企业网络安全保障体系建设探讨

企业网络安全保障体系建设探讨

作者：陈晓飞

来源：《智富时代》2019年第01期

【摘要】近年来，信息技术以其便捷、高效等优势，有效推动了社会事业和经济领域快速发展。烟草行业为顺应时代发展，加快推进信息化与烟草产业融合创新工作，卷烟生产企业也积极响应行业要求探索两化融合新途径，以实现智能制造为目标推动企业高质量发展，信息化已经涵盖到企业生产的各个环节。伴随着企业信息化应用不断深化，网络安全问题也日益突出，保障企业网络安全已经成为保证信息化应用成效面临的首要问题。有鉴于此，本文结合企业网络安全现状，简单阐述对企业网络安全保障体系建设工作的理解和看法。

【关键词】信息化；网络安全；保障体系

一、企业网络安全现状

根据烟草行业一体化“数字烟草”建设要求，卷烟生产企业信息化经过多年持续投入，主要业务流程已经基本实现信息化管理。伴随国家提出实施“中国制造2025”以及“互联网+”行动计划，卷烟生产企业逐步加快信息化和工业化深入融合步伐，企业办公网、生产管理网、工业控制网以及互联网间逐步实现互联互通，企业管理信息系统与工业控制系统功能结合越发紧密，基于云计算、移动互联、物联网等新技术应用不断增多，系统间数据交互更加频繁，企业面临网络安全风险也逐步增加。

2017年，《中华人民共和国网络安全法》实施以后，企业出现重大网络安全事件，不再只是企业内部问题，重要系统停用不仅会为企业带来经济、名誉损失，造成不良社会影响的可能还要承担法律责任。因此，迫切需要建立与之相适应的保障体系，加强网络安全管理与技术防范能力，确保企业网络安全。

二、网络安全保障体系建设思路

由于网络安全涉及人员组织、安全技术、管理机制等诸多因素，建立网络安全保障建设必然是一个动态管理、不断循环、逐步完善的过程。必须明确网络安全保障目标，以安全策略为核心，建立信息安全管理、信息安全技术、信息安全运维三大体系，做好企业网络安全保障工作。

（一）明确信息安全策略

依据国家《信息安全等级保护管理办法》，明确企业系统安全保护等级，以满足等保级别要求为目标，建立信息安全策略，逐步完善企业信息安全管理、技术与运维体系。

（二）网络安全管理体系建设

健全网络安全管理机制，落实企业网络安全职责，确定工作规范，保证网络管理制度、技术措施有效执行。

1.网络安全组织机构建设

一是成立网络安全领导小组，落实企业负责人网络安全主体责任，加强网络安全工作决策与支持力度；二是明确日常管理机构，完善网络安全管理制度，实施网络安全管理考核，保障网络安全策略贯彻落实；三是打造高效的网络安全执行团队，建立以专业技术人员为核心，各部门网络安全管理员参与的管理执行队伍，做好网络安全建设、管理、日常检查整改与应急响应处置等工作，形成网络安全人人有责、人人负责的工作格局。

2.网络安全规章制度建设

明确企业网络安全相关工作、技术与管理标准，如信息安全组织管理、信息系统开发、终端及主机安全、业务系统网络安全保障规范、数据备份、应急预案、绩效评估考核、维护配置管理、机房安全、资产安全、风险评估规范、第三方人员安全、系统日常操作及维护等管理制度。

3.网络安全教育和培训管理

网络安全教育与培训常态化，不断提升企业职工网络安全意识、知识和技能，共同做好企业网络安全工作。

（三）网络安全技术体系建设

依据企业网络安全目标，结合等级保护基本要求，制定细化安全策略，完善网络安全技术防护手段，网络安全技术体系主要涉及网络安全防护、检测、响应和恢复四个方面的内容。

1.网络安全防护措施

一是细化网络安全管理区域。明确办公、服务器、运维管理、安防监控、工控系统等网络边界，依据系统等级保护定级情况部署入侵防御系统、防病毒网关、上网行为管理等网络安全主动防御系统，细化网络安全访问控制策略，加强企业内网、互联网安全访问控制和管理。二是实施网络安全加固。不断增强网络设备、服务器和操作系统平台可靠性，加强系统设备、操作系统访问控制和审计，加强恶意代码防护、增强关键数据保护。三是做好系统与通信保护。依据企业业务系统特点，梳理各信息系统业务关联、通信要求、网络关系，结合系统等级保护定级结果，细化信息系统安全域，对每个独立信息系统进行进一步的安全划分和边界整合。根据系统功能采用不同网络安全防护技术，如DDOS防护、防病毒邮件网关、CA认证、运维审计等。

2.加强网络安全事件检测与响应处理措施

一是建立网络安全事件预警与检测平台，做好网络安全风险预警、漏洞检测整改，实时监控重要系统网络安全事件，提前预防或及时发现处理网络安全问题。二是建立网络安全管理中心，对网络安全产品进行集中监控管理，统一制定网络安全策略、收集网络安全设备日志，分析挖掘网络安全日志数据，进一步提高网络安全事件检测与处理效率。

3.备份与恢复措施

制定重要系统备份恢复策略，编制灾难备份恢复技术方案，明确备份恢复人员、操作流程等相关内容，实现出现系统重大故障后系统功能应用快速恢复。

（四）网络安全运维体系建设

加强系统运维期间网络安全管理，发现、纠正网络安全管理、技术运行中的各类问题，不断提升企业网络安全保障能力。

1.实施安全风险评估管理

建立网络安全风险评估管理机制，及时识别、预防网络安全风险。

2.开展等级保护测评整改

根据国家《信息安全等级保护管理办法》，定期对信息系统安全等级状况开展等级测评，及时发现与整改网络安全问题。

3.加强系统建设安全管理

落实网络安全“三同步”（同步规划设计、同步实施、同步投入运行）要求，做好信息化建设采购和开发管理，系统规划阶段确定系统安全保护等级，系统建设实施遵循网络安全相关规范标准，上线前进行网络安全测试和评估，确保系统正式运行完全满足网络安全相关要求。

4.外包运维服务管理

明确系统设计、建设、设备安装调试以及运维服务等环节网络安全管理要求，与相关单位、人员签订保密协议，避免出现重要信息泄露问题。

5.应急计划和事件响应

识别重要网络安全风险，编制网络安全事件应急响应方案，定期开展应急演练，完善应急响应处理机制。

6.绩效评估与改进