国家重点行业业务网络应建立安全考核制度（一）

 

重点行业业务网络通常都关系着国家的安全 ,它的安全性应当尤其给予关注。国家每年也确实投入了大量的人力和物力，加强这些业务网络的安全体系建设。从建设方案来看，都强调了技术与管理并重，参考借鉴了国际上一些成熟的安全管理机制，部署了最新、最全的安全防护软硬件设备，都不错。但落到实际上，大多都是建完后管得越来越少，如何有效地开展长期安全保障，发挥已建设的安全体系应有的效能，并没有引起足够的重视。

以我到过的一个政府部门为例，该单位的建设单位也是国内比较有名的安全厂商，部署的安全设备很齐全，防火墙、入侵检测、安全审计、认证授权、漏洞扫描、主机安全管理、防病毒、补丁分发、 Web防护等，你想到的基本上都有。安全手段涵盖了网络、主机、数据、应用等多个层面，似乎网络的安全是非常有保障的。

但如果深入到网络中仔细审查一下，就会发现，没有安全管理，安全设备都是摆设。有防火墙，但是策略不仅杂乱不清晰，而且存在比较严重的漏洞，据解释可能是调试后没有及时删除；入侵检测软件安装后就从来没有使用过，从来没人去看是否有攻击告警；漏洞扫描从来没有使用过，网络有什么漏洞从来不去关系。

为什么会这样，我想有以下几个方面的原因：

首先，是我们干工作的心态问题。细想起来，这个问题不仅这里有，很多地方也都存在。我们普遍都有些急功近利，更愿意轰轰烈烈的搞建设、出成果，对不太容易出彩而且需要投入大量时间和精力的服务保障工作，没有足够的耐心。当然就目前的环境来看，搞建设比搞保障的确实更容易引起领导的关注。

其次，对安全的认识也有偏差。现在很多领导认为安全体系建设是费钱费力的工作，投入巨大，却不能像业务系统那样产生直接的效益，因此并非主动去搞建设，主要是迫于安全等级评定的压力。要更好的开展安全体系建设，就需要建立一个能让领导看得见、摸得着的东西，通过它领导们能够了解安全体系建设前后，本单位、本部门的安全状况得到了多大的改善，才能调动他们的积极性。

最后，没有奖惩机制，干好干坏一个样，不能真正将安全管理落到实处。就是要建立安全考核制度，像考核干部一样，对安全管理工作进行量化考核，充分调用他们干工作的积极性。