sistema de responsabilidad de gestión de seguridad. Está claro que los líderes administrativos (o compañeros líderes a cargo) de todos los niveles y departamentos son los primeros responsables del trabajo de seguridad de la información; los jefes de departamentos técnicos o líderes de proyectos son las personas directamente responsables de la seguridad de la información y la gestión de los administradores y de la red; operadores se fortalece. Utilizar personal de gestión eficaz e implementar la gestión de roles A y B para puestos clave. Los administradores de red y los operadores confidenciales deben firmar acuerdos de confidencialidad, aclarar las responsabilidades de confidencialidad e implementar un sistema de empleo basado en certificados. Es necesario cultivar un grupo de talentos integrales con experiencia en gestión de seguridad de la información y ocuparlos en puestos clave para garantizar la seguridad de la información gubernamental.

En cuarto lugar, centrarse en los resultados reales y manejar correctamente las "cinco relaciones principales" de la seguridad de la información son las mejores opciones para garantizar los beneficios de la inversión en seguridad de la información.

En la construcción de asuntos de gobierno electrónico, la inversión en seguridad de la información a menudo implica una gran cantidad de fondos. Todas las localidades y departamentos deben integrar estrechamente sus propias condiciones reales, manejar y comprender correctamente las "cinco relaciones principales" relacionadas con la seguridad de la información y maximizar los beneficios sociales de los fondos limitados.

1. La relación entre desarrollo y seguridad debe manejarse correctamente. El desarrollo y la seguridad son las relaciones más básicas e importantes en la seguridad de la información, y de ellas se derivan otras relaciones. El desarrollo y la seguridad están dialécticamente unidos y se refuerzan mutuamente. El desarrollo es el objetivo y la seguridad es la garantía. Si la relación entre ambos se maneja adecuadamente, se garantizará la seguridad y se promoverá el desarrollo; si no se maneja bien, la seguridad restringirá y contendrá el desarrollo; Manejar correctamente la relación entre desarrollo y seguridad significa acelerar el desarrollo y garantizar la seguridad. En concreto, significa garantizar la seguridad y al mismo tiempo acelerar el desarrollo; acelerar el desarrollo garantizando al mismo tiempo la seguridad. Aquí debemos prestar atención a superar dos tendencias: en primer lugar, el énfasis excesivo en el desarrollo y el descuido de la seguridad, en segundo lugar, la búsqueda de una seguridad absoluta restringe el desarrollo; Para ello, debemos adherirnos al desarrollo del gobierno electrónico y a la seguridad de la información en la red. En el proceso de construcción y desarrollo del gobierno electrónico, es necesario fortalecer continuamente la gestión de la seguridad, mejorar las medidas de seguridad y, al mismo tiempo, garantizar la seguridad de manera efectiva, bajo la premisa de una seguridad adecuada y básica, cultivar las necesidades comerciales y aumentar el trabajo; y acelerar el desarrollo del gobierno electrónico.

2. Manejar la relación entre costos y beneficios de seguridad. La relación entre costo y beneficio proviene de la relación básica de seguridad de la información, y las dos están unificadas y complementarias. Si la relación entre costos y beneficios se maneja adecuadamente, los costos de seguridad se reducirán y los beneficios aumentarán; si no se maneja adecuadamente, los costos de seguridad aumentarán y los beneficios disminuirán; Para manejar correctamente la relación entre costos y beneficios de seguridad, debemos adherirnos a un equilibrio integral. Según los requisitos del Documento No. 27 [2003] del Comité Central del Partido Comunista de China, “Las diferentes etapas de desarrollo de la informatización y los diferentes sistemas de información tienen diferentes necesidades de seguridad. Debemos partir de la realidad, equilibrar integralmente los costos y riesgos de seguridad. optimizar la asignación de recursos de seguridad de la información y garantizar los puntos clave”. Por un lado, debemos hacer todo lo posible para reducir los costos de inversión en seguridad, por otro lado, debemos esforzarnos por mejorar el efecto real de las medidas de seguridad y garantizar la seguridad; requisitos de proyectos clave y ubicaciones clave, y hacer pleno uso de los limitados fondos de seguridad.

3. Manejar la relación entre seguridad y disfrute de la información (divulgación y confidencialidad de la información). Esta es también la relación básica derivada de la seguridad de la información. La apertura y el desarrollo requieren que se disfruten los recursos de información, e Internet proporciona las condiciones para disfrutar de la información.

Sin embargo, la divulgación de información y la protección de la información son una contradicción inevitable. Para promover la construcción de información, no sólo debemos enfatizar el disfrute de los recursos, sino también garantizar la seguridad de la información. Deberíamos basarnos en el gran sistema de gobierno electrónico, considerar la cuestión de la seguridad de la información y el intercambio de recursos en su conjunto, considerarlo dinámicamente y abordar el problema con una perspectiva de desarrollo y un punto de vista dialéctico. En esta contradicción, el disfrute actual de los recursos es el aspecto principal de la contradicción. En la actualidad, el fenómeno de la "brecha digital" y la "isla de la información" prevalece en la construcción de recursos de información en varias partes de mi país y en diversas industrias. Ante esta situación, al abordar la relación entre ambos, debemos centrarnos en los principales aspectos de la contradicción, y bajo la premisa de garantizar la seguridad nacional y respetar la privacidad personal, el foco del trabajo actual debe estar en maximizar el disfrute. de los recursos de información y eliminar la brecha digital y las islas de información, mejorar el disfrute de los recursos de información y permitir que los recursos de información del gobierno ejerzan mayores beneficios sociales.

4. Manejar la relación entre la gestión de la seguridad y la tecnología. La relación entre la gestión de la seguridad y la tecnología es también una de las relaciones básicas en el sistema de seguridad de la información. En los sistemas de seguridad de la información, la gestión de la seguridad y la tecnología de seguridad son una unidad inseparable, dos aspectos de una misma cosa. La gestión no se puede separar de la tecnología, y la tecnología no se puede separar de la gestión; ambas están estrechamente relacionadas, se penetran entre sí y se complementan. Por lo tanto, en el trabajo de seguridad de la información, debemos prestar igual atención a la gestión y la tecnología, y combinar la gestión y la tecnología, es decir, bajo la premisa de fortalecer la gestión, debemos adoptar tecnología de seguridad avanzada y fortalecer la gestión sobre la base de la mejora de la tecnología. Resolver problemas de seguridad de la información requiere medios técnicos, pero no podemos confiar únicamente en la tecnología. El proceso de informatización es en realidad el proceso de integración de personas y tecnología. Es muy importante cómo hacer que la gestión y la tecnología se complementen. En este sentido, también debemos prestar atención a prevenir y superar las dos tendencias de "énfasis en la gestión y poca tecnología" y "perspectiva puramente técnica". No sólo debemos conceder gran importancia al importante papel de la tecnología de seguridad de la información, sino también evitar caer en el círculo vicioso del tecnolismo. En teoría, no existe una tecnología absolutamente segura; la tecnología es importante, pero no se puede ignorar la gestión. Aunque el dicho "tres puntos de tecnología y siete puntos de gestión" no es necesariamente exacto, ilustra la importancia de la gestión de la seguridad desde otra perspectiva. Por lo tanto, debemos estar orientados a los negocios, implementar estrategias de seguridad desde una perspectiva global, adoptar tecnologías avanzadas, fortalecer la gestión de la seguridad, integrar estrechamente el uso de medios técnicos de seguridad con el fortalecimiento de la gestión diaria y la mejora de los sistemas y mecanismos, e insistir en centrarnos en el desarrollo. de medios técnicos de seguridad Centrarse en el establecimiento y mejora de reglas y regulaciones de seguridad para mejorar la seguridad y confiabilidad de los sistemas de información de la red gubernamental.

5. Manejar la relación entre la respuesta a emergencias y establecer un mecanismo a largo plazo para el trabajo de seguridad de la información. Para garantizar la "estabilidad a largo plazo" de las redes y sistemas de información gubernamentales, debemos establecer un mecanismo de seguridad eficaz y a largo plazo. Sin embargo, los problemas de seguridad de la información en el proceso de informatización son generalizados y repentinos, y debemos prestar atención y dar importancia al manejo de emergencias. Una vez que un incidente de ciberseguridad y seguridad de la información afecta los intereses nacionales, debemos poder tomar medidas inmediatas y efectivas para controlar el desarrollo de la crisis y minimizar las pérdidas.

Para este fin, primero debemos establecer y mejorar el sistema de monitoreo de seguridad de la información, detectar y abordar emergencias con prontitud, mejorar la capacidad de prevenir ataques a la red, intrusiones de virus y robo de redes, prevenir la propagación de información dañina. y fortalecer el control de las redes gubernamentales y el seguimiento, gestión y protección de los sistemas de información. En segundo lugar, se debe prestar atención a la respuesta a emergencias de seguridad de la información, y se debe establecer y mejorar un mecanismo de coordinación de gestión de emergencias, un mecanismo de comando y envío y un sistema de notificación de seguridad de la información sólidos. Es necesario formular y mejorar los planes de respuesta a emergencias de seguridad de la información, fortalecer la construcción de equipos de servicios de apoyo a emergencias de seguridad de la información y mejorar las capacidades de respuesta a emergencias de seguridad de la información.