 文|01一线 信息安全与保密工作有着某种联系,可算是一个系统工程。它涉及到人、机、法、环与监视各个层面。比如,存在内部与个人信息泄漏与口实不严、网络信息系统遭受攻击、系统设计与运维法制缺失或方法不妥、社会网络环境恶劣以及监管不严等种种风险。只有做到严防死守,规避风险,方能做好网络信息安全与保密工作。 近期,我厂信息管理部门对企业网络信息安全及计算机信息系统保密工作开展了一次全面自查,对包括涉及的单位人员、内部信息安全体系建设和管理,涉密设施的投入、使用和管理,数字复印机和具有打印、复印、传真等多种功能的一体机使用状况等进行了调查、清理和研究,形成了一份自查情况报告。 一、基本情况 1、对涉及的单位及人员管理存在漏洞。为此,加强了这方面的管理。一是明确了归口管理部门。由信息管理部门负责企业统一实施信息网络系统建设与运维,履行综合协调、监督管理职能。严防死守做到“两个全覆盖”(覆盖所有业务部门和所有信息系统),并提供组织和技术保障措施。二是加强了对厂信息网络系统的保密工作的领导,严格了保密纪律。通过日常的厂务、科务和车间班前保密教育和培训,强化了保密工作责任意识,时刻谨记保密工作无小事,切实克服了麻痹大意思想。要求对于来历不明的图片、网站做到不点击,不访问,不乱传。三是按项目合同或协议对外部涉及IT项目(包括运维)的相关单位人员、按内部责任及绩效考核对内部从业人员签订了安全责任状和保密承诺函。今年以来,进一步明确各个信息系统业务主管部门和运维单位(部门)具体职责,落实了网络安全责任制度,实施了《井冈山卷烟厂网络安全责任书》和《井冈山卷烟厂数据保密承诺函》签订制度,包括与各部门主要负责人以及信息系统主要对接人员签订了网络安全责任书和数据保密承诺函两份文件。四是对外部合作方项目及后期工作实行了供方服务评估评价机制,对内部工作落实了网络安全责任和考核评价办法。 2、源头疏于防患。为此,加强了源头管理。一是坚持了严格依法建网、管网和用网原则,同时,把问题整改作为网络安全工作的重要内容,提升全员网络安全责任意识。二是梳理转达了项目合同中涉及计算机信息系统保密工作要求执行情况。三是开展了网络安全设备与软件的合理部署,严格实施生产、监控、办公分区分域的安全策略,严明了网络边界防护设备、人员权限、远程作业等环节的管理。四是加强了网络流量监控,对于异常情况,及时阻断攻击,并根据实际情况更新相应策略。五是开展了网络源头治理工作。建立IP台账,健全了设备、信息系统档案。六是完善了网络信息系统现场应急处置方案,并开展了培训与演练等工作。从源头把好安全关,从网络监管把好运维关,从而构建起来了法制网络、健康网络与和谐网络,初步实现了所有业务部门和所有信息系统健康相处,和谐与共的良好网络环境。 3、未构成管理体系和考核制度。为此,完善了管理体系和考核制度,在各个文件中明确了具体责任和要求。真正做到行有规章、做有依据、查有准则,能够有效发挥网信安全和保密工作“保安全,促发展”的重要作用。一是围绕本单位质量、职业健康安全、环境、安全标准化、对标、绩效等综合管理体系建设与管理工作要求,通过对网络与信息系统安全检查,梳理和完善了网络信息安全管理体系构建,编制与修订实施了包括企业网络、中心机房和各信息系统安全及其应急处置预案管理等几个层面近40个制度规范。二是企业制订了《保密工作管理办法》,明确了保密工作的组织机构及其职责、涉密载体管理、涉密人员管理、涉密计算机及网络管理等控制要求,确保保密工作更加制度化、规范化、科学化。三是以强化信息系统等级保护工作为契机,除完善涉密设施外,将系统数据与保密管理纳入相关信息系统管理标准。例如,《卷烟生产经营决策管理系统管理办法》5.8条款着重规定了数据保密管理。其中,5.8.1统计数据管理遵循“统一管理、分级负责、授权访问”的原则。系统管理人员按照数据的管理和使用权限,做好数据的授权访问和备案工作,严禁向行业外传播发布。5.8.2信息管理科系统管理员适时检查磁盘阵列方式完好及其数据库备份情况。对系统进行软件升级、硬件维护时,必须对系统数据进行全备份。5.8.3信息管理科系统管理员每星期对数据库运行日志进行分析整理,结合系统实际运行情况,对数据库进行优化配置与调整。对数据库报错信息等异常,应及时与系统服务商联系,尽快解决处理。5.8.4信息管理科系统管理员应做好系统的数据保密管理工作。包括:系统所有数据的使用均应按照用户的使用权限进行分配,使用权限依据数据产生单位部门、岗位等综合信息严格划分、制定;系统管理人员禁止泄漏系统的运行参数、配置数据、用户信息;系统的所有操作人员严禁为非业务人员查询相关数据,严防越权限泄露各类数据;系统的所有操作人员未经相关权限批准不得擅自更改、删除任何系统以往数据;严禁擅自拷贝、外借系统信息数据,系统设备因故障需外送维修时,应当删除系统设备存储的数据;系统运行过程中产生的单据、报表等各种书面信息应妥善保管,禁止私自或越权复制和外借,废弃或过期的运行文档应参照档案管理有关规定进行销毁处理等。四是建立健全了报告机制、应急处置机制和检查机制,明确了报告职责要求程序、远程作业控制管理程序、“先封堵再研判”的应急措施与联动处置程序和检查程序,严格执行制度规范,并将执行和检查结果纳入绩效考核。五是初步建立和实施了《井冈山卷烟厂网络安全及信息化考核细则》,明确了各部门年度、月度网络安全及信息化工作考核评价方法,将网络安全工作及各信息系统运维纳入年度综合考核,以考核评价传导压力,确保网信安全和信息化工作贯彻到位、执行到位。 4、存在制度规范执行不到位。为此,以检查务求实效,立查立改。一是建立了立查立改工作长效机制,严明执行力检查与考核制度,把控各环节管理,堵塞制度漏洞。通过日常检查和系统演练评价,提高了大家的网络安全执行力意识和网络安全防护能力及应急处置能力,发挥了网络安全及信息化工作评价考核机制的作用。信息主管部门日常加强了对防火墙、上网行为管理和入侵检测等网络安全设备及系统巡回查看监测,并根据需求,更新相应策略。二是信息管理科6月开展了“弱口令”、“扫漏洞”网络安全检查活动,排查弱口令和未授权访问等突出安全隐患,对未按要求设置密码的终端机立即进行整改,并将密码修改为字母、数字、特殊符号等3种以上组合且不少于8位。三是从安全保密和系统发挥的成效入手,着眼系统性、全局性、整体性等方面对异地技改新厂实施的项目,包括后来实施的批次管理项目,对数字化工厂建设建管用方面所做工作进行回顾、自查和全面梳理、评估。4月10日形成了自查报告。进一步梳理和探索MES、自动化控制系统的应用提升思路,积累与公司数据中心对接和解决数字化工厂建设及运行中存在的重复劳动、效率低下等制约管理提升的工作环节基础集成改善与优化。今年上半年和六月,企业开展了数据安全防范化解风险隐患排查及相应整改工作。经过全面排查法律风险、全面排查数据管理风险、全面排查数据泄露风险等环节的工作,验证了我厂网络设计功能,即将网络区域划分为三个不同的安全网,分别为生产网,监控网,办公网。并使用安全管理平台、网络管理平台对安全网内进行监测预警。 二、积累的经验和今后的打算 我厂数字化工厂自2016年12月建成投产以来,积累了一定的管理经验,随着下一步互联网+,区块链、虚拟网、大数据、云计算等新技术时代的到来,我们有必要积极应对,建立一套完整的工作监控管理机制,最终解决部门自身与部门之间协同工作的效率问题,从而系统地推进管理工作朝着制度化、标准化和规范化的方向发展。为此,结合企业实际和系统特点,今后,或将提出实施功跟踪完善一些举措。 1、根据实际需要,我厂将继续按照重要信息系统等保要求,更新和完善国家局行业经营决策管理系统硬件配套设施,加快工控系统安全设施建设。下一步还将对梳理的防范化解重大风险清单完善强化措施。 2、在我厂信息化管控系统平台搭建中,一方面,同步运用了大量的自动化控制手段,包括大量的底层控制单元、数据采集单元。通过直接从一线收集实时数据,建立起冗余备份的数据库服务器,构建全厂数据中心。让数据直接在企业网络中高速流转,让数据为企业经营决策提供服务。另一方面,我厂在各信息管控系统建成投入使用以后,在进行系统的优化和改善工作的同时,建立并启用了网络信息管控系统运维管理机制,并以批次管理系统(PBMS)建设试点为契机,推行和完善了“1+2+2+N”运维管理模式,其中“1”是指建立《网络信息系统运维管理办法》,第一个“2”是指建立各信息系统的《运维日志》和《月度运行报告》,第二个“2”是指建立各信息系统的《问题管理清单》和《风险管控清单》,“N”是指全面制订网络信息系统操作使用的《作业指导书》,各系统管理严格按照此管理模式进行运维,将运维管理日常化。两管齐下,下一步将以实施信息化和工业化融合(即“两化融合”)管理标准化体系夯实工厂基础。 3、鉴于企业当前防勒索、防病毒、防篡改、合规检查等安全能力不足,缺乏网络漏洞扫描等工具的应用,有必要建立部署一套实时识别、分析、预警安全威胁的统一安全管理系统(网络安全产品),要求集有Web、操作系统漏洞、配置基线扫描与资产内容合规、弱密码检测等五大核心功能,能够自动发现网站或服务器的网络安全风险,提供多维度安全检测服务,满足合规要求。能够帮助用户实现威胁检测、响应、溯源的自动化安全运营闭环,保护系统资产和本地主机并满足监管合规要求。另外,有必要对网络和重要信息系统开展实质性的安全评估工作。 2019年8月29日夜 |
|
|
