冶金行業(yè)是國民經(jīng)濟的重要基礎(chǔ)產(chǎn)業(yè),是技術(shù)、資金、資源、能源密集型產(chǎn)業(yè)。目前,我國大部分冶金企業(yè)已基本實現(xiàn)管理信息系統(tǒng),極大地提高了企業(yè)生產(chǎn)效率,更加適應(yīng)日益激烈的市場競爭,隨之帶來數(shù)據(jù)安全問題。一旦冶金企業(yè)設(shè)計、生產(chǎn)等核心數(shù)據(jù)遭到泄露,會對企業(yè)的利益造成直接損失。
《中國制造2025》等強國戰(zhàn)略背景下,冶金企業(yè)身處數(shù)字化轉(zhuǎn)型的浪潮中,向“中國智造”轉(zhuǎn)變。冶金企業(yè)在安全意識方面,目前存在兩個問題:一是對企業(yè)信息安全怎么做、信息安全應(yīng)該做到何種程度、達到怎樣的預(yù)期效果等企業(yè)預(yù)計投入比較模糊,需要專業(yè)機構(gòu)提供安全風(fēng)險評估及規(guī)劃服務(wù);二是大多數(shù)安全廠商對行業(yè)流程及深度理解不夠、溝通成本較高、行業(yè)解決方案千篇一律。數(shù)字化、智能化已成為當(dāng)前時代的主旋律,冶金行業(yè)作為國家經(jīng)濟的支柱性產(chǎn)業(yè),需要積極落實企業(yè)數(shù)字化轉(zhuǎn)型,真正實現(xiàn)工業(yè)互聯(lián)網(wǎng),走向智造未來。
● 1994年,國務(wù)院第147號令《中華人民共和國計算機信息系統(tǒng)安全保護條例》明確我國計算機信息系統(tǒng)實行安全等級保護;公安部與國家保密局、國家秘密管理局、原國務(wù)院信息化工作辦公室先后出臺了《關(guān)于印發(fā)<信息安全等級保護管理辦法>的通知》、《關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》等一系列指導(dǎo)意見和規(guī)范。
● 2005年,國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組正式通過了《關(guān)于開展信息安全風(fēng)險評估的若干意見》,規(guī)定了信息安全風(fēng)險評估的工作流程、評估內(nèi)容、評估方法和風(fēng)險判斷準則,適用于信息系統(tǒng)的使用單位進行自我風(fēng)險評估,以及風(fēng)險評估機構(gòu)對信息系統(tǒng)進行獨立的風(fēng)險評估。
● 2013年,工業(yè)和信息化部關(guān)于印發(fā)《信息化和工業(yè)化深度融合專項行動計劃(2013-2018年)》,推動信息化和工業(yè)化深度融合,以信息化帶動工業(yè)化,以工業(yè)化促進信息化,對于破解當(dāng)前發(fā)展瓶頸,實現(xiàn)工業(yè)轉(zhuǎn)型升級。
● 2015年,工業(yè)和信息化部關(guān)于印發(fā)貫徹落實《國務(wù)院關(guān)于積極推進“互聯(lián)網(wǎng)+”行動的指導(dǎo)意見》行動計劃(2015-2018年),促進互聯(lián)網(wǎng)和經(jīng)濟社會融合發(fā)展,拓展網(wǎng)絡(luò)經(jīng)濟空間,提高發(fā)展質(zhì)量和效益。
● 2016年,《網(wǎng)絡(luò)安全法》出臺,明確國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、冶金等重要行業(yè)和領(lǐng)域,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施,在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上,實行重點保護。
● 2017年,國務(wù)院印發(fā)《關(guān)于深化“互聯(lián)網(wǎng)+先進制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》,提出夯實網(wǎng)絡(luò)基礎(chǔ),打造平臺體系、加強產(chǎn)業(yè)支撐、促進融合應(yīng)用、完善生態(tài)體系、強化安全保障、推動開放合作等七項主要任務(wù),以指導(dǎo)和規(guī)范我國工業(yè)互聯(lián)網(wǎng)的發(fā)展。
● 2018年,工信部發(fā)布《工業(yè)互聯(lián)網(wǎng)發(fā)展行動計劃(2018-2020年)》《工業(yè)互聯(lián)網(wǎng)專項工作組2018年工作計劃》;網(wǎng)絡(luò)安全管理局重新修訂《公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅監(jiān)測與處置辦法》《公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急預(yù)案》,規(guī)范了相關(guān)的監(jiān)測和處置,以及信息通報應(yīng)急處置辦法。
(一)數(shù)據(jù)防泄漏需求
在數(shù)字化轉(zhuǎn)型的當(dāng)下,冶金行業(yè)積累的數(shù)據(jù)資源呈級數(shù)增長,形成了海量的數(shù)據(jù)源,數(shù)據(jù)在采集、存儲、流轉(zhuǎn)過程中存在較大的安全隱患。冶金行業(yè)屬于技術(shù)、資金、資源、能源密集型產(chǎn)業(yè),對核心的技術(shù)機密、專利等進行有效安全管理至關(guān)重要。如何確保企業(yè)財務(wù)報表、計劃、技術(shù)文件等資料安全交互,防止與外協(xié)人員、合作伙伴等數(shù)據(jù)交互發(fā)生泄漏,保障移動設(shè)備、存儲介質(zhì)的數(shù)據(jù)安全等內(nèi)網(wǎng)安全問題迫在眉睫。
(二)業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全建設(shè)需求
隨著信息化建設(shè)程度不斷加深,冶金企業(yè)大多使用EMS、DMS、財務(wù)管理等業(yè)務(wù)系統(tǒng)。目前冶金行業(yè)的各業(yè)務(wù)應(yīng)用系統(tǒng)均有權(quán)限管理機制,可根據(jù)安全域的劃分控制用戶對在線數(shù)據(jù)的使用和操作,但是當(dāng)一些數(shù)據(jù)以電子文檔形態(tài)從應(yīng)用系統(tǒng)被下載到用戶終端時,由于被下載文檔已經(jīng)脫離了應(yīng)用系統(tǒng)的安全管控范圍,缺乏一種安全、有效的保護和管理機制。
(三)風(fēng)險評估及安全體系規(guī)劃需求
冶金企業(yè)的網(wǎng)絡(luò)與信息化安全問題直接關(guān)系到鋼鐵冶金、環(huán)境能源等企業(yè)核心業(yè)務(wù)的順利開展。在不斷加強信息化建設(shè)的同時,網(wǎng)絡(luò)與信息化安全也成為冶金企業(yè)必須努力解決的首要問題。冶金企業(yè)在信息安全實踐方面尚處于探索階段,希望有專門從事信息安全體系規(guī)劃及風(fēng)險評估的機構(gòu)能為其提供專業(yè)性的指導(dǎo)建議。
(四)文件安全管理需求
長期以來,冶金行業(yè)信息化建設(shè)偏重業(yè)務(wù)管理方面建設(shè),對個人文件的安全保護不夠重視。隨著網(wǎng)絡(luò)的發(fā)展與完善,個人文件信息爆炸性增長,同時也帶來了個人文件安全保護的問題。如何使這些數(shù)據(jù)資源管理更便捷、更規(guī)范,使用更安全,可靠性更高,提高數(shù)據(jù)資源共享效率,充分發(fā)揮知識倉庫的作用,以提高企業(yè)的綜合競爭力,是管理者面臨重要問題。
(五)數(shù)據(jù)保密系統(tǒng)管理溯源審計需求
傳統(tǒng)管理制度不能約束和追蹤審計員工行為,發(fā)生泄密事件后無法進行事后追溯,需要建立數(shù)據(jù)安全監(jiān)督管理機制,實現(xiàn)用戶授權(quán)、身份認證、訪問控制、重要信息敏感性和完整性保護等全過程認證、監(jiān)控、審核、管理機制的有效實施?!?/p>
(一)數(shù)據(jù)加密防泄漏
應(yīng)冶金企業(yè)文件加密需求,采用數(shù)據(jù)實時加密技術(shù)對計算機正在運行的涉密數(shù)據(jù)進行智能識別,通過對電子文檔的創(chuàng)建、修改、傳輸、歸檔、分發(fā)、銷毀等全過程的加密管理,以達到電子文檔的保護目標。企業(yè)內(nèi)的電子文件只能在授權(quán)許可的范圍內(nèi)使用,在沒有經(jīng)過授權(quán)許可的情況下,無論以何種方式脫離授權(quán)應(yīng)用范圍,電子文件都將不可使用,從信息的源頭進行加密保護。并對所有USB設(shè)備(移動硬盤、U盤、移動光驅(qū)、無線網(wǎng)卡等)的運行實施管控,幫助冶金行業(yè)客戶從事前預(yù)防、事中控制和事后審計對系統(tǒng)數(shù)據(jù)進行全生命周期的安全防護。
(二)文檔高效安全協(xié)同管理
針對個人文件安全保護的需求,為企業(yè)搭建了一個電子文檔集中管理的平臺。企業(yè)文件庫、個人文檔庫、在線文檔協(xié)作、文檔版本管理、評論、標簽、細粒度文檔安全管控、系統(tǒng)安全審計等功能,對電子文檔在企業(yè)中的全生命周期過程進行集中管理和安全管控,能夠極大地提升員工的工作效率、提高文檔安全性。
(三)信息安全風(fēng)險評估及安全體系規(guī)劃咨詢服務(wù)
信息安全咨詢服務(wù)方案對冶金企業(yè)信息系統(tǒng)可能面臨的風(fēng)險進行分析、控制,通過信息安全漏洞掃描、信息安全風(fēng)險評估、信息安全管理體系規(guī)劃等,有效地避免黑客的攻擊行為,提高系統(tǒng)的安全防護能力、隱患發(fā)現(xiàn)能力和應(yīng)急響應(yīng)能力。
(四)數(shù)據(jù)溯源審計統(tǒng)一分析
對冶金企業(yè)的系統(tǒng)安全事件進行多方位、多視角、大跨度、細粒度的監(jiān)測,可全面監(jiān)控和處理應(yīng)用程序中的另存為、打印、拷貝粘貼、發(fā)送郵件等會引起泄密的行為,并對企業(yè)數(shù)據(jù)安全狀況的進行統(tǒng)計分析,并提供數(shù)據(jù)統(tǒng)計柱形圖可視化地展示數(shù)據(jù)安全狀況,做到可預(yù)防、可定位、可追溯。
(一)解決數(shù)據(jù)泄密問題
通過敏捷數(shù)據(jù)安全衛(wèi)士DGS這一數(shù)據(jù)安全與數(shù)據(jù)管理統(tǒng)一平臺,為客戶構(gòu)建集事前主動預(yù)防、事中實時控制、事后安全審計為一體的多重防護體系,細粒度的權(quán)限管理、主動的加密策略、安全可視化的管控、水印溯源等功能增強了冶金企業(yè)抵御網(wǎng)絡(luò)安全威脅的能力,與冶金企業(yè)業(yè)務(wù)系統(tǒng)良好集成,避免內(nèi)部員工有意或無意的泄密,避免了與合作單位數(shù)據(jù)交互導(dǎo)致的二次泄密,保障了移動設(shè)備、存儲介質(zhì)的數(shù)據(jù)安全。
(二)提高客戶文檔協(xié)同效率
敏捷文檔管理系統(tǒng)DM結(jié)合冶金客戶日常文檔管理中的各種需求,為企業(yè)搭建電子文檔集中管理的平臺,對企業(yè)電子文檔進行集中管理和安全管控,極大地提升員工的工作效率、提高文檔安全性。支持文檔的內(nèi)部共享和鏈接外發(fā),確保文檔協(xié)同高效;采用ElasticSearch智能搜索引擎,使文檔管理更加智能化、多元化。
(三)幫助客戶提升信息系統(tǒng)安全防護能力
通過信息安全風(fēng)險評估及安全體系規(guī)劃咨詢項目的實施和成果應(yīng)用,明確了企業(yè)當(dāng)前安全狀況,防患于未然,同時為建立起一套適應(yīng)于企業(yè)成長需求且行之有效的信息安全管理體系,提高了客戶系統(tǒng)的安全防護能力、隱患發(fā)現(xiàn)能力和應(yīng)急響應(yīng)能力。