◆吳志宏 張?zhí)?祝凱 王國梁

地市煙草商業(yè)企業(yè)網(wǎng)絡安全責任落實探析

◆吳志宏 張?zhí)?祝凱 王國梁

（湖北省煙草公司黃石市公司 湖北 435000）

互聯(lián)網(wǎng)絡與國家發(fā)展緊密聯(lián)系日益劇增，各行各業(yè)也都順應時勢加強互聯(lián)網(wǎng)絡的應用，網(wǎng)絡安全問題也隨之而來。本文分析了作者所在地市煙草商業(yè)企業(yè)網(wǎng)絡安全現(xiàn)狀，結合國家及行業(yè)要求，從責任意識、制度建設、技術防護、考核問責等方面探討了網(wǎng)絡安全工作責任的落實。

煙草；網(wǎng)絡安全；責任落實

隨著互聯(lián)網(wǎng)絡的迅猛發(fā)展，經(jīng)濟、政治、科技、文化等領域與信息網(wǎng)絡形成了深入整合，信息網(wǎng)絡突顯了強大的創(chuàng)新力，推進社會各項事業(yè)高質(zhì)量發(fā)展。但同時由于信息安全管理、外部攻擊、網(wǎng)絡輿論等事件的發(fā)生，信息網(wǎng)絡強大的破壞力和影響力也為人們敲響了警鐘。為此，黨和國家也愈加重視網(wǎng)絡安全，相繼成立了中央及地方各級網(wǎng)信辦、制定發(fā)布《網(wǎng)絡安全法》系列法律法規(guī)，網(wǎng)絡安全已經(jīng)上升至國家安全高度。

維護網(wǎng)絡安全重要手段之一是有效落實網(wǎng)絡安全主體責任。煙草企業(yè)是國家經(jīng)濟發(fā)展的重要支柱，更應加強責任、思想、制度、技術等建設，全面加強網(wǎng)絡安全責任落地。

1 網(wǎng)絡安全責任落實現(xiàn)實問題

1.1 網(wǎng)絡安全管理秩序不佳。

一是工作職責執(zhí)行不夠嚴格，管理所（營銷部）-縣局（營銷部）-市局（公司）三個層級網(wǎng)絡安全職責較為明確，但日常實際工作中，下級單位沒有嚴格履行職責，最后部分工作由上級單位承擔；二是信息系統(tǒng)建設及管理職責不清，由于行業(yè)業(yè)務系統(tǒng)、自建信息系統(tǒng)相應職責沒有明確，業(yè)務管理存在“只用不管”現(xiàn)象，賬戶及數(shù)據(jù)管理不嚴，存在安全風險。

1.2 網(wǎng)絡安全與信息化建設不同步。

信息化規(guī)劃由于客觀條件，關鍵信息基礎設施早期沒有較好保證安全技術措施同步規(guī)劃、同步建設、同步使用。近年來，微信、釘釘及附屬應用由于功能完善、價格實惠、即買即用等顯著特點被廣泛應用，同時缺少信息系統(tǒng)安全等級保護測評、定級、備案等手續(xù)，以及企業(yè)內(nèi)部審核手續(xù)，企業(yè)內(nèi)部數(shù)據(jù)被錄入至互聯(lián)網(wǎng)應用及服務中，存在信息數(shù)據(jù)安全風險[1]。

1.3 員工網(wǎng)絡安全責任意識不強。

少數(shù)部門對網(wǎng)絡安全工作的重要性認識不足、重視不夠，安全防范意識不強，基礎設施安全保障能力不強?；鶎訂T工普遍存在網(wǎng)絡安全技術性太強、網(wǎng)絡安全不會造成生命危險、出現(xiàn)事故沒有財產(chǎn)損失影響不大等思想，責任意識相當薄弱。

1.4 專業(yè)人員力量較為薄弱

縣局（營銷部）通常僅用1名計算機相關人員擔任兼職網(wǎng)絡安全員，同時還承擔其他管理部門日常工作，市局（公司）共有4名人員，需要承擔市局（公司）計算機機房、網(wǎng)絡鏈路、信息系統(tǒng)、信息化終端及維護、安全培訓等諸多管理工作，工作量超出負荷較為嚴重。

2 網(wǎng)絡安全責任落實主要手段

2.1 提高責任意識

加強市局縣局兩級黨組（黨委）對本單位網(wǎng)信工作的集中統(tǒng)一領導，黨組（黨委）對本單位網(wǎng)絡安全工作負主體責任；發(fā)揮網(wǎng)信領導小組決策和統(tǒng)籌協(xié)調(diào)作用，每年至少召開一次網(wǎng)信領導小組會議，集中研究本單位網(wǎng)絡安全和信息化推進方向、工作重點和目標任務；分管網(wǎng)絡安全的領導班子成員每季度召集一次專題會議，聽取網(wǎng)絡安全工作匯報，研究網(wǎng)絡安全工作。

強化網(wǎng)絡安全全員責任意識，按照（市、縣）主體責任、（業(yè)務部門、信息部門）主管責任、（網(wǎng)絡安全員、部門安全員、個人）執(zhí)行責任、（運維廠商）第三方責任四個層面，圍繞“組織保障、管理手段、技術防護、應急處置、宣傳教育”五個維度，建立網(wǎng)絡安全工作責任體系，確保網(wǎng)絡安全責任落實到崗、責任到人。

2.2 強化制度建設

按照《網(wǎng)絡安全法》等法律法規(guī)及行業(yè)相關要求，針對市局（公司）當前網(wǎng)絡安全管理中存在的突出問題，全面梳理現(xiàn)有制度和標準中存在的不足以及未涵蓋的內(nèi)容，實現(xiàn)制度修訂常態(tài)化，全面完善現(xiàn)有網(wǎng)絡安全管理制度和流程。

通過新增和修訂一批綜合類管理制度、基礎設施類管理制度、應用軟件類管理制度、數(shù)據(jù)類管理制度，建立符合國家網(wǎng)絡安全法，契合市局（公司）實際，適應互聯(lián)網(wǎng)+發(fā)展要求的網(wǎng)絡安全制度體系，全面提升網(wǎng)絡安全基礎管理水平。

2.3 提升技術防護

在信息化基礎設施、網(wǎng)絡鏈路、信息系統(tǒng)建設初期，充分考慮行業(yè)網(wǎng)絡安全規(guī)劃、等保2.0等要求，結合自身特點加強前瞻性思考、全局性謀劃、戰(zhàn)略性布局，高標準高質(zhì)量做好網(wǎng)絡安全規(guī)劃。

在終端、應用、系統(tǒng)、網(wǎng)絡和物理五個層面，通過廣泛采用用戶名密碼、 CA 認證、訪問控制、入侵防護、終端加密等等安全防護技術和安全產(chǎn)品，在身份認證、訪問控制、內(nèi)容安全、監(jiān)控審計、備份恢復等網(wǎng)絡安全防范關鍵節(jié)點加強針對性技術管控，保障當前網(wǎng)絡安全的穩(wěn)定可靠。

針對基層員工賬號口令管理不嚴、信息系統(tǒng)權限分配較為粗放、敏感數(shù)據(jù)查詢下載管控不嚴等現(xiàn)象，通過流程固化、在線審核、溯源追蹤等技術手段，消除因管理工作隨意性造成安全隱患，實現(xiàn)通過“技術管人”提升安全性。

2.4 狠抓責任落實

管理手段方面，充分運用行業(yè)安全運維平臺，形成標準化、流程化、一體化的安全運維管理機制和模式，保證應用系統(tǒng)的運行安全、信息安全、人員安全、資產(chǎn)安全。實現(xiàn)統(tǒng)一管理、分級負責、流程規(guī)范、安全高效的網(wǎng)絡安全管控機制。

隱患整改方面，針對歷年安全專項檢查、自查等發(fā)現(xiàn)的問題，建立整改清單，實行銷號管理，全面落實整改，并在網(wǎng)絡安全季度報告中向上級報告整改進度。同時，結合省局網(wǎng)絡安全月度運行通報、專項檢查等反饋問題，結合實際工作對照自查自身是否存在類似問題并予以整改。

應急處置方面，編制年度應急演練計劃，每年至少開展一次實戰(zhàn)演練，每季度開展一次預案演練，定期上報演練結果，每年滾動完善演練方案，實現(xiàn)常態(tài)化的應急演練。

2.5 嚴格考核問責

建立網(wǎng)絡安全責任制檢查考核制度，完善健全考核機制、流程、方法。將網(wǎng)絡安全工作責任制考核結果納入考核評價中。不定期開展檢查，每季度開展通報，年度網(wǎng)絡安全工作責任制考評結果不合格或因發(fā)生網(wǎng)絡安全事件被通報批評的，將對分管領導進行約談。對發(fā)生重大網(wǎng)絡安全事件的逐級倒查，追究當事人、網(wǎng)絡安全責任人直到主要負責人責任，按照有關法律、法規(guī)嚴肅處理。

不斷完善監(jiān)控手段，推動定期考核向?qū)崟r監(jiān)控轉(zhuǎn)變。持續(xù)細化各層級、各崗位的責任考核指標，充分利用先進技術手段，逐步實現(xiàn)考核指標的可量化、數(shù)據(jù)化和自動化抽取，推進以網(wǎng)絡安全考核指標體系為核心的監(jiān)控平臺建設，實時掌握網(wǎng)絡安全責任落實情況和風險隱患，變被動處置為主動預防，提升網(wǎng)絡安全數(shù)字化監(jiān)控能力。

3 結語

網(wǎng)絡安全不是獨立的單項工作，與企業(yè)日常經(jīng)營管理工作已經(jīng)深入整合，只有各層級、環(huán)節(jié)、崗位對規(guī)定責任不打折扣高效落實，才能實現(xiàn)企業(yè)整體網(wǎng)絡安全。國家經(jīng)濟社會、企業(yè)需求、內(nèi)外部安全威脅不斷在變，網(wǎng)絡安全面臨的壓力也隨之在變，責任落實機制及手段也需要適時調(diào)整及完善。

[1]何洪峰.企業(yè)落實網(wǎng)絡安全責任思考與實踐[J].廣東公安科技，2018（2）：47-49