◆唐文伟

事业单位网络安全防护与管理措施研究

◆唐文伟

（辽宁省信息中心 辽宁 110032）

在信息化时代，网络安全对事业单位有重要的意义。我国事业单位总体存在缺乏应有的网络安全意识，完善的网络安全管理制度，必要的网络安全教育，有效应对黑客攻击的手段，高素质网络安全管理人才，这些问题的好坏直接影响事业单位网络安全防护水平。本文根据我国事业单位网络安全防护问题，有针对性地提出对策建议，希望会对事业单位提升网络安全防护能力提供帮助。

事业单位；网络安全防护；信息化时代

随着信息化技术的广泛推广和深度应用，我国事业单位也不可避免的逐步提升了办公的信息化水平。事业单位是承担各类政府服务事项的组织，对我国经济社会发展具有重要的现实意义。当前，在信息化技术飞速发展的大背景下，我国各类单位大多都在深入实施信息化改革，事业单位各项职能大都需要基于网络完成，或需要网络技术的支持。计算机网络技术的推广使用极大地提升了事业单位的工作效率，但与此同时，事业单位网络安全防护与管理逐渐成为需要重点关注的事项。

1 事业单位网络安全防护现状

（1）缺乏应有的网络安全防控意识。与企业网络安全防护相比，事业单位网络安全防护有明显不同。企业信息资源，如专利信息、渠道信息、价格信息、成本信息等大多具有相当价值且与信息持有者具有较大利益相关性，而事业单位职工与信息的利益相关度相对较低，主观上存在事业单位职工安全意识不强的问题。甚至部分事业单位员工在使用个人电脑时注重个人隐私和财产保护，但在使用单位电脑时则放松了警惕。如在浏览网页时缺乏必要的网络安全防护，登录信息系统密码过于简单，多个网站使用同一组用户名和密码，没有经过保密审查和病毒查杀的移动存储设备随意在计算机上使用。

（2）缺乏完善的网络安全管理制度。按照上级管理机关要求，事业单位往往都建立了相应的网络安全管理制度，但认真分析发现，大部分事业单位网络安全管理制度形式大于内容，存在缺乏实施细则，缺乏责任主体，应用适用度不高，管理制度不完善，应对措施落后等问题，不完善的网络安全管理制度也是引发事业单位网络安全事故的重要原因。

（3）缺乏必要的网络安全教育。事业单位对工作人员信息化教育工作落实的并不到位，缺乏整体规划，很多安全防护措施还仅仅停留在纸面上，没有通过完善的教育体系变成职工平时约定俗成的习惯。事业单位网络安全教育缺乏整体规划，大多数事业单位职工缺乏必要的网络安全防控知识。事业单位缺乏必要的规范，员工在使用计算机网络时没有相应的权限和安全等级限制。

（4）缺乏有效的应对黑客攻击的手段。当前社会已经进入大数据时代，事业单位在工作的过程中也会与其他单位和个人通过网络产生频繁交互，进而产生大量的信息数据。但由于硬件和软件投入不足，部分计算机网络信息系统存在一定的漏洞，有黑客入侵的危险，病毒和木马也可能会经由系统漏洞窃取、窜改、删除事业单位信息数据，甚至对硬件造成损害。

（5）缺乏高素质网络安全管理人才。事业单位承担类政府职能，员工主要按照工作职能配置，再加上近年来各地都在深入实施事业单位改革，认真贯彻落实减员增效方针，事业单位很少配置高素质的网络安全管理人才，且缺乏必要的培训、讲座机会帮助员工提升网络安全管理能力。

2 事业单位网络安全防护重点

面对新的信息化技术和海量的信息数据交互需求，为切实提升事业单位网络安全防护能力，提升事业单位履职能力，需要重点做好以下网络安全防护工作。

（1）实施信息网络加密。事业单位存储、调用和处理大量企事业经营和民众个人信息，需要通过网络加密技术切实保护这些信息的安全性。常见的网络加密技术有节点加密、端点加密和链条加密等方式，每种方式均有其独特优势，事业单位可根据业务情况和网络环境要求，有针对性地选择加密方式。

（2）严格控制上网行为。对上网行为进行严格控制可以有效降低网络危害，保证信息资源安全。具体来说需要对网络访问权限进行明确和限制，对信息资源进行分级，不同等级职工赋予不同的访问权限，越重要的信息资源访问权限相对较高，访问人数相对较少；访问信息资源库时，除用户名和密码外，还需要在电脑中插入物理密钥，从而有效提升信息资源的网络安全性。对网络资源访问信息，如访问人、时间、内容、权限等进行记录并不容如何人修改，设置网络服务器紧急关闭保护措施，做到全流程留痕，避免非法人员的恶意访问。

（3）有效实施病毒防护。病毒防护是维护网络安全的重要方式，也是网络安全防护的基础，随着网络技术的快速发展，网络病毒种类更加多样、传播更加快速、对信息安全的危害性也逐渐增大，这对事业单位病毒防护工作提出了新的要求。面对新型病毒防护任务，事业单位应切实加强对病毒防护的重视程度，提升计算机病毒查杀频率，切实维护网络安全，有效保护信息资源。

（4）完善文件安全管理。文件是信息的主要载体，事业单位文件不仅记录着各事项的进展情况，还记录着企业和民众的个人信息，应妥善加以保护。应对文件访问进行控制，定期审查访问日志，如发现非法访问应及时预警，并按既定方案予以应对。应完善文件的安全防护系统，既要保证文件的安全共享，还应保证信息的安全、可靠。此外，还应对重要文件进行及时备份，防止因文件丢失、损坏使事业单位工作受到不利影响。

3 事业单位提升网络安全防护和管理水平的建议

（1）树立良好的网络安全意识。事业单位应加强对员工的网络安全教育，通过具体案例让员工了解自身不规范的操作行为可能会引发的网络安全事故，教育员工养成良好的安全操作、管理习惯，有效避免事业单位数据信息被窜改、盗取问题。通过网络安全软件，自动识别并拦截垃圾邮件、病毒网站链接，防止病毒入侵现象。制定网络安全防护准则，定期对业务系统、数据信息进行安全监测，查找安全隐患和网络安全漏洞，有针对性地进行安全防护或添加补丁，保护数据信息安全。

（2）建立严格的网络安全管理制度。为有效提升计算机信息安全，降低数据信息安全隐患，应建立覆盖事业单位各部门、各业务，严格的网络安全管理制度。在事业单位方面，应根据业务类型和信息数据现实情况制定相应的网络安全管理制度，将网络安全管理落到实处。进一步完善信息安全管理系统，邀请专业人员对数据信息安全防护措施进行定期升级。在员工方面，除要求员工在使用网络期间设置较为烦琐的密码，不浏览或分享与工作不相关的不健康网站外，还应严格落实信息保密制度，不得将单位内部信息数据泄露。

（3）加强数据安全监管。应基于信息技术手段对事业单位数据安全状况进行全面、全时监管，及时发现并评估系统入侵现象，通过数据统计、数据分析和风险识别材料实时评估数据信息隐患，提升数据信息安全使用，保证事业单位业务系统的稳定性和可靠性。近年来，网络防入侵技术在实践中越来越成熟，对保护网络安全的作用也越来越重要。该项技术能够在信息系统正常运行的过程中判定是否存在滥用、盗用的情况，及时报警并阻止非法侵入行为。因此，应充分借助先进的入侵检测技术，检测分析事业单位信息数据是否存在被入侵和窜改的风险，并适时实施数据安全管理维护工作，从根本上加强数据安全监管。

（4）加大对软件和硬件设施的投入力度。硬件和软件水平的提升是加强事业单位网络安全防护和管理的基础，也是服务于事业单位网络安全防护和管理的重要途径。随着信息技术的发展，事业单位网络管理对软件和硬件设施的要求显著提升，如新的软件运行速度更快、功能更加强大、功能更加完善、防护能力更高，而新的软件则需要性能更高硬件设施作为基础。因此，为应对新的网络安全防护任务，事业单位应进一步加强对软件和硬件设施的资金投入力度，及时购买新的软件，配置新的硬件设施。

（5）加强网络安全管理人才的选拔任用培养。网络是服务人类生产和生活的，而网络管理的主体依然是人，网络安全管理人才始终是事业单位提升网络安全水平的核心。专业的网络安全管理人员能够依据专业知识对出现的网络安全问题进行分析和判断，能够有效降低网络安全事故对整体工作的影响程度，因此，事业单位未来应进一步加强网络安全管理人才的选拔任用和培养。在岗位设置时应至少设置一个网络安全管理岗位；提供培训和进修机会，重视网络安全管理人才的成长。紧紧依靠内部和外部力量，加强对事业单位员工的专业培训，提升员工网络安全防范意识，提升网络安全应对能力，进而提升事业单位整体网络安全管理能力。

[1]童瀛，姚焕章，周宇.大数据背景下网络信息安全技术体系分析[J].网络安全技术与应用，2021（05）：67-68.

[2]赵扬.政府机关网络安全维护及解决方案思考[J].网络安全技术与应用，2021（05）：122-123.

[3]李珍兰.优化人才培养方案，推动网络信息安全专业快速发展[J].现代职业教育，2021（20）：222-223.

[4]鹿鸣.数据加密技术应用在计算机网络信息安全中的应用[J].电子测试，2021（09）：80-81.