图片
坚持多举措筑牢网络信息安全长城
文|01一线
长城和大堤一样必须坚固,这样,才能保住人机及其系统的长治久安。然而,筑牢它们靠什么?自然是依靠人本身,通过人的智慧去利用和改造机、物、料,还有方法、环境和检测评价及其绩效薪酬管理体系。
井冈山卷烟厂筑牢网络信息安全长城同样需要走出这样的路径,按照PDCA循环的过程多举措筑牢防技和管理。
在P阶段,做好调查研究和宣传引导,提高员工网络信息安全目标风险意识。这个目标,就是坚持建设组织统一的信息交换与资源共享平台及服务体系,推进软件开发和应用系统互通、资源共享,实现工厂工作数字化目标,全面提高全体人员信息化应用能力。为此必须坚持“统一规划、统一标准、统一设计、统一实施”的“四个统一”的原则,“5W1H”原则,必须探索建立业务、队伍、信息化“三位一体”机制,明确“推进建设、突出应用、加强管理”的工作思路。任何阶段编制下发的《信息化发展规划纲要》及其年度计划、项目计划,要真正实现“三位一体”向“四个统一”的转变,推进信息化建设步入规范有序发展的快车道,为企业各项工作科学发展、快速高质量发展提供有力支撑。这是策划信息化建设全面部署和开展信息化建设的基本方向。具体工作还要落实到几个聚焦上,我曾经在2016年09月13日《东方烟草报》(管理前沿)发表过《精益活动应聚焦什么?》,其中提到,精益管理活动是当前企业内部降本增效的重要抓手。但由于对其理念认识不够、理解不透,思想上没有引起足够重视,有的单位精益管理工作没有挖掘出足够的潜力。面临高质量发展新形势,精益管理应聚焦什么?怎么看、怎么干?解决这些问题,可从聚焦源头、聚焦问题和聚焦短板三个方面进行探索。生产规模设计、技改项目投资,包括某个领域的管理体系设计、信息系统规划设计,哪怕小到一个机器部件和零件设计,都会从源头上影响精益管理降本增效的成效。企业设计团队应从安全成本以及“人、机、料、法、环、测”等各项资源要素的合理利用出发,在要素综合管理层面下功夫、做文章。
在D阶段,开好三种会议,一种是研究部署决策网络安全工作党委会议,另一种是信息化基础管理专项诊断会议,再一种是动员传达性的网络安全工作专题会议。
第一种会议主要研究部署决策问题,部署年度或一个时期的企业网信安全和信息化工作。解决落实组织机构、人员配备和队伍建设及其工作职责和主体责任,培养和锻炼造就一支过硬的企业信息化人员队伍。建立专业技术人才培养晋升机制,打通专业培训和内部交流通道,加快培养信息化专业团队建设,提升整体队伍整体素质;解决要编制和论证的当前或今后一个时期企业网络信息安全工作规划(包括保障体系建设规划)、年度计划或方案(包括两化融合方案)工作要点,部署和分解落实年度企业网络信息安全项目(工作)和信息化项目(包括网络信息安全保障运维)论证和建设工作,全方位促进网络信息安全和信息化工作理念、机制、技术、管理和制度创新;解决网络信息安全策略回头检查工作机制问题,其中包括验证其实效,对隐患开展的整改和加固工作,净化网络信息安全工作环境等策略,需要建立和健全的企业相关规章制度和信息化管理考核实施细则。包括健全网络信息安全重大突发事件应急管理机制。形成健全预案体系,实现统一指挥、协调、督促、演练,并审查重大网络信息安全事件的处理工作。
第二种专项诊断会议主要是专题调研。总结分析数字化工厂建设成效。梳理问题与情况,瞄准当前工业互联网技术,开展一些项目的技术研究和应用。争取在一体协同、深度融合等重点工作方面有亮点、有特色。促进网络和各信息系统数据安全,数据处理上报完整、及时、准确、真实、规范,提供各阶层人员决策服务。
第三种会议主要是传达学习形势与任务。将上级网信安全工作会议精神充分传达至各部门、各班组、各岗位,通过广泛组织员工认真学习,形成统一思想,提高认识,准确把握网络安全形势,努力营造浓厚的网络安全工作氛围。
源头管控是开展精益管理活动的最大价值体现,必须引起足够的重视。如果最初的方向或路线都错了,那后续的损失将不可估量。
从源头做起,也就是从最初的设计开发入手,这也是我们通常所说的顶层设计和底层设计。要依靠群策群力搞创新创造,以源头治理为导向,充分做好方案的调研与论证后方能实施,对于各项资源的单项管理设计也是如此。至于后续开展的持续改进活动,也不过是对于初期的架构或产品、流程、信息系统的优化与改善等。
从问题和风险梳理做起,对于各项资源要素的管理,问题和风险出在哪里,哪里就是推进管理和技术安全的重点。对于企业而言,这既是提升管理效率和管理水平的机遇,也是对企业能否消除顽疾、实现突破的考验。为确保取得实效,必须聚焦问题,通过查找问题、从解决具体问题入手、从具体事情抓起,真正减少事情重复浪费、优化流程、降本增效。为此,要从改变员工思维方式入手,培养员工的对标查找意识,引导员工运用各种诊断工具和方法来处理日常工作。要建立健全问题解决机制,不断总结和提炼工作中的好经验、好做法,借助各类成果交流共享活动果实,并将确实能够取得效能成果固化为相应的管理标准、技术标准或工作标准,为消除影响效率、效益提升的症结,开展精益改善打下基础。
从盯住目标和削除的短板做起,不论什么形式的管理行为,都必须以实现组织目标为根本任务。短板处理来源于日常的目标管理,目标导向能够让我们盯住短板。相对于目标管理由上至下、层层分解的模式,问题管理模式体现出较明显的由下至上的自主管理特征,通常由企业员工在各自领域和日常工作中发现问题,给出解决方案并获取配套的执行资源。但是,若解决问题缺乏目标导向,就会出现这样的现象:员工不清楚要找什么样的问题,或找到的问题不能推动组织关键绩效改善等。因此,应当用一种更加科学、更加系统的方法将“目标”和“问题”统一起来,指导管理实践。任何目标实现不理想或问题解决不充分,往往在策划(P)环节就埋下隐患。在目标管理实践中,引入问题思维能较好解决这一问题。目标与现状存在差距,对这一差距可以利用问题管理的方法进行分解,形成需攻克的若干项问题,企业对每一项问题制定解决计划、配给执行资源,确保问题得到解决。而在问题管理中引入目标导向,可优先查找制约组织目标实现的重点、难点、焦点问题并予以解决。
近期,为贯彻落实公司网信安全工作会议和本单位安全月活动精神,软件开发资讯进一步检查增强和巩固企业网络信息安全,井冈山卷烟厂迅速制定行动应急预案,开展网络信息安全风险排查,筑牢网络安全防线。
一是做好宣传引导,提高员工网络信息安全风险意识。井冈山卷烟厂通过召开网络安全工作专题会议,将公司网信安全工作会议精神充分传达至各部门、各班组、各岗位,广泛组织员工认真学习,统一思想,提高认识,准确把握网络安全形势,努力营造浓厚的网络安全工作氛围。
二是做好摸底自查,夯实全厂网络信息安全设施基础。井冈山卷烟厂从信息安全出发,严格落实企业网络管理规范,按照“一机一档”的原则,对全厂所有办公电脑进行信息收集梳理工作,对安装的办公软件及安全防护软件的安全性及合法性进行严格把关,严禁安装未经授权使用的盗版软件,防止网络安全漏洞。
三是做好防护措施,封堵全厂网络信息安全漏洞短板。井冈山卷烟厂以安全月活动契机,严格执行信息系统等级保护制度,梳理了网络信息安全风险清单,并严格按清单内容进行安全整改工作,现场检查排查了所有办公电脑和信息系统的账户和登录密码,消除了一些弱口令带来的隐患风险,全面清理了在工业生产网络中接入的无线路由等无线设备,禁止在专网计算机存储、处理涉密文件和信息等,从源头上消除网络信息安全漏洞短板。
在C阶段,把握原则、方法和标准,适时开展职责落实情况和结果的检查。比如项目建设是否坚持了严格依法建网、管网和用网原则?主管部门是否认真履行了综合协调、监督管理职能?是否明确了各个信息系统业务主管部门和运行维护部门具体职责和落实了网络安全责任制度?源头安全关把握上是否做到了“两个全覆盖”(覆盖所有业务部门和所有信息系统)?是否提升了全员网络安全责任意识?问题整改是否彻底或有适当举措并纳入到了日常绩效管理考核?合作供方及人员管理是否充分并得到良性评价?各种工作机制和应急处置体系是否建立健全并得到较好落实?各层次人员的网络安全防护能力及应急处置能力是否得到提升并达到了安全意识和行动上的共识?
近期,我厂依据检查方案开展了一次查漏防护工作。对现场发现的问题做到立整立改或提出防护措施。
一是清理了目前无关的账户,消除了某些弱口令,重申了区域网络盲区管理,对生产区域无线网络、联合工房公共无线网络明确了使用和管理规定。排查了系统漏洞,按分工职责,开展了办公电脑、服务器、工程师站、操作员站等涉及IT的设备及系统进行定期杀毒,漏洞扫描,对于存在的系统漏洞及时进行修复。断开了闲置服务器,拆除或封闭了不必要的USB、光驱、无线等接口。
二是各部门办公电脑系统按照“最小安装”的原则,仅安装需要的组件和应用程序,并按照“一机一档”的原则,建立软件安装档案。如需安装未列入《办公电脑软件安装档案表》的任何软件,必须通过OA系统中“井烟信息化业务系统调整申请流程”经部门负责人同意并得到信息管理科负责人审批通过后方能进行安装。开展了IT资产清理、信息系统等级保护规范,梳理和完善了IT资产安全台账和全厂IP地址台账。同步建立并实施了网络信息系统现场应急处置机制,编制并批准实施了网络和各信息系统现场应急处置方案,实施了应急处置方案演练,并不断充实应急处置经验案例知识库。
三是建立了《井冈山卷烟厂网络安全及信息化考核细则》,明确了各部门年度、月度网络安全及信息化考核评价方法,将网络安全工作及各信息系统运维纳入年度综合考核,以考核评价传导压力,确保网信安全和信息化工作贯彻到位、执行到位。进一步梳理了项目合同执行情况,对外部合作方后期工作实行了供方服务评价机制。
四是针对可能的网络安全隐患做好演练期间监测防护工作。要求各部门利用班前会、部门会议加强部门所属人员的网络安全意识教育,着力强调在网络攻防演习期间应提高网络安全意识,对于来历不明的图片、网站做到不点击,不访问。加强了在网络攻防演习期间的监测机制,信息主管部门每日对防火墙、上网行为管理和入侵检测等网络安全设备及系统进行巡回查看监测,并根据需求,更新相应策略。建立健全了报告机制、应急处置机制和检查机制,明确了报告职责要求程序、远程作业控制管理程序,严格执行制度规范,并将执行和检查结果纳入绩效考核。
在A阶段,主要是总结分析,巩固成果,提出改正方向。比如,我们内部开展的网络防御应急演练总结取得的成果主要表现在:
一是源头治理取得成效。开展了网络安全设备与软件的合理部署,加强了网络边界防护设备、人员权限、远程作业等环节的管理。严格实施生产、监控、办公分区分域的安全策略,加强了网络流量监控,对于异常情况,及时阻断攻击,并根据实际情况更新相应策略。另外,通过开展“弱口令”、“扫漏洞”的网络安全检查活动,全面排查了弱口令、信息主管部门对未授权访问等突出安全隐患,以及未按要求设置密码的终端及时进行了整改,并将密码修改为字母、数字、特殊符号等3种以上组合且不少于8位。
二是净化网络环境取得成效。在企业召开的部署网络与信息安全工作专题会上,重申了严格依法建网、管网和用网原则。信息主管部门认真履行了综合协调、监督管理职能,做到“两个全覆盖”(覆盖所有业务部门和所有信息系统),开展网络安全宣传教育与把握。同时,把问题整改作为网络安全工作的重要内容,提升了全员网络安全责任意识。通过对网络治理、台账与档案建立、制度的不断规范、工作长效机制建立与健全、执行力检查与考核、现场应急处置方案演练等工作和环节的把控,从源头把好安全关,从网络监管把好运维关,从而构建起来了法制网络、健康网络与和谐网络,初步实现了所有业务部门和所有信息系统健康相处,和谐与共的良好网络环境。
三是严格规范取得实效。建立健全了网络安全现场应急处置管理体系。通过演练评价,提高了大家的网络安全意识、执行力意识和网络安全防护能力及应急处置能力,发挥了网络安全及信息化工作评价考核机制的作用。
同时,演练中也发现的某些不足。主要体现上,缺乏网络漏洞扫描工具的应用,没有建立一个实时识别、分析、预警安全威胁的统一安全管理系统,防勒索、防病毒、防篡改、合规检查等安全能力不足,不能帮助用户实现威胁检测、响应、溯源的自动化安全运营闭环,以及保护系统资产和本地主机并满足监管合规要求。有条件的话,建议部署一套集有Web、操作系统漏洞、配置基线扫描与资产内容合规、弱密码检测等五大核心功能的网络安全产品,这样的话,就能自动发现网站或服务器的网络安全风险,提供多维度安全检测服务,并满足合规要求。
本站仅提供存储服务,所有内容均由用户发布,如发现有害或侵权内容,请点击举报。下一篇:没有了