网络风险管控工作方案.doc

网络风险管控工作方案为进一步落实网络信息安全生产主体责任，建立网络安全生产长效机制，防止和减少各类事故，依据中华人民共和国网络安全法（2017年6月1日起施行）等法律法规及指导意见，结合业务属性与安全管理实际需要，对网络风险进行管控。一、风险描述信息安全管理包含了物理安全管理、网络安全管理、主机安全管理、应用安全管理和数据安全管理等多方面，上述任一环节发生了问题，都会造成企业整个信息网络的系统安全受到严重的威胁并且造成较大的损失。1.物理安全管理风险环境。系统载体和线路等故障导致的网络瘫痪属于物理风险，如水灾、火灾、自然灾害、人为过失等造成的数据丢失和线路破坏以及环境内的电磁干扰导致系统的线路无法正常的运转等。2.网络安全管理风险。由于信息化的发展，网络、互联互通是电力系统今后发展的趋势。然而系统安全的配置不够合理或操作人员的不当操作都会引发安全漏洞进而带来计算机安全威胁，病毒或其他攻击通过网络内部交叉感染，最终致使整个网络受到攻击并崩溃。许多设备厂家或设备维保厂家为了编程和维保的便利设置了后门，也会引发的黑客攻击，威胁信息网络的安全。此外，有的企业会将公司内部网络与互联网连接，方便办公，最终受到来自外部网络对信息系统实行的选择性刻意破坏。3.主机安全管理风险。主机系统安全保护措施不够全面或者措施执行不到位都会造成系统被入侵，破坏者通过采取一定的技术手段获取超级权限而进入系统，威胁系统信息安全。攻击者往往是利用系统漏洞来编写定向或非定向的病毒、木马，再通过各种手段在工控系统网络内传播、交叉感染。而不必要的模块安装造成了多余的端口开放、安全配置不到位和未及时修复漏洞而造成外来入侵。4.应用安全管理风险。伴随着东航信息化的发展，ERP系统、MES系统、办公系统等网络连接，形成覆盖企业的一张大网，伴随着各种应用系统的叠加使用，网络安全也有了更多的隐患，必须要有强大的网络安全管理系统作为支撑，才可以实现信息管理模式的安全和有效运行。受到企业自身发展和外界信息化发展影响，这些应用系统往往是由不同厂家实现开发，这些系统往往需要不同的接口，这些接口也为外部攻击者留下了攻击的途径和渠道。而且企业中的员工信息化水平参差不齐，有的年轻职员，操作经验不足，缺少对突发时间的处理能力和经验；而老职工没有及时跟上时代的步伐，对新形势下的网络技术并未及时掌控，这些都可能导致企业网络受到攻击。5.数据安全管理风险。信息和数据管理尚未在公司构建比较完备的体系，企业的信息管理还有诸多的问题。如对数据不加以特别保护，很有可能造成数据的丢失或者被窃取，轻则泄露企业数据，严重的将引起系统数据被修改，导致系统崩溃。网络中传输的数据如果没有安全保护手段，容易被攻击者或者黑客非法拦截或串改。数据备份往往存储在磁、光介质中，这些设备对物理环境要求较高，且如果不经常备份，有可能造成数据丢失的风险。病毒的侵扰也会导致信息系统中数据被破坏。二、防范措施加强计算机网络信息管理建设的安全研究对保证公司的正常运转具有十分重要的意义，针对网络安全管理风险的防护策略也是重点工作。1.增强安全意识。进一步提升员工的计算机信息网络安全知识和技术，提升其安全防护综合水平，防止发生内部机密泄露。不断落实计算机网络信息的安全责任，加强员工的网络安全意识，持续和定期检查网络信息安全，及时发现并处理计算机网络安全隐患，保证计算机网络安全。加大内部信息安全教育力度，提升内部人员保密信息、敏感信息保护等信息安全保护意识。2.防火墙拦截。通过安装部署防火墙，可以有效的阻止未授权的访问，记录各类访问信息，有效阻止攻击数据包和恶意软件在网络之间传播，监测网络上的敏感数据，阻止未经授权的系统访问。3.采取防病毒措施。必须采取网络和企业实际结合的方式来实现病毒防护；必须定期升级病毒库，及时对终端进行升级，避免携带新型病毒的文件、软件和邮件等媒介在内传播。通过对恶意行为的监控，对木马病毒传播行为的分析，防病毒软件可有效阻止其通过U盘、光盘等入侵用户电脑，阻断其利用可移动存储介质传播的通道，将木马病毒威胁拦截在电脑之外。4.强化密码管理。加强密码管理，公司员工在设置或使用密码时，没有较强的防范意识和安全意识，复杂程度不够，往往会成为攻击者进行入侵的捷径。在设置计算机网络密码时，不能设置默认密码，并对密码进行定期修改，设置密码复杂程度，最好是数字、字母、特殊字符结合，且长度不低于8位。通过科学和规范的手方法加强密码管理强度，杜绝攻击者破解密码获得系统使用权限的可能。依据网络安全法和东航集团网络信息安全管理的相关工作要求，严格落实“谁主管谁负责、谁运行谁负责、谁使用谁负责”责任制，全流程全面强化公司网络信息安全管理机制，确保重要网络和信息系统运行正常、重要信息不泄露、网站内容不篡改，坚决杜绝发生网络安全事件。5.加强系统管控。对于集团公司统一建设推广的IT系统，公司配合集团公司进行网络信息安全管理；对于公司自建的IT系统，在建设前须明确信息安全保护方案，建成后须进行信息安全专项评测。完整全面完成集团部署的关键信息基础设施保护、系统等级保护评测工作、重保期间信息安全保障、软件正版化等信息安全工作。建立网络信息安全防护技术手段，及时修补安全补丁，提高日常安全防范能力。加强终端安全管理，使用正版软件和安装安全防护工