烟草在线专稿　　随着计算机不断普及及信息化办公的广泛应用，基层业务流程不断简化，节省了工作时间，提高了工作效率，提升了决策管理力度。与此同时，对管理者及员工信息素质也提出了更高的要求。

　　近年来，基层县局在上级的正确指导下，积极加强计算机信息安全管理，较好了保障的办公业务系统的正常运行。但随着形势变化的发展，基层信息安全管理逐渐暴露出一些迫切需要研究解决的新情况新问题。

　　如何认识和分析这些新的情况和问题呢？西方经济学历有个著名的“短板理论”，也称作“木桶理论”，指的是一只木桶能装多少水，取决于木桶中最短的那块木板长度，而非最长的那块木板。同样，基层县局要认真分析信息安全管理的“短板”何在，找准问题症结和薄弱环节，才能采取对策措施，有效提高计算机信息安全管理水平，提升管理层次，为突进科技创新、管理创新、卷烟上水平提供强大助力。

　　一、基层信息安全管理存在的问题

　　从当前基层计算机信息安全管理实际来看，主要存在安全文化缺位、安全管理缺陷和安全技术缺陷三块较短的“木板”，具体表现在：

　　（一）机房基础设施建设薄弱

　　由于受资金、技术因素的困扰，机房的设计、安装达不到计算机安全运行环境国家规定的有关标准要求，未进行或是未通过公安消防部门对计算机房的检查验收。普遍存在的现象是机房铺上防静电地板、安装上普通空调、放上几瓶手动灭火器就觉得已经足够了。缺少防电磁干扰、防电磁泄漏、机房专用空调等、后备电源等安全设施；对突发性火灾、水灾、地震、雷击、鼠患等意外灾害各引起的设备损坏、供电系统不稳定预见性不足、缺乏应急防范手段和措施。

　　（二）人力资源建设相对滞后

　　受历史原因和体制原因影响，基层员工队伍呈现人才缺乏、整体素质不高的局面。随着行业人事制度改革的不断深入，基层单位在员工队伍建设上有了明显进步，队伍整体水平有了明显提高。但从基层单位这一层面而言，由于编制、薪酬、晋升通道等因素制约，技术人才的引入仍不尽人意，具备计算机管理知识的专业性人才依然缺乏。

　　（三）信息安全管理制度不健全

　　当前基层单位多数都建立了一些计算机安全的规章制度，但不可能贯穿计算机管理的各个方面，特别是计算机信息技术发展中出现的新问题束手无策。存在老制度管不了新系统，现代化的信息系统缺乏强有力的先进的管理制度，存在制度老化和新制度制定不力的现象。同时，由于计算机设备和操作人员由各部门归口管理，计算机管理人员开展工作受各部门内的制约较大，管理职能不能很好落实。从已发生的信息安全问题来看，主要问题是疏忽检查、放松管理。内部制约机制不完善、规章制度不落实、检查监督不严格使信息安全隐患无法得到及时识别、解决。

　　（四）操作不够规范

　　一是部分员安全意识不强，缺乏防病毒的知识。随便打开陌生邮件，未经系统管理员查毒、杀毒的情况下擅自使用盗版软件、来历不明软件或从网上下载软件；二是不按章操作现象依然比较普遍。如不对重要数据进行备份；人员调离或兼职，未按规定及时对账号或操作口令进行删除重设；凭个人关系相互顶岗或串岗操作，造成一人多号或多人一号现象。操作完成离去不退出登陆界面，使用口令限制用户登录失去意义。误操作现象无法彻底禁止，存在操作风险。

　　二、加强基层信息安全管理的对策和建议

　　（一）坚持以人为本，树立正确意识，培育浓厚的安全文化氛围

　　结合实际采取有效措施促进安全文化氛围的培育和形成，以确保计算机信息安全成为每个员工的自觉行为。

　　一是要培育科学精神。要有意识的引导员工树立科学精神，把握科学规律，以科学的态度认真对待计算机信息安全网络，自觉的通过科学方式维护计算机信息安全。

　　二是要树立协作意识。保障信息安全不仅仅是哪一个部门的事情，而是随着网络化、信息化的深入扩展，出现跨部门、跨领域、跨专业，人员协同作战的新趋势和新变化。每个人都必须树立网络协作意识，克服单干思想，齐心协力才能确保计算机信息安全。

　　三是增强保密观念。要引导员工绷紧安全这根弦，切实增强安全保密意识，严格规范操作行为，确保信息安全。

　　四是营造文化氛围。通过会议、宣传栏、展板、举办信息安全知识竞赛等多种形式和渠道，加大对计算机信息安全目的、意义、作用等方面的宣传力度及普及力度，努力营造人人知安全、个个懂安全、全员保安全的浓厚文化氛围和环境，为确保计算机信息安全夯实基础，创造条件。

　　（二）完善管理措施，落实岗位责任，建设有效的安全管理体系

　　要进一步落实措施，加强信息安全管理。一是完善管理体系。要成立计算机安全工作领导小组，切实发挥作用。加强领导，经常研究、分析和解决计算机安全问题；二是健全管理制度。全面清理现有的计算机信息安全制度，与信息化建设不相符的，要抓紧补充修订完善，不断完善要害岗位人员，计算机安全运行、计算机安全事件应急等管理制度。特别是要系统管理员责权利不对称等情况，从制度上予以明确和支持。进一步健全计算机病毒通报、计算机信息安全季度分析报告等信息安全动态制度，使之更符合基层实际，发挥制度管人、管过程、管安全的作用；三是落实管理责任。按照计算机直接使用部门、人员的不同，细分信息安全工作职责，做到岗位清楚、职责明确、责任落实、各司其职。

　　（三）加强技术培训，增强安全技能，提升安全防范水平

　　一是基层系统管理员要学深技术。可以通过参加上级部门举办的短期信息安全技术培训，或者参加大专院校以及IT公司组织的信息技术培训等渠道，进一步加强基层系统管理员对新知识、新技能的学习、补充和更新，改善知识结构，在牢牢把握现代信息技术发展方向和变化趋势中提高信息安全防范技术能力。

　　二是针对各部门挑选素质相对较高人员作为信息安全协管员，通过购买书籍、编印计算机安全知识小册子、举办信息安全培训等方式，提升信息安全技术水平，以点带面引导所在部门计算机应用水平的提高。

　　三是全员学习操作基本技术。普及计算机应用操作基础知识，着力提高全员实际应用和操作水平，引导员工树立规范操作意识，正确遵循操作流程，确保信息系统运行安全。

　　（四）夯实基础，加强防范，确保计算机信息系统安全

　　一是加强基础设施建设。计算机房、配电室等计算机系统的重要基础设施为要害部位，应严格管理，配备防盗、防火、防水、防雷、防鼠等设备，安装电视监控系统，建立达标的计算机安全运行环境。

　　二是加强信息安全监督检查。系统管理员要制定严格的机房管理制度，建立局域网监控记录，对计算机操作人员的操作行为进行记录，及时发现和阻止异常操作。对各部门所属计算机实行季度检查和抽查制度，及时发现和消除信息安全隐患。

　　三是提高技术防范手段。加强身份管理、访问管理、威胁管理，通过网络防火墙、内外网物理隔离、网络实时监控来检测异常行为入侵，防止黑客攻击。采取身份验证、及时更换账号密码等技术手段，严格权限操作管理，控制岗位权限，规范信息传输通道；及时更新防护软件，加大安全运行检测，严防病毒攻击；实时备份重要数据信息，预防灾难恢复，实时提高防范技术，捕捉安全漏洞，消除安全隐患。

　　计算机安全防护是一项系统的工作，牵涉到技术、法律、管理等方方面面，需要我们齐心协力全面加强计算机信息安全管理，实时、准确、全面掌握本单位计算机信息系统的运营状态，并通过有效的制度管理和技术防范，真正保障信息的安全传递。