刊登廣告 | 雜志訂閱 | 聯系我們 | 關于我們 | 加入理事會 | 加入收藏
 
首頁 |本刊特稿 |管理論壇 |管理批判 |案例·實務 |封面文章 |管理創新 |方法 |企業信息化 |理論·前沿 |管理點滴
微言管理 |精彩推薦 |欄目展示 |關于我們 |投稿須知 |在線調查 |主編信箱 |在線交流 |企管書架|企業家|讀書匯
     
   
     
請輸入要搜索的文章標題
 
 
  《企業管理》雜志簡介:
《企業管理》雜志是由國務院國有資產監督管理委員會主管,中國企業聯合會主辦的中文核心期刊(月刊)。
· 1980年創刊 領先地位
· 龐大的精英受眾群體
· 全球視角 本土方案
· 最高發行量48萬份 滲透中國企業界
 
   訂閱方式    
 
 
 

1. 在選題方面,當前國內企業管理領域的熱點、難
點、疑點問題。了解企業當前的實際問題,是提高
稿件采用率的一個關鍵因素。
2. 在文章風格方面,在敘述方式上力求簡明通俗,
注重可讀性和觀點的新穎。您不妨施展一下您的生
花妙筆,把您的理論、觀點和故事敘述得更明白有
趣一些。
3.本刊多年來形成并保持了以案例說話的風格,我
們歡迎作者提供更多新鮮的、原創的案例文章。
4.本刊審稿周期為兩個月,對于沒有選用的稿件尚
無法一一退稿,敬請諒解。
5.本刊對于作者投稿從不收取“版面費”、“審稿
費”等名目的任何費用。

 
  <<詳情查詢>>  
 
  投稿郵箱 :E_mail:[email protected]
 
 
  副社長兼采編中心主任:王仕斌:特稿、專欄 點擊這里給我發消息 電話:68453201
副主任:王黎: 特稿、管理批判、方法 :點擊這里給我發消息 電話:68701529
欄目主編:程丹丹:信息化·智能化、理論·前沿:點擊這里給我發消息 電話:68414646
欄目主編:苗榕 :封面文章、案例·實務:點擊這里給我發消息 電話:68436071
欄目主編:韋敏:企業家、管理創新:點擊這里給我發消息 電話:68436071
欄目主編:張艷蕊:點擊這里給我發消息 電話:68436071
編輯:井亞瓊:論壇: 點擊這里給我發消息 電話:68414646
企業研究中心主任:郭學軍:走進央企、讀書匯: 點擊這里給我發消息 電話:68701338
欄目主編:呂宏勝: 點擊這里給我發消息 電話:68701338
 
 
     
  更多>>>  
  ·《六韜》對管理者的啟示(2020-03)
·高效人生的十個要點(2020-02)
·管理者要掃清六個路障(2020-02)
·你真的把客戶放在第一位了嗎?(2020-02)...
·管理小游戲:扔掉“舊包袱”(2020-02)
·企業家心得(2020-01)
·挖來的產品經理難“存活”(2020-01)
 
 
     
  更多>>>  
 
 
         
    企業信息化    
  筑牢網絡安全“防火墻”(2020-02)  
企業管理雜志 發布時間:20-06-29        
   

網絡攻擊威脅逐年增加,各類漏洞數量持續攀升,大量信息系統存在漏洞,傳統網絡安全問題已向工業控制領域延伸⋯⋯

 

文/陳斯迅



關鍵詞:網絡安全  網絡安全法  網絡安全等級保護制度2.0  漏洞掃描  滲透測試

     近年來,隨著企業信息化建設水平的逐步提高,OA、ERP、EAM、MES等信息系統的應用大大提高了生產效率,但是,在業務對信息化越來越依賴的情況下,網絡安全問題頻繁發生。網絡攻擊威脅逐年增加,大量信息系統存在漏洞,傳統網絡安全問題已向工業控制領域延伸,加強企業網絡安全管理顯得更加迫切。
     從《網絡安全法》頒布到網絡安全等級保護制度2.0的出臺,都彰顯了國家對網絡安全的重視。中國石油管道公司根據政策要求,逐步完善了相應網絡安全制度,設立專職網絡安全崗位,部署了漏洞掃描、防火墻等網絡安全設備,每年進行滲透測試,從外部通知整改轉變為自查漏洞并整改的網絡安全管理模式。公司根據“策略—防護—檢測—響應—恢復”模型(PPDRR模型),構建起一套網絡安全管理體系。
    
網絡安全總體策略
     由于信息系統在企業生產經營中扮演著重要角色,業務部門都會自建和維護本部門的信息系統,如財務處負責FMIS、AMIS等系統的建設和運維,人事處負責人力資源、績效考核系統的建設和運維⋯⋯這些系統由各業務部門負責,這就給網絡安全增加了更大的風險。另外,網絡安全工作還涉及工業控制系統的安全、商業信息保密、員工個人隱私等多方面的問題,傳統的信息管理部門難以協調解決涉及面如此廣泛的問題。基于以上原因,公司成立了網絡安全領導小組,由公司總經理任組長,負責公司總體網絡安全工作。網絡安全領導小組建立了相關的規章制度和操作規范,包括設備管理制度、機房管理制度、安全基線手冊、應急預案、漏洞管理制度等,使各項業務有章可循。同時,明確各相關部門的職責,按照誰主管誰負責的原則層層落實網絡安全責任。將各個系統的安全需求統籌考慮,統一管理公司網絡安全投資,以法律法規和網絡安全檢查的結論為依據,形成下一年度的投資計劃。
    
信息設備管理
     信息設備管理是信息化管理工作的基礎,同時也是網絡安全工作的基礎。幾年前,當漏洞被發現時,最大的難題是如何找到IP地址所對應的設備,具體由誰負責。面臨這種問題,公司建立了IP地址實名制管理制度,并配套相關系統進行管理,每一個條目中記錄了IP地址、對應設備、人員、單位、物理位置、設備中包含的相關軟件等信息。建立此類信息一方面可以通過相關設備收集網絡信息,另一方面可以通過下發通知、調研等方式,獲得IP地址對應的人員信息。公司通過這項管理機制,將網絡安全責任根據設備的責任主體落實到部門和人員。
    
機房和網絡保護
     在物理安全方面,公司確保機房的建筑防火、耐火等級、耐火極限、安全出口等建設符合國家標準。確保機房溫度、濕度、空氣含塵濃度、噪聲、電磁干擾、振動及靜電等指標符合國際相關要求;安裝門控系統,只有機房管理員和主要運維人員可以通過指紋識別進入機房。
     合理的網絡架構是網絡安全的基礎。公司相關分支機構分布在17個省,以前各個機構和總部的局域網互聯互通,每個機構有自建的互聯網出口。但是,由于分支機構的安全防護能力不足,經常有安全事件發生。近幾年公司關閉了所有分支機構的互聯網出口,在總部的互聯網出口上部署安全設備,統一防范網絡威脅,同時各分支機構的主要服務器都集中在總部機房。對企業局域網進行安全劃分,每個分支機構到總部的出口都部署防火墻,防止病毒等攻擊行為在局域網內部擴散;為總部每個部門設置VLAN,隔離ARP病毒等數據鏈路層風險;對于有關生產安全或涉密信息的系統,建立專網與其他網絡物理隔離。在服務器區,根據等保定級劃分不同安全區域,同時分離出生產區和測試區,測試區的系統只有開發者、管理員以及安全檢查人員可以訪問。
信息系統基本保護
     公司全面部署漏洞補丁和病毒查殺系統,辦公電腦方面,安裝桌面安全系統,集成補丁自動分發、病毒查殺等多種功能;服務器方面,因為更新補丁會影響服務器正常運行,所以不能自動更新安裝,而是部署專門下載各種操作系統以及常見軟件補丁的服務器,由信息系統運維人員進行人工補丁安裝。公司制定了安全基線,對主流操作系統、數據庫、Web服務器制定了明確的安全配置要求和操作步驟,對信息系統起到基本的保護作用。對信息系統進行訪問控制管理,任何人員開通賬號或增加權限都需要經過審批,同時進行權限互斥檢查。在管理員層面,操作系統管理員、數據庫管理員、應用系統管理員須由不同人員擔任,重要信息系統的權限也要進行互斥檢查。如在ERP系統中,價格維護權限要和維護銷售訂單權限互斥,銷售出庫權限要和銷售發票權限互斥。
     面對眾多的信息系統賬號,如何保證系統信息安全是一個重要問題。石油企業擁有眾多員工,應建立企業內部的PKI(公鑰基礎設施),并為電腦和系統使用人員辦理數字證書,作為人員在企業中訪問所有信息資源的唯一憑證。通過數字證書對各個信息系統以及辦公電腦的映射,可以有效防止人員賬號密碼被非法使用。同時,在人員離職時可以通過注銷數字證書的方法直接取消離職人員的所有訪問權限,消除潛在威脅。
     信息系統安全保護,不僅需要定期安全檢查,在系統開發時期就需要實施安全開發。當前,公司由于人員和技術力量的原因,尚未建立全面的安全開發措施,主要工作是建立起一套安全代碼開發規范,指導開發人員編寫程序,同時嚴格執行上線前的安全檢查。在合規性方面,要求所有系統必須通過等級保護的定級、備案和測評,才允許系統部署在測試區。在測試區,技術人員對系統進行漏洞掃描和滲透測試,作為系統驗收的重要部分,開發人員對系統完成整改并通過驗證后才能部署到生產區。
    
漏洞管理機制
     信息系統漏洞的檢查和整改一直以來都是公司網絡安全的重點工作。對于共有漏洞,部署漏洞掃描設備,定期對公司進行全網掃描;對于自建信息系統的私有漏洞,需要通過滲透測試的方法發現漏洞。一方面需要專業的隊伍才能有效發現漏洞,另一方面自建系統往往涉及公司主要業務和相關機密信息,相關工作全部委托給外部人員安全風險較大,而且相比漏洞掃描來說,滲透測試工作主觀性較強,評估外部人員的完成情況需要有較強的技術基礎。
     面對以上問題,公司采取了委托外部機構和培養內部技術力量相結合的方式,每年定期委托外部專業機構對公司信息系統進行滲透測試,內部技術人員負責對漏洞進行驗證和整改,公司授予內部技術人員查看系統源代碼的權利,并建立獎勵機制鼓勵內部技術人員隨時挖掘漏洞。2018年以來,公司共通過代碼審計和滲透測試發現私有漏洞5類31項。發現漏洞的目的是修復漏洞,私有漏洞總體數量較少,而且通常可以修改系統源代碼,修復相對容易;共有漏洞數量龐大,如2017年進行了全網掃描,漏洞達到11405項,雖然通過補丁分發以及安全基線配置等措施,2019年漏洞數量仍然達到3104項。由于漏洞整改需要相關廠商提供補丁,如果補丁無法正常安裝,則漏洞很難完成整改。例如,公司發現多個HP打印機有SSLTLS受戒禮漏洞,但廠商沒有提供相關補丁或者系統升級服務。
     根據上述問題,公司對漏洞采取分級管理的方法,對于共有漏洞,漏洞掃描設備中會給出漏洞的相關評分,該評分是根據CVE等國內外權威機構給出的標準,同時根據信息系統和相關設備的重要程度、當前存在的主要威脅,對每個漏洞進行打分,滿分為10分。對于分值在6分以下的漏洞,只通知其使用或運維人員,不要求其反饋;對于6分至9分的漏洞,必須反饋整改結果并對其驗證;對于9分以上的漏洞,服務器立即從生產區轉移到測試區,檢驗其完成整改后才能恢復正常運行。對于評估分數較低的漏洞采取只通知不要求反饋的措施,在企業體系審核的過程中經常被提出質疑,認為缺乏閉環管理。然而,這項措施是根據企業實際情況提出,一方面網絡安全管理人員嚴重缺乏,另一方面部分漏洞的整改耗費大量資金和時間,但這些漏洞造成的風險并不大,雖然只通知不反饋,但由于廣大員工安全意識較高,在下一輪的漏洞掃描中,發現有一半以上漏洞被整改。
    
網絡安全檢測
     網絡安全風險評估中的三個基本要素是資產、威脅、脆弱性,網絡安全保護主要工作是通過事前的各種安全措施,降低各種資產的脆弱性。對于內外部威脅,公司也采取了相關檢測措施。
     物理檢測方面,在重點區域部署攝像頭并存儲現場視頻,對發現的可疑人員進行審查;每隔2小時對機房進行巡檢,通知系統管理員對不正常運行的服務器進行處理。
     情報獲取方面,每天對國內外主流網站、政府主管部門等發布的最新威脅情報進行分析,針對企業信息設備情況進行自查和防范。
     網絡檢測方面,部署態勢感知系統,全面分析網絡狀態和入侵威脅,及時阻斷具有威脅的外部IP地址。如果發現向外部發起攻擊的內部IP地址,現場或遠程查看其相應設備,對其進行行為分析和病毒查殺。
     在安全審計方面,要求服務器的Web日志、操作系統日志、數據庫日志都要保持半年以上,定期檢查并處置異常行為。
    
事件響應和恢復
     盡管開展了各方面的網絡安全保護和檢測工作,通過事前和事中的管控避免對網絡和信息系統造成損失,但是安全事件的事后應對工作也是不可或缺的一個方面。公司建立網絡安全應急預案,設立突發事件應急領導小組,明確小組成員以及工作職責,對安全事件進行分級分類管理;設立安全事件處置流程,和相關廠商簽訂協議,確保其對安全事件應急的技術支持。對信息系統、網絡鏈路、數據、相關設備采取冗余備份措施。每年對安全應急預案進行應急演練,并根據演練結果不斷優化應急預案。
    
網絡安全培訓
     由于網絡安全工作具有特殊性,一方面與每一位員工的工作都密不可分,另一方面涉及計算機、信息學科的各個領域,知識面廣泛,技術更新快,需要定期對信息技術人員進行專業培訓。基于此,公司網絡安全培訓分為三個方向:一是面向全體員工的培訓,提升其網絡安全意識,并講授計算機使用時安全防御的基本操作技能;二是面向各分支機構信息管理員的培訓,主要講授公司網絡安全管理制度,配置安全基線、整改相關漏洞等基礎操作技術;三是面向網絡安全技術人員以及信息系統開發人員的培訓,通過聘請專業機構進行技術培訓,包括滲透測試、源代碼審計、系統安全運維等方面,同時鼓勵技術人員參加網絡安全比賽和考取相關證書,提高技術水平。■


作者單位 中國石油管道公司
 

   頂(140)  踩(139)   查看次數:(1878)   
 
    更多>>>
  本刊特稿
·倉里有糧,心中有數(2020-03)
·打好防疫戰,AI有“技”可施(2020-03)
·疫情期間,不見面如何工作?(2020-03)
·疫情之下企業危機與生機(2020-03)
·疫情挑戰與企業對策 逆境中,企業必須做出...
·疫情衍生法律問題應對(2020-03)
 
 
    更多>>>
  管理論壇
·“向華為學管理”系列(六) 華為:讓個人...
·學會“愛”與“自愛”(2020-03)
·力爭一次做對(2020-03)
·“邏輯領導力”系列(七)改變,從流程開始...
·科技向善,以正理企(2020-03)
·《一位總經理的成長手記》系列(八)從下屬...
 
 
 
    更多>>>
  管理批判
·信息化項目建設的八個痛點(2020-03)
·能者多勞還是能者少勞?(2020-03)
·產業互聯網:賦能先轉型(2020-03)
·外聘高管難挽狂瀾?(2020-02)
·康得新緣何墮入“債務陷阱”?——基于大股...
·網易考拉:市占率向左,盈利向右(2019-11)...
 
 
    更多>>>
  案例·實務
·翔泰漁業:三產融合,向海而生(2020-03)
·魯礦公司為何取消子公司會計崗位?(2020-0...
·海底撈:布局火鍋全產業鏈(2020-03)
·大東鞋業六步打造快時尚品牌(2020-03)
·彩妝集合能否引領美妝潮流?(2020-03)
·安全文化·安全管理 “班組安全島”開創基...
 
 
 
    更多>>>
  盈利模式
·盈利原理 ——透視商業的本質(2014-04)
·探索制造業服務化之路(2014-04)
·黃太吉煎餅的盈利邏輯(2014-04)
·用現金流模式檢測盈利模式的“質量”(2014...
·新東方盈利模式的先天性缺陷(2014-03)
·全產業鏈服務商的盈利路線圖(2014-03)
 
 
    更多>>>
  封面文章
·新時代國企改革的“陜投模式”(2020-01)
·實施“五大工程” 鍛造強勁引擎 黨建引領...
·中交集團:“五商中交”“三者”定位打造基...
·全面轉型升級 爭創國際一流 山東黃金奏響創...
·兗礦集團:變革轉型激活力 動能轉換謀發展...
·泰山集團:以科技創新踐行綠色發展(2019-0...
 
 
 
    更多>>>
  管理創新
·兆馳集團財務共享創新(2020-03)
·研發管理體系建設與應用(2020-03)
·均衡排產管理(2020-03)
·大疆創新生態系統(2020-03)
·“蒙草”創新的三層進階(2020-02)
·巴斯夫的創新之道(2020-02)
 
 
    更多>>>
  方法
·如何提高銷售預測準確率(2020-03)
·企業檔案助力品牌營銷(2020-03)
·降庫存“舞動”供應鏈(2020-03)
·工作重塑從被動接受到主動追求(2020-03)
·“三抓一管”預防型質量管理(2020-02)
·“蒙草”創新的三層進階(2020-02)
 
 
 
    更多>>>
  企業信息化
·制造+物流協同新模式——基于海爾與日日順...
·信息系統嚴把質量關(2020-03)
·數據中臺應對招聘難題(2020-03)
·IT系統有必要集成管理流程嗎?(2020-02)
·筑牢網絡安全“防火墻”(2020-02)
·一種有效降低研發風險的管理模式(2020-02)
 
 
    更多>>>
  理論·前沿
·“幸福班組”建設路徑探索(2020-03)
·企業如何加強誠信建設(2020-03)
·工業企業云化發展評價及對策研究(2020-03...
·中小企業自主創新可行性分析(2020-02)
·陽明心學打造當代心力(2020-02)
·閑置專利的喚醒與使用(2020-02)
 
 
 
 
國務院國有資產監督管理委員會 國家發展和改革委員會 中華人民共和國商務部 中企聯合網 中國投資協會 中國工商協會 中國鋼鐵工業協會 中國國家企業網
中國電力企業聯合會 中國經濟網 人民網 新華網 中國網 央視國際 中青網 中國日報 中經網 《經濟管理》雜志
 
加入理事會 | 市場活動 | 刊登廣告 | 雜志訂閱 | 聯系我們 | 關于我們
投稿郵箱 :[email protected]    Copyright 2011, 版權所有 www.cecm.net
京ICP備12008127

京公網安備 11010802023979號

山东群英会实时开奖