浅谈基层检察院网络信息安全问题

乾县检察院研究室

近年来，检察机关逐步加大信息化建设力度，各地基层检察院以网络为基础、广泛运用计算机及多媒体技术作为办公办案的手段，促进了检察机关执法规范化、队伍专业化、管理科学化和保障现代化建设水平，提高了法律监督能力。同时，大量的网络信息安全问题，给检察机关实施社会管理、维护国家安全和利益带来了新的挑战。因此，基层检察院要积极贯彻落实《中华人民共和国网络安全法》和《全国人民代表大会常务委员会关于加强网络安全信息保护的决定》，开展法律宣传教育，参与制定配套规范性文件，强化关键信息基础设施和落实网络安全等级保护制度，查处侵犯公民个人信息犯罪工作，确保检察机关网络信息安全。

一、检察机关信息化建设的初步成果。

为了加强检察信息化建设，提高检察院规范化水平，国家采取了一系列强有力的措施，先后推行了统一的综合信息平台、安全增强电子邮件系统等办公软件、高清电视电话视频会议系统、同步录音录像系统、检察机关电子印章系统等等。2013年，检察机关统一业务应用系统上线，实现了网上办案，这是一个联接高检院、省级检察院、市级检察院和区县级检察院全国四级检察机关的纵向贯通、横向集成、资源共享的执法办案统一平台。各级检察机关已实现公文的网上起草、呈批、修改、流转、归档，收文网上审阅、签批、传阅，逐步取消纸质文件流转；各种信息发布、情况反映、活动安排、会议通知、文件传达、理论调研、检察动态全部在网上进行。网上办案的实现对检察机关每个办案环节设置明确的流程指引和预警功能，对办案流程进行统一的规范化设计，对重要环节实行节点控制，使得案件从受理到办结全程网上运行，程序公开透明，便于强化监督制约，实现了对案件的全程动态监督与制约，提高了案件质量和办案水平，加大了诉讼监督的力度。我们利用信息技术，可以不断提高执法水平，形成网络化办案模式、规范执法行为、提高执法效率，并实现部门、上下级、政法机关之间案件信息资源的共享，使资源利用最大化，减少二次录入带来的大量重复工作和数据差错，提高办公效率和办案质量。

二、检察机关网络信息安全存在的问题。

网络的快速发展同样带来了安全问题，检察机关信息化建设日益广泛、逐步完善，但信息安全的建设明显滞后。很多涉及敏感的信息和保密信息极易被不法人员恶意攻击。检察机关同样面临着严重的网络安全问题。当前基层检察机关网络信息安全存在的问题有如下几点：

（一）经费紧张，基础设施不完备。网络信息安全包括两方面：即物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护，免于破坏、丢失等。逻辑安全包括信息完整性、保密性和可用性：完整性指信息不会被非法授权修改及信息保持一致性等；保密性指高级别信息仅在授权情况下流向低级别的客体与主体；可用性指合法用户的正常请求能及时、正确、安全地得到服务或回应。为了保证信息安全，有关部门也规定了软硬件的配备标准，可在实际工作中有的地方由于经费紧张等原因仅仅购置了系统运行所必需的设备，还缺乏相应的防护配套设施。

1、将台式微机作为服务器使用，台式微机在一些性能上无法与服务器相比，也不能进行随机备份，从而留下安全隐患。

2、有的内部网与互联网没有真正实现物理隔离，有的用户就是通过互换网线的方式连接局域网和互联网或者通过修改默认网关、首选DNS服务器地址的方式与另外计算机共同享有互联网资源，容易造成个别计算机受到病毒感染或者攻击，进而造成更为严重的破坏，如计算机病毒的传播蔓延等等。

3、缺少备份服务器。如果硬盘出现故障或者数据遭到破坏，都将造成无法挽回的损失。

4、有的机房没有达到安全标准，如防盗、防静电、防高温等。

5、硬件更新换代迟缓，导致事故频发。任何设备都有寿命，并且事故发生偶然性强，出现问题往往会造成意想不到的损失。

（二）人才匮乏，应用管理不到位。由于多方面原因，检察系统缺少大量的专业安全技术人员，许多地方的网络管理员都是 “半路出家”，没有经过比较系统、专业的计算机网络知识学习，对一些常见的网络故障还可以应付，而对网络安全知识却知之甚少，有的甚至一窍不通，这种安全技术人员的现状制约了网络信息安全建设的全面展开。同时信息化建设对检察人员的要求相对较高，而在检察队伍中缺乏相应的人才，存在诸多应用管理方面的问题，检察干警缺乏相应的运用操作软硬件设备的能力。检察干警年龄、文化水平差距较大，信息化应用水平参差不齐，有的干警根本不懂汉字输入，缺乏最基本的操作能力，对网上办公、办案根本无从谈起；检察业务人员之前接受的教育中几乎没有信息技术方面的知识，信息化的运用都是依赖于后期自学和短期培训；新招录的专业信息技术人员对于检察业务认识理解相对肤浅。因此，办案人不会操作计算机，而专业技术人员又不懂办案，缺乏检察业务与信息化建设相结合的复合型人才。还有的单位聘用临时工具体管理信息工作，临时工的不稳定性势必造成网络管理衔接等方面的问题。因此，全体检察人员信息化应用管理平均水平较低，警惕性低。而安全系统总是在最薄弱的环节遭到攻击，即便有很好的安全管理软件，有强度很高的加密算法，软件安全设置过于简单，或者用户不使用，不设密码，也无济于事。

（三）缺乏严格的管理制度，网络运行存有安全隐患。

检察系统专线网建成后，相应规范的操作运行机制还不十分健全，很多规章制度还不成熟，没有严格安全管理机制，缺乏整体安全方案，还没有可以借鉴的经验，机房、网络管理的无序化造成了安全隐患，一旦出现问题，造成的损失将是无可估量的。有的地方对网络信息安全还仅停留在查防病毒的层次，对防止外部“黑客”侵入和内部网络信息安全泄漏工作重视和管理不够；有的杀毒软件与网络运行冲突，如开启杀毒软件实时监控时网络操作平台的部分功能就不能实现，影响正常办公；断网、停电和电信故障等非正常因素所导致的骤停对计算机的损伤非常大，严重的导致系统损坏，也有造成数据流失的隐患；信息系统运行过程中变动频繁，相应系统的“补丁”不断出现，不同应用系统、不同管理软件之间切换，造成计算机运行速度减慢，严重的造成电脑死机，影响正常工作；另外U盘传毒、无线网卡的使用，进一步增加了不安全因素。

三、基层检察机关网络信息安全存在问题的原因

（一）思想观念陈旧，安全意识淡薄。目前很多检察干警还没有真正认识到网络安全对现有的检察信息系统的重要性，有的甚至将网络信息安全建设工作简单地当作安装杀毒软件。他们仅仅满足于简单的计算机操作，没有认识到信息网络在给我们的工作带来巨大方便的同时，也严重威胁着我们数据信息的安全，没有把网络信息安全当作一件至关重要的工作来抓，导致网络信息安全建设进程的迟缓，仅仅停留在简单应用、维护的水平上，从根本上制约了信息化建设的步伐。有的检察人员网络知识掌握很少，经常是在没有任何防范措施的前提下，随便把电脑接入网络，信息化建设始终存有潜在的危险。U盘带毒传播也是典型案例，资料在计算机广域网和局域网之间切换时，电脑资料从一台计算机转移到另一台计算机时，都极易发生病毒传播；有的检察人员对自己使用的计算机不设密码或者不懂得怎样设置密码或者选用拙劣的口令；有的检察人员没有修改综合信息平台的用户密码而一直用的是初始密码；有的领导同志虽然明白安全是大问题，但总报有侥幸心理，不会出现什么问题，或者认为原来无网络时一样办公办案，网上办公办案只不过是形式问题多此一举，网络运行状况如何对检察工作影响不大，对网络运行的软硬件配置舍不得投资，总是应付了事；有的领导甚至错误地认为，网络安全投资只有投入却不见直观效果。因此，对安全领域的投入和管理远远小于安全防范的要求，还没有把安全问题当作一件大事来抓紧抓好。

（二）基层检察院普遍存在“重业务轻服务”的思想。

1、重办案、重经济效益的现象还很普遍，这也是衡量一个单位工作政绩的习惯性指标。有的单位把办案当作硬任务，反贪、渎检的力量配备很强，而把信息化建设当作一项软任务，在招录人员时往往只注重招录具备法律专业或已通过司法考试的人才，没有把招录信息化人才放在重要位置。在设备购置中也只注重办案用车等办案装备的投资，因为在行政装备方面投资能够见到直观明显的效果。而在网络安全建设方面好象是隐形投资，不能立马见到效果或者几年见不到实际效果，至使某些领导在网络安全投资方面往往是能拖则拖，应付了事。另外，网络管理人员的政治、经济待遇偏低，并且工作繁杂、枯燥无味，从表面上看没有什么轰轰烈烈的业绩，不容易受到领导的重视，干好了无功、干不好有过，使得他们不安心本质工作，跳槽现象严重，这也是造成人才匮乏的原因之一。

2、信息化应用不够深入。由于种种原因，当前许多基层院信息化应用还停留在下发通知、传阅公文、收发邮件、信息发布等方面。而网上办公办案应用较少，且与实际办公办案相分离，两者之间相互独立。同时网上办公、网上办案在检察系统内部并非实际工作的必经途径，打印公文、法律文书以及讨论案件、领导签发并不一定通过网络进行，网上办公、网上办案并不是必不可少的，甚至有些人认为网上办公网上办案就是多此一举，给人们增加了无谓的工作量，存有很大的抵触情绪。法律文书的流转还是依靠纸质文件流转，进行的只不过是重复工作，网上办公办案的实际效果还没有真正凸显出来。这也是信息化建设迟缓，没有引起某些领导高度重视的原因所在。 

3、重业务培训，轻信息化培训。信息化建设的最终目的是应用，需要全体检察人员信息化应用水平的普遍提高，而安全则是信息化建设的保障。然而有许多同志认为网络信息安全是信息技术人员的事，与己无关。而对检察人员培训的内容也多是应用方面的培训，没有涉及安全方面的培训。对于信息技术人员的培训也多是网络管理方面的培训，也很少涉及安全方机的培训。从而形成了检察人员不注重网络信息安全，而网络管理人员又不懂得具体安全措施的尴尬局面。 

四、加强基层检察机关信息化安全应采取的措施 

由于网络安全是一个系统工程，只有将人和各种安全技术结合在一起，才能形成一个高效、通用、安全的网络系统。 

（一）转变观念 增强安全忧患意识。检察系统信息化建设刚刚起步，仍处于探索阶段，许多部门和个人的安全忧患意识还尚未形成，对计算机网络安全技术还未能给与足够的重视。对于这种情况，仅仅依靠信息部门的努力还不够，也要有领导和其他部门来配合，让业务部门和应用人员从思想上认识到网络安全的重要性，然后才能在实际工作中处处注意安全防范，对涉密的信息，处理时真正做到“如临深渊，如履薄冰”。建设安全的信息系统，必须有较多的人力和物力的投入，这就迫切需要检察人员转变现有的工作方式，确立“检察信息、安全至上”的观念。安全忧患意识加强了，全体人员形成共识，为检察信息系统的安全建设创造一个良好的环境，这样开展工作才能取得良好的效果，才能确保检察信息万无一失。 

（二）加大投入，抓好安全体系建设。硬件安全是信息安全的基石，硬件是计算机运行的基础和最根本的保证，没有硬件，也就没有信息系统；软件安全是信息安全的保证，软件是计算机应用的基础和核心，没有软件，信息系统将无法运行。为此要按照高检院制定的“统一规划、统一技术标准、统一规范、统一应用软件、统一管理”的建设原则，积极筹措资金，对网络进行统一有效的的安全、维护管理，购置足够的软硬件安全产品，建立可靠有效的数据存储和备份机制。根据当前的网络状况、硬件设备和系统应用等情况，当务之急是分层数据集中存储、备份和恢复，对涉密的重要数据和资料完全进行备份，并将备份所用的存储设备单独放置。有了完整的数据备份，在系统遭到攻击或出现故障时才能保证不泄密、不失密，才能迅速恢复系统，才能正常使用网络开展工作。 

（三）严格管理，建立安全防范机制。技术是信息安全体系的一部分, 是辅助实现信息安全的手段。在管理人员不经过系统培训,没有指导其应用的情况下, 信息系统配备的各种安全措施并没有多大价值。人是信息安全系统的使用者,是信息安全中最活跃的因素。网络信息安全涉及到每位用户，同时网络安全的威胁也来自人对网络的使用，因此要从网络安全的角度入手实施对人的管理。领导同志必须首先认识到网络安全的重要性，唯有领导重视了，干警才会普遍重视。在此基础上，健全完善涉密计算机及移动存储介质使用管理、信息发布等规定，严格执行信息安全制度，对信息系统的账户、口令、软件补丁、密码设备等定期进行清理检查，及时更新和升级信息系统，坚决杜绝弱口令、弱密码，确保信息安全；网络管理员要通过部署防火墙、使用正版系统软件、部署违规上互联网监控软件、病毒防杀系统、网络管理系统、建设微软产品补丁分发升级服务系统等措施随时掌握网络安全的最新动态，实时监控网络上的用户行为，保障网络设备自身和网上信息的安全，并对可能存在的网络威胁有一定的预见能力和采取相应的应对措施，同时对已经发生的网络破坏行为在最短的时间内做出响应，堵塞安全漏洞，杜绝系统安全隐患，有效防范安全风险。 

（四）引进培训人才，提高安全防范水平。随着科教兴国战略的不断落实，国民素质不断提高，相应的法律与信息技术复合型人才也将会不断涌现，检察机关要抓住机会不遗余力地引进人才。一个专业网络管理人员的职责是随时对网络进行维护，防止病毒、黑客程序以及各种恶意的入侵，处理系统中出现的问题，保障局域网的正常运作及信息安全，工作量十分庞大。引进专业的技术人才，首要要保证质量，其次要保证数量。网管人员必须具备很强的专业素质，并能及时掌握信息安全的最新技术。同时要重视对网络信息安全人才的培养，真正落实“网络安全，以人为本”的原则，定期派他们到外地学习、交流，不断充实自己，提高自身的业务水平、保密观念和责任心，使网络管理人员熟练通过计算机网络对信息进行有效的安全管理，保证网络信息安全。此外，要提高网络管理人员的经济政治待遇，为他们创造一个良好的工作、学习环境，使他们安心工作，防止人才流失。 

（五）加强安全体系建设，确保网络信息安全。以全国检察机关信息化建设发展纲要为指引，在推进软件应用的同时，重视安全体系建设，做到建设、应用、安全和管理并重。合理规划内网用户权限，制定网络安全策略，建立文件服务器和数据备份系统，安装防病毒软件和防火墙，有效使用局域网资源，保障数据安全，提高网络运行的安全性。综合运用网络安全技术，如防火墙、网络入侵检测、防病毒网关、漏洞扫描系统、运用数据加密技术等。任何一项安全技术都有它的局限性和时效性，只有综合运用各种安全技术，才能最大限度地保证网络信息安全，保证信息化建设深入健康地开展下去。 

（六）维护网络信息安全，坚持“五个强化”。　

　   1、强化组织领导，形成信息安全保护合力。成立以检察长为组长，分管副检察长为副组长，各部门负责人为成员的信息化工作领导小组，形成检察长决策，分管检察长指挥，部门负责人主导的网络信息安全工作格局。与保密委员会合署办公，协同开展网络建设、运行管理、信息安全保护等工作，协调解决工作中存在的问题。
　  2、强化学习教育，树立安全意识。选派人员参加省市院的保密、信息化建设等业务培训，吸收新媒体时代信息安全新知识。积极组织干警学习《中华人民共和国网络安全法》、《全国人民代表大会常务委员会关于加强网络安全信息保护的决定》等保密法规和《网络安全管理规定》，采取集中学和分组学形式，边学习边讨论，引导教育干警牢固树立网络信息安全责任意识，改变传统工作模式，提升应对和处置信息安全威胁的能力和水平。
　　3、强化制度完善，提高防护能力。在完成涉密信息网络建设基础上，制定出台系列网络安全管理新规定，进一步明确人员职责、保密义务和禁止事项。对涉密计算机集中登记、统一编号、采集设备关键参数，实行“谁使用、谁管理、谁负责”制度，对密级文件严格实行专人专办，将安全责任落实到人。对检察内、外网运行过程做出统一规定，禁止U盘等移动存储设备在内外网互用，促进规范使用，高效管理。
　　4、强化安全督查，及时堵塞漏洞。采取固定检查和随机抽查相结合方式，基层检察院保密委定期对办案工作要害部门、重点岗位人员涉密安全情况进行督导检查，不定期对干警办公办案电脑、移动存储介质使用情况进行抽查，发现隐患问题及时整改。每年对全院网络运维情况进行专项检查，筑牢技术防线，及时堵塞安全漏洞，确保网络安全工作无隐患、无死角，严防失泄密现象发生。
　 5、强化技术支持，保护本源数据安全。在安全方面，除去对于整个制度的管理，对于人员的管理，对于技术也应该给予高度重视。因为人员的失误或多或少可以从技术手段加以弥补，最大化的减少安全事故的出现，维护信息安全，当然选择合适、可靠的安全技术作为支撑也是关键。数据加密技术可靠防护。加密技术直接作用于数据本身，从数据根源开始加密，一旦加密，那么文件便以密文的形式存在。因此，即使计算机系统遭受来自各个方面的多样攻击导致文件被不法分子窃取了，文件中的内容一样也不能为他们所见，因为文件打开是乱码，加密依然为文件起着保护作用。况且如今解密也变得越发的困难，因此数据一旦经过加密技术的保护就可以保证数据的隐秘性。
　 随着加密技术的发展与升级，如今的多模加密技术可以说是保证数据安全的最好的保障。多模加密采用对称加密和非对称算法相结合的技术，在确保防护质量的同时，让用户在不同的工作环境下自主的选择不同的加密模式，灵活且有针对性。除了多种模式的加密，该技术对加密文件的格式没有限制，只要是计算机中存在的格式就可以加密，同时加了密的每一个文件都拥有独一无二的密钥，安全性有了最大的提高。    

总之，充分利用现代信息技术，努力提高检察机关办公办案效率已成为检察工作发展的客观趋势，也是加强基层院建设的重要途径和有力保障。通过信息化的建设和应用，将各项规章制度和程序规范等通过信息化加以流程化，克服了执法活动的随意性，从而加强检察机关执法规范化建设，同时可以规范和约束检察人员的执法行为，提升检察队伍的整体素质和执法水平。在信息化建设中要做到信息网络与安全保密系统同步建设，同步应用，不能顾此失彼。高度重视网络安全建设，及时处理网络运行过程中的技术故障和软件应用问题，为建设专业化检察队伍提供技术支持，确保网络系统和应用软件的正常运行。（供稿：乾县检察院李宝华）