【原】嚴防死守促進網(wǎng)絡信息安全與保密工作

01一線 2019-08-30

展開全文

文|01一線

信息安全與保密工作有著某種聯(lián)系，可算是一個系統(tǒng)工程。它涉及到人、機、法、環(huán)與監(jiān)視各個層面。比如，存在內(nèi)部與個人信息泄漏與口實不嚴、網(wǎng)絡信息系統(tǒng)遭受攻擊、系統(tǒng)設計與運維法制缺失或方法不妥、社會網(wǎng)絡環(huán)境惡劣以及監(jiān)管不嚴等種種風險。只有做到嚴防死守，規(guī)避風險，方能做好網(wǎng)絡信息安全與保密工作。

近期，我廠信息管理部門對企業(yè)網(wǎng)絡信息安全及計算機信息系統(tǒng)保密工作開展了一次全面自查，對包括涉及的單位人員、內(nèi)部信息安全體系建設和管理，涉密設施的投入、使用和管理，數(shù)字復印機和具有打印、復印、傳真等多種功能的一體機使用狀況等進行了調(diào)查、清理和研究，形成了一份自查情況報告。

一、基本情況

1、對涉及的單位及人員管理存在漏洞。為此，加強了這方面的管理。一是明確了歸口管理部門。由信息管理部門負責企業(yè)統(tǒng)一實施信息網(wǎng)絡系統(tǒng)建設與運維，履行綜合協(xié)調(diào)、監(jiān)督管理職能。嚴防死守做到“兩個全覆蓋”（覆蓋所有業(yè)務部門和所有信息系統(tǒng)），并提供組織和技術保障措施。二是加強了對廠信息網(wǎng)絡系統(tǒng)的保密工作的領導，嚴格了保密紀律。通過日常的廠務、科務和車間班前保密教育和培訓，強化了保密工作責任意識，時刻謹記保密工作無小事，切實克服了麻痹大意思想。要求對于來歷不明的圖片、網(wǎng)站做到不點擊，不訪問，不亂傳。三是按項目合同或協(xié)議對外部涉及IT項目（包括運維）的相關單位人員、按內(nèi)部責任及績效考核對內(nèi)部從業(yè)人員簽訂了安全責任狀和保密承諾函。今年以來，進一步明確各個信息系統(tǒng)業(yè)務主管部門和運維單位（部門）具體職責，落實了網(wǎng)絡安全責任制度，實施了《井岡山卷煙廠網(wǎng)絡安全責任書》和《井岡山卷煙廠數(shù)據(jù)保密承諾函》簽訂制度，包括與各部門主要負責人以及信息系統(tǒng)主要對接人員簽訂了網(wǎng)絡安全責任書和數(shù)據(jù)保密承諾函兩份文件。四是對外部合作方項目及后期工作實行了供方服務評估評價機制，對內(nèi)部工作落實了網(wǎng)絡安全責任和考核評價辦法。

2、源頭疏于防患。為此，加強了源頭管理。一是堅持了嚴格依法建網(wǎng)、管網(wǎng)和用網(wǎng)原則，同時，把問題整改作為網(wǎng)絡安全工作的重要內(nèi)容，提升全員網(wǎng)絡安全責任意識。二是梳理轉(zhuǎn)達了項目合同中涉及計算機信息系統(tǒng)保密工作要求執(zhí)行情況。三是開展了網(wǎng)絡安全設備與軟件的合理部署，嚴格實施生產(chǎn)、監(jiān)控、辦公分區(qū)分域的安全策略，嚴明了網(wǎng)絡邊界防護設備、人員權(quán)限、遠程作業(yè)等環(huán)節(jié)的管理。四是加強了網(wǎng)絡流量監(jiān)控，對于異常情況，及時阻斷攻擊，并根據(jù)實際情況更新相應策略。五是開展了網(wǎng)絡源頭治理工作。建立IP臺賬，健全了設備、信息系統(tǒng)檔案。六是完善了網(wǎng)絡信息系統(tǒng)現(xiàn)場應急處置方案，并開展了培訓與演練等工作。從源頭把好安全關，從網(wǎng)絡監(jiān)管把好運維關，從而構(gòu)建起來了法制網(wǎng)絡、健康網(wǎng)絡與和諧網(wǎng)絡，初步實現(xiàn)了所有業(yè)務部門和所有信息系統(tǒng)健康相處，和諧與共的良好網(wǎng)絡環(huán)境。

3、未構(gòu)成管理體系和考核制度。為此，完善了管理體系和考核制度，在各個文件中明確了具體責任和要求。真正做到行有規(guī)章、做有依據(jù)、查有準則，能夠有效發(fā)揮網(wǎng)信安全和保密工作“保安全，促發(fā)展”的重要作用。一是圍繞本單位質(zhì)量、職業(yè)健康安全、環(huán)境、安全標準化、對標、績效等綜合管理體系建設與管理工作要求，通過對網(wǎng)絡與信息系統(tǒng)安全檢查，梳理和完善了網(wǎng)絡信息安全管理體系構(gòu)建，編制與修訂實施了包括企業(yè)網(wǎng)絡、中心機房和各信息系統(tǒng)安全及其應急處置預案管理等幾個層面近40個制度規(guī)范。二是企業(yè)制訂了《保密工作管理辦法》，明確了保密工作的組織機構(gòu)及其職責、涉密載體管理、涉密人員管理、涉密計算機及網(wǎng)絡管理等控制要求，確保保密工作更加制度化、規(guī)范化、科學化。三是以強化信息系統(tǒng)等級保護工作為契機，除完善涉密設施外，將系統(tǒng)數(shù)據(jù)與保密管理納入相關信息系統(tǒng)管理標準。例如，《卷煙生產(chǎn)經(jīng)營決策管理系統(tǒng)管理辦法》5.8條款著重規(guī)定了數(shù)據(jù)保密管理。其中，5.8.1統(tǒng)計數(shù)據(jù)管理遵循“統(tǒng)一管理、分級負責、授權(quán)訪問”的原則。系統(tǒng)管理人員按照數(shù)據(jù)的管理和使用權(quán)限，做好數(shù)據(jù)的授權(quán)訪問和備案工作，嚴禁向行業(yè)外傳播發(fā)布。5.8.2信息管理科系統(tǒng)管理員適時檢查磁盤陣列方式完好及其數(shù)據(jù)庫備份情況。對系統(tǒng)進行軟件升級、硬件維護時，必須對系統(tǒng)數(shù)據(jù)進行全備份。5.8.3信息管理科系統(tǒng)管理員每星期對數(shù)據(jù)庫運行日志進行分析整理，結(jié)合系統(tǒng)實際運行情況，對數(shù)據(jù)庫進行優(yōu)化配置與調(diào)整。對數(shù)據(jù)庫報錯信息等異常，應及時與系統(tǒng)服務商聯(lián)系，盡快解決處理。5.8.4信息管理科系統(tǒng)管理員應做好系統(tǒng)的數(shù)據(jù)保密管理工作。包括：系統(tǒng)所有數(shù)據(jù)的使用均應按照用戶的使用權(quán)限進行分配，使用權(quán)限依據(jù)數(shù)據(jù)產(chǎn)生單位部門、崗位等綜合信息嚴格劃分、制定；系統(tǒng)管理人員禁止泄漏系統(tǒng)的運行參數(shù)、配置數(shù)據(jù)、用戶信息；系統(tǒng)的所有操作人員嚴禁為非業(yè)務人員查詢相關數(shù)據(jù)，嚴防越權(quán)限泄露各類數(shù)據(jù)；系統(tǒng)的所有操作人員未經(jīng)相關權(quán)限批準不得擅自更改、刪除任何系統(tǒng)以往數(shù)據(jù)；嚴禁擅自拷貝、外借系統(tǒng)信息數(shù)據(jù)，系統(tǒng)設備因故障需外送維修時，應當刪除系統(tǒng)設備存儲的數(shù)據(jù)；系統(tǒng)運行過程中產(chǎn)生的單據(jù)、報表等各種書面信息應妥善保管，禁止私自或越權(quán)復制和外借，廢棄或過期的運行文檔應參照檔案管理有關規(guī)定進行銷毀處理等。四是建立健全了報告機制、應急處置機制和檢查機制，明確了報告職責要求程序、遠程作業(yè)控制管理程序、“先封堵再研判”的應急措施與聯(lián)動處置程序和檢查程序，嚴格執(zhí)行制度規(guī)范，并將執(zhí)行和檢查結(jié)果納入績效考核。五是初步建立和實施了《井岡山卷煙廠網(wǎng)絡安全及信息化考核細則》，明確了各部門年度、月度網(wǎng)絡安全及信息化工作考核評價方法，將網(wǎng)絡安全工作及各信息系統(tǒng)運維納入年度綜合考核，以考核評價傳導壓力，確保網(wǎng)信安全和信息化工作貫徹到位、執(zhí)行到位。

4、存在制度規(guī)范執(zhí)行不到位。為此，以檢查務求實效，立查立改。一是建立了立查立改工作長效機制，嚴明執(zhí)行力檢查與考核制度，把控各環(huán)節(jié)管理，堵塞制度漏洞。通過日常檢查和系統(tǒng)演練評價，提高了大家的網(wǎng)絡安全執(zhí)行力意識和網(wǎng)絡安全防護能力及應急處置能力，發(fā)揮了網(wǎng)絡安全及信息化工作評價考核機制的作用。信息主管部門日常加強了對防火墻、上網(wǎng)行為管理和入侵檢測等網(wǎng)絡安全設備及系統(tǒng)巡回查看監(jiān)測，并根據(jù)需求，更新相應策略。二是信息管理科6月開展了“弱口令”、“掃漏洞”網(wǎng)絡安全檢查活動，排查弱口令和未授權(quán)訪問等突出安全隱患，對未按要求設置密碼的終端機立即進行整改，并將密碼修改為字母、數(shù)字、特殊符號等3種以上組合且不少于8位。三是從安全保密和系統(tǒng)發(fā)揮的成效入手，著眼系統(tǒng)性、全局性、整體性等方面對異地技改新廠實施的項目，包括后來實施的批次管理項目，對數(shù)字化工廠建設建管用方面所做工作進行回顧、自查和全面梳理、評估。4月10日形成了自查報告。進一步梳理和探索MES、自動化控制系統(tǒng)的應用提升思路，積累與公司數(shù)據(jù)中心對接和解決數(shù)字化工廠建設及運行中存在的重復勞動、效率低下等制約管理提升的工作環(huán)節(jié)基礎集成改善與優(yōu)化。今年上半年和六月，企業(yè)開展了數(shù)據(jù)安全防范化解風險隱患排查及相應整改工作。經(jīng)過全面排查法律風險、全面排查數(shù)據(jù)管理風險、全面排查數(shù)據(jù)泄露風險等環(huán)節(jié)的工作，驗證了我廠網(wǎng)絡設計功能，即將網(wǎng)絡區(qū)域劃分為三個不同的安全網(wǎng)，分別為生產(chǎn)網(wǎng)，監(jiān)控網(wǎng)，辦公網(wǎng)。并使用安全管理平臺、網(wǎng)絡管理平臺對安全網(wǎng)內(nèi)進行監(jiān)測預警。

二、積累的經(jīng)驗和今后的打算

我廠數(shù)字化工廠自2016年12月建成投產(chǎn)以來，積累了一定的管理經(jīng)驗，隨著下一步互聯(lián)網(wǎng)+，區(qū)塊鏈、虛擬網(wǎng)、大數(shù)據(jù)、云計算等新技術時代的到來，我們有必要積極應對，建立一套完整的工作監(jiān)控管理機制，最終解決部門自身與部門之間協(xié)同工作的效率問題，從而系統(tǒng)地推進管理工作朝著制度化、標準化和規(guī)范化的方向發(fā)展。為此，結(jié)合企業(yè)實際和系統(tǒng)特點，今后，或?qū)⑻岢鰧嵤┕Ω櫷晟埔恍┡e措。

1、根據(jù)實際需要，我廠將繼續(xù)按照重要信息系統(tǒng)等保要求，更新和完善國家局行業(yè)經(jīng)營決策管理系統(tǒng)硬件配套設施，加快工控系統(tǒng)安全設施建設。下一步還將對梳理的防范化解重大風險清單完善強化措施。

2、在我廠信息化管控系統(tǒng)平臺搭建中，一方面，同步運用了大量的自動化控制手段，包括大量的底層控制單元、數(shù)據(jù)采集單元。通過直接從一線收集實時數(shù)據(jù)，建立起冗余備份的數(shù)據(jù)庫服務器，構(gòu)建全廠數(shù)據(jù)中心。讓數(shù)據(jù)直接在企業(yè)網(wǎng)絡中高速流轉(zhuǎn)，讓數(shù)據(jù)為企業(yè)經(jīng)營決策提供服務。另一方面，我廠在各信息管控系統(tǒng)建成投入使用以后，在進行系統(tǒng)的優(yōu)化和改善工作的同時，建立并啟用了網(wǎng)絡信息管控系統(tǒng)運維管理機制，并以批次管理系統(tǒng)（PBMS）建設試點為契機，推行和完善了“1+2+2+N”運維管理模式，其中“1”是指建立《網(wǎng)絡信息系統(tǒng)運維管理辦法》，第一個“2”是指建立各信息系統(tǒng)的《運維日志》和《月度運行報告》，第二個“2”是指建立各信息系統(tǒng)的《問題管理清單》和《風險管控清單》，“N”是指全面制訂網(wǎng)絡信息系統(tǒng)操作使用的《作業(yè)指導書》，各系統(tǒng)管理嚴格按照此管理模式進行運維，將運維管理日?；晒荦R下，下一步將以實施信息化和工業(yè)化融合（即“兩化融合”）管理標準化體系夯實工廠基礎。

3、鑒于企業(yè)當前防勒索、防病毒、防篡改、合規(guī)檢查等安全能力不足，缺乏網(wǎng)絡漏洞掃描等工具的應用，有必要建立部署一套實時識別、分析、預警安全威脅的統(tǒng)一安全管理系統(tǒng)（網(wǎng)絡安全產(chǎn)品），要求集有Web、操作系統(tǒng)漏洞、配置基線掃描與資產(chǎn)內(nèi)容合規(guī)、弱密碼檢測等五大核心功能，能夠自動發(fā)現(xiàn)網(wǎng)站或服務器的網(wǎng)絡安全風險，提供多維度安全檢測服務，滿足合規(guī)要求。能夠幫助用戶實現(xiàn)威脅檢測、響應、溯源的自動化安全運營閉環(huán)，保護系統(tǒng)資產(chǎn)和本地主機并滿足監(jiān)管合規(guī)要求。另外，有必要對網(wǎng)絡和重要信息系統(tǒng)開展實質(zhì)性的安全評估工作。

2019年8月29日夜