 堅持多舉措筑牢網絡信息安全長城 文|01一線 長城和大堤一樣必須堅固,這樣,才能保住人機及其系統的長治久安。然而,筑牢它們靠什么?自然是依靠人本身,通過人的智慧去利用和改造機、物、料,還有方法、環境和檢測評價及其績效薪酬管理體系。 井岡山卷煙廠筑牢網絡信息安全長城同樣需要走出這樣的路徑,按照PDCA循環的過程多舉措筑牢防技和管理。 在P階段,做好調查研究和宣傳引導,提高員工網絡信息安全目標風險意識。這個目標,就是堅持建設組織統一的信息交換與資源共享平臺及服務體系,推進軟件開發和應用系統互通、資源共享,實現工廠工作數字化目標,全面提高全體人員信息化應用能力。為此必須堅持“統一規劃、統一標準、統一設計、統一實施”的“四個統一”的原則,“5W1H”原則,必須探索建立業務、隊伍、信息化“三位一體”機制,明確“推進建設、突出應用、加強管理”的工作思路。任何階段編制下發的《信息化發展規劃綱要》及其年度計劃、項目計劃,要真正實現“三位一體”向“四個統一”的轉變,推進信息化建設步入規范有序發展的快車道,為企業各項工作科學發展、快速高質量發展提供有力支撐。這是策劃信息化建設全面部署和開展信息化建設的基本方向。具體工作還要落實到幾個聚焦上,我曾經在2016年09月13日《東方煙草報》(管理前沿)發表過《精益活動應聚焦什么?》,其中提到,精益管理活動是當前企業內部降本增效的重要抓手。但由于對其理念認識不夠、理解不透,思想上沒有引起足夠重視,有的單位精益管理工作沒有挖掘出足夠的潛力。面臨高質量發展新形勢,精益管理應聚焦什么?怎么看、怎么干?解決這些問題,可從聚焦源頭、聚焦問題和聚焦短板三個方面進行探索。生產規模設計、技改項目投資,包括某個領域的管理體系設計、信息系統規劃設計,哪怕小到一個機器部件和零件設計,都會從源頭上影響精益管理降本增效的成效。企業設計團隊應從安全成本以及“人、機、料、法、環、測”等各項資源要素的合理利用出發,在要素綜合管理層面下功夫、做文章。 在D階段,開好三種會議,一種是研究部署決策網絡安全工作黨委會議,另一種是信息化基礎管理專項診斷會議,再一種是動員傳達性的網絡安全工作專題會議。 第一種會議主要研究部署決策問題,部署年度或一個時期的企業網信安全和信息化工作。解決落實組織機構、人員配備和隊伍建設及其工作職責和主體責任,培養和鍛煉造就一支過硬的企業信息化人員隊伍。建立專業技術人才培養晉升機制,打通專業培訓和內部交流通道,加快培養信息化專業團隊建設,提升整體隊伍整體素質;解決要編制和論證的當前或今后一個時期企業網絡信息安全工作規劃(包括保障體系建設規劃)、年度計劃或方案(包括兩化融合方案)工作要點,部署和分解落實年度企業網絡信息安全項目(工作)和信息化項目(包括網絡信息安全保障運維)論證和建設工作,全方位促進網絡信息安全和信息化工作理念、機制、技術、管理和制度創新;解決網絡信息安全策略回頭檢查工作機制問題,其中包括驗證其實效,對隱患開展的整改和加固工作,凈化網絡信息安全工作環境等策略,需要建立和健全的企業相關規章制度和信息化管理考核實施細則。包括健全網絡信息安全重大突發事件應急管理機制。形成健全預案體系,實現統一指揮、協調、督促、演練,并審查重大網絡信息安全事件的處理工作。 第二種專項診斷會議主要是專題調研。總結分析數字化工廠建設成效。梳理問題與情況,瞄準當前工業互聯網技術,開展一些項目的技術研究和應用。爭取在一體協同、深度融合等重點工作方面有亮點、有特色。促進網絡和各信息系統數據安全,數據處理上報完整、及時、準確、真實、規范,提供各階層人員決策服務。 第三種會議主要是傳達學習形勢與任務。將上級網信安全工作會議精神充分傳達至各部門、各班組、各崗位,通過廣泛組織員工認真學習,形成統一思想,提高認識,準確把握網絡安全形勢,努力營造濃厚的網絡安全工作氛圍。 源頭管控是開展精益管理活動的最大價值體現,必須引起足夠的重視。如果最初的方向或路線都錯了,那后續的損失將不可估量。 從源頭做起,也就是從最初的設計開發入手,這也是我們通常所說的頂層設計和底層設計。要依靠群策群力搞創新創造,以源頭治理為導向,充分做好方案的調研與論證后方能實施,對于各項資源的單項管理設計也是如此。至于后續開展的持續改進活動,也不過是對于初期的架構或產品、流程、信息系統的優化與改善等。 從問題和風險梳理做起,對于各項資源要素的管理,問題和風險出在哪里,哪里就是推進管理和技術安全的重點。對于企業而言,這既是提升管理效率和管理水平的機遇,也是對企業能否消除頑疾、實現突破的考驗。為確保取得實效,必須聚焦問題,通過查找問題、從解決具體問題入手、從具體事情抓起,真正減少事情重復浪費、優化流程、降本增效。為此,要從改變員工思維方式入手,培養員工的對標查找意識,引導員工運用各種診斷工具和方法來處理日常工作。要建立健全問題解決機制,不斷總結和提煉工作中的好經驗、好做法,借助各類成果交流共享活動果實,并將確實能夠取得效能成果固化為相應的管理標準、技術標準或工作標準,為消除影響效率、效益提升的癥結,開展精益改善打下基礎。 從盯住目標和削除的短板做起,不論什么形式的管理行為,都必須以實現組織目標為根本任務。短板處理來源于日常的目標管理,目標導向能夠讓我們盯住短板。相對于目標管理由上至下、層層分解的模式,問題管理模式體現出較明顯的由下至上的自主管理特征,通常由企業員工在各自領域和日常工作中發現問題,給出解決方案并獲取配套的執行資源。但是,若解決問題缺乏目標導向,就會出現這樣的現象:員工不清楚要找什么樣的問題,或找到的問題不能推動組織關鍵績效改善等。因此,應當用一種更加科學、更加系統的方法將“目標”和“問題”統一起來,指導管理實踐。任何目標實現不理想或問題解決不充分,往往在策劃(P)環節就埋下隱患。在目標管理實踐中,引入問題思維能較好解決這一問題。目標與現狀存在差距,對這一差距可以利用問題管理的方法進行分解,形成需攻克的若干項問題,企業對每一項問題制定解決計劃、配給執行資源,確保問題得到解決。而在問題管理中引入目標導向,可優先查找制約組織目標實現的重點、難點、焦點問題并予以解決。 近期,為貫徹落實公司網信安全工作會議和本單位安全月活動精神,進一步檢查增強和鞏固企業網絡信息安全,井岡山卷煙廠迅速制定行動應急預案,開展網絡信息安全風險排查,筑牢網絡安全防線。 一是做好宣傳引導,提高員工網絡信息安全風險意識。井岡山卷煙廠通過召開網絡安全工作專題會議,將公司網信安全工作會議精神充分傳達至各部門、各班組、各崗位,廣泛組織員工認真學習,統一思想,提高認識,準確把握網絡安全形勢,努力營造濃厚的網絡安全工作氛圍。 二是做好摸底自查,夯實全廠網絡信息安全設施基礎。井岡山卷煙廠從信息安全出發,嚴格落實企業網絡管理規范,按照“一機一檔”的原則,對全廠所有辦公電腦進行信息收集梳理工作,對安裝的辦公軟件及安全防護軟件的安全性及合法性進行嚴格把關,嚴禁安裝未經授權使用的盜版軟件,防止網絡安全漏洞。 三是做好防護措施,封堵全廠網絡信息安全漏洞短板。井岡山卷煙廠以安全月活動契機,嚴格執行信息系統等級保護制度,梳理了網絡信息安全風險清單,并嚴格按清單內容進行安全整改工作,現場檢查排查了所有辦公電腦和信息系統的賬戶和登錄密碼,消除了一些弱口令帶來的隱患風險,全面清理了在工業生產網絡中接入的無線路由等無線設備,禁止在專網計算機存儲、處理涉密文件和信息等,從源頭上消除網絡信息安全漏洞短板。 在C階段,把握原則、方法和標準,適時開展職責落實情況和結果的檢查。比如項目建設是否堅持了嚴格依法建網、管網和用網原則?主管部門是否認真履行了綜合協調、監督管理職能?是否明確了各個信息系統業務主管部門和運行維護部門具體職責和落實了網絡安全責任制度?源頭安全關把握上是否做到了“兩個全覆蓋”(覆蓋所有業務部門和所有信息系統)?是否提升了全員網絡安全責任意識?問題整改是否徹底或有適當舉措并納入到了日常績效管理考核?合作供方及人員管理是否充分并得到良性評價?各種工作機制和應急處置體系是否建立健全并得到較好落實?各層次人員的網絡安全防護能力及應急處置能力是否得到提升并達到了安全意識和行動上的共識? 近期,我廠依據檢查方案開展了一次查漏防護工作。對現場發現的問題做到立整立改或提出防護措施。 一是清理了目前無關的賬戶,消除了某些弱口令,重申了區域網絡盲區管理,對生產區域無線網絡、聯合工房公共無線網絡明確了使用和管理規定。排查了系統漏洞,按分工職責,開展了辦公電腦、服務器、工程師站、操作員站等涉及IT的設備及系統進行定期殺毒,漏洞掃描,對于存在的系統漏洞及時進行修復。斷開了閑置服務器,拆除或封閉了不必要的USB、光驅、無線等接口。 二是各部門辦公電腦系統按照“最小安裝”的原則,僅安裝需要的組件和應用程序,并按照“一機一檔”的原則,建立軟件安裝檔案。如需安裝未列入《辦公電腦軟件安裝檔案表》的任何軟件,必須通過OA系統中“井煙信息化業務系統調整申請流程”經部門負責人同意并得到信息管理科負責人審批通過后方能進行安裝。開展了IT資產清理、信息系統等級保護規范,梳理和完善了IT資產安全臺賬和全廠IP地址臺賬。同步建立并實施了網絡信息系統現場應急處置機制,編制并批準實施了網絡和各信息系統現場應急處置方案,實施了應急處置方案演練,并不斷充實應急處置經驗案例知識庫。 三是建立了《井岡山卷煙廠網絡安全及信息化考核細則》,明確了各部門年度、月度網絡安全及信息化考核評價方法,將網絡安全工作及各信息系統運維納入年度綜合考核,以考核評價傳導壓力,確保網信安全和信息化工作貫徹到位、執行到位。進一步梳理了項目合同執行情況,對外部合作方后期工作實行了供方服務評價機制。 四是針對可能的網絡安全隱患做好演練期間監測防護工作。要求各部門利用班前會、部門會議加強部門所屬人員的網絡安全意識教育,著力強調在網絡攻防演習期間應提高網絡安全意識,對于來歷不明的圖片、網站做到不點擊,不訪問。加強了在網絡攻防演習期間的監測機制,信息主管部門每日對防火墻、上網行為管理和入侵檢測等網絡安全設備及系統進行巡回查看監測,并根據需求,更新相應策略。建立健全了報告機制、應急處置機制和檢查機制,明確了報告職責要求程序、遠程作業控制管理程序,嚴格執行制度規范,并將執行和檢查結果納入績效考核。 在A階段,主要是總結分析,鞏固成果,提出改正方向。比如,我們內部開展的網絡防御應急演練總結取得的成果主要表現在: 一是源頭治理取得成效。開展了網絡安全設備與軟件的合理部署,加強了網絡邊界防護設備、人員權限、遠程作業等環節的管理。嚴格實施生產、監控、辦公分區分域的安全策略,加強了網絡流量監控,對于異常情況,及時阻斷攻擊,并根據實際情況更新相應策略。另外,通過開展“弱口令”、“掃漏洞”的網絡安全檢查活動,全面排查了弱口令、信息主管部門對未授權訪問等突出安全隱患,以及未按要求設置密碼的終端及時進行了整改,并將密碼修改為字母、數字、特殊符號等3種以上組合且不少于8位。 二是凈化網絡環境取得成效。在企業召開的部署網絡與信息安全工作專題會上,重申了嚴格依法建網、管網和用網原則。信息主管部門認真履行了綜合協調、監督管理職能,做到“兩個全覆蓋”(覆蓋所有業務部門和所有信息系統),開展網絡安全宣傳教育與把握。同時,把問題整改作為網絡安全工作的重要內容,提升了全員網絡安全責任意識。通過對網絡治理、臺賬與檔案建立、制度的不斷規范、工作長效機制建立與健全、執行力檢查與考核、現場應急處置方案演練等工作和環節的把控,從源頭把好安全關,從網絡監管把好運維關,從而構建起來了法制網絡、健康網絡與和諧網絡,初步實現了所有業務部門和所有信息系統健康相處,和諧與共的良好網絡環境。 三是嚴格規范取得實效。建立健全了網絡安全現場應急處置管理體系。通過演練評價,提高了大家的網絡安全意識、執行力意識和網絡安全防護能力及應急處置能力,發揮了網絡安全及信息化工作評價考核機制的作用。 同時,演練中也發現的某些不足。主要體現上,缺乏網絡漏洞掃描工具的應用,沒有建立一個實時識別、分析、預警安全威脅的統一安全管理系統,防勒索、防病毒、防篡改、合規檢查等安全能力不足,不能幫助用戶實現威脅檢測、響應、溯源的自動化安全運營閉環,以及保護系統資產和本地主機并滿足監管合規要求。有條件的話,建議部署一套集有Web、操作系統漏洞、配置基線掃描與資產內容合規、弱密碼檢測等五大核心功能的網絡安全產品,這樣的話,就能自動發現網站或服務器的網絡安全風險,提供多維度安全檢測服務,并滿足合規要求。 |
|
|
