網(wǎng)絡(luò)風(fēng)險(xiǎn)管控工作方案

1網(wǎng)絡(luò)風(fēng)險(xiǎn)管控工作方案為進(jìn)一步落實(shí)網(wǎng)絡(luò)信息安全生產(chǎn)主體責(zé)任，建立網(wǎng)絡(luò)安全生產(chǎn)長(zhǎng)效機(jī)制，防止和削減各類事故，依據(jù)《中華人民共〔2023年6月1日起施行〕等法律法規(guī)及指導(dǎo)意見，結(jié)合業(yè)務(wù)屬性與安全治理實(shí)際需要，對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)進(jìn)行管控。一、風(fēng)險(xiǎn)描述信息安全治理包含了物理安全治理、網(wǎng)絡(luò)安全治理、主機(jī)安全治理、應(yīng)用安全治理和數(shù)據(jù)安全治理等多方面，上述任一環(huán)節(jié)發(fā)生了問題，都會(huì)造成企業(yè)整個(gè)信息網(wǎng)絡(luò)的系統(tǒng)安全受到嚴(yán)峻的威逼并且造成較大的損失。物理安全治理風(fēng)險(xiǎn)環(huán)境。系統(tǒng)載體和線路等故障導(dǎo)致的網(wǎng)絡(luò)癱瘓屬于物理風(fēng)險(xiǎn)，如水災(zāi)、火災(zāi)、自然災(zāi)難、人為過失等造成的數(shù)據(jù)喪失和線路破壞以及環(huán)境內(nèi)的電磁干擾導(dǎo)致系統(tǒng)的線路無法正常的運(yùn)轉(zhuǎn)等。網(wǎng)絡(luò)安全治理風(fēng)險(xiǎn)。由于信息化的進(jìn)展，網(wǎng)絡(luò)、互聯(lián)互通是電力系統(tǒng)今后進(jìn)展的趨勢(shì)。然而系統(tǒng)安全的配置不夠合理或操作人員的不當(dāng)操作都會(huì)引發(fā)安全漏洞進(jìn)而帶來計(jì)算機(jī)安全威逼，病毒或其他攻擊通過網(wǎng)絡(luò)內(nèi)部穿插感染，最終致使整個(gè)網(wǎng)絡(luò)受到攻擊并崩潰。很多設(shè)備廠家或設(shè)備維保廠家為了編程和維保的便利設(shè)置了后門，也會(huì)引發(fā)的黑客攻擊，威逼信息網(wǎng)絡(luò)的安全。此外，有的企業(yè)會(huì)將公司內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接，便利辦公，最終受到來自外部網(wǎng)絡(luò)對(duì)信息系統(tǒng)實(shí)行的選擇性刻意破壞。主機(jī)安全治理風(fēng)險(xiǎn)。主機(jī)系統(tǒng)安全保護(hù)措施不夠全面或者措施執(zhí)行不到位都會(huì)造成系統(tǒng)被入侵，破壞者通過實(shí)行確定的技術(shù)手段獵取超級(jí)權(quán)限而進(jìn)入系統(tǒng)，威逼系統(tǒng)信息安全。攻擊者往往是利用系統(tǒng)漏洞來編寫定向或非定向的病毒、木馬，再通過各種手段在工控系統(tǒng)網(wǎng)絡(luò)內(nèi)傳播、穿插感染。而不必要的模塊安裝造成了多余的端口開放、安全配置不到位和未準(zhǔn)時(shí)修復(fù)漏洞而造成外來入侵。應(yīng)用安全治理風(fēng)險(xiǎn)。伴隨著東航信息化的進(jìn)展，ERP系統(tǒng)、MES系統(tǒng)、辦公系統(tǒng)等網(wǎng)絡(luò)連接，形成掩蓋企業(yè)的一張大網(wǎng)，伴隨著各種應(yīng)用系統(tǒng)的疊加使用，網(wǎng)絡(luò)安全也有了更多的隱患，必需要有強(qiáng)大的網(wǎng)絡(luò)安全治理系統(tǒng)作為支撐，才可以實(shí)現(xiàn)信息治理模式的安全和有效運(yùn)行。受到企業(yè)自身進(jìn)展和外界信息化進(jìn)展影響，這些應(yīng)用系統(tǒng)往往是由不同廠家實(shí)現(xiàn)開發(fā)，這些系統(tǒng)往往需要不同的接口，這些接口也為外部攻擊者留下了攻擊的途徑和渠道。而且企業(yè)中的員工信息化水平參差不齊，有的年輕職員，操作閱歷缺乏，缺少對(duì)突發(fā)時(shí)間的處理力氣和閱歷；而老職工沒有準(zhǔn)時(shí)跟上時(shí)代的步伐，對(duì)形勢(shì)下的網(wǎng)絡(luò)技術(shù)并未準(zhǔn)時(shí)掌控，這些都可能導(dǎo)致企業(yè)網(wǎng)絡(luò)受到攻擊。數(shù)據(jù)安全治理風(fēng)險(xiǎn)。信息和數(shù)據(jù)治理尚未在公司構(gòu)建比較完備的體系，企業(yè)的信息治理還有諸多的問題。如對(duì)數(shù)據(jù)不加以特別保護(hù)，很有可能造成數(shù)據(jù)的喪失或者被竊取，輕則泄露企業(yè)數(shù)據(jù)，嚴(yán)峻的將引起系統(tǒng)數(shù)據(jù)被修改，導(dǎo)致系統(tǒng)崩潰。網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)假設(shè)沒有安全保護(hù)手段，簡(jiǎn)潔被攻擊者或者黑客非法攔截或串改。數(shù)據(jù)備份往往存儲(chǔ)在磁、光介質(zhì)中，這些設(shè)備對(duì)物理環(huán)境要求較高，且假設(shè)不常常備份，有可能造成數(shù)據(jù)喪失的風(fēng)險(xiǎn)。病毒的侵?jǐn)_也會(huì)導(dǎo)致信息系統(tǒng)中數(shù)據(jù)被破壞。二、防范措施加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)信息治理建設(shè)的安全爭(zhēng)論對(duì)保證公司的正常運(yùn)轉(zhuǎn)具有格外重要的意義，針對(duì)網(wǎng)絡(luò)安全治理風(fēng)險(xiǎn)的防護(hù)策略也是重點(diǎn)工作。增加安全意識(shí)。進(jìn)一步提升員工的計(jì)算機(jī)信息網(wǎng)絡(luò)安全學(xué)問和技術(shù)，提升其安全防護(hù)綜合水平，防止發(fā)生內(nèi)部機(jī)密泄露。不斷落實(shí)計(jì)算機(jī)網(wǎng)絡(luò)信息的安全責(zé)任，加強(qiáng)員工的網(wǎng)絡(luò)安全意識(shí)，持續(xù)和定期檢查網(wǎng)絡(luò)信息安全，準(zhǔn)時(shí)覺察并處理計(jì)算機(jī)網(wǎng)絡(luò)安全隱患，保證計(jì)算機(jī)網(wǎng)絡(luò)安全。加大內(nèi)部信息安全教育力度，提升內(nèi)部人員保密信息、敏感信息保護(hù)等信息安全保護(hù)意識(shí)。防火墻攔截。通過安裝部署防火墻，可以有效的阻擋未授權(quán)的訪問，記錄各類訪問信息，有效阻擋攻擊數(shù)據(jù)包和惡意軟件在網(wǎng)絡(luò)之間傳播，監(jiān)測(cè)網(wǎng)絡(luò)上的敏感數(shù)據(jù)，阻擋未經(jīng)授權(quán)的系統(tǒng)訪問。實(shí)行防病毒措施。必需實(shí)行網(wǎng)絡(luò)和企業(yè)實(shí)際結(jié)合的方式來實(shí)現(xiàn)病毒防護(hù)；必需定期升級(jí)病毒庫，準(zhǔn)時(shí)對(duì)終端進(jìn)展升級(jí)，避開攜帶型病毒的文件、軟件和郵件等媒介在內(nèi)傳播。通過對(duì)惡意行為的監(jiān)控，對(duì)木馬病毒傳播行為的分析，防病毒軟件可有效阻擋其通過U盤、光盤等入侵用戶電腦，阻斷其利用可移動(dòng)存儲(chǔ)介質(zhì)傳播的通道，將木馬病毒威逼攔截在電腦之外。強(qiáng)化密碼治理。加強(qiáng)密碼治理，公司員工在設(shè)置或使往往會(huì)成為攻擊者進(jìn)展入侵的捷徑。在設(shè)置計(jì)算機(jī)網(wǎng)絡(luò)密碼時(shí)，不能設(shè)置默認(rèn)密碼，并對(duì)密碼進(jìn)展定期修改，設(shè)置密碼簡(jiǎn)潔程度，最好是數(shù)字、字母、特別字符結(jié)合，且長(zhǎng)度不低于8位。通過科學(xué)和標(biāo)準(zhǔn)的手方法加強(qiáng)密碼治理強(qiáng)度，杜絕攻擊者破解密碼獲得系統(tǒng)使用權(quán)限的可能。依據(jù)《網(wǎng)絡(luò)安全法》和東航集團(tuán)網(wǎng)絡(luò)信息安全治理的相關(guān)工作要求，嚴(yán)格落實(shí)“誰主管誰負(fù)責(zé)、誰運(yùn)行誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”責(zé)任制，全流程全面強(qiáng)化公司網(wǎng)絡(luò)信息安全管理機(jī)制，確保重要網(wǎng)絡(luò)和信息系統(tǒng)運(yùn)行正常、重要信息不泄露、網(wǎng)站內(nèi)容不篡改，堅(jiān)決杜絕發(fā)生網(wǎng)絡(luò)安全大事。加強(qiáng)系統(tǒng)管控。對(duì)于集團(tuán)公司統(tǒng)一建設(shè)推廣的IT系統(tǒng)，公司協(xié)作集團(tuán)公司進(jìn)展網(wǎng)絡(luò)信息安全治理；對(duì)于公司自建的IT系統(tǒng)，在建設(shè)前須明確信息安全保護(hù)方案，建成后須進(jìn)展信息安全專項(xiàng)評(píng)測(cè)。完整全面完成集團(tuán)部署的關(guān)鍵信息根底設(shè)施保護(hù)、系統(tǒng)等級(jí)保護(hù)評(píng)測(cè)工作、重保期間信息安全保障、軟件正版化等信息安全工作。建立網(wǎng)絡(luò)信息安全防護(hù)技術(shù)手段，準(zhǔn)時(shí)修補(bǔ)安全補(bǔ)丁，提高日常安全防范力氣。加強(qiáng)終端安全治理，使用正版軟件和安裝安全防護(hù)