|
文|01一線 信息安全與保密工作有著某種聯(lián)系,可算是一個系統(tǒng)工程�����。它涉及到人����、機(jī)�����、法��、環(huán)與監(jiān)視各個層面�����。比如��,存在內(nèi)部與個人信息泄漏與口實不嚴(yán)����、網(wǎng)絡(luò)信息系統(tǒng)遭受攻擊��、系統(tǒng)設(shè)計與運(yùn)維法制缺失或方法不妥�、社會網(wǎng)絡(luò)環(huán)境惡劣以及監(jiān)管不嚴(yán)等種種風(fēng)險。只有做到嚴(yán)防死守�����,規(guī)避風(fēng)險,方能做好網(wǎng)絡(luò)信息安全與保密工作����。 近期,我廠信息管理部門對企業(yè)網(wǎng)絡(luò)信息安全及計算機(jī)信息系統(tǒng)保密工作開展了一次全面自查�,對包括涉及的單位人員、內(nèi)部信息安全體系建設(shè)和管理�,涉密設(shè)施的投入、使用和管理��,數(shù)字復(fù)印機(jī)和具有打印�、復(fù)印、傳真等多種功能的一體機(jī)使用狀況等進(jìn)行了調(diào)查�、清理和研究,形成了一份自查情況報告�。 一、基本情況 1�、對涉及的單位及人員管理存在漏洞。為此�����,加強(qiáng)了這方面的管理���。一是明確了歸口管理部門��。由信息管理部門負(fù)責(zé)企業(yè)統(tǒng)一實施信息網(wǎng)絡(luò)系統(tǒng)建設(shè)與運(yùn)維���,履行綜合協(xié)調(diào)���、監(jiān)督管理職能。嚴(yán)防死守做到“兩個全覆蓋”(覆蓋所有業(yè)務(wù)部門和所有信息系統(tǒng))��,并提供組織和技術(shù)保障措施�。二是加強(qiáng)了對廠信息網(wǎng)絡(luò)系統(tǒng)的保密工作的領(lǐng)導(dǎo),嚴(yán)格了保密紀(jì)律����。通過日常的廠務(wù)、科務(wù)和車間班前保密教育和培訓(xùn)��,強(qiáng)化了保密工作責(zé)任意識�,時刻謹(jǐn)記保密工作無小事�,切實克服了麻痹大意思想。要求對于來歷不明的圖片���、網(wǎng)站做到不點擊�����,不訪問����,不亂傳。三是按項目合同或協(xié)議對外部涉及IT項目(包括運(yùn)維)的相關(guān)單位人員���、按內(nèi)部責(zé)任及績效考核對內(nèi)部從業(yè)人員簽訂了安全責(zé)任狀和保密承諾函���。今年以來,進(jìn)一步明確各個信息系統(tǒng)業(yè)務(wù)主管部門和運(yùn)維單位(部門)具體職責(zé)�,落實了網(wǎng)絡(luò)安全責(zé)任制度,實施了《井岡山卷煙廠網(wǎng)絡(luò)安全責(zé)任書》和《井岡山卷煙廠數(shù)據(jù)保密承諾函》簽訂制度���,包括與各部門主要負(fù)責(zé)人以及信息系統(tǒng)主要對接人員簽訂了網(wǎng)絡(luò)安全責(zé)任書和數(shù)據(jù)保密承諾函兩份文件�。四是對外部合作方項目及后期工作實行了供方服務(wù)評估評價機(jī)制���,對內(nèi)部工作落實了網(wǎng)絡(luò)安全責(zé)任和考核評價辦法���。 2、源頭疏于防患����。為此�����,加強(qiáng)了源頭管理���。一是堅持了嚴(yán)格依法建網(wǎng)、管網(wǎng)和用網(wǎng)原則����,同時,把問題整改作為網(wǎng)絡(luò)安全工作的重要內(nèi)容��,提升全員網(wǎng)絡(luò)安全責(zé)任意識���。二是梳理轉(zhuǎn)達(dá)了項目合同中涉及計算機(jī)信息系統(tǒng)保密工作要求執(zhí)行情況��。三是開展了網(wǎng)絡(luò)安全設(shè)備與軟件的合理部署�����,嚴(yán)格實施生產(chǎn)、監(jiān)控����、辦公分區(qū)分域的安全策略�,嚴(yán)明了網(wǎng)絡(luò)邊界防護(hù)設(shè)備��、人員權(quán)限���、遠(yuǎn)程作業(yè)等環(huán)節(jié)的管理����。四是加強(qiáng)了網(wǎng)絡(luò)流量監(jiān)控�,對于異常情況,及時阻斷攻擊���,并根據(jù)實際情況更新相應(yīng)策略���。五是開展了網(wǎng)絡(luò)源頭治理工作。建立IP臺賬�,健全了設(shè)備、信息系統(tǒng)檔案���。六是完善了網(wǎng)絡(luò)信息系統(tǒng)現(xiàn)場應(yīng)急處置方案�,并開展了培訓(xùn)與演練等工作�。從源頭把好安全關(guān)�����,從網(wǎng)絡(luò)監(jiān)管把好運(yùn)維關(guān)��,從而構(gòu)建起來了法制網(wǎng)絡(luò)�、健康網(wǎng)絡(luò)與和諧網(wǎng)絡(luò)�����,初步實現(xiàn)了所有業(yè)務(wù)部門和所有信息系統(tǒng)健康相處����,和諧與共的良好網(wǎng)絡(luò)環(huán)境。 3����、未構(gòu)成管理體系和考核制度。為此�����,完善了管理體系和考核制度��,在各個文件中明確了具體責(zé)任和要求。真正做到行有規(guī)章���、做有依據(jù)、查有準(zhǔn)則�,能夠有效發(fā)揮網(wǎng)信安全和保密工作“保安全,促發(fā)展”的重要作用��。一是圍繞本單位質(zhì)量���、職業(yè)健康安全��、環(huán)境��、安全標(biāo)準(zhǔn)化�����、對標(biāo)���、績效等綜合管理體系建設(shè)與管理工作要求,通過對網(wǎng)絡(luò)與信息系統(tǒng)安全檢查��,梳理和完善了網(wǎng)絡(luò)信息安全管理體系構(gòu)建�,編制與修訂實施了包括企業(yè)網(wǎng)絡(luò)、中心機(jī)房和各信息系統(tǒng)安全及其應(yīng)急處置預(yù)案管理等幾個層面近40個制度規(guī)范���。二是企業(yè)制訂了《保密工作管理辦法》�,明確了保密工作的組織機(jī)構(gòu)及其職責(zé)、涉密載體管理��、涉密人員管理�、涉密計算機(jī)及網(wǎng)絡(luò)管理等控制要求,確保保密工作更加制度化���、規(guī)范化��、科學(xué)化����。三是以強(qiáng)化信息系統(tǒng)等級保護(hù)工作為契機(jī)��,除完善涉密設(shè)施外�����,將系統(tǒng)數(shù)據(jù)與保密管理納入相關(guān)信息系統(tǒng)管理標(biāo)準(zhǔn)�。例如,《卷煙生產(chǎn)經(jīng)營決策管理系統(tǒng)管理辦法》5.8條款著重規(guī)定了數(shù)據(jù)保密管理�����。其中,5.8.1統(tǒng)計數(shù)據(jù)管理遵循“統(tǒng)一管理��、分級負(fù)責(zé)����、授權(quán)訪問”的原則��。系統(tǒng)管理人員按照數(shù)據(jù)的管理和使用權(quán)限���,做好數(shù)據(jù)的授權(quán)訪問和備案工作�,嚴(yán)禁向行業(yè)外傳播發(fā)布�����。5.8.2信息管理科系統(tǒng)管理員適時檢查磁盤陣列方式完好及其數(shù)據(jù)庫備份情況��。對系統(tǒng)進(jìn)行軟件升級��、硬件維護(hù)時�����,必須對系統(tǒng)數(shù)據(jù)進(jìn)行全備份。5.8.3信息管理科系統(tǒng)管理員每星期對數(shù)據(jù)庫運(yùn)行日志進(jìn)行分析整理����,結(jié)合系統(tǒng)實際運(yùn)行情況,對數(shù)據(jù)庫進(jìn)行優(yōu)化配置與調(diào)整����。對數(shù)據(jù)庫報錯信息等異常,應(yīng)及時與系統(tǒng)服務(wù)商聯(lián)系����,盡快解決處理。5.8.4信息管理科系統(tǒng)管理員應(yīng)做好系統(tǒng)的數(shù)據(jù)保密管理工作����。包括:系統(tǒng)所有數(shù)據(jù)的使用均應(yīng)按照用戶的使用權(quán)限進(jìn)行分配,使用權(quán)限依據(jù)數(shù)據(jù)產(chǎn)生單位部門����、崗位等綜合信息嚴(yán)格劃分、制定��;系統(tǒng)管理人員禁止泄漏系統(tǒng)的運(yùn)行參數(shù)��、配置數(shù)據(jù)�、用戶信息�;系統(tǒng)的所有操作人員嚴(yán)禁為非業(yè)務(wù)人員查詢相關(guān)數(shù)據(jù)����,嚴(yán)防越權(quán)限泄露各類數(shù)據(jù);系統(tǒng)的所有操作人員未經(jīng)相關(guān)權(quán)限批準(zhǔn)不得擅自更改�����、刪除任何系統(tǒng)以往數(shù)據(jù)��;嚴(yán)禁擅自拷貝����、外借系統(tǒng)信息數(shù)據(jù)�,系統(tǒng)設(shè)備因故障需外送維修時,應(yīng)當(dāng)刪除系統(tǒng)設(shè)備存儲的數(shù)據(jù)����;系統(tǒng)運(yùn)行過程中產(chǎn)生的單據(jù)、報表等各種書面信息應(yīng)妥善保管����,禁止私自或越權(quán)復(fù)制和外借,廢棄或過期的運(yùn)行文檔應(yīng)參照檔案管理有關(guān)規(guī)定進(jìn)行銷毀處理等�����。四是建立健全了報告機(jī)制、應(yīng)急處置機(jī)制和檢查機(jī)制�����,明確了報告職責(zé)要求程序�、遠(yuǎn)程作業(yè)控制管理程序、“先封堵再研判”的應(yīng)急措施與聯(lián)動處置程序和檢查程序�,嚴(yán)格執(zhí)行制度規(guī)范,并將執(zhí)行和檢查結(jié)果納入績效考核�。五是初步建立和實施了《井岡山卷煙廠網(wǎng)絡(luò)安全及信息化考核細(xì)則》,明確了各部門年度��、月度網(wǎng)絡(luò)安全及信息化工作考核評價方法����,將網(wǎng)絡(luò)安全工作及各信息系統(tǒng)運(yùn)維納入年度綜合考核,以考核評價傳導(dǎo)壓力��,確保網(wǎng)信安全和信息化工作貫徹到位����、執(zhí)行到位。 4���、存在制度規(guī)范執(zhí)行不到位��。為此���,以檢查務(wù)求實效���,立查立改。一是建立了立查立改工作長效機(jī)制�,嚴(yán)明執(zhí)行力檢查與考核制度,把控各環(huán)節(jié)管理����,堵塞制度漏洞。通過日常檢查和系統(tǒng)演練評價���,提高了大家的網(wǎng)絡(luò)安全執(zhí)行力意識和網(wǎng)絡(luò)安全防護(hù)能力及應(yīng)急處置能力,發(fā)揮了網(wǎng)絡(luò)安全及信息化工作評價考核機(jī)制的作用�。信息主管部門日常加強(qiáng)了對防火墻、上網(wǎng)行為管理和入侵檢測等網(wǎng)絡(luò)安全設(shè)備及系統(tǒng)巡回查看監(jiān)測�����,并根據(jù)需求�,更新相應(yīng)策略�。二是信息管理科6月開展了“弱口令”�����、“掃漏洞”網(wǎng)絡(luò)安全檢查活動�,排查弱口令和未授權(quán)訪問等突出安全隱患,對未按要求設(shè)置密碼的終端機(jī)立即進(jìn)行整改���,并將密碼修改為字母�����、數(shù)字�、特殊符號等3種以上組合且不少于8位�。三是從安全保密和系統(tǒng)發(fā)揮的成效入手,著眼系統(tǒng)性���、全局性�、整體性等方面對異地技改新廠實施的項目���,包括后來實施的批次管理項目�����,對數(shù)字化工廠建設(shè)建管用方面所做工作進(jìn)行回顧�、自查和全面梳理、評估���。4月10日形成了自查報告��。進(jìn)一步梳理和探索MES���、自動化控制系統(tǒng)的應(yīng)用提升思路,積累與公司數(shù)據(jù)中心對接和解決數(shù)字化工廠建設(shè)及運(yùn)行中存在的重復(fù)勞動�����、效率低下等制約管理提升的工作環(huán)節(jié)基礎(chǔ)集成改善與優(yōu)化��。今年上半年和六月���,企業(yè)開展了數(shù)據(jù)安全防范化解風(fēng)險隱患排查及相應(yīng)整改工作。經(jīng)過全面排查法律風(fēng)險��、全面排查數(shù)據(jù)管理風(fēng)險�、全面排查數(shù)據(jù)泄露風(fēng)險等環(huán)節(jié)的工作,驗證了我廠網(wǎng)絡(luò)設(shè)計功能��,即將網(wǎng)絡(luò)區(qū)域劃分為三個不同的安全網(wǎng),分別為生產(chǎn)網(wǎng)����,監(jiān)控網(wǎng),辦公網(wǎng)�。并使用安全管理平臺、網(wǎng)絡(luò)管理平臺對安全網(wǎng)內(nèi)進(jìn)行監(jiān)測預(yù)警����。 二、積累的經(jīng)驗和今后的打算 我廠數(shù)字化工廠自2016年12月建成投產(chǎn)以來�����,積累了一定的管理經(jīng)驗�����,隨著下一步互聯(lián)網(wǎng)+��,區(qū)塊鏈��、虛擬網(wǎng)��、大數(shù)據(jù)、云計算等新技術(shù)時代的到來�,我們有必要積極應(yīng)對,建立一套完整的工作監(jiān)控管理機(jī)制�,最終解決部門自身與部門之間協(xié)同工作的效率問題,從而系統(tǒng)地推進(jìn)管理工作朝著制度化��、標(biāo)準(zhǔn)化和規(guī)范化的方向發(fā)展����。為此,結(jié)合企業(yè)實際和系統(tǒng)特點���,今后����,或?qū)⑻岢鰧嵤┕Ω櫷晟埔恍┡e措����。 1、根據(jù)實際需要���,我廠將繼續(xù)按照重要信息系統(tǒng)等保要求����,更新和完善國家局行業(yè)經(jīng)營決策管理系統(tǒng)硬件配套設(shè)施�����,加快工控系統(tǒng)安全設(shè)施建設(shè)����。下一步還將對梳理的防范化解重大風(fēng)險清單完善強(qiáng)化措施。 2�����、在我廠信息化管控系統(tǒng)平臺搭建中��,一方面����,同步運(yùn)用了大量的自動化控制手段,包括大量的底層控制單元����、數(shù)據(jù)采集單元。通過直接從一線收集實時數(shù)據(jù)�,建立起冗余備份的數(shù)據(jù)庫服務(wù)器,構(gòu)建全廠數(shù)據(jù)中心����。讓數(shù)據(jù)直接在企業(yè)網(wǎng)絡(luò)中高速流轉(zhuǎn)���,讓數(shù)據(jù)為企業(yè)經(jīng)營決策提供服務(wù)。另一方面���,我廠在各信息管控系統(tǒng)建成投入使用以后�,在進(jìn)行系統(tǒng)的優(yōu)化和改善工作的同時�����,建立并啟用了網(wǎng)絡(luò)信息管控系統(tǒng)運(yùn)維管理機(jī)制�,并以批次管理系統(tǒng)(PBMS)建設(shè)試點為契機(jī),推行和完善了“1+2+2+N”運(yùn)維管理模式�����,其中“1”是指建立《網(wǎng)絡(luò)信息系統(tǒng)運(yùn)維管理辦法》����,第一個“2”是指建立各信息系統(tǒng)的《運(yùn)維日志》和《月度運(yùn)行報告》,第二個“2”是指建立各信息系統(tǒng)的《問題管理清單》和《風(fēng)險管控清單》����,“N”是指全面制訂網(wǎng)絡(luò)信息系統(tǒng)操作使用的《作業(yè)指導(dǎo)書》�,各系統(tǒng)管理嚴(yán)格按照此管理模式進(jìn)行運(yùn)維��,將運(yùn)維管理日?���;?��。兩管齊下����,下一步將以實施信息化和工業(yè)化融合(即“兩化融合”)管理標(biāo)準(zhǔn)化體系夯實工廠基礎(chǔ)�����。 3���、鑒于企業(yè)當(dāng)前防勒索���、防病毒、防篡改���、合規(guī)檢查等安全能力不足�����,缺乏網(wǎng)絡(luò)漏洞掃描等工具的應(yīng)用�����,有必要建立部署一套實時識別����、分析、預(yù)警安全威脅的統(tǒng)一安全管理系統(tǒng)(網(wǎng)絡(luò)安全產(chǎn)品)��,要求集有Web�、操作系統(tǒng)漏洞、配置基線掃描與資產(chǎn)內(nèi)容合規(guī)���、弱密碼檢測等五大核心功能�����,能夠自動發(fā)現(xiàn)網(wǎng)站或服務(wù)器的網(wǎng)絡(luò)安全風(fēng)險�����,提供多維度安全檢測服務(wù)��,滿足合規(guī)要求����。能夠幫助用戶實現(xiàn)威脅檢測、響應(yīng)��、溯源的自動化安全運(yùn)營閉環(huán)��,保護(hù)系統(tǒng)資產(chǎn)和本地主機(jī)并滿足監(jiān)管合規(guī)要求����。另外��,有必要對網(wǎng)絡(luò)和重要信息系統(tǒng)開展實質(zhì)性的安全評估工作��。 2019年8月29日夜
|
