煙草在線專稿　　隨著計算機不斷普及及信息化辦公的廣泛應用，基層業務流程不斷簡化，節省了工作時間，提高了工作效率，提升了決策管理力度。與此同時，對管理者及員工信息素質也提出了更高的要求。

　　近年來，基層縣局在上級的正確指導下，積極加強計算機信息安全管理，較好了保障的辦公業務系統的正常運行。但隨著形勢變化的發展，基層信息安全管理逐漸暴露出一些迫切需要研究解決的新情況新問題。

　　如何認識和分析這些新的情況和問題呢？西方經濟學歷有個著名的“短板理論”，也稱作“木桶理論”，指的是一只木桶能裝多少水，取決于木桶中最短的那塊木板長度，而非最長的那塊木板。同樣，基層縣局要認真分析信息安全管理的“短板”何在，找準問題癥結和薄弱環節，才能采取對策措施，有效提高計算機信息安全管理水平，提升管理層次，為突進科技創新、管理創新、卷煙上水平提供強大助力。

　　一、基層信息安全管理存在的問題

　　從當前基層計算機信息安全管理實際來看，主要存在安全文化缺位、安全管理缺陷和安全技術缺陷三塊較短的“木板”，具體表現在：

　　（一）機房基礎設施建設薄弱

　　由于受資金、技術因素的困擾，機房的設計、安裝達不到計算機安全運行環境國家規定的有關標準要求，未進行或是未通過公安消防部門對計算機房的檢查驗收。普遍存在的現象是機房鋪上防靜電地板、安裝上普通空調、放上幾瓶手動滅火器就覺得已經足夠了。缺少防電磁干擾、防電磁泄漏、機房專用空調等、后備電源等安全設施；對突發性火災、水災、地震、雷擊、鼠患等意外災害各引起的設備損壞、供電系統不穩定預見性不足、缺乏應急防范手段和措施。

　　（二）人力資源建設相對滯后

　　受歷史原因和體制原因影響，基層員工隊伍呈現人才缺乏、整體素質不高的局面。隨著行業人事制度改革的不斷深入，基層單位在員工隊伍建設上有了明顯進步，隊伍整體水平有了明顯提高。但從基層單位這一層面而言，由于編制、薪酬、晉升通道等因素制約，技術人才的引入仍不盡人意，具備計算機管理知識的專業性人才依然缺乏。

　　（三）信息安全管理制度不健全

　　當前基層單位多數都建立了一些計算機安全的規章制度，但不可能貫穿計算機管理的各個方面，特別是計算機信息技術發展中出現的新問題束手無策。存在老制度管不了新系統，現代化的信息系統缺乏強有力的先進的管理制度，存在制度老化和新制度制定不力的現象。同時，由于計算機設備和操作人員由各部門歸口管理，計算機管理人員開展工作受各部門內的制約較大，管理職能不能很好落實。從已發生的信息安全問題來看，主要問題是疏忽檢查、放松管理。內部制約機制不完善、規章制度不落實、檢查監督不嚴格使信息安全隱患無法得到及時識別、解決。

　　（四）操作不夠規范

　　一是部分員安全意識不強，缺乏防病毒的知識。隨便打開陌生郵件，未經系統管理員查毒、殺毒的情況下擅自使用盜版軟件、來歷不明軟件或從網上下載軟件；二是不按章操作現象依然比較普遍。如不對重要數據進行備份；人員調離或兼職，未按規定及時對賬號或操作口令進行刪除重設；憑個人關系相互頂崗或串崗操作，造成一人多號或多人一號現象。操作完成離去不退出登陸界面，使用口令限制用戶登錄失去意義。誤操作現象無法徹底禁止，存在操作風險。

　　二、加強基層信息安全管理的對策和建議

　　（一）堅持以人為本，樹立正確意識，培育濃厚的安全文化氛圍

　　結合實際采取有效措施促進安全文化氛圍的培育和形成，以確保計算機信息安全成為每個員工的自覺行為。

　　一是要培育科學精神。要有意識的引導員工樹立科學精神，把握科學規律，以科學的態度認真對待計算機信息安全網絡，自覺的通過科學方式維護計算機信息安全。

　　二是要樹立協作意識。保障信息安全不僅僅是哪一個部門的事情，而是隨著網絡化、信息化的深入擴展，出現跨部門、跨領域、跨專業，人員協同作戰的新趨勢和新變化。每個人都必須樹立網絡協作意識，克服單干思想，齊心協力才能確保計算機信息安全。

　　三是增強保密觀念。要引導員工繃緊安全這根弦，切實增強安全保密意識，嚴格規范操作行為，確保信息安全。

　　四是營造文化氛圍。通過會議、宣傳欄、展板、舉辦信息安全知識競賽等多種形式和渠道，加大對計算機信息安全目的、意義、作用等方面的宣傳力度及普及力度，努力營造人人知安全、個個懂安全、全員保安全的濃厚文化氛圍和環境，為確保計算機信息安全夯實基礎，創造條件。

　　（二）完善管理措施，落實崗位責任，建設有效的安全管理體系

　　要進一步落實措施，加強信息安全管理。一是完善管理體系。要成立計算機安全工作領導小組，切實發揮作用。加強領導，經常研究、分析和解決計算機安全問題；二是健全管理制度。全面清理現有的計算機信息安全制度，與信息化建設不相符的，要抓緊補充修訂完善，不斷完善要害崗位人員，計算機安全運行、計算機安全事件應急等管理制度。特別是要系統管理員責權利不對稱等情況，從制度上予以明確和支持。進一步健全計算機病毒通報、計算機信息安全季度分析報告等信息安全動態制度，使之更符合基層實際，發揮制度管人、管過程、管安全的作用；三是落實管理責任。按照計算機直接使用部門、人員的不同，細分信息安全工作職責，做到崗位清楚、職責明確、責任落實、各司其職。

　　（三）加強技術培訓，增強安全技能，提升安全防范水平

　　一是基層系統管理員要學深技術。可以通過參加上級部門舉辦的短期信息安全技術培訓，或者參加大專院校以及IT公司組織的信息技術培訓等渠道，進一步加強基層系統管理員對新知識、新技能的學習、補充和更新，改善知識結構，在牢牢把握現代信息技術發展方向和變化趨勢中提高信息安全防范技術能力。

　　二是針對各部門挑選素質相對較高人員作為信息安全協管員，通過購買書籍、編印計算機安全知識小冊子、舉辦信息安全培訓等方式，提升信息安全技術水平，以點帶面引導所在部門計算機應用水平的提高。

　　三是全員學習操作基本技術。普及計算機應用操作基礎知識，著力提高全員實際應用和操作水平，引導員工樹立規范操作意識，正確遵循操作流程，確保信息系統運行安全。

　　（四）夯實基礎，加強防范，確保計算機信息系統安全

　　一是加強基礎設施建設。計算機房、配電室等計算機系統的重要基礎設施為要害部位，應嚴格管理，配備防盜、防火、防水、防雷、防鼠等設備，安裝電視監控系統，建立達標的計算機安全運行環境。

　　二是加強信息安全監督檢查。系統管理員要制定嚴格的機房管理制度，建立局域網監控記錄，對計算機操作人員的操作行為進行記錄，及時發現和阻止異常操作。對各部門所屬計算機實行季度檢查和抽查制度，及時發現和消除信息安全隱患。

　　三是提高技術防范手段。加強身份管理、訪問管理、威脅管理，通過網絡防火墻、內外網物理隔離、網絡實時監控來檢測異常行為入侵，防止黑客攻擊。采取身份驗證、及時更換賬號密碼等技術手段，嚴格權限操作管理，控制崗位權限，規范信息傳輸通道；及時更新防護軟件，加大安全運行檢測，嚴防病毒攻擊；實時備份重要數據信息，預防災難恢復，實時提高防范技術，捕捉安全漏洞，消除安全隱患。

　　計算機安全防護是一項系統的工作，牽涉到技術、法律、管理等方方面面，需要我們齊心協力全面加強計算機信息安全管理，實時、準確、全面掌握本單位計算機信息系統的運營狀態，并通過有效的制度管理和技術防范，真正保障信息的安全傳遞。