谈农业农村网络安全和信息化工作问题

谈农业农村网络安全和信息化工作问题

没有网络安全就没有国家安全,没有信息化就没有现代化。要认清我们面临的形势和任务,充分认识做好网络安全和信息化工作的重要性与紧迫性,因势而谋,因势而动,顺势而为。党的十八大以来,以同志为核心的党中央高度重视互联网、发展互联网、治理互联网,推动我国网信事业取得历史性成就,走出一条中国特色治网之道。《关于网络强国论述摘编》在全国发行,网络意识形态安全风险问题值得高度重视,网络已是当前意识形态斗争的最前沿,掌握网络意识形态主导权,就是守护国家的主权和政权。

一、基本情况

(一)建立健全网络安全保障体系

为贯彻落实国家网络和信息安全相关法规和政策,云南省农业农村厅建立健全单位网络安全保障体系。明确重要信息系统的安全责任,加强对重要系统和关键基础设施的全过程监控,重要信息系统纳入重点保护范围,定期扫描安全漏洞,及时发现安全隐患并解决问题,提高安全防护能力。按照当前重要信息系统的部署特点,对系统开展渗透测试、网站云监测、互联网敏感信息探测、互联网资产扫描、内网资产测绘、定期漏洞扫描和安全检查服务等日常网络安全检查工作,形成安全检查、评估、整改、加固的安全防护体系。同时建立健全单位的应急保障能力,通过与网安部门、网络安全厂商、集成单位、安全服务机构等建立联系,对单位网络和信息安全管理工作提供应急保障建议和技术能力支撑。

(二)网络安全和信息化建设原则

农业农村信息化建设是根据农业农村厅厅机关各处室、厅属各单位提出的业务需求进行的统筹规划,主要内容包括:信息化项目规划设计、应用系统开发与测试、信息资源开发利用、软硬件基础设施建设与运行维护、网络安全和信息化技术咨询服务等,其中网络安全的建设要遵循三同步原则,即“同步规划、同步建设、同步使用”。云南省农业农村厅网络安全和信息化建设原则:统筹规划、统一标准,突出重点、分步实施,整合共享、注重绩效,加强管理、确保安全。

(三)加强培训,普及网络安全知识

乡村振兴离不开数字化,数字化发展也离不开网络安全的保驾护航,实现乡村振兴数字化转型的美好愿景,更需要铸牢网络安全的“底座”。结合“互联网+”农产品出村进城工程,推动农产品上行,助力农民脱贫致富的同时提高益农信息社持续运行能力,推动各类服务资源通过益农信息社向农村下沉,充分利用智能终端新型手段,创新推动线上线下结合的服务方式,发挥益农信息社信息采集“传感器”作用,探索信息直报机制模式。为此,云南省农业农村信息与宣传中心多次组织举办全省信息化业务培训班,加强宣传力度,普及网络安全基本知识,在将便民生活、电子商务服务带给农民的同时,将网络安全基本防护技能传递到农民手中,让数字乡村成为安全的乡村。

二、网络安全管理工作中存在的问题

(一)网络安全防御体系薄弱

在当前的信息技术时代,网络安全是动态的而不是静态的,网络空间正处于安全事件频发的时代,网络攻击与防御双方博弈越来越明显。在攻防博弈过程中,由于攻防双方能力不对等、信息不对称等原因,导致防守方大多数时候处于劣势地位。从空间上,攻击者是以点破面,防御方则需面面俱到,暴露面越广防守难度越大。而由于工作人员或供应链安全意识薄弱,很多单位都存在互联网敏感信息泄露风险,大量企业邮箱、电话、源代码、文件等信息暴露在互联网上。攻击者可以通过相关技术,利用发现的敏感信息作为攻击突破口,成功拿下多个关键目标。因此,发现并保护好暴露在互联网中的敏感信息对网络安全防御至关重要。

(二)防御黑客攻击手段单一

目前,云南省农业农村系统对计算机病毒、网络攻击的防范、控制,大部分还停留在计算机用户自我保护的初级阶段,网络安全技术措施还没有统一要求的标准。防火墙、IDS(入侵检测系统)和IPS(入侵防御系统)都只能对那些违反自定义规划或非法的请求进行拦截,对于发送到正常端口的正常请求则无能为力,Web应用是为用户提供服务的,因此HTTP服务所需的80端口是必须开放的,而一旦进入Web应用,就有可能因为Web应用本身具有的缺陷而被恶意的用户利用,而当前繁杂的基于不同技术架构的Web应用,黑客使用的Web攻击技术也在不断变化,攻击手段不断更新,单一的防护手段、单点防护措施不能满足当前层出不穷的攻击手段。

(三)信息数量萎缩严重

云南省农业农村厅网站目前共有140个州(市)、县(市、区)级农业信息网关停。一是州(市)、县(市、区)级农业信息网达不到政府网站考核要求。二是政府网站整合是目前的新要求,大量的州(市)、县(市、区)级网站关停,从客观上造成信息数量的大幅度萎缩。

(四)网络安全工作亟待加强

全省整体的农业信息网络安全防护体系薄弱、网络安全建设规划缺乏顶层设计,等保及密评等工作落实有差距,“云安全”及网络安全服务体系仍需加强。

(五)专业技术力量严重不足

全省各级农业农村网络安全和信息化专业技术力量薄弱,缺乏高层次专业技术人才,发现和解决网络安全风险问题的能力不足,难以支撑当前农业农村网络安全和信息化建设的需要,专业技术人才、专业团队力量亟待加强和引入。

三、网络安全防护的建议及措施

(一)加强网络安全及技术保障工作

健全网络安全组织机构,落实信息安全管理制度。做到人员到位,责任到人,积极主动开展信息安全自查工作,切实做好定期巡查、维护管理服务器数据备份、各类日志清理、安装操作系统补丁、服务器病毒查杀、防火墙状态监控、更改密码、运行情况汇总等工作。网络安全服务机构要配合做好定期或不定期的漏洞搜索扫描、渗透测试、风险提醒、安全加固等工作,做好重要时期的网络安全重保工作。

(二)农业农村网络安全宣传进乡村

随着网络信息技术在农业领域的扩展和深层次应用,网络安全风险也随之延伸到广大农村地区。为增强农民群体的网络安全防护意识,深入农村地区展示乡村数字化转型探索,宣传普及网络安全知识技能,提醒人们在日常生活中提高警惕,防范个人信息泄露等问题。

(三)加强网络安全和信息化队伍建设

认真抓好农业农村网络安全和信息化队伍建设,着力充实加强农业农村网络安全和信息化专业技术力量,加强信息员和专家队伍的技能培训及知识更新培训,实现采集的数据可用、可查、可视和科学高效管理,加大数据精准采集、行业监测、动态预警、建模分析、决策辅助、共用共享、综合展示力度,深化强化数据技术在农业农村生产、经营、管理等领域的应用,为农业农村经济和社会高质量发展提供坚实的数据支撑,为农民全方位提供各类服务。

(四)定期进行网络安全教育与培训

定期地对农业农村系统人员进行网络安全及信息化基础知识、日常风险防范、安全体系与安全职责分工、网络安全攻防技术等教育培训,提高整个系统的网络安全防范意识及水平。

作者:岩樱洁 单位:云南省农业农村信息与宣传中心