◆吳志宏 張?zhí)?祝凱 王國(guó)梁

地市煙草商業(yè)企業(yè)網(wǎng)絡(luò)安全責(zé)任落實(shí)探析

◆吳志宏 張?zhí)?祝凱 王國(guó)梁

（湖北省煙草公司黃石市公司 湖北 435000）

互聯(lián)網(wǎng)絡(luò)與國(guó)家發(fā)展緊密聯(lián)系日益劇增，各行各業(yè)也都順應(yīng)時(shí)勢(shì)加強(qiáng)互聯(lián)網(wǎng)絡(luò)的應(yīng)用，網(wǎng)絡(luò)安全問(wèn)題也隨之而來(lái)。本文分析了作者所在地市煙草商業(yè)企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀，結(jié)合國(guó)家及行業(yè)要求，從責(zé)任意識(shí)、制度建設(shè)、技術(shù)防護(hù)、考核問(wèn)責(zé)等方面探討了網(wǎng)絡(luò)安全工作責(zé)任的落實(shí)。

煙草；網(wǎng)絡(luò)安全；責(zé)任落實(shí)

隨著互聯(lián)網(wǎng)絡(luò)的迅猛發(fā)展，經(jīng)濟(jì)、政治、科技、文化等領(lǐng)域與信息網(wǎng)絡(luò)形成了深入整合，信息網(wǎng)絡(luò)突顯了強(qiáng)大的創(chuàng)新力，推進(jìn)社會(huì)各項(xiàng)事業(yè)高質(zhì)量發(fā)展。但同時(shí)由于信息安全管理、外部攻擊、網(wǎng)絡(luò)輿論等事件的發(fā)生，信息網(wǎng)絡(luò)強(qiáng)大的破壞力和影響力也為人們敲響了警鐘。為此，黨和國(guó)家也愈加重視網(wǎng)絡(luò)安全，相繼成立了中央及地方各級(jí)網(wǎng)信辦、制定發(fā)布《網(wǎng)絡(luò)安全法》系列法律法規(guī)，網(wǎng)絡(luò)安全已經(jīng)上升至國(guó)家安全高度。

維護(hù)網(wǎng)絡(luò)安全重要手段之一是有效落實(shí)網(wǎng)絡(luò)安全主體責(zé)任。煙草企業(yè)是國(guó)家經(jīng)濟(jì)發(fā)展的重要支柱，更應(yīng)加強(qiáng)責(zé)任、思想、制度、技術(shù)等建設(shè)，全面加強(qiáng)網(wǎng)絡(luò)安全責(zé)任落地。

1 網(wǎng)絡(luò)安全責(zé)任落實(shí)現(xiàn)實(shí)問(wèn)題

1.1 網(wǎng)絡(luò)安全管理秩序不佳。

一是工作職責(zé)執(zhí)行不夠嚴(yán)格，管理所（營(yíng)銷部）-縣局（營(yíng)銷部）-市局（公司）三個(gè)層級(jí)網(wǎng)絡(luò)安全職責(zé)較為明確，但日常實(shí)際工作中，下級(jí)單位沒(méi)有嚴(yán)格履行職責(zé)，最后部分工作由上級(jí)單位承擔(dān)；二是信息系統(tǒng)建設(shè)及管理職責(zé)不清，由于行業(yè)業(yè)務(wù)系統(tǒng)、自建信息系統(tǒng)相應(yīng)職責(zé)沒(méi)有明確，業(yè)務(wù)管理存在“只用不管”現(xiàn)象，賬戶及數(shù)據(jù)管理不嚴(yán)，存在安全風(fēng)險(xiǎn)。

1.2 網(wǎng)絡(luò)安全與信息化建設(shè)不同步。

信息化規(guī)劃由于客觀條件，關(guān)鍵信息基礎(chǔ)設(shè)施早期沒(méi)有較好保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用。近年來(lái)，微信、釘釘及附屬應(yīng)用由于功能完善、價(jià)格實(shí)惠、即買即用等顯著特點(diǎn)被廣泛應(yīng)用，同時(shí)缺少信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)、定級(jí)、備案等手續(xù)，以及企業(yè)內(nèi)部審核手續(xù)，企業(yè)內(nèi)部數(shù)據(jù)被錄入至互聯(lián)網(wǎng)應(yīng)用及服務(wù)中，存在信息數(shù)據(jù)安全風(fēng)險(xiǎn)[1]。

1.3 員工網(wǎng)絡(luò)安全責(zé)任意識(shí)不強(qiáng)。

少數(shù)部門對(duì)網(wǎng)絡(luò)安全工作的重要性認(rèn)識(shí)不足、重視不夠，安全防范意識(shí)不強(qiáng)，基礎(chǔ)設(shè)施安全保障能力不強(qiáng)?；鶎訂T工普遍存在網(wǎng)絡(luò)安全技術(shù)性太強(qiáng)、網(wǎng)絡(luò)安全不會(huì)造成生命危險(xiǎn)、出現(xiàn)事故沒(méi)有財(cái)產(chǎn)損失影響不大等思想，責(zé)任意識(shí)相當(dāng)薄弱。

1.4 專業(yè)人員力量較為薄弱

縣局（營(yíng)銷部）通常僅用1名計(jì)算機(jī)相關(guān)人員擔(dān)任兼職網(wǎng)絡(luò)安全員，同時(shí)還承擔(dān)其他管理部門日常工作，市局（公司）共有4名人員，需要承擔(dān)市局（公司）計(jì)算機(jī)機(jī)房、網(wǎng)絡(luò)鏈路、信息系統(tǒng)、信息化終端及維護(hù)、安全培訓(xùn)等諸多管理工作，工作量超出負(fù)荷較為嚴(yán)重。

2 網(wǎng)絡(luò)安全責(zé)任落實(shí)主要手段

2.1 提高責(zé)任意識(shí)

加強(qiáng)市局縣局兩級(jí)黨組（黨委）對(duì)本單位網(wǎng)信工作的集中統(tǒng)一領(lǐng)導(dǎo)，黨組（黨委）對(duì)本單位網(wǎng)絡(luò)安全工作負(fù)主體責(zé)任；發(fā)揮網(wǎng)信領(lǐng)導(dǎo)小組決策和統(tǒng)籌協(xié)調(diào)作用，每年至少召開(kāi)一次網(wǎng)信領(lǐng)導(dǎo)小組會(huì)議，集中研究本單位網(wǎng)絡(luò)安全和信息化推進(jìn)方向、工作重點(diǎn)和目標(biāo)任務(wù)；分管網(wǎng)絡(luò)安全的領(lǐng)導(dǎo)班子成員每季度召集一次專題會(huì)議，聽(tīng)取網(wǎng)絡(luò)安全工作匯報(bào)，研究網(wǎng)絡(luò)安全工作。

強(qiáng)化網(wǎng)絡(luò)安全全員責(zé)任意識(shí)，按照（市、縣）主體責(zé)任、（業(yè)務(wù)部門、信息部門）主管責(zé)任、（網(wǎng)絡(luò)安全員、部門安全員、個(gè)人）執(zhí)行責(zé)任、（運(yùn)維廠商）第三方責(zé)任四個(gè)層面，圍繞“組織保障、管理手段、技術(shù)防護(hù)、應(yīng)急處置、宣傳教育”五個(gè)維度，建立網(wǎng)絡(luò)安全工作責(zé)任體系，確保網(wǎng)絡(luò)安全責(zé)任落實(shí)到崗、責(zé)任到人。

2.2 強(qiáng)化制度建設(shè)

按照《網(wǎng)絡(luò)安全法》等法律法規(guī)及行業(yè)相關(guān)要求，針對(duì)市局（公司）當(dāng)前網(wǎng)絡(luò)安全管理中存在的突出問(wèn)題，全面梳理現(xiàn)有制度和標(biāo)準(zhǔn)中存在的不足以及未涵蓋的內(nèi)容，實(shí)現(xiàn)制度修訂常態(tài)化，全面完善現(xiàn)有網(wǎng)絡(luò)安全管理制度和流程。

通過(guò)新增和修訂一批綜合類管理制度、基礎(chǔ)設(shè)施類管理制度、應(yīng)用軟件類管理制度、數(shù)據(jù)類管理制度，建立符合國(guó)家網(wǎng)絡(luò)安全法，契合市局（公司）實(shí)際，適應(yīng)互聯(lián)網(wǎng)+發(fā)展要求的網(wǎng)絡(luò)安全制度體系，全面提升網(wǎng)絡(luò)安全基礎(chǔ)管理水平。

2.3 提升技術(shù)防護(hù)

在信息化基礎(chǔ)設(shè)施、網(wǎng)絡(luò)鏈路、信息系統(tǒng)建設(shè)初期，充分考慮行業(yè)網(wǎng)絡(luò)安全規(guī)劃、等保2.0等要求，結(jié)合自身特點(diǎn)加強(qiáng)前瞻性思考、全局性謀劃、戰(zhàn)略性布局，高標(biāo)準(zhǔn)高質(zhì)量做好網(wǎng)絡(luò)安全規(guī)劃。

在終端、應(yīng)用、系統(tǒng)、網(wǎng)絡(luò)和物理五個(gè)層面，通過(guò)廣泛采用用戶名密碼、 CA 認(rèn)證、訪問(wèn)控制、入侵防護(hù)、終端加密等等安全防護(hù)技術(shù)和安全產(chǎn)品，在身份認(rèn)證、訪問(wèn)控制、內(nèi)容安全、監(jiān)控審計(jì)、備份恢復(fù)等網(wǎng)絡(luò)安全防范關(guān)鍵節(jié)點(diǎn)加強(qiáng)針對(duì)性技術(shù)管控，保障當(dāng)前網(wǎng)絡(luò)安全的穩(wěn)定可靠。

針對(duì)基層員工賬號(hào)口令管理不嚴(yán)、信息系統(tǒng)權(quán)限分配較為粗放、敏感數(shù)據(jù)查詢下載管控不嚴(yán)等現(xiàn)象，通過(guò)流程固化、在線審核、溯源追蹤等技術(shù)手段，消除因管理工作隨意性造成安全隱患，實(shí)現(xiàn)通過(guò)“技術(shù)管人”提升安全性。

2.4 狠抓責(zé)任落實(shí)

管理手段方面，充分運(yùn)用行業(yè)安全運(yùn)維平臺(tái)，形成標(biāo)準(zhǔn)化、流程化、一體化的安全運(yùn)維管理機(jī)制和模式，保證應(yīng)用系統(tǒng)的運(yùn)行安全、信息安全、人員安全、資產(chǎn)安全。實(shí)現(xiàn)統(tǒng)一管理、分級(jí)負(fù)責(zé)、流程規(guī)范、安全高效的網(wǎng)絡(luò)安全管控機(jī)制。

隱患整改方面，針對(duì)歷年安全專項(xiàng)檢查、自查等發(fā)現(xiàn)的問(wèn)題，建立整改清單，實(shí)行銷號(hào)管理，全面落實(shí)整改，并在網(wǎng)絡(luò)安全季度報(bào)告中向上級(jí)報(bào)告整改進(jìn)度。同時(shí)，結(jié)合省局網(wǎng)絡(luò)安全月度運(yùn)行通報(bào)、專項(xiàng)檢查等反饋問(wèn)題，結(jié)合實(shí)際工作對(duì)照自查自身是否存在類似問(wèn)題并予以整改。

應(yīng)急處置方面，編制年度應(yīng)急演練計(jì)劃，每年至少開(kāi)展一次實(shí)戰(zhàn)演練，每季度開(kāi)展一次預(yù)案演練，定期上報(bào)演練結(jié)果，每年滾動(dòng)完善演練方案，實(shí)現(xiàn)常態(tài)化的應(yīng)急演練。

2.5 嚴(yán)格考核問(wèn)責(zé)

建立網(wǎng)絡(luò)安全責(zé)任制檢查考核制度，完善健全考核機(jī)制、流程、方法。將網(wǎng)絡(luò)安全工作責(zé)任制考核結(jié)果納入考核評(píng)價(jià)中。不定期開(kāi)展檢查，每季度開(kāi)展通報(bào)，年度網(wǎng)絡(luò)安全工作責(zé)任制考評(píng)結(jié)果不合格或因發(fā)生網(wǎng)絡(luò)安全事件被通報(bào)批評(píng)的，將對(duì)分管領(lǐng)導(dǎo)進(jìn)行約談。對(duì)發(fā)生重大網(wǎng)絡(luò)安全事件的逐級(jí)倒查，追究當(dāng)事人、網(wǎng)絡(luò)安全責(zé)任人直到主要負(fù)責(zé)人責(zé)任，按照有關(guān)法律、法規(guī)嚴(yán)肅處理。

不斷完善監(jiān)控手段，推動(dòng)定期考核向?qū)崟r(shí)監(jiān)控轉(zhuǎn)變。持續(xù)細(xì)化各層級(jí)、各崗位的責(zé)任考核指標(biāo)，充分利用先進(jìn)技術(shù)手段，逐步實(shí)現(xiàn)考核指標(biāo)的可量化、數(shù)據(jù)化和自動(dòng)化抽取，推進(jìn)以網(wǎng)絡(luò)安全考核指標(biāo)體系為核心的監(jiān)控平臺(tái)建設(shè)，實(shí)時(shí)掌握網(wǎng)絡(luò)安全責(zé)任落實(shí)情況和風(fēng)險(xiǎn)隱患，變被動(dòng)處置為主動(dòng)預(yù)防，提升網(wǎng)絡(luò)安全數(shù)字化監(jiān)控能力。

3 結(jié)語(yǔ)

網(wǎng)絡(luò)安全不是獨(dú)立的單項(xiàng)工作，與企業(yè)日常經(jīng)營(yíng)管理工作已經(jīng)深入整合，只有各層級(jí)、環(huán)節(jié)、崗位對(duì)規(guī)定責(zé)任不打折扣高效落實(shí)，才能實(shí)現(xiàn)企業(yè)整體網(wǎng)絡(luò)安全。國(guó)家經(jīng)濟(jì)社會(huì)、企業(yè)需求、內(nèi)外部安全威脅不斷在變，網(wǎng)絡(luò)安全面臨的壓力也隨之在變，責(zé)任落實(shí)機(jī)制及手段也需要適時(shí)調(diào)整及完善。

[1]何洪峰.企業(yè)落實(shí)網(wǎng)絡(luò)安全責(zé)任思考與實(shí)踐[J].廣東公安科技，2018（2）：47-49